Pendekatan Audit

INTERNAL AUDITING
PENDEKATAN AUDIT
DISUSUN OLEH :
KELOMPOK 7
ELVIA NURHIDAYAH (12030113120012)
DILLA ZHAFARINA (12030113120055)
CHUSWATUL CHASANAH (12030113120097)
SITI AISYAH FITRIA ()12030113120115
FAKULTAS EKONOMIKA DAN BISNIS

UNUVERSITAS DIPONEGOR
2016
PENDEKATAN AUDIT
Pengantar
Audit internal dapat dilakukan dalam berbagai cara dan ada berbagai model
yang dapat diterapkan untuk pemakaian peran audit.Organisasi akan menentukan
kebutuhan audit dan ini akan membantu untuk menetapkan jenis jasa audit yang
disediakan. CAE kemudian didakwa dengan menyediakan layanan ini dengan
standar audit profesional. Bab ini membahas beberapa pendekatan yang berbeda
dan cara yang mereka berhubungan dengan peran audit internal. Perkembangan
audit internal, sebagai profesi, didasarkan pada premis bahwa praktek audit internal
adalah subjek disiplin didefinisikan standar profesional. Pada saat yang sama, jelas
bahwa ada banyak variasi dalam cara peran audit habis. Ini hasil dari pendekatan
yang berbeda dan, dalam beberapa kasus, interpretasi yang berbeda dari prinsip-
prinsip yang mendasari, meskipun berbagai hal berdasarkan audit tidak berarti
bahwa tidak ada yang jelas disiplin audit internal. Hal ini tidak hanya masuk akal
pekerjaan yang setiap orang terlatih dapat melakukan. Apa yang terbukti adalah
cara bahwa peran audit habis akan bervariasi sesuai dengan ketentuan yang
disepakati acuan (atau audit charter). Ragam menciptakan kekayaan dan derajat
fleksibilitas dalam jenis pekerjaan audit yang dilakukan. Dalam banyak kasus
departemen audit akan berisi berbagai jenis auditor yang secara kolektif debit
fungsi audit. Audit internal adalah tentang evaluasi manajemen risiko dan
pengendalian internal dan ini harus menjadi tema sentral dalam kebanyakan
pekerjaan audit.
Sistem Audit
Hal ini dipandang oleh beberapa sebagai cara utama di mana peran audit
harus dibuang karena harus melibatkan sistem pengendalian internal
mengevaluasi. Idenya adalah bahwa sistem yang dipelajari untuk menilai apakah
mereka cukup dikendalikan sehingga tujuan manajerial dapat dicapai. Sebelum
pendapat dapat ditentukan, maka perlu untuk menguji operasi pengendalian dan
sejauh mana kelemahan berdampak pada produk akhir. Tes-tes ini mungkin
termasuk vouching, verifikasi dan bermacam-macam pemeriksaan dan rutinitas
konfirmasi, titik adalah bahwa vouching sini digunakan sebagai teknik untuk
membantu evaluasi kontrol, yang bertentangan dengan hasil menjadi tujuan pada
dirinya sendiri. Dengan cara ini, penekanannya bukan pada melakukan rangkaian
tanpa akhir tes tapi lebih pada meninjau sistem dan tujuan utamanya. Kita mulai
dengan pendekatan standar dalam kedok audit berbasis sistem (SBA).Konteks baru
adalah untuk mengarahkan sumber daya audit pada sistem tata kelola perusahaan,
manajemen risiko dan pengendalian.Pengendalian risiko self-assessment (CRSA)
telah digunakan oleh banyak auditor internal sebagai cara untuk mendapatkan tim
kerja untuk mengidentifikasi dan mengelola risiko utama mereka dan material di
CRSA dilengkapi dengan penjelasan singkat keterampilan fasilitasi, sebagai
prasyarat untuk melakukan lokakarya CRS. Kami juga mencakup penipuan dan
investigasi lainnya, IS (sistem informasi) audit dan pendekatan konsultasi untuk
bekerja sebagai pengakuan atas arah baru yang auditor internal
mengambil. Teknologi bergerak sangat cepat dan Dan Swanson telah memberikan
beberapa kontribusi yang berguna untuk Internal Audit Handbook dengan maksud
untuk memperbarui cakupan IS audit.
Perhatikan bahwa semua referensi untuk definisi IIA, kode etik, atribut IIA dan
standar kinerja, nasihat praktek dan panduan praktek berhubungan dengan
International Praktek Profesional Framework (IPPF) disiapkan oleh Institute of
Internal Auditor pada tahun 2009. Bagian dibahas di sini adalah sebagai berikut :
7.1 Pendekatan Sistem
7.2 Pengendalian Risiko dan Self-assessment
7.3 Fasilitas Keterampilan
7.4 Integrated Self-assessment dan Audit
7,5 Investigasi Penipuan
7.6 Audit Sistem Informasi
7.7 Kepatuhan
7.8 Nilai untuk uang (VFM), Sosial dan Audit Keuangan
7.9 Pendekatan Consulting
7.10 Struktur 'Kanan'
7.11 erkembangan Baru Ringkasan dan Kesimpulan Tugas dan Pertanyaan

Multi-pilihan
7.7. Pendekatan
Sistem
Ada banyak cara

yang berbeda yang audit
internal dapat didekati
dan beberapa
penyelidikan / transaksi
berbasis sementara yang
lain bergerak menuju
pendekatan sistem. Ada
argumen yang paling
efisien penggunaan
sumber daya audit yang
terjadi di mana salah satu berkonsentrasi pada meninjau sistem yang bertentangan
dengan pemeriksaan transaksi sistem individu. Manajemen mungkin ingin
menggunakan audit internal untuk satu-off latihan pemecahan masalah terutama di
mana ada faktor malu potensial jika masalah ini tidak diselesaikan. Di sisi lain, di
mana ulasan sistem tidak dilakukan, maka kerusakan dan fungsi optimal dapat
terjadi. Hal ini menyebabkan transaksi tunggakan. Hal ini dimungkinkan untuk
menggunakan analisis kekuatan-lapangan untuk menimbang faktor-faktor yang
bersama-sama menentukan pendekatan audit aktual yang diterapkan dalam
organisasi apapun. Kekuatan ini telah ditetapkan dalam Gambar 7.1:
Masing-masing faktor akan menerapkan tekanan dalam mendefinisikan cara bahwa

peran audit habis dan beberapa pengaruh mungkin muncul seperti yang
ditunjukkan pada Tabel 7.1.
Standar kinerja 2100 - Sifat pekerjaan segi standar profesional, ada beberapa
aspek dari suatu organisasi yang jelas termasuk dalam ruang lingkup pekerjaan
audit. Standar Kinerja 2100 berarti bahwa aktivitas audit internal harus
mengevaluasi dan memberikan kontribusi pada peningkatan tata kelola,
manajemen risiko dan pengendalian proses menggunakan pendekatan sistematis
dan disiplin. Dalam hal sistem kerja, Standar Kinerja 2110 meminta bahwa aktivitas
audit internal mengevaluasi dan memberikan kontribusi terhadap peningkatan tata
kelola, manajemen risiko dan proses kontrol menggunakan pendekatan sistematis
dan disiplin, sedangkan Standar Kinerja 2120.A1 membuat jelas bahwa aktivitas
audit internal harus mengevaluasi eksposur risiko yang berkaitan dengan organisasi
pemerintahan, operasi dan sistem informasi mengenai:
keandalan dan integritas informasi keuangan dan operasional;
efektivitas dan efisiensi operasi;
Menjaga aset;
kepatuhan terhadap hukum, peraturan, dan kontrak

Sistem ini harus dinilai oleh audit internal sebagai bagian dari peran
jaminan. Ada pilihan dalam cara audit internal dilakukan dan meskipun standar
profesional yang menetapkan pedoman onceptual, mereka tidak mempromosikan
metodologi tertentu. Pendekatan akhir akan hasil dari kombinasi faktor yang
mempengaruhi peran audit dan pekerjaan yang dihasilkan dilakukan. Premis yang di
atasnya Handbook yang didirikan menganggap sistem berbasis risiko audit sebagai
interpretasi yang valid dari peran jaminan audit internal, dengan semua hal-hal lain
yang jatuh di bawah investigasi istilah generik - yang sebagian besar merupakan
bagian dari layanan konsultasi bersama dengan bantuan langsung dan saran dalam
membangun manajemen risiko bisnis. Sistem pendekatan audit internal telah
tersedia teknik yang sangat kuat untuk melakukan audit, di masa lalu telah
menyebabkan perubahan dalam konsep audit. Ini membutuhkan kebijakan audit
yang menekankan pentingnya membangun sistem yang baik sehingga risiko seperti
kegagalan, kesalahan dan penyalahgunaan dapat dihindari di tempat
pertama. Manajemen dibebankan dengan merancang dan memelihara sistem ini
dengan saran dari audit internal. Langkah ini jauh dari kesalahan bercak, dengan
lebih menekankan pada mendapatkan sistem manajemen risiko yang tepat. Sistem
audit didasarkan pada teori sistem dan konsep sistem yang lebih luas.
Fitur Sistem
Sistem berpikir didasarkan pada melihat operasi dan peristiwa sebagai proses
dengan arus seperti yang ditunjukkan pada Gambar 7.2.
GAMBAR 7.2
Mendefinisikan sistem:
Sebuah set objek bersama-sama dengan hubungan antara benda-benda dan

atribut mereka terhubung atau terkait satu sama lain sedemikian rupa untuk
membentuk keseluruhan atau keseluruhan.
Ada sejumlah konsep yang mendukung teori sistem dan ini mungkin tercantum:
Komponen terhubung Setiap bagian dari sistem memiliki beberapa

hubungan dengan bagian lain, sehingga bersama-sama mereka terdiri sistem
di tangan. Misalnya, link dalam rantai terhubung dengan dua link yang
pasangkan ke rantai serta yang terhubung ke link lain dengan posisi relatif
mereka dalam rantai. Setiap link memiliki kedekatan yang berbeda dengan
yang lain, tetapi mereka masih memiliki beberapa jenis hubungan
keseluruhan.
Terpengaruh dengan berada di sistem Komponen harus terpengaruh

dengan berada di sistem yang ada beberapa alasan untuk itu harus
didefinisikan dengan cara ini. Akan kembali ke rantai, link harus menjadi
bagian dari proses pembentukan keseluruhan dengan link lainnya untuk
sistem untuk eksis. Sebuah link cadang yang tidak terpasang tidak
terpengaruh oleh kegiatan rantai dan jatuh di luar sistem. Perakitan
komponen melakukan sesuatu ini membawa ke dalam bermain konsep
penting dari tujuan sistem yang berarti bahwa sistem harus memiliki
beberapa tujuan yang membenarkan keberadaannya. Sebuah rantai sepeda
menggerakkan roda sementara rantai emas dikenakan di leher akan ada
terutama untuk ornamen.
Majelis diidentifikasi sebagai kepentingan khusus. ini adalah bagian

yang paling sulit dari konsep sistem dalam bahwa harus ada alasan yang
mendasari mengapa sesuatu telah didefinisikan sebagai suatu
sistem. Sebuah sistem tergantung pada apa yang didefinisikan bukannya
konsep mutlak. Jika kita melihat rantai sepeda sebagai suatu sistem yang
terdiri dari link, ini mungkin karena kita ingin memeriksa sifat-sifatnya
sehingga kekuatannya dapat ditingkatkan. Kami alternatif dapat menentukan
sistem yang terdiri dari rantai dan pedal jika kita ingin mempertimbangkan
energi cara ditransfer dari pedal ke roda melalui rantai. Ini mungkin untuk
mencari untuk meningkatkan efisiensi transfer energi ini. Sistem ini dianggap
sistem karena kita ingin hal itu terjadi, yang membawa gagasan itu memiliki
minat khusus. Sesuatu menjadi sistem karena orang melihatnya sebagai
suatu sistem. Hal ini telah dibuat jelas oleh para ahli dalam berpikir sistem:
"Kami akan melihat bahwa sangat sering titik paling penting untuk leverage
dalam sistem apapun adalah kepercayaan dari orang-orang di dalamnya,
karena itu adalah keyakinan bahwa mempertahankan sistem seperti itu.
Prinsip-prinsip universal di balik pemikiran sistem dapat diterapkan dalam berbagai

situasi dan ada beberapa fitur kunci:
Sistem terbuka terkait dengan lingkungan dan harus merespon perubahan

faktor eksternal yang relevan sehingga dapat mengoptimalkan proses
sistem. Sebuah sistem tertutup Sebaliknya adalah tetap dan tidak bereaksi
terhadap tekanan eksternal.Jadi sistem pemanas sentral mungkin tetap
selama periode waktu tetap dikendalikan oleh timer dan sekali set tetap
dalam modus operasi. Di mana ada kontrol termostat, sistem ini mampu
merespon perubahan suhu dan memberikan layanan yang lebih
interaktif. Kontrol adalah bagian dari proses menyesuaikan sistem untuk
memastikan itu selalu mampu memberikan tujuannya didefinisikan.
Sebuah sistem adalah seperangkat komponen yang saling terkait dan
gagasan sinergi datang ke dalam bermain. Hal ini menunjukkan bahwa
jumlah keseluruhan lebih besar daripada jumlah masing-masing komponen
individu, yang dinyatakan sebagai:
2 +2=5
Sinergi dapat dilihat dalam contoh dari serangkaian bagian yang pergi untuk
membuat sepeda motor. Ketika dipreteli, masing-masing bagian adalah
komponen tidak berfungsi. Bila disatukan untuk membentuk sebuah sepeda
motor, menjadi sistem transportasi dengan potensi yang jauh lebih besar
dalam hal kemampuan dan wawasan.
Sistem berpikir didasarkan pada ide melihat proses secara keseluruhan,

terdiri dari bagian-bagian terkait. Pandangan holistik ini memungkinkan
seseorang untuk memahami operasi rumit dengan naik di atas setiap aspek
tertentu dan mempertimbangkan keseluruhan. Keuntungan utama dari
sistem pemikiran potensi ini untuk bekerja pada tingkat tertinggi dengan
melihat operasi sebagai layanan yang lengkap. Auditor yang mampu
membedakan antara tingkat rendah rinci dan masalah materi adalah auditor
besok. Melihat sistem sebagai subsistem yang feed ke
dalam 'gambaran besar' adalah keterampilan yang auditor harus
memperoleh.
Komponen kunci adalah bagian penting yang penting bagi keberhasilan

proses. Perhatian diarahkan ini akan menjadi nilai lebih dari bagian-bagian
yang kurang bahan. Kemampuan untuk mengisolasi masalah utama yang
dihadapi sistem manajerial memiliki dampak yang mendasar pada audit
internal sebagai pekerjaan kami bergerak menuju tingkat yang lebih tinggi
dalam organisasi.Sebagai contoh, ada banyak kelemahan kontrol yang
berasal dari masalah dengan sistem manajemen sumber daya
manusia.Sebagai auditor berlangsung dalam pekerjaan, faktor ini
memungkinkan sumber daya untuk diarahkan pada daerah ini sebagai yang
paling efisien penggunaan waktu audit. Cara sistem HRM antarmuka dengan
operasi baris dapat ditangkap dengan menerapkan sistem pandangan
organisasi sebagai kedua link yang kuat dan lemah yang terisolasi.
Teori lain berasal dari teori sistem adalah bahwa ada kompensasi
pengaruh. Ini dapat membuat untuk kelemahan di tempat lain dalam sistem
atau hanya memberikan kontrol tambahan. Sebagai contoh, sistem keuangan
perusahaan yang seharusnya mendukung kontrol anggaran mungkin buruk
dan hanya melaporkan belanja sebenarnya setelah tertunda beberapa
bulan.Manajemen dapat mempertahankan rekor sendiri menghabiskan untuk
mendapatkan up-to-date informasi dari varians anggaran.Sistem kontrol
anggaran harus dilihat mencakup kompensasi ini jika itu harus sepenuhnya
dihargai.
Selain komponen kunci, ada daerah sensitif dalam sistem apapun. Rantai
ketergantungan berarti bahwa seluruh proses mungkin berada pada risiko di
mana bagian dari link yang lemah atau rusak. Hanya dengan
memahami seluruh sistem yang satu ini mampu mengetahui pengaruh
perubahan dalam satu bidang di daerah terkait lainnya. Ini mungkin manfaat
terbesar tunggal untuk bertambah dari mengadopsi pendekatan sistem
berbeda dengan melihat operasi dan kegiatan individu sebagai item
diskrit.Pentingnya kontrol dalam sistem telah diakui oleh banyak orang
sebagai contoh menggambarkan: David Blunkett menghadapi tuntutan segar
bagi tindakan mendesak untuk mengakhiri 'skandal' imigran ilegal menyamar
sebagai mahasiswa untuk mendapatkan visa untuk tinggal di Inggris. Tories
menyerukan tindakan keras setelah Evening Standard menemukan bahwa
sekolah bahasa tidak bermoral mengambil pembayaran tunai untuk
menempatkan 'siswa' di buku mereka yang benar-benar di sini untuk bekerja
secara ilegal. . .A Penyelidikan Standard menunjukkan bagaimana empat dari
lima sekolah mendekati di London siap untuk mengeluarkan wartawan
Republik menyamar sebagai 'murid' dengan sertifikat pendaftaran - hampir
rute yakin-api untuk visa - bahkan ketika diberitahu secara eksplisit bahwa
dia tidak akan menghadiri kursus. Penyelidikan Standard 's menimbulkan
kekhawatiran tentang sistem imigrasi kita yang kacau. . Kami perlu semacam
sistem kontrol untuk menghentikan perguruan tinggi swasta mengutak-atik
sistem.
Semua sistem harus di kontrol untuk bekerja dan kemampuan untuk

mengendalikan secara implisit dalam mekanisme umpan
balik: 'Menyeimbangkan umpan balik mencari gol. Semua sistem telah
menyeimbangkan loop umpan balik untuk tetap stabil, sehingga semua
sistem memiliki tujuan - bahkan jika itu hanya untuk tetap seperti
mereka. . . Oleh karena itu Sebuah sistem membutuhkan cara untuk
mengukur, jika tidak
maka tidak bisa
membedakan antara
mana itu dan di mana
seharusnya. "3
Kita beralih ke isu hubungan dan sistem tua / anak yang antarmuka dengan
kegiatan yang kita pertimbangkan. Kembali ke contoh kita dari sepeda motor,
sistem terkait telah diilustrasikan dalam Gambar 7.3
Pembalap dan sepeda dapat dilihat sebagai sistem utama yang kemudian
feed ke dalam sistem hubungan seperti jalan, bahan bakar dan tujuan. Ada jumlah
tak terbatas kombinasi sistem yang dapat diterapkan tergantung pada persepsi
seseorang. Sebuah hal audit
referensi harus menyatakan
secara jelas di mana sistem
dikaji berhenti dan mulai. Kita
perlu menetapkan titik cut-off
konseptual sebagai contoh
motor dapat diperluas untuk
mencakup pemeliharaan,
manufaktur, pembersihan,
peta jalan, izin mengemudi
dan VFM.
Sistem Berpikir Umum
Sebuah penyebutan
singkat dari teori sistem dan
gambaran dari metodologi ini
muncul pada Gambar
7.4. Beberapa penjelasan
yang disediakan di bawah:
1. Sistematis. Proses menggunakan metodologi yang jelas diterapkan di SBA

dengan menggunakan metodologi yang ditetapkan untuk perencanaan, maju audit,
dan kemudian mengeluarkan laporan audit
2. Sistemik. Ini menggunakan teori sistem diterapkan dengan

cara bidang audit dipandang sebagai serangkaian sistem dan
sistem hubungan.
3. Sistem subjektif. Berikut penggunaan batas set sistem untuk

menentukan sistem dikaji adalah sesuatu yang auditor harus
berlaku untuk memberikan gambaran yang disepakati apa yang
akan dikenakan audit.
4. Sistem induk, sistem utama dan subsistem. Apresiasi hubungan sistem

secara hirarkis dan sebagai bagian dari sistem yang terkait memberikan
wawasan ke dalam cara kegiatan saling melengkapi satu sama lain.
5. Manajerial, operasional dan fungsional. Terjemahan dari sistem ke
tingkat organisasi dan jenis memberikan awal untuk memutuskan
bagaimana untuk memecah organisasi untuk tujuan audit.
Entropi
Hal ini dapat dilihat sebagai gangguan, disorganisasi, kurangnya pola atau
keacakan organisasi sistem. Sebuah sistem tertutup cenderung meningkat dalam
entropi dari waktu ke waktu dalam hal itu akan bergerak menuju kekacauan yang
lebih besar dan keacakan. Entropi memberikan pembenaran untuk peran audit
sistem memecah dan kontrol memburuk dari waktu ke waktu kecuali mereka
ditinjau dan dibuat untuk mengikuti perubahan risiko. Kecenderungan untuk
menghapus tingkat manajemen untuk mencapai pengurangan anggaran mungkin
memiliki dampak yang besar pada sistem dikendalikan melalui ulasan pengawasan
oleh garis dan manajemen menengah. Saldo kontrol harus mengubah dengan
restrukturisasi. Jika tidak, ketidakseimbangan menjadi bagian dari entropi
keseluruhan di mana penurunan kontrol merusak fungsi sukses dari sistem. Sistem
ini dirancang untuk memastikan tujuan yang dicapai dalam cara yang terbaik dan
telah dikatakan bahwa 'sistem pemikiran adalah cara kita dapat membedakan
beberapa aturan, beberapa rasa pola dan acara, jadi kita bisa mempersiapkan diri
untuk masa depan dan mendapatkan beberapa pengaruh lebih.
Sistem Audit
Kita dapat menggunakan prinsip-prinsip sistem berpikir untuk melakukan

audit sistem. Kami terutama prihatin tentang pengaturan untuk mempengaruhi
empat eksposur risiko utama yang jatuh dalam lingkup Kinerja audit internal
Standard 2110.A1:
Keandalan dan integritas informasi keuangan dan operasional
Efektivitas dan efisiensi operasi
Pengamanan aset
Kepatuhan terhadap hukum, peraturan dan kontrak.
Kami prihatin dengan meninjau dan kemudian menasihati manajemen pada sistem
mereka kontrol internal yang melepaskan empat tujuan tersebut. Jadi kegiatan
harus dilakukan dengan memperhatikan kepatuhan terhadap hukum dan prosedur
dan fitur ini harus dibangun ke dalam sistem. Sistem kontrol akan berlangganan
fitur kontrol kunci ini, berbeda dengan orang-orang yang beresiko. Ada satu
masalah yang melekat dalam Standar Kinerja 2060 yang meliputi baris berikut:
Eksekutif Audit Kepala harus melaporkan secara berkala kepada manajemen

senior dan dewan pada tujuan kegiatan audit internal, wewenang, tanggung
jawab, dan kinerja relatif terhadap rencana. Pelaporan juga harus mencakup
eksposur risiko signifikan dan masalah pengendalian, termasuk risiko
penipuan, isu-isu pemerintahan, dan hal-hal lain yang diperlukan atau
diminta oleh manajemen
senior dan papan.
Masalahnya berasal dari mencoba

untuk mengambil pandangan
tentang manajemen risiko di seluruh
organisasi ketika kita hanya memiliki
hasil audit individu di tangan. Joseph
O'Connor dan Ian McDermott
memperingatkan terhadap
pendekatan silo untuk melihat
sistem: 'Sistem memiliki sifat yang muncul yang tidak ditemukan di bagian
mereka. Anda tidak dapat memprediksi sifat-sifat dari sistem yang lengkap dengan
mengambil itu untuk potong dan menganalisis parts.'5 nya
Transaksi Pendekatan
Sistem ini dirancang untuk memproses transaksi dan audit internal berkaitan
dengan kontrol yang memastikan tujuan sistem terpenuhi.Di mana hal ini tidak
terjadi, sistem menghasilkan transaksi tunggakan yang melanggar salah satu atau
lebih dari empat daerah kontrol utama. Sebuah pendekatan audit yang
mengabaikan sistem tetapi berusaha untuk mengidentifikasi transaksi tunggakan
dapat dilihat sebagai audit transaksi berbasis. Kunjungan kejujuran, penyelidikan
penipuan, program pengujian kepatuhan, tempat pemeriksaan dan ulasan VFM
efisiensi mungkin didasarkan pada pendekatan transaksi. Setiap pekerjaan audit
yang tidak termasuk penilaian risiko dan evaluasi dan pengujian kontrol tidak dapat
sistem audit. Sistem audit bergantung pada beberapa pengujian meskipun ini
secara alami mengalir dari ulasan kontrol ditunjukkan pada Gambar 7.5.
Sebagai contoh, tim audit dapat digunakan untuk mengikuti kendaraan

perusahaan untuk melihat apakah mereka sedang digunakan pada bisnis resmi. Ini
menampilkan kepatuhan terhadap pendekatan transaksi berbasis, karena
pendekatan sistem akan berusaha untuk mempertimbangkan kontrol yang harus di
tempat untuk memastikan bahwa kendaraan yang digunakan hanya untuk tujuan
bisnis. Kita mungkin ingin mengamati beberapa kendaraan selama audit tetapi ini
akan memeriksa cara kontrol ini beroperasi dan bukan sebagai audit dalam dirinya
sendiri. Audit sistem dari sistem pembayaran akan berusaha untuk mengisolasi dan
meninjau kontrol atas proses penyusunan faktur dan membayar
pemasok. Pendekatan transaksi memeriksa sampel dari pembayaran untuk melihat
apakah mereka benar dan tepat tanpa mengomentari kontrol yang
mendasari. Prinsip utama adalah bahwa sistem audit dimulai dari atas (kontrol
ditetapkan oleh manajemen), berbeda dengan pendekatan transaksi yang dimulai di
bagian bawah (hasil akhir pengolahan transaksi).
Tahapan Sistem berbasis Risiko Audit (RBSA)
Sistem berpikir digunakan dua kali dalam sistem berbasis risiko audit
(RBSA). Pertama, kita memecah operasi sebagai sistem, komponen dari suatu
sistem, subsistem, sistem paralel dan sistem induk. Gambaran dapat diadopsi dan
hubungan antara operasi dapat diidentifikasi dan dipahami. Kedua, RBSA
sebenarnya adalah pendekatan audit yang sistematis dalam dirinya sendiri, dengan
tahapan yang ditetapkan dan link yang jelas antara langkah-langkah yang
berurutan. Tahapan audit SBA ditunjukkan pada Gambar 7.6.
RBSA tidak dapat dilakukan tanpa mengikuti langkah-langkah di atas. Setelah

rencana penugasan telah ditentukan (setelah survei awal) kami memiliki hal yang
jelas dari referensi dan garis besar sistem yang bersangkutan. Tahap berikutnya
adalah untuk menentukan apa risiko dapat mencegah tujuan bisnis dari yang
dicapai dan memastikan risiko ini dipahami, diklasifikasikan dan
diprioritaskan. Setelah menemukan risiko kunci, kita bisa pergi ke menimbang dan
mengevaluasi kontrol tertentu yang membentuk aspek utama dari strategi
manajemen risiko dan menilai apakah kontrol yang memadai. Kontrol yang
memadai (strong) harus dipertimbangkan lebih lanjut untuk menilai apakah mereka
bekerja dengan benar melalui tes kepatuhan. Beberapa auditor berpendapat bahwa
bahkan ketika kontrol berada di tempat dan bekerja, perlu ada sejumlah kecil
pengujian lebih lanjut untuk memastikan hasil yang benar diperoleh (yaitu tujuan
sistem sedang dicapai). Kontrol yang lemah berarti ada tingkat yang tidak dapat
diterima risiko residual dan ini dapat dilaporkan langsung. Sekali lagi, beberapa
auditor ingin menguji implikasi
dari kelemahan ini dan mencari
kesalahan yang sebenarnya,
penyalahgunaan, kegagalan dan
eksposur risiko lain seperti untuk
menunjukkan implikasi dari kontrol
miskin. Temuan pada keadaan
risiko residual mengarah ke
jaminan di mana semuanya baik-
baik dan rekomendasi di mana ada
perbaikan lebih lanjut diperlukan
untuk mengurangi aspek risiko
residual yang perlu
terkandung. Hasilnya dilaporkan
kembali ke klien dan tindakan
apapun yang diperlukan dipantau
selama tindak lanjut audit yang
dijadwalkan untuk masa
depan. Namun, ada satu kata
peringatan. Ketika auditor
mencoba untuk 'memperbaiki'
sistem miskin itu jauh lebih baik untuk mendapatkan klien untuk membantu dalam
proses ini. Hal ini disebabkan kompleksitas dinamis dalam sistem di mana mereka
memiliki kekuatan internal yang cenderung untuk menarik hal-hal bersama-
sama.Jika kekuatan ini tidak dipahami, maka diusulkan perubahan tidak akan
bekerja. Kekuatan ini telah digambarkan sebagai berikut:
Sebuah sistem akan bertindak seperti jaring elastis yang kuat - ketika Anda
menarik salah satu bagian dari posisi itu akan tinggal di sana selama Anda
benar-benar mengerahkan kekuatan di atasnya. Ketika Anda membiarkan
pergi, Anda mungkin akan terkejut dan kesal bahwa mata air kembali ke
tempat itu sebelumnya. Namun ketika Anda melihat ketegaran ini sebagai
bagian dari sistem daripada kedengkian terisolasi, perlawanan itu tidak
hanya dimengerti tapi inevitable.6
Kembali ke tahapan RBSA, ada sejumlah hal yang harus dipertimbangkan pada
setiap tahap:
1. Tentukan tujuan yang jelas untuk panggung. Apa yang kita bertujuan
untuk mencapai harus dinyatakan dengan jelas pada setiap tahap sehingga
output aktual dapat diukur terhadap hal ini.
2. Rencana kerja dan pendekatan yang akan diadopsi. Perencanaan

merupakan proses yang berkesinambungan yang terjadi sebelum audit dan
seluruh berbagai tahapan yang disebutkan di atas. Hal ini dimungkinkan untuk
menetapkan anggaran waktu terpisah untuk panggung dan kemudian
berusaha untuk memonitor jam dikenakan sebelum menyelesaikan audit. Hal
ini juga memungkinkan untuk melakukan review pekerjaan sebagai panggung
selesai untuk memberikan pengawasan berkelanjutan proyek dengan
manajemen audit.
3. Mendapatkan pemahaman yang baik tentang risiko dengan operasi ini

dapat dicapai melalui analisis, diskusi dengan staf klien atau melalui lokakarya
terstruktur di mana anggota tim klien mempertimbangkan risiko mereka dan
bagaimana mereka berdampak pada bisnis dan tim tujuan mereka.
4. Mendefinisikan strategi pengujian. Pengujian diterapkan pada pemastian

(walkthrough), kepatuhan (setelah evaluasi) dan pengujian substantif (setelah
evaluasi dan kepatuhan tes). Program kerja rinci dapat disusun dan disepakati
sebagai tahap yang sesuai tiba di.
5. Menentukan teknik yang akan digunakan. Teknik Audit seperti

wawancara, flowcharting, interogasi basis data, kontrol self-assessment,
negosiasi dan sampling statistik harus disepakati lagi pada tahap yang relevan
dari audit. Hal ini akan membantu waktu kerja dan memungkinkan tambahan
pada keterampilan perlu diidentifikasi.
6. Staf singkat bekerja pada proyek. Dengan pendekatan tim, hal ini berguna
untuk memecah setiap tahap sehingga briefing dapat diadakan untuk
membahas masalah daerah, kemajuan dan hal-hal lain. Tidak hanya akan
tindakan ini sebagai perangkat umpan balik tetapi juga akan mempromosikan
tim bekerja di mana ide-ide dipertukarkan.
7. Memastikan bahwa pekerjaan secara formal

didokumentasikan. Dokumentasi Standar menjamin semua poin kunci yang
dibahas dan bahwa pekerjaan sepenuhnya direkam. Akhir tahap ini adalah
waktu yang tepat untuk mempertimbangkan apakah dokumentasi memenuhi
standar kualitas (sesuai dengan pedoman audit) dan berisi semua detail yang
diperlukan. Kesempatan untuk mendapatkan materi yang hilang adalah lebih
mudah tersedia selama dan tidak setelah audit. Ada link yang jelas antara ini
dan manajer audit ulasan prosedur.
8. Carilah tingkat resiko yang tinggi tak tanggung-tanggung Ini adalah

praktik yang baik untuk melaporkan sebagai audit berlangsung untuk
menghemat waktu dan memastikan bahwa laporan segar dan dinamis. Auditor
memiliki kesempatan untuk menilai dampak dari pekerjaan yang dilakukan
sejauh laporan dan strategi pengujian yang harus dikembangkan pada tahap
tertentu. Rincian dari risiko yang berlebihan bisa masuk laporan selama
dampak telah diuji. Sejak evaluasi risiko terjadi sepanjang audit, seluruh paket
dari pandangan tentang kemampuan kontrol kunci untuk mengurangi risiko
dikembangkan sebagai pekerjaan berlangsung. Ini adalah bagian utama dari
pekerjaan auditor.
9. Setuju pada arah kerja untuk tahap berikutnya Hubungan antara tahap
datang secara alami dari pendekatan sistem untuk audit sebagai salah satu
bergerak dengan lancar dari satu ke yang lain. Arah tahap berikutnya harus
dipertimbangkan oleh auditor tidak hanya dari sudut pandang perencanaan
pandang, tetapi juga dari perspektif yang lebih luas dari apakah pekerjaan
harus diperluas, dibatasi atau disesuaikan. Ini adalah titik di mana untuk
membahas masalah dengan manajer
audit dan juga menyarankan bahwa
tahap tersebut selesai.
Masalah Sistem kunci
Dalam RBSA sebuah, auditor akan

mengomentari penentuan spesifik keadaan
kontrol yang demiliki ditinjau, seperti pada
Gambar 7.7 menunjukkan:
Rutinitas pengujian rinci dan diskusi

komprehensif dengan manajemen semua
berkontribusi untuk kontrol yang lebih
baik. Obsesi dengan mekanisme
melakukan audit dan pemeriksaan dekat
dari file dan data seharusnya tidak
mengurangi titik ini. Auditor harus pada
akhir hari siap untuk mengomentari sistem pengendalian internal dan apakah
kontrol ini menjaga terhadap semua risiko material. Selain itu, sistem untuk
mengelola risiko tergantung pada cara tim kerja klien beroperasi. Kontrol lunak
adalah tentang cara orang berhubungan satu sama lain dan termotivasi (atau
tidak). Ketika sistem dipandang sebagai hubungan yang dinamis, kita dapat lebih
memahami cara rutinitas kontrol dikembangkan dan diterapkan. Mengambil baris
ini, telah dikatakan 'Pertimbangkan tim proyek bisnis. Suasana hati setiap orang
dapat berubah dari waktu ke waktu. Ada banyak, banyak cara yang berbeda mereka
dapat berhubungan satu sama lain. Jadi sistem mungkin memiliki beberapa bagian
tetapi banyak kompleksitas dinamis. Masalah yang terlihat sederhana di permukaan
dapat mengungkapkan banyak kompleksitas dinamis ketika kita menyelidiki
mereka.
Manfaat Audit berbasis Sistem (SBA)
Sumur tahu guru audit internal, Keith Wade (dari kursus catatan yang tidak
dipublikasikan dari program gelar Master, City University Business School, 1991)
berpendapat bahwa SBA memiliki sejumlah manfaat:
1. Hal ini positif dan melihat ke depan dan mempertimbangkan kekuatan masa
depan sistem kontrol yang bertentangan dengan mengisolasi dan pelaporan
serangkaian kesalahan masa lalu.
2. Mempromosikan partisipasi dengan melibatkan klien dalam menjelaskan

sistem dan tujuannya.
3. Mempromosikan profesionalisme sebagai lawan mengaduk-aduk auditor yang

ahli di dasar rutinitas pengujian ekstensif.
4. Ini mencakup segala sesuatu dengan yang berbasis pada sistem dalam
operasi.
5. Hal ini konstruktif dalam upaya memperbaiki sistem.
6. Hal ini kesalahan pencegahan dan pandangan dalam hal mencegah mereka
di masa depan daripada daftar mereka bagi manajemen untuk memproses
ulang.
7. Hal ini dapat diarahkan ke pengembangan karir sebagai sistem auditor yang
berpengalaman mampu mengatasi operasi yang sangat rumit.
8. Mempromosikan penghormatan dengan mengharuskan auditor untuk

memahami sistem dan kebutuhan klien.
9. Ini mengembangkan auditor sebagai ahli dalam kontrol daripada catur

manajemen.
10.Ada potensi yang tak terbatas untuk memperluas sistem audit ke dalam
semua kegiatan organisasi.
11.Auditor umumnya merasa lebih menarik dengan penekanan dari transaksi

pengujian.
12.Hal ini dapat bertindak sebagai bantuan penting untuk manajemen dengan
efek jangka panjang dalam memperkuat kontrol.
13.Hal ini dapat menjadi sangat efisien penggunaan sumber daya audit karena
mencari penyebab masalah dan bukan hanya kesalahan konsekuensial.
14.Karena tidak kesalahan berorientasi, tidak karena itu dilihat sebagai negatif
oleh manajemen.
15.Hal ini sistematis, dan bidang utama dapat diidentifikasi dan diisolasi untuk
perhatian lebih lanjut.
16.Ini memiliki cakupan luas dan aplikasi dan dapat digunakan untuk mengaudit
hampir semua hal.Dimana audit internal menekankan program pengujian dan
kunjungan kejujuran, penyelidikan penipuan, inspeksi kepatuhan, ulasan VFM
dan kepatuhan kontrak, ini merupakan indikasi dari pendekatan audit
transaksi. Implikasinya adalah bahwa kriteria keberhasilan audit yang jatuh di
sekitar kesalahan yang dapat ditemukan sebagai lawan kontrol yang dapat
ditingkatkan. Ini 'industri error' harus memiliki sistem yang lemah untuk
bertahan hidup dan berkembang secara total konflik dengan pendekatan
sistem berbasis. Seluruh tentara catur dapat digunakan untuk mencari dan
melaporkan masalah menggunakan staf junior dengan 'mari kita menangkap
mereka' sikap yang menetapkan nada ancaman dan intimidasi. Pendekatan
ini mengarah ke sistem yang kurang terkontrol yang mengalahkan tujuan
audit profesional yang adalah untuk meninjau dan memastikan manajemen
telah memasang kontrol yang memadai atas sumber daya organisasi.
Gambar 7.8 menunjukkan bagaimana kontrol ketika diabaikan cenderung
memecah, memperkuat kebutuhan untuk menguji kesalahan. Sebuah
pendekatan tercerahkan untuk mengatasi audit internal adalah untuk melihat
organisasi sebagai kumpulan layanan yang disediakan secara internal
maupun eksternal. Hal ini didasarkan pada sejumlah prinsip:
1. Organisasi ini dipandang sebagai serangkaian unit bisnis di mana manajemen

lokal dianggap bertanggung jawab untuk memberikan tingkat didefinisikan
dan kualitas layanan.
2. Sistem pengendalian intern harus di

tempat untuk mengurangi risiko yang
mempengaruhi tujuan yang
dinyatakan.
3. Berbagai dukungan fungsi fungsional

termasuk standar perusahaan
keuangan, operasional, informasi dan
lainnya berada di bawah ulasan ini jika
mereka berdampak pada tujuan bisnis.
Pendekatan ini dicontohkan dalam

otoritas lokal di mana satu hanya perlu
mendapatkan direktori layanan seperti
perpustakaan, perawatan anak, sekolah, menolak koleksi, jalan raya perbaikan,
perumahan, pusat olahraga dan ratusan layanan yang unik. Setiap layanan
kemudian menjadi unit audit dan tunduk pada penutup audit. Ini jelas pandangan
subjektif organisasi tapi alamat jelas masalah mendefinisikan sistem secara tepat
sejalan dengan pendekatan tingkat tinggi untuk layanan berbasis sistem audit
seperti pada Gambar 7.9.
Pendekatan di atas dapat diterapkan sebagai berikut:
1. Daftar semua layanan (unit bisnis).
2. layanan dukungan Daftar.
3. Terapkan penilaian risiko untuk layanan ini.
4. Buatlah perencanaan
audit.
5. Audit setiap layanan

dengan menerapkan berbasis
risiko pendekatan sistem.
6. Lakukan investigasi khusus

ke dalam area masalah
menggunakan sumber daya
disisihkan untuk pekerjaan
konsultasi.
Andy Wynne pada Sistem
Andy Wynne dari ACCA telah menyiapkan kertas untuk buku pegangan pada sistem
audit:
.Pemeriksaan pra-pembayaran, substantif pengujian atau sistem audit

yang -? Apa peran yang paling efektif untuk audit internal Asal-usul audit
internal adalah sebagai pemeriksaan internal pada akurasi dan validitas semua
pembayaran yang dilakukan oleh sebuah organisasi. Tidak ada pembayaran bisa
dibuat tanpa terlebih dahulu diperiksa dan dicap untuk pembayaran oleh staf audit
internalbagian. Praktik audit internal sekarang membentuk spektrum dari peran ini
asli dari audit internal untuk sistem audit. Yang terakhir ini terdiri dari ulasan audit
internal dari sistem pengendalian internal dengan pengujian hanya terbatas kontrol
internal untuk memastikan bahwa mereka benar-benar diterapkan sesuai
kebutuhan. Itu Dikombinasikan Kode London Stock Exchange membutuhkan dewan
semua perusahaan yang terdaftar untuk 'mempertahankan sistem pengendalian
internal untuk menjaga pemegang saham investasi' dan bahwa'direksi
harus . . . Melakukan peninjauan efektivitas sistem kelompok internal kontrol
'. Dalam kebanyakan perusahaan direksi akan mengandalkan fungsi audit internal
perusahaan untuk secara langsung melakukan ulasan ini pengendalian
internal. Banyak orang akan setuju bahwa tujuan dari audit internal adalah untuk
membantu memastikan bahwa sistem pengendalian internal entitas memadai
danefektif. Memadai dapat ditafsirkan sebagai berarti cocok untuk tujuan, sehingga
dalam konteks internal kontrol, bahwa kontrol yang tepat dan bahwa mereka benar-
benar dimanfaatkan secara rutin. Efektivitas jangka tampaknya menuntut lebih dari
ini dan menyiratkan suatu kepentingan yang sebenarnya hasil dari kontrol, misalnya
memastikan bahwa transaksi sebenarnya yang tepat, akurat dan valid.Akibatnya,
jika audit internal adalah untuk menyimpulkan apakah suatu pengendalian
internal sistem yang efektif harus melakukan setidaknya beberapa pengujian
substantif untuk mengkonfirmasi apakah atau tidak kontrol internal telah beroperasi
seperti yang diharapkan dan dengan demikian memastikan bahwa transaksi
yang akurat dan valid. Selain itu, audit eksternal akan sering mengandalkan audit
internal dan sebagai bagian dari ini ketergantungan, mungkin berharap audit
internal untuk melakukan gelar transaksi substantif yang telah diproses oleh sistem
keuangan utama. Pemeriksaan audit pra-pembayaran (atau pre-audit untuk
pendek)adalah pemeriksaan voucher pembayaran dan dokumen lain sebelum
pembayaran terkait dibuat. Tujuan dari pra-audit adalah untuk memastikan bahwa
pembayaran yang dilakukan adalah:
valid
diperlukan dan akurat dan
pengeluaran ini sejalan dengan anggaran yang disetujui
Keuntungan dari pre-audit dikatakan bahwa hal itu dapat membantu untuk:
memastikan bahwa semua pengeluaran yang diperlukan dan tepat;
memastikan bahwa semua pembayaran telah diotorisasi sebelum

dilakukan;
memastikan pengeluaran yang sesuai dengan hukum dan peraturan yang

relevan mencegah penipuan manajemen;
mengurangi timbulnya fraud atau penyimpangan;
mengkonfirmasi keakuratan klasifikasi dan pengkodean pengeluaran; dan
memastikan akurasi hitung dari transaksi yang diperiksa.
Pendekatan pre-audit untuk audit internal ditemukan dalam banyak

pemerintah Afrika, tetapi juga di Perancis, Portugal, Spanyol dan negara-negara
Eropa kontinental lainnya dengan tradisi hukum berdasarkan Kode Napoleon. Di
negara-negara ini, penekanan diletakkan pada kontrol yang dilakukan oleh
organisasi pihak ketiga, di pusat pemerintahan, sering agen dari kementerian
keuangan atau pelayanan itu sendiri. lembaga ini mungkin sering audit internal dan
sampai saat ini ini adalah pendekatan yang diadopsi oleh Komisi Eropa. Setelah
kritik oleh Parlemen Eropa dari praktek manajemen keuangan dalam Komisi Eropa,
yang menyebabkan pengunduran diri dari seluruh Komisi pada Maret 1999, Komite
Independen Ahli didirikan. Komite ini menyimpulkan bahwa 'keberadaan prosedur
dimana semua transaksi harus menerima persetujuan terlebih dahulu eksplisit dari
layanan kontrol keuangan tersendiri telah menjadi faktor utama dalam mengurangi
manajer Komisi rasa tanggung jawab pribadi untuk operasi mereka wewenang saat
melakukan sedikit atau tidak untuk mencegah penyimpangan serius. '
Ini melanjutkan dengan mengatakan bahwa:
praktis pilihan ini apa pun (im), Komite terus memiliki keberatan yang kuat
tentang mereka pada dua poin dari prinsip. Pertama,ex ante pengecekan,
apakah itu bersifat universal atau atas dasar sampling, tidak mungkin proses
hemat biaya: upaya dimasukkan ke memeriksa semua transaksi adalah jelas
tidak proporsional, sedangkan pengambilan sampel tidak mungkin memiliki
efek beralasan cukup. Kedua, dan fundamental, prinsipnya adalah bahwa
setiap retensi ex ante control berjalan melawan keberatan penting bahwa, de
facto jika tidak de jure , yang dipindahkan tanggung jawab untuk keteraturan
keuangan dari orang benar-benar mengelola pengeluaran ke orang
menyetujui hal itu. Perpindahan ini tanggung jawab yang berarti berlaku
bahwa tidak ada orang yang bertanggung jawab. "
Komite juga merekomendasikan bahwa Layanan Internal Audit profesional

dan independen harus dibentuk melapor langsung kepada Presiden Komisi, bahwa
fungsi pra-audit terpusat yang ada harus ditiadakan, dan bahwa pengendalian
internal - sebagai bagian terpadu dari manajemen lini - harus didesentralisasikan ke
Direktorat Jenderal di Komisi. Komisi mengumumkan pada Januari 2000 bahwa itu
akan menerima rekomendasi ini, dan reorganisasi dari layanan Komisi dirilis tahun
itu termasuk pembentukan layanan audit internal yang independen dari pre-audit
atau fungsi kontrol keuangan. Gema dari pendekatan pra-audit juga dapat
ditemukan di beberapa bagian audit internal Inggris, terutama di pemerintah
daerah. Berikut audit internal masih dapat diharapkan untuk meninjau rekening
akhir skema modal utama sebelum pembayaran akhir dapat dilakukan terhadap
kontraktor. Sebaliknya, sistem audit melibatkan auditor internal mengkaji
kecukupan sistem pengendalian dan membuat komentar tentang ini bukan pada
akurasi atau validitas output aktual dari sistem. Pendekatan sistem ini tidak berarti
bahwa pengujian substantif langsung transaksi ditinggalkan. Namun, edisi 1996 dari
Inggris Pedoman Audit Intern Pemerintah menyatakan bahwa pengujian substantif
adalah 'biasanya tidak ekonomis' dan 'memiliki peran yang terbatas untuk bermain
dalam sistem audit.' Sebagai buntut dari runtuhnya Andersens, yang dihasilkan dari
pekerjaan audit eksternal di Enron, itu mungkin bahwa akan ada peningkatan
penekanan pada peran pekerjaan audit substantif dalam audit eksternal.Demikian
pula, telah ada beberapa pembicaraan tentang peran yang lebih besar untuk audit
internal dan mungkin ada tekanan yang sebanding untuk audit internal untuk
kembali ke pengujian lebih langsung transaksi daripada berkonsentrasi pada upaya
pengendalian internal, kecukupan dan kehandalan mereka. Manfaat penuh dari
audit internal hanya dapat dicapai jika manajer dan auditor internal berbagi
persepsi yang sama dari tanggung jawab bersama. Pandangan auditor internal
karena hanya auditor kepatuhan mungkin menunjukkan pemahaman yang terbatas
peran audit internal modern dan juga kurangnya pemahaman dari berbagai
tanggung jawab Inggris Pedoman Audit Intern Pemerintah menyatakan bahwa
pengujian substantif adalah 'biasanya tidak ekonomis' dan ' memiliki peran yang
terbatas untuk bermain dalam sistem audit. ' Sebagai buntut dari runtuhnya
Andersens, yang dihasilkan dari pekerjaan audit eksternal di Enron, itu mungkin
bahwa akan ada peningkatan penekanan pada peran pekerjaan audit substantif
dalam audit eksternal.Demikian pula, telah ada beberapa pembicaraan tentang
peran yang lebih besar untuk audit internal dan mungkin ada tekanan yang
sebanding untuk audit internal untuk kembali ke pengujian lebih langsung transaksi
daripada berkonsentrasi pada upaya pengendalian internal, kecukupan dan
kehandalan mereka. Manfaat penuh dari audit internal hanya dapat dicapai jika
manajer dan auditor internal berbagi persepsi yang sama dari tanggung jawab
bersama. Pandangan auditor internal karena hanya auditor kepatuhan mungkin
menunjukkan pemahaman yang terbatas peran audit internal modern dan juga
kurangnya pemahaman tentang berbagai tanggung jawab yang manajer sendiri
harus memiliki. Auditor internal harus bekerja dengan manajer untuk memfasilitasi
pengenalan sistem kontrol yang efektif. Sistem ini akan mencakup:
orde pertama kontrol untuk mengatasi semua risiko yang signifikan;
orde kedua kontrol untuk memastikan bahwa pemeriksaan secara teratur

dilaksanakan untuk memastikan bahwa semua kontrol dipatuhi; dan
orde ketiga kontrol untuk memastikan bahwa prosedur pengendalian secara

berkala untuk memastikan mereka berubah dan beradaptasi dalam
menanggapi lingkungan risiko berubah.
Auditor internal juga harus membantu untuk mendidik para manajer untuk
memastikan bahwa mereka menerima, dan memahami, berbagai tanggung jawab
mereka untuk kontrol internal. Tanggung jawab manajerial harus mencakup
merancang kontrol yang memadai;
memastikan kepatuhan dengan kontrol yang diperlukan; dan
reguler ulasan dan revisi kontrol internal.
Tugas auditor internal kemudian meninjau sistem pengendalian internal untuk

memastikan bahwa manajer telah memadai memenuhi masing-masing tiga set ini
tanggung jawab. auditor internal juga harus memberitahu manajer pada kontrol
yang tepat, pemeriksaan kepatuhan dan prosedur review yang mereka harus
mengadopsi. Ini adalah sistem audit. Sebuah organisasi dengan sistem audit yang
efektif lebih mungkin untuk memiliki sistem kontrol yang efektif; kurang
kemungkinan untuk menderita berbagai risiko itu terkena; dan lebih mungkin untuk
menjadi sukses.
Ada beberapa tugas penting bahwa auditor perlu melakukan untuk

memastikan pekerjaan dilakukan dengan perawatan profesional karena. The IIA
Atribut Standar 1220.A1 membahas minimum yang harus diperhatikan selama
audit:
Tingkat pekerjaan yang diperlukan

untuk mencapai pertunangan ' tujuan
s;
kompleksitas relatif, materialitas, atau

arti dari hal-hal yang prosedur
jaminan yang diterapkan;
Kecukupan dan efektivitas

pemerintahan, manajemen risiko, dan
proses kontrol;
Kemungkinan kesalahan yang signifikan, penipuan, atau ketidakpatuhan; dan
Biaya jaminan dalam kaitannya dengan potensi manfaat.
Sistem Bisnis
Hal ini dimungkinkan untuk melihat semua bisnis sebagai serangkaian sistem
yang mencakup operasi, manajemen keuangan, layanan dukungan, proses,
bermitra pengaturan dan sebagainya. Sistem bisnis diilustrasikan pada Gambar
7.10. Untuk mempermudah, kami telah rusak organisasi ke dalam tiga jenis elemen:
1. Tim - kelompok orang yang ditentukan disatukan untuk tujuan memberikan

tujuan yang ditetapkan. Sebagai contoh, tim operasional yang bekerja di
produksi. Audit internal juga merupakan salah satu tim tersebut.
2. Proses - fungsi yang berjalan di sebuah organisasi seperti prosedur keluhan

atau sistem manajemen kinerja.
3. Proyek - sumber sementara ditugaskan untuk mengembangkan sistem baru

atau produk, misalnya, sebuah proyek untuk merancang dan menerapkan
sistem informasi baru.
Untuk semua bagian organisasi, akan ada tujuan yang ditetapkan, risiko dan
strategi manajemen risiko untuk mengatasi risiko ini. Oleh karena itu semua sistem
seperti di seluruh organisasi dapat ditinjau oleh audit internal sebagaimana
tercantum dalam Gambar 7.11.
Fungsi audit internal akan memeriksa aspek dari sistem untuk mengelola
risiko yang termasuk dalam disepakati kerangka acuan untuk audit yang
bersangkutan. Audit akan memastikan tujuan dan sistem untuk memberikan tujuan
tersebut, dan mengevaluasi apakah kontrol di tempat yang mampu menangani
risiko secara signifikan yang mendapatkan di jalan mencapai tujuan. Pengujian akan
menentukan apakah apa yang harus terjadi yang sebenarnya terjadi dalam praktek
dan memberikan bukti untuk mendukung opini audit.Produk dari audit internal
adalah jaminan atas risiko cara sedang dikelola, rekomendasi untuk perbaikan mana
yang sesuai dan validasi objektif praktik saat ini diadopsi oleh manajemen. Audit
juga akan mempertimbangkan umpan balik dalam sistem dan bagaimana
manajemen mampu mengukur hasil yang diharapkan terhadap hasil aktual
sehingga sistem dapat disesuaikan untuk memastikan perbaikan. Semua ini feed ke
dalam pernyataan di pengendalian internal suatu membantu memastikan hasil yang
diinginkan tercapai.Kami akan melihat self-assessment (CRSA) di bagian depan dan
bagaimana teknik ini dapat digunakan untuk mendapatkan sistem yang lebih baik
untuk mengelola risiko. Sistem audit dimaksudkan untuk memberikan tinjauan
objektif dari sistem di tangan tapi di sini
kita harus mengeluarkan kata
peringatan tentang betapa auditor
internal dapat mencapai, dan di mana
batas-batas berbohong. objektivitas
lengkap tidak mungkin, bahkan di mana
auditor benar-benar memihak, karena
proses audit tidak dapat dihapus dan
terpisah dari sistem yang
diaudit. Keterbatasan ini harus dihargai
oleh auditor dan telah digambarkan rapi
oleh Joseph O'Connor dan Ian
McDermott:
Dalam analisis akhir tidak akan

pernah ada objektivitas akhir,
karena Anda tidak pernah bisa berdiri di luar sistem yang Anda adalah bagian
karena Anda tidak akan ada. Total objektivitas ada artinya karena tidak ada
pengamat untuk menggambarkan hal itu. Jadi apakah Anda sedang subjektif
atau objektif tergantung pada bagaimana Anda mendefinisikan batas dari
sistem Anda considering.
Sistem lembut
Beberapa berpendapat bahwa sistem bisnis yang begitu rumit sehingga

auditor perlu mengadopsi cara-cara yang lebih canggih dari menganalisis
mereka. Pendekatan standar untuk meninjau sistem toko adalah untuk mengisolasi
sistem tujuan, katakanlah, toko pasokan untuk siklus produksi organisasi dengan
akurat menentukan barang / jasa yang dibutuhkan dan mereka beli dengan biaya
minimum dengan memperhatikan kualitas dan pengiriman persyaratan. Kami
kemudian dapat pergi untuk memutuskan tujuan kontrol yang tepat dari,
katakanlah, menjaga saham rendah,
memastikan tidak ada saham-out, hanya
pesanan yang valid yang disediakan,
mengidentifikasi kebutuhan pengguna dan
sebagainya. Risiko untuk mencapai tujuan
pengendalian tersebut akan dipastikan
kemudian mekanisme kontrol saat ini seperti
sistem yang kuat informasi, prosedur toko dan
persediaan, manajer toko kepala dan
sebagainya, akan dipertimbangkan dalam hal
apakah, secara kolektif, mereka mampu benar
mengelola risiko didefinisikan. Pendekatan
analisis sistem yang lembut akan
menggunakan bentuk logika fuzzy untuk
melihat situasi dengan masalah rekonsiliasi
saham rendah memegang dengan risiko
saham-out dan mencoba untuk membangun
sebuah model konseptual untuk mengelola
risiko bersaing. Model ini akan membahas akar
penyebab masalah dan motivasi dan menyesuaikan praktek saat ini untuk mencari
solusi yang lebih baik yang masuk akal untuk staf yang bekerja di daerah yang
bersangkutan. Sistem lembut pendekatan akan mengatasi asumsi dan posisi yang
diambil oleh interpretasi masyarakat terhadap sistem dan mencoba untuk bekerja
melalui perbaikan setuju dengan membawa sudut pandang semua pihak yang
berkepentingan 'lebih dekat bersama-sama. Sebuah sistem review yang bergantung
pada interpretasi hitam dan putih, yang mengabaikan cara orang melihat kontribusi
mereka, akan gagal untuk mengatasi masalah nyata. kunjungan lagi ke seni berpikir
sistem akan berguna di sini sebagai kata akhir pada sistem:
Jadi mencari efek dekat dengan penyebabnya bisa membawa kita ke

kesimpulan palsu. Kami juga dapat disesatkan oleh penjelasan yang masuk
akal karena kita cenderung untuk mencari peristiwa yang menyediakan
model ourpre-ada. Ingat bahwa dalam sistem berpikir penjelasan tidak
terletak pada penyebab tunggal yang berbeda, tetapi dalam struktur sistem
dan hubungan dalam it.
7.8. Pengendalian Risiko Self-assessment (CRSA)

