PENDEKATAN AUDIT
DISUSUN OLEH :
KELOMPOK 7
PENDEKATAN AUDIT
Pengantar
Audit internal dapat dilakukan dalam berbagai cara dan ada berbagai model
yang dapat diterapkan untuk pemakaian peran audit.Organisasi akan menentukan
kebutuhan audit dan ini akan membantu untuk menetapkan jenis jasa audit yang
disediakan. CAE kemudian didakwa dengan menyediakan layanan ini dengan
standar audit profesional. Bab ini membahas beberapa pendekatan yang berbeda
dan cara yang mereka berhubungan dengan peran audit internal. Perkembangan
audit internal, sebagai profesi, didasarkan pada premis bahwa praktek audit internal
adalah subjek disiplin didefinisikan standar profesional. Pada saat yang sama, jelas
bahwa ada banyak variasi dalam cara peran audit habis. Ini hasil dari pendekatan
yang berbeda dan, dalam beberapa kasus, interpretasi yang berbeda dari prinsip-
prinsip yang mendasari, meskipun berbagai hal berdasarkan audit tidak berarti
bahwa tidak ada yang jelas disiplin audit internal. Hal ini tidak hanya masuk akal
pekerjaan yang setiap orang terlatih dapat melakukan. Apa yang terbukti adalah
cara bahwa peran audit habis akan bervariasi sesuai dengan ketentuan yang
disepakati acuan (atau audit charter). Ragam menciptakan kekayaan dan derajat
fleksibilitas dalam jenis pekerjaan audit yang dilakukan. Dalam banyak kasus
departemen audit akan berisi berbagai jenis auditor yang secara kolektif debit
fungsi audit. Audit internal adalah tentang evaluasi manajemen risiko dan
pengendalian internal dan ini harus menjadi tema sentral dalam kebanyakan
pekerjaan audit.
Sistem Audit
Hal ini dipandang oleh beberapa sebagai cara utama di mana peran audit
harus dibuang karena harus melibatkan sistem pengendalian internal
mengevaluasi. Idenya adalah bahwa sistem yang dipelajari untuk menilai apakah
mereka cukup dikendalikan sehingga tujuan manajerial dapat dicapai. Sebelum
pendapat dapat ditentukan, maka perlu untuk menguji operasi pengendalian dan
sejauh mana kelemahan berdampak pada produk akhir. Tes-tes ini mungkin
termasuk vouching, verifikasi dan bermacam-macam pemeriksaan dan rutinitas
konfirmasi, titik adalah bahwa vouching sini digunakan sebagai teknik untuk
membantu evaluasi kontrol, yang bertentangan dengan hasil menjadi tujuan pada
dirinya sendiri. Dengan cara ini, penekanannya bukan pada melakukan rangkaian
tanpa akhir tes tapi lebih pada meninjau sistem dan tujuan utamanya. Kita mulai
dengan pendekatan standar dalam kedok audit berbasis sistem (SBA).Konteks baru
adalah untuk mengarahkan sumber daya audit pada sistem tata kelola perusahaan,
manajemen risiko dan pengendalian.Pengendalian risiko self-assessment (CRSA)
telah digunakan oleh banyak auditor internal sebagai cara untuk mendapatkan tim
kerja untuk mengidentifikasi dan mengelola risiko utama mereka dan material di
CRSA dilengkapi dengan penjelasan singkat keterampilan fasilitasi, sebagai
prasyarat untuk melakukan lokakarya CRS. Kami juga mencakup penipuan dan
investigasi lainnya, IS (sistem informasi) audit dan pendekatan konsultasi untuk
bekerja sebagai pengakuan atas arah baru yang auditor internal
mengambil. Teknologi bergerak sangat cepat dan Dan Swanson telah memberikan
beberapa kontribusi yang berguna untuk Internal Audit Handbook dengan maksud
untuk memperbarui cakupan IS audit.
Perhatikan bahwa semua referensi untuk definisi IIA, kode etik, atribut IIA dan
standar kinerja, nasihat praktek dan panduan praktek berhubungan dengan
International Praktek Profesional Framework (IPPF) disiapkan oleh Institute of
Internal Auditor pada tahun 2009. Bagian dibahas di sini adalah sebagai berikut :
7.7 Kepatuhan
7.7. Pendekatan
Sistem
Standar kinerja 2100 - Sifat pekerjaan segi standar profesional, ada beberapa
aspek dari suatu organisasi yang jelas termasuk dalam ruang lingkup pekerjaan
audit. Standar Kinerja 2100 berarti bahwa aktivitas audit internal harus
mengevaluasi dan memberikan kontribusi pada peningkatan tata kelola,
manajemen risiko dan pengendalian proses menggunakan pendekatan sistematis
dan disiplin. Dalam hal sistem kerja, Standar Kinerja 2110 meminta bahwa aktivitas
audit internal mengevaluasi dan memberikan kontribusi terhadap peningkatan tata
kelola, manajemen risiko dan proses kontrol menggunakan pendekatan sistematis
dan disiplin, sedangkan Standar Kinerja 2120.A1 membuat jelas bahwa aktivitas
audit internal harus mengevaluasi eksposur risiko yang berkaitan dengan organisasi
pemerintahan, operasi dan sistem informasi mengenai:
Menjaga aset;
Fitur Sistem
Sistem berpikir didasarkan pada melihat operasi dan peristiwa sebagai proses
dengan arus seperti yang ditunjukkan pada Gambar 7.2.
GAMBAR 7.2
Mendefinisikan sistem:
Ada sejumlah konsep yang mendukung teori sistem dan ini mungkin tercantum:
2 +2=5
Sinergi dapat dilihat dalam contoh dari serangkaian bagian yang pergi untuk
membuat sepeda motor. Ketika dipreteli, masing-masing bagian adalah
komponen tidak berfungsi. Bila disatukan untuk membentuk sebuah sepeda
motor, menjadi sistem transportasi dengan potensi yang jauh lebih besar
dalam hal kemampuan dan wawasan.
Teori lain berasal dari teori sistem adalah bahwa ada kompensasi
pengaruh. Ini dapat membuat untuk kelemahan di tempat lain dalam sistem
atau hanya memberikan kontrol tambahan. Sebagai contoh, sistem keuangan
perusahaan yang seharusnya mendukung kontrol anggaran mungkin buruk
dan hanya melaporkan belanja sebenarnya setelah tertunda beberapa
bulan.Manajemen dapat mempertahankan rekor sendiri menghabiskan untuk
mendapatkan up-to-date informasi dari varians anggaran.Sistem kontrol
anggaran harus dilihat mencakup kompensasi ini jika itu harus sepenuhnya
dihargai.
Selain komponen kunci, ada daerah sensitif dalam sistem apapun. Rantai
ketergantungan berarti bahwa seluruh proses mungkin berada pada risiko di
mana bagian dari link yang lemah atau rusak. Hanya dengan
memahami seluruh sistem yang satu ini mampu mengetahui pengaruh
perubahan dalam satu bidang di daerah terkait lainnya. Ini mungkin manfaat
terbesar tunggal untuk bertambah dari mengadopsi pendekatan sistem
berbeda dengan melihat operasi dan kegiatan individu sebagai item
diskrit.Pentingnya kontrol dalam sistem telah diakui oleh banyak orang
sebagai contoh menggambarkan: David Blunkett menghadapi tuntutan segar
bagi tindakan mendesak untuk mengakhiri 'skandal' imigran ilegal menyamar
sebagai mahasiswa untuk mendapatkan visa untuk tinggal di Inggris. Tories
menyerukan tindakan keras setelah Evening Standard menemukan bahwa
sekolah bahasa tidak bermoral mengambil pembayaran tunai untuk
menempatkan 'siswa' di buku mereka yang benar-benar di sini untuk bekerja
secara ilegal. . .A Penyelidikan Standard menunjukkan bagaimana empat dari
lima sekolah mendekati di London siap untuk mengeluarkan wartawan
Republik menyamar sebagai 'murid' dengan sertifikat pendaftaran - hampir
rute yakin-api untuk visa - bahkan ketika diberitahu secara eksplisit bahwa
dia tidak akan menghadiri kursus. Penyelidikan Standard 's menimbulkan
kekhawatiran tentang sistem imigrasi kita yang kacau. . Kami perlu semacam
sistem kontrol untuk menghentikan perguruan tinggi swasta mengutak-atik
sistem.
Pembalap dan sepeda dapat dilihat sebagai sistem utama yang kemudian
feed ke dalam sistem hubungan seperti jalan, bahan bakar dan tujuan. Ada jumlah
tak terbatas kombinasi sistem yang dapat diterapkan tergantung pada persepsi
seseorang. Sebuah hal audit
referensi harus menyatakan
secara jelas di mana sistem
dikaji berhenti dan mulai. Kita
perlu menetapkan titik cut-off
konseptual sebagai contoh
motor dapat diperluas untuk
mencakup pemeliharaan,
manufaktur, pembersihan,
peta jalan, izin mengemudi
dan VFM.
Sebuah penyebutan
singkat dari teori sistem dan
gambaran dari metodologi ini
muncul pada Gambar
7.4. Beberapa penjelasan
yang disediakan di bawah:
Entropi
Hal ini dapat dilihat sebagai gangguan, disorganisasi, kurangnya pola atau
keacakan organisasi sistem. Sebuah sistem tertutup cenderung meningkat dalam
entropi dari waktu ke waktu dalam hal itu akan bergerak menuju kekacauan yang
lebih besar dan keacakan. Entropi memberikan pembenaran untuk peran audit
sistem memecah dan kontrol memburuk dari waktu ke waktu kecuali mereka
ditinjau dan dibuat untuk mengikuti perubahan risiko. Kecenderungan untuk
menghapus tingkat manajemen untuk mencapai pengurangan anggaran mungkin
memiliki dampak yang besar pada sistem dikendalikan melalui ulasan pengawasan
oleh garis dan manajemen menengah. Saldo kontrol harus mengubah dengan
restrukturisasi. Jika tidak, ketidakseimbangan menjadi bagian dari entropi
keseluruhan di mana penurunan kontrol merusak fungsi sukses dari sistem. Sistem
ini dirancang untuk memastikan tujuan yang dicapai dalam cara yang terbaik dan
telah dikatakan bahwa 'sistem pemikiran adalah cara kita dapat membedakan
beberapa aturan, beberapa rasa pola dan acara, jadi kita bisa mempersiapkan diri
untuk masa depan dan mendapatkan beberapa pengaruh lebih.
Sistem Audit
Pengamanan aset
Kami prihatin dengan meninjau dan kemudian menasihati manajemen pada sistem
mereka kontrol internal yang melepaskan empat tujuan tersebut. Jadi kegiatan
harus dilakukan dengan memperhatikan kepatuhan terhadap hukum dan prosedur
dan fitur ini harus dibangun ke dalam sistem. Sistem kontrol akan berlangganan
fitur kontrol kunci ini, berbeda dengan orang-orang yang beresiko. Ada satu
masalah yang melekat dalam Standar Kinerja 2060 yang meliputi baris berikut:
Transaksi Pendekatan
Sistem ini dirancang untuk memproses transaksi dan audit internal berkaitan
dengan kontrol yang memastikan tujuan sistem terpenuhi.Di mana hal ini tidak
terjadi, sistem menghasilkan transaksi tunggakan yang melanggar salah satu atau
lebih dari empat daerah kontrol utama. Sebuah pendekatan audit yang
mengabaikan sistem tetapi berusaha untuk mengidentifikasi transaksi tunggakan
dapat dilihat sebagai audit transaksi berbasis. Kunjungan kejujuran, penyelidikan
penipuan, program pengujian kepatuhan, tempat pemeriksaan dan ulasan VFM
efisiensi mungkin didasarkan pada pendekatan transaksi. Setiap pekerjaan audit
yang tidak termasuk penilaian risiko dan evaluasi dan pengujian kontrol tidak dapat
sistem audit. Sistem audit bergantung pada beberapa pengujian meskipun ini
secara alami mengalir dari ulasan kontrol ditunjukkan pada Gambar 7.5.
Sistem berpikir digunakan dua kali dalam sistem berbasis risiko audit
(RBSA). Pertama, kita memecah operasi sebagai sistem, komponen dari suatu
sistem, subsistem, sistem paralel dan sistem induk. Gambaran dapat diadopsi dan
hubungan antara operasi dapat diidentifikasi dan dipahami. Kedua, RBSA
sebenarnya adalah pendekatan audit yang sistematis dalam dirinya sendiri, dengan
tahapan yang ditetapkan dan link yang jelas antara langkah-langkah yang
berurutan. Tahapan audit SBA ditunjukkan pada Gambar 7.6.
Kembali ke tahapan RBSA, ada sejumlah hal yang harus dipertimbangkan pada
setiap tahap:
1. Tentukan tujuan yang jelas untuk panggung. Apa yang kita bertujuan
untuk mencapai harus dinyatakan dengan jelas pada setiap tahap sehingga
output aktual dapat diukur terhadap hal ini.
6. Staf singkat bekerja pada proyek. Dengan pendekatan tim, hal ini berguna
untuk memecah setiap tahap sehingga briefing dapat diadakan untuk
membahas masalah daerah, kemajuan dan hal-hal lain. Tidak hanya akan
tindakan ini sebagai perangkat umpan balik tetapi juga akan mempromosikan
tim bekerja di mana ide-ide dipertukarkan.
9. Setuju pada arah kerja untuk tahap berikutnya Hubungan antara tahap
datang secara alami dari pendekatan sistem untuk audit sebagai salah satu
bergerak dengan lancar dari satu ke yang lain. Arah tahap berikutnya harus
dipertimbangkan oleh auditor tidak hanya dari sudut pandang perencanaan
pandang, tetapi juga dari perspektif yang lebih luas dari apakah pekerjaan
harus diperluas, dibatasi atau disesuaikan. Ini adalah titik di mana untuk
membahas masalah dengan manajer
audit dan juga menyarankan bahwa
tahap tersebut selesai.
Sumur tahu guru audit internal, Keith Wade (dari kursus catatan yang tidak
dipublikasikan dari program gelar Master, City University Business School, 1991)
berpendapat bahwa SBA memiliki sejumlah manfaat:
1. Hal ini positif dan melihat ke depan dan mempertimbangkan kekuatan masa
depan sistem kontrol yang bertentangan dengan mengisolasi dan pelaporan
serangkaian kesalahan masa lalu.
4. Ini mencakup segala sesuatu dengan yang berbasis pada sistem dalam
operasi.
6. Hal ini kesalahan pencegahan dan pandangan dalam hal mencegah mereka
di masa depan daripada daftar mereka bagi manajemen untuk memproses
ulang.
7. Hal ini dapat diarahkan ke pengembangan karir sebagai sistem auditor yang
berpengalaman mampu mengatasi operasi yang sangat rumit.
10.Ada potensi yang tak terbatas untuk memperluas sistem audit ke dalam
semua kegiatan organisasi.
12.Hal ini dapat bertindak sebagai bantuan penting untuk manajemen dengan
efek jangka panjang dalam memperkuat kontrol.
13.Hal ini dapat menjadi sangat efisien penggunaan sumber daya audit karena
mencari penyebab masalah dan bukan hanya kesalahan konsekuensial.
14.Karena tidak kesalahan berorientasi, tidak karena itu dilihat sebagai negatif
oleh manajemen.
15.Hal ini sistematis, dan bidang utama dapat diidentifikasi dan diisolasi untuk
perhatian lebih lanjut.
16.Ini memiliki cakupan luas dan aplikasi dan dapat digunakan untuk mengaudit
hampir semua hal.Dimana audit internal menekankan program pengujian dan
kunjungan kejujuran, penyelidikan penipuan, inspeksi kepatuhan, ulasan VFM
dan kepatuhan kontrak, ini merupakan indikasi dari pendekatan audit
transaksi. Implikasinya adalah bahwa kriteria keberhasilan audit yang jatuh di
sekitar kesalahan yang dapat ditemukan sebagai lawan kontrol yang dapat
ditingkatkan. Ini 'industri error' harus memiliki sistem yang lemah untuk
bertahan hidup dan berkembang secara total konflik dengan pendekatan
sistem berbasis. Seluruh tentara catur dapat digunakan untuk mencari dan
melaporkan masalah menggunakan staf junior dengan 'mari kita menangkap
mereka' sikap yang menetapkan nada ancaman dan intimidasi. Pendekatan
ini mengarah ke sistem yang kurang terkontrol yang mengalahkan tujuan
audit profesional yang adalah untuk meninjau dan memastikan manajemen
telah memasang kontrol yang memadai atas sumber daya organisasi.
Gambar 7.8 menunjukkan bagaimana kontrol ketika diabaikan cenderung
memecah, memperkuat kebutuhan untuk menguji kesalahan. Sebuah
pendekatan tercerahkan untuk mengatasi audit internal adalah untuk melihat
organisasi sebagai kumpulan layanan yang disediakan secara internal
maupun eksternal. Hal ini didasarkan pada sejumlah prinsip:
4. Buatlah perencanaan
audit.
Andy Wynne dari ACCA telah menyiapkan kertas untuk buku pegangan pada sistem
audit:
valid
Keuntungan dari pre-audit dikatakan bahwa hal itu dapat membantu untuk:
praktis pilihan ini apa pun (im), Komite terus memiliki keberatan yang kuat
tentang mereka pada dua poin dari prinsip. Pertama,ex ante pengecekan,
apakah itu bersifat universal atau atas dasar sampling, tidak mungkin proses
hemat biaya: upaya dimasukkan ke memeriksa semua transaksi adalah jelas
tidak proporsional, sedangkan pengambilan sampel tidak mungkin memiliki
efek beralasan cukup. Kedua, dan fundamental, prinsipnya adalah bahwa
setiap retensi ex ante control berjalan melawan keberatan penting bahwa, de
facto jika tidak de jure , yang dipindahkan tanggung jawab untuk keteraturan
keuangan dari orang benar-benar mengelola pengeluaran ke orang
menyetujui hal itu. Perpindahan ini tanggung jawab yang berarti berlaku
bahwa tidak ada orang yang bertanggung jawab. "
Auditor internal juga harus membantu untuk mendidik para manajer untuk
memastikan bahwa mereka menerima, dan memahami, berbagai tanggung jawab
mereka untuk kontrol internal. Tanggung jawab manajerial harus mencakup
Sistem Bisnis
Hal ini dimungkinkan untuk melihat semua bisnis sebagai serangkaian sistem
yang mencakup operasi, manajemen keuangan, layanan dukungan, proses,
bermitra pengaturan dan sebagainya. Sistem bisnis diilustrasikan pada Gambar
7.10. Untuk mempermudah, kami telah rusak organisasi ke dalam tiga jenis elemen:
Fungsi audit internal akan memeriksa aspek dari sistem untuk mengelola
risiko yang termasuk dalam disepakati kerangka acuan untuk audit yang
bersangkutan. Audit akan memastikan tujuan dan sistem untuk memberikan tujuan
tersebut, dan mengevaluasi apakah kontrol di tempat yang mampu menangani
risiko secara signifikan yang mendapatkan di jalan mencapai tujuan. Pengujian akan
menentukan apakah apa yang harus terjadi yang sebenarnya terjadi dalam praktek
dan memberikan bukti untuk mendukung opini audit.Produk dari audit internal
adalah jaminan atas risiko cara sedang dikelola, rekomendasi untuk perbaikan mana
yang sesuai dan validasi objektif praktik saat ini diadopsi oleh manajemen. Audit
juga akan mempertimbangkan umpan balik dalam sistem dan bagaimana
manajemen mampu mengukur hasil yang diharapkan terhadap hasil aktual
sehingga sistem dapat disesuaikan untuk memastikan perbaikan. Semua ini feed ke
dalam pernyataan di pengendalian internal suatu membantu memastikan hasil yang
diinginkan tercapai.Kami akan melihat self-assessment (CRSA) di bagian depan dan
bagaimana teknik ini dapat digunakan untuk mendapatkan sistem yang lebih baik
untuk mengelola risiko. Sistem audit dimaksudkan untuk memberikan tinjauan
objektif dari sistem di tangan tapi di sini
kita harus mengeluarkan kata
peringatan tentang betapa auditor
internal dapat mencapai, dan di mana
batas-batas berbohong. objektivitas
lengkap tidak mungkin, bahkan di mana
auditor benar-benar memihak, karena
proses audit tidak dapat dihapus dan
terpisah dari sistem yang
diaudit. Keterbatasan ini harus dihargai
oleh auditor dan telah digambarkan rapi
oleh Joseph O'Connor dan Ian
McDermott:
Sistem lembut
Sementara dalam prakteknya ada banyak jenis acara CRSA, kami dapat
menyarankan empat pendekatan dasar:
1. Proses Berikut CRSA digunakan untuk meninjau kontrol khas ditemukan dalam
proses bisnis dengan maksud untuk memeriksa apakah kontrol yang kuat dan
memenuhi. Sebuah contoh mungkin workshop CRSA untuk tim keuangan yang
mempersiapkan kelompok rekening akhir. Kontrol dasar atas informasi,
penyesuaian, sistem feeder, menutup rekening, rekonsiliasi dan sebagainya akan
dipertimbangkan dalam terang mengubah risiko (misalnya risiko salah saji
keuangan) dan kontrol fine-tuned di mana diperlukan. Kepatuhan dengan kontrol
ini juga menjadi pertimbangan utama. Sistem pengendalian internal akan
cenderung berputar di sekitar prosedur set dan sistem informasi, yaitu, ' kontrol
keras untuk memastikan hal-hal yang dilakukan dengan benar ' .
2. Proyek CRSA ini acara akan menjadi bagian dari penilaian risiko standar dan
persiapan register risiko yang paling metodologi manajemen proyek
merekomendasikan. Risiko proyek akan terdiri dari kombinasi proyek yang salah
dan hasilnya menjadi miskin, terlambat atau melebihi anggaran. Kontrol akan
berputar di sekitar jalan proyek dikelola dan, jika ini melibatkan usaha baru yang
besar, seluruh rangkaian kontrol baru mungkin dirancang dan
diterapkan. Fokusnya adalah pada inovasi dan fleksibilitas dan produksi merek
baru kontrol yang sesuai dengan tagihan. Selain itu, risiko juga dapat dilihat
sebagai risiko terbalik itu berarti kita mengambil kontrol berlebihan untuk
memastikan peluang baru dapat dimanfaatkan.
Ada persepsi yang berbeda dari masalah dari staf, supervisor dan
manajer.
Hal ini penting untuk memahami jenis (atau campuran jenis) dari peristiwa CRSA
sedang ditargetkan. Ada gunanya dalam mendapatkan tim keuangan untuk
benar-benar mendesain ulang kontrol mereka, ketika banyak berkaitan dengan
menetapkan standar dan persyaratan regulator
Ada sedikit ruang untuk berbicara tentang rutinitas kontrol standar untuk tim
proyek baru yang membuat up aturan saat mereka pergi bersama, dan perlu
pemikiran baru untuk menangani risiko baru. Orang-orang lokakarya
tergantung pada 'outing' orang-orang masalah yang perlu ditangani dan tidak
merancang prosedur sementara mengabaikan hambatan yang jelas untuk
kinerja karena hubungan buruk.
perspektif IIA pada CSA menunjukkan bahwa pendekatan yang dipilih harus
berhubungan dengan budaya dalam organisasi: 'jika budaya mendukung, IIA
merekomendasikan difasilitasi pertemuan tim. Dalam acara budaya perusahaan
tidak mendukung pendekatan CSA partisipatif, tanggapan kuesioner dan analisis
pengendalian internal dapat meningkatkan lingkungan pengendalian. audit internal
harus siap untuk memvalidasi pernyataan apapun pengendalian internal
received.'13 Kembali pada tahun 1993, orang-orang seperti Tom Oxley sudah
berbicara tentang teknik baru:
Apa yang begitu baik tentang pengendalian dan penilaian risiko diri? Hal ini
memaksa manajer dan staf mereka untuk berpikir sangat hati-hati tentang tujuan
mereka dan orang-orang dari organisasi. Hal ini membutuhkan secara sistematis
untuk mengidentifikasi, membahas dan menilai semua risiko yang mereka hadapi,
untuk memutuskan apakah akan menerima risiko ini atau apakah akan mengambil
tindakan untuk mengurangi tingkat risiko dengan mengubah pendekatan mereka
atau mencari cara baru untuk mengendalikan risiko. Akibatnya CRSA menempatkan
tanggung jawab yang jelas untuk kontrol dengan manajer lini, tempatnya; dan
prosedur yang digunakan memastikan bahwa manajer dan staf mereka sepenuhnya
terlibat dalam, serta bertanggung jawab, kontrol dan penilaian risiko. Ini
menyediakan cara yang sangat efektif untuk mengidentifikasi dan menilai risiko
bisnis utama, dan memastikan komitmen yang lebih besar untuk bertindak dengan
manajemen karena ide-ide yang tidak sedang dikenakan pada mereka. Paling
penting dari semua, prosedur memastikan bahwa perhatian difokuskan secara
teratur pada tujuan sebenarnya dari organisasi. Sangat proses identifikasi risiko
memberikan manajer dan staf kesadaran yang lebih jelas tentang apa yang mereka
dan organisasi berusaha untuk mencapai, sesuatu yang kurang dalam banyak
organisations.14
Aspek positif dari CRSA untuk audit internal di masa lalu telah dikonfirmasi oleh
IIA.UK & Irlandia:
Secara keseluruhan, kami percaya bahwa Internal Audit memiliki peran untuk
bermain dalam setiap CRSA Program tetapi peran ini perlu didefinisikan
secara jelas dan harus sama sekali tidak mengurangi independensi dan peran
penting yang sudah memainkan dalam organisasi . ( Para . 5.12)
Sebagai manajemen lini menjadi lebih mahir dalam penerapan CRSA dan
hasilnya diterima oleh manajemen dan audit yang komite senior, Audit
Internal ' peran dan kontribusi s ke organisasi dapat ditempatkan di bawah
beberapa pengawasan.Penggantian fungsi Internal Audit oleh CRSA didirikan
dan komprehensif Program bisa dilihat dangkal sebagai menghemat biaya
latihan yang menarik. Ini adalah pandangan keliru, karena manajemen dan
pemangku kepentingan lainnya yang kemungkinan akan terus membutuhkan
tingkat jaminan independen. Ini dapat dicapai melalui fungsi Internal Audit
yang efektif. ( Para . 5.13) 16
Tidak jelas ada salah satu cara untuk melakukan lokakarya CRSA. Dalam
prakteknya, banyak organisasi telah menafsirkan proses agar sesuai dengan cara
orang yang bekerja. Beberapa menyebutnya workshop manajemen risiko
bisnis; beberapa menggambarkan mereka sebagai acara membangun tim berbasis
di sekitar mengklarifikasi tujuan tim. Salah satu organisasi besar menggunakan
proses CRSA untuk melaksanakan program perubahan besar yang melihat tim
regional benar-benar ditata ulang dalam waktu yang singkat dari beberapa enam
bulan. Risiko terbesar yang mereka hadapi tidak mencapai reorganisasi
benar. organisasi lain tidak bisa mendapatkan orang-orang mereka bersama-sama
dalam lokakarya dan hanya bisa menggunakan pendekatan berbasis kuesioner
dengan waktu ekstra ditambahkan ke pertemuan kelompok untuk membahas area
risiko. Mereka kemudian mendirikan sejumlah kecil kelompok perwakilan untuk
menganalisis risiko di proses organisasi-lebar, dan termasuk beberapa stakeholder
untuk memastikan semua pandangan dianggap.Satu otokratis, organisasi berbasis
kantor pusat hanya mengirimkan hasil dari penilaian risiko perusahaan mereka dan
mengatakan kepada orang-orang mereka untuk melakukan sesuatu yang serupa di
kantor lokal mereka. Di sisi lain, badan lebih ke depan harus orang-orang mereka
untuk memeluk proses CRSA dan menerbitkan pedoman untuk tim lengkap dari
fasilitator yang dipimpin oleh petugas risiko kepala; semua dilengkapi dengan
sistem informasi basis data yang canggih untuk setiap daftar risiko dan profil risiko
kode warna, bersama dengan teknologi suara mahal untuk lokakarya. Dalam
prakteknya sering lebih baik untuk memungkinkan setiap organisasi untuk
mengembangkan solusi mereka sendiri daripada mendatangkan konsultan dengan
paket standar industri. Hasil dari pendekatan yang dilakukan ini sedang
dikembangkan dalam budaya yang merupakan bagian dari cara organisasi
bekerja. konsultan eksternal harus benar-benar bekerja bersama orang pemberi
pekerjaan dan melewati keterampilan kepada karyawan. Ketika orang didakwa
dengan menyiapkan CRSA berasal dari departemen keuangan, akan cenderung
menjadi fokus yang sempit pada konsep penilaian risiko. Salah satu pendekatan
terbaik adalah untuk mencari tanggung jawab awal untuk menyiapkan proses
dengan petugas perencanaan perusahaan, sehingga hubungan antara manajemen
risiko, perencanaan dan manajemen kinerja ditetapkan secara jelas. Jika ada
sponsor papan formal, pemantauan ketat oleh komite audit dan seorang petugas
risiko kepala dicalonkan (misalnya dari perencanaan perusahaan), maka kita baik
pada cara untuk keberhasilan pelaksanaan manajemen risiko.
