Anda di halaman 1dari 43

BAB 13

MELAKUKAN JAMINAN KETERLIBATAN


Tujuan Pembelajaran

Jelaskan bagaimana tujuan keterlibatan jaminan dampak tujuan audit.


Menentukan tujuan keterlibatan dan pernyataan lingkup.
Menjelaskan berbagai jenis dan sumber informasi yang akan membantu auditor internal

memahami proses melakukan keterlibatan jaminan.


Dokumen arus proses yang sederhana, menunjukkan langkah kunci proses, antarmuka,

dan departemen yang terlibat.


Melakukan penilaian risiko tingkat proses.
Membedakan kontrol utama dari kontrol tidak dianggap penting.
Jelaskan bagaimana untuk mengevaluasi kecukupan desain kontrol proses tingkat.
Desain berbagai jenis pendekatan pengujian, tergantung pada desain tujuan proses dan

keterlibatan.
Mengembangkan program kerja umum untuk memandu proses pertunangan.
Jelaskan pertimbangan sumber daya yang harus dievaluasi ketika menentukan bagaimana

untuk staf dan jadwal pertunangan.


Melakukan dan mendokumentasikan jenis tes untuk mengumpulkan bukti.
Mengevaluasi bukti dari prosedur jaminan untuk mencapai kesimpulan berdasarkan hasil

pengujian.
Mengembangkan pengamatan dan merumuskan rekomendasi.

STANDAR PROFESIONAL DAN PRAKTEK nasihat RELEVAN UNTUK BAB 13


2200 - Keterlibatan Perencanaan
2201 - Pertimbangan Perencanaan
2210 - Tujuan Engagement
2220 - Keterlibatan Lingkup
2230 - Engagement Alokasi Sumber Daya
2240 - Engagement Program Kerja
2300 - Pertunjukan Engagement yang

2310 - Mengidentifikasi Informasi


2320 - Analisis dan Evaluasi
2330 - Mendokumentasikan Informasi
2340 - Pengawasan Engagement
Praktek Penasehat 2200-1: Perencanaan Engagement
Praktek Penasehat 2210-1: Tujuan Engagement
Praktek Penasehat 2210.A1-1: Penilaian Risiko dalam Perencanaan Engagement
Praktek Penasehat 2230-1: Keterlibatan Alokasi Sumber Daya
Praktek Penasehat 2240-1: Program Kerja Engagement
Praktek Penasehat 2330-1: Mendokumentasikan Informasi
Praktek Penasehat 2330.A1-1: Kontrol Keterlibatan Rekaman
Praktek Penasehat 2330.A2-1: Retensi Arsip
Praktek Penasehat 2340-1: Keterlibatan Pengawasan
Bab ini menjelaskan berbagai langkah yang diperlukan untuk melakukan keterlibatan jaminan
kontrol-terfokus. Secara khusus, seperti yang digambarkan dalam Exhibit 13-2, yang
memperkenalkan sebagai Bukti 12-2 dalam bab sebelumnya, Anda akan mempelajari langkahlangkah kunci yang diperlukan untuk merencanakan dan melaksanakan keterlibatan jaminan.
Bagian pertama bab ini berfokus pada langkah-langkah perencanaan. Hal ini tercakup dalam
kedalaman yang cukup sebagai perencanaan yang efektif merupakan bagian integral untuk
melakukan keterlibatan sukses. Pelaksana langkah-langkah ini memberikan keyakinan bahwa
pertunangan akan (1) lengkap, (2) menyelaraskan dengan tujuan organisasi, dan (3) mendukung
piagam fungsi audit internal. Setelah meninjau bagian ini, Anda harus sepenuhnya menghargai
ekspresi, "gagal merencanakan berarti Anda berencana untuk gagal."

Bagian kedua dari bab difokuskan pada pelaksanaan program tes yang dirancang selama tahap
perencanaan. Sedangkan uji audit yang melakukan biasanya membutuhkan waktu lebih lama
daripada merencanakan pertunangan, bagian ini lebih pendek dari bagian perencanaan karena
ada relatif sedikit langkah kunci, langkah ini hanya dilakukan berulang-ulang untuk menguji
pernyataan kontrol yang berbeda. Kegiatan kinerja keterlibatan jaminan dibahas dalam Bab 12,
"Pengantar Proses Engagement." Selain itu, teknik untuk mengevaluasi dan melaporkan
pengamatan audit dibahas dalam Bab 14, "Berkomunikasi Jaminan Hasil Keterlibatan dan
Performing Tindak lanjut Prosedur." Oleh karena itu, bagian kinerja bab ini difokuskan pada
penerapan konsep-konsep, daripada ulangan mereka. Informasi yang terdapat dalam bab ini
memberikan pemahaman yang solid tentang bagaimana untuk merencanakan dan melaksanakan
hampir semua keterlibatan jaminan.
THE JAMINAN KETERLIBATAN PROSES

Plan
Determine engagement
objectives and scope.
Understanding the auditee,
including auditee objectives
and assertions.
Identify and assess risks.
Identify key control
activities.
Evaluate adequacy of control
activites.
Create a test plan.
Develop a work program.
Allocate resources to the
engagement.

Perform

Conduct tests to
gather evidence.
Evaluate
evidence
gathered and
reach
conclusions.
Develop
observations and
formulate
recommendation
s.

MENENTUKAN TUJUAN KETERLIBATAN DAN SCOPE


Alasan Melakukan Engagement

Communicate
Perform
observation
evaluation and
escalation
process.
Conduct interim
and preliminary
engagement
communications.
Develop final
engagement
communications.
Distribute formal
and informal
final
communications.
Perform
monitoring and
follow-up
procedures.

Ada berbagai jenis keterlibatan jaminan dan mungkin ada alasan yang berbeda untuk melakukan
salah satu dari mereka. Jenis keterlibatan dan alasan untuk melakukan hal itu secara signifikan
dapat mempengaruhi bagaimana pertunangan dilakukan. Oleh karena itu, penting untuk
memahami alasan untuk melakukan pertunangan sebelum memulai perencanaan.
Ada sejumlah alasan untuk melakukan keterlibatan jaminan, termasuk, namun tidak terbatas
pada:
Keterlibatan ini diidentifikasi dalam rencana audit internal tahunan karena risiko yang melekat
diidentifikasi selama proses penilaian risiko bisnis, risiko terdeteksi terakhir kali daerah itu
diaudit, dan faktor-faktor lain yang relevan. Untuk keterlibatan tersebut, auditor internal harus
memahami apa risiko bisnis yang mendasari menyebabkan keterlibatan untuk dimasukkan dalam
rencana, dan kemudian merancang rencana pertunangan untuk memberikan jaminan yang tepat
mengenai kecukupan desain dan efektivitas operasi pengendalian yang diterapkan untuk
mengurangi risiko tersebut.
Keterlibatan adalah bagian dari kebutuhan tahunan untuk mengevaluasi sistem organisasi
pengendalian intern untuk tujuan pelaporan eksternal, seperti AS Sarbanes-Oxley Act of 2002
Pasal 404 persyaratan di Amerika Serikat dan hukum pelaporan keuangan serupa di negara lain.
Untuk keterlibatan tersebut, auditor internal harus memastikan bahwa keterlibatan ini dirancang
untuk menguji area yang tercakup dalam peraturan yang mendasari (misalnya, memberikan
jaminan mengenai kecukupan desain dan efektivitas operasi pengendalian internal atas pelaporan
keuangan).
Sebuah acara baru-baru ini (misalnya, bencana alam, penipuan, atau kebangkrutan pelanggan)
telah menguji proses di bawah kondisi yang tidak biasa dan manajemen menginginkan "post
mortem" untuk menentukan di mana proses itu efektif dan mana tidak. Untuk keterlibatan
tersebut, auditor internal harus menyesuaikan pengujian dan evaluasi di sekitar peristiwa tertentu
yang terjadi.
Perubahan dalam bisnis atau industri membutuhkan modifikasi langsung ke proses dan
manajemen menginginkan validasi cepat yang modifikasi ini tampaknya dirancang tepat untuk
mengatasi perubahan. Untuk keterlibatan ini, auditor internal dapat melakukan audit kontrol

yang berfokus penuh atau mereka mungkin lingkup untuk fokus hanya pada kontrol yang
berubah.

Plan
Determ ine
engagem ent
objectives and scope.
Understanding the
auditee, including
auditee objectives
and assertions.
Identify and assess
risks.
Identify key control
activities.
Evaluate adequacy of
control activites.
Create a test plan.
Develop a work
program .
Allocate resources to
the engagem ent.

Perfo rm

Conduct tests
to gather
evidence.
Evaluate
evidence
gathered and
reach
conclusions.
Develop
observations
and form ulate
recom m endati
ons .

Com m unicate
Perform
observation
evaluation and
escalation
process.
Conduct
interim and
prelim inary
engagem ent
com m unicatio
ns.
Develop final
engagem ent
com m unicatio
ns.
Distribute
form al and
inform al final
com m unicatio
ns.
Perform
m onitoring and
follow -up
procedures.

Mungkin ada faktor lain, selain yang tercantum di atas, yang membuatnya penting bagi tim audit
internal untuk menyadari alasan atau driver yang menyebabkan keterlibatan yang akan
dilakukan. Misalnya, alih-alih mencari kepastian mengenai pernyataan yang berbeda dibahas di
atas, manajemen mungkin menginginkan pertunangan dilakukan untuk menilai bagaimana proses
kinerja relatif terhadap harapan. Jenis keterlibatan mungkin memerlukan tes yang berbeda untuk
memberikan penilaian itu. Terlepas dari alasan untuk melakukan pertunangan, memahami alasan

seperti ini akan membantu memastikan bahwa tujuan keseluruhan, ruang lingkup, dan fokus dari
alamat keterlibatan mereka driver dan waktu tidak dikhususkan untuk yang lain, driver kurang
penting.
Menetapkan Tujuan Engagement
Setelah alasan untuk keterlibatan jaminan dipahami, tujuan keterlibatan formal harus ditetapkan.
Tujuan-tujuan ini, yang biasanya dinyatakan dalam jaminan komunikasi keterlibatan akhir,
mengartikulasikan khusus apa keterlibatan sedang mencoba untuk menyelesaikan. Sementara
tujuan dapat dinyatakan dalam berbagai cara, harus jelas apa jaminan pertunangan akan
menyediakan. Misalnya, tujuan bisa mulai dengan kalimat berikut (kata kerja yang berbeda dapat
digantikan untuk yang digunakan dalam contoh ini):

Mengevaluasi kecukupan desain. . .