CRSA adalah alat yang digunakan oleh perusahaan untuk mempromosikan
manajemen risiko dalam tim, proyek, melalui proses dan umumnya di seluruh
organisasi. Alat ini dapat digunakan oleh dewan eksekutif, mitra, manajemen
menengah, tim kerja dan, tentu saja, audit internal. Dengan kata lain, CRSA
merupakan sebuah alat manajemen dan teknik audit yang tergantung pada apa
yang CAE ingin berlaku untuk proses audit dan pandangan dari badan
hukum. Dalam bentuk yang paling murni, CSA mengintegrasikan tujuan bisnis dan
risiko dan proses kontrol. Kembali
ke model sistem bisnis, kami
menggambarkan di mana CRSA
cocok ke proses pengelolaan risiko
pada Gambar 7.12.
Semua sistem bisnis

memiliki tujuan, risiko dan cara
mengelola risiko ini. CRSA adalah
proses untuk menyetujui tujuan
yang ditetapkan, mengidentifikasi
risiko yang melekat yang
menghentikan salah satu dari
pencapaian tujuan dan kemudian
bekerja yang risiko yang paling
signifikan. Bab 3 tentang manajemen risiko memberikan informasi tentang siklus
manajemen risiko dan risiko cara dapat dikategorikan dan dinilai. Bagian ini hanya
menjelaskan teknik CRSA di mana ia digunakan dalam modus lokakarya. Setelah
mengisolasi risiko utama, anggota tim akan pergi untuk memperbaiki strategi
mereka untuk mengelola risiko, yang akan cenderung berfokus pada pengendalian
internal sebagai komponen utama dari strategi. Catatan Bab bahwa 4 penawaran
dengan pengendalian internal dalam beberapa detail.Memungkinkan tim kerja (atau
tim proyek, atau perwakilan dari proses cross-organisasi) untuk menilai strategi
manajemen risiko mereka mengarah ke pemahaman yang lebih baik tentang risiko
tertentu dan kontrol yang bersangkutan, untuk lebih membeli-in sebagai orang
setuju pada pendekatan mereka dan untuk memastikan rencana aksi yang
realistis. The CRSA pendekatan memperkuat pandangan bahwa tanggung jawab
untuk kontrol terletak pada orang-orang yang mengoperasikannya dan orang-orang
yang mengelola operasi.
CRSA dan Pengendalian Intern
Beberapa melihat lokakarya CRSA sebagai cara untuk mengembangkan

rencana kontingensi untuk melindungi kepentingan bisnis dan untuk usaha baru
yang sedang dikembangkan. Bahkan, banyak yang melihat pengendalian internal
sebagai terutama berkaitan dengan pemulihan bencana dan perencanaan
kontingensi, terutama dalam menanggapi ancaman ancaman teroris. Banyak
lokakarya risiko fokus pada mempertahankan staf kunci, dan menyediakan
pengaturan back-up untuk tokoh senior atau spesialis atas dalam hal kecelakaan
atau alasan lain untuk non-ketersediaan mereka. lokakarya lainnya berkonsentrasi
pada proyek-proyek tertentu dan cara mengelola risiko untuk proyek yang lebih
besar dan lebih penting. Pandangan tradisional pengendalian internal berkaitan
mereka untuk langkah-langkah seperti otorisasi dan pemisahan tugas digunakan
sebagai contoh dalam sistem akuntansi dasar. Salah satu cara untuk menganalisis
dilema ini adalah untuk menunjukkan bahwa ada empat jenis utama dari
lingkungan yang cenderung tunduk pada penilaian risiko yang terdiri dari proses,
proyek, orang dan kesiapan sebagaimana diatur dalam Gambar 7.13.
Sementara dalam prakteknya ada banyak jenis acara CRSA, kami dapat
menyarankan empat pendekatan dasar:
1. Proses Berikut CRSA digunakan untuk meninjau kontrol khas ditemukan dalam
proses bisnis dengan maksud untuk memeriksa apakah kontrol yang kuat dan
memenuhi. Sebuah contoh mungkin workshop CRSA untuk tim keuangan yang
mempersiapkan kelompok rekening akhir. Kontrol dasar atas informasi,
penyesuaian, sistem feeder, menutup rekening, rekonsiliasi dan sebagainya akan
dipertimbangkan dalam terang mengubah risiko (misalnya risiko salah saji
keuangan) dan kontrol fine-tuned di mana diperlukan. Kepatuhan dengan kontrol
ini juga menjadi pertimbangan utama. Sistem pengendalian internal akan
cenderung berputar di sekitar prosedur set dan sistem informasi, yaitu, ' kontrol
keras untuk memastikan hal-hal yang dilakukan dengan benar ' .
2. Proyek CRSA ini acara akan menjadi bagian dari penilaian risiko standar dan
persiapan register risiko yang paling metodologi manajemen proyek
merekomendasikan. Risiko proyek akan terdiri dari kombinasi proyek yang salah
dan hasilnya menjadi miskin, terlambat atau melebihi anggaran. Kontrol akan
berputar di sekitar jalan proyek dikelola dan, jika ini melibatkan usaha baru yang
besar, seluruh rangkaian kontrol baru mungkin dirancang dan
diterapkan. Fokusnya adalah pada inovasi dan fleksibilitas dan produksi merek
baru kontrol yang sesuai dengan tagihan. Selain itu, risiko juga dapat dilihat
sebagai risiko terbalik itu berarti kita mengambil kontrol berlebihan untuk
memastikan peluang baru dapat dimanfaatkan.
3. Orang Beberapa lokakarya CRSA mencoba untuk mengatasi masalah orang

sebagai pendorong utama. Berikut isu dan masalah yang mempengaruhi cara
tim beroperasi dan berhubungan satu sama lain dalam mengejar tujuan bisnis
dianggap. Idenya adalah untuk mengisolasi masalah (risiko) dan solusi (kontrol)
untuk mendorong kinerja yang lebih baik. Fokus pada kontrol lembut dalam hal
isu-isu orang adalah faktor kunci yang mendorong
jenis perilaku lokakarya. Mengalami CRSA pendukung seperti Paul Makosztelah
dipromosikan pentingnya kontrol lembut dan menggambarkan mereka sebagai
raksasa tidur. Selain itu, James Roth telah menyarankan bahwa ' Anda benar-
benar memiliki risiko audit kurang bila Anda mencurahkan waktu untuk
mengevaluasi kontrol lembut, karena mereka lebih penting untuk mengendalikan
suatu organisasi dari kegiatan pengendalian keras ' .10 Dalam satu lokakarya
berbasis CRSA latar belakang adalah untuk mengidentifikasi mengapa operasi
menderita disfungsi dan untuk:
mengidentifikasi inhibitor saat yang mencegah tim dari melakukan untuk

yang terbaik dari standar kelas;
membayangkan bagaimana layanan dapat meningkatkan dalam jangka

pendek, menengah dan panjang;
menelusuri pada masing-masing inhibitor untuk mengidentifikasi proses
dan sistem kegagalan atau kelemahan yang akan mencegah atau
menghambat perbaikan layanan;
mengembangkan rencana aksi rinci diperlukan untuk layanan untuk

meningkatkan;
berbagi praktek terbaik sedapat mungkin untuk membantu perbaikan

sistem / proses. Lokakarya ini berusaha untuk menilai risiko yang dapat
mencegah atau mempercepat pencapaian tujuan bisnis dan dianggap:
1. bagaimana tim melihat dirinya;
2. bagaimana tim ingin melihat sendiri;
3. perubahan apa yang diperlukan untuk sampai ke sana.
Temuan dari acara tersebut termasuk berikut
risiko signifikan dan ancaman menghadapi operasi.
Risiko ini tidak dikelola dengan baik.
Kontrol fokus reaktif, bukan proaktif.
Pengoperasian tidak berkinerja baik sebagai sebuah tim.
Tidak ada tujuan layanan dipahami dengan jelas.
Banyak silo berada di tempat berdasarkan mana staf berdiri dalam

hirarki.
ini telah menimbulkan budaya menyalahkan - tidak ada kepemilikan

kolektif dari masalah.
Semua staf ingin melihat perbaikan.
Ada persepsi yang berbeda dari masalah dari staf, supervisor dan
manajer.
Serangkaian kelompok fokus didirikan untuk mengatasi masalah dan membantu

meningkatkan layanan berdasarkan rencana aksi dan baru menyepakati visi untuk
layanan ini.
4. Kesiapan Jenis lokakarya semakin populer dan terdiri dari mempertimbangkan

jenis risiko yang dapat mempengaruhi integritas sumber daya perusahaan,
yaitu, bangunan, staf, pengetahuan, sistem informasi dan produk atau
jasa. Konteksnya adalah kesadaran yang tinggi dari kecelakaan, sabotase,
terorisme dan bencana alam yang dapat memusnahkan semalam aset
perusahaan. Lokakarya ini berkonsentrasi pada perencanaan skenario dan
hasilnya dalam strategi mitigasi risiko, asuransi dan rencana kontinjensi
sepenuhnya dibiayai. Banyak orang sekarang melihat risiko sebagai terutama
terkait dengan bencana skala luas yang dapat menghentikan sebuah organisasi
di jalurnya. Penekanannya adalah pada perlindungan aset dan mengandung
kerusakan potensial untuk operasi lanjutan dari bisnis.
Hal ini penting untuk memahami jenis (atau campuran jenis) dari peristiwa CRSA
sedang ditargetkan. Ada gunanya dalam mendapatkan tim keuangan untuk
benar-benar mendesain ulang kontrol mereka, ketika banyak berkaitan dengan
menetapkan standar dan persyaratan regulator
Ada sedikit ruang untuk berbicara tentang rutinitas kontrol standar untuk tim
proyek baru yang membuat up aturan saat mereka pergi bersama, dan perlu
pemikiran baru untuk menangani risiko baru. Orang-orang lokakarya
tergantung pada 'outing' orang-orang masalah yang perlu ditangani dan tidak
merancang prosedur sementara mengabaikan hambatan yang jelas untuk
kinerja karena hubungan buruk.
Akhirnya, workshop kesiapan mulai dengan premis bahwa risiko menimbulkan

ancaman nyata dan serius untuk bisnis dan seluruh kantor dapat diambil oleh,
misalnya, serangan teroris. Keberhasilan industri CRSA adalah karena cara
tujuan kelompok / bisnis digunakan sebagai lensa untuk memfokuskan energi
yang dibuat selama lokakarya. Banyak kejadian pengembangan kelompok yang
menyenangkan tapi kehilangan titik, dalam bahwa mereka tidak benar-benar
berhubungan dengan tujuan bisnis. CRSA umumnya positif karena apa pun yang
membawa orang lebih dekat untuk memahami dan mencapai tujuan mereka
adalah berharga.
Latar Belakang CRSA
The IIA mengeluarkan perspektif tentang perkembangan CSA kembali pada

tahun 1998 yang menceritakan tentang sejarah teknik ini:
Kontrol self-assessment, metodologi dimulai pada Teluk Kanada pada tahun

1987, adalah alat yang ampuh yang dapat digunakan untuk menilai
efektivitas pengendalian serta proses bisnis dalam organisasi. Pendekatan
yang Teluk Kanada dikembangkan disebut pendekatan self-assessment
pertemuan difasilitasi. Konsep ini melibatkan manajemen pengumpulan dan
staf untuk wawancara yang berkaitan dengan, dan diskusi, masalah atau
proses tertentu. Hal ini digunakan sebagai mekanisme untuk menilai kontrol
informal atau lembut, serta kontrol keras tradisional. Gulf Kanada melihat
pendekatan ini lebih efektif untuk tujuan CSA dari interviews.11 satu-ke-satu
Audit
David McNamee juga terkait latar belakang untuk CSA:
Control Self Assessment biasanya didefinisikan hanya sebagai keterlibatan

manajemen dan staf dalam penilaian pengendalian internal dalam kelompok
kerja mereka. Ada sejumlah cara untuk mencapai tujuan ini, dari lokakarya
yang sangat interaktif berbasis pada model perilaku di salah satu ujung
spektrum audit diri kuesioner pengendalian internal dikemas di ujung, dan
sejumlah teknik di antara . . . Ada enam metode untuk CSA digunakan saat
ini. Metode berkisar dari yang paling mekanik (kontak manusia mungkin
setidaknya) Audit dikelola sendiri oleh Control Kuesioner Intern (ICQ) untuk
paling perilaku (kontak yang paling manusia) lokakarya kelompok. Banyak
publisitas telah diberikan ke sisi perilaku CSA, tetapi ada praktisi CSA
mendapatkan hasil yang baik dari metode selain processes.12 kelompok
perspektif IIA pada CSA menunjukkan bahwa pendekatan yang dipilih harus
berhubungan dengan budaya dalam organisasi: 'jika budaya mendukung, IIA
merekomendasikan difasilitasi pertemuan tim. Dalam acara budaya perusahaan
tidak mendukung pendekatan CSA partisipatif, tanggapan kuesioner dan analisis
pengendalian internal dapat meningkatkan lingkungan pengendalian. audit internal
harus siap untuk memvalidasi pernyataan apapun pengendalian internal
received.'13 Kembali pada tahun 1993, orang-orang seperti Tom Oxley sudah
berbicara tentang teknik baru:
Apa yang begitu baik tentang pengendalian dan penilaian risiko diri? Hal ini
memaksa manajer dan staf mereka untuk berpikir sangat hati-hati tentang tujuan
mereka dan orang-orang dari organisasi. Hal ini membutuhkan secara sistematis
untuk mengidentifikasi, membahas dan menilai semua risiko yang mereka hadapi,
untuk memutuskan apakah akan menerima risiko ini atau apakah akan mengambil
tindakan untuk mengurangi tingkat risiko dengan mengubah pendekatan mereka
atau mencari cara baru untuk mengendalikan risiko. Akibatnya CRSA menempatkan
tanggung jawab yang jelas untuk kontrol dengan manajer lini, tempatnya; dan
prosedur yang digunakan memastikan bahwa manajer dan staf mereka sepenuhnya
terlibat dalam, serta bertanggung jawab, kontrol dan penilaian risiko. Ini
menyediakan cara yang sangat efektif untuk mengidentifikasi dan menilai risiko
bisnis utama, dan memastikan komitmen yang lebih besar untuk bertindak dengan
manajemen karena ide-ide yang tidak sedang dikenakan pada mereka. Paling
penting dari semua, prosedur memastikan bahwa perhatian difokuskan secara
teratur pada tujuan sebenarnya dari organisasi. Sangat proses identifikasi risiko
memberikan manajer dan staf kesadaran yang lebih jelas tentang apa yang mereka
dan organisasi berusaha untuk mencapai, sesuatu yang kurang dalam banyak
organisations.14
Peran Internal Audit

The IIA telah menerima aspek konsultasi membantu untuk membangun CRSA
dalam organisasi dengan latar belakang keahlian auditor internal di daerah
ini. Profesional Praktek Pamflet 98-2 membuat jelas bahwa 'The IIA
merekomendasikan menggunakan sinergi yang diciptakan oleh interaksi auditor-
fasilitator dan CSA peserta untuk menambah nilai meningkat menjadi organisasi
melalui function.'15 audit internal
Beberapa auditor internal merasa perlu untuk berdiri kembali dari drive CRSA
dan memungkinkan manajemen untuk bertanggung jawab penuh untuk mengelola
risiko operasional. Lain telah dilemparkan sendiri ke dalam pengembangan dan
memimpin dari depan di bawah 'nilai tambah' banner. Yang lain memulai CRSA
dalam organisasi mereka kemudian berdiri kembali dan memvalidasi sistem ketika
telah menetap sampai batas tertentu. Tidak ada solusi yang terbatas dan banyak
tergantung pada pendekatan yang diadopsi. Apapun format akhir, auditor internal
harus dilengkapi dengan keterampilan yang tepat untuk melakukan peran Audit
Perhatikan bahwa bagian berikutnya memiliki rekening singkat keterampilan
fasilitasi. Ada saran lebih lanjut tersedia dari IIA dalam bentuk Praktek Penasehat
2.120,1 dan ekstrak yang bersangkutan pada tempat audit internal cocok ke dalam
persamaan keseluruhan berikut:
Menentukan efektivitas proses self-assessment manajemen melalui

pengamatan, tes langsung kontrol dan monitoring prosedur, pengujian
akurasi informasi yang digunakan dalam kegiatan monitoring, dan teknik lain
yang sesuai.
Aspek positif dari CRSA untuk audit internal di masa lalu telah dikonfirmasi oleh
IIA.UK & Irlandia:
Secara keseluruhan, kami percaya bahwa Internal Audit memiliki peran untuk
bermain dalam setiap CRSA Program tetapi peran ini perlu didefinisikan
secara jelas dan harus sama sekali tidak mengurangi independensi dan peran
penting yang sudah memainkan dalam organisasi . ( Para . 5.12)
Sebagai manajemen lini menjadi lebih mahir dalam penerapan CRSA dan
hasilnya diterima oleh manajemen dan audit yang komite senior, Audit
Internal ' peran dan kontribusi s ke organisasi dapat ditempatkan di bawah
beberapa pengawasan.Penggantian fungsi Internal Audit oleh CRSA didirikan
dan komprehensif Program bisa dilihat dangkal sebagai menghemat biaya
latihan yang menarik. Ini adalah pandangan keliru, karena manajemen dan
pemangku kepentingan lainnya yang kemungkinan akan terus membutuhkan
tingkat jaminan independen. Ini dapat dicapai melalui fungsi Internal Audit
yang efektif. ( Para . 5.13) 16
Apakah Ada Proses CRSA?
Tidak jelas ada salah satu cara untuk melakukan lokakarya CRSA. Dalam
prakteknya, banyak organisasi telah menafsirkan proses agar sesuai dengan cara
orang yang bekerja. Beberapa menyebutnya workshop manajemen risiko
bisnis; beberapa menggambarkan mereka sebagai acara membangun tim berbasis
di sekitar mengklarifikasi tujuan tim. Salah satu organisasi besar menggunakan
proses CRSA untuk melaksanakan program perubahan besar yang melihat tim
regional benar-benar ditata ulang dalam waktu yang singkat dari beberapa enam
bulan. Risiko terbesar yang mereka hadapi tidak mencapai reorganisasi
benar. organisasi lain tidak bisa mendapatkan orang-orang mereka bersama-sama
dalam lokakarya dan hanya bisa menggunakan pendekatan berbasis kuesioner
dengan waktu ekstra ditambahkan ke pertemuan kelompok untuk membahas area
risiko. Mereka kemudian mendirikan sejumlah kecil kelompok perwakilan untuk
menganalisis risiko di proses organisasi-lebar, dan termasuk beberapa stakeholder
untuk memastikan semua pandangan dianggap.Satu otokratis, organisasi berbasis
kantor pusat hanya mengirimkan hasil dari penilaian risiko perusahaan mereka dan
mengatakan kepada orang-orang mereka untuk melakukan sesuatu yang serupa di
kantor lokal mereka. Di sisi lain, badan lebih ke depan harus orang-orang mereka
untuk memeluk proses CRSA dan menerbitkan pedoman untuk tim lengkap dari
fasilitator yang dipimpin oleh petugas risiko kepala; semua dilengkapi dengan
sistem informasi basis data yang canggih untuk setiap daftar risiko dan profil risiko
kode warna, bersama dengan teknologi suara mahal untuk lokakarya. Dalam
prakteknya sering lebih baik untuk memungkinkan setiap organisasi untuk
mengembangkan solusi mereka sendiri daripada mendatangkan konsultan dengan
paket standar industri. Hasil dari pendekatan yang dilakukan ini sedang
dikembangkan dalam budaya yang merupakan bagian dari cara organisasi
bekerja. konsultan eksternal harus benar-benar bekerja bersama orang pemberi
pekerjaan dan melewati keterampilan kepada karyawan. Ketika orang didakwa
dengan menyiapkan CRSA berasal dari departemen keuangan, akan cenderung
menjadi fokus yang sempit pada konsep penilaian risiko. Salah satu pendekatan
terbaik adalah untuk mencari tanggung jawab awal untuk menyiapkan proses
dengan petugas perencanaan perusahaan, sehingga hubungan antara manajemen
risiko, perencanaan dan manajemen kinerja ditetapkan secara jelas. Jika ada
sponsor papan formal, pemantauan ketat oleh komite audit dan seorang petugas
risiko kepala dicalonkan (misalnya dari perencanaan perusahaan), maka kita baik
pada cara untuk keberhasilan pelaksanaan manajemen risiko.
satu Pendekatan
Hal ini dimungkinkan untuk menyebutkan satu pendekatan untuk

mengembangkan CRSA dalam sebuah organisasi, meskipun ini harus tercantum
secara umum saja (perhatikan bahwa lokakarya CRSA rinci harus dilakukan setelah
menyelesaikan staf risiko dan pengendalian seminar kesadaran seperti diuraikan
dalam Bab 2 dan 3:
1. Pastikan petugas risiko yang ditunjuk sepenuhnya berkenalan dengan teori

tata kelola perusahaan, manajemen risiko dan pengendalian.
2. Berbicara dengan perusahaan lain, dan orang-orang yang memiliki

pengalaman dalam mengembangkan CRSA dalam organisasi mereka; atau
menyewa konsultan untuk melakukan seminar tentang topik.
3. Pastikan ada beberapa keahlian yang tersedia di fasilitasi dan keterampilan

terkait.
4. Memperkenalkan konsep CRSA - memberitahu dewan dan komite audit

tentang hal itu dan di mana ia cocok menjadi aspek yang lebih luas dari
manajemen risiko perusahaan-lebar. Jika organisasi memiliki sebuah
konferensi tahunan maka ini akan menjadi kesempatan yang baik untuk
memulai inisiatif.
5. Dapatkan papan untuk mendukung kerangka kontrol yang sesuai yang untuk
engsel sistem pengembangan manajemen risiko. Skor risiko dapat diukur
terhadap model kontrol seperti COSO atau CoCo menggunakan kategori yang
disarankan dalam setiap model.Perlu ada cara mencetak gol atau menyajikan
risiko seperti tindakan Hijau, Amber dan Red yang menggunakan beberapa
organisasi. Bab 3 penawaran dengan topik ini. Beberapa organisasi
mengembangkan serangkaian standar kontrol dalam hal apa yang harus
terjadi, meliputi bidang-bidang seperti etika staf, misi dan visi, kompetensi
staf, target kinerja, informasi manajemen, pelaporan keuangan, penipuan,
prosedur operasional, pengawasan dan sebagainya (katakanlah 10 sampai 20
standar) dan kemudian mengukur eksposur risiko terhadap standar-standar
ini. Organisasi lain overlay risiko ke dalam unsur-unsur dari sistem
manajemen kinerja seperti balanced scorecard atau komponen dari model
kualitas diadopsi seperti Yayasan Eropa untuk Manajemen Mutu
(EFQM). Organisasi budaya kontrol cenderung ingin papan bawah risiko ke
dalam standar kontrol diatur sehingga mereka mungkin
terkandung. Organisasi dengan budaya risiko yang berfokus cenderung lebih
menggunakan risiko untuk mendorong model pengembangan strategis
mereka dengan cara yang lebih inovatif.
6. Dapatkan komite dewan dan audit untuk melakukan lokakarya CRSA mereka
sendiri pada akhir pertemuan formal dan menggunakan pengalaman dan
hasil untuk mendorong inisiatif.
7. Jika audit internal memimpin bergerak, kemudian melakukan workshop dalam

toko audit internal. Ingat piagam audit harus mengacu pada layanan yang
disediakan dan jika ini harus mencakup fasilitasi CRSA, kemudian mengubah
piagam yang sesuai.
8. Mendapatkan sponsor tingkat papan untuk Program dan mulai

perencanaan. Bekerja melalui cara-cara menghindari inisiatif yang berlebihan
dengan menanamkan CRSA ke dalam cara bisnis beroperasi melalui
perencanaan, komunikasi, keputusan -membuat dan manajemen kinerja
sistem.
9. Melakukan roadshow perusahaan dan memperkenalkan konsep pelaporan

tata kelola perusahaan dan kebutuhan untuk manajemen risiko
didokumentasikan. Pastikan semua manajer kunci memahami proses CRSA.
10.Dapatkan fasilitas yang tepat untuk melakukan lokakarya CRSA. Ini akan
mencakup sistem pelaporan risiko (berdasarkan daftar risiko), software
pemungutan suara elektronik (jika ini dianggap penting - beberapa hanya
menggunakan ' Post-it notes ' untuk efek yang baik), akomodasi yang sesuai
dan paling penting dari semua - waktu yang tersedia untuk tim sehingga
mereka dapat menghadiri acara.
11.Menyediakan bahan untuk semua orang di intranet perusahaan - dengan
informasi yang berguna, latihan online singkat dan kontak untuk informasi
lebih lanjut. Ini mungkin ide untuk memasukkan panduan singkat untuk
lokakarya CRSA ke intranet, atau memilikinya dikirim ke staf kunci.
12.Berbicara dengan manajer untuk tim lokakarya tersebut dan melakukan

beberapa persiapan dalam hal yang harus hadir dan logistik dasar. Kita
mungkin ingin antara, katakanlah, 10 dan 15 orang per lokakarya. Tentukan
fokus, mengingat pendekatan yang berbeda dan jenis lokakarya CRSA
menggunakan proses, proyek, orang atau kategori kesiapan jika sesuai.
13.Seluruh sistem penilaian risiko harus menjadi bagian dari drive manajemen
risiko perusahaan-lebar dan ditempa di sekitar bagian atas papan-level 10
risiko dan kebijakan risiko yang diterbitkan. Isu briefing papan reguler pada
kemajuan sampai saat ini.
14.Ini mungkin ide untuk melakukan lokakarya percontohan di daerah yang

dapat menghasilkan ' quick wins ' , tanpa mengambil bagian yang sangat
sulit dari bisnis dengan masalah bercokol bahwa akan sulit untuk berbalik
dengan cepat.
15.Mengevaluasi hasil pilot dengan sponsor papan dan menyesuaikan

pendekatan yang sesuai.
16.Mengkompilasi beberapa materi pre-event untuk setiap peserta (misalnya

kebijakan risiko - lihat Bab 3 - dan pertanyaan menantang beberapa) dan
mengirimkannya di muka. Pastikan ada hotline untuk masing-masing peserta
untuk setiap pertanyaan.Atau hubungi masing-masing peserta untuk
pembicaraan singkat melalui telepon dan membahas acara yang
direncanakan.Kebanyakan orang khawatir tentang peristiwa tim dan merasa
ada beberapa agenda tersembunyi yang sedang dikembangkan di tingkat
senior.
17.Periksa tempat ini cocok untuk para peserta dan bahwa perjalanan,
akomodasi dan hal-hal praktis telah ditangani. Seluruh proses harus
menimbulkan positif semua bulat.
18. Bertemu dan menyapa para peserta dan mengenal mereka sebelum
dimulainya resmi lokakarya. Tindak lanjut atas apa yang telah dibahas
dengan mereka di pra-kursus tahap kontak. Fasilitator dan juru tulis harus
memperkenalkan diri kepada kelompok dan membuat jelas apa yang mereka
ketahui tentang tim dan apa yang mereka tidak tahu. Fasilitator hanya
perlu menjadi ahli dalam mendapatkan yang terbaik dari orang-orang dan
memastikan bahwa tujuan lokakarya yang baik dicapai dan diraih. Beritahu
kelompok apa yang akan terjadi dan bagaimana mereka harus berkontribusi.
19.Beberapa percaya bahwa aturan lokakarya harus dirancang oleh para peserta
pada topik-topik seperti semua orang harus memberikan kontribusi, tidak ada
dominasi dari manajer lini, melangkah di luar kotak melalui dorongan dari
orang lain hadir, mendengarkan, menghormati pandangan dan tidak
melanggar kebijakan perusahaan tentang perilaku dan keragaman, dan
seterusnya.
20.Mungkin ide untuk mendapatkan pembicara utama untuk memperkenalkan

bengkel, mengatakan seorang manajer senior (atau petugas risiko kepala)
atau, idealnya, papan sponsor (meskipun orang ini akan sangat sering tidak
tersedia). Dapatkan peserta untuk memperkenalkan diri mereka secara
individual dan memastikan ada sesi tanya jawab di awal.
21.Memulai acara dengan tujuan yang jelas. Ini mungkin membaca sesuatu
seperti ini: untuk mendapatkan peserta untuk mempersiapkan saling
mengerti (dan setuju) tujuan, mengidentifikasi dan menilai risiko dan
kemudian mengembangkan strategi manajemen risiko ditentukan dalam
hubungannya dengan sistem yang ada kontrol dan setiap perbaikan yang
diperlukan; dan bahwa hasilnya akan membentuk bagian dari risiko yang
formal sistem pelaporan manajemen untuk mendukung diterbitkan
pandangan perusahaan pada pengendalian internal. Gunakan tujuan bisnis
utama dan, katakanlah, lima atau lebih mendukung tujuan. Kelompok ini
dapat dibagi menjadi sub kelompok berurusan dengan sub-tujuan, meskipun
ada kemungkinan hanya untuk meminta kelompok bagaimana mereka ingin
bermain (asalkan tujuan lokakarya keseluruhan tercapai).
22.Ini mungkin ide untuk melakukan presentasi singkat tentang tata kelola
perusahaan, manajemen risiko dan pengendalian di awal.Idealnya, ini akan
telah dilakukan pada staf kesadaran seminar tentang manajemen risiko dan
pengendalian internal.Memperkenalkan konsep risiko mendaftar.
23.Pergi melalui tahapan standar proses CRSA termasuk menyetujui tujuan,

menetapkan konteks dengan mendapatkan kelompok untuk membahas
manajemen kinerja mereka, perencanaan dan pengambilan keputusan dan
isu perubahan yang dihadapi daerah yang bersangkutan. Waktu dapat
dihabiskan membahas tahapan siklus pengambilan keputusan di area kerja
dan jugamenganalisis eksternal stakeholder dan internal dan membahas
bagaimana pandangan mereka dicatat oleh tim.
24.Dapatkan kelompok untuk melakukan brainstorming risiko operasional secara

acak dan kemudian mereka dapat mengklasifikasikan mereka dan
memberikan suara pada kepentingan relatif mereka - dalam hal dampak dan
kemungkinan.Berakhir dengan 10 atau lebih risiko untuk mencapai tujuan
bisnis atau tidak melakukan lebih dengan memanfaatkan barupeluang.
25.Mungkin perlu melakukan presentasi singkat tentang pengendalian internal

dan apa artinya ini dalam praktek, dan perbedaan antara kontrol keras dan
lembut. Bahan yang cocok dapat diambil dari staf seminar kesadaran
ditemukan dalam Bab 4.
26.Mulai tahap pemecahan masalah - ini dapat dilakukan pada acara yang
terpisah (atau setelah makan siang istirahat) sehingga dapat memperkuat
pindah dari identifikasi masalah (penilaian risiko) untuk masalah solusi
(manajemen risiko).
27.Membuat hubungan antara tujuan, risiko, sebab dan akibat yang

jelas. Pemecahan masalah adalah tentang melihat penyebab masalah dan
tidak hanya efek. Sebuah cerita sederhana dapat digunakan untuk
menggambarkan ide ini:
Osteopati kita tahu memberitahu kami tentang salah satu pasiennya

dengan nyeri leher yang parah. Mengobati leher langsung tidak
berpengaruh dan butuh beberapa minggu untuk sampai ke bawah
kesulitan. Pasien telah menyakiti ibu jari kaki kanannya.Hal ini
menyebabkan dia berjalan sedikit canggung, menggeser berat
badannya dari kaki menyakitkan, dan ini meletakkan beban yang
sedikit berbeda pada pinggulnya. Kelompok otot di punggung dan
leher diperketat untuk mengkompensasi, dan otot ini pengetatan
menyebabkan pain.
28.Pastikan lokakarya sepenuhnya didokumentasikan dan disepakati dengan

rencana aksi yang dihasilkan memberikan rincian dari pemilik risiko, khusus
dari tindakan yang diperlukan, tanggal dan langkah-langkah untuk
memastikan tindakan yang diambil memiliki hasil yang dibutuhkan. rencana
aksi ini harus dimasukkan ke dalam perencanaan dan pengambilan
keputusan mekanisme untuk mempromosikan integrasi CRSA ke dalam
budaya bisnis.
29.Menutup sesi dengan ' orang check ' - yang memerlukan terjadi di sekitar
ruangan dan meminta setiap orang untuk meringkas pengalaman mereka
dan apa yang mereka dapatkan dari acara tersebut dan apakah mereka
memiliki poin lebih lanjut untuk menambahkan.
30.Penilaian risiko harus menjadi agenda sama sekali pertemuan kelompok,

konferensi dan acara staf - setiap kali ada masalah atau perubahan yang
diajukan, acuan harus dibuat ke daftar risiko saat ini dan perubahan
memutuskan.
31.Menggelar program yang melalui dan seluruh organisasi dan pastikan sistem
pelaporan masuk akal dan risiko dikelola secara dipercepat, yang
memungkinkan papan untuk tahu tentang risiko tak tanggung-tanggung
serius dan yang dapat dipantau mendesak atau dengan laporan sering.
32.Pastikan daftar risiko adalah dokumen hidup yang ditinjau setiap kali risiko
material berubah dan setidaknya beberapa kali selama tahun.
33.Membuat setiap lokakarya proses pembelajaran yang menghasilkan tidak

hanya dalam rencana aksi untuk pemilik risiko / proses tetapi juga lebih baik
menggunakan format lokakarya dan cara itu difasilitasi.
34.Proses CRSA terbaik membuat risiko pendorong utama untuk keputusan
bisnis dan pertemuan penilaian kinerja karyawan harus mulai dengan
mengacu pada daftar risiko yang paling dekat hubungannya dengan
karyawan yang bersangkutan.
Prosedur sederhana di atas tidak selalu bekerja dan Mike Pidzamecky telah
memperingatkan tentang beberapa alasan mengapa CSA telah gagal dari perspektif
audit yang
. Kurangnya tubuh umum pengetahuan dan proses cetak biru dasar untuk
semua untuk menggunakan.
Kurangnya pengembangan pelatihan dan keterampilan yang baik.
Kegagalan untuk mengintegrasikan model kontrol ke dalam semua pekerjaan

audit.
audit manajemen Stubborn yang tidak bisa melihat melampaui

approaches.18 audit tradisional
Sementara itu, Andrew Chambers telah meminta auditor internal untuk bangkit
untuk menantang:
CRSA, seperti lingkaran kualitas mungkin satu dekade yang lalu, telah
menangkap mood kali. Jika kita membedah kita menemukan campuran dari
praktek-praktek tradisional sering dilapis dengan teknologi modern. Ini
mungkin tidak berlangsung selamanya. Sangat mungkin untuk mengubah
dirinya - mungkin sekarang dalam bentuk manajemen risiko perusahaan-
lebar. Meskipun pro dan kontra, lebih mudah untuk mendukung CRSA pada
prinsipnya daripada memberikan memastikan substansi dalam praktek. Tapi
kemudian, pemantauan pengendalian intern yang efektif tidak pernah
straightforward.
7.3. Keterampilan Fasilitasi

Proses CRSA tergantung pada lingkungan pengendalian yang baik dan
komunikasi terbuka yang menimbulkan kepercayaan dan keyakinan. Orang akan
berpartisipasi dan menambah lokakarya CRSA jika mereka:
berkomitmen untuk tujuan lokakarya;
memiliki sesuatu yang berharga untuk menambahkan;
percaya bahwa pendapat mereka akan dihargai;
memahami proses CRSA dan mana cocok ke dalam bisnis;

telah keyakinan dalam cara lokakarya diterapkan
Di mana masing-masing aspirasi di atas tercapai, ada kesempatan baik

bahwa seluruh proses CRSA akan berhasil. Beberapa peristiwa lokakarya buruk
diberikan akan segera menyebarkan berita di seluruh organisasi yang ini harus
dihindari di semua biaya. Sebaliknya, beberapa acara yang positif akan
menimbulkan pandangan bahwa mereka berharga dan bahkan menyenangkan. Ada
banyak yang bisa dilakukan dalam hal menjual konsep CRSA kepada seluruh
karyawan dan memastikan bahwa lokakarya secara hati-hati direncanakan dan
dipersiapkan sebelum ditayangkan. Salah satu aspek dari persiapan ini adalah
untuk memastikan lokakarya yang baik difasilitasi dan kami memberikan
pengenalan singkat keterampilan fasilitasi di bagian Handbook. Titik pertama yang
harus diperhatikan adalah bahwa fasilitasi adalah tidak sama dengan pelatihan atau
mengelola kelompok, dan titik ini diperkuat oleh Lao Tzu yang menulis Tao Sepuluh
Ching di 500 SM:
Seorang pemimpin yang terbaik Ketika orang-orang hampir tidak tahu bahwa
dia ada, Tidak begitu baik ketika orang-orang taat dan menyatakan dirinya,
Terburuk ketika mereka membencinya, Gagal untuk menghormati orang, Mereka
gagal untuk menghormati Anda; Tapi seorang pemimpin yang baik, yang berbicara
sedikit, ketika karyanya dilakukan, tujuannya terpenuhi,
Mereka akan mengatakan, "Kami melakukannya sendiri." Seorang fasilitator

membuat orang-orang untuk melakukan hal-hal untuk diri mereka sendiri. Idealnya,
fasilitator CRSA harus memiliki pemahaman yang baik tentang:
apa yang membuat seorang fasilitator yang baik;
kelompok dan bagaimana mereka berperilaku;
gaya belajar dan bagaimana orang membuat kemajuan;
konsep risiko dan pengendalian;
gaya yang berbeda dari fasilitasi mulai dari pasif hingga agresif;
apa yang bisa salah dalam sebuah workshop;
bagaimana membuat acara suksesi.
Tiga item pertama pada daftar dibahas di bawah ini bersama dengan daftar fitur
dari lokakarya CRSA sukses.
Yang Baik Fasilitator?
Lois B. Hart dalam bukunya Fasilitasi Sempurna menunjukkan bahwa fasilitasi

memastikan hal bisa dilakukan lebih mudah dan fasilitator berkonsentrasi pada
proses sekitar tujuan kelompok. Dia daftar atribut dari fasilitator yang baik:
Tetap netral Tetap fokus Jadilah positif
Mendorong partisipasi Lindungi ide Jangan mengevaluasi
Menyarankan metode Siapkan perekam Mendidik anggota
Mengkoordinasikan rincian Siapkan report20 a
Ini berarti fasilitator bertanggung jawab untuk membantu kelompok

mencapai tujuan yang ditetapkan untuk lokakarya CRSA. John Heron
menggambarkan enam dimensi fasilitasi:
1. Dimensi perencanaan ini adalah, akhir-dan-cara berorientasi tujuan, aspek

fasilitasi: yaitu, itu harus dilakukan dengan tujuan kelompok, dan
apa program yang harus melakukan untuk memenuhi mereka. Pertanyaan
fasilitatif di sini adalah: bagaimana kelompok akan memperoleh tujuan dan
nya Program?
2. Dimensi makna ini adalah aspek kognitif fasilitasi: itu adalah melakukan
dengan peserta ' pemahaman tentang apa yang terjadi, dengan membuat
rasa pengalaman dan dengan mereka mengetahui bagaimana melakukan
hal-hal dan bereaksi terhadap hal-hal.Pertanyaan fasilitatif adalah:
bagaimana akan makna diberikan kepada dan ditemukan dalam pengalaman
dan tindakan anggota kelompok ?.
3. Dimensi menghadapi ini adalah aspek tantangan fasilitasi: itu harus

dilakukan dengan meningkatkan kesadaran tentang kelompok ' resistensi s ke
dan avoidances hal itu perlu untuk menghadapi dan menangani. Pertanyaan
fasilitatif adalah: bagaimana harus kelompok ' s kesadaran akan mengangkat
tentang hal ini?
4. Dimensi Perasaan ini adalah aspek afektif fasilitasi: itu adalah dengan
melakukan pengelolaan perasaan dalam kelompok.Pertanyaan fasilitatif
adalah: bagaimana harus hidup perasaan dalam kelompok akan ditangani?
5. Dimensi penataan ini adalah aspek formal fasilitasi: itu adalah dengan
melakukan metode pembelajaran, dengan apa yang semacam bentuk
diberikan kepada pengalaman dalam kelompok dan dengan bagaimana
mereka harus terstruktur. Pertanyaan fasilitatif adalah: bagaimana bisa
kelompok ' pengalaman belajar s akan terstruktur?
6. Dimensi menilai ini adalah aspek integritas fasilitasi: itu harus dilakukan
dengan menciptakan iklim yang mendukung yangmenghormati dan
merayakan kepribadian anggota kelompok; sebuah iklim di mana mereka
bisa tulus, mengungkapkan realitas mereka seperti itu, tetap berhubungan
dengan kebutuhan mereka yang sebenarnya dan kepentingan. Pertanyaan
fasilitatif adalah: bagaimana bisa iklim seperti nilai personal, integritas dan
rasa hormat dibuat 2?
Kebanyakan ahli menyarankan bahwa harus ada fasilitator dan juru tulis,
yang mencatat peristiwa. Untuk workshop CRSA sebagian besar dokumentasi akan
berkisar pada penyusunan daftar risiko sebagai tujuan, risiko, peringkat risiko,
pemeriksaan rencana aksi kontrol yang ada dan berikutnya dikembangkan oleh
kelompok. Ini mungkin yang terbaik untuk menggunakan spreadsheet komputer
(atau database) untuk mengkompilasi informasi yang diperlukan untuk risk
register. Seorang fasilitator yang baik adalah mampu mengidentifikasi hambatan
untuk kemajuan dan cara mengatasi hambatan tersebut dan membuat intervensi
strategis bila diperlukan. Fasilitator memastikan kelompok memahami tujuan dan
bahwa mereka mampu untuk terus bergerak ke arah yang benar. Bahkan, CRSA
bukan tentang penyusunan daftar risiko (kotak detak) tetapi lebih tentang
mengembangkan dialog di mana anggota mendiskusikan pandangan mereka
tentang tujuan, hal-hal yang menghentikan mereka mencapai tujuan tersebut dan
cara mengatasi kendala apapun, yaitu, pemahaman bersama dikembangkan untuk
memastikan kelompok anggota yang menarik dalam arah yang sama. Mana ada
kesalahpahaman di antara anggota kelompok dan keengganan untuk menempatkan
masalah dalam sorotan, banyak dari kontrol lunak (cara orang bekerja sama)
mungkin buruk. Fasilitator harus disiapkan untuk mendapatkan kelompok untuk
menantang apa pun yang berhenti mereka dari melakukan. fasilitator tidak
memimpin grup, tapi mendapatkan kelompok untuk memimpin sendiri. Unsur yang
tidak biasa dari peristiwa CRSA adalah bahwa fasilitator mungkin kadang-kadang
perlu untuk beralih ke peran pelatih dan membuat presentasi singkat tentang tata
kelola perusahaan, manajemen risiko dan pengendalian internal, dan juga
menjelaskan kebijakan risiko perusahaan. Jika presentasi ini dilakukan terlalu dini
pada saat lokakarya, maka dapat membentuk 'mode mendengarkan' dari kelompok,
yang mungkin sulit untuk beralih ke 'mode interaktif' nanti. Ini benar-benar adalah
yang terbaik untuk mendapatkan presentasi dilakukan pada seminar sebelumnya
(atau melalui materi intranet) dan kemudian meminta pertanyaan selama
lokakarya. Bahkan pertanyaan menjawab bisa sulit karena dapat membangun
hubungan 'ketergantungan', di mana segala sesuatu kelompok ingin lakukan adalah
memeriksa ulang dengan fasilitator. Pendekatan ini akan menghentikan kelompok
dari kemajuan independen dari fasilitator, yang telah diasumsikan jubah
pemimpin. Seorang fasilitator yang baik akan selalu menawarkan pertanyaan yang
diajukan dari dia, kembali ke kelompok dan hanya memberikan jawaban di mana
untuk tidak melakukannya akan berhenti kemajuan kelompok. Kerendahan hati
adalah sifat penting bagi seorang fasilitator yang baik. Bahaya ini juga dijelaskan
oleh Rosaria Taraschi
Sebuah kelompok kerja yang utuh, tiba-tiba dihadapkan dengan tantangan

bekerja sebagai sebuah tim, mungkin melihat ke kasih atas jawaban,
dukungan dan penguatan. Meskipun kelompok mungkin telah berfungsi
dengan baik di bawah misi lama, panggilan untuk mengubah dapat
meninggalkan beberapa anggota berjuang untuk menentukan peran baru
mereka. Tanpa disadari, Anda mungkin menjadi ahli kelompok internal,
pelatih, agen perubahan, manajer kesulitan interpersonal, dan
sebagainya. Semakin Anda mengambil, semakin kecil kemungkinan bahwa
tim akan mendapatkan keterampilan yang dibutuhkan. Cara terbaik untuk
memutus siklus tidak membiarkan ketergantungan dimulai. Dimulai awal dan
keuntungan kekuatan lebih time.
Gaya Belajar dan Bagaimana Orang Membuat Kemajuan
The CRSA lokakarya adalah sarana untuk mendapatkan orang-orang dan tim
untuk memahami risiko bisnis mereka dan memastikan mereka dikelola dengan
baik - dan mampu menjelaskan tanggung jawab ini. Asumsi tanggung jawab
didefinisikan menciptakan perubahan pola pikir dan mendukung budaya kontrol
positif di seluruh organisasi. Ini adalah proses belajar sebagai orang belajar
bagaimana menggunakan CRSA sebagai alat yang ampuh untuk membantu mereka
memastikan keberhasilan. Sebuah pemahaman yang baik tentang dinamika belajar
adalah bagian dari gudang senjata fasilitator. Jika lokakarya yang dijalankan oleh
staf audit internal, maka auditor harus memikirkan keahlian mereka tentang isu-isu
risiko dan kontrol dan menentukan berapa banyak dari ini mereka dapat
menyampaikan kepada kelompok, yaitu, untuk mendapatkan mereka berpikir
tentang tujuan bisnis mereka dan strategi manajemen risiko. Hal ini kurang proses
belajar tetapi lebih membantu kelompok untuk menerjemahkan apa yang mereka
lakukan ke berbicara resmi terminologi regulator akuntabilitas perusahaan,
manajemen risiko dan diterbitkan laporan pengendalian internal. Salah satu tugas
fasilitator adalah untuk mencoba untuk mendamaikan visi yang dibuat oleh dewan,
kebijakan risiko dan tim bekerja pada apa yang efektif berarti manajemen risiko dan
cara kerjanya dalam praktek. Banyak terkait dengan terminologi set. Ini adalah
pemahaman ini bersama risiko yang sangat penting untuk manajemen risiko yang
efektif dan mampu menghargai bagaimana persepsi yang berbeda dapat terikat
bersama-sama. Telah mengatakan bahwa:
Kami membuat model mental kita sebagian dari adat istiadat sosial kita,
sebagian dari budaya kita dan sebagian dari ide-ide dari orang dewasa yang
signifikan di masa kecil kita. Sisanya kita membangun dan memelihara dari
pengalaman kami dalam empat cara utama
1. Penghapusan - Kami adalah selektif dalam apa yang kita perhatikan.
2. Konstruksi - Kita melihat sesuatu yang tidak ada.
3. Distorsi - Kami mengubah pengalaman kami, memperkuat beberapa bagian

dan mengurangi lain.
4. Generalisasi - Menggunakan generalisasi, kita menciptakan model mental

kita dengan mengambil satu pengalaman dan menjadikannya mewakili
group.
Beberapa fasilitator merasa bahwa mereka perlu mengenali berbagai jenis

orang-orang yang muncul di acara-acara lokakarya dan cara yang berbeda di mana
mereka memberikan kontribusi untuk keberhasilan (atau sebaliknya). Madu dan
Mumford telah mengembangkan siklus belajar di mana orang belajar dari
pengalaman mereka dan merencanakan langkah selanjutnya dari pembelajaran
ini. Mereka juga telah diklasifikasikan gaya belajar yang berbeda:
Aktivis - cenderung untuk mengambil tindakan langsung. Mereka antusias dan
menyukai tantangan baru dan pengalaman. Aktivis kurang tertarik pada masa lalu
atau konteks yang lebih luas dan terutama tertarik pada di sini dan
sekarang. Mereka suka memiliki pergi dan mencoba hal-hal dan
berpartisipasi. Mereka juga suka menjadi pusat atraksi.
Reflektor - berpikir hal-hal secara detail sebelum mengambil tindakan. Reflektor

bijaksana, pendengar yang baik dan lebih memilih untuk bersikap low
profile. Mereka siap untuk membaca dan mendengarkan dan menyambut
kesempatan untuk mengulang sepotong pembelajaran.
Teori - melihat bagaimana hal cocok dengan pola keseluruhan. Teori adalah orang-
orang yang logis dan obyektif 'sistem' yang lebih memilih pendekatan sekuensial
untuk masalah. Mereka analitis dan membayar perhatian besar terhadap detail,
serta cenderung menjadi perfeksionis.
Pragmatis - ingin melihat bagaimana sesuatu bekerja dalam

prakteknya. Pragmatis menikmati bereksperimen dengan ide-ide baru.Mereka
praktis, turun ke bumi dan ingin memecahkan masalah dan menghargai
kesempatan untuk mencoba apa yang telah mereka pelajari / belajar.
Jika lokakarya CRSA terdiri dari kombinasi orang dengan gaya belajar yang
berbeda, maka pemahaman tentang perbedaan-perbedaan ini akan membantu
fasilitator mendorong acara yang lebih baik. Model lain yang memberikan wawasan
yang berguna tentang bagaimana tim berperilaku telah dikembangkan oleh R.
Meredith Belbin. Orang-orang yang pergi untuk membuat tim manajemen mungkin
menganggap jenis peran tertentu sebagai berikut:
Perusahaan pekerja - Ternyata konsep dan rencana ke dalam prosedur kerja

praktis. Melaksanakan rencana yang telah disepakati secara sistematis dan efisien.
Co-ordinator - Mengontrol cara di mana tim bergerak menuju tujuan kelompok

dengan membuat penggunaan terbaik dari sumber daya tim, mengakui di mana
kekuatan dan kelemahan tim berbohong, dan memastikan bahwa penggunaan
terbaik terbuat dari potensi masing-masing anggota tim.
Pembentuk - Membentuk cara di mana usaha tim diterapkan; mengarahkan

perhatian umum untuk penetapan tujuan dan prioritas;berusaha untuk
memaksakan beberapa bentuk atau pola pada diskusi kelompok dan pada hasil
kegiatan kelompok.
Situs orang - Memajukan ide-ide baru dan strategi dengan perhatian khusus pada
isu-isu utama; mencari kemungkinan pendekatan baru untuk masalah dengan yang
kelompok dihadapkan.
Kontak orang - Menjelajahi dan pelaporan pada ide-ide dan sumber daya di luar
kelompok; menciptakan kontak eksternal yang mungkin berguna untuk tim dan
melakukan negosiasi berikutnya.
Critic - Menganalisis masalah dan mengevaluasi saran agar tim ini lebih baik
ditempatkan untuk mengambil keputusan yang seimbang.
Tim kerja - anggota di kekuatan mereka Mendukung; mendasari anggota di

kekurangan mereka; meningkatkan komunikasi antar anggota dan mendorong
semangat tim umumnya.
Completer-finisher - Memastikan bahwa tim dilindungi sejauh mungkin dari

kesalahan dari kelalaian dan komisi; aktif mencari aspek pekerjaan yang
membutuhkan lebih dari tingkat biasa perhatian; dan mempertahankan rasa urgensi
dalam tim.
Beberapa fasilitator begitu yakin akan pentingnya memahami perbedaan-

perbedaan belajar dan perilaku yang mereka minta peserta untuk mempersiapkan
kuesioner pra-program yang dirancang untuk mengisolasi gaya belajar
mereka. Informasi ini kemudian digunakan dalam perencanaan pendekatan ke acara
Kelompok dan Bagaimana Mereka Berperilaku

