INTERNAL AUDITING

PENDEKATAN AUDIT

DISUSUN OLEH :
KELOMPOK 7
ELVIA NURHIDAYAH (12030113120012)
DILLA ZHAFARINA (12030113120055)
CHUSWATUL CHASANAH (12030113120097)
SITI AISYAH FITRIA ()12030113120115

FAKULTAS EKONOMIKA DAN BISNIS

UNUVERSITAS DIPONEGOR
2016

PENDEKATAN AUDIT
Pengantar
Audit internal dapat dilakukan dalam berbagai cara dan ada berbagai model yang dapat
diterapkan untuk pemakaian peran audit.Organisasi akan menentukan kebutuhan audit dan ini akan
membantu untuk menetapkan jenis jasa audit yang disediakan. CAE kemudian didakwa dengan
menyediakan layanan ini dengan standar audit profesional. Bab ini membahas beberapa pendekatan yang
berbeda dan cara yang mereka berhubungan dengan peran audit internal. Perkembangan audit internal,
sebagai profesi, didasarkan pada premis bahwa praktek audit internal adalah subjek disiplin didefinisikan
standar profesional. Pada saat yang sama, jelas bahwa ada banyak variasi dalam cara peran audit habis. Ini
hasil dari pendekatan yang berbeda dan, dalam beberapa kasus, interpretasi yang berbeda dari prinsipprinsip yang mendasari, meskipun berbagai hal berdasarkan audit tidak berarti bahwa tidak ada yang jelas
disiplin audit internal. Hal ini tidak hanya masuk akal pekerjaan yang setiap orang terlatih dapat
melakukan. Apa yang terbukti adalah cara bahwa peran audit habis akan bervariasi sesuai dengan
ketentuan yang disepakati acuan (atau audit charter). Ragam menciptakan kekayaan dan derajat
fleksibilitas dalam jenis pekerjaan audit yang dilakukan. Dalam banyak kasus departemen audit akan berisi
berbagai jenis auditor yang secara kolektif debit fungsi audit. Audit internal adalah tentang evaluasi
manajemen risiko dan pengendalian internal dan ini harus menjadi tema sentral dalam kebanyakan
pekerjaan audit.

Sistem Audit
Hal ini dipandang oleh beberapa sebagai cara utama di mana peran audit harus dibuang karena
harus melibatkan sistem pengendalian internal mengevaluasi. Idenya adalah bahwa sistem yang dipelajari
untuk menilai apakah mereka cukup dikendalikan sehingga tujuan manajerial dapat dicapai. Sebelum
pendapat dapat ditentukan, maka perlu untuk menguji operasi pengendalian dan sejauh mana kelemahan
berdampak pada produk akhir. Tes-tes ini mungkin termasuk vouching, verifikasi dan bermacam-macam
pemeriksaan dan rutinitas konfirmasi, titik adalah bahwa vouching sini digunakan sebagai teknik untuk
membantu evaluasi kontrol, yang bertentangan dengan hasil menjadi tujuan pada dirinya sendiri. Dengan
cara ini, penekanannya bukan pada melakukan rangkaian tanpa akhir tes tapi lebih pada meninjau sistem
dan tujuan utamanya. Kita mulai dengan pendekatan standar dalam kedok audit berbasis sistem
(SBA).Konteks baru adalah untuk mengarahkan sumber daya audit pada sistem tata kelola perusahaan,
manajemen risiko dan pengendalian.Pengendalian risiko self-assessment (CRSA) telah digunakan oleh
banyak auditor internal sebagai cara untuk mendapatkan tim kerja untuk mengidentifikasi dan mengelola
risiko utama mereka dan material di CRSA dilengkapi dengan penjelasan singkat keterampilan fasilitasi,
sebagai prasyarat untuk melakukan lokakarya CRS. Kami juga mencakup penipuan dan investigasi lainnya,
IS (sistem informasi) audit dan pendekatan konsultasi untuk bekerja sebagai pengakuan atas arah baru
yang auditor internal mengambil. Teknologi bergerak sangat cepat dan Dan Swanson telah memberikan
beberapa kontribusi yang berguna untuk Internal Audit Handbook dengan maksud untuk memperbarui
cakupan IS audit.

Perhatikan bahwa semua referensi untuk definisi IIA, kode etik, atribut IIA dan standar kinerja,
nasihat praktek dan panduan praktek berhubungan dengan International Praktek Profesional Framework
(IPPF) disiapkan oleh Institute of Internal Auditor pada tahun 2009. Bagian dibahas di sini adalah sebagai
berikut :

7.1 Pendekatan Sistem

7.2 Pengendalian Risiko dan Self-assessment
7.3 Fasilitas Keterampilan
7.4 Integrated Self-assessment dan Audit
7,5 Investigasi Penipuan
7.6 Audit Sistem Informasi
7.7 Kepatuhan
7.8 Nilai untuk uang (VFM), Sosial dan Audit Keuangan
7.9 Pendekatan Consulting
7.10 Struktur 'Kanan'
7.11

7.1.

erkembangan Baru Ringkasan dan Kesimpulan Tugas dan Pertanyaan Multi-pilihan

Pendekatan Sistem
Ada banyak cara yang
berbeda yang audit internal
dapat didekati dan beberapa
penyelidikan / transaksi berbasis
sementara yang lain bergerak
menuju pendekatan sistem. Ada
argumen yang paling efisien
penggunaan sumber daya audit
yang terjadi di mana salah satu
berkonsentrasi pada meninjau
sistem
yang
bertentangan
dengan pemeriksaan transaksi
sistem
individu. Manajemen
mungkin ingin menggunakan

audit internal untuk satu-off latihan pemecahan masalah terutama di mana ada faktor malu potensial jika
masalah ini tidak diselesaikan. Di sisi lain, di mana ulasan sistem tidak dilakukan, maka kerusakan dan
fungsi optimal dapat terjadi. Hal ini menyebabkan transaksi tunggakan. Hal ini dimungkinkan untuk
menggunakan analisis kekuatan-lapangan untuk menimbang faktor-faktor yang bersama-sama
menentukan pendekatan audit aktual yang diterapkan dalam organisasi apapun. Kekuatan ini telah
ditetapkan dalam Gambar 7.1:
Masing-masing faktor akan menerapkan tekanan dalam mendefinisikan cara bahwa peran audit habis dan
beberapa pengaruh mungkin muncul seperti yang ditunjukkan pada Tabel 7.1.

Standar kinerja 2100 - Sifat pekerjaan segi standar profesional, ada beberapa aspek dari suatu
organisasi yang jelas termasuk dalam ruang lingkup pekerjaan audit. Standar Kinerja 2100 berarti bahwa
aktivitas audit internal harus mengevaluasi dan memberikan kontribusi pada peningkatan tata kelola,
manajemen risiko dan pengendalian proses menggunakan pendekatan sistematis dan disiplin. Dalam hal
sistem kerja, Standar Kinerja 2110 meminta bahwa aktivitas audit internal mengevaluasi dan memberikan
kontribusi terhadap peningkatan tata kelola, manajemen risiko dan proses kontrol menggunakan
pendekatan sistematis dan disiplin, sedangkan Standar Kinerja 2120.A1 membuat jelas bahwa aktivitas
audit internal harus mengevaluasi eksposur risiko yang berkaitan dengan organisasi pemerintahan,
operasi dan sistem informasi mengenai:

keandalan dan integritas informasi keuangan dan operasional;

efektivitas dan efisiensi operasi;
Menjaga aset;
kepatuhan terhadap hukum, peraturan, dan kontrak

Sistem ini harus dinilai oleh audit internal sebagai bagian dari peran jaminan. Ada pilihan dalam
cara audit internal dilakukan dan meskipun standar profesional yang menetapkan pedoman onceptual,
mereka tidak mempromosikan metodologi tertentu. Pendekatan akhir akan hasil dari kombinasi faktor
yang mempengaruhi peran audit dan pekerjaan yang dihasilkan dilakukan. Premis yang di atasnya
Handbook yang didirikan menganggap sistem berbasis risiko audit sebagai interpretasi yang valid dari
peran jaminan audit internal, dengan semua hal-hal lain yang jatuh di bawah investigasi istilah generik yang sebagian besar merupakan bagian dari layanan konsultasi bersama dengan bantuan langsung dan
saran dalam membangun manajemen risiko bisnis. Sistem pendekatan audit internal telah tersedia teknik

yang sangat kuat untuk melakukan audit, di masa lalu telah menyebabkan perubahan dalam konsep
audit. Ini membutuhkan kebijakan audit yang menekankan pentingnya membangun sistem yang baik
sehingga risiko seperti kegagalan, kesalahan dan penyalahgunaan dapat dihindari di tempat
pertama. Manajemen dibebankan dengan merancang dan memelihara sistem ini dengan saran dari audit
internal. Langkah ini jauh dari kesalahan bercak, dengan lebih menekankan pada mendapatkan sistem
manajemen risiko yang tepat. Sistem audit didasarkan pada teori sistem dan konsep sistem yang lebih
luas.

Fitur Sistem
Sistem berpikir didasarkan pada melihat operasi dan peristiwa sebagai proses dengan arus seperti
yang ditunjukkan pada Gambar 7.2.
GAMBAR 7.2

Mendefinisikan sistem:
Sebuah set objek bersama-sama dengan hubungan antara benda-benda dan atribut mereka
terhubung atau terkait satu sama lain sedemikian rupa untuk membentuk keseluruhan atau keseluruhan.
Ada sejumlah konsep yang mendukung teori sistem dan ini mungkin tercantum:

Komponen terhubung Setiap bagian dari sistem memiliki beberapa hubungan dengan bagian lain,
sehingga bersama-sama mereka terdiri sistem di tangan. Misalnya, link dalam rantai terhubung
dengan dua link yang pasangkan ke rantai serta yang terhubung ke link lain dengan posisi relatif
mereka dalam rantai. Setiap link memiliki kedekatan yang berbeda dengan yang lain, tetapi
mereka masih memiliki beberapa jenis hubungan keseluruhan.

Terpengaruh dengan berada di sistem Komponen harus terpengaruh dengan berada di sistem
yang ada beberapa alasan untuk itu harus didefinisikan dengan cara ini. Akan kembali ke rantai,
link harus menjadi bagian dari proses pembentukan keseluruhan dengan link lainnya untuk sistem
untuk eksis. Sebuah link cadang yang tidak terpasang tidak terpengaruh oleh kegiatan rantai dan
jatuh di luar sistem. Perakitan komponen melakukan sesuatu ini membawa ke dalam bermain
konsep penting dari tujuan sistem yang berarti bahwa sistem harus memiliki beberapa tujuan
yang membenarkan keberadaannya. Sebuah rantai sepeda menggerakkan roda sementara rantai
emas dikenakan di leher akan ada terutama untuk ornamen.

Majelis diidentifikasi sebagai kepentingan khusus. ini adalah bagian yang paling sulit dari konsep
sistem dalam bahwa harus ada alasan yang mendasari mengapa sesuatu telah didefinisikan
sebagai suatu sistem. Sebuah sistem tergantung pada apa yang didefinisikan bukannya konsep
mutlak. Jika kita melihat rantai sepeda sebagai suatu sistem yang terdiri dari link, ini mungkin
karena kita ingin memeriksa sifat-sifatnya sehingga kekuatannya dapat ditingkatkan. Kami
alternatif dapat menentukan sistem yang terdiri dari rantai dan pedal jika kita ingin
mempertimbangkan energi cara ditransfer dari pedal ke roda melalui rantai. Ini mungkin untuk
mencari untuk meningkatkan efisiensi transfer energi ini. Sistem ini dianggap sistem karena kita
ingin hal itu terjadi, yang membawa gagasan itu memiliki minat khusus. Sesuatu menjadi sistem
karena orang melihatnya sebagai suatu sistem. Hal ini telah dibuat jelas oleh para ahli dalam
berpikir sistem: "Kami akan melihat bahwa sangat sering titik paling penting untuk leverage dalam
sistem apapun adalah kepercayaan dari orang-orang di dalamnya, karena itu adalah keyakinan
bahwa mempertahankan sistem seperti itu.

Prinsip-prinsip universal di balik pemikiran sistem dapat diterapkan dalam berbagai situasi dan ada
beberapa fitur kunci:

Sistem terbuka terkait dengan lingkungan dan harus merespon perubahan faktor eksternal yang
relevan sehingga dapat mengoptimalkan proses sistem. Sebuah sistem tertutup Sebaliknya
adalah tetap dan tidak bereaksi terhadap tekanan eksternal.Jadi sistem pemanas sentral mungkin
tetap selama periode waktu tetap dikendalikan oleh timer dan sekali set tetap dalam modus
operasi. Di mana ada kontrol termostat, sistem ini mampu merespon perubahan suhu dan
memberikan layanan yang lebih interaktif. Kontrol adalah bagian dari proses menyesuaikan
sistem untuk memastikan itu selalu mampu memberikan tujuannya didefinisikan.

Sebuah sistem adalah seperangkat komponen yang saling terkait dan gagasan sinergi datang ke
dalam bermain. Hal ini menunjukkan bahwa jumlah keseluruhan lebih besar daripada jumlah
masing-masing komponen individu, yang dinyatakan sebagai:
2 +2=5

Sinergi dapat dilihat dalam contoh dari serangkaian bagian yang pergi untuk membuat sepeda
motor. Ketika dipreteli, masing-masing bagian adalah komponen tidak berfungsi. Bila disatukan
untuk membentuk sebuah sepeda motor, menjadi sistem transportasi dengan potensi yang jauh
lebih besar dalam hal kemampuan dan wawasan.

Sistem berpikir didasarkan pada ide melihat proses secara keseluruhan, terdiri dari bagian-bagian
terkait. Pandangan holistik ini memungkinkan seseorang untuk memahami operasi rumit dengan
naik di atas setiap aspek tertentu dan mempertimbangkan keseluruhan. Keuntungan utama dari
sistem pemikiran potensi ini untuk bekerja pada tingkat tertinggi dengan melihat operasi sebagai
layanan yang lengkap. Auditor yang mampu membedakan antara tingkat rendah rinci dan
masalah materi adalah auditor besok. Melihat sistem sebagai subsistem yang feed ke
dalam 'gambaran besar' adalah keterampilan yang auditor harus memperoleh.

Komponen kunci adalah bagian penting yang penting bagi keberhasilan proses. Perhatian
diarahkan ini akan menjadi nilai lebih dari bagian-bagian yang kurang bahan. Kemampuan untuk
mengisolasi masalah utama yang dihadapi sistem manajerial memiliki dampak yang mendasar
pada audit internal sebagai pekerjaan kami bergerak menuju tingkat yang lebih tinggi dalam

organisasi.Sebagai contoh, ada banyak kelemahan kontrol yang berasal dari masalah dengan
sistem manajemen sumber daya manusia.Sebagai auditor berlangsung dalam pekerjaan, faktor
ini memungkinkan sumber daya untuk diarahkan pada daerah ini sebagai yang paling efisien
penggunaan waktu audit. Cara sistem HRM antarmuka dengan operasi baris dapat ditangkap
dengan menerapkan sistem pandangan organisasi sebagai kedua link yang kuat dan lemah yang
terisolasi.

Teori lain berasal dari teori sistem adalah bahwa ada kompensasi pengaruh. Ini dapat membuat
untuk kelemahan di tempat lain dalam sistem atau hanya memberikan kontrol tambahan. Sebagai
contoh, sistem keuangan perusahaan yang seharusnya mendukung kontrol anggaran mungkin
buruk dan hanya melaporkan belanja sebenarnya setelah tertunda beberapa bulan.Manajemen
dapat mempertahankan rekor sendiri menghabiskan untuk mendapatkan up-to-date informasi
dari varians anggaran.Sistem kontrol anggaran harus dilihat mencakup kompensasi ini jika itu
harus sepenuhnya dihargai.

Selain komponen kunci, ada daerah sensitif dalam sistem apapun. Rantai ketergantungan berarti
bahwa seluruh proses mungkin berada pada risiko di mana bagian dari link yang lemah atau
rusak. Hanya dengan memahami seluruh sistem yang satu ini mampu mengetahui pengaruh
perubahan dalam satu bidang di daerah terkait lainnya. Ini mungkin manfaat terbesar tunggal
untuk bertambah dari mengadopsi pendekatan sistem berbeda dengan melihat operasi dan
kegiatan individu sebagai item diskrit.Pentingnya kontrol dalam sistem telah diakui oleh banyak
orang sebagai contoh menggambarkan: David Blunkett menghadapi tuntutan segar bagi tindakan
mendesak untuk mengakhiri 'skandal' imigran ilegal menyamar sebagai mahasiswa untuk
mendapatkan visa untuk tinggal di Inggris. Tories menyerukan tindakan keras setelah Evening
Standard menemukan bahwa sekolah bahasa tidak bermoral mengambil pembayaran tunai untuk
menempatkan 'siswa' di buku mereka yang benar-benar di sini untuk bekerja secara
ilegal. . .A Penyelidikan Standard menunjukkan bagaimana empat dari lima sekolah mendekati di
London siap untuk mengeluarkan wartawan Republik menyamar sebagai 'murid' dengan sertifikat
pendaftaran - hampir rute yakin-api untuk visa - bahkan ketika diberitahu secara eksplisit bahwa
dia tidak akan menghadiri kursus. Penyelidikan Standard 's menimbulkan kekhawatiran tentang
sistem imigrasi kita yang kacau. . Kami perlu semacam sistem kontrol untuk menghentikan
perguruan tinggi swasta mengutak-atik sistem.

Semua sistem harus di kontrol untuk bekerja dan kemampuan untuk mengendalikan secara
implisit dalam mekanisme umpan balik: 'Menyeimbangkan umpan balik mencari gol. Semua
sistem telah menyeimbangkan loop umpan balik untuk tetap stabil, sehingga semua sistem
memiliki tujuan - bahkan jika itu hanya untuk tetap seperti mereka. . . Oleh karena itu Sebuah
sistem membutuhkan cara untuk mengukur, jika tidak maka tidak bisa membedakan antara mana
itu dan di mana seharusnya. "3

Kita beralih ke isu hubungan dan

sistem tua / anak yang antarmuka
dengan
kegiatan
yang
kita
pertimbangkan. Kembali ke contoh kita
dari sepeda motor, sistem terkait telah
diilustrasikan dalam Gambar 7.3

Pembalap dan sepeda dapat dilihat sebagai sistem utama yang kemudian feed ke dalam sistem
hubungan seperti jalan, bahan bakar dan tujuan. Ada jumlah tak terbatas kombinasi sistem yang dapat
diterapkan tergantung pada persepsi seseorang. Sebuah hal audit referensi harus menyatakan secara jelas
di mana sistem dikaji berhenti dan mulai. Kita perlu menetapkan titik cut-off konseptual sebagai contoh
motor dapat diperluas untuk mencakup pemeliharaan, manufaktur, pembersihan, peta jalan, izin
mengemudi dan VFM.

Sistem Berpikir Umum

Sebuah penyebutan singkat
dari teori sistem dan gambaran dari
metodologi ini muncul pada Gambar
7.4. Beberapa
penjelasan
yang
disediakan di bawah:
1. Sistematis. Proses menggunakan
metodologi yang jelas diterapkan di
SBA
dengan
menggunakan
metodologi yang ditetapkan untuk
perencanaan, maju audit, dan
kemudian mengeluarkan laporan
audit
2.
Sistemik. Ini menggunakan teori
sistem diterapkan dengan cara bidang
audit dipandang sebagai serangkaian
sistem dan sistem hubungan.
3.
Sistem subjektif. Berikut
penggunaan batas set sistem untuk menentukan sistem dikaji adalah sesuatu
yang auditor harus berlaku untuk memberikan gambaran yang disepakati apa
yang akan dikenakan audit.
4. Sistem induk, sistem utama dan subsistem. Apresiasi hubungan sistem secara hirarkis dan
sebagai bagian dari sistem yang terkait memberikan wawasan ke dalam cara kegiatan saling
melengkapi satu sama lain.
5. Manajerial, operasional dan fungsional. Terjemahan dari sistem ke tingkat organisasi dan
jenis memberikan awal untuk memutuskan bagaimana untuk memecah organisasi untuk
tujuan audit.

Entropi
Hal ini dapat dilihat sebagai gangguan, disorganisasi, kurangnya pola atau keacakan organisasi
sistem. Sebuah sistem tertutup cenderung meningkat dalam entropi dari waktu ke waktu dalam hal itu
akan bergerak menuju kekacauan yang lebih besar dan keacakan. Entropi memberikan pembenaran untuk
peran audit sistem memecah dan kontrol memburuk dari waktu ke waktu kecuali mereka ditinjau dan
dibuat untuk mengikuti perubahan risiko. Kecenderungan untuk menghapus tingkat manajemen untuk
mencapai pengurangan anggaran mungkin memiliki dampak yang besar pada sistem dikendalikan melalui
ulasan pengawasan oleh garis dan manajemen menengah. Saldo kontrol harus mengubah dengan

restrukturisasi. Jika tidak, ketidakseimbangan menjadi bagian dari entropi keseluruhan di mana
penurunan kontrol merusak fungsi sukses dari sistem. Sistem ini dirancang untuk memastikan tujuan yang
dicapai dalam cara yang terbaik dan telah dikatakan bahwa 'sistem pemikiran adalah cara kita dapat
membedakan beberapa aturan, beberapa rasa pola dan acara, jadi kita bisa mempersiapkan diri untuk
masa depan dan mendapatkan beberapa pengaruh lebih.

Sistem Audit
Kita dapat menggunakan prinsip-prinsip sistem berpikir untuk melakukan audit sistem. Kami
terutama prihatin tentang pengaturan untuk mempengaruhi empat eksposur risiko utama yang jatuh
dalam lingkup Kinerja audit internal Standard 2110.A1:

Keandalan dan integritas informasi keuangan dan operasional

Efektivitas dan efisiensi operasi
Pengamanan aset
Kepatuhan terhadap hukum, peraturan dan kontrak.

Kami prihatin dengan meninjau dan kemudian menasihati manajemen pada sistem mereka kontrol
internal yang melepaskan empat tujuan tersebut. Jadi kegiatan harus dilakukan dengan memperhatikan
kepatuhan terhadap hukum dan prosedur dan fitur ini harus dibangun ke dalam sistem. Sistem kontrol
akan berlangganan fitur kontrol kunci ini, berbeda dengan orang-orang yang beresiko. Ada satu masalah
yang melekat dalam Standar Kinerja 2060 yang meliputi baris berikut:
Eksekutif Audit Kepala harus melaporkan secara berkala kepada manajemen senior dan dewan
pada tujuan kegiatan audit internal, wewenang, tanggung jawab, dan kinerja relatif terhadap
rencana. Pelaporan juga harus mencakup eksposur risiko signifikan dan masalah pengendalian,
termasuk risiko penipuan, isu-isu pemerintahan, dan hal-hal lain yang diperlukan atau diminta
oleh manajemen senior dan papan.
Masalahnya berasal dari mencoba untuk mengambil pandangan tentang manajemen risiko di seluruh
organisasi ketika kita hanya memiliki hasil audit individu di tangan. Joseph O'Connor dan Ian McDermott
memperingatkan terhadap pendekatan silo untuk melihat sistem: 'Sistem memiliki sifat yang muncul yang
tidak ditemukan di bagian mereka. Anda tidak dapat memprediksi sifat-sifat dari sistem yang lengkap
dengan mengambil itu untuk potong dan menganalisis parts.'5 nya

Transaksi Pendekatan
Sistem ini dirancang untuk memproses transaksi dan audit internal berkaitan dengan kontrol yang
memastikan tujuan sistem terpenuhi.Di mana hal ini tidak terjadi, sistem menghasilkan transaksi
tunggakan yang melanggar salah satu atau lebih dari empat daerah kontrol utama. Sebuah pendekatan
audit yang mengabaikan sistem tetapi berusaha untuk mengidentifikasi transaksi tunggakan dapat dilihat
sebagai audit transaksi berbasis. Kunjungan kejujuran, penyelidikan penipuan, program pengujian
kepatuhan, tempat pemeriksaan dan ulasan VFM efisiensi mungkin didasarkan pada pendekatan
transaksi. Setiap pekerjaan audit yang tidak termasuk penilaian risiko dan evaluasi dan pengujian kontrol

tidak dapat sistem audit. Sistem audit

bergantung pada beberapa pengujian
meskipun ini secara alami mengalir dari ulasan
kontrol ditunjukkan pada Gambar 7.5.
Sebagai contoh, tim audit dapat
digunakan untuk mengikuti kendaraan
perusahaan untuk melihat apakah mereka
sedang digunakan pada bisnis resmi. Ini
menampilkan
kepatuhan
terhadap
pendekatan transaksi berbasis, karena
pendekatan sistem akan berusaha untuk mempertimbangkan kontrol yang harus di tempat untuk
memastikan bahwa kendaraan yang digunakan hanya untuk tujuan bisnis. Kita mungkin ingin mengamati
beberapa kendaraan selama audit tetapi ini akan memeriksa cara kontrol ini beroperasi dan bukan sebagai
audit dalam dirinya sendiri. Audit sistem dari sistem pembayaran akan berusaha untuk mengisolasi dan
meninjau kontrol atas proses penyusunan faktur dan membayar pemasok. Pendekatan transaksi
memeriksa sampel dari pembayaran untuk melihat apakah mereka benar dan tepat tanpa mengomentari
kontrol yang mendasari. Prinsip utama adalah bahwa sistem audit dimulai dari atas (kontrol ditetapkan
oleh manajemen), berbeda dengan pendekatan transaksi yang dimulai di bagian bawah (hasil akhir
pengolahan transaksi).

Tahapan Sistem berbasis Risiko Audit (RBSA)

Sistem berpikir digunakan dua kali
dalam sistem berbasis risiko audit
(RBSA). Pertama, kita memecah operasi
sebagai sistem, komponen dari suatu
sistem, subsistem, sistem paralel dan
sistem induk. Gambaran dapat diadopsi
dan hubungan antara operasi dapat
diidentifikasi dan dipahami. Kedua, RBSA
sebenarnya adalah pendekatan audit yang
sistematis dalam dirinya sendiri, dengan
tahapan yang ditetapkan dan link yang jelas
antara
langkah-langkah
yang
berurutan. Tahapan audit SBA ditunjukkan
pada Gambar 7.6.
RBSA tidak dapat dilakukan tanpa
mengikuti langkah-langkah di atas. Setelah
rencana penugasan telah ditentukan
(setelah survei awal) kami memiliki hal yang
jelas dari referensi dan garis besar sistem
yang bersangkutan. Tahap berikutnya adalah untuk menentukan apa risiko dapat mencegah tujuan bisnis
dari yang dicapai dan memastikan risiko ini dipahami, diklasifikasikan dan diprioritaskan. Setelah
menemukan risiko kunci, kita bisa pergi ke menimbang dan mengevaluasi kontrol tertentu yang
membentuk aspek utama dari strategi manajemen risiko dan menilai apakah kontrol yang

memadai. Kontrol yang memadai (strong) harus dipertimbangkan lebih lanjut untuk menilai apakah
mereka bekerja dengan benar melalui tes kepatuhan. Beberapa auditor berpendapat bahwa bahkan
ketika kontrol berada di tempat dan bekerja, perlu ada sejumlah kecil pengujian lebih lanjut untuk
memastikan hasil yang benar diperoleh (yaitu tujuan sistem sedang dicapai). Kontrol yang lemah berarti
ada tingkat yang tidak dapat diterima risiko residual dan ini dapat dilaporkan langsung. Sekali lagi,
beberapa auditor ingin menguji implikasi dari kelemahan ini dan mencari kesalahan yang sebenarnya,
penyalahgunaan, kegagalan dan eksposur risiko lain seperti untuk menunjukkan implikasi dari kontrol
miskin. Temuan pada keadaan risiko residual mengarah ke jaminan di mana semuanya baik-baik dan
rekomendasi di mana ada perbaikan lebih lanjut diperlukan untuk mengurangi aspek risiko residual yang
perlu terkandung. Hasilnya dilaporkan kembali ke klien dan tindakan apapun yang diperlukan dipantau
selama tindak lanjut audit yang dijadwalkan untuk masa depan. Namun, ada satu kata peringatan. Ketika
auditor mencoba untuk 'memperbaiki' sistem miskin itu jauh lebih baik untuk mendapatkan klien untuk
membantu dalam proses ini. Hal ini disebabkan kompleksitas dinamis dalam sistem di mana mereka
memiliki kekuatan internal yang cenderung untuk menarik hal-hal bersama-sama.Jika kekuatan ini tidak
dipahami, maka diusulkan perubahan tidak akan bekerja. Kekuatan ini telah digambarkan sebagai berikut:
Sebuah sistem akan bertindak seperti jaring elastis yang kuat - ketika Anda menarik salah satu
bagian dari posisi itu akan tinggal di sana selama Anda benar-benar mengerahkan kekuatan di
atasnya. Ketika Anda membiarkan pergi, Anda mungkin akan terkejut dan kesal bahwa mata air
kembali ke tempat itu sebelumnya. Namun ketika Anda melihat ketegaran ini sebagai bagian dari
sistem daripada kedengkian terisolasi, perlawanan itu tidak hanya dimengerti tapi inevitable.6
Kembali ke tahapan RBSA, ada sejumlah hal yang harus dipertimbangkan pada setiap tahap:
1. Tentukan tujuan yang jelas untuk panggung. Apa yang kita bertujuan untuk mencapai harus
dinyatakan dengan jelas pada setiap tahap sehingga output aktual dapat diukur terhadap hal ini.
2. Rencana kerja dan pendekatan yang akan diadopsi. Perencanaan merupakan proses yang
berkesinambungan yang terjadi sebelum audit dan seluruh berbagai tahapan yang disebutkan di
atas. Hal ini dimungkinkan untuk menetapkan anggaran waktu terpisah untuk panggung dan
kemudian berusaha untuk memonitor jam dikenakan sebelum menyelesaikan audit. Hal ini juga
memungkinkan untuk melakukan review pekerjaan sebagai panggung selesai untuk memberikan
pengawasan berkelanjutan proyek dengan manajemen audit.
3. Mendapatkan pemahaman yang baik tentang risiko dengan operasi ini dapat dicapai melalui
analisis, diskusi dengan staf klien atau melalui lokakarya terstruktur di mana anggota tim klien
mempertimbangkan risiko mereka dan bagaimana mereka berdampak pada bisnis dan tim tujuan
mereka.
4. Mendefinisikan strategi pengujian. Pengujian diterapkan pada pemastian (walkthrough),
kepatuhan (setelah evaluasi) dan pengujian substantif (setelah evaluasi dan kepatuhan
tes). Program kerja rinci dapat disusun dan disepakati sebagai tahap yang sesuai tiba di.
5. Menentukan teknik yang akan digunakan. Teknik Audit seperti wawancara, flowcharting,
interogasi basis data, kontrol self-assessment, negosiasi dan sampling statistik harus disepakati lagi
pada tahap yang relevan dari audit. Hal ini akan membantu waktu kerja dan memungkinkan
tambahan pada keterampilan perlu diidentifikasi.
6. Staf singkat bekerja pada proyek. Dengan pendekatan tim, hal ini berguna untuk memecah setiap
tahap sehingga briefing dapat diadakan untuk membahas masalah daerah, kemajuan dan hal-hal
lain. Tidak hanya akan tindakan ini sebagai perangkat umpan balik tetapi juga akan mempromosikan
tim bekerja di mana ide-ide dipertukarkan.

7. Memastikan bahwa pekerjaan secara formal didokumentasikan. Dokumentasi Standar menjamin

semua poin kunci yang dibahas dan bahwa pekerjaan sepenuhnya direkam. Akhir tahap ini adalah
waktu yang tepat untuk mempertimbangkan apakah dokumentasi memenuhi standar kualitas
(sesuai dengan pedoman audit) dan berisi semua detail yang diperlukan. Kesempatan untuk
mendapatkan materi yang hilang adalah lebih mudah tersedia selama dan tidak setelah audit. Ada
link yang jelas antara ini dan manajer audit ulasan prosedur.
8. Carilah tingkat resiko yang tinggi tak tanggung-tanggung Ini adalah praktik yang baik untuk
melaporkan sebagai audit berlangsung untuk menghemat waktu dan memastikan bahwa laporan
segar dan dinamis. Auditor memiliki kesempatan untuk menilai dampak dari pekerjaan yang
dilakukan sejauh laporan dan strategi pengujian yang harus dikembangkan pada tahap
tertentu. Rincian dari risiko yang berlebihan bisa masuk laporan selama dampak telah diuji. Sejak
evaluasi risiko terjadi sepanjang audit, seluruh paket dari pandangan tentang kemampuan kontrol
kunci untuk mengurangi risiko dikembangkan sebagai pekerjaan berlangsung. Ini adalah bagian
utama dari pekerjaan auditor.
9. Setuju pada arah kerja untuk tahap berikutnya Hubungan antara tahap datang secara alami dari
pendekatan sistem untuk audit sebagai salah satu bergerak dengan lancar dari satu ke yang
lain. Arah tahap berikutnya harus dipertimbangkan oleh auditor tidak hanya dari sudut pandang
perencanaan pandang, tetapi juga dari perspektif yang lebih luas dari apakah pekerjaan harus
diperluas, dibatasi atau disesuaikan. Ini adalah titik di mana untuk membahas masalah dengan
manajer audit dan juga menyarankan bahwa tahap tersebut selesai.

Masalah Sistem kunci

Dalam RBSA sebuah, auditor akan
mengomentari penentuan spesifik keadaan kontrol
yang demiliki ditinjau, seperti pada Gambar 7.7
menunjukkan:
Rutinitas pengujian rinci dan diskusi
komprehensif
dengan
manajemen
semua
berkontribusi untuk kontrol yang lebih baik. Obsesi
dengan mekanisme melakukan audit dan pemeriksaan
dekat dari file dan data seharusnya tidak mengurangi
titik ini. Auditor harus pada akhir hari siap untuk
mengomentari sistem pengendalian internal dan
apakah kontrol ini menjaga terhadap semua risiko
material. Selain itu, sistem untuk mengelola risiko
tergantung
pada
cara
tim
kerja
klien
beroperasi. Kontrol lunak adalah tentang cara orang
berhubungan satu sama lain dan termotivasi (atau tidak). Ketika sistem dipandang sebagai hubungan yang
dinamis, kita dapat lebih memahami cara rutinitas kontrol dikembangkan dan diterapkan. Mengambil
baris ini, telah dikatakan 'Pertimbangkan tim proyek bisnis. Suasana hati setiap orang dapat berubah dari
waktu ke waktu. Ada banyak, banyak cara yang berbeda mereka dapat berhubungan satu sama lain. Jadi
sistem mungkin memiliki beberapa bagian tetapi banyak kompleksitas dinamis. Masalah yang terlihat
sederhana di permukaan dapat mengungkapkan banyak kompleksitas dinamis ketika kita menyelidiki
mereka.

Manfaat Audit berbasis Sistem (SBA)

Sumur tahu guru audit internal, Keith Wade (dari kursus catatan yang tidak dipublikasikan dari
program gelar Master, City University Business School, 1991) berpendapat bahwa SBA memiliki sejumlah
manfaat:
1. Hal ini positif dan melihat ke depan dan mempertimbangkan kekuatan masa depan sistem kontrol
yang bertentangan dengan mengisolasi dan pelaporan serangkaian kesalahan masa lalu.
2. Mempromosikan partisipasi dengan melibatkan klien dalam menjelaskan sistem dan tujuannya.
3. Mempromosikan profesionalisme sebagai lawan mengaduk-aduk auditor yang ahli di dasar
rutinitas pengujian ekstensif.
4. Ini mencakup segala sesuatu dengan yang berbasis pada sistem dalam operasi.
5. Hal ini konstruktif dalam upaya memperbaiki sistem.
6. Hal ini kesalahan pencegahan dan pandangan dalam hal mencegah mereka di masa depan
daripada daftar mereka bagi manajemen untuk memproses ulang.
7. Hal ini dapat diarahkan ke pengembangan karir sebagai sistem auditor yang berpengalaman
mampu mengatasi operasi yang sangat rumit.
8. Mempromosikan penghormatan dengan mengharuskan auditor untuk memahami sistem
dan kebutuhan klien.
9. Ini mengembangkan auditor sebagai ahli dalam kontrol daripada catur manajemen.
10. Ada potensi yang tak terbatas untuk memperluas sistem audit ke dalam semua kegiatan
organisasi.
11. Auditor umumnya merasa lebih menarik dengan penekanan dari transaksi pengujian.
12. Hal ini dapat bertindak sebagai bantuan penting untuk manajemen dengan efek jangka panjang
dalam memperkuat kontrol.
13. Hal ini dapat menjadi sangat efisien penggunaan sumber daya audit karena mencari penyebab
masalah dan bukan hanya kesalahan konsekuensial.
14. Karena tidak kesalahan berorientasi, tidak karena itu dilihat sebagai negatif oleh manajemen.
15. Hal ini sistematis, dan bidang utama dapat diidentifikasi dan diisolasi untuk perhatian lebih lanjut.
16.
Ini memiliki cakupan luas dan aplikasi dan dapat
digunakan untuk mengaudit hampir semua hal.Dimana
audit internal menekankan program pengujian dan
kunjungan kejujuran, penyelidikan penipuan, inspeksi
kepatuhan, ulasan VFM dan kepatuhan kontrak, ini
merupakan indikasi dari pendekatan audit transaksi.
Implikasinya adalah bahwa kriteria keberhasilan audit
yang jatuh di sekitar kesalahan yang dapat ditemukan
sebagai lawan kontrol yang dapat ditingkatkan. Ini
'industri error' harus memiliki sistem yang lemah untuk
bertahan hidup dan berkembang secara total konflik
dengan pendekatan sistem berbasis. Seluruh tentara
catur dapat digunakan untuk mencari dan melaporkan
masalah menggunakan staf junior dengan 'mari kita
menangkap mereka' sikap yang menetapkan nada ancaman dan intimidasi. Pendekatan ini
mengarah ke sistem yang kurang terkontrol yang mengalahkan tujuan audit profesional yang

adalah untuk meninjau dan memastikan manajemen telah memasang kontrol yang memadai atas
sumber daya organisasi. Gambar 7.8 menunjukkan bagaimana kontrol ketika diabaikan cenderung
memecah, memperkuat kebutuhan untuk menguji kesalahan. Sebuah pendekatan tercerahkan
untuk mengatasi audit internal adalah untuk melihat organisasi sebagai kumpulan layanan yang
disediakan secara internal maupun eksternal. Hal ini didasarkan pada sejumlah prinsip:
1. Organisasi ini dipandang sebagai serangkaian unit bisnis di mana manajemen lokal dianggap
bertanggung jawab untuk memberikan tingkat didefinisikan dan kualitas layanan.
2. Sistem pengendalian intern harus di tempat untuk mengurangi risiko yang mempengaruhi tujuan
yang dinyatakan.
3. Berbagai dukungan fungsi fungsional termasuk standar perusahaan keuangan, operasional,
informasi dan lainnya berada di bawah ulasan ini jika mereka berdampak pada tujuan bisnis.
Pendekatan ini dicontohkan
dalam otoritas lokal di mana satu
hanya perlu mendapatkan direktori
layanan
seperti
perpustakaan,
perawatan anak, sekolah, menolak
koleksi, jalan raya perbaikan,
perumahan, pusat olahraga dan
ratusan layanan yang unik. Setiap
layanan kemudian menjadi unit audit
dan tunduk pada penutup audit. Ini
jelas pandangan subjektif organisasi
tapi
alamat
jelas
masalah
mendefinisikan sistem secara tepat
sejalan dengan pendekatan tingkat
tinggi untuk layanan berbasis sistem
audit seperti pada Gambar 7.9.
Pendekatan di atas dapat diterapkan sebagai berikut:
1. Daftar semua layanan (unit bisnis).
2. layanan dukungan Daftar.
3. Terapkan penilaian risiko untuk layanan ini.
4. Buatlah perencanaan audit.
5. Audit setiap layanan dengan menerapkan berbasis risiko pendekatan sistem.
6. Lakukan investigasi khusus ke dalam area masalah menggunakan sumber daya disisihkan untuk
pekerjaan konsultasi.

Andy Wynne pada Sistem

Andy Wynne dari ACCA telah menyiapkan kertas untuk buku pegangan pada sistem audit:
.Pemeriksaan pra-pembayaran, substantif pengujian atau sistem audit yang -? Apa peran yang paling
efektif untuk audit internal Asal-usul audit internal adalah sebagai pemeriksaan internal pada akurasi dan
validitas semua pembayaran yang dilakukan oleh sebuah organisasi. Tidak ada pembayaran bisa
dibuat tanpa terlebih dahulu diperiksa dan dicap untuk pembayaran oleh staf audit internalbagian. Praktik
audit internal sekarang membentuk spektrum dari peran ini asli dari audit internal untuk sistem
audit. Yang terakhir ini terdiri dari ulasan audit internal dari sistem pengendalian internal dengan
pengujian hanya terbatas kontrol internal untuk memastikan bahwa mereka benar-benar diterapkan
sesuai kebutuhan. Itu Dikombinasikan Kode London Stock Exchange membutuhkan dewan semua
perusahaan yang terdaftar untuk 'mempertahankan sistem pengendalian internal untuk menjaga
pemegang saham investasi' dan bahwa'direksi harus . . . Melakukan peninjauan efektivitas sistem
kelompok internal kontrol '. Dalam kebanyakan perusahaan direksi akan mengandalkan fungsi audit
internal perusahaan untuk secara langsung melakukan ulasan ini pengendalian internal. Banyak orang
akan setuju bahwa tujuan dari audit internal adalah untuk membantu memastikan bahwa sistem
pengendalian internal entitas memadai danefektif. Memadai dapat ditafsirkan sebagai berarti cocok
untuk tujuan, sehingga dalam konteks internal kontrol, bahwa kontrol yang tepat dan bahwa mereka
benar-benar dimanfaatkan secara rutin. Efektivitas jangka tampaknya menuntut lebih dari ini dan
menyiratkan suatu kepentingan yang sebenarnya hasil dari kontrol, misalnya memastikan bahwa
transaksi sebenarnya yang tepat, akurat dan valid.Akibatnya, jika audit internal adalah untuk
menyimpulkan apakah suatu pengendalian internal sistem yang efektif harus melakukan setidaknya
beberapa pengujian substantif untuk mengkonfirmasi apakah atau tidak kontrol internal telah beroperasi
seperti yang diharapkan dan dengan demikian memastikan bahwa transaksi yang akurat dan valid. Selain
itu, audit eksternal akan sering mengandalkan audit internal dan sebagai bagian dari ini ketergantungan,
mungkin berharap audit internal untuk melakukan gelar transaksi substantif yang telah diproses oleh
sistem keuangan utama. Pemeriksaan audit pra-pembayaran (atau pre-audit untuk pendek)adalah
pemeriksaan voucher pembayaran dan dokumen lain sebelum pembayaran terkait dibuat. Tujuan dari
pra-audit adalah untuk memastikan bahwa pembayaran yang dilakukan adalah:

valid
diperlukan dan akurat dan
pengeluaran ini sejalan dengan anggaran yang disetujui

Keuntungan dari pre-audit dikatakan bahwa hal itu dapat membantu untuk:

memastikan bahwa semua pengeluaran yang diperlukan dan tepat;

memastikan bahwa semua pembayaran telah diotorisasi sebelum dilakukan;
memastikan pengeluaran yang sesuai dengan hukum dan peraturan yang relevan mencegah
penipuan manajemen;
mengurangi timbulnya fraud atau penyimpangan;
mengkonfirmasi keakuratan klasifikasi dan pengkodean pengeluaran; dan
memastikan akurasi hitung dari transaksi yang diperiksa.

Pendekatan pre-audit untuk audit internal ditemukan dalam banyak pemerintah Afrika, tetapi
juga di Perancis, Portugal, Spanyol dan negara-negara Eropa kontinental lainnya dengan tradisi hukum
berdasarkan Kode Napoleon. Di negara-negara ini, penekanan diletakkan pada kontrol yang dilakukan
oleh organisasi pihak ketiga, di pusat pemerintahan, sering agen dari kementerian keuangan atau
pelayanan itu sendiri. lembaga ini mungkin sering audit internal dan sampai saat ini ini adalah pendekatan
yang diadopsi oleh Komisi Eropa. Setelah kritik oleh Parlemen Eropa dari praktek manajemen keuangan
dalam Komisi Eropa, yang menyebabkan pengunduran diri dari seluruh Komisi pada Maret 1999, Komite
Independen Ahli didirikan. Komite ini menyimpulkan bahwa 'keberadaan prosedur dimana semua
transaksi harus menerima persetujuan terlebih dahulu eksplisit dari layanan kontrol keuangan tersendiri
telah menjadi faktor utama dalam mengurangi manajer Komisi rasa tanggung jawab pribadi untuk operasi
mereka wewenang saat melakukan sedikit atau tidak untuk mencegah penyimpangan serius. '
Ini melanjutkan dengan mengatakan bahwa:
praktis pilihan ini apa pun (im), Komite terus memiliki keberatan yang kuat tentang mereka pada
dua poin dari prinsip. Pertama,ex ante pengecekan, apakah itu bersifat universal atau atas dasar
sampling, tidak mungkin proses hemat biaya: upaya dimasukkan ke memeriksa semua transaksi
adalah jelas tidak proporsional, sedangkan pengambilan sampel tidak mungkin memiliki efek
beralasan cukup. Kedua, dan fundamental, prinsipnya adalah bahwa setiap retensi ex
ante control berjalan melawan keberatan penting bahwa, de facto jika tidak de jure , yang
dipindahkan tanggung jawab untuk keteraturan keuangan dari orang benar-benar mengelola
pengeluaran ke orang menyetujui hal itu. Perpindahan ini tanggung jawab yang berarti berlaku
bahwa tidak ada orang yang bertanggung jawab. "
Komite juga merekomendasikan bahwa Layanan Internal Audit profesional dan independen harus
dibentuk melapor langsung kepada Presiden Komisi, bahwa fungsi pra-audit terpusat yang ada harus
ditiadakan, dan bahwa pengendalian internal - sebagai bagian terpadu dari manajemen lini - harus
didesentralisasikan ke Direktorat Jenderal di Komisi. Komisi mengumumkan pada Januari 2000 bahwa itu
akan menerima rekomendasi ini, dan reorganisasi dari layanan Komisi dirilis tahun itu termasuk
pembentukan layanan audit internal yang independen dari pre-audit atau fungsi kontrol keuangan. Gema
dari pendekatan pra-audit juga dapat ditemukan di beberapa bagian audit internal Inggris, terutama di
pemerintah daerah. Berikut audit internal masih dapat diharapkan untuk meninjau rekening akhir skema
modal utama sebelum pembayaran akhir dapat dilakukan terhadap kontraktor. Sebaliknya, sistem audit
melibatkan auditor internal mengkaji kecukupan sistem pengendalian dan membuat komentar tentang
ini bukan pada akurasi atau validitas output aktual dari sistem. Pendekatan sistem ini tidak berarti bahwa
pengujian substantif langsung transaksi ditinggalkan. Namun, edisi 1996 dari Inggris Pedoman Audit Intern
Pemerintah menyatakan bahwa pengujian substantif adalah 'biasanya tidak ekonomis' dan 'memiliki
peran yang terbatas untuk bermain dalam sistem audit.' Sebagai buntut dari runtuhnya Andersens, yang
dihasilkan dari pekerjaan audit eksternal di Enron, itu mungkin bahwa akan ada peningkatan penekanan
pada peran pekerjaan audit substantif dalam audit eksternal.Demikian pula, telah ada beberapa
pembicaraan tentang peran yang lebih besar untuk audit internal dan mungkin ada tekanan yang
sebanding untuk audit internal untuk kembali ke pengujian lebih langsung transaksi daripada
berkonsentrasi pada upaya pengendalian internal, kecukupan dan kehandalan mereka. Manfaat penuh
dari audit internal hanya dapat dicapai jika manajer dan auditor internal berbagi persepsi yang sama dari
tanggung jawab bersama. Pandangan auditor internal karena hanya auditor kepatuhan mungkin
menunjukkan pemahaman yang terbatas peran audit internal modern dan juga kurangnya pemahaman
dari berbagai tanggung jawab Inggris Pedoman Audit Intern Pemerintah menyatakan bahwa pengujian
substantif adalah 'biasanya tidak ekonomis' dan ' memiliki peran yang terbatas untuk bermain dalam

sistem audit. ' Sebagai buntut dari runtuhnya Andersens, yang dihasilkan dari pekerjaan audit eksternal di
Enron, itu mungkin bahwa akan ada peningkatan penekanan pada peran pekerjaan audit substantif dalam
audit eksternal.Demikian pula, telah ada beberapa pembicaraan tentang peran yang lebih besar untuk
audit internal dan mungkin ada tekanan yang sebanding untuk audit internal untuk kembali ke pengujian
lebih langsung transaksi daripada berkonsentrasi pada upaya pengendalian internal, kecukupan dan
kehandalan mereka. Manfaat penuh dari audit internal hanya dapat dicapai jika manajer dan auditor
internal berbagi persepsi yang sama dari tanggung jawab bersama. Pandangan auditor internal karena
hanya auditor kepatuhan mungkin menunjukkan pemahaman yang terbatas peran audit internal modern
dan juga kurangnya pemahaman tentang berbagai tanggung jawab yang manajer sendiri harus
memiliki. Auditor internal harus bekerja dengan manajer untuk memfasilitasi pengenalan sistem kontrol
yang efektif. Sistem ini akan mencakup:

orde pertama kontrol untuk mengatasi semua risiko yang signifikan;

orde kedua kontrol untuk memastikan bahwa pemeriksaan secara teratur dilaksanakan untuk
memastikan bahwa semua kontrol dipatuhi; dan
orde ketiga kontrol untuk memastikan bahwa prosedur pengendalian secara berkala untuk
memastikan mereka berubah dan beradaptasi dalam menanggapi lingkungan risiko berubah.

Auditor internal juga harus membantu untuk mendidik para manajer untuk memastikan bahwa
mereka menerima, dan memahami, berbagai tanggung jawab mereka untuk kontrol internal. Tanggung
jawab manajerial harus mencakup

merancang kontrol yang memadai;

memastikan kepatuhan dengan kontrol yang diperlukan; dan
reguler ulasan dan revisi kontrol internal.

Tugas auditor internal kemudian meninjau sistem pengendalian internal untuk memastikan
bahwa manajer telah memadai memenuhi masing-masing tiga set ini tanggung jawab. auditor internal
juga harus memberitahu manajer pada kontrol yang tepat, pemeriksaan kepatuhan dan prosedur review
yang mereka harus mengadopsi. Ini adalah sistem audit. Sebuah organisasi dengan sistem audit yang
efektif lebih mungkin untuk memiliki sistem kontrol yang efektif; kurang kemungkinan untuk menderita
berbagai risiko itu terkena; dan lebih mungkin untuk menjadi sukses.
Ada beberapa tugas penting bahwa auditor perlu melakukan untuk memastikan pekerjaan
dilakukan dengan perawatan profesional karena. The IIA Atribut Standar 1220.A1 membahas minimum
yang harus diperhatikan selama audit:

Tingkat pekerjaan yang diperlukan untuk mencapai pertunangan ' tujuan s;

kompleksitas relatif, materialitas, atau arti dari hal-hal yang prosedur jaminan yang diterapkan;
Kecukupan dan efektivitas pemerintahan, manajemen risiko, dan proses kontrol;
Kemungkinan kesalahan yang signifikan, penipuan, atau ketidakpatuhan; dan
Biaya jaminan dalam kaitannya dengan potensi manfaat.

Sistem Bisnis
Hal ini dimungkinkan untuk melihat semua
bisnis sebagai serangkaian sistem yang mencakup
operasi, manajemen keuangan, layanan dukungan,
proses, bermitra pengaturan dan sebagainya. Sistem
bisnis diilustrasikan pada Gambar 7.10. Untuk
mempermudah, kami telah rusak organisasi ke dalam
tiga jenis elemen:
1.
Tim - kelompok
orang
yang
ditentukan
disatukan untuk tujuan memberikan tujuan yang
ditetapkan. Sebagai contoh, tim operasional yang
bekerja di produksi. Audit internal juga merupakan
salah satu tim tersebut.
2. Proses - fungsi yang berjalan di sebuah organisasi seperti prosedur keluhan atau sistem
manajemen kinerja.
3. Proyek - sumber sementara ditugaskan untuk mengembangkan sistem baru atau produk,
misalnya, sebuah proyek untuk merancang dan menerapkan sistem informasi baru.
Untuk semua bagian organisasi, akan ada
tujuan yang ditetapkan, risiko dan strategi
manajemen risiko untuk mengatasi risiko ini. Oleh
karena itu semua sistem seperti di seluruh
organisasi dapat ditinjau oleh audit internal
sebagaimana tercantum dalam Gambar 7.11.
Fungsi audit internal akan memeriksa
aspek dari sistem untuk mengelola risiko yang
termasuk dalam disepakati kerangka acuan untuk
audit yang bersangkutan. Audit akan memastikan
tujuan dan sistem untuk memberikan tujuan
tersebut, dan mengevaluasi apakah kontrol di
tempat yang mampu menangani risiko secara
signifikan yang mendapatkan di jalan mencapai
tujuan. Pengujian akan menentukan apakah apa
yang harus terjadi yang sebenarnya terjadi dalam praktek dan memberikan bukti untuk mendukung opini
audit.Produk dari audit internal adalah jaminan atas risiko cara sedang dikelola, rekomendasi untuk
perbaikan mana yang sesuai dan validasi objektif praktik saat ini diadopsi oleh manajemen. Audit juga
akan mempertimbangkan umpan balik dalam sistem dan bagaimana manajemen mampu mengukur hasil
yang diharapkan terhadap hasil aktual sehingga sistem dapat disesuaikan untuk memastikan
perbaikan. Semua ini feed ke dalam pernyataan di pengendalian internal suatu membantu memastikan
hasil yang diinginkan tercapai.Kami akan melihat self-assessment (CRSA) di bagian depan dan bagaimana
teknik ini dapat digunakan untuk mendapatkan sistem yang lebih baik untuk mengelola risiko. Sistem
audit dimaksudkan untuk memberikan tinjauan objektif dari sistem di tangan tapi di sini kita harus
mengeluarkan kata peringatan tentang betapa auditor internal dapat mencapai, dan di mana batas-batas
berbohong. objektivitas lengkap tidak mungkin, bahkan di mana auditor benar-benar memihak, karena

proses audit tidak dapat dihapus dan terpisah dari sistem yang diaudit. Keterbatasan ini harus dihargai
oleh auditor dan telah digambarkan rapi oleh Joseph O'Connor dan Ian McDermott:
Dalam analisis akhir tidak akan pernah ada objektivitas akhir, karena Anda tidak pernah bisa
berdiri di luar sistem yang Anda adalah bagian karena Anda tidak akan ada. Total objektivitas ada
artinya karena tidak ada pengamat untuk menggambarkan hal itu. Jadi apakah Anda sedang
subjektif atau objektif tergantung pada bagaimana Anda mendefinisikan batas dari sistem Anda
considering.

Sistem lembut
Beberapa berpendapat bahwa sistem bisnis yang begitu rumit sehingga auditor perlu mengadopsi
cara-cara yang lebih canggih dari menganalisis mereka. Pendekatan standar untuk meninjau sistem toko
adalah untuk mengisolasi sistem tujuan, katakanlah, toko pasokan untuk siklus produksi organisasi dengan
akurat menentukan barang / jasa yang dibutuhkan dan mereka beli dengan biaya minimum dengan
memperhatikan kualitas dan pengiriman persyaratan. Kami kemudian dapat pergi untuk memutuskan
tujuan kontrol yang tepat dari, katakanlah, menjaga saham rendah, memastikan tidak ada saham-out,
hanya pesanan yang valid yang disediakan, mengidentifikasi kebutuhan pengguna dan sebagainya. Risiko
untuk mencapai tujuan pengendalian tersebut akan dipastikan kemudian mekanisme kontrol saat ini
seperti sistem yang kuat informasi, prosedur toko dan persediaan, manajer toko kepala dan sebagainya,
akan dipertimbangkan dalam hal apakah, secara kolektif, mereka mampu benar mengelola risiko
didefinisikan. Pendekatan analisis sistem yang lembut akan menggunakan bentuk logika fuzzy untuk
melihat situasi dengan masalah rekonsiliasi saham rendah memegang dengan risiko saham-out dan
mencoba untuk membangun sebuah model konseptual untuk mengelola risiko bersaing. Model ini akan
membahas akar penyebab masalah dan motivasi dan menyesuaikan praktek saat ini untuk mencari solusi
yang lebih baik yang masuk akal untuk staf yang bekerja di daerah yang bersangkutan. Sistem lembut
pendekatan akan mengatasi asumsi dan posisi yang diambil oleh interpretasi masyarakat terhadap sistem
dan mencoba untuk bekerja melalui perbaikan setuju dengan membawa sudut pandang semua pihak yang
berkepentingan 'lebih dekat bersama-sama. Sebuah sistem review yang bergantung pada interpretasi
hitam dan putih, yang mengabaikan cara orang melihat kontribusi mereka, akan gagal untuk mengatasi
masalah nyata. kunjungan lagi ke seni berpikir sistem akan berguna di sini sebagai kata akhir pada sistem:
Jadi mencari efek dekat dengan penyebabnya bisa membawa kita ke kesimpulan palsu. Kami juga
dapat disesatkan oleh penjelasan yang masuk akal karena kita cenderung untuk mencari peristiwa
yang menyediakan model ourpre-ada. Ingat bahwa dalam sistem berpikir penjelasan tidak
terletak pada penyebab tunggal yang berbeda, tetapi dalam struktur sistem dan hubungan dalam
it.

7.2. Pengendalian Risiko Self-assessment (CRSA)

CRSA adalah alat yang digunakan oleh perusahaan
untuk mempromosikan manajemen risiko dalam tim,
proyek, melalui proses dan umumnya di seluruh
organisasi. Alat ini dapat digunakan oleh dewan eksekutif,
mitra, manajemen menengah, tim kerja dan, tentu saja,
audit internal. Dengan kata lain, CRSA merupakan sebuah
alat manajemen dan teknik audit yang tergantung pada
apa yang CAE ingin berlaku untuk proses audit dan
pandangan dari badan hukum. Dalam bentuk yang paling
murni, CSA mengintegrasikan tujuan bisnis dan risiko dan
proses kontrol. Kembali ke model sistem bisnis, kami
menggambarkan di mana CRSA cocok ke proses
pengelolaan risiko pada Gambar 7.12.
Semua sistem bisnis memiliki tujuan, risiko dan
cara mengelola risiko ini. CRSA adalah proses untuk
menyetujui tujuan yang ditetapkan, mengidentifikasi risiko
yang melekat yang menghentikan salah satu dari pencapaian tujuan dan kemudian bekerja yang risiko
yang paling signifikan. Bab 3 tentang manajemen risiko memberikan informasi tentang siklus manajemen
risiko dan risiko cara dapat dikategorikan dan dinilai. Bagian ini hanya menjelaskan teknik CRSA di mana
ia digunakan dalam modus lokakarya. Setelah mengisolasi risiko utama, anggota tim akan pergi untuk
memperbaiki strategi mereka untuk mengelola risiko, yang akan cenderung berfokus pada pengendalian
internal sebagai komponen utama dari strategi. Catatan Bab bahwa 4 penawaran dengan pengendalian
internal dalam beberapa detail.Memungkinkan tim kerja (atau tim proyek, atau perwakilan dari proses
cross-organisasi) untuk menilai strategi manajemen risiko mereka mengarah ke pemahaman yang lebih
baik tentang risiko tertentu dan kontrol yang bersangkutan, untuk lebih membeli-in sebagai orang setuju
pada pendekatan mereka dan untuk memastikan rencana aksi yang realistis. The CRSA pendekatan
memperkuat pandangan bahwa tanggung jawab untuk kontrol terletak pada orang-orang yang
mengoperasikannya dan orang-orang yang mengelola operasi.

CRSA dan Pengendalian Intern

Beberapa melihat lokakarya CRSA sebagai cara untuk mengembangkan rencana kontingensi
untuk melindungi kepentingan bisnis dan untuk usaha baru yang sedang dikembangkan. Bahkan, banyak
yang melihat pengendalian internal sebagai terutama berkaitan dengan pemulihan bencana dan
perencanaan kontingensi, terutama dalam menanggapi ancaman ancaman teroris. Banyak lokakarya
risiko fokus pada mempertahankan staf kunci, dan menyediakan pengaturan back-up untuk tokoh senior
atau spesialis atas dalam hal kecelakaan atau alasan lain untuk non-ketersediaan mereka. lokakarya
lainnya berkonsentrasi pada proyek-proyek tertentu dan cara mengelola risiko untuk proyek yang lebih
besar dan lebih penting. Pandangan tradisional pengendalian internal berkaitan mereka untuk langkahlangkah seperti otorisasi dan pemisahan tugas digunakan sebagai contoh dalam sistem akuntansi
dasar. Salah satu cara untuk menganalisis dilema ini adalah untuk menunjukkan bahwa ada empat jenis
utama dari lingkungan yang cenderung tunduk pada penilaian risiko yang terdiri dari proses, proyek, orang
dan kesiapan sebagaimana diatur dalam Gambar 7.13.

Sementara dalam prakteknya ada

banyak jenis acara CRSA, kami dapat
menyarankan empat pendekatan dasar:
1. Proses Berikut CRSA digunakan untuk
meninjau kontrol khas ditemukan dalam
proses bisnis dengan maksud untuk
memeriksa apakah kontrol yang kuat dan
memenuhi. Sebuah
contoh
mungkin
workshop CRSA untuk tim keuangan yang
mempersiapkan
kelompok
rekening
akhir. Kontrol dasar atas informasi,
penyesuaian, sistem feeder, menutup
rekening, rekonsiliasi dan sebagainya akan
dipertimbangkan dalam terang mengubah risiko (misalnya risiko salah saji keuangan) dan kontrol finetuned di mana diperlukan. Kepatuhan dengan kontrol ini juga menjadi pertimbangan utama. Sistem
pengendalian internal akan cenderung berputar di sekitar prosedur set dan sistem informasi,
yaitu, ' kontrol keras untuk memastikan hal-hal yang dilakukan dengan benar ' .
2. Proyek CRSA ini acara akan menjadi bagian dari penilaian risiko standar dan persiapan register risiko
yang paling metodologi manajemen proyek merekomendasikan. Risiko proyek akan terdiri dari
kombinasi proyek yang salah dan hasilnya menjadi miskin, terlambat atau melebihi anggaran. Kontrol
akan berputar di sekitar jalan proyek dikelola dan, jika ini melibatkan usaha baru yang besar, seluruh
rangkaian kontrol baru mungkin dirancang dan diterapkan. Fokusnya adalah pada inovasi dan
fleksibilitas dan produksi merek baru kontrol yang sesuai dengan tagihan. Selain itu, risiko juga dapat
dilihat sebagai risiko terbalik itu berarti kita mengambil kontrol berlebihan untuk memastikan peluang
baru dapat dimanfaatkan.
3. Orang Beberapa lokakarya CRSA mencoba untuk mengatasi masalah orang sebagai pendorong
utama. Berikut isu dan masalah yang mempengaruhi cara tim beroperasi dan berhubungan satu sama
lain dalam mengejar tujuan bisnis dianggap. Idenya adalah untuk mengisolasi masalah (risiko) dan
solusi (kontrol) untuk mendorong kinerja yang lebih baik. Fokus pada kontrol lembut dalam hal isuisu orang adalah faktor kunci yang mendorong jenis perilaku lokakarya. Mengalami CRSA pendukung
seperti Paul Makosztelah dipromosikan pentingnya kontrol lembut dan menggambarkan mereka
sebagai raksasa tidur. Selain itu, James Roth telah menyarankan bahwa ' Anda benar-benar memiliki
risiko audit kurang bila Anda mencurahkan waktu untuk mengevaluasi kontrol lembut, karena mereka
lebih penting untuk mengendalikan suatu organisasi dari kegiatan pengendalian keras ' .10 Dalam
satu lokakarya berbasis CRSA latar belakang adalah untuk mengidentifikasi mengapa operasi
menderita disfungsi dan untuk:
mengidentifikasi inhibitor saat yang mencegah tim dari melakukan untuk yang terbaik dari
standar kelas;
membayangkan bagaimana layanan dapat meningkatkan dalam jangka pendek, menengah
dan panjang;
menelusuri pada masing-masing inhibitor untuk mengidentifikasi proses dan sistem
kegagalan atau kelemahan yang akan mencegah atau menghambat perbaikan layanan;
mengembangkan rencana aksi rinci diperlukan untuk layanan untuk meningkatkan;

berbagi praktek terbaik sedapat mungkin untuk membantu perbaikan sistem / proses.
Lokakarya ini berusaha untuk menilai risiko yang dapat mencegah atau mempercepat
pencapaian tujuan bisnis dan dianggap:
1. bagaimana tim melihat dirinya;
2. bagaimana tim ingin melihat sendiri;
3. perubahan apa yang diperlukan untuk sampai ke sana.

Temuan dari acara tersebut termasuk berikut

risiko signifikan dan ancaman menghadapi operasi.

Risiko ini tidak dikelola dengan baik.
Kontrol fokus reaktif, bukan proaktif.
Pengoperasian tidak berkinerja baik sebagai sebuah tim.
Tidak ada tujuan layanan dipahami dengan jelas.
Banyak silo berada di tempat berdasarkan mana staf berdiri dalam hirarki.
ini telah menimbulkan budaya menyalahkan - tidak ada kepemilikan kolektif dari masalah.
Semua staf ingin melihat perbaikan.
Ada persepsi yang berbeda dari masalah dari staf, supervisor dan manajer.

Serangkaian kelompok fokus didirikan untuk mengatasi masalah dan membantu meningkatkan layanan
berdasarkan rencana aksi dan baru menyepakati visi untuk layanan ini.
4. Kesiapan Jenis lokakarya semakin populer dan terdiri dari mempertimbangkan jenis risiko yang dapat
mempengaruhi integritas sumber daya perusahaan, yaitu, bangunan, staf, pengetahuan, sistem
informasi dan produk atau jasa. Konteksnya adalah kesadaran yang tinggi dari kecelakaan, sabotase,
terorisme dan bencana alam yang dapat memusnahkan semalam aset perusahaan. Lokakarya ini
berkonsentrasi pada perencanaan skenario dan hasilnya dalam strategi mitigasi risiko, asuransi dan
rencana kontinjensi sepenuhnya dibiayai. Banyak orang sekarang melihat risiko sebagai terutama
terkait dengan bencana skala luas yang dapat menghentikan sebuah organisasi di
jalurnya. Penekanannya adalah pada perlindungan aset dan mengandung kerusakan potensial untuk
operasi lanjutan dari bisnis.
Hal ini penting untuk memahami jenis (atau campuran jenis) dari peristiwa CRSA sedang
ditargetkan. Ada gunanya dalam mendapatkan tim keuangan untuk benar-benar mendesain ulang
kontrol mereka, ketika banyak berkaitan dengan menetapkan standar dan persyaratan regulator
Ada sedikit ruang untuk berbicara tentang rutinitas kontrol standar untuk tim proyek baru yang
membuat up aturan saat mereka pergi bersama, dan perlu pemikiran baru untuk menangani risiko
baru. Orang-orang lokakarya tergantung pada 'outing' orang-orang masalah yang perlu ditangani
dan tidak merancang prosedur sementara mengabaikan hambatan yang jelas untuk kinerja
karena hubungan buruk.
Akhirnya, workshop kesiapan mulai dengan premis bahwa risiko menimbulkan ancaman nyata dan
serius untuk bisnis dan seluruh kantor dapat diambil oleh, misalnya, serangan teroris. Keberhasilan
industri CRSA adalah karena cara tujuan kelompok / bisnis digunakan sebagai lensa untuk

memfokuskan energi yang dibuat selama lokakarya. Banyak kejadian pengembangan kelompok yang
menyenangkan tapi kehilangan titik, dalam bahwa mereka tidak benar-benar berhubungan dengan
tujuan bisnis. CRSA umumnya positif karena apa pun yang membawa orang lebih dekat untuk
memahami dan mencapai tujuan mereka adalah berharga.

Latar Belakang CRSA

The IIA mengeluarkan perspektif tentang perkembangan CSA kembali pada tahun 1998 yang
menceritakan tentang sejarah teknik ini:
Kontrol self-assessment, metodologi dimulai pada Teluk Kanada pada tahun 1987, adalah alat
yang ampuh yang dapat digunakan untuk menilai efektivitas pengendalian serta proses bisnis
dalam organisasi. Pendekatan yang Teluk Kanada dikembangkan disebut pendekatan selfassessment pertemuan difasilitasi. Konsep ini melibatkan manajemen pengumpulan dan staf
untuk wawancara yang berkaitan dengan, dan diskusi, masalah atau proses tertentu. Hal ini
digunakan sebagai mekanisme untuk menilai kontrol informal atau lembut, serta kontrol keras
tradisional. Gulf Kanada melihat pendekatan ini lebih efektif untuk tujuan CSA dari interviews.11
satu-ke-satu Audit
David McNamee juga terkait latar belakang untuk CSA:
Control Self Assessment biasanya didefinisikan hanya sebagai keterlibatan manajemen dan staf
dalam penilaian pengendalian internal dalam kelompok kerja mereka. Ada sejumlah cara untuk
mencapai tujuan ini, dari lokakarya yang sangat interaktif berbasis pada model perilaku di salah
satu ujung spektrum audit diri kuesioner pengendalian internal dikemas di ujung, dan sejumlah
teknik di antara . . . Ada enam metode untuk CSA digunakan saat ini. Metode berkisar dari yang
paling mekanik (kontak manusia mungkin setidaknya) Audit dikelola sendiri oleh Control
Kuesioner Intern (ICQ) untuk paling perilaku (kontak yang paling manusia) lokakarya
kelompok. Banyak publisitas telah diberikan ke sisi perilaku CSA, tetapi ada praktisi CSA
mendapatkan hasil yang baik dari metode selain processes.12 kelompok
perspektif IIA pada CSA menunjukkan bahwa pendekatan yang dipilih harus berhubungan dengan
budaya dalam organisasi: 'jika budaya mendukung, IIA merekomendasikan difasilitasi pertemuan
tim. Dalam acara budaya perusahaan tidak mendukung pendekatan CSA partisipatif, tanggapan kuesioner
dan analisis pengendalian internal dapat meningkatkan lingkungan pengendalian. audit internal harus
siap untuk memvalidasi pernyataan apapun pengendalian internal received.'13 Kembali pada tahun 1993,
orang-orang seperti Tom Oxley sudah berbicara tentang teknik baru:
Apa yang begitu baik tentang pengendalian dan penilaian risiko diri? Hal ini memaksa manajer
dan staf mereka untuk berpikir sangat hati-hati tentang tujuan mereka dan orang-orang dari
organisasi. Hal ini membutuhkan secara sistematis untuk mengidentifikasi, membahas dan menilai semua
risiko yang mereka hadapi, untuk memutuskan apakah akan menerima risiko ini atau apakah akan
mengambil tindakan untuk mengurangi tingkat risiko dengan mengubah pendekatan mereka atau
mencari cara baru untuk mengendalikan risiko. Akibatnya CRSA menempatkan tanggung jawab yang jelas
untuk kontrol dengan manajer lini, tempatnya; dan prosedur yang digunakan memastikan bahwa manajer
dan staf mereka sepenuhnya terlibat dalam, serta bertanggung jawab, kontrol dan penilaian risiko. Ini
menyediakan cara yang sangat efektif untuk mengidentifikasi dan menilai risiko bisnis utama, dan

memastikan komitmen yang lebih besar untuk bertindak dengan manajemen karena ide-ide yang tidak
sedang dikenakan pada mereka. Paling penting dari semua, prosedur memastikan bahwa perhatian
difokuskan secara teratur pada tujuan sebenarnya dari organisasi. Sangat proses identifikasi risiko
memberikan manajer dan staf kesadaran yang lebih jelas tentang apa yang mereka dan organisasi
berusaha untuk mencapai, sesuatu yang kurang dalam banyak organisations.14

Peran Internal Audit

The IIA telah menerima aspek konsultasi membantu untuk membangun CRSA dalam organisasi
dengan latar belakang keahlian auditor internal di daerah ini. Profesional Praktek Pamflet 98-2 membuat
jelas bahwa 'The IIA merekomendasikan menggunakan sinergi yang diciptakan oleh interaksi auditorfasilitator dan CSA peserta untuk menambah nilai meningkat menjadi organisasi melalui function.'15 audit
internal
Beberapa auditor internal merasa perlu untuk berdiri kembali dari drive CRSA dan memungkinkan
manajemen untuk bertanggung jawab penuh untuk mengelola risiko operasional. Lain telah dilemparkan
sendiri ke dalam pengembangan dan memimpin dari depan di bawah 'nilai tambah' banner. Yang lain
memulai CRSA dalam organisasi mereka kemudian berdiri kembali dan memvalidasi sistem ketika telah
menetap sampai batas tertentu. Tidak ada solusi yang terbatas dan banyak tergantung pada pendekatan
yang diadopsi. Apapun format akhir, auditor internal harus dilengkapi dengan keterampilan yang tepat
untuk melakukan peran Audit Perhatikan bahwa bagian berikutnya memiliki rekening singkat
keterampilan fasilitasi. Ada saran lebih lanjut tersedia dari IIA dalam bentuk Praktek Penasehat 2.120,1
dan ekstrak yang bersangkutan pada tempat audit internal cocok ke dalam persamaan keseluruhan
berikut:
Menentukan efektivitas proses self-assessment manajemen melalui pengamatan, tes langsung
kontrol dan monitoring prosedur, pengujian akurasi informasi yang digunakan dalam kegiatan
monitoring, dan teknik lain yang sesuai.
Aspek positif dari CRSA untuk audit internal di masa lalu telah dikonfirmasi oleh IIA.UK & Irlandia:
Secara keseluruhan, kami percaya bahwa Internal Audit memiliki peran untuk bermain dalam
setiap CRSA Program tetapi peran ini perlu didefinisikan secara jelas dan harus sama sekali tidak
mengurangi independensi dan peran penting yang sudah memainkan dalam organisasi . ( Para .
5.12)
Sebagai manajemen lini menjadi lebih mahir dalam penerapan CRSA dan hasilnya diterima oleh
manajemen dan audit yang komite senior, Audit Internal ' peran dan kontribusi s
ke organisasi dapat ditempatkan di bawah beberapa pengawasan.Penggantian fungsi Internal
Audit oleh CRSA didirikan dan komprehensif Program bisa dilihat dangkal sebagai menghemat
biaya latihan yang menarik. Ini adalah pandangan keliru, karena manajemen dan pemangku
kepentingan lainnya yang kemungkinan akan terus membutuhkan tingkat jaminan
independen. Ini dapat dicapai melalui fungsi Internal Audit yang efektif. ( Para . 5.13) 16

Apakah Ada Proses CRSA?