Menentukan efektivitas operasi. . .
Menilai kepatuhan. .
Menentukan efektivitas dan efisiensi. . .
Mengevaluasi akurasi. .
Menilai pencapaian. . .
Menentukan kinerja
Menentukan efektivitas dan efisiensi ...
Mengevaluasi akurasi ...
Menilai pencapaian ...
Menentukan kinerja ...

Lingkup Keterlibatan
Setelah tujuan keterlibatan telah ditetapkan, ruang lingkup keterlibatan harus ditentukan. Sejak
keterlibatan mungkin tidak mencakup segala sesuatu yang dapat diaudit berkaitan dengan tujuan
keterlibatan, pernyataan ruang lingkup khusus harus menyatakan apa atau tidak termasuk dalam
keterlibatan. Pernyataan lingkup tersebut dapat mencakup:

Batas dari proses. Sementara beberapa proses kecil dan mandiri, banyak yang sangat
luas dan tumpang tindih dengan proses lainnya. Oleh karena itu, penting untuk
mendefinisikan apa titik dalam proses keterlibatan akan dimulai dan dimana akan
berakhir.

Dalam-lingkup dibandingkan out-of-lokasi. Untuk proses yang mencakup beberapa

lokasi, hanya beberapa lokasi tersebut dapat dimasukkan dalam keterlibatan.


Subproses. Sebagian diskrit dan dikenali atau komponen dari sebuah proses.
Komponen. Bagian-bagian tertentu, atau komponen, dari sebuah proses dapat diabaikan.

Kerangka waktu. Keterlibatan dapat mencakup satu tahun kalender, 12 bulan sebelumnya, atau
beberapa kerangka waktu lainnya.
Hasil yang diharapkan dan Publikasi
Sebelum pindah ke langkah berikutnya dalam proses perencanaan, pada tugas akhir harus
dilakukan. Masing-masing dijelaskan lebih lengkap sebagai berikut:

Potensi hasil tes yang akan dilakukan selama keterlibatan. Mampu mengantisipasi
berbagai jenis pengujian pengecualian yang dapat diidentifikasi dalam keterlibatan yang
diberikan membantu rencana uji internal auditor untuk memberikan jaminan reaasonable
bahwa perbedaan tersebut terdeteksi. Pengecualian khas meliputi:
Kesalahan statment keuangan atau misclassifications dalam rekening keuangan, saldo,

atau pengungkapan.
Kontrol kekurangan menunjukkan kontrol tertentu yang tidak mencapai efek yang

diinginkan, yaitu, mengurangi risiko sesuai dengan tingkat yang diinginkan.


Kekurangan dalam pencapaian tujuan, karena kekurangan kontrol atau kinerja yang tidak

memadai.
Inefisiensi karena sumber daya tidak digunakan secara optimal.
Situasi out-of-kepatuhan saat hukum, peraturan, atau kebijakan tidak dipenuhi secara
konsisten.

Auditee pengecualian mengenai keterlibatan.


Anak perusahaan, unit bisnis, departemen, kelompok, atau bagian ketatanegaraan didirikan lain
dari suatu organisasi yang merupakan subjek dari keterlibatan jaminan. Jenis-jenis komunikasi
meliputi:

Lingkup penuh, laporan internal biasanya memiliki distribusi yang luas dan, dengan
demikian, memerlukan bukti yang tepat cukup untuk mendukung kesimpulan dan
rekomendasi untuk perbaikan.

Internal memeronda dapat digunakan untuk distribusi lebih terbatas, yang menyatakan
pekerjaan yang dilakukan dan dukungan untuk kesimpulan dan rekomendasi hanya
tertalu sejauh necessay untuk audiens yang dituju untuk memahami kekurangan yang

mendasari.
Laporan untuk penggunaan pihak ketiga harus mengasumsikan pihak tersebut kurang
akrab dengan kebijakan dan prosedur yang unik bagi organisasi dan, oleh karena itu,
mungkin memerlukan tingkat yang lebih detail untuk memastikan pembaca memahami

sifat dan konteks pengamatan dan rekomendasi.


Kadang-kadang, tingkat yang lebih tinggi kerahasiaan mungkin diperlukan untuk
keterlibatan tertentu. contoh tersebut harus dibicarakan di depan dengan manajemen
proses untuk memastikan kiriman mendukung tingkat yang diperlukan confidientiality.

MEMAHAMI AUDIT
Ketika merencanakan keterlibatan, tim audit internal harus terlebih dahulu memahami auditee.
Menentukan Tujuan Auditee
Memahami proses dimulai dengan menentukan tujuan proses kunci. Ini membantu auditor
internal mengerti mengapa proses itu ada, yang akan menjadi penting ketika mengidentifikasi
dan menilai risiko tingkat proses dan kontrol.

Tujuan operasi adalah jenis yang paling umum dari tujuan pada tingkat proses dan
biasanya menentukan alasan proses ada. Tujuan ini biasanya adalah pemerintahan atau
berorientasi pada tugas, dan, sebagai hasilnya, sering fokus pada accurancy, ketepatan

waktu, kelengkapan, atau atribut kontrol.


Tujuan strategis pada tingkat proses adalah mereka diciptakan untuk khusus selaras
dengan tujuan strategis organisasi.

COSO Tujuan Kategori:

operasi
pelaporan
pemenuhan
strategis

Pemilik proses atau staf yang terlibat dalam proses tersebut mungkin dapat memberikan daftar
tujuan proses. Namun, dalam banyak kasus, tujuan-tujuan tersebut mungkin belum
diartikulasikan secara formal.
Mengumpulkan Informasi
Ada banyak cara untuk mengumpulkan informasi tentang proses. Auditor internal harus
mempertimbangkan berbagai jenis dan sumber informasi yang relevan tersedia. Selain itu,
analisis, data dan kontrol tingkat-entitas dapat membantu memberikan wawasan tambahan ke
proses.
Jenis dan Sumber Informasi Relevan
Titik awal untuk memahami proses sedang mengkaji dokumentasi yang sudah ada. Sebagai
contoh, berikut ini mungkin tersedia dari pemilik proses atau keluarga lain eith proses yang dapat
memberikan informasi yang berguna mengenai bagaimana proses kerjanya:

Kebijakan yang berkaitan dengan proses.


Prosedur manual.
Bagan organisasi atau informasi serupa menguraikan jumlah karyawan dan hubungan

pelaporan kunci.
Deskripsi pekerjaan bagi orang-orang yang terlibat dalam proses.
Peta proses atau alur depictig aliran keseluruhan proses.
Deskripsi naratif kontrak kunci dengan pelanggan, vendor, mitra outsorcing, dll
Informasi yang relevan mengenai hukum dan peraturan yang mempengaruhi proses.
Dokumentasi lain yang mungkin telah pengembangan untuk mendukung diperlukan
pelaporan atas efektivitas sistem pengendalian internal.

Apa tugas utama Anda bertanggung jawab untuk melakukan?


Apa masukan (informasi, dokumentasi, dll) yang Anda butuhkan untuk melakukan tiga
tugas?
Apa khusus, yang Anda lakukan dengan input ini?

Apa output yang Anda hasilkan dari setiap tugas?


Yang orang lain atau daerah Anda tergantung pada saat Anda melakukan tugas-tugas
ini?
Yang orang lain atau daerah tergantung pada Anda melakukan tiga tugas secara efektif
dan tepat waktu?
Sistem informasi yang Anda gunakan saat melakukan tugas-tugas ini?
Berapa lama waktu yang dibutuhkan untuk menyelesaikan setiap tugas?
Apa jenis pengecualian atau kesalahan yang Anda biasanya menemukan?
Bagaimana Anda menangani pengecualian atau kesalahan?
Apa hambatan atau tantangan lain yang Anda biasanya temui ketika melakukan tugastugas?
Apa yang Anda lakukan untuk menghilangkan hambatan atau memenuhi tantangan?
Pada akhirnya, bagaimana Anda memastikan bahwa Anda melakukan tugas dengan
benar?
Pertanyaan ini dan lainnya dapat membantu memberikan auditor internal dengan
informasi yang dibutuhkan untuk memahami proses. Hal ini dapat diperoleh melalui wawancara
individu atau dengan melakukan walkthrough, yang melibatkan mengikuti transaksi melalui
setiap langkah dari proses. Terlepas dari pendekatan, adalah penting untuk memahami tugas
utama secara cukup rinci untuk memberikan dasar untuk langkah-langkah selanjutnya dalam
proses perencanaan.
Prosedur Analitis
Memahami tugas dalam suatu proses, seperti dijelaskan di atas, merupakan langkah
penting dalam perencanaan pertunangan. Namun, tugas ini menggambarkan cara proses yang
dirancang untuk melakukan, tetapi memberikan sedikit indikasi mengenai seberapa efektif
mereka dilakukan. Melakukan prosedur analitis adalah salah satu cara auditor melakukan

penilaian tingkat tinggi internal yang dapat mengungkapkan kegiatan proses yang menjamin
perhatian lebih dan, pengujian sesuai, lebih rinci.
Prosedur analitis melibatkan meninjau dan mengevaluasi informasi yang ada, yang
mungkin finansial atau non finansial, untuk menentukan apakah itu konsisten dengan yang telah
ditentukan harapan.
Contoh: untuk audit pengeluaran kas, analisis ini mungkin termasuk salah satu atau
semua hal berikut:
Perbandingan informasi keuangan untuk periode sebelumnya, misalnya, tren dalam
rekening saldo hutang dari satu seperempat berikutnya.
Analisis Rasio, misalnya, rasio lancar (aktiva lancar dibagi dengan kewajiban lancar)
dan rekening omset hutang (pokok penjualan dibagi dengan hutang)
Perbandingan informasi keuangan atau non finansial terhadap informasi anggaran,
misalnya, saldo kas aktual versus diperkirakan jumlah uang.
Analisis Data Menggunakan
Teknik Audit dibantu komputer (CAATs)
Analisis data melibatkan pengumpulan dan analisis data dalam jumlah besar, biasanya
melalui penggunaan teknologi. Analisis data dapat memberikan informasi tentang populasi
transaksi yang bisa membuktikan berguna ketika menentukan pendekatan audit internal.
Contoh: ketika melakukan audit internal dan proses pengeluaran kas, tim audit internal
dapat melakukan tes analisis data berikut selama tahap perencanaan:
Jumlah atau persen pembayaran yang dibuat baik sebelum atau setelah tanggal jatuh
tempo - ini dapat memberikan wawasan mengenai bagaimana erat arus kas dikelola.
Jumlah cek petunjuk - ini dapat menunjukkan proses kekurangan desain atau potensial
pengelakan kontrol didirikan.