Pada kali, fasilitator CRSA akan tiba di bengkel, melakukan perkenalan dan
mulai kelompok off mungkin pada latihan sederhana untuk mendapatkan mereka
bersemangat. Setelah beberapa saat, pemberitahuan fasilitator bahwa beberapa
peserta telah mendorong kursi mereka kembali sedikit dan mengekspresikan
bahasa tubuh negatif dengan lengan dan kaki disilangkan dan kepala berbalik ke
bawah.Mereka menunjukkan sedikit minat untuk terlibat sementara satu anggota
kelompok mengasumsikan peran juru bicara. Sementara itu, anggota lain terus
merongrong juru bicara dengan komentar satu baris yang tidak pernah benar
dijelaskan. fasilitator mulai menonton jam, berharap bahwa seluruh acara bisa
dibatalkan. Sebagian besar di atas adalah karena cara kelompok datang bersama-
sama dan kemudian memutuskan bagaimana berperilaku. Memahami hal ini dan
mengadaptasi gaya fasilitasi sesuai kelompok mengarah ke kesempatan yang lebih
baik
keberhasilan. Siklus hidup kelompok telah digambarkan sebagai terdiri dari lima
tahapan utama:
1. Orientasi - mengapa kita di sini?
2. Ketidakpuasan - realitas tidak memenuhi harapan.
3. Resolusi - menyelesaikan konflik.
4. Produksi - tugas yang mendapatkan dilakukan.
5. Pemutusan - disbands.24 kelompok
Di mana kita bisa mendapatkan kelompok lokakarya cepat ke tahap 4

(produksi), mereka akan mengambil pandangan yang matang dari tugas
mendapatkan strategi manajemen risiko yang telah disepakati dan
didokumentasikan dan dapat diberikan banyak tanggung jawab.Di mana kelompok
ini terjebak pada tahap 2 (ketidakpuasan) mereka dapat dianggap belum matang
dan menjadi lebih sulit untuk melewati terlalu banyak tanggung jawab untuk tugas-
tugas lokakarya kepada mereka. Ditumpangkan di atas model ini adalah kebijakan
risiko (dan organisasi / budaya kelompok) yang akan menentukan sejauh mana
berdasarkan staf strategi dikendalikan melalui prosedur yang ketat, latihan set dan
sesi hati-hati waktunya (terstruktur) dan sejauh mana mereka memungkinkan
setiap kelompok keleluasaan untuk mengatur agenda mereka sendiri dan arah
( laissez-faire ). Terstruktur CRSA akan cenderung dilakukan sejalan dengan
panduan yang diterbitkan dengan tugas set akan selesai kelompok,
sedangkan laissez-faire lokakarya mulai
dengan tujuan dan menyerahkan
kepada kelompok untuk memutuskan
bagaimana mereka akan pergi tentang
mengembangkan register
risiko . Mengambil dua pertimbangan
tingkat kematangan kelompok dan
sejauh mana lokakarya yang terstruktur
/ diarahkan, kita dapat memperoleh
model kita sendiri gaya fasilitasi seperti
pada Gambar 7.14
Strategi fasilitasi dijelaskan di bawah:
1. Untuk kelompok yang belum matang, dan di mana budaya organisasi panggilan
untuk lokakarya CRSA sangat terstruktur, fasilitator dapat menyebabkan dari
depan dan mengatur arah, tugas dan sebagainya. Misalnya, fasilitator dapat
menginformasikan kelompok sasaran bagian mereka dan memberitahu mereka
bahwa mereka harus melakukan brainstorming risiko dalam kategori
set. Sementara itu, fasilitator dapat mencoba untuk mendapatkan kelompok
untuk mengenali dan menyelesaikan konflik sehingga mereka dapat bergerak
menuju kedewasaan. Jenis forum panggilan untuk gaya fasilitasi lebih agresif di
mana kelompok dibuat untuk bekerja sama dan diberikan dorongan konstan dan
meminta dari fasilitator.
2. lokakarya terstruktur berarti fasilitator masih akan menetapkan arah untuk

kelompok tetapi karena mereka dewasa dan melakukan sama dengan baik,
anggota kelompok didorong untuk bekerja di luar kegiatan dan langkah mereka,
selama mereka mencapai tujuan lokakarya, misalnya, untuk tiba di pemahaman
bersama tentang risiko utama dan komitmen untuk strategi manajemen risiko
didefinisikan.
3. The laissez-faire pendekatan lokakarya dapat bekerja dengan baik dengan

kelompok dewasa dimana anggota dapat membahas dan menetapkan mereka
sendiri arah, kegiatan dan kecepatan - untuk memastikan lokakarya memenuhi
tujuannya. Fasilitator hanya perlu berkonsentrasi pada proses untuk bekerja
melalui tahapan manajemen risiko dan mungkin menghabiskan banyak waktu
duduk, sebagai anggota kelompok bertanggung jawab. Cukup duduk dan tidak
membuat kontak mata dengan orang yang berbicara akan bertindak untuk
mengubah anggota kelompok ' perhatian pada anggota lain dan sehingga
memungkinkan fasilitator memudar ke latar belakang.
4. Di mana ada sedikit struktur ke bengkel, dan kelompok belum matang, dimensi
perubahan dan fasilitator mungkin merasa bahwa risiko terbesar untuk
kelompok terletak di kurangnya kemajuan melalui tahapan pengembangan
kelompok. Berikut fasilitator dapat menggunakan analisis kekuatan-lapangan
untuk membantu kelompok mengidentifikasi hambatan kinerja dan apa yang
harus mereka lakukan untuk mendapatkan cepat ke tahap produksi yang
diperlukan, atau mungkin ada banyak waktu yang dihabiskan untuk menetapkan
aturan-aturan dasar untuk berkomunikasi, bekerja sama , menghormati
pandangan, mendengarkan dan sebagainya. Kelompok ini mungkin mendapat
manfaat dari diskusi tentang bagaimana keputusan dibuat dan didorong untuk
bekerja melalui hambatan untuk membuat keputusan yang efektif. Fasilitator
dapat menggunakan laissez-faire pendekatan untuk mengubah arah dari
lokakarya untuk fokus pada membangun tim dan pengembangan. Selain itu,
setelah setiap sesi kita dapat berhenti dan memeriksa apakah kelompok ini
berjalan dengan baik menuju tahap produksi.
Cara lain untuk melihat proses lokakarya adalah untuk menunjukkan bahwa
fasilitator mungkin menganggap kehadiran jelas sejak awal sebagai gagasan
manajemen risiko operasional dan proses CRSA dijual ke grup. Sebagai kemajuan
proses, fasilitator secara bertahap bergerak ke latar belakang sebagai kelompok
menjadi lebih percaya diri untuk bekerja tanpa petunjuk.Meskipun pendekatan yang
digunakan, fasilitator harus selalu memastikan workshop adalah menantang untuk
anggota kelompok sebagai thereis satu tampilan yang menunjukkan orang enggan
untuk berbicara tentang risiko yang mereka tidak bisa mengendalikan, seperti
penipuan dan penyimpangan. Fasilitator harus selalu menantang keengganan ini
dan dapat bertanya apakah 'penipuan' dapat disiapkan sebagai risiko potensial,
karena ada banyak yang bisa dilakukan untuk mengelola masalah ini, selama kita
mengakui bahwa hal itu dapat terwujud. Fasilitator memiliki berbagai alat yang
dapat diterapkan untuk mendapatkan kelompok untuk mencapai tugas mereka,
termasuk:
presentasi singkat tentang tata kelola perusahaan, manajemen risiko dan

pengendalian internal;
tujuan yang jelas untuk lokakarya;
lingkungan terbuka dimana semua anggota kelompok adalah sama terlepas dari
kelas;
risiko register - pro forma yang menunjukkan apa yang perlu didokumentasikan;
grid dampak / kemungkinan yang dapat digunakan untuk menunjukkan risiko

secara signifikan dan hubungan antara kemungkinan dan pengendalian internal
(kontrol dapat membantu mengurangi ketidakpastian);
daftar manfaat dari manajemen risiko yang efektif dengan contoh-contoh

praktis;
post-it notes yang dapat digunakan untuk merekam pemandangan;

voting - baik elektronik atau sebaliknya - di mana anggota kelompok dapat
merekam suara baik di depan umum atau secara anonim;
teknik untuk mengelola konsensus melalui diskusi, debat, intervensi ahli,

perjanjian untuk tidak setuju, keterampilan negosiasi, pengambilan keputusan
kriteria, merekam dissenting pandangan, pernyataan tentang perlunya untuk
tiba di posisi, menggambar area kesepakatan, menyerahkan tanggung jawab
kepada pemilik risiko ;
beberapa pengetahuan tentang apa bagian lain lakukan tentang manajemen

risiko;
10 risiko dan prioritas dewan;
contoh masalah utama yang muncul melalui risiko sejati;
kebijakan risiko perusahaan dan arah yang terkandung di dalamnya;
peringatan tentang memperlakukan manajemen risiko sebagai proses kotak-

berdetak;
contoh sederhana yang dapat dikembangkan lebih lanjut;
model risiko dan pengendalian (lihat Bab 3 dan 4);
teknik untuk membuat acara merangsang - seperti kuis mini latihan dalam
kreativitas dan pemecahan masalah, cerita menghibur tentang persepsi risiko
dan sebagainya;
materi pada gambaran besar dari manajemen risiko perusahaan-lebar di mana

register risiko membangun menjadi gambar dari seluruh organisasi;
menantang asumsi pertanyaan, dan memperkuat pandangan bahwa

mengendalikan terletak dengan semua orang;
membangun hubungan antara pandangan dari orang-orang di berbagai belahan

organisasi;
kemampuan untuk merekam acara lokakarya dan pandangan tertentu;
kemampuan untuk memecah tujuan menjadi sub-tujuan dan bekerja di

subkelompok yang lebih kecil jika diperlukan;
teknik untuk berurusan dengan anggota kelompok yang sulit - ini terutama
melibatkan memberi mereka tugas khusus untuk mendorong intervensi mereka
tetapi secara berhasil;
flip chart di mana pandangan dapat ditampilkan di sekitar ruangan dan disebut
saat yang tepat;
teknik untuk bergerak kelompok pada dengan membatasi waktu, memberikan
istirahat untuk memulai sesi baru, poin parkir untuk diskusi nanti (atau rujukan
ke tempat lain);
menggunakan tampilan untuk menunjukkan selera risiko;
menempatkan poin tindakan ke dalam daftar risiko;
demonstrasi - melalui produk dari workshop sebelumnya yang dilakukan di

tempat lain;
memberdayakan kelompok untuk memilih metode, misalnya, apakah orang

harus digunakan atau tidak dan bagaimana latihan seperti itu harus dilakukan;
Perubahan kecepatan - di mana kita cek dengan kelompok apakah untuk

mempercepat atau memperlambat mereka turun;
membagi kelompok untuk melihat isu-isu tertentu - kami juga bisa mendapatkan
kelompok untuk bekerja berpasangan untuk latihan pendek - misalnya, aspek
daftar operasi di mana ada kepatuhan miskin dengan standar kontrol;
kemampuan untuk memarkir manajer lini - kita dapat menghentikan orang ini
mengambil alih dan kemudian memperkenalkan kembali posisi mereka
menjelang akhir ketika rencana aksi sedang diselesaikan;
penggunaan istirahat untuk minuman dan minuman lain di mana tingkat energi
yang ditinggalkan;
memproyeksikan energi dari fasilitator dan keyakinan bahwa proses CRSA

berharga - ini adalah sangat berguna di mana ada beberapa sinisme; ingat untuk
menulis kritik jujur tapi dengan tujuan untuk menyelesaikan masalah ini (dan
mengikuti mereka);
mengidentifikasi titik-titik yang menjaga kelompok energi dan menggunakan ini

untuk mendorong partisipasi;
fokus pada tugas di tangan dan menulis lokakarya ini bertujuan jadi segala
sesuatu yang benar-benar luar mengirimkan dapat diparkir;
pengaturan tempat duduk dapat menyebabkan membuka keterlibatan -

misalnya, tapal kuda tanpa meja dan kemungkinan untuk lebih dekat dengan
anggota kelompok yang juga memungkinkan mereka untuk bergerak bebas
menjadi subkelompok jika diperlukan;
peredam mana tindakan menjadi terlalu panas - ini mungkin memerlukan

presentasi singkat tentang poin poin dan di mana posisi perusahaan cocok;
teknik untuk melanjutkan kehadiran dengan kelompok seperti berdiri,
mengajukan pertanyaan, memberikan tugas, membuat intervensi yang jelas dan
dengan asumsi peran kepemimpinan untuk latihan singkat jika wajib;
teknik brainstorming - dengan aturan yang mencakup generasi ide, yang tidak
menghakimi, mendengarkan keterampilan, batas waktu, pengaturan konteks
dan sebagainya;
cek realitas di mana kita membuat kontrol yang jelas, yang tidak pernah
sempurna dan biaya uang dan waktu untuk berkembang;
teknik untuk pengaturan tujuan mana ini adalah masalah - ini termasuk
Cascading tujuan, kebijakan konteks, link ke misi, terukurnya, kerangka waktu,
anggaran, review mekanisme, bisnis rencana, laporan tahunan, tingkat otoritas,
target kinerja individu, sistem komunikasi, standar kualitas, standar perilaku,
target kelompok, keterampilan, pengetahuan dan sikap yang dibutuhkan.
Ada banyak fasilitator dapat lakukan untuk memastikan keberhasilan

program CRSA dan, sebaliknya, ada banyak hal yang bisa salah di mana persiapan,
membeli-in atau fasilitasi tidak memadai. Seperti inisiatif apapun, CRSA harus
direncanakan dan sumber daya dengan benar dan cocok dengan budaya organisasi
yang bersangkutan untuk itu untuk memiliki kesempatan untuk sukses.
7.4. Mengintegrasikan Self-assessment dan Audit

Auditor internal dapat meninjau proses CRSA dan cara itu dikembangkan dan
diterapkan dalam suatu organisasi, atau auditor internal dapat menyediakan
layanan konsultasi untuk membantu memfasilitasi proses CRSA secara hands-
on. Karena tidak ada yang bisa menjadi hakim dalam kasus mereka sendiri, kedua
pendekatan dapat membuat masalah potensial. Seperti disebutkan sebelumnya,
beberapa tim audit yang memulai proses CRSA, kemudian mundur ke posisi
keselamatan dan melanjutkan peran Ulasan setelahnya. tim lain membagi staf
mereka ke dalam jasa audit dan konsultasi dan memastikan bahwa aspek fasilitasi
CRSA audit disimpan terpisah dari berbasis risiko sistem kerja utama. Sementara
itu, IIA Standar Kinerja 2201 pada pertimbangan perencanaan menyatakan dengan
jelas bahwa internal auditor harus mempertimbangkan:
.Tujuan dari kegiatan yang ditinjau dan sarana yang aktivitas mengontrol
kinerjanya;
Risiko signifikan terhadap aktivitas, tujuan, sumber daya, dan operasi dan
sarana yang potensi dampak risiko disimpan ke tingkat yang dapat diterima;
Kecukupan dan efektivitas manajemen risiko dan pengendalian proses

kegiatan dibandingkan dengan kerangka kontrol yang relevan atau
model; dan
Kesempatan untuk membuat perbaikan yang signifikan untuk proses

manajemen risiko dan pengendalian kegiatan ini
Dengan kata lain, auditor internal harus mengakui aktivitas manajemen risiko
di daerah yang sedang diaudit
dan mengambil papan segala
usaha klien membuat untuk
mengelola risiko dan
membangun kontrol yang
baik. Hal ini didukung oleh
2201.A1 standar IIA yang
membuatnya jelas bahwa.
Ketika mrencanakan
pertunangan bagi pihak luar
organisasi, auditor internal
harus membangun
pemahaman yang ditulis
dengan mereka tentang
tujuan, ruang lingkup,
tanggung jawab masing-
masing, dan harapan lain,
termasuk pembatasan
distribusi hasil keterlibatan
dan akses ke keterlibatan
catatan. Jika kita
menghasilkan model yang
lengkap dari proses / Audit CRSA mungkin terlihat seperti pada Gambar 7.15.
Campuran objektivitas audit dan pengujian di samping pengetahuan dalam

dan komitmen dari proses self-assessment dapat membuat solusi yang
berguna. Pendekatan terpadu ini bercampur audit dengan keterlibatan erat staf
klien dalam format lokakarya untuk mengidentifikasi risiko dan membantu
menentukan solusi yang cocok. Dua kotak baru ditambahkan ke model: Ulasan dan
setuju, yaitu, proses manajemen risiko akan telah obyektif ditinjau oleh audit
internal dan juga disetujui oleh orang-orang yang benar-benar mengoperasikan
sistem, menciptakan banyak manfaat. Cara terbaik untuk menggambarkan idenya
adalah untuk memberikan penjelasan tentang pendekatan yang disiapkan khusus
untuk Handbook oleh John Watts dari Kanada Hidup
Kanada Life - Terpadu Pendekatan Audit - Menggunakan CSA

sebagai Alat Audit
Kanada Hidup Kanada tertua Hidup Perusahaan dan didirikan pada tahun
1847. Sekarang memiliki aset o lebih dari 23 miliar di seluruh dunia dengan
sekitar 10 juta nasabah. Kanada Life demutualisasi pada tahun 1999 dan telah
beroperasi di Inggris sejak tahun 1903 dengan kantor utama UK di Potters Bar dan
Isle of Man. aset Inggris adalah lebih dari 6 miliar dengan menjalankan
pendapatan premi tahun 2001 di lebih dari 1300000000. Di Inggris, berdiri sendiri,
CSA (berbasis lokakarya menggunakan metodologi PDK) telah dilakukan sejak tahun
1998 dengan hasil dari setiap lokakarya yang digunakan untuk memberikan
informasi untuk proses penilaian risiko audit untuk perencanaan audit tahun depan
ini. Selain itu, CSA ini digunakan untuk mendapatkan wawasan ke daerah non-
proses-driven di mana metodologi audit tradisional tidak sepenuhnya tepat. Konsep
'audit terpadu' dikembangkan dan dijalankan dari tahun 2001 dan seterusnya,
menggunakan lokakarya CSA sebagai bagian integral dari audit yang lebih besar di
mana yang sesuai. Ada beberapa alasan mengapa pendekatan terpadu ini
dikembangkan didorong oleh banyak keuntungan termasuk:
cakupan yang lebih besar dari alam semesta audit.
Memungkinkan akses audit untuk daerah baru.
Komitmen / dukungan dari pemilik departemen / proses keseluruhan.
masalah 'gambaran yang lebih besar' Alamat.
Kesempatan untuk menjual audit dalam cahaya baru.
tren umum / keprihatinan diidentifikasi.
Kecepatan.
Pada saat yang sama, ada beberapa kesulitan yang harus diatasi:
Apakah tidak mencakup kontrol bisnis / proses tertentu.
Isu yang diangkat tidak dilaporkan ke Komite Audit juga secara resmi
ditindaklanjuti.
Kesulitan dalam mendapatkan 'benar' peserta;
Teknologi tergantung;
pertanyaan Standard.
The 'Audit terintegrasi' menggunakan teknik CSA telah digunakan pada audit
proses operasional utama termasuk tim manajemen senior dan daerah
lain. Sebelum ini, pendekatan audit tradisional tua didasarkan pada tahapan kunci
berikut:
1. Penelitian
2. Latar Belakang
3. Diskusi dengan manajemen
4. Menghasilkan rancangan risiko utama dan kontrol matriks (KRCM)

5. pertemuan lebih lanjut setuju KRCM
6. Uji paling kontrol
7. Laporan Hasil
Sayangnya, proses ini cenderung mengarah ke:
Keterlibatan Minimal staf.
Staf menyadari apa yang sedang melakukan Audit Internal.
Staf tidak merasa manfaat dari audit
Pendekatan terpadu yang baru berbeda dari ini dan melibatkan:
1. Penelitian Latar Belakang dan presentasi
2. Lakukan lokakarya CSA dengan staf
3. Lokakarya dengan staf dan manajemen untuk menghasilkan KRCM
4. kontrol kunci Uji
5. Hasil Laporan
Dengan cara ini, Kanada Hidup mampu menambah nilai produk audit dan aman:
Peningkatan staf pemahaman Audit Internal.
Keterlibatan staf yang lebih besar dalam menilai proses mereka sendiri.
apresiasi Staf risiko dan kontrol.
Beralih ke lima tahap kunci dari pendekatan terpadu, ini dapat diperluas sebagai
berikut:
1. Latar belakang penelitian dan presentasi: Kami memulai proses audit

dengan mencari tahu tentang daerah dikaji dengan melakukan meja survei
biasa dan penelitian dasar untuk mengisolasi informasi umum yang membantu
pemahaman kita tentang orang-orang, proses dan prosedur yang
bersangkutan. Ini diikuti dengan presentasi PowerPoint resmi kepada tim kerja
pada pendekatan audit dan latar belakang manajemen risiko dan
pengendalian. Presentasi meliputi:
Tujuan dari audit internal - yang adalah untuk menyediakan Dewan dan
Manajemen dengan kepastian terhadap efektivitas kontrol atas operasi
bisnis. Ini memerlukan mengidentifikasi risiko, meninjau teknik kontrol
untuk kecukupan dan efektivitas kemudian menghasilkan laporan
untuk manajemen dengan aksi yang disepakati jika diperlukan untuk
mengurangi risiko.
perbandingan yang lama dan baru (terintegrasi) pendekatan audit

internal.
alasan mengapa pendekatan ini diubah - yaitu untuk memberikan

cakupan yang lebih komprehensif dan rinci dari area bisnis,
meningkatkan / menurunkan saling menguntungkan.
memperkuat pandangan bahwa orang yang melakukan tugas

memahami lebih baik daripada orang lain - yaitu staf sendiri!
resiko manajemen dan seluruh lingkup tujuan menentukan, risiko yang

melekat dan strategi manajemen risiko.
yang CoCo model kontrol dan bagaimana ini menciptakan sebuah

kerangka kerja yang dinamis untuk mengembangkan dan meninjau
kontrol internal.
yang perbedaan antara kontrol keras (seperti tanda tangan otorisasi,

dokumentasi, batas, rekonsiliasi, daftar periksa, pengawasan dan
pengecualian) dan kontrol lembut seperti kerja sama tim,
kepemimpinan, moral, pelatihan dan komunikasi.
Risiko kategori - risiko pasar, risiko kredit, risiko asuransi, risiko

likuiditas, risiko operasional, risiko hukum dan peraturan dan strategis /
risiko perusahaan.
yang cara penilaian risiko dan kontrol kerja tersapu ke Kanada

Hidup ' kunci risiko dan pengendalian Format matriks sebagai bagian
dari perusahaan ' manajemen risiko perusahaan-lebar dan pengaturan
pelaporan tata kelola perusahaan. The KRCM merangkum semua risiko
yang melekat yang luas atau proses dikenai dan potensi implikasi /
konsekuensi, kontrol di tempat yang berusaha untuk mengelola risiko-
risiko dan penilaian seberapa efektif kontrol bekerja.
menutup presentasi dan meminta setiap pertanyaan .
2. Lakukan lokakarya CSA dengan staf: Memiliki ' dijual ' nilai pendekatan
audit, manajemen risiko dan pengendalian internal, kita kemudian membentuk
tim untuk mengisolasi risiko utama mereka sebelum kita mulai audit yang
tepat. Ini memerlukan dua bagian terpisah dari hari ' lokakarya s. Bagian
pertama menggabungkan ' Post-it ' latihan catatan untuk mendapatkan
penilaian dari tim ' pandangan s pada hambatan saat mencegah, dan kekuatan
saat membantu, tim memenuhi tujuannya. Bagian dua meminta mereka
serangkaian pertanyaan standar (bertanya pada setiap sesi) berbasis di
sekitar CoCo Model pada tujuan, komitmen, kemampuan dan belajar untuk
mendapatkan gambaran yang lebih lengkap dari isu-isu dalam daerah. Proses
CSA adalah interaktif, menggunakan teknologi pemungutan suara elektronik di
seluruh dan menangkap tim ' komentar s pada laptop.Semua voting dan
komentar ditangkap ditampilkan ke dan setuju dengan tim di sesi.
3. Lokakarya dengan staf dan manajemen untuk menghasilkan

KRCM: tahap berikutnya ini dirancang untuk membangun risiko utama dan
kontrol matriks sebagai bagian utama dari pelaporan jaminan. Tujuannya di sini
adalah untuk menyelesaikan KRCM dengan cara yang paling efisien namun
efektif dengan memiliki semua, atau representasi yang realistis dari, staf kunci
yang terlibat di departemen / proses, yang terlibat dalam workshop ini pada
waktu yang sama. Pendekatan ini menghindari memperbarui konstan KRCM
dengan pandangan yang berbeda / komentar dan harus memfasilitasi produksi
yang akurat dan disepakati KRCM dalam satu sesi.
4. Uji kontrol kunci: Salah satu perbedaan dengan CSA sebagai proses
manajemen adalah bahwa tidak ada pengujian dilakukan selama
lokakarya. Menggunakan CSA sebagai alat audit, kami dapat fokus strategi
pengujian terhadap daerah berisiko tinggi dan kontrol kunci. Hal ini penting
dalam audit berbasis risiko - sebagai tim mengidentifikasi dan menilai risiko
operasional mereka dan kemudian bekerja keluar bagaimana mengelola
mereka. Sementara kita membangun pekerjaan ini dengan mengarahkan tes
audit kami ke daerah mereka telah diidentifikasi sebagai aspek risiko tinggi
operasi. Pengujian yang dilakukan akan memperhitungkan semua bidang utama
risiko diidentifikasi dalam CSA dan lokakarya KRCM dan akan berusaha untuk
mengkonfirmasi keberadaan dan operasi yang efektif dari setiap kontrol yang
meringankan diidentifikasi dalam proses.
5. Menghasilkan laporan: Laporan ini lebih dari sebuah rencana aksi yang
disepakati yang berasal dari upaya gabungan dari klien dan auditor bekerja
sama dengan tujuan umum untuk meningkatkan proses manajemen risiko dan
lingkungan pengendalian yang mendasari. Masalah utama yang diidentifikasi
dalam lokakarya CSA termasuk dalam laporan audit akhir. Mereka karena itu
secara resmi dilaporkan ke manajemen senior dan komite audit dan merupakan
bagian dari bulanan tindak lanjut dari masalah audit yang luar biasa.
Pendekatan terpadu kami untuk audit lebih signifikan kami menggabungkan

jaminan dan konsultasi peran audit internal. Dengan cara ini, kita dapat mendorong
(dan melengkapi) manajer klien dan staf mereka untuk mengembangkan sistem
yang baik dari manajemen risiko dan pengendalian internal yang mendasari. Kami
juga mampu mengarahkan audit kami menuju daerah risiko tinggi, dan mandiri
menguji dan menjelajahi setiap bidang yang menjadi perhatian. Sementara itu,
kami bekerja sama dengan tim kerja operasional dan Manajemen Risiko untuk
meningkatkan kinerja bisnis di Kanada Life.
audit terpadu dapat memberikan cara menarik menyempurnakan proses

audit, menambahkan nilai lebih pada produk audit. Telah menyarankan bahwa:
Pendekatan perusahaan bijaksana tidak melihat CRSA sebagai alternatif untuk

audit internal, melainkan untuk mengkoordinasikan CRSA dengan proses audit
internal dan melihat mereka cara sebagai pelengkap menilai risiko dan
pengendalian. audit internal konvensional memiliki keuntungan bahwa temuan
audit didukung oleh bukti-bukti yang standar audit internal perlu terkandung
dalam catatan perikatan audit. 'Bukti' dalam program CRSA adalah, dalam
utama, dipegang oleh pengetahuan dan pengalaman yang peserta membawa ke
bengkel CRSA - yang memiliki keuntungan sendiri sebagai 'know-how' mereka
kemungkinan akan melebihi apa yang dapat diperoleh dengan auditor internal
yang tunggal atau oleh tim audit internal selama kerja lapangan singkat tentang
penugasan audit
7.5. Investigasi Penipuan

Penipuan adalah bisnis besar dan skala nyata mungkin tidak diketahui. CIPFA
telah mendefinisikan tiga kategori penipuan:
1. mereka yang dikenal dan dicatat publik;
2. orang-orang yang dikenal hanya dalam organisasi dan yang tidak akan
dibawa ke arena publik; dan
3. orang-orang yang, belum, undiscovered.26
Ini adalah kategori terakhir yang paling mengkhawatirkan - penipuan yang belum
muncul ke permukaan. Penipuan timbul ketika 'sesuatu yang salah' dan ini
berimplikasi pada sistem pengendalian internal. Karena begitu sensitif, manajemen
menjadi putus asa untuk menyelidiki dan memecahkan dugaan penipuan. Mereka
membutuhkan dukungan sebanyak mungkin dan umumnya beralih ke audit internal
untuk bimbingan. Fungsi audit harus memiliki pengetahuan luas tentang penipuan
dan bagaimana mereka diselidiki, jika layanan yang disediakan oleh mereka sebagai
lawan menjadi tanggung jawab tim penipuan spesialis. Bagian ini merangkum
pengetahuan minimum untuk auditor. Sebuah survei yang dilakukan oleh
Manajemen Hari ini dan KPMG Akuntansi Forensik menunjukkan bahwa:
'Perilaku tidak etis' - dari pencurian pena dan berselancar sambil bersih di
tempat kerja untuk penipuan langsung - tetap endemik di tempat kerja
Inggris. Dan berjalan dari ruang rapat ke lantai toko. Meskipun sebagian
besar manajer memiliki pendekatan fundamental etika bisnis, mayoritas
menyadari perilaku tidak jujur di tempat kerja, tetapi menerimanya sebagai
tak terelakkan.Mereka hanya biaya itu ke dalam operasi dan tidak meniup
peluit pada offenders.27
Survei lain yang melibatkan eksekutif senior dari 10.000 organisasi yang mewakili
lebih dari 30 industri yang berbeda di 15 negara menyimpulkan bahwa (ekstrak
saja):
. 82% dari semua penipuan dikenal yang dilakukan oleh karyawan.
Sepertiga dari ini yang dilakukan oleh manajemen.

kecenderungan yang lebih besar di antara manajer untuk melakukan
aksi penipuan.
Organisasi yang belum dilakukan ulasan penipuan kerentanan hampir

dua-pertiga lebih mungkin untuk menderita penipuan dalam 12 bulan
sebelumnya.
40% dari peserta yang berpikir organisasi mereka rentan terhadap

penipuan menunjukkan bahwa organisasi mereka tidak memiliki
kebijakan khusus sehubungan dengan pelaporan penipuan.
80% dari responden yang telah menggunakan akuntan forensik

menyatakan kepuasan mereka dengan pekerjaan yang dilakukan.
Hampir dua pertiga dari peserta organisasi telah ditipu dalam 12 bulan
terakhir.
Hampir satu dari sepuluh menderita lebih dari 50 frauds.28
The ACFE 2002 Laporan kepada Bangsa memperkirakan bahwa untuk AS, 6% dari
pendapatan ($ 600.000.000.000) hilang pada tahun 2002 sebagai akibat dari
penipuan dan penyalahgunaan kerja. Laporan itu menyimpulkan:
. Penipuan dan penyalahgunaan kerja merupakan masalah serius

bagi organisasi;
kas adalah aset yang paling sering menjadi sasaran karyawan yang
tidak jujur;
kebanyakan penipuan kerja sedang berlangsung;
penipuan yang paling mahal yang dilakukan oleh eksekutif pria senior
yang terdidik;
pengendalian internal adalah pencegah penipuan kerja;
kondisi tempat kerja mempengaruhi tingkat penipuan dalam

suatu organisasi;
cara yang paling efektif untuk mendeteksi kecurangan kerja adalah

melalui tips dan keluhan;
audit dan langkah-langkah anti-penipuan lainnya yang efektif dalam

mengurangi biaya penipuan kerja
dan penyalahgunaan, dan
karyawan pendidikan merupakan aspek penting untuk mencegah

penipuan dan penyalahgunaan kerja.
2008 Laporan kepada Nation yang disediakan kesimpulan mengkhawatirkan berikut:
Peserta dalam survei kami memperkirakan bahwa organisasi US kehilangan 7% dari

pendapatan tahunan mereka untuk penipuan.Diterapkan untuk 2008 Amerika
Serikat Produk Domestik Bruto proyeksi, angka ini 7% diterjemahkan menjadi
sekitar $ 994.000.000.000 kerugian penipuan.
Hal ini sangat sulit untuk mendapatkan statistik yang dapat diandalkan tentang
penipuan karyawan. CIFAS (Inggris layanan pencegahan penipuan -
www.cifas.org.uk) membuat jelas bahwa tidak semua kasus penipuan membuatnya
ke pengadilan, sehingga angka pada kasus pengadilan bisa diandalkan. Sebuah
proyek penelitian CIFAS menyarankan bahwa penipuan perusahaan UK berdiri di 40
juta pa melibatkan lebih dari 1.500 pemecatan staf meskipun mereka mengakui
bahwa angka ini bisa jauh lebih tinggi.
Apa yang di Risiko?
Analisis pencurian dan penipuan di departemen pemerintah untuk tahun 2001

melaporkan bahwa beberapa 51% dari badan pemerintah melaporkan tidak ada
penipuan, sementara yang lain 49% melaporkan 539 kasus dengan nilai 1,6
juta. Jenis penipuan dilaporkan termasuk:
Jenis penipuan: Jumlah Nilai
Pencairan penipuan instrumen hutang 1% 1%
Penyalahgunaan kas 14% 4%
Pencurian aset 33% 25%
Proyek pekerjaan jasa 2% 3%
Wisata dan subsisten 12% 8%
Alat pembayaran diterima pada dokumen palsu 6% 49%
klaim palsu untuk jam kerja 11% 3%
Lainnya 21% 7%
Beberapa daerah risiko utama untuk penipuan karyawan meliputi:
debitur Kas
Payroll kontrak modal besar
Kontrak pendapatan akuisisi komputer Major

Akses komputer item portabel Menarik (misalnya laptop)
Sektor publik manfaat hibah Pemerintah
beban Stock
Cek ditarik kreditur dan pembayaran
hipotek Wisma
Petty cash referensi Rekrutmen
Lembur dan karyawan klaim Informasi rahasia
Subsidi mengklaim Kartu kredit
Chip memori computer KNO Perusahaan
DEFINISI FRAUD
The IIA mendefinisikan fraud sebagai:
Setiap tindakan ilegal yang ditandai dengan tipu daya, penyembunyian, atau
pelanggaran kepercayaan. tindakan ini tidak tergantung pada ancaman
kekerasan atau kekuatan fisik.
Penipuan yang dilakukan oleh partai dan organisasi untuk memperoleh uang,
properti, atau jasa; untuk menghindari pembayaran atau kerugian jasa; atau untuk
mengamankan keuntungan pribadi atau bisnis.
The ACFE mendefinisikan penipuan kerja sebagai: 'Penggunaan pendudukan

seseorang untuk pengayaan pribadi melalui penyalahgunaan yang disengaja atau
kesalahan sumber daya organisasi yang mempekerjakan atau assets.'29
Inggris 2006 Undang-Undang Penipuan dirancang untuk mengatasi ancaman

penipuan dengan membuat ketentuan untuk, dan sehubungan dengan, tanggung
jawab pidana untuk penipuan dan layanan memperoleh jujur
1. representasi palsu
2. gagal untuk mengungkapkan informasi
3. penyalahgunaan posisi.
Tindakan ini juga menciptakan pelanggaran baru kepemilikan dan pembuatan atau
penyediaan artikel untuk digunakan dalam penipuan, dan pelanggaran baru
memperoleh layanan tidak jujur. Pelanggaran perdagangan penipuan diperpanjang
untuk pedagang tunggal.
Penipuan dapat terjadi di mana kesalahan yang tidak bersalah telah
terdeteksi sehingga kemampuan untuk menembus keamanan sistem menjadi
jelas. Setelah anggota staf bintik kelemahan sistem, dapat digunakan untuk
melakukan penipuan. Kelemahan ini dapat terdiri dari prosedur yang tidak jelas
yang mencakup hak akses ke sistem komputerisasi di mana ada sedikit perbedaan
antara karya sah dan tidak sah. Beberapa berpendapat bahwa persamaan ini
penting:
Motif + Berarti + oppurtunity = Penipuan
Berikut orang dengan:
alasan (mengatakan membayar jumlah besar tunjangan),
kemampuan (dalam keterampilan teknis atau lainnya yang hadir) dan
ccess (mungkin dengan kesempatan untuk menyembunyikan

perbuatan curang)
mungkin siap untuk melakukan penipuan terhadap sebuah organisasi. Penipuan

dapat dilakukan secara internal oleh karyawan maupun eksternal oleh pihak
ketiga. Ini mungkin terdiri dari konspirasi antara pihak luar dan seorang karyawan,
seperti dengan banyak penipuan kontrak. Penipuan dapat:
Rumit Ini mungkin dilakukan oleh seseorang dengan keahlian khusus di

daerah. Tindakan individu mungkin tampak normal bagi orang luar tanpa
pengalaman. Contohnya adalah ketika bahan bakar diangkut; mengembang dan
akan muncul untuk menjadi volume yang lebih besar. Tindakan hanya menjual
bahan bakar berdasarkan nilai setelah transportasi tidak dapat dipandang sebagai
suatu penipuan yang sebenarnya.
Sederhana Beberapa penipuan mungkin sangat sederhana dan melibatkan

penyesuaian dasar untuk dokumen. Salah satu penipuan didasarkan pada
penggunaan Tipp-Ex cairan menghapus pada dokumen fotokopi yang tertipu bank
ke berpisah dengan 6,7 juta, melalui transfer ke bank di luar negeri.
Menjadi salah satu-off atau kontinu Seorang penjahat dapat mencuri cek, terus
jumlah yang membuatnya lebih besar dalam nilai dan kemudian membayar ke
rekening bank khusus dibuka. Pelaku akan berharap untuk pergi sebelum kerugian
tersebut ditemukan. Seorang karyawan mungkin memalsukan klaim kas kecil dari
nilai wajar selama periode waktu yang panjang sehingga jumlah keseluruhan
menjadi material. Dalam kasus pertama, waktu merupakan faktor penting untuk
menangkap pelakunya. Dalam kasus kedua latihan melelahkan mungkin diperlukan
untuk mengumpulkan semua klaim palsu sehingga berat jelas bukti terakumulasi di
seluruh penyelidikan.
Hati-hati direncanakan A penipuan dapat direncanakan dalam jangka panjang di
mana semua celah dianggap sebelum dilakukan.Mungkin dalam peristiwa normal
itu tidak akan ditemukan dan hanya datang ke cahaya ketika pemeriksaan
tambahan yang dibuat.Orang luar akan memiliki banyak kesulitan dalam
mengungkap jenis penipuan tanpa tip off.
Melibatkan jumlah rutin Beberapa penipuan yang digunakan untuk top up gaji
dan melibatkan jumlah yang teratur. Penyalahgunaan toko mungkin masuk ke
dalam kategori ini sehingga setiap pencurian tanpa diketahui. Masalah utama
adalah bahwa informasi manajemen, mungkin untuk beberapa waktu, berdasarkan
angka kempes dan tidak memberikan petunjuk apapun di bawah deklarasi.Jumlah
yang diterima kemudian mungkin tampak apa yang diharapkan dan semua pihak
puas. Beberapa orang melihat ini sebagai merembes dari pekerjaan. Pedagang lokal
dapat memilih untuk membayar menolak sejumlah kolektor uang tunai daripada
resmi (dan lebih mahal) rekening yang diajukan oleh otoritas lokal untuk
menghilangkan perdagangan menolak. Pada skala yang, Bank of Credit dan skandal
Commerce International tahun 1990-an terkena sebuah organisasi yang terlibat
dalam penipuan pada sehari-hari.
Akan dilakukan oleh perwira senior Skenario dari manajer senior yang lama
melayani yang memiliki rasa tidak suka untuk auditor internal terlihat di banyak
departemen. Jawaban yang tidak masuk akal dapat diberikan kepada auditor junior
yang merasa tidak mampu untuk menantang manajer. Manajer kemudian mungkin
bersikeras bahwa 'mendapatkan sesuatu' lebih penting daripada mematuhi
prosedur resmi dan argumen ini dapat digunakan waktu dan waktu lagi. Jika
karyawan ini tidak melakukan dengan baik, maka atasan tidak mungkin menggali
terlalu dalam ke dalam kegiatan mereka dan kontrol istirahat turun. Staf senior
memiliki hak akses yang lebih besar dan mungkin dapat mengotorisasi transaksi
diskresioner tanpa tantangan. Pandangan bahwa semua staf senior secara alami
dapat dipercaya tidak selalu benar. Penipuan yang dilakukan oleh almarhum Robert
Maxwell yang berbasis di sekitar sebuah organisasi di mana staf merasa mereka
tidak bisa menantangnya.
Melibatkan sejumlah besar Salah satu jenis penipuan yang profil tinggi berkaitan
dengan subsidi Euro. Di masa lalu, Komisi telah dianulir lebih dari 1 miliar sebagai
belanja tidak benar terjadi.
Empat Komponen
Penipuan adalah tindakan penipuan untuk mendapatkan keuntungan atau milik
orang lain dengan empat komponen utama:
Motif. Harus ada motif penipuan. Ini mungkin bahwa karyawan tidak puas atau
dalam kesulitan keuangan. Dalam kasus non-karyawan, harus ada alasan mengapa
penipuan yang dilakukan. Baik manajemen sumber daya manusia terus karyawan
puas dan menurunkan motif non-keuangan untuk terlibat dalam penipuan.
Objek wisata. Laba atau keuntungan dijamin harus memiliki daya tarik bagi
pelaku. Ini bervariasi dan dapat memberikan keuntungan bagi orang yang terkait,
misalnya, pemohon KPR.
Peluang. Harus ada kesempatan yang memadai. Seseorang mungkin ingin untuk
menipu sebuah organisasi dan tahu persis apa yang akan diperoleh, tapi tanpa
peluang, mungkin tidak pernah terjadi. Kontrol preventif harus digunakan untuk
menjaga terhadap kemungkinan penipuan dengan mengurangi peluang. Bahkan,
sebuah laporan oleh University of Nottingham Business School (ditugaskan oleh
Bisnis Pertahanan Eropa) berdasarkan studi dari 200 perusahaan, mengklaim bahwa
manajer menengah sangat mungkin untuk menipu karena mereka memiliki
pengetahuan yang mendalam tentang bagaimana perusahaan mereka bekerja dan
tahu bagaimana untuk menutupi tracks.30 mereka
Penyembunyian. Berbeda dengan pencurian, penipuan memiliki unsur

penyembunyian. Hal ini dapat dengan akuntansi palsu yang merupakan tindak
pidana. Hal ini membuat sulit untuk mengungkap dan memungkinkan penipuan
diulang Mort Dittenhofer telah menggunakan tiga faktor utama, tekanan,
kesempatan dan integritas, untuk menilai kemungkinan penipuan:
TEKANAN PELUANG INTEGRITAS POSSIBLE

RESULT
TINGGI TINGGI PENIPUAN

RENDAH
TINGGI TINGGI GODAAN

TINGGI
LOW TINGGI TINGGI NO

PENIPUAN
LOW LOW TINGGI NO

PENIPUAN
TINGGI RENDAH TEMPTATION31 TINGGI
Penyebab penipuan akan bervariasi tetapi dalam hal penipuan pemerintah

melaporkan penyebab penipuan telah terdaftar sebagai:
Penyebab: Nilai Jumlah
Tidak adanya kontrol yang tepat 24% 14%
Kurangnya pemisahan tugas 1% 1%
Kolusi dengan orang di luar departemen 8% 31%
Kegagalan untuk mematuhi prosedur pengendalian 50% 48%
Kolusi dalam departemen 3% 4%
Lainnya 3% 2%
Jenis Penipuan
Tidak ada definisi hukum penipuan. penipuan yang mungkin dilakukan oleh
orang dalam atau orang luar dan organisasi dapat melaksanakan penipuan dengan,
katakanlah, melebih-lebihkan pendapatannya. Kisah yang terkait dengan penipuan
adalah:
Pencurian
ini mencakup memperoleh properti dengan penipuan dan akuntansi
palsu. Hal ini didefinisikan sebagai 'tidak jujur mengambil alih properti milik lain
dengan tujuan permanen merampas lain dari itu. Pencurian Act 1968, pasal 17
meliputi akuntansi palsu yang mungkin biaya yang paling umum dari penipuan:
Di mana seseorang tidak jujur dengan maksud untuk memperoleh untuk

dirinya sendiri atau yang lain atau dengan maksud untuk menyebabkan kerugian
yang lain (a) menghancurkan, defaces, menyembunyikan atau memalsukan akun
atau catatan atau dokumen yang dibuat atau diperlukan untuk tujuan akuntansi
apapun; atau (b) dalam pemberian informasi untuk tujuan apapun, menghasilkan
atau memanfaatkan catatan tersebut atau dokumen seperti tersebut di atas, yang
pengetahuannya adalah atau dapat menyesatkan, palsu atau menipu dengan cara
material.
Pencurian Act 1968, bagian 22 selimut dicuri barang dan memberikan yang
'Seseorang menangani barang curian jika (selain dalam rangka mencuri) sadar atau
percaya bahwa mereka dicuri dia tidak jujur menerima barang, atau tidak jujur
melakukan atau membantu dalam retensi mereka , penghapusan, pembuangan
atau realisasi oleh atau untuk kepentingan orang lain, atau jika ia mengatur untuk
melakukannya.
Suap dan korupsi

Pencegahan Korupsi Kisah 1889-1916 berlaku untuk pemerintah daerah dan
memberikan yang 'uang, hadiah atau yang dibayar atau diterima akan dianggap
telah dibayar atau diterima korup sebagai bujukan atau hadiah kecuali sebaliknya
terbukti.' Pemerintah Act Local tahun 1972, bagian 117 (2) menyatakan bahwa
seorang perwira seharusnya tidak di bawah 'warna kantornya atau pekerjaan'
menerima fee atau imbalan apapun selain remunerasi yang tepat nya. Pemerintah
Act Local tahun 1972, bagian 117 (1) menyatakan bahwa:
Jika datang ke pengetahuan dari setiap petugas yang bekerja, apakah di

bawah undang-undang ini atau berlakunya lain, oleh otoritas lokal yang minat
berupa uang, baik langsung maupun tidak langsung (tidak menjadi kontrak
yang ia sendiri pesta), telah, atau diusulkan untuk menjadi, yang
diberlakukan oleh otoritas atau komite daripadanya, ia akan segera memberi
pemberitahuan praktis secara tertulis kepada otoritas fakta bahwa ia tertarik
di dalamnya.
Komisi Audit mendefinisikan korupsi sebagai 'korban, memberikan, meminta

atau menerima suatubujukan atau hadiah yang dapat mempengaruhi
tindakan yang diambil oleh otoritas. "
Pemalsuan
'Seseorang bersalah karena pemalsuan jika ia membuat instrumen palsu dengan
maksud bahwa ia atau yang lain akan menggunakannya untuk mendorong
seseorang untuk menerimanya sebagai asli dan dengan alasan sehingga
menerimanya, untuk melakukan, atau tidak untuk melakukan beberapa tindakan
untuk sendiri atau prasangka beberapa orang lain. '
Konspirasi
ini melibatkan perjanjian melanggar hukum oleh dua orang atau lebih untuk
melaksanakan tujuan bersama yang melanggar hukum atau tujuan yang sama halal
dengan cara melanggar hukum. Ini akan mencakup kolusi untuk menimpa kontrol
internal.
Ada tindakan lain yang jatuh di bawah kategori generik penipuan, termasuk:
sumpah palsu
penyembunyian (informasi)
penipuan perdagangan (misalnya ketidakmampuan untuk membayar

kreditur)
konversi (curang mendukung cek)
saji keuangan
penghapusan yang tidak sah dan melanggar prosedur internal juga dapat diselidiki
tetapi ini dilihat sebagai hal disiplin internal tanpa implikasi pidana. Cybercrime
adalah masalah yang berkembang dan survei oleh Konfederasi Industri Inggris
ditempatkan jenis cybercrime agar ancaman yang dirasakan:
virus Hacking Versi terdistorsi dari situs penipuan

kartu kredit
Akses database ilegal komentar buruk
di Internet Efek dan penipuan
keuangan Pencucian uang
Pelanggaran hak kekayaan
intelektual masalah kewajiban Hukum
survei melaporkan bahwa pelaku utama adalah hacker (45%), mantan

karyawan (13%) dan karyawan (11%). 33 Peraturan penyelidikan Powers Act 2000
dibuat tindak pidana baru dan tort intersepsi sah komunikasi yang ditransmisikan
dengan cara tertentu. transmisi tertentu dapat dicegat jika resmi dan Sekretaris
Negara dapat menerbitkan waran intersepsi untuk tujuan tertentu dan memerlukan
pengungkapan kunci enkripsi. tanda tangan elektronik terdiri dari kunci enkripsi
publik terkait dengan sebuah kunci pribadi, sehingga pesan yang aman selama
pengguna resmi mengirimkan pesan. Electronic Communications Act 2000
memungkinkan perangkat ini untuk disampaikan di pengadilan sebagai bukti,
seperti yang akan tanda tangan tradisional.Undang-Undang berisi pengaturan untuk
Sekretaris Negara untuk mempertahankan daftar penyedia kriptografi
disetujui. pencucian uang juga menjadi perhatian berkembang dan merupakan
pelanggaran:
bagi setiap orang untuk memberikan bantuan kepada seorang penjahat

untuk mempertahankan, menyembunyikan atau menginvestasikan dana jika
orang yang tahu atau mencurigai bahwa dana hasil cri saya; definisi
kejahatan untuk tujuan pencucian uang sekarang sangat luas dan mencakup
hasil apa pun dari pencurian ke penggelapan pajak;
berprasangka pencucian uang investigasi oleh menginformasikan pihak

ketiga bahwa penyelidikan sedang berlangsung;
tidak melaporkan dugaan pencucian yang berkaitan dengan obat-obatan

atau terorisme.
perusahaan jasa keuangan memiliki persyaratan tambahan untuk memverifikasi

identitas pelanggan dan untuk mengidentifikasi transactions.34 mencurigakan
Sementara itu, ACFE memiliki tiga kategori dasar penipuan kerja:
1. penyelewengan aset. 86% kasus dan 90% melibatkan pencurian uang tunai.
2. korupsi - penggunaan yang salah dari pengaruh misalnya suap.
3. laporan penipuan - falsification.35
Indikator Penipuan
Penipuan biasanya ditemukan melalui keberuntungan atau pihak ketiga

informasi sementara beberapa yang ditemukan selama ulasan audit, atau melalui
kontrol atau dengan manajemen lini. Berikut ini adalah Iindicators penipuan
Tren aneh yang dipamerkan di mana angka perbandingan bergerak dalam

mode dijelaskan. Misalnya, pola pengeluaran pada item portabel yang
menarik bisa tiba-tiba meningkat selama musim Natal atau tetes dijelaskan
pendapatan mungkin Appe ar pada hasil pendapatan. Hal ini tidak diketahui
untuk menghabiskan terhadap anggaran pendapatan untuk meningkatkan
menjelang akhir tahun keuangan.
Dokumen ditulis ulang dan / atau diubah mungkin bukti perubahan yang
tidak sah untuk menutup-nutupi penipuan.
Dokumen yang hilang mungkin sinyal penipuan di mana barang-barang yang

sensitif seperti terpakai cek atau formulir pemesanan. Komputer dapat
mencetak hilang item dengan mengisolasi kesenjangan dalam penomoran
berurutan.
Tipp-Ex (menghapus cairan) diterapkan untuk dokumen mungkin
menunjukkan perubahan yang tidak sah. Ini bisa dengan mudah digunakan
dengan fotokopi untuk membuat file dokumen terdistorsi. Kita biasanya
dapat melihat entri asli dengan mengangkat sisi sebaliknya dari dokumen
asli terhadap cahaya. Fotokopi menggantikan asli dapat segera dirusak sejak
fotokopi dapat membuat tidak mungkin untuk mengungkap perubahan
dengan aslinya.
Keluhan dari pemasok yang tidak mengikat dengan catatan harus waspada
yang potensial masalah. Jadi jika pemasok mengklaim bahwa pembayaran
mereka tidak diterima, meskipun cek telah dicairkan, ini mungkin berarti
bahwa uang tersebut telah dialihkan ke rekening yang salah.
Kebiasaan sosial dari staf kadang-kadang digunakan sebagai contoh

indikator penipuan terutama di mana mereka tampaknya hidup di luar
kemampuan mereka. Ini harus digunakan dengan hati-hati karena
ada jarang orang memiliki lebih dari satu sumber pendapatan. Beberapa
penipu tiba di tempat kerja sangat awal di pagi hari atau tinggal larut malam
ketika mereka dapat mengubah catatan tidak teramati. Lainnya memiliki
kecemburuan obsesif atas pekerjaan mereka dan membenci intrusi atau
mengambil sedikit cuti tahunan sama sekali.
Situasi yang tidak biasa lainnya timbul seperti void berlebihan, menulis-off,
personel yang tidak sah akses, harga kontrak realistis, orang terlalu
kooperatif, vendor meningkatkan faktur, catatan-catatan pendukung tidak
tersedia, non-serial-nomor dokumen, satu orang di kontrol, kesediaan untuk
menyelesaikan klaim, berlebihan write-off, banyak jurnal, staf kunci pada
upah rendah, tidak ada anti-fraud kebijakan, pemahaman yang buruk dari
kontrol, sejarah kepatuhan miskin, hubungan yang buruk antara audit dan
manajemen, pengawasan manajemen sedikit, akuntabilitas miskin,
miskin screening perekrutan, rendah moral karyawan, karyawan yang
bekerja jam unsocial tanpa pengawasan, tidak ada kesadaran keamanan,
transaksi tunai yang besar, transaksi yang kompleks, baru sistem akuntansi,
surat konfirmasi tidak dikirim, kontrak dengan spesifikasi miskin, tidak ada
tender, perubahan harga, negosiasi pasca-tender, out- of-keseimbangan
buku besar, pembelian berlebihan dan perjalanan dan subsisten, karyawan
hantu, penyusutan persediaan, meningkat memo, besar satu-
off pembayaran, berlebihan lembur karyawan, faktur biasa, rasio aneh dan
tren.
Banyak indikator pergi tanpa diketahui dan masalah muncul ketika, setelah
penipuan telah ditemukan, ada kritik yang ada jelas sesuatu yang salah yang
seharusnya terlihat.
Ada karyawan yang waspada terhadap tanda-tanda ini dan selama organisasi
mempromosikan perilaku peringatan ini menjadi kontrol tambahan. Satu-satunya
obat yang sebenarnya adalah kontrol yang efektif.
Deteksi penipuan
The ACFE 2002 Laporan kepada Nation menunjukkan bahwa sumber utama deteksi
di AS (Persentase ditunjukkan dalam tanda kurung) berasal dari:
1. tip dari karyawan (26%)
2. oleh kecelakaan (19%)
3. intern Audit (18%)
4. intern control (15%)
5. eksternal Audit (11%)
6. tip dari pelanggan (9%)
7. anonim tip (6%)
8. tip dari vendor (5%)
9. pemberitahuan oleh penegak hukum (2%).
Laporan Penipuan Pemerintah Inggris memiliki daftar yang berbeda dari cara
penemuan
Metode deteksi: Jumlah Nilai
Operasi normal prosedur pengendalian 59%