satu Pendekatan
5. Dapatkan papan untuk mendukung kerangka kontrol yang sesuai yang untuk
engsel sistem pengembangan manajemen risiko. Skor risiko dapat diukur
terhadap model kontrol seperti COSO atau CoCo menggunakan kategori yang
disarankan dalam setiap model.Perlu ada cara mencetak gol atau menyajikan
risiko seperti tindakan Hijau, Amber dan Red yang menggunakan beberapa
organisasi. Bab 3 penawaran dengan topik ini. Beberapa organisasi
mengembangkan serangkaian standar kontrol dalam hal apa yang harus
terjadi, meliputi bidang-bidang seperti etika staf, misi dan visi, kompetensi
staf, target kinerja, informasi manajemen, pelaporan keuangan, penipuan,
prosedur operasional, pengawasan dan sebagainya (katakanlah 10 sampai 20
standar) dan kemudian mengukur eksposur risiko terhadap standar-standar
ini. Organisasi lain overlay risiko ke dalam unsur-unsur dari sistem
manajemen kinerja seperti balanced scorecard atau komponen dari model
kualitas diadopsi seperti Yayasan Eropa untuk Manajemen Mutu
(EFQM). Organisasi budaya kontrol cenderung ingin papan bawah risiko ke
dalam standar kontrol diatur sehingga mereka mungkin
terkandung. Organisasi dengan budaya risiko yang berfokus cenderung lebih
menggunakan risiko untuk mendorong model pengembangan strategis
mereka dengan cara yang lebih inovatif.
6. Dapatkan komite dewan dan audit untuk melakukan lokakarya CRSA mereka
sendiri pada akhir pertemuan formal dan menggunakan pengalaman dan
hasil untuk mendorong inisiatif.
10.Dapatkan fasilitas yang tepat untuk melakukan lokakarya CRSA. Ini akan
mencakup sistem pelaporan risiko (berdasarkan daftar risiko), software
pemungutan suara elektronik (jika ini dianggap penting - beberapa hanya
menggunakan ' Post-it notes ' untuk efek yang baik), akomodasi yang sesuai
dan paling penting dari semua - waktu yang tersedia untuk tim sehingga
mereka dapat menghadiri acara.
11.Menyediakan bahan untuk semua orang di intranet perusahaan - dengan
informasi yang berguna, latihan online singkat dan kontak untuk informasi
lebih lanjut. Ini mungkin ide untuk memasukkan panduan singkat untuk
lokakarya CRSA ke intranet, atau memilikinya dikirim ke staf kunci.
13.Seluruh sistem penilaian risiko harus menjadi bagian dari drive manajemen
risiko perusahaan-lebar dan ditempa di sekitar bagian atas papan-level 10
risiko dan kebijakan risiko yang diterbitkan. Isu briefing papan reguler pada
kemajuan sampai saat ini.
17.Periksa tempat ini cocok untuk para peserta dan bahwa perjalanan,
akomodasi dan hal-hal praktis telah ditangani. Seluruh proses harus
menimbulkan positif semua bulat.
18. Bertemu dan menyapa para peserta dan mengenal mereka sebelum
dimulainya resmi lokakarya. Tindak lanjut atas apa yang telah dibahas
dengan mereka di pra-kursus tahap kontak. Fasilitator dan juru tulis harus
memperkenalkan diri kepada kelompok dan membuat jelas apa yang mereka
ketahui tentang tim dan apa yang mereka tidak tahu. Fasilitator hanya
perlu menjadi ahli dalam mendapatkan yang terbaik dari orang-orang dan
memastikan bahwa tujuan lokakarya yang baik dicapai dan diraih. Beritahu
kelompok apa yang akan terjadi dan bagaimana mereka harus berkontribusi.
19.Beberapa percaya bahwa aturan lokakarya harus dirancang oleh para peserta
pada topik-topik seperti semua orang harus memberikan kontribusi, tidak ada
dominasi dari manajer lini, melangkah di luar kotak melalui dorongan dari
orang lain hadir, mendengarkan, menghormati pandangan dan tidak
melanggar kebijakan perusahaan tentang perilaku dan keragaman, dan
seterusnya.
21.Memulai acara dengan tujuan yang jelas. Ini mungkin membaca sesuatu
seperti ini: untuk mendapatkan peserta untuk mempersiapkan saling
mengerti (dan setuju) tujuan, mengidentifikasi dan menilai risiko dan
kemudian mengembangkan strategi manajemen risiko ditentukan dalam
hubungannya dengan sistem yang ada kontrol dan setiap perbaikan yang
diperlukan; dan bahwa hasilnya akan membentuk bagian dari risiko yang
formal sistem pelaporan manajemen untuk mendukung diterbitkan
pandangan perusahaan pada pengendalian internal. Gunakan tujuan bisnis
utama dan, katakanlah, lima atau lebih mendukung tujuan. Kelompok ini
dapat dibagi menjadi sub kelompok berurusan dengan sub-tujuan, meskipun
ada kemungkinan hanya untuk meminta kelompok bagaimana mereka ingin
bermain (asalkan tujuan lokakarya keseluruhan tercapai).
22.Ini mungkin ide untuk melakukan presentasi singkat tentang tata kelola
perusahaan, manajemen risiko dan pengendalian di awal.Idealnya, ini akan
telah dilakukan pada staf kesadaran seminar tentang manajemen risiko dan
pengendalian internal.Memperkenalkan konsep risiko mendaftar.
26.Mulai tahap pemecahan masalah - ini dapat dilakukan pada acara yang
terpisah (atau setelah makan siang istirahat) sehingga dapat memperkuat
pindah dari identifikasi masalah (penilaian risiko) untuk masalah solusi
(manajemen risiko).
29.Menutup sesi dengan ' orang check ' - yang memerlukan terjadi di sekitar
ruangan dan meminta setiap orang untuk meringkas pengalaman mereka
dan apa yang mereka dapatkan dari acara tersebut dan apakah mereka
memiliki poin lebih lanjut untuk menambahkan.
31.Menggelar program yang melalui dan seluruh organisasi dan pastikan sistem
pelaporan masuk akal dan risiko dikelola secara dipercepat, yang
memungkinkan papan untuk tahu tentang risiko tak tanggung-tanggung
serius dan yang dapat dipantau mendesak atau dengan laporan sering.
32.Pastikan daftar risiko adalah dokumen hidup yang ditinjau setiap kali risiko
material berubah dan setidaknya beberapa kali selama tahun.
Prosedur sederhana di atas tidak selalu bekerja dan Mike Pidzamecky telah
memperingatkan tentang beberapa alasan mengapa CSA telah gagal dari perspektif
audit yang
. Kurangnya tubuh umum pengetahuan dan proses cetak biru dasar untuk
semua untuk menggunakan.
Sementara itu, Andrew Chambers telah meminta auditor internal untuk bangkit
untuk menantang:
CRSA, seperti lingkaran kualitas mungkin satu dekade yang lalu, telah
menangkap mood kali. Jika kita membedah kita menemukan campuran dari
praktek-praktek tradisional sering dilapis dengan teknologi modern. Ini
mungkin tidak berlangsung selamanya. Sangat mungkin untuk mengubah
dirinya - mungkin sekarang dalam bentuk manajemen risiko perusahaan-
lebar. Meskipun pro dan kontra, lebih mudah untuk mendukung CRSA pada
prinsipnya daripada memberikan memastikan substansi dalam praktek. Tapi
kemudian, pemantauan pengendalian intern yang efektif tidak pernah
straightforward.
Seorang pemimpin yang terbaik Ketika orang-orang hampir tidak tahu bahwa
dia ada, Tidak begitu baik ketika orang-orang taat dan menyatakan dirinya,
Terburuk ketika mereka membencinya, Gagal untuk menghormati orang, Mereka
gagal untuk menghormati Anda; Tapi seorang pemimpin yang baik, yang berbicara
sedikit, ketika karyanya dilakukan, tujuannya terpenuhi,
gaya yang berbeda dari fasilitasi mulai dari pasif hingga agresif;
Tiga item pertama pada daftar dibahas di bawah ini bersama dengan daftar fitur
dari lokakarya CRSA sukses.
2. Dimensi makna ini adalah aspek kognitif fasilitasi: itu adalah melakukan
dengan peserta ' pemahaman tentang apa yang terjadi, dengan membuat
rasa pengalaman dan dengan mereka mengetahui bagaimana melakukan
hal-hal dan bereaksi terhadap hal-hal.Pertanyaan fasilitatif adalah:
bagaimana akan makna diberikan kepada dan ditemukan dalam pengalaman
dan tindakan anggota kelompok ?.
4. Dimensi Perasaan ini adalah aspek afektif fasilitasi: itu adalah dengan
melakukan pengelolaan perasaan dalam kelompok.Pertanyaan fasilitatif
adalah: bagaimana harus hidup perasaan dalam kelompok akan ditangani?
5. Dimensi penataan ini adalah aspek formal fasilitasi: itu adalah dengan
melakukan metode pembelajaran, dengan apa yang semacam bentuk
diberikan kepada pengalaman dalam kelompok dan dengan bagaimana
mereka harus terstruktur. Pertanyaan fasilitatif adalah: bagaimana bisa
kelompok ' pengalaman belajar s akan terstruktur?
6. Dimensi menilai ini adalah aspek integritas fasilitasi: itu harus dilakukan
dengan menciptakan iklim yang mendukung yangmenghormati dan
merayakan kepribadian anggota kelompok; sebuah iklim di mana mereka
bisa tulus, mengungkapkan realitas mereka seperti itu, tetap berhubungan
dengan kebutuhan mereka yang sebenarnya dan kepentingan. Pertanyaan
fasilitatif adalah: bagaimana bisa iklim seperti nilai personal, integritas dan
rasa hormat dibuat 2?
Kebanyakan ahli menyarankan bahwa harus ada fasilitator dan juru tulis,
yang mencatat peristiwa. Untuk workshop CRSA sebagian besar dokumentasi akan
berkisar pada penyusunan daftar risiko sebagai tujuan, risiko, peringkat risiko,
pemeriksaan rencana aksi kontrol yang ada dan berikutnya dikembangkan oleh
kelompok. Ini mungkin yang terbaik untuk menggunakan spreadsheet komputer
(atau database) untuk mengkompilasi informasi yang diperlukan untuk risk
register. Seorang fasilitator yang baik adalah mampu mengidentifikasi hambatan
untuk kemajuan dan cara mengatasi hambatan tersebut dan membuat intervensi
strategis bila diperlukan. Fasilitator memastikan kelompok memahami tujuan dan
bahwa mereka mampu untuk terus bergerak ke arah yang benar. Bahkan, CRSA
bukan tentang penyusunan daftar risiko (kotak detak) tetapi lebih tentang
mengembangkan dialog di mana anggota mendiskusikan pandangan mereka
tentang tujuan, hal-hal yang menghentikan mereka mencapai tujuan tersebut dan
cara mengatasi kendala apapun, yaitu, pemahaman bersama dikembangkan untuk
memastikan kelompok anggota yang menarik dalam arah yang sama. Mana ada
kesalahpahaman di antara anggota kelompok dan keengganan untuk menempatkan
masalah dalam sorotan, banyak dari kontrol lunak (cara orang bekerja sama)
mungkin buruk. Fasilitator harus disiapkan untuk mendapatkan kelompok untuk
menantang apa pun yang berhenti mereka dari melakukan. fasilitator tidak
memimpin grup, tapi mendapatkan kelompok untuk memimpin sendiri. Unsur yang
tidak biasa dari peristiwa CRSA adalah bahwa fasilitator mungkin kadang-kadang
perlu untuk beralih ke peran pelatih dan membuat presentasi singkat tentang tata
kelola perusahaan, manajemen risiko dan pengendalian internal, dan juga
menjelaskan kebijakan risiko perusahaan. Jika presentasi ini dilakukan terlalu dini
pada saat lokakarya, maka dapat membentuk 'mode mendengarkan' dari kelompok,
yang mungkin sulit untuk beralih ke 'mode interaktif' nanti. Ini benar-benar adalah
yang terbaik untuk mendapatkan presentasi dilakukan pada seminar sebelumnya
(atau melalui materi intranet) dan kemudian meminta pertanyaan selama
lokakarya. Bahkan pertanyaan menjawab bisa sulit karena dapat membangun
hubungan 'ketergantungan', di mana segala sesuatu kelompok ingin lakukan adalah
memeriksa ulang dengan fasilitator. Pendekatan ini akan menghentikan kelompok
dari kemajuan independen dari fasilitator, yang telah diasumsikan jubah
pemimpin. Seorang fasilitator yang baik akan selalu menawarkan pertanyaan yang
diajukan dari dia, kembali ke kelompok dan hanya memberikan jawaban di mana
untuk tidak melakukannya akan berhenti kemajuan kelompok. Kerendahan hati
adalah sifat penting bagi seorang fasilitator yang baik. Bahaya ini juga dijelaskan
oleh Rosaria Taraschi
The CRSA lokakarya adalah sarana untuk mendapatkan orang-orang dan tim
untuk memahami risiko bisnis mereka dan memastikan mereka dikelola dengan
baik - dan mampu menjelaskan tanggung jawab ini. Asumsi tanggung jawab
didefinisikan menciptakan perubahan pola pikir dan mendukung budaya kontrol
positif di seluruh organisasi. Ini adalah proses belajar sebagai orang belajar
bagaimana menggunakan CRSA sebagai alat yang ampuh untuk membantu mereka
memastikan keberhasilan. Sebuah pemahaman yang baik tentang dinamika belajar
adalah bagian dari gudang senjata fasilitator. Jika lokakarya yang dijalankan oleh
staf audit internal, maka auditor harus memikirkan keahlian mereka tentang isu-isu
risiko dan kontrol dan menentukan berapa banyak dari ini mereka dapat
menyampaikan kepada kelompok, yaitu, untuk mendapatkan mereka berpikir
tentang tujuan bisnis mereka dan strategi manajemen risiko. Hal ini kurang proses
belajar tetapi lebih membantu kelompok untuk menerjemahkan apa yang mereka
lakukan ke berbicara resmi terminologi regulator akuntabilitas perusahaan,
manajemen risiko dan diterbitkan laporan pengendalian internal. Salah satu tugas
fasilitator adalah untuk mencoba untuk mendamaikan visi yang dibuat oleh dewan,
kebijakan risiko dan tim bekerja pada apa yang efektif berarti manajemen risiko dan
cara kerjanya dalam praktek. Banyak terkait dengan terminologi set. Ini adalah
pemahaman ini bersama risiko yang sangat penting untuk manajemen risiko yang
efektif dan mampu menghargai bagaimana persepsi yang berbeda dapat terikat
bersama-sama. Telah mengatakan bahwa:
Kami membuat model mental kita sebagian dari adat istiadat sosial kita,
sebagian dari budaya kita dan sebagian dari ide-ide dari orang dewasa yang
signifikan di masa kecil kita. Sisanya kita membangun dan memelihara dari
pengalaman kami dalam empat cara utama
Teori - melihat bagaimana hal cocok dengan pola keseluruhan. Teori adalah orang-
orang yang logis dan obyektif 'sistem' yang lebih memilih pendekatan sekuensial
untuk masalah. Mereka analitis dan membayar perhatian besar terhadap detail,
serta cenderung menjadi perfeksionis.
Jika lokakarya CRSA terdiri dari kombinasi orang dengan gaya belajar yang
berbeda, maka pemahaman tentang perbedaan-perbedaan ini akan membantu
fasilitator mendorong acara yang lebih baik. Model lain yang memberikan wawasan
yang berguna tentang bagaimana tim berperilaku telah dikembangkan oleh R.
Meredith Belbin. Orang-orang yang pergi untuk membuat tim manajemen mungkin
menganggap jenis peran tertentu sebagai berikut:
Situs orang - Memajukan ide-ide baru dan strategi dengan perhatian khusus pada
isu-isu utama; mencari kemungkinan pendekatan baru untuk masalah dengan yang
kelompok dihadapkan.
Kontak orang - Menjelajahi dan pelaporan pada ide-ide dan sumber daya di luar
kelompok; menciptakan kontak eksternal yang mungkin berguna untuk tim dan
melakukan negosiasi berikutnya.
Critic - Menganalisis masalah dan mengevaluasi saran agar tim ini lebih baik
ditempatkan untuk mengambil keputusan yang seimbang.
keberhasilan. Siklus hidup kelompok telah digambarkan sebagai terdiri dari lima
tahapan utama:
1. Untuk kelompok yang belum matang, dan di mana budaya organisasi panggilan
untuk lokakarya CRSA sangat terstruktur, fasilitator dapat menyebabkan dari
depan dan mengatur arah, tugas dan sebagainya. Misalnya, fasilitator dapat
menginformasikan kelompok sasaran bagian mereka dan memberitahu mereka
bahwa mereka harus melakukan brainstorming risiko dalam kategori
set. Sementara itu, fasilitator dapat mencoba untuk mendapatkan kelompok
untuk mengenali dan menyelesaikan konflik sehingga mereka dapat bergerak
menuju kedewasaan. Jenis forum panggilan untuk gaya fasilitasi lebih agresif di
mana kelompok dibuat untuk bekerja sama dan diberikan dorongan konstan dan
meminta dari fasilitator.
Cara lain untuk melihat proses lokakarya adalah untuk menunjukkan bahwa
fasilitator mungkin menganggap kehadiran jelas sejak awal sebagai gagasan
manajemen risiko operasional dan proses CRSA dijual ke grup. Sebagai kemajuan
proses, fasilitator secara bertahap bergerak ke latar belakang sebagai kelompok
menjadi lebih percaya diri untuk bekerja tanpa petunjuk.Meskipun pendekatan yang
digunakan, fasilitator harus selalu memastikan workshop adalah menantang untuk
anggota kelompok sebagai thereis satu tampilan yang menunjukkan orang enggan
untuk berbicara tentang risiko yang mereka tidak bisa mengendalikan, seperti
penipuan dan penyimpangan. Fasilitator harus selalu menantang keengganan ini
dan dapat bertanya apakah 'penipuan' dapat disiapkan sebagai risiko potensial,
karena ada banyak yang bisa dilakukan untuk mengelola masalah ini, selama kita
mengakui bahwa hal itu dapat terwujud. Fasilitator memiliki berbagai alat yang
dapat diterapkan untuk mendapatkan kelompok untuk mencapai tugas mereka,
termasuk:
lingkungan terbuka dimana semua anggota kelompok adalah sama terlepas dari
kelas;
risiko register - pro forma yang menunjukkan apa yang perlu didokumentasikan;
teknik untuk membuat acara merangsang - seperti kuis mini latihan dalam
kreativitas dan pemecahan masalah, cerita menghibur tentang persepsi risiko
dan sebagainya;
teknik untuk berurusan dengan anggota kelompok yang sulit - ini terutama
melibatkan memberi mereka tugas khusus untuk mendorong intervensi mereka
tetapi secara berhasil;
flip chart di mana pandangan dapat ditampilkan di sekitar ruangan dan disebut
saat yang tepat;
teknik untuk bergerak kelompok pada dengan membatasi waktu, memberikan
istirahat untuk memulai sesi baru, poin parkir untuk diskusi nanti (atau rujukan
ke tempat lain);
membagi kelompok untuk melihat isu-isu tertentu - kami juga bisa mendapatkan
kelompok untuk bekerja berpasangan untuk latihan pendek - misalnya, aspek
daftar operasi di mana ada kepatuhan miskin dengan standar kontrol;
kemampuan untuk memarkir manajer lini - kita dapat menghentikan orang ini
mengambil alih dan kemudian memperkenalkan kembali posisi mereka
menjelang akhir ketika rencana aksi sedang diselesaikan;
penggunaan istirahat untuk minuman dan minuman lain di mana tingkat energi
yang ditinggalkan;
fokus pada tugas di tangan dan menulis lokakarya ini bertujuan jadi segala
sesuatu yang benar-benar luar mengirimkan dapat diparkir;
teknik brainstorming - dengan aturan yang mencakup generasi ide, yang tidak
menghakimi, mendengarkan keterampilan, batas waktu, pengaturan konteks
dan sebagainya;
cek realitas di mana kita membuat kontrol yang jelas, yang tidak pernah
sempurna dan biaya uang dan waktu untuk berkembang;
teknik untuk pengaturan tujuan mana ini adalah masalah - ini termasuk
Cascading tujuan, kebijakan konteks, link ke misi, terukurnya, kerangka waktu,
anggaran, review mekanisme, bisnis rencana, laporan tahunan, tingkat otoritas,
target kinerja individu, sistem komunikasi, standar kualitas, standar perilaku,
target kelompok, keterampilan, pengetahuan dan sikap yang dibutuhkan.
.Tujuan dari kegiatan yang ditinjau dan sarana yang aktivitas mengontrol
kinerjanya;
Risiko signifikan terhadap aktivitas, tujuan, sumber daya, dan operasi dan
sarana yang potensi dampak risiko disimpan ke tingkat yang dapat diterima;
Kanada Hidup Kanada tertua Hidup Perusahaan dan didirikan pada tahun
1847. Sekarang memiliki aset o lebih dari 23 miliar di seluruh dunia dengan
sekitar 10 juta nasabah. Kanada Life demutualisasi pada tahun 1999 dan telah
beroperasi di Inggris sejak tahun 1903 dengan kantor utama UK di Potters Bar dan
Isle of Man. aset Inggris adalah lebih dari 6 miliar dengan menjalankan
pendapatan premi tahun 2001 di lebih dari 1300000000. Di Inggris, berdiri sendiri,
CSA (berbasis lokakarya menggunakan metodologi PDK) telah dilakukan sejak tahun
1998 dengan hasil dari setiap lokakarya yang digunakan untuk memberikan
informasi untuk proses penilaian risiko audit untuk perencanaan audit tahun depan
ini. Selain itu, CSA ini digunakan untuk mendapatkan wawasan ke daerah non-
proses-driven di mana metodologi audit tradisional tidak sepenuhnya tepat. Konsep
'audit terpadu' dikembangkan dan dijalankan dari tahun 2001 dan seterusnya,
menggunakan lokakarya CSA sebagai bagian integral dari audit yang lebih besar di
mana yang sesuai. Ada beberapa alasan mengapa pendekatan terpadu ini
dikembangkan didorong oleh banyak keuntungan termasuk:
Kecepatan.
Pada saat yang sama, ada beberapa kesulitan yang harus diatasi:
Isu yang diangkat tidak dilaporkan ke Komite Audit juga secara resmi
ditindaklanjuti.
Teknologi tergantung;
pertanyaan Standard.
The 'Audit terintegrasi' menggunakan teknik CSA telah digunakan pada audit
proses operasional utama termasuk tim manajemen senior dan daerah
lain. Sebelum ini, pendekatan audit tradisional tua didasarkan pada tahapan kunci
berikut:
1. Penelitian
2. Latar Belakang
7. Laporan Hasil
5. Hasil Laporan
Dengan cara ini, Kanada Hidup mampu menambah nilai produk audit dan aman:
Keterlibatan staf yang lebih besar dalam menilai proses mereka sendiri.
Beralih ke lima tahap kunci dari pendekatan terpadu, ini dapat diperluas sebagai
berikut:
Tujuan dari audit internal - yang adalah untuk menyediakan Dewan dan
Manajemen dengan kepastian terhadap efektivitas kontrol atas operasi
bisnis. Ini memerlukan mengidentifikasi risiko, meninjau teknik kontrol
untuk kecukupan dan efektivitas kemudian menghasilkan laporan
untuk manajemen dengan aksi yang disepakati jika diperlukan untuk
mengurangi risiko.