Stratifikasi jumlah pembayaran - ini dapat memberikan informasi mengenai tingkat


pembayaran kecil dibuat, menunjukkan potensi atau kartu pengadaan.
Distribusi digit pertama jumlah pembayaran (Analisa Hukum Benford ini) - distribusi
yang tidak mengikuti Hukum Benford mungkin indikasi praktik pencairan tidak biasa (misalnya,
split faktur), yang mungkin, pada gilirannya, mempengaruhi pendekatan audit internal . Hukum
Benford yang memperkirakan jumlah kali setiap o 10 digit (nol melalui sembilan) biasanya akan
terjadi pada awal setiap nomor pada populasi dengan karakteristik tertentu.
Gandakan jumlah pembayaran kepada vendor yang sama - hal ini dapat menunjukkan
potensi pembayaran ganda, atau memberikan wawasan tentang vendor yang pembayaran berkala
yang dibuat untuk jumlah seperti.
Mendapatkan informasi tentang populasi selama fase perencanaan dapat membantu
desain internal auditor tes yang paling efektif mengatasi risiko yang melekat dalam proses.
Badan Analisis Tingkat Kontrol
Meskipun penting untuk memahami tugas-tugas tingkat proses dan kontrol, juga penting
untuk memahami bagaimana entity level control dapat mempengaruhi kinerja dari sebuah proses.
Kekurangan dalam entity level control dapat menghindari dengan baik kontrol dirancang dalam
proses dan, pada kenyataannya, menjadi resiko yang melekat pada operasi yang efektif dari
kontrol pada tingkat proses. Sebagai contoh, jika organisasi kebijakan lebar cenderung informal
dan tidak konsisten menegakkan, maka kebijakan khusus untuk proses yang diaudit mungkin
tidak penting untuk memahami proses. Demikian pula, jika ada sedikit komitmen untuk menarik,
pelatihan, dan mengembangkan karyawan yang kompeten di bidang utama yang membutuhkan
kemampuan pengambilan keputusan dan penilaian yang kompleks, pendekatan pengujian
mungkin perlu diubah karena ketergantungan kurang dapat ditempatkan pada individu mampu
melakukan kompleks atau sangat tugas menghakimi.

Kontrol tingkat-entitas biasanya dievaluasi secara organisasiyang luas secara berkala (misalnya,
per tahun). Oleh karena itu, biasanya tidak akan diperlukan untuk melakukan penilaian terhadap
efektivitas pengendalian entitas-level pada setiap keterlibatan. Namun, seperti yang dijelaskan

dalam paragraf sebelumnya, auditor internal harus mempertimbangkan hasil penilaian kontrol
entitas tingkat ketika merencanakan keterlibatan individu untuk memastikan pendekatan untuk
pengujian yang relevan yang efisien.
Mendokumentasikan Arus Proses
Sebagaimana dibahas di atas, mungkin ada banyak jenis informasi yang dapat dikumpulkan
tentang proses dari berbagai sumber. Untuk menunjukkan bahwa auditor internal memahami
bagaimana proses sebenarnya beroperasi, langkah-langkah kunci harus didokumentasikan.
Proses ini aliran dokumentasi akan memfasilitasi review kertas kerja oleh atasan auditor internal
atau orang lain. Cara yang paling umum mendokumentasikan aliran proses adalah diagram alur
(tingkat tinggi atau rinci) dan memorandum narasi. Sebelum memberikan penjelasan singkat
masing-masing, penting untuk memahami beberapa perbedaan halus antara dokumentasi arus
proses.
Peta Proses, seperti yang dijelaskan dalam Bab 5, "Proses Bisnis dan Risiko", upaya untuk
menggambarkan masukan dewan, kegiatan, alur kerja, dan interaksi dengan proses dan output
lainnya. Mereka menyediakan kerangka kerja untuk memahami kegiatan dan subproses.
Flowchart mencakup informasi tambahan, sering menggambarkan sistem komputer dan
aplikasi, arus dokumen, risiko rinci dan kontrol, pengguna dibandingkan otomatis langkah,
waktu berlalu untuk langkah-langkah dalam proses, pemilik langkah kunci, dan informasi
tambahan yang diperlukan untuk membantu pengkaji memahami proess dan alirannya.
Memorandum Narasi memberikan informasi tentang aliran proses hanya menggunakan katakata tertulis, tidak ada upaya untuk menggunakan simbol-simbol untuk menggambarkan aliran.
Hal ini umum untuk combin diagram alur dengan informasi naratif tambahan untuk membuat
bentuk hibrida dokumentasi.
Peta proses cenderung paling berguna pada tingkat bisnis, seperti yang dijelaskan dalam bab 5,
sedangkan diagram alur dan dokumentasi hibrida memberikan tingkat informasi yang diperlukan
untuk memahami proses rinci. Folowing adalah deskripsi singkat dari teknik tersebut sering
aused pada tingkat proses.
Diagram alur tingkat tinggi

Tujuan dari flowchart tingkat tinggi adalah untuk menggambarkan input luas, tugas, alur kerja,
dan output. Sebuah flowchart tingkat tinggi membantu pengulas memahami kegiatan
keseluruhan, sistem, laporan, dan interface dengan proses lain atau subproses. Pemahaman ini
akan memberikan kerangka penghormatan untuk mengidentifikasi subproses kunci dan sistem
yang dapat dipertimbangkan untuk lingkup yang terkait. Flowchart biasanya diambil seperti peta
proses, dengan informasi tambahan yang ditambahkan yang diperlukan untuk mendukung
undestanding aliran proses. Simbol flowcharting umum ditunjukkan dalam Exhinit-13-5.
Simbol-simbol ini memperluas mereka digunakan untuk peta proses, seperti yang dibahas dalam
bab 5.
COMMON FLOWCHARTING SYMBOLS
Process operation A process, subprocess, or activity.

Decision indicates alternative choice (for eample, yes/no or accept/ reject),


each of which result in different flows of activities and/or.
Document A hard copy input source document or output report.
Flow line The direction of activities, workflow, information flow, documents
and handoffs.
Computer system or application information technology that is used to store
data, run an application, or perform other computer-based fuctions.
On-page connector used to connect different parts of a flowchart on the same
page without the use of flow lines.
Terminator The start or end of a flow
Annotation An explanatory note attached to a specific point in a flowchart.

Sederhana, tingkat tinggi flowchart dapat digunakan untuk mengkonfirmasi keseluruhan


pemahaman auditor internal proses dengan pemilik proses, membantu dalam menentukan daerah

atau subproses berada dalam ruang lingkup yang terkait, dan berfungsi sebagai pandangan
ringkasan diagram alur rinci.
Flowchart Detail
Sementara flowchart tingkat tinggi adalah titik awal yang penting, tidak memberikan kedalaman
dan tingkat detail yang diperlukan untuk mendukung penilaian internal auditor mengenai desain
proses. Sebuah dokumen flowchart rinci masukan yang lebih spesifik, tugas, tindakan, sistem,
keputusan, dan output. Selain memberikan gambaran lebih rinci dari aliran proses, flowcharts
rinci yang menyediakan informasi tambahan yang meningkatkan pemahaman tentang proses.
Sebagai contoh, diagram alur rinci mungkin mencakup beberapa atau semua hal berikut:

Risiko utama, yang akan dilambangkan dengan simbol mengidentifikasi titik-titik dalam
proses dimana sesuatu yang bisa salah dan menyebabkan proses untuk tidak beroperasi

seperti yang dirancang.


Kontrol kunci, yang dapat dilambangkan dengan simbol mengidentifikasi tugas, tindakan,

atau keputusan yang dianggap penting untuk memadai dirancang proses.


Individu atau posisi yang melaksanakan tugas kunci atau membuat keputusan.
Waktu ketika tugas utama, tindakan, atau keputusan terjadi.
Waktu berlalu yang diperlukan untuk melakukan tugas atau membuat keputusan (ini
dapat mencakup jika flowchart digunakan untuk mengevaluasi efisiensi proses).

Karena banyak orang adalah belajar visual dan pemikir, diagram alur rinci adalah cara yang
efektif untuk menyajikan banyak informasi dalam format intuitif dan mudah dipahami. Tingkat
informasi dalam diagram alur rinci harus cukup untuk mendukung penilaian auditor internal
mengenai identifikasi kontrol kunci, kecukupan proses desain secara keseluruhan, dan
kesenjangan antara tingkat saat ini dan diinginkan kontrol tertentu.

Memorandum Narasi

Mungkin ada situasi di mana auditor internal percaya itu adalah lebih tepat untuk
mendokumentasikan pemahaman tentang proses menggunakan narasi write-up dibandingkan
dengan diagram alur. Situasi ini biasanya menunjukkan satu atau lebih dari karakteristik berikut:

Proses ini sederhana dan, dengan demikian, gambaran visual dibuat dalam

flowcharting bukanlah nilai yang besar.


Langkah-langkah yang rumit, sehingga sulit untuk menggambarkan secara efektif

dalam ruang terbatas yang disediakan dalam simbol flowchart.


Para pemilik proses ingin output untuk mendukung proses dokumentasi lain dan lebih

suka narasi write-up atas diagram alur.


Narasi write-up adalah cara yang lebih efisien mendokumentasikan proses.