56%
Audit internal 1% 1%
Kecurigaan 4% 2%
Kecelakaan 4% 2%
Informasi dari pihak ketiga 30% 39%
Audit eksternal 1% 1%
Pengakuan 1% 1%
Lainnya 1% 1%
Mendefinisikan Peran dalam Organisasi
Dalam hal deteksi penipuan, ada perbedaan yang jelas antara manajemen
internal dan audit peran:
Manajemen dan kegiatan audit internal memiliki peran yang berbeda-beda

sehubungan dengan deteksi penipuan.
Manajemen memiliki tanggung jawab untuk membangun dan memelihara

sistem pengendalian yang efektif pada biaya yang wajar.
Sebuah sistem pengendalian internal yang dirancang dengan baik

seharusnya tidak kondusif untuk penipuan. Tes yang dilakukan oleh auditor,
bersama dengan kontrol yang wajar yang ditetapkan oleh manajemen,
meningkatkan kemungkinan bahwa setiap indikator fraud yang ada akan
terdeteksi dan dipertimbangkan untuk penyelidikan lebih lanjut.
Sebelum kita mempertimbangkan peran individu secara lebih rinci, kita dapat
merujuk bimbingan sebelumnya dari IIA.UK & Irlandia, yang menunjukkan bahwa
semua organisasi harus mengidentifikasi risiko penipuan dan dampaknya terhadap
organisasi, dan karena itu harus:
. Mengatur nada dari atas dengan memiliki kebijakan bahwa penipuan

akan tidak akan ditoleransi dan penipu akan dituntut;
memiliki strategi mitigasi penipuan untuk mendeteksi dan mencegah akan

penipu;
memiliki pengaturan rencana tanggap penipuan tahu persis apa langkah

yang harus diambil jika penipuan dilaporkan atau terdeteksi
Dalam mengirimkan luas ini, peran individu dalam hal penipuan adalah sebagai
berikut:
Manajemen manajemen langsung bertanggung jawab untuk memastikan semua

atau dugaan penipuan dan penyimpangan yang diselidiki dan diselesaikan. Hal ini
dicapai dengan mengenali risiko dan membangun kontrol yang sesuai. Manajemen
bertanggung jawab untuk memastikan penipuan tidak terjadi. Eropa Konfederasi
Institutes of Internal Audit (ECIIA) mengatakan bahwa:
Direktur, manajer dan seluruh karyawan harus dilatih dalam kesadaran

penipuan. auditor internal harus menerima pelatihan yang lebih luas dalam
pencegahan penipuan dan deteksi dan diminta untuk mempertahankan anup
ke basis date pengetahuan disiplin ini. (Para. 1.4)
Informasi yang tersedia ke papan, komite audit dan manajemen senior

sehubungan semua operasi pengendalian internal - dan terutama mereka
kontrol yang dirancang untuk mencegah penipuan - akan ditingkatkan di
mana fungsi audit internal di tempat, benar sumber daya dan pelaporan pada
tingkat tinggi . (Para. 1,5) 38
Audit internal audit internal bertanggung jawab untuk meninjau sistem cara
meminimalkan risiko limbah, pelanggaran prosedur, VFM miskin dan
penipuan. Dalam hal audit referensi, di bawah lingkup audit, muncul isu menjaga
aset organisasi. Pertanyaan yang kemudian muncul, apakah ini adalah dalam hal
meninjau kontrol atas aset atau memeriksa apakah mereka benar dicatat dan
mengambil tindakan jika tidak. Pendekatan pertama adalah sistem berbasis,
sedangkan yang kedua diarahkan ke pengujian transaksi atau kejujuran
berbasis.Pendekatan SBA menyediakan lebih efektif menggunakan sumber daya
audit tapi masalahnya adalah bahwa manajemen memang memiliki harapan bahwa
audit akan membantu mengungkap besar kesalahan / penyimpangan. Legislator
juga cenderung untuk memegang pandangan bahwa audit akan tetap memeriksa
manajemen. Dalam beberapa organisasi, peran audit dan peran penipuan peneliti
dipisahkan, dan di departemen audit lainnya, banyak waktu yang dihabiskan untuk
penipuan yang bertentangan dengan ulasan direncanakan sistem. Ekstrim terjadi di
mana kasus dirujuk grosir untuk audit internal. Mereka diselidiki dan laporan audit
mereka ke polisi di samping memulai setiap sidang disipliner resultan terhadap
karyawan yang bersangkutan. Organisasi harus bernegosiasi peran audit dalam hal
penipuan. Prinsip yang harus diterapkan adalah:
Piagam audit harus menetapkan peran audit dalam penipuan.
Organisasi harus menentukan kebijakan yang jelas tentang penipuan

dan jika ini melibatkan audit internal maka harus berkata
begitu. Mungkin semua penipuan dilaporkan dalam contoh pertama
yang audit internal.
Dalam kebijakan organisasi, audit internal harus menetapkan

perjanjian tingkat layanan yang akan menjelaskan peran dalam
penipuan. Ini harus disetujui oleh komite audit.
Apapun yang disepakati, jelas bahwa manajemen sepenuhnya

bertanggung jawab untuk menyelidiki dan menyelesaikan penipuan
mereka dan keterlibatan audit internal, dalam kenyataannya,
pekerjaan konsultasi.
1. Model yang paling efektif adalah di mana manajemen memutuskan

penipuan sendiri, sementara audit internal memberikan peran penasehat. Jika
benar diarahkan, manajemen dapat menggunakan pengetahuan penutupan
dari daerah yang terkena untuk mempercepat penyelidikan, sementara audit
yang memiliki kurva belajar sebelum pekerjaan dapat dilakukan. Jika manajemen
terus keluar dari penyelidikan karena kurangnya keterampilan, maka ia sedang
kehilangan pengalaman ini yang pernah diperoleh akan memungkinkan untuk
menangani penipuan. Itu pengecualian utama adalah di mana laporan tersebut
akan tubuh luar atau sifat penipuan berimplikasi semua tingkatan manajemen
dan investigasi independen diperlukan.
2. Keputusan eksekutif harus dilakukan oleh manajemen yang harus

melaksanakan tindakan yang diperlukan untuk mengatasi penipuan. Bahkan di
mana Audit melakukan pekerjaan penyelidikan, adalah penting bahwa
manajemen mengeluarkan instruksi yang dihasilkan.
3. Tempat audit menyelidiki penipuan yang mereka harus berhati-hati
untuk tidak menjadi dimanipulasi oleh pengelolaan. Jika jelas bahwa, karena
mereka beh aviour , manajer yang Audit yang bekerja untuk ikut bertanggung
jawab atas penyimpangan, maka pemeriksaan perlu membersihkan
pelaporan baris ke tingkat berikutnya manajemen. Partai dicurigai harus
diberi penuh kesempatan untuk menjelaskan tindakan dan manajemen mereka
seharusnya tidak berlaku penindasan. manajer telah dikenal untuk
memberhentikan staf yang tidak bersalah dan membayar mereka kompensasi
konsekuensial di pengadilan kerja.
4. Setelah penipuan diselesaikan, pemeriksaan harus memastikan

manajemen yang mengakui tanggung jawabnya untuk menutup celah
pengendalian internal. Satu harus berhati-hati bahwa audit tidak digunakan
untuk secara teratur mendisiplinkan staf karena manajemen tidak dapat
diganggu untuk menginstal kontrol internal yang efektif.
5. Dalam hal deteksi penipuan, IIA Atribut Standar 1210.A2 membuat

jelas bahwa ' Auditor internal harus memiliki pengetahuan yang cukup untuk
mengevaluasi risiko penipuan dan cara yang dikelola oleh organisasi, tetapi
tidak diharapkan memiliki keahlian orang yang utama tanggung jawab adalah
detecti ng dan menyelidiki penipuan . "
6. keputusan eksekutif harus dilakukan oleh manajemen yang harus

melaksanakan tindakan yang diperlukan untuk memecahkan penipuan. Bahkan
di mana Audit melakukan pekerjaan penyelidikan, adalah penting bahwa
manajemen mengeluarkan instruksi yang dihasilkan.
7. Dimana Audit menyelidiki penipuan mereka harus berhati-hati untuk

tidak menjadi dimanipulasi oleh manajemen. Jika jelas bahwa, karena perilaku
mereka, para manajer yang audit bekerja untuk ikut bertanggung jawab atas
penyimpangan, maka pemeriksaan perlu clea r garis pelaporan ke tingkat
berikutnya manajemen. Partai dicurigai harus diberi kesempatan penuh untuk
menjelaskan tindakan dan manajemen mereka seharusnya tidak berlaku
penindasan. Manajer telah dikenal untuk memberhentikan staf yang tidak
bersalah dan membayar mereka kompensasi konsekuensial di pengadilan kerja.
8. Setelah penipuan diselesaikan, pemeriksaan harus memastikan

manajemen yang mengakui tanggung jawabnya untuk menutup celah
pengendalian internal. Satu harus berhati-hati bahwa audit tidak digunakan
untuk secara teratur mendisiplinkan staf karena manajemen tidak dapat
diganggu untuk menginstal kontrol internal yang efektif.
9. Dalam hal deteksi penipuan, IIA Atribut Standar 1210.A2 membuat

jelas bahwa 'Auditor internal harus memiliki pengetahuan yang cukup untuk
mengevaluasi risiko penipuan dan cara yang dikelola oleh organisasi, tetapi tidak
diharapkan memiliki keahlian dari orang yang tanggung jawab utama adalah
mendeteksi dan menyelidiki penipuan. "
The IIA. UK & Irlandia Pernyataan Posisi Penipuan lama berpendapat bahwa
peran yang audit internal bisa melakukan adalah sebagai berikut:
Meninjau proses pencegahan penipuan dan deteksi yang ditempatkan

oleh manajemen;
Membantu manajemen untuk meningkatkan proses-proses tersebut;
Memimpin investigasi di mana diperlukan;
Penghubung dengan polisi;
Menangani pelapor.
Untuk tampilan pan-Eropa kita dapat kembali ke ECIIA, yang posisinya kertas
pada penipuan menjelaskan bahwa:
Audit internal dapat memberikan kontribusi yang signifikan untuk

pencegahan penipuan dengan melakukan peran utamanya menyediakan
manajemen dengan (1) opini tentang efektivitas pengendalian internal, (2)
rekomendasi untuk perbaikan kontrol dan (3) informasi tentang teknik terdepan
untuk deteksi penipuan dan penilaian risiko. (Para. 1.6)
Audit internal dapat memberikan organisasi dengan lingkungan yang

aman bagi karyawan untuk meningkatkan kekhawatiran ketika hal itu dirasakan
bahwa masalah ini tidak ditangani oleh manajer lini. Sebuah proses rahasia,
berdasarkan praktik terbaik, dapat diletakkan di tempat oleh auditor internal
yang secara resmi 'melompati' struktur hirarkis dan langsung dapat
menginformasikan dewan dan komite audit. (Para. 1.7)
Audit internal dapat membawa keterampilan yang investigasi, analisis

dan pengumpulan bukti untuk keadaan-keadaan di mana penipuan diduga.
Beroperasi di bawah Piagam papan-disetujui, audit internal dapat menyelidiki
dan bukti aman ke titik di mana laporan dapat dibuat untuk otoritas eksternal -
jika yang sesuai - dengan kesempatan yang masuk akal dari penuntutan yang
sukses berikutnya. (Para. 1.8)
Auditor internal perlu berhati-hati saat melaksanakan tugas audit dan

mempertimbangkan risiko penipuan. Atribut IIA Standard 1220.A1 memperkuat
kebutuhan untuk melakukan perawatan profesional karena dengan
mempertimbangkan:
Tingkat kerja yang diperlukan untuk mencapai tujuan keterlibatan ini;
kompleksitas relatif, materialitas, atau arti dari hal-hal yang prosedur

Kecukupan dan efektivitas pemerintahan, manajemen risiko, dan proses

kontrol;
Probabilitas kesalahan yang signifikan, penipuan, atau ketidakpatuhan; dan
Auditor eksternal. Auditor eksternal harus memastikan bahwa manajemen telah

mengambil langkah-langkah untuk mengontrol penipuan, dan di mana hal ini tidak
cukup, itu dapat disebut dalam surat manajemen. Auditor eksternal akan
memastikan bahwa penipuan dalam hal kemungkinan salah saji material dari
rekening dianggap ketika merencanakan audit dan meninjau kontrol internal.
Mereka akan menindaklanjuti indikator penipuan dan melaporkan hasilnya kepada
manajemen dan auditor eksternal mungkin diminta untuk memberikan saran
manajemen tentang pencegahan penipuan. CFE Penipuan Penguji Pedoman
mencakup survei dari tanda-tanda peringatan potensi perusahaan akuntansi yang
besar 'auditor penipuan keuangan-pernyataan - peringkat dalam urutan
kepentingan:
Manajer telah berbohong kepada auditor atau telah terlalu mengelak dalam
menanggapi mengaudit pertanyaan.
Pengalaman auditor dengan manajemen menunjukkan tingkat

ketidakjujuran.
Manajemen penekanan berlebihan pada rapat proyeksi laba atau target

kuantitatif lainnya.
Manajemen telah terlibat dalam sering perselisihan dengan auditor,

khususnya tentang aplikasi agresif prinsip akuntansi yang meningkatkan
laba.
Klien telah terlibat dalam opini belanja.
Sikap Manajemen terhadap pelaporan keuangan adalah terlalu agresif.
Klien memiliki lingkungan pengendalian yang lemah.
Sebagian besar kompensasi manajemen tergantung pada pemenuhan target

diukur.
Manajemen menampilkan hormat signifikan bagi badan pengawas.
operasi dan keuangan keputusan Manajemen didominasi oleh satu orang

atau beberapa orang yang bertindak dalam konser.
Client manager menampilkan sikap bermusuhan terhadap auditor.
Manajemen menampilkan kecenderungan untuk mengambil risiko yang tidak

semestinya.
Ada transaksi sering dan signifikan sulit-untuk-audit.

manajer Key dianggap sangat tidak masuk akal.
Organisasi klien terdesentralisasi tanpa pemantauan yang memadai.
Manajemen dan / atau kunci omset personil akuntansi yang tinggi.
personil Client menampilkan kebencian signifikan otoritas.
Manajemen menempatkan tekanan berlebihan pada auditor, khususnya

melalui struktur biaya atau pengenaan tenggat waktu tidak masuk akal.
profitabilitas klien adalah tidak memadai atau tidak konsisten relatif

terhadap industri.
Klien dihadapkan dengan situasi hukum yang merugikan.
Manajemen menunjukkan perhatian yang tidak semestinya dengan

kebutuhan untuk mempertahankan atau meningkatkan citra / reputasi
entitas.
Ada kondisi yang merugikan dalam industri klien atau lingkungan eksternal.
personil Akuntansi menunjukkan pengalaman atau kelalaian dalam

melaksanakan tugasnya.
Klien masuk ke dalam satu atau beberapa transaksi tertentu yang

berdampak material terhadap laporan keuangan.
manajemen Klien tidak berpengalaman.
Klien adalah dalam masa pertumbuhan yang cepat.
Ini adalah klien baru yang tidak memiliki riwayat pemeriksaan sebelumnya
atau informasi yang cukup dari auditor pendahulu.
Klien tunduk komitmen kontrak yang signifikan.
hasil operasi Klien sangat sensitif terhadap faktor-faktor ekonomi (inflasi,

suku bunga, pengangguran, dll).
Klien baru-baru mengadakan sejumlah besar transaksi akuisisi.
Internal tim kepatuhan Manajemen dapat mengatur tim kepatuhan internal

untuk membantu dalam mempromosikan sesuai dengan prosedur. Tim-tim ini tidak
meringankannya dari tanggung jawabnya, karena manajemen masih harus siap
untuk membuat keputusan eksekutif, bahkan di mana berdasarkan rekomendasi
yang dibuat oleh auditor internal. Tim dapat digunakan untuk menyelidiki penipuan
dan penyimpangan dan harus memiliki tingkat kemandirian sehingga mereka dapat
bekerja secara objektif. Mereka dapat diterapkan untuk menyelidiki penipuan minor.
Manajer bertanggung jawab untuk menyelesaikan penipuan dan mereka sumber
daya ini melalui tim pengendalian.
Bagian Personil Personil dapat dilihat sebagai fungsi independen yang dapat
digunakan untuk secara resmi berkomunikasi antara tersangka dan manajemen dan
memastikan bahwa personil kebijakan sedang ditaati. Hal ini relevan di mana
manajemen sedang menyelidiki dan mengambil tindakan terhadap pihak yang
terlibat. Personil memiliki peran ganda menasihati manajemen pada tindakan
mereka dan memastikan bahwa hak-hak karyawan dilindungi. prosedur disiplin
personil harus diperhatikan oleh manajemen.
Karyawan Semua karyawan harus memahami kebijakan penipuan dan tahu

bagaimana untuk melaporkan kecurigaan penipuan. Kepentingan Umum
Pengungkapan Act 1998 menawarkan beberapa perlindungan bagi pekerja yang
mengungkapkan informasi kepada manajer atau / nya majikannya akan dilindungi
jika whistle blower memiliki kecurigaan bahwa malpraktek telah terjadi, sedang
terjadi atau mungkin terjadi dan dapat membuat pengungkapan dilindungi (yang
mencakup pelaporan tindak pidana) itikad baik mana:
whistleblower yang cukup percaya ia akan menjadi korban,
ia mengangkat masalah ini secara internal atau dengan regulator yang

ditentukan,
wajar percaya penutup-up kemungkinan dan tidak ada regulator yang

ditentukan; atau dia sudah mengangkat masalah ini secara internal atau
dengan regulator yang ditentukan. Kembali ke IIA.UK & Irlandia Pernyataan
Posisi Penipuan yang berisi pandangan whistleblowing:
Audit internal mungkin memiliki tanggung jawab untuk menyelidiki tuduhan

dari whistleblower meskipun sebuah perusahaan eksternal dapat digunakan sebagai
titik kontak dengan whistleblower untuk menjaga anonimitas mereka. Ini adalah
praktik yang baik untuk organisasi yang lebih besar untuk memiliki sistem
dipublikasikan untuk melaporkan penipuan. Jika penyelidikan menunjukkan bukti
kecurangan pidana maka auditor internal harus membahas masalah tersebut dalam
organisasi tetapi juga harus memastikan bahwa masalah ini dibawa ke polisi.
Lainnya fakultas audit ICAEW ini mengatur panel penipuan penasehat pada
tahun 1998 dan melanjutkan untuk menyepakati tiga pihak bekerja untuk:
1. Mengumpulkan intelijen dan menilai fakta-fakta dan informasi pada penipuan:

mana terjadi; berapa banyak ada dan membangun alasan mengapa ada
pelaporan miskin penipuan.
2. Menetapkan metode pencegahan; memberikan nasihat tentang pencegahan

penipuan dan deteksi dan bagaimana metode pelatihan dapat ditingkatkan;
membuat orang lebih sadar akan informasi yang dibutuhkan oleh organisasi
dan orang-orang yang berisiko.
3. Pertimbangkan pelanggaran ini penipuan; melihat efektivitas penyidikan dan
penuntutan metode yang ada dan meningkatkan kecepatan keyakinan
sebagai pencegah penipuan.
investigasi Penipuan
Ketika penipuan karyawan atau ketidakteraturan datang ke perhatian auditor

ada sejumlah program alternatif tindakan. Sangat penting bahwa setiap kursus hati-
hati ditimbang dan tindakan yang paling tepat dipilih, berdasarkan keadaan dan
kekuatan bukti sejauh diamankan. Pilihan ini harus terus dikaji:
Menelepon polisi. Ini akan diperlukan di mana ada bukti kuat dari penipuan.
Kebijakan tersebut harus bahwa polisi diberitahu pada kesempatan pertama. Untuk
kejahatan tersembunyi lebih rumit, polisi akan mengharapkan organisasi untuk
melakukan beberapa pekerjaan latar belakang dasar terlebih dahulu.
Memulai penyelidikan manajemen. Ini mungkin melibatkan manajer atau

manajemen tim yang ditugaskan untuk secara resmi menyelidiki keadaan dari
kasus tersebut. Ini merupakan pendekatan yang bertanggung jawab dengan
manajemen yang mengakui pentingnya menyelesaikan penipuan sekaligus,
mengatakan dengan mewawancarai semua staf yang bekerja di daerah yang
bersangkutan. Hal ini dapat merusak penyelidikan di mana mereka yang
bertanggung jawab disiagakan dan mampu menutupi jejak mereka. Jika
manajemen, karena kurangnya pengalaman, tidak mencakup semua kemungkinan,
maka catatan bisa hilang, saksi potensial mungkin tertekan dan penyelidikan
digagalkan.
Memulai investigasi audit. Hal tersebut dapat disebut audit internal untuk
penyelidikan formal. Mungkin dirahasiakan sementara strategi yang tepat
dirumuskan. Sebuah isu yang semakin relevan adalah mengamankan data yang
dimiliki pada PC. Jika tersangka disiagakan file dapat irretrievably dibersihkan atau
hancur.
Memulai suatu pengelolaan bersama / audit investigasi internal. Hal ini

biasanya pendekatan yang terbaik karena menggabungkan keahlian audit yang
dengan pengetahuan lokal manajemen dalam strategi yang sesuai. Hal ini juga
mengakui bahwa manajemen bertanggung jawab untuk menyelidiki penipuan.
Wawancara petugas yang bersangkutan. Ada saat-saat ini adalah pilihan yang
paling sederhana. Hal ini dimungkinkan untuk menghabiskan minggu menyelidiki
masalah, yang, ketika disampaikan kepada pelakunya, ia / dia mengaku langsung.
Beberapa penipu mencari perhatian dan ingin ditangkap. Hal ini juga
memungkinkan penjelasan sederhana yang akan disajikan sebelum penyelidikan
telah pergi terlalu jauh, misalnya, kasus kesalahan identitas atau seseorang
menggunakan orang lain ID akses komputer dan password. Masalahnya di sini
adalah bahwa, jika sedikit kerja telah dilakukan pada penyelidikan, tersangka dapat
menutupi jejak mereka sebelum bukti nyata telah diamankan.
Menangguhkan tersangka. Dimana bukti-bukti yang kuat dan ada risiko nyata
bahwa kerugian mungkin terjadi jika tindakan tidak diambil langsung, maka
tersangka dapat ditangguhkan. Perlu ada kasus yang jelas dan keputusan harus
masuk akal dan sejalan dengan kebijakan disiplin organisasi. Kesulitan utama
adalah bahwa sementara suspensi tidak menyiratkan rasa bersalah, asumsi
bersalah cenderung dibuat oleh orang lain. Suspensi berarti bahwa bukti tidak
dapat dirusak. Hal ini juga membuat kasus kuat untuk pemecatan di sidang
disipliner kemudian di mana satu dapat mengatakan bahwa kehadiran seseorang di
tempat kerja tidak bisa lagi ditoleransi. Tapi itu akan berhenti pemeriksaan
menangkap orang sebagai penipuan sedang dilakukan.Kerugian lain adalah bahwa
hal itu mungkin membuat sulit untuk cepat mengadakan wawancara dengan
tersangka yang dapat mengundurkan diri sebelum kasus telah dibangun.
Menginstruksikan proses disiplin. Kita mungkin ingin memindahkan langsung

ke sidang disipliner formal berdasarkan fakta-fakta yang tersedia. Hal ini
dimungkinkan di mana kita menemukan bahwa seorang karyawan telah dihukum
karena penipuan di pengadilan dan ini mempengaruhi / posisinya di tempat kerja.
Lebih baik untuk melakukan penyelidikan penuh terlebih dahulu dan mendasarkan
sidang disipliner pada temuan.
Periksa sistem pengendalian internal. Ini merupakan langkah penting dan ada
kalanya ada sedikit yang dapat dilakukan. Jika cek telah dicuri dan dicairkan
kemudian terlepas dari menasihati polisi ada mungkin tidak banyak lagi yang bisa
dilakukan. Di sisi kontrol kita mungkin ingin mengeluarkan instruksi ketat yang cek
yang dikeluarkan oleh organisasi tidak harus ditinggalkan di meja dan harus
dikurung dalam semalam.
Mengeluarkan instruksi resmi untuk staf. Ini kadang-kadang mungkin jawaban

yang paling tepat. Jika jelas bahwa staf overenthusiastic di, katakanlah, perjalanan
atau lembur klaim maka mungkin perlu untuk mengingatkan mereka bahwa ini
adalah distorsi tidak dapat diterima dan selanjutnya dapat merupakan pelanggaran
disiplin. Kita harus yakin dari fakta-fakta sebelum membuat komentar umum dan
ada berbagai tingkat keparahan. Praktik terbaik menunjukkan bahwa karyawan
harus diberitahu apa yang merupakan pelanggaran disiplin dan diberikan
peringatan yang cukup sebelum sidang disipliner formal diterapkan.
Melakukan apa-apa. Ini tergantung pada kebijakan. Hal ini dimungkinkan untuk
memiliki kebijakan di mana panggilan telepon anonim membuat tuduhan di mana
orang tersebut menolak untuk dilihat (dalam keyakinan) tidak ditindaklanjuti. Ini
harus dibenarkan dan muncul di mana ada keterbatasan sumber daya dan tingkat
berlebihan tuduhan tidak berdasar.
Pilihan di atas harus
dipertimbangkan dengan hati-
hati secepat informasi diterima
pada kemungkinan penipuan
dan penyimpangan. Sebuah
proses menilai keadaan dan
memilih respon yang tepat
harus ditetapkan sehingga
keputusan suara dapat
dilakukan. Masing-masing
pilihan ini harus
dipertimbangkan kembali
secara berkala sebagai
penyelidikan berlangsung. Hal
ini dimungkinkan untuk
menetapkan kebijakan formal
dimana audit internal
diinformasikan segera dari
semua penipuan, aktual atau
dugaan. Beberapa
berpendapat bahwa tidak ada satu cara untuk menyelidiki penipuan karena masing-
masing bervariasi tergantung pada keadaan. Hal ini tidak menghalangi kita dari
mengembangkan prinsip-prinsip untuk penyelidikan penipuan. Satu kerangka
ditunjukkan pada Gambar 7.16.
Pertimbangan utama
Selama penyelidikan penipuan, pertimbangkan hal berikut:
1. Perencanaan penyelidikan. Strategi ini diterapkan akan harus dipilih dengan hati-
hati, mengambil papan semua faktor yang relevan.
2. Surveillance. Penggunaan teknik ini harus dipertimbangkan.
3. Sumber daya yang dibutuhkan. Kebutuhan untuk menetapkan kembali sumber

daya akan tinggi pada agenda. The IIA. UK & Irlandia Pernyataan Posisi Penipuan
menyarankan beberapa pertanyaan untuk auditor internal untuk
dipertimbangkan sebelum terlibat dalam penyelidikan penipuan:
Apakah audit internal memiliki kemampuan investigasi yang diperlukan?
Apakah audit internal memiliki pengetahuan yang diperlukan hukum?
Kapan waktu yang tepat untuk melibatkan polisi?
Harus audit internal terlibat dalam jenis pekerjaan dan jika demikian
sampai sejauh mana?
4. Memulihkan dana yang hilang. Pada awal penyelidikan, mengidentifikasi tingkat
kerugian harus menjadi perhatian utama. Hal ini akan mempengaruhi cara
bahwa pekerjaan berikutnya dilakukan sehingga 'jadwal kerugian' dikonfirmasi
mungkin didokumentasikan pada akhir penyelidikan.
5. Status hukum tuduhan itu. Apakah itu pencurian atau hanya pelanggaran
prosedur? Polisi mungkin dapat memiliki masukan mengenai hal ini. Kami telah
menyarankan bahwa pelanggaran sederhana prosedur dapat berubah menjadi
penipuan besar.
6. Tingkat bukti yang harus diamankan. Ini akan tergantung pada materialitas
penipuan dan tingkat kesulitan dalam mengamankan bukti yang ada.
7. Membatasi akses ke dokumen yang diperlukan. Mungkin perlu untuk mengambil

langkah-langkah segera untuk melindungi file, dokumen dan catatan
terkomputerisasi yang berisi bukti kecurangan tersebut. Di mana ada tersangka
yang jelas maka ini mungkin tindakan terbaik.
8. Peran manajemen dan cara yang akan mendukung penyelidikan. Ini akan
bervariasi tergantung pada kebijakan organisasi. Di mana manajemen tidak
menunjukkan minat sama sekali, maka penipuan akan sangat sulit ditembus. Di
mana manajemen overenthusiastic maka kesalahan mungkin terjadi, dan jalan
tengah yang masuk akal harus dicapai.
9. Kebutuhan untuk menahan diri dari tuduhan tidak berdasar. Menembak dari
pinggul tidak dapat diterima. Bahkan jika kita yakin yang melakukan kecurangan
tersebut, kasus ini akan beristirahat pada bukti yang mendukung pandangan
kami dan ini hanya dapat dikumpulkan melalui proses yang cermat investigasi.
10.Keterlibatan Polisi dan saran. Memiliki kontak utama di kantor polisi setempat
sangat berguna dan ini mungkin menjadi tempat pertama untuk saran ketika
tuduhan pertama datang ke cahaya.
11.Wawancara staf. Mungkin perlu untuk bertemu dengan staf dari daerah yang
bersangkutan sesegera mungkin. Hal ini dapat memberikan arahan yang baik
kepada pelakunya yang mungkin, tidak diketahui auditor, menjadi salah satu
yang diwawancarai. Ini juga memiliki efek jera sebagai staf melihat bahwa
masalah ini dianggap serius oleh manajemen.
12.Kebutuhan untuk kerahasiaan ketat. Salah satu pertanyaan terbesar yang perlu
ditangani adalah yang melihat. Hal ini juga untuk menjaga pertanyaan satu
langkah dihapus dari area penipuan dan bekerja dengan tingkat yang lebih
senior manajemen. Banyak informasi yang dapat diperoleh dari sumber-sumber
yang diakses secara terpusat, dan di sini bahwa hak auditor akses menjadi
sangat berguna. Ini juga berarti bahwa orang-orang di luar tim investigasi tidak
perlu waspada terhadap fakta bahwa penyelidikan berlangsung.
13.Surprise audit. Teknik ini dapat digunakan di mana ada sejarah audit melakukan
pemeriksaan mendadak di lokasi organisasi. Di mana hal ini mungkin, banyak di
dalam informasi dapat diamankan serta pemeriksaan dilakukan pada catatan
yang relevan tanpa memperingatkan tersangka (s).
14.Recovery. Dimungkinkan untuk mencari rangka restitusi untuk memulihkan

kerugian dari penipuan. Hakim harus menyarankan ini selama sidang dan dapat
membuat keputusan jika terdakwa dinyatakan bersalah.
Audit Spot Penipuan, Dari Mulai Akhir
Oleh Dan Swanson,
Kepatuhan Minggu Kolumnis The Sarbanes-Oxley Act diberlakukan untuk

membantu memerangi penipuan perusahaan. perusahaan publik telah
menghabiskan jutaan yang tak terhitung untuk mematuhi dan mempekerjakan
petugas kepatuhan dan etika seolah-olah untuk memastikan bahwa hukum ditaati.
Namun, entah bagaimana, pada akhir hari, penipuan masih di sini. Namun
komprehensif kode Anda etik mungkin, dan bagaimanapun banyak kebijakan yang
Anda miliki, menyadari kebenaran ini: Organisasi Anda bisa menjadi yang
berikutnya menjadi berita utama.Hanya mengatakan, '' Kami berusaha untuk
standar etika tertinggi dalam bisnis kami, '' dan lewat itu off sebagai Anda '' nada di
bagian atas '' tidak akan menghalangi orang dalam moral menantang dari merobek
Anda. penipuan insider selalu ancaman, dan perusahaan harus selalu polisi
terhadap itu. Setelah Anda memahami bahwa, itu hanya soal investasi yang
sederhana sumber daya keuangan dan manusia untuk menerapkan dan
menegakkan kebijakan dan prosedur dengan gigi.
Membangun Sebuah Program Anti-Fraud Kuat
Beberapa perusahaan memiliki tingkat signifikan lebih rendah dari

penyalahgunaan aset dan kurang rentan terhadap kecurangan pelaporan keuangan
daripada yang lain. Mengapa? Karena mereka agresif mengambil langkah-langkah
untuk mencegah dan mendeteksi kecurangan. Pada perusahaan-perusahaan
teladan, manajemen bertanggung jawab untuk merancang dan menerapkan sistem
dan prosedur pencegahan dan deteksi penipuan - dan, bersama dengan dewan
direksi, untuk memastikan budaya dan lingkungan yang mempromosikan kejujuran
dan perilaku etis. Penipuan dapat berkisar dari pencurian staf kecil untuk
penyalahgunaan aset dan kecurangan pelaporan keuangan. Hal ini juga dapat
mencakup penggelapan, pencurian identitas, penipuan penjual, konspirasi, dan
pencurian informasi proprietary. penipuan keuangan-pernyataan materi juga dapat
mendatangkan malapetaka pada organisasi nilai pasar, reputasi, dan kemampuan
untuk mencapai tujuan strategis. Risiko penipuan dapat dikurangi melalui kombinasi
langkah-langkah pencegahan, pencegahan, dan deteksi. Organisasi perlu
mengadopsi kebijakan anti-fraud sulit, kontrol internal yang kuat, akuntabilitas pada
bagian dari semua manajer, pelatihan karyawan dalam kesadaran penipuan,
hubungan dengan penegakan hukum, dan '' basa-basinya 'lainnya' tindakan.
Mempertimbangkan menempatkan agenda bulanan komite manajemen diskusi
berdiri dari apa yang organisasi lakukan untuk mengurangi terjadinya fraud, dan
jadwal audit internal formal program anti-fraud organisasi pada tahun 2007.
Evaluasi Anti-Fraud Kontrol teratur
Menetapkan program anti-fraud adalah satu hal, tapi tidak ada yang lebih
buruk daripada memiliki kebijakan bahwa tidak ada berikut. Mengidentifikasi dan
mengukur risiko penipuan adalah salah satu langkah pertama dalam melaksanakan
program anti-fraud yang kuat. risiko fraud tertentu juga dapat dikurangi dengan
melakukan perbaikan kebijakan organisasi, prosedur, atau proses, dan penilaian
penipuan-risiko dan upaya manajemen penipuan-risiko berkontribusi pada upaya
perbaikan. Berkala melakukan audit internal dari program anti-fraud sangat
produktif sebagai penilaian independen dan obyektif dari kebijakan dan praktek
saat ini. Untuk melakukan ini, pertama melakukan penilaian penipuan berisiko;
kemudian mengidentifikasi kontrol penipuan kunci dan setiap kesenjangan kontrol;
dan akhirnya menguji efektivitas pengendalian. Terus menerus monitoring oleh
manajemen dan audit kontinu oleh auditor juga sangat efektif dalam
menanggulangi penipuan langsung. Banyak organisasi yang membangun
pemantauan terus menerus dan upaya audit kontinu untuk transaksi kritis dan
sistem informasi; Anda harus juga.
Risiko Override Manajemen
Namun risiko penipuan lain mengancam untuk merusak semua upaya ini
yang telah dibahas sejauh ini: manajemen override. Sebuah perusahaan dapat
memiliki prosedur bintang untuk memblokir penipuan, tetapi mereka tidak akan
berbuat banyak baik jika petinggi hanya memungkinkan beberapa transaksi yang
tidak benar untuk menghindari prosedur tersebut.Mempertimbangkan memiliki
departemen audit internal secara independen meninjau kegiatan akuntansi bulan-
dan akhir tahun untuk setiap transaksi yang tidak biasa, seperti entri jurnal
tersangka atau pembalikan. Anda juga harus mempertimbangkan memiliki debat
terbuka pada pertemuan audit komite pada apa panitia dan perusahaan itu sendiri
lakukan untuk mengurangi risiko manajemen override.
Sebuah Proses Pengawasan tepat
Komite audit harus mengevaluasi identifikasi manajemen risiko fraud,

pelaksanaan tindakan antifraud, dan penciptaan 'tepat' nada di bagian atas. ''
Pengawasan aktif oleh komite audit juga akan membantu memperkuat komitmen
manajemen untuk menciptakan toleransi nol untuk penipuan. Komite audit
memainkan peran penting dalam membantu dewan direksi memenuhi tanggung
jawab pengawasannya untuk pelaporan keuangan dan kegiatan pemerintahan
lainnya. Untuk menilai risiko hal seperti pemalsuan, penipuan kartu kredit,
konspirasi, sabotase komputer, penipuan berbasis internet dan sebagainya,
organisasi dan komite audit harus mempertimbangkan mendapatkan saran dari
spesialis, menggunakan sumber daya internal atau dikontrak untuk menyusun
laporan rinci mengenai kerentanan dan merekomendasikan paparan-mengurangi
tindakan penipuan.
Komite audit juga perlu berhati-hati risiko penipuan perusahaan-mengancam.
Sementara manajemen harus mencakup seluruh spektrum risiko fraud, papan perlu
difokuskan pada risiko fraud yang signifikan dan memastikan bahwa strategi
riskmanagement efektif dan proses pendukung telah dilaksanakan. Memiliki
perdebatan tentang apa proses pengawasan harus merupakan hal yang baik, dan
evaluasi efektivitas bahkan lebih baik. Para pihak yang berkontribusi terhadap
upaya pengawasan termasuk dewan, manajemen senior, auditor internal, auditor
eksternal, dan pemeriksa penipuan (pada kesempatan) bersertifikat. Mengetahui
siapa yang bertanggung jawab untuk apa, dan kapan harus bersandar pada
keahlian mereka, akan memastikan upaya tim pemenang.
Membuat Sebuah Budaya Etis
Perusahaan ini bertanggung jawab untuk menciptakan budaya kejujuran dan

etika yang kuat dan untuk berkomunikasi dengan jelas perilaku yang dapat diterima
dan harapan masing-masing karyawan. Direksi dan manajer dari organisasi
mengatur nada di atas untuk perilaku etis dalam organisasi. Karyawan harus
diberikan kesempatan untuk mendapatkan saran internal sebelum membuat
keputusan yang bisa memiliki implikasi hukum atau etika yang signifikan. Mereka
juga harus didorong dan diberikan kemampuan untuk berkomunikasi tentang
potensi pelanggaran kode entitas perilaku, anonim jika perlu (seperti melalui
layanan hotline rahasia). Terbuka Kepatuhan dan Etika Group Hotline & Helpline
panduan menyediakan banyak panduan untuk menerapkan ukuran pengurangan
penipuan penting ini. Telah terbukti bahwa kemampuan bagi staf untuk melaporkan
masalah dengan aman akan mengurangi kejadian dan dampak penipuan.Kita juga
perlu membuat manajer lebih bertanggung jawab untuk operasi mereka, yaitu, kita
tidak harus menunggu audit untuk melakukan perubahan. Manajemen bertanggung
jawab atas sistem organisasi pengendalian internal, dan efektivitas operasi, dan
saya sangat mendorong manajer untuk mengevaluasi hasil mereka sendiri. (Ini
disebut pemantauan operasional dan perbaikan proses.)
Bertekun
Diskusi terbuka antara pemangku kepentingan utama, dan idealnya sebelum

berita halaman depan, selalu disarankan. Menetapkan ekspektasi yang jelas untuk
semua orang yang terlibat (mengenai upaya anti-penipuan) adalah setengah
pertempuran. Menjadi rajin usaha Anda adalah setengah lainnya. Untuk benar-
benar melawan penipuan, kita perlu kebijakan perusahaan yang harus ditegakkan,
dan pelanggar harus diselidiki dan tindakan yang diambil. manajemen penipuan-
risiko di sini untuk tinggal - telah organisasi Anda menerapkan strategi yang efektif
untuk pencegahan fraud, deteksi, dan respon? Pada akhir hari, apakah Anda bagian
dari - masalah atau bagian dari solusi?
Dipetik dari Kepatuhan Minggu. Artikel ini awalnya diterbitkan dalam

Kepatuhan Minggu. Direproduksi dengan izin dari Kepatuhan Minggu. Seluruh hak
cipta.
Investigasi Proses
Meskipun setiap penipuan investigasi akan menjadi unik, itu adalah, tetap,
mungkin untuk menyusun tahapan kunci tertentu dan prosedur standar yang dapat
diterapkan untuk masing-masing.Ini dapat diringkas:
1. Dugaan menerima A kebijakan yang jelas harus ditetapkan tuduhan tersebut

bisa berasal dari berbagai sumber yang meliputi.:
kontrol detektif - misalnya, rekonsiliasi bank;
informasi anonim - melalui telepon atau surat;
keluhan resmi - katakanlah, dari pemasok;
kekhawatiran diungkapkan oleh manajer lini tentang / stafnya;
whistle-blower 'hotline';
kantor - kegiatan di cabang - katakanlah, dikurangi kas menyumbang;
audit - yang telah mengambil masalah yang tidak dapat dijelaskan;
kolega atau teman-teman yang mendengar seorang karyawan membual

tentang kegiatan curang;
polisi yang menunjukkan bahwa seorang karyawan terlibat dalam

kegiatan penipuan;
kecelakaan murni.
Satu dapat menempatkan ketergantungan terbatas pada tuduhan anonim di

mana informan menolak untuk memberikan nama dan nomor kontak. Jika tuduhan
berasal dari beberapa sumber terpercaya, status mereka lebih tinggi. kekhawatiran
manajer lini 'lebih anggota staf dapat diberikan perhatian dan anggota masyarakat
puas keprihatinan mereka sedang ditangani dengan benar. Auditor dapat
menemukan perbedaan yang tak dapat dijelaskan. Semua tuduhan harus
didokumentasikan dan rincian lengkap, termasuk tindakan yang diambil, disimpan
dalam file.This rahasia sangat relevan karena klaim bahwa masalah tertutup nanti
dapat menyertai tuduhan. Ada banyak sumber informasi tentang kegiatan ilegal
termasuk audit rutin, percakapan, pengamatan, MIS, sistem internal check, surat
dan panggilan telepon. Sangat penting bahwa kebijakan tersebut memungkinkan
semua tuduhan penipuan yang akan disaring melalui audit internal sehingga
catatan terpusat dapat dipertahankan. Dugaan bisa menjadi hasil dari dendam
dan / atau informasi yang salah. Adalah penting bahwa prosedur di tempat untuk
mengambil pada setiap tuduhan (mungkin penipuan hotline) dan bahwa ada
metode dianggap oleh yang mereka ditangani. Jika hal ini tidak ditangani dengan
baik, maka kemungkinan bahwa manajer lini hanya akan menghadapi karyawan
yang bersangkutan dan meminta penjelasan. Ini baik akan menyebabkan klaim
korban (di mana karyawan tidak bersalah) atau merusak penyelidikan (di mana
karyawan bersalah dan berusaha untuk menyembunyikan kejahatan). Mungkin juga
ada klaim dari cover-up di mana manajer berbicara kepada karyawan dan
memutuskan tindakan lebih lanjut.Masing-masing posisi ini tidak dapat diterima.
2. Menetapkan fakta-fakta dasar sebelum tindakan tegas diambil Wawancara

orang yang memberikan informasi pada / nya kenyamanan nya. Hal ini
memberikan auditor ide yang baik untuk validitas tuduhan serta
menyediakan informasi latar belakang yang diperlukan. nama kontak harus
diambil dan penuh write-up dari tuduhan itu dibuat. Sebuah profil pribadi
dapat dibuat tersangka di mana ada didefinisikan dan informasi seperti gaji,
catatan pensiun, personil, kreditor, pendapatan, daftar pemilihan dan
Companies House dapat digunakan. Hal ini dimungkinkan untuk membuat
daftar didefinisikan rincian yang berhubungan dengan tersangka yang dapat
ditempatkan pada daftar periksa. Ini akan mencakup deskripsi, usia, alamat,
mobil, kelas, panjang layanan, status perkawinan dan merekam sakit, tanpa
memperingatkan orang untuk penyelidikan. The bertanya awal harus
bertanya apakah tuduhan itu bisa benar dan penting untuk bekerja di luar
apakah tuduhan / masalah adalah mungkin untuk membuktikan. Sebelum
kita memulai ke penyelidikan skala penuh ada beberapa pertanyaan kunci
yang harus dijawab:
Apakah dugaan pelaku ada?
Apakah tuduhan berasal dari sumber yang dapat dipercaya?
Apakah kita punya informasi yang cukup untuk membentuk dasar dari
penyelidikan?
Apakah kita yakin bahwa tuduhan itu tidak berbahaya?
Bisakah kita mendapatkan informasi lebih lanjut tentang situasi di balik

tuduhan itu?
Mungkinkah masalah disajikan kepada kita ada?
Apakah ada sejarah jenis ini tuduhan / kecurigaan?
Apakah ada dokumen yang bisa mendukung tuduhan itu dan mereka
tersedia?
Apakah ini penipuan yang nyata atau hanya pelanggaran ringan prosedur?
Apakah ada penjelasan yang jelas?
Bisa masalah hasil dari kesalahan yang tidak bersalah?
Apakah ada catatan pendukung yang disediakan oleh informan?