2. Lakukan lokakarya CSA dengan staf: Memiliki ' dijual ' nilai pendekatan
audit, manajemen risiko dan pengendalian internal, kita kemudian membentuk
tim untuk mengisolasi risiko utama mereka sebelum kita mulai audit yang
tepat. Ini memerlukan dua bagian terpisah dari hari ' lokakarya s. Bagian
pertama menggabungkan ' Post-it ' latihan catatan untuk mendapatkan
penilaian dari tim ' pandangan s pada hambatan saat mencegah, dan kekuatan
saat membantu, tim memenuhi tujuannya. Bagian dua meminta mereka
serangkaian pertanyaan standar (bertanya pada setiap sesi) berbasis di
sekitar CoCo Model pada tujuan, komitmen, kemampuan dan belajar untuk
mendapatkan gambaran yang lebih lengkap dari isu-isu dalam daerah. Proses
CSA adalah interaktif, menggunakan teknologi pemungutan suara elektronik di
seluruh dan menangkap tim ' komentar s pada laptop.Semua voting dan
komentar ditangkap ditampilkan ke dan setuju dengan tim di sesi.
4. Uji kontrol kunci: Salah satu perbedaan dengan CSA sebagai proses
manajemen adalah bahwa tidak ada pengujian dilakukan selama
lokakarya. Menggunakan CSA sebagai alat audit, kami dapat fokus strategi
pengujian terhadap daerah berisiko tinggi dan kontrol kunci. Hal ini penting
dalam audit berbasis risiko - sebagai tim mengidentifikasi dan menilai risiko
operasional mereka dan kemudian bekerja keluar bagaimana mengelola
mereka. Sementara kita membangun pekerjaan ini dengan mengarahkan tes
audit kami ke daerah mereka telah diidentifikasi sebagai aspek risiko tinggi
operasi. Pengujian yang dilakukan akan memperhitungkan semua bidang utama
risiko diidentifikasi dalam CSA dan lokakarya KRCM dan akan berusaha untuk
mengkonfirmasi keberadaan dan operasi yang efektif dari setiap kontrol yang
meringankan diidentifikasi dalam proses.
5. Menghasilkan laporan: Laporan ini lebih dari sebuah rencana aksi yang
disepakati yang berasal dari upaya gabungan dari klien dan auditor bekerja
sama dengan tujuan umum untuk meningkatkan proses manajemen risiko dan
lingkungan pengendalian yang mendasari. Masalah utama yang diidentifikasi
dalam lokakarya CSA termasuk dalam laporan audit akhir. Mereka karena itu
secara resmi dilaporkan ke manajemen senior dan komite audit dan merupakan
bagian dari bulanan tindak lanjut dari masalah audit yang luar biasa.
2. orang-orang yang dikenal hanya dalam organisasi dan yang tidak akan
dibawa ke arena publik; dan
Ini adalah kategori terakhir yang paling mengkhawatirkan - penipuan yang belum
muncul ke permukaan. Penipuan timbul ketika 'sesuatu yang salah' dan ini
berimplikasi pada sistem pengendalian internal. Karena begitu sensitif, manajemen
menjadi putus asa untuk menyelidiki dan memecahkan dugaan penipuan. Mereka
membutuhkan dukungan sebanyak mungkin dan umumnya beralih ke audit internal
untuk bimbingan. Fungsi audit harus memiliki pengetahuan luas tentang penipuan
dan bagaimana mereka diselidiki, jika layanan yang disediakan oleh mereka sebagai
lawan menjadi tanggung jawab tim penipuan spesialis. Bagian ini merangkum
pengetahuan minimum untuk auditor. Sebuah survei yang dilakukan oleh
Manajemen Hari ini dan KPMG Akuntansi Forensik menunjukkan bahwa:
'Perilaku tidak etis' - dari pencurian pena dan berselancar sambil bersih di
tempat kerja untuk penipuan langsung - tetap endemik di tempat kerja
Inggris. Dan berjalan dari ruang rapat ke lantai toko. Meskipun sebagian
besar manajer memiliki pendekatan fundamental etika bisnis, mayoritas
menyadari perilaku tidak jujur di tempat kerja, tetapi menerimanya sebagai
tak terelakkan.Mereka hanya biaya itu ke dalam operasi dan tidak meniup
peluit pada offenders.27
Survei lain yang melibatkan eksekutif senior dari 10.000 organisasi yang mewakili
lebih dari 30 industri yang berbeda di 15 negara menyimpulkan bahwa (ekstrak
saja):
Hampir dua pertiga dari peserta organisasi telah ditipu dalam 12 bulan
terakhir.
The ACFE 2002 Laporan kepada Bangsa memperkirakan bahwa untuk AS, 6% dari
pendapatan ($ 600.000.000.000) hilang pada tahun 2002 sebagai akibat dari
penipuan dan penyalahgunaan kerja. Laporan itu menyimpulkan:
kas adalah aset yang paling sering menjadi sasaran karyawan yang
tidak jujur;
penipuan yang paling mahal yang dilakukan oleh eksekutif pria senior
yang terdidik;
Hal ini sangat sulit untuk mendapatkan statistik yang dapat diandalkan tentang
penipuan karyawan. CIFAS (Inggris layanan pencegahan penipuan -
www.cifas.org.uk) membuat jelas bahwa tidak semua kasus penipuan membuatnya
ke pengadilan, sehingga angka pada kasus pengadilan bisa diandalkan. Sebuah
proyek penelitian CIFAS menyarankan bahwa penipuan perusahaan UK berdiri di 40
juta pa melibatkan lebih dari 1.500 pemecatan staf meskipun mereka mengakui
bahwa angka ini bisa jauh lebih tinggi.
Lainnya 21% 7%
debitur Kas
beban Stock
hipotek Wisma
DEFINISI FRAUD
Setiap tindakan ilegal yang ditandai dengan tipu daya, penyembunyian, atau
pelanggaran kepercayaan. tindakan ini tidak tergantung pada ancaman
kekerasan atau kekuatan fisik.
Penipuan yang dilakukan oleh partai dan organisasi untuk memperoleh uang,
properti, atau jasa; untuk menghindari pembayaran atau kerugian jasa; atau untuk
mengamankan keuntungan pribadi atau bisnis.
1. representasi palsu
3. penyalahgunaan posisi.
Tindakan ini juga menciptakan pelanggaran baru kepemilikan dan pembuatan atau
penyediaan artikel untuk digunakan dalam penipuan, dan pelanggaran baru
memperoleh layanan tidak jujur. Pelanggaran perdagangan penipuan diperpanjang
untuk pedagang tunggal.
Penipuan dapat terjadi di mana kesalahan yang tidak bersalah telah
terdeteksi sehingga kemampuan untuk menembus keamanan sistem menjadi
jelas. Setelah anggota staf bintik kelemahan sistem, dapat digunakan untuk
melakukan penipuan. Kelemahan ini dapat terdiri dari prosedur yang tidak jelas
yang mencakup hak akses ke sistem komputerisasi di mana ada sedikit perbedaan
antara karya sah dan tidak sah. Beberapa berpendapat bahwa persamaan ini
penting:
Menjadi salah satu-off atau kontinu Seorang penjahat dapat mencuri cek, terus
jumlah yang membuatnya lebih besar dalam nilai dan kemudian membayar ke
rekening bank khusus dibuka. Pelaku akan berharap untuk pergi sebelum kerugian
tersebut ditemukan. Seorang karyawan mungkin memalsukan klaim kas kecil dari
nilai wajar selama periode waktu yang panjang sehingga jumlah keseluruhan
menjadi material. Dalam kasus pertama, waktu merupakan faktor penting untuk
menangkap pelakunya. Dalam kasus kedua latihan melelahkan mungkin diperlukan
untuk mengumpulkan semua klaim palsu sehingga berat jelas bukti terakumulasi di
seluruh penyelidikan.
Hati-hati direncanakan A penipuan dapat direncanakan dalam jangka panjang di
mana semua celah dianggap sebelum dilakukan.Mungkin dalam peristiwa normal
itu tidak akan ditemukan dan hanya datang ke cahaya ketika pemeriksaan
tambahan yang dibuat.Orang luar akan memiliki banyak kesulitan dalam
mengungkap jenis penipuan tanpa tip off.
Melibatkan jumlah rutin Beberapa penipuan yang digunakan untuk top up gaji
dan melibatkan jumlah yang teratur. Penyalahgunaan toko mungkin masuk ke
dalam kategori ini sehingga setiap pencurian tanpa diketahui. Masalah utama
adalah bahwa informasi manajemen, mungkin untuk beberapa waktu, berdasarkan
angka kempes dan tidak memberikan petunjuk apapun di bawah deklarasi.Jumlah
yang diterima kemudian mungkin tampak apa yang diharapkan dan semua pihak
puas. Beberapa orang melihat ini sebagai merembes dari pekerjaan. Pedagang lokal
dapat memilih untuk membayar menolak sejumlah kolektor uang tunai daripada
resmi (dan lebih mahal) rekening yang diajukan oleh otoritas lokal untuk
menghilangkan perdagangan menolak. Pada skala yang, Bank of Credit dan skandal
Commerce International tahun 1990-an terkena sebuah organisasi yang terlibat
dalam penipuan pada sehari-hari.
Akan dilakukan oleh perwira senior Skenario dari manajer senior yang lama
melayani yang memiliki rasa tidak suka untuk auditor internal terlihat di banyak
departemen. Jawaban yang tidak masuk akal dapat diberikan kepada auditor junior
yang merasa tidak mampu untuk menantang manajer. Manajer kemudian mungkin
bersikeras bahwa 'mendapatkan sesuatu' lebih penting daripada mematuhi
prosedur resmi dan argumen ini dapat digunakan waktu dan waktu lagi. Jika
karyawan ini tidak melakukan dengan baik, maka atasan tidak mungkin menggali
terlalu dalam ke dalam kegiatan mereka dan kontrol istirahat turun. Staf senior
memiliki hak akses yang lebih besar dan mungkin dapat mengotorisasi transaksi
diskresioner tanpa tantangan. Pandangan bahwa semua staf senior secara alami
dapat dipercaya tidak selalu benar. Penipuan yang dilakukan oleh almarhum Robert
Maxwell yang berbasis di sekitar sebuah organisasi di mana staf merasa mereka
tidak bisa menantangnya.
Melibatkan sejumlah besar Salah satu jenis penipuan yang profil tinggi berkaitan
dengan subsidi Euro. Di masa lalu, Komisi telah dianulir lebih dari 1 miliar sebagai
belanja tidak benar terjadi.
Empat Komponen
Penipuan adalah tindakan penipuan untuk mendapatkan keuntungan atau milik
orang lain dengan empat komponen utama:
Motif. Harus ada motif penipuan. Ini mungkin bahwa karyawan tidak puas atau
dalam kesulitan keuangan. Dalam kasus non-karyawan, harus ada alasan mengapa
penipuan yang dilakukan. Baik manajemen sumber daya manusia terus karyawan
puas dan menurunkan motif non-keuangan untuk terlibat dalam penipuan.
Objek wisata. Laba atau keuntungan dijamin harus memiliki daya tarik bagi
pelaku. Ini bervariasi dan dapat memberikan keuntungan bagi orang yang terkait,
misalnya, pemohon KPR.
Peluang. Harus ada kesempatan yang memadai. Seseorang mungkin ingin untuk
menipu sebuah organisasi dan tahu persis apa yang akan diperoleh, tapi tanpa
peluang, mungkin tidak pernah terjadi. Kontrol preventif harus digunakan untuk
menjaga terhadap kemungkinan penipuan dengan mengurangi peluang. Bahkan,
sebuah laporan oleh University of Nottingham Business School (ditugaskan oleh
Bisnis Pertahanan Eropa) berdasarkan studi dari 200 perusahaan, mengklaim bahwa
manajer menengah sangat mungkin untuk menipu karena mereka memiliki
pengetahuan yang mendalam tentang bagaimana perusahaan mereka bekerja dan
tahu bagaimana untuk menutupi tracks.30 mereka
Lainnya 3% 2%
Jenis Penipuan
Tidak ada definisi hukum penipuan. penipuan yang mungkin dilakukan oleh
orang dalam atau orang luar dan organisasi dapat melaksanakan penipuan dengan,
katakanlah, melebih-lebihkan pendapatannya. Kisah yang terkait dengan penipuan
adalah:
Pencurian
ini mencakup memperoleh properti dengan penipuan dan akuntansi
palsu. Hal ini didefinisikan sebagai 'tidak jujur mengambil alih properti milik lain
dengan tujuan permanen merampas lain dari itu. Pencurian Act 1968, pasal 17
meliputi akuntansi palsu yang mungkin biaya yang paling umum dari penipuan:
Pencurian Act 1968, bagian 22 selimut dicuri barang dan memberikan yang
'Seseorang menangani barang curian jika (selain dalam rangka mencuri) sadar atau
percaya bahwa mereka dicuri dia tidak jujur menerima barang, atau tidak jujur
melakukan atau membantu dalam retensi mereka , penghapusan, pembuangan
atau realisasi oleh atau untuk kepentingan orang lain, atau jika ia mengatur untuk
melakukannya.
Konspirasi
ini melibatkan perjanjian melanggar hukum oleh dua orang atau lebih untuk
melaksanakan tujuan bersama yang melanggar hukum atau tujuan yang sama halal
dengan cara melanggar hukum. Ini akan mencakup kolusi untuk menimpa kontrol
internal.
Ada tindakan lain yang jatuh di bawah kategori generik penipuan, termasuk:
sumpah palsu
penyembunyian (informasi)
saji keuangan
penghapusan yang tidak sah dan melanggar prosedur internal juga dapat diselidiki
tetapi ini dilihat sebagai hal disiplin internal tanpa implikasi pidana. Cybercrime
adalah masalah yang berkembang dan survei oleh Konfederasi Industri Inggris
ditempatkan jenis cybercrime agar ancaman yang dirasakan:
1. penyelewengan aset. 86% kasus dan 90% melibatkan pencurian uang tunai.
Indikator Penipuan
Dokumen ditulis ulang dan / atau diubah mungkin bukti perubahan yang
tidak sah untuk menutup-nutupi penipuan.
Keluhan dari pemasok yang tidak mengikat dengan catatan harus waspada
yang potensial masalah. Jadi jika pemasok mengklaim bahwa pembayaran
mereka tidak diterima, meskipun cek telah dicairkan, ini mungkin berarti
bahwa uang tersebut telah dialihkan ke rekening yang salah.
Situasi yang tidak biasa lainnya timbul seperti void berlebihan, menulis-off,
personel yang tidak sah akses, harga kontrak realistis, orang terlalu
kooperatif, vendor meningkatkan faktur, catatan-catatan pendukung tidak
tersedia, non-serial-nomor dokumen, satu orang di kontrol, kesediaan untuk
menyelesaikan klaim, berlebihan write-off, banyak jurnal, staf kunci pada
upah rendah, tidak ada anti-fraud kebijakan, pemahaman yang buruk dari
kontrol, sejarah kepatuhan miskin, hubungan yang buruk antara audit dan
manajemen, pengawasan manajemen sedikit, akuntabilitas miskin,
miskin screening perekrutan, rendah moral karyawan, karyawan yang
bekerja jam unsocial tanpa pengawasan, tidak ada kesadaran keamanan,
transaksi tunai yang besar, transaksi yang kompleks, baru sistem akuntansi,
surat konfirmasi tidak dikirim, kontrak dengan spesifikasi miskin, tidak ada
tender, perubahan harga, negosiasi pasca-tender, out- of-keseimbangan
buku besar, pembelian berlebihan dan perjalanan dan subsisten, karyawan
hantu, penyusutan persediaan, meningkat memo, besar satu-
off pembayaran, berlebihan lembur karyawan, faktur biasa, rasio aneh dan
tren.
Banyak indikator pergi tanpa diketahui dan masalah muncul ketika, setelah
penipuan telah ditemukan, ada kritik yang ada jelas sesuatu yang salah yang
seharusnya terlihat.
Ada karyawan yang waspada terhadap tanda-tanda ini dan selama organisasi
mempromosikan perilaku peringatan ini menjadi kontrol tambahan. Satu-satunya
obat yang sebenarnya adalah kontrol yang efektif.
Deteksi penipuan
The ACFE 2002 Laporan kepada Nation menunjukkan bahwa sumber utama deteksi
di AS (Persentase ditunjukkan dalam tanda kurung) berasal dari:
Laporan Penipuan Pemerintah Inggris memiliki daftar yang berbeda dari cara
penemuan
Audit internal 1% 1%
Kecurigaan 4% 2%
Kecelakaan 4% 2%
Audit eksternal 1% 1%
Pengakuan 1% 1%
Lainnya 1% 1%
Mendefinisikan Peran dalam Organisasi
Dalam hal deteksi penipuan, ada perbedaan yang jelas antara manajemen
internal dan audit peran:
Sebelum kita mempertimbangkan peran individu secara lebih rinci, kita dapat
merujuk bimbingan sebelumnya dari IIA.UK & Irlandia, yang menunjukkan bahwa
semua organisasi harus mengidentifikasi risiko penipuan dan dampaknya terhadap
organisasi, dan karena itu harus:
Dalam mengirimkan luas ini, peran individu dalam hal penipuan adalah sebagai
berikut:
Menangani pelapor.
Untuk tampilan pan-Eropa kita dapat kembali ke ECIIA, yang posisinya kertas
pada penipuan menjelaskan bahwa:
Manajer telah berbohong kepada auditor atau telah terlalu mengelak dalam
menanggapi mengaudit pertanyaan.
Ada kondisi yang merugikan dalam industri klien atau lingkungan eksternal.
Ini adalah klien baru yang tidak memiliki riwayat pemeriksaan sebelumnya
atau informasi yang cukup dari auditor pendahulu.
Bagian Personil Personil dapat dilihat sebagai fungsi independen yang dapat
digunakan untuk secara resmi berkomunikasi antara tersangka dan manajemen dan
memastikan bahwa personil kebijakan sedang ditaati. Hal ini relevan di mana
manajemen sedang menyelidiki dan mengambil tindakan terhadap pihak yang
terlibat. Personil memiliki peran ganda menasihati manajemen pada tindakan
mereka dan memastikan bahwa hak-hak karyawan dilindungi. prosedur disiplin
personil harus diperhatikan oleh manajemen.
Lainnya fakultas audit ICAEW ini mengatur panel penipuan penasehat pada
tahun 1998 dan melanjutkan untuk menyepakati tiga pihak bekerja untuk:
investigasi Penipuan
Menelepon polisi. Ini akan diperlukan di mana ada bukti kuat dari penipuan.
Kebijakan tersebut harus bahwa polisi diberitahu pada kesempatan pertama. Untuk
kejahatan tersembunyi lebih rumit, polisi akan mengharapkan organisasi untuk
melakukan beberapa pekerjaan latar belakang dasar terlebih dahulu.
Memulai investigasi audit. Hal tersebut dapat disebut audit internal untuk
penyelidikan formal. Mungkin dirahasiakan sementara strategi yang tepat
dirumuskan. Sebuah isu yang semakin relevan adalah mengamankan data yang
dimiliki pada PC. Jika tersangka disiagakan file dapat irretrievably dibersihkan atau
hancur.
Wawancara petugas yang bersangkutan. Ada saat-saat ini adalah pilihan yang
paling sederhana. Hal ini dimungkinkan untuk menghabiskan minggu menyelidiki
masalah, yang, ketika disampaikan kepada pelakunya, ia / dia mengaku langsung.
Beberapa penipu mencari perhatian dan ingin ditangkap. Hal ini juga
memungkinkan penjelasan sederhana yang akan disajikan sebelum penyelidikan
telah pergi terlalu jauh, misalnya, kasus kesalahan identitas atau seseorang
menggunakan orang lain ID akses komputer dan password. Masalahnya di sini
adalah bahwa, jika sedikit kerja telah dilakukan pada penyelidikan, tersangka dapat
menutupi jejak mereka sebelum bukti nyata telah diamankan.
Menangguhkan tersangka. Dimana bukti-bukti yang kuat dan ada risiko nyata
bahwa kerugian mungkin terjadi jika tindakan tidak diambil langsung, maka
tersangka dapat ditangguhkan. Perlu ada kasus yang jelas dan keputusan harus
masuk akal dan sejalan dengan kebijakan disiplin organisasi. Kesulitan utama
adalah bahwa sementara suspensi tidak menyiratkan rasa bersalah, asumsi
bersalah cenderung dibuat oleh orang lain. Suspensi berarti bahwa bukti tidak
dapat dirusak. Hal ini juga membuat kasus kuat untuk pemecatan di sidang
disipliner kemudian di mana satu dapat mengatakan bahwa kehadiran seseorang di
tempat kerja tidak bisa lagi ditoleransi. Tapi itu akan berhenti pemeriksaan
menangkap orang sebagai penipuan sedang dilakukan.Kerugian lain adalah bahwa
hal itu mungkin membuat sulit untuk cepat mengadakan wawancara dengan
tersangka yang dapat mengundurkan diri sebelum kasus telah dibangun.
Periksa sistem pengendalian internal. Ini merupakan langkah penting dan ada
kalanya ada sedikit yang dapat dilakukan. Jika cek telah dicuri dan dicairkan
kemudian terlepas dari menasihati polisi ada mungkin tidak banyak lagi yang bisa
dilakukan. Di sisi kontrol kita mungkin ingin mengeluarkan instruksi ketat yang cek
yang dikeluarkan oleh organisasi tidak harus ditinggalkan di meja dan harus
dikurung dalam semalam.
Melakukan apa-apa. Ini tergantung pada kebijakan. Hal ini dimungkinkan untuk
memiliki kebijakan di mana panggilan telepon anonim membuat tuduhan di mana
orang tersebut menolak untuk dilihat (dalam keyakinan) tidak ditindaklanjuti. Ini
harus dibenarkan dan muncul di mana ada keterbatasan sumber daya dan tingkat
berlebihan tuduhan tidak berdasar.
Pilihan di atas harus
dipertimbangkan dengan hati-
hati secepat informasi diterima
pada kemungkinan penipuan
dan penyimpangan. Sebuah
proses menilai keadaan dan
memilih respon yang tepat
harus ditetapkan sehingga
keputusan suara dapat
dilakukan. Masing-masing
pilihan ini harus
dipertimbangkan kembali
secara berkala sebagai
penyelidikan berlangsung. Hal
ini dimungkinkan untuk
menetapkan kebijakan formal
dimana audit internal
diinformasikan segera dari
semua penipuan, aktual atau
dugaan. Beberapa
berpendapat bahwa tidak ada satu cara untuk menyelidiki penipuan karena masing-
masing bervariasi tergantung pada keadaan. Hal ini tidak menghalangi kita dari
mengembangkan prinsip-prinsip untuk penyelidikan penipuan. Satu kerangka
ditunjukkan pada Gambar 7.16.
Pertimbangan utama
1. Perencanaan penyelidikan. Strategi ini diterapkan akan harus dipilih dengan hati-
hati, mengambil papan semua faktor yang relevan.
Harus audit internal terlibat dalam jenis pekerjaan dan jika demikian
sampai sejauh mana?
4. Memulihkan dana yang hilang. Pada awal penyelidikan, mengidentifikasi tingkat
kerugian harus menjadi perhatian utama. Hal ini akan mempengaruhi cara
bahwa pekerjaan berikutnya dilakukan sehingga 'jadwal kerugian' dikonfirmasi
mungkin didokumentasikan pada akhir penyelidikan.
5. Status hukum tuduhan itu. Apakah itu pencurian atau hanya pelanggaran
prosedur? Polisi mungkin dapat memiliki masukan mengenai hal ini. Kami telah
menyarankan bahwa pelanggaran sederhana prosedur dapat berubah menjadi
penipuan besar.
6. Tingkat bukti yang harus diamankan. Ini akan tergantung pada materialitas
penipuan dan tingkat kesulitan dalam mengamankan bukti yang ada.
8. Peran manajemen dan cara yang akan mendukung penyelidikan. Ini akan
bervariasi tergantung pada kebijakan organisasi. Di mana manajemen tidak
menunjukkan minat sama sekali, maka penipuan akan sangat sulit ditembus. Di
mana manajemen overenthusiastic maka kesalahan mungkin terjadi, dan jalan
tengah yang masuk akal harus dicapai.
9. Kebutuhan untuk menahan diri dari tuduhan tidak berdasar. Menembak dari
pinggul tidak dapat diterima. Bahkan jika kita yakin yang melakukan kecurangan
tersebut, kasus ini akan beristirahat pada bukti yang mendukung pandangan
kami dan ini hanya dapat dikumpulkan melalui proses yang cermat investigasi.
10.Keterlibatan Polisi dan saran. Memiliki kontak utama di kantor polisi setempat
sangat berguna dan ini mungkin menjadi tempat pertama untuk saran ketika
tuduhan pertama datang ke cahaya.
11.Wawancara staf. Mungkin perlu untuk bertemu dengan staf dari daerah yang
bersangkutan sesegera mungkin. Hal ini dapat memberikan arahan yang baik
kepada pelakunya yang mungkin, tidak diketahui auditor, menjadi salah satu
yang diwawancarai. Ini juga memiliki efek jera sebagai staf melihat bahwa
masalah ini dianggap serius oleh manajemen.
12.Kebutuhan untuk kerahasiaan ketat. Salah satu pertanyaan terbesar yang perlu
ditangani adalah yang melihat. Hal ini juga untuk menjaga pertanyaan satu
langkah dihapus dari area penipuan dan bekerja dengan tingkat yang lebih
senior manajemen. Banyak informasi yang dapat diperoleh dari sumber-sumber
yang diakses secara terpusat, dan di sini bahwa hak auditor akses menjadi
sangat berguna. Ini juga berarti bahwa orang-orang di luar tim investigasi tidak
perlu waspada terhadap fakta bahwa penyelidikan berlangsung.
13.Surprise audit. Teknik ini dapat digunakan di mana ada sejarah audit melakukan
pemeriksaan mendadak di lokasi organisasi. Di mana hal ini mungkin, banyak di
dalam informasi dapat diamankan serta pemeriksaan dilakukan pada catatan
yang relevan tanpa memperingatkan tersangka (s).