Tidak jelas ada salah satu cara untuk melakukan lokakarya CRSA. Dalam prakteknya, banyak
organisasi telah menafsirkan proses agar sesuai dengan cara orang yang bekerja. Beberapa menyebutnya
workshop manajemen risiko bisnis; beberapa menggambarkan mereka sebagai acara membangun tim
berbasis di sekitar mengklarifikasi tujuan tim. Salah satu organisasi besar menggunakan proses CRSA
untuk melaksanakan program perubahan besar yang melihat tim regional benar-benar ditata ulang dalam
waktu yang singkat dari beberapa enam bulan. Risiko terbesar yang mereka hadapi tidak mencapai
reorganisasi benar. organisasi lain tidak bisa mendapatkan orang-orang mereka bersama-sama dalam
lokakarya dan hanya bisa menggunakan pendekatan berbasis kuesioner dengan waktu ekstra
ditambahkan ke pertemuan kelompok untuk membahas area risiko. Mereka kemudian mendirikan
sejumlah kecil kelompok perwakilan untuk menganalisis risiko di proses organisasi-lebar, dan termasuk
beberapa stakeholder untuk memastikan semua pandangan dianggap.Satu otokratis, organisasi berbasis
kantor pusat hanya mengirimkan hasil dari penilaian risiko perusahaan mereka dan mengatakan kepada
orang-orang mereka untuk melakukan sesuatu yang serupa di kantor lokal mereka. Di sisi lain, badan lebih
ke depan harus orang-orang mereka untuk memeluk proses CRSA dan menerbitkan pedoman untuk tim
lengkap dari fasilitator yang dipimpin oleh petugas risiko kepala; semua dilengkapi dengan sistem
informasi basis data yang canggih untuk setiap daftar risiko dan profil risiko kode warna, bersama dengan
teknologi suara mahal untuk lokakarya. Dalam prakteknya sering lebih baik untuk memungkinkan setiap
organisasi untuk mengembangkan solusi mereka sendiri daripada mendatangkan konsultan dengan paket
standar industri. Hasil dari pendekatan yang dilakukan ini sedang dikembangkan dalam budaya yang
merupakan bagian dari cara organisasi bekerja. konsultan eksternal harus benar-benar bekerja bersama
orang pemberi pekerjaan dan melewati keterampilan kepada karyawan. Ketika orang didakwa dengan
menyiapkan CRSA berasal dari departemen keuangan, akan cenderung menjadi fokus yang sempit pada
konsep penilaian risiko. Salah satu pendekatan terbaik adalah untuk mencari tanggung jawab awal untuk
menyiapkan proses dengan petugas perencanaan perusahaan, sehingga hubungan antara manajemen
risiko, perencanaan dan manajemen kinerja ditetapkan secara jelas. Jika ada sponsor papan formal,
pemantauan ketat oleh komite audit dan seorang petugas risiko kepala dicalonkan (misalnya dari
perencanaan perusahaan), maka kita baik pada cara untuk keberhasilan pelaksanaan manajemen risiko.

satu Pendekatan
Hal ini dimungkinkan untuk menyebutkan satu pendekatan untuk mengembangkan CRSA dalam
sebuah organisasi, meskipun ini harus tercantum secara umum saja (perhatikan bahwa lokakarya CRSA
rinci harus dilakukan setelah menyelesaikan staf risiko dan pengendalian seminar kesadaran seperti
diuraikan dalam Bab 2 dan 3:
1. Pastikan petugas risiko yang ditunjuk sepenuhnya berkenalan dengan teori tata kelola
perusahaan, manajemen risiko dan pengendalian.
2. Berbicara dengan perusahaan lain, dan orang-orang yang memiliki pengalaman dalam
mengembangkan CRSA dalam organisasi mereka; atau menyewa konsultan untuk melakukan
seminar tentang topik.
3. Pastikan ada beberapa keahlian yang tersedia di fasilitasi dan keterampilan terkait.
4. Memperkenalkan konsep CRSA - memberitahu dewan dan komite audit tentang hal itu dan di
mana ia cocok menjadi aspek yang lebih luas dari manajemen risiko perusahaan-lebar. Jika
organisasi memiliki sebuah konferensi tahunan maka ini akan menjadi kesempatan yang baik
untuk memulai inisiatif.

5. Dapatkan papan untuk mendukung kerangka kontrol yang sesuai yang untuk engsel sistem
pengembangan manajemen risiko. Skor risiko dapat diukur terhadap model kontrol seperti COSO
atau CoCo menggunakan kategori yang disarankan dalam setiap model.Perlu ada cara mencetak
gol atau menyajikan risiko seperti tindakan Hijau, Amber dan Red yang menggunakan beberapa
organisasi. Bab 3 penawaran dengan topik ini. Beberapa organisasi mengembangkan serangkaian
standar kontrol dalam hal apa yang harus terjadi, meliputi bidang-bidang seperti etika staf, misi
dan visi, kompetensi staf, target kinerja, informasi manajemen, pelaporan keuangan, penipuan,
prosedur operasional, pengawasan dan sebagainya (katakanlah 10 sampai 20 standar) dan
kemudian mengukur eksposur risiko terhadap standar-standar ini. Organisasi lain overlay risiko
ke dalam unsur-unsur dari sistem manajemen kinerja seperti balanced scorecard atau komponen
dari model kualitas diadopsi seperti Yayasan Eropa untuk Manajemen Mutu (EFQM). Organisasi
budaya kontrol cenderung ingin papan bawah risiko ke dalam standar kontrol diatur sehingga
mereka mungkin terkandung. Organisasi dengan budaya risiko yang berfokus cenderung lebih
menggunakan risiko untuk mendorong model pengembangan strategis mereka dengan cara yang
lebih inovatif.
6. Dapatkan komite dewan dan audit untuk melakukan lokakarya CRSA mereka sendiri pada akhir
pertemuan formal dan menggunakan pengalaman dan hasil untuk mendorong inisiatif.
7. Jika audit internal memimpin bergerak, kemudian melakukan workshop dalam toko audit
internal. Ingat piagam audit harus mengacu pada layanan yang disediakan dan jika ini harus
mencakup fasilitasi CRSA, kemudian mengubah piagam yang sesuai.
8. Mendapatkan sponsor tingkat papan untuk Program dan mulai perencanaan. Bekerja melalui
cara-cara menghindari inisiatif yang berlebihan dengan menanamkan CRSA ke dalam cara bisnis
beroperasi melalui perencanaan, komunikasi, keputusan -membuat dan manajemen kinerja
sistem.
9. Melakukan roadshow perusahaan dan memperkenalkan konsep pelaporan tata kelola
perusahaan dan kebutuhan untuk manajemen risiko didokumentasikan. Pastikan semua manajer
kunci memahami proses CRSA.
10. Dapatkan fasilitas yang tepat untuk melakukan lokakarya CRSA. Ini akan mencakup sistem
pelaporan risiko (berdasarkan daftar risiko), software pemungutan suara elektronik (jika ini
dianggap penting - beberapa hanya menggunakan ' Post-it notes ' untuk efek yang baik),
akomodasi yang sesuai dan paling penting dari semua - waktu yang tersedia untuk tim sehingga
mereka dapat menghadiri acara.
11. Menyediakan bahan untuk semua orang di intranet perusahaan - dengan informasi yang berguna,
latihan online singkat dan kontak untuk informasi lebih lanjut. Ini mungkin ide untuk memasukkan
panduan singkat untuk lokakarya CRSA ke intranet, atau memilikinya dikirim ke staf kunci.
12. Berbicara dengan manajer untuk tim lokakarya tersebut dan melakukan beberapa persiapan
dalam hal yang harus hadir dan logistik dasar. Kita mungkin ingin antara, katakanlah, 10 dan 15
orang per lokakarya. Tentukan fokus, mengingat pendekatan yang berbeda dan jenis lokakarya
CRSA menggunakan proses, proyek, orang atau kategori kesiapan jika sesuai.
13. Seluruh sistem penilaian risiko harus menjadi bagian dari drive manajemen risiko perusahaanlebar dan ditempa di sekitar bagian atas papan-level 10 risiko dan kebijakan risiko yang
diterbitkan. Isu briefing papan reguler pada kemajuan sampai saat ini.
14. Ini mungkin ide untuk melakukan lokakarya percontohan di daerah yang dapat
menghasilkan ' quick wins ' , tanpa mengambil bagian yang sangat sulit dari bisnis dengan
masalah bercokol bahwa akan sulit untuk berbalik dengan cepat.
15. Mengevaluasi hasil pilot dengan sponsor papan dan menyesuaikan pendekatan yang sesuai.
16. Mengkompilasi beberapa materi pre-event untuk setiap peserta (misalnya kebijakan risiko - lihat
Bab 3 - dan pertanyaan menantang beberapa) dan mengirimkannya di muka. Pastikan ada hotline

17.
18.

19.

20.

21.

22.

23.

24.

25.

untuk masing-masing peserta untuk setiap pertanyaan.Atau hubungi masing-masing peserta

untuk pembicaraan singkat melalui telepon dan membahas acara yang direncanakan.Kebanyakan
orang khawatir tentang peristiwa tim dan merasa ada beberapa agenda tersembunyi yang sedang
dikembangkan di tingkat senior.
Periksa tempat ini cocok untuk para peserta dan bahwa perjalanan, akomodasi dan hal-hal praktis
telah ditangani. Seluruh proses harus menimbulkan positif semua bulat.
Bertemu dan menyapa para peserta dan mengenal mereka sebelum dimulainya resmi
lokakarya. Tindak lanjut atas apa yang telah dibahas dengan mereka di pra-kursus tahap
kontak. Fasilitator dan juru tulis harus memperkenalkan diri kepada kelompok dan membuat jelas
apa yang mereka ketahui tentang tim dan apa yang mereka tidak tahu. Fasilitator hanya
perlu menjadi ahli dalam mendapatkan yang terbaik dari orang-orang dan memastikan bahwa
tujuan lokakarya yang baik dicapai dan diraih. Beritahu kelompok apa yang akan terjadi dan
bagaimana mereka harus berkontribusi.
Beberapa percaya bahwa aturan lokakarya harus dirancang oleh para peserta pada topik-topik
seperti semua orang harus memberikan kontribusi, tidak ada dominasi dari manajer lini,
melangkah di luar kotak melalui dorongan dari orang lain hadir, mendengarkan, menghormati
pandangan dan tidak melanggar kebijakan perusahaan tentang perilaku dan keragaman, dan
seterusnya.
Mungkin ide untuk mendapatkan pembicara utama untuk memperkenalkan bengkel, mengatakan
seorang manajer senior (atau petugas risiko kepala) atau, idealnya, papan sponsor (meskipun
orang ini akan sangat sering tidak tersedia). Dapatkan peserta untuk memperkenalkan diri
mereka secara individual dan memastikan ada sesi tanya jawab di awal.
Memulai acara dengan tujuan yang jelas. Ini mungkin membaca sesuatu seperti ini: untuk
mendapatkan peserta untuk mempersiapkan saling mengerti (dan setuju) tujuan,
mengidentifikasi dan menilai risiko dan kemudian mengembangkan strategi manajemen risiko
ditentukan dalam hubungannya dengan sistem yang ada kontrol dan setiap perbaikan yang
diperlukan; dan bahwa hasilnya akan membentuk bagian dari risiko yang formal sistem pelaporan
manajemen untuk mendukung diterbitkan pandangan perusahaan pada pengendalian
internal. Gunakan tujuan bisnis utama dan, katakanlah, lima atau lebih mendukung
tujuan. Kelompok ini dapat dibagi menjadi sub kelompok berurusan dengan sub-tujuan, meskipun
ada kemungkinan hanya untuk meminta kelompok bagaimana mereka ingin bermain (asalkan
tujuan lokakarya keseluruhan tercapai).
Ini mungkin ide untuk melakukan presentasi singkat tentang tata kelola perusahaan, manajemen
risiko dan pengendalian di awal.Idealnya, ini akan telah dilakukan pada staf kesadaran seminar
tentang manajemen risiko dan pengendalian internal.Memperkenalkan konsep risiko mendaftar.
Pergi melalui tahapan standar proses CRSA termasuk menyetujui tujuan, menetapkan konteks
dengan mendapatkan kelompok untuk membahas manajemen kinerja mereka, perencanaan
dan pengambilan keputusan dan isu perubahan yang dihadapi daerah yang bersangkutan. Waktu
dapat dihabiskan membahas tahapan siklus pengambilan keputusan di area kerja dan
jugamenganalisis eksternal stakeholder dan internal dan membahas bagaimana pandangan
mereka dicatat oleh tim.
Dapatkan kelompok untuk melakukan brainstorming risiko operasional secara acak dan kemudian
mereka dapat mengklasifikasikan mereka dan memberikan suara pada kepentingan relatif
mereka - dalam hal dampak dan kemungkinan.Berakhir dengan 10 atau lebih risiko untuk
mencapai tujuan bisnis atau tidak melakukan lebih dengan memanfaatkan barupeluang.
Mungkin perlu melakukan presentasi singkat tentang pengendalian internal dan apa artinya ini
dalam praktek, dan perbedaan antara kontrol keras dan lembut. Bahan yang cocok dapat diambil
dari staf seminar kesadaran ditemukan dalam Bab 4.

26. Mulai tahap pemecahan masalah - ini dapat dilakukan pada acara yang terpisah (atau setelah
makan siang istirahat) sehingga dapat memperkuat pindah dari identifikasi masalah (penilaian
risiko) untuk masalah solusi (manajemen risiko).
27. Membuat hubungan antara tujuan, risiko, sebab dan akibat yang jelas. Pemecahan masalah
adalah tentang melihat penyebab masalah dan tidak hanya efek. Sebuah cerita sederhana dapat
digunakan untuk menggambarkan ide ini:
Osteopati kita tahu memberitahu kami tentang salah satu pasiennya dengan nyeri leher
yang parah. Mengobati leher langsung tidak berpengaruh dan butuh beberapa minggu
untuk sampai ke bawah kesulitan. Pasien telah menyakiti ibu jari kaki kanannya.Hal ini
menyebabkan dia berjalan sedikit canggung, menggeser berat badannya dari kaki
menyakitkan, dan ini meletakkan beban yang sedikit berbeda pada pinggulnya. Kelompok
otot di punggung dan leher diperketat untuk mengkompensasi, dan otot ini pengetatan
menyebabkan pain.
28. Pastikan lokakarya sepenuhnya didokumentasikan dan disepakati dengan rencana aksi yang
dihasilkan memberikan rincian dari pemilik risiko, khusus dari tindakan yang diperlukan, tanggal
dan langkah-langkah untuk memastikan tindakan yang diambil memiliki hasil yang
dibutuhkan. rencana aksi ini harus dimasukkan ke dalam perencanaan dan pengambilan
keputusan mekanisme untuk mempromosikan integrasi CRSA ke dalam budaya bisnis.
29. Menutup sesi dengan ' orang check ' - yang memerlukan terjadi di sekitar ruangan dan meminta
setiap orang untuk meringkas pengalaman mereka dan apa yang mereka dapatkan dari acara
tersebut dan apakah mereka memiliki poin lebih lanjut untuk menambahkan.
30. Penilaian risiko harus menjadi agenda sama sekali pertemuan kelompok, konferensi dan acara
staf - setiap kali ada masalah atau perubahan yang diajukan, acuan harus dibuat ke daftar risiko
saat ini dan perubahan memutuskan.
31. Menggelar program yang melalui dan seluruh organisasi dan pastikan sistem pelaporan masuk
akal dan risiko dikelola secara dipercepat, yang memungkinkan papan untuk tahu tentang risiko
tak tanggung-tanggung serius dan yang dapat dipantau mendesak atau dengan laporan sering.
32. Pastikan daftar risiko adalah dokumen hidup yang ditinjau setiap kali risiko material berubah dan
setidaknya beberapa kali selama tahun.
33. Membuat setiap lokakarya proses pembelajaran yang menghasilkan tidak hanya dalam rencana
aksi untuk pemilik risiko / proses tetapi juga lebih baik menggunakan format lokakarya dan cara
itu difasilitasi.
34. Proses CRSA terbaik membuat risiko pendorong utama untuk keputusan bisnis dan pertemuan
penilaian kinerja karyawan harus mulai dengan mengacu pada daftar risiko yang paling dekat
hubungannya dengan karyawan yang bersangkutan.
Prosedur sederhana di atas tidak selalu bekerja dan Mike Pidzamecky telah memperingatkan tentang
beberapa alasan mengapa CSA telah gagal dari perspektif audit yang

. Kurangnya tubuh umum pengetahuan dan proses cetak biru dasar untuk semua untuk
menggunakan.
Kurangnya pengembangan pelatihan dan keterampilan yang baik.
Kegagalan untuk mengintegrasikan model kontrol ke dalam semua pekerjaan audit.
audit manajemen Stubborn yang tidak bisa melihat melampaui approaches.18 audit tradisional

Sementara itu, Andrew Chambers telah meminta auditor internal untuk bangkit untuk menantang:
CRSA, seperti lingkaran kualitas mungkin satu dekade yang lalu, telah menangkap mood kali. Jika
kita membedah kita menemukan campuran dari praktek-praktek tradisional sering dilapis dengan
teknologi modern. Ini mungkin tidak berlangsung selamanya. Sangat mungkin untuk mengubah
dirinya - mungkin sekarang dalam bentuk manajemen risiko perusahaan-lebar. Meskipun pro dan
kontra, lebih mudah untuk mendukung CRSA pada prinsipnya daripada memberikan memastikan
substansi dalam praktek. Tapi kemudian, pemantauan pengendalian intern yang efektif tidak
pernah straightforward.

7.3. Keterampilan Fasilitasi

Proses CRSA tergantung pada lingkungan pengendalian yang baik dan komunikasi terbuka yang
menimbulkan kepercayaan dan keyakinan. Orang akan berpartisipasi dan menambah lokakarya CRSA jika
mereka:

berkomitmen untuk tujuan lokakarya;

memiliki sesuatu yang berharga untuk menambahkan;
percaya bahwa pendapat mereka akan dihargai;
memahami proses CRSA dan mana cocok ke dalam bisnis;
telah keyakinan dalam cara lokakarya diterapkan

Di mana masing-masing aspirasi di atas tercapai, ada kesempatan baik bahwa seluruh proses CRSA
akan berhasil. Beberapa peristiwa lokakarya buruk diberikan akan segera menyebarkan berita di seluruh
organisasi yang ini harus dihindari di semua biaya. Sebaliknya, beberapa acara yang positif akan
menimbulkan pandangan bahwa mereka berharga dan bahkan menyenangkan. Ada banyak yang bisa
dilakukan dalam hal menjual konsep CRSA kepada seluruh karyawan dan memastikan bahwa lokakarya
secara hati-hati direncanakan dan dipersiapkan sebelum ditayangkan. Salah satu aspek dari persiapan ini
adalah untuk memastikan lokakarya yang baik difasilitasi dan kami memberikan pengenalan singkat
keterampilan fasilitasi di bagian Handbook. Titik pertama yang harus diperhatikan adalah bahwa fasilitasi
adalah tidak sama dengan pelatihan atau mengelola kelompok, dan titik ini diperkuat oleh Lao Tzu yang
menulis Tao Sepuluh Ching di 500 SM:
Seorang pemimpin yang terbaik Ketika orang-orang hampir tidak tahu bahwa dia ada, Tidak begitu
baik ketika orang-orang taat dan menyatakan dirinya, Terburuk ketika mereka membencinya, Gagal untuk
menghormati orang, Mereka gagal untuk menghormati Anda; Tapi seorang pemimpin yang baik, yang
berbicara sedikit, ketika karyanya dilakukan, tujuannya terpenuhi,
Mereka akan mengatakan, "Kami melakukannya sendiri." Seorang fasilitator membuat orangorang untuk melakukan hal-hal untuk diri mereka sendiri. Idealnya, fasilitator CRSA harus memiliki
pemahaman yang baik tentang:

apa yang membuat seorang fasilitator yang baik;

kelompok dan bagaimana mereka berperilaku;
gaya belajar dan bagaimana orang membuat kemajuan;
konsep risiko dan pengendalian;
gaya yang berbeda dari fasilitasi mulai dari pasif hingga agresif;

apa yang bisa salah dalam sebuah workshop;

bagaimana membuat acara suksesi.

Tiga item pertama pada daftar dibahas di bawah ini bersama dengan daftar fitur dari lokakarya CRSA
sukses.

Yang Baik Fasilitator?

Lois B. Hart dalam bukunya Fasilitasi Sempurna menunjukkan bahwa fasilitasi memastikan hal
bisa dilakukan lebih mudah dan fasilitator berkonsentrasi pada proses sekitar tujuan kelompok. Dia daftar
atribut dari fasilitator yang baik:

Tetap netral Tetap fokus Jadilah positif

Mendorong partisipasi Lindungi ide Jangan mengevaluasi
Menyarankan metode Siapkan perekam Mendidik anggota
Mengkoordinasikan rincian Siapkan report20 a

Ini berarti fasilitator bertanggung jawab untuk membantu kelompok mencapai tujuan yang
ditetapkan untuk lokakarya CRSA. John Heron menggambarkan enam dimensi fasilitasi:
1. Dimensi perencanaan ini adalah, akhir-dan-cara berorientasi tujuan, aspek fasilitasi: yaitu, itu
harus dilakukan dengan tujuan kelompok, dan apa program yang harus melakukan
untuk memenuhi mereka. Pertanyaan fasilitatif di sini adalah: bagaimana kelompok akan
memperoleh tujuan dan nya Program?
2. Dimensi makna ini adalah aspek kognitif fasilitasi: itu adalah melakukan dengan
peserta ' pemahaman tentang apa yang terjadi, dengan membuat rasa pengalaman dan dengan
mereka mengetahui bagaimana melakukan hal-hal dan bereaksi terhadap hal-hal.Pertanyaan
fasilitatif adalah: bagaimana akan makna diberikan kepada dan ditemukan dalam pengalaman dan
tindakan anggota kelompok ?.
3. Dimensi menghadapi ini adalah aspek tantangan fasilitasi: itu harus dilakukan dengan
meningkatkan kesadaran tentang kelompok ' resistensi s ke dan avoidances hal itu perlu untuk
menghadapi dan menangani. Pertanyaan fasilitatif adalah: bagaimana harus kelompok ' s
kesadaran akan mengangkat tentang hal ini?
4. Dimensi Perasaan ini adalah aspek afektif fasilitasi: itu adalah dengan melakukan pengelolaan
perasaan dalam kelompok.Pertanyaan fasilitatif adalah: bagaimana harus hidup perasaan dalam
kelompok akan ditangani?
5. Dimensi penataan ini adalah aspek formal fasilitasi: itu adalah dengan melakukan metode
pembelajaran, dengan apa yang semacam bentuk diberikan kepada pengalaman dalam kelompok
dan dengan bagaimana mereka harus terstruktur. Pertanyaan fasilitatif adalah: bagaimana bisa
kelompok ' pengalaman belajar s akan terstruktur?
6. Dimensi menilai ini adalah aspek integritas fasilitasi: itu harus dilakukan dengan menciptakan
iklim yang mendukung yangmenghormati dan merayakan kepribadian anggota
kelompok; sebuah iklim di mana mereka bisa tulus, mengungkapkan realitas mereka seperti itu,
tetap berhubungan dengan kebutuhan mereka yang sebenarnya dan kepentingan. Pertanyaan
fasilitatif adalah: bagaimana bisa iklim seperti nilai personal, integritas dan rasa hormat dibuat 2?

Kebanyakan ahli menyarankan bahwa harus ada fasilitator dan juru tulis, yang mencatat
peristiwa. Untuk workshop CRSA sebagian besar dokumentasi akan berkisar pada penyusunan daftar
risiko sebagai tujuan, risiko, peringkat risiko, pemeriksaan rencana aksi kontrol yang ada dan berikutnya
dikembangkan oleh kelompok. Ini mungkin yang terbaik untuk menggunakan spreadsheet komputer (atau
database) untuk mengkompilasi informasi yang diperlukan untuk risk register. Seorang fasilitator yang
baik adalah mampu mengidentifikasi hambatan untuk kemajuan dan cara mengatasi hambatan tersebut
dan membuat intervensi strategis bila diperlukan. Fasilitator memastikan kelompok memahami tujuan
dan bahwa mereka mampu untuk terus bergerak ke arah yang benar. Bahkan, CRSA bukan tentang
penyusunan daftar risiko (kotak detak) tetapi lebih tentang mengembangkan dialog di mana anggota
mendiskusikan pandangan mereka tentang tujuan, hal-hal yang menghentikan mereka mencapai tujuan
tersebut dan cara mengatasi kendala apapun, yaitu, pemahaman bersama dikembangkan untuk
memastikan kelompok anggota yang menarik dalam arah yang sama. Mana ada kesalahpahaman di
antara anggota kelompok dan keengganan untuk menempatkan masalah dalam sorotan, banyak dari
kontrol lunak (cara orang bekerja sama) mungkin buruk. Fasilitator harus disiapkan untuk mendapatkan
kelompok untuk menantang apa pun yang berhenti mereka dari melakukan. fasilitator tidak memimpin
grup, tapi mendapatkan kelompok untuk memimpin sendiri. Unsur yang tidak biasa dari peristiwa CRSA
adalah bahwa fasilitator mungkin kadang-kadang perlu untuk beralih ke peran pelatih dan membuat
presentasi singkat tentang tata kelola perusahaan, manajemen risiko dan pengendalian internal, dan juga
menjelaskan kebijakan risiko perusahaan. Jika presentasi ini dilakukan terlalu dini pada saat lokakarya,
maka dapat membentuk 'mode mendengarkan' dari kelompok, yang mungkin sulit untuk beralih ke 'mode
interaktif' nanti. Ini benar-benar adalah yang terbaik untuk mendapatkan presentasi dilakukan pada
seminar sebelumnya (atau melalui materi intranet) dan kemudian meminta pertanyaan selama
lokakarya. Bahkan pertanyaan menjawab bisa sulit karena dapat membangun hubungan
'ketergantungan', di mana segala sesuatu kelompok ingin lakukan adalah memeriksa ulang dengan
fasilitator. Pendekatan ini akan menghentikan kelompok dari kemajuan independen dari fasilitator, yang
telah diasumsikan jubah pemimpin. Seorang fasilitator yang baik akan selalu menawarkan pertanyaan
yang diajukan dari dia, kembali ke kelompok dan hanya memberikan jawaban di mana untuk tidak
melakukannya akan berhenti kemajuan kelompok. Kerendahan hati adalah sifat penting bagi seorang
fasilitator yang baik. Bahaya ini juga dijelaskan oleh Rosaria Taraschi
Sebuah kelompok kerja yang utuh, tiba-tiba dihadapkan dengan tantangan bekerja sebagai
sebuah tim, mungkin melihat ke kasih atas jawaban, dukungan dan penguatan. Meskipun
kelompok mungkin telah berfungsi dengan baik di bawah misi lama, panggilan untuk mengubah
dapat meninggalkan beberapa anggota berjuang untuk menentukan peran baru mereka. Tanpa
disadari, Anda mungkin menjadi ahli kelompok internal, pelatih, agen perubahan, manajer
kesulitan interpersonal, dan sebagainya. Semakin Anda mengambil, semakin kecil kemungkinan
bahwa tim akan mendapatkan keterampilan yang dibutuhkan. Cara terbaik untuk memutus siklus
tidak membiarkan ketergantungan dimulai. Dimulai awal dan keuntungan kekuatan lebih time.

Gaya Belajar dan Bagaimana Orang Membuat Kemajuan

The CRSA lokakarya adalah sarana untuk mendapatkan orang-orang dan tim untuk memahami
risiko bisnis mereka dan memastikan mereka dikelola dengan baik - dan mampu menjelaskan tanggung
jawab ini. Asumsi tanggung jawab didefinisikan menciptakan perubahan pola pikir dan mendukung
budaya kontrol positif di seluruh organisasi. Ini adalah proses belajar sebagai orang belajar bagaimana
menggunakan CRSA sebagai alat yang ampuh untuk membantu mereka memastikan keberhasilan. Sebuah
pemahaman yang baik tentang dinamika belajar adalah bagian dari gudang senjata fasilitator. Jika

lokakarya yang dijalankan oleh staf audit internal, maka auditor harus memikirkan keahlian mereka
tentang isu-isu risiko dan kontrol dan menentukan berapa banyak dari ini mereka dapat menyampaikan
kepada kelompok, yaitu, untuk mendapatkan mereka berpikir tentang tujuan bisnis mereka dan strategi
manajemen risiko. Hal ini kurang proses belajar tetapi lebih membantu kelompok untuk menerjemahkan
apa yang mereka lakukan ke berbicara resmi terminologi regulator akuntabilitas perusahaan, manajemen
risiko dan diterbitkan laporan pengendalian internal. Salah satu tugas fasilitator adalah untuk mencoba
untuk mendamaikan visi yang dibuat oleh dewan, kebijakan risiko dan tim bekerja pada apa yang efektif
berarti manajemen risiko dan cara kerjanya dalam praktek. Banyak terkait dengan terminologi set. Ini
adalah pemahaman ini bersama risiko yang sangat penting untuk manajemen risiko yang efektif dan
mampu menghargai bagaimana persepsi yang berbeda dapat terikat bersama-sama. Telah mengatakan
bahwa:
Kami membuat model mental kita sebagian dari adat istiadat sosial kita, sebagian dari budaya kita
dan sebagian dari ide-ide dari orang dewasa yang signifikan di masa kecil kita. Sisanya kita
membangun dan memelihara dari pengalaman kami dalam empat cara utama
1.
2.
3.
4.

Penghapusan - Kami adalah selektif dalam apa yang kita perhatikan.

Konstruksi - Kita melihat sesuatu yang tidak ada.
Distorsi - Kami mengubah pengalaman kami, memperkuat beberapa bagian dan mengurangi lain.
Generalisasi - Menggunakan generalisasi, kita menciptakan model mental kita dengan mengambil
satu pengalaman dan menjadikannya mewakili group.

Beberapa fasilitator merasa bahwa mereka perlu mengenali berbagai jenis orang-orang yang
muncul di acara-acara lokakarya dan cara yang berbeda di mana mereka memberikan kontribusi untuk
keberhasilan (atau sebaliknya). Madu dan Mumford telah mengembangkan siklus belajar di mana orang
belajar dari pengalaman mereka dan merencanakan langkah selanjutnya dari pembelajaran ini. Mereka
juga telah diklasifikasikan gaya belajar yang berbeda:
Aktivis - cenderung untuk mengambil tindakan langsung. Mereka antusias dan menyukai tantangan baru
dan pengalaman. Aktivis kurang tertarik pada masa lalu atau konteks yang lebih luas dan terutama tertarik
pada di sini dan sekarang. Mereka suka memiliki pergi dan mencoba hal-hal dan berpartisipasi. Mereka
juga suka menjadi pusat atraksi.
Reflektor - berpikir hal-hal secara detail sebelum mengambil tindakan. Reflektor bijaksana, pendengar
yang baik dan lebih memilih untuk bersikap low profile. Mereka siap untuk membaca dan mendengarkan
dan menyambut kesempatan untuk mengulang sepotong pembelajaran.
Teori - melihat bagaimana hal cocok dengan pola keseluruhan. Teori adalah orang-orang yang logis dan
obyektif 'sistem' yang lebih memilih pendekatan sekuensial untuk masalah. Mereka analitis dan
membayar perhatian besar terhadap detail, serta cenderung menjadi perfeksionis.
Pragmatis - ingin melihat bagaimana sesuatu bekerja dalam prakteknya. Pragmatis menikmati
bereksperimen dengan ide-ide baru.Mereka praktis, turun ke bumi dan ingin memecahkan masalah dan
menghargai kesempatan untuk mencoba apa yang telah mereka pelajari / belajar.
Jika lokakarya CRSA terdiri dari kombinasi orang dengan gaya belajar yang berbeda, maka
pemahaman tentang perbedaan-perbedaan ini akan membantu fasilitator mendorong acara yang lebih

baik. Model lain yang memberikan wawasan yang berguna tentang bagaimana tim berperilaku telah
dikembangkan oleh R. Meredith Belbin. Orang-orang yang pergi untuk membuat tim manajemen mungkin
menganggap jenis peran tertentu sebagai berikut:
Perusahaan pekerja - Ternyata konsep dan rencana ke dalam prosedur kerja praktis. Melaksanakan
rencana yang telah disepakati secara sistematis dan efisien.
Co-ordinator - Mengontrol cara di mana tim bergerak menuju tujuan kelompok dengan membuat
penggunaan terbaik dari sumber daya tim, mengakui di mana kekuatan dan kelemahan tim berbohong,
dan memastikan bahwa penggunaan terbaik terbuat dari potensi masing-masing anggota tim.
Pembentuk - Membentuk cara di mana usaha tim diterapkan; mengarahkan perhatian umum untuk
penetapan tujuan dan prioritas;berusaha untuk memaksakan beberapa bentuk atau pola pada diskusi
kelompok dan pada hasil kegiatan kelompok.
Situs orang - Memajukan ide-ide baru dan strategi dengan perhatian khusus pada isu-isu utama; mencari
kemungkinan pendekatan baru untuk masalah dengan yang kelompok dihadapkan.
Kontak orang - Menjelajahi dan pelaporan pada ide-ide dan sumber daya di luar kelompok; menciptakan
kontak eksternal yang mungkin berguna untuk tim dan melakukan negosiasi berikutnya.
Critic - Menganalisis masalah dan mengevaluasi saran agar tim ini lebih baik ditempatkan untuk
mengambil keputusan yang seimbang.
Tim kerja - anggota di kekuatan mereka Mendukung; mendasari anggota di kekurangan
mereka; meningkatkan komunikasi antar anggota dan mendorong semangat tim umumnya.
Completer-finisher - Memastikan bahwa tim dilindungi sejauh mungkin dari kesalahan dari kelalaian dan
komisi; aktif mencari aspek pekerjaan yang membutuhkan lebih dari tingkat biasa perhatian; dan
mempertahankan rasa urgensi dalam tim.
Beberapa fasilitator begitu yakin akan pentingnya memahami perbedaan-perbedaan belajar dan
perilaku yang mereka minta peserta untuk mempersiapkan kuesioner pra-program yang dirancang untuk
mengisolasi gaya belajar mereka. Informasi ini kemudian digunakan dalam perencanaan pendekatan ke
acara

Kelompok dan Bagaimana Mereka Berperilaku

Pada kali, fasilitator CRSA akan tiba di bengkel, melakukan perkenalan dan mulai kelompok off
mungkin pada latihan sederhana untuk mendapatkan mereka bersemangat. Setelah beberapa saat,
pemberitahuan fasilitator bahwa beberapa peserta telah mendorong kursi mereka kembali sedikit dan
mengekspresikan bahasa tubuh negatif dengan lengan dan kaki disilangkan dan kepala berbalik ke
bawah.Mereka menunjukkan sedikit minat untuk terlibat sementara satu anggota kelompok
mengasumsikan peran juru bicara. Sementara itu, anggota lain terus merongrong juru bicara dengan
komentar satu baris yang tidak pernah benar dijelaskan. fasilitator mulai menonton jam, berharap bahwa
seluruh acara bisa dibatalkan. Sebagian besar di atas adalah karena cara kelompok datang bersama-sama
dan kemudian memutuskan bagaimana berperilaku. Memahami hal ini dan mengadaptasi gaya fasilitasi
sesuai kelompok mengarah ke kesempatan yang lebih baik

keberhasilan. Siklus hidup kelompok telah digambarkan sebagai terdiri dari lima tahapan utama:
1.
2.
3.
4.
5.

Orientasi - mengapa kita di sini?

Ketidakpuasan - realitas tidak memenuhi harapan.
Resolusi - menyelesaikan konflik.
Produksi - tugas yang mendapatkan dilakukan.
Pemutusan - disbands.24 kelompok

Di mana kita bisa mendapatkan kelompok

lokakarya cepat ke tahap 4 (produksi), mereka
akan mengambil pandangan yang matang dari
tugas mendapatkan strategi manajemen risiko
yang telah disepakati dan didokumentasikan dan
dapat diberikan banyak tanggung jawab.Di mana
kelompok ini terjebak pada tahap 2
(ketidakpuasan) mereka dapat dianggap belum
matang dan menjadi lebih sulit untuk melewati
terlalu banyak tanggung jawab untuk tugas-tugas
lokakarya kepada mereka. Ditumpangkan di atas
model ini adalah kebijakan risiko (dan organisasi /
budaya kelompok) yang akan menentukan sejauh
mana berdasarkan staf strategi dikendalikan
melalui prosedur yang ketat, latihan set dan sesi hati-hati waktunya (terstruktur) dan sejauh mana mereka
memungkinkan setiap kelompok keleluasaan untuk mengatur agenda mereka sendiri dan arah ( laissezfaire ). Terstruktur CRSA akan cenderung dilakukan sejalan dengan panduan yang diterbitkan dengan
tugas set akan selesai kelompok, sedangkan laissez-faire lokakarya mulai dengan tujuan dan
menyerahkan kepada kelompok untuk memutuskan bagaimana mereka akan pergi tentang
mengembangkan register risiko . Mengambil dua pertimbangan tingkat kematangan kelompok dan sejauh
mana lokakarya yang terstruktur / diarahkan, kita dapat memperoleh model kita sendiri gaya fasilitasi
seperti pada Gambar 7.14
Strategi fasilitasi dijelaskan di bawah:
1. Untuk kelompok yang belum matang, dan di mana budaya organisasi panggilan untuk lokakarya CRSA
sangat terstruktur, fasilitator dapat menyebabkan dari depan dan mengatur arah, tugas dan
sebagainya. Misalnya, fasilitator dapat menginformasikan kelompok sasaran bagian mereka dan
memberitahu mereka bahwa mereka harus melakukan brainstorming risiko dalam kategori
set. Sementara itu, fasilitator dapat mencoba untuk mendapatkan kelompok untuk mengenali dan
menyelesaikan konflik sehingga mereka dapat bergerak menuju kedewasaan. Jenis forum panggilan
untuk gaya fasilitasi lebih agresif di mana kelompok dibuat untuk bekerja sama dan diberikan
dorongan konstan dan meminta dari fasilitator.
2. lokakarya terstruktur berarti fasilitator masih akan menetapkan arah untuk kelompok tetapi karena
mereka dewasa dan melakukan sama dengan baik, anggota kelompok didorong untuk bekerja di luar
kegiatan dan langkah mereka, selama mereka mencapai tujuan lokakarya, misalnya, untuk tiba di
pemahaman bersama tentang risiko utama dan komitmen untuk strategi manajemen risiko
didefinisikan.
3. The laissez-faire pendekatan lokakarya dapat bekerja dengan baik dengan kelompok dewasa dimana
anggota dapat membahas dan menetapkan mereka sendiri arah, kegiatan dan kecepatan - untuk

memastikan lokakarya memenuhi tujuannya. Fasilitator hanya perlu berkonsentrasi pada proses
untuk bekerja melalui tahapan manajemen risiko dan mungkin menghabiskan banyak waktu duduk,
sebagai anggota kelompok bertanggung jawab. Cukup duduk dan tidak membuat kontak mata dengan
orang yang berbicara akan bertindak untuk mengubah anggota kelompok ' perhatian pada anggota
lain dan sehingga memungkinkan fasilitator memudar ke latar belakang.
4. Di mana ada sedikit struktur ke bengkel, dan kelompok belum matang, dimensi perubahan dan
fasilitator mungkin merasa bahwa risiko terbesar untuk kelompok terletak di kurangnya kemajuan
melalui tahapan pengembangan kelompok. Berikut fasilitator dapat menggunakan analisis kekuatanlapangan untuk membantu kelompok mengidentifikasi hambatan kinerja dan apa yang harus mereka
lakukan untuk mendapatkan cepat ke tahap produksi yang diperlukan, atau mungkin ada banyak
waktu yang dihabiskan untuk menetapkan aturan-aturan dasar untuk berkomunikasi, bekerja sama ,
menghormati pandangan, mendengarkan dan sebagainya. Kelompok ini mungkin mendapat manfaat
dari diskusi tentang bagaimana keputusan dibuat dan didorong untuk bekerja melalui hambatan
untuk membuat keputusan yang efektif. Fasilitator dapat menggunakan laissez-faire pendekatan
untuk mengubah arah dari lokakarya untuk fokus pada membangun tim dan pengembangan. Selain
itu, setelah setiap sesi kita dapat berhenti dan memeriksa apakah kelompok ini berjalan dengan baik
menuju tahap produksi.
Cara lain untuk melihat proses lokakarya adalah untuk menunjukkan bahwa fasilitator mungkin
menganggap kehadiran jelas sejak awal sebagai gagasan manajemen risiko operasional dan proses CRSA
dijual ke grup. Sebagai kemajuan proses, fasilitator secara bertahap bergerak ke latar belakang sebagai
kelompok menjadi lebih percaya diri untuk bekerja tanpa petunjuk.Meskipun pendekatan yang
digunakan, fasilitator harus selalu memastikan workshop adalah menantang untuk anggota kelompok
sebagai thereis satu tampilan yang menunjukkan orang enggan untuk berbicara tentang risiko yang
mereka tidak bisa mengendalikan, seperti penipuan dan penyimpangan. Fasilitator harus selalu
menantang keengganan ini dan dapat bertanya apakah 'penipuan' dapat disiapkan sebagai risiko
potensial, karena ada banyak yang bisa dilakukan untuk mengelola masalah ini, selama kita mengakui
bahwa hal itu dapat terwujud. Fasilitator memiliki berbagai alat yang dapat diterapkan untuk
mendapatkan kelompok untuk mencapai tugas mereka, termasuk:

presentasi singkat tentang tata kelola perusahaan, manajemen risiko dan pengendalian internal;
tujuan yang jelas untuk lokakarya;
lingkungan terbuka dimana semua anggota kelompok adalah sama terlepas dari kelas;
risiko register - pro forma yang menunjukkan apa yang perlu didokumentasikan;
grid dampak / kemungkinan yang dapat digunakan untuk menunjukkan risiko secara signifikan dan
hubungan antara kemungkinan dan pengendalian internal (kontrol dapat membantu mengurangi
ketidakpastian);
daftar manfaat dari manajemen risiko yang efektif dengan contoh-contoh praktis;
post-it notes yang dapat digunakan untuk merekam pemandangan;
voting - baik elektronik atau sebaliknya - di mana anggota kelompok dapat merekam suara baik di
depan umum atau secara anonim;
teknik untuk mengelola konsensus melalui diskusi, debat, intervensi ahli, perjanjian untuk tidak
setuju, keterampilan negosiasi, pengambilan keputusan kriteria, merekam dissenting pandangan,
pernyataan tentang perlunya untuk tiba di posisi, menggambar area kesepakatan, menyerahkan
tanggung jawab kepada pemilik risiko ;
beberapa pengetahuan tentang apa bagian lain lakukan tentang manajemen risiko;
10 risiko dan prioritas dewan;
contoh masalah utama yang muncul melalui risiko sejati;

kebijakan risiko perusahaan dan arah yang terkandung di dalamnya;

peringatan tentang memperlakukan manajemen risiko sebagai proses kotak-berdetak;
contoh sederhana yang dapat dikembangkan lebih lanjut;
model risiko dan pengendalian (lihat Bab 3 dan 4);
teknik untuk membuat acara merangsang - seperti kuis mini latihan dalam kreativitas dan pemecahan
masalah, cerita menghibur tentang persepsi risiko dan sebagainya;
materi pada gambaran besar dari manajemen risiko perusahaan-lebar di mana register risiko
membangun menjadi gambar dari seluruh organisasi;
menantang asumsi pertanyaan, dan memperkuat pandangan bahwa mengendalikan terletak dengan
semua orang;
membangun hubungan antara pandangan dari orang-orang di berbagai belahan organisasi;
kemampuan untuk merekam acara lokakarya dan pandangan tertentu;
kemampuan untuk memecah tujuan menjadi sub-tujuan dan bekerja di subkelompok yang lebih kecil
jika diperlukan;
teknik untuk berurusan dengan anggota kelompok yang sulit - ini terutama melibatkan memberi
mereka tugas khusus untuk mendorong intervensi mereka tetapi secara berhasil;
flip chart di mana pandangan dapat ditampilkan di sekitar ruangan dan disebut saat yang tepat;
teknik untuk bergerak kelompok pada dengan membatasi waktu, memberikan istirahat untuk
memulai sesi baru, poin parkir untuk diskusi nanti (atau rujukan ke tempat lain);
menggunakan tampilan untuk menunjukkan selera risiko;
menempatkan poin tindakan ke dalam daftar risiko;
demonstrasi - melalui produk dari workshop sebelumnya yang dilakukan di tempat lain;
memberdayakan kelompok untuk memilih metode, misalnya, apakah orang harus digunakan atau
tidak dan bagaimana latihan seperti itu harus dilakukan;
Perubahan kecepatan - di mana kita cek dengan kelompok apakah untuk mempercepat atau
memperlambat mereka turun;
membagi kelompok untuk melihat isu-isu tertentu - kami juga bisa mendapatkan kelompok untuk
bekerja berpasangan untuk latihan pendek - misalnya, aspek daftar operasi di mana ada kepatuhan
miskin dengan standar kontrol;
kemampuan untuk memarkir manajer lini - kita dapat menghentikan orang ini mengambil alih dan
kemudian memperkenalkan kembali posisi mereka menjelang akhir ketika rencana aksi sedang
diselesaikan;
penggunaan istirahat untuk minuman dan minuman lain di mana tingkat energi yang ditinggalkan;
memproyeksikan energi dari fasilitator dan keyakinan bahwa proses CRSA berharga - ini adalah sangat
berguna di mana ada beberapa sinisme; ingat untuk menulis kritik jujur tapi dengan tujuan untuk
menyelesaikan masalah ini (dan mengikuti mereka);
mengidentifikasi titik-titik yang menjaga kelompok energi dan menggunakan ini untuk mendorong
partisipasi;
fokus pada tugas di tangan dan menulis lokakarya ini bertujuan jadi segala sesuatu yang benar-benar
luar mengirimkan dapat diparkir;
pengaturan tempat duduk dapat menyebabkan membuka keterlibatan - misalnya, tapal kuda tanpa
meja dan kemungkinan untuk lebih dekat dengan anggota kelompok yang juga memungkinkan
mereka untuk bergerak bebas menjadi subkelompok jika diperlukan;
peredam mana tindakan menjadi terlalu panas - ini mungkin memerlukan presentasi singkat tentang
poin poin dan di mana posisi perusahaan cocok;
teknik untuk melanjutkan kehadiran dengan kelompok seperti berdiri, mengajukan pertanyaan,
memberikan tugas, membuat intervensi yang jelas dan dengan asumsi peran kepemimpinan untuk
latihan singkat jika wajib;

teknik brainstorming - dengan aturan yang mencakup generasi ide, yang tidak menghakimi,
mendengarkan keterampilan, batas waktu, pengaturan konteks dan sebagainya;
cek realitas di mana kita membuat kontrol yang jelas, yang tidak pernah sempurna dan biaya uang
dan waktu untuk berkembang;
teknik untuk pengaturan tujuan mana ini adalah masalah - ini termasuk Cascading tujuan, kebijakan
konteks, link ke misi, terukurnya, kerangka waktu, anggaran, review mekanisme, bisnis rencana,
laporan tahunan, tingkat otoritas, target kinerja individu, sistem komunikasi, standar kualitas, standar
perilaku, target kelompok, keterampilan, pengetahuan dan sikap yang dibutuhkan.

Ada banyak fasilitator dapat lakukan untuk memastikan keberhasilan program CRSA dan,
sebaliknya, ada banyak hal yang bisa salah di mana persiapan, membeli-in atau fasilitasi tidak
memadai. Seperti inisiatif apapun, CRSA harus direncanakan dan sumber daya dengan benar dan cocok
dengan budaya organisasi yang bersangkutan untuk itu untuk memiliki kesempatan untuk sukses.

7.4. Mengintegrasikan Self-assessment dan Audit

Auditor internal dapat meninjau proses CRSA dan cara itu dikembangkan dan diterapkan dalam
suatu organisasi, atau auditor internal dapat menyediakan layanan konsultasi untuk membantu
memfasilitasi proses CRSA secara hands-on. Karena tidak ada yang bisa menjadi hakim dalam kasus
mereka sendiri, kedua pendekatan dapat membuat masalah potensial. Seperti disebutkan sebelumnya,
beberapa tim audit yang memulai proses CRSA, kemudian mundur ke posisi keselamatan dan melanjutkan
peran Ulasan setelahnya. tim lain membagi staf mereka ke dalam jasa audit dan konsultasi dan
memastikan bahwa aspek fasilitasi CRSA audit disimpan terpisah dari berbasis risiko sistem kerja
utama. Sementara itu, IIA Standar Kinerja 2201 pada pertimbangan perencanaan menyatakan dengan
jelas bahwa internal auditor harus mempertimbangkan:

.Tujuan dari kegiatan yang ditinjau dan sarana yang aktivitas mengontrol kinerjanya;
Risiko signifikan terhadap aktivitas, tujuan, sumber daya, dan operasi dan sarana yang potensi
dampak risiko disimpan ke tingkat yang dapat diterima;
Kecukupan dan efektivitas manajemen risiko dan pengendalian proses kegiatan dibandingkan
dengan kerangka kontrol yang relevan atau model; dan
Kesempatan untuk membuat perbaikan yang signifikan untuk proses manajemen risiko dan
pengendalian kegiatan ini

Dengan kata lain, auditor internal harus mengakui aktivitas manajemen risiko di daerah yang
sedang diaudit dan mengambil papan segala usaha klien membuat untuk mengelola risiko dan
membangun kontrol yang baik. Hal ini didukung oleh 2201.A1 standar IIA yang membuatnya jelas bahwa.
Ketika mrencanakan pertunangan bagi pihak luar organisasi, auditor internal harus membangun
pemahaman yang ditulis dengan mereka tentang tujuan, ruang lingkup, tanggung jawab masing-masing,
dan harapan lain, termasuk pembatasan distribusi hasil keterlibatan dan akses ke keterlibatan catatan.
Jika kita menghasilkan model yang lengkap dari proses / Audit CRSA mungkin terlihat seperti pada Gambar
7.15.

Campuran objektivitas audit dan pengujian di samping pengetahuan dalam dan komitmen dari
proses
self-assessment
dapat
membuat
solusi
yang
berguna. Pendekatan terpadu ini
bercampur audit dengan keterlibatan
erat staf klien dalam format lokakarya
untuk mengidentifikasi risiko dan
membantu menentukan solusi yang
cocok. Dua kotak baru ditambahkan
ke model: Ulasan dan setuju, yaitu,
proses manajemen risiko akan telah
obyektif ditinjau oleh audit internal
dan juga disetujui oleh orang-orang
yang benar-benar mengoperasikan
sistem,
menciptakan
banyak
manfaat. Cara
terbaik
untuk
menggambarkan idenya adalah untuk
memberikan penjelasan tentang
pendekatan yang disiapkan khusus
untuk Handbook oleh John Watts dari
Kanada Hidup

Kanada Life - Terpadu Pendekatan Audit - Menggunakan CSA sebagai Alat Audit
Kanada Hidup Kanada tertua Hidup Perusahaan dan didirikan pada tahun 1847. Sekarang memiliki
aset o lebih dari 23 miliar di seluruh dunia dengan sekitar 10 juta nasabah. Kanada Life demutualisasi
pada tahun 1999 dan telah beroperasi di Inggris sejak tahun 1903 dengan kantor utama UK di Potters Bar
dan Isle of Man. aset Inggris adalah lebih dari 6 miliar dengan menjalankan pendapatan premi tahun
2001 di lebih dari 1300000000. Di Inggris, berdiri sendiri, CSA (berbasis lokakarya menggunakan
metodologi PDK) telah dilakukan sejak tahun 1998 dengan hasil dari setiap lokakarya yang digunakan
untuk memberikan informasi untuk proses penilaian risiko audit untuk perencanaan audit tahun depan
ini. Selain itu, CSA ini digunakan untuk mendapatkan wawasan ke daerah non-proses-driven di mana
metodologi audit tradisional tidak sepenuhnya tepat. Konsep 'audit terpadu' dikembangkan dan
dijalankan dari tahun 2001 dan seterusnya, menggunakan lokakarya CSA sebagai bagian integral dari audit
yang lebih besar di mana yang sesuai. Ada beberapa alasan mengapa pendekatan terpadu ini
dikembangkan didorong oleh banyak keuntungan termasuk:

cakupan yang lebih besar dari alam semesta audit.

Memungkinkan akses audit untuk daerah baru.
Komitmen / dukungan dari pemilik departemen / proses keseluruhan.
masalah 'gambaran yang lebih besar' Alamat.
Kesempatan untuk menjual audit dalam cahaya baru.
tren umum / keprihatinan diidentifikasi.
Kecepatan.

Pada saat yang sama, ada beberapa kesulitan yang harus diatasi:

Apakah tidak mencakup kontrol bisnis / proses tertentu.

Isu yang diangkat tidak dilaporkan ke Komite Audit juga secara resmi ditindaklanjuti.
Kesulitan dalam mendapatkan 'benar' peserta;
Teknologi tergantung;
pertanyaan Standard.

The 'Audit terintegrasi' menggunakan teknik CSA telah digunakan pada audit proses operasional
utama termasuk tim manajemen senior dan daerah lain. Sebelum ini, pendekatan audit tradisional tua
didasarkan pada tahapan kunci berikut:
1.
2.
3.
4.
5.
6.
7.

Penelitian
Latar Belakang
Diskusi dengan manajemen
Menghasilkan rancangan risiko utama dan kontrol matriks (KRCM)
pertemuan lebih lanjut setuju KRCM
Uji paling kontrol
Laporan Hasil

Sayangnya, proses ini cenderung mengarah ke:

Keterlibatan Minimal staf.

Staf menyadari apa yang sedang melakukan Audit Internal.
Staf tidak merasa manfaat dari audit

Pendekatan terpadu yang baru berbeda dari ini dan melibatkan:

1.
2.
3.
4.
5.

Penelitian Latar Belakang dan presentasi

Lakukan lokakarya CSA dengan staf
Lokakarya dengan staf dan manajemen untuk menghasilkan KRCM
kontrol kunci Uji
Hasil Laporan

Dengan cara ini, Kanada Hidup mampu menambah nilai produk audit dan aman:

Peningkatan staf pemahaman Audit Internal.

Keterlibatan staf yang lebih besar dalam menilai proses mereka sendiri.
apresiasi Staf risiko dan kontrol.

Beralih ke lima tahap kunci dari pendekatan terpadu, ini dapat diperluas sebagai berikut:
1. Latar belakang penelitian dan presentasi: Kami memulai proses audit dengan mencari tahu
tentang daerah dikaji dengan melakukan meja survei biasa dan penelitian dasar untuk mengisolasi
informasi umum yang membantu pemahaman kita tentang orang-orang, proses dan prosedur yang
bersangkutan. Ini diikuti dengan presentasi PowerPoint resmi kepada tim kerja pada pendekatan
audit dan latar belakang manajemen risiko dan pengendalian. Presentasi meliputi:

Tujuan dari audit internal - yang adalah untuk menyediakan Dewan dan Manajemen
dengan kepastian terhadap efektivitas kontrol atas operasi bisnis. Ini memerlukan
mengidentifikasi risiko, meninjau teknik kontrol untuk kecukupan dan efektivitas
kemudian menghasilkan laporan untuk manajemen dengan aksi yang disepakati jika
diperlukan untuk mengurangi risiko.
perbandingan yang lama dan baru (terintegrasi) pendekatan audit internal.
alasan mengapa pendekatan ini diubah - yaitu untuk memberikan cakupan yang lebih
komprehensif dan rinci dari area bisnis, meningkatkan / menurunkan saling
menguntungkan.
memperkuat pandangan bahwa orang yang melakukan tugas memahami lebih baik
daripada orang lain - yaitu staf sendiri!
resiko manajemen dan seluruh lingkup tujuan menentukan, risiko yang melekat dan
strategi manajemen risiko.
yang CoCo model kontrol dan bagaimana ini menciptakan sebuah kerangka kerja yang
dinamis untuk mengembangkan dan meninjau kontrol internal.
yang perbedaan antara kontrol keras (seperti tanda tangan otorisasi, dokumentasi, batas,
rekonsiliasi, daftar periksa, pengawasan dan pengecualian) dan kontrol lembut seperti
kerja sama tim, kepemimpinan, moral, pelatihan dan komunikasi.
Risiko kategori - risiko pasar, risiko kredit, risiko asuransi, risiko likuiditas, risiko
operasional, risiko hukum dan peraturan dan strategis / risiko perusahaan.
yang cara penilaian risiko dan kontrol kerja tersapu ke Kanada Hidup ' kunci risiko dan
pengendalian Format matriks sebagai bagian dari perusahaan ' manajemen risiko
perusahaan-lebar dan pengaturan pelaporan tata kelola perusahaan. The KRCM
merangkum semua risiko yang melekat yang luas atau proses dikenai dan potensi
implikasi / konsekuensi, kontrol di tempat yang berusaha untuk mengelola risiko-risiko
dan penilaian seberapa efektif kontrol bekerja.
menutup presentasi dan meminta setiap pertanyaan .

2. Lakukan lokakarya CSA dengan staf: Memiliki ' dijual ' nilai pendekatan audit, manajemen risiko
dan pengendalian internal, kita kemudian membentuk tim untuk mengisolasi risiko utama mereka
sebelum kita mulai audit yang tepat. Ini memerlukan dua bagian terpisah dari hari ' lokakarya
s. Bagian pertama menggabungkan ' Post-it ' latihan catatan untuk mendapatkan penilaian dari
tim ' pandangan s pada hambatan saat mencegah, dan kekuatan saat membantu, tim memenuhi
tujuannya. Bagian dua meminta mereka serangkaian pertanyaan standar (bertanya pada setiap sesi)
berbasis di sekitar CoCo Model pada tujuan, komitmen, kemampuan dan belajar untuk mendapatkan
gambaran yang lebih lengkap dari isu-isu dalam daerah. Proses CSA adalah interaktif, menggunakan
teknologi pemungutan suara elektronik di seluruh dan menangkap tim ' komentar s pada
laptop.Semua voting dan komentar ditangkap ditampilkan ke dan setuju dengan tim di sesi.
3. Lokakarya dengan staf dan manajemen untuk menghasilkan KRCM: tahap berikutnya ini
dirancang untuk membangun risiko utama dan kontrol matriks sebagai bagian utama dari pelaporan
jaminan. Tujuannya di sini adalah untuk menyelesaikan KRCM dengan cara yang paling efisien namun
efektif dengan memiliki semua, atau representasi yang realistis dari, staf kunci yang terlibat di
departemen / proses, yang terlibat dalam workshop ini pada waktu yang sama. Pendekatan ini
menghindari memperbarui konstan KRCM dengan pandangan yang berbeda / komentar dan harus
memfasilitasi produksi yang akurat dan disepakati KRCM dalam satu sesi.
4. Uji kontrol kunci: Salah satu perbedaan dengan CSA sebagai proses manajemen adalah bahwa
tidak ada pengujian dilakukan selama lokakarya. Menggunakan CSA sebagai alat audit, kami
dapat fokus strategi pengujian terhadap daerah berisiko tinggi dan kontrol kunci. Hal ini penting

dalam audit berbasis risiko - sebagai tim mengidentifikasi dan menilai risiko operasional mereka dan
kemudian bekerja keluar bagaimana mengelola mereka. Sementara kita membangun pekerjaan ini
dengan mengarahkan tes audit kami ke daerah mereka telah diidentifikasi sebagai aspek risiko tinggi
operasi. Pengujian yang dilakukan akan memperhitungkan semua bidang utama risiko diidentifikasi
dalam CSA dan lokakarya KRCM dan akan berusaha untuk mengkonfirmasi keberadaan dan operasi
yang efektif dari setiap kontrol yang meringankan diidentifikasi dalam proses.
5. Menghasilkan laporan: Laporan ini lebih dari sebuah rencana aksi yang disepakati yang berasal
dari upaya gabungan dari klien dan auditor bekerja sama dengan tujuan umum untuk meningkatkan
proses manajemen risiko dan lingkungan pengendalian yang mendasari. Masalah utama yang
diidentifikasi dalam lokakarya CSA termasuk dalam laporan audit akhir. Mereka karena itu secara
resmi dilaporkan ke manajemen senior dan komite audit dan merupakan bagian dari bulanan tindak
lanjut dari masalah audit yang luar biasa.
Pendekatan terpadu kami untuk audit lebih signifikan kami menggabungkan jaminan dan
konsultasi peran audit internal. Dengan cara ini, kita dapat mendorong (dan melengkapi) manajer klien
dan staf mereka untuk mengembangkan sistem yang baik dari manajemen risiko dan pengendalian
internal yang mendasari. Kami juga mampu mengarahkan audit kami menuju daerah risiko tinggi, dan
mandiri menguji dan menjelajahi setiap bidang yang menjadi perhatian. Sementara itu, kami bekerja sama
dengan tim kerja operasional dan Manajemen Risiko untuk meningkatkan kinerja bisnis di Kanada Life.
audit terpadu dapat memberikan cara menarik menyempurnakan proses audit, menambahkan
nilai lebih pada produk audit. Telah menyarankan bahwa:
Pendekatan perusahaan bijaksana tidak melihat CRSA sebagai alternatif untuk audit internal,
melainkan untuk mengkoordinasikan CRSA dengan proses audit internal dan melihat mereka cara
sebagai pelengkap menilai risiko dan pengendalian. audit internal konvensional memiliki keuntungan
bahwa temuan audit didukung oleh bukti-bukti yang standar audit internal perlu terkandung dalam
catatan perikatan audit. 'Bukti' dalam program CRSA adalah, dalam utama, dipegang oleh
pengetahuan dan pengalaman yang peserta membawa ke bengkel CRSA - yang memiliki keuntungan
sendiri sebagai 'know-how' mereka kemungkinan akan melebihi apa yang dapat diperoleh dengan
auditor internal yang tunggal atau oleh tim audit internal selama kerja lapangan singkat tentang
penugasan audit

7.5. Investigasi Penipuan

Penipuan adalah bisnis besar dan skala nyata mungkin tidak diketahui. CIPFA telah mendefinisikan
tiga kategori penipuan:
1. mereka yang dikenal dan dicatat publik;
2. orang-orang yang dikenal hanya dalam organisasi dan yang tidak akan dibawa ke arena
publik; dan
3. orang-orang yang, belum, undiscovered.26
Ini adalah kategori terakhir yang paling mengkhawatirkan - penipuan yang belum muncul ke
permukaan. Penipuan timbul ketika 'sesuatu yang salah' dan ini berimplikasi pada sistem pengendalian
internal. Karena begitu sensitif, manajemen menjadi putus asa untuk menyelidiki dan memecahkan
dugaan penipuan. Mereka membutuhkan dukungan sebanyak mungkin dan umumnya beralih ke audit

internal untuk bimbingan. Fungsi audit harus memiliki pengetahuan luas tentang penipuan dan
bagaimana mereka diselidiki, jika layanan yang disediakan oleh mereka sebagai lawan menjadi tanggung
jawab tim penipuan spesialis. Bagian ini merangkum pengetahuan minimum untuk auditor. Sebuah survei
yang dilakukan oleh Manajemen Hari ini dan KPMG Akuntansi Forensik menunjukkan bahwa:
'Perilaku tidak etis' - dari pencurian pena dan berselancar sambil bersih di tempat kerja untuk
penipuan langsung - tetap endemik di tempat kerja Inggris. Dan berjalan dari ruang rapat ke lantai
toko. Meskipun sebagian besar manajer memiliki pendekatan fundamental etika bisnis, mayoritas
menyadari perilaku tidak jujur di tempat kerja, tetapi menerimanya sebagai tak
terelakkan.Mereka hanya biaya itu ke dalam operasi dan tidak meniup peluit pada offenders.27
Survei lain yang melibatkan eksekutif senior dari 10.000 organisasi yang mewakili lebih dari 30 industri
yang berbeda di 15 negara menyimpulkan bahwa (ekstrak saja):

. 82% dari semua penipuan dikenal yang dilakukan oleh karyawan.

Sepertiga dari ini yang dilakukan oleh manajemen.
kecenderungan yang lebih besar di antara manajer untuk melakukan aksi penipuan.
Organisasi yang belum dilakukan ulasan penipuan kerentanan hampir dua-pertiga lebih
mungkin untuk menderita penipuan dalam 12 bulan sebelumnya.
40% dari peserta yang berpikir organisasi mereka rentan terhadap penipuan
menunjukkan bahwa organisasi mereka tidak memiliki kebijakan khusus sehubungan
dengan pelaporan penipuan.
80% dari responden yang telah menggunakan akuntan forensik menyatakan kepuasan
mereka dengan pekerjaan yang dilakukan.
Hampir dua pertiga dari peserta organisasi telah ditipu dalam 12 bulan terakhir.
Hampir satu dari sepuluh menderita lebih dari 50 frauds.28

The ACFE 2002 Laporan kepada Bangsa memperkirakan bahwa untuk AS, 6% dari pendapatan ($
600.000.000.000) hilang pada tahun 2002 sebagai akibat dari penipuan dan penyalahgunaan
kerja. Laporan itu menyimpulkan:

. Penipuan dan penyalahgunaan kerja merupakan masalah serius bagi organisasi;

kas adalah aset yang paling sering menjadi sasaran karyawan yang tidak jujur;
kebanyakan penipuan kerja sedang berlangsung;
penipuan yang paling mahal yang dilakukan oleh eksekutif pria senior yang terdidik;
pengendalian internal adalah pencegah penipuan kerja;
kondisi tempat kerja mempengaruhi tingkat penipuan dalam suatu organisasi;
cara yang paling efektif untuk mendeteksi kecurangan kerja adalah melalui tips dan
keluhan;
audit dan langkah-langkah anti-penipuan lainnya yang efektif dalam mengurangi biaya
penipuan kerja
dan penyalahgunaan, dan
karyawan pendidikan merupakan aspek penting untuk mencegah penipuan dan
penyalahgunaan kerja.

2008 Laporan kepada Nation yang disediakan kesimpulan mengkhawatirkan berikut:

Peserta dalam survei kami memperkirakan bahwa organisasi US kehilangan 7% dari pendapatan tahunan
mereka untuk penipuan.Diterapkan untuk 2008 Amerika Serikat Produk Domestik Bruto proyeksi, angka
ini 7% diterjemahkan menjadi sekitar $ 994.000.000.000 kerugian penipuan.
Hal ini sangat sulit untuk mendapatkan statistik yang dapat diandalkan tentang penipuan karyawan. CIFAS
(Inggris layanan pencegahan penipuan - www.cifas.org.uk) membuat jelas bahwa tidak semua kasus
penipuan membuatnya ke pengadilan, sehingga angka pada kasus pengadilan bisa diandalkan. Sebuah
proyek penelitian CIFAS menyarankan bahwa penipuan perusahaan UK berdiri di 40 juta pa melibatkan
lebih dari 1.500 pemecatan staf meskipun mereka mengakui bahwa angka ini bisa jauh lebih tinggi.
Apa yang di Risiko?
Analisis pencurian dan penipuan di departemen pemerintah untuk tahun 2001 melaporkan bahwa
beberapa 51% dari badan pemerintah melaporkan tidak ada penipuan, sementara yang lain 49%
melaporkan 539 kasus dengan nilai 1,6 juta. Jenis penipuan dilaporkan termasuk:
Jenis penipuan:

Jumlah

Nilai

Pencairan penipuan instrumen hutang

1%

1%

Penyalahgunaan kas

14%

4%

Pencurian aset

33%

25%

Proyek pekerjaan jasa

2%

3%

Wisata dan subsisten

12%

8%

Alat pembayaran diterima pada dokumen palsu

6%

49%

klaim palsu untuk jam kerja

11%

3%

Lainnya

21%

7%

Beberapa daerah risiko utama untuk penipuan karyawan meliputi:

debitur

Kas

Payroll

kontrak modal besar

Kontrak pendapatan

akuisisi komputer Major

Akses komputer

item portabel Menarik (misalnya laptop)

Sektor publik manfaat

hibah Pemerintah

beban

Stock

Cek ditarik

kreditur dan pembayaran

hipotek

Wisma

Petty cash

referensi Rekrutmen

Lembur dan karyawan

klaim Informasi rahasia

Subsidi mengklaim

Kartu kredit

Chip memori computer

KNO Perusahaan

DEFINISI FRAUD
The IIA mendefinisikan fraud sebagai:
Setiap tindakan ilegal yang ditandai dengan tipu daya, penyembunyian, atau pelanggaran
kepercayaan. tindakan ini tidak tergantung pada ancaman kekerasan atau kekuatan fisik.
Penipuan yang dilakukan oleh partai dan organisasi untuk memperoleh uang, properti, atau jasa; untuk
menghindari pembayaran atau kerugian jasa; atau untuk mengamankan keuntungan pribadi atau bisnis.
The ACFE mendefinisikan penipuan kerja sebagai: 'Penggunaan pendudukan seseorang untuk pengayaan
pribadi melalui penyalahgunaan yang disengaja atau kesalahan sumber daya organisasi yang
mempekerjakan atau assets.'29
Inggris 2006 Undang-Undang Penipuan dirancang untuk mengatasi ancaman penipuan dengan membuat
ketentuan untuk, dan sehubungan dengan, tanggung jawab pidana untuk penipuan dan layanan
memperoleh jujur
1. representasi palsu
2. gagal untuk mengungkapkan informasi
3. penyalahgunaan posisi.
Tindakan ini juga menciptakan pelanggaran baru kepemilikan dan pembuatan atau penyediaan artikel
untuk digunakan dalam penipuan, dan pelanggaran baru memperoleh layanan tidak jujur. Pelanggaran
perdagangan penipuan diperpanjang untuk pedagang tunggal.
Penipuan dapat terjadi di mana kesalahan yang tidak bersalah telah terdeteksi sehingga
kemampuan untuk menembus keamanan sistem menjadi jelas. Setelah anggota staf bintik kelemahan
sistem, dapat digunakan untuk melakukan penipuan. Kelemahan ini dapat terdiri dari prosedur yang tidak
jelas yang mencakup hak akses ke sistem komputerisasi di mana ada sedikit perbedaan antara karya sah
dan tidak sah. Beberapa berpendapat bahwa persamaan ini penting:
Motif + Berarti + oppurtunity = Penipuan

Berikut orang dengan:

alasan (mengatakan membayar jumlah besar tunjangan),

kemampuan (dalam keterampilan teknis atau lainnya yang hadir) dan
ccess (mungkin dengan kesempatan untuk menyembunyikan perbuatan curang)

mungkin siap untuk melakukan penipuan terhadap sebuah organisasi. Penipuan dapat dilakukan secara
internal oleh karyawan maupun eksternal oleh pihak ketiga. Ini mungkin terdiri dari konspirasi antara
pihak luar dan seorang karyawan, seperti dengan banyak penipuan kontrak. Penipuan dapat:
Rumit Ini mungkin dilakukan oleh seseorang dengan keahlian khusus di daerah. Tindakan individu
mungkin tampak normal bagi orang luar tanpa pengalaman. Contohnya adalah ketika bahan bakar
diangkut; mengembang dan akan muncul untuk menjadi volume yang lebih besar. Tindakan hanya
menjual bahan bakar berdasarkan nilai setelah transportasi tidak dapat dipandang sebagai suatu
penipuan yang sebenarnya.
Sederhana Beberapa penipuan mungkin sangat sederhana dan melibatkan penyesuaian dasar untuk
dokumen. Salah satu penipuan didasarkan pada penggunaan Tipp-Ex cairan menghapus pada dokumen
fotokopi yang tertipu bank ke berpisah dengan 6,7 juta, melalui transfer ke bank di luar negeri.
Menjadi salah satu-off atau kontinu Seorang penjahat dapat mencuri cek, terus jumlah yang
membuatnya lebih besar dalam nilai dan kemudian membayar ke rekening bank khusus dibuka. Pelaku
akan berharap untuk pergi sebelum kerugian tersebut ditemukan. Seorang karyawan mungkin
memalsukan klaim kas kecil dari nilai wajar selama periode waktu yang panjang sehingga jumlah
keseluruhan menjadi material. Dalam kasus pertama, waktu merupakan faktor penting untuk menangkap
pelakunya. Dalam kasus kedua latihan melelahkan mungkin diperlukan untuk mengumpulkan semua
klaim palsu sehingga berat jelas bukti terakumulasi di seluruh penyelidikan.
Hati-hati direncanakan A penipuan dapat direncanakan dalam jangka panjang di mana semua celah
dianggap sebelum dilakukan.Mungkin dalam peristiwa normal itu tidak akan ditemukan dan hanya datang
ke cahaya ketika pemeriksaan tambahan yang dibuat.Orang luar akan memiliki banyak kesulitan dalam
mengungkap jenis penipuan tanpa tip off.
Melibatkan jumlah rutin Beberapa penipuan yang digunakan untuk top up gaji dan melibatkan jumlah
yang teratur. Penyalahgunaan toko mungkin masuk ke dalam kategori ini sehingga setiap pencurian tanpa
diketahui. Masalah utama adalah bahwa informasi manajemen, mungkin untuk beberapa waktu,
berdasarkan angka kempes dan tidak memberikan petunjuk apapun di bawah deklarasi.Jumlah yang
diterima kemudian mungkin tampak apa yang diharapkan dan semua pihak puas. Beberapa orang melihat
ini sebagai merembes dari pekerjaan. Pedagang lokal dapat memilih untuk membayar menolak sejumlah
kolektor uang tunai daripada resmi (dan lebih mahal) rekening yang diajukan oleh otoritas lokal untuk
menghilangkan perdagangan menolak. Pada skala yang, Bank of Credit dan skandal Commerce
International tahun 1990-an terkena sebuah organisasi yang terlibat dalam penipuan pada sehari-hari.
Akan dilakukan oleh perwira senior Skenario dari manajer senior yang lama melayani yang memiliki rasa
tidak suka untuk auditor internal terlihat di banyak departemen. Jawaban yang tidak masuk akal dapat
diberikan kepada auditor junior yang merasa tidak mampu untuk menantang manajer. Manajer kemudian
mungkin bersikeras bahwa 'mendapatkan sesuatu' lebih penting daripada mematuhi prosedur resmi dan

argumen ini dapat digunakan waktu dan waktu lagi. Jika karyawan ini tidak melakukan dengan baik, maka
atasan tidak mungkin menggali terlalu dalam ke dalam kegiatan mereka dan kontrol istirahat turun. Staf
senior memiliki hak akses yang lebih besar dan mungkin dapat mengotorisasi transaksi diskresioner tanpa
tantangan. Pandangan bahwa semua staf senior secara alami dapat dipercaya tidak selalu
benar. Penipuan yang dilakukan oleh almarhum Robert Maxwell yang berbasis di sekitar sebuah organisasi
di mana staf merasa mereka tidak bisa menantangnya.
Melibatkan sejumlah besar Salah satu jenis penipuan yang profil tinggi berkaitan dengan subsidi Euro. Di
masa lalu, Komisi telah dianulir lebih dari 1 miliar sebagai belanja tidak benar terjadi.