Apakah tuduhan konsisten dengan perkembangan lain yang kita sadar?
Kita dapat menambah daftar ini, meskipun titik penting untuk dicatat adalah
bahwa prosedur pemeriksaan ini harus dilakukan oleh staf yang berpengalaman
(jika sesuai, auditor internal) dan harus sepenuhnya didokumentasikan untuk
referensi nanti. Kita mungkin peduli untuk tidak bertindak atas tuduhan kabur dari
puas mantan karyawan (atau orang anonim) di mana indikator menunjukkan bahwa
itu adalah tidak berdasar. Jika hal ini terjadi, kita harus mampu untuk membenarkan
posisi ini di kemudian hari. Demikian juga, jika kita memulai latihan utama, kita
harus mampu membuktikan itu perlu sebagai akibat dari informasi yang diterima.
Aturan utama adalah untuk 'membuka file' dan keputusan catatan yang dibuat pada
tahap penyelidikan.
3. Melaksanakan penelitian latar belakang lebih lanjut. Ini termasuk

mengamankan semua informasi yang tersedia untuk auditor tanpa memasuki
wilayah di mana penipuan tersebut berada. Ini melibatkan meninjau file audit
sebelumnya dan dokumen yang berhubungan dengan lokasi. Sebuah lembar
fakta singkat dapat dikompilasi menetapkan struktur organisasi dan latar
belakang rincian. Auditor tidak bisa, tanpa izin, mencari orang, mobil, tas
pribadi atau alamat rumah. Namun, biasanya mungkin untuk mencari meja
kantor dan filing cabinet tersangka. Setelah kita merasa bahwa kita perlu
bertindak berdasarkan informasi yang diterima, maka perlu untuk melakukan
beberapa pekerjaan latar belakang. Kita perlu mengisolasi daerah dikaji,
orang-orang yang mungkin terlibat dan aset yang mungkin beresiko. Kita
harus memutuskan di mana penipuan yang terkandung dan menandai ini
sebagai 'daerah yang terkena'. Aturan khusus akan berlaku untuk berurusan
dengan daerah yang ditunjuk ini sehingga penyelidikan dapat melanjutkan
utuh. Faktor-faktor berikut akan membantu proses ini:
Mengidentifikasi area kerja yang tepat dikenakan tuduhan.
Mengisolasi apa yang terjadi di daerah ini termasuk dokumentasi dan

informasi yang diterima oleh unit / cabang / bagian.
Membangun output dalam hal dokumentasi, pengembalian, laporan dan

jasa yang berasal dari daerah yang terkena.
Menetapkan staf yang terlibat dan mengisolasi potensi tersangka.
Untuk setiap tersangka, mengkompilasi profil termasuk nama, usia, peran,

jabatan, masa kerja, jenis kelamin, deskripsi, mobil, alamat, nomor
Asuransi Nasional dan sebagainya.
Tentukan jalur pelaporan dan struktur di bagian.
Cobalah untuk mengamankan daftar persediaan dan catatan aset

(misalnya, komputer diadakan). Kita mungkin peduli untuk mengakses
semua sistem informasi perusahaan seperti gaji, personil, pembayaran,
pemesanan, toko, pensiun dan lain-lain, dalam mengejar informasi yang
diperlukan. Hal ini juga memiliki beberapa kontak kunci dalam personil
dan bagian perusahaan lain di mana kita dapat membuat bertanya-hati
tentang orang-orang tersebut.
4. Laporan awal. Ini menunjukkan apakah tuduhan itu mungkin benar dan harus
diselidiki. Strategi keseluruhan harus didefinisikan. Manajemen harus
ditampilkan laporan dan pertemuan yang diadakan untuk membahas
implikasi. Hal ini penting karena jika ditampilkan tidak ada dasar untuk
tuduhan, maka waktu disimpan dengan menghindari penyelidikan skala
penuh. Atau, mungkin lebih efisien untuk mengirim memo kepada staf di
mana pelecehan ringan berskala jelas, seperti tingginya tingkat panggilan
telepon pribadi atau fotokopi pribadi, sebagai bentuk amnesti, setelah
tindakan yang akan diambil terhadap para pelanggar terus. Ini mungkin
solusi terbaik dan menghemat waktu audit. Laporan awal akan membahas
bagaimana cara terbaik masalah harus ditangani dan oleh siapa.
5. Investigasi rencana. Rencana ini harus berasal dari diskusi dengan

manajemen dan akan menunjukkan pendekatan, pekerjaan yang diperlukan,
sumber daya dan kontak dengan polisi atau pihak berwenang lainnya.
Laporan awal yang diuraikan di atas akan digunakan untuk menurunkan
rencana aksi dan dapat mengatur nada untuk pertemuan yang relevan
dengan manajer senior.Rencana tersebut harus diatur dalam gerak
pendekatan setuju sehingga semua pihak untuk peduli memiliki peran yang
jelas dengan rentang waktu yang melekat pada setiap tugas. Pengaturan
domestik seperti akomodasi, wisata dan komunikasi juga harus menjadi
bagian dari rencana. Juga, pekerjaan harus dilakukan sesuai dengan standar
dokumentasi yang jelas bahwa harus mencakup bidang-bidang seperti:
mengotori dokumen dengan menulis atau menandai dokumen asli;
lacak balak dalam hal kepemilikan dan bagaimana bukti telah disimpan,
diambil dan diterapkan;
aturan untuk memperoleh dokumen melalui persetujuan sukarela,

panggilan pengadilan, perintah penggeledahan dan sebagainya;
dokumen penting yang diajukan secara kronologis;
pemeriksaan forensik dokumen mencari perubahan, tanggal, tanda

tangan palsu, dibandingkan dengan dokumen lain, membuka amplop,
menulis samar, lipat dan air mata, sidik jari dan sebagainya;
kebutuhan untuk ruang yang aman untuk memegang dokumen.
6. Dukungan manajerial. Tingkat dukungan manajerial akan tergantung pada

penipuan dan tingkat di mana ia diduga telah terjadi. Cara terbaik adalah
untuk menghubungkan dengan tingkat manajemen dua kali dihapus dari
tuduhan. Hal ini memastikan manajer adalah di luar jangkauan penipuan.
Keputusan akan dibuat audit peran / manajemen dan apakah itu akan
menjadi penyelidikan bersama. Modus pelaporan akan ditentukan dan
seberapa sering laporan tersebut akan dibuat. Dianjurkan untuk menyusun
laporan singkat dan sekarang mereka secara lisan kepada manajemen karena
waktu merupakan faktor utama di sebagian besar penyelidikan penipuan.
Laporan-laporan ini harus dilakukan setidaknya sekali seminggu dan lebih
sering untuk penyelidikan berisiko tinggi yang memerlukan tindakan segera.
Ini adalah praktik yang baik untuk menjaga CAE informasi dengan
menyediakan salinan laporan. Aturan emas adalah untuk berbicara dengan
manajemen setidaknya dua tingkat dihapus dari daerah yang terkena. Ini
adalah protokol yang normal juga melibatkan sutradara, meskipun manajer
puncak mungkin memiliki sedikit kontak dengan staf operasional. Banyak
akan tergantung pada tingkat karyawan terlibat. Meskipun demikian, itu
adalah praktik yang baik untuk singkat direksi dan mungkin kepala eksekutif
di mana penipuan besar atau sensitif diduga. Selain itu, kami mungkin sudah
mendiskusikan kasus dengan manajemen dalam hal memberikan saran pada
tindakan mendesak yang perlu diambil untuk menutup celah dalam kontrol
yang memungkinkan penipuan terjadi di tempat pertama.
7. Mendefinisikan hambatan. Sepanjang investigasi, perlu untuk bekerja keluar

mungkin hambatan untuk penyelidikan seperti dokumen hilang, sumber
bukti, kehadiran pelakunya ini, rekan dekat dari pelakunya, kebutuhan untuk
kerahasiaan dan catatan yang dirusak. Di mana setiap bukti yang beresiko,
tindakan cepat harus diambil. Sebuah organisasi dapat membantu dengan
membuat disengaja dan tidak sah perusakan / penghapusan dokumentasi
pelanggaran disiplin. Informasi terkomputerisasi, terutama yang
diselenggarakan pada PC, dapat berisi bukti yang berharga dan berisiko.
Pertimbangkan berbagai jenis bukti yang mungkin perlu dikumpulkan dan
sejauh mana mereka bisa dirusak, termasuk dokumen dan saksi. Ada
beberapa individu yang berisiko yang harus ditangani dengan hati-hati,
termasuk:
anak muda
buta atau cacat visual
buta huruf
orang di bawah pengaruh obat-obatan atau alkohol
sakit mental atau cacat
orang yang membutuhkan penerjemah.
8. Strategi awal. Informasi baru akan datang ke cahaya dan strategi yang
diterapkan akan mengubah seperlunya. Idenya adalah untuk menutupi
semua sudut dan menemukan cara terbaik untuk mengamankan bukti yang
relevan. Pilihan suspensi, wawancara, memberitahukan polisi dan sebagainya
harus terus Ulasan akan. Beberapa penyelidikan memiliki pendekatan corong
di mana mereka mulai dengan dasar yang luas dan mempersempit masalah
yang relevan sebagai fakta baru datang ke cahaya. Perubahan strategi untuk
menjadi semakin terfokus pada bidang utama. Ini akan di mana ada
permintaan yang luar biasa atau inkonsistensi yang tidak dapat dijelaskan
tanpa melibatkan individu didefinisikan. Sementara itu, kejadian yang sekilas
tampak mencurigakan bisa dijelaskan sebagai penyelidikan akan terjadi.
Diskusi rinci dengan tingkat yang sesuai dari manajemen akan didasarkan
sekitar merumuskan rencana penyelidikan. Kebijakan audit kami sendiri akan
berarti bahwa CAE dan pemeriksaan manajer akan telah disarankan pada
awal penyelidikan dan mungkin bahwa CAE harus menyetujui setiap rencana
aksi berikutnya yang secara bersama-sama disepakati dengan manajemen.
Ada beberapa pilihan yang dapat dipertimbangkan, termasuk yang berikut:
Suspend karyawan yang bersangkutan segera.
Panggilan di polisi setempat (kita mungkin sudah pergi ke mereka untuk

saran awal).
Melakukan penyelidikan rahasia tanpa memperingatkan siapa pun yang

bukan pihak latihan.
Mengirimkan pengingat umum untuk staf di mana penyalahgunaan

tingkat rendah dari fasilitas yang terjadi.
Melakukan audit dari daerah yang bersangkutan - ini sangat berguna di

mana tempat pemeriksaan merupakan bagian dari pendekatan audit
normal.
Melakukan pengawasan - kita perlu menetapkan aturan untuk jenis

kegiatan.
9. Surveillance. Surveillance melibatkan mengamati aktivitas individu

didefinisikan tanpa sepengetahuan mereka. Menonton, mencari dan
mengumpulkan bukti umumnya tidak melanggar standar privasi dan
merupakan cara yang berguna untuk mengamankan informasi dalam
penyelidikan penipuan. Hal ini sensitif dan harus ditangani dengan hati-hati.
Satu pendekatan adalah untuk merumuskan kebijakan formal didasarkan
pada premis bahwa itu hanya harus digunakan jika benar-benar diperlukan.
Beberapa berpendapat pengawasan seharusnya hanya dilakukan oleh para
ahli. Operasi penyamaran sederhana dapat menghasilkan hasil yang sangat
di mana ini adalah satu-satunya cara untuk memperoleh bukti penipuan.
Untuk melaksanakan surveilans:
Rencana operasi dengan hati-hati . Mulailah dengan tujuan yang jelas

berdasarkan sifat dari penyelidikan. Surveillance memakan waktu dan
sumber daya intensif. Mungkin kebijakan bahwa manajemen senior
diinformasikan dan bahwa manajer audit kewenangan dan celana CAE
terlebih dahulu.
Lakukan uji coba. Salah satu auditor akan memeriksa daerah untuk
kelayakan sebelum sumber daya yang dialokasikan. Ini memberikan
informasi tentang lokasi, deskripsi, waktu dan tips berguna untuk operasi
penuh. Sebuah peta rinci dari daerah harus dibangun dan disalin ke tim.
Auditor ditugaskan untuk uji coba harus berpengalaman dan melihat
keluar untuk faktor signifikan dan menafsirkannya.
Siapkan dengan memutuskan sumber daya dan pendekatan. Sebuah sesi

pengarahan dengan mereka yang mengambil bagian adalah cara yang
berguna untuk merencanakan pekerjaan.Sebuah file singkat dapat dibuat
untuk semua anggota tim dengan laporan kasus ini, deskripsi pribadi yang
relevan, foto, peta, petunjuk khusus dan catatan pengawasan kosong.
Observasi dapat poin (statis) atau tetap dan bergerak mungkin melibatkan
tailing mobil (atau orang). Sebuah sepeda motor berguna untuk beberapa
jenis pengamatan ponsel meskipun mobil jauh lebih nyaman dalam cuaca
buruk. Kamera, video, dictaphone, jam tangan, ponsel dan link ponsel
dapat digunakan. Ini harus ditandatangani untuk dan baterai diperiksa.
Bergerak, sulit untuk membeli film segar, bensin atau baterai. Setidaknya
dua orang harus dialokasikan untuk masing-masing tim. Ada pengaturan
praktis seperti pasokan sandwich dan minuman serta kemungkinan
menghabiskan waktu yang lama pada pekerjaan di luar jam kantor.
Sebuah home base harus ditunjuk bahwa kendaraan / auditor akan
kembali ketika tersangka jatuh keluar dari frame. Sebuah link ponsel harus
diatur dan satu auditor senior yang harus mengkoordinasikan kegiatan
idealnya dari titik statis.
Action harus diantisipasi dan aktivitas yang berwenang dibedakan dari

yang tidak sah. Izin dapat dicari ketika menggunakan bangunan untuk
observasi. Memastikan kendaraan secara hati-hati diposisikan. Ini adalah
pelanggaran privasi untuk mengikuti seseorang ke rumah mereka atau
taman. Cara terbaik adalah untuk memanggil polisi lokal di daerah di
bawah pengawasan untuk membiarkan mereka tahu apa yang
terjadi.Informasi dari latihan surveilans mungkin tidak masuk akal sampai
semua pengamatan diletakkan bersama-sama.
Jika dihadapkan pada pengawasan, awalnya mencoba untuk menyangkal

sambil menghindari situasi konflik. Hindari menyatakan alasan
sebenarnya kecuali ancaman cedera jelas. MenjagaLatihan rahasia atas
dasar kebutuhan-untuk-tahu. Ada alasan disesuaikan yang dapat dilatih
untuk berada di suatu daerah. Hal ini dapat berkisar dari melakukan riset
pasar melalui menungguuntuk pasangan akhir. Satu penutup adalah
beberapa yang berdiri di sekitar jam berbasa-basi. Di satu kesempatan,
pasangan yang tampak dalam serangkaian pelukan panjang direkam
penipuankegiatan menggunakan camcorder. Alat bantu yang berguna
untuk latihan mencakup koran (diselenggarakan dengan cara yang benar
up), sepak bola atau berjalan di setelan jogging.Dictaphones dapat
digunakan untuk merekam rinci di mana notepad akan terlihat keluar dari
tempat. Hati-hati harus diambil dan auditor harus menarik diri segera jika
ada kesempatan ketahuan oleh tersangka.
Selalu membawa kartu identitas dan mencatat serentak pada catatan
pengawasan formal. Hal ini dimungkinkan untuk menulis catatan resmi
setelah acara selama ini dilakukan sesegera mungkin dan catatan kasar
dipertahankan. Baju yang dikenakan harus dipilih sesuai kesempatan.
Sesuatu yang luar biasa akan menimbulkan kecurigaan meskipun tidak
ada gunanya mengenakan setelan boiler untuk bergabung dengan pekerja
jika orang asing yang muncul di situs ditantang.
hal-hal sederhana dapat diselesaikan melalui pengawasan seperti gerakan

dan keberadaan individu di seluruh periode tertentu. Hal ini lebih sulit
untuk menentukan mengapa seseorang pergi ke tempat tertentu atau apa
signifikansi adalah untuk penipuan lebih rumit. Pelanggaran sederhana
dari prosedur yang meliputi lembur, cuti sakit, kehadiran kerja dan lokasi
yang dikunjungi siang hari lebih mudah untuk membuktikan. Sebuah
penampilan pengadilan akan berarti pemeriksaan silang dari pengawasan
dan bukti lain. Auditor hanya merekam apa yang dilihat dan tidak
membuat tebakan atau asumsi. Jika hasil latihan dalam tidak penting
maka ini merupakan temuan dalam dirinya sendiri dan bukan alasan
untuk malu.
10.penyelidikan penuh Sebagian investigasi akan melibatkan memperoleh bukti

konfirmasi dalam bentuk apa pun tersedia. Ini mungkin termasuk meninjau
dokumen, wawancara, foto, pengawasan, analisis dan / atau transaksi
pelacakan. Hal ini di sini bahwa seni nyata menerapkan teknik audit datang
kedepan. Kita harus berusaha untuk membuktikan bersalah dengan hati-hati
menyusun bukti yang relevan, meskipun kita harus berhati-hati untuk tidak
dilihat sebagai bertindak sebagai agen provokator . Masalah sumber daya
harus diselesaikan, dan ini akan mengubah sebagai penyelidikan mengambil
bentuk dan perubahan arah. Ini akan terkait dengan sensitivitas dan dampak
keseluruhan pada organisasi. Setelah kami telah sepakat pada tindakan yang
tepat, kita perlu mempertimbangkan rencana rinci. Namun, sebelum kita bisa
tiba di posisi ini, kita perlu memutuskan peran masing-masing. Berbagai
pilihan adalah sebagai berikut:
a. investigasi Manajemen dengan saran dari audit internal (mungkin

dalam bentuk pertemuan rutin atau saran melalui telepon bila
diperlukan). Hal ini berguna di mana penipuan yang dicampur dengan
kekhawatiran umum atas perilaku, kehadiran, kinerja dan isu-isu
manajerial lainnya.
b. penyelidikan Audit mana kita mengambil alih proyek tersebut. Hal ini
berguna di mana manajer senior yang terlibat, penipuan besar dan
mencakup banyak bagian dari organisasi atau di mana itu adalah
latihan rahasia mengandalkan akses ke banyak sistem informasi yang
berbeda (dan mungkin surveillance).
c. penyelidikan bersama dimana manajemen dan audit yang membentuk

tim.
d. penyelidikan bersama dimana petugas personil (mewakili manajemen)
bekerja dengan tim audit.
e. Polisi inquiry (atau audit internal bersama, manajemen dan

penyelidikan polisi).
f. Dewan Manajemen penyelidikan di mana penyelidikan go public dan

ada banyak saksi yang diminta untuk menyajikan informasi kepada
panel penyelidikan. Audit dapat bertindak sebagai penasehat dan
melaksanakan latihan kecil yang kemudian dimasukkan ke dalam panel
dalam format laporan. Format penyelidikan akan menentukan cara
terstruktur dan dilakukan. Pada intinya kita mengambil pandangan
bahwa penipuan tidak dapat dikatakan telah terjadi kecuali kita
mampu menyajikan bukti yang membuktikan hal itu. Dengan
demikian, rencana tersebut akan ditujukan untuk mengamankan bukti
yang diperlukan dengan cara yang paling nyaman dan dapat
diandalkan mungkin. Ini dapat terdiri dari:
mewawancarai para saksi;
Dokumentasi menganalisis;
mengamankan laporan yang cenderung mendukung tuduhan;
perhitungan kerugian keuangan;
mengamankan bukti pelanggaran prosedur dengan

membandingkan apa yang terjadi dengan prosedur yang telah
disetujui;
mengamati kegiatan dan hasil rekaman;
perhitungan reperforming dan rekonsiliasi;
mengamankan bukti dari sumber-sumber independen yang

menguatkan atau konflik dengan bukti lain yang tersedia,
mungkin untuk mengetahui apakah cek itu diterima oleh
pemasok terdaftar di database pembayaran.
menilai apakah dokumen dipalsukan, diubah atau tunduk pada

tanda tangan palsu. Banyak dari atas adalah tentang
mewawancarai para saksi dan penggalian dokumentasi yang
relevan. Satu titik yang seharusnya dibahas di awal adalah tujuan
penyelidikan. Meskipun ini akan membuktikan bahwa penipuan
telah terjadi, itu juga dapat digunakan untuk membawa
penuntutan di pengadilan. Selain itu, dapat digunakan untuk
menyajikan biaya disiplin internal untuk panel khusus
diselenggarakan.
11.Ulasan sedang berlangsung dan diskusi dengan manajemen Sebagai
penyelidikan berlangsung, bentuk dan bentuk akan mengubah informasi baru
datang ke cahaya dan semua pihak untuk pekerjaan menjadi lebih akrab
dengan kegiatan yang sedang diperiksa. Adalah penting bahwa ada ulasan
yang berkelanjutan dengan manajemen (di mana audit melaksanakan
penyelidikan) dan rencana disesuaikan untuk mengambil informasi baru
papan. Jika kasus tersebut telah diserahkan ke polisi, lagi kita harus terus up
to date dengan pertanyaan kemajuan yang dibuat. Hal ini sangat penting di
mana penangkapan sedang direncanakan. Kami berharap untuk membentuk
hubungan kerja yang erat dengan polisi setempat sehingga, apa yang
sebaliknya akan informasi rahasia, dapat secara bebas dibahas. Salah satu
pertimbangan penting adalah seberapa jauh untuk kembali dalam
penyelidikan. Di mana penipuan yang melibatkan klaim palsu (mengatakan
pada lembar waktu atau lembur atau biaya) selama bertahun-tahun, kita
perlu menyepakati titik cut-off sehingga tidak memiliki pertanyaan terbuka.
12.Wawancara Sebuah komponen kunci dari semua penyelidikan penipuan

adalah proses wawancara. Berikut sebagian besar pertanyaan dapat diatasi
dengan hanya meminta orang yang tepat. Wawancara dapat diadakan
dengan:
informan
saksi kunci
manajer lini
orang yang mungkin berguna untuk bertanya
tersangka.
Masing-masing memiliki tujuan yang berbeda dan akan mengikuti format

yang berbeda. Wawancara yang paling penting akan dengan saksi, yang harus
diminta untuk memberikan pernyataan saksi resmi, dan tersangka (s), yang
mungkin akan diminta untuk menandatangani catatan wawancara formal. Saksi
akan menuliskan kata-kata sendiri apa yang mereka lihat dan dengar, sebagai yang
berkaitan dengan isu-isu di tangan, dan bersiaplah untuk menyajikan bukti ini di
pengadilan dan / atau pada sidang disipliner internal. Mereka mungkin lintas-
referensi komentar mereka ke berbagai pameran yang akan melekat pada
pernyataan mereka dan yang ditunjukkan kepada mereka pada saat pernyataan itu
diambil. Tersangka, di sisi lain, akan diminta untuk memberikan penjelasan bukti
yang menunjuk kepada mereka sebagai pelaku penipuan tersebut. Mereka harus
berhati-hati dalam format yang sesuai, yang di Inggris adalah sebagai berikut:
Anda tidak perlu mengatakan apa-apa. Tapi itu dapat membahayakan

pertahanan Anda jika Anda tidak menyebutkan sesuatu yang mungkin nanti
mengandalkan di pengadilan. Apa pun yang Anda lakukan katakan dapat
diberikan dalam bukti.
Ini berhak diam, tapi pada saat yang sama memungkinkan penuntutan untuk
mengomentari setiap alibi yang diproduksi di kemudian hari. Selain itu, Polisi dan
Kriminal Bukti Act menetapkan aturan-aturan tertentu untuk mewawancarai
tersangka dalam hal memungkinkan catatan wawancara yang akan diserahkan
kepada pengadilan. Singkatnya, ini memungkinkan hak cipta dan melarang praktek-
praktek yang akan merupakan intimidasi atau paksaan. Kebanyakan peneliti
sekarang mengakui bahwa wawancara tersangka bukan tentang penggalian
pengakuan. Ini adalah tentang menyajikan bukti di depan tersangka untuk
mengamankan penjelasan. Jika tidak ada yang datang, maka kita akan berusaha
untuk kemajuan penyelidikan ke tahap penuntutan. Kami dapat mendorong
pengungkapan penuh, tapi ini adalah keputusan untuk tersangka (memiliki telah
diberi kesempatan untuk mencari saran dari / nya pengacaranya). Perhatikan bahwa
kita harapkan wawancara paling formal dengan tersangka akan dilakukan oleh
petugas polisi.
13.Laporan Interim Sepanjang penyelidikan, laporan interim harus dikeluarkan

menetapkan temuan sampai saat ini, implikasi dan pekerjaan lebih lanjut
dianjurkan. Hal ini untuk manajemen untuk menunda staf, menginstruksikan
polisi, meja pencarian dan menyita buku-buku dan catatan, dan auditor
internal harus bertindak dalam kapasitas sebagai penasihat. Semua
keputusan penting harus dibuat oleh manajemen di bawah saran dari audit
internal. Laporan-laporan ini akan mewakili catatan formal dari kemajuan
penyelidikan dan akan digunakan dalam hubungannya dengan risalah rapat
yang diadakan dengan manajemen. Mereka memberikan penjelasan tentang
keputusan yang dibuat melalui kesimpulan. Dalam hal posisi organisasi, kita
akan membutuhkan laporan yang merinci hasil penyelidikan dan tentu saja
dianjurkan tindakan. Ini mungkin panggilan untuk masalah yang akan dirujuk
ke polisi, jika ini belum terjadi. Mungkin mencari penangguhan tersangka
yang bersangkutan (sekali lagi, jika ini belum terjadi). Ini mungkin
menyarankan tindakan disipliner, jika hal ini sesuai. Hal yang penting adalah
bahwa karena audit internal adalah fungsi penasehat, itu adalah benar dan
tepat bahwa tindakan yang diambil oleh badan hukum organisasi. Laporan
audit karena itu akan pergi ke badan pengambil keputusan perusahaan untuk
diperiksa dan tindakan, sejalan dengan berbagai rekomendasi. Manajemen
puncak tidak harus didorong untuk mencuci tangan mereka dari penipuan,
hanya karena audit internal telah dilakukan dasar rinci. Ini adalah titik kunci
dalam hal itu harus berarti manajemen yang menyajikan kasus ke polisi, atau
mewakili organisasi di pengadilan. Ini juga berarti bahwa manajemen
menginstruksikan tindakan disipliner terhadap orang yang bersangkutan.
14.Laporan akhir. Ini mencakup tindakan yang diperlukan yang harus diambil
dan dapat mengobati aktivitas sebagai masalah internal atau mencari
rujukan ke polisi. Laporan ini harus membahas tindakan segera apapun pada
kelemahan pengendalian dan dapat merekomendasikan peninjauan sistem
penuh sekali penipuan yang telah ditangani. Rekomendasi harus peka
terhadap kesejahteraan organisasi, dan jika staf telah diwawancarai, ini harus
dilakukan melalui pengelolaan secara hati-hati direncanakan dengan minimal
gangguan terhadap layanan yang diberikan oleh daerah yang terkena. Saat
melaporkan, mungkin praktek untuk nama individu terlibat atau
menggunakan sistem pengkodean dengan kunci dilepas yang dirahasiakan.
Semua laporan harus ditandai dengan jelas rahasia. Jumlah salinan harus
dibatasi dan yang terbaik adalah untuk menyajikan mereka pada kebutuhan-
untuk-tahu. Laporan ini bukan tentang memberikan pendapat dari rasa
bersalah dari orang, itu hanya untuk melaporkan hasil penyelidikan. Laporan
ini dapat pergi untuk menyatakan bahwa ada bukti yang cukup untuk
mendukung kasus terhadap seorang tersangka bernama tetapi tidak harus
mengambil pandangan pada apakah orang ini bersalah. Sementara itu,
informasi yang terkandung dalam laporan diklasifikasikan sebagai rahasia.
15.penuntutan pidana dan disciplinaries internal. Ada cenderung dua hasil

utama dari penyelidikan penipuan. Salah satunya adalah rujukan kepada
polisi yang akan menempatkan kasus sebelum Crown Prosecution Service
dengan maksud untuk membawa proses pidana terhadap pihak-pihak yang
bersangkutan. Yang lainnya adalah bahwa disciplinaries internal akan
diadakan terhadap setiap karyawan mana bukti menunjuk ke / nya rasa
bersalahnya sehubungan dengan penipuan. Kejadian pertama membutuhkan
penuntutan di mana pengadilan akan menentukan apakah terdakwa bersalah
'tanpa diragukan', berdasarkan bukti yang disajikan untuk itu (dan asumsi
terdakwa memohon tidak bersalah). Skenario kedua membutuhkan organisasi
untuk membawa tuduhan perbuatan kotor di depan sebuah panel yang
didukung oleh bukti-bukti yang berkaitan dengan biaya ini. Panel akan
menilai pada tes kurang parah dari 'keseimbangan probabilitas' apakah telah
terjadi pelanggaran disiplin internal dan kemudian menyepakati obat yang
cocok, yang dapat mengakibatkan pemecatan. Kedua peristiwa dapat dimulai
pada saat yang sama, karena salah satu sedang mempertimbangkan
tuduhan kriminal, sedangkan lainnya hanya meninjau pelanggaran prosedur
internal. Yang pertama adalah tentang hukum tanah, sementara yang lain
berkaitan dengan rasa saling percaya yang mendasari kontrak kerja. Adalah
penting bahwa kedua konsep ini tidak bingung.
16.tindakan disipliner internal fraud Karyawan harus ditangani di bawah

prosedur disiplin internal perbuatan kotor, yang merupakan pelanggaran
Dihapus. Tindakan internal tidak tergantung pada setiap tuntutan pidana
yang sedang berlangsung dan harus diambil pada kesempatan sedini
mungkin. Tujuannya adalah untuk menghapus secara permanen karyawan
dari tempat kerja karena gangguan dalam kepercayaan. Jika seorang
karyawan menarik terhadap sidang disipliner internal dan telah habis
prosedur pengaduan internal, ia / dia bisa mengambil / kasusnya ke
pengadilan kerja untuk pemecatan yang tidak adil. Inilah sebabnya mengapa
penting untuk melaksanakan prosedur disiplin benar, yaitu, sejalan dengan
set prosedur dan, di atas semua, dengan cara yang wajar. Sebuah alternatif
bagi karyawan adalah untuk mengambil klaim untuk pemecatan yang tidak
adil dan pergi untuk arbitrase independen (oleh Bps). Pendekatan formal
apalagi ini melibatkan prosedur berikut:
Pengantar
Masing-masing pihak menyatakan kasusnya
Pertanyaan dari arbitrator

Pihak meringkas kasus mereka
Kesimpulan meeting
Arbiter mengumumkan keputusan di kemudian hari.
Bahkan di mana kasus pidana jatuh melalui, majikan masih bisa mempertahankan
pemberhentian yang dihasilkan dari prosedur internal, yang beroperasi pada
keseimbangan kurang menuntut probabilitas (bukan di luar semua keraguan) - tes
apakah majikan benar-benar percaya alasan yang kuat bahwa pemohon bersalah
karena pelanggaran tersebut. Dalam hal mengambil tindakan internal yang
terhadap karyawan, ada prinsip-prinsip tertentu yang harus diikuti:
Menyelidiki dan mengumpulkan fakta-fakta dengan hati-hati dan

mengkompilasi bukti pendukung.
Jadilah spesifik tentang biaya dan membiarkan karyawan tahu apa

keluhan adalah tentang.
Gunakan konseling, pelatihan dan dukungan untuk masalah kurang

serius yang menunjukkan kurva belajar - penipuan karyawan tidak
mungkin jatuh ke dalam kategori ini karena akan cenderung menjadi
perbuatan kotor.
Wawancara karyawan dan memberinya / dia kesempatan untuk

menyatakan / nya kasusnya. Karyawan harus memiliki hak untuk
didampingi oleh perwakilan serikat pekerja atau kolega selama setiap
proses terhadap dirinya / dirinya.
Memperkenalkan bukti dan menjelaskan dari mana asalnya dan

memberikan karyawan kesempatan untuk menjelaskan dan
mengklarifikasi hal.
Tentukan kebutuhan untuk melaksanakan pertanyaan lebih lanjut

ketika diberi informasi baru oleh karyawan.
Mengadakan sidang disiplin indie dimana kedua sisi kasus didengar

dan saksi diperiksa dan diperiksa silang sebelum menunda panel untuk
memutuskan kasus ini.
Membuat jelas keputusan untuk kedua belah pihak.
Dimana karyawan tetap diam karena ada kasus pengadilan yang

sedang berlangsung, maka jika bukti cukup kuat untuk meminta
penjelasan, majikan dapat melanjutkan dengan tindakan disipliner.
karyawan hanya bisa mendapatkan perintah untuk menghentikan
disiplin internal di mana akan ada keguguran keadilan jika pergi ke
depan, yang cukup langka. Cara terbaik adalah untuk membuat kasus
internal yang tentang pelanggaran prosedur daripada menggunakan
istilah 'penipuan' atau 'pencurian', yang adalah apa pengadilan pidana
akan mempertimbangkan.
Membuat catatan penuh sidang dan memberikan salinan untuk kedua

belah pihak jika diperlukan.
Memberikan mekanisme banding mana karyawan tidak puas bahwa

ia / dia telah memiliki pendengaran yang adil.
Seorang karyawan di tempat penahanan belum melakukan

pelanggaran yang telah terbukti, sehingga kasus internal yang harus
diselidiki. Di mana ia / dia telah diberikan hukuman kustodian untuk
pelanggaran tidak berhubungan dengan / pekerjaannya, mungkin ada
alasan untuk pemecatan, terutama jika itu membuat orang tidak cocok
untuk jenis pekerjaan yang dilakukan atau hasil dalam frustrasi
kontrak. Di mana seorang karyawan menyembunyikan keyakinan yang
tidak dihabiskan, ia / dia dapat diberhentikan setelah hangus
kepercayaan majikan.
Majikan dapat memberikan referensi ke majikan yang baru calon

bahwa karyawan menghadapi prosedur disiplin yang belum
terselesaikan selama itu netral, faktual dan mungkin cukup singkat.
Kasus ini mungkin berakhir di pengadilan kerja, badan peradilan yang

independen yang terdiri dari orang yang memenuhi syarat secara
hukum sebagai ketua dan dua anggota lainnya; satu diambil dari
sebuah panel anggota majikan, sementara yang lain diambil dari
sebuah panel anggota karyawan. Dalam keadaan tertentu, seorang
ketua pengadilan dapat duduk tanpa anggota awam.
17.Akhir menyelesaikan laporan Kami akan menyelesaikan prosedur dengan

menekankan bahwa laporan akhir disusun atas penipuan dan tindakan yang
diambil. Bagian ini sering terlewat sebagai karyawan diberhentikan dan polisi
mengambil alih
kasus ini. Laporan
audit rahasia
mungkin terlihat
seperti pada
Gambar 7.17.
Setiap penyelidikan
penipuan harus dicatat
dalam file resmi yang
berisi semua dokumen
yang relevan yang telah
diamankan selama
penyelidikan. Ada sejumlah atribut umum kertas kerja yang baik yang harus
diterapkan ke file ini:
1. Kejelasan. Ini adalah praktik yang baik untuk bersikeras bahwa file terbaca
dan dapat dipahami oleh semua pembaca potensial. Menulis rapi dengan
judul yang jelas yang memandu pembaca melalui surat penting, terutama
karena file mungkin harus dibaca tanpa bantuan dari auditor yang melakukan
pekerjaan.
2. new. Setiap item dalam file harus dirujuk dan dicatat dalam indeks utama di
depan file. Dengan demikian, itu harus mungkin untuk pergi langsung ke
dokumen tertentu dengan mudah.
3. Mendukung keputusan Audit opini. Temuan-temuan dan keputusan yang

dibuat dalam laporan yang dihasilkan oleh auditor akan masing-masing harus
didukung sepenuhnya oleh bukti yang kuat. Seluruh investigasi akan
didorong oleh faktor ini dalam hal mengamankan bukti untuk membantah
atau mendukung tuduhan tersebut. Ketika menyusun kertas kerja, auditor,
pada gilirannya, harus mengakui dan memenuhi faktor ini.
4. Mempertahankan kesimpulan. Ini didasarkan pada poin sebelumnya.

Salah satu fitur dari penyelidikan penipuan adalah bahwa mereka maju, satu
mungkin perlu untuk mengecualikan individu didefinisikan dari pertanyaan.
Ini adalah keputusan materi mengingat bahwa auditor dapat secara pribadi
mengenal beberapa orang terlibat dengan penipuan. Di semua tahapan,
kertas kerja harus jelas menunjukkan mengapa keputusan besar dilakukan
dengan menyelidiki staf dan apa bukti yang tersedia untuk mendukung
keputusan ini. Hal ini dapat menjadi faktor penting jika, pada tahap
berikutnya, terdakwa mengaku bahwa ia / dia telah menjadi korban oleh
manajemen, yang merupakan pertahanan yang umum digunakan.
5. Penggunaan formas pro. Ini dapat memberikan jalan pintas untuk apa
yang mungkin menjadi proses yang cukup birokrasi mengumpulkan dan
pengajuan bukti. Wawancara, pertemuan, analisis dokumen dan banyak
latihan lainnya dapat direkam dalam format standar melalui penggunaan
formas pro dan ini harus memastikan pendekatan yang lebih efisien untuk
penyelidikan.
6. Cross-referenced. Tak usah dikatakan bahwa file kertas kerja harus benar-
silang. Kemampuan untuk mengambil dokumen langsung memberikan kesan
yang baik selain sangat efisien. Otoritas kepolisian akan lebih positif dalam
respon mereka terhadap temuan audit jika kertas jelas mudah diakses.
Memadai referensi silang, di sisi lain, akan menyebabkan kesenjangan
memalukan sebagai bukti yang disajikan oleh auditor kepada manajemen dan
/ atau polisi.
7. ekonomi digunakan. Realitas pemanfaatan sumber daya berarti bahwa

penyelidikan tidak bisa begini terus dan ini juga berlaku untuk akumulasi
bukti. Aturan harus diterapkan dalam hal mengamankan bahan untuk file
kertas kerja berdasarkan kepraktisan dan sumber daya yang tersedia. Setiap
item karena itu harus memenuhi kriteria ini sebelum masuk ke dalam file.
Sebuah keputusan mungkin harus dilakukan pada seberapa jauh auditor
harus kembali ketika mengumpulkan bukti penipuan.
8. Dipimpin up. Prinsip bahwa setiap kertas harus menuju benar harus
diterapkan. Idenya adalah bahwa setiap item harus diidentifikasi secara
terpisah jika menjadi terpisah dari file utama. Kami harus bisa membedakan
mana penyelidikan kertas milik dan yang dikompilasi (bersama dengan
tanggal).
9. Jelas menunjukkan dampak pada penyelidikan. Setiap perubahan

penyelidikan penipuan seperti yang berkembang dan sebagai informasi baru
yang ditemukan. Sepanjang proses ini, auditor, dalam hubungannya dengan
manajemen, akan membuat keputusan yang akan mempengaruhi bentuk dan
arah penyelidikan. Proses ini harus jelas dari studi tentang kertas kerja dan
setiap dokumen baru harus ditetapkan dalam jangka waktu yang ditetapkan.
Satu pendekatan adalah untuk menyiapkan laporan kemajuan secara teratur,
yang mengacu pada dokumen yang telah diperoleh. Hal ini dimungkinkan
untuk tanggal, cap dan menandatangani setiap dokumen (melalui label)
seperti yang ditemukan oleh auditor. Terakhir, auditor dapat menyusun
catatan file yang menunjukkan pentingnya materi baru yang telah
diamankan. Ini mungkin mengubah tujuan penyelidikan, sumber daya yang
diperlukan dan / atau menambah atau menghapus tersangka dari
pertanyaan.
10.Ditandatangani oleh petugas dan resensi. Ini cenderung menjadi

persyaratan standar audit di file menunjukkan yang telah melakukan
pekerjaan dan peran manajemen audit meninjau.
11.Tampilkan pekerjaan yang dilakukan. Cara persyaratan ini terpenuhi

akan bervariasi. Ini mungkin terdiri dari catatan singkat menetapkan apa
yang telah dilakukan mungkin dalam hal menganalisa pengeluaran di daerah
di bawah ulasan. Pada ekstrem yang lain, auditor dapat membangun sebuah
pernyataan saksi yang menjelaskan secara rinci langkah-langkah yang
diambil untuk merumuskan dokumen tertentu. Status dan keandalan bukti
dapat dipengaruhi oleh tidak adanya detail ini. Ini akan mengurangi
kemungkinan terjadinya pertahanan menantang bukti di pengadilan atau di
sidang disipliner internal. Hal ini membuat frustrasi untuk manajer audit
untuk mengambil file yang berisi daftar tokoh menuliskan oleh auditor
dengan tidak ada indikasi apa yang mereka wakili.
12.Menetapkan tujuan dari pekerjaan. Banyak materi yang membentuk

dasar dari penyelidikan penipuan berasal dari penggunaan rutinitas
pengujian ekstensif. Dalam hal ini, hal ini berguna untuk memiliki untuk
setiap tes pernyataan tujuan yang jelas mungkin ditandatangani oleh
manajer audit, yang menetapkan persis tujuan tes dan bagaimana hasil
berikutnya dapat diterapkan untuk penyelidikan. Selain membentuk rekor
formal untuk file, pendekatan ini harus memberikan efisiensi yang lebih besar
dalam pekerjaan yang dilakukan.
13.Sebutkan yang hal-hal yang luar biasa. Untuk kelengkapan, itu adalah
ide yang baik untuk menunjukkan apakah ada kesenjangan dalam pekerjaan
yang dilakukan. Sebuah contoh akan menjadi strategi dimana semua staf
yang bekerja di unit tertentu yang diwawancarai sebagai saksi potensi untuk
penipuan. Di mana satu orang belum tersedia, ini harus jelas dari analisis
dokumentasi yang relevan. Ini akan sulit untuk menjelaskan bulan setelah
acara mengapa satu orang yang tersisa, terutama jika auditor yang
bersangkutan telah meninggalkan organisasi.Mungkin latihan tertentu
direncanakan tetapi, untuk beberapa alasan, tidak lagi diperlukan. Sekali lagi
kertas kerja harus berisi catatan yang cocok untuk efek ini.
14.Tanggal. Aturan ini harus benar-benar diterapkan.
15.Tampilkan dampak pada tahap berikutnya dari penyelidikan.

Mengingat bahwa kita akan merencanakan penyelidikan mungkin didasarkan
pada dokumen perencanaan yang telah disampaikan kepada manajemen
untuk diskusi dan tindakan, di mana arah perubahan rencana semula sebagai
investigasi berlangsung, ini perlu dicatat sehingga kertas kerja
mencerminkan jalan perubahan penyelidikan.
16.Lengkap. Semua dokumen yang relevan harus berakhir pada file audit
definitif, yang berarti bahwa ini harus menjadi satu-satunya berkas (atau set
file) yang dipertahankan. Ini adalah praktek yang buruk untuk memegang
banyak file di kantor dengan masing-masing berisi salinan dari beberapa
bukti tanpa membuatnya cukup jelas yang (berada) asli dan lengkap file (s).
17.Set dalam mode rapi dan teratur. Pekerjaan Ceroboh tidak boleh
diterima.
18.Konsisten. Jika wawancara diketik setelah acara maka ini harus diterapkan
untuk semua kasus di mana sebuah wawancara telah terjadi. Sebutan pos
dan terminologi harus bertepatan, yang sangat relevan di mana lebih dari
satu auditor bekerja pada penyelidikan.
19.Simple. Kritik besar dari beberapa penyelidikan penipuan adalah bahwa

mereka dapat menjadi sangat rumit. Hal ini dapat menciptakan masalah
besar bagi semua pihak yang terlibat, selain dari terdakwa. Keadaan kertas
kerja dapat menambah keadaan kebingungan atau membuat seluruh materi
dikelola. Aturan di sini adalah untuk tetap sederhana dengan memiliki tujuan
yang jelas, bukti yang baik dan memastikan bahwa terlalu banyak masalah
tidak ditangani pada saat yang sama.
20.Diperlukan. Sebuah dokumen / kertas kerja harus dijamin hanya jika

diperlukan. Hal ini terkait dengan tingkat sumber daya yang diterapkan untuk
penyelidikan sebagai manfaat utama menggunakan auditor senior
kemampuan mereka untuk menerapkan kebijaksanaan yang lebih besar
ketika membangun sebuah file bukti. Staf junior cenderung menerapkan
kebijakan 'bila ragu, memasukkannya ke dalam'.
21.Termasuk ringkasan. Ada gunanya mengumpulkan toko besar dokumen atas
dasar bahwa setiap dari mereka memiliki link ke tuduhan, namun samar-
samar. Proses investigasi memerlukan satu untuk menyaring materi yang
tersedia dan ekstrak hanya itu yang diperlukan untuk membuktikan isu di
tangan dan hal ini bergantung pada beberapa keterampilan dan pengalaman.
Konsep ini dibantu ketika ringkasan digunakan untuk mengisolasi fitur kunci
dari dokumen yang telah diajukan. Teknik ini harus digunakan sedapat
mungkin. Hal ini tentu tidak dapat diterima untuk mengajukan laporan besar
dan jadwal tanpa menunjukkan bagian mana yang bahan penyelidikan.
22.pada. Sesuai praktek audit yang normal, kertas kerja harus dikaji oleh tingkat
manajemen yang sesuai audit. Ulasan ini juga harus didokumentasikan.
23.Menunjukkan sumber informasi / data. Ini sangat penting, dan semua

sumber harus jelas dikutip sehingga setiap jadwal dapat diperbanyak jika
diperlukan. Tanggal ini juga relevan sebagai informasi, terutama data
keuangan, tidak berubah dari waktu ke waktu sebagai account diperbarui
oleh sistem.
24.Logikanya diatur. Informasi dapat diatur bertepatan dengan kemajuan

penyelidikan dan ini akan membantu mengambil resensi melalui berbagai
tahap seperti kasus disatukan. Ketika mengamankan dan menyimpan
dokumen dari penyelidikan penipuan langkah-langkah berikut harus diambil:
Menangani semua dokumen dengan hati-hati dan melindungi mereka

dengan menempatkan mereka di saku plastik. Pertahankan sidik jari
dengan menggunakan tang.
Label semua dokumen hati-hati (yaitu saku) dan tanggal catatan,

waktu dan lokasi. Di mana seseorang mengaku menggunakan atau
memiliki hubungan dengan dokumen, merekam ini, misalnya, buku
harian milik dia / nya.
Jangan menulis pada dokumen atau melampirkan label lengket.
Jangan mencoba untuk memasang kembali dokumen dengan

menggunakan perekat.
Pastikan dokumen asli dipertahankan.
Amankan semua pita di mesin tik / printer signifikan untuk

penyelidikan. Mengambil sampel dari mesin tik setelah pita dihapus
dan diganti. Mengambil sampel dari keyboard lengkap, lebih rendah
dan huruf.
Cobalah untuk mendapatkan sampel tulisan tangan dari semua

tersangka. sampel harus sesuai apa yang sedang dibandingkan
dengan.
Bertindak sebagai Saksi
Ketika bertindak sebagai saksi ada pedoman tertentu yang harus diamati oleh
auditor:
Pastikan Anda sudah familiar dengan prosedur pengadilan. Ada

pemisahan jaksa dan saksi sehingga tidak ada tekanan yang tidak
semestinya diterapkan. Kontak aturan tutup dengan saksi-saksi lain
selama memberikan bukti dan protokol pengadilan memandu saksi
saat di pengadilan. Jika hal ini tidak di manual audit, saran harus
disediakan oleh petugas hukum organisasi. Setiap orang yang mewakili
organisasi harus diberikan pengarahan tentang prosedur pengadilan
sebelum menghadiri sidang.
Segarkan memori Anda dengan membaca laporan Anda. Seorang

auditor dapat meminta untuk merujuk / nya catatan ketika
memberikan bukti.
Jangan membicarakan bukti Anda dengan auditor lain yang juga dapat
disebut sebagai saksi, sebagai pertahanan mungkin berpendapat
bahwa telah fabrikasi.
Pikirkan sebelum menjawab pertanyaan. Aturan emas adalah jujur; jika

saksi tidak ingat persis apa yang terjadi, maka hanya mengatakan
begitu. Jika pernyataan tidak akurat, ini harus diakui.Jika sesuatu
adalah masalah pendapat, kemudian berkata begitu. Jika permintaan
dibuat oleh jaksa (katakanlah, untuk melihat laporan audit) dan auditor
tidak yakin apakah itu harus dihibur, harus dirujuk ke CAE.
Ini bukan pekerjaan saksi untuk menyenangkan orang di pengadilan ,

hanya untuk menyajikan bukti secara adil dan terbuka.
Tetap tenang jika pertahanan berusaha untuk mendiskreditkan bukti

Anda. Ini adalah peran pengacara untuk mempengaruhi juri. Sebuah
pertahanan yang lemah bergantung pada bercak kesenjangan dalam
bukti dan jika setiap tingkat keraguan / kesalahan dapat dibawa keluar,
tidak peduli seberapa immaterial, ini dapat digunakan untuk
meragukan sisa bukti. Taktik ini baik untuk mendiskreditkan dokumen
yang disampaikan oleh saksi (misalnya dengan auditor) atau
mendiskreditkan auditor. Pertahanan dapat meringkas kasus ini
dengan meminta juri apakah mereka yakin bahwa penyelidikan itu
profesional setelah menyarankan tidak. Ketahanan diperlukan di mana
saksi bisa tetap tenang dan terdiri dan tetap memegang aturan
penting berpikir sebelum menjawab sambil menjaga kebenaran,
seluruh kebenaran dan hanya kebenaran.
Merumuskan Prosedur Investigasi Penipuan
Kami telah mengembangkan prosedur investigasi dalam konteks kenyataan

bahwa tidak ada dua penipuan yang sama. Prosedur adalah dokumen formal yang
menetapkan standar untuk kegiatan jalan dilakukan dan tugas-tugas tertentu
dilakukan. penyelidikan penipuan jauh seperti kegiatan bisnis lainnya meskipun ada
dua fitur utama yang harus diperhatikan. Pertama, mereka cenderung sensitif
dengan faktor malu yang tinggi, terutama, jika penyelidikan beres. Kedua, fakta
bahwa penyelidikan diperlukan merupakan sumber lain dari malu potensial di mana
kontrol telah gagal dan manajemen telah memungkinkan masalah ini terjadi. Kita
dihadapkan lebih banyak dengan latihan pembatasan kerusakan di mana
penyelidikan berusaha untuk menemukan pelakunya, memecahkan masalah dan
memungkinkan manajemen untuk melanjutkan pekerjaan yang sebenarnya. Inilah
sebabnya mengapa prosedur yang baik diperlukan di daerah ini pekerjaan. Namun,
prosedur sendiri menawarkan sedikit bantuan. Harus ada proses implementasi yang
efisien dimana prosedur ini diterjemahkan ke dalam tindakan dan hasil.
Ringkasan dari faktor-faktor yang mendasari prosedur ini dapat dicatat:
1. Biarkan prosedur menjadi didasarkan pada budaya pencegahan penipuan. Di

sini, manajemen berusaha untuk memprioritaskan kontrol yang baik sehingga
untuk menghindari sistem pelanggaran. Banyak berasal dari pendekatan
berbasis risiko di mana aset berisiko diidentifikasi dan langkah-langkah yang
diambil untuk menilai sejauh mana mereka dilindungi secara proaktif.
2. Pastikan bahwa organisasi telah membentuk kebijakan anti-fraud yang

dibangun ke dalam kontrak kerja, peran manajemen, prioritas direksi, dan
ditangani pada pelatihan induksi dan program pelatihan dan pengembangan
yang berkelanjutan. Sebuah kode disiplin formal praktek harus membuat
referensi untuk kebijakan anti-fraud.
3. Prosedur penyelidikan penipuan mungkin juga didukung oleh latihan deteksi

penipuan formal dimana tim proyek dibentuk untuk mengisolasi setiap
penipuan tertentu yang dianggap menjadi perhatian. Ini dapat menargetkan
daerah-daerah sensitif seperti sistem pembayaran, klaim gaji, kasir dan uang
transfer, dana pensiun, manajemen treasury (pinjaman dan investasi),
referensi kerja, keamanan komputer, pembelian dan kontrak, periksa sistem
pengiriman dan sebagainya. Setiap tuduhan atau dugaan penipuan dapat
memberi makan ke dalam prosedur penyelidikan penipuan secara dinamis.
Nomor telepon khusus untuk melaporkan kecurigaan adalah salah satu cara
untuk mendorong tindakan, asalkan ada aturan yang melekat pada
penggunaannya.
4. Kereta kunci staf dalam prosedur penyelidikan. Ini akan mencakup auditor
internal, petugas personil dan manajer kunci. Perhatikan bahwa kita harus
berhati-hati mempublikasikan semua deteksi dan pengujian metode karena
hal ini dapat mendorong orang untuk 'mengalahkan sistem'. Namun,
pelatihan yang baik adalah salah satu cara untuk memastikan penyidik tahu
bagaimana tindakan prosedur jika diperlukan.
5. Pastikan polisi menyadari prosedur dan nama kontak dan nomor. Ini adalah
praktik yang baik untuk membentuk mekanisme penghubung untuk tetap
berhubungan dengan polisi setempat (atau spesialis unit penyelidikan
penipuan polisi).
6. Membuat kepala eksekutif yang bertanggung jawab untuk prosedur

penyelidikan penipuan dengan saran dari auditor internal kepala. Dimana
CAE adalah petugas penipuan dicalonkan, harus ada pengakuan yang jelas
bahwa CEO pada akhirnya bertanggung jawab untuk mengatasi penipuan
melalui delegasi ke petugas yang tepat. Dengan demikian, semua laporan
kecurangan akhir harus pergi ke CEO bersama dengan laporan dari tuduhan
dan laporan tindakan yang diambil dan ringkasan tentang penipuan dan
penyimpangan selama setiap periode pelaporan (misalnya, triwulanan). Hal
ini juga untuk melibatkan komite audit dan tim manajemen dalam laporan
ringkasan, di bawah penutup rahasia.
7. Mengadopsi kebijakan formal 'penipuan nol' di mana setiap kali masalah

muncul, kami meminta apa yang salah, dan bagaimana hal ini dapat
diselesaikan. Hal ini dapat mendorong pertanyaan-pertanyaan mendasar
seperti apakah kita mempekerjakan orang yang tepat (di mana kita memiliki
insiden tinggi penipuan yang dilaporkan), dan mulai mencari sistem yang
lebih baik dimulai dengan perekrutan, seleksi, penilaian kinerja dan
pengembangan karir.
8. Pastikan bahwa ada mekanisme yang efektif diinstal itu berarti prosedur
investigasi ditinjau, terus up to date dan benar diterapkan di seluruh
organisasi. Ketika kepala eksekutif diminta apa yang dia akan lakukan jika
penipuan terungkap, respon berikut akan tepat:
Saya memiliki kebijakan anti-fraud formal.
Saya memiliki penipuan petugas dinominasikan (mungkin CAE).
Saya telah mengembangkan prosedur penyelidikan penipuan yang

komprehensif.
Prosedur ini didukung oleh dokumentasi standar dan berbagai

lokakarya pelatihan.
Sementara itu, saya telah menginstal kontrol yang berusaha untuk

meminimalkan risiko fraud di organisasi saya.
Jika CEO tidak dapat memberikan respon ini, ada paparan yang akan
membuat hidup mereka berpotensi tidak nyaman. Sementara itu, kepala auditor
harus memberikan saran kepada CEO pada ini dan terkait hal-hal sesuai dengan
prosedur yang telah kita tentukan di atas.
Poin praktis
Semua penipuan berbeda dan aturan tetap tidak dapat diterapkan untuk
situasi tak terduga. Pendekatan disiplin berdasarkan kompilasi bukti suara dari
sumber terpercaya dan dikonfirmasikan dengan dokumen yang dihasilkan disatukan
secara sistematis. Berikut ini adalah poin praktis yang perlu diperhatikan:
1. Polisi lebih memilih kasus yang akan disajikan dengan bukti-bukti jelas
disusun. Hal ini memungkinkan mereka untuk sumber daya penyelidikan dan
menetapkan ke tingkat kepentingan. Jika kasus buruk disatukan dengan
kesenjangan jelas, ini akan membuat lebih sulit bagi polisi untuk
menghadapinya dengan cara yang efisien. Posisi ideal tercapai di mana
hubungan yang baik telah dibangun selama bertahun-tahun antara audit
internal dan polisi setempat. Dalam menangani kasus, polisi akan telah
menetapkan persyaratan dan tingkat kepercayaan akan ada di mana
pekerjaan auditor dianggap sepenuhnya diandalkan.
2. Kita harus menentukan apakah penyelidikan adalah masalah disipliner

internal atau kasus untuk polisi. Ini adalah kebijakan yang baik untuk merujuk
semua kasus kriminal ke polisi atau setidaknya mencari nasihat mereka. Di
sisi lain, implikasi bagi organisasi harus dipertimbangkan untuk semua kasus
bahkan mereka yang sedang ditangani oleh polisi. Adalah penting bahwa
kasus terpisah dikembangkan untuk digunakan dalam sidang disipliner
internal yang tidak tergantung pada hasil kasus polisi.
3. Polisi harus diberi petugas penghubung, yang mungkin internal auditor yang
akan berhubungan dengan mereka sepanjang penyelidikan. Auditor dapat
membantu mana, mengatakan, seluruh kelompok staf harus diwawancarai,
karena Kehadiran polisi dapat mengganggu layanan yang disediakan. Dalam
hal ini, mungkin disarankan untuk audit untuk melakukan wawancara ini dan
menyajikan hasil kepada polisi. Sekali lagi, ini dan isu-isu lain harus
didiskusikan dengan petugas penghubung.
4. Ketika tuduhan pertama datang ke cahaya, adalah penting bahwa daerah

yang terkena didefinisikan, karena setiap pertanyaan rahasia awal harus
dilakukan di luar daerah ini. Hal ini terutama berlaku di mana karena
kurangnya bukti, perlu untuk memungkinkan penipuan untuk melanjutkan
dan menangkap bukti saat ini. Surveillance adalah contoh mengamankan
bukti bersamaan untuk mendukung tuduhan. Kerahasiaan harus dijaga dan
titik ini harus diulang untuk semua yang terlibat di setiap kesempatan.
Kadang-kadang, lebih baik untuk mengambil kasus dari manajemen, dan
laporan hanya untuk seorang manajer senior, sehingga unsur ini kerahasiaan
dapat dipertahankan. Sebuah penyelidikan akhirnya akan menjadi
pengetahuan umum.
5. Dimana seorang karyawan sedang diselidiki oleh polisi sebagai hasil dari
penyelidikan internal, itu masih mungkin untuk mendisiplinkan orang ini.
orang tersebut dapat diwawancarai dan disiplin tanpa menunggu hasil dari
kasus polisi selama biaya berhubungan dengan masalah internal, misalnya,
pelanggaran prosedur yang bertentangan dengan tindak pidana seperti
pencurian.Sulit untuk melihat bagaimana penipuan bisa dilakukan terhadap
organisasi tanpa pelanggaran menyertai prosedur. Ini adalah pelanggaran
yang harus ditangani dan masalah ini harus ditangani dalam kode disiplin
praktek dan deskripsi pekerjaan. Ini adalah ide yang baik untuk
mewawancarai tersangka sebelum ia / dia ditangkap oleh polisi. Hal ini
karena pengacara dapat merekomendasikan bahwa setiap karyawan
ditangkap sehubungan tindak pidana tidak harus membicarakan kasus
dengan majikan. Kita mungkin pergi lebih jauh dan menyarankan bahwa
sidang disipliner dapat diadakan dengan tidak adanya karyawan, meskipun
lebih baik untuk mendengar representasi dari karyawan sebelum panel
disiplin membuat keputusan mereka.
6. Ketika seorang karyawan dituduh mencuri aset organisasi, adalah penting

bahwa situasi cukup jelas. Pencurian membutuhkan niat untuk secara
permanen menghapus barang dan satu pertahanan yang item diadakan di
rumah untuk digunakan nanti di tempat kerja. Jika tidak ada kebijakan yang
jelas, pengadilan mungkin merasa sulit untuk memberikan vonis bersalah.
Sebuah dokumen formal harus menguraikan apa yang berhak untuk disimpan
di rumah dan apa yang tidak boleh dihapus. Sebuah persediaan formal harus
dirancang dengan tanda tangan untuk setiap item dihapus. Itu harus
mungkin untuk menunjukkan di pengadilan bahwa seorang perwira tidak
punya hak untuk memegang benda ditentukan atau menggunakannya untuk
tujuan yang tidak sah. Jika kebijakan ini kendur, samar-samar atau tidak
diterapkan, maka setiap penyelidikan berikutnya akan terhalang.
7. Standar bukti akan tinggi karena akan diteliti secara rinci setiap persidangan
nanti atau sidang disiplin internal. Pertahanan akan mencoba untuk
menemukan kesalahan dengan bukti penuntutan, dan setiap kesalahan kecil
dapat digunakan untuk panggilan ke bukti keraguan yang tersisa, namun
akurat. Pertahanan standar untuk menimbulkan keraguan dalam pikiran juri.
Jika auditor junior yang digunakan, mereka harus diberi instruksi yang jelas.
Manajer audit dapat mengatur kasus ini sehingga ia / dia akan menyajikan
item bukti bahkan jika itu disusun oleh auditor junior. Pada account tidak
harus auditor berpengalaman diserahkan kepada belas kasihan dari
pengacara di pengadilan, di mana pekerjaan audit tidak dapat diandalkan,
tidak ditinjau dan terkendali. briefing tim reguler akan mempromosikan
pendekatan yang konsisten. Dianjurkan untuk memberikan junior staf
wawasan yang jelas ke dalam sifat penyelidikan penipuan sebelum mereka
melakukan pekerjaan mereka atas dasar bahwa pemahaman yang lebih baik
dari tujuan akan mendorong hasil yang lebih baik.
8. Cara terbaik adalah untuk manajemen untuk menyajikan disciplinaries dan