Menetapkan program anti-fraud adalah satu hal, tapi tidak ada yang lebih
buruk daripada memiliki kebijakan bahwa tidak ada berikut. Mengidentifikasi dan
mengukur risiko penipuan adalah salah satu langkah pertama dalam melaksanakan
program anti-fraud yang kuat. risiko fraud tertentu juga dapat dikurangi dengan
melakukan perbaikan kebijakan organisasi, prosedur, atau proses, dan penilaian
penipuan-risiko dan upaya manajemen penipuan-risiko berkontribusi pada upaya
perbaikan. Berkala melakukan audit internal dari program anti-fraud sangat
produktif sebagai penilaian independen dan obyektif dari kebijakan dan praktek
saat ini. Untuk melakukan ini, pertama melakukan penilaian penipuan berisiko;
kemudian mengidentifikasi kontrol penipuan kunci dan setiap kesenjangan kontrol;
dan akhirnya menguji efektivitas pengendalian. Terus menerus monitoring oleh
manajemen dan audit kontinu oleh auditor juga sangat efektif dalam
menanggulangi penipuan langsung. Banyak organisasi yang membangun
pemantauan terus menerus dan upaya audit kontinu untuk transaksi kritis dan
sistem informasi; Anda harus juga.
Namun risiko penipuan lain mengancam untuk merusak semua upaya ini
yang telah dibahas sejauh ini: manajemen override. Sebuah perusahaan dapat
memiliki prosedur bintang untuk memblokir penipuan, tetapi mereka tidak akan
berbuat banyak baik jika petinggi hanya memungkinkan beberapa transaksi yang
tidak benar untuk menghindari prosedur tersebut.Mempertimbangkan memiliki
departemen audit internal secara independen meninjau kegiatan akuntansi bulan-
dan akhir tahun untuk setiap transaksi yang tidak biasa, seperti entri jurnal
tersangka atau pembalikan. Anda juga harus mempertimbangkan memiliki debat
terbuka pada pertemuan audit komite pada apa panitia dan perusahaan itu sendiri
lakukan untuk mengurangi risiko manajemen override.
Bertekun
Meskipun setiap penipuan investigasi akan menjadi unik, itu adalah, tetap,
mungkin untuk menyusun tahapan kunci tertentu dan prosedur standar yang dapat
diterapkan untuk masing-masing.Ini dapat diringkas:
whistle-blower 'hotline';
kecelakaan murni.
Apakah kita punya informasi yang cukup untuk membentuk dasar dari
penyelidikan?
Apakah ada dokumen yang bisa mendukung tuduhan itu dan mereka
tersedia?
Apakah ini penipuan yang nyata atau hanya pelanggaran ringan prosedur?
Kita dapat menambah daftar ini, meskipun titik penting untuk dicatat adalah
bahwa prosedur pemeriksaan ini harus dilakukan oleh staf yang berpengalaman
(jika sesuai, auditor internal) dan harus sepenuhnya didokumentasikan untuk
referensi nanti. Kita mungkin peduli untuk tidak bertindak atas tuduhan kabur dari
puas mantan karyawan (atau orang anonim) di mana indikator menunjukkan bahwa
itu adalah tidak berdasar. Jika hal ini terjadi, kita harus mampu untuk membenarkan
posisi ini di kemudian hari. Demikian juga, jika kita memulai latihan utama, kita
harus mampu membuktikan itu perlu sebagai akibat dari informasi yang diterima.
Aturan utama adalah untuk 'membuka file' dan keputusan catatan yang dibuat pada
tahap penyelidikan.
4. Laporan awal. Ini menunjukkan apakah tuduhan itu mungkin benar dan harus
diselidiki. Strategi keseluruhan harus didefinisikan. Manajemen harus
ditampilkan laporan dan pertemuan yang diadakan untuk membahas
implikasi. Hal ini penting karena jika ditampilkan tidak ada dasar untuk
tuduhan, maka waktu disimpan dengan menghindari penyelidikan skala
penuh. Atau, mungkin lebih efisien untuk mengirim memo kepada staf di
mana pelecehan ringan berskala jelas, seperti tingginya tingkat panggilan
telepon pribadi atau fotokopi pribadi, sebagai bentuk amnesti, setelah
tindakan yang akan diambil terhadap para pelanggar terus. Ini mungkin
solusi terbaik dan menghemat waktu audit. Laporan awal akan membahas
bagaimana cara terbaik masalah harus ditangani dan oleh siapa.
lacak balak dalam hal kepemilikan dan bagaimana bukti telah disimpan,
diambil dan diterapkan;
anak muda
buta huruf
8. Strategi awal. Informasi baru akan datang ke cahaya dan strategi yang
diterapkan akan mengubah seperlunya. Idenya adalah untuk menutupi
semua sudut dan menemukan cara terbaik untuk mengamankan bukti yang
relevan. Pilihan suspensi, wawancara, memberitahukan polisi dan sebagainya
harus terus Ulasan akan. Beberapa penyelidikan memiliki pendekatan corong
di mana mereka mulai dengan dasar yang luas dan mempersempit masalah
yang relevan sebagai fakta baru datang ke cahaya. Perubahan strategi untuk
menjadi semakin terfokus pada bidang utama. Ini akan di mana ada
permintaan yang luar biasa atau inkonsistensi yang tidak dapat dijelaskan
tanpa melibatkan individu didefinisikan. Sementara itu, kejadian yang sekilas
tampak mencurigakan bisa dijelaskan sebagai penyelidikan akan terjadi.
Diskusi rinci dengan tingkat yang sesuai dari manajemen akan didasarkan
sekitar merumuskan rencana penyelidikan. Kebijakan audit kami sendiri akan
berarti bahwa CAE dan pemeriksaan manajer akan telah disarankan pada
awal penyelidikan dan mungkin bahwa CAE harus menyetujui setiap rencana
aksi berikutnya yang secara bersama-sama disepakati dengan manajemen.
Ada beberapa pilihan yang dapat dipertimbangkan, termasuk yang berikut:
b. penyelidikan Audit mana kita mengambil alih proyek tersebut. Hal ini
berguna di mana manajer senior yang terlibat, penipuan besar dan
mencakup banyak bagian dari organisasi atau di mana itu adalah
latihan rahasia mengandalkan akses ke banyak sistem informasi yang
berbeda (dan mungkin surveillance).
Dokumentasi menganalisis;
informan
saksi kunci
manajer lini
tersangka.
14.Laporan akhir. Ini mencakup tindakan yang diperlukan yang harus diambil
dan dapat mengobati aktivitas sebagai masalah internal atau mencari
rujukan ke polisi. Laporan ini harus membahas tindakan segera apapun pada
kelemahan pengendalian dan dapat merekomendasikan peninjauan sistem
penuh sekali penipuan yang telah ditangani. Rekomendasi harus peka
terhadap kesejahteraan organisasi, dan jika staf telah diwawancarai, ini harus
dilakukan melalui pengelolaan secara hati-hati direncanakan dengan minimal
gangguan terhadap layanan yang diberikan oleh daerah yang terkena. Saat
melaporkan, mungkin praktek untuk nama individu terlibat atau
menggunakan sistem pengkodean dengan kunci dilepas yang dirahasiakan.
Semua laporan harus ditandai dengan jelas rahasia. Jumlah salinan harus
dibatasi dan yang terbaik adalah untuk menyajikan mereka pada kebutuhan-
untuk-tahu. Laporan ini bukan tentang memberikan pendapat dari rasa
bersalah dari orang, itu hanya untuk melaporkan hasil penyelidikan. Laporan
ini dapat pergi untuk menyatakan bahwa ada bukti yang cukup untuk
mendukung kasus terhadap seorang tersangka bernama tetapi tidak harus
mengambil pandangan pada apakah orang ini bersalah. Sementara itu,
informasi yang terkandung dalam laporan diklasifikasikan sebagai rahasia.
Pengantar
Kesimpulan meeting
Bahkan di mana kasus pidana jatuh melalui, majikan masih bisa mempertahankan
pemberhentian yang dihasilkan dari prosedur internal, yang beroperasi pada
keseimbangan kurang menuntut probabilitas (bukan di luar semua keraguan) - tes
apakah majikan benar-benar percaya alasan yang kuat bahwa pemohon bersalah
karena pelanggaran tersebut. Dalam hal mengambil tindakan internal yang
terhadap karyawan, ada prinsip-prinsip tertentu yang harus diikuti:
Setiap penyelidikan
penipuan harus dicatat
dalam file resmi yang
berisi semua dokumen
yang relevan yang telah
diamankan selama
penyelidikan. Ada sejumlah atribut umum kertas kerja yang baik yang harus
diterapkan ke file ini:
1. Kejelasan. Ini adalah praktik yang baik untuk bersikeras bahwa file terbaca
dan dapat dipahami oleh semua pembaca potensial. Menulis rapi dengan
judul yang jelas yang memandu pembaca melalui surat penting, terutama
karena file mungkin harus dibaca tanpa bantuan dari auditor yang melakukan
pekerjaan.
2. new. Setiap item dalam file harus dirujuk dan dicatat dalam indeks utama di
depan file. Dengan demikian, itu harus mungkin untuk pergi langsung ke
dokumen tertentu dengan mudah.
5. Penggunaan formas pro. Ini dapat memberikan jalan pintas untuk apa
yang mungkin menjadi proses yang cukup birokrasi mengumpulkan dan
pengajuan bukti. Wawancara, pertemuan, analisis dokumen dan banyak
latihan lainnya dapat direkam dalam format standar melalui penggunaan
formas pro dan ini harus memastikan pendekatan yang lebih efisien untuk
penyelidikan.
6. Cross-referenced. Tak usah dikatakan bahwa file kertas kerja harus benar-
silang. Kemampuan untuk mengambil dokumen langsung memberikan kesan
yang baik selain sangat efisien. Otoritas kepolisian akan lebih positif dalam
respon mereka terhadap temuan audit jika kertas jelas mudah diakses.
Memadai referensi silang, di sisi lain, akan menyebabkan kesenjangan
memalukan sebagai bukti yang disajikan oleh auditor kepada manajemen dan
/ atau polisi.
8. Dipimpin up. Prinsip bahwa setiap kertas harus menuju benar harus
diterapkan. Idenya adalah bahwa setiap item harus diidentifikasi secara
terpisah jika menjadi terpisah dari file utama. Kami harus bisa membedakan
mana penyelidikan kertas milik dan yang dikompilasi (bersama dengan
tanggal).
16.Lengkap. Semua dokumen yang relevan harus berakhir pada file audit
definitif, yang berarti bahwa ini harus menjadi satu-satunya berkas (atau set
file) yang dipertahankan. Ini adalah praktek yang buruk untuk memegang
banyak file di kantor dengan masing-masing berisi salinan dari beberapa
bukti tanpa membuatnya cukup jelas yang (berada) asli dan lengkap file (s).
17.Set dalam mode rapi dan teratur. Pekerjaan Ceroboh tidak boleh
diterima.
18.Konsisten. Jika wawancara diketik setelah acara maka ini harus diterapkan
untuk semua kasus di mana sebuah wawancara telah terjadi. Sebutan pos
dan terminologi harus bertepatan, yang sangat relevan di mana lebih dari
satu auditor bekerja pada penyelidikan.
22.pada. Sesuai praktek audit yang normal, kertas kerja harus dikaji oleh tingkat
manajemen yang sesuai audit. Ulasan ini juga harus didokumentasikan.
Ketika bertindak sebagai saksi ada pedoman tertentu yang harus diamati oleh
auditor:
Jangan membicarakan bukti Anda dengan auditor lain yang juga dapat
disebut sebagai saksi, sebagai pertahanan mungkin berpendapat
bahwa telah fabrikasi.
4. Kereta kunci staf dalam prosedur penyelidikan. Ini akan mencakup auditor
internal, petugas personil dan manajer kunci. Perhatikan bahwa kita harus
berhati-hati mempublikasikan semua deteksi dan pengujian metode karena
hal ini dapat mendorong orang untuk 'mengalahkan sistem'. Namun,
pelatihan yang baik adalah salah satu cara untuk memastikan penyidik tahu
bagaimana tindakan prosedur jika diperlukan.
5. Pastikan polisi menyadari prosedur dan nama kontak dan nomor. Ini adalah
praktik yang baik untuk membentuk mekanisme penghubung untuk tetap
berhubungan dengan polisi setempat (atau spesialis unit penyelidikan
penipuan polisi).
8. Pastikan bahwa ada mekanisme yang efektif diinstal itu berarti prosedur
investigasi ditinjau, terus up to date dan benar diterapkan di seluruh
organisasi. Ketika kepala eksekutif diminta apa yang dia akan lakukan jika
penipuan terungkap, respon berikut akan tepat:
Jika CEO tidak dapat memberikan respon ini, ada paparan yang akan
membuat hidup mereka berpotensi tidak nyaman. Sementara itu, kepala auditor
harus memberikan saran kepada CEO pada ini dan terkait hal-hal sesuai dengan
prosedur yang telah kita tentukan di atas.
Poin praktis
Semua penipuan berbeda dan aturan tetap tidak dapat diterapkan untuk
situasi tak terduga. Pendekatan disiplin berdasarkan kompilasi bukti suara dari
sumber terpercaya dan dikonfirmasikan dengan dokumen yang dihasilkan disatukan
secara sistematis. Berikut ini adalah poin praktis yang perlu diperhatikan:
1. Polisi lebih memilih kasus yang akan disajikan dengan bukti-bukti jelas
disusun. Hal ini memungkinkan mereka untuk sumber daya penyelidikan dan
menetapkan ke tingkat kepentingan. Jika kasus buruk disatukan dengan
kesenjangan jelas, ini akan membuat lebih sulit bagi polisi untuk
menghadapinya dengan cara yang efisien. Posisi ideal tercapai di mana
hubungan yang baik telah dibangun selama bertahun-tahun antara audit
internal dan polisi setempat. Dalam menangani kasus, polisi akan telah
menetapkan persyaratan dan tingkat kepercayaan akan ada di mana
pekerjaan auditor dianggap sepenuhnya diandalkan.
3. Polisi harus diberi petugas penghubung, yang mungkin internal auditor yang
akan berhubungan dengan mereka sepanjang penyelidikan. Auditor dapat
membantu mana, mengatakan, seluruh kelompok staf harus diwawancarai,
karena Kehadiran polisi dapat mengganggu layanan yang disediakan. Dalam
hal ini, mungkin disarankan untuk audit untuk melakukan wawancara ini dan
menyajikan hasil kepada polisi. Sekali lagi, ini dan isu-isu lain harus
didiskusikan dengan petugas penghubung.
5. Dimana seorang karyawan sedang diselidiki oleh polisi sebagai hasil dari
penyelidikan internal, itu masih mungkin untuk mendisiplinkan orang ini.
orang tersebut dapat diwawancarai dan disiplin tanpa menunggu hasil dari
kasus polisi selama biaya berhubungan dengan masalah internal, misalnya,
pelanggaran prosedur yang bertentangan dengan tindak pidana seperti
pencurian.Sulit untuk melihat bagaimana penipuan bisa dilakukan terhadap
organisasi tanpa pelanggaran menyertai prosedur. Ini adalah pelanggaran
yang harus ditangani dan masalah ini harus ditangani dalam kode disiplin
praktek dan deskripsi pekerjaan. Ini adalah ide yang baik untuk
mewawancarai tersangka sebelum ia / dia ditangkap oleh polisi. Hal ini
karena pengacara dapat merekomendasikan bahwa setiap karyawan
ditangkap sehubungan tindak pidana tidak harus membicarakan kasus
dengan majikan. Kita mungkin pergi lebih jauh dan menyarankan bahwa
sidang disipliner dapat diadakan dengan tidak adanya karyawan, meskipun
lebih baik untuk mendengar representasi dari karyawan sebelum panel
disiplin membuat keputusan mereka.
7. Standar bukti akan tinggi karena akan diteliti secara rinci setiap persidangan
nanti atau sidang disiplin internal. Pertahanan akan mencoba untuk
menemukan kesalahan dengan bukti penuntutan, dan setiap kesalahan kecil
dapat digunakan untuk panggilan ke bukti keraguan yang tersisa, namun
akurat. Pertahanan standar untuk menimbulkan keraguan dalam pikiran juri.
Jika auditor junior yang digunakan, mereka harus diberi instruksi yang jelas.
Manajer audit dapat mengatur kasus ini sehingga ia / dia akan menyajikan
item bukti bahkan jika itu disusun oleh auditor junior. Pada account tidak
harus auditor berpengalaman diserahkan kepada belas kasihan dari
pengacara di pengadilan, di mana pekerjaan audit tidak dapat diandalkan,
tidak ditinjau dan terkendali. briefing tim reguler akan mempromosikan
pendekatan yang konsisten. Dianjurkan untuk memberikan junior staf
wawasan yang jelas ke dalam sifat penyelidikan penipuan sebelum mereka
melakukan pekerjaan mereka atas dasar bahwa pemahaman yang lebih baik
dari tujuan akan mendorong hasil yang lebih baik.
Kami akan mencari kontrol cocok atas aset dan informasi beresiko. Ini akan
dievaluasi untuk mengetahui apakah mereka memadai dan diterapkan dalam
praktek dan langkah-langkah yang direkomendasikan untuk mengatasi kegagalan
ditemukan sebagai hasil dari proyek. Sangat penting bahwa laporan tim proyek
untuk tingkat perusahaan yang tinggi dalam organisasi dengan kekuatan
pengambilan keputusan yang dapat digunakan untuk mengambil tindakan atas
rekomendasi. Banyak dari pekerjaan akan berkisar pada petugas keamanan IT,
meskipun, jika tidak ada orang tersebut, maka ini mungkin menjadi rekomendasi
utama pertama. Penipuan tidak konsekuensi alami dari menggunakan sistem
komputerisasi, meskipun ada perbedaan pandangan tentang masalah ini. Penelitian
telah dilakukan tetapi ada banyak organisasi yang melindungi kredibilitas mereka
dengan tidak melaporkan penipuan dan penipuan dicoba. kontrol cocok telah
diterapkan dan peran audit tetap sama dalam mengkaji kecukupan dan efektivitas.
Satu-satunya masalah tambahan
adalah di mana audit internal
membuat tawaran untuk melakukan
peran keamanan sistem dalam
organisasi, meskipun ini adalah suatu
hal yang auditor internal kepala harus
mempertimbangkan dan
menyelesaikan. deteksi penipuan
adalah tentang mengadopsi
pendekatan proaktif untuk penipuan
dengan melakukan proyek-proyek
audit untuk mencari dan membasmi
penipuan tertentu. Hal ini dapat
dilakukan dalam hubungannya dengan polisi yang akan memberikan saran dan
terlibat di mana ada kasus yang jelas dari kegiatan kriminal. Rencana audit dengan
mengacu:
2. staf yang diperlukan untuk sumber daya proyek yang penting termasuk
kualifikasi, pengalaman, keterampilan dan atribut pribadi, sebagai tim harus
mengangkat tangan, berdasarkan spesifikasi pekerjaan yang menuntut;
3. sejauh, kerangka acuan dan ruang lingkup audit harus sangat hati-hati
ditentukan karena hal ini akan berdampak besar pada kerja yang dilakukan
dan arah audit. Faktor ini harus terus dikaji karena lingkup mungkin berubah
selama pekerjaan. Hal ini mungkin juga memiliki efek knock-on pada jenis
sumber daya yang sedang digunakan. Salah satu fitur penting mungkin perlu
untuk mengamankan profiling data dan interogasi keterampilan otomatis
untuk proyek tersebut.
Teknik pencegahan
Berapa banyak lebih baik tidak kehilangan sesuatu daripada harus pergi ke
kesulitan menemukan itu setelah hilang. Cara yang lebih baik untuk
mencegah seseorang dari mencuri daripada mendeteksi pencurian,
memulihkan kerugian, dan penjara bajingan. Cara yang lebih baik untuk
menghilangkan godaan daripada menghukum seseorang karena telah
menyerah pada godaan.Berapa banyak yang lebih baik untuk internal auditor
dianggap sebagai konsultan konstruktif selain sebagai polisi atau jaksa.
Proses investigasi reaktif dalam hal itu dimulai sebagai hasil dari dugaan
penipuan. Langkah dapat diambil untuk menjaga terhadap penipuan. Pentingnya
membangun kontrol suara tidak bisa terlalu ditekankan karena kebanyakan
penipuan bisa dihindari dengan kontrol yang tepat. Kita juga harus
mempertanyakan organisasi yang sepenuhnya sumber penyelidikan penipuan
sementara mengabaikan implikasi kontrol. Sayangnya, mereka yang dituduh
dengan melakukan penyelidikan ini mungkin memiliki sedikit insentif untuk
mendorong sudut kontrol jika akan menghasilkan lebih sedikit pekerjaan yang
tersedia untuk mereka. kontrol utama meliputi:
Pencegahan kontrol ini adalah kontrol yang paling penting yang berusaha untuk
mencegah penipuan. Kami telah mencatat bahwa kebijakan penutup ini penipuan,
pemisahan tugas, ulasan audit internal, lingkungan pengendalian yang baik, sistem
secara keseluruhan baik dan banyak poin lainnya ditangani sebelumnya. Ini adalah
jenis yang paling efisien kontrol dalam bahwa mereka bertujuan mencegah setiap
penipuan potensial sebelum terjadi. Upaya diarahkan pada tahap ini dari sistem
bisnis akan membayar imbalan besar bahkan jika ini negatif dinyatakan sebagai
kurangnya aktivitas penipuan. Kontrol ini memberikan jaminan kepada manajemen
bahwa mereka mungkin berkonsentrasi pada pencapaian tujuan bisnis tanpa risiko
kerugian di aset-aset organisasi yang mereka bertanggung jawab untuk.
Manajemen, bukannya bertanggung jawab atas aset, yang lebih tepat disebut
sebagai bertanggung jawab untuk menetapkan kontrol yang memadai atas aset
tersebut. Hal ini membawa konsep kontrol pencegahan untuk profil yang lebih
tinggi, sehingga memungkinkan mereka untuk menarik sumber daya yang cukup
untuk menjadi operasional sukses.
Detektif kontrol Kontrol ini didasarkan pada kebutuhan untuk mengambil setiap
penyimpangan secepat mungkin. Ini termasuk teknik seperti manajemen
peringatan, analisis trend, tempat pemeriksaan, pengawasan, laporan pengecualian
dan audit kejujuran. Pertanyaan untuk bertanya adalah, 'Bisakah penipuan telah
menyelinap melalui sistem kami dan jika
demikian bagaimana mereka dijemput?'
Kita harus menerima bahwa tidak semua
masalah potensial / penipuan dapat
ditangani melalui kontrol preventif dan
akan ada kesempatan di mana
penyimpangan hampir tidak dapat
dihindari. Kontrol detektif dirancang untuk
mengambil setiap sistem pelanggar dan
merupakan unsur penting dalam siklus
kontrol.
manual penipuan
Dengan cara ini, seluruh sistem kontrol dapat dibuat di seluruh organisasi
untuk mempromosikan keamanan yang baik atas aset organisasi dan sumber daya.
Ini adalah bagian dari tanggung jawab manajemen yang tidak dapat dibatalkan,
meskipun audit internal mungkin menganggap peran penting. Penipuan bisa
menjadi topik yang sangat menarik dan mungkin sangat merangsang bagi auditor.
Ada banyak belajar, dan banyak teknik audit, khususnya yang berkaitan dengan
pengujian, dapat diterapkan untuk mengamankan bukti yang mendasari bahwa hal
apapun akan didasarkan pada. Ada, bagaimanapun, sedikit nilai perkembangan
dalam peran dan pemeriksaan teori ini mengarahkan satu menuju ulasan
operasional sistem pengendalian internal sebagai tujuan audit yang benar. Penipuan
mengambil tingkat tinggi sumber daya dan banyak pekerjaan audit yang
direncanakan bisa jatuh ke satu sisi. Peran konsultan, menasihati manajer tentang
bagaimana mereka bisa memecahkan penipuan mereka mungkin hubungan kerja
yang efisien dan ini harus dinegosiasikan dengan komite audit. Jika direncanakan
audit dipandang sebagai masalah sekunder, maka proses penilaian risiko yang
diidentifikasi proyek ini untuk rencana audit jelas tidak bekerja dan harus ditinjau.
Sistem kelemahan yang memungkinkan penipuan terjadi harus, bagaimanapun,
diprogram ke dalam rencana audit dan sistem sesuai kontrol preventif benar
didirikan. Pada account tidak harus bertanggung jawab untuk menjaga terhadap
dan menyelesaikan penipuan dan penyimpangan diambil dari manajemen. Neil
Cowan telah dijelaskan peran audit internal dalam 'penipuan Perusahaan-lebar
ofensif':
audit internal dapat memainkan peran penting dalam proses pencegahan
penipuan. Sebagai spesialis dalam kontrol dan risiko, auditor sangat berkualitas baik
untuk mendidik karyawan di seluruh organisasi tentang bagaimana untuk
meminimalkan kasus penipuan dan untuk meningkatkan kesadaran. Auditor dapat
membantu untuk memastikan bahwa pencegahan penipuan adalah agenda semua
orang dan mendorong pendekatan kooperatif untuk masalah ini. Memberdayakan
karyawan di semua tingkatan untuk mengambil peran aktif dalam pencegahan
penipuan dapat membantu untuk memastikan bahwa setiap orang memberikan
kontribusi untuk usaha tim ini.
Hal ini tidak mudah dan ada peringatan yang dapat dikeluarkan. Empat bahaya
menghadapi auditor internal yang mengungkap penipuan:
2. Auditor dapat menjadi subjek litigasi sipil, seperti pencemaran nama baik,
fitnah atau salah tangkap.
3. Kerusakan Karir mungkin terjadi. Hal ini terutama berlaku ketika penipuan
yang terjadi pada tingkat tinggi dalam organisasi.
The IIA membuat jelas dalam Atribut Standar 1210.A2 bahwa auditor internal
harus memiliki pengetahuan yang cukup untuk mengidentifikasi indikator penipuan
tetapi tidak diharapkan untuk memiliki keahlian dari orang yang tanggung jawab
utama adalah mendeteksi dan menyelidiki penipuan. Selain itu, cara yang paling
efektif untuk mengelola risiko penipuan adalah untuk membangun faktor ini ke
dalam lokakarya penilaian risiko yang dilakukan oleh tim di seluruh organisasi dan
memastikan pencegahan adalah bagian dari strategi manajemen risiko bisnis
secara keseluruhan.