Empat Komponen
Penipuan adalah tindakan penipuan untuk mendapatkan keuntungan atau milik orang lain dengan empat
komponen utama:
Motif. Harus ada motif penipuan. Ini mungkin bahwa karyawan tidak puas atau dalam kesulitan
keuangan. Dalam kasus non-karyawan, harus ada alasan mengapa penipuan yang dilakukan. Baik
manajemen sumber daya manusia terus karyawan puas dan menurunkan motif non-keuangan untuk
terlibat dalam penipuan.
Objek wisata. Laba atau keuntungan dijamin harus memiliki daya tarik bagi pelaku. Ini bervariasi dan
dapat memberikan keuntungan bagi orang yang terkait, misalnya, pemohon KPR.
Peluang. Harus ada kesempatan yang memadai. Seseorang mungkin ingin untuk menipu sebuah
organisasi dan tahu persis apa yang akan diperoleh, tapi tanpa peluang, mungkin tidak pernah
terjadi. Kontrol preventif harus digunakan untuk menjaga terhadap kemungkinan penipuan dengan
mengurangi peluang. Bahkan, sebuah laporan oleh University of Nottingham Business School (ditugaskan
oleh Bisnis Pertahanan Eropa) berdasarkan studi dari 200 perusahaan, mengklaim bahwa manajer
menengah sangat mungkin untuk menipu karena mereka memiliki pengetahuan yang mendalam tentang
bagaimana perusahaan mereka bekerja dan tahu bagaimana untuk menutupi tracks.30 mereka
Penyembunyian. Berbeda dengan pencurian, penipuan memiliki unsur penyembunyian. Hal ini dapat
dengan akuntansi palsu yang merupakan tindak pidana. Hal ini membuat sulit untuk mengungkap dan
memungkinkan penipuan diulang Mort Dittenhofer telah menggunakan tiga faktor utama, tekanan,
kesempatan dan integritas, untuk menilai kemungkinan penipuan:
TEKANAN

PELUANG

INTEGRITAS

POSSIBLE RESULT

TINGGI

TINGGI

PENIPUAN

RENDAH

TINGGI

TINGGI

GODAAN

TINGGI

LOW

TINGGI

TINGGI

NO PENIPUAN

LOW

LOW

TINGGI

NO PENIPUAN

TINGGI

RENDAH

TEMPTATION31

TINGGI

Penyebab penipuan akan bervariasi tetapi dalam hal penipuan pemerintah melaporkan penyebab
penipuan telah terdaftar sebagai:
Penyebab:

Nilai

Jumlah

Tidak adanya kontrol yang tepat

24%

14%

Kurangnya pemisahan tugas

1%

1%

Kolusi dengan orang di luar departemen

8%

31%

Kegagalan untuk mematuhi prosedur pengendalian

50%

48%

Kolusi dalam departemen

3%

4%

Lainnya

3%

2%

Jenis Penipuan
Tidak ada definisi hukum penipuan. penipuan yang mungkin dilakukan oleh orang dalam atau
orang luar dan organisasi dapat melaksanakan penipuan dengan, katakanlah, melebih-lebihkan
pendapatannya. Kisah yang terkait dengan penipuan adalah:

Pencurian
ini mencakup memperoleh properti dengan penipuan dan akuntansi palsu. Hal ini didefinisikan
sebagai 'tidak jujur mengambil alih properti milik lain dengan tujuan permanen merampas lain dari
itu. Pencurian Act 1968, pasal 17 meliputi akuntansi palsu yang mungkin biaya yang paling umum dari
penipuan:
Di mana seseorang tidak jujur dengan maksud untuk memperoleh untuk dirinya sendiri atau yang
lain atau dengan maksud untuk menyebabkan kerugian yang lain (a) menghancurkan, defaces,
menyembunyikan atau memalsukan akun atau catatan atau dokumen yang dibuat atau diperlukan untuk
tujuan akuntansi apapun; atau (b) dalam pemberian informasi untuk tujuan apapun, menghasilkan atau
memanfaatkan catatan tersebut atau dokumen seperti tersebut di atas, yang pengetahuannya adalah
atau dapat menyesatkan, palsu atau menipu dengan cara material.
Pencurian Act 1968, bagian 22 selimut dicuri barang dan memberikan yang 'Seseorang menangani
barang curian jika (selain dalam rangka mencuri) sadar atau percaya bahwa mereka dicuri dia tidak jujur
menerima barang, atau tidak jujur melakukan atau membantu dalam retensi mereka , penghapusan,
pembuangan atau realisasi oleh atau untuk kepentingan orang lain, atau jika ia mengatur untuk
melakukannya.

Suap dan korupsi

Pencegahan Korupsi Kisah 1889-1916 berlaku untuk pemerintah daerah dan memberikan yang
'uang, hadiah atau yang dibayar atau diterima akan dianggap telah dibayar atau diterima korup sebagai
bujukan atau hadiah kecuali sebaliknya terbukti.' Pemerintah Act Local tahun 1972, bagian 117 (2)
menyatakan bahwa seorang perwira seharusnya tidak di bawah 'warna kantornya atau pekerjaan'

menerima fee atau imbalan apapun selain remunerasi yang tepat nya. Pemerintah Act Local tahun 1972,
bagian 117 (1) menyatakan bahwa:
Jika datang ke pengetahuan dari setiap petugas yang bekerja, apakah di bawah undang-undang
ini atau berlakunya lain, oleh otoritas lokal yang minat berupa uang, baik langsung maupun tidak
langsung (tidak menjadi kontrak yang ia sendiri pesta), telah, atau diusulkan untuk menjadi, yang
diberlakukan oleh otoritas atau komite daripadanya, ia akan segera memberi pemberitahuan
praktis secara tertulis kepada otoritas fakta bahwa ia tertarik di dalamnya.
Komisi Audit mendefinisikan korupsi sebagai 'korban, memberikan, meminta atau menerima
suatubujukan atau hadiah yang dapat mempengaruhi tindakan yang diambil oleh otoritas. "

Pemalsuan
'Seseorang bersalah karena pemalsuan jika ia membuat instrumen palsu dengan maksud bahwa ia atau
yang lain akan menggunakannya untuk mendorong seseorang untuk menerimanya sebagai asli dan
dengan alasan sehingga menerimanya, untuk melakukan, atau tidak untuk melakukan beberapa tindakan
untuk sendiri atau prasangka beberapa orang lain. '

Konspirasi
ini melibatkan perjanjian melanggar hukum oleh dua orang atau lebih untuk melaksanakan tujuan
bersama yang melanggar hukum atau tujuan yang sama halal dengan cara melanggar hukum. Ini akan
mencakup kolusi untuk menimpa kontrol internal.
Ada tindakan lain yang jatuh di bawah kategori generik penipuan, termasuk:

sumpah palsu
penyembunyian (informasi)
penipuan perdagangan (misalnya ketidakmampuan untuk membayar kreditur)
konversi (curang mendukung cek)
saji keuangan

penghapusan yang tidak sah dan melanggar prosedur internal juga dapat diselidiki tetapi ini dilihat sebagai
hal disiplin internal tanpa implikasi pidana. Cybercrime adalah masalah yang berkembang dan survei oleh
Konfederasi Industri Inggris ditempatkan jenis cybercrime agar ancaman yang dirasakan:
virus Hacking

Versi terdistorsi dari situs penipuan kartu kredit

Akses database ilegal komentar buruk di Internet

Efek dan penipuan keuangan Pencucian uang

Pelanggaran hak kekayaan intelektual masalah

kewajiban Hukum
survei melaporkan bahwa pelaku utama adalah hacker (45%), mantan karyawan (13%) dan karyawan
(11%). 33 Peraturan penyelidikan Powers Act 2000 dibuat tindak pidana baru dan tort intersepsi sah
komunikasi yang ditransmisikan dengan cara tertentu. transmisi tertentu dapat dicegat jika resmi dan
Sekretaris Negara dapat menerbitkan waran intersepsi untuk tujuan tertentu dan memerlukan
pengungkapan kunci enkripsi. tanda tangan elektronik terdiri dari kunci enkripsi publik terkait dengan

sebuah kunci pribadi, sehingga pesan yang aman selama pengguna resmi mengirimkan pesan. Electronic
Communications Act 2000 memungkinkan perangkat ini untuk disampaikan di pengadilan sebagai bukti,
seperti yang akan tanda tangan tradisional.Undang-Undang berisi pengaturan untuk Sekretaris Negara
untuk mempertahankan daftar penyedia kriptografi disetujui. pencucian uang juga menjadi perhatian
berkembang dan merupakan pelanggaran:

bagi setiap orang untuk memberikan bantuan kepada seorang penjahat untuk
mempertahankan, menyembunyikan atau menginvestasikan dana jika orang yang tahu
atau mencurigai bahwa dana hasil cri saya; definisi kejahatan untuk tujuan pencucian uang
sekarang sangat luas dan mencakup hasil apa pun dari pencurian ke penggelapan pajak;
berprasangka pencucian uang investigasi oleh menginformasikan pihak ketiga bahwa
penyelidikan sedang berlangsung;
tidak melaporkan dugaan pencucian yang berkaitan dengan obat-obatan atau terorisme.

perusahaan jasa keuangan memiliki persyaratan tambahan untuk memverifikasi identitas pelanggan
dan untuk mengidentifikasi transactions.34 mencurigakan
Sementara itu, ACFE memiliki tiga kategori dasar penipuan kerja:
1. penyelewengan aset. 86% kasus dan 90% melibatkan pencurian uang tunai.
2. korupsi - penggunaan yang salah dari pengaruh misalnya suap.
3. laporan penipuan - falsification.35

Indikator Penipuan
Penipuan biasanya ditemukan melalui keberuntungan atau pihak ketiga informasi sementara
beberapa yang ditemukan selama ulasan audit, atau melalui kontrol atau dengan manajemen lini. Berikut
ini adalah Iindicators penipuan

Tren aneh yang dipamerkan di mana angka perbandingan bergerak dalam mode
dijelaskan. Misalnya, pola pengeluaran pada item portabel yang menarik bisa tiba-tiba
meningkat selama musim Natal atau tetes dijelaskan pendapatan mungkin Appe ar pada hasil
pendapatan. Hal ini tidak diketahui untuk menghabiskan terhadap anggaran pendapatan untuk
meningkatkan menjelang akhir tahun keuangan.
Dokumen ditulis ulang dan / atau diubah mungkin bukti perubahan yang tidak sah
untuk menutup-nutupi penipuan.
Dokumen yang hilang mungkin sinyal penipuan di mana barang-barang yang sensitif seperti
terpakai cek atau formulir pemesanan. Komputer dapat mencetak hilang item dengan
mengisolasi kesenjangan dalam penomoran berurutan.
Tipp-Ex (menghapus cairan) diterapkan untuk dokumen mungkin menunjukkan perubahan yang
tidak sah. Ini bisa dengan mudah digunakan dengan fotokopi untuk membuat file dokumen
terdistorsi. Kita biasanya dapat melihat entri asli dengan mengangkat sisi sebaliknya dari
dokumen asli terhadap cahaya. Fotokopi menggantikan asli dapat segera dirusak sejak fotokopi
dapat membuat tidak mungkin untuk mengungkap perubahan dengan aslinya.
Keluhan dari pemasok yang tidak mengikat dengan catatan harus waspada yang
potensial masalah. Jadi jika pemasok mengklaim bahwa pembayaran mereka tidak diterima,

meskipun cek telah dicairkan, ini mungkin berarti bahwa uang tersebut telah dialihkan ke
rekening yang salah.
Kebiasaan sosial dari staf kadang-kadang digunakan sebagai contoh indikator penipuan terutama
di mana mereka tampaknya hidup di luar kemampuan mereka. Ini harus digunakan dengan hatihati karena ada jarang orang memiliki lebih dari satu sumber pendapatan. Beberapa penipu tiba
di tempat kerja sangat awal di pagi hari atau tinggal larut malam ketika mereka dapat mengubah
catatan tidak teramati. Lainnya memiliki kecemburuan obsesif atas pekerjaan mereka dan
membenci intrusi atau mengambil sedikit cuti tahunan sama sekali.
Situasi yang tidak biasa lainnya timbul seperti void berlebihan, menulis-off, personel yang tidak
sah akses, harga kontrak realistis, orang terlalu kooperatif, vendor meningkatkan faktur, catatancatatan pendukung tidak tersedia, non-serial-nomor dokumen, satu orang di kontrol, kesediaan
untuk menyelesaikan klaim, berlebihan write-off, banyak jurnal, staf kunci pada upah
rendah, tidak ada anti-fraud kebijakan, pemahaman yang buruk dari kontrol, sejarah kepatuhan
miskin, hubungan yang buruk antara audit dan manajemen, pengawasan manajemen sedikit,
akuntabilitas miskin, miskin screening perekrutan, rendah moral karyawan, karyawan yang
bekerja jam unsocial tanpa pengawasan, tidak ada kesadaran keamanan, transaksi tunai yang
besar, transaksi yang kompleks, baru sistem akuntansi, surat konfirmasi tidak dikirim, kontrak
dengan spesifikasi miskin, tidak ada tender, perubahan harga, negosiasi pasca-tender, out- ofkeseimbangan buku besar, pembelian berlebihan dan perjalanan dan subsisten, karyawan hantu,
penyusutan persediaan, meningkat memo, besar satu-off pembayaran, berlebihan lembur
karyawan, faktur biasa, rasio aneh dan tren.

Banyak indikator pergi tanpa diketahui dan masalah muncul ketika, setelah penipuan telah
ditemukan, ada kritik yang ada jelas sesuatu yang salah yang seharusnya terlihat.
Ada karyawan yang waspada terhadap tanda-tanda ini dan selama organisasi mempromosikan
perilaku peringatan ini menjadi kontrol tambahan. Satu-satunya obat yang sebenarnya adalah kontrol
yang efektif.

Deteksi penipuan
The ACFE 2002 Laporan kepada Nation menunjukkan bahwa sumber utama deteksi di AS (Persentase
ditunjukkan dalam tanda kurung) berasal dari:
1.
2.
3.
4.
5.
6.
7.
8.
9.

tip dari karyawan (26%)

oleh kecelakaan (19%)
intern Audit (18%)
intern control (15%)
eksternal Audit (11%)
tip dari pelanggan (9%)
anonim tip (6%)
tip dari vendor (5%)
pemberitahuan oleh penegak hukum (2%).

Laporan Penipuan Pemerintah Inggris memiliki daftar yang berbeda dari cara penemuan

Metode deteksi:

Jumlah

Nilai

Operasi normal prosedur pengendalian

59%

56%

Audit internal

1%

1%

Kecurigaan

4%

2%

Kecelakaan

4%

2%

Informasi dari pihak ketiga

30%

39%

Audit eksternal

1%

1%

Pengakuan

1%

1%

Lainnya

1%

1%

Mendefinisikan Peran dalam Organisasi

Dalam hal deteksi penipuan, ada perbedaan yang jelas antara manajemen internal dan audit
peran:

Manajemen dan kegiatan audit internal memiliki peran yang berbeda-beda sehubungan dengan
deteksi penipuan.
Manajemen memiliki tanggung jawab untuk membangun dan memelihara sistem pengendalian
yang efektif pada biaya yang wajar.
Sebuah sistem pengendalian internal yang dirancang dengan baik seharusnya tidak kondusif
untuk penipuan. Tes yang dilakukan oleh auditor, bersama dengan kontrol yang wajar yang
ditetapkan oleh manajemen, meningkatkan kemungkinan bahwa setiap indikator fraud yang
ada akan terdeteksi dan dipertimbangkan untuk penyelidikan lebih lanjut.

Sebelum kita mempertimbangkan peran individu secara lebih rinci, kita dapat merujuk bimbingan
sebelumnya dari IIA.UK & Irlandia, yang menunjukkan bahwa semua organisasi harus mengidentifikasi
risiko penipuan dan dampaknya terhadap organisasi, dan karena itu harus:

. Mengatur nada dari atas dengan memiliki kebijakan bahwa penipuan akan tidak akan
ditoleransi dan penipu akan dituntut;
memiliki strategi mitigasi penipuan untuk mendeteksi dan mencegah akan penipu;
memiliki pengaturan rencana tanggap penipuan tahu persis apa langkah yang harus diambil jika
penipuan dilaporkan atau terdeteksi

Dalam mengirimkan luas ini, peran individu dalam hal penipuan adalah sebagai berikut:
Manajemen manajemen langsung bertanggung jawab untuk memastikan semua atau dugaan penipuan
dan penyimpangan yang diselidiki dan diselesaikan. Hal ini dicapai dengan mengenali risiko dan
membangun kontrol yang sesuai. Manajemen bertanggung jawab untuk memastikan penipuan tidak
terjadi. Eropa Konfederasi Institutes of Internal Audit (ECIIA) mengatakan bahwa:

Direktur, manajer dan seluruh karyawan harus dilatih dalam kesadaran penipuan. auditor internal
harus menerima pelatihan yang lebih luas dalam pencegahan penipuan dan deteksi dan diminta
untuk mempertahankan anup ke basis date pengetahuan disiplin ini. (Para. 1.4)
Informasi yang tersedia ke papan, komite audit dan manajemen senior sehubungan semua
operasi pengendalian internal - dan terutama mereka kontrol yang dirancang untuk mencegah
penipuan - akan ditingkatkan di mana fungsi audit internal di tempat, benar sumber daya dan
pelaporan pada tingkat tinggi . (Para. 1,5) 38
Audit internal audit internal bertanggung jawab untuk meninjau sistem cara meminimalkan risiko limbah,
pelanggaran prosedur, VFM miskin dan penipuan. Dalam hal audit referensi, di bawah lingkup audit,
muncul isu menjaga aset organisasi. Pertanyaan yang kemudian muncul, apakah ini adalah dalam hal
meninjau kontrol atas aset atau memeriksa apakah mereka benar dicatat dan mengambil tindakan jika
tidak. Pendekatan pertama adalah sistem berbasis, sedangkan yang kedua diarahkan ke pengujian
transaksi atau kejujuran berbasis.Pendekatan SBA menyediakan lebih efektif menggunakan sumber daya
audit tapi masalahnya adalah bahwa manajemen memang memiliki harapan bahwa audit akan membantu
mengungkap besar kesalahan / penyimpangan. Legislator juga cenderung untuk memegang pandangan
bahwa audit akan tetap memeriksa manajemen. Dalam beberapa organisasi, peran audit dan peran
penipuan peneliti dipisahkan, dan di departemen audit lainnya, banyak waktu yang dihabiskan untuk
penipuan yang bertentangan dengan ulasan direncanakan sistem. Ekstrim terjadi di mana kasus dirujuk
grosir untuk audit internal. Mereka diselidiki dan laporan audit mereka ke polisi di samping memulai
setiap sidang disipliner resultan terhadap karyawan yang bersangkutan. Organisasi harus bernegosiasi
peran audit dalam hal penipuan. Prinsip yang harus diterapkan adalah:

Piagam audit harus menetapkan peran audit dalam penipuan.

Organisasi harus menentukan kebijakan yang jelas tentang penipuan dan jika
ini melibatkan audit internal maka harus berkata begitu. Mungkin semua penipuan
dilaporkan dalam contoh pertama yang audit internal.
Dalam kebijakan organisasi, audit internal harus menetapkan perjanjian tingkat layanan
yang akan menjelaskan peran dalam penipuan. Ini harus disetujui oleh komite audit.
Apapun yang disepakati, jelas bahwa manajemen sepenuhnya bertanggung jawab untuk
menyelidiki dan menyelesaikan penipuan mereka dan keterlibatan audit internal, dalam
kenyataannya, pekerjaan konsultasi.
1. Model yang paling efektif adalah di mana manajemen memutuskan penipuan sendiri, sementara audit
internal memberikan peran penasehat. Jika benar diarahkan, manajemen dapat menggunakan
pengetahuan penutupan dari daerah yang terkena untuk mempercepat penyelidikan, sementara
audit yang memiliki kurva belajar sebelum pekerjaan dapat dilakukan. Jika manajemen terus keluar
dari penyelidikan karena kurangnya keterampilan, maka ia sedang kehilangan pengalaman ini yang
pernah diperoleh akan memungkinkan untuk menangani penipuan. Itu pengecualian utama adalah di
mana laporan tersebut akan tubuh luar atau sifat penipuan berimplikasi semua tingkatan manajemen
dan investigasi independen diperlukan.
2. Keputusan eksekutif harus dilakukan oleh manajemen yang harus melaksanakan tindakan yang
diperlukan untuk mengatasi penipuan. Bahkan di mana Audit melakukan pekerjaan penyelidikan,
adalah penting bahwa manajemen mengeluarkan instruksi yang dihasilkan.
3. Tempat audit menyelidiki penipuan yang mereka harus berhati-hati untuk tidak menjadi dimanipulasi
oleh pengelolaan. Jika
jelas
bahwa,
karena
mereka beh aviour ,
manajer
yang
Audit yang bekerja untuk ikut bertanggung jawab atas penyimpangan, maka pemeriksaan perlu
membersihkan pelaporan baris ke tingkat berikutnya manajemen. Partai dicurigai harus

4.

5.

6.

7.

8.

9.

diberi penuh kesempatan untuk menjelaskan tindakan dan manajemen mereka seharusnya tidak
berlaku penindasan. manajer telah dikenal untuk memberhentikan staf yang tidak bersalah dan
membayar mereka kompensasi konsekuensial di pengadilan kerja.
Setelah penipuan diselesaikan, pemeriksaan harus memastikan manajemen yang mengakui tanggung
jawabnya untuk menutup celah pengendalian internal. Satu harus berhati-hati bahwa audit tidak
digunakan untuk secara teratur mendisiplinkan staf karena manajemen tidak dapat diganggu untuk
menginstal kontrol internal yang efektif.
Dalam hal deteksi penipuan, IIA Atribut Standar 1210.A2 membuat jelas bahwa ' Auditor
internal harus memiliki pengetahuan yang cukup untuk mengevaluasi risiko penipuan dan cara yang
dikelola oleh organisasi, tetapi tidak diharapkan memiliki keahlian orang yang utama tanggung jawab
adalah detecti ng dan menyelidiki penipuan . "
keputusan eksekutif harus dilakukan oleh manajemen yang harus melaksanakan tindakan yang
diperlukan untuk memecahkan penipuan. Bahkan di mana Audit melakukan pekerjaan penyelidikan,
adalah penting bahwa manajemen mengeluarkan instruksi yang dihasilkan.
Dimana Audit menyelidiki penipuan mereka harus berhati-hati untuk tidak menjadi dimanipulasi oleh
manajemen. Jika jelas bahwa, karena perilaku mereka, para manajer yang audit bekerja untuk ikut
bertanggung jawab atas penyimpangan, maka pemeriksaan perlu clea r garis pelaporan ke tingkat
berikutnya manajemen. Partai dicurigai harus diberi kesempatan penuh untuk menjelaskan tindakan
dan manajemen mereka seharusnya tidak berlaku penindasan. Manajer telah dikenal untuk
memberhentikan staf yang tidak bersalah dan membayar mereka kompensasi konsekuensial di
pengadilan kerja.
Setelah penipuan diselesaikan, pemeriksaan harus memastikan manajemen yang mengakui tanggung
jawabnya untuk menutup celah pengendalian internal. Satu harus berhati-hati bahwa audit tidak
digunakan untuk secara teratur mendisiplinkan staf karena manajemen tidak dapat diganggu untuk
menginstal kontrol internal yang efektif.
Dalam hal deteksi penipuan, IIA Atribut Standar 1210.A2 membuat jelas bahwa 'Auditor internal harus
memiliki pengetahuan yang cukup untuk mengevaluasi risiko penipuan dan cara yang dikelola oleh
organisasi, tetapi tidak diharapkan memiliki keahlian dari orang yang tanggung jawab utama adalah
mendeteksi dan menyelidiki penipuan. "

The IIA. UK & Irlandia Pernyataan Posisi Penipuan lama berpendapat bahwa peran yang audit internal
bisa melakukan adalah sebagai berikut:

Meninjau proses pencegahan penipuan dan deteksi yang ditempatkan oleh manajemen;
Membantu manajemen untuk meningkatkan proses-proses tersebut;
Memimpin investigasi di mana diperlukan;
Penghubung dengan polisi;
Menangani pelapor.

Untuk tampilan pan-Eropa kita dapat kembali ke ECIIA, yang posisinya kertas pada penipuan
menjelaskan bahwa:

Audit internal dapat memberikan kontribusi yang signifikan untuk pencegahan penipuan dengan
melakukan peran utamanya menyediakan manajemen dengan (1) opini tentang efektivitas
pengendalian internal, (2) rekomendasi untuk perbaikan kontrol dan (3) informasi tentang teknik
terdepan untuk deteksi penipuan dan penilaian risiko. (Para. 1.6)
Audit internal dapat memberikan organisasi dengan lingkungan yang aman bagi karyawan untuk
meningkatkan kekhawatiran ketika hal itu dirasakan bahwa masalah ini tidak ditangani oleh manajer

lini. Sebuah proses rahasia, berdasarkan praktik terbaik, dapat diletakkan di tempat oleh auditor
internal yang secara resmi 'melompati' struktur hirarkis dan langsung dapat menginformasikan dewan
dan komite audit. (Para. 1.7)
Audit internal dapat membawa keterampilan yang investigasi, analisis dan pengumpulan bukti untuk
keadaan-keadaan di mana penipuan diduga. Beroperasi di bawah Piagam papan-disetujui, audit
internal dapat menyelidiki dan bukti aman ke titik di mana laporan dapat dibuat untuk otoritas
eksternal - jika yang sesuai - dengan kesempatan yang masuk akal dari penuntutan yang sukses
berikutnya. (Para. 1.8)

Auditor internal perlu berhati-hati saat melaksanakan tugas audit dan mempertimbangkan risiko
penipuan. Atribut IIA Standard 1220.A1 memperkuat kebutuhan untuk melakukan perawatan profesional
karena dengan mempertimbangkan:

Tingkat kerja yang diperlukan untuk mencapai tujuan keterlibatan ini;

kompleksitas relatif, materialitas, atau arti dari hal-hal yang prosedur jaminan yang diterapkan;
Kecukupan dan efektivitas pemerintahan, manajemen risiko, dan proses kontrol;
Probabilitas kesalahan yang signifikan, penipuan, atau ketidakpatuhan; dan
Biaya jaminan dalam kaitannya dengan potensi manfaat.

Auditor eksternal. Auditor eksternal harus memastikan bahwa manajemen telah mengambil
langkah-langkah untuk mengontrol penipuan, dan di mana hal ini tidak cukup, itu dapat disebut dalam
surat manajemen. Auditor eksternal akan memastikan bahwa penipuan dalam hal kemungkinan salah saji
material dari rekening dianggap ketika merencanakan audit dan meninjau kontrol internal. Mereka akan
menindaklanjuti indikator penipuan dan melaporkan hasilnya kepada manajemen dan auditor eksternal
mungkin diminta untuk memberikan saran manajemen tentang pencegahan penipuan. CFE Penipuan
Penguji Pedoman mencakup survei dari tanda-tanda peringatan potensi perusahaan akuntansi yang besar
'auditor penipuan keuangan-pernyataan - peringkat dalam urutan kepentingan:

Manajer telah berbohong kepada auditor atau telah terlalu mengelak dalam menanggapi
mengaudit pertanyaan.
Pengalaman auditor dengan manajemen menunjukkan tingkat ketidakjujuran.
Manajemen penekanan berlebihan pada rapat proyeksi laba atau target kuantitatif lainnya.
Manajemen telah terlibat dalam sering perselisihan dengan auditor, khususnya tentang aplikasi
agresif prinsip akuntansi yang meningkatkan laba.
Klien telah terlibat dalam opini belanja.
Sikap Manajemen terhadap pelaporan keuangan adalah terlalu agresif.
Klien memiliki lingkungan pengendalian yang lemah.
Sebagian besar kompensasi manajemen tergantung pada pemenuhan target diukur.
Manajemen menampilkan hormat signifikan bagi badan pengawas.
operasi dan keuangan keputusan Manajemen didominasi oleh satu orang atau beberapa orang
yang bertindak dalam konser.
Client manager menampilkan sikap bermusuhan terhadap auditor.
Manajemen menampilkan kecenderungan untuk mengambil risiko yang tidak semestinya.
Ada transaksi sering dan signifikan sulit-untuk-audit.
manajer Key dianggap sangat tidak masuk akal.
Organisasi klien terdesentralisasi tanpa pemantauan yang memadai.
Manajemen dan / atau kunci omset personil akuntansi yang tinggi.
personil Client menampilkan kebencian signifikan otoritas.

Manajemen menempatkan tekanan berlebihan pada auditor, khususnya melalui struktur biaya
atau pengenaan tenggat waktu tidak masuk akal.
profitabilitas klien adalah tidak memadai atau tidak konsisten relatif terhadap industri.
Klien dihadapkan dengan situasi hukum yang merugikan.
Manajemen menunjukkan perhatian yang tidak semestinya dengan kebutuhan untuk
mempertahankan atau meningkatkan citra / reputasi entitas.
Ada kondisi yang merugikan dalam industri klien atau lingkungan eksternal.
personil Akuntansi menunjukkan pengalaman atau kelalaian dalam melaksanakan tugasnya.
Klien masuk ke dalam satu atau beberapa transaksi tertentu yang berdampak material terhadap
laporan keuangan.
manajemen Klien tidak berpengalaman.
Klien adalah dalam masa pertumbuhan yang cepat.
Ini adalah klien baru yang tidak memiliki riwayat pemeriksaan sebelumnya atau informasi yang
cukup dari auditor pendahulu.
Klien tunduk komitmen kontrak yang signifikan.
hasil operasi Klien sangat sensitif terhadap faktor-faktor ekonomi (inflasi, suku bunga,
pengangguran, dll).
Klien baru-baru mengadakan sejumlah besar transaksi akuisisi.

Internal tim kepatuhan Manajemen dapat mengatur tim kepatuhan internal untuk membantu
dalam mempromosikan sesuai dengan prosedur. Tim-tim ini tidak meringankannya dari tanggung
jawabnya, karena manajemen masih harus siap untuk membuat keputusan eksekutif, bahkan di mana
berdasarkan rekomendasi yang dibuat oleh auditor internal. Tim dapat digunakan untuk menyelidiki
penipuan dan penyimpangan dan harus memiliki tingkat kemandirian sehingga mereka dapat bekerja
secara objektif. Mereka dapat diterapkan untuk menyelidiki penipuan minor. Manajer bertanggung jawab
untuk menyelesaikan penipuan dan mereka sumber daya ini melalui tim pengendalian.
Bagian Personil Personil dapat dilihat sebagai fungsi independen yang dapat digunakan untuk
secara resmi berkomunikasi antara tersangka dan manajemen dan memastikan bahwa personil kebijakan
sedang ditaati. Hal ini relevan di mana manajemen sedang menyelidiki dan mengambil tindakan terhadap
pihak yang terlibat. Personil memiliki peran ganda menasihati manajemen pada tindakan mereka dan
memastikan bahwa hak-hak karyawan dilindungi. prosedur disiplin personil harus diperhatikan oleh
manajemen.
Karyawan Semua karyawan harus memahami kebijakan penipuan dan tahu bagaimana untuk
melaporkan kecurigaan penipuan. Kepentingan Umum Pengungkapan Act 1998 menawarkan beberapa
perlindungan bagi pekerja yang mengungkapkan informasi kepada manajer atau / nya majikannya akan
dilindungi jika whistle blower memiliki kecurigaan bahwa malpraktek telah terjadi, sedang terjadi atau
mungkin terjadi dan dapat membuat pengungkapan dilindungi (yang mencakup pelaporan tindak pidana)
itikad baik mana:

whistleblower yang cukup percaya ia akan menjadi korban,

ia mengangkat masalah ini secara internal atau dengan regulator yang ditentukan,
wajar percaya penutup-up kemungkinan dan tidak ada regulator yang ditentukan; atau dia sudah
mengangkat masalah ini secara internal atau dengan regulator yang ditentukan. Kembali ke IIA.UK
& Irlandia Pernyataan Posisi Penipuan yang berisi pandangan whistleblowing:

Audit internal mungkin memiliki tanggung jawab untuk menyelidiki tuduhan dari whistleblower
meskipun sebuah perusahaan eksternal dapat digunakan sebagai titik kontak dengan whistleblower untuk
menjaga anonimitas mereka. Ini adalah praktik yang baik untuk organisasi yang lebih besar untuk memiliki
sistem dipublikasikan untuk melaporkan penipuan. Jika penyelidikan menunjukkan bukti kecurangan
pidana maka auditor internal harus membahas masalah tersebut dalam organisasi tetapi juga harus
memastikan bahwa masalah ini dibawa ke polisi.
Lainnya fakultas audit ICAEW ini mengatur panel penipuan penasehat pada tahun 1998 dan
melanjutkan untuk menyepakati tiga pihak bekerja untuk:
1. Mengumpulkan intelijen dan menilai fakta-fakta dan informasi pada penipuan: mana terjadi;
berapa banyak ada dan membangun alasan mengapa ada pelaporan miskin penipuan.
2. Menetapkan metode pencegahan; memberikan nasihat tentang pencegahan penipuan dan deteksi
dan bagaimana metode pelatihan dapat ditingkatkan; membuat orang lebih sadar akan informasi
yang dibutuhkan oleh organisasi dan orang-orang yang berisiko.
3. Pertimbangkan pelanggaran ini penipuan; melihat efektivitas penyidikan dan penuntutan metode
yang ada dan meningkatkan kecepatan keyakinan sebagai pencegah penipuan.

investigasi Penipuan
Ketika penipuan karyawan atau ketidakteraturan datang ke perhatian auditor ada sejumlah
program alternatif tindakan. Sangat penting bahwa setiap kursus hati-hati ditimbang dan tindakan yang
paling tepat dipilih, berdasarkan keadaan dan kekuatan bukti sejauh diamankan. Pilihan ini harus terus
dikaji:
Menelepon polisi. Ini akan diperlukan di mana ada bukti kuat dari penipuan. Kebijakan tersebut harus
bahwa polisi diberitahu pada kesempatan pertama. Untuk kejahatan tersembunyi lebih rumit, polisi akan
mengharapkan organisasi untuk melakukan beberapa pekerjaan latar belakang dasar terlebih dahulu.
Memulai penyelidikan manajemen. Ini mungkin melibatkan manajer atau manajemen tim yang
ditugaskan untuk secara resmi menyelidiki keadaan dari kasus tersebut. Ini merupakan pendekatan yang
bertanggung jawab dengan manajemen yang mengakui pentingnya menyelesaikan penipuan sekaligus,
mengatakan dengan mewawancarai semua staf yang bekerja di daerah yang bersangkutan. Hal ini dapat
merusak penyelidikan di mana mereka yang bertanggung jawab disiagakan dan mampu menutupi jejak
mereka. Jika manajemen, karena kurangnya pengalaman, tidak mencakup semua kemungkinan, maka
catatan bisa hilang, saksi potensial mungkin tertekan dan penyelidikan digagalkan.
Memulai investigasi audit. Hal tersebut dapat disebut audit internal untuk penyelidikan formal. Mungkin
dirahasiakan sementara strategi yang tepat dirumuskan. Sebuah isu yang semakin relevan adalah
mengamankan data yang dimiliki pada PC. Jika tersangka disiagakan file dapat irretrievably dibersihkan
atau hancur.
Memulai suatu pengelolaan bersama / audit investigasi internal. Hal ini biasanya pendekatan yang
terbaik karena menggabungkan keahlian audit yang dengan pengetahuan lokal manajemen dalam strategi
yang sesuai. Hal ini juga mengakui bahwa manajemen bertanggung jawab untuk menyelidiki penipuan.

Wawancara petugas yang bersangkutan. Ada saat-saat ini adalah pilihan yang paling sederhana. Hal ini
dimungkinkan untuk menghabiskan minggu menyelidiki masalah, yang, ketika disampaikan kepada
pelakunya, ia / dia mengaku langsung. Beberapa penipu mencari perhatian dan ingin ditangkap. Hal ini
juga memungkinkan penjelasan sederhana yang akan disajikan sebelum penyelidikan telah pergi terlalu
jauh, misalnya, kasus kesalahan identitas atau seseorang menggunakan orang lain ID akses komputer dan
password. Masalahnya di sini adalah bahwa, jika sedikit kerja telah dilakukan pada penyelidikan, tersangka
dapat menutupi jejak mereka sebelum bukti nyata telah diamankan.
Menangguhkan tersangka. Dimana bukti-bukti yang kuat dan ada risiko nyata bahwa kerugian mungkin
terjadi jika tindakan tidak diambil langsung, maka tersangka dapat ditangguhkan. Perlu ada kasus yang
jelas dan keputusan harus masuk akal dan sejalan dengan kebijakan disiplin organisasi. Kesulitan utama
adalah bahwa sementara suspensi tidak menyiratkan rasa bersalah, asumsi bersalah cenderung dibuat
oleh orang lain. Suspensi berarti bahwa bukti tidak dapat dirusak. Hal ini juga membuat kasus kuat untuk
pemecatan di sidang disipliner kemudian di mana satu dapat mengatakan bahwa kehadiran seseorang di
tempat kerja tidak bisa lagi ditoleransi. Tapi itu akan berhenti pemeriksaan menangkap orang sebagai
penipuan sedang dilakukan.Kerugian lain adalah bahwa hal itu mungkin membuat sulit untuk cepat
mengadakan wawancara dengan tersangka yang dapat mengundurkan diri sebelum kasus telah dibangun.
Menginstruksikan proses disiplin. Kita mungkin ingin memindahkan langsung ke sidang disipliner formal
berdasarkan fakta-fakta yang tersedia. Hal ini dimungkinkan di mana kita menemukan bahwa seorang
karyawan telah dihukum karena penipuan di pengadilan dan ini mempengaruhi / posisinya di tempat
kerja. Lebih baik untuk melakukan penyelidikan penuh terlebih dahulu dan mendasarkan sidang disipliner
pada temuan.
Periksa sistem pengendalian internal. Ini merupakan langkah penting dan ada kalanya ada sedikit yang
dapat dilakukan. Jika cek telah dicuri dan dicairkan kemudian terlepas dari menasihati polisi ada mungkin
tidak banyak lagi yang bisa dilakukan. Di sisi kontrol kita mungkin ingin mengeluarkan instruksi ketat yang
cek yang dikeluarkan oleh organisasi tidak harus ditinggalkan di meja dan harus dikurung dalam semalam.
Mengeluarkan instruksi resmi untuk staf. Ini kadang-kadang mungkin jawaban yang paling tepat. Jika
jelas bahwa staf overenthusiastic di, katakanlah, perjalanan atau lembur klaim maka mungkin perlu untuk
mengingatkan mereka bahwa ini adalah distorsi tidak dapat diterima dan selanjutnya dapat merupakan
pelanggaran disiplin. Kita harus yakin dari fakta-fakta sebelum membuat komentar umum dan ada
berbagai tingkat keparahan. Praktik terbaik menunjukkan bahwa karyawan harus diberitahu apa yang
merupakan pelanggaran disiplin dan diberikan peringatan yang cukup sebelum sidang disipliner formal
diterapkan.
Melakukan apa-apa. Ini tergantung pada kebijakan. Hal ini dimungkinkan untuk memiliki kebijakan di
mana panggilan telepon anonim membuat tuduhan di mana orang tersebut menolak untuk dilihat (dalam
keyakinan) tidak ditindaklanjuti. Ini harus dibenarkan dan muncul di mana ada keterbatasan sumber daya
dan tingkat berlebihan tuduhan tidak berdasar.

Pilihan di atas harus

dipertimbangkan dengan hati-hati
secepat informasi diterima pada
kemungkinan
penipuan
dan
penyimpangan.
Sebuah
proses
menilai keadaan dan memilih respon
yang tepat harus ditetapkan sehingga
keputusan suara dapat dilakukan.
Masing-masing pilihan ini harus
dipertimbangkan kembali secara
berkala
sebagai
penyelidikan
berlangsung. Hal ini dimungkinkan
untuk menetapkan kebijakan formal
dimana audit internal diinformasikan
segera dari semua penipuan, aktual
atau dugaan. Beberapa berpendapat
bahwa tidak ada satu cara untuk
menyelidiki penipuan karena masingmasing bervariasi tergantung pada
keadaan. Hal ini tidak menghalangi kita dari mengembangkan prinsip-prinsip untuk penyelidikan
penipuan. Satu kerangka ditunjukkan pada Gambar 7.16.

Pertimbangan utama
Selama penyelidikan penipuan, pertimbangkan hal berikut:
1. Perencanaan penyelidikan. Strategi ini diterapkan akan harus dipilih dengan hati-hati, mengambil
papan semua faktor yang relevan.
2. Surveillance. Penggunaan teknik ini harus dipertimbangkan.
3. Sumber daya yang dibutuhkan. Kebutuhan untuk menetapkan kembali sumber daya akan tinggi pada
agenda. The IIA. UK & Irlandia Pernyataan Posisi Penipuan menyarankan beberapa pertanyaan untuk
auditor internal untuk dipertimbangkan sebelum terlibat dalam penyelidikan penipuan:
Apakah audit internal memiliki kemampuan investigasi yang diperlukan?
Apakah audit internal memiliki pengetahuan yang diperlukan hukum?
Kapan waktu yang tepat untuk melibatkan polisi?
Harus audit internal terlibat dalam jenis pekerjaan dan jika demikian sampai sejauh mana?
4. Memulihkan dana yang hilang. Pada awal penyelidikan, mengidentifikasi tingkat kerugian harus
menjadi perhatian utama. Hal ini akan mempengaruhi cara bahwa pekerjaan berikutnya dilakukan
sehingga 'jadwal kerugian' dikonfirmasi mungkin didokumentasikan pada akhir penyelidikan.
5. Status hukum tuduhan itu. Apakah itu pencurian atau hanya pelanggaran prosedur? Polisi mungkin
dapat memiliki masukan mengenai hal ini. Kami telah menyarankan bahwa pelanggaran sederhana
prosedur dapat berubah menjadi penipuan besar.
6. Tingkat bukti yang harus diamankan. Ini akan tergantung pada materialitas penipuan dan tingkat
kesulitan dalam mengamankan bukti yang ada.
7. Membatasi akses ke dokumen yang diperlukan. Mungkin perlu untuk mengambil langkah-langkah
segera untuk melindungi file, dokumen dan catatan terkomputerisasi yang berisi bukti kecurangan
tersebut. Di mana ada tersangka yang jelas maka ini mungkin tindakan terbaik.

8. Peran manajemen dan cara yang akan mendukung penyelidikan. Ini akan bervariasi tergantung pada
kebijakan organisasi. Di mana manajemen tidak menunjukkan minat sama sekali, maka penipuan akan
sangat sulit ditembus. Di mana manajemen overenthusiastic maka kesalahan mungkin terjadi, dan
jalan tengah yang masuk akal harus dicapai.
9. Kebutuhan untuk menahan diri dari tuduhan tidak berdasar. Menembak dari pinggul tidak dapat
diterima. Bahkan jika kita yakin yang melakukan kecurangan tersebut, kasus ini akan beristirahat pada
bukti yang mendukung pandangan kami dan ini hanya dapat dikumpulkan melalui proses yang cermat
investigasi.
10. Keterlibatan Polisi dan saran. Memiliki kontak utama di kantor polisi setempat sangat berguna dan ini
mungkin menjadi tempat pertama untuk saran ketika tuduhan pertama datang ke cahaya.
11. Wawancara staf. Mungkin perlu untuk bertemu dengan staf dari daerah yang bersangkutan sesegera
mungkin. Hal ini dapat memberikan arahan yang baik kepada pelakunya yang mungkin, tidak
diketahui auditor, menjadi salah satu yang diwawancarai. Ini juga memiliki efek jera sebagai staf
melihat bahwa masalah ini dianggap serius oleh manajemen.
12. Kebutuhan untuk kerahasiaan ketat. Salah satu pertanyaan terbesar yang perlu ditangani adalah yang
melihat. Hal ini juga untuk menjaga pertanyaan satu langkah dihapus dari area penipuan dan bekerja
dengan tingkat yang lebih senior manajemen. Banyak informasi yang dapat diperoleh dari sumbersumber yang diakses secara terpusat, dan di sini bahwa hak auditor akses menjadi sangat berguna. Ini
juga berarti bahwa orang-orang di luar tim investigasi tidak perlu waspada terhadap fakta bahwa
penyelidikan berlangsung.
13. Surprise audit. Teknik ini dapat digunakan di mana ada sejarah audit melakukan pemeriksaan
mendadak di lokasi organisasi. Di mana hal ini mungkin, banyak di dalam informasi dapat diamankan
serta pemeriksaan dilakukan pada catatan yang relevan tanpa memperingatkan tersangka (s).
14. Recovery. Dimungkinkan untuk mencari rangka restitusi untuk memulihkan kerugian dari penipuan.
Hakim harus menyarankan ini selama sidang dan dapat membuat keputusan jika terdakwa dinyatakan
bersalah.

Audit Spot Penipuan, Dari Mulai Akhir

Oleh Dan Swanson,
Kepatuhan Minggu Kolumnis The Sarbanes-Oxley Act diberlakukan untuk membantu memerangi
penipuan perusahaan. perusahaan publik telah menghabiskan jutaan yang tak terhitung untuk mematuhi
dan mempekerjakan petugas kepatuhan dan etika seolah-olah untuk memastikan bahwa hukum ditaati.
Namun, entah bagaimana, pada akhir hari, penipuan masih di sini. Namun komprehensif kode Anda etik
mungkin, dan bagaimanapun banyak kebijakan yang Anda miliki, menyadari kebenaran ini: Organisasi
Anda bisa menjadi yang berikutnya menjadi berita utama.Hanya mengatakan, '' Kami berusaha untuk
standar etika tertinggi dalam bisnis kami, '' dan lewat itu off sebagai Anda '' nada di bagian atas '' tidak
akan menghalangi orang dalam moral menantang dari merobek Anda. penipuan insider selalu ancaman,
dan perusahaan harus selalu polisi terhadap itu. Setelah Anda memahami bahwa, itu hanya soal investasi
yang sederhana sumber daya keuangan dan manusia untuk menerapkan dan menegakkan kebijakan dan
prosedur dengan gigi.

Membangun Sebuah Program Anti-Fraud Kuat

Beberapa perusahaan memiliki tingkat signifikan lebih rendah dari penyalahgunaan aset dan
kurang rentan terhadap kecurangan pelaporan keuangan daripada yang lain. Mengapa? Karena mereka
agresif mengambil langkah-langkah untuk mencegah dan mendeteksi kecurangan. Pada perusahaanperusahaan teladan, manajemen bertanggung jawab untuk merancang dan menerapkan sistem dan
prosedur pencegahan dan deteksi penipuan - dan, bersama dengan dewan direksi, untuk memastikan
budaya dan lingkungan yang mempromosikan kejujuran dan perilaku etis. Penipuan dapat berkisar dari
pencurian staf kecil untuk penyalahgunaan aset dan kecurangan pelaporan keuangan. Hal ini juga dapat
mencakup penggelapan, pencurian identitas, penipuan penjual, konspirasi, dan pencurian informasi
proprietary. penipuan keuangan-pernyataan materi juga dapat mendatangkan malapetaka pada
organisasi nilai pasar, reputasi, dan kemampuan untuk mencapai tujuan strategis. Risiko penipuan dapat
dikurangi melalui kombinasi langkah-langkah pencegahan, pencegahan, dan deteksi. Organisasi perlu
mengadopsi kebijakan anti-fraud sulit, kontrol internal yang kuat, akuntabilitas pada bagian dari semua
manajer, pelatihan karyawan dalam kesadaran penipuan, hubungan dengan penegakan hukum, dan ''
basa-basinya 'lainnya' tindakan. Mempertimbangkan menempatkan agenda bulanan komite manajemen
diskusi berdiri dari apa yang organisasi lakukan untuk mengurangi terjadinya fraud, dan jadwal audit
internal formal program anti-fraud organisasi pada tahun 2007.

Evaluasi Anti-Fraud Kontrol teratur

Menetapkan program anti-fraud adalah satu hal, tapi tidak ada yang lebih buruk daripada
memiliki kebijakan bahwa tidak ada berikut. Mengidentifikasi dan mengukur risiko penipuan adalah salah
satu langkah pertama dalam melaksanakan program anti-fraud yang kuat. risiko fraud tertentu juga dapat
dikurangi dengan melakukan perbaikan kebijakan organisasi, prosedur, atau proses, dan penilaian
penipuan-risiko dan upaya manajemen penipuan-risiko berkontribusi pada upaya perbaikan. Berkala
melakukan audit internal dari program anti-fraud sangat produktif sebagai penilaian independen dan
obyektif dari kebijakan dan praktek saat ini. Untuk melakukan ini, pertama melakukan penilaian penipuan
berisiko; kemudian mengidentifikasi kontrol penipuan kunci dan setiap kesenjangan kontrol; dan akhirnya
menguji efektivitas pengendalian. Terus menerus monitoring oleh manajemen dan audit kontinu oleh
auditor juga sangat efektif dalam menanggulangi penipuan langsung. Banyak organisasi yang membangun
pemantauan terus menerus dan upaya audit kontinu untuk transaksi kritis dan sistem informasi; Anda
harus juga.

Risiko Override Manajemen

Namun risiko penipuan lain mengancam untuk merusak semua upaya ini yang telah dibahas
sejauh ini: manajemen override. Sebuah perusahaan dapat memiliki prosedur bintang untuk memblokir
penipuan, tetapi mereka tidak akan berbuat banyak baik jika petinggi hanya memungkinkan beberapa
transaksi yang tidak benar untuk menghindari prosedur tersebut.Mempertimbangkan memiliki
departemen audit internal secara independen meninjau kegiatan akuntansi bulan-dan akhir tahun untuk
setiap transaksi yang tidak biasa, seperti entri jurnal tersangka atau pembalikan. Anda juga harus
mempertimbangkan memiliki debat terbuka pada pertemuan audit komite pada apa panitia dan
perusahaan itu sendiri lakukan untuk mengurangi risiko manajemen override.

Sebuah Proses Pengawasan tepat

Komite audit harus mengevaluasi identifikasi manajemen risiko fraud, pelaksanaan tindakan
antifraud, dan penciptaan 'tepat' nada di bagian atas. '' Pengawasan aktif oleh komite audit juga akan
membantu memperkuat komitmen manajemen untuk menciptakan toleransi nol untuk penipuan. Komite
audit memainkan peran penting dalam membantu dewan direksi memenuhi tanggung jawab
pengawasannya untuk pelaporan keuangan dan kegiatan pemerintahan lainnya. Untuk menilai risiko hal
seperti pemalsuan, penipuan kartu kredit, konspirasi, sabotase komputer, penipuan berbasis internet dan
sebagainya, organisasi dan komite audit harus mempertimbangkan mendapatkan saran dari spesialis,
menggunakan sumber daya internal atau dikontrak untuk menyusun laporan rinci mengenai kerentanan
dan merekomendasikan paparan-mengurangi tindakan penipuan.
Komite audit juga perlu berhati-hati risiko penipuan perusahaan-mengancam. Sementara
manajemen harus mencakup seluruh spektrum risiko fraud, papan perlu difokuskan pada risiko fraud yang
signifikan dan memastikan bahwa strategi riskmanagement efektif dan proses pendukung telah
dilaksanakan. Memiliki perdebatan tentang apa proses pengawasan harus merupakan hal yang baik, dan
evaluasi efektivitas bahkan lebih baik. Para pihak yang berkontribusi terhadap upaya pengawasan
termasuk dewan, manajemen senior, auditor internal, auditor eksternal, dan pemeriksa penipuan (pada
kesempatan) bersertifikat. Mengetahui siapa yang bertanggung jawab untuk apa, dan kapan harus
bersandar pada keahlian mereka, akan memastikan upaya tim pemenang.

Membuat Sebuah Budaya Etis

Perusahaan ini bertanggung jawab untuk menciptakan budaya kejujuran dan etika yang kuat dan
untuk berkomunikasi dengan jelas perilaku yang dapat diterima dan harapan masing-masing karyawan.
Direksi dan manajer dari organisasi mengatur nada di atas untuk perilaku etis dalam organisasi. Karyawan
harus diberikan kesempatan untuk mendapatkan saran internal sebelum membuat keputusan yang bisa
memiliki implikasi hukum atau etika yang signifikan. Mereka juga harus didorong dan diberikan
kemampuan untuk berkomunikasi tentang potensi pelanggaran kode entitas perilaku, anonim jika perlu
(seperti melalui layanan hotline rahasia). Terbuka Kepatuhan dan Etika Group Hotline & Helpline panduan
menyediakan banyak panduan untuk menerapkan ukuran pengurangan penipuan penting ini. Telah
terbukti bahwa kemampuan bagi staf untuk melaporkan masalah dengan aman akan mengurangi kejadian
dan dampak penipuan.Kita juga perlu membuat manajer lebih bertanggung jawab untuk operasi mereka,
yaitu, kita tidak harus menunggu audit untuk melakukan perubahan. Manajemen bertanggung jawab atas
sistem organisasi pengendalian internal, dan efektivitas operasi, dan saya sangat mendorong manajer
untuk mengevaluasi hasil mereka sendiri. (Ini disebut pemantauan operasional dan perbaikan proses.)

Bertekun
Diskusi terbuka antara pemangku kepentingan utama, dan idealnya sebelum berita halaman
depan, selalu disarankan. Menetapkan ekspektasi yang jelas untuk semua orang yang terlibat (mengenai
upaya anti-penipuan) adalah setengah pertempuran. Menjadi rajin usaha Anda adalah setengah lainnya.
Untuk benar-benar melawan penipuan, kita perlu kebijakan perusahaan yang harus ditegakkan, dan
pelanggar harus diselidiki dan tindakan yang diambil. manajemen penipuan-risiko di sini untuk tinggal telah organisasi Anda menerapkan strategi yang efektif untuk pencegahan fraud, deteksi, dan respon?
Pada akhir hari, apakah Anda bagian dari - masalah atau bagian dari solusi?

Dipetik dari Kepatuhan Minggu. Artikel ini awalnya diterbitkan dalam Kepatuhan Minggu.
Direproduksi dengan izin dari Kepatuhan Minggu. Seluruh hak cipta.

Investigasi Proses
Meskipun setiap penipuan investigasi akan menjadi unik, itu adalah, tetap, mungkin untuk
menyusun tahapan kunci tertentu dan prosedur standar yang dapat diterapkan untuk masing-masing.Ini
dapat diringkas:
1. Dugaan menerima A kebijakan yang jelas harus ditetapkan tuduhan tersebut bisa berasal dari
berbagai sumber yang meliputi.:
kontrol detektif - misalnya, rekonsiliasi bank;
informasi anonim - melalui telepon atau surat;
keluhan resmi - katakanlah, dari pemasok;
kekhawatiran diungkapkan oleh manajer lini tentang / stafnya;
whistle-blower 'hotline';
kantor - kegiatan di cabang - katakanlah, dikurangi kas menyumbang;
audit - yang telah mengambil masalah yang tidak dapat dijelaskan;
kolega atau teman-teman yang mendengar seorang karyawan membual tentang kegiatan
curang;
polisi yang menunjukkan bahwa seorang karyawan terlibat dalam kegiatan penipuan;
kecelakaan murni.
Satu dapat menempatkan ketergantungan terbatas pada tuduhan anonim di mana informan
menolak untuk memberikan nama dan nomor kontak. Jika tuduhan berasal dari beberapa sumber
terpercaya, status mereka lebih tinggi. kekhawatiran manajer lini 'lebih anggota staf dapat diberikan
perhatian dan anggota masyarakat puas keprihatinan mereka sedang ditangani dengan benar. Auditor
dapat menemukan perbedaan yang tak dapat dijelaskan. Semua tuduhan harus didokumentasikan dan
rincian lengkap, termasuk tindakan yang diambil, disimpan dalam file.This rahasia sangat relevan karena
klaim bahwa masalah tertutup nanti dapat menyertai tuduhan. Ada banyak sumber informasi tentang
kegiatan ilegal termasuk audit rutin, percakapan, pengamatan, MIS, sistem internal check, surat dan
panggilan telepon. Sangat penting bahwa kebijakan tersebut memungkinkan semua tuduhan penipuan
yang akan disaring melalui audit internal sehingga catatan terpusat dapat dipertahankan. Dugaan bisa
menjadi hasil dari dendam dan / atau informasi yang salah. Adalah penting bahwa prosedur di tempat
untuk mengambil pada setiap tuduhan (mungkin penipuan hotline) dan bahwa ada metode dianggap oleh
yang mereka ditangani. Jika hal ini tidak ditangani dengan baik, maka kemungkinan bahwa manajer lini
hanya akan menghadapi karyawan yang bersangkutan dan meminta penjelasan. Ini baik akan
menyebabkan klaim korban (di mana karyawan tidak bersalah) atau merusak penyelidikan (di mana
karyawan bersalah dan berusaha untuk menyembunyikan kejahatan). Mungkin juga ada klaim dari coverup di mana manajer berbicara kepada karyawan dan memutuskan tindakan lebih lanjut.Masing-masing
posisi ini tidak dapat diterima.
2. Menetapkan fakta-fakta dasar sebelum tindakan tegas diambil Wawancara orang yang
memberikan informasi pada / nya kenyamanan nya. Hal ini memberikan auditor ide yang baik
untuk validitas tuduhan serta menyediakan informasi latar belakang yang diperlukan. nama
kontak harus diambil dan penuh write-up dari tuduhan itu dibuat. Sebuah profil pribadi dapat
dibuat tersangka di mana ada didefinisikan dan informasi seperti gaji, catatan pensiun, personil,

kreditor, pendapatan, daftar pemilihan dan Companies House dapat digunakan. Hal ini
dimungkinkan untuk membuat daftar didefinisikan rincian yang berhubungan dengan tersangka
yang dapat ditempatkan pada daftar periksa. Ini akan mencakup deskripsi, usia, alamat, mobil,
kelas, panjang layanan, status perkawinan dan merekam sakit, tanpa memperingatkan orang
untuk penyelidikan. The bertanya awal harus bertanya apakah tuduhan itu bisa benar dan penting
untuk bekerja di luar apakah tuduhan / masalah adalah mungkin untuk membuktikan. Sebelum
kita memulai ke penyelidikan skala penuh ada beberapa pertanyaan kunci yang harus dijawab:
Apakah dugaan pelaku ada?
Apakah tuduhan berasal dari sumber yang dapat dipercaya?
Apakah kita punya informasi yang cukup untuk membentuk dasar dari penyelidikan?
Apakah kita yakin bahwa tuduhan itu tidak berbahaya?
Bisakah kita mendapatkan informasi lebih lanjut tentang situasi di balik tuduhan itu?
Mungkinkah masalah disajikan kepada kita ada?
Apakah ada sejarah jenis ini tuduhan / kecurigaan?
Apakah ada dokumen yang bisa mendukung tuduhan itu dan mereka tersedia?
Apakah ini penipuan yang nyata atau hanya pelanggaran ringan prosedur?
Apakah ada penjelasan yang jelas?
Bisa masalah hasil dari kesalahan yang tidak bersalah?
Apakah ada catatan pendukung yang disediakan oleh informan?
Apakah tuduhan konsisten dengan perkembangan lain yang kita sadar?
Kita dapat menambah daftar ini, meskipun titik penting untuk dicatat adalah bahwa prosedur
pemeriksaan ini harus dilakukan oleh staf yang berpengalaman (jika sesuai, auditor internal) dan harus
sepenuhnya didokumentasikan untuk referensi nanti. Kita mungkin peduli untuk tidak bertindak atas
tuduhan kabur dari puas mantan karyawan (atau orang anonim) di mana indikator menunjukkan bahwa
itu adalah tidak berdasar. Jika hal ini terjadi, kita harus mampu untuk membenarkan posisi ini di kemudian
hari. Demikian juga, jika kita memulai latihan utama, kita harus mampu membuktikan itu perlu sebagai
akibat dari informasi yang diterima. Aturan utama adalah untuk 'membuka file' dan keputusan catatan
yang dibuat pada tahap penyelidikan.
3. Melaksanakan penelitian latar belakang lebih lanjut. Ini termasuk mengamankan semua informasi
yang tersedia untuk auditor tanpa memasuki wilayah di mana penipuan tersebut berada. Ini
melibatkan meninjau file audit sebelumnya dan dokumen yang berhubungan dengan lokasi.
Sebuah lembar fakta singkat dapat dikompilasi menetapkan struktur organisasi dan latar belakang
rincian. Auditor tidak bisa, tanpa izin, mencari orang, mobil, tas pribadi atau alamat rumah.
Namun, biasanya mungkin untuk mencari meja kantor dan filing cabinet tersangka. Setelah kita
merasa bahwa kita perlu bertindak berdasarkan informasi yang diterima, maka perlu untuk
melakukan beberapa pekerjaan latar belakang. Kita perlu mengisolasi daerah dikaji, orang-orang
yang mungkin terlibat dan aset yang mungkin beresiko. Kita harus memutuskan di mana penipuan
yang terkandung dan menandai ini sebagai 'daerah yang terkena'. Aturan khusus akan berlaku
untuk berurusan dengan daerah yang ditunjuk ini sehingga penyelidikan dapat melanjutkan utuh.
Faktor-faktor berikut akan membantu proses ini:
Mengidentifikasi area kerja yang tepat dikenakan tuduhan.
Mengisolasi apa yang terjadi di daerah ini termasuk dokumentasi dan informasi yang diterima
oleh unit / cabang / bagian.
Membangun output dalam hal dokumentasi, pengembalian, laporan dan jasa yang berasal
dari daerah yang terkena.
Menetapkan staf yang terlibat dan mengisolasi potensi tersangka.

Untuk setiap tersangka, mengkompilasi profil termasuk nama, usia, peran, jabatan, masa
kerja, jenis kelamin, deskripsi, mobil, alamat, nomor Asuransi Nasional dan sebagainya.
Tentukan jalur pelaporan dan struktur di bagian.
Cobalah untuk mengamankan daftar persediaan dan catatan aset (misalnya, komputer
diadakan). Kita mungkin peduli untuk mengakses semua sistem informasi perusahaan seperti
gaji, personil, pembayaran, pemesanan, toko, pensiun dan lain-lain, dalam mengejar
informasi yang diperlukan. Hal ini juga memiliki beberapa kontak kunci dalam personil dan
bagian perusahaan lain di mana kita dapat membuat bertanya-hati tentang orang-orang
tersebut.
4. Laporan awal. Ini menunjukkan apakah tuduhan itu mungkin benar dan harus diselidiki. Strategi
keseluruhan harus didefinisikan. Manajemen harus ditampilkan laporan dan pertemuan yang
diadakan untuk membahas implikasi. Hal ini penting karena jika ditampilkan tidak ada dasar untuk
tuduhan, maka waktu disimpan dengan menghindari penyelidikan skala penuh. Atau, mungkin
lebih efisien untuk mengirim memo kepada staf di mana pelecehan ringan berskala jelas, seperti
tingginya tingkat panggilan telepon pribadi atau fotokopi pribadi, sebagai bentuk amnesti, setelah
tindakan yang akan diambil terhadap para pelanggar terus. Ini mungkin solusi terbaik dan
menghemat waktu audit. Laporan awal akan membahas bagaimana cara terbaik masalah harus
ditangani dan oleh siapa.
5. Investigasi rencana. Rencana ini harus berasal dari diskusi dengan manajemen dan akan
menunjukkan pendekatan, pekerjaan yang diperlukan, sumber daya dan kontak dengan polisi
atau pihak berwenang lainnya. Laporan awal yang diuraikan di atas akan digunakan untuk
menurunkan rencana aksi dan dapat mengatur nada untuk pertemuan yang relevan dengan
manajer senior.Rencana tersebut harus diatur dalam gerak pendekatan setuju sehingga semua
pihak untuk peduli memiliki peran yang jelas dengan rentang waktu yang melekat pada setiap
tugas. Pengaturan domestik seperti akomodasi, wisata dan komunikasi juga harus menjadi bagian
dari rencana. Juga, pekerjaan harus dilakukan sesuai dengan standar dokumentasi yang jelas
bahwa harus mencakup bidang-bidang seperti:
mengotori dokumen dengan menulis atau menandai dokumen asli;
lacak balak dalam hal kepemilikan dan bagaimana bukti telah disimpan, diambil dan
diterapkan;
aturan untuk memperoleh dokumen melalui persetujuan sukarela, panggilan pengadilan,
perintah penggeledahan dan sebagainya;
dokumen penting yang diajukan secara kronologis;
pemeriksaan forensik dokumen mencari perubahan, tanggal, tanda tangan palsu,
dibandingkan dengan dokumen lain, membuka amplop, menulis samar, lipat dan air mata,
sidik jari dan sebagainya;
kebutuhan untuk ruang yang aman untuk memegang dokumen.
6. Dukungan manajerial. Tingkat dukungan manajerial akan tergantung pada penipuan dan tingkat
di mana ia diduga telah terjadi. Cara terbaik adalah untuk menghubungkan dengan tingkat
manajemen dua kali dihapus dari tuduhan. Hal ini memastikan manajer adalah di luar jangkauan
penipuan. Keputusan akan dibuat audit peran / manajemen dan apakah itu akan menjadi
penyelidikan bersama. Modus pelaporan akan ditentukan dan seberapa sering laporan tersebut
akan dibuat. Dianjurkan untuk menyusun laporan singkat dan sekarang mereka secara lisan
kepada manajemen karena waktu merupakan faktor utama di sebagian besar penyelidikan
penipuan. Laporan-laporan ini harus dilakukan setidaknya sekali seminggu dan lebih sering untuk
penyelidikan berisiko tinggi yang memerlukan tindakan segera. Ini adalah praktik yang baik untuk
menjaga CAE informasi dengan menyediakan salinan laporan. Aturan emas adalah untuk
berbicara dengan manajemen setidaknya dua tingkat dihapus dari daerah yang terkena. Ini adalah

protokol yang normal juga melibatkan sutradara, meskipun manajer puncak mungkin memiliki
sedikit kontak dengan staf operasional. Banyak akan tergantung pada tingkat karyawan terlibat.
Meskipun demikian, itu adalah praktik yang baik untuk singkat direksi dan mungkin kepala
eksekutif di mana penipuan besar atau sensitif diduga. Selain itu, kami mungkin sudah
mendiskusikan kasus dengan manajemen dalam hal memberikan saran pada tindakan mendesak
yang perlu diambil untuk menutup celah dalam kontrol yang memungkinkan penipuan terjadi di
tempat pertama.
7. Mendefinisikan hambatan. Sepanjang investigasi, perlu untuk bekerja keluar mungkin hambatan
untuk penyelidikan seperti dokumen hilang, sumber bukti, kehadiran pelakunya ini, rekan dekat
dari pelakunya, kebutuhan untuk kerahasiaan dan catatan yang dirusak. Di mana setiap bukti yang
beresiko, tindakan cepat harus diambil. Sebuah organisasi dapat membantu dengan membuat
disengaja dan tidak sah perusakan / penghapusan dokumentasi pelanggaran disiplin. Informasi
terkomputerisasi, terutama yang diselenggarakan pada PC, dapat berisi bukti yang berharga dan
berisiko. Pertimbangkan berbagai jenis bukti yang mungkin perlu dikumpulkan dan sejauh mana
mereka bisa dirusak, termasuk dokumen dan saksi. Ada beberapa individu yang berisiko yang
harus ditangani dengan hati-hati, termasuk:
anak muda
buta atau cacat visual
buta huruf
orang di bawah pengaruh obat-obatan atau alkohol
sakit mental atau cacat
orang yang membutuhkan penerjemah.
8. Strategi awal. Informasi baru akan datang ke cahaya dan strategi yang diterapkan akan mengubah
seperlunya. Idenya adalah untuk menutupi semua sudut dan menemukan cara terbaik untuk
mengamankan bukti yang relevan. Pilihan suspensi, wawancara, memberitahukan polisi dan
sebagainya harus terus Ulasan akan. Beberapa penyelidikan memiliki pendekatan corong di mana
mereka mulai dengan dasar yang luas dan mempersempit masalah yang relevan sebagai fakta
baru datang ke cahaya. Perubahan strategi untuk menjadi semakin terfokus pada bidang utama.
Ini akan di mana ada permintaan yang luar biasa atau inkonsistensi yang tidak dapat dijelaskan
tanpa melibatkan individu didefinisikan. Sementara itu, kejadian yang sekilas tampak
mencurigakan bisa dijelaskan sebagai penyelidikan akan terjadi. Diskusi rinci dengan tingkat yang
sesuai dari manajemen akan didasarkan sekitar merumuskan rencana penyelidikan. Kebijakan
audit kami sendiri akan berarti bahwa CAE dan pemeriksaan manajer akan telah disarankan pada
awal penyelidikan dan mungkin bahwa CAE harus menyetujui setiap rencana aksi berikutnya yang
secara bersama-sama disepakati dengan manajemen. Ada beberapa pilihan yang dapat
dipertimbangkan, termasuk yang berikut:
Suspend karyawan yang bersangkutan segera.
Panggilan di polisi setempat (kita mungkin sudah pergi ke mereka untuk saran awal).
Melakukan penyelidikan rahasia tanpa memperingatkan siapa pun yang bukan pihak latihan.
Mengirimkan pengingat umum untuk staf di mana penyalahgunaan tingkat rendah dari
fasilitas yang terjadi.
Melakukan audit dari daerah yang bersangkutan - ini sangat berguna di mana tempat
pemeriksaan merupakan bagian dari pendekatan audit normal.
Melakukan pengawasan - kita perlu menetapkan aturan untuk jenis kegiatan.
9. Surveillance. Surveillance melibatkan mengamati aktivitas individu didefinisikan tanpa
sepengetahuan mereka. Menonton, mencari dan mengumpulkan bukti umumnya tidak
melanggar standar privasi dan merupakan cara yang berguna untuk mengamankan informasi
dalam penyelidikan penipuan. Hal ini sensitif dan harus ditangani dengan hati-hati. Satu

pendekatan adalah untuk merumuskan kebijakan formal didasarkan pada premis bahwa itu hanya
harus digunakan jika benar-benar diperlukan. Beberapa berpendapat pengawasan seharusnya
hanya dilakukan oleh para ahli. Operasi penyamaran sederhana dapat menghasilkan hasil yang
sangat di mana ini adalah satu-satunya cara untuk memperoleh bukti penipuan. Untuk
melaksanakan surveilans:
Rencana operasi dengan hati-hati . Mulailah dengan tujuan yang jelas berdasarkan sifat dari
penyelidikan. Surveillance memakan waktu dan sumber daya intensif. Mungkin kebijakan
bahwa manajemen senior diinformasikan dan bahwa manajer audit kewenangan dan celana
CAE terlebih dahulu.
Lakukan uji coba. Salah satu auditor akan memeriksa daerah untuk kelayakan sebelum
sumber daya yang dialokasikan. Ini memberikan informasi tentang lokasi, deskripsi, waktu
dan tips berguna untuk operasi penuh. Sebuah peta rinci dari daerah harus dibangun dan
disalin ke tim. Auditor ditugaskan untuk uji coba harus berpengalaman dan melihat keluar
untuk faktor signifikan dan menafsirkannya.
Siapkan dengan memutuskan sumber daya dan pendekatan. Sebuah sesi pengarahan dengan
mereka yang mengambil bagian adalah cara yang berguna untuk merencanakan
pekerjaan.Sebuah file singkat dapat dibuat untuk semua anggota tim dengan laporan kasus
ini, deskripsi pribadi yang relevan, foto, peta, petunjuk khusus dan catatan pengawasan
kosong. Observasi dapat poin (statis) atau tetap dan bergerak mungkin melibatkan tailing
mobil (atau orang). Sebuah sepeda motor berguna untuk beberapa jenis pengamatan ponsel
meskipun mobil jauh lebih nyaman dalam cuaca buruk. Kamera, video, dictaphone, jam
tangan, ponsel dan link ponsel dapat digunakan. Ini harus ditandatangani untuk dan baterai
diperiksa. Bergerak, sulit untuk membeli film segar, bensin atau baterai. Setidaknya dua orang
harus dialokasikan untuk masing-masing tim. Ada pengaturan praktis seperti pasokan
sandwich dan minuman serta kemungkinan menghabiskan waktu yang lama pada pekerjaan
di luar jam kantor. Sebuah home base harus ditunjuk bahwa kendaraan / auditor akan kembali
ketika tersangka jatuh keluar dari frame. Sebuah link ponsel harus diatur dan satu auditor
senior yang harus mengkoordinasikan kegiatan idealnya dari titik statis.
Action harus diantisipasi dan aktivitas yang berwenang dibedakan dari yang tidak sah. Izin
dapat dicari ketika menggunakan bangunan untuk observasi. Memastikan kendaraan secara
hati-hati diposisikan. Ini adalah pelanggaran privasi untuk mengikuti seseorang ke rumah
mereka atau taman. Cara terbaik adalah untuk memanggil polisi lokal di daerah di bawah
pengawasan untuk membiarkan mereka tahu apa yang terjadi.Informasi dari latihan
surveilans mungkin tidak masuk akal sampai semua pengamatan diletakkan bersama-sama.
Jika dihadapkan pada pengawasan, awalnya mencoba untuk menyangkal sambil menghindari
situasi konflik. Hindari menyatakan alasan sebenarnya kecuali ancaman cedera jelas.
MenjagaLatihan rahasia atas dasar kebutuhan-untuk-tahu. Ada alasan disesuaikan yang dapat
dilatih untuk berada di suatu daerah. Hal ini dapat berkisar dari melakukan riset pasar melalui
menungguuntuk pasangan akhir. Satu penutup adalah beberapa yang berdiri di sekitar jam
berbasa-basi. Di satu kesempatan, pasangan yang tampak dalam serangkaian pelukan
panjang direkam penipuankegiatan menggunakan camcorder. Alat bantu yang berguna untuk
latihan mencakup koran (diselenggarakan dengan cara yang benar up), sepak bola atau
berjalan di setelan jogging.Dictaphones dapat digunakan untuk merekam rinci di mana
notepad akan terlihat keluar dari tempat. Hati-hati harus diambil dan auditor harus menarik
diri segera jika ada kesempatan ketahuan oleh tersangka.
Selalu membawa kartu identitas dan mencatat serentak pada catatan pengawasan formal.
Hal ini dimungkinkan untuk menulis catatan resmi setelah acara selama ini dilakukan sesegera
mungkin dan catatan kasar dipertahankan. Baju yang dikenakan harus dipilih sesuai

kesempatan. Sesuatu yang luar biasa akan menimbulkan kecurigaan meskipun tidak ada
gunanya mengenakan setelan boiler untuk bergabung dengan pekerja jika orang asing yang
muncul di situs ditantang.
hal-hal sederhana dapat diselesaikan melalui pengawasan seperti gerakan dan keberadaan
individu di seluruh periode tertentu. Hal ini lebih sulit untuk menentukan mengapa seseorang
pergi ke tempat tertentu atau apa signifikansi adalah untuk penipuan lebih rumit. Pelanggaran
sederhana dari prosedur yang meliputi lembur, cuti sakit, kehadiran kerja dan lokasi yang
dikunjungi siang hari lebih mudah untuk membuktikan. Sebuah penampilan pengadilan akan
berarti pemeriksaan silang dari pengawasan dan bukti lain. Auditor hanya merekam apa yang
dilihat dan tidak membuat tebakan atau asumsi. Jika hasil latihan dalam tidak penting maka
ini merupakan temuan dalam dirinya sendiri dan bukan alasan untuk malu.
10. penyelidikan penuh Sebagian investigasi akan melibatkan memperoleh bukti konfirmasi dalam
bentuk apa pun tersedia. Ini mungkin termasuk meninjau dokumen, wawancara, foto,
pengawasan, analisis dan / atau transaksi pelacakan. Hal ini di sini bahwa seni nyata menerapkan
teknik audit datang kedepan. Kita harus berusaha untuk membuktikan bersalah dengan hati-hati
menyusun bukti yang relevan, meskipun kita harus berhati-hati untuk tidak dilihat sebagai
bertindak sebagai agen provokator . Masalah sumber daya harus diselesaikan, dan ini akan
mengubah sebagai penyelidikan mengambil bentuk dan perubahan arah. Ini akan terkait dengan
sensitivitas dan dampak keseluruhan pada organisasi. Setelah kami telah sepakat pada tindakan
yang tepat, kita perlu mempertimbangkan rencana rinci. Namun, sebelum kita bisa tiba di posisi
ini, kita perlu memutuskan peran masing-masing. Berbagai pilihan adalah sebagai berikut:
a. investigasi Manajemen dengan saran dari audit internal (mungkin dalam bentuk
pertemuan rutin atau saran melalui telepon bila diperlukan). Hal ini berguna di mana
penipuan yang dicampur dengan kekhawatiran umum atas perilaku, kehadiran, kinerja
dan isu-isu manajerial lainnya.
b. penyelidikan Audit mana kita mengambil alih proyek tersebut. Hal ini berguna di mana
manajer senior yang terlibat, penipuan besar dan mencakup banyak bagian dari
organisasi atau di mana itu adalah latihan rahasia mengandalkan akses ke banyak sistem
informasi yang berbeda (dan mungkin surveillance).
c. penyelidikan bersama dimana manajemen dan audit yang membentuk tim.
d. penyelidikan bersama dimana petugas personil (mewakili manajemen) bekerja dengan
tim audit.
e. Polisi inquiry (atau audit internal bersama, manajemen dan penyelidikan polisi).
f. Dewan Manajemen penyelidikan di mana penyelidikan go public dan ada banyak saksi
yang diminta untuk menyajikan informasi kepada panel penyelidikan. Audit dapat
bertindak sebagai penasehat dan melaksanakan latihan kecil yang kemudian dimasukkan
ke dalam panel dalam format laporan. Format penyelidikan akan menentukan cara
terstruktur dan dilakukan. Pada intinya kita mengambil pandangan bahwa penipuan tidak
dapat dikatakan telah terjadi kecuali kita mampu menyajikan bukti yang membuktikan hal
itu. Dengan demikian, rencana tersebut akan ditujukan untuk mengamankan bukti yang
diperlukan dengan cara yang paling nyaman dan dapat diandalkan mungkin. Ini dapat
terdiri dari:
mewawancarai para saksi;
Dokumentasi menganalisis;
mengamankan laporan yang cenderung mendukung tuduhan;
perhitungan kerugian keuangan;
mengamankan bukti pelanggaran prosedur dengan membandingkan apa yang
terjadi dengan prosedur yang telah disetujui;

mengamati kegiatan dan hasil rekaman;

perhitungan reperforming dan rekonsiliasi;
mengamankan bukti dari sumber-sumber independen yang menguatkan atau
konflik dengan bukti lain yang tersedia, mungkin untuk mengetahui apakah cek itu
diterima oleh pemasok terdaftar di database pembayaran.
menilai apakah dokumen dipalsukan, diubah atau tunduk pada tanda tangan
palsu. Banyak dari atas adalah tentang mewawancarai para saksi dan penggalian
dokumentasi yang relevan. Satu titik yang seharusnya dibahas di awal adalah
tujuan penyelidikan. Meskipun ini akan membuktikan bahwa penipuan telah
terjadi, itu juga dapat digunakan untuk membawa penuntutan di pengadilan.
Selain itu, dapat digunakan untuk menyajikan biaya disiplin internal untuk panel
khusus diselenggarakan.
11. Ulasan sedang berlangsung dan diskusi dengan manajemen Sebagai penyelidikan berlangsung,
bentuk dan bentuk akan mengubah informasi baru datang ke cahaya dan semua pihak untuk
pekerjaan menjadi lebih akrab dengan kegiatan yang sedang diperiksa. Adalah penting bahwa ada
ulasan yang berkelanjutan dengan manajemen (di mana audit melaksanakan penyelidikan) dan
rencana disesuaikan untuk mengambil informasi baru papan. Jika kasus tersebut telah diserahkan
ke polisi, lagi kita harus terus up to date dengan pertanyaan kemajuan yang dibuat. Hal ini sangat
penting di mana penangkapan sedang direncanakan. Kami berharap untuk membentuk hubungan
kerja yang erat dengan polisi setempat sehingga, apa yang sebaliknya akan informasi rahasia,
dapat secara bebas dibahas. Salah satu pertimbangan penting adalah seberapa jauh untuk
kembali dalam penyelidikan. Di mana penipuan yang melibatkan klaim palsu (mengatakan pada
lembar waktu atau lembur atau biaya) selama bertahun-tahun, kita perlu menyepakati titik cutoff sehingga tidak memiliki pertanyaan terbuka.
12. Wawancara Sebuah komponen kunci dari semua penyelidikan penipuan adalah proses
wawancara. Berikut sebagian besar pertanyaan dapat diatasi dengan hanya meminta orang yang
tepat. Wawancara dapat diadakan dengan:
informan
saksi kunci
manajer lini
orang yang mungkin berguna untuk bertanya
tersangka.
Masing-masing memiliki tujuan yang berbeda dan akan mengikuti format yang berbeda.
Wawancara yang paling penting akan dengan saksi, yang harus diminta untuk memberikan pernyataan
saksi resmi, dan tersangka (s), yang mungkin akan diminta untuk menandatangani catatan wawancara
formal. Saksi akan menuliskan kata-kata sendiri apa yang mereka lihat dan dengar, sebagai yang berkaitan
dengan isu-isu di tangan, dan bersiaplah untuk menyajikan bukti ini di pengadilan dan / atau pada sidang
disipliner internal. Mereka mungkin lintas-referensi komentar mereka ke berbagai pameran yang akan
melekat pada pernyataan mereka dan yang ditunjukkan kepada mereka pada saat pernyataan itu diambil.
Tersangka, di sisi lain, akan diminta untuk memberikan penjelasan bukti yang menunjuk kepada mereka
sebagai pelaku penipuan tersebut. Mereka harus berhati-hati dalam format yang sesuai, yang di Inggris
adalah sebagai berikut:
Anda tidak perlu mengatakan apa-apa. Tapi itu dapat membahayakan pertahanan Anda jika Anda
tidak menyebutkan sesuatu yang mungkin nanti mengandalkan di pengadilan. Apa pun yang Anda
lakukan katakan dapat diberikan dalam bukti.