mewakili organisasi di pengadilan sedangkan peran audit dapat disediakan
seperti yang saksi utama. Manajemen bertanggung jawab untuk menyelidiki
penipuan. Audit dapat bertindak sebagai penasehat dan mengkompilasi bukti
yang mendukung. Audit dapat menjadi ahli dalam menyajikan bukti ke
pengadilan saksi terpercaya, sementara manajemen akan berdiri di
pengadilan dan menjelaskan prosedur dan menjelaskan bagaimana mereka
dilanggar. Manajemen juga akan menyajikan kasus untuk sidang disipliner
untuk pertimbangan formal dan keputusan, sementara auditor akan hadir
sebagai saksi. Ini membantu jika peran yang tepat dari masing-masing pihak
telah ditetapkan dengan benar sejak awal.
9. Menurut Undang-Undang Perlindungan Data tahun 1984, non-disclosure tidak

berlaku di mana informasi yang dibutuhkan untuk mendeteksi kejahatan atau
menangkap atau menghukum para pelaku. audit internal harus memiliki
akses ke semua informasi dan penjelasan yang diperlukan untuk pelaksanaan
pekerjaan mereka dan surat perintah audit yang tepat akan dikeluarkan
untuk mencerminkan ini. Ada pandangan bahwa UU Perlindungan Data
dilanggar di mana salah satu embarks pada 'ekspedisi memancing' dengan
tidak ada tersangka yang jelas dalam pikiran. Ini mungkin terjadi di mana
salah satu berusaha untuk membandingkan dua file komputer sebagai latihan
deteksi penipuan umum.
10.The Advance Pengungkapan Bukti UU memungkinkan pertahanan hak untuk

melihat bukti-bukti sebelum datang ke pengadilan. Hal ini berdampak pada
audit internal karena akan menutupi dokumen asli yang digunakan untuk
sampai pada opini audit. Pertahanan juga dapat melihat materi yang pernah
dipublikasikan dalam laporan audit tetapi mungkin telah digunakan dalam
penyelidikan. Hal ini berlaku untuk mengaudit kertas kerja, dokumen utama
dan dokumen terkait. pertahanan akan membuat permintaan melalui petugas
polisi yang relevan yang kemudian akan membuat pengaturan yang
diperlukan. auditor harus selalu mengambil nama dan alamat orang yang
mengunjungi dan hadir ketika dokumen diperiksa. Terdakwa tidak berhak
untuk melihat dokumen, hanya pengacara. Mana fotokopi diminta, auditor
harus mencatat permintaan ini dan memasok mereka di kemudian hari
dengan surat pengantar dan faktur terlampir ditetapkan pada tingkat yang
wajar. Sangat penting bahwa organisasi menerbitkan kebijakan yang sesuai
pada pengaturan untuk mematuhi undang-undang.
11.Ketika melakukan investigasi, selalu membuka file dan mematuhi standar di

rumah sebagai berikut:
Selalu gunakan indeks pada semua file.
Tempat dokumen asli di dompet plastik.
Gunakan fotokopi (dengan kata-kata 'Saya menyatakan bahwa ini

adalah salinan yang benar dan adil diambil hari ini'; ditandatangani
dan diberi tanggal).
Gunakan wawancara catatan dan foto-foto (ditandai dengan tanggal,

waktu, tempat).
Pastikan bahwa semua informasi dicatat dan semua dokumen disimpan

aman. Terutama materi sensitif dapat diadakan di bawah kunci dan
kunci dalam audit yang aman.
Simpan dokumen asli dan memberikan salinan kepada pihak ketiga,
termasuk polisi.
Proyek Pengendalian Penipuan
Hal ini dimungkinkan untuk melakukan review khusus kontrol atas

penyalahgunaan komputer / penipuan direncanakan menggunakan model didirikan
seperti yang ditunjukkan pada Gambar 7.18.
Kami akan mencari kontrol cocok atas aset dan informasi beresiko. Ini akan
dievaluasi untuk mengetahui apakah mereka memadai dan diterapkan dalam
praktek dan langkah-langkah yang direkomendasikan untuk mengatasi kegagalan
ditemukan sebagai hasil dari proyek. Sangat penting bahwa laporan tim proyek
untuk tingkat perusahaan yang tinggi dalam organisasi dengan kekuatan
pengambilan keputusan yang dapat digunakan untuk mengambil tindakan atas
rekomendasi. Banyak dari pekerjaan akan berkisar pada petugas keamanan IT,
meskipun, jika tidak ada orang tersebut, maka ini mungkin menjadi rekomendasi
utama pertama. Penipuan tidak konsekuensi alami dari menggunakan sistem
komputerisasi, meskipun ada perbedaan pandangan tentang masalah ini. Penelitian
telah dilakukan tetapi ada banyak organisasi yang melindungi kredibilitas mereka
dengan tidak melaporkan penipuan dan penipuan dicoba. kontrol cocok telah
diterapkan dan peran audit tetap sama dalam mengkaji kecukupan dan efektivitas.
Satu-satunya masalah tambahan
adalah di mana audit internal
membuat tawaran untuk melakukan
peran keamanan sistem dalam
organisasi, meskipun ini adalah suatu
hal yang auditor internal kepala harus
mempertimbangkan dan
menyelesaikan. deteksi penipuan
adalah tentang mengadopsi
pendekatan proaktif untuk penipuan
dengan melakukan proyek-proyek
audit untuk mencari dan membasmi
penipuan tertentu. Hal ini dapat
dilakukan dalam hubungannya dengan polisi yang akan memberikan saran dan
terlibat di mana ada kasus yang jelas dari kegiatan kriminal. Rencana audit dengan
mengacu:
1. probabilitas penipuan yang terjadi di dalam daerah berisiko tinggi organisasi;
2. staf yang diperlukan untuk sumber daya proyek yang penting termasuk
kualifikasi, pengalaman, keterampilan dan atribut pribadi, sebagai tim harus
mengangkat tangan, berdasarkan spesifikasi pekerjaan yang menuntut;
3. sejauh, kerangka acuan dan ruang lingkup audit harus sangat hati-hati
ditentukan karena hal ini akan berdampak besar pada kerja yang dilakukan
dan arah audit. Faktor ini harus terus dikaji karena lingkup mungkin berubah
selama pekerjaan. Hal ini mungkin juga memiliki efek knock-on pada jenis
sumber daya yang sedang digunakan. Salah satu fitur penting mungkin perlu
untuk mengamankan profiling data dan interogasi keterampilan otomatis
untuk proyek tersebut.
pekerjaan ini harus dilakukan dalam hubungannya dengan manajemen yang

tetap bertanggung jawab untuk menangani penipuan dan penyimpangan.
Teknik pencegahan
Larry Sawyer telah menerbitkan kata-kata yang kini terkenal pada

pencegahan, bagian yang lebih baik dari keberanian:
Berapa banyak lebih baik tidak kehilangan sesuatu daripada harus pergi ke
kesulitan menemukan itu setelah hilang. Cara yang lebih baik untuk
mencegah seseorang dari mencuri daripada mendeteksi pencurian,
memulihkan kerugian, dan penjara bajingan. Cara yang lebih baik untuk
menghilangkan godaan daripada menghukum seseorang karena telah
menyerah pada godaan.Berapa banyak yang lebih baik untuk internal auditor
dianggap sebagai konsultan konstruktif selain sebagai polisi atau jaksa.
Proses investigasi reaktif dalam hal itu dimulai sebagai hasil dari dugaan
penipuan. Langkah dapat diambil untuk menjaga terhadap penipuan. Pentingnya
membangun kontrol suara tidak bisa terlalu ditekankan karena kebanyakan
penipuan bisa dihindari dengan kontrol yang tepat. Kita juga harus
mempertanyakan organisasi yang sepenuhnya sumber penyelidikan penipuan
sementara mengabaikan implikasi kontrol. Sayangnya, mereka yang dituduh
dengan melakukan penyelidikan ini mungkin memiliki sedikit insentif untuk
mendorong sudut kontrol jika akan menghasilkan lebih sedikit pekerjaan yang
tersedia untuk mereka. kontrol utama meliputi:
prosedur perekrutan yang baik garis wewenang
pemeriksaan independen atas Kebijakan dipublikasikan pada

pekerjaan penipuan
pengawasan Reguler margin keuntungan dikendalikan
rapat staf dokumentasi yang baik
Sistem rekening manajemen prosedur disiplin yang baik staf
Kode etik pegawai prosedur keuangan
Up ke rekening tanggal trails manajemen
sistem informasi manajemen yang komunikasi yang baik

baik
kontrol yang baik atas pendapatan hotline penipuan
tunai
Baik serba sistem kontrol
Pemisahan tugas
Terlatih dan manajemen peringatan
Toko / peralatan kontrol
Process Control penipuan
langkah-langkah anti-korupsi
Kebanyakan penipuan adalah hasil dari kelemahan dalam sistem

pengendalian internal. Manajemen perlu menetapkan keseluruhan proses untuk
mengendalikan penipuan yang meliputi:
Pencegahan kontrol ini adalah kontrol yang paling penting yang berusaha untuk
mencegah penipuan. Kami telah mencatat bahwa kebijakan penutup ini penipuan,
pemisahan tugas, ulasan audit internal, lingkungan pengendalian yang baik, sistem
secara keseluruhan baik dan banyak poin lainnya ditangani sebelumnya. Ini adalah
jenis yang paling efisien kontrol dalam bahwa mereka bertujuan mencegah setiap
penipuan potensial sebelum terjadi. Upaya diarahkan pada tahap ini dari sistem
bisnis akan membayar imbalan besar bahkan jika ini negatif dinyatakan sebagai
kurangnya aktivitas penipuan. Kontrol ini memberikan jaminan kepada manajemen
bahwa mereka mungkin berkonsentrasi pada pencapaian tujuan bisnis tanpa risiko
kerugian di aset-aset organisasi yang mereka bertanggung jawab untuk.
Manajemen, bukannya bertanggung jawab atas aset, yang lebih tepat disebut
sebagai bertanggung jawab untuk menetapkan kontrol yang memadai atas aset
tersebut. Hal ini membawa konsep kontrol pencegahan untuk profil yang lebih
tinggi, sehingga memungkinkan mereka untuk menarik sumber daya yang cukup
untuk menjadi operasional sukses.
Detektif kontrol Kontrol ini didasarkan pada kebutuhan untuk mengambil setiap
penyimpangan secepat mungkin. Ini termasuk teknik seperti manajemen
peringatan, analisis trend, tempat pemeriksaan, pengawasan, laporan pengecualian
dan audit kejujuran. Pertanyaan untuk bertanya adalah, 'Bisakah penipuan telah
menyelinap melalui sistem kami dan jika
demikian bagaimana mereka dijemput?'
Kita harus menerima bahwa tidak semua
masalah potensial / penipuan dapat
ditangani melalui kontrol preventif dan
akan ada kesempatan di mana
penyimpangan hampir tidak dapat
dihindari. Kontrol detektif dirancang untuk
mengambil setiap sistem pelanggar dan
merupakan unsur penting dalam siklus
kontrol.
Kontrol korektif Setelah penipuan telah

dijemput, harus diperbaiki. Kontrol korektif
termasuk peneliti mendefinisikan
penipuan, tindakan manajemen, kebijakan
asuransi, sistem perbaikan dan tindakan disiplin yang efektif. Harus ada prosedur
yang jelas yang mencakup topik restitusi dan asuransi. Dengan demikian, jika
penipuan dijemput, perlu ada metode yang efektif untuk menangani itu berbeda
dengan pendekatan hit-or-miss. Manajemen harus tahu siapa yang harus dihubungi,
apa yang akan dilakukan dan bagaimana mereka dapat mendukung proses ini
menyelidiki penipuan. Gambar 7.19 menggambarkan bagaimana beberapa kontrol
utama dapat diatur untuk membentuk suatu sistem yang efektif untuk
mengendalikan penipuan dan penyimpangan dengan mengatasi kebutuhan untuk:
standar perusahaan-tingkat tinggi
petugas penyelidikan penipuan dinominasikan
sumber daya terkait dan anggaran
manual penipuan
informasi manajemen pada penipuan
keamanan atas sumber daya dan sistem IT
prosedur untuk bidang utama seperti pembelian
hubungan yang jelas dalam disiplin staf.
Dengan cara ini, seluruh sistem kontrol dapat dibuat di seluruh organisasi
untuk mempromosikan keamanan yang baik atas aset organisasi dan sumber daya.
Ini adalah bagian dari tanggung jawab manajemen yang tidak dapat dibatalkan,
meskipun audit internal mungkin menganggap peran penting. Penipuan bisa
menjadi topik yang sangat menarik dan mungkin sangat merangsang bagi auditor.
Ada banyak belajar, dan banyak teknik audit, khususnya yang berkaitan dengan
pengujian, dapat diterapkan untuk mengamankan bukti yang mendasari bahwa hal
apapun akan didasarkan pada. Ada, bagaimanapun, sedikit nilai perkembangan
dalam peran dan pemeriksaan teori ini mengarahkan satu menuju ulasan
operasional sistem pengendalian internal sebagai tujuan audit yang benar. Penipuan
mengambil tingkat tinggi sumber daya dan banyak pekerjaan audit yang
direncanakan bisa jatuh ke satu sisi. Peran konsultan, menasihati manajer tentang
bagaimana mereka bisa memecahkan penipuan mereka mungkin hubungan kerja
yang efisien dan ini harus dinegosiasikan dengan komite audit. Jika direncanakan
audit dipandang sebagai masalah sekunder, maka proses penilaian risiko yang
diidentifikasi proyek ini untuk rencana audit jelas tidak bekerja dan harus ditinjau.
Sistem kelemahan yang memungkinkan penipuan terjadi harus, bagaimanapun,
diprogram ke dalam rencana audit dan sistem sesuai kontrol preventif benar
didirikan. Pada account tidak harus bertanggung jawab untuk menjaga terhadap
dan menyelesaikan penipuan dan penyimpangan diambil dari manajemen. Neil
Cowan telah dijelaskan peran audit internal dalam 'penipuan Perusahaan-lebar
ofensif':
audit internal dapat memainkan peran penting dalam proses pencegahan
penipuan. Sebagai spesialis dalam kontrol dan risiko, auditor sangat berkualitas baik
untuk mendidik karyawan di seluruh organisasi tentang bagaimana untuk
meminimalkan kasus penipuan dan untuk meningkatkan kesadaran. Auditor dapat
membantu untuk memastikan bahwa pencegahan penipuan adalah agenda semua
orang dan mendorong pendekatan kooperatif untuk masalah ini. Memberdayakan
karyawan di semua tingkatan untuk mengambil peran aktif dalam pencegahan
penipuan dapat membantu untuk memastikan bahwa setiap orang memberikan
kontribusi untuk usaha tim ini.
Hal ini tidak mudah dan ada peringatan yang dapat dikeluarkan. Empat bahaya
menghadapi auditor internal yang mengungkap penipuan:
1. Audit dapat didefinisikan dengan memperingatkan pelaku awal.
2. Auditor dapat menjadi subjek litigasi sipil, seperti pencemaran nama baik,
fitnah atau salah tangkap.
3. Kerusakan Karir mungkin terjadi. Hal ini terutama berlaku ketika penipuan
yang terjadi pada tingkat tinggi dalam organisasi.
4. Bahaya keempat yang internal auditor menghadapi adalah bahwa dari

violence.45 Tapi pada saat yang sama, ada tantangan. Mark R. Kolman
menggambarkan bagaimana rasanya hidup berbahaya:
Dalam beberapa kasus, misalnya, auditor dapat dianjurkan mengejar

penyelidikan penipuan karena manajemen senior tidak ingin informasi tertentu
dipublikasikan, atau karena mereka secara finansial dan politik terhubung ke pihak
yang terlibat dalam aktivitas penipuan. manajemen audit dapat mengabaikan
keputusan bisnis miskin karena mereka diintimidasi oleh anggota manajemen senior
dan takut pembalasan. Dalam beberapa lingkungan, di mana korupsi lebih luas,
auditor menghindari daerah-daerah tertentu harfiah untuk menghindari
menempatkan diri mereka dalam bahaya. Hal ini, sayangnya, realitas profesi kita,
tetapi juga salah satu alasan yang sering kita gagal untuk hidup sesuai dengan
komitmen obyektif dan independen profesi menjanjikan untuk memberikan. Untuk
menjaga integritas profesional kami dan memastikan kesehatan organisasi kita,
auditor harus bersedia untuk mengambil sikap atas perilaku etis. Apakah Anda
bersedia untuk hidup berbahaya?
The IIA membuat jelas dalam Atribut Standar 1210.A2 bahwa auditor internal
harus memiliki pengetahuan yang cukup untuk mengidentifikasi indikator penipuan
tetapi tidak diharapkan untuk memiliki keahlian dari orang yang tanggung jawab
utama adalah mendeteksi dan menyelidiki penipuan. Selain itu, cara yang paling
efektif untuk mengelola risiko penipuan adalah untuk membangun faktor ini ke
dalam lokakarya penilaian risiko yang dilakukan oleh tim di seluruh organisasi dan
memastikan pencegahan adalah bagian dari strategi manajemen risiko bisnis
secara keseluruhan.
Membangun Akuntabilitas Upaya antipenipuan Anda
Oleh Dan Swanson, Kepatuhan Minggu Kolumnis
Beberapa perusahaan memiliki tingkat jauh lebih rendah dari

penyalahgunaan aset dan kecurangan pelaporan keuangan daripada yang lain.
Mengapa? Karena mereka agresif mengambil langkah-langkah untuk mencegah dan
mendeteksi fraud, akhir cerita. Pada perusahaan-perusahaan teladan, manajemen
mengambil serius tanggung jawab etis untuk merancang dan menerapkan sistem,
prosedur, dan kontrol untuk menangkap penipuan - dan, bersama dengan dewan
direksi, untuk mempromosikan budaya dan lingkungan perusahaan yang menuntut
kejujuran dan perilaku etis. Bagaimana perusahaan Anda menumpuk? Nah,
dijalankan melalui checklist ini:
Apakah organisasi Anda memiliki proses pengawasan penipuan yang

kuat baik di tingkat dewan dan manajemen?
Apakah organisasi Anda memiliki yang kuat dan efektif antipenipuan

kebijakan, prosedur dan kontrol?
Apakah manajemen secara teratur mengevaluasi risiko penipuan dan

kontrol antipenipuan?
Memiliki risiko manajemen menimpa dan konflik kepentingan secara

independen Ulasan dalam 12 bulan terakhir?
Apakah Anda mengatakan tenaga kerja Anda memiliki budaya etis

yang kuat?
Apakah perusahaan Anda memiliki kebijakan perusahaan yang

mendorong whistleblower untuk maju?
Dan jangan mereka akan whistleblower benar-benar percaya itu? Jika Anda
menjawab '' ya '' untuk semua pertanyaan di atas, besar. Anda baik pada cara untuk
usaha antipenipuan kuat.Sekarang menjawab tiga pertanyaan lagi yang akan
membantu Anda mendapatkan di depan orang banyak:
Apa peran dewan dan manajemen mengenai penipuan?
Apa yang harus peran tim audit internal ini menjadi tentang penipuan?
Bagaimana organisasi yang terbaik membantu auditor eksternal

memenuhi tanggung jawabnya untuk mengevaluasi risiko penipuan?
Untuk menjawab pertanyaan terakhir benar, Anda perlu jawaban yang jelas
untuk dua pertanyaan segera mendahuluinya. Secara khusus: Dewan bertanggung
jawab untuk menentukan dan menyetujui keseluruhan arah strategis organisasi dan
sistem pengendalian internal, serta untuk pengaturan nada di bagian atas (tata
kelola perusahaan secara keseluruhan). Manajemen beroperasi bisnis dalam
pedoman yang ditetapkan oleh dewan, secara berkala melaporkan kinerja dan
kemajuan menuju strategi kunci dan tujuan. Manajemen juga memonitor operasi.
Itu termasuk penilaian reguler efektivitas keseluruhan sistem pengendalian intern
terhadap persyaratan yang ditetapkan oleh dewan, serta nilai-nilai etika sendiri
perusahaan dan keyakinan.
Seperti disebutkan sebelumnya, pengurus bertanggung jawab untuk

memastikan sistem pengendalian intern yang efektif didirikan untuk melawan
penipuan; manajemen bertanggung jawab untuk bagaimana sistem yang dirancang
dan diterapkan untuk melawan penipuan. Setelah Anda memiliki yang jelas - dan
benar-benar dilakukan - departemen audit internal juga dapat berkontribusi untuk
usaha-usaha antifraud.
Audit Pekerjaan: Membantu Upaya Pencegahan Penipuan
Hari ini ada keyakinan bahwa auditor mencari - serta menyelidiki dan
menghentikan - penipuan. Setelah semua, tidak auditor baris terakhir pertahanan
dalam mengidentifikasi manajemen bengkok? Yah, tidak ada. Yang benar adalah
bahwa tidak ada yang bisa menangkap semua penipuan, dan departemen audit
internal harus mengatasi kesalahan persepsi bahwa ini adalah tujuan audit internal.
Semua orang di perusahaan memiliki peran dalam pencegahan penipuan dan
deteksi, dan tanggung jawab utama terletak pada semua anggota manajemen (dan
oleh itu, maksud saya manajer di setiap tingkat perusahaan). Fungsi audit internal
yang efektif meningkatkan etika lingkungan budaya dan kontrol perusahaan, baik
terang-terangan melalui audit dan dalam arti yang lebih umum dengan
mempromosikan praktek yang baik. audit internal kegiatan antipenipuan
memberikan umpan balik yang berharga untuk manajemen dan dewan pada di
mana mereka dapat meningkatkan kinerja secara keseluruhan, yang memberikan
kontribusi dalam jangka panjang untuk penipuan upaya manajemen risiko yang
lebih efektif. Hal ini juga dapat menjadi penghalang ketika karyawan tahu bahwa
departemen audit internal mempekerjakan orang dengan pengetahuan deteksi
penipuan, keterampilan, dan alat-alat.
audit internal harus merancang dan rencana audit khusus untuk mendeteksi
penipuan, yang secara langsung memperkuat sistem pengendalian internal
organisasi. Rencana audit internal harus didorong oleh penilaian risiko audit (yaitu,
risiko bahwa audit mungkin akan kehilangan sesuatu); juga, upaya penipuan harus
didorong oleh penilaian risiko penipuan, karena paparan semakin besar organisasi
untuk penipuan, upaya audit yang lebih antipenipuan harus dialokasikan. Dan Anda
harus melakukan penilaian risiko penipuan serius, karena membantu seorang pun
untuk memiliki tenaga kerja Anda percaya tim audit internal tidak percaya semua
orang.
pekerjaan audit harus mencakup evaluasi upaya organisasi dalam

pencegahan fraud, deteksi penipuan, dan penyelidikan penipuan. Jika '' detektif ''
prosedur tidak di tempat, penipuan yang ditemukan akan membutuhkan usaha
yang lebih investigatif dan mengakibatkan kerugian yang lebih besar. Selama
jangka panjang, pencegahan penipuan dan upaya pencegahan memiliki pengaruh
paling besar terhadap mengurangi penipuan, jadi ini harus menjadi prioritas
manajemen puncak dan secara teratur dievaluasi oleh audit internal.
Selalu ingat bahwa audit hanya menyediakan tingkat yang wajar jaminan;
auditor tidak bisa, dan tidak akan, memberikan polis asuransi terhadap setiap
penipuan mungkin. Tetapi karena objektivitas dan integritas mereka, auditor
internal dapat memperkuat upaya antipenipuan organisasi dengan menyelidiki
laporan dari kemungkinan tindakan penipuan. Bahkan, semakin banyak perusahaan
departemen audit internal meliputi dilatih akuntan forensik.
Ada banyak teknik audit fraud hari ini, dan lebih harus dimasukkan ke dalam
departemen audit. Beberapa contoh sederhana dari latihan forensik meliputi:
menghubungkan nama karyawan, alamat dan rincian kontak lainnya terhadap
database pemasok untuk membantu mengidentifikasi transaksi tersangka;
memeriksa biaya klaim erat; menindaklanjuti agama pada perbedaan tampaknya
tidak signifikan dalam total kontrol; menggunakan teknik data mining dan
pemeriksaan komputer secara umum untuk kerajinan dan menjawab pertanyaan
licik; dan selalu menyadari kemungkinan kolusi, penipuan, dan penipuan. Beberapa
praktek manajemen antipenipuan berguna termasuk:
1. Mengidentifikasi indikator potensi penipuan untuk industri Anda, perusahaan,

atau kegiatan dalam organisasi Anda;
2. Berkomunikasi dengan orang-orang yang berpengalaman untuk belajar ide-

ide tentang bagaimana penipuan dapat dilakukan dan terbaik terdeteksi;
3. Merancang dan rutin menjalankan tes untuk mencari indikator penipuan dan
anomali data;
4. Melakukan pertanyaan ad-hoc yang diperlukan untuk menggali sumber data

yang mendasari indikator penipuan dan anomali data; dan melakukan atau
termasuk sebagai bagian dari kontrol sesi self-assessment.
5. Melaksanakan audit kontinu.
Norman Marks, seorang eksekutif audit internal utama di Business Objects

dan tangan tua di internal audit di perusahaan besar, merekomendasikan bahwa
audit internal secara berkala menilai:
Kecukupan lingkungan pengendalian, termasuk: kecukupan kode etik

dan proses untuk memastikan itu dipahami, kecukupan proses
whistleblower dan investigasi, dan kepegawaian dan organisasi mereka
yang bertanggung jawab untuk pencegahan dan deteksi penipuan.
audit internal harus melampaui teknik tradisional seperti wawancara
atau mengeluarkan kuesioner hanya untuk manajemen senior; teknik
langsung dan lebih berguna adalah meminta tenaga kerja melalui
survei, wawancara, dan kelompok fokus.
penilaian risiko Manajemen yang berhubungan dengan penipuan dan
pencurian, termasuk: apakah proses sistematis dan skema penipuan
paling dibayangkan diidentifikasi, risiko penipuan memadai dinilai, dan
strategi yang tepat diterapkan.
kegiatan monitoring Manajemen, termasuk: apakah kerugian aktual

dimonitor dan dibandingkan dengan toleransi risiko, dan kerugian
aktual dipantau untuk mengidentifikasi bidang yang menjadi perhatian,
potensi gagal kontrol, dan peluang untuk perbaikan.
Akan selalu ada batas kemampuan antipenipuan organisasi. ukuran sampel

Anda hanya bisa begitu besar. Anggaran Anda hanya begitu besar. Penipu,
sementara itu, adalah orang-orang licik yang bekerja keras untuk menyembunyikan
kegiatan mereka dan mengeksploitasi kelemahan dalam kontrol.
Organisasi Harus Pernah Rajin
Diskusi terbuka tentang kemungkinan penipuan (fraud serius), dan

tanggapan yang diperlukan, selalu penting. Idealnya, perusahaan Anda harus
memiliki diskusi sebelum insiden penipuan serius daripada sesudahnya. Jika Anda
ingin konfirmasi bahwa, melihat Societe Generale terhuyung-huyung dari penipuan
bernilai miliaran dolar yang dilakukan oleh satu orang. Sekarang bukan waktu
terbaik untuk SG untuk bertanya bagaimana hal seperti itu bisa terjadi.
Menetapkan ekspektasi yang jelas dan mendefinisikan tanggung jawab setiap

orang mengenai upaya antipenipuan Anda adalah setengah pertempuran. Menjadi
rajin usaha Anda adalah setengah lainnya. Untuk melawan penipuan, kita perlu
kebijakan yang tegas, itu harus ditegakkan, dan pelanggar harus diselidiki dan
tindakan yang tepat diambil. Manajemen harus memahami bahwa ia memiliki
tanggung jawab untuk merancang dan melaksanakan kegiatan antifraud, termasuk
pemantauan hasil. auditor internal juga harus mencari kegiatan penipuan dan
memberikan kontribusi pada organisasi '' tidak ada toleransi '' sikap terhadap
penipuan.
Setelah rumah Anda sendiri adalah dalam rangka, juga mempertimbangkan

risiko fraud potensial yang berkaitan dengan hubungan bisnis utama Anda.
Pengungkapan rahasia oleh pemasok, mitra, atau pelanggan adalah salah satu cara
yang paling umum menemukan kegiatan penipuan, dan memotong kedua cara. Jika
seorang pekerja di salah satu perusahaan mitra bisnis Anda ingin melaporkan
penipuan di perusahaan Anda, akan orang yang memiliki sarana (dan dorongan)
untuk melakukannya? Bagaimana jika salah satu karyawan Anda menemukan
penipuan terjadi di salah satu mitra Anda? Bagaimana Anda menghadapinya?

cipta.
7.6. Audit Sistem Informasi
The IIA Standar Kinerja 2120.A1 menyatakan bahwa aktivitas audit internal
harus mengevaluasi eksposur risiko yang berkaitan dengan organisasi
pemerintahan, operasi dan sistem informasi mengenai:
keandalan dan integritas informasi keuangan dan operasional;
efektivitas dan efisiensi operasi;
pengamanan aset;
kepatuhan terhadap hukum, peraturan dan kontrak.
sementara 2110.A2 standar membuat jelas bahwa
Kegiatan audit internal harus menilai apakah tata kelola teknologi informasi
organisasi menopang dan mendukung strategi dan tujuan organisasi.
IS auditor memiliki minat khusus dalam item pertama - keandalan dan

integritas informasi keuangan dan operasional. Sementara itu, Praktek Penasehat
2130.A1-22 melanjutkan dengan mengatakan sebagai berikut:
1. Kegagalan untuk melindungi informasi pribadi dengan kontrol yang tepat

dapat memiliki konsekuensi yang signifikan bagi suatu organisasi. Kegagalan
dapat merusak reputasi individu dan / atau organisasi, dan mengekspos
organisasi untuk risiko yang mencakup tanggung jawab hukum dan
berkurang konsumen dan / atau kepercayaan karyawan.
2. definisi Privasi bervariasi tergantung pada budaya, lingkungan politik dan

kerangka legislatif dari negara-negara di mana organisasi beroperasi. Risiko
yang terkait dengan privasi informasi mencakup privasi pribadi (fisik dan
psikologis); privasi ruang (kebebasan dari pengawasan); privasi komunikasi
(kebebasan dari monitoring); dan privasi informasi (pengumpulan,
penggunaan dan pengungkapan informasi pribadi oleh orang lain). Informasi
pribadi umumnya mengacu pada informasi yang terkait dengan individu
tertentu, atau yang memiliki karakteristik mengidentifikasi bahwa, bila
dikombinasikan dengan informasi lain, kemudian dapat dikaitkan dengan
individu tertentu. Hal ini dapat mencakup informasi faktual atau subjektif -
direkam atau tidak - dalam bentuk apapun media. Informasi pribadi bisa
meliputi:
Nama, alamat, nomor identifikasi, hubungan keluarga;
file Karyawan, evaluasi, komentar, status sosial, atau tindakan

disipliner;
catatan kredit, pendapatan, status keuangan, atau

Status Medis.
3. Efektif atas perlindungan informasi pribadi merupakan komponen penting

dari tata kelola, manajemen risiko, dan proses pengendalian organisasi.
Dewan ini akhirnya bertanggung jawab untuk mengidentifikasi risiko utama
untuk organisasi dan melaksanakan proses kontrol yang tepat untuk
mengurangi risiko tersebut. Ini termasuk membangun kerangka privasi
diperlukan bagi organisasi dan memantau pelaksanaannya.
4. Kegiatan audit internal dapat berkontribusi untuk pemerintahan yang baik

dan manajemen risiko dengan menilai kecukupan identifikasi manajemen
risiko yang terkait dengan tujuan privasi dan kecukupan kontrol didirikan
untuk mengurangi risiko tersebut ke tingkat yang dapat diterima. Auditor
internal adalah posisi yang baik untuk mengevaluasi kerangka privasi dalam
organisasi mereka dan mengidentifikasi risiko yang signifikan, serta
rekomendasi yang tepat untuk mitigasi.
Kegiatan audit internal mengidentifikasi jenis dan ketepatan informasi yang

dikumpulkan oleh organisasi yang dianggap pribadi atau swasta, metodologi
pengumpulan digunakan, dan apakah penggunaan organisasi informasi yang sesuai
dengan tujuan penggunaannya dan perundang-undangan yang berlaku.
Mengingat sifat yang sangat teknis dan hukum dari masalah privasi, kegiatan
audit internal perlu pengetahuan dan kompetensi yang sesuai untuk melakukan
penilaian risiko dan kontrol dari kerangka privasi organisasi.
Dalam melakukan evaluasi seperti itu dari manajemen kerangka privasi

organisasi, auditor internal:
Mempertimbangkan hukum, peraturan, dan kebijakan yang berkaitan

dengan privasi di yurisdiksi di mana organisasi beroperasi;
Liaisons dengan penasihat hukum di-rumah untuk menentukan sifat

yang tepat dari hukum, peraturan dan standar lainnya dan praktik
yang berlaku untuk organisasi dan negara / negara di mana ia
beroperasi;
Liaisons dengan spesialis teknologi informasi untuk menentukan

bahwa keamanan informasi dan perlindungan data kontrol berada di
tempat dan secara berkala dan dinilai untuk kesesuaian;
Mempertimbangkan tingkat atau kematangan praktik privasi

organisasi; tergantung tingkat, auditor internal dapat memiliki peran
yang berbeda. auditor dapat memfasilitasi pengembangan dan
pelaksanaan program privasi, mengevaluasi penilaian risiko privasi
manajemen untuk menentukan kebutuhan dan eksposur risiko
organisasi atau memberikan jaminan atas efektivitas privasi kebijakan,
praktik dan kontrol seluruh organisasi. Jika auditor internal
bertanggung jawab untuk mengembangkan dan menerapkan program
privasi, independensi auditor internal akan terganggu.
sistem informasi yang rumit memiliki implikasi besar bagi auditor internal.
Auditing sekitar komputer dijelaskan pendekatan tradisional untuk sistem berbasis
komputer audit. Ini berarti menyesuaikan pendekatan audit biasa tanpa
menerapkan keahlian tambahan dalam aplikasi komputerisasi. Istilah lain adalah
pendekatan kotak hitam di mana komputer dipandang sebagai benda asing yang
harus diabaikan oleh auditor. Saat ini, respon Audit harus mengambil perubahan
strategis papan di otomatisasi, respon behind.One dinyatakan audit tersisa adalah
untuk menentukan peran audit yang mengkhususkan diri dalam meninjau sistem
informasi komputerisasi sebagai 'sistem informasi (IS) audit dan ini adalah subjek
bagian ini. Ada perbedaan pandangan audit IS dengan banyak percaya bahwa
semua bagian audit harus mempekerjakan auditor spesialis. Orang lain merasa
tidak ada hewan seperti auditor sejak menangani aplikasi komputerisasi adalah
bagian dari kehidupan pemeriksaan
sehari-hari. Audit komputer cenderung
dikenal sebagai IS audit, seperti yang kita
bergerak dari ide komputer audit untuk
pandangan bahwa kami membantu untuk
mengubah data mentah menjadi sebuah
platform yang handal dan aman untuk
pengambilan keputusan sebagaimana
diatur dalam Gambar 7.20.
Risiko Sistem Informasi
Risiko sistem informasi miskin dan

keamanan tidak dapat diandalkan dan
pengaturan backup mengarah ke
kemungkinan penipuan, kesalahan, non-
kepatuhan terhadap aturan perlindungan data, ketidakpuasan pelanggan dan
pelanggaran keamanan. sistem informasi yang buruk dapat merusak sebuah
organisasi, di mana seluruh reputasi organisasi mungkin dipertaruhkan. The IIA.UK
& Irlandia Teknologi Informasi Catatan Singkat Tiga tertutup Internet Security
(Sebuah Panduan untuk Auditor Internal) dan menyarankan sejumlah daerah risiko
IS
Pencurian informasi proprietary Penipuan
Sabotase data atau jaringan Penolakan layanan
menguping spoofing
penetrasi sistem virus
Penyalahgunaan akses internet

Sementara itu, 2.002 Kejahatan Komputer dan Survey Keamanan menyoroti
masalah tumbuh dari cybercrime:
Kejahatan Komputer terus memukul organisasi keras, namun kebanyakan

tidak melaporkan pelanggaran keamanan informasi untuk penegakan hukum,
sebuah laporan survei AS baru-baru.Sembilan puluh persen dari 503
organisasi AS yang merespons telah mendeteksi pelanggaran keamanan
komputer dalam 12 bulan terakhir dan 80 persen mengakui menderita
kerugian keuangan, sesuai dengan ketujuh 'Kejahatan Komputer dan Survey
Keamanan' tahunan yang dilakukan oleh US Federal Bureau of Investigation
dan Komputer keamanan Institute (CSL). 44 persen dari organisasi yang
diungkapkan jumlah kerusakan keuangan mereka menderita melaporkan
kerugian $ 455.800.000. Tahun lalu, 85 persen responden terdeteksi
kejahatan komputer, dan organisasi kehilangan $ 377.800.000, menurut 2001
survey.
Cara Timbang Keputusan Investasi TI
manajemen perusahaan selalu diberitahu untuk berinvestasi dengan bijak di

IT. Dewan selalu diberitahu untuk memastikan manajemen berinvestasi dengan
bijak di IT. Ini disangkal semua orang menyatakan sepanjang waktu. Terlalu sering,
bagaimanapun, keputusan investasi TI oleh manajemen dan dewan telah
mengandalkan, dan bahkan ditangguhkan untuk, manajer dari fungsi TI.Yang
menghasilkan apa yang saya sebut pendekatan Black Hole untuk investasi TI:
Lempar cukup uang ke dalam teknologi, dan kami akan mendapatkan sesuatu yang
bernilai pada akhirnya.Korporasi dapat, dan harus, melakukan lebih dari itu. IT
sekarang pusat untuk setiap proses bisnis inti, dan proses bisnis inti adalah pusat
untuk tata kelola. Bisa lebih formal, keputusan terpadu tentang investasi IT karena
itu meningkatkan tata kelola perusahaan Anda? Saya berpikir begitu - tetapi mereka
keputusan harus diarahkan oleh manajer bisnis, bukan manajer teknologi. Dewan
dan manajemen eksekutif juga harus terus memantau pengeluaran TI yang
signifikan perusahaan dan berpartisipasi dalam semua keputusan investasi TI yang
besar.
Selama bertahun-tahun bisnis telah mendorong TI untuk fokus pada

memberikan prioritas bisnis. Pada saat yang sama, TI telah berusaha untuk menjadi
bagian integral dari perencanaan bisnis dan menyelaraskan upaya dan investasi
dengan prioritas bisnis IT. Pada akhir hari, investasi TI yang efektif benar-benar
membutuhkan keterlibatan berkelanjutan dan terlibat dari semua peserta kunci.
Keputusan mengenai investasi TI sesuai dan inisiatif pemerintahan lainnya harus
didorong oleh manajemen dan dewan; manajer TI seharusnya hanya memberikan
saran dan nasihat.
Di mana seseorang mulai? upaya perencanaan strategis perusahaan harus

menjadi tempat pertama untuk melihat; yaitu, dewan dan manajemen senior harus
menentukan arah strategis mereka, prioritas utama, tujuan, dan menyusun ''
roadmap '' untuk sampai ke sana. Setelah semua, jika perusahaan belum ditentukan
di mana ia ingin pergi, semua investasi TI di dunia tidak akan membantu sampai di
sana.
Terapkan bahwa disiplin yang sama ketika merenungkan pemerintahan dan

kepatuhan. tujuan apa bisnis ingin mencapai? Bagaimana IT dapat membantu
memenuhi mereka? Menjawab pertanyaan-pertanyaan, dan kemudian mulai
memetakan Anda berbagai upaya kepatuhan dan tata kelola dan inti kebutuhan IT;
yang cetak biru Anda untuk memandu keputusan investasi IT Anda.
Peran IT Departemen
upaya perencanaan TI harus terintegrasi dengan rencana bisnis perusahaan.

Dan karena rencana bisnis berubah dan prioritas berkembang, fungsi IT
membutuhkan proses manajemen investasi sehingga dapat terus memperbaiki
prioritas sendiri sebagai prioritas bisnis secara keseluruhan berkembang. TI juga
perlu untuk memperkenalkan bisnis dengan apa yang saat ini mungkin, dan berapa
harganya. IT perlu menjelaskan konsekuensi dan peluang arah bisnis membebankan
pada teknologi.
Jika tidak secara aktif terlibat dalam proses perencanaan strategis,

manajemen TI minimal perlu memahami arah strategis perusahaan dan rencana
rinci. Hanya membaca makalah strategi tidak akan cukup, karena unsur-unsur
penting dari strategi bisnis sering tidak ditulis. Pikirkan tentang yang benar-benar
mengembangkan strategi di perusahaan, dan menumbuhkan percakapan dengan
orang-orang. Terlibat dengan proses pengembangan dan pengelolaan investasi
strategis perusahaan adalah salah satu peran yang paling penting dari CIO dan
eksekutif TI senior lainnya.Khusus untuk upaya kepatuhan dan tata kelola, IT perlu
menyadari praktek terbaik di industri - topik yang paling manajer TI tidak tahu
semua yang baik, terus terang - andbring solusi ke depan yang inovatif untuk
mengatasi masalah seperti peningkatan persyaratan pelaporan peraturan,
perbaikan tak berujung untuk informasi kepatuhan dan etika program kebutuhan,
dan sebagainya.
Akhirnya, dengan mencocokkan keputusan investasi TI dengan rencana bisnis

jangka panjang perusahaan, TI dapat melampaui masalah kronis memiliki terlalu
sedikit sumber daya untuk siklus anggaran saat ini. Dengan perspektif yang lebih
panjang dalam pikiran, imperatif quickfix taktis tak terelakkan dapat seimbang
terhadap inisiatif strategis TI asli. Memprioritaskan dan mengkoordinasikan investasi
TI perlu pandangan yang lebih luas ini. TI juga perlu menyampaikan penilaian
sendiri peluang dan ancaman dan bekerja dengan perusahaan tentang cara untuk
mengurangi (atau mengambil keuntungan) dari mereka. takeaways kunci:
The CIO dan eksekutif TI senior lainnya harus berpartisipasi secara

aktif dalam perencanaan bisnis organisasi.
Kepemimpinan organisasi harus terlibat dalam strategis kegiatan

perencanaan dan manajemen investasi TI.
Dewan harus meminta manajemen untuk menggambarkan bagaimana
perencanaan bisnis dan perencanaan TI yang terintegrasi dan
mendorong dialog sering dan berkelanjutan antara anggota dewan, tim
manajemen, dan kepemimpinan TI.
Peran Internal Auditor
Meskipun mencapai dan mempertahankan keselarasan IT-bisnis adalah

benar-benar masalah manajemen, departemen audit internal dapat membantu.
evaluasi audit internal dari upaya perencanaan strategis organisasi, termasuk
bagaimana TI mendukung prioritas bisnis, dapat memberikan umpan balik yang
berharga ke papan dan manajemen senior. Audit proses investasi TI harus
menentukan apakah:
prioritas bisnis yang signifikan secara tepat diidentifikasi dan dinilai

secara berkelanjutan;
perubahan yang prioritas dipantau;
kontrol manajemen investasi yang signifikan beroperasi secara efektif

dan konsisten;
teknik manajemen risiko di tempat dan efektif;
manajemen dan staf memiliki proses untuk mengenali dan merespon

peluang bisnis baru yang muncul; dan investasi
IT yang berhubungan secara efektif dan efisien dikelola.
Ada dua elemen yang berbeda untuk sebagian besar audit manajemen
investasi TI. Pertama, auditor mengevaluasi spesifikasi, desain, dan implementasi
proses manajemen investasi TI.Kemudian auditor meneliti bagaimana proses
manajemen investasi TI benar-benar beroperasi, termasuk penilaian terhadap
prioritas bisnis saat ini sedang ditangani. Dan bagaimana hal ini akan meningkatkan
investasi TI di kepatuhan dan tata? Dengan membantu untuk memastikan
organisasi adalah menentukan prioritas bisnis dan memiliki proses investasi yang
sejalan pengeluaran untuk mereka prioritas IT.
Empat Isu Kritis Mengevaluasi
Apakah manajemen memiliki rencana strategis IT di tempat yang diperbarui

secara teratur dan mendukung rencana tahunan, anggaran, dan prioritas dari
berbagai upaya IT? Idealnya, sebuah rencana strategis TI akan dikembangkan dan
disetujui oleh dewan, meskipun dokumen perencanaan TI dapat mengambil banyak
bentuk. Ini bisa menjadi rencana TI yang terpisah, sesuatu yang dikombinasikan
dengan rencana bisnis organisasi secara keseluruhan, atau serangkaian pengajuan
kasus bisnis dari waktu ke waktu. Sebuah proses perencanaan strategis secara
keseluruhan mengenai investasi IT dan IT menghabiskan prioritas harus ada. Selalu
ingat bahwa perencanaan bisnis harus mendorong prioritas IT dan keputusan
investasi TI; itu penting. proyek sukses terjadi ketika manajemen bisnis
mempertahankan kendali inisiatif dan menetapkan kebutuhan bisnis yang jelas dan
seimbang.
Apa tingkat investasi di IT (dan keamanan IT) telah terjadi dalam dua hingga
tiga tahun terakhir? Apa yang direncanakan untuk dua sampai tiga tahun
mendatang? Apakah ada tingkat yang wajar pengeluaran, dibandingkan dengan
operasi dan modal anggaran keseluruhan? Meskipun tidak ada tingkat tertentu
investasi di IT dapat diberi label '' yang tepat, '' manajemen harus dapat
menjelaskan kewajaran IT dan pengeluaran keamanan IT dalam kaitannya dengan
keseluruhan modal dan anggaran operasional. Tren belanja TI harus sejalan dengan
bisnis dan rencana TI.Perhatian papan kunci selalu apakah perusahaan
menghabiskan terlalu banyak atau terlalu sedikit pada TI dan keamanan IT.
Telah peran dan tanggung jawab untuk manajemen TI dan pengawasan dari
investasi TI telah didefinisikan dan ditetapkan dalam perusahaan? Tanggung jawab
untuk berbagai kegiatan TI dalam organisasi yang berkaitan dengan manajemen TI
dan investasi TI harus didefinisikan dan ditugaskan kepada personil tertentu. Harus
ada alokasi logis dari tanggung jawab IT dalam organisasi.
Apakah manajemen memantau TI kinerja, serta TI kemampuan untuk terus

memberikan layanan perusahaan bergantung pada? Apa isu-isu utama yang
dilaporkan kepada manajemen senior mengenai IT dan keamanan IT? Apakah ada
perdebatan yang sehat di tingkat dewan mengenai masalah yang diangkat oleh
manajemen atau dewan? Jika tidak, apa yang bisa dilakukan untuk memperbaiki
situasi? Pertanyaan ini juga mengeksplorasi monitoring operasional yang dilakukan
oleh manajemen mengenai operasi IT - dan apakah IT outsourcing atau dikelola
secara internal, itu harus terjadi.
Praktek yang Mendukung Penyelarasan
praktek manajemen utama yang mendorong keselarasan lebih efektif, dan

akibatnya meningkatkan IT hasil investasi, telah diidentifikasi oleh Institute Proses
IT. Mereka termasuk:
1. Mengidentifikasi peluang untuk menggunakan teknologi baru untuk

memenuhi tujuan bisnis.
2. Memiliki proses yang efektif dan metodologi untuk membenarkan dan

memprioritaskan keputusan investasi TI.
3. Mengembangkan dan menegakkan standar infrastruktur perusahaan.
4. Memiliki proyek fungsi kantor manajemen untuk memberikan pengawasan

bisnis diprioritaskan proyek TI.
5. Memiliki proses periodik formal untuk departemen IT untuk mengidentifikasi

apa yang dibutuhkan oleh bisnis.
Pengawasan dari investasi TI harus diintegrasikan ke dalam sedang
berlangsung upaya perencanaan strategis perusahaan, untuk memastikan upaya
konsisten berkontribusi prioritas organisasi TI.manajemen eksekutif harus meninjau
kembali bagaimana mendefinisikan IT prioritas investasi, dan dewan harus
mendorong review praktek saat ini untuk mengidentifikasi prioritas perbaikan kunci.
Dengan dolar terbatas yang tersedia, investasi di IT untuk kepatuhan dan perbaikan
tata kelola harus seimbang dengan prioritas yang bersaing lainnya; melibatkan
semua pemangku kepentingan kunci dalam rekonsiliasi yang akan membantu
menggerakkan organisasi ke depan. Ada juga harus menjadi budaya organisasi
yang mendorong IT dan bisnis untuk bekerja sama terus menerus.