Membangun Akuntabilitas Upaya antipenipuan Anda
Dan jangan mereka akan whistleblower benar-benar percaya itu? Jika Anda
menjawab '' ya '' untuk semua pertanyaan di atas, besar. Anda baik pada cara untuk
usaha antipenipuan kuat.Sekarang menjawab tiga pertanyaan lagi yang akan
membantu Anda mendapatkan di depan orang banyak:
Apa yang harus peran tim audit internal ini menjadi tentang penipuan?
Untuk menjawab pertanyaan terakhir benar, Anda perlu jawaban yang jelas
untuk dua pertanyaan segera mendahuluinya. Secara khusus: Dewan bertanggung
jawab untuk menentukan dan menyetujui keseluruhan arah strategis organisasi dan
sistem pengendalian internal, serta untuk pengaturan nada di bagian atas (tata
kelola perusahaan secara keseluruhan). Manajemen beroperasi bisnis dalam
pedoman yang ditetapkan oleh dewan, secara berkala melaporkan kinerja dan
kemajuan menuju strategi kunci dan tujuan. Manajemen juga memonitor operasi.
Itu termasuk penilaian reguler efektivitas keseluruhan sistem pengendalian intern
terhadap persyaratan yang ditetapkan oleh dewan, serta nilai-nilai etika sendiri
perusahaan dan keyakinan.
Hari ini ada keyakinan bahwa auditor mencari - serta menyelidiki dan
menghentikan - penipuan. Setelah semua, tidak auditor baris terakhir pertahanan
dalam mengidentifikasi manajemen bengkok? Yah, tidak ada. Yang benar adalah
bahwa tidak ada yang bisa menangkap semua penipuan, dan departemen audit
internal harus mengatasi kesalahan persepsi bahwa ini adalah tujuan audit internal.
Semua orang di perusahaan memiliki peran dalam pencegahan penipuan dan
deteksi, dan tanggung jawab utama terletak pada semua anggota manajemen (dan
oleh itu, maksud saya manajer di setiap tingkat perusahaan). Fungsi audit internal
yang efektif meningkatkan etika lingkungan budaya dan kontrol perusahaan, baik
terang-terangan melalui audit dan dalam arti yang lebih umum dengan
mempromosikan praktek yang baik. audit internal kegiatan antipenipuan
memberikan umpan balik yang berharga untuk manajemen dan dewan pada di
mana mereka dapat meningkatkan kinerja secara keseluruhan, yang memberikan
kontribusi dalam jangka panjang untuk penipuan upaya manajemen risiko yang
lebih efektif. Hal ini juga dapat menjadi penghalang ketika karyawan tahu bahwa
departemen audit internal mempekerjakan orang dengan pengetahuan deteksi
penipuan, keterampilan, dan alat-alat.
audit internal harus merancang dan rencana audit khusus untuk mendeteksi
penipuan, yang secara langsung memperkuat sistem pengendalian internal
organisasi. Rencana audit internal harus didorong oleh penilaian risiko audit (yaitu,
risiko bahwa audit mungkin akan kehilangan sesuatu); juga, upaya penipuan harus
didorong oleh penilaian risiko penipuan, karena paparan semakin besar organisasi
untuk penipuan, upaya audit yang lebih antipenipuan harus dialokasikan. Dan Anda
harus melakukan penilaian risiko penipuan serius, karena membantu seorang pun
untuk memiliki tenaga kerja Anda percaya tim audit internal tidak percaya semua
orang.
Selalu ingat bahwa audit hanya menyediakan tingkat yang wajar jaminan;
auditor tidak bisa, dan tidak akan, memberikan polis asuransi terhadap setiap
penipuan mungkin. Tetapi karena objektivitas dan integritas mereka, auditor
internal dapat memperkuat upaya antipenipuan organisasi dengan menyelidiki
laporan dari kemungkinan tindakan penipuan. Bahkan, semakin banyak perusahaan
departemen audit internal meliputi dilatih akuntan forensik.
Ada banyak teknik audit fraud hari ini, dan lebih harus dimasukkan ke dalam
departemen audit. Beberapa contoh sederhana dari latihan forensik meliputi:
menghubungkan nama karyawan, alamat dan rincian kontak lainnya terhadap
database pemasok untuk membantu mengidentifikasi transaksi tersangka;
memeriksa biaya klaim erat; menindaklanjuti agama pada perbedaan tampaknya
tidak signifikan dalam total kontrol; menggunakan teknik data mining dan
pemeriksaan komputer secara umum untuk kerajinan dan menjawab pertanyaan
licik; dan selalu menyadari kemungkinan kolusi, penipuan, dan penipuan. Beberapa
praktek manajemen antipenipuan berguna termasuk:
3. Merancang dan rutin menjalankan tes untuk mencari indikator penipuan dan
anomali data;
pengamanan aset;
Kegiatan audit internal harus menilai apakah tata kelola teknologi informasi
organisasi menopang dan mendukung strategi dan tujuan organisasi.
Mengingat sifat yang sangat teknis dan hukum dari masalah privasi, kegiatan
audit internal perlu pengetahuan dan kompetensi yang sesuai untuk melakukan
penilaian risiko dan kontrol dari kerangka privasi organisasi.
sistem informasi yang rumit memiliki implikasi besar bagi auditor internal.
Auditing sekitar komputer dijelaskan pendekatan tradisional untuk sistem berbasis
komputer audit. Ini berarti menyesuaikan pendekatan audit biasa tanpa
menerapkan keahlian tambahan dalam aplikasi komputerisasi. Istilah lain adalah
pendekatan kotak hitam di mana komputer dipandang sebagai benda asing yang
harus diabaikan oleh auditor. Saat ini, respon Audit harus mengambil perubahan
strategis papan di otomatisasi, respon behind.One dinyatakan audit tersisa adalah
untuk menentukan peran audit yang mengkhususkan diri dalam meninjau sistem
informasi komputerisasi sebagai 'sistem informasi (IS) audit dan ini adalah subjek
bagian ini. Ada perbedaan pandangan audit IS dengan banyak percaya bahwa
semua bagian audit harus mempekerjakan auditor spesialis. Orang lain merasa
tidak ada hewan seperti auditor sejak menangani aplikasi komputerisasi adalah
bagian dari kehidupan pemeriksaan
sehari-hari. Audit komputer cenderung
dikenal sebagai IS audit, seperti yang kita
bergerak dari ide komputer audit untuk
pandangan bahwa kami membantu untuk
mengubah data mentah menjadi sebuah
platform yang handal dan aman untuk
pengambilan keputusan sebagaimana
diatur dalam Gambar 7.20.
menguping spoofing
Peran IT Departemen
Ada dua elemen yang berbeda untuk sebagian besar audit manajemen
investasi TI. Pertama, auditor mengevaluasi spesifikasi, desain, dan implementasi
proses manajemen investasi TI.Kemudian auditor meneliti bagaimana proses
manajemen investasi TI benar-benar beroperasi, termasuk penilaian terhadap
prioritas bisnis saat ini sedang ditangani. Dan bagaimana hal ini akan meningkatkan
investasi TI di kepatuhan dan tata? Dengan membantu untuk memastikan
organisasi adalah menentukan prioritas bisnis dan memiliki proses investasi yang
sejalan pengeluaran untuk mereka prioritas IT.
Apa tingkat investasi di IT (dan keamanan IT) telah terjadi dalam dua hingga
tiga tahun terakhir? Apa yang direncanakan untuk dua sampai tiga tahun
mendatang? Apakah ada tingkat yang wajar pengeluaran, dibandingkan dengan
operasi dan modal anggaran keseluruhan? Meskipun tidak ada tingkat tertentu
investasi di IT dapat diberi label '' yang tepat, '' manajemen harus dapat
menjelaskan kewajaran IT dan pengeluaran keamanan IT dalam kaitannya dengan
keseluruhan modal dan anggaran operasional. Tren belanja TI harus sejalan dengan
bisnis dan rencana TI.Perhatian papan kunci selalu apakah perusahaan
menghabiskan terlalu banyak atau terlalu sedikit pada TI dan keamanan IT.
Telah peran dan tanggung jawab untuk manajemen TI dan pengawasan dari
investasi TI telah didefinisikan dan ditetapkan dalam perusahaan? Tanggung jawab
untuk berbagai kegiatan TI dalam organisasi yang berkaitan dengan manajemen TI
dan investasi TI harus didefinisikan dan ditugaskan kepada personil tertentu. Harus
ada alokasi logis dari tanggung jawab IT dalam organisasi.
Peran IS Auditor
View Audit komputer sebagai audit MIS dan menerapkan basis yang
lebih luas untuk proyek pemeriksaan komputer yang mencakup kontrol
manajerial maupun yang terkomputerisasi.
Memilih opsi yang sesuai dari atas akan memastikan bahwa aspek pekerjaan
audit dengan benar tertutup. Jika masalah ini diabaikan, kesenjangan kredibilitas
yang dihasilkan dapat menyebabkan kelemahan kompetitif. Semua auditor harus
dapat meninjau aplikasi komputerisasi dan sistem informasi dapat menjadi
komponen utama dari sistem operasi untuk kontrol internal. Selain membeli dalam
keterampilan IS audit, perlu untuk melatih dan mengembangkan auditor yang
terlibat dalam aspek pekerjaan audit. Semua auditor harus melalui proses yang
berkesinambungan memperoleh IS keahlian audit yang sehingga mereka menjadi
auditor yang kompeten:
Mendefinisikan tujuan audit adalah yang pertama dan salah satu langkah
yang paling penting dalam menentukan arah audit. Langkah ini harus mencakup
memahami kebijakan perusahaan, tujuan, dan sasaran untuk manajemen catatan
dan pemahaman yang memiliki proses, bagaimana kepatuhan dipantau, dan
bagaimana praktik terbaik ditentukan. Langkah ini juga mendefinisikan tingkat
jaminan dewan dan manajemen akan disediakan. tim audit internal harus
mendiskusikan bahwa dengan manajemen dan dewan, untuk memahami betapa
jaminan yang mereka inginkan. audit juga harus meninjau kedua catatan kertas dan
catatan elektronik, karena setiap memiliki profil risiko yang berbeda, dan Anda
harus mengeksplorasi jaminan ingin untuk setiap. Beberapa tujuan audit mungkin
termasuk:
Menentukan apakah program ini sesuai dengan praktik yang baik saat
ini berdasarkan ukuran dan kompleksitas organisasi.
Pengujian keterlibatan
Audit itu sendiri dapat melibatkan berbagai tes. Misalnya, melihat konsistensi
dan integrasi manajemen catatan antara unit-unit bisnis dalam perusahaan. Apakah
mereka semua mengikuti kebijakan yang sama? Apakah mereka semua petugas
kepatuhan kereta api di unit bisnis dengan tujuan yang sama dan kebijakan dalam
pikiran? Apakah mereka semua menghasilkan jenis yang sama dari hasil yang
terukur?
Pelaporan keterlibatan
Di antara tujuan utama dari audit internal adalah untuk memberikan papan
dan manajemen dengan penilaian obyektif tentang desain dan operasi dari praktek
manajemen, sistem kontrol, dan informasi. Untuk mencapai tujuan ini, audit internal
harus berkomunikasi secara efektif kesimpulan audit dan rekomendasi. Sepanjang
audit, auditor internal harus mendiskusikan temuan dan rekomendasi potensial
dengan manajemen. Hal ini membantu untuk memastikan bahwa auditor telah
mempertimbangkan informasi terkait ketika membentuk kesimpulan dan
memberikan kesempatan bagi auditor internal dan manajemen untuk
mengembangkan solusi yang efektif untuk kekurangan diidentifikasi.
sistem komputerisasi
mempengaruhi pendekatan
audit yang diterapkan dan
ada banyak fitur kontrol.
sistem umum audit dapat
digunakan untuk aktivitas
apapun dan tergantung pada
pemahaman tentang sistem
yang ditinjau. Seperti telah
disebutkan, peran IS audit
telah bergerak menuju
format IS audit dan di satu
sisi telah bergerak lebih dekat ke peran auditor umum sebagai dua dimensi menjadi
semakin kabur.
Audit Strategi IT suatu Perusahaan
Ada dua elemen yang berbeda dengan kebanyakan audit investasi TI. Mereka
adalah evaluasi:
Audit sistem IT, dan terutama audit dari bagaimana investasi TI bekerja, akan
memiliki banyak pertanyaan. Tepat mana yang Anda akan perlu untuk menjawab
dan termasuk dalam perencanaan audit Anda akan tergantung pada keadaan
khusus perusahaan Anda, tapi aku sudah terdaftar 10 dari yang paling penting di
bawah ini.
4. Apakah ada yang sesuai sistem, kebijakan, prosedur, dan pedoman yang
berkaitan dengan IT manajemen investasi? Menggambarkan bagaimana hal-
hal yang bisa dilakukan adalah selalu bermanfaat. kebijakan dan prosedur
yang berharga.
IS Perencanaan Audit
Perubahan IS manajemen.
Tekanan pada IS manajemen yang mungkin mempengaruhi mereka
untuk menyembunyikan atau salah mengutarakan informasi (misalnya
proyek bisnis penting besar over-run, dan kegiatan hacker).
Tingkat pengaruh pihak ketiga atas kontrol dari sistem yang diaudit.
Ini adalah kasus bahkan di mana kami terlibat dalam sistem audit dalam
pengembangan. Kami telah pergi lingkaran penuh di bahwa tanggung jawab untuk
membangun sistem yang sesuai pengendalian internal pindah dari audit kepada
staf komputer, dan sekarang terlihat milik sepenuhnya kepada pengguna
sistem. Pengguna ingin sistem yang baik dan akan beralih ke semua bantuan
profesional yang tersedia dalam perjuangan ini. Ini harus mencakup audit internal
dan kita harus memenuhi harapan tersebut dalam memberikan dukungan
profesional. Perhatian diarahkan pengaturan jaminan kualitas atas metodologi SD
yang dianut mungkin cara terbaik untuk menggunakan sumber daya audit. Bekerja
pada sistem individu menjadi bagian dari audit cara menguji kecukupan dan
efektivitas metodologi proyek perusahaan yang dianut. Keterlibatan Audit dalam
mengembangkan sistem yang disebut pre-event audit oleh beberapa, bahwa:
1. Auditor harus memastikan bahwa proses pembangunan itu sendiri adalah
suara.
3. kontrol yang memadai harus dibangun ke dalam sistem baru pada tahap
pengembangan.
4. Auditor harus siap untuk memberikan nasihat profesional meskipun jika ini
tidak didasarkan pada bukti fi rm, maka pendapat harus menyebutkan
statusnya sesuai.
sistem yang tidak fleksibel dan sulit untuk mengubah sebagai keadaan
berubah;
Sistem dapat dengan mudah gagal di mana spesi fi kasi tidak memadai dan
seperti berjalan atas anggaran, manajer senior mulai menjauhkan diri dari potensi
kejatuhan. Biasanya, sebuah organisasi mencoba untuk melakukan terlalu banyak
terlalu cepat dan ini dapat berarti bahwa banyak sistem baru datang online yang
rusak. Dua teknik utama untuk memastikan sistem yang baik datang online
manajemen dan SD proyek standar. Salah satu cara untuk melihat nilai dari suatu
sistem informasi adalah untuk mengukur sejauh mana itu memenuhi empat kriteria
utama yang ditetapkan dalam Gambar 7.24.
pengembangan
sistem 'mungkin adalah
aspek yang paling penting
dari setiap program
komputerisasi memastikan
berbagai kriteria
diakui. Keberhasilan
dengan yang organisasi
mengontrol sistem baru
dan ditingkatkan secara
langsung mempengaruhi
keberhasilan dihasilkan
sistem. diterima definisi
yang kontrol mencakup
semua pengaturan
manajemen menetapkan
untuk memastikan tujuan tercapai secara efisien. sumber Audit diarahkan pada
proses SD baik digunakan. Sistem baru harus memenuhi kebutuhan bersaing
seperti halnya proses SD. Kebutuhan ini berbeda harus diambil di papan karena
semua pihak ini pengguna dan berbagai harapan mereka harus dipahami
sepenuhnya. Kebanyakan sistem baru perangkat tambahan atau pengganti di mana
rilis software baru memperpanjang sistem yang ada. Lebih kecil solusi yang lebih
kompak cenderung didasarkan sekitar sistem berbasis PC. IS auditor akan mencari
siklus hidup SD yang merupakan prosedur yang ditetapkan untuk mengelola sistem
baru (Gambar 7.25).
Ketika pembangunan mendorong keterlibatan awal pengguna akan memiliki
lebih banyak kesempatan untuk sukses, sedangkan penggunaan aplikasi yang cepat
teknik desain (dan paket perangkat lunak yang dibeli) akan memastikan bahwa
sistem yang lebih kecil membuat mereka dengan cepat. Sementara itu, manajemen
proyek yang baik membawa seluruh inisiatif membuahkan hasil dengan berusaha
mendamaikan waktu, kualitas, biaya dan kekuatan, dan metode seperti PRINCE 2
menggabungkan faktor-faktor seperti:
papan proyek;
end-of-tahap penilaian;
ulasan kualitas;
Staffing
Informasi
3. Data baru yang diperlukan dan bagaimana mereka mungkin akan ditangkap.
4. Sejauh mana informasi akan baik otomatis atau diadakan pada pengguna fi les.
Teknologi
1. strain dan tekanan pada sistem dan kapasitas yang diperlukan untuk menangani
hal ini.
2. jenis sistem operasi dan aktual mesin con fi gurasi yang diperlukan.
Kami akan menyarankan pada setiap implikasi kontrol relevan dengan sistem
yang sedang dikembangkan. Peran Audit akan sebagai pengawas mengambil pada
setiap celah kontrol. Ini bisa sangat berguna untuk, sistem yang sensitif utama yang
bekerja untuk jadwal yang ketat. masalah kontrol potensial bisa recti fi ed sebelum
terlambat dan mungkin bencana demikian dihindari. Ada titik prinsip yang timbul di
sini dalam hal itu menempatkan tanggung jawab untuk memastikan sistem memiliki
kontrol suara di tangan audit. Manajemen bertanggung jawab atas kontrol dan
peran audit adalah untuk meninjau dan memberi nasihat tentang kemungkinan
kelemahan pengendalian. Mengambil tugas ini jauh dari manajemen,
menghilangkan itu dari kesempatan untuk memperoleh orientasi kontrol. Dalam
prakteknya, masalah jangka pendek yang mendesak panggilan untuk semua pihak
untuk terlibat dalam mencari solusi dan titik prinsip cenderung ditempatkan ke satu
sisi. Namun, hanya dengan mengambil pandangan strategis jangka panjang bahwa
peran audit dapat diarahkan untuk kesejahteraan nyata organisasi. Saat meninjau
baik proses SD atau perkembangan individu, diketahui bahwa:
auditor adalah salah satu pengguna sistem dan dapat meminta
persyaratan tertentu seperti link berdasarkan audit ke dalam sistem
atau fasilitas pengujian terpencil.
modul audit yang tertanam dapat dibangun ke dalam sistem baru dan
memungkinkan akses tidak terbatas ke fi les untuk pengujian audit
(dicatat bahwa ini tidak biaya uang).
jika auditor bertindak untuk memeriksa pekerjaan tim proyek ini dapat
mengakibatkan auditor yang dianggap sebagai kekuatan negatif,
mungkin karena beberapa jenis mata-mata manajemen.
ada hubungan antara audit dan jaminan kualitas dan jika ada program
berkualitas cocok untuk pengembangan sistem yang diatur oleh
departemen IS, ini harus mendapat perhatian audit; jika jaminan
kualitas bekerja, ini bertindak sebagai kontrol besar atas proses
pembangunan.
kontrol biaya uang dan waktu dan auditor harus menghargai bahwa
semua sistem memiliki opsi kontrol 'Rolls-Royce' dan lebih realistis
satu; organisasi tidak dapat beroperasi kebijakan nol-risiko untuk
semua operasi dan pendekatan bisnis seperti harus selalu memerintah
- kriteria harus bahwa kontrol harus memadai dan efektif.
auditor perlu melalui sosialisasi sebelum pengembangan sistem
ditinjau dan dokumentasi sistem harus diperoleh dan ditinjau terlebih
dahulu.
meninjau kontrol;
Keterlibatan atas dan di atas tugas-tugas ini akan cenderung jatuh di bawah
peran konsultan dari auditor. Perhatikan bahwa kemerdekaan audit ditangani
sebelumnya di buku pegangan.
Dewan dan manajemen ingin mengetahui banyak hal mengenai upaya TI mereka:
5. Memiliki jumlah usaha yang terlibat tercermin risiko yang terlibat dengan
implementasi solusi ini?
1. perencanaan keberlangsungan
3. Sistem
6. Kepatuhan
7. Personil keamanan
8. organisasi Security
11.Kebijakan Keamanan.
Banyak fi kasi klasi sistem informasi berbasis di sekitar penilaian risiko dalam
hal dampak pada bisnis. Selain itu, ISO 7799 merekomendasikan bahwa
persyaratan audit dan kegiatan yang melibatkan pemeriksaan pada sistem
operasional harus hati-hati direncanakan dan disepakati untuk meminimalkan risiko
gangguan proses bisnis dan menyarankan berikut diamati:
Standar ISO (7799) melanjutkan dengan daftar beberapa kontrol kunci yang
mendukung infrastruktur keamanan:
kontrol Virus
Pertumbuhan e-bisnis membuat enkripsi, akses pihak ketiga dan aturan pada
remote atau teleworking penting sebagai kontrol harus mengikuti perkembangan
baru.
Mendidik Staf Menghasilkan Peningkatan Keamanan IT
Dalam lingkungan bisnis saat ini, keamanan informasi dan perlindungan aset
informasi sangat penting untuk keberhasilan jangka panjang dari semua
organisasi. Informasi darah kehidupan dari perusahaan dan aset bisnis
penting. sistem TI menghubungkan setiap departemen internal perusahaan dan
menghubungkan seluruh perusahaan untuk berbagai pemasok, mitra, pelanggan,
dan lain-lain di luar juga. aplikasi gagal fsystem untuk pelanggaran data untuk
benar diubah - - masih, masalah dengan IT terjadi hampir setiap hari. pelanggaran
keamanan khususnya dapat menjadi bencana bagi perusahaan. sebagian besar
perusahaan tidak memadai mengatasi penyebab utama pelanggaran keamanan TI:
kesalahan manusia. Pada artikel ini, saya menjelajahi bagaimana tenaga kerja harus
dididik tentang keamanan dan bagaimana menentukan apakah mereka ''
mendapatkannya. ''
Apakah organisasi Anda memiliki kebijakan yang kuat dan efektif keamanan
informasi, prosedur, dan kontrol? Apakah mereka ditegakkan?
Apakah kinerja yang diukur dan dilaporkan kepada pimpinan senior dan
stakeholder lainnya?
Apakah anggota dari tim manajemen dan tenaga kerja memahami apa praktik
keamanan yang baik adalah? Bagaimana Anda tahu?
Apakah Anda menilai dan mengukur hasil pendidikan keamanan dan upaya
kesadaran?
Fungsi audit internal yang efektif meningkatkan etika lingkungan budaya dan
kontrol perusahaan, baik terang-terangan melalui audit dan dalam arti yang lebih
umum dengan mempromosikan praktek yang baik. audit internal kesadaran
keamanan informasi dapat providevaluable umpan balik kepada manajemen dan
dewan tentang di mana keseluruhan performancecan ditingkatkan, yang kemudian
juga memberikan kontribusi untuk hasil program keamanan informasi yang lebih
efektif - de fi nitely menang-menang.
Audit harus membandingkan praktik keamanan yang baik dengan apa yang
sedang terjadi dalam organisasi dan meninjau hasil juga. Dengan kata lain, adalah
kualitas pelatihan yang diberikan, dan pembelajaran nyata terjadi?
staf Keterlibatan
Evaluasi rutin
Perencanaan bencana
Jenis informasi yang hilang dan panjang interupsi akan berdampak pada
tingkat kerusakan yang dilakukan. Beberapa bencana yang organisasi mungkin
dihadapi meliputi:
Karena BCP dan DR upaya yang sangat penting, mereka harus setiap fi t
bersama-sama bahu-sarung tangan.
audit internal dari program BCP dan DR sangat dianjurkan. Dewan dan
manajemen memerlukan jaminan mengenai efektivitas upaya mereka. Theymwant
tahu bahwa rencana DR akan bekerja bila diperlukan, bahwa investasi di BCP dan
DR yang memperoleh nilai yang baik, dan bahwa bencana tidak akan membawa
bisnis bertekuk lutut. Penilaian independen dari program BCP dan DR oleh audit
internal dapat memberikan umpan balik yang obyektif yang membantu memastikan
program memadai untuk mencegah kegagalan bisnis. Pikirkan tentang hal ini:
Sementara semua orang berfokus pada persyaratan Sarbanes-Oxley selama hampir
lima tahun, telah Anda DR dan BCP upaya terus berpacu dengan tantangan baru
saat ini dan persyaratan memperluas? Punya jawaban, karena papan Anda semakin
mungkin bertanya. Persis bagaimana departemen internal audit harus berinteraksi
dengan BCP dan program DR bervariasi antara perusahaan. Dengan pendekatan
yang tepat, audit dapat memberikan nilai nyata bagi dewan dan manajemen
eksekutif dengan obyektif menilai apakah program ini memberikan cakupan yang
efektif untuk melindungi organisasi dari bahaya ketika signifikan bencana terjadi.
auditor internal biasanya akan meninjau apa yang telah direncanakan dan
dicapai terhadap harapan manajemen dan dibandingkan dengan yang berlaku
umum praktik terbaik di lapangan. Ini adalah tempat audit objektivitas datang
kedepan; auditor memiliki tujuan yang sah untuk menilai apakah harapan
manajemen adalah wajar dan mencukupi, mengingat tingkat risiko organisasi dan
dalam hubungannya dengan organisasi sejenis lainnya. Saran berikut meliputi fase
utama audit setiap: scoping, perencanaan, kerja lapangan, analisis, dan
pelaporan. BCP dan DR program, bagaimanapun, datang dalam berbagai bentuk
dan ukuran, sehingga jelas spesifik rincian fi c dari setiap audit yang diberikan akan
bervariasi sesuai dengan situasi.