Ini berhak diam, tapi pada saat yang sama memungkinkan penuntutan untuk mengomentari
setiap alibi yang diproduksi di kemudian hari. Selain itu, Polisi dan Kriminal Bukti Act menetapkan aturanaturan tertentu untuk mewawancarai tersangka dalam hal memungkinkan catatan wawancara yang akan
diserahkan kepada pengadilan. Singkatnya, ini memungkinkan hak cipta dan melarang praktek-praktek
yang akan merupakan intimidasi atau paksaan. Kebanyakan peneliti sekarang mengakui bahwa
wawancara tersangka bukan tentang penggalian pengakuan. Ini adalah tentang menyajikan bukti di depan
tersangka untuk mengamankan penjelasan. Jika tidak ada yang datang, maka kita akan berusaha untuk
kemajuan penyelidikan ke tahap penuntutan. Kami dapat mendorong pengungkapan penuh, tapi ini
adalah keputusan untuk tersangka (memiliki telah diberi kesempatan untuk mencari saran dari / nya
pengacaranya). Perhatikan bahwa kita harapkan wawancara paling formal dengan tersangka akan
dilakukan oleh petugas polisi.
13. Laporan Interim Sepanjang penyelidikan, laporan interim harus dikeluarkan menetapkan temuan
sampai saat ini, implikasi dan pekerjaan lebih lanjut dianjurkan. Hal ini untuk manajemen untuk
menunda staf, menginstruksikan polisi, meja pencarian dan menyita buku-buku dan catatan, dan
auditor internal harus bertindak dalam kapasitas sebagai penasihat. Semua keputusan penting
harus dibuat oleh manajemen di bawah saran dari audit internal. Laporan-laporan ini akan
mewakili catatan formal dari kemajuan penyelidikan dan akan digunakan dalam hubungannya
dengan risalah rapat yang diadakan dengan manajemen. Mereka memberikan penjelasan tentang
keputusan yang dibuat melalui kesimpulan. Dalam hal posisi organisasi, kita akan membutuhkan
laporan yang merinci hasil penyelidikan dan tentu saja dianjurkan tindakan. Ini mungkin panggilan
untuk masalah yang akan dirujuk ke polisi, jika ini belum terjadi. Mungkin mencari penangguhan
tersangka yang bersangkutan (sekali lagi, jika ini belum terjadi). Ini mungkin menyarankan
tindakan disipliner, jika hal ini sesuai. Hal yang penting adalah bahwa karena audit internal adalah
fungsi penasehat, itu adalah benar dan tepat bahwa tindakan yang diambil oleh badan hukum
organisasi. Laporan audit karena itu akan pergi ke badan pengambil keputusan perusahaan untuk
diperiksa dan tindakan, sejalan dengan berbagai rekomendasi. Manajemen puncak tidak harus
didorong untuk mencuci tangan mereka dari penipuan, hanya karena audit internal telah
dilakukan dasar rinci. Ini adalah titik kunci dalam hal itu harus berarti manajemen yang
menyajikan kasus ke polisi, atau mewakili organisasi di pengadilan. Ini juga berarti bahwa
manajemen menginstruksikan tindakan disipliner terhadap orang yang bersangkutan.
14. Laporan akhir. Ini mencakup tindakan yang diperlukan yang harus diambil dan dapat mengobati
aktivitas sebagai masalah internal atau mencari rujukan ke polisi. Laporan ini harus membahas
tindakan segera apapun pada kelemahan pengendalian dan dapat merekomendasikan
peninjauan sistem penuh sekali penipuan yang telah ditangani. Rekomendasi harus peka terhadap
kesejahteraan organisasi, dan jika staf telah diwawancarai, ini harus dilakukan melalui
pengelolaan secara hati-hati direncanakan dengan minimal gangguan terhadap layanan yang
diberikan oleh daerah yang terkena. Saat melaporkan, mungkin praktek untuk nama individu
terlibat atau menggunakan sistem pengkodean dengan kunci dilepas yang dirahasiakan. Semua
laporan harus ditandai dengan jelas rahasia. Jumlah salinan harus dibatasi dan yang terbaik adalah
untuk menyajikan mereka pada kebutuhan-untuk-tahu. Laporan ini bukan tentang memberikan
pendapat dari rasa bersalah dari orang, itu hanya untuk melaporkan hasil penyelidikan. Laporan
ini dapat pergi untuk menyatakan bahwa ada bukti yang cukup untuk mendukung kasus terhadap
seorang tersangka bernama tetapi tidak harus mengambil pandangan pada apakah orang ini
bersalah. Sementara itu, informasi yang terkandung dalam laporan diklasifikasikan sebagai
rahasia.
15. penuntutan pidana dan disciplinaries internal. Ada cenderung dua hasil utama dari penyelidikan
penipuan. Salah satunya adalah rujukan kepada polisi yang akan menempatkan kasus sebelum

Crown Prosecution Service dengan maksud untuk membawa proses pidana terhadap pihak-pihak
yang bersangkutan. Yang lainnya adalah bahwa disciplinaries internal akan diadakan terhadap
setiap karyawan mana bukti menunjuk ke / nya rasa bersalahnya sehubungan dengan penipuan.
Kejadian pertama membutuhkan penuntutan di mana pengadilan akan menentukan apakah
terdakwa bersalah 'tanpa diragukan', berdasarkan bukti yang disajikan untuk itu (dan asumsi
terdakwa memohon tidak bersalah). Skenario kedua membutuhkan organisasi untuk membawa
tuduhan perbuatan kotor di depan sebuah panel yang didukung oleh bukti-bukti yang berkaitan
dengan biaya ini. Panel akan menilai pada tes kurang parah dari 'keseimbangan probabilitas'
apakah telah terjadi pelanggaran disiplin internal dan kemudian menyepakati obat yang cocok,
yang dapat mengakibatkan pemecatan. Kedua peristiwa dapat dimulai pada saat yang sama,
karena salah satu sedang mempertimbangkan tuduhan kriminal, sedangkan lainnya hanya
meninjau pelanggaran prosedur internal. Yang pertama adalah tentang hukum tanah, sementara
yang lain berkaitan dengan rasa saling percaya yang mendasari kontrak kerja. Adalah penting
bahwa kedua konsep ini tidak bingung.
16. tindakan disipliner internal fraud Karyawan harus ditangani di bawah prosedur disiplin internal
perbuatan kotor, yang merupakan pelanggaran Dihapus. Tindakan internal tidak tergantung pada
setiap tuntutan pidana yang sedang berlangsung dan harus diambil pada kesempatan sedini
mungkin. Tujuannya adalah untuk menghapus secara permanen karyawan dari tempat kerja
karena gangguan dalam kepercayaan. Jika seorang karyawan menarik terhadap sidang disipliner
internal dan telah habis prosedur pengaduan internal, ia / dia bisa mengambil / kasusnya ke
pengadilan kerja untuk pemecatan yang tidak adil. Inilah sebabnya mengapa penting untuk
melaksanakan prosedur disiplin benar, yaitu, sejalan dengan set prosedur dan, di atas semua,
dengan cara yang wajar. Sebuah alternatif bagi karyawan adalah untuk mengambil klaim untuk
pemecatan yang tidak adil dan pergi untuk arbitrase independen (oleh Bps). Pendekatan formal
apalagi ini melibatkan prosedur berikut:
Pengantar
Masing-masing pihak menyatakan kasusnya
Pertanyaan dari arbitrator
Pihak meringkas kasus mereka
Kesimpulan meeting
Arbiter mengumumkan keputusan di kemudian hari.
Bahkan di mana kasus pidana jatuh melalui, majikan masih bisa mempertahankan pemberhentian yang
dihasilkan dari prosedur internal, yang beroperasi pada keseimbangan kurang menuntut probabilitas
(bukan di luar semua keraguan) - tes apakah majikan benar-benar percaya alasan yang kuat bahwa
pemohon bersalah karena pelanggaran tersebut. Dalam hal mengambil tindakan internal yang terhadap
karyawan, ada prinsip-prinsip tertentu yang harus diikuti:

Menyelidiki dan mengumpulkan fakta-fakta dengan hati-hati dan mengkompilasi bukti

pendukung.
Jadilah spesifik tentang biaya dan membiarkan karyawan tahu apa keluhan adalah
tentang.
Gunakan konseling, pelatihan dan dukungan untuk masalah kurang serius yang
menunjukkan kurva belajar - penipuan karyawan tidak mungkin jatuh ke dalam kategori
ini karena akan cenderung menjadi perbuatan kotor.
Wawancara karyawan dan memberinya / dia kesempatan untuk menyatakan / nya
kasusnya. Karyawan harus memiliki hak untuk didampingi oleh perwakilan serikat pekerja
atau kolega selama setiap proses terhadap dirinya / dirinya.

Memperkenalkan bukti dan menjelaskan dari mana asalnya dan memberikan karyawan
kesempatan untuk menjelaskan dan mengklarifikasi hal.
Tentukan kebutuhan untuk melaksanakan pertanyaan lebih lanjut ketika diberi informasi
baru oleh karyawan.
Mengadakan sidang disiplin indie dimana kedua sisi kasus didengar dan saksi diperiksa
dan diperiksa silang sebelum menunda panel untuk memutuskan kasus ini.
Membuat jelas keputusan untuk kedua belah pihak.
Dimana karyawan tetap diam karena ada kasus pengadilan yang sedang berlangsung,
maka jika bukti cukup kuat untuk meminta penjelasan, majikan dapat melanjutkan
dengan tindakan disipliner. karyawan hanya bisa mendapatkan perintah untuk
menghentikan disiplin internal di mana akan ada keguguran keadilan jika pergi ke depan,
yang cukup langka. Cara terbaik adalah untuk membuat kasus internal yang tentang
pelanggaran prosedur daripada menggunakan istilah 'penipuan' atau 'pencurian', yang
adalah apa pengadilan pidana akan mempertimbangkan.
Membuat catatan penuh sidang dan memberikan salinan untuk kedua belah pihak jika
diperlukan.
Memberikan mekanisme banding mana karyawan tidak puas bahwa ia / dia telah memiliki
pendengaran yang adil.
Seorang karyawan di tempat penahanan belum melakukan pelanggaran yang telah
terbukti, sehingga kasus internal yang harus diselidiki. Di mana ia / dia telah diberikan
hukuman kustodian untuk pelanggaran tidak berhubungan dengan / pekerjaannya,
mungkin ada alasan untuk pemecatan, terutama jika itu membuat orang tidak cocok
untuk jenis pekerjaan yang dilakukan atau hasil dalam frustrasi kontrak. Di mana seorang
karyawan menyembunyikan keyakinan yang tidak dihabiskan, ia / dia dapat diberhentikan
setelah hangus kepercayaan majikan.
Majikan dapat memberikan referensi ke majikan yang baru calon bahwa karyawan
menghadapi prosedur disiplin yang belum terselesaikan selama itu netral, faktual dan
mungkin cukup singkat.
Kasus ini mungkin berakhir di pengadilan kerja, badan peradilan yang independen yang
terdiri dari orang yang memenuhi syarat secara hukum sebagai ketua dan dua anggota
lainnya; satu diambil dari sebuah
panel
anggota
majikan,
sementara yang lain diambil dari
sebuah panel anggota karyawan.
Dalam keadaan tertentu, seorang
ketua pengadilan dapat duduk
tanpa anggota awam.
17.
Akhir
menyelesaikan
laporan Kami akan menyelesaikan
prosedur dengan menekankan
bahwa laporan akhir disusun atas
penipuan dan tindakan yang
diambil. Bagian ini sering terlewat
sebagai karyawan diberhentikan
dan polisi mengambil alih kasus
ini. Laporan audit rahasia
mungkin terlihat seperti pada
Gambar 7.17.

Setiap penyelidikan penipuan harus dicatat dalam file resmi yang berisi semua dokumen yang relevan
yang telah diamankan selama penyelidikan. Ada sejumlah atribut umum kertas kerja yang baik yang harus
diterapkan ke file ini:
1. Kejelasan. Ini adalah praktik yang baik untuk bersikeras bahwa file terbaca dan dapat dipahami
oleh semua pembaca potensial. Menulis rapi dengan judul yang jelas yang memandu pembaca
melalui surat penting, terutama karena file mungkin harus dibaca tanpa bantuan dari auditor yang
melakukan pekerjaan.
2. new. Setiap item dalam file harus dirujuk dan dicatat dalam indeks utama di depan file. Dengan
demikian, itu harus mungkin untuk pergi langsung ke dokumen tertentu dengan mudah.
3. Mendukung keputusan Audit opini. Temuan-temuan dan keputusan yang dibuat dalam laporan
yang dihasilkan oleh auditor akan masing-masing harus didukung sepenuhnya oleh bukti yang
kuat. Seluruh investigasi akan didorong oleh faktor ini dalam hal mengamankan bukti untuk
membantah atau mendukung tuduhan tersebut. Ketika menyusun kertas kerja, auditor, pada
gilirannya, harus mengakui dan memenuhi faktor ini.
4. Mempertahankan kesimpulan. Ini didasarkan pada poin sebelumnya. Salah satu fitur dari
penyelidikan penipuan adalah bahwa mereka maju, satu mungkin perlu untuk mengecualikan
individu didefinisikan dari pertanyaan. Ini adalah keputusan materi mengingat bahwa auditor
dapat secara pribadi mengenal beberapa orang terlibat dengan penipuan. Di semua tahapan,
kertas kerja harus jelas menunjukkan mengapa keputusan besar dilakukan dengan menyelidiki
staf dan apa bukti yang tersedia untuk mendukung keputusan ini. Hal ini dapat menjadi faktor
penting jika, pada tahap berikutnya, terdakwa mengaku bahwa ia / dia telah menjadi korban oleh
manajemen, yang merupakan pertahanan yang umum digunakan.
5. Penggunaan formas pro. Ini dapat memberikan jalan pintas untuk apa yang mungkin menjadi
proses yang cukup birokrasi mengumpulkan dan pengajuan bukti. Wawancara, pertemuan,
analisis dokumen dan banyak latihan lainnya dapat direkam dalam format standar melalui
penggunaan formas pro dan ini harus memastikan pendekatan yang lebih efisien untuk
penyelidikan.
6. Cross-referenced. Tak usah dikatakan bahwa file kertas kerja harus benar-silang. Kemampuan
untuk mengambil dokumen langsung memberikan kesan yang baik selain sangat efisien. Otoritas
kepolisian akan lebih positif dalam respon mereka terhadap temuan audit jika kertas jelas mudah
diakses. Memadai referensi silang, di sisi lain, akan menyebabkan kesenjangan memalukan
sebagai bukti yang disajikan oleh auditor kepada manajemen dan / atau polisi.
7. ekonomi digunakan. Realitas pemanfaatan sumber daya berarti bahwa penyelidikan tidak bisa
begini terus dan ini juga berlaku untuk akumulasi bukti. Aturan harus diterapkan dalam hal
mengamankan bahan untuk file kertas kerja berdasarkan kepraktisan dan sumber daya yang
tersedia. Setiap item karena itu harus memenuhi kriteria ini sebelum masuk ke dalam file. Sebuah
keputusan mungkin harus dilakukan pada seberapa jauh auditor harus kembali ketika
mengumpulkan bukti penipuan.
8. Dipimpin up. Prinsip bahwa setiap kertas harus menuju benar harus diterapkan. Idenya adalah
bahwa setiap item harus diidentifikasi secara terpisah jika menjadi terpisah dari file utama. Kami
harus bisa membedakan mana penyelidikan kertas milik dan yang dikompilasi (bersama dengan
tanggal).
9. Jelas menunjukkan dampak pada penyelidikan. Setiap perubahan penyelidikan penipuan seperti
yang berkembang dan sebagai informasi baru yang ditemukan. Sepanjang proses ini, auditor,
dalam hubungannya dengan manajemen, akan membuat keputusan yang akan mempengaruhi
bentuk dan arah penyelidikan. Proses ini harus jelas dari studi tentang kertas kerja dan setiap
dokumen baru harus ditetapkan dalam jangka waktu yang ditetapkan. Satu pendekatan adalah

10.
11.

12.

13.

14.
15.

16.

17.
18.

19.

untuk menyiapkan laporan kemajuan secara teratur, yang mengacu pada dokumen yang telah
diperoleh. Hal ini dimungkinkan untuk tanggal, cap dan menandatangani setiap dokumen (melalui
label) seperti yang ditemukan oleh auditor. Terakhir, auditor dapat menyusun catatan file yang
menunjukkan pentingnya materi baru yang telah diamankan. Ini mungkin mengubah tujuan
penyelidikan, sumber daya yang diperlukan dan / atau menambah atau menghapus tersangka dari
pertanyaan.
Ditandatangani oleh petugas dan resensi. Ini cenderung menjadi persyaratan standar audit di file
menunjukkan yang telah melakukan pekerjaan dan peran manajemen audit meninjau.
Tampilkan pekerjaan yang dilakukan. Cara persyaratan ini terpenuhi akan bervariasi. Ini mungkin
terdiri dari catatan singkat menetapkan apa yang telah dilakukan mungkin dalam hal menganalisa
pengeluaran di daerah di bawah ulasan. Pada ekstrem yang lain, auditor dapat membangun
sebuah pernyataan saksi yang menjelaskan secara rinci langkah-langkah yang diambil untuk
merumuskan dokumen tertentu. Status dan keandalan bukti dapat dipengaruhi oleh tidak adanya
detail ini. Ini akan mengurangi kemungkinan terjadinya pertahanan menantang bukti di
pengadilan atau di sidang disipliner internal. Hal ini membuat frustrasi untuk manajer audit untuk
mengambil file yang berisi daftar tokoh menuliskan oleh auditor dengan tidak ada indikasi apa
yang mereka wakili.
Menetapkan tujuan dari pekerjaan. Banyak materi yang membentuk dasar dari penyelidikan
penipuan berasal dari penggunaan rutinitas pengujian ekstensif. Dalam hal ini, hal ini berguna
untuk memiliki untuk setiap tes pernyataan tujuan yang jelas mungkin ditandatangani oleh
manajer audit, yang menetapkan persis tujuan tes dan bagaimana hasil berikutnya dapat
diterapkan untuk penyelidikan. Selain membentuk rekor formal untuk file, pendekatan ini harus
memberikan efisiensi yang lebih besar dalam pekerjaan yang dilakukan.
Sebutkan yang hal-hal yang luar biasa. Untuk kelengkapan, itu adalah ide yang baik untuk
menunjukkan apakah ada kesenjangan dalam pekerjaan yang dilakukan. Sebuah contoh akan
menjadi strategi dimana semua staf yang bekerja di unit tertentu yang diwawancarai sebagai saksi
potensi untuk penipuan. Di mana satu orang belum tersedia, ini harus jelas dari analisis
dokumentasi yang relevan. Ini akan sulit untuk menjelaskan bulan setelah acara mengapa satu
orang yang tersisa, terutama jika auditor yang bersangkutan telah meninggalkan
organisasi.Mungkin latihan tertentu direncanakan tetapi, untuk beberapa alasan, tidak lagi
diperlukan. Sekali lagi kertas kerja harus berisi catatan yang cocok untuk efek ini.
Tanggal. Aturan ini harus benar-benar diterapkan.
Tampilkan dampak pada tahap berikutnya dari penyelidikan. Mengingat bahwa kita akan
merencanakan penyelidikan mungkin didasarkan pada dokumen perencanaan yang telah
disampaikan kepada manajemen untuk diskusi dan tindakan, di mana arah perubahan rencana
semula sebagai investigasi berlangsung, ini perlu dicatat sehingga kertas kerja mencerminkan
jalan perubahan penyelidikan.
Lengkap. Semua dokumen yang relevan harus berakhir pada file audit definitif, yang berarti
bahwa ini harus menjadi satu-satunya berkas (atau set file) yang dipertahankan. Ini adalah praktek
yang buruk untuk memegang banyak file di kantor dengan masing-masing berisi salinan dari
beberapa bukti tanpa membuatnya cukup jelas yang (berada) asli dan lengkap file (s).
Set dalam mode rapi dan teratur. Pekerjaan Ceroboh tidak boleh diterima.
Konsisten. Jika wawancara diketik setelah acara maka ini harus diterapkan untuk semua kasus di
mana sebuah wawancara telah terjadi. Sebutan pos dan terminologi harus bertepatan, yang
sangat relevan di mana lebih dari satu auditor bekerja pada penyelidikan.
Simple. Kritik besar dari beberapa penyelidikan penipuan adalah bahwa mereka dapat menjadi
sangat rumit. Hal ini dapat menciptakan masalah besar bagi semua pihak yang terlibat, selain dari
terdakwa. Keadaan kertas kerja dapat menambah keadaan kebingungan atau membuat seluruh

20.

21.

22.
23.

24.

materi dikelola. Aturan di sini adalah untuk tetap sederhana dengan memiliki tujuan yang jelas,
bukti yang baik dan memastikan bahwa terlalu banyak masalah tidak ditangani pada saat yang
sama.
Diperlukan. Sebuah dokumen / kertas kerja harus dijamin hanya jika diperlukan. Hal ini terkait
dengan tingkat sumber daya yang diterapkan untuk penyelidikan sebagai manfaat utama
menggunakan auditor senior kemampuan mereka untuk menerapkan kebijaksanaan yang lebih
besar ketika membangun sebuah file bukti. Staf junior cenderung menerapkan kebijakan 'bila
ragu, memasukkannya ke dalam'.
Termasuk ringkasan. Ada gunanya mengumpulkan toko besar dokumen atas dasar bahwa setiap
dari mereka memiliki link ke tuduhan, namun samar-samar. Proses investigasi memerlukan satu
untuk menyaring materi yang tersedia dan ekstrak hanya itu yang diperlukan untuk membuktikan
isu di tangan dan hal ini bergantung pada beberapa keterampilan dan pengalaman. Konsep ini
dibantu ketika ringkasan digunakan untuk mengisolasi fitur kunci dari dokumen yang telah
diajukan. Teknik ini harus digunakan sedapat mungkin. Hal ini tentu tidak dapat diterima untuk
mengajukan laporan besar dan jadwal tanpa menunjukkan bagian mana yang bahan penyelidikan.
pada. Sesuai praktek audit yang normal, kertas kerja harus dikaji oleh tingkat manajemen yang
sesuai audit. Ulasan ini juga harus didokumentasikan.
Menunjukkan sumber informasi / data. Ini sangat penting, dan semua sumber harus jelas dikutip
sehingga setiap jadwal dapat diperbanyak jika diperlukan. Tanggal ini juga relevan sebagai
informasi, terutama data keuangan, tidak berubah dari waktu ke waktu sebagai account
diperbarui oleh sistem.
Logikanya diatur. Informasi dapat diatur bertepatan dengan kemajuan penyelidikan dan ini akan
membantu mengambil resensi melalui berbagai tahap seperti kasus disatukan. Ketika
mengamankan dan menyimpan dokumen dari penyelidikan penipuan langkah-langkah berikut
harus diambil:
Menangani semua dokumen dengan hati-hati dan melindungi mereka dengan
menempatkan mereka di saku plastik. Pertahankan sidik jari dengan menggunakan tang.
Label semua dokumen hati-hati (yaitu saku) dan tanggal catatan, waktu dan lokasi. Di
mana seseorang mengaku menggunakan atau memiliki hubungan dengan dokumen,
merekam ini, misalnya, buku harian milik dia / nya.
Jangan menulis pada dokumen atau melampirkan label lengket.
Jangan mencoba untuk memasang kembali dokumen dengan menggunakan perekat.
Pastikan dokumen asli dipertahankan.
Amankan semua pita di mesin tik / printer signifikan untuk penyelidikan. Mengambil
sampel dari mesin tik setelah pita dihapus dan diganti. Mengambil sampel dari keyboard
lengkap, lebih rendah dan huruf.
Cobalah untuk mendapatkan sampel tulisan tangan dari semua tersangka. sampel harus
sesuai apa yang sedang dibandingkan dengan.

Bertindak sebagai Saksi

Ketika bertindak sebagai saksi ada pedoman tertentu yang harus diamati oleh auditor:

Pastikan Anda sudah familiar dengan prosedur pengadilan. Ada pemisahan jaksa dan saksi
sehingga tidak ada tekanan yang tidak semestinya diterapkan. Kontak aturan tutup
dengan saksi-saksi lain selama memberikan bukti dan protokol pengadilan memandu
saksi saat di pengadilan. Jika hal ini tidak di manual audit, saran harus disediakan oleh

petugas hukum organisasi. Setiap orang yang mewakili organisasi harus diberikan
pengarahan tentang prosedur pengadilan sebelum menghadiri sidang.
Segarkan memori Anda dengan membaca laporan Anda. Seorang auditor dapat meminta
untuk merujuk / nya catatan ketika memberikan bukti.
Jangan membicarakan bukti Anda dengan auditor lain yang juga dapat disebut sebagai
saksi, sebagai pertahanan mungkin berpendapat bahwa telah fabrikasi.
Pikirkan sebelum menjawab pertanyaan. Aturan emas adalah jujur; jika saksi tidak ingat
persis apa yang terjadi, maka hanya mengatakan begitu. Jika pernyataan tidak akurat, ini
harus diakui.Jika sesuatu adalah masalah pendapat, kemudian berkata begitu. Jika
permintaan dibuat oleh jaksa (katakanlah, untuk melihat laporan audit) dan auditor tidak
yakin apakah itu harus dihibur, harus dirujuk ke CAE.
Ini bukan pekerjaan saksi untuk menyenangkan orang di pengadilan , hanya untuk
menyajikan bukti secara adil dan terbuka.
Tetap tenang jika pertahanan berusaha untuk mendiskreditkan bukti Anda. Ini adalah
peran pengacara untuk mempengaruhi juri. Sebuah pertahanan yang lemah bergantung
pada bercak kesenjangan dalam bukti dan jika setiap tingkat keraguan / kesalahan dapat
dibawa keluar, tidak peduli seberapa immaterial, ini dapat digunakan untuk meragukan
sisa bukti. Taktik ini baik untuk mendiskreditkan dokumen yang disampaikan oleh saksi
(misalnya dengan auditor) atau mendiskreditkan auditor. Pertahanan dapat meringkas
kasus ini dengan meminta juri apakah mereka yakin bahwa penyelidikan itu profesional
setelah menyarankan tidak. Ketahanan diperlukan di mana saksi bisa tetap tenang dan
terdiri dan tetap memegang aturan penting berpikir sebelum menjawab sambil menjaga
kebenaran, seluruh kebenaran dan hanya kebenaran.

Merumuskan Prosedur Investigasi Penipuan

Kami telah mengembangkan prosedur investigasi dalam konteks kenyataan bahwa tidak ada dua
penipuan yang sama. Prosedur adalah dokumen formal yang menetapkan standar untuk kegiatan jalan
dilakukan dan tugas-tugas tertentu dilakukan. penyelidikan penipuan jauh seperti kegiatan bisnis lainnya
meskipun ada dua fitur utama yang harus diperhatikan. Pertama, mereka cenderung sensitif dengan
faktor malu yang tinggi, terutama, jika penyelidikan beres. Kedua, fakta bahwa penyelidikan diperlukan
merupakan sumber lain dari malu potensial di mana kontrol telah gagal dan manajemen telah
memungkinkan masalah ini terjadi. Kita dihadapkan lebih banyak dengan latihan pembatasan kerusakan
di mana penyelidikan berusaha untuk menemukan pelakunya, memecahkan masalah dan memungkinkan
manajemen untuk melanjutkan pekerjaan yang sebenarnya. Inilah sebabnya mengapa prosedur yang baik
diperlukan di daerah ini pekerjaan. Namun, prosedur sendiri menawarkan sedikit bantuan. Harus ada
proses implementasi yang efisien dimana prosedur ini diterjemahkan ke dalam tindakan dan hasil.
Ringkasan dari faktor-faktor yang mendasari prosedur ini dapat dicatat:
1. Biarkan prosedur menjadi didasarkan pada budaya pencegahan penipuan. Di sini, manajemen
berusaha untuk memprioritaskan kontrol yang baik sehingga untuk menghindari sistem
pelanggaran. Banyak berasal dari pendekatan berbasis risiko di mana aset berisiko diidentifikasi
dan langkah-langkah yang diambil untuk menilai sejauh mana mereka dilindungi secara proaktif.
2. Pastikan bahwa organisasi telah membentuk kebijakan anti-fraud yang dibangun ke dalam
kontrak kerja, peran manajemen, prioritas direksi, dan ditangani pada pelatihan induksi dan

3.

4.

5.

6.

7.

8.

program pelatihan dan pengembangan yang berkelanjutan. Sebuah kode disiplin formal praktek
harus membuat referensi untuk kebijakan anti-fraud.
Prosedur penyelidikan penipuan mungkin juga didukung oleh latihan deteksi penipuan formal
dimana tim proyek dibentuk untuk mengisolasi setiap penipuan tertentu yang dianggap menjadi
perhatian. Ini dapat menargetkan daerah-daerah sensitif seperti sistem pembayaran, klaim gaji,
kasir dan uang transfer, dana pensiun, manajemen treasury (pinjaman dan investasi), referensi
kerja, keamanan komputer, pembelian dan kontrak, periksa sistem pengiriman dan sebagainya.
Setiap tuduhan atau dugaan penipuan dapat memberi makan ke dalam prosedur penyelidikan
penipuan secara dinamis. Nomor telepon khusus untuk melaporkan kecurigaan adalah salah satu
cara untuk mendorong tindakan, asalkan ada aturan yang melekat pada penggunaannya.
Kereta kunci staf dalam prosedur penyelidikan. Ini akan mencakup auditor internal, petugas
personil dan manajer kunci. Perhatikan bahwa kita harus berhati-hati mempublikasikan semua
deteksi dan pengujian metode karena hal ini dapat mendorong orang untuk 'mengalahkan
sistem'. Namun, pelatihan yang baik adalah salah satu cara untuk memastikan penyidik tahu
bagaimana tindakan prosedur jika diperlukan.
Pastikan polisi menyadari prosedur dan nama kontak dan nomor. Ini adalah praktik yang baik
untuk membentuk mekanisme penghubung untuk tetap berhubungan dengan polisi setempat
(atau spesialis unit penyelidikan penipuan polisi).
Membuat kepala eksekutif yang bertanggung jawab untuk prosedur penyelidikan penipuan
dengan saran dari auditor internal kepala. Dimana CAE adalah petugas penipuan dicalonkan,
harus ada pengakuan yang jelas bahwa CEO pada akhirnya bertanggung jawab untuk mengatasi
penipuan melalui delegasi ke petugas yang tepat. Dengan demikian, semua laporan kecurangan
akhir harus pergi ke CEO bersama dengan laporan dari tuduhan dan laporan tindakan yang diambil
dan ringkasan tentang penipuan dan penyimpangan selama setiap periode pelaporan (misalnya,
triwulanan). Hal ini juga untuk melibatkan komite audit dan tim manajemen dalam laporan
ringkasan, di bawah penutup rahasia.
Mengadopsi kebijakan formal 'penipuan nol' di mana setiap kali masalah muncul, kami meminta
apa yang salah, dan bagaimana hal ini dapat diselesaikan. Hal ini dapat mendorong pertanyaanpertanyaan mendasar seperti apakah kita mempekerjakan orang yang tepat (di mana kita
memiliki insiden tinggi penipuan yang dilaporkan), dan mulai mencari sistem yang lebih baik
dimulai dengan perekrutan, seleksi, penilaian kinerja dan pengembangan karir.
Pastikan bahwa ada mekanisme yang efektif diinstal itu berarti prosedur investigasi ditinjau, terus
up to date dan benar diterapkan di seluruh organisasi. Ketika kepala eksekutif diminta apa yang
dia akan lakukan jika penipuan terungkap, respon berikut akan tepat:
Saya memiliki kebijakan anti-fraud formal.
Saya memiliki penipuan petugas dinominasikan (mungkin CAE).
Saya telah mengembangkan prosedur penyelidikan penipuan yang komprehensif.
Prosedur ini didukung oleh dokumentasi standar dan berbagai lokakarya pelatihan.
Sementara itu, saya telah menginstal kontrol yang berusaha untuk meminimalkan risiko
fraud di organisasi saya.

Jika CEO tidak dapat memberikan respon ini, ada paparan yang akan membuat hidup mereka
berpotensi tidak nyaman. Sementara itu, kepala auditor harus memberikan saran kepada CEO pada ini
dan terkait hal-hal sesuai dengan prosedur yang telah kita tentukan di atas.

Poin praktis
Semua penipuan berbeda dan aturan tetap tidak dapat diterapkan untuk situasi tak terduga.
Pendekatan disiplin berdasarkan kompilasi bukti suara dari sumber terpercaya dan dikonfirmasikan
dengan dokumen yang dihasilkan disatukan secara sistematis. Berikut ini adalah poin praktis yang perlu
diperhatikan:
1. Polisi lebih memilih kasus yang akan disajikan dengan bukti-bukti jelas disusun. Hal ini
memungkinkan mereka untuk sumber daya penyelidikan dan menetapkan ke tingkat
kepentingan. Jika kasus buruk disatukan dengan kesenjangan jelas, ini akan membuat lebih sulit
bagi polisi untuk menghadapinya dengan cara yang efisien. Posisi ideal tercapai di mana hubungan
yang baik telah dibangun selama bertahun-tahun antara audit internal dan polisi setempat. Dalam
menangani kasus, polisi akan telah menetapkan persyaratan dan tingkat kepercayaan akan ada di
mana pekerjaan auditor dianggap sepenuhnya diandalkan.
2. Kita harus menentukan apakah penyelidikan adalah masalah disipliner internal atau kasus untuk
polisi. Ini adalah kebijakan yang baik untuk merujuk semua kasus kriminal ke polisi atau setidaknya
mencari nasihat mereka. Di sisi lain, implikasi bagi organisasi harus dipertimbangkan untuk semua
kasus bahkan mereka yang sedang ditangani oleh polisi. Adalah penting bahwa kasus terpisah
dikembangkan untuk digunakan dalam sidang disipliner internal yang tidak tergantung pada hasil
kasus polisi.
3. Polisi harus diberi petugas penghubung, yang mungkin internal auditor yang akan berhubungan
dengan mereka sepanjang penyelidikan. Auditor dapat membantu mana, mengatakan, seluruh
kelompok staf harus diwawancarai, karena Kehadiran polisi dapat mengganggu layanan yang
disediakan. Dalam hal ini, mungkin disarankan untuk audit untuk melakukan wawancara ini dan
menyajikan hasil kepada polisi. Sekali lagi, ini dan isu-isu lain harus didiskusikan dengan petugas
penghubung.
4. Ketika tuduhan pertama datang ke cahaya, adalah penting bahwa daerah yang terkena
didefinisikan, karena setiap pertanyaan rahasia awal harus dilakukan di luar daerah ini. Hal ini
terutama berlaku di mana karena kurangnya bukti, perlu untuk memungkinkan penipuan untuk
melanjutkan dan menangkap bukti saat ini. Surveillance adalah contoh mengamankan bukti
bersamaan untuk mendukung tuduhan. Kerahasiaan harus dijaga dan titik ini harus diulang untuk
semua yang terlibat di setiap kesempatan. Kadang-kadang, lebih baik untuk mengambil kasus dari
manajemen, dan laporan hanya untuk seorang manajer senior, sehingga unsur ini kerahasiaan
dapat dipertahankan. Sebuah penyelidikan akhirnya akan menjadi pengetahuan umum.
5. Dimana seorang karyawan sedang diselidiki oleh polisi sebagai hasil dari penyelidikan internal, itu
masih mungkin untuk mendisiplinkan orang ini. orang tersebut dapat diwawancarai dan disiplin
tanpa menunggu hasil dari kasus polisi selama biaya berhubungan dengan masalah internal,
misalnya, pelanggaran prosedur yang bertentangan dengan tindak pidana seperti pencurian.Sulit
untuk melihat bagaimana penipuan bisa dilakukan terhadap organisasi tanpa pelanggaran
menyertai prosedur. Ini adalah pelanggaran yang harus ditangani dan masalah ini harus ditangani
dalam kode disiplin praktek dan deskripsi pekerjaan. Ini adalah ide yang baik untuk mewawancarai
tersangka sebelum ia / dia ditangkap oleh polisi. Hal ini karena pengacara dapat
merekomendasikan bahwa setiap karyawan ditangkap sehubungan tindak pidana tidak harus
membicarakan kasus dengan majikan. Kita mungkin pergi lebih jauh dan menyarankan bahwa
sidang disipliner dapat diadakan dengan tidak adanya karyawan, meskipun lebih baik untuk
mendengar representasi dari karyawan sebelum panel disiplin membuat keputusan mereka.

6. Ketika seorang karyawan dituduh mencuri aset organisasi, adalah penting bahwa situasi cukup
jelas. Pencurian membutuhkan niat untuk secara permanen menghapus barang dan satu
pertahanan yang item diadakan di rumah untuk digunakan nanti di tempat kerja. Jika tidak ada
kebijakan yang jelas, pengadilan mungkin merasa sulit untuk memberikan vonis bersalah. Sebuah
dokumen formal harus menguraikan apa yang berhak untuk disimpan di rumah dan apa yang tidak
boleh dihapus. Sebuah persediaan formal harus dirancang dengan tanda tangan untuk setiap item
dihapus. Itu harus mungkin untuk menunjukkan di pengadilan bahwa seorang perwira tidak punya
hak untuk memegang benda ditentukan atau menggunakannya untuk tujuan yang tidak sah. Jika
kebijakan ini kendur, samar-samar atau tidak diterapkan, maka setiap penyelidikan berikutnya
akan terhalang.
7. Standar bukti akan tinggi karena akan diteliti secara rinci setiap persidangan nanti atau sidang
disiplin internal. Pertahanan akan mencoba untuk menemukan kesalahan dengan bukti
penuntutan, dan setiap kesalahan kecil dapat digunakan untuk panggilan ke bukti keraguan yang
tersisa, namun akurat. Pertahanan standar untuk menimbulkan keraguan dalam pikiran juri. Jika
auditor junior yang digunakan, mereka harus diberi instruksi yang jelas. Manajer audit dapat
mengatur kasus ini sehingga ia / dia akan menyajikan item bukti bahkan jika itu disusun oleh
auditor junior. Pada account tidak harus auditor berpengalaman diserahkan kepada belas kasihan
dari pengacara di pengadilan, di mana pekerjaan audit tidak dapat diandalkan, tidak ditinjau dan
terkendali. briefing tim reguler akan mempromosikan pendekatan yang konsisten. Dianjurkan
untuk memberikan junior staf wawasan yang jelas ke dalam sifat penyelidikan penipuan sebelum
mereka melakukan pekerjaan mereka atas dasar bahwa pemahaman yang lebih baik dari tujuan
akan mendorong hasil yang lebih baik.
8. Cara terbaik adalah untuk manajemen untuk menyajikan disciplinaries dan mewakili organisasi di
pengadilan sedangkan peran audit dapat disediakan seperti yang saksi utama. Manajemen
bertanggung jawab untuk menyelidiki penipuan. Audit dapat bertindak sebagai penasehat dan
mengkompilasi bukti yang mendukung. Audit dapat menjadi ahli dalam menyajikan bukti ke
pengadilan saksi terpercaya, sementara manajemen akan berdiri di pengadilan dan menjelaskan
prosedur dan menjelaskan bagaimana mereka dilanggar. Manajemen juga akan menyajikan kasus
untuk sidang disipliner untuk pertimbangan formal dan keputusan, sementara auditor akan hadir
sebagai saksi. Ini membantu jika peran yang tepat dari masing-masing pihak telah ditetapkan
dengan benar sejak awal.
9. Menurut Undang-Undang Perlindungan Data tahun 1984, non-disclosure tidak berlaku di mana
informasi yang dibutuhkan untuk mendeteksi kejahatan atau menangkap atau menghukum para
pelaku. audit internal harus memiliki akses ke semua informasi dan penjelasan yang diperlukan
untuk pelaksanaan pekerjaan mereka dan surat perintah audit yang tepat akan dikeluarkan untuk
mencerminkan ini. Ada pandangan bahwa UU Perlindungan Data dilanggar di mana salah satu
embarks pada 'ekspedisi memancing' dengan tidak ada tersangka yang jelas dalam pikiran. Ini
mungkin terjadi di mana salah satu berusaha untuk membandingkan dua file komputer sebagai
latihan deteksi penipuan umum.
10. The Advance Pengungkapan Bukti UU memungkinkan pertahanan hak untuk melihat bukti-bukti
sebelum datang ke pengadilan. Hal ini berdampak pada audit internal karena akan menutupi
dokumen asli yang digunakan untuk sampai pada opini audit. Pertahanan juga dapat melihat
materi yang pernah dipublikasikan dalam laporan audit tetapi mungkin telah digunakan dalam
penyelidikan. Hal ini berlaku untuk mengaudit kertas kerja, dokumen utama dan dokumen terkait.
pertahanan akan membuat permintaan melalui petugas polisi yang relevan yang kemudian akan
membuat pengaturan yang diperlukan. auditor harus selalu mengambil nama dan alamat orang
yang mengunjungi dan hadir ketika dokumen diperiksa. Terdakwa tidak berhak untuk melihat
dokumen, hanya pengacara. Mana fotokopi diminta, auditor harus mencatat permintaan ini dan

memasok mereka di kemudian hari dengan surat pengantar dan faktur terlampir ditetapkan pada
tingkat yang wajar. Sangat penting bahwa organisasi menerbitkan kebijakan yang sesuai pada
pengaturan untuk mematuhi undang-undang.
11. Ketika melakukan investigasi, selalu membuka file dan mematuhi standar di rumah sebagai
berikut:
Selalu gunakan indeks pada semua file.
Tempat dokumen asli di dompet plastik.
Gunakan fotokopi (dengan kata-kata 'Saya menyatakan bahwa ini adalah salinan yang
benar dan adil diambil hari ini'; ditandatangani dan diberi tanggal).
Gunakan wawancara catatan dan foto-foto (ditandai dengan tanggal, waktu, tempat).
Pastikan bahwa semua informasi dicatat dan semua dokumen disimpan aman. Terutama
materi sensitif dapat diadakan di bawah kunci dan kunci dalam audit yang aman.
Simpan dokumen asli dan memberikan salinan kepada pihak ketiga, termasuk polisi.

Proyek Pengendalian Penipuan

Hal ini dimungkinkan untuk melakukan review khusus kontrol atas penyalahgunaan komputer /
penipuan direncanakan menggunakan model didirikan seperti yang ditunjukkan pada Gambar 7.18.
Kami akan mencari kontrol cocok atas aset dan informasi beresiko. Ini akan dievaluasi untuk
mengetahui apakah mereka memadai dan diterapkan dalam praktek dan langkah-langkah yang
direkomendasikan
untuk
mengatasi
kegagalan ditemukan sebagai hasil dari
proyek. Sangat penting bahwa laporan tim
proyek untuk tingkat perusahaan yang tinggi
dalam
organisasi
dengan
kekuatan
pengambilan
keputusan yang dapat
digunakan untuk mengambil tindakan atas
rekomendasi. Banyak dari pekerjaan akan
berkisar pada petugas keamanan IT,
meskipun, jika tidak ada orang tersebut,
maka ini mungkin menjadi rekomendasi
utama pertama. Penipuan tidak konsekuensi
alami dari menggunakan sistem komputerisasi, meskipun ada perbedaan pandangan tentang masalah ini.
Penelitian telah dilakukan tetapi ada banyak organisasi yang melindungi kredibilitas mereka dengan tidak
melaporkan penipuan dan penipuan dicoba. kontrol cocok telah diterapkan dan peran audit tetap sama
dalam mengkaji kecukupan dan efektivitas. Satu-satunya masalah tambahan adalah di mana audit internal
membuat tawaran untuk melakukan peran keamanan sistem dalam organisasi, meskipun ini adalah suatu
hal yang auditor internal kepala harus mempertimbangkan dan menyelesaikan. deteksi penipuan adalah
tentang mengadopsi pendekatan proaktif untuk penipuan dengan melakukan proyek-proyek audit untuk
mencari dan membasmi penipuan tertentu. Hal ini dapat dilakukan dalam hubungannya dengan polisi
yang akan memberikan saran dan terlibat di mana ada kasus yang jelas dari kegiatan kriminal. Rencana
audit dengan mengacu:
1. probabilitas penipuan yang terjadi di dalam daerah berisiko tinggi organisasi;

2. staf yang diperlukan untuk sumber daya proyek yang penting termasuk kualifikasi, pengalaman,
keterampilan dan atribut pribadi, sebagai tim harus mengangkat tangan, berdasarkan spesifikasi
pekerjaan yang menuntut;
3. sejauh, kerangka acuan dan ruang lingkup audit harus sangat hati-hati ditentukan karena hal ini
akan berdampak besar pada kerja yang dilakukan dan arah audit. Faktor ini harus terus dikaji
karena lingkup mungkin berubah selama pekerjaan. Hal ini mungkin juga memiliki efek knock-on
pada jenis sumber daya yang sedang digunakan. Salah satu fitur penting mungkin perlu untuk
mengamankan profiling data dan interogasi keterampilan otomatis untuk proyek tersebut.
pekerjaan ini harus dilakukan dalam hubungannya dengan manajemen yang tetap bertanggung
jawab untuk menangani penipuan dan penyimpangan.

Teknik pencegahan
Larry Sawyer telah menerbitkan kata-kata yang kini terkenal pada pencegahan, bagian yang lebih
baik dari keberanian:
Berapa banyak lebih baik tidak kehilangan sesuatu daripada harus pergi ke kesulitan menemukan
itu setelah hilang. Cara yang lebih baik untuk mencegah seseorang dari mencuri daripada
mendeteksi pencurian, memulihkan kerugian, dan penjara bajingan. Cara yang lebih baik untuk
menghilangkan godaan daripada menghukum seseorang karena telah menyerah pada
godaan.Berapa banyak yang lebih baik untuk internal auditor dianggap sebagai konsultan
konstruktif selain sebagai polisi atau jaksa.
Proses investigasi reaktif dalam hal itu dimulai sebagai hasil dari dugaan penipuan. Langkah dapat
diambil untuk menjaga terhadap penipuan. Pentingnya membangun kontrol suara tidak bisa terlalu
ditekankan karena kebanyakan penipuan bisa dihindari dengan kontrol yang tepat. Kita juga harus
mempertanyakan organisasi yang sepenuhnya sumber penyelidikan penipuan sementara mengabaikan
implikasi kontrol. Sayangnya, mereka yang dituduh dengan melakukan penyelidikan ini mungkin memiliki
sedikit insentif untuk mendorong sudut kontrol jika akan menghasilkan lebih sedikit pekerjaan yang
tersedia untuk mereka. kontrol utama meliputi:

prosedur perekrutan yang baik

sistem informasi manajemen yang baik

pemeriksaan independen atas pekerjaan

garis wewenang

pengawasan Reguler

Kebijakan dipublikasikan pada penipuan

rapat staf

margin keuntungan dikendalikan

Sistem rekening manajemen

dokumentasi yang baik

Kode etik pegawai

prosedur disiplin yang baik staf

Up ke rekening tanggal

prosedur keuangan

trails manajemen

langkah-langkah anti-korupsi

komunikasi yang baik

hotline penipuan

kontrol yang baik atas pendapatan tunai

Baik serba sistem kontrol

Pemisahan tugas

Terlatih dan manajemen peringatan

Toko / peralatan kontrol

Process Control penipuan

Kebanyakan penipuan adalah hasil dari kelemahan dalam sistem pengendalian internal.
Manajemen perlu menetapkan keseluruhan proses untuk mengendalikan penipuan yang meliputi:
Pencegahan kontrol ini adalah kontrol yang paling penting yang berusaha untuk mencegah penipuan.
Kami telah mencatat bahwa kebijakan penutup ini penipuan, pemisahan tugas, ulasan audit internal,
lingkungan pengendalian yang baik, sistem secara keseluruhan baik dan banyak poin lainnya ditangani
sebelumnya. Ini adalah jenis yang paling efisien kontrol dalam bahwa mereka bertujuan mencegah setiap
penipuan potensial sebelum terjadi. Upaya diarahkan pada tahap ini dari sistem bisnis akan membayar
imbalan besar bahkan jika ini negatif dinyatakan sebagai kurangnya aktivitas penipuan. Kontrol ini
memberikan jaminan kepada manajemen bahwa mereka mungkin berkonsentrasi pada pencapaian
tujuan bisnis tanpa risiko kerugian di aset-aset organisasi yang mereka bertanggung jawab untuk.
Manajemen, bukannya bertanggung jawab atas aset, yang lebih tepat disebut sebagai bertanggung jawab
untuk menetapkan kontrol yang memadai atas aset tersebut. Hal ini membawa konsep kontrol
pencegahan untuk profil yang lebih tinggi, sehingga memungkinkan mereka untuk menarik sumber daya
yang cukup untuk menjadi operasional sukses.
Detektif kontrol Kontrol ini didasarkan pada kebutuhan untuk mengambil setiap penyimpangan secepat
mungkin. Ini termasuk teknik seperti manajemen peringatan, analisis trend, tempat pemeriksaan,
pengawasan, laporan pengecualian dan audit kejujuran. Pertanyaan untuk bertanya adalah, 'Bisakah
penipuan telah menyelinap melalui sistem kami dan jika demikian bagaimana mereka dijemput?' Kita
harus menerima bahwa tidak semua masalah potensial / penipuan dapat ditangani melalui kontrol
preventif dan akan ada kesempatan di mana penyimpangan hampir tidak dapat dihindari. Kontrol detektif
dirancang untuk mengambil setiap sistem
pelanggar dan merupakan unsur penting dalam
siklus kontrol.
Kontrol korektif Setelah penipuan telah dijemput,
harus diperbaiki. Kontrol korektif termasuk peneliti
mendefinisikan penipuan, tindakan manajemen,
kebijakan asuransi, sistem perbaikan dan tindakan
disiplin yang efektif. Harus ada prosedur yang jelas
yang mencakup topik restitusi dan asuransi.
Dengan demikian, jika penipuan dijemput, perlu
ada metode yang efektif untuk menangani itu
berbeda
dengan
pendekatan
hit-or-miss.
Manajemen harus tahu siapa yang harus
dihubungi, apa yang akan dilakukan dan bagaimana

mereka dapat mendukung proses ini menyelidiki penipuan. Gambar 7.19 menggambarkan bagaimana
beberapa kontrol utama dapat diatur untuk membentuk suatu sistem yang efektif untuk mengendalikan
penipuan dan penyimpangan dengan mengatasi kebutuhan untuk:

standar perusahaan-tingkat tinggi

petugas penyelidikan penipuan dinominasikan
sumber daya terkait dan anggaran
manual penipuan
informasi manajemen pada penipuan
keamanan atas sumber daya dan sistem IT
prosedur untuk bidang utama seperti pembelian
hubungan yang jelas dalam disiplin staf.

Dengan cara ini, seluruh sistem kontrol dapat dibuat di seluruh organisasi untuk mempromosikan
keamanan yang baik atas aset organisasi dan sumber daya. Ini adalah bagian dari tanggung jawab
manajemen yang tidak dapat dibatalkan, meskipun audit internal mungkin menganggap peran penting.
Penipuan bisa menjadi topik yang sangat menarik dan mungkin sangat merangsang bagi auditor. Ada
banyak belajar, dan banyak teknik audit, khususnya yang berkaitan dengan pengujian, dapat diterapkan
untuk mengamankan bukti yang mendasari bahwa hal apapun akan didasarkan pada. Ada, bagaimanapun,
sedikit nilai perkembangan dalam peran dan pemeriksaan teori ini mengarahkan satu menuju ulasan
operasional sistem pengendalian internal sebagai tujuan audit yang benar. Penipuan mengambil tingkat
tinggi sumber daya dan banyak pekerjaan audit yang direncanakan bisa jatuh ke satu sisi. Peran konsultan,
menasihati manajer tentang bagaimana mereka bisa memecahkan penipuan mereka mungkin hubungan
kerja yang efisien dan ini harus dinegosiasikan dengan komite audit. Jika direncanakan audit dipandang
sebagai masalah sekunder, maka proses penilaian risiko yang diidentifikasi proyek ini untuk rencana audit
jelas tidak bekerja dan harus ditinjau. Sistem kelemahan yang memungkinkan penipuan terjadi harus,
bagaimanapun, diprogram ke dalam rencana audit dan sistem sesuai kontrol preventif benar didirikan.
Pada account tidak harus bertanggung jawab untuk menjaga terhadap dan menyelesaikan penipuan dan
penyimpangan diambil dari manajemen. Neil Cowan telah dijelaskan peran audit internal dalam 'penipuan
Perusahaan-lebar ofensif':
audit internal dapat memainkan peran penting dalam proses pencegahan penipuan. Sebagai
spesialis dalam kontrol dan risiko, auditor sangat berkualitas baik untuk mendidik karyawan di seluruh
organisasi tentang bagaimana untuk meminimalkan kasus penipuan dan untuk meningkatkan kesadaran.
Auditor dapat membantu untuk memastikan bahwa pencegahan penipuan adalah agenda semua orang
dan mendorong pendekatan kooperatif untuk masalah ini. Memberdayakan karyawan di semua tingkatan
untuk mengambil peran aktif dalam pencegahan penipuan dapat membantu untuk memastikan bahwa
setiap orang memberikan kontribusi untuk usaha tim ini.
Hal ini tidak mudah dan ada peringatan yang dapat dikeluarkan. Empat bahaya menghadapi auditor
internal yang mengungkap penipuan:
1. Audit dapat didefinisikan dengan memperingatkan pelaku awal.
2. Auditor dapat menjadi subjek litigasi sipil, seperti pencemaran nama baik, fitnah atau salah
tangkap.
3. Kerusakan Karir mungkin terjadi. Hal ini terutama berlaku ketika penipuan yang terjadi pada
tingkat tinggi dalam organisasi.

4. Bahaya keempat yang internal auditor menghadapi adalah bahwa dari violence.45 Tapi pada saat
yang sama, ada tantangan. Mark R. Kolman menggambarkan bagaimana rasanya hidup
berbahaya:
Dalam beberapa kasus, misalnya, auditor dapat dianjurkan mengejar penyelidikan penipuan
karena manajemen senior tidak ingin informasi tertentu dipublikasikan, atau karena mereka secara
finansial dan politik terhubung ke pihak yang terlibat dalam aktivitas penipuan. manajemen audit dapat
mengabaikan keputusan bisnis miskin karena mereka diintimidasi oleh anggota manajemen senior dan
takut pembalasan. Dalam beberapa lingkungan, di mana korupsi lebih luas, auditor menghindari daerahdaerah tertentu harfiah untuk menghindari menempatkan diri mereka dalam bahaya. Hal ini, sayangnya,
realitas profesi kita, tetapi juga salah satu alasan yang sering kita gagal untuk hidup sesuai dengan
komitmen obyektif dan independen profesi menjanjikan untuk memberikan. Untuk menjaga integritas
profesional kami dan memastikan kesehatan organisasi kita, auditor harus bersedia untuk mengambil
sikap atas perilaku etis. Apakah Anda bersedia untuk hidup berbahaya?
The IIA membuat jelas dalam Atribut Standar 1210.A2 bahwa auditor internal harus memiliki
pengetahuan yang cukup untuk mengidentifikasi indikator penipuan tetapi tidak diharapkan untuk
memiliki keahlian dari orang yang tanggung jawab utama adalah mendeteksi dan menyelidiki penipuan.
Selain itu, cara yang paling efektif untuk mengelola risiko penipuan adalah untuk membangun faktor ini
ke dalam lokakarya penilaian risiko yang dilakukan oleh tim di seluruh organisasi dan memastikan
pencegahan adalah bagian dari strategi manajemen risiko bisnis secara keseluruhan.

Membangun Akuntabilitas Upaya antipenipuan Anda

Oleh Dan Swanson, Kepatuhan Minggu Kolumnis
Beberapa perusahaan memiliki tingkat jauh lebih rendah dari penyalahgunaan aset dan
kecurangan pelaporan keuangan daripada yang lain. Mengapa? Karena mereka agresif mengambil
langkah-langkah untuk mencegah dan mendeteksi fraud, akhir cerita. Pada perusahaan-perusahaan
teladan, manajemen mengambil serius tanggung jawab etis untuk merancang dan menerapkan sistem,
prosedur, dan kontrol untuk menangkap penipuan - dan, bersama dengan dewan direksi, untuk
mempromosikan budaya dan lingkungan perusahaan yang menuntut kejujuran dan perilaku etis.
Bagaimana perusahaan Anda menumpuk? Nah, dijalankan melalui checklist ini:

Apakah organisasi Anda memiliki proses pengawasan penipuan yang kuat baik di tingkat
dewan dan manajemen?
Apakah organisasi Anda memiliki yang kuat dan efektif antipenipuan kebijakan, prosedur
dan kontrol?
Apakah manajemen secara teratur mengevaluasi risiko penipuan dan kontrol
antipenipuan?
Memiliki risiko manajemen menimpa dan konflik kepentingan secara independen Ulasan
dalam 12 bulan terakhir?
Apakah Anda mengatakan tenaga kerja Anda memiliki budaya etis yang kuat?
Apakah perusahaan Anda memiliki kebijakan perusahaan yang mendorong whistleblower
untuk maju?

Dan jangan mereka akan whistleblower benar-benar percaya itu? Jika Anda menjawab '' ya ''
untuk semua pertanyaan di atas, besar. Anda baik pada cara untuk usaha antipenipuan kuat.Sekarang
menjawab tiga pertanyaan lagi yang akan membantu Anda mendapatkan di depan orang banyak:

Apa peran dewan dan manajemen mengenai penipuan?

Apa yang harus peran tim audit internal ini menjadi tentang penipuan?
Bagaimana organisasi yang terbaik membantu auditor eksternal memenuhi tanggung
jawabnya untuk mengevaluasi risiko penipuan?

Untuk menjawab pertanyaan terakhir benar, Anda perlu jawaban yang jelas untuk dua pertanyaan
segera mendahuluinya. Secara khusus: Dewan bertanggung jawab untuk menentukan dan menyetujui
keseluruhan arah strategis organisasi dan sistem pengendalian internal, serta untuk pengaturan nada di
bagian atas (tata kelola perusahaan secara keseluruhan). Manajemen beroperasi bisnis dalam pedoman
yang ditetapkan oleh dewan, secara berkala melaporkan kinerja dan kemajuan menuju strategi kunci dan
tujuan. Manajemen juga memonitor operasi. Itu termasuk penilaian reguler efektivitas keseluruhan
sistem pengendalian intern terhadap persyaratan yang ditetapkan oleh dewan, serta nilai-nilai etika
sendiri perusahaan dan keyakinan.
Seperti disebutkan sebelumnya, pengurus bertanggung jawab untuk memastikan sistem
pengendalian intern yang efektif didirikan untuk melawan penipuan; manajemen bertanggung jawab
untuk bagaimana sistem yang dirancang dan diterapkan untuk melawan penipuan. Setelah Anda memiliki
yang jelas - dan benar-benar dilakukan - departemen audit internal juga dapat berkontribusi untuk usahausaha antifraud.

Audit Pekerjaan: Membantu Upaya Pencegahan Penipuan

Hari ini ada keyakinan bahwa auditor mencari - serta menyelidiki dan menghentikan - penipuan.
Setelah semua, tidak auditor baris terakhir pertahanan dalam mengidentifikasi manajemen bengkok? Yah,
tidak ada. Yang benar adalah bahwa tidak ada yang bisa menangkap semua penipuan, dan departemen
audit internal harus mengatasi kesalahan persepsi bahwa ini adalah tujuan audit internal. Semua orang di
perusahaan memiliki peran dalam pencegahan penipuan dan deteksi, dan tanggung jawab utama terletak
pada semua anggota manajemen (dan oleh itu, maksud saya manajer di setiap tingkat perusahaan). Fungsi
audit internal yang efektif meningkatkan etika lingkungan budaya dan kontrol perusahaan, baik terangterangan melalui audit dan dalam arti yang lebih umum dengan mempromosikan praktek yang baik. audit
internal kegiatan antipenipuan memberikan umpan balik yang berharga untuk manajemen dan dewan
pada di mana mereka dapat meningkatkan kinerja secara keseluruhan, yang memberikan kontribusi
dalam jangka panjang untuk penipuan upaya manajemen risiko yang lebih efektif. Hal ini juga dapat
menjadi penghalang ketika karyawan tahu bahwa departemen audit internal mempekerjakan orang
dengan pengetahuan deteksi penipuan, keterampilan, dan alat-alat.
audit internal harus merancang dan rencana audit khusus untuk mendeteksi penipuan, yang
secara langsung memperkuat sistem pengendalian internal organisasi. Rencana audit internal harus
didorong oleh penilaian risiko audit (yaitu, risiko bahwa audit mungkin akan kehilangan sesuatu); juga,
upaya penipuan harus didorong oleh penilaian risiko penipuan, karena paparan semakin besar organisasi
untuk penipuan, upaya audit yang lebih antipenipuan harus dialokasikan. Dan Anda harus melakukan
penilaian risiko penipuan serius, karena membantu seorang pun untuk memiliki tenaga kerja Anda
percaya tim audit internal tidak percaya semua orang.

pekerjaan audit harus mencakup evaluasi upaya organisasi dalam pencegahan fraud, deteksi
penipuan, dan penyelidikan penipuan. Jika '' detektif '' prosedur tidak di tempat, penipuan yang
ditemukan akan membutuhkan usaha yang lebih investigatif dan mengakibatkan kerugian yang lebih
besar. Selama jangka panjang, pencegahan penipuan dan upaya pencegahan memiliki pengaruh paling
besar terhadap mengurangi penipuan, jadi ini harus menjadi prioritas manajemen puncak dan secara
teratur dievaluasi oleh audit internal.
Selalu ingat bahwa audit hanya menyediakan tingkat yang wajar jaminan; auditor tidak bisa, dan
tidak akan, memberikan polis asuransi terhadap setiap penipuan mungkin. Tetapi karena objektivitas dan
integritas mereka, auditor internal dapat memperkuat upaya antipenipuan organisasi dengan menyelidiki
laporan dari kemungkinan tindakan penipuan. Bahkan, semakin banyak perusahaan departemen audit
internal meliputi dilatih akuntan forensik.
Ada banyak teknik audit fraud hari ini, dan lebih harus dimasukkan ke dalam departemen audit.
Beberapa contoh sederhana dari latihan forensik meliputi: menghubungkan nama karyawan, alamat dan
rincian kontak lainnya terhadap database pemasok untuk membantu mengidentifikasi transaksi
tersangka; memeriksa biaya klaim erat; menindaklanjuti agama pada perbedaan tampaknya tidak
signifikan dalam total kontrol; menggunakan teknik data mining dan pemeriksaan komputer secara umum
untuk kerajinan dan menjawab pertanyaan licik; dan selalu menyadari kemungkinan kolusi, penipuan, dan
penipuan. Beberapa praktek manajemen antipenipuan berguna termasuk:
1. Mengidentifikasi indikator potensi penipuan untuk industri Anda, perusahaan, atau kegiatan
dalam organisasi Anda;
2. Berkomunikasi dengan orang-orang yang berpengalaman untuk belajar ide-ide tentang
bagaimana penipuan dapat dilakukan dan terbaik terdeteksi;
3. Merancang dan rutin menjalankan tes untuk mencari indikator penipuan dan anomali data;
4. Melakukan pertanyaan ad-hoc yang diperlukan untuk menggali sumber data yang mendasari
indikator penipuan dan anomali data; dan melakukan atau termasuk sebagai bagian dari kontrol
sesi self-assessment.
5. Melaksanakan audit kontinu.
Norman Marks, seorang eksekutif audit internal utama di Business Objects dan tangan tua di
internal audit di perusahaan besar, merekomendasikan bahwa audit internal secara berkala menilai:

Kecukupan lingkungan pengendalian, termasuk: kecukupan kode etik dan proses untuk
memastikan itu dipahami, kecukupan proses whistleblower dan investigasi, dan
kepegawaian dan organisasi mereka yang bertanggung jawab untuk pencegahan dan
deteksi penipuan. audit internal harus melampaui teknik tradisional seperti wawancara
atau mengeluarkan kuesioner hanya untuk manajemen senior; teknik langsung dan lebih
berguna adalah meminta tenaga kerja melalui survei, wawancara, dan kelompok fokus.
penilaian risiko Manajemen yang berhubungan dengan penipuan dan pencurian,
termasuk: apakah proses sistematis dan skema penipuan paling dibayangkan
diidentifikasi, risiko penipuan memadai dinilai, dan strategi yang tepat diterapkan.
kegiatan monitoring Manajemen, termasuk: apakah kerugian aktual dimonitor dan
dibandingkan dengan toleransi risiko, dan kerugian aktual dipantau untuk
mengidentifikasi bidang yang menjadi perhatian, potensi gagal kontrol, dan peluang
untuk perbaikan.

Akan selalu ada batas kemampuan antipenipuan organisasi. ukuran sampel Anda hanya bisa
begitu besar. Anggaran Anda hanya begitu besar. Penipu, sementara itu, adalah orang-orang licik yang
bekerja keras untuk menyembunyikan kegiatan mereka dan mengeksploitasi kelemahan dalam kontrol.

Organisasi Harus Pernah Rajin

Diskusi terbuka tentang kemungkinan penipuan (fraud serius), dan tanggapan yang diperlukan,
selalu penting. Idealnya, perusahaan Anda harus memiliki diskusi sebelum insiden penipuan serius
daripada sesudahnya. Jika Anda ingin konfirmasi bahwa, melihat Societe Generale terhuyung-huyung dari
penipuan bernilai miliaran dolar yang dilakukan oleh satu orang. Sekarang bukan waktu terbaik untuk SG
untuk bertanya bagaimana hal seperti itu bisa terjadi.
Menetapkan ekspektasi yang jelas dan mendefinisikan tanggung jawab setiap orang mengenai
upaya antipenipuan Anda adalah setengah pertempuran. Menjadi rajin usaha Anda adalah setengah
lainnya. Untuk melawan penipuan, kita perlu kebijakan yang tegas, itu harus ditegakkan, dan pelanggar
harus diselidiki dan tindakan yang tepat diambil. Manajemen harus memahami bahwa ia memiliki
tanggung jawab untuk merancang dan melaksanakan kegiatan antifraud, termasuk pemantauan hasil.
auditor internal juga harus mencari kegiatan penipuan dan memberikan kontribusi pada organisasi '' tidak
ada toleransi '' sikap terhadap penipuan.
Setelah rumah Anda sendiri adalah dalam rangka, juga mempertimbangkan risiko fraud potensial
yang berkaitan dengan hubungan bisnis utama Anda. Pengungkapan rahasia oleh pemasok, mitra, atau
pelanggan adalah salah satu cara yang paling umum menemukan kegiatan penipuan, dan memotong
kedua cara. Jika seorang pekerja di salah satu perusahaan mitra bisnis Anda ingin melaporkan penipuan
di perusahaan Anda, akan orang yang memiliki sarana (dan dorongan) untuk melakukannya? Bagaimana
jika salah satu karyawan Anda menemukan penipuan terjadi di salah satu mitra Anda? Bagaimana Anda
menghadapinya?
Dipetik dari Kepatuhan Minggu. Artikel ini awalnya diterbitkan dalam Kepatuhan Minggu.
Direproduksi dengan izin dari Kepatuhan Minggu. Seluruh hak cipta.

7.6. Audit Sistem Informasi

The IIA Standar Kinerja 2120.A1 menyatakan bahwa aktivitas audit internal harus mengevaluasi
eksposur risiko yang berkaitan dengan organisasi pemerintahan, operasi dan sistem informasi mengenai:

keandalan dan integritas informasi keuangan dan operasional;

efektivitas dan efisiensi operasi;
pengamanan aset;
kepatuhan terhadap hukum, peraturan dan kontrak.

sementara 2110.A2 standar membuat jelas bahwa

Kegiatan audit internal harus menilai apakah tata kelola teknologi informasi organisasi menopang
dan mendukung strategi dan tujuan organisasi.