cipta.
Peran IS Auditor
Peran audit dalam sistem

informasi terkomputerisasi sangat
penting untuk kesejahteraan terus
organisasi. Tingginya biaya investasi di
IT dalam hal biaya set-up dan
dampaknya pada pencapaian hasil
tujuan dalam kelimpahan implikasi
kontrol. Tugas terbesar mungkin untuk
mengontrol aspek organisasi dan jika
audit terus keluar dari masalah ini, peran
mereka akan diturunkan ke hal-hal kecil
saja. IS auditor dapat meninjau sistem
(Gambar 7.21), misalnya, kreditor, dan harus mampu membawa ke dalam bermain
hal-hal operasional penting seperti menetapkan kerangka acuan untuk audit jelas:
Mulailah dengan tujuan bisnis.
Mengakui bahwa banyak kontrol operasional dan antarmuka dengan

kontrol otomatis.
kerja Rencana komputer auditor dengan pikiran ini.
Tampilan baru auditor internal harus mengakui hubungan antara aktivitas

bisnis dan sistem komputerisasi yang digunakan untuk memfasilitasi proses ini
menetapkan dan mencapai tujuan bisnis.IS auditor akan berkonsentrasi pada risiko
ke input, proses dan output aspek dari sistem (yaitu segala sesuatu di bawah
prosedur operasional pada Gambar 7.21), sedangkan auditor operasional akan lebih
memperhatikan kontrol terletak di bagian atas dari model kita. Kedua pendekatan
audit yang harus mengakui satu sama lain dengan cara mendukung dan
komunikatif. kontrol aplikasi harus diuji oleh auditor sesuai dengan persyaratan
bahwa semua temuan audit harus didukung oleh bukti-bukti yang sesuai. Auditing
sekitar komputer berarti bergantung pada manajemen untuk memberikan semua
informasi pengujian yang diperlukan dan jadwal dan ini tidak mempromosikan
kemerdekaan audit atau meningkatkan pengetahuan audit sistem dikaji. auditor
dapat menggabungkan sistem kontrol berkas ulasan dalam perangkat lunak untuk
mengekstrak informasi menarik. Selain itu, simulasi paralel dapat digunakan untuk
mengatur model auditor sendiri dari program yang sedang dijalankan. software
interogasi juga dapat digunakan untuk mendapatkan sampel audit yang cocok
untuk analisis sementara data uji dapat digunakan untuk menguji fungsi yang benar
dari kontrol didokumentasikan. audit internal dapat menggunakan audit aplikasi
untuk membangun tingkat kredibilitas dalam organisasi dan di antara spesialis
komputer.Pelajaran untuk pendekatan audit dapat dipelajari dan ini mungkin
mempengaruhi rencana untuk mengembangkan keahlian audit, paket perangkat
lunak dan review teknik. auditor harus memastikan tujuan audit terpenuhi dan tidak
ada 'tidak-pergi daerah' di mana auditor terkunci keluar dari sistem. keterampilan
komputer akan dibutuhkan sehingga sistem kontrol dapat diidentifikasi dan diuji
tanpa ketergantungan yang tidak semestinya pada departemen komputer. Aplikasi
audit mengikuti prinsip yang sama seperti audit sistem lain dan memiliki tujuan
audit yang sama. Perbedaan utama adalah sifat sistem informasi yang ditinjau dan
jenis kontrol yang manajemen perlu menerapkan. IIA standar 1210.A3 membuat
jelas bahwa tidak semua auditor akan memiliki kemampuan komputasi spesialis:
Auditor internal harus memiliki pengetahuan yang cukup risiko teknologi

informasi kunci dan kontrol dan teknik audit berbasis teknologi yang tersedia untuk
melakukan pekerjaan mereka ditugaskan. Namun, tidak semua auditor internal
diharapkan memiliki keahlian auditor intern yang tanggung jawab utama adalah
teknologi informasi audit.
Ada beberapa pilihan untuk mengamankan diperlukan IS keterampilan / IT

untuk audit internal:
Gunakan konsorsium untuk memberikan keterampilan yang diperlukan.
Gunakan sejumlah kecil IS auditor (mungkin salah satu ahli komputer)

untuk membantu auditor lain karena mereka mengatasi sistem
komputerisasi.
Kereta auditor umum di teknik audit IS.
Putar auditor antara kelompok dengan satu kelompok yang

mengkhususkan diri dalam sistem komputerisasi.
Gunakan konsultan baik untuk melakukan proyek pemeriksaan

komputer tertentu atau untuk membantu auditor umum.
View Audit komputer sebagai audit MIS dan menerapkan basis yang
lebih luas untuk proyek pemeriksaan komputer yang mencakup kontrol
manajerial maupun yang terkomputerisasi.
Memilih opsi yang sesuai dari atas akan memastikan bahwa aspek pekerjaan
audit dengan benar tertutup. Jika masalah ini diabaikan, kesenjangan kredibilitas
yang dihasilkan dapat menyebabkan kelemahan kompetitif. Semua auditor harus
dapat meninjau aplikasi komputerisasi dan sistem informasi dapat menjadi
komponen utama dari sistem operasi untuk kontrol internal. Selain membeli dalam
keterampilan IS audit, perlu untuk melatih dan mengembangkan auditor yang
terlibat dalam aspek pekerjaan audit. Semua auditor harus melalui proses yang
berkesinambungan memperoleh IS keahlian audit yang sehingga mereka menjadi
auditor yang kompeten:
Hindari mengisolasi staf audit IS dari sisa departemen audit. Sebagai

salah satu pedoman untuk sukses, orang bisa mengukur sejauh mana
pemeriksaan komputer berinteraksi dengan auditor lainnya. Sebuah
kompeten IS auditor umumnya orang yang berbicara dalam hal yang
tidak ada auditor lain mengerti dan upaya untuk menciptakan udara
mistik sekitar seluruh fungsi.
Mendorong auditor untuk mengambil ujian audit profesional sejak

auditor komputer yang tidak memahami prinsip-prinsip audit adalah
kewajiban.
Program Programming bisa sangat berguna.
Ada IS pelatihan audit yang tersedia tetapi ini harus berhubungan

dengan hari-hari kerja yang dilakukan atau nilai kecil akan diperoleh.
IS auditor dapat melatih auditor lain di teknik audit komputer.
Satu-off seminar dan kuliah dapat membawa staf up to date dengan

penelitian akademis.
IS kelompok kerja audit, terutama di mana mereka mengkhususkan diri

dalam jenis yang relevan dari sistem operasi dan jaringan, dapat
memberikan pengetahuan di seluruh departemen audit.
Sutradara membaca dapat menjaga auditor up to date dengan

perkembangan saat ini di dunia yang cepat berubah komputasi.
Langganan ke jurnal komputer bulanan dan mingguan harus
ditetapkan.
Program pada lanjutan IS teknik audit dapat membangun keterampilan

yang ada.
Semua pelatihan harus dikaitkan dengan pengembangan karir dan

biaya pelatihan ini harus selalu bernilai manfaat yang dihasilkan pasti
ke layanan audit.
Terencana program pelatihan, bersama pengalaman lapangan pada proyek-

proyek yang relevan, menyebabkan sangat terampil IS auditor, meskipun individu
yang lebih baik mobile dan dapat meninggalkan pada pemberitahuan singkat. Jika
pendekatan MIS diadopsi auditor mungkin ingin melacak sistem informasi melalui
kepada para pembuat keputusan yang mengandalkan informasi. IS auditor yang
terbaik digunakan menasihati auditor lain tentang bagaimana mengembangkan dan
menerapkan tingkat yang sesuai keahlian komputer. Dengan demikian, auditor
kepala dapat memutuskan untuk menyerahkan IS waktu audit untuk audit
operasional utama sehingga input, pengolahan, output, kontrol berkas dan masalah
keamanan dibahas dan dimasukkan ke dalam audit secara keseluruhan. Kesulitan
dalam interfacing kontrol berbasis komputer dengan seluruh sistem kontrol lebih
merupakan masalah konseptual yang akan berdampak pada pendekatan audit.
Salah satu model panggilan untuk pekerjaan IS auditor untuk dihubungkan dengan
pekerjaan auditor umum dan ada dukungan yang berkembang untuk
pengembangan auditor serba dengan keterampilan yang diperlukan yang prihatin
bahwa:
Informasi harus jelas, lengkap, relevan, konsisten, cukup, berguna dan

tepat waktu;
Informasi harus akurat dan berdasarkan pengolahan data yang benar;
Informasi harus diamankan dan didistribusikan sesuai dengan kriteria

yang ditetapkan;
harus diproduksi secara ekonomis;
itu harus efektif dalam memenuhi tujuan yang telah ditetapkan di

tempat pertama;
harus ada proses review terus-menerus dan penyesuaian;
seseorang harus bertanggung jawab untuk informasi dan tujuan di

atas.
Manajemen audit Rekaman
Audit program manajemen catatan dalam banyak cara harus mengikuti

program audit tradisional. Untuk wit, meninjau tujuan dan sasaran program; menilai
apa yang telah dilaksanakan untuk mencapai mereka; mengidentifikasi peluang
untuk perbaikan; mengevaluasi kinerja program; dan melaporkan analisis audit
Anda dan rekomendasi. Secara khusus, bagaimanapun, catatan manajemen
termasuk memelihara catatan kepatuhan Anda. Banyak perusahaan memiliki
kebijakan kepatuhan tetapi tidak mengerti mengapa daerah ini sangat penting;
yaitu, mereka tidak memonitor kepatuhan dan mencatat efektivitas kepatuhan itu.
pencatatan ceroboh seperti dapat meninggalkan perusahaan terbuka. Menunggu
sampai gugatan menyerang bukan waktu yang baik untuk menentukan apakah
kebijakan manajemen catatan Anda sedang diikuti.
Perencanaan keterlibatan
Mendefinisikan tujuan audit adalah yang pertama dan salah satu langkah
yang paling penting dalam menentukan arah audit. Langkah ini harus mencakup
memahami kebijakan perusahaan, tujuan, dan sasaran untuk manajemen catatan
dan pemahaman yang memiliki proses, bagaimana kepatuhan dipantau, dan
bagaimana praktik terbaik ditentukan. Langkah ini juga mendefinisikan tingkat
jaminan dewan dan manajemen akan disediakan. tim audit internal harus
mendiskusikan bahwa dengan manajemen dan dewan, untuk memahami betapa
jaminan yang mereka inginkan. audit juga harus meninjau kedua catatan kertas dan
catatan elektronik, karena setiap memiliki profil risiko yang berbeda, dan Anda
harus mengeksplorasi jaminan ingin untuk setiap. Beberapa tujuan audit mungkin
termasuk:
Menentukan apakah program manajemen catatan didokumentasikan,

di tempat, dan tepat sumber daya untuk memenuhi kebutuhan
organisasi.
Menentukan apakah program ini sesuai dengan praktik yang baik saat
ini berdasarkan ukuran dan kompleksitas organisasi.
Menentukan apakah tujuan audit lainnya yang diperlukan oleh dewan,

komite dewan, atau manajemen, sedang bertemu.
Sifat organisasi mempengaruhi sifat audit. Sebuah organisasi multinasional

besar menyebabkan masalah bisnis yang berbeda dan tantangan dari usaha kecil.
Assuch, prosedur audit generik yang tersedia di bawah ini harus '' disesuaikan ''
agar sesuai dengan lingkungan organisasi dan kebutuhan jaminan dewan,
manajemen, dan pemangku kepentingan lainnya.
Langkah-langkah umum dalam proses audit internal meliputi:
Tentukan ruang lingkup, tujuan, dan sasaran evaluasi.
Tentukan kebutuhan jaminan organisasi.
Identifikasi tim evaluasi dan keterampilan yang dibutuhkan.
Menyusun rencana evaluasi.
Melakukan evaluasi kecukupan desain ini.
Melakukan evaluasi efektivitas operasional.
Berkomunikasi hasil evaluasi dan memastikan tindak lanjut untuk

mengatasi masalah.
Tahap perencanaan mendefinisikan komponen dari rencana proyek

audit dan meliputi pengembangan:
Tujuan dari audit
Deskripsi program (yaitu, entitas yang diaudit)
lingkup Audit dan lingkup pengecualian
tujuan Audit dan pendekatan
jadwal pemeriksaan tingkat tinggi dan waktu pemeriksaan rinci
keterampilan yang diperlukan dan tim audit internal
sumber lain yang diperlukan.
Pengujian keterlibatan
Audit itu sendiri dapat melibatkan berbagai tes. Misalnya, melihat konsistensi
dan integrasi manajemen catatan antara unit-unit bisnis dalam perusahaan. Apakah
mereka semua mengikuti kebijakan yang sama? Apakah mereka semua petugas
kepatuhan kereta api di unit bisnis dengan tujuan yang sama dan kebijakan dalam
pikiran? Apakah mereka semua menghasilkan jenis yang sama dari hasil yang
terukur?
jalan lain pengujian mungkin untuk mengeksplorasi:
Koordinasi antara kantor pusat dan unit bisnis individu pada

manajemen catatan.
Kerahasiaan informasi ditangani oleh staf manajemen catatan.
Penggunaan teknologi yang muncul dan praktik terbaik lainnya dalam

memenuhi hari ini (atau lebih baik lagi, besok) kebutuhan manajemen
catatan. Misalnya, aturan baru untuk e-discovery dalam proses
pengadilan sipil memaksakan harapan baru yang keras bahwa
perusahaan-perusahaan akan dapat mengidentifikasi dan
mendapatkan catatan yang relevan dalam waktu singkat.Bisakah Anda
melakukan itu?
Koordinasi antara pengawas catatan manajemen dan departemen lain

yang mungkin perlu akses ke seluruh kerajaan perusahaan data,
seperti departemen hukum menempatkan '' hold '' permintaan pada
pesan e-mail tertentu yang relevan dengan gugatan.
Tim audit harus mengevaluasi upaya manajemen catatan mengenai

pengaruhnya terhadap kinerja organisasi, ruang lingkup dan strategi, struktur dan
sumber daya, manajemen kebijakan dan pelatihan, dan upaya perbaikan yang
sedang berlangsung.
auditor harus memastikan adanya pemahaman up-to-date dari persyaratan
catatan retensi semua lokasi di mana auditor beroperasi. Sebagai contoh, dapat
dokumen dipertahankan dalam bentuk elektronik? Perhatian khusus harus diberikan
kepada persetujuan untuk penghancuran dokumen. Perhatian khusus (mungkin
perhatian yang sangat khusus, tergantung pada industri atau sejarah perusahaan)
juga harus diberikan untuk retensi dokumen yang sedang atau mungkin terlibat
dalam litigasi.
Pelaporan keterlibatan
Di antara tujuan utama dari audit internal adalah untuk memberikan papan
dan manajemen dengan penilaian obyektif tentang desain dan operasi dari praktek
manajemen, sistem kontrol, dan informasi. Untuk mencapai tujuan ini, audit internal
harus berkomunikasi secara efektif kesimpulan audit dan rekomendasi. Sepanjang
audit, auditor internal harus mendiskusikan temuan dan rekomendasi potensial
dengan manajemen. Hal ini membantu untuk memastikan bahwa auditor telah
mempertimbangkan informasi terkait ketika membentuk kesimpulan dan
memberikan kesempatan bagi auditor internal dan manajemen untuk
mengembangkan solusi yang efektif untuk kekurangan diidentifikasi.
Pada akhir audit, proses komunikasi informal ini diformalkan melalui

pertemuan penutupan / keluar dan laporan tertulis. Tahap pelaporan proyek audit
meliputi manajemen pembekalan, penyusunan laporan audit, mengeluarkan draft
awal dan selanjutnya, meninjau rencana aksi manajemen, menyiapkan laporan
ringkasan untuk komite audit, dan mendistribusikan laporan audit akhir. Dengan
kata lain, memberitahu mereka apa yang Anda lakukan, apa yang Anda temukan,
dan apa yang manajemen bermaksud untuk melakukan maju. Sebuah program
manajemen catatan harus memenuhi kebutuhan organisasi dan persyaratan
peraturan yang berkembang. persyaratan kepatuhan menjadi sopir yang lebih besar
dan orang-orang tidak berinvestasi untuk bersaing dengan risiko. Audit program ini
memberikan kesempatan untuk menyelesaikan review komprehensif program saat
ini dan menyediakan manajemen dengan analisis peluang kunci untuk perbaikan.
Manajemen dan auditor harus survei praktek yang muncul terus-menerus, untuk
memastikan organisasi mereka beradaptasi praktek-praktek baru dan lebih baik
secara teratur.Bagi banyak industri secara keseluruhan, dan untuk potongan hampir
semua industri (seperti departemen pajak), mencatat retensi dan pengambilan
merupakan persyaratan hukum; Anda ingin memastikan organisasi tersebut
memenuhi persyaratan ini. Akhirnya, bagi kebanyakan organisasi, bagaimana dan
kapan Anda menghancurkan catatan penting. Pikirkan Arthur Andersen, dan ingat:
penghancuran Rekam harus menjadi bagian dari setiap pemeriksaan catatan
manajemen.

cipta.
IS auditor idealnya akan memiliki beberapa keahlian dalam bidang-bidang

seperti:
pengembangan sistem dan proyek;
terkomputerisasi aplikasi seperti penggajian, pembayaran,

pendapatan, pelaporan kinerja dan sebagainya;
standar keamanan sistem informasi;
teknik audit dibantu komputer (CAATs);
pengembangan sistem dan manajemen proyek;
pemulihan bencana dan perencanaan kontingensi;
e-bisnis dan desain Internet dan keamanan;
strategi sistem informasi keseluruhan;
perlindungan data dan persyaratan hukum;
bidang teknis spesialis manajemen jaringan tersebut dan manajemen

database sistem.
Beberapa daerah ini

secara singkat dibahas di
bawah. Salah satu cara
untuk membedakan peran
umum dan IS auditor adalah
dengan mogok semesta
audit seperti pada Gambar
7.22.
sistem komputerisasi
mempengaruhi pendekatan
audit yang diterapkan dan
ada banyak fitur kontrol.
sistem umum audit dapat
digunakan untuk aktivitas
apapun dan tergantung pada
pemahaman tentang sistem
yang ditinjau. Seperti telah
disebutkan, peran IS audit
telah bergerak menuju
format IS audit dan di satu
sisi telah bergerak lebih dekat ke peran auditor umum sebagai dua dimensi menjadi
semakin kabur.
Audit Strategi IT suatu Perusahaan
solusi TI saat ini sangat kompleks, dan mereka mendapatkan lebih

menantang untuk menerapkan sepanjang waktu. Salah satu pertanyaan besar bagi
manajemen di setiap perusahaan hari ini hanyalah apakah semua investasi dalam
sistem-sistem yang layak. audit internal dapat memainkan peran penting di sana,
mengukur dan memeriksa bagaimana proses investasi TI - khususnya, bagaimana
investasi TI dikelola - karya.
Ada dua elemen yang berbeda dengan kebanyakan audit investasi TI. Mereka
adalah evaluasi:
a. Bagaimana proses manajemen '' scoped keluar, '' dirancang, dan

dilaksanakan; dan
b. Bagaimana proses manajemen kemudian beroperasi, termasuk

penilaian terhadap prioritas bisnis saat ini sedang ditangani.
Audit manajemen investasi TI harus mengidentifikasi apakah berbagai proses

manajemen terlibat beroperasi dengan baik dan apa peluang kunci untuk perbaikan
akan. audit harus mengevaluasi apakah manajemen memiliki proses prioritas
investasi yang efektif di tempat, termasuk identifikasi berkelanjutan perubahan
prioritas bisnis dan peluang bisnis baru. manajemen investasi TI juga melibatkan
evaluasi kinerja inisiatif TI, dan audit harus menilai pemantauan kinerja diselesaikan
oleh manajemen.
Secara umum, audit manajemen investasi harus membiarkan auditor internal

memberikan opini atas efektivitas proses, penilaian upaya organisasi untuk
menyelaraskan TI dengan prioritas bisnis, dan jaminan kepada dewan dan
manajemen bahwa organisasi bekerja pada proyek-proyek yang tepat.
Sepuluh Pertanyaan untuk Jawaban
Audit sistem IT, dan terutama audit dari bagaimana investasi TI bekerja, akan
memiliki banyak pertanyaan. Tepat mana yang Anda akan perlu untuk menjawab
dan termasuk dalam perencanaan audit Anda akan tergantung pada keadaan
khusus perusahaan Anda, tapi aku sudah terdaftar 10 dari yang paling penting di
bawah ini.
1. Apakah perencanaan kegiatan organisasi yang sesuai dengan kebutuhannya?

Proses perencanaan harus mendukung kesadaran manajemen dari, dan
respon terhadap, peluang bisnis baru dan muncul. Ruang lingkup dan
formalitas perencanaan perlu sejalan dengan kebutuhan organisasi dan
kompleksitas.
2. Apakah proses manajemen investasi TI yang efektif dikembangkan dan

diimplementasikan? Setiap perusahaan membutuhkan proses untuk
menentukan inisiatif mendapat pendanaan. Setiap perusahaan juga harus
mempertimbangkan investasi yang seimbang dalam operasional, taktis, dan
strategis bidang TI. Tentu saja, tingkat pendanaan di masing-masing kategori
akan bervariasi tergantung pada lingkungan bisnis yang dihadapi perusahaan
dan arah strategis itu adalah mengambil. Tapi semua daerah setidaknya
harus dipertimbangkan, bahkan jika dolar yang ditujukan untuk salah satu
tertentu adalah nol.
3. Apakah akuntabilitas mapan, dan diakui oleh orang-orang yang harus

bertanggung jawab? Manajemen dan staf perlu tahu apa yang mereka
bertanggung jawab atas. Ketika datang ke manajemen pengelolaan investasi
TI, kami ingin memastikan bahwa investasi TI mendukung bisnis dan bisnis
usaha perusahaan. Ini membutuhkan investasi proses pengambilan
keputusan yang jelas dan relatif transparan. Mengidentifikasi orang-orang di
perusahaan yang berpartisipasi dalam proses tersebut, dan pastikan mereka
memahami konsekuensi ketika keputusan yang mereka buat menghasilkan
hasil yang buruk.
4. Apakah ada yang sesuai sistem, kebijakan, prosedur, dan pedoman yang
berkaitan dengan IT manajemen investasi? Menggambarkan bagaimana hal-
hal yang bisa dilakukan adalah selalu bermanfaat. kebijakan dan prosedur
yang berharga.
5. Bagaimana sukses adalah IT dalam memenuhi kebutuhan bisnis? Menilai

apakah perusahaan Anda adalah efektif secara keseluruhan selalu
menantang. Mungkin yang terbaik yang kita dapat mencapai adalah
menentukan apa peluang kunci untuk perbaikan adalah.
6. Apakah kita perlu meningkatkan penyelarasan usaha IT dan upaya bisnis?

Jika demikian, apa lagi yang perlu dilakukan? Pada akhir hari, sebuah
perusahaan dan departemen TI harus melakukan segala sesuatu yang
diperlukan untuk mendapatkan pegangan pada prioritas investasi TI
organisasi untuk memastikan perusahaan fokus pada prioritas bisnis - bukan
pada sistem IT.
7. Apakah manajemen memiliki rencana strategis TI yang diperbarui secara

teratur dan mendukung tahunan rencana, anggaran, dan prioritas dari
berbagai proyek TI? Perusahaan harus menentukan arah jangka panjang
kebutuhan IT mereka, dan auditor harus dapat melihat rasionalisasi apa
prioritas pengeluaran TI perusahaan adalah, dan mengapa. Idealnya, sebuah
rencana strategis TI akan dikembangkan dan disetujui oleh dewan, meskipun
dokumentasi dapat mengambil banyak bentuk seperti rencana IT terpisah
dikombinasikan dengan rencana bisnis organisasi secara keseluruhan, atau
serangkaian pengajuan kasus bisnis dari waktu ke waktu. auditor harus
mencari demonstrasi dari proses perencanaan strategis secara keseluruhan
mengenai investasi IT dan belanja TI prioritas. Juga ingat bahwa perencanaan
bisnis harus mendorong prioritas IT dan keputusan investasi IT, yang berarti
baik manajemen perusahaan dan manajemen TI perlu untuk diwawancarai.
8. Bagaimana tingkat investasi di IT dan keamanan TI telah terjadi selama dua
sampai tiga tahun, dan apa yang direncanakan untuk dua sampai tiga tahun?
Dengan kata lain, adalah pengeluaran IT wajar dibandingkan dengan operasi
dan modal anggaran keseluruhan? Meskipun tidak ada tingkat tertentu
investasi di IT dianggap tepat, auditor harus menilai kewajaran IT dan
pengeluaran keamanan dalam kaitannya dengan keseluruhan modal dan
anggaran operasional. Mereka juga harus meninjau apakah garis tren belanja
dapat dijelaskan oleh bisnis dan rencana TI. Apakah ada proses di tempat
untuk mengelola pengeluaran terlibat dengan IT dan keamanan IT?
9. Memiliki indikator kinerja untuk fungsi TI dan keamanan IT dikembangkan?

Adalah mereka indikator berkala dilaporkan ke dewan? Auditor harus tahu
apa masalah utama telah dilaporkan mengenai IT dan IT security. Sebuah
perdebatan yang sehat harus ada di tingkat papan ketika masalah ini
disajikan oleh manajemen (dan, ya, manajemen harus menyajikan isu-isu ini
ke dewan).
10.Apakah manajemen memantau TI kinerja, serta kemampuan untuk terus

memberikan layanan yang di atasnya organisasi bergantung? Pertanyaan ini
mengeksplorasi pemantauan operasi TI bahwa manajemen melakukan - dan
apakah itu outsourcing atau dikelola secara internal, monitoring harus
dilakukan. Formalitas monitoring dapat sangat bervariasi, meskipun
pengaturan outsourcing mungkin perlu pemantauan lebih, dan itu harus
terjadi lebih sering.
Intinya adalah bahwa manajemen investasi TI harus diintegrasikan ke dalam

sedang berlangsung upaya perencanaan strategis organisasi dan memastikan
bahwa upaya IT secara konsisten berkontribusi prioritas organisasi. Mungkin sudah
waktunya manajemen eksekutif revisited bagaimana mendefinisikan IT prioritas
investasi. Audit adalah tempat yang baik untuk memulai.

cipta.
IS Perencanaan Audit
Mengambil pandangan bahwa IS audit adalah fungsi terpisah yang melekat

audit internal, ada kebutuhan untuk merencanakan cakupan audit dalam cara yang
efisien. Sebuah IS Pedoman Audit menunjukkan bahwa penilaian risiko digunakan
untuk merencanakan penggunaan sumber daya IS Audit dengan
mempertimbangkan berikut:
Integritas manajemen IS dan IS pengalaman manajemen dan

pengetahuan;
Perubahan IS manajemen.
Tekanan pada IS manajemen yang mungkin mempengaruhi mereka
untuk menyembunyikan atau salah mengutarakan informasi (misalnya
proyek bisnis penting besar over-run, dan kegiatan hacker).
Sifat bisnis organisasi dan sistem (rencana misalnya untuk e-

commerce, kompleksitas sistem dan kurangnya sistem terpadu).
Faktor yang mempengaruhi industri organisasi secara keseluruhan

(misalnya perubahan teknologi, dan IS ketersediaan staf).
Tingkat pengaruh pihak ketiga atas kontrol dari sistem yang diaudit.
Temuan dari dan tanggal audit sebelumnya.
Pada rinci IS tingkat kontrol (kontrol atas akuisisi, implementasi,

pengiriman dan dukungan dari sistem IS dan jasa), auditor harus
mempertimbangkan, ke tingkat yang sesuai untuk daerah audit
pertanyaan:
Temuan dari dan tanggal audit sebelumnya di daerah ini.
Kompleksitas dari sistem yang terlibat.
Tingkat intervensi manual diperlukan.
The kerentanan terhadap kerugian atau penyalahgunaan aset yang

dikendalikan oleh sistem.
Kemungkinan puncak kegiatan pada waktu tertentu dalam periode

audit.
Aktivitas luar rutinitas sehari-hari pengolahan IS.
Integritas, pengalaman dan keterampilan manajemen dan staf yang

terlibat dalam menerapkan kontrol IS.
Pekerjaan audit IS harus benar direncanakan dan dikelola. pekerjaan yang

tidak direncanakan sulit untuk mengontrol. Setelah peran telah ditetapkan dan
kebijakan pada interaksi dengan auditor umum di tempat, rencana formal dapat
dipublikasikan. Beberapa pekerjaan akan internal dan memberikan dukungan untuk
fungsi audit pada proyek-proyek individu, otomatisasi dan CAATs.Cara peralatan
komputer diperoleh, digunakan dan dipelihara adalah masalah lain pada arah mana
harus disediakan dan standar audit memainkan peran penting. Hal ini diperlukan
untuk menetapkan bidang pemeriksaan sebelum menilai setiap komponen individu.
Sebuah cara yang berguna untuk menganalisis bidang audit ditunjukkan pada
Gambar 7.23.
Isu utama dalam
rentang lingkungan otomatis
dari tiga komponen utama
komputerisasi: aplikasi,
dukungan IT dan IT / IS
standar. analisis risiko dapat
diterapkan sehingga daerah
sensitif profil tinggi dapat
ditargetkan. IS audit harus
direncanakan dan audit
manajemen perlu untuk
menentukan pendekatan
audit, jenis pekerjaan yang
dilakukan dan area yang
akan diaudit. Metodologi
yang tepat akan mengalir
dari prinsip-prinsip
profesional audit dan
bimbingan yang diberikan
kepada fungsi audit harus didokumentasikan dalam manual audit. Cara IS audit
diatur dan dikelola harus hati-hati direncanakan sejak departemen komputer dapat
mengatur hambatan buatan. Jika pemeriksaan cermin ini dengan mendirikan
kelompok mengambang bebas misterius auditor teknis dengan status yang lebih
tinggi dari sisa audit, faktor disfungsional yang sama timbul, yang mungkin
membuat mereka fungsi tak terkendali yang terpisah. Tren saat ini adalah sistem
informasi eksekutif dan keahlian lokal di tingkat operasional, yang juga berlaku
untuk audit internal sebagai pengguna sistem informasi perusahaan. Jika auditor IS
tidak menghabiskan sebagian besar waktu mereka mengembangkan sumber daya
internal untuk mendapatkan auditor dalam sistem rumit maka mungkin ada sedikit
ruang untuk memberikan jasa audit komprehensif dan profesional. Dalam hal
pengelolaan IS sumber daya audit, diketahui bahwa
siklus audit dapat direncanakan untuk menutup semua aplikasi

komputerisasi utama;
akan diperlukan untuk membuat sebuah penghubung yang konstruktif

dengan perusahaan IS manajer;
kesulitan-fi dif dalam merekrut berkualitas baik IS auditor telah

disebutkan;
kedalaman keahlian teknis harus didefinisikan dalam pekerjaan tepat

bernada spesifik kation;
waktu kerja audit IS harus direncanakan sebagai sistem cenderung

bergiliran mengamankan pro fi le sebagai alter strategi organisasi yang
tinggi;
anggaran untuk IS audit harus mencakup fasilitas high-spesifik fi kasi
komputer bersama dengan notebook, scanner, printer kualitas dan
sebagainya, untuk digunakan oleh auditor;
manajer audit yang harus melaksanakan atau mengatur review teknis

pekerjaan IS auditor. Pekerjaan harus benar diawasi;
pekerjaan yang IS audit melakukan pengembangan sistem dapat

menjadi bagian dari sistem pengendalian internal; dengan demikian,
peran tersebut harus jelas didefinisikan di awal;
IS auditor dapat menghabiskan waktu mendukung fungsi audit dengan

mengembangkan CAATs dan cara ini sumber daya harus disepakati
melalui rencana audit;
mengembangkan berbagai matriks kontrol meliputi sistem otomatis

dapat membantu evaluasi kontrol dan ini mungkin menjadi tugas audit
yang IS. IS auditor harus didorong untuk menjadi auditor operasional
dan memperoleh pemahaman yang baik tentang sistem manajerial
pengendalian internal serta kontrol berbasis komputer.
Peran Audit dalam Pembangunan Sistem
Peran Audit dalam organisasi adalah untuk:
Yakinkan: Yakinkan manajemen yang bekerja pengembangan sistem

(SD) mekanisme.
Alert: manajemen Notifikasi mana ada signi risiko fi kan.
Advise: Advise manajemen tentang bagaimana risiko tersebut mungkin

dikelola.
Act: Bertindak segera untuk mengamankan manajemen yang lebih

baik dari risiko.
Ini adalah kasus bahkan di mana kami terlibat dalam sistem audit dalam
pengembangan. Kami telah pergi lingkaran penuh di bahwa tanggung jawab untuk
membangun sistem yang sesuai pengendalian internal pindah dari audit kepada
staf komputer, dan sekarang terlihat milik sepenuhnya kepada pengguna
sistem. Pengguna ingin sistem yang baik dan akan beralih ke semua bantuan
profesional yang tersedia dalam perjuangan ini. Ini harus mencakup audit internal
dan kita harus memenuhi harapan tersebut dalam memberikan dukungan
profesional. Perhatian diarahkan pengaturan jaminan kualitas atas metodologi SD
yang dianut mungkin cara terbaik untuk menggunakan sumber daya audit. Bekerja
pada sistem individu menjadi bagian dari audit cara menguji kecukupan dan
efektivitas metodologi proyek perusahaan yang dianut. Keterlibatan Audit dalam
mengembangkan sistem yang disebut pre-event audit oleh beberapa, bahwa:
1. Auditor harus memastikan bahwa proses pembangunan itu sendiri adalah
suara.
2. fi proses pembangunan didefinisikan de juga harus dilihat untuk diterapkan

dalam praktek.
3. kontrol yang memadai harus dibangun ke dalam sistem baru pada tahap
pengembangan.
4. Auditor harus siap untuk memberikan nasihat profesional meskipun jika ini
tidak didasarkan pada bukti fi rm, maka pendapat harus menyebutkan
statusnya sesuai.
5. Pengembangan sistem harus konsisten dengan kebijakan perusahaan

organisasi.
6. Evaluasi kontrol yang diperlukan harus dilakukan sebelum kontrak

ditandatangani.
7. Auditor harus terlibat dalam mengembangkan sistem sejak kemerdekaan

tidak dapat dijaga di semua biaya.
Ide di balik pre-event audit adalah untuk meminimalkan kebutuhan untuk

perubahan berikutnya dan auditor harus siap untuk memberikan saran
praktis. Baru-baru ini, keterlibatan mungkin jatuh di bawah lengan konsultasi
layanan audit internal untuk menambah nilai dengan cara sistem baru dibangun
dan dibawa secara online. Miskin IS pembangunan dapat menyebabkan banyak
risiko untuk sebuah organisasi, termasuk:
sistem standar datang online;
perubahan tidak sah terhadap sistem;
sistem yang tidak fleksibel dan sulit untuk mengubah sebagai keadaan
berubah;
gangguan bisnis dan hilangnya umum klien kepercayaan diri yang

dihasilkan dari kegagalan sistem;
kerugian umum kepercayaan diri antara manajemen dan staf;
penipuan, lain bahaya terkenal;
biaya yang berlebihan menunjukkan bahwa investasi di fasilitas

komputer telah melampaui anggaran dan mungkin program
komputerisasi keseluruhan;
pelanggaran hukum karena sistem yang buruk terutama yang
berkaitan dengan undang-undang perlindungan data.
Sistem dapat dengan mudah gagal di mana spesi fi kasi tidak memadai dan
seperti berjalan atas anggaran, manajer senior mulai menjauhkan diri dari potensi
kejatuhan. Biasanya, sebuah organisasi mencoba untuk melakukan terlalu banyak
terlalu cepat dan ini dapat berarti bahwa banyak sistem baru datang online yang
rusak. Dua teknik utama untuk memastikan sistem yang baik datang online
manajemen dan SD proyek standar. Salah satu cara untuk melihat nilai dari suatu
sistem informasi adalah untuk mengukur sejauh mana itu memenuhi empat kriteria
utama yang ditetapkan dalam Gambar 7.24.
Keempat kriteria harus berarti bahwa sistem informasi:
berasal dari manajemen proyek suara;
didasarkan pada cara orang berkomunikasi dalam organisasi;
sesuai dengan IS kebijakan dan prosedur keamanan;
mengarah ke pengambilan keputusan yang efektif.
pengembangan
sistem 'mungkin adalah
aspek yang paling penting
dari setiap program
komputerisasi memastikan
berbagai kriteria
diakui. Keberhasilan
dengan yang organisasi
mengontrol sistem baru
dan ditingkatkan secara
langsung mempengaruhi
keberhasilan dihasilkan
sistem. diterima definisi
yang kontrol mencakup
semua pengaturan
manajemen menetapkan
untuk memastikan tujuan tercapai secara efisien. sumber Audit diarahkan pada
proses SD baik digunakan. Sistem baru harus memenuhi kebutuhan bersaing
seperti halnya proses SD. Kebutuhan ini berbeda harus diambil di papan karena
semua pihak ini pengguna dan berbagai harapan mereka harus dipahami
sepenuhnya. Kebanyakan sistem baru perangkat tambahan atau pengganti di mana
rilis software baru memperpanjang sistem yang ada. Lebih kecil solusi yang lebih
kompak cenderung didasarkan sekitar sistem berbasis PC. IS auditor akan mencari
siklus hidup SD yang merupakan prosedur yang ditetapkan untuk mengelola sistem
baru (Gambar 7.25).
Ketika pembangunan mendorong keterlibatan awal pengguna akan memiliki
lebih banyak kesempatan untuk sukses, sedangkan penggunaan aplikasi yang cepat
teknik desain (dan paket perangkat lunak yang dibeli) akan memastikan bahwa
sistem yang lebih kecil membuat mereka dengan cepat. Sementara itu, manajemen
proyek yang baik membawa seluruh inisiatif membuahkan hasil dengan berusaha
mendamaikan waktu, kualitas, biaya dan kekuatan, dan metode seperti PRINCE 2
menggabungkan faktor-faktor seperti:
papan proyek;
manajer proyek (PM);
orang terkemuka pada setiap tahap dari proyek pelaporan kepada

keseluruhan PM;
Tim jaminan proyek;
inisiasi proyek dan rencana (rencana teknis dan sumber daya);
end-of-tahap penilaian;
ulasan kualitas;
log risiko - risiko dan mitigasi;
kontrol - inisiasi proyek, penilaian stadium akhir, penilaian tahap

pertengahan, pos-pos pemeriksaan, penutupan proyek;
pemeriksaan - reguler titik kontrol teknis dan manajemen; pertemuan

pos pemeriksaan con- menyalurkan oleh manajer panggung untuk
mengukur prestasi terhadap rencana untuk tanggal;
tahap proyek - usulan 1. proyek,

inisiasi 2. proyek, pertemuan
inisiasi 3. proyek, perencanaan 4.
Proyek, 5. mengelola dan
melaporkan kemajuan (ulasan
kualitas), 6. Proses stadium akhir,
7. penutupan Project.
Masalah yang paling merusak adalah

kegagalan untuk antarmuka informasi,
teknologi dan implikasi operasional
pengembangan baru. Sebuah pandangan satu
dimensi dari sistem hanya sebagai informasi
dan teknologi yang mendukung akan
memberikan pandangan yang tidak memadai
pembangunan. Baru atau enhancedsystems terdiri dari tiga komponen bisnis utama
seperti digambarkan pada Gambar 7.26.
Kami berharap proyek SD untuk mempertimbangkan jangka proyek referensi:
Staffing
1. Staf cara dikerahkan.
2. keterampilan dan bakat dari staf.
3. Cara sistem baru dijual kepada mereka.
4. Cara pengaturan kerja baru ditentukan.
5. Kebutuhan untuk merasionalisasi proses operasional, khususnya mengenai aliran

informasi fi les melalui prosedur pengolahan; juga informasi cara diekstrak dan
dikirim ke enquirers baik di dalam maupun di luar organisasi.
Informasi
1. Jenis laporan standar yang dibutuhkan - model sistem pendukung keputusan

membutuhkan fitur ini menjadi fleksibel dan dikendalikan oleh pengguna.
2. Jenis data yang sudah tersedia dan keadaan umum mereka.
3. Data baru yang diperlukan dan bagaimana mereka mungkin akan ditangkap.
4. Sejauh mana informasi akan baik otomatis atau diadakan pada pengguna fi les.
Teknologi
1. strain dan tekanan pada sistem dan kapasitas yang diperlukan untuk menangani
hal ini.
2. jenis sistem operasi dan aktual mesin con fi gurasi yang diperlukan.
3. Jumlah terminal jaringan.
4. pengaturan Benchmarking untuk mesin baru.
5. Antarmuka antara arsitektur TI yang ada, termasuk jaringan dan komunikasi.
6. Keterampilan staf di-rumah IT dan tingkat ketergantungan pada pemasok.
Ketiga komponen yang saling terkait. The staf fi ng / masalah operasional

menentukan solusi informasi, yang, pada gilirannya, menentukan persyaratan
teknologi. Banyak proyek sistem memiliki fokus utama pada bagian IT dan
membuat lewat referensi saja dengan dua lainnya pada tahap kelayakan. Tahap
implementasi utama kemudian didorong oleh kebutuhan untuk mendapatkan
perangkat keras di tempat, data dikonversi dan komputer berjalan dengan lancar,
yang merupakan komponen 3. pertama dua hanya Fi tted ke dalam proyek jika ada
waktu. Lebih penting lagi, tim proyek mungkin tidak memiliki keterampilan yang
diperlukan untuk menangani tingkat tinggi manajemen sumber daya manusia dan
proses bisnis re-engineering masalah. auditor harus mempertimbangkan masalah
ini karena mereka berdampak pada kemungkinan keberhasilan sistem. Pandangan
kami kontrol mungkin harus diperluas untuk mengambil papan konsep-konsep yang
lebih luas dalam melihat siklus hidup SD. Sebagian besar kontrol terletak di
pengaturan manajerial keseluruhan untuk bisnis. Hal ini juga berlaku untuk proyek-
proyek IT dan, dengan demikian, pertimbangan kontrol harus diterapkan oleh
auditor dalam konteks ini. IS auditor akan mempromosikan penggunaan prinsip-
prinsip manajemen proyek yang baik. Untuk peran audit dalam pengembangan
sistem ada dua pendekatan utama:
1. Untuk meninjau jalan bahwa organisasi mengontrol perkembangan

secara umum
teknik manajemen proyek harus diterapkan bersama dengan metodologi

didefinisikan de fi yang sesuai organisasi. Kami prihatin sini dengan proses itu
sendiri dan cara yang digunakan. Untuk menguji kepatuhan, sejumlah masa lalu
yang sebenarnya atau perkembangan yang sedang berlangsung akan dipilih dan
diperiksa untuk menguji sejauh mana proses ned SD de fi telah diterapkan dalam
praktek. Ini mungkin cara yang efektif untuk menggunakan sumber daya yang
langka audit.
2. Untuk memastikan audit yang hadir pada semua proyek pembangunan

besar
Kami akan menyarankan pada setiap implikasi kontrol relevan dengan sistem
yang sedang dikembangkan. Peran Audit akan sebagai pengawas mengambil pada
setiap celah kontrol. Ini bisa sangat berguna untuk, sistem yang sensitif utama yang
bekerja untuk jadwal yang ketat. masalah kontrol potensial bisa recti fi ed sebelum
terlambat dan mungkin bencana demikian dihindari. Ada titik prinsip yang timbul di
sini dalam hal itu menempatkan tanggung jawab untuk memastikan sistem memiliki
kontrol suara di tangan audit. Manajemen bertanggung jawab atas kontrol dan
peran audit adalah untuk meninjau dan memberi nasihat tentang kemungkinan
kelemahan pengendalian. Mengambil tugas ini jauh dari manajemen,
menghilangkan itu dari kesempatan untuk memperoleh orientasi kontrol. Dalam
prakteknya, masalah jangka pendek yang mendesak panggilan untuk semua pihak
untuk terlibat dalam mencari solusi dan titik prinsip cenderung ditempatkan ke satu
sisi. Namun, hanya dengan mengambil pandangan strategis jangka panjang bahwa
peran audit dapat diarahkan untuk kesejahteraan nyata organisasi. Saat meninjau
baik proses SD atau perkembangan individu, diketahui bahwa:
auditor adalah salah satu pengguna sistem dan dapat meminta
persyaratan tertentu seperti link berdasarkan audit ke dalam sistem
atau fasilitas pengujian terpencil.
auditor harus menghapus mistik belakang komputasi: teknik

manajemen proyek dasar berlaku untuk semua jenis pengembangan
terlepas dari tingkat kerumitan teknis.
audit dapat dilihat sebagai 'selimut basah' yang mencari masalah

daripada menjadi terjebak dalam kegembiraan 'membuat sistem kerja'.
modul audit yang tertanam dapat dibangun ke dalam sistem baru dan
memungkinkan akses tidak terbatas ke fi les untuk pengujian audit
(dicatat bahwa ini tidak biaya uang).
independensi audit harus diawasi dan harus dibuat jelas bahwa

keterlibatan dalam pekerjaan pembangunan sistem tidak berarti
bahwa sistem sekarang menjadi milik audit internal.
jumlah pengujian audit yang akan melakukan harus muat ke dalam

rencana pembangunan sistem dan audit harus berhati-hati untuk tidak
masuk akal menahan kemajuan.
ada beberapa perdebatan mengenai apakah auditor harus

'menandatangani' sistem sebelum ditayangkan: tidak sistem auditor
tetapi pada saat yang sama auditor memang memiliki kewajiban
profesional untuk memberikan pendapat ketika ditanya, tanpa asumsi
operasional tanggung jawab.
jika auditor bertindak untuk memeriksa pekerjaan tim proyek ini dapat
mengakibatkan auditor yang dianggap sebagai kekuatan negatif,
mungkin karena beberapa jenis mata-mata manajemen.
auditor harus memiliki suf pelatihan fi sien sebelum menangani

pembangunan yang rumit; auditor baru dapat mengandalkan niat baik
dari staf IS, yang tergantung pada hubungan dengan manajer IS.
ada hubungan antara audit dan jaminan kualitas dan jika ada program
berkualitas cocok untuk pengembangan sistem yang diatur oleh
departemen IS, ini harus mendapat perhatian audit; jika jaminan
kualitas bekerja, ini bertindak sebagai kontrol besar atas proses
pembangunan.
kontrol biaya uang dan waktu dan auditor harus menghargai bahwa
semua sistem memiliki opsi kontrol 'Rolls-Royce' dan lebih realistis
satu; organisasi tidak dapat beroperasi kebijakan nol-risiko untuk
semua operasi dan pendekatan bisnis seperti harus selalu memerintah
- kriteria harus bahwa kontrol harus memadai dan efektif.
auditor perlu melalui sosialisasi sebelum pengembangan sistem
ditinjau dan dokumentasi sistem harus diperoleh dan ditinjau terlebih
dahulu.
peran penting auditor dapat mengadopsi adalah untuk menyajikan

serangkaian mencari pertanyaan untuk konsultan eksternal yang
mungkin mengelola proyek - konsultan bekerja pada proyek-proyek
individu dalam anggaran biaya yang telah disepakati dan belum tentu
untuk kesejahteraan organisasi.
Audit masukan ke proyek-proyek individu dapat mengungkap

kelemahan dalam proses SD.
Audit harus terlibat dalam proses pembangunan, meskipun sifat keterlibatan

ini akan tergantung pada audit dan kebijakan organisasi. Apapun peran, itu harus
baik didefinisikan dan dipublikasikan. IS auditor tidak kehilangan kemerdekaan
dengan melakukan tugas-tugas seperti:
meninjau kontrol;
pengujian sesuai dengan standar;
memberikan saran tentang teknik kontrol;
mempromosikan penggunaan manajemen proyek;
menentukan apakah standar keamanan yang masuk akal;
memberi nasihat tentang pengelolaan kinerja sistem;
membantu manajemen mengidentifikasi dan mengatasi risiko yang

relevan;
membantu untuk mengidentifikasi peran proyek.
Keterlibatan atas dan di atas tugas-tugas ini akan cenderung jatuh di bawah
peran konsultan dari auditor. Perhatikan bahwa kemerdekaan audit ditangani
sebelumnya di buku pegangan.
Pentingnya Audit IT Proyek
Perubahan infrastruktur TI perusahaan adalah fi sumber signifikan dari risiko

untuk setiap bisnis; untuk melindungi permata mahkota perusahaan, praktek
perubahan manajemen yang kuat yang benar-benar penting. Kebutuhan untuk ''
lingkungan pengendalian 'positif' dalam IT dan sikap yang sangat tak kenal ampun
mengenai sah IT perubahan tidak dapat dilebih-lebihkan. Bahkan, penelitian terbaru
oleh Institut Proses TI menunjukkan bahwa '' terbaik berkembang biak '' IT toko
mengungguli rekan-rekan mereka dengan margin besar pada banyak indeks kinerja
yang berbeda. Dua kontrol yang hampir secara universal hadir dalam berkinerja
tinggi adalah:
1. Sistem pemantauan untuk perubahan yang tidak sah; dan
2. Memiliki de fi konsekuensi ned untuk disengaja, perubahan tidak sah.
Peran audit internal mengenai pelaksanaan inisiatif IT bervariasi, butmalso

memberikan kesempatan yang signifikan untuk audit internal untuk memberikan
nilai nyata bagi pengurus dan manajemen eksekutif. Artinya, auditor internal harus
memainkan peran penting dalam memastikan bahwa investasi TI yang dikelola
dengan baik dan memiliki efek positif pada organisasi. Sebuah proyek IT yang
dikelola dengan baik adalah mutlak penting untuk keberhasilan ini. Upaya IT yang
semakin rumit setiap tahun; perubahan operasional menjadi lebih menantang
dengan setiap teknologi baru yang diadopsi, terutama di mana operasi global
sekarang menjadi pendukung. Persyaratan integrasi sistem terus memukau bahkan
yang paling berpengalaman TI dan audit profesional. Audit dari inisiatif TI dapat
mengambil banyak bentuk. Pada sederhana, auditor dapat meninjau kasus bisnis
dan tahan beberapa wawancara dengan pemangku kepentingan utama. Di paling
kompleks, tim audit penuh waktu akan berpartisipasi dalam hampir setiap aspek
dari proyek TI. Keragaman ini tergantung pada risiko dan persyaratan jaminan
dewan dan manajemen eksekutif. Jika organisasi benar-benar akan mengungkap jika
inisiatif TI gagal, '' pemeriksaan kesehatan '' oleh audit internal bisa sangat
berharga.
Audit Mayor IT Inisiatif
Dewan dan manajemen ingin mengetahui banyak hal mengenai upaya TI mereka:
bahwa upaya IT produktif, bahwa investasi TI akan memiliki dampak, bahwa

sistem mereka pengendalian internal ditingkatkan dan diperkuat dengan
upaya TI mereka, dan bahwa bencana berikutnya (dari gagal implementasi
TI) tidak akan terjadi. Penilaian independen dari inisiatif TI dapat memberikan
umpan balik itu dan mencegah masalah di jalan atau mungkin bahkan
mencegah kegagalan bisnis. Mendefinisikan tujuan audit, tujuan, dan ruang
lingkup untuk review dari inisiatif TI adalah kunci langkah
pertama. Keterlibatan auditor internal 'dengan inisiatif TI biasanya
melibatkan meninjau dan menilai rencana proyek secara keseluruhan dan
manajemen proyek. Auditor juga perlu untuk menilai akurasi dan
kelengkapan sistem dan persyaratan data untuk solusi TI yang diusulkan,
oleh:
Mengevaluasi dan memantau rencana manajemen proyek untuk

berbagai perubahan sistem yang akan dibutuhkan;
Menilai kelengkapan dan kesesuaian sistem manajemen dan desain

database, termasuk aspek keamanan dan privasi;
Meninjau user-penerimaan dan perencanaan paralel-test dan hasil
untuk menunjukkan end-to-end sistem operasi sukses dan '' kesiapan ''
untuk implementasi (dalam tes paralel, tim proyek secara bersamaan
tes kedua sistem lama dan baru dengan menggunakan data yang
sama dan membandingkan hasil mereka secara komprehensif); dan
Meninjau startup sistem produksi dan data klien terkait untuk

memastikan integritas data dipertahankan dan '' mundur '' rencana
dalam hal masalah akan efektif. Selain itu, auditor harus menilai
akurasi dan kelengkapan startup dari tanggung jawab operasional
dalam organisasi (untuk IT baru '' solusi '') oleh:
Mengevaluasi dan memantau rencana manajemen proyek untuk

berbagai kebutuhan operasional; dan
Menilai kelengkapan dan kesesuaian kebijakan operasional dan

prosedur yang dikembangkan, dan pelatihan terkait.
berbagai inisiatif TI organisasi mencakup rentang yang luas dari teknologi

dan sama pentingnya, mereka mempengaruhi operasi bisnis dalam berbagai
cara. Tahap perencanaan audit perlu memastikan fokus yang tepat dari upaya
audit. auditor internal harus menentukan tingkat keterlibatan mereka dan yang
terbaik pendekatan audit untuk mengambil (selama fase inisiasi inisiatif
TI). Keputusan Keterlibatan audit harus berdasarkan penilaian audit yang berisiko,
dan termasuk faktor-faktor seperti pengalaman proyek-manajemen tim, tingkat
keterlibatan manajemen, ukuran dan kompleksitas inisiatif, dan efek pada
organisasi jika inisiatif tertunda atau tidak berhasil diimplementasikan. Pendekatan
audit yang paling tepat juga perlu didefinisikan selama fase pemeriksaan proyek-
perencanaan.
isu-isu kunci untuk mengeksplorasi selama audit meliputi: sponsor proyek

yang efektif dan kebutuhan bisnis, representasi dari semua kelompok pemangku
kepentingan di tim, dan adanya proses manajemen risiko TI yang kuat.
Kinerja Lebih Baik menggembirakan
Seperti kebanyakan audit, audit dari inisiatif TI umumnya akan melibatkan

tiga fase: perencanaan, kerja lapangan, dan pelaporan audit. inisiatif TI,
bagaimanapun, datang dalam berbagai bentuk dan ukuran, sehingga audit dari
inisiatif TI harus fleksibel dan berbasis risiko. Selama fase perencanaan, tim internal
audit harus memastikan bahwa semua isu-isu kunci dianggap, bahwa tujuan audit
akan memenuhi kebutuhan jaminan organisasi, dan bahwa setiap orang yang
terlibat memahami inisiatif TI yang sedang diaudit. Adalah penting bahwa audit
berfokus pada evaluasi komponen yang signifikan dari inisiatif TI - menggunakan
pendekatan berbasis risiko untuk mendapati elemen proyek paling mungkin untuk
gagal atau paling membutuhkan con fi knis. Tahap perencanaan juga harus con fi rm
bahwa ruang lingkup audit sesuai.
Pada tahap kerja lapangan fi, auditor menganalisis berbagai komponen
inisiatif TI berdasarkan pada tujuan dan metodologi diidentifikasi dalam tahap
perencanaan. Di antara beberapa pertanyaan yang paling penting untuk menjawab
adalah:
1. Memiliki kebutuhan bisnis telah jelas didefinisikan?
2. Akan solusi IT memenuhi kebutuhan tersebut?
3. Apakah solusi TI telah terbukti untuk bekerja?
4. Apakah itu aman dan akan privasi informasi dipertahankan?
5. Memiliki jumlah usaha yang terlibat tercermin risiko yang terlibat dengan
implementasi solusi ini?
tes Audit dapat mencakup meninjau dokumentasi bisnis-kasus dan dokumen

terkait dengan sistem; mewawancarai peserta kunci dalam proyek; melihat materi
pelatihan dan pengembangan prosedur operasi solusi ini; dan meninjau rencana uji,
hasil mereka, dan komunikasi manajemen untuk karyawan mengenai persiapan
pelaksanaan. Tahap audit pelaporan adalah di mana auditor internal memastikan
bahwa semua stakeholder diberitahu tentang hasil audit dan rencana manajemen
untuk meningkatkan upaya inisiatif TI. pelaporan audit dapat menjadi lurus ke
depan: Katakan kepada mereka apa yang Anda lakukan, apa yang Anda temukan,
dan apa yang manajemen berencana untuk melakukan. Bedanya dengan
mengaudit sebuah inisiatif TI adalah bahwa umpan balik audit yang perlu dimulai
sedini mungkin, sehingga perubahan rencana proyek dan usaha dapat
dipertimbangkan. Oleh karena itu, formal, umpan balik yang berkelanjutan harus
disediakan untuk pengelolaan ITinitiative, dan manajemen senior dan bahkan
komite audit pada kesempatan harus diberikan pengarahan dengan laporan status
periodik. Formal end-of-audit pelaporan masih diperlukan, tetapi setiap '' berita ''
dari tim audit harus disampaikan jauh sebelum laporan audit secara resmi
dikeluarkan.
Kami Perlu Dorong Perbaikan Proses IT
Audit praktik terbaik merekomendasikan bahwa auditor internal harus terlibat

di seluruh siklus hidup sebuah inisiatif TI, bukan hanya dalam evaluasi pasca
implementasi (mana yang terluka ditembak). Audit internal inisiatif TI juga perlu
menjadi bagian dari rencana audit TI yang lebih luas sebagai salah satu audit tidak
menilai kinerja fungsi TI secara keseluruhan. Ini adalah penilaian jangka panjang
upaya IT di mana perbaikan proses TI benar dapat didorong. Misalnya, apakah
organisasi memiliki proses manajemen risiko TI yang kuat? Apakah IT menerapkan
patch- dan manajemen perubahan praktik komprehensif? Telah pengembangan dan
pelaksanaan proses telah diperbarui untuk mencerminkan signifikan persyaratan
keamanan dan privasi fi kan hari ini? Apakah ada proyek keseluruhan organisasi
kantor?
Auditor dapat membawa nilai yang cukup besar untuk sebuah organisasi
dengan mengevaluasi kedua IT dan aspek organisasi dari inisiatif TI. Karena
konversi ke solusi TI baru adalah salah satu risiko tertinggi bahwa suatu organisasi
dapat menghadapi, keterlibatan auditor internal dan penilaian independen isu dan
rencana proyek akan memberikan nilai yang jauh melebihi biaya audit ini.

Kepatuhan Minggu. Direproduksi dengan izin dari Kepatuhan Minggu.
Keamanan Sistem Informasi
Auditor internal harus secara periodik menilai praktek keamanan informasi

organisasi dan merekomendasikan, sesuai, perangkat tambahan, atau pelaksanaan,
kontrol baru dan perlindungan.Ancaman seperti penipuan komputer, spionase,
sabotase, perusakan dan bencana alam dapat menurunkan jaringan perusahaan
dan merusak database penting. Standar 7799 alamat keamanan TI dan ISO memiliki
bagian berikut:
1. perencanaan keberlangsungan
2. Bisnis kontrol akses
3. Sistem
4. pengembangan dan pemeliharaan Sistem
5. Keamanan fisik dan lingkungan
6. Kepatuhan
7. Personil keamanan
8. organisasi Security
9. Komputer dan manajemen jaringan
10.Asset klasifikasi dan kontrol
11.Kebijakan Keamanan.
Banyak fi kasi klasi sistem informasi berbasis di sekitar penilaian risiko dalam
hal dampak pada bisnis. Selain itu, ISO 7799 merekomendasikan bahwa
persyaratan audit dan kegiatan yang melibatkan pemeriksaan pada sistem
operasional harus hati-hati direncanakan dan disepakati untuk meminimalkan risiko
gangguan proses bisnis dan menyarankan berikut diamati:
Persyaratan Audit harus disepakati dengan manajemen yang tepat.