Memorandum narasi harus mencakup jenis informasi yang sama seperti yang terkandung dalam
diagram alur. Sementara bagian tertentu dari memorandum tersebut dapat bervariasi antara
proses, memorandum umumnya harus mencakup unsur-unsur dari garis berikut:
1. Deskripsi keseluruhan dari proses
2. Masukan kunci
a. Dokumen atau komunikasi dari sumber luar (misalnya, faktur atau cek)
b. Output dari proses lain atau subproses
c. Informasi dari sumber luar
d. Data dari sistem internal
3. Langkah-langkah penting dalam proses
a. Tugas yang menangani, memeriksa, mengubah, atau yg mengingatkan input
b. Analisis yang rumit
c. Keputusan atau penilaian yang dibuat
d. Aplikasi komputer yang diperbarui
e. Dokumen baru atau informasi yang dibuat
f. Individu kunci melakukan tugas
4.

g. Waktu berlalu untuk tugas-tugas atau kelompok tugas


Output kunci
a. Dokumen yang harus dikirim ke pihak luar (misalnya, tagihan, cek, atau pernyataan)
b. Laporan untuk penggunaan internal
c. Input ke dalam proses lain atau subproses

d. Data yang akan disimpan secara elektronik


e. Hard copy dokumentasi untuk disimpan secara internal
5. Risiko yang mengancam proses
6. Kontrol utama (lihat kunci control mengidentifikasi bagian selanjutnya dalam bab ini)

Mengidentifikasi Indikator Kinerja Utama


Setelah memperoleh pemahaman tentang aliran proses, akan sangat membantu bagi auditor
internal untuk juga memahami bagaimana manajemen tingkat proses memantau kinerja. Sering,
akan ada indikator kinerja utama (KPI) yang dimonitor secara berkala untuk memberikan
pemilik proses dengan informasi tentang seberapa baik proses kinerja. Pemantauan KPI ini
mungkin mirip dengan prosedur analitis auditor internal yang dilakukan, seperti yang dijelaskan
dalam sectio sebelumnya, atau sangat berbeda. Ini adalah karakteristik tertentu dari indikator
kinerja kunci yang baik. Mereka harus:

Relevan, yaitu mengukur apa yang penting yang bertentangan dengan apa yang terukur.

Terukur, yaitu ada informasi kuantitatif untuk menentukan kinerja sukses.

Tersedia, yaitu informasi yang dibutuhkan tersedia pada waktu yang tepat dan orang
yang tepat, memungkinkan untuk pengukuran tepat waktu kinerja proses.

Sejalan dengan tujuan utama dari proses (informasi pembayaran duplikat ditangkap
karena ada tujuan untuk tidak memilikinya).

Artikulasi kepada orang-orang yang terlibat dalam proses sehingga kunci dalam proses
sehingga mereka mengerti apa yang sedang diukur dan pentingnya mencapai level kinerja
yang (rekening karyawan hutang dapat melihat statistik tepat waktu dan menyesuaikan
kinerja mereka sesuai).

Indikator kinerja utama, baik formal maupun informal, dapat menentukan proses pemilik
toleransi terhadap penyimpangan kinerja. Manajemen menentukan apa tingkat kesalahan mereka
bersedia diterima ketika proses tidak dilakukan seperti yang diharapkan. Mengetahui tingkat
toleransi akan membantu auditor internal mengevaluasi hasil pengujian.
Mengevaluasi Proses tingkat Penipuan Resiko

Akhirnya, penting untuk memahami potensi tingkat proses risiko penipuan. Sebagaimana
dibahas dalam bagian berikutnya dalam bab ini, sebagian besar risiko didasarkan pada uncertanty
peristiwa yang mungkin terjadi karena sifat yang melekat pada proses. Yang melekat
kemungkinan risiko tertentu terjadi meningkat jika ada niat oleh seorang individu untuk
melakukan penipuan dan / atau kolusi antara beberapa individu yang terlibat dalam proses. Oleh
karena itu, sebelum memulai proses penilaian risiko formal dalam pertunangan, penting untuk
mengevaluasi potensi skenario penipuan dalam proses. Melibatkan tiga langkah berikut:
1. Mengidentifikasi potensi skenario penipuan. Brainstroming dengan individu yang
terlibat dalam proses tersebut merupakan cara yang efektif untuk mengidentifikasi
kemungkinan cara dengan mana individu, bekerja sendiri atau dalam kolusi dengan orang
lain, bisa menghindari proses.
2. Memahami dampak penipuan potensial. Potensi dampak dari setiap skenario penipuan
harus ditentukan.
3. Tentukan apakah untuk menguji risiko kecurangan tertentu. Berdasarkan dua
langkah pertama, auditor internal dapat menilai, berdasarkan risiko yang melekat
penipuan dalam proses, apakah tes khusus harus dirancang untuk menentukan kerentanan
untuk penipuan.
IDENTIFIKASI DAN MENILAI RISIKO
Mengidentifikasi Proses-tingkat Skenario Risiko
Sebuah organisasi yang didirikan proses untuk melaksanakan rencana usaha dan mencapai
tujuannya. Proses ini mungkin diskrit dan terfokus, atau mereka mungkin lintas fungsional.
Risiko ada di semua proses, terlepas dari luasnya, lokasi, atau fokus. Tugas pertama dalam
menilai risiko tingkat proses adalah untuk mengidentifikasi skenario risiko yang melekat dalam
proses. Skenario risiko potensial kejadian kehidupan nyata yang dapat berdampak negatif
terhadap pencapaian tujuan.
Tujuan mengidentifikasi skenario risiko adalah untuk menjawab pertanyaan: Apa yang bisa
terjadi yang akan mencegah pencapaian setiap tujuan tingkat proses? Untuk menjawab

pertanyaan ini, auditor internal harus otak-badai skenario risiko yang mungkin terjadi. Berikut ini
memberikan garis besar tentang bagaimana hal ini dapat dilakukan.
1. Pilih tujuan tingkat proses tunggal. Latihan ini bekerja baik jika dilakukan satu tujuan
pada suatu waktu.
2. Brainstorm hambatan (peristiwa, masalah, keadaan, dll) yang mungkin mengancam
pencapaian tujuan. Contohnya adalah sebagai berikut:
a. Peristiwa eksternal yang organisasi tidak siap atau tidak bereaksi untuk tepat waktu
atau tepat.
b. Tidak cukup dirancang atau kurang didokumentasikan prosedur.
c. Kerusakan dalam prosedur yang ada.
d. Kurangnya orang yang tepat, dengan keterampilan yang tepat, digunakan dengan cara
yang benar.
e. Komunikasi yang tidak memadai antara daerah interfacing.
f. Karyawan yang dengan sengaja melanggar kebijakan atau bertindak tidak etis.
g. Tidak cukup dirancang atau usang aplikasi komputer.
h. Terlalu cepat, akurat, atau tidak memadai informasi untuk pengambilan keputusan.
i. Kegagalan untuk mengukur kinerja.
3. Lanjutkan latihan untuk tujuan tingkat proses yang tersisa.
4. Sejak beberapa skenario risiko akan serupa di tujuan tingkat proses, mengelompokkan
dan menggabungkan skenario risiko serupa.
Latihan bertukar pikiran akan dioptimalkan jika individu yang terlibat dalam proses
berpartisipasi. Mereka mungkin dapat mengidentifikasi skenario risiko berdasarkan pengalaman
tangan pertama. Namun, auditor internal yang berpengalaman harus bisa melakukan latihan ini
tanpa bantuan dari individu tingkat proses.
Sebuah cara yang efektif untuk auditor internal untuk melakukan seperti sesi brainstorming
adalah untuk menulis skenario yang berbeda pada catatan diri menempel dan menempatkan
mereka di dinding atau papan besar. Setelah brainstroming selesai, catatan dapat (1) diatur oleh
tujuan untuk memastikan komprehensif menutup-usia masing-masing tujuan, dan (2)
dikategorikan

menurut

jenis

skenario

serupa

untuk

mendukung

definisi

risiko.

Mendefinisikan Proses Risiko-tingkat


Sebagaimana ditunjukkan di atas, skenario risiko serupa memberikan dasar untuk
mengidentifikasi risiko tingkat proses. Para skenario risiko mewakili spesifik peristiwa
kehidupan nyata yang dapat mempengaruhi pencapaian tujuan. Risiko adalah deskripsi yang
lebih luas dari sebab dan akibat peristiwa tersebut. Tugas berikutnya dalam menilai risiko tingkat
proses adalah untuk menentukan risiko yang relevan.
Ada banyak cara untuk mendefinisikan risiko. Pendekatan yang optimal tergantung pada budaya
dan "bahasa risiko" dari organisasi. Namun, terlepas dari pendekatan yang unik yang mungkin
ada dari satu organisasi ke depan, penting untuk konsisten. Kurangnya konsistensi dapat
membuat lebih sulit bagi resiko secara luas dipahami seluruh organisasi.
Pembayaran ganda
kegagalan untuk identitas beberapa input faktur dapat mengakibatkan pembayaran ganda kepada
vendor yang bisa tidak terdeteksi.
Ketepatan waktu
Ketidakmampuan untuk memproses pembayaran tepat waktu dapat mengakibatkan denda atau
hukuman (untuk pembayaran terlambat).
Akses sistem
Kurangnya praktik keamanan logis yang efektif dapat menciptakan peluang bagi individu yang
tidak sah untuk mengakses, memanipulasi, atau menghapus data.
Sumber daya mnusia
Ketidakmampuan untuk menarik, mengembangkan, menyebarkan, dan mempertahankan
individu yang kompeten dapat menyebabkan pembayaran yang tidak akurat atau tidak tepat
waktu.

Setelah risiko didefinisikan, mereka harus dikaitkan dengan tujuan tingkat proses untuk
memastikan ada hubungan antara masing-masing risiko dan tujuan. Seperti dibahas di bawah,
penilaian risiko melibatkan pertimbangan dampak pada kemampuan untuk mencapai tujuan.
Karyawan bertanggung jawab untuk mengelola risiko tingkat proses, adalah penting bahwa
mereka memiliki pemahaman yang seragam dan konsisten tentang risiko tersebut. Oleh karena
itu, auditor internal harus berbagi dan mendiskusikan definisi risiko dengan manajemen tingkat
proses dan karyawan untuk memvalidasi bahwa daftar risiko selesai. Sukses dengan tugas ini
akan membantu memfasilitasi keberhasilan dalam mengevaluasi dampak dan kemungkinan
risiko tugas yang berikut.