IS auditor memiliki minat khusus dalam item pertama - keandalan dan integritas informasi
keuangan dan operasional. Sementara itu, Praktek Penasehat 2130.A1-22 melanjutkan dengan
mengatakan sebagai berikut:
1. Kegagalan untuk melindungi informasi pribadi dengan kontrol yang tepat dapat memiliki
konsekuensi yang signifikan bagi suatu organisasi. Kegagalan dapat merusak reputasi individu dan
/ atau organisasi, dan mengekspos organisasi untuk risiko yang mencakup tanggung jawab hukum
dan berkurang konsumen dan / atau kepercayaan karyawan.
2. definisi Privasi bervariasi tergantung pada budaya, lingkungan politik dan kerangka legislatif dari
negara-negara di mana organisasi beroperasi. Risiko yang terkait dengan privasi informasi
mencakup privasi pribadi (fisik dan psikologis); privasi ruang (kebebasan dari pengawasan); privasi
komunikasi (kebebasan dari monitoring); dan privasi informasi (pengumpulan, penggunaan dan
pengungkapan informasi pribadi oleh orang lain). Informasi pribadi umumnya mengacu pada
informasi yang terkait dengan individu tertentu, atau yang memiliki karakteristik mengidentifikasi
bahwa, bila dikombinasikan dengan informasi lain, kemudian dapat dikaitkan dengan individu
tertentu. Hal ini dapat mencakup informasi faktual atau subjektif - direkam atau tidak - dalam
bentuk apapun media. Informasi pribadi bisa meliputi:
Nama, alamat, nomor identifikasi, hubungan keluarga;
file Karyawan, evaluasi, komentar, status sosial, atau tindakan disipliner;
catatan kredit, pendapatan, status keuangan, atau
Status Medis.
3. Efektif atas perlindungan informasi pribadi merupakan komponen penting dari tata kelola,
manajemen risiko, dan proses pengendalian organisasi. Dewan ini akhirnya bertanggung jawab
untuk mengidentifikasi risiko utama untuk organisasi dan melaksanakan proses kontrol yang tepat
untuk mengurangi risiko tersebut. Ini termasuk membangun kerangka privasi diperlukan bagi
organisasi dan memantau pelaksanaannya.
4. Kegiatan audit internal dapat berkontribusi untuk pemerintahan yang baik dan manajemen risiko
dengan menilai kecukupan identifikasi manajemen risiko yang terkait dengan tujuan privasi dan
kecukupan kontrol didirikan untuk mengurangi risiko tersebut ke tingkat yang dapat diterima.
Auditor internal adalah posisi yang baik untuk mengevaluasi kerangka privasi dalam organisasi
mereka dan mengidentifikasi risiko yang signifikan, serta rekomendasi yang tepat untuk mitigasi.
Kegiatan audit internal mengidentifikasi jenis dan ketepatan informasi yang dikumpulkan oleh
organisasi yang dianggap pribadi atau swasta, metodologi pengumpulan digunakan, dan apakah
penggunaan organisasi informasi yang sesuai dengan tujuan penggunaannya dan perundang-undangan
yang berlaku.
Mengingat sifat yang sangat teknis dan hukum dari masalah privasi, kegiatan audit internal perlu
pengetahuan dan kompetensi yang sesuai untuk melakukan penilaian risiko dan kontrol dari kerangka
privasi organisasi.
Dalam melakukan evaluasi seperti itu dari manajemen kerangka privasi organisasi, auditor
internal:

Mempertimbangkan hukum, peraturan, dan kebijakan yang berkaitan dengan privasi di

yurisdiksi di mana organisasi beroperasi;

Liaisons dengan penasihat hukum di-rumah untuk menentukan sifat yang tepat dari
hukum, peraturan dan standar lainnya dan praktik yang berlaku untuk organisasi dan
negara / negara di mana ia beroperasi;
Liaisons dengan spesialis teknologi informasi untuk menentukan bahwa keamanan
informasi dan perlindungan data kontrol berada di tempat dan secara berkala dan dinilai
untuk kesesuaian;
Mempertimbangkan tingkat atau kematangan praktik privasi organisasi; tergantung
tingkat, auditor internal dapat memiliki peran yang berbeda. auditor dapat memfasilitasi
pengembangan dan pelaksanaan program privasi, mengevaluasi penilaian risiko privasi
manajemen untuk menentukan kebutuhan dan eksposur risiko organisasi atau
memberikan jaminan atas efektivitas privasi kebijakan, praktik dan kontrol seluruh
organisasi. Jika auditor internal bertanggung jawab untuk mengembangkan dan
menerapkan program privasi, independensi auditor internal akan terganggu.

sistem informasi yang rumit memiliki

implikasi besar bagi auditor internal. Auditing
sekitar komputer dijelaskan pendekatan tradisional
untuk sistem berbasis komputer audit. Ini berarti
menyesuaikan pendekatan audit biasa tanpa
menerapkan keahlian tambahan dalam aplikasi
komputerisasi. Istilah lain adalah pendekatan kotak
hitam di mana komputer dipandang sebagai benda
asing yang harus diabaikan oleh auditor. Saat ini,
respon Audit harus mengambil perubahan strategis
papan di otomatisasi, respon behind.One
dinyatakan audit tersisa adalah untuk menentukan
peran audit yang mengkhususkan diri dalam
meninjau sistem informasi komputerisasi sebagai
'sistem informasi (IS) audit dan ini adalah subjek
bagian ini. Ada perbedaan pandangan audit IS dengan banyak percaya bahwa semua bagian audit harus
mempekerjakan auditor spesialis. Orang lain merasa tidak ada hewan seperti auditor sejak menangani
aplikasi komputerisasi adalah bagian dari kehidupan pemeriksaan sehari-hari. Audit komputer cenderung
dikenal sebagai IS audit, seperti yang kita bergerak dari ide komputer audit untuk pandangan bahwa kami
membantu untuk mengubah data mentah menjadi sebuah platform yang handal dan aman untuk
pengambilan keputusan sebagaimana diatur dalam Gambar 7.20.

Risiko Sistem Informasi

Risiko sistem informasi miskin dan keamanan tidak dapat diandalkan dan pengaturan backup
mengarah ke kemungkinan penipuan, kesalahan, non-kepatuhan terhadap aturan perlindungan data,
ketidakpuasan pelanggan dan pelanggaran keamanan. sistem informasi yang buruk dapat merusak
sebuah organisasi, di mana seluruh reputasi organisasi mungkin dipertaruhkan. The IIA.UK & Irlandia
Teknologi Informasi Catatan Singkat Tiga tertutup Internet Security (Sebuah Panduan untuk Auditor
Internal) dan menyarankan sejumlah daerah risiko IS

Pencurian informasi proprietary

Penipuan

Sabotase data atau jaringan

Penolakan layanan

menguping

spoofing

penetrasi sistem

virus

Penyalahgunaan akses internet

Sementara itu, 2.002 Kejahatan Komputer dan Survey Keamanan menyoroti masalah tumbuh dari
cybercrime:
Kejahatan Komputer terus memukul organisasi keras, namun kebanyakan tidak melaporkan
pelanggaran keamanan informasi untuk penegakan hukum, sebuah laporan survei AS barubaru.Sembilan puluh persen dari 503 organisasi AS yang merespons telah mendeteksi
pelanggaran keamanan komputer dalam 12 bulan terakhir dan 80 persen mengakui menderita
kerugian keuangan, sesuai dengan ketujuh 'Kejahatan Komputer dan Survey Keamanan' tahunan
yang dilakukan oleh US Federal Bureau of Investigation dan Komputer keamanan Institute (CSL).
44 persen dari organisasi yang diungkapkan jumlah kerusakan keuangan mereka menderita
melaporkan kerugian $ 455.800.000. Tahun lalu, 85 persen responden terdeteksi kejahatan
komputer, dan organisasi kehilangan $ 377.800.000, menurut 2001 survey.

Cara Timbang Keputusan Investasi TI

Oleh Dan Swanson, Kepatuhan Minggu Kolumnis
manajemen perusahaan selalu diberitahu untuk berinvestasi dengan bijak di IT. Dewan selalu
diberitahu untuk memastikan manajemen berinvestasi dengan bijak di IT. Ini disangkal semua orang
menyatakan sepanjang waktu. Terlalu sering, bagaimanapun, keputusan investasi TI oleh manajemen dan
dewan telah mengandalkan, dan bahkan ditangguhkan untuk, manajer dari fungsi TI.Yang menghasilkan
apa yang saya sebut pendekatan Black Hole untuk investasi TI: Lempar cukup uang ke dalam teknologi,
dan kami akan mendapatkan sesuatu yang bernilai pada akhirnya.Korporasi dapat, dan harus, melakukan
lebih dari itu. IT sekarang pusat untuk setiap proses bisnis inti, dan proses bisnis inti adalah pusat untuk
tata kelola. Bisa lebih formal, keputusan terpadu tentang investasi IT karena itu meningkatkan tata kelola
perusahaan Anda? Saya berpikir begitu - tetapi mereka keputusan harus diarahkan oleh manajer bisnis,
bukan manajer teknologi. Dewan dan manajemen eksekutif juga harus terus memantau pengeluaran TI
yang signifikan perusahaan dan berpartisipasi dalam semua keputusan investasi TI yang besar.
Selama bertahun-tahun bisnis telah mendorong TI untuk fokus pada memberikan prioritas bisnis.
Pada saat yang sama, TI telah berusaha untuk menjadi bagian integral dari perencanaan bisnis dan
menyelaraskan upaya dan investasi dengan prioritas bisnis IT. Pada akhir hari, investasi TI yang efektif
benar-benar membutuhkan keterlibatan berkelanjutan dan terlibat dari semua peserta kunci. Keputusan
mengenai investasi TI sesuai dan inisiatif pemerintahan lainnya harus didorong oleh manajemen dan
dewan; manajer TI seharusnya hanya memberikan saran dan nasihat.

Di mana seseorang mulai? upaya perencanaan strategis perusahaan harus menjadi tempat
pertama untuk melihat; yaitu, dewan dan manajemen senior harus menentukan arah strategis mereka,
prioritas utama, tujuan, dan menyusun '' roadmap '' untuk sampai ke sana. Setelah semua, jika perusahaan
belum ditentukan di mana ia ingin pergi, semua investasi TI di dunia tidak akan membantu sampai di sana.
Terapkan bahwa disiplin yang sama ketika merenungkan pemerintahan dan kepatuhan. tujuan
apa bisnis ingin mencapai? Bagaimana IT dapat membantu memenuhi mereka? Menjawab pertanyaanpertanyaan, dan kemudian mulai memetakan Anda berbagai upaya kepatuhan dan tata kelola dan inti
kebutuhan IT; yang cetak biru Anda untuk memandu keputusan investasi IT Anda.

Peran IT Departemen
upaya perencanaan TI harus terintegrasi dengan rencana bisnis perusahaan. Dan karena rencana
bisnis berubah dan prioritas berkembang, fungsi IT membutuhkan proses manajemen investasi sehingga
dapat terus memperbaiki prioritas sendiri sebagai prioritas bisnis secara keseluruhan berkembang. TI juga
perlu untuk memperkenalkan bisnis dengan apa yang saat ini mungkin, dan berapa harganya. IT perlu
menjelaskan konsekuensi dan peluang arah bisnis membebankan pada teknologi.
Jika tidak secara aktif terlibat dalam proses perencanaan strategis, manajemen TI minimal perlu
memahami arah strategis perusahaan dan rencana rinci. Hanya membaca makalah strategi tidak akan
cukup, karena unsur-unsur penting dari strategi bisnis sering tidak ditulis. Pikirkan tentang yang benarbenar mengembangkan strategi di perusahaan, dan menumbuhkan percakapan dengan orang-orang.
Terlibat dengan proses pengembangan dan pengelolaan investasi strategis perusahaan adalah salah satu
peran yang paling penting dari CIO dan eksekutif TI senior lainnya.Khusus untuk upaya kepatuhan dan tata
kelola, IT perlu menyadari praktek terbaik di industri - topik yang paling manajer TI tidak tahu semua yang
baik, terus terang - andbring solusi ke depan yang inovatif untuk mengatasi masalah seperti peningkatan
persyaratan pelaporan peraturan, perbaikan tak berujung untuk informasi kepatuhan dan etika program
kebutuhan, dan sebagainya.
Akhirnya, dengan mencocokkan keputusan investasi TI dengan rencana bisnis jangka panjang
perusahaan, TI dapat melampaui masalah kronis memiliki terlalu sedikit sumber daya untuk siklus
anggaran saat ini. Dengan perspektif yang lebih panjang dalam pikiran, imperatif quickfix taktis tak
terelakkan dapat seimbang terhadap inisiatif strategis TI asli. Memprioritaskan dan mengkoordinasikan
investasi TI perlu pandangan yang lebih luas ini. TI juga perlu menyampaikan penilaian sendiri peluang
dan ancaman dan bekerja dengan perusahaan tentang cara untuk mengurangi (atau mengambil
keuntungan) dari mereka. takeaways kunci:

The CIO dan eksekutif TI senior lainnya harus berpartisipasi secara aktif dalam
perencanaan bisnis organisasi.
Kepemimpinan organisasi harus terlibat dalam strategis kegiatan perencanaan dan
manajemen investasi TI.
Dewan harus meminta manajemen untuk menggambarkan bagaimana perencanaan
bisnis dan perencanaan TI yang terintegrasi dan mendorong dialog sering dan
berkelanjutan antara anggota dewan, tim manajemen, dan kepemimpinan TI.

Peran Internal Auditor

Meskipun mencapai dan mempertahankan keselarasan IT-bisnis adalah benar-benar masalah
manajemen, departemen audit internal dapat membantu. evaluasi audit internal dari upaya perencanaan
strategis organisasi, termasuk bagaimana TI mendukung prioritas bisnis, dapat memberikan umpan balik
yang berharga ke papan dan manajemen senior. Audit proses investasi TI harus menentukan apakah:

prioritas bisnis yang signifikan secara tepat diidentifikasi dan dinilai secara berkelanjutan;
perubahan yang prioritas dipantau;
kontrol manajemen investasi yang signifikan beroperasi secara efektif dan konsisten;
teknik manajemen risiko di tempat dan efektif;
manajemen dan staf memiliki proses untuk mengenali dan merespon peluang bisnis baru
yang muncul; dan investasi
IT yang berhubungan secara efektif dan efisien dikelola.

Ada dua elemen yang berbeda untuk sebagian besar audit manajemen investasi TI. Pertama,
auditor mengevaluasi spesifikasi, desain, dan implementasi proses manajemen investasi TI.Kemudian
auditor meneliti bagaimana proses manajemen investasi TI benar-benar beroperasi, termasuk penilaian
terhadap prioritas bisnis saat ini sedang ditangani. Dan bagaimana hal ini akan meningkatkan investasi TI
di kepatuhan dan tata? Dengan membantu untuk memastikan organisasi adalah menentukan prioritas
bisnis dan memiliki proses investasi yang sejalan pengeluaran untuk mereka prioritas IT.

Empat Isu Kritis Mengevaluasi

Apakah manajemen memiliki rencana strategis IT di tempat yang diperbarui secara teratur dan
mendukung rencana tahunan, anggaran, dan prioritas dari berbagai upaya IT? Idealnya, sebuah rencana
strategis TI akan dikembangkan dan disetujui oleh dewan, meskipun dokumen perencanaan TI dapat
mengambil banyak bentuk. Ini bisa menjadi rencana TI yang terpisah, sesuatu yang dikombinasikan
dengan rencana bisnis organisasi secara keseluruhan, atau serangkaian pengajuan kasus bisnis dari waktu
ke waktu. Sebuah proses perencanaan strategis secara keseluruhan mengenai investasi IT dan IT
menghabiskan prioritas harus ada. Selalu ingat bahwa perencanaan bisnis harus mendorong prioritas IT
dan keputusan investasi TI; itu penting. proyek sukses terjadi ketika manajemen bisnis mempertahankan
kendali inisiatif dan menetapkan kebutuhan bisnis yang jelas dan seimbang.
Apa tingkat investasi di IT (dan keamanan IT) telah terjadi dalam dua hingga tiga tahun terakhir?
Apa yang direncanakan untuk dua sampai tiga tahun mendatang? Apakah ada tingkat yang wajar
pengeluaran, dibandingkan dengan operasi dan modal anggaran keseluruhan? Meskipun tidak ada tingkat
tertentu investasi di IT dapat diberi label '' yang tepat, '' manajemen harus dapat menjelaskan kewajaran
IT dan pengeluaran keamanan IT dalam kaitannya dengan keseluruhan modal dan anggaran operasional.
Tren belanja TI harus sejalan dengan bisnis dan rencana TI.Perhatian papan kunci selalu apakah
perusahaan menghabiskan terlalu banyak atau terlalu sedikit pada TI dan keamanan IT.
Telah peran dan tanggung jawab untuk manajemen TI dan pengawasan dari investasi TI telah
didefinisikan dan ditetapkan dalam perusahaan? Tanggung jawab untuk berbagai kegiatan TI dalam
organisasi yang berkaitan dengan manajemen TI dan investasi TI harus didefinisikan dan ditugaskan
kepada personil tertentu. Harus ada alokasi logis dari tanggung jawab IT dalam organisasi.

Apakah manajemen memantau TI kinerja, serta TI kemampuan untuk terus memberikan layanan
perusahaan bergantung pada? Apa isu-isu utama yang dilaporkan kepada manajemen senior mengenai IT
dan keamanan IT? Apakah ada perdebatan yang sehat di tingkat dewan mengenai masalah yang diangkat
oleh manajemen atau dewan? Jika tidak, apa yang bisa dilakukan untuk memperbaiki situasi? Pertanyaan
ini juga mengeksplorasi monitoring operasional yang dilakukan oleh manajemen mengenai operasi IT dan apakah IT outsourcing atau dikelola secara internal, itu harus terjadi.

Praktek yang Mendukung Penyelarasan

praktek manajemen utama yang mendorong keselarasan lebih efektif, dan akibatnya
meningkatkan IT hasil investasi, telah diidentifikasi oleh Institute Proses IT. Mereka termasuk:
1. Mengidentifikasi peluang untuk menggunakan teknologi baru untuk memenuhi tujuan bisnis.
2. Memiliki proses yang efektif dan metodologi untuk membenarkan dan memprioritaskan
keputusan investasi TI.
3. Mengembangkan dan menegakkan standar infrastruktur perusahaan.
4. Memiliki proyek fungsi kantor manajemen untuk memberikan pengawasan bisnis diprioritaskan
proyek TI.
5. Memiliki proses periodik formal untuk departemen IT untuk mengidentifikasi apa yang
dibutuhkan oleh bisnis.
Pengawasan dari investasi TI harus diintegrasikan ke dalam sedang berlangsung upaya
perencanaan strategis perusahaan, untuk memastikan upaya konsisten berkontribusi prioritas organisasi
TI.manajemen eksekutif harus meninjau kembali bagaimana mendefinisikan IT prioritas investasi, dan
dewan harus mendorong review praktek saat ini untuk mengidentifikasi prioritas perbaikan kunci. Dengan
dolar terbatas yang tersedia, investasi di IT untuk kepatuhan dan perbaikan tata kelola harus seimbang
dengan prioritas yang bersaing lainnya; melibatkan semua pemangku kepentingan kunci dalam
rekonsiliasi yang akan membantu menggerakkan organisasi ke depan. Ada juga harus menjadi budaya
organisasi yang mendorong IT dan bisnis untuk bekerja sama terus menerus.
Dipetik dari Kepatuhan Minggu. Artikel ini awalnya diterbitkan dalam Kepatuhan Minggu.
Direproduksi dengan izin dari Kepatuhan Minggu. Seluruh hak cipta.

Peran IS Auditor
Peran audit dalam sistem informasi
terkomputerisasi
sangat
penting
untuk
kesejahteraan terus organisasi. Tingginya biaya
investasi di IT dalam hal biaya set-up dan
dampaknya pada pencapaian hasil tujuan dalam
kelimpahan implikasi kontrol. Tugas terbesar
mungkin untuk mengontrol aspek organisasi dan
jika audit terus keluar dari masalah ini, peran
mereka akan diturunkan ke hal-hal kecil saja. IS
auditor dapat meninjau sistem (Gambar 7.21),
misalnya, kreditor, dan harus mampu membawa ke
dalam bermain hal-hal operasional penting seperti menetapkan kerangka acuan untuk audit jelas:

Mulailah dengan tujuan bisnis.

Mengakui bahwa banyak kontrol operasional dan antarmuka dengan kontrol otomatis.
kerja Rencana komputer auditor dengan pikiran ini.

Tampilan baru auditor internal harus mengakui hubungan antara aktivitas bisnis dan sistem
komputerisasi yang digunakan untuk memfasilitasi proses ini menetapkan dan mencapai tujuan bisnis.IS
auditor akan berkonsentrasi pada risiko ke input, proses dan output aspek dari sistem (yaitu segala
sesuatu di bawah prosedur operasional pada Gambar 7.21), sedangkan auditor operasional akan lebih
memperhatikan kontrol terletak di bagian atas dari model kita. Kedua pendekatan audit yang harus
mengakui satu sama lain dengan cara mendukung dan komunikatif. kontrol aplikasi harus diuji oleh
auditor sesuai dengan persyaratan bahwa semua temuan audit harus didukung oleh bukti-bukti yang
sesuai. Auditing sekitar komputer berarti bergantung pada manajemen untuk memberikan semua
informasi pengujian yang diperlukan dan jadwal dan ini tidak mempromosikan kemerdekaan audit atau
meningkatkan pengetahuan audit sistem dikaji. auditor dapat menggabungkan sistem kontrol berkas
ulasan dalam perangkat lunak untuk mengekstrak informasi menarik. Selain itu, simulasi paralel dapat
digunakan untuk mengatur model auditor sendiri dari program yang sedang dijalankan. software
interogasi juga dapat digunakan untuk mendapatkan sampel audit yang cocok untuk analisis sementara
data uji dapat digunakan untuk menguji fungsi yang benar dari kontrol didokumentasikan. audit internal
dapat menggunakan audit aplikasi untuk membangun tingkat kredibilitas dalam organisasi dan di antara
spesialis komputer.Pelajaran untuk pendekatan audit dapat dipelajari dan ini mungkin mempengaruhi
rencana untuk mengembangkan keahlian audit, paket perangkat lunak dan review teknik. auditor harus
memastikan tujuan audit terpenuhi dan tidak ada 'tidak-pergi daerah' di mana auditor terkunci keluar dari
sistem. keterampilan komputer akan dibutuhkan sehingga sistem kontrol dapat diidentifikasi dan diuji
tanpa ketergantungan yang tidak semestinya pada departemen komputer. Aplikasi audit mengikuti
prinsip yang sama seperti audit sistem lain dan memiliki tujuan audit yang sama. Perbedaan utama adalah
sifat sistem informasi yang ditinjau dan jenis kontrol yang manajemen perlu menerapkan. IIA standar
1210.A3 membuat jelas bahwa tidak semua auditor akan memiliki kemampuan komputasi spesialis:
Auditor internal harus memiliki pengetahuan yang cukup risiko teknologi informasi kunci dan
kontrol dan teknik audit berbasis teknologi yang tersedia untuk melakukan pekerjaan mereka ditugaskan.
Namun, tidak semua auditor internal diharapkan memiliki keahlian auditor intern yang tanggung jawab
utama adalah teknologi informasi audit.
Ada beberapa pilihan untuk mengamankan diperlukan IS keterampilan / IT untuk audit internal:

Gunakan konsorsium untuk memberikan keterampilan yang diperlukan.

Gunakan sejumlah kecil IS auditor (mungkin salah satu ahli komputer) untuk membantu
auditor lain karena mereka mengatasi sistem komputerisasi.
Kereta auditor umum di teknik audit IS.
Putar auditor antara kelompok dengan satu kelompok yang mengkhususkan diri dalam
sistem komputerisasi.
Gunakan konsultan baik untuk melakukan proyek pemeriksaan komputer tertentu atau
untuk membantu auditor umum.
View Audit komputer sebagai audit MIS dan menerapkan basis yang lebih luas untuk
proyek pemeriksaan komputer yang mencakup kontrol manajerial maupun yang
terkomputerisasi.

Memilih opsi yang sesuai dari atas akan memastikan bahwa aspek pekerjaan audit dengan benar
tertutup. Jika masalah ini diabaikan, kesenjangan kredibilitas yang dihasilkan dapat menyebabkan
kelemahan kompetitif. Semua auditor harus dapat meninjau aplikasi komputerisasi dan sistem informasi
dapat menjadi komponen utama dari sistem operasi untuk kontrol internal. Selain membeli dalam
keterampilan IS audit, perlu untuk melatih dan mengembangkan auditor yang terlibat dalam aspek
pekerjaan audit. Semua auditor harus melalui proses yang berkesinambungan memperoleh IS keahlian
audit yang sehingga mereka menjadi auditor yang kompeten:

Hindari mengisolasi staf audit IS dari sisa departemen audit. Sebagai salah satu pedoman
untuk sukses, orang bisa mengukur sejauh mana pemeriksaan komputer berinteraksi
dengan auditor lainnya. Sebuah kompeten IS auditor umumnya orang yang berbicara
dalam hal yang tidak ada auditor lain mengerti dan upaya untuk menciptakan udara mistik
sekitar seluruh fungsi.
Mendorong auditor untuk mengambil ujian audit profesional sejak auditor komputer
yang tidak memahami prinsip-prinsip audit adalah kewajiban.
Program Programming bisa sangat berguna.
Ada IS pelatihan audit yang tersedia tetapi ini harus berhubungan dengan hari-hari kerja
yang dilakukan atau nilai kecil akan diperoleh.
IS auditor dapat melatih auditor lain di teknik audit komputer.
Satu-off seminar dan kuliah dapat membawa staf up to date dengan penelitian akademis.
IS kelompok kerja audit, terutama di mana mereka mengkhususkan diri dalam jenis yang
relevan dari sistem operasi dan jaringan, dapat memberikan pengetahuan di seluruh
departemen audit.
Sutradara membaca dapat menjaga auditor up to date dengan perkembangan saat ini di
dunia yang cepat berubah komputasi. Langganan ke jurnal komputer bulanan dan
mingguan harus ditetapkan.
Program pada lanjutan IS teknik audit dapat membangun keterampilan yang ada.
Semua pelatihan harus dikaitkan dengan pengembangan karir dan biaya pelatihan ini
harus selalu bernilai manfaat yang dihasilkan pasti ke layanan audit.

Terencana program pelatihan, bersama pengalaman lapangan pada proyek-proyek yang relevan,
menyebabkan sangat terampil IS auditor, meskipun individu yang lebih baik mobile dan dapat
meninggalkan pada pemberitahuan singkat. Jika pendekatan MIS diadopsi auditor mungkin ingin melacak
sistem informasi melalui kepada para pembuat keputusan yang mengandalkan informasi. IS auditor yang
terbaik digunakan menasihati auditor lain tentang bagaimana mengembangkan dan menerapkan tingkat
yang sesuai keahlian komputer. Dengan demikian, auditor kepala dapat memutuskan untuk menyerahkan
IS waktu audit untuk audit operasional utama sehingga input, pengolahan, output, kontrol berkas dan
masalah keamanan dibahas dan dimasukkan ke dalam audit secara keseluruhan. Kesulitan dalam
interfacing kontrol berbasis komputer dengan seluruh sistem kontrol lebih merupakan masalah
konseptual yang akan berdampak pada pendekatan audit. Salah satu model panggilan untuk pekerjaan IS
auditor untuk dihubungkan dengan pekerjaan auditor umum dan ada dukungan yang berkembang untuk
pengembangan auditor serba dengan keterampilan yang diperlukan yang prihatin bahwa:

Informasi harus jelas, lengkap, relevan, konsisten, cukup, berguna dan tepat waktu;
Informasi harus akurat dan berdasarkan pengolahan data yang benar;
Informasi harus diamankan dan didistribusikan sesuai dengan kriteria yang ditetapkan;
harus diproduksi secara ekonomis;
itu harus efektif dalam memenuhi tujuan yang telah ditetapkan di tempat pertama;

harus ada proses review terus-menerus dan penyesuaian;

seseorang harus bertanggung jawab untuk informasi dan tujuan di atas.

Manajemen audit Rekaman

Oleh Dan Swanson, Kepatuhan Minggu Kolumnis
Audit program manajemen catatan dalam banyak cara harus mengikuti program audit tradisional.
Untuk wit, meninjau tujuan dan sasaran program; menilai apa yang telah dilaksanakan untuk mencapai
mereka; mengidentifikasi peluang untuk perbaikan; mengevaluasi kinerja program; dan melaporkan
analisis audit Anda dan rekomendasi. Secara khusus, bagaimanapun, catatan manajemen termasuk
memelihara catatan kepatuhan Anda. Banyak perusahaan memiliki kebijakan kepatuhan tetapi tidak
mengerti mengapa daerah ini sangat penting; yaitu, mereka tidak memonitor kepatuhan dan mencatat
efektivitas kepatuhan itu. pencatatan ceroboh seperti dapat meninggalkan perusahaan terbuka.
Menunggu sampai gugatan menyerang bukan waktu yang baik untuk menentukan apakah kebijakan
manajemen catatan Anda sedang diikuti.

Perencanaan keterlibatan
Mendefinisikan tujuan audit adalah yang pertama dan salah satu langkah yang paling penting
dalam menentukan arah audit. Langkah ini harus mencakup memahami kebijakan perusahaan, tujuan,
dan sasaran untuk manajemen catatan dan pemahaman yang memiliki proses, bagaimana kepatuhan
dipantau, dan bagaimana praktik terbaik ditentukan. Langkah ini juga mendefinisikan tingkat jaminan
dewan dan manajemen akan disediakan. tim audit internal harus mendiskusikan bahwa dengan
manajemen dan dewan, untuk memahami betapa jaminan yang mereka inginkan. audit juga harus
meninjau kedua catatan kertas dan catatan elektronik, karena setiap memiliki profil risiko yang berbeda,
dan Anda harus mengeksplorasi jaminan ingin untuk setiap. Beberapa tujuan audit mungkin termasuk:

Menentukan apakah program manajemen catatan didokumentasikan, di tempat, dan

tepat sumber daya untuk memenuhi kebutuhan organisasi.
Menentukan apakah program ini sesuai dengan praktik yang baik saat ini berdasarkan
ukuran dan kompleksitas organisasi.
Menentukan apakah tujuan audit lainnya yang diperlukan oleh dewan, komite dewan,
atau manajemen, sedang bertemu.

Sifat organisasi mempengaruhi sifat audit. Sebuah organisasi multinasional besar menyebabkan
masalah bisnis yang berbeda dan tantangan dari usaha kecil. Assuch, prosedur audit generik yang tersedia
di bawah ini harus '' disesuaikan '' agar sesuai dengan lingkungan organisasi dan kebutuhan jaminan
dewan, manajemen, dan pemangku kepentingan lainnya.
Langkah-langkah umum dalam proses audit internal meliputi:

Tentukan ruang lingkup, tujuan, dan sasaran evaluasi.

Tentukan kebutuhan jaminan organisasi.
Identifikasi tim evaluasi dan keterampilan yang dibutuhkan.
Menyusun rencana evaluasi.
Melakukan evaluasi kecukupan desain ini.

Melakukan evaluasi efektivitas operasional.

Berkomunikasi hasil evaluasi dan memastikan tindak lanjut untuk mengatasi masalah.
Tahap perencanaan mendefinisikan komponen dari rencana proyek audit dan meliputi
pengembangan:
Tujuan dari audit
Deskripsi program (yaitu, entitas yang diaudit)
lingkup Audit dan lingkup pengecualian
tujuan Audit dan pendekatan
jadwal pemeriksaan tingkat tinggi dan waktu pemeriksaan rinci
keterampilan yang diperlukan dan tim audit internal
sumber lain yang diperlukan.

Pengujian keterlibatan
Audit itu sendiri dapat melibatkan berbagai tes. Misalnya, melihat konsistensi dan integrasi
manajemen catatan antara unit-unit bisnis dalam perusahaan. Apakah mereka semua mengikuti kebijakan
yang sama? Apakah mereka semua petugas kepatuhan kereta api di unit bisnis dengan tujuan yang sama
dan kebijakan dalam pikiran? Apakah mereka semua menghasilkan jenis yang sama dari hasil yang
terukur?
jalan lain pengujian mungkin untuk mengeksplorasi:

Koordinasi antara kantor pusat dan unit bisnis individu pada manajemen catatan.
Kerahasiaan informasi ditangani oleh staf manajemen catatan.
Penggunaan teknologi yang muncul dan praktik terbaik lainnya dalam memenuhi hari ini
(atau lebih baik lagi, besok) kebutuhan manajemen catatan. Misalnya, aturan baru untuk
e-discovery dalam proses pengadilan sipil memaksakan harapan baru yang keras bahwa
perusahaan-perusahaan akan dapat mengidentifikasi dan mendapatkan catatan yang
relevan dalam waktu singkat.Bisakah Anda melakukan itu?
Koordinasi antara pengawas catatan manajemen dan departemen lain yang mungkin
perlu akses ke seluruh kerajaan perusahaan data, seperti departemen hukum
menempatkan '' hold '' permintaan pada pesan e-mail tertentu yang relevan dengan
gugatan.

Tim audit harus mengevaluasi upaya manajemen catatan mengenai pengaruhnya terhadap
kinerja organisasi, ruang lingkup dan strategi, struktur dan sumber daya, manajemen kebijakan dan
pelatihan, dan upaya perbaikan yang sedang berlangsung.
auditor harus memastikan adanya pemahaman up-to-date dari persyaratan catatan retensi
semua lokasi di mana auditor beroperasi. Sebagai contoh, dapat dokumen dipertahankan dalam bentuk
elektronik? Perhatian khusus harus diberikan kepada persetujuan untuk penghancuran dokumen.
Perhatian khusus (mungkin perhatian yang sangat khusus, tergantung pada industri atau sejarah
perusahaan) juga harus diberikan untuk retensi dokumen yang sedang atau mungkin terlibat dalam
litigasi.

Pelaporan keterlibatan
Di antara tujuan utama dari audit internal adalah untuk memberikan papan dan manajemen
dengan penilaian obyektif tentang desain dan operasi dari praktek manajemen, sistem kontrol, dan
informasi. Untuk mencapai tujuan ini, audit internal harus berkomunikasi secara efektif kesimpulan audit
dan rekomendasi. Sepanjang audit, auditor internal harus mendiskusikan temuan dan rekomendasi
potensial dengan manajemen. Hal ini membantu untuk memastikan bahwa auditor telah
mempertimbangkan informasi terkait ketika membentuk kesimpulan dan memberikan kesempatan bagi
auditor internal dan manajemen untuk mengembangkan solusi yang efektif untuk kekurangan
diidentifikasi.
Pada akhir audit, proses komunikasi informal ini diformalkan melalui pertemuan penutupan /
keluar dan laporan tertulis. Tahap pelaporan proyek audit meliputi manajemen pembekalan, penyusunan
laporan audit, mengeluarkan draft awal dan selanjutnya, meninjau rencana aksi manajemen, menyiapkan
laporan ringkasan untuk komite audit, dan mendistribusikan laporan audit akhir. Dengan kata lain,
memberitahu mereka apa yang Anda lakukan, apa yang Anda temukan, dan apa yang manajemen
bermaksud untuk melakukan maju. Sebuah program manajemen catatan harus memenuhi kebutuhan
organisasi dan persyaratan peraturan yang berkembang. persyaratan kepatuhan menjadi sopir yang lebih
besar dan orang-orang tidak berinvestasi untuk bersaing dengan risiko. Audit program ini memberikan
kesempatan untuk menyelesaikan review komprehensif program saat ini dan menyediakan manajemen
dengan analisis peluang kunci untuk perbaikan. Manajemen dan auditor harus survei praktek yang muncul
terus-menerus, untuk memastikan organisasi mereka beradaptasi praktek-praktek baru dan lebih baik
secara teratur.Bagi banyak industri secara keseluruhan, dan untuk potongan hampir semua industri
(seperti departemen pajak), mencatat retensi dan pengambilan merupakan persyaratan hukum; Anda
ingin memastikan organisasi tersebut memenuhi persyaratan ini. Akhirnya, bagi kebanyakan organisasi,
bagaimana dan kapan Anda menghancurkan catatan penting. Pikirkan Arthur Andersen, dan ingat:
penghancuran Rekam harus menjadi bagian dari setiap pemeriksaan catatan manajemen.
Dipetik dari Kepatuhan Minggu. Artikel ini awalnya diterbitkan dalam Kepatuhan Minggu.
Direproduksi dengan izin dari Kepatuhan Minggu. Seluruh hak cipta.
IS auditor idealnya akan memiliki beberapa keahlian dalam bidang-bidang seperti:

pengembangan sistem dan proyek;

terkomputerisasi aplikasi seperti penggajian, pembayaran, pendapatan, pelaporan
kinerja dan sebagainya;
standar keamanan sistem informasi;
teknik audit dibantu komputer (CAATs);
pengembangan sistem dan manajemen proyek;
pemulihan bencana dan perencanaan kontingensi;
e-bisnis dan desain Internet dan keamanan;
strategi sistem informasi keseluruhan;
perlindungan data dan persyaratan hukum;
bidang teknis spesialis manajemen jaringan tersebut dan manajemen database sistem.

Beberapa daerah ini secara

singkat dibahas di bawah. Salah satu
cara untuk membedakan peran
umum dan IS auditor adalah dengan
mogok semesta audit seperti pada
Gambar 7.22.
sistem
komputerisasi
mempengaruhi pendekatan audit
yang diterapkan dan ada banyak
fitur kontrol. sistem umum audit
dapat digunakan untuk aktivitas
apapun dan tergantung pada
pemahaman tentang sistem yang
ditinjau. Seperti telah disebutkan,
peran IS audit telah bergerak
menuju format IS audit dan di satu
sisi telah bergerak lebih dekat ke
peran auditor umum sebagai dua
dimensi menjadi semakin kabur.

Audit Strategi IT suatu Perusahaan

Oleh Dan Swanson, Kepatuhan Minggu Kolumnis
solusi TI saat ini sangat kompleks, dan mereka mendapatkan lebih menantang untuk menerapkan
sepanjang waktu. Salah satu pertanyaan besar bagi manajemen di setiap perusahaan hari ini hanyalah
apakah semua investasi dalam sistem-sistem yang layak. audit internal dapat memainkan peran penting
di sana, mengukur dan memeriksa bagaimana proses investasi TI - khususnya, bagaimana investasi TI
dikelola - karya.
Ada dua elemen yang berbeda dengan kebanyakan audit investasi TI. Mereka adalah evaluasi:
a. Bagaimana proses manajemen '' scoped keluar, '' dirancang, dan dilaksanakan; dan
b. Bagaimana proses manajemen kemudian beroperasi, termasuk penilaian terhadap
prioritas bisnis saat ini sedang ditangani.
Audit manajemen investasi TI harus mengidentifikasi apakah berbagai proses manajemen terlibat
beroperasi dengan baik dan apa peluang kunci untuk perbaikan akan. audit harus mengevaluasi apakah
manajemen memiliki proses prioritas investasi yang efektif di tempat, termasuk identifikasi berkelanjutan
perubahan prioritas bisnis dan peluang bisnis baru. manajemen investasi TI juga melibatkan evaluasi
kinerja inisiatif TI, dan audit harus menilai pemantauan kinerja diselesaikan oleh manajemen.
Secara umum, audit manajemen investasi harus membiarkan auditor internal memberikan opini
atas efektivitas proses, penilaian upaya organisasi untuk menyelaraskan TI dengan prioritas bisnis, dan
jaminan kepada dewan dan manajemen bahwa organisasi bekerja pada proyek-proyek yang tepat.

Sepuluh Pertanyaan untuk Jawaban

Audit sistem IT, dan terutama audit dari bagaimana investasi TI bekerja, akan memiliki banyak
pertanyaan. Tepat mana yang Anda akan perlu untuk menjawab dan termasuk dalam perencanaan audit
Anda akan tergantung pada keadaan khusus perusahaan Anda, tapi aku sudah terdaftar 10 dari yang
paling penting di bawah ini.
1. Apakah perencanaan kegiatan organisasi yang sesuai dengan kebutuhannya? Proses perencanaan
harus mendukung kesadaran manajemen dari, dan respon terhadap, peluang bisnis baru dan
muncul. Ruang lingkup dan formalitas perencanaan perlu sejalan dengan kebutuhan organisasi
dan kompleksitas.
2. Apakah proses manajemen investasi TI yang efektif dikembangkan dan diimplementasikan?
Setiap perusahaan membutuhkan proses untuk menentukan inisiatif mendapat pendanaan.
Setiap perusahaan juga harus mempertimbangkan investasi yang seimbang dalam operasional,
taktis, dan strategis bidang TI. Tentu saja, tingkat pendanaan di masing-masing kategori akan
bervariasi tergantung pada lingkungan bisnis yang dihadapi perusahaan dan arah strategis itu
adalah mengambil. Tapi semua daerah setidaknya harus dipertimbangkan, bahkan jika dolar yang
ditujukan untuk salah satu tertentu adalah nol.
3. Apakah akuntabilitas mapan, dan diakui oleh orang-orang yang harus bertanggung jawab?
Manajemen dan staf perlu tahu apa yang mereka bertanggung jawab atas. Ketika datang ke
manajemen pengelolaan investasi TI, kami ingin memastikan bahwa investasi TI mendukung
bisnis dan bisnis usaha perusahaan. Ini membutuhkan investasi proses pengambilan keputusan
yang jelas dan relatif transparan. Mengidentifikasi orang-orang di perusahaan yang berpartisipasi
dalam proses tersebut, dan pastikan mereka memahami konsekuensi ketika keputusan yang
mereka buat menghasilkan hasil yang buruk.
4. Apakah ada yang sesuai sistem, kebijakan, prosedur, dan pedoman yang berkaitan dengan IT
manajemen investasi? Menggambarkan bagaimana hal-hal yang bisa dilakukan adalah selalu
bermanfaat. kebijakan dan prosedur yang berharga.
5. Bagaimana sukses adalah IT dalam memenuhi kebutuhan bisnis? Menilai apakah perusahaan
Anda adalah efektif secara keseluruhan selalu menantang. Mungkin yang terbaik yang kita dapat
mencapai adalah menentukan apa peluang kunci untuk perbaikan adalah.
6. Apakah kita perlu meningkatkan penyelarasan usaha IT dan upaya bisnis? Jika demikian, apa lagi
yang perlu dilakukan? Pada akhir hari, sebuah perusahaan dan departemen TI harus melakukan
segala sesuatu yang diperlukan untuk mendapatkan pegangan pada prioritas investasi TI
organisasi untuk memastikan perusahaan fokus pada prioritas bisnis - bukan pada sistem IT.
7. Apakah manajemen memiliki rencana strategis TI yang diperbarui secara teratur dan mendukung
tahunan rencana, anggaran, dan prioritas dari berbagai proyek TI? Perusahaan harus menentukan
arah jangka panjang kebutuhan IT mereka, dan auditor harus dapat melihat rasionalisasi apa
prioritas pengeluaran TI perusahaan adalah, dan mengapa. Idealnya, sebuah rencana strategis TI
akan dikembangkan dan disetujui oleh dewan, meskipun dokumentasi dapat mengambil banyak
bentuk seperti rencana IT terpisah dikombinasikan dengan rencana bisnis organisasi secara
keseluruhan, atau serangkaian pengajuan kasus bisnis dari waktu ke waktu. auditor harus mencari
demonstrasi dari proses perencanaan strategis secara keseluruhan mengenai investasi IT dan
belanja TI prioritas. Juga ingat bahwa perencanaan bisnis harus mendorong prioritas IT dan
keputusan investasi IT, yang berarti baik manajemen perusahaan dan manajemen TI perlu untuk
diwawancarai.

8. Bagaimana tingkat investasi di IT dan keamanan TI telah terjadi selama dua sampai tiga tahun,
dan apa yang direncanakan untuk dua sampai tiga tahun? Dengan kata lain, adalah pengeluaran
IT wajar dibandingkan dengan operasi dan modal anggaran keseluruhan? Meskipun tidak ada
tingkat tertentu investasi di IT dianggap tepat, auditor harus menilai kewajaran IT dan
pengeluaran keamanan dalam kaitannya dengan keseluruhan modal dan anggaran operasional.
Mereka juga harus meninjau apakah garis tren belanja dapat dijelaskan oleh bisnis dan rencana
TI. Apakah ada proses di tempat untuk mengelola pengeluaran terlibat dengan IT dan keamanan
IT?
9. Memiliki indikator kinerja untuk fungsi TI dan keamanan IT dikembangkan? Adalah mereka
indikator berkala dilaporkan ke dewan? Auditor harus tahu apa masalah utama telah dilaporkan
mengenai IT dan IT security. Sebuah perdebatan yang sehat harus ada di tingkat papan ketika
masalah ini disajikan oleh manajemen (dan, ya, manajemen harus menyajikan isu-isu ini ke
dewan).
10. Apakah manajemen memantau TI kinerja, serta kemampuan untuk terus memberikan layanan
yang di atasnya organisasi bergantung? Pertanyaan ini mengeksplorasi pemantauan operasi TI
bahwa manajemen melakukan - dan apakah itu outsourcing atau dikelola secara internal,
monitoring harus dilakukan. Formalitas monitoring dapat sangat bervariasi, meskipun pengaturan
outsourcing mungkin perlu pemantauan lebih, dan itu harus terjadi lebih sering.
Intinya adalah bahwa manajemen investasi TI harus diintegrasikan ke dalam sedang berlangsung
upaya perencanaan strategis organisasi dan memastikan bahwa upaya IT secara konsisten berkontribusi
prioritas organisasi. Mungkin sudah waktunya manajemen eksekutif revisited bagaimana mendefinisikan
IT prioritas investasi. Audit adalah tempat yang baik untuk memulai.
Dipetik dari Kepatuhan Minggu. Artikel ini awalnya diterbitkan dalam Kepatuhan Minggu.
Direproduksi dengan izin dari Kepatuhan Minggu. Seluruh hak cipta.

IS Perencanaan Audit
Mengambil pandangan bahwa IS audit adalah fungsi terpisah yang melekat audit internal, ada
kebutuhan untuk merencanakan cakupan audit dalam cara yang efisien. Sebuah IS Pedoman Audit
menunjukkan bahwa penilaian risiko digunakan untuk merencanakan penggunaan sumber daya IS Audit
dengan mempertimbangkan berikut:

Integritas manajemen IS dan IS pengalaman manajemen dan pengetahuan;

Perubahan IS manajemen.
Tekanan pada IS manajemen yang mungkin mempengaruhi mereka untuk
menyembunyikan atau salah mengutarakan informasi (misalnya proyek bisnis penting
besar over-run, dan kegiatan hacker).
Sifat bisnis organisasi dan sistem (rencana misalnya untuk e-commerce, kompleksitas
sistem dan kurangnya sistem terpadu).
Faktor yang mempengaruhi industri organisasi secara keseluruhan (misalnya perubahan
teknologi, dan IS ketersediaan staf).
Tingkat pengaruh pihak ketiga atas kontrol dari sistem yang diaudit.
Temuan dari dan tanggal audit sebelumnya.

Pada rinci IS tingkat kontrol (kontrol atas akuisisi, implementasi, pengiriman dan
dukungan dari sistem IS dan jasa), auditor harus mempertimbangkan, ke tingkat yang
sesuai untuk daerah audit pertanyaan:
Temuan dari dan tanggal audit sebelumnya di daerah ini.
Kompleksitas dari sistem yang terlibat.
Tingkat intervensi manual diperlukan.
The kerentanan terhadap kerugian atau penyalahgunaan aset yang dikendalikan oleh
sistem.
Kemungkinan puncak kegiatan pada waktu tertentu dalam periode audit.
Aktivitas luar rutinitas sehari-hari pengolahan IS.
Integritas, pengalaman dan keterampilan manajemen dan staf yang terlibat dalam
menerapkan kontrol IS.

Pekerjaan audit IS harus

benar direncanakan dan dikelola.
pekerjaan yang tidak direncanakan
sulit untuk mengontrol. Setelah
peran telah ditetapkan dan
kebijakan pada interaksi dengan
auditor umum di tempat, rencana
formal
dapat
dipublikasikan.
Beberapa pekerjaan akan internal
dan memberikan dukungan untuk
fungsi audit pada proyek-proyek
individu,
otomatisasi
dan
CAATs.Cara peralatan komputer
diperoleh, digunakan dan dipelihara
adalah masalah lain pada arah mana
harus disediakan dan standar audit
memainkan peran penting. Hal ini
diperlukan untuk menetapkan
bidang pemeriksaan sebelum menilai setiap komponen individu. Sebuah cara yang berguna untuk
menganalisis bidang audit ditunjukkan pada Gambar 7.23.
Isu utama dalam rentang lingkungan otomatis dari tiga komponen utama komputerisasi: aplikasi,
dukungan IT dan IT / IS standar. analisis risiko dapat diterapkan sehingga daerah sensitif profil tinggi dapat
ditargetkan. IS audit harus direncanakan dan audit manajemen perlu untuk menentukan pendekatan
audit, jenis pekerjaan yang dilakukan dan area yang akan diaudit. Metodologi yang tepat akan mengalir
dari prinsip-prinsip profesional audit dan bimbingan yang diberikan kepada fungsi audit harus
didokumentasikan dalam manual audit. Cara IS audit diatur dan dikelola harus hati-hati direncanakan
sejak departemen komputer dapat mengatur hambatan buatan. Jika pemeriksaan cermin ini dengan
mendirikan kelompok mengambang bebas misterius auditor teknis dengan status yang lebih tinggi dari
sisa audit, faktor disfungsional yang sama timbul, yang mungkin membuat mereka fungsi tak terkendali
yang terpisah. Tren saat ini adalah sistem informasi eksekutif dan keahlian lokal di tingkat operasional,
yang juga berlaku untuk audit internal sebagai pengguna sistem informasi perusahaan. Jika auditor IS tidak
menghabiskan sebagian besar waktu mereka mengembangkan sumber daya internal untuk mendapatkan
auditor dalam sistem rumit maka mungkin ada sedikit ruang untuk memberikan jasa audit komprehensif
dan profesional. Dalam hal pengelolaan IS sumber daya audit, diketahui bahwa

siklus audit dapat direncanakan untuk menutup semua aplikasi komputerisasi utama;
akan diperlukan untuk membuat sebuah penghubung yang konstruktif dengan
perusahaan IS manajer;
kesulitan-fi dif dalam merekrut berkualitas baik IS auditor telah disebutkan;
kedalaman keahlian teknis harus didefinisikan dalam pekerjaan tepat bernada spesifik
kation;
waktu kerja audit IS harus direncanakan sebagai sistem cenderung bergiliran
mengamankan pro fi le sebagai alter strategi organisasi yang tinggi;
anggaran untuk IS audit harus mencakup fasilitas high-spesifik fi kasi komputer bersama
dengan notebook, scanner, printer kualitas dan sebagainya, untuk digunakan oleh
auditor;
manajer audit yang harus melaksanakan atau mengatur review teknis pekerjaan IS
auditor. Pekerjaan harus benar diawasi;
pekerjaan yang IS audit melakukan pengembangan sistem dapat menjadi bagian dari
sistem pengendalian internal; dengan demikian, peran tersebut harus jelas didefinisikan
di awal;
IS auditor dapat menghabiskan waktu mendukung fungsi audit dengan mengembangkan
CAATs dan cara ini sumber daya harus disepakati melalui rencana audit;
mengembangkan berbagai matriks kontrol meliputi sistem otomatis dapat membantu
evaluasi kontrol dan ini mungkin menjadi tugas audit yang IS. IS auditor harus didorong
untuk menjadi auditor operasional dan memperoleh pemahaman yang baik tentang
sistem manajerial pengendalian internal serta kontrol berbasis komputer.

Peran Audit dalam Pembangunan Sistem

Peran Audit dalam organisasi adalah untuk:

Yakinkan: Yakinkan manajemen yang bekerja pengembangan sistem (SD) mekanisme.

Alert: manajemen Notifikasi mana ada signi risiko fi kan.
Advise: Advise manajemen tentang bagaimana risiko tersebut mungkin dikelola.
Act: Bertindak segera untuk mengamankan manajemen yang lebih baik dari risiko.

Ini adalah kasus bahkan di mana kami terlibat dalam sistem audit dalam pengembangan. Kami
telah pergi lingkaran penuh di bahwa tanggung jawab untuk membangun sistem yang sesuai pengendalian
internal pindah dari audit kepada staf komputer, dan sekarang terlihat milik sepenuhnya kepada
pengguna sistem. Pengguna ingin sistem yang baik dan akan beralih ke semua bantuan profesional yang
tersedia dalam perjuangan ini. Ini harus mencakup audit internal dan kita harus memenuhi harapan
tersebut dalam memberikan dukungan profesional. Perhatian diarahkan pengaturan jaminan kualitas atas
metodologi SD yang dianut mungkin cara terbaik untuk menggunakan sumber daya audit. Bekerja pada
sistem individu menjadi bagian dari audit cara menguji kecukupan dan efektivitas metodologi proyek
perusahaan yang dianut. Keterlibatan Audit dalam mengembangkan sistem yang disebut pre-event audit
oleh beberapa, bahwa:
1. Auditor harus memastikan bahwa proses pembangunan itu sendiri adalah suara.
2. fi proses pembangunan didefinisikan de juga harus dilihat untuk diterapkan dalam praktek.
3. kontrol yang memadai harus dibangun ke dalam sistem baru pada tahap pengembangan.

4. Auditor harus siap untuk memberikan nasihat profesional meskipun jika ini tidak didasarkan pada
bukti fi rm, maka pendapat harus menyebutkan statusnya sesuai.
5. Pengembangan sistem harus konsisten dengan kebijakan perusahaan organisasi.
6. Evaluasi kontrol yang diperlukan harus dilakukan sebelum kontrak ditandatangani.
7. Auditor harus terlibat dalam mengembangkan sistem sejak kemerdekaan tidak dapat dijaga di
semua biaya.
Ide di balik pre-event audit adalah untuk meminimalkan kebutuhan untuk perubahan berikutnya
dan auditor harus siap untuk memberikan saran praktis. Baru-baru ini, keterlibatan mungkin jatuh di
bawah lengan konsultasi layanan audit internal untuk menambah nilai dengan cara sistem baru dibangun
dan dibawa secara online. Miskin IS pembangunan dapat menyebabkan banyak risiko untuk sebuah
organisasi, termasuk:

sistem standar datang online;

perubahan tidak sah terhadap sistem;
sistem yang tidak fleksibel dan sulit untuk mengubah sebagai keadaan berubah;
gangguan bisnis dan hilangnya umum klien kepercayaan diri yang dihasilkan dari
kegagalan sistem;
kerugian umum kepercayaan diri antara manajemen dan staf;
penipuan, lain bahaya terkenal;
biaya yang berlebihan menunjukkan bahwa investasi di fasilitas komputer telah
melampaui anggaran dan mungkin program komputerisasi keseluruhan;
pelanggaran hukum karena
sistem yang buruk terutama yang
berkaitan dengan undang-undang
perlindungan data.

Sistem dapat dengan

mudah gagal di mana spesi fi kasi
tidak memadai dan seperti
berjalan atas anggaran, manajer
senior mulai menjauhkan diri dari
potensi
kejatuhan. Biasanya,
sebuah organisasi mencoba untuk
melakukan terlalu banyak terlalu
cepat dan ini dapat berarti bahwa
banyak sistem baru datang online
yang rusak. Dua teknik utama untuk memastikan sistem yang baik datang online manajemen dan SD
proyek standar. Salah satu cara untuk melihat nilai dari suatu sistem informasi adalah untuk mengukur
sejauh mana itu memenuhi empat kriteria utama yang ditetapkan dalam Gambar 7.24.
Keempat kriteria harus berarti bahwa sistem informasi:

berasal dari manajemen proyek suara;

didasarkan pada cara orang berkomunikasi dalam organisasi;
sesuai dengan IS kebijakan dan prosedur keamanan;
mengarah ke pengambilan keputusan yang efektif.

pengembangan sistem 'mungkin adalah aspek yang paling penting dari setiap program
komputerisasi memastikan berbagai kriteria diakui. Keberhasilan dengan yang organisasi mengontrol
sistem baru dan ditingkatkan secara langsung mempengaruhi keberhasilan dihasilkan sistem. diterima
definisi yang kontrol mencakup semua pengaturan manajemen menetapkan untuk memastikan tujuan
tercapai secara efisien. sumber Audit diarahkan pada proses SD baik digunakan. Sistem baru harus
memenuhi kebutuhan bersaing seperti halnya proses SD. Kebutuhan ini berbeda harus diambil di papan
karena semua pihak ini pengguna dan berbagai harapan mereka harus dipahami sepenuhnya. Kebanyakan
sistem baru perangkat tambahan atau pengganti di mana rilis software baru memperpanjang sistem yang
ada. Lebih kecil solusi yang lebih kompak cenderung didasarkan sekitar sistem berbasis PC. IS auditor akan
mencari siklus hidup SD yang merupakan prosedur yang ditetapkan untuk mengelola sistem baru (Gambar
7.25).
Ketika pembangunan mendorong keterlibatan awal pengguna akan memiliki lebih banyak
kesempatan untuk sukses, sedangkan penggunaan aplikasi yang cepat teknik desain (dan paket perangkat
lunak yang dibeli) akan memastikan bahwa sistem yang lebih kecil membuat mereka dengan
cepat. Sementara itu, manajemen proyek yang baik membawa seluruh inisiatif membuahkan hasil dengan
berusaha mendamaikan waktu, kualitas, biaya dan kekuatan, dan metode seperti PRINCE 2
menggabungkan faktor-faktor seperti:

papan proyek;
manajer proyek (PM);
orang terkemuka pada setiap tahap dari proyek pelaporan kepada keseluruhan PM;
Tim jaminan proyek;
inisiasi proyek dan rencana (rencana teknis dan sumber daya);
end-of-tahap penilaian;
ulasan kualitas;
log risiko - risiko dan mitigasi;
kontrol - inisiasi proyek, penilaian stadium akhir, penilaian tahap pertengahan, pos-pos
pemeriksaan, penutupan proyek;
pemeriksaan - reguler titik kontrol teknis dan manajemen; pertemuan pos pemeriksaan
con- menyalurkan oleh manajer panggung untuk mengukur prestasi terhadap rencana
untuk tanggal;
tahap proyek - usulan 1. proyek, inisiasi 2. proyek,
pertemuan inisiasi 3. proyek, perencanaan 4. Proyek, 5.
mengelola dan melaporkan kemajuan (ulasan kualitas), 6.
Proses stadium akhir, 7. penutupan Project.
Masalah yang paling merusak adalah kegagalan
untuk antarmuka informasi, teknologi dan implikasi
operasional pengembangan baru. Sebuah pandangan satu
dimensi dari sistem hanya sebagai informasi dan teknologi
yang mendukung akan memberikan pandangan yang tidak
memadai pembangunan. Baru atau enhancedsystems
terdiri dari tiga komponen bisnis utama seperti
digambarkan pada Gambar 7.26.

Kami berharap proyek SD untuk mempertimbangkan jangka proyek referensi:

Staffing
1.
2.
3.
4.
5.

Staf cara dikerahkan.

keterampilan dan bakat dari staf.
Cara sistem baru dijual kepada mereka.
Cara pengaturan kerja baru ditentukan.
Kebutuhan untuk merasionalisasi proses operasional, khususnya mengenai aliran informasi fi les
melalui prosedur pengolahan; juga informasi cara diekstrak dan dikirim ke enquirers baik di dalam
maupun di luar organisasi.

Informasi
1. Jenis laporan standar yang dibutuhkan - model sistem pendukung keputusan membutuhkan fitur ini
menjadi fleksibel dan dikendalikan oleh pengguna.
2. Jenis data yang sudah tersedia dan keadaan umum mereka.
3. Data baru yang diperlukan dan bagaimana mereka mungkin akan ditangkap.
4. Sejauh mana informasi akan baik otomatis atau diadakan pada pengguna fi les.

Teknologi
1.
2.
3.
4.
5.
6.

strain dan tekanan pada sistem dan kapasitas yang diperlukan untuk menangani hal ini.
jenis sistem operasi dan aktual mesin con fi gurasi yang diperlukan.
Jumlah terminal jaringan.
pengaturan Benchmarking untuk mesin baru.
Antarmuka antara arsitektur TI yang ada, termasuk jaringan dan komunikasi.
Keterampilan staf di-rumah IT dan tingkat ketergantungan pada pemasok.

Ketiga komponen yang saling terkait. The staf fi ng / masalah operasional menentukan solusi
informasi, yang, pada gilirannya, menentukan persyaratan teknologi. Banyak proyek sistem memiliki fokus
utama pada bagian IT dan membuat lewat referensi saja dengan dua lainnya pada tahap kelayakan. Tahap
implementasi utama kemudian didorong oleh kebutuhan untuk mendapatkan perangkat keras di tempat,
data dikonversi dan komputer berjalan dengan lancar, yang merupakan komponen 3. pertama dua hanya
Fi tted ke dalam proyek jika ada waktu. Lebih penting lagi, tim proyek mungkin tidak memiliki
keterampilan yang diperlukan untuk menangani tingkat tinggi manajemen sumber daya manusia dan
proses bisnis re-engineering masalah. auditor harus mempertimbangkan masalah ini karena mereka
berdampak pada kemungkinan keberhasilan sistem. Pandangan kami kontrol mungkin harus diperluas
untuk mengambil papan konsep-konsep yang lebih luas dalam melihat siklus hidup SD. Sebagian besar
kontrol terletak di pengaturan manajerial keseluruhan untuk bisnis. Hal ini juga berlaku untuk proyekproyek IT dan, dengan demikian, pertimbangan kontrol harus diterapkan oleh auditor dalam konteks ini. IS
auditor akan mempromosikan penggunaan prinsip-prinsip manajemen proyek yang baik. Untuk peran
audit dalam pengembangan sistem ada dua pendekatan utama:

1. Untuk meninjau jalan bahwa organisasi mengontrol perkembangan secara umum

teknik manajemen proyek harus diterapkan bersama dengan metodologi didefinisikan de fi yang
sesuai organisasi. Kami prihatin sini dengan proses itu sendiri dan cara yang digunakan. Untuk menguji
kepatuhan, sejumlah masa lalu yang sebenarnya atau perkembangan yang sedang berlangsung akan
dipilih dan diperiksa untuk menguji sejauh mana proses ned SD de fi telah diterapkan dalam praktek. Ini
mungkin cara yang efektif untuk menggunakan sumber daya yang langka audit.
2. Untuk memastikan audit yang hadir pada semua proyek pembangunan besar
Kami akan menyarankan pada setiap implikasi kontrol relevan dengan sistem yang sedang
dikembangkan. Peran Audit akan sebagai pengawas mengambil pada setiap celah kontrol. Ini bisa sangat
berguna untuk, sistem yang sensitif utama yang bekerja untuk jadwal yang ketat. masalah kontrol
potensial bisa recti fi ed sebelum terlambat dan mungkin bencana demikian dihindari. Ada titik prinsip
yang timbul di sini dalam hal itu menempatkan tanggung jawab untuk memastikan sistem memiliki kontrol
suara di tangan audit. Manajemen bertanggung jawab atas kontrol dan peran audit adalah untuk
meninjau dan memberi nasihat tentang kemungkinan kelemahan pengendalian. Mengambil tugas ini jauh
dari manajemen, menghilangkan itu dari kesempatan untuk memperoleh orientasi kontrol. Dalam
prakteknya, masalah jangka pendek yang mendesak panggilan untuk semua pihak untuk terlibat dalam
mencari solusi dan titik prinsip cenderung ditempatkan ke satu sisi. Namun, hanya dengan mengambil
pandangan strategis jangka panjang bahwa peran audit dapat diarahkan untuk kesejahteraan nyata
organisasi. Saat meninjau baik proses SD atau perkembangan individu, diketahui bahwa:

auditor adalah salah satu pengguna sistem dan dapat meminta persyaratan tertentu
seperti link berdasarkan audit ke dalam sistem atau fasilitas pengujian terpencil.
auditor harus menghapus mistik belakang komputasi: teknik manajemen proyek dasar
berlaku untuk semua jenis pengembangan terlepas dari tingkat kerumitan teknis.
audit dapat dilihat sebagai 'selimut basah' yang mencari masalah daripada menjadi
terjebak dalam kegembiraan 'membuat sistem kerja'.
modul audit yang tertanam dapat dibangun ke dalam sistem baru dan memungkinkan
akses tidak terbatas ke fi les untuk pengujian audit (dicatat bahwa ini tidak biaya uang).
independensi audit harus diawasi dan harus dibuat jelas bahwa keterlibatan dalam
pekerjaan pembangunan sistem tidak berarti bahwa sistem sekarang menjadi milik audit
internal.
jumlah pengujian audit yang akan melakukan harus muat ke dalam rencana
pembangunan sistem dan audit harus berhati-hati untuk tidak masuk akal menahan
kemajuan.
ada beberapa perdebatan mengenai apakah auditor harus 'menandatangani' sistem
sebelum ditayangkan: tidak sistem auditor tetapi pada saat yang sama auditor memang
memiliki kewajiban profesional untuk memberikan pendapat ketika ditanya, tanpa
asumsi operasional tanggung jawab.
jika auditor bertindak untuk memeriksa pekerjaan tim proyek ini dapat mengakibatkan
auditor yang dianggap sebagai kekuatan negatif, mungkin karena beberapa jenis matamata manajemen.
auditor harus memiliki suf pelatihan fi sien sebelum menangani pembangunan yang
rumit; auditor baru dapat mengandalkan niat baik dari staf IS, yang tergantung pada
hubungan dengan manajer IS.

ada hubungan antara audit dan jaminan kualitas dan jika ada program berkualitas cocok
untuk pengembangan sistem yang diatur oleh departemen IS, ini harus mendapat
perhatian audit; jika jaminan kualitas bekerja, ini bertindak sebagai kontrol besar atas
proses pembangunan.
kontrol biaya uang dan waktu dan auditor harus menghargai bahwa semua sistem
memiliki opsi kontrol 'Rolls-Royce' dan lebih realistis satu; organisasi tidak dapat
beroperasi kebijakan nol-risiko untuk semua operasi dan pendekatan bisnis seperti harus
selalu memerintah - kriteria harus bahwa kontrol harus memadai dan efektif.
auditor perlu melalui sosialisasi sebelum pengembangan sistem ditinjau dan dokumentasi
sistem harus diperoleh dan ditinjau terlebih dahulu.
peran penting auditor dapat mengadopsi adalah untuk menyajikan serangkaian mencari
pertanyaan untuk konsultan eksternal yang mungkin mengelola proyek - konsultan
bekerja pada proyek-proyek individu dalam anggaran biaya yang telah disepakati dan
belum tentu untuk kesejahteraan organisasi.
Audit masukan ke proyek-proyek individu dapat mengungkap kelemahan dalam proses
SD.

Audit harus terlibat dalam proses pembangunan, meskipun sifat keterlibatan ini akan tergantung
pada audit dan kebijakan organisasi. Apapun peran, itu harus baik didefinisikan dan dipublikasikan. IS
auditor tidak kehilangan kemerdekaan dengan melakukan tugas-tugas seperti:

meninjau kontrol;
pengujian sesuai dengan standar;
memberikan saran tentang teknik kontrol;
mempromosikan penggunaan manajemen proyek;
menentukan apakah standar keamanan yang masuk akal;
memberi nasihat tentang pengelolaan kinerja sistem;
membantu manajemen mengidentifikasi dan mengatasi risiko yang relevan;
membantu untuk mengidentifikasi peran proyek.

Keterlibatan atas dan di atas tugas-tugas ini akan cenderung jatuh di bawah peran konsultan dari
auditor. Perhatikan bahwa kemerdekaan audit ditangani sebelumnya di buku pegangan.
Pentingnya Audit IT Proyek
Oleh Dan Swanson, Kepatuhan Minggu Kolumnis
Perubahan infrastruktur TI perusahaan adalah fi sumber signifikan dari risiko untuk setiap
bisnis; untuk melindungi permata mahkota perusahaan, praktek perubahan manajemen yang kuat yang
benar-benar penting. Kebutuhan untuk '' lingkungan pengendalian 'positif' dalam IT dan sikap yang sangat
tak kenal ampun mengenai sah IT perubahan tidak dapat dilebih-lebihkan. Bahkan, penelitian terbaru oleh
Institut Proses TI menunjukkan bahwa '' terbaik berkembang biak '' IT toko mengungguli rekan-rekan
mereka dengan margin besar pada banyak indeks kinerja yang berbeda. Dua kontrol yang hampir secara
universal hadir dalam berkinerja tinggi adalah:
1. Sistem pemantauan untuk perubahan yang tidak sah; dan
2. Memiliki de fi konsekuensi ned untuk disengaja, perubahan tidak sah.

Peran audit internal mengenai pelaksanaan inisiatif IT bervariasi, butmalso memberikan

kesempatan yang signifikan untuk audit internal untuk memberikan nilai nyata bagi pengurus dan
manajemen eksekutif. Artinya, auditor internal harus memainkan peran penting dalam memastikan
bahwa investasi TI yang dikelola dengan baik dan memiliki efek positif pada organisasi. Sebuah proyek IT
yang dikelola dengan baik adalah mutlak penting untuk keberhasilan ini. Upaya IT yang semakin rumit
setiap tahun; perubahan operasional menjadi lebih menantang dengan setiap teknologi baru yang
diadopsi, terutama di mana operasi global sekarang menjadi pendukung. Persyaratan integrasi sistem
terus memukau bahkan yang paling berpengalaman TI dan audit profesional. Audit dari inisiatif TI dapat
mengambil banyak bentuk. Pada sederhana, auditor dapat meninjau kasus bisnis dan tahan beberapa
wawancara dengan pemangku kepentingan utama. Di paling kompleks, tim audit penuh waktu akan
berpartisipasi dalam hampir setiap aspek dari proyek TI. Keragaman ini tergantung pada risiko dan
persyaratan jaminan dewan dan manajemen eksekutif. Jika organisasi benar-benar akan mengungkap jika
inisiatif TI gagal, '' pemeriksaan kesehatan '' oleh audit internal bisa sangat berharga.

Audit Mayor IT Inisiatif

Dewan dan manajemen ingin mengetahui banyak hal mengenai upaya TI mereka:
bahwa upaya IT produktif, bahwa investasi TI akan memiliki dampak, bahwa sistem mereka
pengendalian internal ditingkatkan dan diperkuat dengan upaya TI mereka, dan bahwa bencana
berikutnya (dari gagal implementasi TI) tidak akan terjadi. Penilaian independen dari inisiatif TI
dapat memberikan umpan balik itu dan mencegah masalah di jalan atau mungkin bahkan
mencegah kegagalan bisnis. Mendefinisikan tujuan audit, tujuan, dan ruang lingkup untuk review
dari inisiatif TI adalah kunci langkah pertama. Keterlibatan auditor internal 'dengan inisiatif TI
biasanya melibatkan meninjau dan menilai rencana proyek secara keseluruhan dan manajemen
proyek. Auditor juga perlu untuk menilai akurasi dan kelengkapan sistem dan persyaratan data
untuk solusi TI yang diusulkan, oleh:

Mengevaluasi dan memantau rencana manajemen proyek untuk berbagai perubahan

sistem yang akan dibutuhkan;
Menilai kelengkapan dan kesesuaian sistem manajemen dan desain database, termasuk
aspek keamanan dan privasi;
Meninjau user-penerimaan dan perencanaan paralel-test dan hasil untuk menunjukkan
end-to-end sistem operasi sukses dan '' kesiapan '' untuk implementasi (dalam tes paralel,
tim proyek secara bersamaan tes kedua sistem lama dan baru dengan menggunakan data
yang sama dan membandingkan hasil mereka secara komprehensif); dan
Meninjau startup sistem produksi dan data klien terkait untuk memastikan integritas data
dipertahankan dan '' mundur '' rencana dalam hal masalah akan efektif. Selain itu, auditor
harus menilai akurasi dan kelengkapan startup dari tanggung jawab operasional dalam
organisasi (untuk IT baru '' solusi '') oleh:
Mengevaluasi dan memantau rencana manajemen proyek untuk berbagai kebutuhan
operasional; dan
Menilai kelengkapan dan kesesuaian kebijakan operasional dan prosedur yang
dikembangkan, dan pelatihan terkait.

berbagai inisiatif TI organisasi mencakup rentang yang luas dari teknologi dan sama pentingnya,
mereka mempengaruhi operasi bisnis dalam berbagai cara. Tahap perencanaan audit perlu memastikan

fokus yang tepat dari upaya audit. auditor internal harus menentukan tingkat keterlibatan mereka dan
yang terbaik pendekatan audit untuk mengambil (selama fase inisiasi inisiatif TI). Keputusan Keterlibatan
audit harus berdasarkan penilaian audit yang berisiko, dan termasuk faktor-faktor seperti pengalaman
proyek-manajemen tim, tingkat keterlibatan manajemen, ukuran dan kompleksitas inisiatif, dan efek pada
organisasi jika inisiatif tertunda atau tidak berhasil diimplementasikan. Pendekatan audit yang paling
tepat juga perlu didefinisikan selama fase pemeriksaan proyek-perencanaan.
isu-isu kunci untuk mengeksplorasi selama audit meliputi: sponsor proyek yang efektif dan
kebutuhan bisnis, representasi dari semua kelompok pemangku kepentingan di tim, dan adanya proses
manajemen risiko TI yang kuat.

Kinerja Lebih Baik menggembirakan

Seperti kebanyakan audit, audit dari inisiatif TI umumnya akan melibatkan tiga fase: perencanaan,
kerja lapangan, dan pelaporan audit. inisiatif TI, bagaimanapun, datang dalam berbagai bentuk dan
ukuran, sehingga audit dari inisiatif TI harus fleksibel dan berbasis risiko. Selama fase perencanaan, tim
internal audit harus memastikan bahwa semua isu-isu kunci dianggap, bahwa tujuan audit akan
memenuhi kebutuhan jaminan organisasi, dan bahwa setiap orang yang terlibat memahami inisiatif TI
yang sedang diaudit. Adalah penting bahwa audit berfokus pada evaluasi komponen yang signifikan dari
inisiatif TI - menggunakan pendekatan berbasis risiko untuk mendapati elemen proyek paling mungkin
untuk gagal atau paling membutuhkan con fi knis. Tahap perencanaan juga harus con fi rm bahwa ruang
lingkup audit sesuai.
Pada tahap kerja lapangan fi, auditor menganalisis berbagai komponen inisiatif TI berdasarkan
pada tujuan dan metodologi diidentifikasi dalam tahap perencanaan. Di antara beberapa pertanyaan yang
paling penting untuk menjawab adalah:
1.
2.
3.
4.
5.

Memiliki kebutuhan bisnis telah jelas didefinisikan?

Akan solusi IT memenuhi kebutuhan tersebut?
Apakah solusi TI telah terbukti untuk bekerja?
Apakah itu aman dan akan privasi informasi dipertahankan?
Memiliki jumlah usaha yang terlibat tercermin risiko yang terlibat dengan implementasi solusi ini?

tes Audit dapat mencakup meninjau dokumentasi bisnis-kasus dan dokumen terkait dengan
sistem; mewawancarai peserta kunci dalam proyek; melihat materi pelatihan dan pengembangan
prosedur operasi solusi ini; dan meninjau rencana uji, hasil mereka, dan komunikasi manajemen untuk
karyawan mengenai persiapan pelaksanaan. Tahap audit pelaporan adalah di mana auditor internal
memastikan bahwa semua stakeholder diberitahu tentang hasil audit dan rencana manajemen untuk
meningkatkan upaya inisiatif TI. pelaporan audit dapat menjadi lurus ke depan: Katakan kepada mereka
apa yang Anda lakukan, apa yang Anda temukan, dan apa yang manajemen berencana untuk
melakukan. Bedanya dengan mengaudit sebuah inisiatif TI adalah bahwa umpan balik audit yang perlu
dimulai sedini mungkin, sehingga perubahan rencana proyek dan usaha dapat dipertimbangkan. Oleh
karena itu, formal, umpan balik yang berkelanjutan harus disediakan untuk pengelolaan ITinitiative, dan
manajemen senior dan bahkan komite audit pada kesempatan harus diberikan pengarahan dengan
laporan status periodik. Formal end-of-audit pelaporan masih diperlukan, tetapi setiap '' berita '' dari tim
audit harus disampaikan jauh sebelum laporan audit secara resmi dikeluarkan.

Kami Perlu Dorong Perbaikan Proses IT

Audit praktik terbaik merekomendasikan bahwa auditor internal harus terlibat di seluruh siklus
hidup sebuah inisiatif TI, bukan hanya dalam evaluasi pasca implementasi (mana yang terluka
ditembak). Audit internal inisiatif TI juga perlu menjadi bagian dari rencana audit TI yang lebih luas sebagai
salah satu audit tidak menilai kinerja fungsi TI secara keseluruhan. Ini adalah penilaian jangka panjang
upaya IT di mana perbaikan proses TI benar dapat didorong. Misalnya, apakah organisasi memiliki proses
manajemen risiko TI yang kuat? Apakah IT menerapkan patch- dan manajemen perubahan praktik
komprehensif? Telah pengembangan dan pelaksanaan proses telah diperbarui untuk mencerminkan
signifikan persyaratan keamanan dan privasi fi kan hari ini? Apakah ada proyek keseluruhan organisasi
kantor?
Auditor dapat membawa nilai yang cukup besar untuk sebuah organisasi dengan mengevaluasi
kedua IT dan aspek organisasi dari inisiatif TI. Karena konversi ke solusi TI baru adalah salah satu risiko
tertinggi bahwa suatu organisasi dapat menghadapi, keterlibatan auditor internal dan penilaian
independen isu dan rencana proyek akan memberikan nilai yang jauh melebihi biaya audit ini.
Dipetik dari Kepatuhan Minggu. Artikel ini
Minggu. Direproduksi dengan izin dari Kepatuhan Minggu.

awalnya

diterbitkan

dalam

Kepatuhan

Keamanan Sistem Informasi

Auditor internal harus secara periodik menilai praktek keamanan informasi organisasi dan
merekomendasikan, sesuai, perangkat tambahan, atau pelaksanaan, kontrol baru dan
perlindungan.Ancaman seperti penipuan komputer, spionase, sabotase, perusakan dan bencana alam
dapat menurunkan jaringan perusahaan dan merusak database penting. Standar 7799 alamat keamanan
TI dan ISO memiliki bagian berikut:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.

perencanaan keberlangsungan
Bisnis kontrol akses
Sistem
pengembangan dan pemeliharaan Sistem
Keamanan fisik dan lingkungan
Kepatuhan
Personil keamanan
organisasi Security
Komputer dan manajemen jaringan
Asset klasifikasi dan kontrol
Kebijakan Keamanan.