Audit-Penjajakan Phase
Seperti setiap audit, mendefinisikan tujuan dan sasaran untuk review dari
program BCP dan DR adalah tugas pertama auditor. Penjajakan paling baik
dilakukan atas dasar penilaian rasional risiko yang terkait. Aspek-aspek berikut
umumnya layak dipertimbangkan ketika scoping BCP dan DR Audit:
Ongoing Manajemen Program. Faktor keberhasilan kritis dalam setiap usaha BCP
dan DR adalah cara di mana program yang direncanakan dan didorong untuk
memastikan bahwa mereka memenuhi tujuan meskipun prioritas yang bersaing
tak terelakkan organisasi. Apakah pertimbangan keseimbangan pengelolaan
program dari banyak prioritas saling bertentangan manajer menghadapi dengan
kebutuhan penting bahwa upaya ketahanan perusahaan sesuai? Ini bukan
latihan sekali setahun lagi; sedang dipersiapkan adalah berkelanjutan, hari inand
hari usaha.
Definisi Dan Akurasi The BCP Dan DR Tujuan. Telah persyaratan program 'sudah
jelas dan sepenuhnya didefinisikan oleh manajemen? Memiliki analisa bisnis-
dampak yang luas telah selesai?Apakah teratur diperbarui?
Cakupan Of The BCP Dan Rencana DR. Apakah semua proses bisnis yang penting
telah diidentifikasi dan rencana yang sesuai disusun? Apakah rencana
memperhitungkan fi sien suf dari kebutuhan untuk mempertahankan atau
memulihkan infrastruktur pendukung (server IT dan jaringan, misalnya)? Apakah
rencana cukup '' rapi '' atau mereka penuh dengan proses non-esensial, sistem,
dan kegiatan? Yang signifikan kegiatan outsourcing cukup tertutup? Apakah
mereka membutuhkan validasi juga?
Manajemen Dari Setiap Sistem Atau Proses Perubahan. Tak pelak, changeswill
diminta untuk menerapkan BCP dan DR pengaturan. Apakah manajemen
perubahan dikelola secara efektif untuk memberikan jaminan terbaik bahwa
perubahan dilacak dan dibahas dalam lingkungan hidup dan DR?
BCP Dan Prosedur DR. Pertimbangkan prosedur dan pelatihan terkait, pedoman,
dan sebagainya untuk membuat manajer dan staf akrab dengan proses untuk
mengikuti bencana.
Selain de fi ning apa aspek termasuk dalam ruang lingkup audit, sama
pentingnya adalah bahwa manajemen dan dewan mengklarifikasi setiap aspek yang
keluar dari ruang lingkup - terutama pertimbangan penting bahwa, untuk satu
alasan atau lainnya, tidak akan dibahas di ini waktu (misalnya, mungkin karena
mereka akan diaudit secara terpisah). Sebuah bagian alami dari fase scoping adalah
untuk mengidentifikasi satu atau lebih sponsor manajemen untuk audit. Audit
dilakukan untuk memperoleh manfaat dari manajemen perusahaan bukan untuk
tujuan audit sendiri, sehingga sangat penting untuk mengetahui siapa yang akan
menerima, menerima, dan bertindak berdasarkan laporan audit fi nal. dukungan
terang-terangan mereka untuk audit dapat membuat pekerjaan audit lebih mudah,
misalnya dengan menarik dan mendapatkan keterlibatan auditee sesuai.
Audit Perencanaan-Phase
Ini juga merupakan waktu yang baik untuk auditor untuk mengidentifikasi
dan menghubungi auditee utama. Mengamankan bantuan mereka dengan audit
kerja lapangan lebih mudah jika mereka memiliki kesempatan untuk mengomentari
waktu dan sifat dari pekerjaan yang diperlukan - asalkan kemerdekaan departemen
audit dan objektivitas tidak terlalu terganggu dalam proses! Pendekatan Audit juga
perlu memutuskan selama perencanaan audit. Misalnya, akan itu layak untuk
meninjau semua BCP dan DR berencana, atau apakah perlu untuk sampel rencana?
Jika demikian, atas dasar apa akan sampel dipilih? Harus audit dari BCP dan DR
upaya menjadi audit terpisah dan berbeda? (Bagi banyak organisasi ini bisa masuk
akal, karena mereka berdua kegiatan penting layak review terfokus dan
komprehensif.) Apakah audit dari kegiatan outsourcing dan rencana BCP andDR
terkait perlu diselesaikan?
Pada fase ini audit, auditor memeriksa program BCP dan DR berdasarkan
tujuan dan metode diputuskan dalam fase sebelumnya. BCP membantu organisasi
untuk bertahan hidup bencana dengan menjaga proses bisnis penting yang
beroperasi selama krisis, sedangkan DR mengembalikan proses yang kurang
penting lainnya setelah krisis. pengujian audit selama kerja lapangan fase
mengumpulkan bukti memadai suf fi untuk menilai apakah program ini dapat
memenuhi dua persyaratan dasar ini. tes pemeriksaan program BCP dan DR
mungkin termasuk yang berikut:
Kurang lebih rinci meninjau dari BCP individu dan rencana DR,
memeriksa bahwa mereka adalah lengkap, akurat, dan up-to-date -
misalnya, pengujian sampel rincian kontak untuk pemain kunci untuk
con fi rm apakah nomor telepon mereka benar;
Mencari de fi kali pemulihan ned dan apakah ada bukti bahwa mereka
dapat dipenuhi;
Meninjau rencana pengujian dan hasil dari setiap tes yang sudah
dilakukan;
Rincian dari tes biasanya dicatat dalam daftar audit. Mereka disertai dengan
fi le yang berisi bukti audit yang sesuai, seperti salinan dijelaskan dari BCP dan DR
rencana, hasil tes, dan bahan-bahan lain yang auditor telah meninjau.
Apa yang mereka ditetapkan untuk dilakukan. Ini bagian dari laporan akan
memperkenalkan risiko dan rekap lingkup audit;
Apa yang mereka temukan. Ini biasanya mencakup isu-isu kunci diidentifikasi,
jika tidak penuh rincian berdarah. Tidak semua temuan yang dilaporkan, tapi
kadang-kadang membantu untuk memberikan checklist audit selesai sebagai
lampiran untuk laporan dan mengundang manajemen untuk meninjau bukti
audit jika ingin informasi lebih lanjut; dan
The rekomendasi. Ini akan memerlukan saran kepada manajemen tentang cara
mengatasi masalah diidentifikasi.
Dalam prakteknya, pelaporan audit yang bervariasi antara organisasi. Hal ini
membutuhkan keseimbangan antara prospek agak idealis dari beberapa auditor
dan realitas mengelola organisasi dengan sumber daya yang terbatas dan prioritas
yang bersaing. Biasanya ada, proses berulang cukup terlibat penyusunan, meninjau,
dan mengoreksi laporan dan negosiasi rincian dengan manajemen untuk mencapai
hasil terbaik bagi organisasi. Pada akhir hari, itu adalah manajemen - tidak auditor -
yang bertanggung jawab untuk memutuskan, jika ada, perbaikan program BCP dan
DR mereka berniat untuk membuat dianjurkan. Proses audit memiliki keuntungan
dari pengumpulan, pengujian, dan evaluasi bukti audit oleh fungsi belum tertarik
independen.Fakta-fakta dari masalah ini membawa banyak berat badan dengan
manajemen. Laporan audit harus menyajikan maksud dan tujuan dari audit,
pendekatan audit, dan uji dilakukan, peluang kunci untuk perbaikan, serta temuan
rinci dan rencana aksi manajemen. Sebuah deskripsi program BCP dan DR yang
sebenarnya termasuk ruang lingkup, mandat, peran, dan prestasi juga akan
berguna dalam mendapatkan semua orang pada halaman yang sama mengenai
investmentsin organisasi BCP dan DR upaya.
Auditor dapat membawa nilai yang cukup besar untuk sebuah organisasi
dengan mengevaluasi kedua IT dan aspek organisasi dari program BCP dan
DR. Karena kegagalan program BCP andDR ketika dibutuhkan adalah salah satu
risiko tertinggi bahwa canface organisasi, penilaian independen auditor internal
'dari program ini akan memberikan nilai yang jauh melebihi biaya audit
ini.Manajemen harus selalu mencari cara untukmeningkatkan BCP dan DR upaya
program - yaitu, tidak hanya menunggu audit. Audit Involveinternal dalam upaya
program berkelanjutan, seperti desain dan pelaksanaan latihan pengujian
ofa. manajemen biasa '' penilaian diri '' harus didorong, dan pengujian komprehensif
program ini selalu sangat dianjurkan.
Fasilitas siaga
2. pusat siaga hangat. Berikut fasilitas akan tersedia dan menjadi fungsional
dalam waktu cukup singkat.
3. pusat standby Hot. Fasilitas ini, menjadi metode yang paling mahal, diatur
dengan salinan fi les didedikasikan untuk sistem yang bersangkutan dan dapat
beroperasi pada saat itu. pusat panas dan hangat dapat diberikan oleh
pemasok yang sesuai dan lagi willdepend tingkat respon pada sejauh mana
pengolahan sangat penting untuk organization.Whenever bencana terjadi,
pertimbangan harus diberikan untuk menghubungi masing-masing pihak terkait
dan satu dapat membentuk komite bencana formal yang telah diberitahu
dengan baik dan dilatih. Sumber daya yang dikeluarkan dalam memulihkan
informasi yang akan tergantung pada banyak faktor karena informasi yang
mungkin penting, penting atau hanya berguna. faktor yang relevan adalah:
Restorasi kecepatan Frekuensi penggunaan pentingnya Biaya relatif Dampak
pemulihan undang-undang Tersedia metode pemulihan Sumber informasi
Rencana bencana standar harus mencakup item yang ditunjukkan pada Gambar
7.28.
Koordinator Bencana
Apakah gelar yang tepat pengujian dilakukan dan merupakan output dari
pengujian yang digunakan untuk meningkatkan rencana?
Apakah Anda tahu apakah praktik keamanan dan kelangsungan usaha Anda
telah menerapkan efektif? Apakah Anda menguji mereka? Apakah mereka
mendukung pencapaian tujuan strategis organisasi dan misi?
Apakah Anda memiliki dasar dari yang untuk terus meningkatkan upaya
keamanan andbusiness kelangsungan Anda?
A Long-Term Investment
Perlindungan data
Perlindungan Data (DP) Act 1998 berarti bahwa 1984 DP Act sekarang
berlaku untuk data manual serta data yang dimiliki pada komputer. Delapan prinsip
di bawah Undang-Undang DP 1998 adalah sebagai berikut:
Prinsip Pertama. Data pribadi harus diproses secara adil dan sah dan, khususnya,
tidak akan diproses kecuali kondisi tertentu terpenuhi.
Prinsip kedua. Data pribadi harus diperoleh hanya untuk satu atau lebih spesifik
ed dan tujuan sah, dan tidak akan diproses lebih lanjut dengan cara yang tidak
sesuai dengan tujuan itu atau tujuan mereka.
Prinsip Ketiga. Data pribadi harus memadai, relevan dan tidak berlebihan dalam
kaitannya dengan tujuan atau tujuan yang mereka diproses.
Prinsip Keempat. Data pribadi harus akurat dan, jika perlu, terus up to date.
Prinsip Kelima. Data pribadi diproses untuk tujuan atau tujuan tidak akan
disimpan lebih lama dari yang diperlukan untuk tujuan itu atau untuk tujuan
mereka.
Prinsip Keenam. Data pribadi harus diproses sesuai dengan hak-hak subyek data
di bawah Undang-Undang ini.
Prinsip Ketujuh. langkah-langkah teknis dan organisasi yang tepat harus diambil
terhadap pengolahan tidak sah atau melanggar hukum data pribadi dan
terhadap kehilangan atau kerusakan, atau kerusakan, data pribadi.
Prinsip Kedelapan. Data pribadi tidak akan ditransfer ke negara atau wilayah di
luar Area Ekonomi Eropa kecuali bahwa negara atau wilayah menjamin tingkat
yang memadai perlindungan terhadap hak-hak dan kebebasan subyek data
dalam kaitannya dengan pengolahan data pribadi.
hak akses
subjek tmay diminta untuk membayar biaya akses yang ditetapkan oleh theo
rganization dan subjek mungkin mengeluh kepada Panitera. DP Act
menggunakan istilah yang memiliki makna yang tepat:
data pengguna - ini adalah pihak yang memegang data.
Data Pribadi - ini mencakup data dari yang individu yang hidup mungkin
diidentifikasi. Ini termasuk ekspresi pendapat, misalnya, X adalah utang buruk,
tapi bukan pernyataan niat, misalnya, "Kami tidak akan memberikan kredit
kepada X. ' Sementara itu, ada beberapa pengecualian dari akses, dan data
pribadi dapat diakses dalam keadaan tertentu:
ke biro komputer (dan audit internal) sebagai bagian dari pekerjaan mereka;
Menjaga aset telah menjadi tujuan penting dari semua organisasi selama
berabad-abad. Dalam era digital saat ini namun, apa menjaga aset Anda benar-
benar berarti? Siapa yang bertanggung jawab untuk itu? Dan bagaimana ''
perlindungan '' benar-benar tercapai. Kerangka COSO manajemen risiko perusahaan
mengakui pentingnya menjaga aset sebagai komponen implisit pengendalian
internal yang efektif. landmarknya 1992 kerangka bahkan de fi pengendalian
internal ned sebagai: '' [A] proses ... dirancang untuk memberikan keyakinan
memadai tentang pencapaian tujuan dalam kategori berikut: efektivitas dan
efisiensi operasi; kehandalan keuangan pelaporan; dan kepatuhan terhadap hukum
dan peraturan yang berlaku. ''
Anda tidak dapat memberikan jaminan yang wajar dari operasi atau
pelaporan keuangan kecuali Anda tahu apa aset Anda, di mana mereka berada, dan
siapa yang melakukan dengan mereka. Anda perlu tahu aset Anda
dilindungi. Sebelum tahun 2000, melindungi aset organisasi terutama terdiri dari
pengamanan fisik, manajemen aset (misalnya, mengambil persediaan barang
Anda), dan pemantauan nilai aset. Meskipun praktek ini masih penting dalam
lingkungan bisnis saat ini, proses tambahan, prosedur, dan kontrol yang diperlukan
untuk melindungi aset informasi kami. persentase yang tinggi dari nilai pasar
sekarang dicatat dengan aset tidak berwujud kekayaan intelektual, reputasi, brand,
dan catatan elektronik, informasi adalah sumber daya bisnis penting. Dan, seperti
dengan aset fisik di masa pasca-industri sebelumnya, kerentanan berharga aset
informasi saat ini untuk pencurian atau kriminal lainnya telah membuat
perlindungan aset seperti hal yang mendesak besar untuk semua organisasi.
Siapa yang Bertanggung Jawab Informasi Perlindungan Aset?
Apakah Implikasi?
Akan CFO dan staf fi nance perlu memahami dan menerapkan langkah-langkah
perlindungan aset informasi efektif dalam peran mereka mendukung wali aset
organisasi?
Akan CISOs perlu bekerja lebih erat dengan dan mendidik fungsi fi nance (dan
semua departemen operasi, benar-benar) tentang bagaimana menerapkan
terbaik perlindungan informasi dan keamanan Program berkelanjutan? Jika
organisasi membangun fungsi pengelolaan data dan tata kelola data yang
kebijakan, standar, dan prosedur? Kedua fungsi dan tata kelola bisa yang
dipimpin oleh seorang manajer senior melaporkan kepada kepala operasi
perwira atau chief executive officer. Apa peran (s) bisa informasi kepala cer fi
mengambil perlindungan informasi?
Akan Dewan dan CEO perlu memberikan lebih banyak di jalan harapan?
Akan audit internal dan audit eksternal menghabiskan lebih banyak sumber daya
pada evaluasi perlindungan semua aset organisasi, fisik dan digital?
Fungsi audit internal dalam kebutuhan tertentu untuk berpikir lebih strategis
tentang keamanan perusahaan-lebar dan memastikan bahwa manajemen risiko
perusahaan-lebar adalah tema membimbing untuk memprioritaskan upaya
organisasi.
investasi Tautan keamanan dan resourcing dengan prioritas bisnis inti dan
hasil riskassessment;
Tinjau ulang IT dan strategi terkait untuk menyelaraskan upaya bisnis dan TI,
dan memastikan bahwa persyaratan keamanan informasi yang menyeluruh
secara eksplisit de fi ned;
Inventarisasi dan mengklasifikasikan informasi organisasi: Identifikasi itu,
menetapkan wali bisnis untuk itu, dan menentukan cara terbaik untuk
melindunginya berdasarkan hasil penilaian risiko;
Con angka keamanan ke kedua proses bisnis dan mendukung sistem TI,
untuk memperkuat praktik keamanan teknis dan prosedural;
Sertakan '' Perlindungan Aset di Era Digital '' sebagai salah satu item
pembahasan dalam kinerja bisnis Ulasan pertemuan kuartalan, dan
mengembangkan rencana aksi untuk perbaikan yang diperlukan.
Para pemimpin juga perlu memastikan bahwa semua vendor, pemasok, dan
pihak ketiga lainnya bertanggung jawab untuk melindungi informasi yang
digunakan dalam kegiatan outsourcing termasuk dalam campuran perlindungan
aset informasi dan tindakan keamanan.
Sebagai seorang rekan baru-baru ini menunjukkan, kita perlu menjauh dari
keuangan, operasional, dan berpikir teknologi dan keputusan terhadap metodologi
berpikir kritis dimaksudkan untuk memaksimalkan manfaat bagi perusahaan secara
keseluruhan, tidak subunit itu. Yang didasarkan pada penilaian risiko perusahaan-
lebar dan manajemen. Apakah semua aset organisasi Anda tepat dilindungi di era
digital? Saya sarankan membuat ini menjadi topik diskusi pada pertemuan komite
manajemen berikutnya, atau lebih baik lagi, meletakkannya di agenda dewan. Nada
yang efektif di atas dimulai dengan manajemen puncak dan dewan mengambil
tindakan untuk menerapkan kontrol keamanan yang sesuai.
Dipetik dari Kepatuhan Minggu. Artikel ini awalnya diterbitkan dalam
Kepatuhan Minggu. Direproduksi dengan izin dari Kepatuhan Minggu. Seluruh hak
cipta.
CAATs harus digunakan untuk mencapai tujuan kontrol dan ini cenderung
berlaku untuk berbagai rutinitas pengujian bahwa auditor mungkin telah
dirancang. Kita seharusnya tidak membangun atau memperoleh seperangkat teknik
canggih mencari masalah yang cocok untuk memecahkan. Dalam memilih teknik
yang paling tepat untuk menggunakan auditor dapat mempertimbangkan sejumlah
faktor:
tingkat jaminan bahwa auditor memerlukan;
pentingnya sistem;
data yang didownload dari komputer fi les. Hal ini penting ketika menerapkan tes
berjalan-melalui, tes kepatuhan tes andsubstantive. Di mana paket seperti IDEA
diterapkan auditor komputer dapat:
4. membuat analisis frekuensi dan pola dengan tujuan untuk mengisolasi bidang
yang menjadi perhatian;
5. Data mengelompokkan;
6. Data 5. memvalidasi;
8. item sorot tidak sesuai dengan aturan sistem, tidak masuk akal, kepentingan
audit, atau pengolahan digandakan;
9. menggunakan ini untuk menipu fi rm bahwa sistem ini tidak bekerja, masukan
yang salah atau yang pengolahan yang salah.
Hal ini berguna dengan volume data yang tinggi, kurangnya audit trail,
transaksi yang dihasilkan komputer, kurangnya hasil cetakan, atau lingkungan
paperless. auditor dapat mempertanyakan apakah manajemen harus memiliki
akses ke dan akan menggunakan informasi yang dihasilkan khusus tersebut dan ini
dapat menjadi audit fi nding. Data uji dapat digunakan untuk menciptakan jenis
transaksi yang sistem akan memproses dan menguji fungsi yang benar dari kontrol
sistem. Hai untuk dicatat mengenai penggunaan data uji:
1. pengolahan Hidup / data hidup. Data yang sesuai dengan persyaratan tes
harus ditemukan dengan memilah data input.
2. Data Dummy / pengolahan hidup. Sebuah tingkat yang lebih tinggi jaminan
akan diperlukan untuk meniadakan korupsi dengan penyesuaian manual dan
jurnal. Ini harus didiskusikan dengan manajer IS terlebih dahulu.
3. Data Dummy / pengolahan dummy. Hal ini dapat mencakup semua fitur dari
data. Hal ini dijalankan terhadap salinan fi les dan program sehingga tidak
mengganggu proses. Program boneka mungkin, bagaimanapun, menjadi
usang dan perlu dipertahankan.
4. Uji Generator data. Hal ini menciptakan volume besar data uji melalui
perangkat lunak utilitas. Bukti yang dihasilkan komputer dapat digunakan di
pengadilan jika aturan-aturan tertentu yang dipatuhi:
kasus perdata
Komputer bekerja dengan benar dan secara teratur digunakan untuk tujuan
tersebut.
Tidak ada alasan untuk komputer yang tidak akurat dan kesalahan dalam
komputer tidak mempengaruhi data.
aplikasi Auditing
lebih dari aliran fl ags yang menunjukkan di mana kelebihan digit telah
digunakan;
cek validitas - mengatakan, memeriksa bahwa kode yang benar telah digunakan;
run-to-menjalankan kontrol - misalnya, jumlah gaji kotor dari program Gross Pay
harus menjadi masukan untuk program Pay Net;
digit cek;
rutinitas logis;
record count;
total kontrol;
prosedur pemulihan;
laporan pengecualian.
Laporan cocok;
dokumen kerja;
dokumen referensi;
laporan kesalahan;
pengaturan keamanan yang baik untuk laporan sesuai dengan aturan DP;
prioritas output;
theappropriatemediaused;
umpan balik pengguna untuk memastikan bahwa laporan tidak lagi dikirim di
mana mereka tidak digunakan;
printer aman;
laporan pengecualian;
penomoran halaman;
Pendekatan audit tradisional untuk sistem informasi adalah typi fi ed oleh rim
menganalisis auditor dari cetakan komputer. Mengabaikan keberadaan manajemen
komputer dan klien isrelied untuk memberikan informasi auditor
membutuhkan. Dalam keadaan di mana audit beroperasi secara konsultasi, ini bisa
diterima. Dalam kegiatan usahanya, maka perlu untuk mempertahankan tingkat
kemandirian dan mengadopsi garis yang lebih proaktif. auditor harus beable untuk
berdiri kembali dari manajemen dan mampu mengamankan informasi yang
diperlukan. Ini baik dapat dilakukan melalui penghubung dengan dukungan IS atau
membangun fasilitas audit khusus ke dalam sistem pada tahap
pengembangan. Atau, departemen audit dapat mengembangkan Suite sendiri
software untuk mengekstrak data dan kontrol tes. IS audit kemudian datang ke
dalam sendiri, tetapi jika ini tidak ditangani, fungsi audit akhirnya akan menjadi
terkunci dari systems.The komputerisasi organisasi IS auditor harus menghabiskan
waktu bekerja dengan auditor lainnya pada kebutuhan interogasi mereka dan
bagaimana data uji akan dikembangkan dan diterapkan.CAE harus memastikan
bahwa hal ini terjadi dan kebijakan thataudit membangun dalam masalah penting
ini.
Baru saja saya membaca bahwa banyak orang khawatir tentang kematian,
terutama dengan cara yang sangat menakutkan: ular berbisa atau laba-laba, atau
bahkan serangan buaya. Artikel Thissame mencatat bahwa berdasarkan dari fi
statistik kematian resmi, sebagian besar peopleactually meninggal akibat kronis
kesehatan: serangan jantung, obesitas, dan penyakit lainnya yang dihasilkan dari
perhatian miskin untuk jangka panjang pribadi fi fitness. Pada tahun 2003, kematian
disengaja di Amerika Serikat berjumlah sekitar 100.000; kematian yang
berhubungan dengan kesehatan kronis lebih dari 2,4 juta. Intinya adalah orang
harus memusatkan perhatian mereka di thecorrect tempat ketika mereka
mempertimbangkan apa yang akan paling memengaruhi kualitas hidup
mereka. Masalah yang sama persis ada di organisasi mana dewan dan manajemen
mustensure mereka membangun dan mempertahankan kesehatan jangka panjang
organisasi.Konsep ini juga berlaku ketika audit keamanan informasi. Apakah
program keamanan informasi Anda perlu pergi ke gym, mengubah pola makannya,
atau mungkin keduanya? Saya sarankan Anda mengaudit program Anda untuk fi nd
keluar. Departemen audit internal harus kesehatan evaluatethe perusahaan - yaitu,
auditor internal harus mengevaluasi fungsi kritis organisasi untuk keberlanjutan
jangka panjang. Apakah upaya manajemen risiko mengidentifikasi dan fokus pada
risiko yang tepat? Apakah manajemen senior mendorong tingkat yang tepat dari
mengambil resiko dalam toleransi didefinisikan de fi? Apakah status quo menantang
secara teratur? Perusahaan isthe dianggap sebagai tempat yang baik untuk
bekerja? Apa yang bisa membawa organisasi ke bawah, dan langkah-langkah untuk
mencegah atau mengurangi kemungkinan bahwa (misalnya, dengan menjalankan
skenario kelangsungan dan latihan)?
mengevaluasi Keamanan
Peran yang tepat dari audit internal mengenai keamanan informasi bervariasi
antara perusahaan, tetapi selalu memberikan kesempatan yang signifikan untuk
audit internal todeliver nilai nyata bagi dewan dan manajemen. auditor internal
harus memainkan peran penting dalam memastikan bahwa upaya keamanan
informasi memiliki organisasi efek Onan positif dan melindungi organisasi dari
bahaya. Mengapa khawatir begitu banyak keamanan
aboutinformation? Mempertimbangkan beberapa alasan mengapa organisasi perlu
untuk melindungi theirinformation:
Integritas data dan sistem. Papan dan komite audit percaya diri mereka dapat
yakin bahwa informasi ini belum diubah dalam unauthorizedmanner dan bahwa
sistem bebas dari manipulasi tidak sah yang couldcompromise kehandalan?
Akuntabilitas. Jika informasi telah diganggu, dapat Anda melacak tindakan untuk
sumber mereka?
Apakah ada pendidikan dan kesadaran aktif usaha, sehingga manajemen dan
staf memahami peran masing-masing dan tanggung jawab?
7.7. Kepatuhan
The IIA Atribut penawaran Standar 1220.A1 dengan perawatan profesional
karena dan mengatakan bahwa auditor internal harus mempertimbangkan:
Pengamanan aset.