Mengevaluasi dampak dan kemungkinan risiko


Sekarang bahwa risiko telah diidentifikasi dan didefinisikan, auditor internal siap untuk
melakukan penilaian risiko. Dalam tugas ini, fokusnya adalah pada penentuan dampak potensial
dan kemungkinan setiap risiko. Tujuan evaluasi ini adalah untuk membantu mengidentifikasi
risiko yang akan memiliki dampak buruk terbesar pada pencapaian tujuan tingkat proses.
Proses untuk melakukan penilaian risiko tingkat proses umumnya melibatkan tiga langkah
berikut:
1. Menentukan dampak dari berbagai hasil yang terkait dengan masing-masing risiko. Tips
berikut bisa membantu ketika melakukan langkah ini:
Ingat bahwa, menurut definisi, risiko merupakan ketidakpastian, karena itu mungkin ada
beberapa hasil risiko yang mungkin. Auditor internal harus mencoba untuk tidak fokus
hanya pada satu hasil risiko yang mungkin dan mengabaikan hasil yang lebih mungkin atau
membawa dampak yang lebih.
Risiko biasanya diukur dari segi dampak keuangan yang merupakan dampak paling umum
dan mudah diukur. Namun, mungkin ada hasil risiko lain yang baik tidak dapat diukur secara
finansial atau mungkin dianggap lebih parah daripada dampak keuangan. Misalnya,
merugikan kesehatan dan keselamatan karyawan, atau penurunan reputasi organisasi karena
publisitas negatif dapat dianggap sebagai hasil yang lebih parah daripada dampak keuangan

langsung risiko tersebut.


Dampak harus fokus pada potensi eksposur selama periode waktu tertentu, biasanya satu
tahun.

2. Langkah kedua adalah untuk memperkirakan kemungkinan bahwa setiap dampak risiko
akan terjadi.
Tips berikut mungkin berguna ketika melakukan langkah ini:
Sebagaimana dibahas di atas, risiko memiliki berbagai hasil yang mungkin, masing-masing
akan memiliki kemungkinan yang berbeda terjadi. Hal ini penting untuk fokus pada hasil
risiko ditentukan pada langkah sebelumnya.
Karena ada banyak hasil risiko, ada juga mungkin banyak akar penyebab mengapa risiko
terjadi. Setiap akar penyebab mungkin memiliki kemungkinan yang berbeda. Oleh karena
itu, penting untuk mempertimbangkan akar penyebab yang mendasari hasil yang dipilih
ketika mengevaluasi kemungkinan kejadian risiko.
Seperti halnya ketika menentukan dampak risiko, tidak perlu untuk mendapatkan tingkat
ketepatan yang tinggi ketika memperkirakan kemungkinan risiko. menggunakan skala
umum (misalnya, tinggi / menengah / rendah) biasanya akan cukup. Sebagai contoh,
kemungkinan besar dapat menunjukkan bahwa dampak risiko mungkin tidak terjadi (yaitu
lebih dari 50 persen), kemungkinan media dapat menunjukkan bahwa dampak risiko yang
mungkin (misalnya, dari 10 persen sampai 50 persen), dan kemungkinan rendah mungkin
menunjukkan bahwa dampak risiko jauh (misalnya, kurang dari 10 persen).

3. Langkah terakhir adalah untuk menggabungkan penilaian dampak dan kemungkinan ke


dalam penilaian risiko tunggal. cara terbaik untuk melakukannya adalah membuat
matriks risiko yang menunjukkan keterkaitan antara dampak dan kemungkinan setiap
risiko. Sebagai contoh, matriks risiko menggambarkan penggunaan skala tinggi /
menengah / rendah untuk kedua dampak dan penilaian kemungkinan. Ketika meninjau
risiko matriks ini, perhatikan bahwa nomor untuk setiap kotak untuk menandakan
keseluruhan tingkat risiko. Setelah setiap risiko ditempatkan di salah satu kotak, mereka

dapat diklasifikasikan sebagai berikut:


- Risiko dalam kotak 8 atau 9 (merah) dianggap berisiko tinggi.
- Risiko dalam kotak 5,6, atau 7 (kuning) dianggap berisiko menengah.
- Risiko dalam kotak 1,2,3, atau 4 dianggap berisiko rendah.
Biasanya, risiko tinggi dan menengah harus dimasukkan dalam setiap keterlibatan jaminan audit
internal. Risiko rendah mungkin atau mungkin tidak disertakan, tergantung pada piagam fungsi
audit internal dan pertimbangan sumber daya.
Menggunakan matriks atau beberapa cara lain untuk visual menggambarkan hasil penilaian
risiko akan memfasilitasi kajian keseluruhan putusan yang dibuat dalam proses penilaian risiko
oleh manajemen audit internal dan pemilik proses. Ulasan tersebut, terutama oleh pemilik proses,
akan membantu memvalidasi penilaian yang dilakukan oleh auditor internal.

Contoh Matriks Risiko

IMPACT

High
Medium
Low

7
4
1
Low
LIKELIHOOD

8
5
2
Medium

9
6
3
High

Risiko harapan

Risiko

Contoh matriks risiko pengeluaran kas

High

pembayaran
ganda

IMPACT

Risiko

sistem

Medium

akses
5

Risiko sumber Risiko

Low

daya manusia

ketepatan

waktu
3

Low
Medium
High
LIKELIHOOD
Risiko harapan dianggap dampak tinggi sebagai kurangnya arah yang cukup dan
pengawasan dari manajemen senior dapat mengakibatkan pengeluaran bahan yang
dibuat dengan cara yang tidak pantas atau penipuan. Risiko ini dianggap kemungkinan
rendah karena ada banyak contoh kebijakan yang baik dan prosedur yang mengatur
aktivitas, dan manajemen senior tidak mungkin untuk mengabaikan seperti daerah
penting.

Risiko Ketepatan waktu dianggap dampak jangka menengah sebagai denda dan bunga
karena terlambat tidak akan berdampak material, meskipun hubungan vendor buruk
masih akan menjadi perhatian. Risiko ini dianggap kemungkinan tinggi karena ada
ketergantungan pada orang lain untuk memulai proses pengeluaran kas dan dengan
syarat pembayaran umumnya ketat, ada berbagai penundaan yang dapat terjadi dalam
proses menyebabkan pembayaran terlambat.

Risiko sumber daya manusia dalam dampak media dianggap sebagai kegagalan untuk
merekrut, mengembangkan, dan memelihara orang-orang yang kompeten dalam
rekening departemen hutang bisa menghasilkan lebih tinggi dari jumlah yang
diinginkan dari pembayaran tidak akurat atau terlambat. Risiko ini dianggap
kemungkinan media sebagai keahlian yang diperlukan tidak sulit untuk menemukan di
pasar.

Risiko sistem akses dianggap dampak tinggi sebagai akses yang tidak sah dapat
mengakibatkan perubahan.
Risiko pembayaran ganda dianggap dampak tinggi sebagai duplikat tunggal bisa
material dan akan mewakili dana yang hilang jika tidak terdeteksi. Risiko ini dianggap
kemungkinan menengah karena cukup umum untuk duplikat faktur yang akan
dipresentasikan kepada sebuah perusahaan, bagaimanapun, sebagian besar vendor
umumnya jujur sehingga kecil kemungkinan bahwa duplikat pembayaran material akan
terdeteksi dari waktu ke waktu.

Memahami risiko manajemen yang dapat ditoleransi


Secara tradisional, penilaian dari tim audit internal telah menjadi satu-satunya sumber untuk
mengevaluasi risiko. Hal ini mencerminkan peran tata kelola auditor internal dalam organisasi.
Namun, premis yang mendasari dalam manajemen risiko perusahaan adalah bahwa manajemen
harus menetapkan toleransi risiko bisnis yang konsisten dengan risk appetite keseluruhan
organisasi. Premis ini berlaku pada tingkat proses juga.
Oleh karena itu, penting bagi auditor internal untuk memvalidasi kewajaran tinggi, sedang, dan
rendah dampak yang dipekerjakan. Ada kemungkinan bahwa manajemen memiliki tingkat yang
berbeda dari toleransi risiko untuk proses itu. Untuk memperoleh pemahaman tentang tingkat
toleransi risiko manajemen, tiga langkah berikut harus dilakukan:
1. Mengidentifikasi hasil risiko yang mungkin
Seperti dijelaskan sebelumnya, menurut definisi, risiko mewakili berbagai hasil yang mungkin.
Sementara hasil seperti biasanya diukur secara finansial, mungkin ada hasil risiko lain yang lebih
parah daripada dampak keuangan. Sebagai contoh, keselamatan karyawan mungkin lebih parah
daripada denda potensial atau hukuman karena pelanggaran keamanan. Demikian pula, dampak

dari kegagalan untuk melindungi privasi data pelanggan bisa lebih parah daripada biaya untuk
memulihkan atau melindungi data tersebut.

1. Hasil Identifikasi Risiko yang mungkin. Seperti dijelaskan sebelumnya, menurut


definisi, risiko mewakili berbagai kemungkinan hasil.
2. Memahami Tingkat Toleransi Didirikan. Setelah hasil risiko yang berbeda yang
ditentukan, diskusi dapat diselenggarakan dengan manajemen proses untuk
mengidentifikasi tingkat toleransi bahwa mereka sudah berhasil mendirikan.
3. Menilai Tingkat Toleransi untuk Hasil yang Memiliki Tidak Telah Didirikan.
Sampai-sampai tingkat toleransi didirikan tidak komprehensif mengatasi semua hasil
risiko yang mungkin, diskusi harus diadakan dengan manajemen proses untuk
menentukan tingkat toleransi yang sesuai.
Memahami tingkat toleransi manajemen adalah penting, tetapi tidak selalu menggantikan
pertimbangan auditor internal. ingat, fungsi audit internal memiliki banyak pemangku
kepentingan. Ini adalah tanggung jawab fidusia terhadap pemangku kepentingan lainnya tidak
boleh disubordinasikan jika auditor internal percaya manajemen tingkat proses memiliki tingkat
yang lebih tinggi toleransi risiko dari para pemangku kepentingan lainnya.

Mengidentifikasi Kendali Kunci


Berbagai tindakan membuat suatu proses. Semua mungkin memiliki peran dalam mencapai hasil
akhir, tetapi tidak hanya sedikit yang benar-benar penting untuk hasil, yaitu, ketidakhadiran
mereka akan membuat sulit untuk mencapai hasil yang diinginkan.
Untuk menjalankan tugas ini dalam perencanaan keterlibatan, penting untuk memahami berbagai
jenis pengendalian yang dapat dianggap kontrol utama pada tingkat proses. Meskipun berikut ini
bukan daftar lengkap, itu merupakan contoh jenis pengendali:
-

Menyetujui, melibatkan mendapatkan otorisasi untuk melaksanakan transaksi dengan


memberdayakan seseorang untuk melakukannya (misalnya, persetujuan write-off).