Banyak fi kasi klasi sistem informasi berbasis di sekitar penilaian risiko dalam hal dampak pada
bisnis. Selain itu, ISO 7799 merekomendasikan bahwa persyaratan audit dan kegiatan yang melibatkan
pemeriksaan pada sistem operasional harus hati-hati direncanakan dan disepakati untuk meminimalkan
risiko gangguan proses bisnis dan menyarankan berikut diamati:

Persyaratan Audit harus disepakati dengan manajemen yang tepat.

Ruang lingkup pemeriksaan harus disepakati dan dikendalikan.

Pemeriksaan harus dibatasi untuk read-only akses ke perangkat lunak dan data.
Jenis-jenis akses harus diizinkan untuk salinan terisolasi dari sistem fi les, yang harus
dihapus saat pemeriksaan selesai.
Persyaratan untuk pengolahan khusus atau tambahan harus diidentifikasi dan disepakati
dengan penyedia layanan.
Semua akses harus dipantau dan dicatat untuk menghasilkan jejak referensi.
Semua prosedur, persyaratan dan tanggung jawab harus didokumentasikan.

Standar ISO (7799) melanjutkan dengan daftar beberapa kontrol kunci yang mendukung
infrastruktur keamanan:

dokumen kebijakan keamanan informasi

Alokasi tanggung jawab keamanan
pendidikan keamanan informasi dan pelatihan
Pelaporan insiden keamanan
kontrol Virus
proses perencanaan kelangsungan Bisnis
Pengendalian menyalin proprietary
Perlindungan catatan perusahaan
Kepatuhan dengan undang-undang perlindungan data
Kepatuhan dengan kebijakan keamanan.

Pertumbuhan e-bisnis membuat enkripsi, akses pihak ketiga dan aturan pada remote atau
teleworking penting sebagai kontrol harus mengikuti perkembangan baru.

Mendidik Staf Menghasilkan Peningkatan Keamanan IT

Oleh Dan Swanson, Kepatuhan Minggu Kolumnis
Dalam lingkungan bisnis saat ini, keamanan informasi dan perlindungan aset informasi sangat
penting untuk keberhasilan jangka panjang dari semua organisasi. Informasi darah kehidupan dari
perusahaan dan aset bisnis penting. sistem TI menghubungkan setiap departemen internal perusahaan
dan menghubungkan seluruh perusahaan untuk berbagai pemasok, mitra, pelanggan, dan lain-lain di luar
juga. aplikasi gagal fsystem untuk pelanggaran data untuk benar diubah - - masih, masalah dengan IT
terjadi hampir setiap hari. pelanggaran keamanan khususnya dapat menjadi bencana bagi
perusahaan. sebagian besar perusahaan tidak memadai mengatasi penyebab utama pelanggaran
keamanan TI: kesalahan manusia. Pada artikel ini, saya menjelajahi bagaimana tenaga kerja harus dididik
tentang keamanan dan bagaimana menentukan apakah mereka '' mendapatkannya. ''

Peringkat Program IT Security Anda

Bagaimana Anda memulai fi guring seberapa baik perusahaan Anda melakukan pada keamanan
informasi? daftar ini akan membantu Anda memulai:

Apakah organisasi Anda menerapkan gram keamanan informasi yang komprehensif?

Apakah organisasi Anda memiliki kebijakan yang kuat dan efektif keamanan informasi, prosedur, dan
kontrol? Apakah mereka ditegakkan?

Apakah manajemen mempromosikan budaya etis? Apakah Anda mengatakan tenaga kerja Anda
berikut memimpin manajemen untuk menciptakan budaya etika yang kuat?
Apakah program keamanan informasi mencerminkan risiko dan kompleksitas organisasi? Apakah
penilaian risiko terjadi?
Apakah program aktif mengidentifikasi cara-cara baru untuk melindungi organisasi dari bahaya
berdasarkan ancaman yang muncul?
Apakah langkah-langkah keamanan dan kontrol diuji secara teratur untuk efektivitas operasional,
dan tindakan korektif terjadi?
Apakah Anda keamanan informasi dan efektivitas pelatihan privasi diukur throughoutthe seluruh
siklus hidup pelatihan?
Apakah kinerja yang diukur dan dilaporkan kepada pimpinan senior dan stakeholder lainnya?
Bagaimana keamanan organisasi dibandingkan dengan organisasi sejenis lainnya dikelola dengan
baik?
Apakah program keamanan Anda dievaluasi dalam 18 bulan terakhir? Jika Anda menjawab '' ya ''
untuk semua pertanyaan di atas, selamat! Anda baik pada cara untuk program keamanan informasi
yang efektif dan berkelanjutan. Sekarang, menjawab empat pertanyaan lagi yang akan membantu
memindahkan Anda ke kepala kelas:
Apakah program Anda termasuk kesadaran keamanan yang sedang berlangsung?
Apakah anggota staf yang sesuai mendapatkan yang sesuai pendidikan keamanan untuk pekerjaan
yang mereka lakukan?
Apakah anggota dari tim manajemen dan tenaga kerja memahami apa praktik keamanan yang baik
adalah? Bagaimana Anda tahu?
Apakah Anda menilai dan mengukur hasil pendidikan keamanan dan upaya kesadaran?

Peran Auditor Internal

Fungsi audit internal yang efektif meningkatkan etika lingkungan budaya dan kontrol perusahaan,
baik terang-terangan melalui audit dan dalam arti yang lebih umum dengan mempromosikan praktek
yang baik. audit internal kesadaran keamanan informasi dapat providevaluable umpan balik kepada
manajemen dan dewan tentang di mana keseluruhan performancecan ditingkatkan, yang kemudian juga
memberikan kontribusi untuk hasil program keamanan informasi yang lebih efektif - de fi nitely menangmenang.
pekerjaan audit harus mencakup evaluasi berbagai upaya pendidikan keamanan dan kesadaran
organisasi. Jika manajemen dan staf tidak sedang teratur diberitahu tentang ancaman yang muncul dan
risiko, bagaimana bisa keamanan secara benar dilaksanakan secara berkelanjutan?
Audit harus membandingkan praktik keamanan yang baik dengan apa yang sedang terjadi dalam
organisasi dan meninjau hasil juga. Dengan kata lain, adalah kualitas pelatihan yang diberikan, dan
pembelajaran nyata terjadi?

staf Keterlibatan
Pendidikan adalah kelas pelatihan formal yang administrator sistem mungkin hadir untuk belajar
bagaimana untuk menerapkan Microsoft Pro fi les untuk mengendalikan perubahan ke
desktop. Kesadaran adalah program yang sebuah perusahaan menempatkan di tempat untuk
mengingatkan karyawan dengan prosedur berulang (dan setidaknya update tahunan orang) kebijakan,

kebijakan dukungan proceduresthat, dan praktek-praktek mereka harus tahu untuk mematuhi kebijakan
perusahaan. Kesadaran adalah baik formal maupun informal. '' Formal '' adalah 20 menit sesi kesadaran
tahunan; '' Informal '' adalah kutipan di newsletter perusahaan, kesadaran keamanan e-mail, dan
pengingat dari hari-hari khusus seperti Awareness Week Global Security.
Sebuah metode yang baik untuk menyampaikan pesan kesadaran keamanan untuk tenaga kerja
adalah pertama untuk mendidik mereka pada tindakan mereka dapat mengambil untuk melindungi diri
pribadi dari isu-isu yang dihadapi individu hari ini. Ini termasuk hal-hal seperti pencurian identitas,
phishingattacks, dan tindakan pencegahan yang tepat untuk mengambil ketika berbagi informasi pribadi
secara online. Memberikan informasi ini dalam sesi pelatihan; membuat proses pribadi. praktek lebih
pendidikan keamanan dan kesadaran disajikan di bawah ini;banyak lainnya yang tersedia di sidebar
sumber daya.
1. Secara teratur memberikan informasi ancaman diperbarui untuk manajemen dan staf. Beberapa
kekhawatiran umum hari ini meliputi: pencurian password, pencurian laptop, terinfeksi e-mail, ''
bahu sur fi ng, '' dan dumpster diving. Dengan saluran komunikasi yang jelas yang memungkinkan
setiap orang untuk lebih banyak informasi tentang ancaman terbaru, dan perubahan ancaman
sebelumnya, mendorong tenaga kerja untuk menjadi lebih siap dan untuk mempertimbangkan
langkah-langkah keamanan baru di mana manfaat resmi. Banyak kali, tenaga kerja terdidik dan
termotivasi adalah pertahanan terbaik Anda.
2. Jelaskan kemungkinan konsekuensi dari insiden keamanan dalam hal bisnis. perusahaan atau
pekerja yang bisa bertahan pencurian identitas, pencurian peralatan, hilangnya produktivitas,
hilangnya keunggulan kompetitif, peningkatan pergantian staf, hukuman karena nes fi kepatuhan,
kehilangan reputasi, kehilangan data, dan pelanggan terkikis kepercayaan diri. Sementara daftar
panjang, tenaga kerja yang benar-benar harus tahu apa efek pada bisnis bisa. Dengan membuat ''
pribadi '' dan menunjukkan kemungkinan hit untuk operasi, peningkatan dukungan untuk praktek
keamanan informasi yang baik dapat menjadi '' diperkuat. ''
3. Memberikan komprehensif, program berbasis peran untuk memilih manajemen dan staf yang
membutuhkan pengetahuan terbaru mengenai praktik keamanan yang baik. Di sini, masalah ini
memastikan bahwa investasi dalam keterampilan dan kompetensi staf yang terjadi secara
teratur. Ada yang lebih buruk daripada tidak mengetahui sesuatu yang Anda pikir Anda tahu.
4. Secara teratur memberikan informasi praktek terbaik untuk berbagai keamanan IT dan IT
managementprocesses.
Beberapa proses penting meliputi: Patch dan manajemen perubahan, con fi manajemen gurasi,
desain keamanan dan arsitektur, pencegahan penipuan dan deteksi, keamanan fisik - dan masih banyak
lagi. Menjelaskan bukan hanya '' bagaimana, '' tapi '' mengapa '' dari berbagai proses dan prosedur
keamanan untuk staf. Dan bijaksana langkah pertama adalah untuk fokus pada mendidik '' di uencers fl
'' dari manajemen dan staf Anda jajaran, dan kemudian membiarkan mereka teladan untuk sisanya. 5.
survei periodik Lengkap manajemen dan staf. Ini adalah untuk menilai seberapa baik mereka
memahami kebijakan keamanan informasi, prosedur, dan kontrol serta untuk mengidentifikasi peluang
kunci untuk perbaikan. Komunikasi adalah jalan dua arah, dan jika Anda tidak pernah menilai
kompetensi staf Anda tidak akan pernah tahu seberapa baik upaya pengembangan staf Anda
akan. Survei adalah rendah metode fi nding apa yang ada di pikiran orang-orang dan masalah apa yang
pelatihan perlu ditangani. Sementara langkah-langkah ini tidak selalu murah dan perusahaan Anda akan
selalu memiliki batas anggaran pendidikannya, dalam jangka panjang ini murah investasi dengan tinggibene fi t hasil: ketenangan pikiran tentang keamanan informasi Anda.

Evaluasi rutin
Menetapkan ekspektasi yang jelas dan tanggung
jawab mendefinisikan semua orang untuk keamanan TI
adalah setengah pertempuran. Menjadi rajin dalam upaya
Anda untuk memastikan tenaga kerja memahami harapan
organisasi dan peran dan tanggung jawab mereka adalah
setengah lainnya. Untuk menerapkan keamanan yang
tepat, Anda perlu kebijakan mengartikulasikan, itu harus
ditegakkan, dan pelanggar harus diselidiki dan dihukum bila
diperlukan. Manajemen harus memahami bahwa ia
memiliki tanggung jawab untuk merancang dan
melaksanakan pendidikan keamanan informasi dan kegiatan kesadaran, termasuk pemantauan hasil
tersebut. Manajemen dan staf harus ditugaskan tanggung jawab keamanan, dan kompensasi mereka
meningkat harus mencakup penilaian keamanan mereka '' kinerja '' serta kriteria yang lebih tradisional
untuk menetapkan gaji. Memegang manajemen dan staf bertanggung jawab untuk kinerja mereka
mengenai keamanan informasi adalah kunci untuk keamanan yang efektif. (Ini disebut memastikan ''
konsekuensi '' untuk rakyat '' tindakan. '')
Kesadaran harus mengambil berbagai bentuk, seperti newsletter perusahaan atau forum
dadakan. Efektivitas dari setiap upaya tersebut juga tergantung pada nada yang ditetapkan oleh
manajemen senior. Pertahanan terbaik terhadap insiden dan kegagalan keamanan adalah memiliki ''
termotivasi '' dan berpendidikan manajemen dan tenaga kerja untuk mendukung standar keamanan TI
organisasi Anda. Banyak hal bisa terjadi karena kurangnya kesadaran dan pendidikan, dari kehilangan
pelanggan kepercayaan diri kepada pelanggan hilang, serta harga saham yang lebih rendah, tuntutan
hukum, publisitas buruk, dan banyak lagi. Daftar ini tak ada habisnya. membangun kesadaran keamanan
informasi membutuhkan waktu, sumber daya, dan energi, tetapi tanpa pertanyaan, itu worth it.
Dipetik dari Kepatuhan Minggu. Artikel ini awalnya
Minggu. Direproduksi dengan izin dari Kepatuhan Minggu.

diterbitkan

dalam

Kepatuhan

Perencanaan bencana
Jenis informasi yang hilang dan panjang interupsi akan berdampak pada tingkat kerusakan yang
dilakukan. Beberapa bencana yang organisasi mungkin dihadapi meliputi:
serangan teroris Sabotase

kegagalan Sistem bencana alam

Pemogokan Kebakaran dan ledakan

database yang korup

perencanaan bencana adalah tentang mempersiapkan ini dan kejadian yang tidak diinginkan
lainnya yang dapat mempengaruhi harga saham, pendapatan penjualan, order, pemasok dan hal-hal lain
yang mempengaruhi reputasi sebuah organisasi. Proses perencanaan bencana normal ditetapkan dalam
Gambar 7.27.

Cara Audit Program Business Continuity

Oleh Dan Swanson, Kepatuhan Minggu Kolumnis
Mampu melanjutkan fungsi bisnis yang penting ketika menanggapi bencana besar, dan kemudian
kembali ke operasi yang normal secara efisien dan kohesif sesudahnya, merupakan faktor penentu
keberhasilan untuk semua organisasi. kelangsungan bisnis yang efektif (BCP) dan pemulihan bencana (DR)
program sangat penting dan telah menjadi biaya yang diperlukan dalam melakukan bisnis. Mereka harus
mendapat perhatian dan dukungan yang memadai dari manajemen jika perusahaan adalah untuk
bertahan hidup dan tetap kompetitif dalam situasi pasca-bencana. Tujuan dari program ini adalah untuk
mempersiapkan organisasi untuk mengatasi lebih efektif dengan gangguan besar. manajer program
berencana mungkin tanggapan sebelum kejadian yang sebenarnya (s) bukan hanya menanggapi dalam
panas saat itu. perencanaan ini meningkatkan kualitas dan konsistensi respon terlepas dari orang yang
mengeksekusi rencana tersebut. Program harus mengatasi berbagai insiden potensial, dari bencana
buatan manusia seperti power-grid atau kegagalan infrastruktur penting lainnya untuk bencana alam
seperti badai, fl banjir, atau kebakaran. insiden yang sederhana juga dapat memiliki konsekuensi besar,
jadi jangan under-rencana; misalnya, berharap bahwa staf Anda tidak akan membuatnya bekerja karena
badai es. Ini adalah fakta disayangkan kehidupan bahwa, meskipun upaya terbaik kami, beberapa bencana
yang hanya dapat dihindari. Kualitas respon organisasi terhadap krisis tersebut dapat membuat
perbedaan antara hidup dan kehancurannya.
Karena BCP dan DR upaya yang sangat penting, mereka harus setiap fi t bersama-sama bahusarung tangan.

Peran Audit Internal Dalam BCP Dan DR

audit internal dari program BCP dan DR sangat dianjurkan. Dewan dan manajemen memerlukan
jaminan mengenai efektivitas upaya mereka. Theymwant tahu bahwa rencana DR akan bekerja bila
diperlukan, bahwa investasi di BCP dan DR yang memperoleh nilai yang baik, dan bahwa bencana tidak
akan membawa bisnis bertekuk lutut. Penilaian independen dari program BCP dan DR oleh audit internal
dapat memberikan umpan balik yang obyektif yang membantu memastikan program memadai untuk
mencegah kegagalan bisnis. Pikirkan tentang hal ini: Sementara semua orang berfokus pada persyaratan
Sarbanes-Oxley selama hampir lima tahun, telah Anda DR dan BCP upaya terus berpacu dengan tantangan
baru saat ini dan persyaratan memperluas? Punya jawaban, karena papan Anda semakin mungkin
bertanya. Persis bagaimana departemen internal audit harus berinteraksi dengan BCP dan program DR
bervariasi antara perusahaan. Dengan pendekatan yang tepat, audit dapat memberikan nilai nyata bagi
dewan dan manajemen eksekutif dengan obyektif menilai apakah program ini memberikan cakupan yang
efektif untuk melindungi organisasi dari bahaya ketika signifikan bencana terjadi.
Audit program BCP dan DR dapat mengambil banyak bentuk. Pada sederhana, auditor dapat
melakukan '' BCP / DR pemeriksaan kesehatan, 'cepat' meninjau rencana dan mewawancarai para
pemangku kepentingan utama. Di kompleks yang paling, tim audit dapat menganalisis hampir setiap
aspek program, mengevaluasi perencanaan berbasis risiko, mengamati tes BCP / DR, menilai kelengkapan
analisis bisnis-dampak, dan sebagainya. Jenis dan luasnya audit yang dilakukan tergantung pada risiko,
persyaratan jaminan manajemen, dan ketersediaan sumber daya audit. sumber eksternal spesialis
mungkin berguna pada kesempatan. Auditor mungkin berpartisipasi pengamat sebagai formal dalam

latihan pura-pura atau meninjau dokumentasi program dan menilai kelengkapan dan kelengkapan. Pilihan
Anda banyak.
auditor internal biasanya akan meninjau apa yang telah direncanakan dan dicapai terhadap
harapan manajemen dan dibandingkan dengan yang berlaku umum praktik terbaik di lapangan. Ini adalah
tempat audit objektivitas datang kedepan; auditor memiliki tujuan yang sah untuk menilai apakah
harapan manajemen adalah wajar dan mencukupi, mengingat tingkat risiko organisasi dan dalam
hubungannya dengan organisasi sejenis lainnya. Saran berikut meliputi fase utama audit setiap: scoping,
perencanaan, kerja lapangan, analisis, dan pelaporan. BCP dan DR program, bagaimanapun, datang dalam
berbagai bentuk dan ukuran, sehingga jelas spesifik rincian fi c dari setiap audit yang diberikan akan
bervariasi sesuai dengan situasi.

Audit-Penjajakan Phase
Seperti setiap audit, mendefinisikan tujuan dan sasaran untuk review dari program BCP dan DR
adalah tugas pertama auditor. Penjajakan paling baik dilakukan atas dasar penilaian rasional risiko yang
terkait. Aspek-aspek berikut umumnya layak dipertimbangkan ketika scoping BCP dan DR Audit:

Keseluruhan Program Tata Kelola. Bagaimana dikelola program? Apakah mereka diberikan arahan
strategis yang sesuai dan investasi? (Artinya, apakah tempat organisasi mencukupi penekanan pada
BCP dan DR?) Apakah sponsor cocok dan pemangku kepentingan yang terlibat, yang mewakili semua
bagian-bagian penting dari organisasi? Apakah mereka mengambil suf bunga fi sien dalam program,
menunjukkan dukungan mereka melalui keterlibatan dan tindakan? Dan yang paling penting, yang
bertanggung jawab untuk keberhasilan atau kegagalan mereka?
Ongoing Manajemen Program. Faktor keberhasilan kritis dalam setiap usaha BCP dan DR adalah cara
di mana program yang direncanakan dan didorong untuk memastikan bahwa mereka memenuhi
tujuan meskipun prioritas yang bersaing tak terelakkan organisasi. Apakah pertimbangan
keseimbangan pengelolaan program dari banyak prioritas saling bertentangan manajer menghadapi
dengan kebutuhan penting bahwa upaya ketahanan perusahaan sesuai? Ini bukan latihan sekali
setahun lagi; sedang dipersiapkan adalah berkelanjutan, hari inand hari usaha.
Definisi Dan Akurasi The BCP Dan DR Tujuan. Telah persyaratan program 'sudah jelas dan sepenuhnya
didefinisikan oleh manajemen? Memiliki analisa bisnis-dampak yang luas telah selesai?Apakah teratur
diperbarui?
Cakupan Of The BCP Dan Rencana DR. Apakah semua proses bisnis yang penting telah diidentifikasi
dan rencana yang sesuai disusun? Apakah rencana memperhitungkan fi sien suf dari kebutuhan untuk
mempertahankan atau memulihkan infrastruktur pendukung (server IT dan jaringan,
misalnya)? Apakah rencana cukup '' rapi '' atau mereka penuh dengan proses non-esensial, sistem,
dan kegiatan? Yang signifikan kegiatan outsourcing cukup tertutup? Apakah mereka membutuhkan
validasi juga?
Manajemen Dari Setiap Sistem Atau Proses Perubahan. Tak pelak, changeswill diminta untuk
menerapkan BCP dan DR pengaturan. Apakah manajemen perubahan dikelola secara efektif untuk
memberikan jaminan terbaik bahwa perubahan dilacak dan dibahas dalam lingkungan hidup dan DR?
Robustness Of The BCP dan DR Pengujian Proses. manajer program harus menunjukkan kesiapan
organisasi, membangun manajemen kepercayaan diri, dan yang paling penting, memperkuat BCP dan
DR kemampuan organisasi; Apakah '' partisipasi masyarakat '' diidentifikasi, disetujui, dan dilacak
untuk memberikan jaminan terbaik bahwa latihan dan tes benar-benar hadir, dan bahwa hasil
tersebut memenuhi tujuan BCP dan DR Anda?

Rencana Pemeliharaan. Bagaimana proses perubahan manajemen yang membuat rencana up to date
diatur, bahkan sebagai perubahan organisasi? Apakah peran dan tanggung jawab yang dialokasikan
dalam organisasi untuk mengembangkan, menguji, dan memelihara BCP dan DR rencana?
BCP Dan Prosedur DR. Pertimbangkan prosedur dan pelatihan terkait, pedoman, dan sebagainya
untuk membuat manajer dan staf akrab dengan proses untuk mengikuti bencana.

Selain de fi ning apa aspek termasuk dalam ruang lingkup audit, sama pentingnya adalah bahwa
manajemen dan dewan mengklarifikasi setiap aspek yang keluar dari ruang lingkup - terutama
pertimbangan penting bahwa, untuk satu alasan atau lainnya, tidak akan dibahas di ini waktu (misalnya,
mungkin karena mereka akan diaudit secara terpisah). Sebuah bagian alami dari fase scoping adalah untuk
mengidentifikasi satu atau lebih sponsor manajemen untuk audit. Audit dilakukan untuk memperoleh
manfaat dari manajemen perusahaan bukan untuk tujuan audit sendiri, sehingga sangat penting untuk
mengetahui siapa yang akan menerima, menerima, dan bertindak berdasarkan laporan audit fi
nal. dukungan terang-terangan mereka untuk audit dapat membuat pekerjaan audit lebih mudah,
misalnya dengan menarik dan mendapatkan keterlibatan auditee sesuai.

Audit Perencanaan-Phase
Memiliki didefinisikan ruang lingkup, tim audit perlu untuk merencanakan audit dalam
keterbatasan sumber daya yang tersedia dari departemen audit dan dari bisnis secara
keseluruhan.keputusan Resourcing sebagian besar isiko berbasis, dengan mempertimbangkan faktorfaktor seperti pengalaman manajemen program, tingkat keterlibatan manajemen dalam upaya program,
ukuran dan kompleksitas program, dan efek potensial pada organisasi jika program gagal.
Ketersediaan auditor yang cocok, tentu saja, prasyarat. tim Audit menggabungkan bisnis dan TI
auditor direkomendasikan sedapat mungkin, karena BCP dan DR rentang kedua ladang keahlian.
Ini juga merupakan waktu yang baik untuk auditor untuk mengidentifikasi dan menghubungi
auditee utama. Mengamankan bantuan mereka dengan audit kerja lapangan lebih mudah jika mereka
memiliki kesempatan untuk mengomentari waktu dan sifat dari pekerjaan yang diperlukan - asalkan
kemerdekaan departemen audit dan objektivitas tidak terlalu terganggu dalam proses! Pendekatan Audit
juga perlu memutuskan selama perencanaan audit. Misalnya, akan itu layak untuk meninjau semua BCP
dan DR berencana, atau apakah perlu untuk sampel rencana?Jika demikian, atas dasar apa akan sampel
dipilih? Harus audit dari BCP dan DR upaya menjadi audit terpisah dan berbeda? (Bagi banyak organisasi
ini bisa masuk akal, karena mereka berdua kegiatan penting layak review terfokus dan komprehensif.)
Apakah audit dari kegiatan outsourcing dan rencana BCP andDR terkait perlu diselesaikan?
Kebanyakan auditor menghasilkan checklist audit pada tahap ini, mengubah ruang lingkup audit
yang disepakati menjadi serangkaian terstruktur tes audit yang mereka berencana untuk melakukan. Gaya
bervariasi, tetapi daftar periksa paling berguna bertujuan untuk memandu (bukan kendala) auditor,
karena luasnya pengujian audit yang diperlukan tergantung agak pada apa yang
ditemukan. Researchingwhat ini tersedia mengenai program audit, seperti biasa, dianjurkan. Dan tentu
saja, sebelum kerja lapangan dimulai, manajemen audit harus meninjau rencana audit dan daftar periksa
untuk memastikan bahwa semua isu-isu kunci diidentifikasi dalam lingkup havebeen diberikan suf
pertimbangan fi sien untuk memenuhi kebutuhan jaminan manajemen.

Audit-Penelitian lapangan Phase

Pada fase ini audit, auditor memeriksa program BCP dan DR berdasarkan tujuan dan metode
diputuskan dalam fase sebelumnya. BCP membantu organisasi untuk bertahan hidup bencana dengan
menjaga proses bisnis penting yang beroperasi selama krisis, sedangkan DR mengembalikan proses yang
kurang penting lainnya setelah krisis. pengujian audit selama kerja lapangan fase mengumpulkan bukti
memadai suf fi untuk menilai apakah program ini dapat memenuhi dua persyaratan dasar ini. tes
pemeriksaan program BCP dan DR mungkin termasuk yang berikut:

Mewawancarai pemangku kepentingan utama dan peserta dalam program;

Meninjau kasus-bisnis, planning-, dan IT-dokumen terkait;
Kurang lebih rinci meninjau dari BCP individu dan rencana DR, memeriksa bahwa mereka
adalah lengkap, akurat, dan up-to-date - misalnya, pengujian sampel rincian kontak untuk
pemain kunci untuk con fi rm apakah nomor telepon mereka benar;
Mencari de fi kali pemulihan ned dan apakah ada bukti bahwa mereka dapat dipenuhi;
Meneliti materi pelatihan, prosedur, pedoman, dan sebagainya, ditambah komunikasi
manajemen mengenai BCP dan situasi DR yang mungkin terjadi dan apa yang karyawan
harus melakukan;
Meninjau rencana pengujian dan hasil dari setiap tes yang sudah dilakukan;
Mengevaluasi kesiapan karyawan yang relevan dan keakraban dengan prosedur;
Meninjau dampak peraturan baru pada rencana; dan
Meninjau kontraktor dan penyedia layanan '' kesiapan '' upaya.

Rincian dari tes biasanya dicatat dalam daftar audit. Mereka disertai dengan fi le yang berisi bukti
audit yang sesuai, seperti salinan dijelaskan dari BCP dan DR rencana, hasil tes, dan bahan-bahan lain yang
auditor telah meninjau.

Analisis Audit Dan Pelaporan Tahap

pelaporan Audit adalah proses langsung, setidaknya dalam teori. Di sinilah auditor menganalisis
hasil tes mereka, merumuskan rekomendasi mereka, mempersiapkan, dan akhirnya menyajikan laporan
audit formal untuk manajemen. Dalam laporan tersebut, auditor menjelaskan:

Apa yang mereka ditetapkan untuk dilakukan. Ini bagian dari laporan akan memperkenalkan risiko
dan rekap lingkup audit;
Metode audit. Ini akan menjelaskan bagaimana auditor pergi tentang memenuhi tujuan;
Apa yang mereka temukan. Ini biasanya mencakup isu-isu kunci diidentifikasi, jika tidak penuh
rincian berdarah. Tidak semua temuan yang dilaporkan, tapi kadang-kadang membantu untuk
memberikan checklist audit selesai sebagai lampiran untuk laporan dan mengundang manajemen
untuk meninjau bukti audit jika ingin informasi lebih lanjut; dan
The rekomendasi. Ini akan memerlukan saran kepada manajemen tentang cara mengatasi masalah
diidentifikasi.

Dalam prakteknya, pelaporan audit yang bervariasi antara organisasi. Hal ini membutuhkan
keseimbangan antara prospek agak idealis dari beberapa auditor dan realitas mengelola organisasi
dengan sumber daya yang terbatas dan prioritas yang bersaing. Biasanya ada, proses berulang cukup
terlibat penyusunan, meninjau, dan mengoreksi laporan dan negosiasi rincian dengan manajemen untuk

mencapai hasil terbaik bagi organisasi. Pada akhir hari, itu adalah manajemen - tidak auditor - yang
bertanggung jawab untuk memutuskan, jika ada, perbaikan program BCP dan DR mereka berniat untuk
membuat dianjurkan. Proses audit memiliki keuntungan dari pengumpulan, pengujian, dan evaluasi bukti
audit oleh fungsi belum tertarik independen.Fakta-fakta dari masalah ini membawa banyak berat badan
dengan manajemen. Laporan audit harus menyajikan maksud dan tujuan dari audit, pendekatan audit,
dan uji dilakukan, peluang kunci untuk perbaikan, serta temuan rinci dan rencana aksi
manajemen. Sebuah deskripsi program BCP dan DR yang sebenarnya termasuk ruang lingkup, mandat,
peran, dan prestasi juga akan berguna dalam mendapatkan semua orang pada halaman yang sama
mengenai investmentsin organisasi BCP dan DR upaya.

Investasi Dalam Ketahanan

Auditor dapat membawa nilai yang cukup besar untuk sebuah organisasi dengan mengevaluasi
kedua IT dan aspek organisasi dari program BCP dan DR. Karena kegagalan program BCP andDR ketika
dibutuhkan adalah salah satu risiko tertinggi bahwa canface organisasi, penilaian independen auditor
internal 'dari program ini akan memberikan nilai yang jauh melebihi biaya audit ini.Manajemen harus
selalu mencari cara untukmeningkatkan BCP dan DR upaya program - yaitu, tidak hanya menunggu
audit. Audit Involveinternal dalam upaya program berkelanjutan, seperti desain dan pelaksanaan latihan
pengujian ofa. manajemen biasa '' penilaian diri '' harus didorong, dan pengujian komprehensif program
ini selalu sangat dianjurkan.
Perusahaan perlu mengambil perspektif ruang rapat untuk upaya Program BCP dan DR
mereka. Apa yang benar-benar harus di tempat untuk memastikan kelangsungan hidup organisasi?Dan
apakah Anda memiliki rencana dan program di tempat untuk berurusan dengan fi cantdisruption
signifikan untuk operasi? (Termasuk memberikan tanggung jawab dan akuntabilitas untuk upaya
kelangsungan bisnis, dan menyediakan program dengan sumber daya yang diperlukan untuk memberikan
bila diperlukan.) Intinya adalah apakah investasi Anda di resiliencyis tepat.langkah-langkah apa yang telah
dilaksanakan untuk melacak kemajuan Anda? Dan, akhirnya, adalah manajemen teratur menilai dan
memperbaiki organisasi '' kesiapan '' kemampuan dalam kejadian bencana?
Dipetik dari Kepatuhan Minggu. Artikel ini awalnya diterbitkan
Minggu. Direproduksi dengan izin dari Kepatuhan Minggu. Seluruh hak cipta.

dalam

Kepatuhan

Fasilitas siaga
Organisasi harus memastikan bahwa ia memiliki kontrak untuk fasilitas standby untuk mengambil
alih pengolahan dalam hal pusat komputer menjadi tidak dapat digunakan. Mungkin ada tiga jenis utama
dari kontrak siaga:
1. pusat standby Dingin. Satu mungkin baik:
mempertahankan fasilitas in-house di mana server mungkin dipindahkan atau
berlangganan fasilitas yang ada.
2. pusat siaga hangat. Berikut fasilitas akan tersedia dan menjadi fungsional dalam waktu cukup
singkat.
3. pusat standby Hot. Fasilitas ini, menjadi metode yang paling mahal, diatur dengan salinan fi les
didedikasikan untuk sistem yang bersangkutan dan dapat beroperasi pada saat itu. pusat panas dan
hangat dapat diberikan oleh pemasok yang sesuai dan lagi willdepend tingkat respon pada sejauh

mana pengolahan sangat penting untuk organization.Whenever

bencana terjadi, pertimbangan harus diberikan untuk menghubungi
masing-masing pihak terkait dan satu dapat membentuk komite
bencana formal yang telah diberitahu dengan baik dan dilatih. Sumber
daya yang dikeluarkan dalam memulihkan informasi yang akan
tergantung pada banyak faktor karena informasi yang mungkin
penting, penting atau hanya berguna. faktor yang relevan adalah:
Restorasi kecepatan Frekuensi penggunaan pentingnya Biaya relatif
Dampak pemulihan undang-undang Tersedia metode pemulihan
Sumber informasi Rencana bencana standar harus mencakup item
yang ditunjukkan pada Gambar 7.28.

Koordinator Bencana
Hal ini diperlukan untuk menunjuk seorang koordinator
bencana untuk menyusun rencana, menguji dan mengawasi
pengaturan. Persyaratan ini harus dibangun ke dalam deskripsi
pekerjaan dari manajer IS dan merupakan bagian dari penilaian
kinerja. Rencana aksi bencana harus diuji secara berkala dan peserta harus memenuhi setidaknya sekali
setahun untuk membahas pengaturan saat ini dan isu-isu. Rencana tersebut harus bedirected terutama
pada sistem-prioritas tinggi yang telah diidentifikasi melalui penilaian proses ofrisk formal. Peran IS
auditor dalam perencanaan bencana adalah untuk:

Sebaiknya rencana di tempat;

secara independen menguji rencana ini;
meninjau kontrak dengan pemasok fasilitas bersama dengan pengaturan tender;
meninjau sejauh mana rencana tersebut dipahami oleh semua peserta;
menyarankan komite bencana pada setiap implikasi keamanan yang mungkin perlu
ditangani.

Dalam keadaan darurat, kemanfaatan operasional cenderung lebih diutamakan daripada hal-hal
kontrol dan memotong pendek dapat diambil oleh manajemen. Kontrol utama dalam situasi ini adalah
thepresence kunci perwira yang dapat bertanggung jawab untuk otorisasi tindakan yang diperlukan
apapun. Ini mungkin termasuk pembebasan pemeriksaan sistem kreditur besar dari lokasi siaga terpencil,
atau, dalam hal ini, cek tulisan tangan. Pertimbangan utama lainnya adalah cara tanggung jawab terletak
di seluruh organisasi. Manajer IS harus diminta untuk membuat rencana kontingensi. Para peserta akan
termasuk orang-orang yang mengotorisasi penggunaan aplikasi penting seperti sistem penggajian,
kreditor, dan pendapatan. Dengan sistem terdistribusi, banyak aplikasi yang dikontrol oleh pengguna
akhir yang harus terwakili dalam komite perencanaan bencana. Untuk memaksa keputusan pada peran
dan tanggung jawab, harus ada forum tingkat yang lebih tinggi yang akan mendorong rencana terkait ke
dalam mekanisme pengambilan keputusan eksekutif, dipimpin oleh kepala eksekutif. Ini adalah praktik
yang baik untuk audit internal untuk menyajikan laporan ke forum ini yang mungkin highlevel sebuah IS
kemudi kelompok. Teknik lain adalah untuk memastikan komite audit dibuat sadar apa pun yang dapat
mengganggu pengaturan darurat. Dalam masa kendala finansial, anak hal-hal seperti perencanaan
bencana dapat mengambil kursi belakang. Ini tidak berarti bahwa bencana tidak akan terjadi dan sistem
untuk mengelola mereka harus tunduk mengaudit penutup. The IIA.UK & Irlandia panduan untuk IT saat

ini praktek Disaster Recovery con fi rms terbaik dengan menyarankan checklist aspek yang harus
dipertimbangkan oleh auditor selama review dari proses kontingensi dan perencanaan bencana:

Apakah organisasi mengambil perencanaan kontingensi serius dan ini ditunjukkan byboard /
komitmen manajemen puncak?
Bagaimana tanggung jawab ditugaskan untuk kegiatan ini?
Apakah pendekatan berbasis risiko telah digunakan untuk mengidentifikasi sistem kunci dan
prioritas untuk pemulihan?
Memiliki organisasi langkah-langkah pencegahan dianggap mengurangi risiko bencana Andare
ini dianggap tepat untuk risiko?
Apakah opsi pemulihan dianggap dalam kasus bencana besar dan telah tersebut telah
didokumentasikan dalam perencanaan kontingensi dan pemulihan bencana rencana tertulis?
Apakah gelar yang tepat pengujian dilakukan dan merupakan output dari pengujian yang
digunakan untuk meningkatkan rencana?
Apakah prosedur yang tepat telah ditetapkan untuk pemeliharaan dan pemutakhiran rencana?
Apakah salinan rencana dan setiap signifikan dokumentasi lainnya disimpan dengan aman?

Ketahanan operasional: The Next Bisnis Prioritas!

Oleh Dan Swanson, Kepatuhan Minggu Kolumnis
Memastikan bahwa organisasi dapat pulih dari bencana merupakan kebutuhan bisnis dasar
dewan harus mengeksplorasi secara teratur dengan manajemen. Saat ini, perusahaan terkemuka yang
mengambil persyaratan ini dan mengubahnya menjadi strategicadvantage sebuah: Yakni, investasi pada
ketahanan operasional membantu organisasi untuk menjadi lebih responsif terhadap kebutuhan klien
serta meningkatkan kehandalan operasional, kualitas, dan efisiensi. Ini upaya Anda harus merangkul,
juga. ketahanan operasional mencakup pantai besar, dan disepakati secara universal definisi dari terus
menjadi sulit dipahami. Untuk beberapa, fokusnya adalah murni pada kemampuan pemulihan IT,
whereinvestments dalam jaringan dan perangkat lunak redundansi adalah prioritas. Bagi orang lain
(manajer usuallybusiness), itu berarti memperkuat kemampuan pemulihan unit bisnis, yang membawa
fokus ke rencana kesinambungan bisnis. Untuk yang lain (eksekutif senior dan anggota dewan), itu
kemampuan organisasi untuk menanggapi keadaan darurat dan memenuhi kebutuhan klien. Saya percaya
ketahanan operasional mencakup semua hal di atas.
Sebagai perusahaan menghadapi bisnis dan operasional lingkungan yang semakin kompleks,
fungsi-fungsi seperti keamanan dan kelangsungan usaha tetap berkembang; memang, mereka perlu terus
berkembang. Hari ini, sukses program keamanan dan kelangsungan usaha (BCP) baik mengatasi masalah
teknis yang terlibat dan berusaha untuk mendukung upaya organisasi untuk meningkatkan dan
mempertahankan tingkat yang memadai ketahanan operasional. upaya ketahanan operasional mengatasi
risiko operasional dengan mengidentifikasi masalah operasional potensial dan meningkatkan proses dan
sistem yang digunakan; itu adalah bagaimana operasional masalah arereduced dalam jangka panjang.
Mampu melanjutkan fungsi bisnis yang penting ketika menanggapi bencana besar, dan kemudian
kembali ke operasi yang normal secara efisien dan kohesif setelah itu, merupakan faktor penentu
keberhasilan untuk semua organisasi. Efektif kesinambungan bisnis dan pemulihan bencana (DR) program
sangat penting dan telah menjadi biaya yang diperlukan untuk melakukan bisnis. Mereka harus mendapat
perhatian manajemen yang memadai dan dukungan jika perusahaan adalah untuk bertahan hidup dan

tetap kompetitif dalam situasi pasca-bencana. Tujuan dari program BCP dan DR adalah untuk
mempersiapkan organisasi untuk mengatasi lebih efektif dengan gangguan besar. manajer bisnis
berencana tanggapan mungkin di muka kejadian yang sebenarnya (atau insiden), bukan hanya
menanggapi dalam panas saat. perencanaan ini meningkatkan kualitas dan konsistensi respon - yang
membuat operasi tangguh untuk gangguan - terlepas dari orang yang mengeksekusi rencana.
Mengambil upaya ini ke tingkat berikutnya, manajemen perlu meningkatkan budaya operasional,
proses, dan sistem, dengan memperkuat keandalan dan efisiensi dari masing-masing. Program ketahanan
operasional organisasi harus upaya payung; yaitu, harus memberikan dukungan dan bimbingan untuk
keamanan organisasi informasi, BCP, DR, dan upaya program manajemen darurat. Pertanyaanpertanyaan berikut harus dipertimbangkan sebagai bagian dari upaya untuk meningkatkan ketahanan
operasional:

Apakah keamanan dan kegiatan usaha kontinuitas direncanakan secara terkoordinasi organisasi
Anda, atau mereka tampil di silo? Apakah mereka dipandang sebagai teknis daripada kegiatan
bisnis?
Dapatkah Anda secara aktif mengelola ketahanan operasional, atau apakah Anda biasanya bereaksi
peristiwa mengganggu karena terjadi?
Apakah Anda tahu apakah praktik keamanan dan kelangsungan usaha Anda telah menerapkan
efektif? Apakah Anda menguji mereka? Apakah mereka mendukung pencapaian tujuan strategis
organisasi dan misi?
Dapatkah Anda mengukur keberhasilan kegiatan keamanan dan kelangsungan bisnis
Anda? Dapatkah Anda konsisten mengulangi dan mempertahankan bahwa keberhasilan dalam
jangka panjang? Apakah Anda mengacu kegiatan Anda terhadap orang lain dalam industri Anda,
atau terhadap pedoman independentthird pihak?
Apakah Anda memiliki dasar dari yang untuk terus meningkatkan upaya keamanan andbusiness
kelangsungan Anda?

Sumbangan Audit internal

audit internal keamanan informasi, program BCP, dan DR sangat dianjurkan, dan seperti yang
disebutkan, telah dibahas dalam kolom sebelumnya. Dewan dan manajemen memerlukan jaminan
mengenai efektivitas upaya mereka, dan mereka juga perlu jaminan bahwa perusahaan sedang
membangun yang lebih efisien dan operasi yang efektif. Selama setiap proyek audit internal, auditor harus
mempertimbangkan termasuk evaluasi upaya unit bisnis menjadi lebih efisien dan efektif, dan khususnya
apa inisiatif yang sedang dilaksanakan untuk meningkatkan ketahanan operasional. Seiring waktu, fokus
audit internal pada menilai upaya manajemen untuk membuat operasi lebih dapat diandalkan akan
mendukung upaya perusahaan untuk meningkatkan proses dan sistem perusahaan-lebar. Aspek-aspek
berikut umumnya layak dipertimbangkan ketika scoping audit dari upaya ketahanan operasional:

Secara keseluruhan tata kelola program. Bagaimana ketahanan operasional yang didorong? Apakah
program ini diberikan arah strategis yang tepat dan investasi? (Artinya, apakah tempat organisasi
mencukupi penekanan pada perbaikan operasional?) Apakah sponsor cocok dan pemangku
kepentingan yang terlibat, yang mewakili semua bagian penting organisasi? Apakah mereka
mengambil suf bunga fi sien dalam program ini, menunjukkan dukungan mereka melalui keterlibatan
dan tindakan? Dan yang paling penting dari semua, yang bertanggung jawab untuk keberhasilan atau
kegagalan program '?

manajemen program yang sedang berlangsung. Faktor keberhasilan kritis dalam setiap usaha BCP
dan DR adalah cara di mana program yang direncanakan dan didorong, memastikan bahwa mereka
memenuhi tujuan meskipun tak terelakkan prioritas yang bersaing perusahaan. Apakah
pertimbangan keseimbangan pengelolaan program dari banyak saling bertentangan
prioritiesmanagers wajah dengan kebutuhan penting bahwa upaya ketahanan perusahaan
sesuai? Ini bukan latihan sekali-a-tahun lagi; sedang dipersiapkan adalah berkelanjutan, hari-in dan
usaha sehari-out.
Pengelolaan sistem atau proses perubahan. Evaluasi ketahanan operasional pasti menghasilkan
sistem dan perbaikan proses. Apakah manajemen perubahan ditangani secara efektif untuk
memberikan jaminan terbaik bahwa hasil perbaikan yang manfaat resmi dan kehandalan operasional
yang terjadi?

A Long-Term Investment
Perusahaan yang ingin menerapkan budaya perbaikan terus-menerus harus fokus pada
peningkatan ketahanan operasional sistem kunci dan proses. audit internal harus memperkuat tujuan ini
dengan mengevaluasi kedua seluruh perusahaan dan upaya unit bisnis individu untuk mengatasi risiko
operasional dengan meningkatkan operationalprocesses dan sistem. Membangun organisasi tangguh
Dibutuhkan pandangan jangka panjang dan investasi terus-menerus dari waktu dan sumber daya
manajemen, dan organisasi terkemuka melakukan ini. Akhirnya, menyadari apa yang penting untuk
pelanggan Anda adalah penting untuk keberhasilan Anda.
Dipetik dari Kepatuhan Minggu. Artikel ini awalnya diterbitkan
Minggu. Direproduksi dengan izin dari Kepatuhan Minggu. Seluruh hak cipta.

dalam

Kepatuhan

Perlindungan data
Perlindungan Data (DP) Act 1998 berarti bahwa 1984 DP Act sekarang berlaku untuk data manual
serta data yang dimiliki pada komputer. Delapan prinsip di bawah Undang-Undang DP 1998 adalah
sebagai berikut:

Prinsip Pertama. Data pribadi harus diproses secara adil dan sah dan, khususnya, tidak akan diproses
kecuali kondisi tertentu terpenuhi.
Prinsip kedua. Data pribadi harus diperoleh hanya untuk satu atau lebih spesifik ed dan tujuan sah,
dan tidak akan diproses lebih lanjut dengan cara yang tidak sesuai dengan tujuan itu atau tujuan
mereka.
Prinsip Ketiga. Data pribadi harus memadai, relevan dan tidak berlebihan dalam kaitannya dengan
tujuan atau tujuan yang mereka diproses.
Prinsip Keempat. Data pribadi harus akurat dan, jika perlu, terus up to date.
Prinsip Kelima. Data pribadi diproses untuk tujuan atau tujuan tidak akan disimpan lebih lama dari
yang diperlukan untuk tujuan itu atau untuk tujuan mereka.
Prinsip Keenam. Data pribadi harus diproses sesuai dengan hak-hak subyek data di bawah UndangUndang ini.
Prinsip Ketujuh. langkah-langkah teknis dan organisasi yang tepat harus diambil terhadap pengolahan
tidak sah atau melanggar hukum data pribadi dan terhadap kehilangan atau kerusakan, atau
kerusakan, data pribadi.

Prinsip Kedelapan. Data pribadi tidak akan ditransfer ke negara atau wilayah di luar Area Ekonomi
Eropa kecuali bahwa negara atau wilayah menjamin tingkat yang memadai perlindungan terhadap
hak-hak dan kebebasan subyek data dalam kaitannya dengan pengolahan data pribadi.
hak individu di bawah undang-undang yang tercantum:

hak akses
hak untuk mencegah pengolahan mungkin menyebabkan kerusakan atau tekanan
hak untuk mencegah pengolahan untuk pemasaran langsung
tepat dalam kaitannya dengan otomatis pengambilan keputusan
hak untuk kompensasi
recti fi kasi, memblokir, penghapusan dan kerusakan
permintaan untuk penilaian.
subjek tmay diminta untuk membayar biaya akses yang ditetapkan oleh theo rganization dan subjek
mungkin mengeluh kepada Panitera. DP Act menggunakan istilah yang memiliki makna yang tepat:
data pengguna - ini adalah pihak yang memegang data.
Pengolahan - ini termasuk mengubah atau menghapus data.
Data Pribadi - ini mencakup data dari yang individu yang hidup mungkin diidentifikasi. Ini termasuk
ekspresi pendapat, misalnya, X adalah utang buruk, tapi bukan pernyataan niat, misalnya, "Kami tidak
akan memberikan kredit kepada X. ' Sementara itu, ada beberapa pengecualian dari akses, dan data
pribadi dapat diakses dalam keadaan tertentu:

Untuk keamanan nasional untuk kepentingan

nasional

Untuk hak istimewa tujuan back-up Hukum dan

profesional

Untuk Departemen pengumpulan pajak dari

catatan Jaminan Sosial

klub unincorporated Untuk tujuan akuntansi

Untuk membayar dan pensiun

statistik penelitian dengan tidak ada nama

Dengan sanksi dari Menteri Dalam Negeri
data pribadi dapat diungkapkan dalam keadaan tertentu:

untuk alasan keamanan nasional;

dengan izin dari subjek data;
ke biro komputer (dan audit internal) sebagai bagian dari pekerjaan mereka;
untuk mencegah atau mendeteksi kejahatan;
untuk statistik penelitian - tidak ada nama yang disebutkan;
untuk tujuan penggajian dan akuntansi;
jika diperlukan oleh hukum atau oleh perintah pengadilan;
untuk mencegah kerusakan atau cedera pada seseorang.

Ada beberapa pelanggaran di bawah UndangUndang:

1. memberikan informasi palsu atau menyesatkan
2. menghalangi orang yang memiliki surat perintah
untuk masuk dan inspeksi
3. tidak sesuai dengan pemberitahuan penegakan
4. tidak mempertahankan alamat daftar sekarang
5. melanggar persyaratan pendaftaran.
Proses penegakan melewati derajat keparahan,
per Gambar 7.29.

Apakah Anda Melindungi Aset Digital Anda?

Oleh Dan Swanson, Kepatuhan Minggu Kolumnis
Menjaga aset telah menjadi tujuan penting dari semua organisasi selama berabad-abad. Dalam
era digital saat ini namun, apa menjaga aset Anda benar-benar berarti? Siapa yang bertanggung jawab
untuk itu? Dan bagaimana '' perlindungan '' benar-benar tercapai. Kerangka COSO manajemen risiko
perusahaan mengakui pentingnya menjaga aset sebagai komponen implisit pengendalian internal yang
efektif. landmarknya 1992 kerangka bahkan de fi pengendalian internal ned sebagai: '' [A] proses ...
dirancang untuk memberikan keyakinan memadai tentang pencapaian tujuan dalam kategori berikut:
efektivitas dan efisiensi operasi; kehandalan keuangan pelaporan; dan kepatuhan terhadap hukum dan
peraturan yang berlaku. ''
Anda tidak dapat memberikan jaminan yang wajar dari operasi atau pelaporan keuangan kecuali
Anda tahu apa aset Anda, di mana mereka berada, dan siapa yang melakukan dengan mereka. Anda perlu
tahu aset Anda dilindungi. Sebelum tahun 2000, melindungi aset organisasi terutama terdiri dari
pengamanan fisik, manajemen aset (misalnya, mengambil persediaan barang Anda), dan pemantauan
nilai aset. Meskipun praktek ini masih penting dalam lingkungan bisnis saat ini, proses tambahan,
prosedur, dan kontrol yang diperlukan untuk melindungi aset informasi kami. persentase yang tinggi dari
nilai pasar sekarang dicatat dengan aset tidak berwujud kekayaan intelektual, reputasi, brand, dan catatan
elektronik, informasi adalah sumber daya bisnis penting. Dan, seperti dengan aset fisik di masa pascaindustri sebelumnya, kerentanan berharga aset informasi saat ini untuk pencurian atau kriminal lainnya
telah membuat perlindungan aset seperti hal yang mendesak besar untuk semua organisasi.

Siapa yang Bertanggung Jawab Informasi Perlindungan Aset?

Sementara informasi kepala keamanan perwira dan kepala keuangan dari perwira merupakan
pemain penting mengenai informasi perlindungan aset dan keamanan, mereka tidak '' wali '' aset
informasi kritis organisasi. Misalnya, rumah sakit, CFO tidak bertanggung jawab untuk menjaga catatan
pasien; di perusahaan asuransi, mereka bukan wali catatan pemegang polis. Di sektor farmasi atau
teknologi, mahkota permata perusahaan (kekayaan intelektualnya) tanggung jawab langsung dari CFO
atau CISO.

Semua bentuk data memiliki biaya terkait dan digunakan untuk menghasilkan pendapatan
(tagihan, biaya tahunan, royalti), dimana CISO memiliki pengawasan utama. The CISO pada gilirannya
harus memastikan integritas rantai balak menegakkan aturan yang berlaku untuk manajer kunci dan peran
petugas yang berwenang lainnya sebagai hari-hari '' wali. '' Singkatnya, pengendalian internal dipengaruhi
oleh orang-orang setiap tingkat dari organisasi. Bahkan, banyak manajer yang lebih langsung bertanggung
jawab untuk hari-hari perlindungan aset dari CISO atau CFO.

Apakah Implikasi?
Menangani pertanyaan-pertanyaan ini akan membantu menentukan implikasi penting dari
bagaimana melindungi aset digital Anda dan apa tindakan untuk mengambil.

Apakah informasi sistem manajemen keamanan organisasi menjadi penting untuk pengamanan
catatan keuangan CFO? Akan sistem-sistem muncul sebagai thekey berarti mengamankan aset
organisasi?
Akan CFO dan staf fi nance perlu memahami dan menerapkan langkah-langkah perlindungan aset
informasi efektif dalam peran mereka mendukung wali aset organisasi?
Akankah kita membutuhkan bimbingan lebih lanjut tentang definisi, klasifikasi, dan perlindungan aset
informasi?
Akan CISOs perlu bekerja lebih erat dengan dan mendidik fungsi fi nance (dan semua departemen
operasi, benar-benar) tentang bagaimana menerapkan terbaik perlindungan informasi dan keamanan
Program berkelanjutan? Jika organisasi membangun fungsi pengelolaan data dan tata kelola data
yang kebijakan, standar, dan prosedur? Kedua fungsi dan tata kelola bisa yang dipimpin oleh seorang
manajer senior melaporkan kepada kepala operasi perwira atau chief executive officer. Apa peran (s)
bisa informasi kepala cer fi mengambil perlindungan informasi?
Akan Dewan dan CEO perlu memberikan lebih banyak di jalan harapan?
Akan audit internal dan audit eksternal menghabiskan lebih banyak sumber daya pada evaluasi
perlindungan semua aset organisasi, fisik dan digital?
Fungsi audit internal dalam kebutuhan tertentu untuk berpikir lebih strategis tentang keamanan
perusahaan-lebar dan memastikan bahwa manajemen risiko perusahaan-lebar adalah tema
membimbing untuk memprioritaskan upaya organisasi.

Pertanyaan Besar: Apa yang Harus Kita Lakukan?

Pertama, manajemen puncak harus mengadakan dewan eksekutif kepala-tingkat termasuk CEO,
CFO, CIO, CISO, CAE (chief executive Audit), dan kepala lainnya termasuk kepatuhan, manajemen risiko,
dan semua bidang bisnis yang memiliki, memelihara, menggunakan, atau mengandalkan informasi. Para
anggota paling senior dari dewan ini harus memastikan semua anggota memahami ketergantungan kritis
pada keamanan informasi dan keuangan, peraturan, sosial, dan dampak lain yang dapat menimpa
organisasi jika informationsecurity dilanggar. Pemahaman ini harus dinyatakan dalam istilah bisnis nonteknis untuk memastikan semua orang kompeten memahami tingkat (s) risiko organisasi dapat dan tidak
dapat menerima berkaitan dengan melindungi aset informasi. Hanya dengan tingkat komprehensif
pemahaman manajemen sumber daya memastikan didedikasikan untuk keamanan informasi dapat
sejalan dengan kekritisan perlindungan yang dibutuhkan oleh organisasi.
Sebagai langkah berikutnya, ini dewan C-level harus kolektif memastikan solusi keamanan
resourcesand di tempat yang tepat untuk mengelola risiko usaha dalam batas-batas persyaratan eksternal

dan nafsu makan bisnis untuk risiko. Dan pemantauan keamanan harus memastikan tingkat perlindungan
akan tetap berada di placeand berfungsi. The bottom line: Manajemen puncak harus menerapkan
program manajemen keamanan informasi yang benar-benar pengamanan seluruh aset organisasi.
Organisasi yang belum melakukannya sudah harus segera:

Diskusikan keamanan informasi dengan papan dan manajemen senior, memastikan pemahaman
mereka tentang risiko utama dan memperoleh dukungan mereka untuk kontrol yang diperlukan;
investasi Tautan keamanan dan resourcing dengan prioritas bisnis inti dan hasil riskassessment;
Leverage yang standar keamanan, bimbingan, dan praktek dan mendefinisikan sistem manajemen
keamanan informasi organisasi yang ada;
Secara eksplisit menetapkan tanggung jawab dan akuntabilitas untuk melindungi aset informasi
di seluruh organisasi;
Tinjau ulang IT dan strategi terkait untuk menyelaraskan upaya bisnis dan TI, dan memastikan
bahwa persyaratan keamanan informasi yang menyeluruh secara eksplisit de fi ned;
Inventarisasi dan mengklasifikasikan informasi organisasi: Identifikasi itu, menetapkan wali bisnis
untuk itu, dan menentukan cara terbaik untuk melindunginya berdasarkan hasil penilaian risiko;
Menerapkan praktik keamanan umum dan solusi untuk memenuhi kebutuhan bisnis dan
mematuhi pernah memperluas persyaratan kepatuhan terhadap peraturan;
Mengidentifikasi peluang perbaikan terus-menerus dan memprioritaskan mereka, dan kemudian
berinvestasi dalam meningkatkan ketahanan operasional organisasi;
Memperkuat program kelangsungan bisnis;
Con angka keamanan ke kedua proses bisnis dan mendukung sistem TI, untuk memperkuat
praktik keamanan teknis dan prosedural;
Sertakan '' Perlindungan Aset di Era Digital '' sebagai salah satu item pembahasan dalam kinerja
bisnis Ulasan pertemuan kuartalan, dan mengembangkan rencana aksi untuk perbaikan yang
diperlukan.

Kita harus membangun keamanan ke dalam dan di semua upaya organisasi. The CISO dan CFO
masing-masing memiliki mandat untuk bekerja dengan pemain perusahaan kunci lainnya - dan terutama
wali bisnis aset informasi - untuk memastikan perlindungan aset yang efektif. Ini adalah de fi nitely
tanggung jawab bersama oleh berbagai pemain di seluruh organisasi.Pertanyaannya adalah, apakah para
pemain bekerja sama untuk memastikan perlindungan aset yang efektif? Atau apakah mereka bekerja
pada tanggung jawab penting ini dalam silo, sehingga hal-hal jatuh antara celah-celah? Apakah kita juga
menangani perlindungan informasi dalam semua kegiatan outsourcing yang begitu umum hari ini?
Para pemimpin juga perlu memastikan bahwa semua vendor, pemasok, dan pihak ketiga lainnya
bertanggung jawab untuk melindungi informasi yang digunakan dalam kegiatan outsourcing termasuk
dalam campuran perlindungan aset informasi dan tindakan keamanan.
Sebagai seorang rekan baru-baru ini menunjukkan, kita perlu menjauh dari keuangan,
operasional, dan berpikir teknologi dan keputusan terhadap metodologi berpikir kritis dimaksudkan untuk
memaksimalkan manfaat bagi perusahaan secara keseluruhan, tidak subunit itu. Yang didasarkan pada
penilaian risiko perusahaan-lebar dan manajemen. Apakah semua aset organisasi Anda tepat dilindungi
di era digital? Saya sarankan membuat ini menjadi topik diskusi pada pertemuan komite manajemen
berikutnya, atau lebih baik lagi, meletakkannya di agenda dewan. Nada yang efektif di atas dimulai dengan
manajemen puncak dan dewan mengambil tindakan untuk menerapkan kontrol keamanan yang sesuai.

Dipetik dari Kepatuhan Minggu. Artikel ini awalnya diterbitkan

Minggu. Direproduksi dengan izin dari Kepatuhan Minggu. Seluruh hak cipta.

dalam

Kepatuhan

Teknik Audit dibantu komputer (CAATs)

auditor internal dibebankan dengan
mengamankan suf bukti fi sien untuk mendukung
temuan audit mereka dan ada gunanya, bukti ini
harus dapat dipercaya. Auditor perlu menguji
kontrol otomatis dan memilih dan transaksi tes
yang diselenggarakan pada komputer fi les. Untuk
mengekstrak bukti yang diperlukan dan memenuhi
dua tujuan tersebut perlu bagi auditor untuk
masuk ke dalam sistem (yaitu komputer) dan
mengamankan semua data otomatis. Hal ini terjadi
selama pengujian rutin di mana kontrol sedang
diuji baik untuk kepatuhan atau untuk
efektivitas.Karena posisi khusus auditor dalam
organisasi dan kebutuhan untuk mengasumsikan
tingkat kemandirian, tidak disarankan untuk
mengandalkan manajemen untuk memberikan semua bukti yang diperlukan. Ini idealnya harus diekstrak
oleh auditor, dan fakta bahwa hal itu mungkin akan diadakan pada media magnetik tidak akan
mempengaruhi ini. Auditor kemudian harus menggunakan fasilitas otomatis untuk membantu audit
operasi komputerisasi dan ini adalah CAATs. Proses untuk menerapkan paket interogasi audit
diilustrasikan pada Gambar 7.30.
audit internal harus memastikan bahwa mereka
memiliki akses penuh ke semua sistem organisasi dan
bahwa akses ini tersedia dari dalam mereka kantorkantor. Download adalah fasilitas lain yang harus tersedia di
mana data yang relevan dijamin oleh auditor untuk impor
menjadi interrogationpackage cocok. data otomatis harus
tunduk mengaudit pengujian seperti sumber informasi lain
yang. Hubungan antara data uji dan fasilitas penyelidikan
dapat diilustrasikan seperti pada Gambar 7.31.
CAATs harus digunakan untuk mencapai tujuan
kontrol dan ini cenderung berlaku untuk berbagai rutinitas
pengujian bahwa auditor mungkin telah dirancang. Kita
seharusnya tidak membangun atau memperoleh
seperangkat teknik canggih mencari masalah yang cocok untuk memecahkan. Dalam memilih teknik yang
paling tepat untuk menggunakan auditor dapat mempertimbangkan sejumlah faktor:

tingkat jaminan bahwa auditor memerlukan;

tingkat keahlian teknis yang tersedia untuk departemen audit;
pentingnya sistem;
apakah review adalah satu-off atau masalah berkelanjutan;

waktu set-up dan biaya;

pendekatan audit yang dianut;
tingkat kemandirian yang diperlukan;
waktu dan biaya pemeliharaan teknik;
kompleksitas tes audit.

software interogasi, seperti namanya, dapat digunakan untuk menganalisis data yang didownload
dari komputer fi les. Hal ini penting ketika menerapkan tes berjalan-melalui, tes kepatuhan tes
andsubstantive. Di mana paket seperti IDEA diterapkan auditor komputer dapat:
1. pilih transaksi dari fi le sebagai download;
2. ekstrak pengecualian untuk perhatian khusus - kita dapat mencari keanehan, item luar fi de berbagai
ned, duplikasi, barang yang hilang dari urutan nomor, penyimpangan, medan yang tidak valid dan
segera;
4. membuat analisis frekuensi dan pola dengan tujuan untuk mengisolasi bidang yang menjadi
perhatian;
5. Data mengelompokkan;
6. Data 5. memvalidasi;
7. audit buat ulang;
8. item sorot tidak sesuai dengan aturan sistem, tidak masuk akal, kepentingan audit, atau pengolahan
digandakan;
9. menggunakan ini untuk menipu fi rm bahwa sistem ini tidak bekerja, masukan yang salah atau yang
pengolahan yang salah.
Hal ini berguna dengan volume data yang tinggi, kurangnya audit trail, transaksi yang dihasilkan
komputer, kurangnya hasil cetakan, atau lingkungan paperless. auditor dapat mempertanyakan apakah
manajemen harus memiliki akses ke dan akan menggunakan informasi yang dihasilkan khusus tersebut
dan ini dapat menjadi audit fi nding. Data uji dapat digunakan untuk menciptakan jenis transaksi yang
sistem akan memproses dan menguji fungsi yang benar dari kontrol sistem. Hai untuk dicatat mengenai
penggunaan data uji:

untuk menguji logika pengolahan;

untuk menguji operasi yang benar dari kontrol;
untuk menguji algoritma dalam program;
tidak perlu bergantung pada produksi normal run;
hanya dapat menguji kontrol yang terbentuk sebelumnya yang didokumentasikan.

Ada cara alternatif yang menguji data yang dapat diterapkan:

1. pengolahan Hidup / data hidup. Data yang sesuai dengan persyaratan tes harus ditemukan
dengan memilah data input.
2. Data Dummy / pengolahan hidup. Sebuah tingkat yang lebih tinggi jaminan akan diperlukan
untuk meniadakan korupsi dengan penyesuaian manual dan jurnal. Ini harus didiskusikan dengan
manajer IS terlebih dahulu.
3. Data Dummy / pengolahan dummy. Hal ini dapat mencakup semua fitur dari data. Hal ini
dijalankan terhadap salinan fi les dan program sehingga tidak mengganggu proses. Program
boneka mungkin, bagaimanapun, menjadi usang dan perlu dipertahankan.

4. Uji Generator data. Hal ini menciptakan volume besar data uji melalui perangkat lunak
utilitas. Bukti yang dihasilkan komputer dapat digunakan di pengadilan jika aturan-aturan
tertentu yang dipatuhi:

kasus perdata

Informasi ini berasal dari data yang diberikan ke komputer.

Komputer bekerja dengan benar dan secara teratur digunakan untuk tujuan tersebut.
Data teratur disediakan.
Bukti harus secara hukum diterima.

kasus kriminal

Tidak ada alasan untuk komputer yang tidak akurat dan kesalahan dalam komputer tidak
mempengaruhi data.
A fi cate sertifikasi ditandatangani oleh yang bertanggung jawab perwira diperlukan, yang
mengidentifikasikan data dan thecomputer.
Bukti sesuai dengan hukum yang relevan.

aplikasi Auditing
Strategi IS, IS keamanan dan metodologi melalui sistem baru dan ditingkatkan dikembangkan dan
dibawa secara online semua berkontribusi terhadap lingkungan pengendalian untuk sistem
informasi. Lingkungan ini memastikan bahwa aplikasi seperti toko, pendapatan, pembayaran, proses
bisnis, manajemen kinerja, akuntansi finansial, penganggaran, pemesanan, sistem perencanaan dan
sebagainya diterapkan dengan cara yang terkendali. sistem informasi akan memiliki komponen dasar dari
input, proses dan output sebagai data dijabarkan ke dalam informasi, yang kemudian mendukung
pengambilan keputusan. Hal ini dimungkinkan untuk mengaudit aplikasi dengan mempertimbangkan
beberapa kontrol standar lebih input, proses dan output dan daftar kontrol tersebut dapat digunakan
untuk memastikan informasi yang lengkap, handal, resmi dan benar diproses dan disimpan. Perhatikan
bahwa cara terbaik untuk mengembangkan kontrol adalah untuk melakukan penilaian risiko dan
membangun solusi kontrol sekitar strategi manajemen risiko yang jelas yang membahas risiko fi kan lebih
signifikan. Sebuah daftar kemungkinan kontrol aplikasi berikut: Ada beberapa kontrol input dasar:
prosedur pengguna

enkripsi

pelatihan staf dan rekrutmen

software anti-virus

sidang disipliner dengan penghapusan instan

dari staf

Ganda keying dan verifikasi

Otorisasi

Pemisahan tugas
Kelengkapan, misalnya nomor bets
pembatasan akses fisik
kontrol Batch (jika perlu)
Firewall dan rutinitas otentikasi

masukan yang dirancang dengan baik dokumen

dokumen Turnaround

Kontrol total angka Sequential

e-transfer resmi Pengawas ulasan dan otorisasi

Validasi (display data setelah rutin) cek Akurasi

Dikontrol Pesan kesalahan tulis
Akses, keamanan dan password mengontrol
Panggil kembali untuk akses jarak jauh

Validasi - kisaran, format, kewajaran

kontrol pengolahan diatur dalam perangkat lunak aplikasi yang mendasari dan mencakup:

lebih dari aliran fl ags yang menunjukkan di mana kelebihan digit telah digunakan;
Kisaran cek - sehingga transaksi harus antara, katakanlah, 0 dan 20.000;
cek validitas - mengatakan, memeriksa bahwa kode yang benar telah digunakan;
Format cek - Pastikan item adalah baik alpha atau numerik;
cek kompatibilitas - memastikan bahwa lapangan konsisten digunakan;
pemeriksaan pengecualian - misalnya, lembur hanya diberikan kepada nilai tertentu perwira;
kontrol sistem kegagalan;
fi le identifikasi kontrol fi kasi;
run-to-menjalankan kontrol - misalnya, jumlah gaji kotor dari program Gross Pay harus menjadi
masukan untuk program Pay Net;
menduplikasi cek masukan;
urutan pemeriksaan pada penomoran berturut-turut;
digit cek;
pemeriksaan kelengkapan, misalnya, semua ladang tertutup dan semua data menyumbang;
program validasi keseluruhan;
rekonsiliasi medan terkait;
checkpointing - menyimpan transaksi pada titik tertentu dalam waktu;
rutinitas logis;
record count;
total kontrol;
hilang cek data;
cek limit;
prosedur pemulihan;
laporan pengecualian.

output kontrol meliputi:

Laporan cocok;
dokumen kerja;
dokumen referensi;
laporan kesalahan;
pengaturan keamanan yang baik untuk laporan sesuai dengan aturan DP;
prosedur manual untuk memastikan semua laporan mencapai tujuan mereka;
tampilan layar terbatas petugas yang berwenang;
prioritas output;
keamanan lebih alat yang berharga;
pemeriksaan independen atas semua output;

laporan hanya dikirim ke pengguna yang berwenang;

mekanisme untuk memastikan bahwa output diterima secara tepat waktu;
theappropriatemediaused;
format yang sesuai;
terencana kesalahan dan pengecualian laporan;
umpan balik pengguna untuk memastikan bahwa laporan tidak lagi dikirim di mana mereka tidak
digunakan;
jadwal kelengkapan output yang diharapkan;
data dengan cepat dikirim kembali ke mana pun diperlukan;
pengecualian diselidiki oleh jawab perwira;
semua output yang diharapkan diterima;
jejak transaksi yang memadai tersedia sehingga data dapat ditelusuri ke asli atau melalui sistem;
printer aman;
pembuangan dokumen dan laporan;
aturan tentang retensi dokumen otomatis dan penyimpanan;
laporan pengecualian;
penomoran halaman;
Shredders untuk limbah bersifat rahasia con fi.

Pendekatan audit tradisional untuk sistem informasi adalah typi fi ed oleh rim menganalisis
auditor dari cetakan komputer. Mengabaikan keberadaan manajemen komputer dan klien isrelied untuk
memberikan informasi auditor membutuhkan. Dalam keadaan di mana audit beroperasi secara
konsultasi, ini bisa diterima. Dalam kegiatan usahanya, maka perlu untuk mempertahankan tingkat
kemandirian dan mengadopsi garis yang lebih proaktif. auditor harus beable untuk berdiri kembali dari
manajemen dan mampu mengamankan informasi yang diperlukan. Ini baik dapat dilakukan melalui
penghubung dengan dukungan IS atau membangun fasilitas audit khusus ke dalam sistem pada tahap
pengembangan. Atau, departemen audit dapat mengembangkan Suite sendiri software untuk
mengekstrak data dan kontrol tes. IS audit kemudian datang ke dalam sendiri, tetapi jika ini tidak
ditangani, fungsi audit akhirnya akan menjadi terkunci dari systems.The komputerisasi organisasi IS
auditor harus menghabiskan waktu bekerja dengan auditor lainnya pada kebutuhan interogasi mereka
dan bagaimana data uji akan dikembangkan dan diterapkan.CAE harus memastikan bahwa hal ini terjadi
dan kebijakan thataudit membangun dalam masalah penting ini.

Audit Keamanan Informasi: Apakah Anda Protected?

Oleh Dan Swanson, Kepatuhan Minggu Kolumnis
Baru saja saya membaca bahwa banyak orang khawatir tentang kematian, terutama dengan cara
yang sangat menakutkan: ular berbisa atau laba-laba, atau bahkan serangan buaya. Artikel Thissame
mencatat bahwa berdasarkan dari fi statistik kematian resmi, sebagian besar peopleactually meninggal
akibat kronis kesehatan: serangan jantung, obesitas, dan penyakit lainnya yang dihasilkan dari perhatian
miskin untuk jangka panjang pribadi fi fitness. Pada tahun 2003, kematian disengaja di Amerika Serikat
berjumlah sekitar 100.000; kematian yang berhubungan dengan kesehatan kronis lebih dari 2,4
juta. Intinya adalah orang harus memusatkan perhatian mereka di thecorrect tempat ketika mereka
mempertimbangkan apa yang akan paling memengaruhi kualitas hidup mereka. Masalah yang sama
persis ada di organisasi mana dewan dan manajemen mustensure mereka membangun dan
mempertahankan kesehatan jangka panjang organisasi.Konsep ini juga berlaku ketika audit keamanan

informasi. Apakah program keamanan informasi Anda perlu pergi ke gym, mengubah pola makannya,
atau mungkin keduanya? Saya sarankan Anda mengaudit program Anda untuk fi nd keluar. Departemen
audit internal harus kesehatan evaluatethe perusahaan - yaitu, auditor internal harus mengevaluasi fungsi
kritis organisasi untuk keberlanjutan jangka panjang. Apakah upaya manajemen risiko mengidentifikasi
dan fokus pada risiko yang tepat? Apakah manajemen senior mendorong tingkat yang tepat dari
mengambil resiko dalam toleransi didefinisikan de fi? Apakah status quo menantang secara
teratur? Perusahaan isthe dianggap sebagai tempat yang baik untuk bekerja? Apa yang bisa membawa
organisasi ke bawah, dan langkah-langkah untuk mencegah atau mengurangi kemungkinan bahwa
(misalnya, dengan menjalankan skenario kelangsungan dan latihan)?
Untuk itu, audit internal harus memiliki pembicaraan rutin dengan manajemen dan dewan
mengenai upaya keamanan informasi organisasi. Apakah manajemen dan staf mengantisipasi kebutuhan
besok? Membangun organisasi '' kegiatan keamanan muscle''for kritis (pengembangan kebijakan,
kesadaran dan pendidikan, pemantauan keamanan, arsitektur keamanan, pengembangan kode aman,
penelitian dan pengembangan, dan sebagainya)? Apakah ada proses perencanaan keamanan andprogram
komprehensif? Apakah ada visi strategis, misi, rencana strategis, atau rencana taktis untuk keamanan
yang terintegrasi dengan bisnis? Dapat tim keamanan dan manajemen mempertahankan mereka sebagai
bagian dari melakukan sehari-hari kerja?Adalah program keamanan informasi difokuskan pada kebutuhan
perlindungan informasi penting organisasi, atau itu khawatir tentang kecelakaan? Apakah hasil dari upaya
keamanan dilaporkan secara teratur?

mengevaluasi Keamanan
Peran yang tepat dari audit internal mengenai keamanan informasi bervariasi antara perusahaan,
tetapi selalu memberikan kesempatan yang signifikan untuk audit internal todeliver nilai nyata bagi
dewan dan manajemen. auditor internal harus memainkan peran penting dalam memastikan bahwa
upaya keamanan informasi memiliki organisasi efek Onan positif dan melindungi organisasi dari
bahaya. Mengapa khawatir begitu banyak keamanan aboutinformation? Mempertimbangkan beberapa
alasan mengapa organisasi perlu untuk melindungi theirinformation:

Ketersediaan. Dapat organisasi Anda memastikan akses yang cepat untuk informasi atau systemsto
resmi pengguna? Apakah Anda tahu apakah informasi penting Anda secara teratur didukung-up dan
dapat dengan mudah dikembalikan?
Integritas data dan sistem. Papan dan komite audit percaya diri mereka dapat yakin bahwa informasi
ini belum diubah dalam unauthorizedmanner dan bahwa sistem bebas dari manipulasi tidak sah yang
couldcompromise kehandalan?
Con fi kerahasiaan data. Dapatkah Anda memberitahu pelanggan Anda dan karyawan bahwa
informasi non publik mereka aman dari akses yang tidak sah, pengungkapan, atau menggunakan?Ini
adalah fi signifikan risiko reputasi tidak bisa hari ini!
Akuntabilitas. Jika informasi telah diganggu, dapat Anda melacak tindakan untuk sumber mereka?