Kepatuhan adalah masalah bagi auditor internal dan selama audit, penilaian
akan dibuat dari sejauh mana usaha yang mengikuti hukum, peraturan dan standar
kontrol. Kinerja Standar 2210.A3 con fi rms bahwa:
Ada banyak bank, keuangan perusahaan jasa, besar ts ritel keluar fi dan
organizationsthat lainnya baik sangat diatur atau terdiri dari ratusan cabang
bermerek menggunakan sistem keuangan operasional dan fi
samebasic. Kekhawatiran utama dari papan adalah bahwa bagian dari
theorganizations yang keluar dari langkah dengan persyaratan dan tim audit
internal dibebankan dengan melaksanakan ulasan kepatuhan sebagai cara utama
mengatasi risiko tingkat tinggi ini. Otomatis dataanalysis memungkinkan tim audit
yang seperti itu untuk menargetkan daerah berisiko tinggi mereka dengan masalah
yang mungkin dari non-kepatuhan. Namun, proposisi nilai tambah adalah bahwa
ulasan kepatuhan adalah kekuatan utama dari pekerjaan audit internal.
2. manajer lini yang sesuai harus dihubungi dan tanggal yang ditetapkan untuk
kunjungan. Hal ini dimungkinkan untuk mendistribusikan informasi audit brosur
sebelum kunjungan ini.
cash-up;
memeriksa sampel pembelian lokal dan tes untuk kepatuhan, integritas dan
efek pada pusat biaya;
6. Standar review harus sesuai dengan manual audit, dan pengawasan review dan
penilaian kinerja dokumen harus digunakan oleh manajemen audit.
4. Sebuah program tes harus dirumuskan dan disepakati dengan manajer audit
dan klien.
6. Standar yang sama dokumentasi dan review harus diterapkan untuk pengujian
kepatuhan.
Ada massa yang tumbuh dari aturan dan peraturan yang perlu dicermati oleh
badan hukum dan contoh dari beberapa ini termasuk berikut:
Hak Asasi Manusia Act 1998 - hak untuk hidup, larangan penyiksaan, pelarangan
perbudakan dan kerja paksa, hak atas kebebasan dan keamanan, hak untuk
pengadilan yang adil, tidak ada hukuman tanpa lawfulauthority, hak untuk
menghormati keluarga dan kehidupan pribadi, kebebasan berpikir, hati nurani
andreligion, kebebasan berekspresi, kebebasan berserikat dan berkumpul, hak
untuk menikah, larangan diskriminasi, perlindungan hak milik, hak atas
pendidikan, hak untuk freeelections
Nasional Upah Minimum Act 1998
Satu fi kata nal peringatan dari bahaya fokus berlebihan pada kepatuhan
berasal dari Fad Sur fi ng di Boardroom oleh Elaine C. Shapiro yang mendefinisikan
non-kepatuhan sebagai 'keputusan saya untuk tidak membuat keputusan yang
Anda ingin saya untuk membuat cara Anda ingin saya untuk membuat mereka,
yang mengarah ke aksioma lama yang dapat Anda menulis naskah untuk memesan,
tetapi Anda tidak bisa membuat saya berpikir. '
tujuan mendefinisikan itu audit internal adalah pertama dan salah satu
langkah yang paling penting dalam menentukan arah audit, karena mendefinisikan
tingkat jaminan dewan dan manajemen akan disediakan. Dari awal, kemudian, staf
audit internal harus mengadakan diskusi dengan manajemen dan dewan (atau
komite audit dan penasihat hukum, yang diperlukan) mengenai kebutuhan jaminan
stakeholder kunci untuk memastikan audit memenuhi kebutuhan jaminan organisasi
- dan itu semua harus dilakukan sebelum fi finishing rencana audit. Kepatuhan dan
etika program mencakup rentang yang sangat luas dari kegiatan, dan tahap
perencanaan perlu memastikan fokus yang tepat dari upaya audit. audit harus
didasarkan pada penilaian risiko audit komprehensif - yaitu, auditor harus
menentukan apa risiko kunci dari kepatuhan dan etika program perusahaan
yang. Partisipasi penasihat hukum di auditis faktor penting lain yang harus
diputuskan di sini, selama perencanaan audit (atau selanjutnya jika asumsi rencana
itu ternyata berbeda dari situasi audit yang sebenarnya). Jika kesalahan ini
diidentifikasi selama audit internal dialog dengan penasihat hukum diperlukan -
memang, sering kritis.
Integrasi - Koordinasi antara kepatuhan pusat dan etika kantor dan unit bisnis
individu;
Akuntabilitas - Sebuah pembagian yang jelas dan efektif peran dan tanggung
jawab antara etika kantor, kepatuhan, HR, hukum, dan unit terkait lainnya.
Down To Bisnis
Setiap audit internal memiliki tiga tahap: perencanaan, kerja lapangan dan
pelaporan. Audit kepatuhan dan etika program tidak berbeda. Selama fase
perencanaan, tim audit internal harus memastikan bahwa semua isu-isu kunci
dianggap, bahwa tujuan audit akan memenuhi kebutuhan jaminan organisasi, dan
bahwa kepatuhan dan etika program dipahami dengan baik. Hal ini sangat penting
bahwa audit fokus pada evaluasi komponen yang signifikan dari kepatuhan dan
etika Program; yaitu, auditor harus menggunakan pendekatan berbasis risiko untuk
fi elemen nd program yang paling mungkin untuk gagal dan paling membutuhkan
perhatian. Tahap perencanaan adalah kesempatan untuk con fi rmthat lingkup audit
yang tepat, dan biaya tidak akan memberikan orang sakit maag.
Pada tahap kerja lapangan fi, tim menganalisis berbagai komponen program
kepatuhan ini, berdasarkan pada tujuan dan metodologi diidentifikasi di
planningphase tersebut. Di antara beberapa pertanyaan yang paling penting untuk
menjawab adalah bagaimana boardsets nya '' nada di bagian atas; '' bagaimana
berkomunikasi nilai-nilai tersebut kepada karyawan; bagaimana karyawan di semua
tingkat perusahaan memandang komitmen manajemen untuk nilai-nilai; dan
bagaimana perusahaan menangani masalah kepatuhan atau etika yang timbul dari
kegagalan kepatuhan. tes Audit dapat mencakup meninjau karyawan fi les untuk
menandatangani Kode Etik atau pelatihan con rmations fi, melihat materi pelatihan
dan hasil program pelatihan, meninjau tanggapan terhadap pelanggaran,
melakukan survei dan reviewingthe hasil dari mereka, meninjau komunikasi
manajemen untuk karyawan untuk konten etis, mengukur organisasi sumber daya
yang tersedia untuk pengoperasian program, dan menilai kualitas dukungan untuk
pelaporan kinerja program. Tahap pelaporan adalah di mana audit internal tim harus
memastikan semua pemangku kepentingan yang benar informasi dari hasil audit
dan manajemen setiap berencana untuk meningkatkan kepatuhan dan etika
Program. Sebuah terencana dan dilaksanakan audit internal (tahap 1 dan 2) harus
membuat pelaporan audit lurus ke depan: memberitahu mereka apa yang Anda
lakukan, apa yang Anda temukan, dan apa yang manajemen berencana untuk
melakukan hal itu. Itu semua ada untuk auditor it.Internal harus mengambil
pendekatan berbasis risiko ketika merencanakan program audit etika
complianceand. Dengan sumber daya terbatas, auditor tidak punya pilihan selain
untuk fokus pada daerah risiko tinggi dan selalu berusaha untuk menambah nilai
bagi organisasi. Audit praktik terbaik menyarankan auditor internal harus terlibat
sepanjang siklus hidup program, bukan hanya dalam evaluasi program pasca-
pelaksanaan.
Audit internal dari kepatuhan dan etika Program juga perlu menjadi bagian
dari rencana audit yang lebih besar secara keseluruhan. auditor internal harus
menyusun rencana yang memenuhi persyaratan jaminan jangka panjang dewan
dan manajemen. Serangkaian audit internal untuk managecomplexity (jika
dianggap tepat selama fase perencanaan) mungkin bukan langkah yang buruk,
karena kepatuhan dan etika Program bisa sangat informasi-intensif. Manajemen
tidak harus mengembangkan proses, prosedur, laporan, dan soforth selama
audit.Sebaliknya, tim audit harus mengevaluasi upaya tersebut yang kepatuhan dan
etika Program dalam memenuhi kebutuhan organisasi. Akhirnya, manajemen harus
menyelesaikan penilaian diri sebelum audit internal dan potongan studyvarious
bimbingan seperti OCEG panduan untuk audit dari program etika complianceand.
Audit VFM adalah pemeriksaan yang sistematis, terarah, teratur dan tujuan
kegiatan pemerintah. Ini memberikan Parlemen dengan penilaian pada
kinerja kegiatan ini; dengan informasi, pengamatan dan rekomendasi yang
dirancang untuk mempromosikan jawab, jujur andn produktif pemerintah dan
mendorong akuntabilitas dan praktek terbaik. Jangkauannya mencakup
theexamination ekonomi, efisiensi, efektivitas biaya; hubungan
akuntabilitas; perlindungan aset publik; dan sesuai dengan otoritas. Subjek
audit dapat menjadi entitas pemerintah atau kegiatan (lini bisnis), kegiatan
sektoral, atau area fungsional
pemerintah secara luas .
Ef ulasan defisiensi
ulasan efektivitas
Banyak hal ini melibatkan unsur subjektivitas dan auditor dapat dipanggil
untuk membuat apa yang dapat dianggap sebagai pendapat ahli. Ada banyak
perangkap potensial dan ini harus diingat ketika memulai tugas. Konsep efektivitas
harus mencakup tinjauan dari persepsi pelanggan sebagai penerima layanan yang
relevan. Sebuah teknik yang berguna adalah untuk mengelola survei klien
menggunakan kuesioner diformulasikan khusus. Ini harus didasarkan pada
mengamankan ide apakah jasa tersebut memiliki efek yang diinginkan pada
pengguna fi nal. Kami ingin melihat sistem yang mendasari cocok di tempat untuk
memastikan efektivitas. Sebagian besar didasarkan pada arah dan praktek
manajemen yang baik didukung oleh sistem komunikasi yang
komprehensif. Efektivitas tergantung pada pengaturan tujuan yang jelas dan
memastikan ini sumber daya dan dikomunikasikan dengan baik. Sementara sebagai
auditor kita tidak bisa mempertanyakan validitas tujuan atau kerangka kebijakan
terkait, kita dapat meninjau sejauh mana mereka didukung oleh mekanisme
manajerial sesuai. Ini meliputi labirin kompleks sistem yang harus di tempat untuk
tujuan yang akan diterjemahkan ke dalam kegiatan bisnis yang mendasari.
Program VFM Beberapa anggaran pendapatan disusun atas dasar bahwa program
tinjauan VFM akan menghasilkan penghematan ned fi de dalam
anggaran. Konsultasi lengan audit internal dapat memberikan beberapa dukungan
untuk program ini, dan ulasan individu VFM dapat diambil dari kerangka organisasi-
lebar. Kita harus berhati-hati untuk tidak mengunci audit internal menjadi
serangkaian dibuat tabungan sasaran, di mana kita menjadi bertanggung jawab
untuk memulai pencarian untuk tidak pernah berakhir tabungan untuk
membenarkan keberadaan kita.Pandangan sistem, di mana manajemen dibebankan
dengan menginstal kontrol cocok untuk memungkinkan mereka untuk menjadi yang
efisien, harus dipublikasikan secara luas. Kami tidak akan merekomendasikan
bahwa sumber daya audit internal menjadi bertanggung jawab untuk fi de ned
Program VFM, kecuali tidak dapat dihindari.
Akuntabilitas Salah satu aspek yang menarik dari kehidupan bisnis adalah
kebutuhan untuk menanamkan tingkat akuntabilitas seluruh organisasi mulai dari
atas. Banyak ulasan operasional didasarkan sekitar proses pengambilan keputusan
di mana pejabat yang diperlukan untuk merumuskan dan menerapkan
pertimbangan profesional mereka dan kemudian bertanggung jawab atas tindakan
mereka. Inisiatif pemberdayaan berupaya untuk menerapkan konsep ini pada
semua tingkat manajemen dan staf. Sistem akuntabilitas harus memperhitungkan
bersaing faktor:
Operasi pro fi le Sebagai bagian dari tahap latar belakang kajian operasional
auditor harus melihat ukuran kinerja yang digunakan oleh manajemen untuk
mengidentifikasi area limbah yang potensial. Banyak bahan dapat dikumpulkan di
mana auditor mengkompilasi / nya indikator kinerja sendiri (PI) dan dengan
demikian isolat potensial kinerja yang buruk. Hal ini dapat dilakukan dengan:
Ulasan berada di sensitif masa lalu dengan potensi untuk organisasi untuk
menumpahkan staf sebagai bagian dari reorganisasi bisnis. Manajemen berharap
rekomendasi untuk memasukkan pengurangan anggaran staf. Ada daerah inti yang
fitur dalam kajian operasional termasuk:
Steven Covey, penulis The Seven Kebiasaan Manusia yang Sangat Efektif,
dan banyak lainnya cukup benar merekomendasikan bahwa ketika Anda memulai
segala jenis proyek baru, Anda harus mulai dengan akhir dalam pikiran. Apa yang
melibatkan?
1. Memutuskan di mana Anda ingin berada di masa depan (yaitu, apa yang
Anda '' keadaan akhir '' akan);
siklus perencanaan ini bekerja untuk semua individu, baik dalam kehidupan
profesional dan pribadi mereka. Hal ini bahkan lebih penting untuk organisasi, di
mana pemahaman di seluruh perusahaan sangat penting dalam memperoleh
dukungan luas di seluruh tenaga kerja facedwith banyak, dan berkali-kali saling
bertentangan, prioritas. Untuk auditor internal siklus perencanaan ini mengambil
makna khusus juga. audit yang sukses membutuhkan pemahaman tentang apa
organisasi yang ingin dicapai dan anjak bahwa pemahaman dalam upaya audit
perusahaan. Dan sebagai kegiatan penting itu sendiri, audit internal perlu
mendefinisikan apa yang tim audit sedang mencoba untuk mencapai; tanpa
melakukan itu, tim audit mungkin berakhir turun jalan yang salah selama
proyek. Bagi organisasi untuk memahami apa yang tim audit yang ingin dicapai, tim
audit itu sendiri harus memahami dan berkomunikasi apa yang ingin acc omplish.
Intinya adalah bahwa auditor harus: (1) mendorong dan memverifikasi bahwa
organisasi memiliki sistem yang kuat untuk mengukur dan melaporkan kinerja; (2)
akan memanfaatkan informasi dari sistem seperti dalam perencanaan upaya audit
mereka, dan akhirnya (3) berjalan garis sendiri, dengan mendefinisikan tujuan
jangka panjang mereka, cara untuk sampai ke sana, dan melaporkan kemajuan
mereka kepada komite audit.
Dimana Manajemen Kinerja Fits Dalam
Sebuah pepatah terkenal adalah, '' Apa yang diukur akan dilakukan. '' Semua
proses perusahaan, termasuk audit, dapat manfaat dari pengukuran. Idealnya,
pengukuran akan membantu organisasi:
memotivasi dan memberikan umpan balik yang nyata kepada karyawan; dan
Audit sosial
pelanggan Pesaing
Gerakan Hijau Gerakan Hijau adalah sebuah tradisi yang didirikan yang beroperasi
di banyak negara. Ini adalah kelompok penekan dengan representasi politik di
banyak masyarakat. Ini adalah importantbecause mungkin mengambil inisiatif
menjauh dari sebuah organisasi. Ada kalanya suatu bentuk pemaksaan mungkin
muncul yang berupaya untuk memaksa perubahan kebijakan perusahaan luar
kendali manajemen eksekutif. Peran audit dapat terletak di sebuah kontinum di
mana di satu sisi itu ulasan mekanisme bahwa organisasi telah dibentuk untuk
mengelola tanggung jawab sosialnya. Di sisi lain, kami dapat meninjau reaksi dari
organisasi untuk kekuatan eksternal yang berusaha untuk kegiatan bisnis
memengaruhi yang terlihat merusak lingkungan.Kita mungkin mulai dari sikap
manajerial dan berakhir dengan respon pembatasan kerusakan mahal. Auditor
dapat expectthe organisasi untuk mengenali peran kelompok penekan dalam
masyarakat dan memastikan bahwa mereka ableto publisitas buruk memiliki lebih
dulu melalui penerapan mekanisme yang sesuai. Pada terbaik sistem ini akan
menjaga organisasi menjelang pertandingan, sementara setidaknya mereka harus
mewakili sistem EarlyWarning mana tanggapan negatif diantisipasi dan
diminimalkan. Auditor akan ingin melihat pertimbangan diatasi dan ditangani oleh
manajemen eksekutif.
Kesehatan dan keselamatan ini merupakan daerah yang dekat dengan rumah
untuk direksi paling senior. Auditor dapat meninjau berbagai tanggapan. Sebuah
respon reaktif akan memerlukan pengakuan dasar kesehatan dan safetyprocedures,
sedangkan respon yang lebih dinamis akan melibatkan berbagai risiko pro fi les
untuk semua operasi dan area kerja. Hal ini memungkinkan manajemen untuk
menargetkan area kunci dan memastikan bahwa risiko kesehatan yang dikelola
dengan baik. Kembali ke pandangan dua dimensi tanggung jawab perusahaan, kami
dapat mendorong manajemen hanya untuk mempertahankan organisasi dengan
mematuhi peraturan kesehatan dan keselamatan. Atau, kita mungkin ingin
mempromosikan budaya di mana kesejahteraan karyawan adalah consideredover
dan atas kepatuhan dasar dengan hukum. Banyak tergantung pada di mana
masalah ini terletak pada agenda thecorporate. Sebuah organisasi yang merusak
kesehatan karyawan akan selalu tunduk pada kritik. Audit kesehatan dan
keselamatan akan membangun kehadiran beberapa mekanisme kunci:
Kode perilaku perusahaan dan etika bisnis Kami telah berurusan dengan
kebutuhan standar yang jelas tentang etika bisnis dalam Bab 2. Kami juga
menyentuh pada kebutuhan untuk menginstal mekanisme yang efektif untuk
membantu menjaga terhadap penipuan dan korupsi dalam bab ini. Sekali lagi,
tanggung jawab sosial mengasumsikan bahwa gures perusahaan fi kunci yang
mengontrol jutaan pound sumber daya diadakan di mata publik. Ketika staf dipaksa
untuk mengambil pemotongan gaji, maka eksekutif senior mungkin memimpin dan
sukarela melupakan kenaikan gaji atau bahkan mendapatkan gaji yang lebih
kecil. Tanggung jawab ini extendsto banyak daerah di mana manajemen puncak
diharapkan untuk menetapkan standar. Auditor akan sekali againreview sejauh
mana prosedur yang sesuai berada di tempat untuk memastikan bahwa standar
tinggi ofconduct akan terjadi. Hal ini dimungkinkan untuk mengajarkan etika bisnis
dan membangun program di mana masalah mendasar yang didefinisikan dan
berasimilasi ke dalam kehidupan bisnis.
Tekan hubungan dan standar periklanan Seorang auditor yang ingin tahu
seberapa jauh suatu organisasi menghargai nama publik perlu hanya mengunjungi
humas kantor (atau tekan kantor).Jika ini kantor dinamis dan mengantisipasi jenis
informasi bahwa kebutuhan masyarakat, maka harus ada sedikit yang tidak dapat
dikelola dengan baik. Proses pengelolaan media adalah bagian dari sistem kontrol
bahwa auditor akan meninjau. Sekali lagi, kita akan mencari posisi wherethe
organisasi mengambil inisiatif pada isu-isu lingkungan dan tidak satu langkah di
belakang tekanan publik.
Kerja garis depan Ada beberapa sistem keuangan yang benar-benar mewakili
pekerjaan garis depan dan bukan hanya mendukung layanan. Di sini, sistem
pengolahan dasar yang memperhitungkan pendapatan, utang, pembayaran, hibah
dan sebagainya berputar di sekitar arena keuangan. Ini merupakan sistem yang
sangat besar dalam mereka sendiri yang tepat yang dapat menjelaskan jutaan
pound dari transaksi yang diproses dalam satu apapun tahun. Dengan demikian,
mereka menganggap suatu kepentingan untuk rencana audit dan menarik sumber
daya yang didedikasikan untuk memastikan bahwa kontrol berada di tempat dan
bekerja. Kami menerima bahwa auditor eksternal tidak memiliki peran dalam hal ini
meskipun sistem ini digunakan sebagai jalan pintas untuk memverifikasi angka di
rekening akhir.
Pembelian Pembayaran
audit Sistem Informasi auditor dapat membantu sistem keuangan auditor dalam
mencari untuk meninjau dan menguji sistem keuangan besar. Banyak keterampilan
auditor SI juga relevan dengan sistem keuangan auditor sebagai jenis pekerjaan
juga akan cenderung melibatkan sistem otomatis.
Audit Kontrak
Kami telah mendedikasikan seluruh bagian untuk audit SI atas dasar bahwa
semua organisasi besar akan mengelola sistem otomatis dan teknik untuk
mendukung kegiatan bisnis mereka. Demikian juga, kita mungkin telah membahas
audit kontrak menggunakan argumen yang sama; bahwa semua organisasi
masukkan kontrak dari beberapa macam. Bahkan, kami belum menerapkan
pendekatan ini sejak terbuka Ulasan dari array yang luas dari area audit yang
spesialis akan pernah berakhir. Auditor internal akan terlibat dalam berbagai
macam sistem bisnis tergantung pada sifat organisasi dan pendekatan mereka
dengan pekerjaan audit. Jasa keuangan, asosiasi perumahan, perusahaan
manufaktur, departemen pemerintah, industri jasa, farmasi, pelayanan kesehatan
dan sebagainya, masing-masing membutuhkan beberapa spesialisasi dalam jenis
bidang operasional yang fitur dalam organisasi di pertanyaan. Keterampilan ini akan
diperoleh dari waktu ke waktu sebagai auditor mengamankan lebih banyak dan
keahlian yang lebih sesuai. Mudah-mudahan, penerapan teknik audit ditetapkan
dengan kerangka teoritis audit internal akan membantu tugas ini dan memberikan
tempat awal alami untuk auditor lapangan. Audit kontrak disebutkan karena ada
beberapa persoalan mendasar yang dapat digunakan dalam setiap peran audit. Ini
termasuk:
Modal kontrak Kejayaan audit kontrak dikembangkan setelah Perang Dunia Kedua
ketika membangun baru dan investasi modal yang besar berarti bahwa struktur dan
perkembangan adalah fitur biasa dari kehidupan bisnis. Pekerjaan rekonstruksi
menyebabkan pengeluaran yang luas yang harus diaudit. Keahlian khusus yang
dibutuhkan mengakibatkan kerja inspektur kuantitas, arsitek, desainer, insinyur dan
teknisi di departemen audit internal. Bagian Audit kontrak besar muncul untuk
mendukung ini. Saat ini, sebagian besar organisasi telah pindah dari strategi
ekspansi, sementara perkembangan baru yang tidak sering. Kecenderungan cara
perbaikan bahwa karya-karya besar akan didasarkan sekitar refitting struktur yang
ada bukan membangun baru. Ada pengecualian untuk tren ini dan satu masih dapat
melihat situs bangunan di banyak daerah, terutama lebih murah, keluar dari lokasi
kota. Pekerjaan kontrak auditor telah mengubah pengakuan ini faktor dan itu adalah
dalam konteks ini bahwa kita bisa daftar beberapa isu yang relevan mengenai jenis
kerja ini.
Hal ini penting untuk membuat jelas apa yang merupakan pekerjaan
konsultasi sejak IIA Atribut Standar 1000.C1 mengatakan 'Sifat jasa konsultasi harus
didefinisikan dalam piagam. " Salah satu kesulitan adalah ketik salah satu konsultan
yang terdiri dari keterlibatan formal dengan perjanjian yang direncanakan dan
tertulis. Buku seri IIA selanjutnya membedakan antara pekerjaan konsultasi opsional
dan wajib jasa asuransi:
1. Masuk - pekerjaan latar belakang, kontak awal dengan klien, survei awal
(apa masalah?);
2. Kerangka acuan - lebar dan kedalaman, rentang waktu, sumber daya dan
pelaporan garis: membuat jelas persyaratan Standar Kinerja 2120.C1, yang
menyatakan bahwa 'selama konsultasi keterlibatan, auditor internal harus
mengatasi risiko sesuai dengan tujuan keterlibatan ini dan harus waspada
terhadap adanya risiko signifikan lainnya '; juga membuat sesuai jelas peran
dan apakah pekerjaan melibatkan membantu orang melakukan analisis dan
memecahkan bisnis mereka masalah, atau apakah itu tentang mengatasi
masalah dan membuat rekomendasi untuk klien pada cara ke depan;
5. Pers - dari kontrak ketika semua pekerjaan telah selesai. Proposisi nilai
tambah adalah bahwa auditor internal dapat menambah kesegaran pandang
dan datang tanpa asumsi inbuilt dari orang-orang yang mengoperasikan jalur
bisnis. Wawasan baru telah dijelaskan oleh Milan Kubr:
Bisa keberatan bahwa manajer juga perlu memiliki ini berbagai pengetahuan
dan keterampilan, dan bahwa setiap situasi manajemen adalah unik. Apa
yang kemudian dapat diperoleh dengan membawa pendatang baru siapa
yang tidak kenal dengan situasi tertentu? Selama bertahun-tahun, konsultan
manajemen melewati banyak organisasi dan belajar bagaimana
menggunakan pengalaman dari tugas sebelumnya dalam membantu klien
baru mereka, atau klien lama mereka, untuk menghadapi situasi baru. Karena
mereka terkena banyak kombinasi berbagai keadaan, konsultan belajar
bagaimana membedakan kecenderungan umum dan penyebab umum dari
masalah, dengan baik a peluang untuk menemukan solusi yang tepat;
mereka juga belajar bagaimana untuk mendekati masalah baru dan peluang.
Selain itu, konsultan profesional terus mengikuti perkembangan manajemen
Perkembangan sastra dan dari dalam konsep manajemen, metode dan
sistem, termasuk yang mengambil tempat di universitas dan lembaga
penelitian. Sehingga mereka berfungsi sebagai penghubung antara teori dan
praktek manajemen.
[10] Laporan
PI
Kunjungan ke lokasi.