Menghitung, memerlukan komputasi atau menghitung ulang jumlah hasil dari data lain
yang diperoleh dalam proses (misalnya, menggunakan data historis write-off untuk

menghitung cadangan kredit macet, atau memeriksa perhitungan penyusutan untuk


memastikan jumlah sistematis dihitung wajar).
-

Mendokumentasikan,

berkaitan

dengan

menjaga

informasi

sumber

atau

mendokumentasikan alasan di balik keputusan dibuat untuk referensi di masa mendatang


(misalnya, pemindaian menerima dokumentasi, faktur, dan cek untuk mendukung
pembayaran, atau menulis sebuah memorandum ke file yang menguraikan pertimbangan
yang digunakan dalam menentukan akrual).
-

Memeriksa, melibatkan memverifikasi atribut, yaitu, elemen data, peristiwa, atau bukti
dokumen yang mendukung keberadaan atau terjadinya (misalnya, bukti bahwa barang
dibayar untuk diterima).

Mencocokan, memerlukan membuat perbandingan antara dua atribut yang berbeda untuk
memverifikasi bahwa mereka setuju (misalnya, jumlah pembayaran setuju dengan nilai
faktur)

Memantau, merupakan memeriksa untuk memastikan aksi yang terjadi (misalnya,


memantau bahwa pemberi persetujuan faktur tidak melebihi batas nya)

Membatasi, melibatkan tidak mengizinkan tindakan yang tidak dapat diterima (misalnya,
melarang spekulasi fluktuasi suku bunga, atau tidak memungkinkan individu yang tidak
sah untuk mengakses data tertentu dalam sistem kunci).

Memisahkan, berfokus pada memisahkan tugas sesuai yang akan menciptakan potensi
tindakan yang tidak diinginkan (misalnya, memisahkan cek penandatanganan dan
persetujuan otoritas faktur).

Mengawasi, melibatkan memberikan arahan dan pengawasan untuk memastikan


tindakan dan tugas yang dilakukan seperti yang dirancang (misalnya, seorang pengawas
menyetujui batch sebelum pemrosesan komputer).

Seperti yang dibahas sebelumnya, identifikasi proses kontrol-level biasanya dimulai dalam dua
langkah perencanaan sebelumnya: Memahami Auditee dan Mengidentifikasi dan Menilai Risiko.
Tugas saat ini melibatkan memastikan bahwa setiap proses kontrol tingkat tambahan telah
diidentifikasi sebelum penilaian dilakukan pengendalian untuk mengurangi risiko utama. Berikut
ini penting ketika menentukan pengendalian kunci:

Auditor internal harus memiliki pemahaman yang jelas tentang tujuan tingkat proses.

Konsekuensi pelaksanaan kontrol yang tidak memadai harus dievaluasi untuk


menentukan apakah kekurangan pengendalian secara signifikan akan mengganggu
pencapaian tujuan.

Kontrol kompensasi lain harus dipertimbangkan.

Dampak dari kontrol tingkat-entitas juga harus dipertimbangkan.

Kontrol berlebihan, atau mereka yang tidak efektif, mungkin perlu perubahan atau
dihilangkan. Kontrol tersebut mungkin bukan kontrol kunci.

MENGEVALUASI KECUKUPAN KONTROL DESAIN


Langkah berikutnya dalam proses perencanaan keterlibatan adalah untuk mengevaluasi
kecukupan desain proses. Pertanyaan-pertanyaan berikut harus dipertimbangkan ketika
mengevaluasi kecukupan proses desain:
-

Apakah auditor internal memahami apa sebuah "tingkat yang dapat diterima" dari risiko
adalah, didasarkan pada tingkat toleransi risiko manajemen untuk proses tersebut?

Apakah kunci control, diambil secara individual atau secara agregat, mengurangi risiko
tingkat proses yang sesuai dengan tingkat yang dapat diterima?

Apakah ada kontrol kompensasi tambahan dari proses lain yang mengurangi risiko ke
tingkat yang cukup rendah?

Apakah itu muncul bahwa kontrol utama, jika beroperasi secara efektif, akan mendukung
pencapaian tujuan tingkat proses?

Sejauh yang sesuai, apakah proses desain efektivitas alamat dan efisiensi operasi,
keandalan pelaporan, kepatuhan terhadap hukum dan peraturan yang berlaku, dan
pencapaian tujuan strategis?

Apa kesenjangan, jika ada, ada yang menghambat proses?

Pertimbangan auditor internal khas adalah salah satu langkah berikut:


-

Kunci control ditunjukkan dirancang secara memadai untuk mengelola risiko ini ke
tingkat yang dapat diterima.

Kontrol kunci yang ditunjukkan tidak dirancang secara memadai untuk mengelola risiko
ini ke tingkat yang dapat diterima (menggambarkan desain gap).

Setelah auditor internal telah membentuk penilaian pada desain kecukupan untuk setiap risiko
individu, evaluasi dapat dibuat mengenai desain dari proses secara keseluruhan. contoh
kesimpulan tersebut meliputi:
-

Desain memadai, tidak ada kesenjangan yang signifikan.

Desain memadai, namun, ada kesenjangan.

Desain tidak memadai, kesenjangan yang signifikan ada.

MENCIPTAKAN RENCANA UJI


Sekarang internal auditor sepenuhnya memahami bagaimana proses beroperasi dan telah
mengevaluasi kecukupan proses desain, langkah berikutnya adalah mengembangkan rencana uji.
Sebuah rencana uji harus dirancang untuk mengumpulkan bukti yang cukup dan tepat untuk
mendukung evaluasi seberapa efektif kontrol utama dilaksanakan. Evaluasi dan evaluasi dari
desain kecukupan proses, diambil bersama-sama, memberikan keyakinan yang memadai bahwa
tujuan tingkat proses akan tercapai.
Berdasarkan pemahaman yang didapat dari langkah-langkah perencanaan keterlibatan
sebelumnya, auditor internal kini siap untuk: (1) menentukan kontrol cukup penting untuk
menguji, (2) mengembangkan pendekatan untuk pengujian

Menentukan Pengendalian Untuk Menguji


Sebagaimana ditunjukkan di atas, fokus utama dari pengujian adalah untuk menentukan apakah
kontrol utama dilaksanakan secara efektif enought untuk proses produktif. Risiko dikelola cukup.
sementara ini mungkin dicapai dengan menguji semua kontrol utama yang diidentifikasi, ada
faktor lain auditor internal harus dipertimbangkan ketika menentukan kontrol untuk teks:

Apakah ada kontrol tingkat tinggi yang mungkin, dengan sendirinya, menyediakan
keyakinan memadai bahwa risiko yang relevan dikelola suffiencienly? tingkat kontrol
yang lebih tinggi mungkin rekonsiliasi, monitorong, atau kontrol pengawasan
performanced oleh individu independen dari qwners kontrol rinci misalnya, supervisor
atau manajer mereka sebagai bagian dari risiko top-down dilarang kontrol assensment,
auditor internal harus memberikan considerstion terhadap tingkat yang lebih tinggi
kontrol, seperti dampak dari teh ebtity - tingkat kontrol harus dipertimbangkan dapat

dibahas sebelumnya dalam chapter3 ini


Apakah ada kontrol compencating lain yang beberapa alamat risiko? Jika demikian,
mungkin lebih efisien untuk menguji kontrol ini daripada berfokus pada pengujian dari

masing-masing kunci control rinci.


Apakah desain kontrol assesed sebagai memadai? jika bersih, hal itu mungkin tidak
diperlukan untuk menguji kontrol seperti, bahkan dengan operasi yang efektif, risiko
tidak dapat dikurangi karena desain inadeuate
o Bagaimana pernah, auditor internal dapat memutuskan untuk melakukan rasa
untuk menentukan tingkat kesalahan yang dihasilkan dari desain kontrol yang

tidak memadai. jenis tes untuk mengukur kesalahan teh


Ketika melakukan kontrol kunci oprate dan berdasarkan periode dalam lingkup untuk

engangement, apakah persentical untuk teste kontrol kunci tertentu?


Bagaimana ada bocn perubahan dalam proses selama periode yang menghasilkan kontrol
kunci tertentu beroperasi hanya sebagian dari periode dalam lingkup? jika demikian,
pertimbangan harus diberikan untuk bagaimana perubahan ini mungkin berdampak pada
pengujian kontrol kunci.

Setelah faktor-faktor ini telah dipertimbangkan, auditor internal siap untuk mengembangkan
pendekatan pengujian specifiec. seperti yang ditunjukkan di atas, pendekatan biasanya
difokuskan pada evaluasi efektivitas pengendalian yang dirancang secara memadai, tetapi
beberapa pengujian mungkin diperlukan untuk kualitas dampak kontrol yang tidak dirancang
secara memadai.
Mengembangkan pendekatan Pengujian
Pendekatan pengujian meliputi penentuan sifat, lingkup, dan waktu untuk melakukan tes. tujuan
utama dari pengujian la untuk menentukan apakah kontrol beroperasi seperti yang dirancang
untuk mengurangi risiko sesuai dengan tingkat yang dapat diterima. jenis yang berbeda dari tes
pemeriksaan dijelaskan.
Dalam grester detail dalam ch 10,. "Bukti audit dan kertas kerja ing. bagaimana pernah, berikut
menguraikan keputusan yang harus dibuat ketika mengembangkan pendekatan pengujian.
Sifat tes. berbagai jenis tes menyediakan berbagai tingkat jaminan dan akan mengambil jumlah
waktu yang berbeda untuk melakukan.
Tingkat tes.