Audit keamanan informasi dapat mengambil banyak bentuk. Pada sederhana, auditor akan
meninjau rencana program keamanan informasi, kebijakan, prosedur, dan inisiatif baru kunci, ditambah
memegang beberapa wawancara dengan stakeholder kunci. Di kompleks yang paling, tim audit internal
yang besar akan mengevaluasi hampir setiap aspek securityprogram dan bahkan melakukan pengujian
intrusi. Keragaman ini tergantung pada risiko, persyaratan jaminan dewan dan manajemen eksekutif, dan
keterampilan dan kemampuan auditor. Misalnya, jika organisasi mengalami extensivechange dalam

aplikasi IT portfolio atau IT infrastruktur, yang akan menjadi waktu yang tepat untuk penilaian yang
komprehensif dari program keamanan informasi secara keseluruhan (mungkin terbaik sebelum atau
setelah perubahan). Jika audit keamanan tahun lalu adalah positif, mungkin audit khusus dari kegiatan
tertentu atau e-commerceapplication penting akan berguna. Evaluasi audit yang dapat, dan sering kali
harus, bepart dari jangka panjang (baca: multi-tahun) penilaian audit hasil keamanan.
Mendefinisikan tujuan audit, tujuan, dan ruang lingkup untuk review informationsecurity adalah
penting langkah pertama. program keamanan informasi organisasi dan langkah-langkah itsvarious
mencakup rentang luas peran, proses, dan teknologi, dan sama pentingnya, mendukung bisnis dalam
berbagai cara; keamanan adalah sistem kardiovaskular dari suatu organisasi dan harus bekerja setiap
saat. Firewall, teknologi pemantauan, perangkat lunak enkripsi, jaringan desain arsitektur, manajemen
aset desktop solusi manajemen identitas, solusi ketersediaan tinggi, manajemen perubahan dan
mengubah sistem audit, solusi kontrol akses logis - sistem keamanan listof, teknologi, dan proses yang
digunakan hampir tak ada habisnya . Tahap perencanaan audit perlu memastikan fokus yang tepat dan
kedalaman evaluasi audit. auditor internal harus menentukan tingkat keterlibatan mereka, yang terbaik
pendekatan audit untuk mengambil selama perencanaan audit, dan keahlian yang mereka butuhkan.
Keputusan tentang bagaimana agresif audit internal harus mengevaluasi keamanan informasi
harus didasarkan pada penilaian risiko audit dan termasuk faktor-faktor seperti riskto bisnis kompromi
keamanan aset kritis (informasi atau sistem), pengalaman dari tim manajemen keamanan informasi,
ukuran dan kompleksitas organisasi dan program keamanan informasi itu sendiri, dan tingkat perubahan
inthe bisnis dan dalam program keamanan informasi. keamanan informasi standardsdictate bahwa
kontrol keamanan informasi harus dipilih dalam terang penilaian risiko aset-tingkat. Menggabungkan aset
masuk akal ketika seseorang berhadapan dengan sekelompok aset seperti terkena risiko yang sama ( ''
risiko '' menjadi fi de didefinisikan sebagai kemungkinan suatu fi ancaman mampu mengidentifikasi
mengeksploitasi spesifisitas c kerentanan). Audit keamanan informasi harus, karena itu, termasuk
mengaudit proses penilaian risiko organisasi dan kelayakan kontrol yang dipilih, dilaksanakan, dipantau,
Ulasan, dan diperbarui sebagai hasil dari penilaian risiko.

Pindah Untuk Continuous Improvement

Seperti kebanyakan audit, audit program keamanan informasi secara umum akan melibatkan tiga
fase: perencanaan, kerja lapangan, dan pelaporan. program keamanan informasi, bagaimanapun, datang
dalam berbagai bentuk dan ukuran, sehingga audit keamanan informasi harus fleksibel dan berbasis
risiko. audit harus mendorong organisasi untuk membangun kekuatan, daya tahan, dan ketangkasan
dalam upaya program keamanannya. Selama fase perencanaan, tim audit theinternal harus memastikan
bahwa semua isu-isu kunci dianggap, bahwa tujuan audit akan memenuhi kebutuhan jaminan organisasi,
bahwa ruang lingkup kerja konsisten dengan tingkat sumber daya yang tersedia dan berkomitmen,
koordinasi yang andplanning dengan IT dan staf keamanan informasi telah efektif, dan bahwa program
kerja dipahami dengan baik oleh semua orang yang terlibat. Adalah penting bahwa ruang lingkup audit
menjadi didefinisikan menggunakan pendekatan berbasis risiko untuk memastikan bahwa prioritas
diberikan kepada daerah yang lebih penting. aspek yang kurang penting keamanan informasi dapat
ditinjau dalam audit terpisah di kemudian hari. Pada tahap kerja lapangan fi, auditor menganalisis
berbagai komponen program keamanan informasi berdasarkan lingkup diidentifikasi dalam tahap
perencanaan. Di antara beberapa pertanyaan penting yang mungkin akan diminta dalam audit khas
adalah:

Apakah program keamanan informasi mencerminkan risiko dan kompleksitas organisasi?

Apakah program aktif menyelidiki dan menerapkan cara-cara baru untuk melindungi organisasi dari
bahaya berdasarkan tren ancaman?
Apakah ada pendidikan dan kesadaran aktif usaha, sehingga manajemen dan staf memahami peran
masing-masing dan tanggung jawab?
Apakah langkah-langkah keamanan dan kontrol diuji secara teratur untuk efektivitas operasional, dan
tindakan korektif terjadi?
Apakah kinerja yang diukur dan dilaporkan kepada pemangku kepentingan?
Bagaimana keamanan organisasi dibandingkan dengan organisasi sejenis lainnya dikelola dengan
baik?

tes Audit dapat mencakup meninjau rencana Program dan anggaran, wawancara eksekutif kunci,
melihat materi pelatihan keamanan, meninjau rencana uji manajemen untuk mengevaluasi efektivitas
operasi dari upaya keamanan dan hasil mereka, meninjau komunikasi manajemen untuk karyawan
mengenai pentingnya keamanan untuk organisasi dan bagaimana memberikan kontribusi untuk
kesuksesan jangka panjang, dan mempelajari dukungan dan tren untuk pelaporan kinerja. Pada sisi yang
lebih teknis, cobalah menilai praktik deteksi intrusi;pengujian kontrol akses fisik dan logis; dan
usingspecialized alat untuk menguji mekanisme keamanan dan potensi eksposur. Evaluasi upaya
kelangsungan bisnis dan pemulihan bencana bisa dipertimbangkan juga.
Intinya adalah bahwa auditor internal harus menjadi dokter perusahaan: (1) menyelesaikan
pemeriksaan fisik rutin yang menilai kesehatan organ vital organisasi dan memverifikasi bahwa bisnis
mengambil langkah yang diperlukan untuk tetap sehat dan aman, dan (2) mendorong manajemen dan
papan untuk berinvestasi dalam praktek keamanan informasi yang berkontribusi terhadap kinerja yang
berkelanjutan dan menjamin perlindungan yang handal dari aset penting organisasi.
Dipetik dari Kepatuhan Minggu. Artikel ini awalnya diterbitkan
Minggu. Direproduksi dengan izin dari Kepatuhan Minggu. Seluruh hak cipta.

dalam

Kepatuhan

7.7. Kepatuhan
The IIA Atribut penawaran Standar 1220.A1 dengan perawatan profesional karena dan
mengatakan bahwa auditor internal harus mempertimbangkan:

Tingkat kerja yang diperlukan untuk mencapai tujuan keterlibatan ini;

Relatif kompleksitas, materialitas, atau signifikansi dari hal-hal yang prosedur jaminan yang
diterapkan;
Kecukupan dan efektivitas pemerintahan, manajemen risiko, dan proses kontrol;
Probabilitas signi fi kesalahan tidak bisa, penipuan, atau ketidakpatuhan; dan
Biaya jaminan dalam kaitannya dengan potensi manfaat.

Kami telah menunjukkan sebelumnya bahwa IIA Standar Kinerja 2120.A1 mengatakan bahwa
aktivitas audit internal harus mengevaluasi eksposur risiko yang berkaitan dengan organisasi
pemerintahan, operasi andinformation sistem mengenai:.

Keandalan dan integritas keuangan dan informasi operasional.

Efektivitas dan efisiensi operasi.

Pengamanan aset.
Memenuhi hukum, peraturan, dan kontrak.

Kepatuhan adalah masalah bagi auditor internal dan selama audit, penilaian akan dibuat dari
sejauh mana usaha yang mengikuti hukum, peraturan dan standar kontrol. Kinerja Standar 2210.A3 con
fi rms bahwa:
auditor internal harus meninjau operasi dan program untuk memastikan sejauh mana hasil yang
konsisten dengan tujuan didirikan dan tujuan untuk menentukan apakah operasi dan program-program
yang sedang dilaksanakan atau dilakukan sebagaimana dimaksud.
Sementara kepatuhan dan isu-isu yang berkaitan dengan keteraturan dan kejujuran umumnya
terkait dengan tujuan audit utama dalam menilai signi fi risiko tidak bisa dan kontrol, ada saat-saat audit
internal mungkin perlu untuk memulai ke penyelidikan spesifik masalah yang terkait. Di banyak negara
maju, kegagalan untuk menunjukkan kepatuhan dengan anti pencucian uang dapat menyebabkan
kemungkinan penutupan usaha, penyitaan aset atau pencabutan izin operasi. Beberapa tim audit yang
memiliki ulasan kepatuhan dibangun ke mereka dari fi istilah resmi acuan. Misalnya, review langkahlangkah keamanan mungkin akan menemukan bahwa bagian-bagian terpencil organisasi mungkin telah
gagal untuk memenuhi standar keamanan perusahaan seperti yang digambarkan di bawah ini:
Polisi telah menyerukan penyelidikan setelah wisatawan zaman baru ditemukan hidup di sebuah
perkebunan ganja governmentlicensed. Gadis remaja telah memarkir bus berkarat nya antara tanaman
12 ft tinggi dan membantu dirinya untuk tanaman, yang seharusnya dijaga oleh seorang petani ... polisi
mengunjungi perkebunan setelah tip-off bahwa langkah-langkah keamanan yang 'tidak ada '...
Ada banyak bank, keuangan perusahaan jasa, besar ts ritel keluar fi dan organizationsthat lainnya
baik sangat diatur atau terdiri dari ratusan cabang bermerek menggunakan sistem keuangan operasional
dan fi samebasic. Kekhawatiran utama dari papan adalah bahwa bagian dari theorganizations yang keluar
dari langkah dengan persyaratan dan tim audit internal dibebankan dengan melaksanakan ulasan
kepatuhan sebagai cara utama mengatasi risiko tingkat tinggi ini. Otomatis dataanalysis memungkinkan
tim audit yang seperti itu untuk menargetkan daerah berisiko tinggi mereka dengan masalah yang
mungkin dari non-kepatuhan. Namun, proposisi nilai tambah adalah bahwa ulasan kepatuhan adalah
kekuatan utama dari pekerjaan audit internal.
Dalam hal dari tinjauan berkelanjutan sesuai dengan yang ditetapkan prosedur di sektor-sektor
berisiko tinggi seperti perbankan, jasa keuangan dan ritel, pengujian reguler dan kunjungan ke perusahaan
lokal adalah fitur utama dari pekerjaan audit. Manajemen harus menetapkan prosedur operasional dan
standar yang sesuai dari manajemen finansial untuk semua operasi, terutama untuk lokasi terpencil dan
kegiatan desentralisasi. Mereka juga harus memeriksa sejauh mana standar ini sedang
diterapkan. Sebuah program formal kunjungan kejujuran dapat ditugaskan dan dilakukan mungkin atas
dasar spot-cek. audit internal akan merekomendasikan manajemen membuat kunjungan ini sebagai
bagian dari sistem kontrol atas operasi ini desentralisasi. Hal ini belum tentu peran utama audit internal
untuk melakukan pemeriksaan kejujuran ini. Mungkin fungsi audit diperlukan untuk mengoperasikan
serangkaian pemeriksaan kepatuhan sebagai bagian dari peran mereka dalam organisasi. Sebuah hal
formal acuan dan anggaran untuk pekerjaan yang akan diperlukan dan ini harus ditetapkan dan disepakati
dengan manajemen. audit kejujuran harus dilakukan melalui program yang disepakati kunjungan yang
mungkin dijadwalkan baik di muka. Istilah 'Program' juga dapat merujuk pada jadwal yang mencatat
tugas-tugas yang harus diselesaikan selama audit, yang harus disusun oleh manajer audit. program

standar dapat diterapkan, tetapi mereka harus disesuaikan dengan audit kejujuran yang sebenarnya thatis
yang dilakukan dan, dengan demikian, adalah praktik yang baik untuk mengadakan serangkaian program
ini di auditlibrary tersebut. Prosedur untuk melaksanakan audit kejujuran adalah sebagai berikut:
1. Pekerjaan akan disepakati dengan manajemen senior dan ini mungkin melibatkan kunjungan satu
atau serangkaian kunjungan diprogram.
2. manajer lini yang sesuai harus dihubungi dan tanggal yang ditetapkan untuk kunjungan. Hal ini
dimungkinkan untuk mendistribusikan informasi audit brosur sebelum kunjungan ini.
3. Hal ini dimungkinkan untuk menerapkan dokumentasi standar untuk ini pekerjaan audit
terprogram. Kunjungan kejujuran seharusnya tidak diperbolehkan untuk mengkonsumsi sumber
daya yang berlebihan audit dan pendekatan akan menerapkan staf junior sedapat mungkin dan
bekerja untuk anggaran ketat hingga, katakanlah, seminggu. Ini akan tergantung pada jenis audit.
4. Kunjungan ke instansi remote / operasi harus mencakup:
cash-up;
vouching sampel transaksi dari pengaturan perbankan;
pemeriksaan persediaan meliputi semua barang berharga dan bergerak;
memeriksa sampel pembelian lokal dan tes untuk kepatuhan, integritas dan efek pada pusat
biaya;
program tes diterapkan ke semua daerah yang mungkin rentan terhadap penipuan atau
ketidakteraturan;
verifikasi dari sampel kembali dibuat untuk kepala kantor;
pemeriksaan lain yang diperlukan atau setuju dengan manajemen.
5. Pekerjaan yang dilakukan harus memenuhi standar yang ditetapkan dalam audit manual dan
dokumentasi yang tepat dan format laporan harus disepakati dengan manajer audit.
6. Standar review harus sesuai dengan manual audit, dan pengawasan review dan penilaian kinerja
dokumen harus digunakan oleh manajemen audit.
Di mana tidak mungkin untuk sumber daya audit kejujuran, pendekatan alternatif akan
menasihati manajemen tentang cara terbaik karya bisa diselenggarakan. Ini mungkin termasuk
membantu dalam proses. dari penyusunan program audit kejujuran yang relevan bersama dengan
menyediakan manajemen dengan dukungan dan pelatihan. Manajemen dibebankan tidak hanya dengan
membangun prosedur yang cocok untuk mengendalikan sumber daya mereka, tetapi juga dengan
memastikan bahwa prosedur ini dipenuhi. Kami berpendapat bahwa sebagai bagian dari peran konsultan
Audit adalah mungkin untuk melakukan pemeriksaan pada kepatuhan atas nama manajemen dan ini
harus mengikuti prosedur yang sama dijelaskan di atas. Setelah mengatakan ini, ada banyak perusahaan
di mana audit kepatuhan adalah norma dan satu perusahaan menggambarkan pekerjaan audit sebagai:
'audit kepatuhan masing-masing cabang dua kali setahun. Periksa prosedur perusahaan dan kepatuhan
peraturan untuk industri game pada penipuan dan pencucian uang. kerja berbasis komputer dengan
banyak persiapan membuat kunjungan lebih pendek dan lebih efisien. Mencoba CSA tapi tidak bekerja
karena alasan operasional. ' Ada poin tambahan untuk pekerjaan berbasis kepatuhan:
1. Area dapat berkisar dari kesehatan dan keselamatan, perlindungan data, pengaturan keamanan,
peraturan finansial, prosedur operasional, pengendalian anggaran, legislasi perlindungan karyawan,
kesempatan yang sama melalui pernyataan kebijakan tingkat tinggi. auditor membutuhkan
pemahaman yang jelas tentang persyaratan kepatuhan dan dasar dalam undang-undang.
2. Daerah yang paling terpengaruh oleh kebutuhan untuk mematuhi harus diidentifikasi dan terdaftar.
3. kepatuhan Manajemen pemeriksaan harus dipastikan dan dievaluasi untuk kecukupan dan
efektivitas.

4. Sebuah program tes harus dirumuskan dan disepakati dengan manajer audit dan klien.
5. Program uji harus dengan standar profesional yang ditetapkan di seluruh manual.
6. Standar yang sama dokumentasi dan review harus diterapkan untuk pengujian kepatuhan.
Ada massa yang tumbuh dari aturan dan peraturan yang perlu dicermati oleh badan hukum dan
contoh dari beberapa ini termasuk berikut:

Hak Kerja (Dispute Resolution) Act 1998

Hak Asasi Manusia Act 1998 - hak untuk hidup, larangan penyiksaan, pelarangan perbudakan dan kerja
paksa, hak atas kebebasan dan keamanan, hak untuk pengadilan yang adil, tidak ada hukuman tanpa
lawfulauthority, hak untuk menghormati keluarga dan kehidupan pribadi, kebebasan berpikir, hati
nurani andreligion, kebebasan berekspresi, kebebasan berserikat dan berkumpul, hak untuk menikah,
larangan diskriminasi, perlindungan hak milik, hak atas pendidikan, hak untuk freeelections
Nasional Upah Minimum Act 1998
Kepentingan Umum Pengungkapan Act 1998
Waktu Peraturan Kerja 1998
Data Protection Act 1998
Undang-Undang Cacat Komisi Hak Asasi 1999
Hubungan Kerja Act 1999
Peluang Sama (Pekerjaan Legislasi) (Batas Teritorial) Peraturan 1999
Redundancies Kolektif dan Transfer usaha (Perlindungan Tenaga Kerja) (Amandemen) Peraturan 1999
Informasi Transnasional dan Konsultasi Peraturan Karyawan 1999
Bersalin dan Parental Cuti dll Peraturan 1999
Reformasi Kesejahteraan dan Pension Act 1999
Hubungan Ras (Amandemen) Act 2000
Telekomunikasi (sah Praktek Bisnis) (Inception Komunikasi) Peraturan 2000
Pekerja Part-time (Pencegahan Kurang Favourable Pengobatan) Peraturan 2000
Seks Diskriminasi (langsung Diskriminasi dan Beban Pembuktian) Peraturan 2001
Pengadilan Tenaga Kerja (Konstitusi dan Peraturan Tata Tertib) Peraturan 200.151.

Satu fi kata nal peringatan dari bahaya fokus berlebihan pada kepatuhan berasal dari Fad Sur fi ng
di Boardroom oleh Elaine C. Shapiro yang mendefinisikan non-kepatuhan sebagai 'keputusan saya untuk
tidak membuat keputusan yang Anda ingin saya untuk membuat cara Anda ingin saya untuk membuat
mereka, yang mengarah ke aksioma lama yang dapat Anda menulis naskah untuk memesan, tetapi Anda
tidak bisa membuat saya berpikir. '

Audit Etika Dan Program Kepatuhan

Oleh Dan Swanson, Kepatuhan Minggu Kolumnis
Luas dipahami, kepatuhan merupakan mekanisme penting yang membantu membuat
pemerintahan yang efektif. Pemantauan dan menjaga kepatuhan tidak hanya untuk menjaga regulator
bahagia; sesuai dengan persyaratan peraturan dan kebijakan organization'sown adalah komponen
penting dari manajemen risiko yang efektif. Ini adalah salah satu cara yang paling penting organisasi
mencapai tujuan bisnis, mempertahankan kesehatan etika, mendukung kemakmuran jangka panjang, dan
mempertahankan dan mempromosikan nilai-nilainya. Sebuah kepatuhan dan etika yang efektif program
terbaik diselenggarakan sebagai proses yang terintegrasi, ditugaskan untuk fungsi bisnis yang ditunjuk dan

dikelola oleh individu yang memiliki tanggung jawab dan akuntabilitas keseluruhan. Kepatuhan bisa
menjadi tantangan yang menakutkan, tetapi juga merupakan kesempatan untuk membangun dan
mempromosikan efektivitas operasional di seluruh organisasi.
Dewan dan manajemen secara berkala perlu mengevaluasi desain dan operasi efektivitas
kepatuhan dan etika program perusahaan. evaluationssupplement seperti yang sedang berlangsung,
sehari-hari pemantauan respon dan kontrol activities.Not hanya melakukan ulasan ini - audit, benar-benar
menyediakan analisis yang lebih mendalam ofthe desain dan efektivitas program; mereka juga
memberikan kesempatan untuk mempertimbangkan praktek baru dan teknologi yang mungkin telah
dikembangkan sejak program ini pertama dilaksanakan.

Menentukan Risiko Key

tujuan mendefinisikan itu audit internal adalah pertama dan salah satu langkah yang paling
penting dalam menentukan arah audit, karena mendefinisikan tingkat jaminan dewan dan manajemen
akan disediakan. Dari awal, kemudian, staf audit internal harus mengadakan diskusi dengan manajemen
dan dewan (atau komite audit dan penasihat hukum, yang diperlukan) mengenai kebutuhan jaminan
stakeholder kunci untuk memastikan audit memenuhi kebutuhan jaminan organisasi - dan itu semua
harus dilakukan sebelum fi finishing rencana audit. Kepatuhan dan etika program mencakup rentang yang
sangat luas dari kegiatan, dan tahap perencanaan perlu memastikan fokus yang tepat dari upaya
audit. audit harus didasarkan pada penilaian risiko audit komprehensif - yaitu, auditor harus menentukan
apa risiko kunci dari kepatuhan dan etika program perusahaan yang. Partisipasi penasihat hukum di
auditis faktor penting lain yang harus diputuskan di sini, selama perencanaan audit (atau selanjutnya jika
asumsi rencana itu ternyata berbeda dari situasi audit yang sebenarnya). Jika kesalahan ini diidentifikasi
selama audit internal dialog dengan penasihat hukum diperlukan - memang, sering kritis.
tujuan apa yang harus ditetapkan? Tiga gol harus:

Aplikasi - Untuk menentukan apakah kepatuhan dan etika Program memberikan jaminan yang wajar
dari kepatuhan terhadap kebijakan organisasi dan hukum dan peraturan yang berlaku;
Dokumentasi - Untuk menentukan apakah kerangka kerja manajemen program didokumentasikan, di
tempat, dan tepat sumber daya untuk memenuhi kebutuhan organisasi;
Implementasi - Untuk menentukan apakah program tersebut telah dilaksanakan secara efektif, dan
bahwa sistem pelaporan kinerja telah didefinisikan dan akurat menyajikan hasil isu-isu kunci program
efforts.Some untuk mengeksplorasi selama audit termasuk memastikan bahwa ada:
Universalitas - Konsistensi dan integrasi program kepatuhan dan etika antara unit-unit bisnis yang
berbeda dalam organisasi;
Integrasi - Koordinasi antara kepatuhan pusat dan etika kantor dan unit bisnis individu;
Akuntabilitas - Sebuah pembagian yang jelas dan efektif peran dan tanggung jawab antara etika
kantor, kepatuhan, HR, hukum, dan unit terkait lainnya.

Down To Bisnis
Setiap audit internal memiliki tiga tahap: perencanaan, kerja lapangan dan pelaporan. Audit
kepatuhan dan etika program tidak berbeda. Selama fase perencanaan, tim audit internal harus
memastikan bahwa semua isu-isu kunci dianggap, bahwa tujuan audit akan memenuhi kebutuhan
jaminan organisasi, dan bahwa kepatuhan dan etika program dipahami dengan baik. Hal ini sangat penting

bahwa audit fokus pada evaluasi komponen yang signifikan dari kepatuhan dan etika Program; yaitu,
auditor harus menggunakan pendekatan berbasis risiko untuk fi elemen nd program yang paling mungkin
untuk gagal dan paling membutuhkan perhatian. Tahap perencanaan adalah kesempatan untuk con fi
rmthat lingkup audit yang tepat, dan biaya tidak akan memberikan orang sakit maag.
Pada tahap kerja lapangan fi, tim menganalisis berbagai komponen program kepatuhan ini,
berdasarkan pada tujuan dan metodologi diidentifikasi di planningphase tersebut. Di antara beberapa
pertanyaan yang paling penting untuk menjawab adalah bagaimana boardsets nya '' nada di bagian atas;
'' bagaimana berkomunikasi nilai-nilai tersebut kepada karyawan; bagaimana karyawan di semua tingkat
perusahaan memandang komitmen manajemen untuk nilai-nilai; dan bagaimana perusahaan menangani
masalah kepatuhan atau etika yang timbul dari kegagalan kepatuhan. tes Audit dapat mencakup meninjau
karyawan fi les untuk menandatangani Kode Etik atau pelatihan con rmations fi, melihat materi pelatihan
dan hasil program pelatihan, meninjau tanggapan terhadap pelanggaran, melakukan survei dan
reviewingthe hasil dari mereka, meninjau komunikasi manajemen untuk karyawan untuk konten etis,
mengukur organisasi sumber daya yang tersedia untuk pengoperasian program, dan menilai kualitas
dukungan untuk pelaporan kinerja program. Tahap pelaporan adalah di mana audit internal tim harus
memastikan semua pemangku kepentingan yang benar informasi dari hasil audit dan manajemen setiap
berencana untuk meningkatkan kepatuhan dan etika Program. Sebuah terencana dan dilaksanakan audit
internal (tahap 1 dan 2) harus membuat pelaporan audit lurus ke depan: memberitahu mereka apa yang
Anda lakukan, apa yang Anda temukan, dan apa yang manajemen berencana untuk melakukan hal itu. Itu
semua ada untuk auditor it.Internal harus mengambil pendekatan berbasis risiko ketika merencanakan
program audit etika complianceand. Dengan sumber daya terbatas, auditor tidak punya pilihan selain
untuk fokus pada daerah risiko tinggi dan selalu berusaha untuk menambah nilai bagi organisasi. Audit
praktik terbaik menyarankan auditor internal harus terlibat sepanjang siklus hidup program, bukan hanya
dalam evaluasi program pasca-pelaksanaan.
Audit internal dari kepatuhan dan etika Program juga perlu menjadi bagian dari rencana audit
yang lebih besar secara keseluruhan. auditor internal harus menyusun rencana yang memenuhi
persyaratan jaminan jangka panjang dewan dan manajemen. Serangkaian audit internal untuk
managecomplexity (jika dianggap tepat selama fase perencanaan) mungkin bukan langkah yang buruk,
karena kepatuhan dan etika Program bisa sangat informasi-intensif. Manajemen tidak harus
mengembangkan proses, prosedur, laporan, dan soforth selama audit.Sebaliknya, tim audit harus
mengevaluasi upaya tersebut yang kepatuhan dan etika Program dalam memenuhi kebutuhan
organisasi. Akhirnya, manajemen harus menyelesaikan penilaian diri sebelum audit internal dan potongan
studyvarious bimbingan seperti OCEG panduan untuk audit dari program etika complianceand.
Dipetik dari Kepatuhan Minggu. Artikel ini awalnya diterbitkan
Minggu. Direproduksi dengan izin dari Kepatuhan Minggu. Seluruh hak cipta.

dalam

Kepatuhan

7.8. VFM, Sosial dan Keuangan Audit

Nilai untuk uang
Bagian dari lingkup audit internal melibatkan mengevaluasi kecukupan dan efektivitas pengaturan
untuk mengamankan nilai uang. Pengaturan ini terdiri dari kontrol yang shouldbe ditetapkan oleh
manajemen untuk memastikan bahwa tujuan mereka akan bertemu, dan didasarkan pada
mempromosikan sistem kontrol manajerial. Pengaturan ini harus melibatkan manajemen ina pencarian

terus menerus untuk ciencies fi ef yang dapat mengakibatkan tingkat tabungan. Hal ini tidak
audit'sresponsibilities internal untuk mengidentifikasi tabungan ini, dan langkah-langkah kinerja kami
tidak harus mencakup theamount dari uang yang disimpan melalui rekomendasi hasil audit
pelaksanaan. Hal ini harus beunderstood dan dapat disajikan kembali bahwa kita harapkan rekomendasi
audit kami untuk placemanagement dalam
posisi untuk mengidentifikasi daerah-daerah di
mana
mereka
dapat
melakukan
penghematan. Contohnya berecommending
bahwa sistem informasi yang lebih baik
dipasang. Sebagai bagian dari procedureswe
pengujian kami mungkin dapat memperkirakan
penghematan yang dihasilkan, tapi ini bukan peran utama audit. Tugas kita adalah untuk mendapatkan
manajemen untuk melaksanakan perbaikan dalam sistem kontrol di mana diperlukan. Hal ini
dimungkinkan untuk sumber daya sebagai bagian dari ulasan VFM jasa konsultasi kami yang dirancang
untuk menyebabkan tabungan untuk manajemen. Deplu Auditor General of Canada mengatakan tentang
VFM:
Audit VFM adalah pemeriksaan yang sistematis, terarah, teratur dan tujuan kegiatan
pemerintah. Ini memberikan Parlemen dengan penilaian pada kinerja kegiatan ini; dengan
informasi, pengamatan dan rekomendasi yang dirancang untuk mempromosikan jawab, jujur
andn produktif pemerintah dan mendorong akuntabilitas dan praktek terbaik. Jangkauannya
mencakup
theexamination
ekonomi,
efisiensi,
efektivitas
biaya; hubungan
akuntabilitas; perlindungan aset publik; dan sesuai dengan otoritas. Subjek audit dapat menjadi
entitas pemerintah atau kegiatan (lini bisnis), kegiatan sektoral, atau area fungsional pemerintah
secara luas .
Ada dua pandangan VFM: VFM dalam arti sebenarnya adalah tentang cara manajemen mengatur
dan mengontrol sumber daya untuk efek maksimum. Pandangan sempit melihat VFM sebagai hasilnya ad
hoc initiativesthat di de fi tabungan ned dan / atau tingkat yang lebih besar dari layanan / output. VFM
menghasilkan:

Ekonomi. Sumber daya yang dibutuhkan untuk melakukan operasi diperoleh dengan cara yang paling
costeffective.
Ef fi siensi. Sumber daya yang digunakan untuk memaksimalkan tingkat yang dihasilkan dari output.
Efektivitas. Hasil akhir merupakan produk yang operasi didirikan untuk memproduksi.

Ef ulasan defisiensi
Pendekatan sistem berbasis dengan review fi siensi akan mempertimbangkan standar, rencana,
arah dan jenis informasi bahwa manajemen berlaku untuk mengendalikan operasi mereka.Pendekatan
investigasi, di sisi lain, berkonsentrasi pada metode yang spesifik oleh whichef defisiensi dapat
ditingkatkan. Ini mungkin dengan menerapkan praktek terbaik dalam hal praktek operasional alternatif,
atau dengan mengisolasi spesifik contoh fi c limbah dan ketidakefisienan yang mungkin
diperbaiki. Ekonomi (yaitu mengamankan input termurah) dimasukkan ke dalam konsep yang lebih luas
dari efisiensi karena hubungan intim antara kedua. Efisiensi meliputi hal-hal dasar ekonomi.

ulasan efektivitas
ulasan efektivitas yang sulit untuk melaksanakan dan pendekatan sistem berbasis akan melihat
ke penerapan praktek-praktek manajerial suara. Ini adalah satu-satunya cara untuk menjamin bahwa
tujuan-tujuan operasional dapat dicapai. Penyelidikan operationaleffectiveness (tidak seperti ulasan
sistem) menentukan apakah tujuan telah tercapai. Hal ini memerlukan proses yang berkelanjutan:
1.
2.
3.
4.

mendefinisikan produk akhir;

memeriksa arus keluaran;
menentukan apakah output ini dapat diterima;
mengukur setiap kekurangan.

Banyak hal ini melibatkan unsur subjektivitas dan auditor dapat dipanggil untuk membuat apa
yang dapat dianggap sebagai pendapat ahli. Ada banyak perangkap potensial dan ini harus diingat ketika
memulai tugas. Konsep efektivitas harus mencakup tinjauan dari persepsi pelanggan sebagai penerima
layanan yang relevan. Sebuah teknik yang berguna adalah untuk mengelola survei klien menggunakan
kuesioner diformulasikan khusus. Ini harus didasarkan pada mengamankan ide apakah jasa tersebut
memiliki efek yang diinginkan pada pengguna fi nal. Kami ingin melihat sistem yang mendasari cocok di
tempat untuk memastikan efektivitas. Sebagian besar didasarkan pada arah dan praktek manajemen yang
baik didukung oleh sistem komunikasi yang komprehensif. Efektivitas tergantung pada pengaturan tujuan
yang jelas dan memastikan ini sumber daya dan dikomunikasikan dengan baik. Sementara sebagai auditor
kita tidak bisa mempertanyakan validitas tujuan atau kerangka kebijakan terkait, kita dapat meninjau
sejauh mana mereka didukung oleh mekanisme manajerial sesuai. Ini meliputi labirin kompleks sistem
yang harus di tempat untuk tujuan yang akan diterjemahkan ke dalam kegiatan bisnis yang mendasari.
Program VFM Beberapa anggaran pendapatan disusun atas dasar bahwa program tinjauan VFM akan
menghasilkan penghematan ned fi de dalam anggaran. Konsultasi lengan audit internal dapat
memberikan beberapa dukungan untuk program ini, dan ulasan individu VFM dapat diambil dari kerangka
organisasi-lebar. Kita harus berhati-hati untuk tidak mengunci audit internal menjadi serangkaian dibuat
tabungan sasaran, di mana kita menjadi bertanggung jawab untuk memulai pencarian untuk tidak pernah
berakhir tabungan untuk membenarkan keberadaan kita.Pandangan sistem, di mana manajemen
dibebankan dengan menginstal kontrol cocok untuk memungkinkan mereka untuk menjadi yang efisien,
harus dipublikasikan secara luas. Kami tidak akan merekomendasikan bahwa sumber daya audit internal
menjadi bertanggung jawab untuk fi de ned Program VFM, kecuali tidak dapat dihindari.
Akuntabilitas Salah satu aspek yang menarik dari kehidupan bisnis adalah kebutuhan untuk menanamkan
tingkat akuntabilitas seluruh organisasi mulai dari atas. Banyak ulasan operasional didasarkan sekitar
proses pengambilan keputusan di mana pejabat yang diperlukan untuk merumuskan dan menerapkan
pertimbangan profesional mereka dan kemudian bertanggung jawab atas tindakan mereka. Inisiatif
pemberdayaan berupaya untuk menerapkan konsep ini pada semua tingkat manajemen dan staf. Sistem
akuntabilitas harus memperhitungkan bersaing faktor:

hubungan departemen dan implikasi politik daripadanya

tujuan dan arah yang jelas
penilaian kinerja mekanisme
tanggung jawab penuh untuk kegiatan staf seseorang
strategi dan hasil daripadanya

mekanisme pelaporan yang sesuai

tanggung jawab atas hasil dari unit bisnis yang relevan
kesadaran staf motivasi dan dampak pada kinerja.

Operasi pro fi le Sebagai bagian dari tahap latar belakang kajian operasional auditor harus melihat ukuran
kinerja yang digunakan oleh manajemen untuk mengidentifikasi area limbah yang potensial. Banyak
bahan dapat dikumpulkan di mana auditor mengkompilasi / nya indikator kinerja sendiri (PI) dan dengan
demikian isolat potensial kinerja yang buruk. Hal ini dapat dilakukan dengan:

membandingkan operasi serupa;

membandingkan satu operasi selama periode waktu de fi ned;
mempertimbangkan varians antara kinerja yang direncanakan dan hasil aktual.

Proses ini dapat mengidentifikasi 'anggapan', yaitu, daerah-daerah di mana satu mungkin akan
menemukan kegagalan untuk mengamankan VFM baik. Auditor harus menimbang-nimbang antara biaya
mempersiapkan informasi PI, dan manfaat yang mungkin diperoleh dari penggunaannya. Ada banyak
daerah di mana kajian operasional dapat berdampak pada kinerja dan VFM. Satu daftar tersebut
mencakup bidang utama:
Energi Cash fl ow

fungsi digandakan Sentralisasi atau model

layanan desentralisasi

biaya manajemen aset Transportasi

perencanaan tenaga kerja sementara staf
nomor staf kontrol Stock
Wisma Catering
kontrak Pendapatan pembelian Tengah
biaya lembur Administrasi
polis asuransi jasa Dukungan
Ulasan berada di sensitif masa lalu dengan potensi untuk organisasi untuk menumpahkan staf
sebagai bagian dari reorganisasi bisnis. Manajemen berharap rekomendasi untuk memasukkan
pengurangan anggaran staf. Ada daerah inti yang fitur dalam kajian operasional termasuk:
Gaya Manajemen struktur perusahaan

cek pengaturan Kepatuhan Tujuan

sistem informasi Komunikasi

Prosedur manual pengaturan Security

prosedur otorisasi Pemisahan tugas

Proses pengambilan keputusan Motivasi

Pengawasan kesehatan dan keselamatan

kebijakan budaya Personil

Ulasan Peningkatan kinerja

kerangka kebijakan

standar kualitas
sumber daya

operasional

pemanfaatan

Nilai Dari 'Pengukuran Kinerja'

Oleh Dan Swanson, Kepatuhan Minggu Kolumnis
Steven Covey, penulis The Seven Kebiasaan Manusia yang Sangat Efektif, dan banyak lainnya
cukup benar merekomendasikan bahwa ketika Anda memulai segala jenis proyek baru, Anda harus mulai
dengan akhir dalam pikiran. Apa yang melibatkan?
1. Memutuskan di mana Anda ingin berada di masa depan (yaitu, apa yang Anda '' keadaan akhir ''
akan);
2. Mendefinisikan tujuan utama Anda dan tujuan dalam mendapatkan sana (untuk memandu
berbagai fforts Anda sepanjang jalan); dan
3. Bangunan dan kemudian melaksanakan rencana Anda ke sana (sarana untuk mencapai keadaan
akhir yang diinginkan).
siklus perencanaan ini bekerja untuk semua individu, baik dalam kehidupan profesional dan
pribadi mereka. Hal ini bahkan lebih penting untuk organisasi, di mana pemahaman di seluruh perusahaan
sangat penting dalam memperoleh dukungan luas di seluruh tenaga kerja facedwith banyak, dan berkalikali saling bertentangan, prioritas. Untuk auditor internal siklus perencanaan ini mengambil makna khusus
juga. audit yang sukses membutuhkan pemahaman tentang apa organisasi yang ingin dicapai dan anjak
bahwa pemahaman dalam upaya audit perusahaan. Dan sebagai kegiatan penting itu sendiri, audit
internal perlu mendefinisikan apa yang tim audit sedang mencoba untuk mencapai; tanpa melakukan itu,
tim audit mungkin berakhir turun jalan yang salah selama proyek. Bagi organisasi untuk memahami apa
yang tim audit yang ingin dicapai, tim audit itu sendiri harus memahami dan berkomunikasi apa yang ingin
acc omplish.
Intinya adalah bahwa auditor harus: (1) mendorong dan memverifikasi bahwa organisasi memiliki
sistem yang kuat untuk mengukur dan melaporkan kinerja; (2) akan memanfaatkan informasi dari sistem
seperti dalam perencanaan upaya audit mereka, dan akhirnya (3) berjalan garis sendiri, dengan
mendefinisikan tujuan jangka panjang mereka, cara untuk sampai ke sana, dan melaporkan kemajuan
mereka kepada komite audit.

Dimana Manajemen Kinerja Fits Dalam

Sebagai bagian dari pelacakan kemajuan audit, pengukuran periodik dan pelaporan sangat
penting, dan berfungsi sebagai jembatan antara pekerjaan hari ini dan besok. Dengan kata lain, tim
anaudit harus mendefinisikan peta jalan yang, dapatkan kesepakatan dengan semua pemangku
kepentingan bahwa jalan yang benar (termasuk tujuan proyek audit ini, rencana, dan mengusulkan
endstate), dan kemudian memantau dan melaporkan kemajuan dalam mendapatkan di sana. Sebuah
pengukuran kinerja dan pelaporan program yang kuat memfasilitasi pemantauan kemajuan, perdebatan
biasa (dan kadang-kadang menyakitkan) isu dan hasil sementara sepanjang jalan, dan tindakan perbaikan
dan penyesuaian yang diperlukan untuk tetap menuju di mana Anda harus pergi.
Semua konsep di atas berlaku pada berbagai tingkat organisasi, dari perusahaan secara
keseluruhan turun ke anak perusahaan dan unit bisnis yang signifikan. Asthe tim audit internal
mengevaluasi berbagai aspek organisasi, setiap audit harus mempertimbangkan di evaluasi apakah
pengukuran kinerja dan pelaporan kontribusi untuk pengaturan arah dan pelaksanaan rencana.

The Art Of Pengukuran

Sebuah pepatah terkenal adalah, '' Apa yang diukur akan dilakukan. '' Semua proses perusahaan,
termasuk audit, dapat manfaat dari pengukuran. Idealnya, pengukuran akan membantu organisasi:

menunjukkan bagaimana hasil ini mendukung tujuan organisasi;

menentukan apa yang berhasil dan apa yang tidak;
membenarkan alokasi modal;
memotivasi dan memberikan umpan balik yang nyata kepada karyawan; dan
meningkatkan kemampuan untuk berkomunikasi dengan para pemangku kepentingan.

Elemen penting dari pengukuran kinerja adalah membangun performanceindicators kunci dan
metrik. Dalam berpikir tentang metrik, mereka harus '' SMART '' - thatis, Speci fi c, Measurable,
ditindaklanjuti, relevan, dan tepat waktu. Pertimbangan penting lainnya adalah untuk tidak membebani
proses dengan terlalu banyak metrik tapi untuk memusatkan perhatian pada orang-orang yang paling
relevan untuk menjamin organisasi adalah menciptakan nilai pemegang saham. (Satu panduan referensi
yang sangat baik adalah Kepatuhan Terbuka dan bimbingan metrik Etika Group andmeasurements.)
Untuk audit dan kepatuhan upaya, pengukuran kinerja dan reportingallows audit dan profesional
sesuai untuk bekerja dengan klien mereka (dan sesama karyawan) dan pemangku kepentingan lainnya
untuk mendefinisikan tujuan, peta jalan, dan endstate organisasi bekerja menuju. Apa sistem yang ideal
operasi apakah perusahaan ingin memiliki? Apa yang harus diuji untuk melihat apakah perusahaan
tersebut mencapai tujuan tersebut? Apa yang harus diperbaiki? Bagaimana Anda bisa mengukur
performanceto mengukur seberapa baik perbaikan yang terjadi? Berdebat di depan waktu apa langkahlangkah yang akan dipertimbangkan untuk pelaporan kinerja formal yang akan membantu memastikan
bahwa setiap orang pada halaman yang sama dan bahwa kejutan bisa diantisipasi. Selain itu, kami selalu
mengatakan kita perlu meningkatkan komunikasi (penyebab nomor satu dari kegagalan, sejauh ini, di
hampir semua yang kita lakukan). Mendefinisikan kinerja program pengukuran andreporting Anda adalah
kendaraan untuk berdiskusi tentang apa yang penting, apa prioritas Anda, dan di mana Anda ingin
pergi.Mengetahui bahwa membuat sebuah proyek audit sangat besar lebih mudah. pengukuran kinerja
dan pelaporan pada upaya organisasi dan audit menawarkan peluang strategis untuk kepatuhan dan
departemen
internalaudit
untuk
memengaruhi
upaya
pemerintahan
seluruh
organisasi. Mempertimbangkan untuk mengambil pada!
Seperti disebutkan, audit internal harus mempertimbangkan menggabungkan evaluasi KINERJA
dan pelaporan ke setiap pemeriksaan yang dilakukan. Audit pengukuran kinerja organisasi secara
keseluruhan dan program pelaporan juga sangat dianjurkan. Audit akan memberikan tinjauan
independen dan obyektif dari upaya organisasi untuk mendefinisikan tujuan dan sasaran, mengambil
tindakan pada mereka, dan memantau kemajuan, termasuk tindakan korektif sebagai sesuatu terjadi (dan
mereka akan terjadi). Mengevaluasi program melibatkan mendefinisikan sistem yang akan diaudit,
menilai langkah-langkah yang digunakan, proses di tempat, dan efektivitas operasi; dan menentukan
apakah perbaikan sistem akan memiliki efek onthe hasil organisasi.
Meningkatkan kinerja operasional organisasi selalu menjadi prioritas penting, dan menerapkan
(atau meningkatkan) pengukuran kinerja formal dan Program pelaporan akan sangat membantu. Ini
memastikan bahwa organisasi tetap pada jalur dengan tujuan itsoverall, dan gagal untuk mengaudit
kontrol yang menciptakan kesenjangan yang signifikan dalam cakupan audit secara keseluruhan.

Dipetik dari Kepatuhan Minggu. Artikel ini awalnya diterbitkan

Minggu. Direproduksi dengan izin dari Kepatuhan Minggu. Seluruh hak cipta.

dalam

Kepatuhan

Audit sosial
Meningkatnya minat dalam cara antarmuka bisnis dengan lingkungannya kini diterima. Di masa
lalu, manajemen telah dirasakan lingkungan eksternal dalam cara yang terbatas, yang memandang orang
luar sebagai yang terutama terdiri dari:

pelanggan Pesaing

Pemerintah pekerja Potensi

outlet ritel pasar baru potensial
Pemasok

Pandangan ini mengambil kekuatan papan yang

berdampak pada keberhasilan masa depan organisasi dalam
hal kemampuannya untuk memenuhi tujuannya. Ini mungkin
didasarkan pada t margin pro fi atau tujuan pemberian
pelayanan, tergantung pada perannya. audit sosial dan
lingkungan perubahan posisi ini. Berikut eksekutif didorong
untuk mempertimbangkan dampak yang lebih luas dari bisnis
mereka pada masyarakat pada umumnya, sebagai
pengakuan atas implikasi jangka panjang dari kegiatan
mereka. pertimbangan lingkungan telah diperhitungkan dan
diaudit, dan auditor internal harus mengembangkan minat pada topik penting ini. audit sosial
memandang peran yang lebih luas dari sebuah organisasi, yang mungkin harus mempertimbangkan
banyak faktor eksternal termasuk yang ditunjukkan pada Gambar 7.33.
Dalam mempertimbangkan audit sosial, ada beberapa masalah yang harus disebutkan:
Gambar eksternal Tempat awal untuk audit sosial adalah untuk menilai kembali citra publik
organisasi. Sekarang ada organisasi yang mengiklankan citra mereka daripada produk mereka.
Dengan serentetan tumbuh dari pengambilalihan dan merger, kadang-kadang sulit untuk menilai
apa sebuah organisasi menghasilkan. diversi fi kasi produk dan perluasan rentang produk dapat membuat
faktor ini agak jelas. Apa yang lebih penting adalah reputasi perusahaan, dan ini sekarang menjadi
panduan untuk pembeli dari kualitas dan layak. Input audit dapat mulai dengan meninjau mekanisme
bahwa organisasi telah dibentuk untuk mendapatkan umpan balik pada perusahaan standingin dunia
bisnis. entitas pemerintah lebih rentan untuk menekan cakupan di mana setiap skandal publik memiliki
dampak langsung pada eksekutif senior. Kami menyatakan kembali audit yang tidak terutama berkaitan
dengan persepsi publik organisasi. Hal ini lebih tertarik pada kecukupan dan efektivitas sistem untuk
mempromosikan citra perusahaan dan menerima umpan balik pada posisi saat ini.
Audit lingkungan ini terutama tentang melindungi lingkungan untuk generasi mendatang berdasarkan
konsep caretaker. Berikut organisasi dianggap berutang tanggung jawab tambahan untuk warga masa
depan atas dan di atas semua yang kita bahas sebelumnya. Saat ini sudah ada berbagai seluruh standar

ISO pada audit lingkungan (ISO 14010 range). Ini panggilan untuk sistem manajemen lingkungan yang
efektif dan prosedur yang harus di tempat untuk memenuhi therequirements standar ini. Brian Rothery
telah banyak menulis tentang jaminan kualitas dan audit lingkungan standar dan telah menyatakan
pandangan bahwa akuntan dan auditor telah melewatkan kesempatan untuk terlibat dalam
melaksanakan dan managementsystems kualitas audit, dan juga akan kehilangan audit lingkungan jika
sikap yang sama ini diasumsikan. Konsultan manajemen dan insinyur, bagaimanapun, telah dengan cepat
menangkap peluang baru.
Denia l Kekhawatiran lain bagi auditor adalah keadaan saat organisasi dalam hal pengakuan dari implikasi
sosial yang lebih luas dari kegiatan usahanya. Di mana ada sedikit atau tidak ada apresiasi nilai audit sosial,
kekuatan utama dari audit mungkin pendidikan di alam. Sebuah tinjauan dari organisasi-organisasi serupa
untuk mengukur posisi komparatif dapat mengungkapkan sejauh mana thisproblem. Audit lingkungan
harus ditetapkan fi tegas dalam agenda dewan direksi dan harus fitur dalam laporan tahunan dan publikasi
lainnya. Seberapa jauh direksi telah dicapai dan seberapa jauh mereka mungkin perlu untuk pergi adalah
audit komentar berharga sebagai cara menjadi topik yang rumit ini. Mengamankan kebijakan asuransi
yang luas dan melibatkan tim pengacara untuk memerangi ancaman tindakan hukum untuk pelanggaran
peraturan eksternal, kesempatan yang sama, pengadilan industrial, nes fi untuk polusi dan pelanggaran
aturan etika dan keluhan pelanggan yang luas menunjukkan sikap tidak peduli atau manajemen tidak
berpendidikan. Langkah-langkah proaktif untuk memastikan masalah ini terkandung bergantung pada
pandangan jangka panjang di mana reputasi organisasi adalah paling penting di benak manajemen.
Implikasi auditor perlu diingat hasil kegagalan untuk mengelola implikasi lingkungan bisnis. Ini bukan
tentang menjadi sebuah organisasi yang penuh kasih, peduli yang memiliki 'hangat' merasa.Ini adalah
tentang menghasilkan reputasi positif yang memberikan peran yang jelas dalam masyarakat, di mana hakhak dan keprihatinan generasi sekarang dan masa depan yang diambil di papan ketika mendefinisikan
strategi perusahaan. Sebagai contoh, sangat mahal untuk mengelola 'ada pertanyaan' kebijakan untuk
returnedgoods, meskipun dalam jangka panjang ini akan memungkinkan reputasi yang baik untuk
diklaim. Pengakuan tanggung jawab sosial memang memiliki biaya. Itu harus dibenarkan dalam hal
implikasi jangka panjang bagi kesejahteraan masa depan entitas. Kompilasi biaya -bene analisis fi t adalah
kontrol kunci lain selama proses pengembangan inisiatif yang tepat. Perbedaannya adalah kerangka
waktu di mana kesadaran sosial membutuhkan waktu bertahun-tahun untuk menerjemahkan ke posisi
komersial ditingkatkan. Ada pandangan bahwa perilaku konsumen cukup canggih dalam hal itu akhirnya
merespon perilaku organisasi. Pada ekstrim, pembeli mungkin memboikot barang dari 'tersangka' negara,
'tersangka products'or dalam hal seluruh perusahaan. Sebuah perusahaan eksplorasi minyak yang
menghadapi tuduhan praktik yang tidak adil atau kegiatan yang mengganggu lingkungan mungkin
mengalami reaksi dari para pelanggan.
Gerakan Hijau Gerakan Hijau adalah sebuah tradisi yang didirikan yang beroperasi di banyak negara. Ini
adalah kelompok penekan dengan representasi politik di banyak masyarakat. Ini adalah
importantbecause mungkin mengambil inisiatif menjauh dari sebuah organisasi. Ada kalanya suatu
bentuk pemaksaan mungkin muncul yang berupaya untuk memaksa perubahan kebijakan perusahaan
luar kendali manajemen eksekutif. Peran audit dapat terletak di sebuah kontinum di mana di satu sisi itu
ulasan mekanisme bahwa organisasi telah dibentuk untuk mengelola tanggung jawab sosialnya. Di sisi
lain, kami dapat meninjau reaksi dari organisasi untuk kekuatan eksternal yang berusaha untuk kegiatan
bisnis memengaruhi yang terlihat merusak lingkungan.Kita mungkin mulai dari sikap manajerial dan
berakhir dengan respon pembatasan kerusakan mahal. Auditor dapat expectthe organisasi untuk
mengenali peran kelompok penekan dalam masyarakat dan memastikan bahwa mereka ableto publisitas
buruk memiliki lebih dulu melalui penerapan mekanisme yang sesuai. Pada terbaik sistem ini akan

menjaga organisasi menjelang pertandingan, sementara setidaknya mereka harus mewakili sistem
EarlyWarning mana tanggapan negatif diantisipasi dan diminimalkan. Auditor akan ingin melihat
pertimbangan diatasi dan ditangani oleh manajemen eksekutif.
Kesehatan dan keselamatan ini merupakan daerah yang dekat dengan rumah untuk direksi paling
senior. Auditor dapat meninjau berbagai tanggapan. Sebuah respon reaktif akan memerlukan pengakuan
dasar kesehatan dan safetyprocedures, sedangkan respon yang lebih dinamis akan melibatkan berbagai
risiko pro fi les untuk semua operasi dan area kerja. Hal ini memungkinkan manajemen untuk
menargetkan area kunci dan memastikan bahwa risiko kesehatan yang dikelola dengan baik. Kembali ke
pandangan dua dimensi tanggung jawab perusahaan, kami dapat mendorong manajemen hanya untuk
mempertahankan organisasi dengan mematuhi peraturan kesehatan dan keselamatan. Atau, kita
mungkin ingin mempromosikan budaya di mana kesejahteraan karyawan adalah consideredover dan atas
kepatuhan dasar dengan hukum. Banyak tergantung pada di mana masalah ini terletak pada agenda
thecorporate. Sebuah organisasi yang merusak kesehatan karyawan akan selalu tunduk pada kritik. Audit
kesehatan dan keselamatan akan membangun kehadiran beberapa mekanisme kunci:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

kunci perwira yang bertanggung jawab untuk mempromosikan fungsi ini;

komite perwakilan senior dari masing-masing wilayah kerja;
kesehatan dan keselamatan fi tegas pada agenda pada pertemuan dewan;
pelatihan untuk manajer lini dan koperasi;
publikasi cocok dan tanda-tanda yang terletak di seluruh organisasi;
kebijakan yang menempatkan tanggung jawab untuk kesehatan dan keselamatan dengan
manajemen;
pendekatan berbasis risiko yang bertujuan untuk mengisolasi potensi daerah masalah utama - ini
adalah latihan yang berkelanjutan yang harus dilakukan oleh manajemen;
anggaran untuk penggunaan ahli kesehatan dan keselamatan di mana pun diperlukan;
kebijakan zero-kecelakaan yang didukung penuh seluruh organisasi;
prosedur untuk menyelidiki penyebab kecelakaan, dekat-kecelakaan atau insiden yang relevan.

Kode perilaku perusahaan dan etika bisnis Kami telah berurusan dengan kebutuhan standar yang jelas
tentang etika bisnis dalam Bab 2. Kami juga menyentuh pada kebutuhan untuk menginstal mekanisme
yang efektif untuk membantu menjaga terhadap penipuan dan korupsi dalam bab ini. Sekali lagi, tanggung
jawab sosial mengasumsikan bahwa gures perusahaan fi kunci yang mengontrol jutaan pound sumber
daya diadakan di mata publik. Ketika staf dipaksa untuk mengambil pemotongan gaji, maka eksekutif
senior mungkin memimpin dan sukarela melupakan kenaikan gaji atau bahkan mendapatkan gaji yang
lebih kecil. Tanggung jawab ini extendsto banyak daerah di mana manajemen puncak diharapkan untuk
menetapkan standar. Auditor akan sekali againreview sejauh mana prosedur yang sesuai berada di
tempat untuk memastikan bahwa standar tinggi ofconduct akan terjadi. Hal ini dimungkinkan untuk
mengajarkan etika bisnis dan membangun program di mana masalah mendasar yang didefinisikan dan
berasimilasi ke dalam kehidupan bisnis.
Tekan hubungan dan standar periklanan Seorang auditor yang ingin tahu seberapa jauh suatu organisasi
menghargai nama publik perlu hanya mengunjungi humas kantor (atau tekan kantor).Jika ini kantor
dinamis dan mengantisipasi jenis informasi bahwa kebutuhan masyarakat, maka harus ada sedikit yang
tidak dapat dikelola dengan baik. Proses pengelolaan media adalah bagian dari sistem kontrol bahwa
auditor akan meninjau. Sekali lagi, kita akan mencari posisi wherethe organisasi mengambil inisiatif pada
isu-isu lingkungan dan tidak satu langkah di belakang tekanan publik.

Sama Peluang Legislasi mengharuskan semua organisasi untuk mematuhi aspek-aspek tertentu dari
mempromosikan kesempatan yang sama. Ini cenderung menutupi ras, jenis kelamin dan cacat dan
designedto memastikan bahwa kelompok-kelompok ini tidak dirugikan dalam hal kesempatan
kerja. Mereka cenderung menjadi bagian dari praktik 'kerja yang baik' daripada persyaratan hukum
ditegakkan. Seperti dengan semua kebijakan, mereka dapat dikenakan suatu cakupan audit internal
dalam hal kecukupan dan efektivitas pengendalian yang mempromosikan keberhasilan pelaksanaan
kebijakan. Kontrol ini mencakup perekrutan yang sesuai, prosedur seleksi dan pemantauan gerakan staf
pada mekanisme organisasi seperti promosi, disiplin staf dan program pelatihan.
Polusi Salah satu perhatian mendasar di seluruh bagian masyarakat berkaitan dengan dampak fisik
proses organisasi dalam hal polusi. Ini mungkin termasuk pencemaran sungai, jaringan parut lanskap,
emisi kimia, pekerjaan penggalian, dibuang sampah dan sebagainya. Kajian audit willassess sejauh mana
organisasi dapat mengukur dampaknya serta menilai ketentuan hukum compliancewith, peraturan
internal organisasi sendiri dan standar cara limbah yang dirancang dan diterapkan.
Intinya untuk audit akan menjadi pertimbangan rinci cara organisasi berusaha untuk
menyeimbangkan berbagai bersaing tujuan sosial dan bisnis. direktur perusahaan berutang kewajiban
kepada pemegang saham mereka untuk memberikan yang terbaik yang mungkin pro fi t pro fi le. Tugas
ini juga untuk memperoleh manfaat dari masyarakat sebagai kekuatan pasar bersaing menyamakan
produksi dan distribusi barang danlayanan. Bisnis berutang kewajiban yang lebih luas untuk memastikan
bahwa mereka beroperasi dengan cara yang adil dan tepat dan sejalan dengan hukum. Mekanisme yang
memungkinkan tindakan penyeimbangan ini mengakibatkan harus tunduk untuk mengaudit cakupan
sebagai kontribusi untuk kesejahteraan masa depan organisasi. Hal ini menjadi lebih serius di mana
organisasi adalah hukum fl outing dan praktik terbaik, menyesatkan publik dan, di ekstrim, memalsukan
hasil tes pada, katakanlah, tingkat limbah kimia. Milenium baru ini cenderung melihat pertumbuhan
badan usaha yang lebih besar yang menekankan kesadaran sosial dan di mana peran audit dalam
mempromosikan kebijakan ini menerima banyak dukungan.

Sistem Keuangan Audit

Banyak memikirkan audit internal sebagai terutama berkaitan dengan sistem keuangan. Ini
berasal dari tradisi audit, yang diprioritaskan masalah keuangan sebagai kunci untuk akuntabilitas dan
dengan demikian membutuhkan verifikasi yang sedang berlangsung dan review. Kami sejauh ini membuat
sedikit referensi untuk peran khusus sistem keuangan karena kita melihat semua operasi sebagai penting
untuk manajemen dan karena itu kesejahteraan berlanjut dalam organisasi. Pandangan ini sepenuhnya
dipertahankan meskipun faktanya bahwa manajemen keuangan mungkin memiliki rencana pemeriksaan
karena risiko tinggi melekat aspek kegiatan bisnis. Itu akan salah untuk meninggalkan diskusi kami tinjauan
operasional tanpa menyebutkan sifat khusus dari sistem berbasis finansial:
Akuntabilitas Setiap sistem manajerial kontrol harus menggabungkan konsep utama akuntabilitas
manajerial. Berikut sistem harus di tempat yang mencatat hasil bisnis kegiatan dan memperhitungkan apa
yang telah terjadi selama periode waktu yang ditetapkan. Akuntabilitas keuangan adalah sama pentingnya
karena ini terletak dengan baik dengan mempercayakan sumber dianggarkan manajemen, maka harus
memperhitungkan cara anggaran ini telah dikeluarkan.
Kerja garis depan Ada beberapa sistem keuangan yang benar-benar mewakili pekerjaan garis depan dan
bukan hanya mendukung layanan. Di sini, sistem pengolahan dasar yang memperhitungkan pendapatan,

utang, pembayaran, hibah dan sebagainya berputar di sekitar arena keuangan. Ini merupakan sistem yang
sangat besar dalam mereka sendiri yang tepat yang dapat menjelaskan jutaan pound dari transaksi yang
diproses dalam satu apapun tahun. Dengan demikian, mereka menganggap suatu kepentingan untuk
rencana audit dan menarik sumber daya yang didedikasikan untuk memastikan bahwa kontrol berada di
tempat dan bekerja. Kami menerima bahwa auditor eksternal tidak memiliki peran dalam hal ini meskipun
sistem ini digunakan sebagai jalan pintas untuk memverifikasi angka di rekening akhir.
Peraturan keuangan peraturan keuangan dan buku pegangan manajemen keuangan perangkat untuk
memastikan ada standar perusahaan atas cara keuangan dikelola di organisasi. Salah satu model dari audit
internal menunjukkan bahwa itu ada untuk mempromosikan kepatuhan dengan peraturan keuangan yang
dikeluarkan oleh direktur keuangan. Audit internal ikuti peraturan ini dalam organisasi dan memeriksa
bahwa mereka sedang diterapkan sebagaimana dimaksud. Hal ini relevan dengan lokasi terpencil yang
merupakan fitur geografis penyebaran organisasi yang memiliki cabang di strategis daerah. Layanan audit
internal memiliki ciri khas keuangan dan kehendak ini fitur dalam rencana, kerja dan laporan yang
dihasilkan. Dalam satu organisasi manual keuangan memiliki berikut bagian utama:
Pengenalan
Tanggung Jawab Staff
Pembelian
Pendapatan
Kas kecil
Sistem komputer keuangan
Perusahaan kartu kredit

Informasi latar Belakang

Struktur kode rekening
Pembayaran
Penerimaan dan nafkah
Upah dan gaji
Prosedur asuransi
Istilah akuntansi berguna

Interogasi Sistem Keuangan rentan terhadap interogasi borongan di mana database yang relevan dapat
diuji secara luas oleh auditor. Ketika menangani jenis sistem, penerapan teknik interogasi yang cocok
hampir wajib sebagai cara masuk ke sistem dan catatan terkait. Setiap masalah yang ditemukan tidak
hanya menunjukkan kesalahan tetapi mungkin juga berarti bahwa akun tersebut adalah salah atau
penipuan yang telah dilakukan, dan pertimbangan tersebut harus diingat oleh auditor. Keterampilan dan
teknik tertentu ikut berperan sebagai auditor menangani sistem keuangan besar dan keterampilan ini
datang dengan premium. Tidak semua auditor memiliki yang keterampilan yang tepat untuk mengambil
jenis proyek dan latar belakang akuntansi pasti berguna.
audit Sistem Informasi auditor dapat membantu sistem keuangan auditor dalam mencari untuk meninjau
dan menguji sistem keuangan besar. Banyak keterampilan auditor SI juga relevan dengan sistem keuangan
auditor sebagai jenis pekerjaan juga akan cenderung melibatkan sistem otomatis.
Banyak auditor operasional menghadapi prospek yang menarik meninjau operasi tingkat tinggi
yang rumit yang memerlukan banyak keterampilan dan perawatan. Ini adalah arah audit internal seperti
baru dan daerah yang lebih penting ditangani dalam pencarian untuk kinerja dan kualitas sistem yang
lebih baik. Setelah mengatakan ini, adalah penting bahwa pencarian ini untuk pendekatan baru bukan
berarti kita membuang bayi keluar dengan air mandi '. Untuk tujuan ini, kita tidak bisa melupakan
pentingnya sistem audit keuangan yang rumit ada di semua organisasi besar. Sayangnya, operasional
auditor tidak dapat secara umum merasakan nilai (dan kesulitan) meninjau sistem keuangan sampai
mereka benar-benar melakukan pemeriksaan seperti itu. Auditor menyeluruh-baik di sisi lain memiliki
eksposur untuk sistem operasional keuangan dan garis depan selama nya / karirnya dan ini harus pasti
didorong.

Audit Kontrak
Kami telah mendedikasikan seluruh bagian untuk audit SI atas dasar bahwa semua organisasi
besar akan mengelola sistem otomatis dan teknik untuk mendukung kegiatan bisnis mereka. Demikian
juga, kita mungkin telah membahas audit kontrak menggunakan argumen yang sama; bahwa semua
organisasi masukkan kontrak dari beberapa macam. Bahkan, kami belum menerapkan pendekatan ini
sejak terbuka Ulasan dari array yang luas dari area audit yang spesialis akan pernah berakhir. Auditor
internal akan terlibat dalam berbagai macam sistem bisnis tergantung pada sifat organisasi dan
pendekatan mereka dengan pekerjaan audit. Jasa keuangan, asosiasi perumahan, perusahaan
manufaktur, departemen pemerintah, industri jasa, farmasi, pelayanan kesehatan dan sebagainya,
masing-masing membutuhkan beberapa spesialisasi dalam jenis bidang operasional yang fitur dalam
organisasi di pertanyaan. Keterampilan ini akan diperoleh dari waktu ke waktu sebagai auditor
mengamankan lebih banyak dan keahlian yang lebih sesuai. Mudah-mudahan, penerapan teknik audit
ditetapkan dengan kerangka teoritis audit internal akan membantu tugas ini dan memberikan tempat
awal alami untuk auditor lapangan. Audit kontrak disebutkan karena ada beberapa persoalan mendasar
yang dapat digunakan dalam setiap peran audit. Ini termasuk:
Modal kontrak Kejayaan audit kontrak dikembangkan setelah Perang Dunia Kedua ketika membangun
baru dan investasi modal yang besar berarti bahwa struktur dan perkembangan adalah fitur biasa dari
kehidupan bisnis. Pekerjaan rekonstruksi menyebabkan pengeluaran yang luas yang harus diaudit.
Keahlian khusus yang dibutuhkan mengakibatkan kerja inspektur kuantitas, arsitek, desainer, insinyur dan
teknisi di departemen audit internal. Bagian Audit kontrak besar muncul untuk mendukung ini. Saat ini,
sebagian besar organisasi telah pindah dari strategi ekspansi, sementara perkembangan baru yang tidak
sering. Kecenderungan cara perbaikan bahwa karya-karya besar akan didasarkan sekitar refitting struktur
yang ada bukan membangun baru. Ada pengecualian untuk tren ini dan satu masih dapat melihat situs
bangunan di banyak daerah, terutama lebih murah, keluar dari lokasi kota. Pekerjaan kontrak auditor
telah mengubah pengakuan ini faktor dan itu adalah dalam konteks ini bahwa kita bisa daftar beberapa
isu yang relevan mengenai jenis kerja ini.
Kontrak pendapatan Semua organisasi besar masuk ke dalam berbagai kontrak pendapatan sebagai
bagian dari kegiatan harian. Ini berkisar dari kontrak kecil untuk penyediaan alat tulis hingga yang besar
sebagai layanan yang merupakan bagian penting dari layanan dukungan komputasi. Pengeluaran agregat
kontrak mungkin menjadi materi dan akan muncul dalam rencana audit. Sebuah organisasi yang dinamis
akan sumber daya layanan hukum yang menjamin kontrak ini terkandung dalam kerangka diterima oleh
organisasi dan tidak harus dalam format pemasok. Kepatuhan dan standar yang melayani kontrak untuk
manajemen kontrak fitur lain dari pendekatan perusahaan bahwa auditor akan berusaha untuk
mempromosikan.
Menghubungkan ke pembelian Auditor kontrak akan meninjau kebijakan pembelian perusahaan dan
fungsi. Di mana pembelian lokal adalah model diterapkan, perlu ada kerangka perusahaan standar di
mana ini menghabiskan keputusan akan dimuat. Ini adalah lebih dan di atas lebih terbatas prosedur
pengendalian anggaran yang juga harus diterapkan. Pedoman Eropa dan konvensi internasional
membawa dengan mereka rasa kepatuhan untuk pekerjaan auditor, di mana manajemen operasional
kadang hanya menyadari peraturan yang tepat bahwa mereka harus membuat referensi ketika
mempersiapkan kontrak baru. Ini juga merupakan daerah siap untuk penipuan dan korupsi di mana ada
sistem yang kurang kontrol.

Layanan dieksternalisasi Banyak direksi baru datang ke pos dengan dasar 'kontrak itu' sudut pandang. Ini
terlihat sebagai jawaban kerusuhan industri, kinerja yang buruk, overspends anggaran dan kondisi yang
merugikan lainnya. Apa yang banyak orang seperti gagal untuk menghargai adalah bahwa strategi ini,
seperti semua orang lain, harus disertai dengan kontrol yang sesuai untuk itu untuk bekerja sampai batas
tertentu. Jika ini Pendekatan diadopsi, labirin yang rumit kontrak akan dikembangkan bahwa antarmuka
di dan seluruh organisasi, yang mempengaruhi banyak dukungan dan layanan garis depan. Tanpa utama
investasi dalam sumber daya manajemen kontrak, yang mengambil rute PI papan, posisi hukum, hal
akuntansi dan pengaturan kontrak, dan tanpa memastikan kelangsungan layanan pengiriman, pengaturan
ini mungkin hanya gagal. Sejarah mencatat jumlah kontrak layanan yang telah berakhir di arbitrase atau
tindakan pengadilan dan ini tidak hanya biaya uang tetapi juga melibatkan gangguan layanan. Hal ini tidak
cukup untuk membangun hukuman dalam setiap kontrak karena ini adalah jalan terakhir untuk
menghukum kontraktor. Upaya diarahkan pada membangun hubungan kerja yang baik dengan kontraktor
berdasarkan pada istilah yang jelas dari referensi, pemantauan ketat dan memastikan kedua belah pihak
gain adalah solusi yang lebih baik. Ini dan hal-hal lainnya yang terkait harus fitur dalam pekerjaan auditor
dan laporan.
Keterampilan berasimilasi Kami perlu menyebutkan dasar keterampilan auditor dan cara itu dipengaruhi
oleh pengaturan kontrak bahwa organisasi telah dilakukan. Komputer auditor, keuangan sistem auditor,
penipuan penyidik dan kejujuran auditor masing-masing akan menemukan berbagai besar kontrak selama
audit. Hal ini tidak mungkin lagi untuk meninggalkan kontrak sebagai provinsi auditor kontrak spesialis.
Dasar kontrak keterampilan harus berasimilasi ke dalam bidang umum gudang senjata auditor
keterampilan, pengetahuan dan disiplin dan ini akan menjadi fitur yang berkembang.
Manajemen bertanggung jawab untuk melaksanakan pertanyaan pemecahan masalah dan
penyelidikan VFM, sementara audit dapat membantu mereka. Sebaliknya, audit bertanggung jawab untuk
melaksanakan ulasan tentang sistem manajemen risiko dan pengendalian internal, dan konsultasi
terhadap pekerjaan audit harus dilihat dalam konteks ini. Ada banyak yang semua organisasi perlu
dipertimbangkan ketika membuat yakin bahwa itu adalah di sesuai dengan undang-undang.

7.9. Pendekatan Konsultasi

Auditor internal telah bermain-main dengan menyediakan bentuk layanan konsultasi internal
yang selama bertahun-tahun. Standar IIA sekarang membuat jelas bahwa audit internal dapat
memberikan konsultasi serta sebagai jaminan bekerja untuk sebuah organisasi. Buku panduan IIA
Menerapkan Praktek Profesional Kerangka menunjukkan enam jenis pekerjaan konsultasi:
1. keterlibatan Formal - direncanakan dan perjanjian tertulis;
2. keterlibatan Informal - pertukaran informasi rutin dan partisipasi dalam proyek, pertemuan dan
seterusnya;
3. Layanan Darurat - bantuan sementara dan permintaan khusus;
4. layanan Penilaian - informasi kepada manajemen untuk membantu mereka membuat keputusan,
untuk Misalnya, diusulkan sistem baru atau kontraktor;
5. Jasa Fasilitasi - untuk perbaikan, misalnya, CSA, benchmarking, dukungan perencanaan;
6. Jasa Remedial - untuk mengasumsikan peran langsung untuk mencegah atau memulihkan
masalah, untuk Misalnya, pelatihan manajemen risiko, pengendalian internal, masalah kepatuhan
penyusunan kebijakan.

Hal ini penting untuk membuat jelas apa yang merupakan pekerjaan konsultasi sejak IIA Atribut
Standar 1000.C1 mengatakan 'Sifat jasa konsultasi harus didefinisikan dalam piagam. " Salah satu
kesulitan adalah ketik salah satu konsultan yang terdiri dari keterlibatan formal dengan perjanjian yang
direncanakan dan tertulis. Buku seri IIA selanjutnya membedakan antara pekerjaan konsultasi opsional
dan wajib jasa asuransi:
Jaminan - kecukupan pengendalian intern entitas, kecukupan proses atau sub-entitas internal
yang kontrol, kecukupan ERM, kecukupan proses tata kelola, sesuai dengan undang-undang atau
peraturan.
Consulting - peningkatan efisiensi atau efektivitas, bantuan dalam desain korektif tindakan,
pengendalian yang diperlukan untuk desain sistem baru, benchmarking.
Kita perlu beralih ke profesional konsultan manajemen untuk memperoleh wawasan jenis
Pendekatan yang dapat dipertimbangkan untuk proyek-proyek konsultasi formal. Salah satu pendekatan
yang terkenal untuk tugas konsultasi melibatkan urutan dasar sebagai berikut:
1.
2.