Materialitas masalah
Pedoman pengujian
pengaturan Pelaporan
Waktu yang tersedia dan tenggat waktu: untuk proyek-proyek lama itu
adalah praktik yang baik untuk mengatur tonggak dengan produk
didefinisikan dan kemajuan Ulasan poin
wawancara Programmed
Inspeksi
analisis Penyebab-dan-efek
Analisis statistik
Kuesioner
Kami akan mencari tahu mengapa masalah ini muncul di tempat pertama
tanpa harus menugaskan menyalahkan.
Model bangunan
manfaat Ditetapkan
Jadwal pelaksanaan
aspek politik
[10] Laporan
Tindakan manajemen yang diperlukan harus sepenuhnya jelas dan kami berharap
untuk lulus tanggung jawab atas pengelolaan dan dijual ide-ide kita kepada mereka
Pengantar
pemberi pekerjaan fakta bahwa itu adalah konsultasi, perbedaan antara VFM dan
sistem
Latar Belakang Operasi
Hal ini biasanya akan mencakup:
kegiatan utama, sejarah singkat, ulasan sebelumnya, anggapan utama
Temuan Utama
Untuk setiap anggapan
Rekomendasi
Pilihan harus didefinisikan menyatakan, bila sesuai, setiap dikuantifikasi
tabungan dan efek pada anggaran resmi
Lampiran
Dapat terdiri dari indikator kinerja
pada saat laporan ini dikeluarkan. Sebuah struktur laporan standar dapat muncul
seperti pada Gambar 7.35.
untuk auditor internal. Hal ini jelas bahwa manajer mulai mengadopsi
pandangan bahwa miskin Kinerja dapat diperbaiki melalui perubahan positif dan
direncanakan. Sektor publik adalah salah satu daerah yang akan melalui latihan
reformasi besar dan berkelanjutan dalam upaya untuk meningkatkan efisiensi,
efektivitas dan kualitas dalam pelayanan publik. Dengan mempelajari perubahan
sebagai suatu topik, yang auditor mungkin dapat mempromosikan penggunaan
teknik perubahan dengan manajemen dalam khusus Strategi dirancang yang
memungkinkan mereka untuk mengelola dan mengendalikan proses perubahan.
Bahkan ada satu lihat yang menunjukkan bahwa auditor dapat menjadi agen
perubahan yang mendasari fundamental proses perubahan. Dalam konteks ini,
konsultan audit dapat menjadi bagian penting dari manajemen mencoba untuk
insinyur perubahan, titik yang harus sepenuhnya diakui jika rekomendasi ini untuk
memiliki dampak yang besar.
2. Lebih partisipasi karyawan dan karena itu meningkatkan bentuk inovasi dasar
yang kuat di mana inisiatif perubahan dapat dikembangkan.
Drive ke arah efisiensi yang lebih besar dan kinerja dan banyak dicari-cari
'kompetitif tepi'. Dapat dikatakan bahwa manajer sekarang harus menjadi ahli
dalam manajemen perubahan terlepas dari lapangan ia / dia beroperasi dalam.
Selanjutnya, auditor internal harus, sebagai minimum, memahami dan mendukung
keahlian ini jika dia / dia belum konsultan perubahan.
Hal ini dimungkinkan untuk memperluas model ini untuk menutupi mengevaluasi
pilihan utama dengan bahan berpengaruh pada organisasi. Di masa lalu,
manajemen telah mempertimbangkan opsi melalui dua kriteria:
1. kelayakan ekonomi.
2. penerimaan sosial.
Ada banyak masalah yang dapat timbul di mana ada tingkat tinggi resistensi
terhadap direncanakan perubahan yang dapat mengancam proses perubahan
seluruh jika dibiarkan tanpa pengawasan. Masalah berikutnya dapat hasil dari
program perubahan buruk direncanakan:
5. sabotase;
9. permintaan untuk transfer dari daerah yang terkena dan pengunduran diri;
11. peningkatan yang signifikan dalam tingkat ketidakhadiran karena sakit dan
stres;
16. MIS miskin yang tidak menunjukkan umpan balik tentang kemajuan
perubahan yang direncanakan;
17. pelatihan yang tidak memadai menyebabkan lagi untuk masalah kinerja;
18. krisis yang mengalihkan sumber daya ke masalah operasional bersaing, yang
berarti bahwa perubahan Program kemudian mengambil kursi belakang
sebagai masalah 'kehidupan nyata' dibahas;
19. masalah tak terduga yang membuat tugas yang jauh lebih sulit - fakta bahwa
sangat sulit pekerjaan mungkin telah diabaikan oleh semua pihak yang
terlibat;
Analisis kekuatan-bidang
Ada banyak yang terjadi dalam sebuah organisasi yang tidak diatur dalam
kebijakan formal dan Prosedur. Beberapa telah digunakan sebagai ilustrasi gunung
es organisasi di mana tujuan yang jelas formal, struktur, teknologi, kebijakan,
prosedur dan sumber daya didefinisikan. Namun, ini merupakan hanya puncak
gunung es di mana seluruh lautan rahasia persepsi, sikap, perasaan tidak resmi,
nilai-nilai dan norma-norma kelompok dapat ditemukan di bawah permukaan. Setiap
strategi perubahan harus mengenali bagian-bagian tersembunyi dari gunung es
organisasi untuk itu menjadi efektif. Kurt Lewin 56 memiliki mengembangkan
medan gaya sebagai salah satu cara menganalisa tekanan bersaing yang
mendorong dan berhenti perubahan yang terjadi. Idenya adalah bahwa kekuatan
pendorong mendorong perubahan sehingga organisasi maju ke posisi yang lebih
baik. Pasukan menolak, di sisi lain, mempertahankan keseimbangan dengan
meniadakan kekuatan kekuatan-kekuatan mengemudi. Beberapa ini kekuatan
pendorong adalah sebagai berikut:
New IT dan sistem yang lebih baik membuat ruang lingkup yang hampir tak
terbatas untuk menemukan dan mengembangkan perubahan rutinitas.
bahan yang lebih baik dapat menyebabkan produksi lebih cepat dan lebih
ramping.
tekanan Pengawas 'untuk kinerja yang lebih baik sejalan dengan arah
strategis yang cocok.
Kepuasan adalah dampener nyata. The 'dua tahun untuk pensiun' sindrom
tidak kondusif untuk perubahan nyata sebagai manajer kunci mencari posisi
penahanan sampai ia / dia pensiun.
keterampilan Terletak belajar dapat menjadi berlebihan dan ini bisa jatuh di
sisi yang salah dari individu persamaan biaya-manfaat.
Hal ini dapat dilihat sebagai proses yang berkelanjutan dimana masalah
tertentu yang merasakan dan tepat solusi kemudian didefinisikan. Medan kekuatan
dapat digunakan untuk bekerja pada mengemudi dan menolak Pasukan. Di mana
audit kekuatan isolat sikap yang membentuk kekuatan yang menentang,proses hati-
hati unfreezing lama dan menginstal sikap baru yang diperlukan harus ditindak.
Idenya adalah bahwa sikap tua dicairkan, berubah, maka refrozen sebagai sikap
baru. Ada kritik dari mencairkan / freeze / refreeze argumen yang melihat ini
sebagai konsep buatan dan titik ini juga harus dilihat. Sementara itu, jika kita
menerima bahwa sikap tua harus diubah, kita dapat mengatur sebuah sejumlah
cara untuk unfreezing mereka:
Tampilkan efek dari masalah yang ada untuk menambah penerimaan built-in
dari kebutuhan untuk berubah.
Impress staf kebutuhan untuk keunggulan kompetitif lagi sebagai cikal bakal
reformasi yang tertunda.
Aksesoris perubahan dalam strategi yang jelas yang diketahui tentang dan
dipahami oleh staf.
Perubahan Strategi
Sejauh ini proses perubahan telah dibangun menggunakan model dan teknik
yang telah dirancang selama bertahun-tahun. Dengan menghabiskan sumber daya
pada penilaian kemungkinan dampak dari perubahan yang diusulkan, kita mungkin
mendefinisikan strategi perubahan yang tepat. Pertama dan terpenting, kita bisa
mengacu pada perubahan yang diperlukan dan kemudian memastikan bahwa
strategi perubahan meliputi:
bagaimana teknologi dapat diubah operasi kerja desain ulang sesuai dengan
database yang baik dan strategi jaringan;
bagaimana orang dapat diubah dalam hal keterampilan mereka, sikap dan
persepsi; alternatif, seperti pilihan akhir di mana semuanya gagal, mungkin
perlu untuk mengubah orang yang sebenarnya sendiri.
Perubahan dan stres terkait erat dalam satu yang baik dapat menyebabkan
yang lain, terutama di mana dampak dari perubahan belum dipenuhi. Hal ini
kemudian memiliki knock-on efek pada perubahan program dan kinerja berikutnya
dari staf yang terlibat. Colin Carnell telah mencatat bahwa:
sistem baru dan proses harus dipelajari dan ini membutuhkan waktu;
sistem baru tidak bekerja dengan sempurna pada awalnya, tetapi perlu
memodifikasi untuk meningkatkan kinerja;
ada maka efek pada harga diri yang bisa menurun di masa perubahan.
Hal ini di sini bahwa harga diri kemudian dapat dibangun kembali sebagai
landasan untuk meningkatkan kinerja dengan komunikasi dan pemahaman. Peran
manajer adalah fundamental untuk tugas dari memimpin perubahan dan
mempertahankan rasa yang mendasari arah. Perhatikan bahwa ide ini diambil dari
karya Scott dan Jaffe.
Penolakan dan perlawanan adalah dua tahap utama di mana stres mungkin
mengembangkan dan berpotensi mengakibatkan komplikasi medis dan di sini yang
mendukung dan jaminan yang paling diperlukan (lihat Gambar 7.38 di atas). Tentu
saja, kita tidak bisa beralih ke masalah produktivitas hingga tahap awal telah diatasi
dan kami telah pindah ke dalam arena komitmen. Prinsip-prinsip, praktek dan teknik
yang mendasari perubahan organisasi harus dipelajari dan diterapkan oleh
manajemen. Sumber daya lebih diterapkan untuk meneliti dan menggunakan teknik
ini, semakin baik menempatkan organisasi akan memenuhi persaingan. auditor juga
harus siap untuk menjadi yang terlibat dalam proses ini sebagai kehadiran Audit
juga dapat berkontribusi pada keseluruhan tingkat manajerial stres, sebagai
tekanan tambahan pada kedua manajemen operasional dan senior. Dimana internal
tim audit tidak memiliki kompetensi yang tepat, yang berarti tidak dapat melakukan
konsultasi bekerja untuk standar profesional, pekerjaan tersebut harus ditolak.
Secara sederhana, semua perubahan TI perlu disahkan dan diuji, dan tidak
sah atau perubahan belum teruji dilarang. Dengan kata lain: perubahan IT
perusahaan infrastruktur merupakan sumber signifikan dari risiko untuk setiap
bisnis; untuk melindungi permata mahkota perusahaan, praktik manajemen
perubahan yang kuat yang benar-benar penting. Kebutuhan untuk '' lingkungan
pengendalian 'positif' dalam IT dan sikap tak kenal ampun mengenai perubahan IT
yang tidak sah tidak dapat dilebih-lebihkan.
perubahan tidak sah. Apa pun di atas nol tidak dapat diterima.
membangun nada di bagian atas yang jelas berkomunikasi intoleransi
perusahaan tidak sah perubahan adalah penting bagi keberhasilan jangka
panjang dari program manajemen perubahan.
Ketika saya melihat manajer bekerja TI telah dilakukan untuk menguji (yaitu,
membuktikan) bahwa perubahan adalah bekerja, saya ingin melihat empat teknik
pengujian mendasar: uji fungsional, stres pengujian, pengujian logis, dan pengujian
jalan. Sudah pengalaman saya bahwa jika di atas pengujian sistem tidak dilakukan,
diverifikasi, dan disetujui oleh beberapa validasi independen Unit (kontrol kualitas,
audit internal, luar konsultan, apa pun), maka kita memiliki masalah dalam 60
persen dari implementasi.
Akhirnya, yang kuat '' manajemen rilis '' proses, selain perubahan yang kuat
praktek manajemen, harus menjadi tujuan utama. praktek yang ketat untuk
membangun, pengujian, dan menerbitkan perubahan TI memiliki dampak yang luas
pada hasil IT individu dan kinerja keseluruhan organisasi. Oleh karena itu,
sementara menerapkan komprehensif Program manajemen perubahan penting,
membangun rilis yang kuat proses manajemen serta sangat dianjurkan.
Bimbingan Audit IT
Satu departemen audit terpusat mungkin lebih di mana hal ini tidak
terjadi. Di Sebaliknya, tren saat ini untuk mengembalikan pengelolaan
keuangan untuk manajer lini juga dapat mempengaruhi audit internal, yang
mungkin tersapu dalam strategi ini. Sayangnya, ini akan cenderung
mencairkan basis kekuatan dari CAE sebagai garis pelaporan kuat didirikan
dengan masing-masing departemen.
Ada banyak pilihan dan kombinasi metode yang dapat diterapkan dan lagi,
seperti dengan sebagian besar bahan pada manajemen audit, keputusan yang
sesuai harus dibuat. keputusan ini harus positif, berdasarkan pilihan yang tersedia
dan didirikan pada utama yang perlu untuk mencapai layanan kualitas audit. Dalam
prakteknya, tidak ada satu solusi, meskipun ada prinsip-prinsip perusahaan yang
harus diterapkan bersama dengan kebutuhan untuk memperoleh tingkat
fleksibilitas inbuilt atas dasar bahwa perubahan adalah sekarang norma.
Selanjutnya, struktur audit harus mengalir secara alami dari setuju strategi audit.
Setelah CAE telah menetapkan struktur disepakati untuk fungsi audit dan
didefinisikan prosedur dan standar untuk kinerja pekerjaan audit, maka salah satu
mungkin berpendapat bahwa staf harus mampu memberikan jasa audit seperti
yang ditunjukkan pada Gambar 7.39.
Status Audit Internal Status audit internal memiliki efek knock-on pada
tingkat kemandirian yang
dijamin. Di dunia yang ideal,
orang akan berpendapat bahwa
semakin tinggi status audit,
dalam hal nilai dari staf, lebih
baik. Ini, bagaimanapun, tidak
memberikan beban tambahan
pada CAE, tidak sedikit menjadi
biaya tinggi menjalankan
layanan yang harus diisi ulang.
Meskipun demikian, penataan
harus dimulai dengan posisi
yang sebenarnya dari audit
internal dalam organisasi dan
garis pelaporan diadopsi. Ada juga link dengan statusnya seperti yang ditunjukkan
pada Gambar 7.40.
GAMBAR 7.40 Status Audit dan struktur.
Pekerjaan individu
Ada konflik antara auditor tradisional dan gaya kerja baru yang harus
berhasil. Model kerja
konvensional didasarkan
pada tim audit yang
ditugaskan untuk salah satu
proyek yang bisa
mengambil beberapa
minggu. Tim akan terdiri
dari seorang auditor senior
(atau auditor memimpin)
dan satu atau lebih junior
staf. Memimpin auditor akan
melakukan evaluasi sistem
dan pemastian sedangkan
junior akan cenderung
melaksanakan program pengujian dihasilkan. Rasa tim Semangat akan menang dan
pengalaman berharga dalam supervizing dapat diperoleh oleh auditor senior. Junior
sementara akan belajar lewat pekerjaan dan mengembangkan keterampilan audit
diperlukan karena mereka naik melalui nilai. Dalam banyak departemen audit,
model ini telah memberikan cara untuk baru Pendekatan berbasis konsultasi-:
3. Salah satu auditor akan merupakan tim dan diminta untuk menyelesaikan
pekerjaan dalam waktu yang ketat frame waktu. Orang ini akan memiliki
banyak kontrol atas tugas, meskipun Laporan akan dibersihkan oleh audit
manajemen sebelum publikasi
4. auditor ini bekerja lebih atau kurang sendirian dan hanya menggunakan
yunior untuk pengujian tertentu bila diperlukan. staf tambahan tiba untuk,
katakanlah, pengujian rutinitas, dan berangkat setelah beberapa hari yang
dibutuhkan untuk lengkap. auditor yang ditugaskan akan bertanggung jawab
untuk hasil masukan tambahan ini.
5. Dengan cara ini, konsep tim hilang, tetapi masing-masing audit baik
disampaikan dengan biaya minimum dan fokus dipertahankan oleh auditor
yang ditugaskan.
Tim proyek
Proyek tim adalah cara yang berguna di mana departemen audit dapat
membangun fleksibilitas dalam nya struktur. Ini melibatkan staf pemindahan
sehingga mereka kelompok menjadi tim kecil untuk besar tertentu proyek atau
serangkaian proyek. Atau, sumber daya tambahan dapat dibawa untuk staf yang
ada, lagi untuk proyek-proyek tertentu. Ini bisa menjadi kuat terutama di mana
tambahan jasa konsultasi yang disediakan. Di mana manajemen ingin latihan
tertentu dilakukan out, kita dapat melestarikan sistem yang direncanakan bekerja
dan tim menggunakan proyek untuk sumber daya anti-fraud Latihan atau
penyelidikan manajemen utama. Jika proyek ini begitu penting, manajemen tidak
akan keberatan pendanaan sumber daya tambahan. Sebuah auditor utama,
mengatakan manajer audit, harus mengarahkan kerja tim sehingga tetap dalam
kontrol. tim proyek dapat sumber daya sebagai berikut:
Ada staf audit Mereka akan diandalkan, tetapi tidak akan kemudian akan tersedia
untuk melaksanakan direncanakan audit. Pendekatan ini dapat dianggap sebagai
memperlakukan audit menunggu sekitar untuk kerja nyata yang harus dilakukan,
yang tidak mempromosikan citra profesional. Itwill juga sangat sulit untuk
merencanakan pekerjaan ketika staf terus-menerus dipindahkan ke proyek tim,
kecuali tim adalah bagian dari rencana di tempat pertama.
Mempekerjakan konsultan Ini adalah pilihan yang sangat mahal, meskipun ada
akan sedikit waktu yang dihabiskan meninjau pekerjaan mereka. Kami akan
cenderung menggunakan konsultan untuk proyek jangka pendek individu dan bukan
untuk kerja berbasis tim, yang bisa berlangsung beberapa waktu.
Mempekerjakan staf lembaga ini adalah model yang berguna sebagai sumber
daya tambahan dapat berkontribusi langsung ke proyek yang akan dikelola oleh
auditor di rumah. rencana Audit akan tetap utuh dan kita dapat menggunakan staf
sementara untuk beberapa waktu karena mereka tidak harus dibebankan pada tarif
premium.
Kedua staf dari tempat lain dalam organisasi Tim mengangkat tangan-baik
mungkin dijamin, meskipun kita harus memastikan bahwa loyalitas anggota
'berbohong dengan proyek. Kebutuhan pelatihan mungkin timbul di mana
pendekatan ini diterapkan dan staf non-audit yang digunakan sampai batas
tertentu.
Hal ini dimungkinkan untuk membentuk tim audit atau kelompok atas dasar
jenis layanan yang masing-masing kelompok menyediakan. Ini dapat
disederhanakan dalam contoh empat kelompok audit yang utama yang
mengkhususkan diri di:
3. Layanan konsultasi
4. Investigasi.
Kita harus mempertimbangkan pro dan kontra dari masing-masing pendekatan dan
membuat keputusan beralasan.
Nomor minimum Sebuah diskusi tentang berapa banyak staf harus digunakan
untuk mendukung misi Audit akan tergantung strategi audit diadopsi. Ini tidak
terulang di sini. Apa yang kita harus
mengatasi, bagaimanapun, adalah fakta
bahwa setiap struktur audit yang akan
ditentukan dengan mempertimbangkan
banyak faktor; salah satunya adalah
jumlah auditor yang tersedia untuk
melepaskan peran audit. Semakin besar
jumlah auditor semakin godaan yang
ada untuk mengembangkan
departemen audit birokrasi dengan
banyak tingkatan staf dan berbagai
nilai. Karena jumlah staf meningkat
lebih dari batas tertentu, mengatakan
lima atau enam, salah satu akan
harus mempertimbangkan untuk
mengembangkan konsep
kelompok audit. Kelompok-
kelompok ini akan
memungkinkan CAE untuk
membagi unit ke proporsi
dikelola dipimpin oleh seorang
manajer audit (atau auditor
group). Kebebasan dari masalah
kepegawaian maka akan
memungkinkan CAE untuk menangani hal-hal strategis yang bergerak fungsi dari
posisi mereka yang ada terhadap target mereka / tujuan. Sebaliknya, CAE yang
memiliki bagian dari kurang dari lima staf, akan cenderung menganggap kurang
strategis dan lebih peran manajerial. Titik kunci untuk dicatat adalah bahwa tidak
ada jawaban yang mendasar untuk pertanyaan tentang bagaimana struktur fungsi
audit dapat disediakan. Hal ini karena posisi yang ideal akan tergantung pada
berbagai faktor bersaing, termasuk strategi audit dan jumlah staf. Jika kita diminta
apakah ada jumlah minimum auditor yang harus digunakan maka satu jawaban
adalah:
Berapa jumlah minimum staf yang harus digunakan untuk mengaktifkan CAE
untuk mengadakan Status manajemen senior dan memiliki dampak nyata pada
organisasi?
Posisi yang ideal tercapai di mana fungsi audit dipandang sebagai kekuatan
utama dalam hal yang penunjukan resmi sebagai divisi atau departemen daripada
bagian kecil atau kelompok. ada satu peringatan untuk ini dalam hal kebutuhan
untuk memastikan anggaran audit tidak menjadi begitu besar untuk membuat ini
overhead terlalu mahal untuk manajer layanan. Ini mungkin ide untuk mengambil
dilihat dari komite audit dan tingkat jaminan bahwa audit internal berikan pada
internal yang kontrol. Hal ini umumnya lebih baik untuk mempekerjakan sejumlah
kecil auditor berpengalaman dan fokus pada penyediaan jaminan untuk area
berisiko tinggi di seluruh organisasi bersama dengan penting proyek konsultasi.
Supervisor
Proses audit penataan cascades turun dari CAE, manajer pemeriksaan melalui
seniornya auditor dan staf audit lainnya. Memimpin auditor / supervisor adalah
seorang perwira kunci dalam dunia audit itu orang ini yang, di atas semua,
menghasilkan pekerjaan audit yang sebenarnya. Fakta ini harus diakui sepenuhnya
dan melayani. Di bawah arahan manajer audit, auditor senior yang harus
membentuk unit utama yang ditugaskan untuk proyek baik secara individual atau
sebagai kepala tim audit kecil.
Trainee
Tingkat bawah dari struktur audit yang idealnya harus terdiri dari peserta pelatihan.
Orang-orang ini akan memiliki pengalaman terbatas dalam masalah audit tetapi
harus antusias dan membentuk murah sumber. Ini adalah praktik yang baik untuk
menggunakan trainee sebagai sumber auditor masa depan dan untuk memastikan
bahwa kita up to date pada perkembangan baru dan penelitian yang datang dengan
program pelatihan. beberapa Audit departemen tidak perlu mempekerjakan
'peserta' tapi tetap mendorong staf kurang senior untuk menjalani pelatihan
profesional formal. Ini kemudian dibangun ke dalam program pengembangan karir
mereka. Kita perlu mengembangkan model suara dari layanan audit internal dengan
masing-masing berkontribusi auditor untuk program kerja tepat. Audit tidak dapat
dikelola kecuali ada orang yang bekerja pada tingkat yang tepat dalam kapasitas
yang tepat. CAE harus menjaga meja yang jelas untuk merumuskan strategi dan
mengembangkan basis klien baru dan yang sudah ada. Manajer Audit harus mampu
menjalankan berbagai proyek pada saat yang sama sambil memastikan bahwa
masing-masing memenuhi standar kualitas yang telah secara resmi diadopsi.
Auditor harus dapat menyelesaikan audit mereka dengan cara yang kompeten
untuk standar profesional sesuai dengan manual audit, sehingga menghasilkan
pendapatan fee penting untuk fungsi audit. Keputusan penataan dan pengaturan
yang mendasari semua berkontribusi terhadap penerapan model yang paling tepat
yang mempromosikan posisi di atas.
Telah ada argumen lama berjalan tentang tuntutan standar auditing dan
apakah tim audit yang lebih kecil dapat memenuhi persyaratan standar yang
tampaknya ditujukan pada yang lebih besar unit. Ada beberapa kelemahan di mana
tim audit cukup kecil tetapi lebih intim Suasana memiliki beberapa keuntungan
seperti yang dijelaskan oleh Nicola Rimmer:
Dalam tim yang lebih kecil sering ada kurang perebutan posisi seperti yang
dapat terjadi di tim yang lebih besar, dan sebagainya lebih banyak
kesempatan bagi staf untuk terlibat dalam perencanaan dan strategi audit,
dan membuat yang terbaik praktek saran dan umumnya berbagi
pengetahuan. Juga, jika seorang individu memiliki nilai tambah dalam jalan
besar, ini lebih jelas, baik di dalam tim, tetapi juga di antara manajemen,
audit Panitia dan papan. Hal ini dapat memberikan pengalaman berharga
untuk internal auditor, meskipun dengan risiko tambahan yang mereka dapat
dengan cepat beralih ke hal-hal yang lebih besar. Apakah bekerja di Tim audit
besar atau kecil, masing-masing memiliki tantangan khusus mereka sendiri
dan keuntungan. Namun, besar atau kecil, tekanan pada audit internal untuk
memberikan pelayanan yang berkualitas semakin meningkat. Satu hal jelas -
ukuran benar-benar tidak peduli. Yang penting adalah bagaimana Anda
menggunakan apa yang Anda miliki.
Salah satu isu yang telah berkembang dalam pentingnya selama bertahun-
tahun berhubungan dengan audit internal berbasis risiko Pendekatan yang telah
merembes melalui ke sebagian besar unit audit internal. Jeremy Opie telah
mencatat manfaat yang datang dari menggunakan pendekatan ini:
2. Menyediakan cek kritis yang tujuan bisnis yang jelas dan dipahami oleh
semua, dan kongruen dengan tujuan bagian lain dari organisasi.
6. Memberikan jaminan bahwa kontrol eksekutif yang efektif dan efisien, atau
akun apa yang harus dilakukan untuk membuat mereka begitu; mengakui,
dan memberikan kredit karena untuk, inovatif solusi manajemen risiko
kontrol. RBIA menghindari hanya memberlakukan kontrol standar Template.