Waktu tes

Mendokumentasikan pendekatan pengujian


Contoh risiko dan pengendalian matriks ditampilkan exibit 13-10 dapat diperluas dengan
menambahkan kolom untuk memasukkan pendekatan pengujian untuk setiap risk.note bahwa
beberapa tes individu mungkin berlaku untuk kontrol mutliple, itu, adalah, mereka tets multiguna

Mengembangkan program kerja


Example risk and control matrix with testing approach
Process-level risk
Key control
Risk
ADefinition Activity A

Testing approach
Test A

(associated

process-level Activity B

Test B

Activity C
Definition Activity A

Test C
Test A

(associated

process-level Activity B

Test B

objectives)

Activity C

Test c

objectives)
Risk
B-

EXAMPLE RISK AND CONTROL MATRIX


FOR CASH DISBURSEMENTS
Proses-Risiko
Kunci Pengendalian
Pendekatan pengujian
level
Risiko harapan- Delegasikebijakanotoritasmenetapk 1. meninjaukebijakanpendelegasi
kurangnya

antingkatpersetujuan

anwewenang danmengevaluasi

kebijakanyang

untukpengadaan

apakahtampaknya

berkembang

danpenyalurankeputusan.
Hutangtelahdiserahkanprosedur

menjaditanggung

dengan
kebijakan

baikdan
yang

diartikulasikan,
prosedur

dan

bentuk

lain

semua

rincian

mengkonversitugaspencairankunci.

jawabhadiryhediberikansaat ini
dansesuaiindividu.
2. Pilihsampeldari80pencairan(ris
iko

10%,

5%

deviasiditoleransi,

tingkat
dan1%

diharapkantingkatdeviasi)dan

komunikasi

dari

tes

manajemen dapat

untukpersetujuansesuaidengan

mengakibatkan

kebijakan
3. meninjau

karyawan

membahasProsedur

melaksanakan
tanggung

dasardengan

jawab

mereka

akunpribadihutanguntuk

dengan

carayang

menentukan

tidak

apakahprosedurakurat

sesuai

mencerminkantugas-tugasyang

denganharapan
dan

dan

diperlukan

keiingan

dandapat

diikutioleh orang lain

manajemen
(keakuratan, tepat
waktu, mencatat,
kepatuhan

dan

persetujuan
objek)
Risiko

Alert sistem pembelian dengan 1. mengujifungsionalitasduplikatf

Pembayaran

Hutang Panitera nomor penjual,

aktursistemdengan

Ganda-

nomor faktur, dan jumlah faktur

untukmemasukkan

Kegagalanuntuk

sesuai faktur yang dimasukkan

nomorfakturduplikat.

mengidentifikasib

sebelumnya.
Pembayarab

jugamengujiapa yang terjadi

eberapa

kas

yang

inputfakturdapat

dijalankanakan

mengakibatkanpe

benderapembayaranjumlahidentik

mbayaran Ganda
kepadavendor
yangbisaterdeteks
i atau sulit untuk
membuktikan dan
mengumpulkan(K

mencoba

jikasuatudigitatausimbolditam
bahkan

ke

akhirdari

sejumlahfakturduplikat.
2.
karenasistem
tersebuthanya
denganvendor yang samauntuk
peringatanpengguna
ulasansebelum pencairan
untukkemungkinanduplikatpe
mbayaran, ekstrak 100% dari
pembayaran untuktahun lalu
dantes
untukpembayaranduoicatemun

eakuratan

dan

gkin.
3. Pengujian

mencatat tujuan)

untuk

memastikanbenderapengeluara
n

kasberoperasi

sebagaidirancang.

Risiko

Sistem ini mensyaratkan suatu 1. menguji sitem fungsi untuk 3

Ketepatan

tanggal

Waktu-

masukan selama entri data faktur.


laporan edit dihasilkan setiap kali

ketidakmampuan

pembayaran

menjadi

kunci pengendalian.
2. Menggunakan
analisis

data,

software

menghitung

untukmemproses

data payement lebih dari 30 hari

perbedaan

pembayaransecar

setelah tanggal faktur.


layar masukan faktur

pembayaran dengan tanggal


telah

tagihan

mengajukan

dapat

pembayaran

tepat

waktudapat
mengakibatkande
nda

ataudiskon

suatu

yang

sistem-

untu

selama

syarat untuk diskon awal-bayar

Menindaklanjuti

tanggal
100%

yang

diperiksa jika invoce memenuhi

tahun

dibuat
lalu.

pembayaran

yang telat dan diskon yang

yang hilang.
Akses

Risiko

antara

Kurang

olehTIdengan

efektifnya

hilang.
1. Keamanan IT logikal diuji

keamananlogisdikelola
cara

yang

keterlibatan

terpisah

oleh

samaseperti untuksemua aplikasi.


Manajer
bagian
hutang

spesialis IT audit. memeriksa

keamananlogis

dagangharus

bahwa tidak ada kekurangan

membuat

danmengkonfirmasihakacces

kemungkinan

kepengeluaran

peluang

untuk

tersebutdua kali per tahun

adanya

akses

praktik

yang tidak sah,


manipulasi

atau

pembayaran
(Keakuratan,

kassistem

desain yang berkaitan dengan


pengamanan pengeluaran kas.
2. Diskusi dengan manajer bagian
hutang
konfirmasi
memeriksa

dagang

untuk

hak

akses.

dokumentasi

pendukung Prosedur dasar ini.

penghapusan
kunci

meninjau

hasil audit untuk memastikan

data

Pencatatan

dan

tujuan aliran kas)

TABEL

CONTOH

MATRIX

RISIKO

DAN

PENGENDALIANNYA

UNTUK

PEMBAYARAN KAS
Berikut ini Program kerja dari persfektif lain:
1. Sebuah temple standar atau daftar yang meminjamkan kepada audotor internal kertas kerja
untuk mendokumentasikan kompilasi langkang-langkah perancanaan. Hal ini dilakukan
untuk memastikan setiapketerlibatanmencakup semuatugas yang diperlukan.
2. Memorandummeringkastugas yangselesai.
3. Tambahan kolom dalam matriks risiko dan pengendaliannya jika auditor internal ingin
mempunyai semua tercantum dalam satu dokumen.
4. Kombinasi dari ketiga komponen yng sudah dibahas sebelumnya.

Format ini akanbervariasi darifungsi auditinternal untukfungsi audit internal. Poin-point kunci
yang harus dilakukan:
1. Meyakinkan semua anggota tim penugasan memahami apa yang sudah beres dan apa
yang masih harus dikerjakan.
2. Mengkomunikasikan siapa yang bertanggungjawab untuk menampilkan tugas penugasan
yang lain.
3. Menyediakan catatan tugas yang lengkap
4. Memfasilitasi review oleh manajer penugasan dan direksi yang menyediakan kesalahan
dan arahan selama proses perencanaan penugasan.
Yang tidak usah terlalu diperhatikan dari format didalam tipe program kerja:
1. Tugas kunci adminstratif, seperti persiapan atas rencana, memorendum,penjadwalan
sumber daya, dll
2. Melakukanrapa denganmanajementingkatproses untuk membahastujuan dan ruang
lingkuppenugasan.
3. Penugasan perencanaan, yang telah terdaftar pada bahasan bab ini.
4. Tugas lapangan, yang telah terdaftar pada pengujian yang spesifik.

5. Langkah meringkasan, seperti pembukaan kliring catatan review, melakukan sebuah


penutupan rapat dengan level proses manajemen, mengakhiri kertas kerja.
6. Melaporkan penugasan, seperti penyiapkan draft komunikasi penugasan, melakukan
sosialisasi umpanbalik dari level proses manajemen, dan menerbitkan sebuah akhir
komunikasi penugasan.

ALOKASI

RESOURCHE

TO

THE

ENAGEMENT

Penganggaran

Jam

yang

dibutuhkan

Sumber

untuk

menyelesaikan

Biaya

lain-lain

daya

Engagement:

Auditor
Orang

pertunangan

lain

Internal
(internal

eksternal)

Perjalanan

Teknologi

Lainnya

Mengalokasikan

sumber

daya

manusia

Strategis sourcing, suplemen fungsi audit in-house internal melalui penggunaan layanan vendor
pihak ketiga untuk tujuan memperoleh keahlian subjek untuk keterlibatan tertentu atau mengisi
kesenjangan dalam sumber daya yang dibutuhkan untuk menyelesaikan rencana audit internal.
Penjadwalan sumber daya dapat menjadi proses yang sangat dinamis, item berikut perlu
dipertimbangkan:

Ketersediaan

Ketersediaan

Ketersediaan
Ketersediaan

tenaga

proses

sumber
sumber

daya
daya
pengulas

kunci
luar
keterlibatan
kunci

PERILAKU

TES

UNTUK

KUMPUL

BUKTINYA

Transisi keterlibatan jaminan dari tahap perencanaan sampai dengan tahap pelaksanaan.
Pendekatan pengujian dikembangkan dalam tahap perencanaan dan digariskan dalam risiko dan
pengendalian matriks sekarang harus dijalankan untuk menentukan apakah kontrol beroperasi
seperti yang dirancang. Seperti setiap tes dilakukan, bukti akan dikumpulkan untuk mendukung
kesimpulan

auditor

MENGEVALUASI

internal
bukti

yang

mengenai

seberapa

dikumpulkan

efektif

DAN

kontrol

KESIMPULAN

beroperasi.
REACH

Melakukan tes pemeriksaan memungkinkan auditor internal untuk mengumpulkan bukti yang
dibutuhkan untuk mengevaluasi kecukupan desain dan efektivitas operasi pengendalian kunci
dan mencapai kesimpulan tentang efektivitas proses atau daerah di bawah ulasan.

Evaluate Evidence Gathered and Reach Conclusions


Melakukan tes pemeriksaan memungkinkan auditor internal untuk mengumpulkan
buktinya diperlukan untuk mengevaluasi kecukupan desain dan efektivitas operasi pengendalian
kunci dan mencapai kesimpulan tentang efektivitas proses atau luas di bawah ulasan. Berikut ini
adalah pertanyaan yang auditor internal mungkin perlu untuk menjawab, tergantung pada carter
fungsi internal audit, tujuan keterlibatan, dan harapan para auditee dan pemangku kepentingan
audit internal lainnya:

Apakah desain kontrol utama memadai?


Apakah kunci control beroperasi secara efektif, yaitu, seperti yang dirancang

untuk beroperasi?
Apakah risiko yang mendasari yang dikurangi ke tingkat yang dapat diterima?
Secara keseluruhan, lakukan desgin dan pengoperasian kunci kontrol lebih
mendukung pencapaian tujuan untuk proses atau daerah yang sedang dikaji?

Jawaban atas pertanyaan ini membutuhkan auditor internal untuk mencapai kesimpulan
biasanya akan membutuhkan banyak pertimbangan.