3.

4.

Masuk - pekerjaan latar belakang, kontak awal dengan klien, survei awal (apa masalah?);
Kerangka acuan - lebar dan kedalaman, rentang waktu, sumber daya dan pelaporan garis:
membuat jelas persyaratan Standar Kinerja 2120.C1, yang menyatakan bahwa 'selama konsultasi
keterlibatan, auditor internal harus mengatasi risiko sesuai dengan tujuan keterlibatan ini dan
harus waspada terhadap adanya risiko signifikan lainnya '; juga membuat sesuai jelas peran dan
apakah pekerjaan melibatkan membantu orang melakukan analisis dan memecahkan bisnis
mereka masalah, atau apakah itu tentang mengatasi masalah dan membuat rekomendasi untuk
klien pada cara ke depan;
Kontrak - secara tertulis, mengapa tugas yang diperlukan, kerangka acuan (TOR), apa yang akan
diperiksa, tindakan yang harus diambil untuk orang yang tertarik, menyepakati peran masing,
dukungan dan melaksanakan rekomendasi - siapa melakukan apa; pemantauan pengaturan untuk
proyek dan jalur pelaporan dan perencanaan dan monitoring; itu juga mungkin ide untuk
membangun di setiap kerahasiaan klausa dan isi IIA Standar Kinerja 2130.C2, yang menyatakan
bahwa 'Auditor internal harus menggabungkan pengetahuan kontrol diperoleh dari keterlibatan
konsultasi ke dalam proses mengidentifikasi dan mengevaluasi eksposur risiko yang signifikan dari
organisasi. "
Analisis - yang meliputi:
Diagnosis - menimbang-nimbang bukti, apa yang dapat diterima, alternatif solusi,
komputerisasi, apa adalah biaya yang paling efektif, kendala kebijakan dan kemudian
pengambilan keputusan;
Perencanaan untuk tindakan - rekomendasi tegas, berdasarkan temuan, kebijakan dan sosial
pertimbangan, reaksi klien, laju perkembangan IT, dampak pada VFM, partisipatif
Pendekatan, laporan pendahuluan, laporan secara lisan;
Implementasi - manajemen yang bertanggung jawab untuk implementasi, rutin tindak lanjut
setelah enam bulan: berapa banyak kita harus mendukung manajemen dalam pelaksanaan pelaksanaan harus direncanakan mengawasi reaksi staf; konsultan mungkin tersedia untuk
membantu melatih staf (melatih kelompok kecil yang kemudian melatih kelompok yang lebih
besar), membantu mengantisipasi masalah, membantu mengembangkan rencana aksi dan
pos pemeriksaan, tetapi tidak harus merampas manajemen - kebutuhan untuk menetapkan
tanggal saat Keterlibatan konsultan berhenti; Juga untuk membuat manajemen senior
memastikan terlibat dalam lebih proyek-proyek kompleks.

5.

Pers - dari kontrak ketika semua pekerjaan telah selesai. Proposisi nilai tambah adalah bahwa
auditor internal dapat menambah kesegaran pandang dan datang tanpa asumsi inbuilt dari orangorang yang mengoperasikan jalur bisnis. Wawasan baru telah dijelaskan oleh Milan Kubr:
Bisa keberatan bahwa manajer juga perlu memiliki ini berbagai pengetahuan dan keterampilan,
dan bahwa setiap situasi manajemen adalah unik. Apa yang kemudian dapat diperoleh dengan
membawa pendatang baru siapa yang tidak kenal dengan situasi tertentu? Selama bertahuntahun, konsultan manajemen melewati banyak organisasi dan belajar bagaimana menggunakan
pengalaman dari tugas sebelumnya dalam membantu klien baru mereka, atau klien lama mereka,
untuk menghadapi situasi baru. Karena mereka terkena banyak kombinasi berbagai keadaan,
konsultan belajar bagaimana membedakan kecenderungan umum dan penyebab umum dari
masalah, dengan baik a peluang untuk menemukan solusi yang tepat; mereka juga belajar
bagaimana untuk mendekati masalah baru dan peluang. Selain itu, konsultan profesional terus
mengikuti perkembangan manajemen Perkembangan sastra dan dari dalam konsep manajemen,
metode dan sistem, termasuk yang mengambil tempat di universitas dan lembaga penelitian.
Sehingga mereka berfungsi sebagai penghubung antara teori dan praktek manajemen.

Sebuah model lanjut dari penyelidikan konsultasi telah dikembangkan oleh penulis dan terdiri dari
Prosedur yang melibatkan 10 langkah dasar seperti yang ditunjukkan pada Gambar 7.34.
[1] Hal awal acuan untuk pekerjaan
[2] Survei pendahuluan
[3] Membangun anggapan
[4] Perencanaan audit dan program kerja
[5] Pekerjaan lapangan lengkap
[6] Tentukan mendasari penyebab masalah
[7] Tentukan dan mengevaluasi pilihan yang tersedia
[8] Tes yang dipilih pilihan
[9] Diskusikan dengan manajemen
[10] Laporan
GAMBAR 7.34 Pertunjukan penyelidikan konsultasi.
[1]

hal Awal acuan untuk pekerjaan

Melakukan kunci pengarahan manajer dan diskusi di review

gejala Outline dan masalah daerah utama

Menetapkan kriteria keberhasilan manajemen

Dokumen sejarah singkat tentang peristiwa yang relevan dengan masalah di tangan

Tunjukkan kendala tertentu diakui oleh manajemen

Lihatlah ke kebijakan manajemen pada solusi yang tidak dapat diterima, misalnya,
pemotongan staf atau besar restrukturisasi

Tunjukkan rencana masa depan bahwa manajemen telah ditetapkan untuk jangka
pendek dan menengah
Kami membangun kerangka kerja untuk latihan, lingkup tinjauan dan indikasi manajemen
perlu.

[2]

survei pendahuluan
menit Komite / alas yang berdampak pada review
diskusi singkat dengan staf untuk menilai konsistensi umum dengan masalah utama
PI
Analisis gejala untuk menangkap 'apa yang benar-benar salah'
laporan internal dan anggaran
penelitian yang dipublikasikan relevan yang berhubungan dengan bidang pekerjaan
tertentu
Kunjungan ke lokasi.
Kami mendefinisikan masalah secara rinci dan membangun anggapan garis berdasarkan
masalah ini (mis berbagai kemungkinan penyebab).

[3]

Membangun anggapan
Efek dari masalah kinerja, kualitas dan VFM
Materialitas masalah
Hirarki pengandaian: yang paling signifikan pertama
Indikasi bagaimana dugaan dapat diuji untuk menentukan apakah mereka benar atau
tidak
Kemungkinan penyebab dari masalah (berbasis di sekitar anggapan)
sejauh mana keseluruhan masalah.
Kita harus setuju dengan manajemen tentang apa masalahnya, kemungkinan penyebab
mereka dan bagaimana mereka akan ditangani dalam pemeriksaan.

[4]

perencanaan Audit dan program kerja

Jumlah auditor diperlukan dan waktu anggaran
Tingkat dan jenis keahlian yang dibutuhkan
Pengawasan staf ditugaskan untuk proyek; seberapa sering dan bagaimana hal ini akan
dilakukan
Pedoman pengujian
pengaturan Ulasan meliputi pekerjaan audit seperti yang dilakukan
pengaturan Pelaporan
Program kerja (banyak akan terdiri dari penelitian dan pengujian)
Waktu yang tersedia dan tenggat waktu: untuk proyek-proyek lama itu adalah praktik
yang baik untuk mengatur tonggak dengan produk didefinisikan dan kemajuan Ulasan
poin
Pengaturan administratif termasuk perjalanan, biaya, akomodasi, komputer, dan
sebagainya.
Hal ini dimungkinkan untuk menetapkan kemajuan checklist tugas yang jelas dan tanggal yang
mendasari yang dapat dipantau selama durasi proyek.

[5]

pekerjaan lapangan lengkap

wawancara Programmed
penelitian Tersedia yang harus diamankan dan diambil di papan
Re-kinerja tugas-tugas tertentu jika diperlukan
pendapat ahli Independent mana yang sesuai

Inspeksi
analisis Penyebab-dan-efek
Analisis statistik
Kuesioner
Pembangunan PI baru jika diperlukan
Lain rutinitas pengujian tertentu.

Tujuannya adalah untuk menetapkan apakah anggapan asli benar. Ini berarti mengamankan
memadai bukti yang dapat diandalkan.
[6]

Tentukan mendasari penyebab masalah

Rinci diskusi dengan manajemen
Ulasan struktur manajerial
Ulasan praktek manajerial yang ada
Penentuan besarnya pengaruh dari lingkungan eksternal
Tingkat kontrol manajerial dan bimbingan yang tersedia untuk staf
Membangun hubungan yang jelas antara masalah dan penyebab
Membedakan antara gejala dan sebab-sebab yang mendasari.
Kami akan mencari tahu mengapa masalah ini muncul di tempat pertama tanpa harus
menugaskan menyalahkan.

[7]

Tentukan dan mengevaluasi pilihan yang tersedia

Penelitian yang luas dalam mengisolasi pilihan yang cocok

Ide dari manajer dan staf

solusi Textbook untuk membentuk tempat awal

Model bangunan
Penerapan berpikir kreatif
Penentuan praktek terbaik yang relevan di tempat lain yang dipindahtangankan.
Pilihan yang tersedia yang lebih baik, asalkan mereka layak.

[8]

Tes yang dipilih Pilihan

manfaat Ditetapkan
keahlian Staf tersedia dan diperlukan
biaya keuangan aktual
implikasi sumber daya Umum
aspek motivasi dan berdampak pada arus kerja
Jadwal pelaksanaan
aspek politik
knock-on efek untuk sistem lain
perbaikan Incremental atau pendekatan 'big bang' lebih berisiko
dampak keseluruhan pada 'masalah'
Apakah itu sesuai dengan fundamental 'aturan' dari manajemen perubahan yang
berhasil.
Kita harus ingat bahwa tidak ada solusi 100%.

[9]

Diskusi dengan manajemen

Kendala yang dihadapi manajemen, termasuk praktis
Perjanjian tentang isi faktual dari laporan
Ingatlah biaya audit dan kebutuhan untuk memberikan manfaat pasti
Perhatikan psikologi negosiasi - misalnya, mencari kompromi parsial di mana diperlukan
Perlu tujuan manajerial pikiran dan kriteria keberhasilan nyata mereka
Pertimbangkan tingkat pekerjaan yang dilakukan dan sejauh mana kita dapat yakin posisi
kami
Pertimbangkan penerimaan keseluruhan pekerjaan audit.
Ini adalah praktek terbaik untuk memberikan presentasi lisan kepada manajemen puncak di
mana ada besar implikasi dari tinjauan dan rekomendasi terkait.

[10]

Laporan
Laporan harus secara resmi dibuka untuk publikasi akhir
Ini idealnya harus perpanjangan dari presentasi lisan
Perlu dipastikan bahwa laporan sesungguhnya adalah benar
Semua masukan manajerial harus tercermin dengan baik
Laporan struktur harus baik dan ditulis dengan baik.

Tindakan manajemen yang diperlukan harus sepenuhnya jelas dan kami berharap untuk lulus tanggung
jawab atas pengelolaan dan dijual ide-ide kita kepada mereka pada saat laporan ini dikeluarkan. Sebuah
struktur laporan standar dapat muncul seperti pada Gambar 7.35.
Pengantar
pemberi pekerjaan fakta bahwa itu adalah konsultasi, perbedaan antara VFM dan sistem
Latar Belakang Operasi
Hal ini biasanya akan mencakup:
kegiatan utama, sejarah singkat, ulasan sebelumnya, anggapan utama
Temuan Utama
Untuk setiap anggapan
Rekomendasi
Pilihan harus didefinisikan menyatakan, bila sesuai, setiap dikuantifikasi tabungan dan efek pada
anggaran resmi
Lampiran
Dapat terdiri dari indikator kinerja

GAMBAR 7.35 struktur laporan Standard.

Mengelola Perubahan
Perubahan manajemen adalah disiplin dalam dirinya sendiri bersama pengakuan yang
berkembang dari peran penting jelas strategi perubahan. Konsultan audit juga terutama terlibat dalam
perubahan Proses, melalui kepedulian mereka untuk mencari perbaikan dalam manajemen risiko dan
pengendalian. Banyak dari peran konsultasi untuk proyek-proyek strategis yang lebih besar akan berkisar
pada manajemen perubahan Peran yang mengapa studi tentang prinsip-prinsip dasar manajemen
perubahan pasti akan membayar dividen
untuk auditor internal. Hal ini jelas bahwa manajer mulai mengadopsi pandangan bahwa miskin
Kinerja dapat diperbaiki melalui perubahan positif dan direncanakan. Sektor publik adalah salah satu
daerah yang akan melalui latihan reformasi besar dan berkelanjutan dalam upaya untuk meningkatkan
efisiensi, efektivitas dan kualitas dalam pelayanan publik. Dengan mempelajari perubahan sebagai suatu
topik, yang auditor mungkin dapat mempromosikan penggunaan teknik perubahan dengan manajemen
dalam khusus Strategi dirancang yang memungkinkan mereka untuk mengelola dan mengendalikan
proses perubahan. Bahkan ada satu lihat yang menunjukkan bahwa auditor dapat menjadi agen
perubahan yang mendasari fundamental proses perubahan. Dalam konteks ini, konsultan audit dapat
menjadi bagian penting dari manajemen mencoba untuk insinyur perubahan, titik yang harus sepenuhnya
diakui jika rekomendasi ini untuk memiliki dampak yang besar.

Kebutuhan untuk Perubahan

Ada tren didirikan untuk organisasi organik adaptif, yang memiliki kemampuan untuk mengubah
sebagai faktor bersaing mengubah dan mempengaruhi itu. fitur utama yang mempromosikan perubahan
yang sedang berlangsung antara lain:

tumbuh dampak tata kelola perusahaan dan manajemen risiko;

ketersediaan ahli spesialis yang dapat memberikan nasihat tentang perubahan tertentu;
pengetahuan dan keterampilan umum yang terletak di seluruh organisasi;
komunikasi yang lebih penasehat yang bertentangan dengan mengarahkan petunjuk;
lebih komitmen dari karyawan;
tugas individu sumber daya jika diperlukan.

Ada alasan praktis lain mengapa organisasi perlu mengubah:

1.
2.
3.
4.
5.

Meningkatkan kompetisi berarti fleksibel, selalu berubah organisasi sekarang norma.

Lebih partisipasi karyawan dan karena itu meningkatkan bentuk inovasi dasar yang kuat di mana
inisiatif perubahan dapat dikembangkan.
Tekanan pada sumber daya keuangan memberikan dorongan untuk melangsingkan bawah dan
restrukturisasi berkala.
Masalah interfacing departemen yang berbeda dapat menghasilkan formula perubahan.
tingkat yang lebih besar profesionalisme menyediakan akses ke keahlian pada manajemen
perubahan. Ini dapat dilihat sebagai 'fenomena MBA' dimana staf baru memenuhi syarat
bergabung dengan organisasi dengan maksud untuk melakukan hal-hal dengan cara-cara baru
dan lebih baik.

6.

7.

8.

9.

Lebih baik mekanisme penilaian kinerja memungkinkan manajemen untuk memantau kinerja dan
sasaran sumber daya dengan cara yang paling kondusif untuk pencapaian tujuan organisasi. Ini,
bagaimanapun, adalah tergantung pada sistem informasi yang mendasari baik.
Kecenderungan untuk membedakan kegiatan membuka jalan untuk proses re-engineering untuk
diterapkan. Konsep unit bisnis mendorong pendekatan berbasis client untuk bekerja manajer
mana lokal dapat membuat sebagian besar keputusan bisnis tanpa mengacu pada mekanisme
persetujuan perusahaan.
teknik peramalan yang lebih baik lagi membantu proses maju-perencanaan, yang pada gilirannya
mempromosikan tindakan manajemen yang sesuai dengan kegiatan dengan kemungkinan
perubahan dalam lingkungan.
Perubahan teknologi dan peningkatan sistem informasi pendukung keputusan juga relevan tren
secara keseluruhan ini.

Drive ke arah efisiensi yang lebih besar dan kinerja dan banyak dicari-cari 'kompetitif tepi'. Dapat
dikatakan bahwa manajer sekarang harus menjadi ahli dalam manajemen perubahan terlepas dari
lapangan ia / dia beroperasi dalam. Selanjutnya, auditor internal harus, sebagai minimum, memahami dan
mendukung keahlian ini jika dia / dia belum konsultan perubahan.

Implikasi Perubahan dan Program HRM

Perubahan akan cenderung mempengaruhi tiga bidang utama organisasi:

Struktur. Ini diharapkan dengan kecenderungan berubah, organisasi datar dengan rantai
desentralisasi perintah dan bekerja lebih baik arus, bersama dengan kontak yang lebih dekat
dengan klien dan pelanggan.
Teknologi. Ini termasuk peralatan modal dan tugas gabungan. Hubungan antara struktur
organisasi dan teknologi yang mendasari adalah fitur dalam sistem sosial-teknologi sekolah
pemikiran. teknologi baru dengan cepat dibawa jika ia berpikir bahwa ada sebuah layanan
Keuntungan pengiriman yang dapat dijamin, tanpa terlihat sebagai isu utama.
Orang-orang. Seleksi, skema pelatihan dan reward yang diberikan perhatian meningkat di
pencarian orang yang tepat. Organisasi di masa lalu telah mencoba untuk sistem 'cocok' ke orang,
tapi sekarang semakin membeli pada orang yang masuk ke dalam sistem. Orang-orang sekarang
diperlukan untuk mengubah untuk bertahan hidup, karena pekerjaan tidak lagi dijamin.

Hal ini dimungkinkan untuk memperluas model ini untuk menutupi mengevaluasi pilihan utama dengan
bahan berpengaruh pada organisasi. Di masa lalu, manajemen telah mempertimbangkan opsi melalui dua
kriteria:
1.
2.

kelayakan ekonomi.
penerimaan sosial.

Perubahan manajemen mengharuskan manajemen untuk mempertimbangkan dimensi ketiga:

Hubungan manusia implikasi. Di sini setiap individu (dan kelompok individu) dapat terpengaruh
dalam hal implikasi ekonomi, sosial, pribadi dan politik. Para pekerja sekarang memiliki peran
tambahan atas dan di atas fungsi operasional, karena mereka sekarang harus menjadi positif,
komponen interaktif dari program perubahan. Manajemen mungkin bereaksi terhadap tanda-

tanda perubahan dengan modifikasi sedikit demi sedikit. Atau, mungkin mengembangkan dan
sumber daya program perubahan sejalan dengan manajemen sumber daya manusia yang jelas
Program atas dan di atas pelatihan belaka. Sebuah agen perubahan harus ditunjuk untuk
memfasilitasi ini.

Individu Analisis Biaya-Manfaat

Beberapa penulis berpendapat bahwa ketika latihan perubahan besar dilakukan, masing-masing
anggota organisasi cenderung untuk melakukan biaya-manfaat individual analisis untuk mengidentifikasi
keuntungan dan kerugian sebagai diilustrasikan pada Tabel 7.2.
TABEL 7.2 analisis biaya-manfaat individu.
Keuntungan yang dirasakan
Lebih kenyamanan
Keuntungan sosial di status
Kepuasan kerja
Lebih aman (lebih terampil)
Keuntungan ekonomi
Kondisi lebih baik

Kerugian yang dirasakan

Ketidaknyamanan personal
Ketakutan sosial
Kurang kepuasan kerja
Tidak aman
Kerugian ekonomi
Waktu lebih

Setelah menimbang masing-masing faktor individu akan memutuskan apakah nya / dukungannya
untuk perubahan akan tinggi atau rendah. Ingat bahwa tingkat dukungan akan bervariasi tergantung pada
apakah orang tersebut bagian dari manajemen puncak, manajemen menengah atau staf garis depan.
Bukan itu tidak biasa untuk rasa kehilangan yang dialami sebagai akibat dari perubahan yang direncanakan
bahkan di mana didefinisikan manfaat akan diterima. Pada dasarnya, ini dapat dilihat sebagai hilangnya
keamanan bahwa banyak orang butuhkan, yang berasal dari lingkungan mapan. Masalahnya adalah
bahwa sementara keamanan dicari pada saat turbulensi, itu adalah masa-masa yang sama yang menuntut
perubahan besar dari organisasi dan di sinilah letak potensi konflik. Faktor ini mungkin mendikte sejauh
mana karyawan terlibat dalam, atau menjauhkan dari, keputusan perubahan. Banyak manajer senior
membuat kesalahan dengan menganggap bahwa perubahan akan bersifat sementara dan tidak
mengganggu. Dengan demikian mereka gagal untuk menginstal kontrol yang efektif pada tahap awal
dalam proses, untuk mengantisipasi jenis masalah. Audit internal adalah ideal ditempatkan oleh dihapus
dari detail operasional, untuk menentukan jenis persyaratan kontrol yang timbul dari program, serta
menunjukkan hambatan efektif kinerja.

Resistensi terhadap Perubahan dan Masalah Associated Lainnya

Di mana anggota organisasi telah mengadopsi strategi perubahan resistensi akan ada masalah
dalam melaksanakan perubahan. resistensi dibenarkan untuk mengubah mungkin berasal dari:
Ketidakpastian efek dari perubahan melalui kurangnya informasi Ketika baru hal muncul tanpa
peringatan atau informasi untuk menempatkan mereka ke dalam perspektif, ada alami kecenderungan
ketakutan. diketahui memegang ketakutan bagi banyak orang yang tidak berkembang pada
ketidakpastian, tetapi lebih memilih untuk bekerja dalam lingkungan yang terkendali. Ini adalah mengapa
sangat penting untuk menjaga manajemen menyarankan tentang temuan audit sebelum laporan
rancangan formal dimasukkan sebelum.

Keengganan untuk menyerah manfaat yang ada yang terancam oleh perubahan yang direncanakan
Kita mungkin berusaha untuk mengubah keseimbangan kekuasaan melalui perubahan yang direncanakan
dan ada tingkat resistensi yang berasal dari protectionalism dalam hal kekuasaan tersebut. Misalnya,
auditor mungkin khawatir tentang fakta bahwa dukungan hanya satu IT spesialis memiliki pengalaman
tertentu aplikasi perusahaan dan laporan audit dapat mengomentari ini sebagai merupakan kontrol yang
buruk. Ini adalah posisi yang benar dalam hal kesejahteraan organisasi, tetapi dapat menyebabkan
resistensi besar dari petugas IT seperti menghilangkan dia dari posisi kekuatan besar.
Kesadaran kelemahan tertentu / celah dalam perubahan yang diusulkan Ada kali ketika koperasi tahu
lebih jauh tentang area kerja tertentu daripada orang-orang yang mengembangkan program perubahan.
Apa yang muncul pada pandangan pertama menjadi perlawanan dari staf garis depan, mungkin di Praktek
khawatir tentang masalah yang melekat dalam perubahan itu sendiri. Sebagai contoh, baru sistem
komputer yang memberikan waktu respon sangat lambat mungkin menciptakan masalah dari operasional
Staf yang belum sepenuhnya dihargai oleh tim proyek bertanggung jawab untuk melaksanakan sistem
baru.
Ada banyak masalah yang dapat timbul di mana ada tingkat tinggi resistensi terhadap
direncanakan perubahan yang dapat mengancam proses perubahan seluruh jika dibiarkan tanpa
pengawasan. Masalah berikutnya dapat hasil dari program perubahan buruk direncanakan:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.

19.
20.

rendahnya kualitas pekerjaan yang merusak produktivitas, pelayanan dan kinerja;

pemogokan dan bentuk lain dari aksi industri terbuka;
pertengkaran terus-menerus di antara tenaga kerja yang mengarah ke suasana stabil;
permusuhan sungguh-sungguh terhadap manajemen yang mirip dengan 'pekerjaan-to-rule' jenis
lingkungan;
sabotase;
dukungan tanda tanpa makna atau kedalaman;
penurunan output mempengaruhi tingkat produktivitas;
computerphobia mana sistem baru ditolak dan metode manual memegang;
permintaan untuk transfer dari daerah yang terkena dan pengunduran diri;
kemarahan dari tenaga kerja;
peningkatan yang signifikan dalam tingkat ketidakhadiran karena sakit dan stres;
peningkatan keluhan dari staf dan klien;
tingkat kecelakaan meningkat;
kepemimpinan cukup mengakibatkan kurangnya keputusan penting;
tugas utama tidak benar didefinisikan, sehingga kurangnya koordinasi;
MIS miskin yang tidak menunjukkan umpan balik tentang kemajuan perubahan yang
direncanakan;
pelatihan yang tidak memadai menyebabkan lagi untuk masalah kinerja;
krisis yang mengalihkan sumber daya ke masalah operasional bersaing, yang berarti bahwa
perubahan Program kemudian mengambil kursi belakang sebagai masalah 'kehidupan nyata'
dibahas;
masalah tak terduga yang membuat tugas yang jauh lebih sulit - fakta bahwa sangat sulit
pekerjaan mungkin telah diabaikan oleh semua pihak yang terlibat;
penundaan dalam proses, yang mengarah ke frustrasi dan demotivasi; di mana ini terus berlanjut,
ada kecenderungan manajemen puncak untuk menarik dukungan mereka di mana program ini
tidak bekerja, dan memisahkan diri dari potensi bencana.

Yang berasal dari analisis biaya-manfaat individu, banyak anggota organisasi dapat diyakinkan
bahwa perubahan yang direncanakan tidak akan bekerja. Ini bisa berubah menjadi konfrontasi dengan
destruktif win / sikap kalah. Konfrontasi dengan staf tidak kooperatif berlaku tetapi berisiko dan mungkin
menghasilkan tahan lama menurunkan moral. Manajemen harus memutuskan apakah potensi Konflik
dapat dikelola melalui mesin yang ada atau apakah proses baru harus dirancang. Ini harus terus dikaji
dekat karena, jika mekanisme yang diperlukan tidak dimasukkan ke tempat, program mungkin gagal. Tidak
ada yang salah dengan audit internal memberikan saran asalkan kondusif untuk pencapaian tujuan
organisasi. Kami telah membentang kami definisi kontrol untuk menutupi pengaturan untuk memastikan
tujuan tercapai. Kami menggambarkan perlu mengelola perubahan pada Gambar 7.36.
GAMBAR 7.36 Tingkat efisiensi dan perubahan.
Angka tersebut menggambarkan bagaimana organisasi harus siap untuk menderita penurunan
sementara di Efisiensi dari tingkat 2 ke tingkat 1 sebelum tingkat 3 tercapai. Masalah ini akan berlangsung
dari periode b ke c meskipun lebih lama dan lebih dalam kurva ini, semakin lama periode dan lebih dari
sebuah tantangan program perubahan akan mewakili. Bahkan, bentuk yang tepat dari kurva akan
ditentukan dengan kombinasi keduanya mengemudi dan menahan pasukan (lihat di bawah). Jika program
perubahan tidak hati-hati dirancang dan dikelola mereka akan sulit untuk melaksanakan. banyak
organisasi mencoba untuk mencapai terlalu banyak lebih terlalu pendek kerangka waktu dan ini dapat
menyebabkan lingkungan kekacauan tidak terkendali.
Sebuah organisasi besar membawa tim manajemen puncak baru. inisiatif pertama mereka adalah
untuk melaksanakan program staf perampingan 25% dan memperkenalkan penilaian kinerja untuk semua
staf. Sebagian besar posting dihapus dan petugas lebih mampu diterapkan untuk redundansi dan kiri
untuk mengejar karir baru. Staf tanpa kualifikasi tidak memiliki pilihan tetapi untuk tetap. prestasi target
yang ditetapkan sebelum PHK jatuh ke dalam tidak digunakan karena gejolak dan kekacauan yang
dihasilkan dari restrukturisasi. Skema penilaian kinerja ditinggalkan dan kualitas layanan menurun terasa.

Analisis kekuatan-bidang
Ada banyak yang terjadi dalam
sebuah organisasi yang tidak diatur
dalam kebijakan formal dan Prosedur.
Beberapa telah digunakan sebagai
ilustrasi gunung es organisasi di mana
tujuan yang jelas formal, struktur,
teknologi, kebijakan, prosedur dan
sumber daya didefinisikan. Namun, ini
merupakan hanya puncak gunung es di
mana seluruh lautan rahasia persepsi,
sikap, perasaan tidak resmi, nilai-nilai dan norma-norma kelompok dapat ditemukan di bawah
permukaan. Setiap strategi perubahan harus mengenali bagian-bagian tersembunyi dari gunung es
organisasi untuk itu menjadi efektif. Kurt Lewin 56 memiliki mengembangkan medan gaya sebagai salah
satu cara menganalisa tekanan bersaing yang mendorong dan berhenti perubahan yang terjadi. Idenya
adalah bahwa kekuatan pendorong mendorong perubahan sehingga organisasi maju ke posisi yang lebih
baik. Pasukan menolak, di sisi lain, mempertahankan keseimbangan dengan meniadakan kekuatan
kekuatan-kekuatan mengemudi. Beberapa ini kekuatan pendorong adalah sebagai berikut:

New IT dan sistem yang lebih baik membuat ruang lingkup yang hampir tak terbatas untuk
menemukan dan mengembangkan perubahan rutinitas.
bahan yang lebih baik dapat menyebabkan produksi lebih cepat dan lebih ramping.
kekuatan Persaingan perubahan dan mungkin merupakan faktor pendorong yang paling penting.
tekanan Pengawas 'untuk kinerja yang lebih baik sejalan dengan arah strategis yang cocok.

Pasukan menolak adalah sebagai berikut:

norma Group untuk kinerja kelompok dapat membatasi dorongan untuk perubahan.
Ketakutan asli perubahan dapat menambah resistensi ini.
Kepuasan adalah dampener nyata. The 'dua tahun untuk pensiun' sindrom tidak kondusif untuk
perubahan nyata sebagai manajer kunci mencari posisi penahanan sampai ia / dia pensiun.
keterampilan Terletak belajar dapat menjadi berlebihan dan ini bisa jatuh di sisi yang salah dari
individu persamaan biaya-manfaat.

Model ini dapat digunakan untuk menyusun rencana induk berdasarkan strategi meningkatkan
kekuatan kekuatan pendorong sementara pada saat yang sama meminimalkan dampak dari setiap
kekuatan yang menentang. Sebuah kekuatan Audit dapat digunakan untuk mengisolasi dan memenuhi
basis kekuasaan yang dipengaruhi oleh perubahan situasi, khususnya di mana sistem komputer
perusahaan ditingkatkan sedang dilaksanakan. Sana ada yang salah dengan auditor internal melakukan
latihan seperti itu sebelum memulai program perubahan utama, sebagai cara menimbang praktis dari
tertentu dianjurkan tindakan, sebelum dilaporkan. Lima tahap audit kekuatan ini adalah sebagai berikut:
1.
2.
3.
4.
5.

Analisis sistem politik dan budaya yang ada.

Menilai kemungkinan perubahan dalam basis kekuasaan tersebut.
Pertimbangkan berbagai kemungkinan operasi baru dan efek masing-masing pada basis
kekuasaan.
Menilai masalah politik dan budaya dalam melaksanakan setiap pilihan.
Mengembangkan strategi untuk membuat kombinasi sukses dari pilihan dalam hal politik mereka
dan penerimaan budaya.

Hal ini dapat dilihat sebagai proses yang berkelanjutan dimana masalah tertentu yang merasakan
dan tepat solusi kemudian didefinisikan. Medan kekuatan dapat digunakan untuk bekerja pada
mengemudi dan menolak Pasukan. Di mana audit kekuatan isolat sikap yang membentuk kekuatan yang
menentang,proses hati-hati unfreezing lama dan menginstal sikap baru yang diperlukan harus ditindak.
Idenya adalah bahwa sikap tua dicairkan, berubah, maka refrozen sebagai sikap baru. Ada kritik dari
mencairkan / freeze / refreeze argumen yang melihat ini sebagai konsep buatan dan titik ini juga harus
dilihat. Sementara itu, jika kita menerima bahwa sikap tua harus diubah, kita dapat mengatur sebuah
sejumlah cara untuk unfreezing mereka:

Tampilkan efek dari masalah yang ada untuk menambah penerimaan built-in dari kebutuhan
untuk berubah.
Impress staf kebutuhan untuk keunggulan kompetitif lagi sebagai cikal bakal reformasi yang
tertunda.
Aksesoris perubahan dalam strategi yang jelas yang diketahui tentang dan dipahami oleh staf.
Menyediakan program pelatihan yang sesuai melampirkan perubahan yang diperlukan.
Gunakan staf konseling dan memastikan keahlian yang dibutuhkan termasuk dalam program
perubahan.

Memberikan informasi yang jelas tentang reformasi yang diusulkan.

Tentukan kebutuhan untuk semua perubahan besar untuk membenarkan kebutuhan untuk
mengamankan perbaikan.

Perubahan Strategi
Sejauh ini proses perubahan telah dibangun menggunakan model dan teknik yang telah dirancang
selama bertahun-tahun. Dengan menghabiskan sumber daya pada penilaian kemungkinan dampak dari
perubahan yang diusulkan, kita mungkin mendefinisikan strategi perubahan yang tepat. Pertama dan
terpenting, kita bisa mengacu pada perubahan yang diperlukan dan kemudian memastikan bahwa strategi
perubahan meliputi:

bagaimana struktur dapat diubah dengan restrukturisasi, desentralisasi dan karya yang
dimodifikasi mengalir;
bagaimana teknologi dapat diubah operasi kerja desain ulang sesuai dengan database yang baik
dan strategi jaringan;
bagaimana keduanya dapat berubah (perubahan yaitu techno-struktural) di sini struktur dan
operasi didesain ulang bersama-sama;
bagaimana orang dapat diubah dalam hal keterampilan mereka, sikap dan persepsi; alternatif,
seperti pilihan akhir di mana semuanya gagal, mungkin perlu untuk mengubah orang yang
sebenarnya sendiri.

Strategi Perubahan bisa bergerak dari 'lembut' melalui 'keras' pendekatan tergantung pada
tingkat perubahan, waktu yang tersedia dan tingkat dukungan dijamin. Di mana tingkat diantisipasi
resistensi tinggi, salah satu mungkin ingin melupakan teknik biasa 'menjual'. Manajemen dapat memilih
kaku, pendekatan konfrontatif sebagai jalan pintas untuk mendapatkan perubahan diterapkan. Mulai dari
akhir lunak, model telah dikembangkan untuk menilai bagaimana konfrontasi bergerak melalui tingkat
keparahan seperti digambarkan pada Gambar 7.37.

GAMBAR 7.37 Derajat konfrontasi.

Manajemen harus ingat bahwa strategi perubahan yang dipilih menetapkan preseden untuk masa depan
program.

GAMBAR 7.38 Pindah dari penolakan.

Berurusan dengan Stres

Perubahan dan stres terkait erat dalam satu yang baik dapat menyebabkan yang lain, terutama di
mana dampak dari perubahan belum dipenuhi. Hal ini kemudian memiliki knock-on efek pada perubahan
program dan kinerja berikutnya dari staf yang terlibat. Colin Carnell telah mencatat bahwa:

sistem baru dan proses harus dipelajari dan ini membutuhkan waktu;
sistem baru tidak bekerja dengan sempurna pada awalnya, tetapi perlu memodifikasi untuk
meningkatkan kinerja;
ada maka efek pada harga diri yang bisa menurun di masa perubahan.

Ada pandangan bahwa kinerja akan menurun segera setelah perubahan diperkenalkan sebagai
hasilnya faktor yang disebutkan di atas. Proses membangun kembali harga diri kemudian mengarah drive
untuk kinerja yang lebih baik dan tugas ini harus diarahkan oleh manajemen senior. Carnall berlangsung
untuk menggambarkan proses lima tahap dimana perubahan, dalam waktu, sepenuhnya diambil di papan:
1.
2.
3.
4.
5.

Penolakan- di mana perlunya perubahan ditolak;

Pertahanan - mana seseorang mulai menghadapi kenyataan;
Mengabaikan - di mana satu sekarang melihat ke masa depan;
Adaptasi - di mana tantangan terpenuhi dengan membangun kinerja dan mengatasi kemunduran;
Internalisasi - di mana sistem baru diciptakan dan hubungan baru diterima.

Hal ini di sini bahwa harga diri kemudian dapat dibangun kembali sebagai landasan untuk
meningkatkan kinerja dengan komunikasi dan pemahaman. Peran manajer adalah fundamental untuk
tugas dari memimpin perubahan dan mempertahankan rasa yang mendasari arah. Perhatikan bahwa ide
ini diambil dari karya Scott dan Jaffe.
Penolakan dan perlawanan adalah dua tahap utama di mana stres mungkin mengembangkan dan
berpotensi mengakibatkan komplikasi medis dan di sini yang mendukung dan jaminan yang paling
diperlukan (lihat Gambar 7.38 di atas). Tentu saja, kita tidak bisa beralih ke masalah produktivitas hingga
tahap awal telah diatasi dan kami telah pindah ke dalam arena komitmen. Prinsip-prinsip, praktek dan
teknik yang mendasari perubahan organisasi harus dipelajari dan diterapkan oleh manajemen. Sumber
daya lebih diterapkan untuk meneliti dan menggunakan teknik ini, semakin baik menempatkan organisasi
akan memenuhi persaingan. auditor juga harus siap untuk menjadi yang terlibat dalam proses ini sebagai
kehadiran Audit juga dapat berkontribusi pada keseluruhan tingkat manajerial stres, sebagai tekanan

tambahan pada kedua manajemen operasional dan senior. Dimana internal tim audit tidak memiliki
kompetensi yang tepat, yang berarti tidak dapat melakukan konsultasi bekerja untuk standar profesional,
pekerjaan tersebut harus ditolak.

Memastikan Perubahan Teknologi Apakah Dikelola Baik

Oleh Dan Swanson, Kepatuhan Minggu Kolumnis
Teknologi informasi sangat penting untuk keberhasilan jangka panjang dari kebanyakan
organisasi. Ini adalah alasan utama untuk biaya operasi, dan biaya operasi cenderung menjadi komponen
penting dari keseluruhan profitabilitas. Ini memfasilitasi pengenalan bisnis baru inisiatif, serta perbaikan
berkelanjutan dari proses saat ini, dan memungkinkan tim manajemen untuk memantau dan melaporkan
kinerja. IT memungkinkan bisnis operasi melalui konektivitas, pengolahan informasi, intelijen bisnis, dan
sejenisnya. Terakhir, dan sangat penting untuk audiens ini, TI dapat berkontribusi besar sistem
perusahaan pengendalian internal. Dengan pentingnya organisasi IT terus tumbuh setiap tahun,
pentingnya '' manajemen perubahan '' di IT sistem terus tumbuh bersama dengan itu. Ada tubuh besar
bukti bahwa manajemen perubahan kontribusi kritis untuk pelaksanaan efisien, efektif, dan aman operasi
TI. Karena setiap perubahan dalam sistem IT menciptakan konsekuensi potensial pada operasi
perusahaan, eksekutif harus memahami manajemen perubahan secara menyeluruh: bagaimana
memaksakan itu, bagaimana menegakkannya, dan bagaimana memantau dan meningkatkan efektivitas.
Penelitian dari Institut Proses IT telah menunjukkan bahwa organisasi yang mengelola teknologi mereka
juga tampil jauh lebih baik dibandingkan organisasi yang tidak.
Secara sederhana, semua perubahan TI perlu disahkan dan diuji, dan tidak sah atau perubahan
belum teruji dilarang. Dengan kata lain: perubahan IT perusahaan infrastruktur merupakan sumber
signifikan dari risiko untuk setiap bisnis; untuk melindungi permata mahkota perusahaan, praktik
manajemen perubahan yang kuat yang benar-benar penting. Kebutuhan untuk '' lingkungan pengendalian
'positif' dalam IT dan sikap tak kenal ampun mengenai perubahan IT yang tidak sah tidak dapat dilebihlebihkan.
Manajemen perubahan yang kuat berarti implementasi sistem yang direncanakan, terbukti (baca:
diuji) solusi, dijadwalkan peningkatan jendela di mana pemulihan difasilitasi jika diperlukan, dan banyak
lagi. Untuk mengelola perubahan teknologi dengan baik, manajemen perubahan Program perlu
diperkenalkan secara resmi ke dalam organisasi. menerapkan Program manajemen perubahan berarti
menempatkan tanggung jawab untuk berbagai perubahan kegiatan yang terlibat dalam menerapkan
solusi teknologi baru.

Perubahan Proses Teknologi Audit

Audit perubahan manajemen harus meninjau IT hasil untuk mengidentifikasi perbaikan kunci
peluang. Selama audit perubahan program manajemen, auditor harus:

Memahami proses perubahan manajemen dan prosedur.

Mengidentifikasi dan menilai kontrol kunci dalam proses perubahan manajemen yang
memastikan semua perubahan yang diotorisasi dan diuji sebelum pelaksanaan.
Menentukan kualitas informasi yang dihasilkan oleh manajemen perubahan Program, dan menilai
apakah itu cukup untuk mengelola manajemen perubahan proses.

Menilai metrik kinerja manajemen perubahan untuk keberadaan mereka, efektivitas, memantau
kegiatan, dan tanggapan terhadap setiap penyimpangan Program.
Mengevaluasi apakah kontrol manajemen risiko yang preventif, detektif, atau korektif, dan jika
keseimbangan yang baik telah dilaksanakan.
Tentukan tes untuk mengkonfirmasi efektivitas operasional kegiatan manajemen perubahan,
termasuk manajemen dan staf wawancara, dokumentasi dan ulasan laporan, dan analisis data.
Merekomendasikan peluang untuk perbaikan kegiatan manajemen perubahan.

Indikator Miskin Manajemen Perubahan

perubahan tidak sah. Apa pun di atas nol tidak dapat diterima. membangun nada di bagian atas
yang jelas berkomunikasi intoleransi perusahaan tidak sah perubahan adalah penting bagi
keberhasilan jangka panjang dari program manajemen perubahan.
pemadaman terencana. Pemadaman Sistem harus dijadwalkan (direncanakan) untuk
mengurangi dampak pada operasi organisasi. Yang telah ditentukan '' jendela perubahan '' adalah
di mana sistem produksi harus diperbarui. pemadaman yang tidak direncanakan disebabkan oleh
masalah sistem dan mendorong lingkungan reaksioner (yaitu, pemadam kebakaran), yang tidak
bagaimana Anda tetap di atas sistem pengendalian internal.
Rendah tingkat perubahan keberhasilan manajemen perubahan yang baik melibatkan pengujian
yang baik; jika perubahan harus '' mundur, '' itu adalah indikator pengujian miskin yang gagal
menangkap masalah pada tahap awal.
jumlah tinggi perubahan darurat. Sekali lagi, keadaan darurat harus keadaan darurat, dan jarang
terjadi. perencanaan yang buruk dari perubahan menghasilkan tinggi jumlah darurat.
Tertunda implementasi proyek. Keterlambatan pelaksanaan proyek adalah tanda rencana
realistis atau keputusan resourcing miskin. manajemen perubahan yang baik praktek mendorong
perencanaan yang baik dan dari waktu ke waktu rencana yang lebih terjangkau, sehingga
penundaan lebih sedikit dan pembatalan implementasi.

Audit manajemen perubahan harus meninjau indikator risiko di atas sebagai yang baik mengukur
dari kemungkinan bahwa kontrol berada atau tidak efektif. Proses audit IT bisa sangat produktif; Hasil
bisnis yang baik terjadi karena kualitas proses yang digunakan untuk menghasilkan mereka. Meninjau
kebijakan dan prosedur dan terkait proses yang telah dilaksanakan akan membantu menentukan apakah
investasi TI Anda akan menjadi produktif dan bermanfaat. Juga, berdiskusi dengan manajemen TI
bagaimana mereka melakukannya mereka pekerjaan - khususnya upaya perubahan TI mereka - akan
sangat produktif, dan membantu menjawab pertanyaan mendasar: perubahan Apakah
diimplementasikan dalam dikendalikan atau cara serampangan?
Ketika saya melihat manajer bekerja TI telah dilakukan untuk menguji (yaitu, membuktikan)
bahwa perubahan adalah bekerja, saya ingin melihat empat teknik pengujian mendasar: uji fungsional,
stres pengujian, pengujian logis, dan pengujian jalan. Sudah pengalaman saya bahwa jika di atas pengujian
sistem tidak dilakukan, diverifikasi, dan disetujui oleh beberapa validasi independen Unit (kontrol kualitas,
audit internal, luar konsultan, apa pun), maka kita memiliki masalah dalam 60 persen dari implementasi.
Akhirnya, yang kuat '' manajemen rilis '' proses, selain perubahan yang kuat praktek manajemen,
harus menjadi tujuan utama. praktek yang ketat untuk membangun, pengujian, dan menerbitkan
perubahan TI memiliki dampak yang luas pada hasil IT individu dan kinerja keseluruhan organisasi. Oleh
karena itu, sementara menerapkan komprehensif Program manajemen perubahan penting, membangun
rilis yang kuat proses manajemen serta sangat dianjurkan.

Bimbingan Audit IT
IT Compliance Institute telah menerbitkan audit IT perubahan checklist meliputi baru pengelolaan.
makalah ini, '' IT Audit Checklist: Manajemen Perubahan, '' mendukung audit internal dari kebijakan
manajemen perubahan organisasi untuk memverifikasi kepatuhan dan mencari peluang untuk
meningkatkan efisiensi, efektivitas, dan ekonomi. Itu kertas termasuk rekomendasi untuk menilai
keberadaan dan efektivitas manajemen perubahan dalam pengawasan proyek, pengembangan,
pengadaan, IT layanan pengujian, dan IT operasi; pedoman bagi manajemen dan auditor untuk
mendukung manajemen perubahan; dan informasi untuk memastikan perbaikan terus-menerus dari
manajemen perubahan upaya. Apakah perubahan teknologi yang dikelola dengan baik? Saya percaya
saatnya untuk mencari tahu.
Dipetik dari Kepatuhan Minggu. Artikel ini awalnya diterbitkan di Kepatuhan Minggu.
Direproduksi dengan izin dari Kepatuhan Minggu. Seluruh hak cipta.

7.10. Struktur 'Kanan'

Setelah strategi audit yang jelas jaminan berbasis risiko dan bekerja konsultasi adalah dalam audit
tempat manajemen maka harus mengalihkan perhatiannya pada cara sumber daya yang terorganisir. Ini
akan memiliki efek penting pada pengiriman jasa audit. Selain itu, ada banyak pilihan yang mendasari jenis
struktur yang harus di tempat, yang harus dipertimbangkan dan diputuskan. Beberapa pilihan ini adalah
sebagai berikut:

departemen Desentralisasi mungkin timbul di mana bidang audit yang terdiri dari geografis
segmen terisolasi ketika mungkin dianjurkan untuk menempatkan unit audit dalam masingmasing. Hal ini dapat mencakup wilayah, negara atau bahkan seluruh benua, di mana perbedaan
adat istiadat setempat yang begitu besar bahwa peran audit yang terpusat akan tidak pantas.
Satu departemen audit terpusat mungkin lebih di mana hal ini tidak terjadi. Di Sebaliknya, tren
saat ini untuk mengembalikan pengelolaan keuangan untuk manajer lini juga dapat
mempengaruhi audit internal, yang mungkin tersapu dalam strategi ini. Sayangnya, ini akan
cenderung mencairkan basis kekuatan dari CAE sebagai garis pelaporan kuat didirikan dengan
masing-masing departemen.
fungsi berbasis Layanan dapat dibagi menjadi kelompok-kelompok yang memberikan jasa audit
khusus seperti IS, kontrak, keuangan, konsultasi, penyelidikan, keteraturan, sistem berbasis risiko
dan sebagainya di. Idenya adalah untuk mengembangkan tingkat keahlian dalam jasa audit
khusus, dalam pencarian profesionalisme ditingkatkan. Cara lain adalah dengan membagi jaminan
dan jasa konsultasi. Itu kemunduran adalah tingkat crossover yang akan timbul di mana beberapa
auditor mungkin muncul di area kerja sama, tetapi dengan tujuan yang berbeda. Hal ini juga lebih
sulit untuk membangun klien berbasis melihat, sebagai tim audit yang melayani seluruh organisasi
dan departemen tidak ditentukan.
kelompok berbasis Client masing-masing bertanggung jawab untuk berbagai didefinisikan bidang
audit yang menyediakan jasa audit untuk klien utama mereka. Setelah kelompok audit yang telah
ditetapkan untuk klien (katakanlah, Direktur), kita akan mengharapkan berbagai layanan yang
akan diberikan sebagai kontribusi untuk mengembangkan hubungan klien / auditor.
struktur Mixed timbul di mana kombinasi pendekatan client dan layanan berbasis adalah
diterapkan, dan bidang audit yang dialokasikan untuk kelompok yang juga menyediakan beberapa
layanan khusus. Hal ini mungkin mencerminkan kepraktisan kehidupan kerja di mana klien

ditetapkan untuk setiap audit manager, sementara ada beberapa jasa audit khusus (seperti
penyelidikan penipuan) yang akan menjalankan seluruh organisasi.
Pendekatan berbasis proyek memungkinkan auditor untuk jatuh ke dalam kolam sumber daya
yang membentuk menjadi tim saat pemeriksaan proyek permintaan. Ini dirancang untuk
memberikan layanan berbasis respon cepat terdiri dari keahlian mengambang, dan
mencerminkan pendekatan tim multidisiplin mana sumber mengatasi masalah dan ketika mereka
muncul. Ini bisa menjadi solusi yang sangat baik tetapi membutuhkan besar keterampilan untuk
mengelola dengan benar.
model berbasis Konsultasi- mirip dengan yang berbasis proyek meskipun auditor akan bekerja
secara terpisah bukan di tim. struktur datar ini memberikan afiliasi klien, tetapi bisa memberikan
waktu respon yang cepat, terutama untuk pekerjaan yang tidak direncanakan. Tugas diperoleh,
audit singkat dan anggaran yang tersedia, dan auditor dikirim keluar, untuk kembali dengan draft
laporan selesai dalam beberapa jam dianggarkan.
struktur hirarkis melibatkan beberapa tingkatan auditor dengan berbagai nilai yang berbeda
masing-masing ditempatkan dalam kelompok audit yang ditetapkan. Kita mungkin menemukan
manajer audit, auditor utama, auditor senior, asisten audit dan kemudian trainee. Pendekatan
tradisional ini dianggap kontrol untuk melekat di semua staf mengetahui posisi mereka di unit
audit dan pelaporan garis jelas mengatur dan terapan.
Proyek teaming melibatkan kelompok audit yang tetap tetapi juga memilih auditor individu untuk
membentuk tim proyek untuk tugas sementara. Atas dan di atas kebijakan ini, auditor dapat
diputar antara kelompok, mengatakan setiap tiga bulan, atau memiliki penugasan jangka tetap ke
daerah-daerah khusus. Perhatikan bahwa banyak kelompok yang awalnya dibentuk sebagai tim
proyek menjadi perlengkapan tetap.

Faktor yang Mempengaruhi Struktur

GAMBAR 7.39 Penataan audit internal.
Ada
banyak
pilihan
dan
kombinasi metode yang dapat diterapkan
dan lagi, seperti dengan sebagian besar
bahan pada manajemen audit, keputusan
yang sesuai harus dibuat. keputusan ini
harus positif, berdasarkan pilihan yang
tersedia dan didirikan pada utama yang
perlu untuk mencapai layanan kualitas
audit. Dalam prakteknya, tidak ada satu
solusi, meskipun ada prinsip-prinsip
perusahaan yang harus diterapkan
bersama dengan kebutuhan untuk
memperoleh tingkat fleksibilitas inbuilt atas dasar bahwa perubahan adalah sekarang norma. Selanjutnya,
struktur audit harus mengalir secara alami dari setuju strategi audit. Setelah CAE telah menetapkan
struktur disepakati untuk fungsi audit dan didefinisikan prosedur dan standar untuk kinerja pekerjaan
audit, maka salah satu mungkin berpendapat bahwa staf harus mampu memberikan jasa audit seperti
yang ditunjukkan pada Gambar 7.39.

Kualitas staf dapat disesuaikan melalui strategi audit namun dapat bergantung pada perusahaan
kebijakan.
Status Audit Internal Status audit internal memiliki efek knock-on pada tingkat kemandirian yang
dijamin. Di dunia yang ideal, orang akan berpendapat bahwa semakin tinggi status audit, dalam hal nilai
dari staf, lebih baik. Ini, bagaimanapun, tidak memberikan beban tambahan pada CAE, tidak sedikit
menjadi biaya tinggi menjalankan layanan yang harus diisi ulang. Meskipun demikian, penataan harus
dimulai dengan posisi yang sebenarnya dari audit internal dalam organisasi dan garis pelaporan diadopsi.
Ada juga link dengan statusnya seperti yang ditunjukkan pada Gambar 7.40.
GAMBAR 7.40 Status Audit dan struktur.
pekerjaan audit tingkat
rendah melaporkan ke CAE (atau
manajer audit) cukup junior akan
hasil dari status yang rendah dan
struktur hirarkis akan menjadi
norma. Tingkat tinggi audit rumit
langsung bunga kepada kepala
eksekutif memerlukan datar, lebih
layanan berbasis respon yang
diberikan oleh Staf bergradasi lebih
tinggi.

Pekerjaan individu
Ada konflik antara auditor tradisional dan gaya kerja baru yang harus berhasil. Model kerja
konvensional didasarkan pada tim audit yang ditugaskan untuk salah satu proyek yang bisa mengambil
beberapa minggu. Tim akan terdiri dari seorang auditor senior (atau auditor memimpin) dan satu atau
lebih junior staf. Memimpin auditor akan melakukan evaluasi sistem dan pemastian sedangkan junior
akan cenderung melaksanakan program pengujian dihasilkan. Rasa tim Semangat akan menang dan
pengalaman berharga dalam supervizing dapat diperoleh oleh auditor senior. Junior sementara akan
belajar lewat pekerjaan dan mengembangkan keterampilan audit diperlukan karena mereka naik melalui
nilai. Dalam banyak departemen audit, model ini telah memberikan cara untuk baru Pendekatan berbasis
konsultasi-:
1.

2.

3.

4.

tingkat tinggi kerja audit de-memprioritaskan pengujian rinci yang digunakan untuk dilaksanakan.
Keuangan pengujian sistem dilakukan melalui software interogasi diterapkan untuk database
download.
anggaran ketat ditugaskan untuk setiap audit untuk mencerminkan kebutuhan untuk efisiensi
penggunaan sumber daya. Klien membayar langsung untuk pekerjaan audit dan tidak ada alasan
untuk menetapkan tim besar untuk satu audit.
Salah satu auditor akan merupakan tim dan diminta untuk menyelesaikan pekerjaan dalam waktu
yang ketat frame waktu. Orang ini akan memiliki banyak kontrol atas tugas, meskipun Laporan
akan dibersihkan oleh audit manajemen sebelum publikasi
auditor ini bekerja lebih atau kurang sendirian dan hanya menggunakan yunior untuk pengujian
tertentu bila diperlukan. staf tambahan tiba untuk, katakanlah, pengujian rutinitas, dan berangkat

5.

setelah beberapa hari yang dibutuhkan untuk lengkap. auditor yang ditugaskan akan bertanggung
jawab untuk hasil masukan tambahan ini.
Dengan cara ini, konsep tim hilang, tetapi masing-masing audit baik disampaikan dengan biaya
minimum dan fokus dipertahankan oleh auditor yang ditugaskan.

Salah satu cara di mana beberapa semangat tim dapat dipertahankan, di samping penerapan
konsultan Model, adalah untuk manajer audit menjadi papan terdengar dengan membahas proyek
dengan auditor. Lain adalah dengan mengadakan pertemuan kelompok reguler dimana setiap auditor
dapat menyebutkan nya / proyek nya untuk debat terbatas. Akhirnya, salah satu mungkin mengizinkan
beberapa pertukaran pandangan antara staf saat mereka membahas audit mereka tertentu (dan masalah
terkait) ketika mereka berada di kantor. Sayangnya, biaya tinggi jam pemeriksaan cenderung berarti
bahwa setiap auditor harus melakukan / audit nya sendiri dari awal sampai akhir.

Tim proyek
Proyek tim adalah cara yang berguna di mana departemen audit dapat membangun fleksibilitas
dalam nya struktur. Ini melibatkan staf pemindahan sehingga mereka kelompok menjadi tim kecil untuk
besar tertentu proyek atau serangkaian proyek. Atau, sumber daya tambahan dapat dibawa untuk staf
yang ada, lagi untuk proyek-proyek tertentu. Ini bisa menjadi kuat terutama di mana tambahan jasa
konsultasi yang disediakan. Di mana manajemen ingin latihan tertentu dilakukan out, kita dapat
melestarikan sistem yang direncanakan bekerja dan tim menggunakan proyek untuk sumber daya antifraud Latihan atau penyelidikan manajemen utama. Jika proyek ini begitu penting, manajemen tidak akan
keberatan pendanaan sumber daya tambahan. Sebuah auditor utama, mengatakan manajer audit, harus
mengarahkan kerja tim sehingga tetap dalam kontrol. tim proyek dapat sumber daya sebagai berikut:
Ada staf audit Mereka akan diandalkan, tetapi tidak akan kemudian akan tersedia untuk melaksanakan
direncanakan audit. Pendekatan ini dapat dianggap sebagai memperlakukan audit menunggu sekitar
untuk kerja nyata yang harus dilakukan, yang tidak mempromosikan citra profesional. Itwill juga sangat
sulit untuk merencanakan pekerjaan ketika staf terus-menerus dipindahkan ke proyek tim, kecuali tim
adalah bagian dari rencana di tempat pertama.
Mempekerjakan konsultan Ini adalah pilihan yang sangat mahal, meskipun ada akan sedikit waktu yang
dihabiskan meninjau pekerjaan mereka. Kami akan cenderung menggunakan konsultan untuk proyek
jangka pendek individu dan bukan untuk kerja berbasis tim, yang bisa berlangsung beberapa waktu.
Mempekerjakan staf lembaga ini adalah model yang berguna sebagai sumber daya tambahan dapat
berkontribusi langsung ke proyek yang akan dikelola oleh auditor di rumah. rencana Audit akan tetap utuh
dan kita dapat menggunakan staf sementara untuk beberapa waktu karena mereka tidak harus
dibebankan pada tarif premium.
Kedua staf dari tempat lain dalam organisasi Tim mengangkat tangan-baik mungkin dijamin, meskipun
kita harus memastikan bahwa loyalitas anggota 'berbohong dengan proyek. Kebutuhan pelatihan
mungkin timbul di mana pendekatan ini diterapkan dan staf non-audit yang digunakan sampai batas
tertentu.
Mempekerjakan orang pada kontrak jangka pendek Kelemahannya adalah bahwa kerahasiaan dapat
menjadi masalah di mana orang-orang yang tidak akan tinggal dengan organisasi yang digunakan pada

pekerjaan sensitif. Keuntungan utama adalah fleksibilitas bahwa ini menciptakan mana kita dapat
melepaskan staf secepat kontrak mereka berakhir. Kami akan berhati-hati tentang investasi sumber daya
yang berlebihan dalam pelatihan dan pembangunan sebagai sumber daya ini dapat dihentikan pada
waktunya.
Memungkinkan manajer commissioning proyek untuk memasok sumber daya dari mereka sendiri
Pembentukan Di sini mungkin kehilangan gelar kemerdekaan di mana, dalam hal konflik, loyalitas
mungkin terletak dengan manajer dan tidak organisasi. Hal ini juga untuk mengatur kontrol yang jelas atas
tim proyek bergulir sekitar segi perusahaan acuan, prosedur review yang baik dan ketat anggaran untuk
pekerjaan yang dibutuhkan. Ingat bahwa beberapa staf mungkin ingin insinyur peran permanen untuk
sesuatu yang hanya dimaksudkan untuk bersifat sementara.

Basis Layanan Tim Audit

Hal ini dimungkinkan untuk membentuk tim audit atau kelompok atas dasar jenis layanan yang
masing-masing kelompok menyediakan. Ini dapat disederhanakan dalam contoh empat kelompok audit
yang utama yang mengkhususkan diri di:
1.
2.
3.
4.

Sistem dan IS audit

Manajemen risiko dan CRSA
Layanan konsultasi
Investigasi.

GAMBAR 7.41 Klien dibandingkan tim layanan berbasis.

Ini adalah salah satu cara untuk
mengembangkan keahlian di bidang audit
tertentu. Hal ini juga memungkinkan untuk
menggunakan Tim investigasi untuk menghindari
mengganggu sistem direncanakan dan bekerja
kejujuran. Salah satu kritik pendekatan ini adalah
bahwa klien afiliasi mungkin sulit untuk
mempertahankan di mana tidak ada satu
kelompok bertanggung jawab untuk satu
departemen. Pendekatan kontras adalah untuk
mengatur kelompok untuk masing-masing utama
departemen
di
seluruh
organisasi.
Ini
diilustrasikan pada Gambar 7.41.
GAMBAR
7.42
Departmentally.

tim

berbasis

Kita harus mempertimbangkan pro dan

kontra dari masing-masing pendekatan
dan membuat keputusan beralasan.

Hal ini dimungkinkan untuk mengembangkan solusi campuran dimana kelompok audit
departmentally berdasarkan namun memiliki spesialisasi built-in. Ini mungkin muncul seperti pada
Gambar 7.42. kelompok audit dapat ditugaskan untuk departemen sementara juga bertanggung jawab
untuk jenis didefinisikan jasa audit. Ini dibuat lebih mudah dengan mengaitkan layanan untuk departemen
mana jenis ini pendekatan yang paling tepat. Kelompok ini juga akan bertanggung jawab untuk
menyediakan layanan ini departemen di seluruh. Tim investigasi tidak akan ditugaskan ke departemen
sebagai masalah alam ini bisa terjadi di mana saja dalam organisasi.
Nomor minimum Sebuah diskusi tentang berapa banyak staf harus digunakan untuk mendukung
misi Audit akan tergantung strategi audit diadopsi. Ini tidak terulang di sini. Apa yang kita harus mengatasi,
bagaimanapun, adalah fakta bahwa setiap struktur audit yang akan ditentukan dengan
mempertimbangkan banyak faktor; salah satunya adalah jumlah auditor yang tersedia untuk melepaskan
peran audit. Semakin besar jumlah auditor semakin godaan yang ada untuk mengembangkan departemen
audit birokrasi dengan banyak tingkatan staf dan berbagai nilai. Karena jumlah staf meningkat lebih dari
batas tertentu, mengatakan lima atau enam, salah satu akan harus mempertimbangkan untuk
mengembangkan konsep kelompok audit. Kelompok-kelompok ini akan memungkinkan CAE untuk
membagi unit ke proporsi dikelola dipimpin oleh seorang manajer audit (atau auditor group). Kebebasan
dari masalah kepegawaian maka akan memungkinkan CAE untuk menangani hal-hal strategis yang
bergerak fungsi dari posisi mereka yang ada terhadap target mereka / tujuan. Sebaliknya, CAE yang
memiliki bagian dari kurang dari lima staf, akan cenderung menganggap kurang strategis dan lebih peran
manajerial. Titik kunci untuk dicatat adalah bahwa tidak ada jawaban yang mendasar untuk pertanyaan
tentang bagaimana struktur fungsi audit dapat disediakan. Hal ini karena posisi yang ideal akan tergantung
pada berbagai faktor bersaing, termasuk strategi audit dan jumlah staf. Jika kita diminta apakah ada
jumlah minimum auditor yang harus digunakan maka satu jawaban adalah:
Berapa jumlah minimum staf yang harus digunakan untuk mengaktifkan CAE untuk mengadakan
Status manajemen senior dan memiliki dampak nyata pada organisasi?
Posisi yang ideal tercapai di mana fungsi audit dipandang sebagai kekuatan utama dalam hal yang
penunjukan resmi sebagai divisi atau departemen daripada bagian kecil atau kelompok. ada satu
peringatan untuk ini dalam hal kebutuhan untuk memastikan anggaran audit tidak menjadi begitu besar
untuk membuat ini overhead terlalu mahal untuk manajer layanan. Ini mungkin ide untuk mengambil
dilihat dari komite audit dan tingkat jaminan bahwa audit internal berikan pada internal yang kontrol. Hal
ini umumnya lebih baik untuk mempekerjakan sejumlah kecil auditor berpengalaman dan fokus pada
penyediaan jaminan untuk area berisiko tinggi di seluruh organisasi bersama dengan penting proyek
konsultasi.

Supervisor
Proses audit penataan cascades turun dari CAE, manajer pemeriksaan melalui seniornya auditor dan staf
audit lainnya. Memimpin auditor / supervisor adalah seorang perwira kunci dalam dunia audit itu orang
ini yang, di atas semua, menghasilkan pekerjaan audit yang sebenarnya. Fakta ini harus diakui sepenuhnya
dan melayani. Di bawah arahan manajer audit, auditor senior yang harus membentuk unit utama yang
ditugaskan untuk proyek baik secara individual atau sebagai kepala tim audit kecil.

Trainee
Tingkat bawah dari struktur audit yang idealnya harus terdiri dari peserta pelatihan. Orang-orang ini akan
memiliki pengalaman terbatas dalam masalah audit tetapi harus antusias dan membentuk murah sumber.
Ini adalah praktik yang baik untuk menggunakan trainee sebagai sumber auditor masa depan dan untuk
memastikan bahwa kita up to date pada perkembangan baru dan penelitian yang datang dengan program
pelatihan. beberapa Audit departemen tidak perlu mempekerjakan 'peserta' tapi tetap mendorong staf
kurang senior untuk menjalani pelatihan profesional formal. Ini kemudian dibangun ke dalam program
pengembangan karir mereka. Kita perlu mengembangkan model suara dari layanan audit internal dengan
masing-masing berkontribusi auditor untuk program kerja tepat. Audit tidak dapat dikelola kecuali ada
orang yang bekerja pada tingkat yang tepat dalam kapasitas yang tepat. CAE harus menjaga meja yang
jelas untuk merumuskan strategi dan mengembangkan basis klien baru dan yang sudah ada. Manajer
Audit harus mampu menjalankan berbagai proyek pada saat yang sama sambil memastikan bahwa
masing-masing memenuhi standar kualitas yang telah secara resmi diadopsi. Auditor harus dapat
menyelesaikan audit mereka dengan cara yang kompeten untuk standar profesional sesuai dengan
manual audit, sehingga menghasilkan pendapatan fee penting untuk fungsi audit. Keputusan penataan
dan pengaturan yang mendasari semua berkontribusi terhadap penerapan model yang paling tepat yang
mempromosikan posisi di atas.

7.11. Perkembangan Baru

Di masa lalu, ciri utama dari lapangan audit internal adalah bahwa auditor selalu sangat teliti. Itu
berarti, jika auditor melakukan cek stok, ia / dia akan menghitung setiap item dalam / nya sampel dan
melacak apa yang hilang atau disimpan di tempat yang salah. auditor akan duduk dan belajar laporan rinci,
melakukan analisis rinci dan tidak akan berhenti sampai setiap pertanyaan pada checklist itu menjawab.
Agenda manajemen risiko baru berarti kita menerima beberapa risiko dan kami tidak bisa memberikan
jaminan pada segala sesuatu yang terjadi dalam sebuah organisasi. Apa lebih relevan adalah bahwa
auditor dapat memberikan jaminan pada hal-hal yang penting. Alih-alih menjadi dikenal sebagai
seseorang yang bisa menghitung setiap item dari saham dalam daftar, auditor menjadi diketahui sebagai
seseorang yang terlibat dalam isu-isu tata kelola yang berarti sesuatu untuk anggota dewan dan
manajemen strategis. Kekhawatiran lain tentang lapangan adalah bahwa manajemen kurang tertarik
dalam apa yang terjadi di masa lalu dan lebih peduli tentang apa yang akan datang di sudut, dan dapat
proses manajemen risiko mengambil masalah ini dan berurusan dengan mereka.
Ketika mempertimbangkan pendekatan audit, mungkin ide untuk menanggung dalam pikiran
kekurangan yang ada di banyak organisasi. Banyak manajer tidak memiliki pemahaman yang nyata pada
risiko yang mereka butuhkan untuk berhasil tetap di atas. Salah satu survei membawa pulang fakta
mengkhawatirkan ini, dan temuan kunci dilaporkan di bawah ini:

Hanya setengah auditor internal dalam survei kami merasa organisasi mereka memiliki
pemahaman yang baik risiko yang mereka hadapi, bisa memprioritaskan risiko tersebut, dan
menanggapi secara efektif.
Beberapa organisasi memiliki jaminan memadai atas risiko yang mereka hadapi dan ini akan tetap
menjadi masalah karena ada kekurangan yang signifikan dari orang-orang dengan keterampilan
audit internal.
auditor internal di organisasi terbesar yang memenangkan argumen untuk sumber daya, tetapi
orang lain harus berbuat lebih banyak untuk membuat kasus mereka, terutama jika mereka ingin

memperluas kewenangan mereka ke daerah di mana mereka percaya keahlian mereka

dibutuhkan.
Telah ada argumen lama berjalan tentang tuntutan standar auditing dan apakah tim audit yang
lebih kecil dapat memenuhi persyaratan standar yang tampaknya ditujukan pada yang lebih besar unit.
Ada beberapa kelemahan di mana tim audit cukup kecil tetapi lebih intim Suasana memiliki beberapa
keuntungan seperti yang dijelaskan oleh Nicola Rimmer:
Dalam tim yang lebih kecil sering ada kurang perebutan posisi seperti yang dapat terjadi di tim
yang lebih besar, dan sebagainya lebih banyak kesempatan bagi staf untuk terlibat dalam
perencanaan dan strategi audit, dan membuat yang terbaik praktek saran dan umumnya berbagi
pengetahuan. Juga, jika seorang individu memiliki nilai tambah dalam jalan besar, ini lebih jelas,
baik di dalam tim, tetapi juga di antara manajemen, audit Panitia dan papan. Hal ini dapat
memberikan pengalaman berharga untuk internal auditor, meskipun dengan risiko tambahan
yang mereka dapat dengan cepat beralih ke hal-hal yang lebih besar. Apakah bekerja di Tim audit
besar atau kecil, masing-masing memiliki tantangan khusus mereka sendiri dan keuntungan.
Namun, besar atau kecil, tekanan pada audit internal untuk memberikan pelayanan yang
berkualitas semakin meningkat. Satu hal jelas - ukuran benar-benar tidak peduli. Yang penting
adalah bagaimana Anda menggunakan apa yang Anda miliki.
Salah satu isu yang telah berkembang dalam pentingnya selama bertahun-tahun berhubungan
dengan audit internal berbasis risiko Pendekatan yang telah merembes melalui ke sebagian besar unit
audit internal. Jeremy Opie telah mencatat manfaat yang datang dari menggunakan pendekatan ini:
1.
2.
3.
4.
5.
6.

7.
8.

Menawarkan secara independen dan sistematis bagi para pemangku kepentingan organisasi
untuk menilai efektivitas pengaturan pengendalian internal.
Menyediakan cek kritis yang tujuan bisnis yang jelas dan dipahami oleh semua, dan kongruen
dengan tujuan bagian lain dari organisasi.
Menyediakan penilaian independen terhadap efektivitas dan efisiensi dari identifikasi risiko dan
proses penilaian.
Menyediakan jaminan akurasi, kelengkapan dan mata uang risiko eksekutif gambar.
Memberikan jaminan bahwa proses untuk merancang kontrol efektif dan efisien, dan melengkapi
eksekutif untuk mengelola perubahan.
Memberikan jaminan bahwa kontrol eksekutif yang efektif dan efisien, atau akun apa yang harus
dilakukan untuk membuat mereka begitu; mengakui, dan memberikan kredit karena untuk,
inovatif solusi manajemen risiko kontrol. RBIA menghindari hanya memberlakukan kontrol
standar Template.
Melawan risiko audit internal '' melakukan pekerjaan manajemen untuk mereka. '' Sukses RBIA
keharusan bekerja dengan manajemen.
Program Sebuah RBIA harus sesuai dengan ruang lingkup dan tujuan yang paling pengendalian
internal tahunan laporan, menawarkan dukungan yang berharga untuk komitmen pelaporan
komite audit dan dewan eksekutif.

Sementara aturan audit berbasis risiko dalam kebanyakan organisasi, masih ada kesetiaan yang
kuat untuk bangunan beberapa kepatuhan kerja dalam banyak audit. ulasan berbasis risiko kepatuhan
melihat daerah mana bisnis dapat melanggar aturan, baik melalui kelalaian, pengawasan, atau melalui
gelar perilaku sembrono terkendali yang dapat menempatkan seluruh bisnis beresiko. audit berbasis risiko
memeriksa sejauh mana operasi ditujukan untuk menangani risiko untuk sukses di masa depan

pengiriman, tapi itu tidak berarti auditor akan ingin mengabaikan pelecehan aktual yang terjadi di sini dan
sekarang.

Ringkasan dan Kesimpulan

Jangkauan dan kemungkinan auditor intern dalam hal layanan dan pendekatan untuk mereka
kerja yang luas. Bab ini telah menyentuh pada beberapa pendekatan dan dianggap sebagai isu-isu spesifik
dan nuansa masing-masing pendekatan. pekerjaan audit internal dapat dipecah menjadi jaminan-based
dan pekerjaan berbasis konsultasi. Pendekatan sistem berbasis bekerja jaminan bisa terkait dengan
meninjau sistem-tingkat yang lebih tinggi seperti sistem tata kelola perusahaan, risiko sistem manajemen
dan sistem yang dihasilkan dari pengendalian internal. Selain itu, jaminan kerja yang bisa fokus pada
berbagai aspek dari spektrum kontrol seperti sistem informasi, masalah kepatuhan, VFM dan sistem untuk
melindungi sumber daya perusahaan dari penipuan dan penyalahgunaan. pekerjaan konsultasi juga dapat
berhubungan dengan masing-masing daerah di atas, dalam hal ini dapat diarahkan untuk membantu
organisasi mengatur pengaturan tata kelola perusahaan termasuk manajemen risiko dan pengendalian.
consulting juga dapat digunakan untuk menelusuri ke pengaturan dan melibatkan memfasilitasi kejadian
risiko dan lokakarya. keterlibatan konsultasi tingkat atas dapat diprogram ke dalam rencana audit untuk
mengatasi masalah perusahaan dan manajerial dan investigasi khusus melalui proyek formal yang
mungkin memakan waktu beberapa bulan untuk menyelesaikan. upaya berkelanjutan untuk memberikan
saran dan informasi untuk berbaris manajer mungkin juga fitur dari peran audit internal, lagi secara
konsultasi. Disitu ada pernah begitu banyak pilihan yang tersedia untuk auditor internal. Respon terhadap
dilema ini adalah untuk berbicara dengan para pemangku kepentingan, mengatur strategi,
mempublikasikan hasil, memastikan struktur yang tepat dirancang dan bahwa staf audit dilengkapi untuk
melakukan strategi dan kemudian mendorong ke depan dan memantau keberhasilan. Dimulai dengan
pengaturan pemandangan Audit melampaui apa yang biasa kami lakukan atau apa yang kita miliki
tradisional baik di. kemajuan nyata dibuat ketika CAE mampu bekerja 'di luar kotak' dan mengembangkan
sumber daya yang benar-benar menambah nilai ke arah, energi dan akuntabilitas dari badan hukum.