Example Risks and Control Matrix For Cash Disbursements


Process-Level Risk
Testing Approach
Results of Testing
Expections
Risk
- 1. Pendelegasian wewenang 1. Delegasi
kebijakan
Kurangnya

dikembangkan

kebijakan meninjau dan

otoritas daftar tujuh orang

dengan

baik

mengevaluasi

apakah

yang tidak lagi dengan

diartikulasikan dengan baik

tampaknya berada kini

kebijakan,

dan

perusahaan
2. Tidak ada pengamatan

dan

prosedur,

dan

bentuk lain dari komunikasi


dari

manajemen

dapat

mengakibatkan

karyawan

melaksanakan

tanggung

jawab mereka dengan cara


yang tidak sesuai dengan
harapan

dan

manajemen

keinginan
(akurasi,

ketepatan waktu, pencatatan,


kepatuhan,

dan

tujuan

tanggung

input

untuk
faktur

mengakibatkan

jawab

ini

diidentifikasi dalam tes


ini, semua persetujuan

perorangan
2. Pilih sampel

dari

80

yang

sesuai

dengan

pengeluaran (risiko 10%,

pendelegasian wewenang

5%

kebijakan,

tingkat

deviasi

setelah

toleransi, dan 1% yang

memperhitungkan

diharapkan

perubahan concideration

tingkat

deviasi) dan tes untuk

diperlukan

persetujuan sesuai dengan

kebijakan seperti yang

kebijakan
3. Meninjau dan membahas

untuk

dijelaskan

pada

personil rekening untuk

pengamatan,

menentukan

bahwa

kertas

beberapa
dapat
duplikat

pembayaran kepada vendor


yang bisa terdeteksi atau

apakah

tampak
prosedur

prosedur

akurat

terdokumentasi

mencerminkan

tugas-

menjadi tepat, saat ini,

tugas yang diperlukan dan

dan

dapat diikuti oleh orang

baik

lain
Duplicates Payments Risk - 1. Uji
mengidentifikasi

mengingat

kerja
prosedur dengan hutang 3. Berdasarkan diskusi dan

persetujuan)

Kegagalan

tepat

fungsi

faktur

duplikasi 1. Sistem

sistem

dengan

mencoba

untuk

memasukkan

nomor

faktur duplikat
2. Karena sistem
peringatan

dipahami

hanya

pengguna

rejcted

terus
dengan

semua

entri faktur digandakan


2. Empat
belas
(14)
berpotensi

duplikasi

pembayaran diidentifikasi
3. Transaksi
uji
untuk
kontrol

ini

semua

menyulitkan

untuk

mengumpulkan (akurasi dan


tujuan perekaman)

untuk

kemungkinan

pembayaran duplicat
3. Test untuk memastikan
flag

pengeluaran

ditandai

dalam

pengeluaran

kas

dijalankan

kas

beroperasi sebagai yang


dirancang
Timeliness

Risk

Ketidakmampuan

- 1. Menguji

fungsionalitas 1. Pengujian

benchmark

untuk

sistem untuk tiga kontrol

ketiga kontrol inidicated

memproses pembayaran tepat

utama
2. Menggunakan perangkat

bahwa mereka beroperasi

waktu dapat mengakibatkan


denda atau hukuman (untuk
keterlambatan

pembayaran)

atau diskon yang terlewatkan


(tujuan

aliran

waktu

ketepatan

dan

kas)

lunak

seperti yang dirancang


data, 2. Menindaklanjuti oleh A/P

analisis

menghitung selisih antara

manajemen

yang

tanggal pembayaran dan

mengakibatkan

biaya

tanggal

tersebut dibebaskan

faktur

untuk

100% dari pembayaran


yang dilakukan selama
setahun

Systems

Access

Risk

terakhir

- 1. Keamanan TI yang logis 1. Tidak

ada

kekurangan

Kurangnya praktik keamanan

diuji dalam keterlibatan

desain yang dicatat dalam

logis

dipisahkan oleh spesialis

IT pengujian keamanan

yang

efektif

dapat

menciptakan peluang bagi


individu yang tidak sah untuk
mengakses,
atau

memanipulasi,

menghapus

pencairan

utama

data
(akurasi,

rekaman, dan tujuan arus

audit TI
2. Diskusikan

logis
dengan 2. Berdasarkan pembahasan

rekening manager hutang

dan

proses

dokumentasi yang sesuai

untuk

mengkonfirmasikan
akses

kas)

Develop Observations and Formulate Recomendations

hak

pengamatan

Setelah menyelesaikan pengujian, mengumpulkan dan mengevaluasi bukti yang


diperlukan, dan mencapai kesimpulan, auditor internal harus mengembangkan observasi dan
merumuskan rekomendasi yang harus dikomunikasikan kepada auditee dan pemangku
kepentingan audit internal lainnya. Elemen-elemen kunci dari pengamatan yang ditulis secara
singkat dibahas dalam Bab 12, "Pengantar Proses Engagement." Penjabaran lebih lanjut dari
elemen ini dapat ditemukan di Bab 14, "Berkomunikasi Jaminan Hasil Keterlibatan dan
Performing Tindak lanjut Prosedur."
Contoh: Lima pengamatan audit yang potensial diidentifikasi. Elemen-elemen kunci dari
pengamatan audit didokumentasikan dalam pameran 13-20 untuk masing-masing lima observasi
audit.
Contoh di atas mencerminkan dokumentasi yang auditor internal dapat menyelesaikan
saat melakukan penelitian lapangan. Namun, ada informasi tambahan yang mungkin diperlukan
sebelum termasuk pengamatan tersebut dalam komunikasi pertunangan. Lihat Bab 14, di mana
resolusi dan pelaporan observasi dibahas lebih lanjut secara rinci.

EXAMPLE

RISK

AND

CONTROL

MATRIX FOR CASH DISBURSEMENT


Process level risk
Result of Testing
Testing Conclusions
Ekspektasi
Risiko- 1. Delegasi kebijakan otoritas daftar tujuh Berdasarkan
hasil
dari
Kurangnya

orang yang tidak lagi dengan perusahaan. sampel yang dipilih, kita

dikembangkan

Ditambahkannya, sembilan orang yang dapat

dengan baik dan baik

baru dalam posisi mereka atau baru untuk dengan

articultated

perusahaan harus pada daftar tapi tidak (z- bahwa

kebijakan,

prosedur,

dan bentuk lain dari


comminication
manajemen
mengakibatkan

dari
dapat

menyimpulkan
keyakinan

tingkat

3). Semua tanggung jawab lain tampaknya penyimpangan


sesuai (WP X-1).
2. Tidak ada pengamatan

kebijakan
diidentifikasi

dalam tes ini, semua persetujuan yang


sesuai dengan pendelegasian wewenang

90%
dari

persetujuan

manajemen tidak melebihi


2,9%, yang kurang bahwa
tingkat

penyimpangan

karyawan

kebijakan,

melaksanakan

perubahan consideretion diperlukan untuk harapan

tanggung

setelah

memperhitungkan ditoleransi dari 5%. Namun,


mengenai

jawab

kebijakan seperti yang dijelaskan pada persetujuan otoritas tidak

mereka dengan cara

kertas kerja X-1 (WP X-2)


terpenuhi
karena
fakta
3. Berdasarkan diskusi dan pengamatan,
bahwa
delegasi
daftar
tampak bahwa prosedur terdokumentasi
otoritas tidak diperbarui
terus menjadi tepat, saat ini, dan dipahami
secara konsisten untuk
dengan baik.
mencerminkan perubahan

yang tidak konsisten


dengan

manajemen

expactation

dan

keinginan

(akurasi,

ketepatan

waktu,

dalam status pekerjaan.

pencatatan,
kepatuhan,

dan

tujuan persetujuan)
Ketepatan
waktu 1. Patokan dari ketiga kontrol menunjukkan Semua tof kontrol sistematis
Risiko.Ketidakmampua
n

untuk

memproses

pembayaran

tepat

waktu

dapat

mengakibatkan

denda

atau

(untuk

penalti

bahwa mereka beroperasi seperti yang beroperasi secara efektif.


dirancang (WP X-7, X-8, dan X-9)
Namun,
penundaan
2. Ada 172 pembayaran (1,1% dari total
sebelumnya dalam hasil
pengeluaran)
dibuat
akhir.
Biaya
proses dalam jumlah yang
keterlambatan
pembayaran
adalah
relatif kecil pembayaran
perubahan pada 21 pembayaran.
yang tertunda.

keterlambatan
pembayaran)

atau

diskonto terjawab.
Akses Sistem Risiko- 1. Tidak ada deficienties desain yang dicatat Kontrol
Kurangnya

praktik

keamanan logis yang

tampaknya

di dalam Engkau IT pengujian keamanan dirancang secara memadai

logis.
dan beroperasi secara efektif
2. Berdasarkan pembahasan dan pengamatan
efektif
dapat
untuk mengurangi risiko ini.
dokumentasi yang sesuai, hak akses
menciptakan peluang
tampaknya ditinjau secara tepat dan tepat
bagi
individu
waktu.
unaunthorized untuk
mengakses,
memanipulasi,

atau

menghapus

data

pencairan kunci.

BOOKS 2 BUY AUDIT ABSERVATIONS


FOR CASH DISBURSEMENT
Kondisi:
Tidak ada pemeriksaan dengan pengguna untuk menentukan apakah barang atau
jasa yang telah diterima namun belum ditagihkan
Kriteria:

Semua barang yang diterima yang hak kepemilikan berpindah ke tge perusahaan,
atau layanan yang telah diberikan, harus dicatat dalam laporan keuangan.

Penyebab:

Akun manajemen hutang sebelumnya tidak dianggap atau diakui nilai pada
pemeriksaan tersebut

Efek:

Kewajiban Kosong, bersama dengan aset tercatat sesuai atau biaya, dapat
mengakibatkan ketika buku ditutup pada akhir bulan, akhir kuartal, atau akhir
tahun

Kondisi:

Sementara sistem tidak memberitahukan petugas hutang acoount potensi faktur


digandakan, tidak mencegah petugas hutang account terus memproses faktur tersebut

Kriteria:

penerimaan barang atau jasa harus dicatat dan proses hanya sekali.

Penyebab:

Sistem ini kode untuk mengingatkan pengguna, tetapi tidak untuk melarang
pengguna dari memasuki faktur lagi jika keadaan dijamin

Efek:

Kewajiban, dan aset yang sesuai atau biaya, mungkin dilebih-lebihkan dan dana yang
dikucurkan tidak tepat

Tahap kedua keterlibatan jaminan melibatkan melakukan tes yang digariskan dalam tahap
perencanaan dan mengevaluasi hasilnya khusus, auditor internal melakukan langkah-langkah
berikut:

Melakukan tes untuk mengumpulkan bukti


Mengevaluasi bukti yang dikumpulkan dan mencapai kesimpulan
Mengembangkan observasi dan merumuskan reccommendations