Ruang lingkup pemeriksaan harus disepakati dan dikendalikan.
Pemeriksaan harus dibatasi untuk read-only akses ke perangkat lunak

dan data.
Jenis-jenis akses harus diizinkan untuk salinan terisolasi dari sistem fi

les, yang harus dihapus saat pemeriksaan selesai.
Persyaratan untuk pengolahan khusus atau tambahan harus

diidentifikasi dan disepakati dengan penyedia layanan.
Semua akses harus dipantau dan dicatat untuk menghasilkan jejak

referensi.
Semua prosedur, persyaratan dan tanggung jawab harus

didokumentasikan.
Standar ISO (7799) melanjutkan dengan daftar beberapa kontrol kunci yang
mendukung infrastruktur keamanan:
dokumen kebijakan keamanan informasi
Alokasi tanggung jawab keamanan
pendidikan keamanan informasi dan pelatihan
Pelaporan insiden keamanan
kontrol Virus
proses perencanaan kelangsungan Bisnis
Pengendalian menyalin proprietary
Perlindungan catatan perusahaan
Kepatuhan dengan undang-undang perlindungan data
Kepatuhan dengan kebijakan keamanan.
Pertumbuhan e-bisnis membuat enkripsi, akses pihak ketiga dan aturan pada
remote atau teleworking penting sebagai kontrol harus mengikuti perkembangan
baru.
Mendidik Staf Menghasilkan Peningkatan Keamanan IT
Dalam lingkungan bisnis saat ini, keamanan informasi dan perlindungan aset
informasi sangat penting untuk keberhasilan jangka panjang dari semua
organisasi. Informasi darah kehidupan dari perusahaan dan aset bisnis
penting. sistem TI menghubungkan setiap departemen internal perusahaan dan
menghubungkan seluruh perusahaan untuk berbagai pemasok, mitra, pelanggan,
dan lain-lain di luar juga. aplikasi gagal fsystem untuk pelanggaran data untuk
benar diubah - - masih, masalah dengan IT terjadi hampir setiap hari. pelanggaran
keamanan khususnya dapat menjadi bencana bagi perusahaan. sebagian besar
perusahaan tidak memadai mengatasi penyebab utama pelanggaran keamanan TI:
kesalahan manusia. Pada artikel ini, saya menjelajahi bagaimana tenaga kerja harus
dididik tentang keamanan dan bagaimana menentukan apakah mereka ''
mendapatkannya. ''
Peringkat Program IT Security Anda
Bagaimana Anda memulai fi guring seberapa baik perusahaan Anda

melakukan pada keamanan informasi? daftar ini akan membantu Anda memulai:
Apakah organisasi Anda menerapkan gram keamanan informasi yang

komprehensif?
Apakah organisasi Anda memiliki kebijakan yang kuat dan efektif keamanan
informasi, prosedur, dan kontrol? Apakah mereka ditegakkan?
Apakah manajemen mempromosikan budaya etis? Apakah Anda mengatakan

tenaga kerja Anda berikut memimpin manajemen untuk menciptakan budaya
etika yang kuat?
Apakah program keamanan informasi mencerminkan risiko dan kompleksitas

organisasi? Apakah penilaian risiko terjadi?
Apakah program aktif mengidentifikasi cara-cara baru untuk melindungi

organisasi dari bahaya berdasarkan ancaman yang muncul?
Apakah langkah-langkah keamanan dan kontrol diuji secara teratur untuk

efektivitas operasional, dan tindakan korektif terjadi?
Apakah Anda keamanan informasi dan efektivitas pelatihan privasi diukur

throughoutthe seluruh siklus hidup pelatihan?
Apakah kinerja yang diukur dan dilaporkan kepada pimpinan senior dan
stakeholder lainnya?
Bagaimana keamanan organisasi dibandingkan dengan organisasi sejenis

lainnya dikelola dengan baik?
Apakah program keamanan Anda dievaluasi dalam 18 bulan terakhir? Jika Anda
menjawab '' ya '' untuk semua pertanyaan di atas, selamat! Anda baik pada
cara untuk program keamanan informasi yang efektif dan
berkelanjutan. Sekarang, menjawab empat pertanyaan lagi yang akan
membantu memindahkan Anda ke kepala kelas:
Apakah program Anda termasuk kesadaran keamanan yang sedang

berlangsung?
Apakah anggota staf yang sesuai mendapatkan yang sesuai pendidikan

keamanan untuk pekerjaan yang mereka lakukan?
Apakah anggota dari tim manajemen dan tenaga kerja memahami apa praktik
keamanan yang baik adalah? Bagaimana Anda tahu?
Apakah Anda menilai dan mengukur hasil pendidikan keamanan dan upaya
kesadaran?
Peran Auditor Internal
Fungsi audit internal yang efektif meningkatkan etika lingkungan budaya dan
kontrol perusahaan, baik terang-terangan melalui audit dan dalam arti yang lebih
umum dengan mempromosikan praktek yang baik. audit internal kesadaran
keamanan informasi dapat providevaluable umpan balik kepada manajemen dan
dewan tentang di mana keseluruhan performancecan ditingkatkan, yang kemudian
juga memberikan kontribusi untuk hasil program keamanan informasi yang lebih
efektif - de fi nitely menang-menang.
pekerjaan audit harus mencakup evaluasi berbagai upaya pendidikan

keamanan dan kesadaran organisasi. Jika manajemen dan staf tidak sedang teratur
diberitahu tentang ancaman yang muncul dan risiko, bagaimana bisa keamanan
secara benar dilaksanakan secara berkelanjutan?
Audit harus membandingkan praktik keamanan yang baik dengan apa yang
sedang terjadi dalam organisasi dan meninjau hasil juga. Dengan kata lain, adalah
kualitas pelatihan yang diberikan, dan pembelajaran nyata terjadi?
staf Keterlibatan
Pendidikan adalah kelas pelatihan formal yang administrator sistem mungkin

hadir untuk belajar bagaimana untuk menerapkan Microsoft Pro fi les untuk
mengendalikan perubahan ke desktop. Kesadaran adalah program yang sebuah
perusahaan menempatkan di tempat untuk mengingatkan karyawan dengan
prosedur berulang (dan setidaknya update tahunan orang) kebijakan, kebijakan
dukungan proceduresthat, dan praktek-praktek mereka harus tahu untuk mematuhi
kebijakan perusahaan. Kesadaran adalah baik formal maupun informal. '' Formal ''
adalah 20 menit sesi kesadaran tahunan; '' Informal '' adalah kutipan di newsletter
perusahaan, kesadaran keamanan e-mail, dan pengingat dari hari-hari khusus
seperti Awareness Week Global Security.
Sebuah metode yang baik untuk menyampaikan pesan kesadaran keamanan
untuk tenaga kerja adalah pertama untuk mendidik mereka pada tindakan mereka
dapat mengambil untuk melindungi diri pribadi dari isu-isu yang dihadapi individu
hari ini. Ini termasuk hal-hal seperti pencurian identitas, phishingattacks, dan
tindakan pencegahan yang tepat untuk mengambil ketika berbagi informasi pribadi
secara online. Memberikan informasi ini dalam sesi pelatihan; membuat proses
pribadi. praktek lebih pendidikan keamanan dan kesadaran disajikan di bawah
ini;banyak lainnya yang tersedia di sidebar sumber daya.
1. Secara teratur memberikan informasi ancaman diperbarui untuk manajemen

dan staf. Beberapa kekhawatiran umum hari ini meliputi: pencurian password,
pencurian laptop, terinfeksi e-mail, '' bahu sur fi ng, '' dan dumpster
diving. Dengan saluran komunikasi yang jelas yang memungkinkan setiap
orang untuk lebih banyak informasi tentang ancaman terbaru, dan perubahan
ancaman sebelumnya, mendorong tenaga kerja untuk menjadi lebih siap dan
untuk mempertimbangkan langkah-langkah keamanan baru di mana manfaat
resmi. Banyak kali, tenaga kerja terdidik dan termotivasi adalah pertahanan
terbaik Anda.
2. Jelaskan kemungkinan konsekuensi dari insiden keamanan dalam hal

bisnis. perusahaan atau pekerja yang bisa bertahan pencurian identitas,
pencurian peralatan, hilangnya produktivitas, hilangnya keunggulan kompetitif,
peningkatan pergantian staf, hukuman karena nes fi kepatuhan, kehilangan
reputasi, kehilangan data, dan pelanggan terkikis kepercayaan diri. Sementara
daftar panjang, tenaga kerja yang benar-benar harus tahu apa efek pada bisnis
bisa. Dengan membuat '' pribadi '' dan menunjukkan kemungkinan hit untuk
operasi, peningkatan dukungan untuk praktek keamanan informasi yang baik
dapat menjadi '' diperkuat. ''
3. Memberikan komprehensif, program berbasis peran untuk memilih manajemen

dan staf yang membutuhkan pengetahuan terbaru mengenai praktik
keamanan yang baik. Di sini, masalah ini memastikan bahwa investasi dalam
keterampilan dan kompetensi staf yang terjadi secara teratur. Ada yang lebih
buruk daripada tidak mengetahui sesuatu yang Anda pikir Anda tahu.
4. Secara teratur memberikan informasi praktek terbaik untuk berbagai

keamanan IT dan IT managementprocesses.
Beberapa proses penting meliputi: Patch dan manajemen perubahan, con fi

manajemen gurasi, desain keamanan dan arsitektur, pencegahan penipuan dan
deteksi, keamanan fisik - dan masih banyak lagi. Menjelaskan bukan hanya ''
bagaimana, '' tapi '' mengapa '' dari berbagai proses dan prosedur keamanan
untuk staf. Dan bijaksana langkah pertama adalah untuk fokus pada mendidik '' di
uencers fl '' dari manajemen dan staf Anda jajaran, dan kemudian membiarkan
mereka teladan untuk sisanya. 5. survei periodik Lengkap manajemen dan staf. Ini
adalah untuk menilai seberapa baik mereka memahami kebijakan keamanan
informasi, prosedur, dan kontrol serta untuk mengidentifikasi peluang kunci untuk
perbaikan. Komunikasi adalah jalan dua arah, dan jika Anda tidak pernah menilai
kompetensi staf Anda tidak akan pernah tahu seberapa baik upaya
pengembangan staf Anda akan. Survei adalah rendah metode fi nding apa yang
ada di pikiran orang-orang dan masalah apa yang pelatihan perlu
ditangani. Sementara langkah-langkah ini tidak selalu murah dan perusahaan
Anda akan selalu memiliki batas anggaran pendidikannya, dalam jangka panjang
ini murah investasi dengan tinggi-bene fi t hasil: ketenangan pikiran tentang
keamanan informasi Anda.
Evaluasi rutin
Menetapkan ekspektasi yang jelas dan tanggung jawab mendefinisikan

semua orang untuk keamanan TI adalah setengah pertempuran. Menjadi rajin
dalam upaya Anda untuk memastikan tenaga kerja memahami harapan organisasi
dan peran dan tanggung jawab mereka adalah setengah lainnya. Untuk
menerapkan keamanan yang tepat, Anda perlu kebijakan mengartikulasikan, itu
harus ditegakkan, dan pelanggar harus diselidiki dan dihukum bila
diperlukan. Manajemen harus memahami bahwa ia memiliki tanggung jawab untuk
merancang dan melaksanakan pendidikan keamanan informasi dan kegiatan
kesadaran, termasuk pemantauan hasil tersebut. Manajemen dan staf harus
ditugaskan tanggung jawab keamanan, dan kompensasi mereka meningkat harus
mencakup penilaian keamanan mereka '' kinerja '' serta kriteria yang lebih
tradisional untuk menetapkan gaji. Memegang manajemen dan staf bertanggung
jawab untuk kinerja mereka mengenai keamanan informasi adalah kunci untuk
keamanan yang efektif. (Ini disebut memastikan '' konsekuensi '' untuk rakyat ''
tindakan. '')
Kesadaran harus mengambil berbagai bentuk, seperti newsletter perusahaan

atau forum dadakan. Efektivitas dari setiap upaya tersebut juga tergantung pada
nada yang ditetapkan oleh manajemen senior. Pertahanan terbaik terhadap insiden
dan kegagalan keamanan adalah memiliki '' termotivasi '' dan berpendidikan
manajemen dan tenaga kerja untuk mendukung standar keamanan TI organisasi
Anda. Banyak hal bisa terjadi karena kurangnya kesadaran dan pendidikan, dari
kehilangan pelanggan kepercayaan diri kepada pelanggan hilang, serta harga
saham yang lebih rendah, tuntutan hukum, publisitas buruk, dan banyak lagi. Daftar
ini tak ada habisnya. membangun kesadaran keamanan informasi membutuhkan
waktu, sumber daya, dan energi, tetapi tanpa pertanyaan, itu worth it.

Kepatuhan Minggu. Direproduksi dengan izin dari Kepatuhan Minggu.
Perencanaan bencana
Jenis informasi yang hilang dan panjang interupsi akan berdampak pada
tingkat kerusakan yang dilakukan. Beberapa bencana yang organisasi mungkin
dihadapi meliputi:
serangan teroris Sabotase kegagalan Sistem bencana alam
Pemogokan Kebakaran dan ledakan database yang korup

perencanaan bencana adalah tentang
mempersiapkan ini dan kejadian yang tidak
diinginkan lainnya yang dapat mempengaruhi
harga saham, pendapatan penjualan, order,
pemasok dan hal-hal lain yang mempengaruhi
reputasi sebuah organisasi. Proses
perencanaan bencana normal ditetapkan
dalam Gambar 7.27.
Cara Audit Program Business Continuity
Mampu melanjutkan fungsi bisnis yang penting ketika menanggapi bencana

besar, dan kemudian kembali ke operasi yang normal secara efisien dan kohesif
sesudahnya, merupakan faktor penentu keberhasilan untuk semua
organisasi. kelangsungan bisnis yang efektif (BCP) dan pemulihan bencana (DR)
program sangat penting dan telah menjadi biaya yang diperlukan dalam melakukan
bisnis. Mereka harus mendapat perhatian dan dukungan yang memadai dari
manajemen jika perusahaan adalah untuk bertahan hidup dan tetap kompetitif
dalam situasi pasca-bencana. Tujuan dari program ini adalah untuk mempersiapkan
organisasi untuk mengatasi lebih efektif dengan gangguan besar. manajer program
berencana mungkin tanggapan sebelum kejadian yang sebenarnya (s) bukan hanya
menanggapi dalam panas saat itu. perencanaan ini meningkatkan kualitas dan
konsistensi respon terlepas dari orang yang mengeksekusi rencana
tersebut. Program harus mengatasi berbagai insiden potensial, dari bencana buatan
manusia seperti power-grid atau kegagalan infrastruktur penting lainnya untuk
bencana alam seperti badai, fl banjir, atau kebakaran. insiden yang sederhana juga
dapat memiliki konsekuensi besar, jadi jangan under-rencana; misalnya, berharap
bahwa staf Anda tidak akan membuatnya bekerja karena badai es. Ini adalah fakta
disayangkan kehidupan bahwa, meskipun upaya terbaik kami, beberapa bencana
yang hanya dapat dihindari. Kualitas respon organisasi terhadap krisis tersebut
dapat membuat perbedaan antara hidup dan kehancurannya.
Karena BCP dan DR upaya yang sangat penting, mereka harus setiap fi t
bersama-sama bahu-sarung tangan.
Peran Audit Internal Dalam BCP Dan DR
audit internal dari program BCP dan DR sangat dianjurkan. Dewan dan
manajemen memerlukan jaminan mengenai efektivitas upaya mereka. Theymwant
tahu bahwa rencana DR akan bekerja bila diperlukan, bahwa investasi di BCP dan
DR yang memperoleh nilai yang baik, dan bahwa bencana tidak akan membawa
bisnis bertekuk lutut. Penilaian independen dari program BCP dan DR oleh audit
internal dapat memberikan umpan balik yang obyektif yang membantu memastikan
program memadai untuk mencegah kegagalan bisnis. Pikirkan tentang hal ini:
Sementara semua orang berfokus pada persyaratan Sarbanes-Oxley selama hampir
lima tahun, telah Anda DR dan BCP upaya terus berpacu dengan tantangan baru
saat ini dan persyaratan memperluas? Punya jawaban, karena papan Anda semakin
mungkin bertanya. Persis bagaimana departemen internal audit harus berinteraksi
dengan BCP dan program DR bervariasi antara perusahaan. Dengan pendekatan
yang tepat, audit dapat memberikan nilai nyata bagi dewan dan manajemen
eksekutif dengan obyektif menilai apakah program ini memberikan cakupan yang
efektif untuk melindungi organisasi dari bahaya ketika signifikan bencana terjadi.
Audit program BCP dan DR dapat mengambil banyak bentuk. Pada

sederhana, auditor dapat melakukan '' BCP / DR pemeriksaan kesehatan, 'cepat'
meninjau rencana dan mewawancarai para pemangku kepentingan utama. Di
kompleks yang paling, tim audit dapat menganalisis hampir setiap aspek program,
mengevaluasi perencanaan berbasis risiko, mengamati tes BCP / DR, menilai
kelengkapan analisis bisnis-dampak, dan sebagainya. Jenis dan luasnya audit yang
dilakukan tergantung pada risiko, persyaratan jaminan manajemen, dan
ketersediaan sumber daya audit. sumber eksternal spesialis mungkin berguna pada
kesempatan. Auditor mungkin berpartisipasi pengamat sebagai formal dalam
latihan pura-pura atau meninjau dokumentasi program dan menilai kelengkapan
dan kelengkapan. Pilihan Anda banyak.
auditor internal biasanya akan meninjau apa yang telah direncanakan dan
dicapai terhadap harapan manajemen dan dibandingkan dengan yang berlaku
umum praktik terbaik di lapangan. Ini adalah tempat audit objektivitas datang
kedepan; auditor memiliki tujuan yang sah untuk menilai apakah harapan
manajemen adalah wajar dan mencukupi, mengingat tingkat risiko organisasi dan
dalam hubungannya dengan organisasi sejenis lainnya. Saran berikut meliputi fase
utama audit setiap: scoping, perencanaan, kerja lapangan, analisis, dan
pelaporan. BCP dan DR program, bagaimanapun, datang dalam berbagai bentuk
dan ukuran, sehingga jelas spesifik rincian fi c dari setiap audit yang diberikan akan
bervariasi sesuai dengan situasi.
Audit-Penjajakan Phase
Seperti setiap audit, mendefinisikan tujuan dan sasaran untuk review dari
program BCP dan DR adalah tugas pertama auditor. Penjajakan paling baik
dilakukan atas dasar penilaian rasional risiko yang terkait. Aspek-aspek berikut
umumnya layak dipertimbangkan ketika scoping BCP dan DR Audit:
Keseluruhan Program Tata Kelola. Bagaimana dikelola program? Apakah mereka

diberikan arahan strategis yang sesuai dan investasi? (Artinya, apakah tempat
organisasi mencukupi penekanan pada BCP dan DR?) Apakah sponsor cocok dan
pemangku kepentingan yang terlibat, yang mewakili semua bagian-bagian
penting dari organisasi? Apakah mereka mengambil suf bunga fi sien dalam
program, menunjukkan dukungan mereka melalui keterlibatan dan
tindakan? Dan yang paling penting, yang bertanggung jawab untuk keberhasilan
atau kegagalan mereka?
Ongoing Manajemen Program. Faktor keberhasilan kritis dalam setiap usaha BCP
dan DR adalah cara di mana program yang direncanakan dan didorong untuk
memastikan bahwa mereka memenuhi tujuan meskipun prioritas yang bersaing
tak terelakkan organisasi. Apakah pertimbangan keseimbangan pengelolaan
program dari banyak prioritas saling bertentangan manajer menghadapi dengan
kebutuhan penting bahwa upaya ketahanan perusahaan sesuai? Ini bukan
latihan sekali setahun lagi; sedang dipersiapkan adalah berkelanjutan, hari inand
hari usaha.
Definisi Dan Akurasi The BCP Dan DR Tujuan. Telah persyaratan program 'sudah
jelas dan sepenuhnya didefinisikan oleh manajemen? Memiliki analisa bisnis-
dampak yang luas telah selesai?Apakah teratur diperbarui?
Cakupan Of The BCP Dan Rencana DR. Apakah semua proses bisnis yang penting
telah diidentifikasi dan rencana yang sesuai disusun? Apakah rencana
memperhitungkan fi sien suf dari kebutuhan untuk mempertahankan atau
memulihkan infrastruktur pendukung (server IT dan jaringan, misalnya)? Apakah
rencana cukup '' rapi '' atau mereka penuh dengan proses non-esensial, sistem,
dan kegiatan? Yang signifikan kegiatan outsourcing cukup tertutup? Apakah
mereka membutuhkan validasi juga?
Manajemen Dari Setiap Sistem Atau Proses Perubahan. Tak pelak, changeswill
diminta untuk menerapkan BCP dan DR pengaturan. Apakah manajemen
perubahan dikelola secara efektif untuk memberikan jaminan terbaik bahwa
perubahan dilacak dan dibahas dalam lingkungan hidup dan DR?
Robustness Of The BCP dan DR Pengujian Proses. manajer program harus

menunjukkan kesiapan organisasi, membangun manajemen kepercayaan diri,
dan yang paling penting, memperkuat BCP dan DR kemampuan
organisasi; Apakah '' partisipasi masyarakat '' diidentifikasi, disetujui, dan dilacak
untuk memberikan jaminan terbaik bahwa latihan dan tes benar-benar hadir,
dan bahwa hasil tersebut memenuhi tujuan BCP dan DR Anda?
Rencana Pemeliharaan. Bagaimana proses perubahan manajemen yang

membuat rencana up to date diatur, bahkan sebagai perubahan
organisasi? Apakah peran dan tanggung jawab yang dialokasikan dalam
organisasi untuk mengembangkan, menguji, dan memelihara BCP dan DR
rencana?
BCP Dan Prosedur DR. Pertimbangkan prosedur dan pelatihan terkait, pedoman,
dan sebagainya untuk membuat manajer dan staf akrab dengan proses untuk
mengikuti bencana.
Selain de fi ning apa aspek termasuk dalam ruang lingkup audit, sama
pentingnya adalah bahwa manajemen dan dewan mengklarifikasi setiap aspek yang
keluar dari ruang lingkup - terutama pertimbangan penting bahwa, untuk satu
alasan atau lainnya, tidak akan dibahas di ini waktu (misalnya, mungkin karena
mereka akan diaudit secara terpisah). Sebuah bagian alami dari fase scoping adalah
untuk mengidentifikasi satu atau lebih sponsor manajemen untuk audit. Audit
dilakukan untuk memperoleh manfaat dari manajemen perusahaan bukan untuk
tujuan audit sendiri, sehingga sangat penting untuk mengetahui siapa yang akan
menerima, menerima, dan bertindak berdasarkan laporan audit fi nal. dukungan
terang-terangan mereka untuk audit dapat membuat pekerjaan audit lebih mudah,
misalnya dengan menarik dan mendapatkan keterlibatan auditee sesuai.
Audit Perencanaan-Phase
Memiliki didefinisikan ruang lingkup, tim audit perlu untuk merencanakan

audit dalam keterbatasan sumber daya yang tersedia dari departemen audit dan
dari bisnis secara keseluruhan.keputusan Resourcing sebagian besar isiko berbasis,
dengan mempertimbangkan faktor-faktor seperti pengalaman manajemen program,
tingkat keterlibatan manajemen dalam upaya program, ukuran dan kompleksitas
program, dan efek potensial pada organisasi jika program gagal.
Ketersediaan auditor yang cocok, tentu saja, prasyarat. tim Audit

menggabungkan bisnis dan TI auditor direkomendasikan sedapat mungkin, karena
BCP dan DR rentang kedua ladang keahlian.
Ini juga merupakan waktu yang baik untuk auditor untuk mengidentifikasi
dan menghubungi auditee utama. Mengamankan bantuan mereka dengan audit
kerja lapangan lebih mudah jika mereka memiliki kesempatan untuk mengomentari
waktu dan sifat dari pekerjaan yang diperlukan - asalkan kemerdekaan departemen
audit dan objektivitas tidak terlalu terganggu dalam proses! Pendekatan Audit juga
perlu memutuskan selama perencanaan audit. Misalnya, akan itu layak untuk
meninjau semua BCP dan DR berencana, atau apakah perlu untuk sampel rencana?
Jika demikian, atas dasar apa akan sampel dipilih? Harus audit dari BCP dan DR
upaya menjadi audit terpisah dan berbeda? (Bagi banyak organisasi ini bisa masuk
akal, karena mereka berdua kegiatan penting layak review terfokus dan
komprehensif.) Apakah audit dari kegiatan outsourcing dan rencana BCP andDR
terkait perlu diselesaikan?
Kebanyakan auditor menghasilkan checklist audit pada tahap ini, mengubah

ruang lingkup audit yang disepakati menjadi serangkaian terstruktur tes audit yang
mereka berencana untuk melakukan. Gaya bervariasi, tetapi daftar periksa paling
berguna bertujuan untuk memandu (bukan kendala) auditor, karena luasnya
pengujian audit yang diperlukan tergantung agak pada apa yang
ditemukan. Researchingwhat ini tersedia mengenai program audit, seperti biasa,
dianjurkan. Dan tentu saja, sebelum kerja lapangan dimulai, manajemen audit harus
meninjau rencana audit dan daftar periksa untuk memastikan bahwa semua isu-isu
kunci diidentifikasi dalam lingkup havebeen diberikan suf pertimbangan fi sien
untuk memenuhi kebutuhan jaminan manajemen.
Audit-Penelitian lapangan Phase
Pada fase ini audit, auditor memeriksa program BCP dan DR berdasarkan
tujuan dan metode diputuskan dalam fase sebelumnya. BCP membantu organisasi
untuk bertahan hidup bencana dengan menjaga proses bisnis penting yang
beroperasi selama krisis, sedangkan DR mengembalikan proses yang kurang
penting lainnya setelah krisis. pengujian audit selama kerja lapangan fase
mengumpulkan bukti memadai suf fi untuk menilai apakah program ini dapat
memenuhi dua persyaratan dasar ini. tes pemeriksaan program BCP dan DR
mungkin termasuk yang berikut:
Mewawancarai pemangku kepentingan utama dan peserta dalam

program;
Meninjau kasus-bisnis, planning-, dan IT-dokumen terkait;
Kurang lebih rinci meninjau dari BCP individu dan rencana DR,
memeriksa bahwa mereka adalah lengkap, akurat, dan up-to-date -
misalnya, pengujian sampel rincian kontak untuk pemain kunci untuk
con fi rm apakah nomor telepon mereka benar;
Mencari de fi kali pemulihan ned dan apakah ada bukti bahwa mereka
dapat dipenuhi;
Meneliti materi pelatihan, prosedur, pedoman, dan sebagainya,

ditambah komunikasi manajemen mengenai BCP dan situasi DR yang
mungkin terjadi dan apa yang karyawan harus melakukan;
Meninjau rencana pengujian dan hasil dari setiap tes yang sudah
dilakukan;
Mengevaluasi kesiapan karyawan yang relevan dan keakraban dengan

prosedur;
Meninjau dampak peraturan baru pada rencana; dan
Meninjau kontraktor dan penyedia layanan '' kesiapan '' upaya.
Rincian dari tes biasanya dicatat dalam daftar audit. Mereka disertai dengan
fi le yang berisi bukti audit yang sesuai, seperti salinan dijelaskan dari BCP dan DR
rencana, hasil tes, dan bahan-bahan lain yang auditor telah meninjau.
Analisis Audit Dan Pelaporan Tahap
pelaporan Audit adalah proses langsung, setidaknya dalam teori. Di sinilah

auditor menganalisis hasil tes mereka, merumuskan rekomendasi mereka,
mempersiapkan, dan akhirnya menyajikan laporan audit formal untuk
manajemen. Dalam laporan tersebut, auditor menjelaskan:
Apa yang mereka ditetapkan untuk dilakukan. Ini bagian dari laporan akan
memperkenalkan risiko dan rekap lingkup audit;
Metode audit. Ini akan menjelaskan bagaimana auditor pergi tentang

memenuhi tujuan;
Apa yang mereka temukan. Ini biasanya mencakup isu-isu kunci diidentifikasi,
jika tidak penuh rincian berdarah. Tidak semua temuan yang dilaporkan, tapi
kadang-kadang membantu untuk memberikan checklist audit selesai sebagai
lampiran untuk laporan dan mengundang manajemen untuk meninjau bukti
audit jika ingin informasi lebih lanjut; dan
The rekomendasi. Ini akan memerlukan saran kepada manajemen tentang cara
mengatasi masalah diidentifikasi.
Dalam prakteknya, pelaporan audit yang bervariasi antara organisasi. Hal ini
membutuhkan keseimbangan antara prospek agak idealis dari beberapa auditor
dan realitas mengelola organisasi dengan sumber daya yang terbatas dan prioritas
yang bersaing. Biasanya ada, proses berulang cukup terlibat penyusunan, meninjau,
dan mengoreksi laporan dan negosiasi rincian dengan manajemen untuk mencapai
hasil terbaik bagi organisasi. Pada akhir hari, itu adalah manajemen - tidak auditor -
yang bertanggung jawab untuk memutuskan, jika ada, perbaikan program BCP dan
DR mereka berniat untuk membuat dianjurkan. Proses audit memiliki keuntungan
dari pengumpulan, pengujian, dan evaluasi bukti audit oleh fungsi belum tertarik
independen.Fakta-fakta dari masalah ini membawa banyak berat badan dengan
manajemen. Laporan audit harus menyajikan maksud dan tujuan dari audit,
pendekatan audit, dan uji dilakukan, peluang kunci untuk perbaikan, serta temuan
rinci dan rencana aksi manajemen. Sebuah deskripsi program BCP dan DR yang
sebenarnya termasuk ruang lingkup, mandat, peran, dan prestasi juga akan
berguna dalam mendapatkan semua orang pada halaman yang sama mengenai
investmentsin organisasi BCP dan DR upaya.
Investasi Dalam Ketahanan
Auditor dapat membawa nilai yang cukup besar untuk sebuah organisasi
dengan mengevaluasi kedua IT dan aspek organisasi dari program BCP dan
DR. Karena kegagalan program BCP andDR ketika dibutuhkan adalah salah satu
risiko tertinggi bahwa canface organisasi, penilaian independen auditor internal
'dari program ini akan memberikan nilai yang jauh melebihi biaya audit
ini.Manajemen harus selalu mencari cara untukmeningkatkan BCP dan DR upaya
program - yaitu, tidak hanya menunggu audit. Audit Involveinternal dalam upaya
program berkelanjutan, seperti desain dan pelaksanaan latihan pengujian
ofa. manajemen biasa '' penilaian diri '' harus didorong, dan pengujian komprehensif
program ini selalu sangat dianjurkan.
Perusahaan perlu mengambil perspektif ruang rapat untuk upaya Program

BCP dan DR mereka. Apa yang benar-benar harus di tempat untuk memastikan
kelangsungan hidup organisasi?Dan apakah Anda memiliki rencana dan program di
tempat untuk berurusan dengan fi cantdisruption signifikan untuk
operasi? (Termasuk memberikan tanggung jawab dan akuntabilitas untuk upaya
kelangsungan bisnis, dan menyediakan program dengan sumber daya yang
diperlukan untuk memberikan bila diperlukan.) Intinya adalah apakah investasi
Anda di resiliencyis tepat.langkah-langkah apa yang telah dilaksanakan untuk
melacak kemajuan Anda? Dan, akhirnya, adalah manajemen teratur menilai dan
memperbaiki organisasi '' kesiapan '' kemampuan dalam kejadian bencana?
Dipetik dari Kepatuhan Minggu. Artikel ini
awalnya diterbitkan dalam Kepatuhan
Minggu. Direproduksi dengan izin dari Kepatuhan
Minggu. Seluruh hak cipta.
Fasilitas siaga
Organisasi harus memastikan bahwa ia memiliki

kontrak untuk fasilitas standby untuk mengambil alih
pengolahan dalam hal pusat komputer menjadi tidak
dapat digunakan. Mungkin ada tiga jenis utama dari
kontrak siaga:
1. pusat standby Dingin. Satu mungkin baik:
mempertahankan fasilitas in-house di

mana server mungkin dipindahkan atau
berlangganan fasilitas yang ada.
2. pusat siaga hangat. Berikut fasilitas akan tersedia dan menjadi fungsional
dalam waktu cukup singkat.
3. pusat standby Hot. Fasilitas ini, menjadi metode yang paling mahal, diatur
dengan salinan fi les didedikasikan untuk sistem yang bersangkutan dan dapat
beroperasi pada saat itu. pusat panas dan hangat dapat diberikan oleh
pemasok yang sesuai dan lagi willdepend tingkat respon pada sejauh mana
pengolahan sangat penting untuk organization.Whenever bencana terjadi,
pertimbangan harus diberikan untuk menghubungi masing-masing pihak terkait
dan satu dapat membentuk komite bencana formal yang telah diberitahu
dengan baik dan dilatih. Sumber daya yang dikeluarkan dalam memulihkan
informasi yang akan tergantung pada banyak faktor karena informasi yang
mungkin penting, penting atau hanya berguna. faktor yang relevan adalah:
Restorasi kecepatan Frekuensi penggunaan pentingnya Biaya relatif Dampak
pemulihan undang-undang Tersedia metode pemulihan Sumber informasi
Rencana bencana standar harus mencakup item yang ditunjukkan pada Gambar
7.28.
Koordinator Bencana
Hal ini diperlukan untuk menunjuk seorang koordinator bencana untuk

menyusun rencana, menguji dan mengawasi pengaturan. Persyaratan ini harus
dibangun ke dalam deskripsi pekerjaan dari manajer IS dan merupakan bagian dari
penilaian kinerja. Rencana aksi bencana harus diuji secara berkala dan peserta
harus memenuhi setidaknya sekali setahun untuk membahas pengaturan saat ini
dan isu-isu. Rencana tersebut harus bedirected terutama pada sistem-prioritas
tinggi yang telah diidentifikasi melalui penilaian proses ofrisk formal. Peran IS
auditor dalam perencanaan bencana adalah untuk:
Sebaiknya rencana di tempat;
secara independen menguji rencana ini;
meninjau kontrak dengan pemasok fasilitas bersama dengan

pengaturan tender;
meninjau sejauh mana rencana tersebut dipahami oleh semua peserta;
menyarankan komite bencana pada setiap implikasi keamanan yang

mungkin perlu ditangani.
Dalam keadaan darurat, kemanfaatan operasional cenderung lebih

diutamakan daripada hal-hal kontrol dan memotong pendek dapat diambil oleh
manajemen. Kontrol utama dalam situasi ini adalah thepresence kunci perwira yang
dapat bertanggung jawab untuk otorisasi tindakan yang diperlukan apapun. Ini
mungkin termasuk pembebasan pemeriksaan sistem kreditur besar dari lokasi siaga
terpencil, atau, dalam hal ini, cek tulisan tangan. Pertimbangan utama lainnya
adalah cara tanggung jawab terletak di seluruh organisasi. Manajer IS harus diminta
untuk membuat rencana kontingensi. Para peserta akan termasuk orang-orang yang
mengotorisasi penggunaan aplikasi penting seperti sistem penggajian, kreditor, dan
pendapatan. Dengan sistem terdistribusi, banyak aplikasi yang dikontrol oleh
pengguna akhir yang harus terwakili dalam komite perencanaan bencana. Untuk
memaksa keputusan pada peran dan tanggung jawab, harus ada forum tingkat
yang lebih tinggi yang akan mendorong rencana terkait ke dalam mekanisme
pengambilan keputusan eksekutif, dipimpin oleh kepala eksekutif. Ini adalah praktik
yang baik untuk audit internal untuk menyajikan laporan ke forum ini yang mungkin
highlevel sebuah IS kemudi kelompok. Teknik lain adalah untuk memastikan komite
audit dibuat sadar apa pun yang dapat mengganggu pengaturan darurat. Dalam
masa kendala finansial, anak hal-hal seperti perencanaan bencana dapat
mengambil kursi belakang. Ini tidak berarti bahwa bencana tidak akan terjadi dan
sistem untuk mengelola mereka harus tunduk mengaudit penutup. The IIA.UK &
Irlandia panduan untuk IT saat ini praktek Disaster Recovery con fi rms terbaik
dengan menyarankan checklist aspek yang harus dipertimbangkan oleh auditor
selama review dari proses kontingensi dan perencanaan bencana:
Apakah organisasi mengambil perencanaan kontingensi serius dan ini

ditunjukkan byboard / komitmen manajemen puncak?
Bagaimana tanggung jawab ditugaskan untuk kegiatan ini?
Apakah pendekatan berbasis risiko telah digunakan untuk mengidentifikasi

sistem kunci dan prioritas untuk pemulihan?
Memiliki organisasi langkah-langkah pencegahan dianggap mengurangi

risiko bencana Andare ini dianggap tepat untuk risiko?
Apakah opsi pemulihan dianggap dalam kasus bencana besar dan telah
tersebut telah didokumentasikan dalam perencanaan kontingensi dan
pemulihan bencana rencana tertulis?
Apakah gelar yang tepat pengujian dilakukan dan merupakan output dari
pengujian yang digunakan untuk meningkatkan rencana?
Apakah prosedur yang tepat telah ditetapkan untuk pemeliharaan dan

pemutakhiran rencana?
Apakah salinan rencana dan setiap signifikan dokumentasi lainnya disimpan

dengan aman?
Ketahanan operasional: The Next Bisnis Prioritas!
Memastikan bahwa organisasi dapat pulih dari bencana merupakan

kebutuhan bisnis dasar dewan harus mengeksplorasi secara teratur dengan
manajemen. Saat ini, perusahaan terkemuka yang mengambil persyaratan ini dan
mengubahnya menjadi strategicadvantage sebuah: Yakni, investasi pada ketahanan
operasional membantu organisasi untuk menjadi lebih responsif terhadap
kebutuhan klien serta meningkatkan kehandalan operasional, kualitas, dan
efisiensi. Ini upaya Anda harus merangkul, juga. ketahanan operasional mencakup
pantai besar, dan disepakati secara universal definisi dari terus menjadi sulit
dipahami. Untuk beberapa, fokusnya adalah murni pada kemampuan pemulihan IT,
whereinvestments dalam jaringan dan perangkat lunak redundansi adalah
prioritas. Bagi orang lain (manajer usuallybusiness), itu berarti memperkuat
kemampuan pemulihan unit bisnis, yang membawa fokus ke rencana
kesinambungan bisnis. Untuk yang lain (eksekutif senior dan anggota dewan), itu
kemampuan organisasi untuk menanggapi keadaan darurat dan memenuhi
kebutuhan klien. Saya percaya ketahanan operasional mencakup semua hal di atas.
Sebagai perusahaan menghadapi bisnis dan operasional lingkungan yang

semakin kompleks, fungsi-fungsi seperti keamanan dan kelangsungan usaha tetap
berkembang; memang, mereka perlu terus berkembang. Hari ini, sukses program
keamanan dan kelangsungan usaha (BCP) baik mengatasi masalah teknis yang
terlibat dan berusaha untuk mendukung upaya organisasi untuk meningkatkan dan
mempertahankan tingkat yang memadai ketahanan operasional. upaya ketahanan
operasional mengatasi risiko operasional dengan mengidentifikasi masalah
operasional potensial dan meningkatkan proses dan sistem yang digunakan; itu
adalah bagaimana operasional masalah arereduced dalam jangka panjang.
Mampu melanjutkan fungsi bisnis yang penting ketika menanggapi bencana

besar, dan kemudian kembali ke operasi yang normal secara efisien dan kohesif
setelah itu, merupakan faktor penentu keberhasilan untuk semua organisasi. Efektif
kesinambungan bisnis dan pemulihan bencana (DR) program sangat penting dan
telah menjadi biaya yang diperlukan untuk melakukan bisnis. Mereka harus
mendapat perhatian manajemen yang memadai dan dukungan jika perusahaan
adalah untuk bertahan hidup dan tetap kompetitif dalam situasi pasca-
bencana. Tujuan dari program BCP dan DR adalah untuk mempersiapkan organisasi
untuk mengatasi lebih efektif dengan gangguan besar. manajer bisnis berencana
tanggapan mungkin di muka kejadian yang sebenarnya (atau insiden), bukan hanya
menanggapi dalam panas saat. perencanaan ini meningkatkan kualitas dan
konsistensi respon - yang membuat operasi tangguh untuk gangguan - terlepas dari
orang yang mengeksekusi rencana.
Mengambil upaya ini ke tingkat berikutnya, manajemen perlu meningkatkan

budaya operasional, proses, dan sistem, dengan memperkuat keandalan dan
efisiensi dari masing-masing. Program ketahanan operasional organisasi harus
upaya payung; yaitu, harus memberikan dukungan dan bimbingan untuk keamanan
organisasi informasi, BCP, DR, dan upaya program manajemen darurat. Pertanyaan-
pertanyaan berikut harus dipertimbangkan sebagai bagian dari upaya untuk
meningkatkan ketahanan operasional:
Apakah keamanan dan kegiatan usaha kontinuitas direncanakan secara

terkoordinasi organisasi Anda, atau mereka tampil di silo? Apakah mereka
dipandang sebagai teknis daripada kegiatan bisnis?
Dapatkah Anda secara aktif mengelola ketahanan operasional, atau apakah

Anda biasanya bereaksi peristiwa mengganggu karena terjadi?
Apakah Anda tahu apakah praktik keamanan dan kelangsungan usaha Anda
telah menerapkan efektif? Apakah Anda menguji mereka? Apakah mereka
mendukung pencapaian tujuan strategis organisasi dan misi?
Dapatkah Anda mengukur keberhasilan kegiatan keamanan dan kelangsungan

bisnis Anda? Dapatkah Anda konsisten mengulangi dan mempertahankan
bahwa keberhasilan dalam jangka panjang? Apakah Anda mengacu kegiatan
Anda terhadap orang lain dalam industri Anda, atau terhadap pedoman
independentthird pihak?
Apakah Anda memiliki dasar dari yang untuk terus meningkatkan upaya
keamanan andbusiness kelangsungan Anda?
Sumbangan Audit internal
audit internal keamanan informasi, program BCP, dan DR sangat dianjurkan,

dan seperti yang disebutkan, telah dibahas dalam kolom sebelumnya. Dewan dan
manajemen memerlukan jaminan mengenai efektivitas upaya mereka, dan mereka
juga perlu jaminan bahwa perusahaan sedang membangun yang lebih efisien dan
operasi yang efektif. Selama setiap proyek audit internal, auditor harus
mempertimbangkan termasuk evaluasi upaya unit bisnis menjadi lebih efisien dan
efektif, dan khususnya apa inisiatif yang sedang dilaksanakan untuk meningkatkan
ketahanan operasional. Seiring waktu, fokus audit internal pada menilai upaya
manajemen untuk membuat operasi lebih dapat diandalkan akan mendukung upaya
perusahaan untuk meningkatkan proses dan sistem perusahaan-lebar. Aspek-aspek
berikut umumnya layak dipertimbangkan ketika scoping audit dari upaya ketahanan
operasional:
Secara keseluruhan tata kelola program. Bagaimana ketahanan operasional

yang didorong? Apakah program ini diberikan arah strategis yang tepat dan
investasi? (Artinya, apakah tempat organisasi mencukupi penekanan pada
perbaikan operasional?) Apakah sponsor cocok dan pemangku kepentingan
yang terlibat, yang mewakili semua bagian penting organisasi? Apakah mereka
mengambil suf bunga fi sien dalam program ini, menunjukkan dukungan
mereka melalui keterlibatan dan tindakan? Dan yang paling penting dari semua,
yang bertanggung jawab untuk keberhasilan atau kegagalan program '?
manajemen program yang sedang berlangsung. Faktor keberhasilan kritis dalam

setiap usaha BCP dan DR adalah cara di mana program yang direncanakan dan
didorong, memastikan bahwa mereka memenuhi tujuan meskipun tak
terelakkan prioritas yang bersaing perusahaan. Apakah pertimbangan
keseimbangan pengelolaan program dari banyak saling bertentangan
prioritiesmanagers wajah dengan kebutuhan penting bahwa upaya ketahanan
perusahaan sesuai? Ini bukan latihan sekali-a-tahun lagi; sedang dipersiapkan
adalah berkelanjutan, hari-in dan usaha sehari-out.
Pengelolaan sistem atau proses perubahan. Evaluasi ketahanan operasional

pasti menghasilkan sistem dan perbaikan proses. Apakah manajemen
perubahan ditangani secara efektif untuk memberikan jaminan terbaik bahwa
hasil perbaikan yang manfaat resmi dan kehandalan operasional yang terjadi?
A Long-Term Investment
Perusahaan yang ingin menerapkan budaya perbaikan terus-menerus harus

fokus pada peningkatan ketahanan operasional sistem kunci dan proses. audit
internal harus memperkuat tujuan ini dengan mengevaluasi kedua seluruh
perusahaan dan upaya unit bisnis individu untuk mengatasi risiko operasional
dengan meningkatkan operationalprocesses dan sistem. Membangun organisasi
tangguh Dibutuhkan pandangan jangka panjang dan investasi terus-menerus dari
waktu dan sumber daya manajemen, dan organisasi terkemuka melakukan
ini. Akhirnya, menyadari apa yang penting untuk pelanggan Anda adalah penting
untuk keberhasilan Anda.

cipta.
Perlindungan data
Perlindungan Data (DP) Act 1998 berarti bahwa 1984 DP Act sekarang
berlaku untuk data manual serta data yang dimiliki pada komputer. Delapan prinsip
di bawah Undang-Undang DP 1998 adalah sebagai berikut:
Prinsip Pertama. Data pribadi harus diproses secara adil dan sah dan, khususnya,
tidak akan diproses kecuali kondisi tertentu terpenuhi.
Prinsip kedua. Data pribadi harus diperoleh hanya untuk satu atau lebih spesifik
ed dan tujuan sah, dan tidak akan diproses lebih lanjut dengan cara yang tidak
sesuai dengan tujuan itu atau tujuan mereka.
Prinsip Ketiga. Data pribadi harus memadai, relevan dan tidak berlebihan dalam
kaitannya dengan tujuan atau tujuan yang mereka diproses.
Prinsip Keempat. Data pribadi harus akurat dan, jika perlu, terus up to date.
Prinsip Kelima. Data pribadi diproses untuk tujuan atau tujuan tidak akan
disimpan lebih lama dari yang diperlukan untuk tujuan itu atau untuk tujuan
mereka.
Prinsip Keenam. Data pribadi harus diproses sesuai dengan hak-hak subyek data
di bawah Undang-Undang ini.
Prinsip Ketujuh. langkah-langkah teknis dan organisasi yang tepat harus diambil
terhadap pengolahan tidak sah atau melanggar hukum data pribadi dan
terhadap kehilangan atau kerusakan, atau kerusakan, data pribadi.
Prinsip Kedelapan. Data pribadi tidak akan ditransfer ke negara atau wilayah di
luar Area Ekonomi Eropa kecuali bahwa negara atau wilayah menjamin tingkat
yang memadai perlindungan terhadap hak-hak dan kebebasan subyek data
dalam kaitannya dengan pengolahan data pribadi.
hak individu di bawah undang-undang yang tercantum:
hak akses
hak untuk mencegah pengolahan mungkin menyebabkan kerusakan atau

tekanan
hak untuk mencegah pengolahan untuk pemasaran langsung
tepat dalam kaitannya dengan otomatis pengambilan keputusan
hak untuk kompensasi
recti fi kasi, memblokir, penghapusan dan kerusakan
permintaan untuk penilaian.
subjek tmay diminta untuk membayar biaya akses yang ditetapkan oleh theo
rganization dan subjek mungkin mengeluh kepada Panitera. DP Act
menggunakan istilah yang memiliki makna yang tepat:
data pengguna - ini adalah pihak yang memegang data.
Pengolahan - ini termasuk mengubah atau menghapus data.
Data Pribadi - ini mencakup data dari yang individu yang hidup mungkin
diidentifikasi. Ini termasuk ekspresi pendapat, misalnya, X adalah utang buruk,
tapi bukan pernyataan niat, misalnya, "Kami tidak akan memberikan kredit
kepada X. ' Sementara itu, ada beberapa pengecualian dari akses, dan data
pribadi dapat diakses dalam keadaan tertentu:
Untuk keamanan nasional untuk Untuk hak istimewa tujuan back-up

kepentingan nasional Hukum dan profesional
Untuk Departemen pengumpulan klub unincorporated Untuk tujuan

pajak dari catatan Jaminan Sosial akuntansi
statistik penelitian dengan tidak ada Untuk membayar dan pensiun

nama Dengan sanksi dari Menteri
Dalam Negeri
data pribadi dapat diungkapkan dalam keadaan tertentu:
untuk alasan keamanan nasional;
dengan izin dari subjek data;
ke biro komputer (dan audit internal) sebagai bagian dari pekerjaan mereka;
untuk mencegah atau mendeteksi kejahatan;
untuk statistik penelitian - tidak ada nama yang disebutkan;
untuk tujuan penggajian dan akuntansi;
jika diperlukan oleh hukum atau oleh perintah pengadilan;
untuk mencegah kerusakan atau cedera pada seseorang.
Ada beberapa pelanggaran di bawah Undang-Undang:

1. memberikan informasi palsu atau
menyesatkan
2. menghalangi orang yang memiliki

surat perintah untuk masuk dan
inspeksi
3. tidak sesuai dengan pemberitahuan

penegakan
4. tidak mempertahankan alamat

daftar sekarang
5. melanggar persyaratan pendaftaran.
Proses penegakan melewati derajat keparahan, per Gambar 7.29.
Apakah Anda Melindungi Aset Digital Anda?
Menjaga aset telah menjadi tujuan penting dari semua organisasi selama
berabad-abad. Dalam era digital saat ini namun, apa menjaga aset Anda benar-
benar berarti? Siapa yang bertanggung jawab untuk itu? Dan bagaimana ''
perlindungan '' benar-benar tercapai. Kerangka COSO manajemen risiko perusahaan
mengakui pentingnya menjaga aset sebagai komponen implisit pengendalian
internal yang efektif. landmarknya 1992 kerangka bahkan de fi pengendalian
internal ned sebagai: '' [A] proses ... dirancang untuk memberikan keyakinan
memadai tentang pencapaian tujuan dalam kategori berikut: efektivitas dan
efisiensi operasi; kehandalan keuangan pelaporan; dan kepatuhan terhadap hukum
dan peraturan yang berlaku. ''
Anda tidak dapat memberikan jaminan yang wajar dari operasi atau
pelaporan keuangan kecuali Anda tahu apa aset Anda, di mana mereka berada, dan
siapa yang melakukan dengan mereka. Anda perlu tahu aset Anda
dilindungi. Sebelum tahun 2000, melindungi aset organisasi terutama terdiri dari
pengamanan fisik, manajemen aset (misalnya, mengambil persediaan barang
Anda), dan pemantauan nilai aset. Meskipun praktek ini masih penting dalam
lingkungan bisnis saat ini, proses tambahan, prosedur, dan kontrol yang diperlukan
untuk melindungi aset informasi kami. persentase yang tinggi dari nilai pasar
sekarang dicatat dengan aset tidak berwujud kekayaan intelektual, reputasi, brand,
dan catatan elektronik, informasi adalah sumber daya bisnis penting. Dan, seperti
dengan aset fisik di masa pasca-industri sebelumnya, kerentanan berharga aset
informasi saat ini untuk pencurian atau kriminal lainnya telah membuat
perlindungan aset seperti hal yang mendesak besar untuk semua organisasi.
Siapa yang Bertanggung Jawab Informasi Perlindungan Aset?
Sementara informasi kepala keamanan perwira dan kepala keuangan dari

perwira merupakan pemain penting mengenai informasi perlindungan aset dan
keamanan, mereka tidak '' wali '' aset informasi kritis organisasi. Misalnya, rumah
sakit, CFO tidak bertanggung jawab untuk menjaga catatan pasien; di perusahaan
asuransi, mereka bukan wali catatan pemegang polis. Di sektor farmasi atau
teknologi, mahkota permata perusahaan (kekayaan intelektualnya) tanggung jawab
langsung dari CFO atau CISO.
Semua bentuk data memiliki biaya terkait dan digunakan untuk

menghasilkan pendapatan (tagihan, biaya tahunan, royalti), dimana CISO memiliki
pengawasan utama. The CISO pada gilirannya harus memastikan integritas rantai
balak menegakkan aturan yang berlaku untuk manajer kunci dan peran petugas
yang berwenang lainnya sebagai hari-hari '' wali. '' Singkatnya, pengendalian
internal dipengaruhi oleh orang-orang setiap tingkat dari organisasi. Bahkan,
banyak manajer yang lebih langsung bertanggung jawab untuk hari-hari
perlindungan aset dari CISO atau CFO.
Apakah Implikasi?
Menangani pertanyaan-pertanyaan ini akan membantu menentukan implikasi

penting dari bagaimana melindungi aset digital Anda dan apa tindakan untuk
mengambil.
Apakah informasi sistem manajemen keamanan organisasi menjadi penting

untuk pengamanan catatan keuangan CFO? Akan sistem-sistem muncul sebagai
thekey berarti mengamankan aset organisasi?
Akan CFO dan staf fi nance perlu memahami dan menerapkan langkah-langkah
perlindungan aset informasi efektif dalam peran mereka mendukung wali aset
organisasi?
Akankah kita membutuhkan bimbingan lebih lanjut tentang definisi, klasifikasi,

dan perlindungan aset informasi?
Akan CISOs perlu bekerja lebih erat dengan dan mendidik fungsi fi nance (dan
semua departemen operasi, benar-benar) tentang bagaimana menerapkan
terbaik perlindungan informasi dan keamanan Program berkelanjutan? Jika
organisasi membangun fungsi pengelolaan data dan tata kelola data yang
kebijakan, standar, dan prosedur? Kedua fungsi dan tata kelola bisa yang
dipimpin oleh seorang manajer senior melaporkan kepada kepala operasi
perwira atau chief executive officer. Apa peran (s) bisa informasi kepala cer fi
mengambil perlindungan informasi?
Akan Dewan dan CEO perlu memberikan lebih banyak di jalan harapan?
Akan audit internal dan audit eksternal menghabiskan lebih banyak sumber daya
pada evaluasi perlindungan semua aset organisasi, fisik dan digital?
Fungsi audit internal dalam kebutuhan tertentu untuk berpikir lebih strategis
tentang keamanan perusahaan-lebar dan memastikan bahwa manajemen risiko
perusahaan-lebar adalah tema membimbing untuk memprioritaskan upaya
organisasi.
Pertanyaan Besar: Apa yang Harus Kita Lakukan?
Pertama, manajemen puncak harus mengadakan dewan eksekutif kepala-

tingkat termasuk CEO, CFO, CIO, CISO, CAE (chief executive Audit), dan kepala
lainnya termasuk kepatuhan, manajemen risiko, dan semua bidang bisnis yang
memiliki, memelihara, menggunakan, atau mengandalkan informasi. Para anggota
paling senior dari dewan ini harus memastikan semua anggota memahami
ketergantungan kritis pada keamanan informasi dan keuangan, peraturan, sosial,
dan dampak lain yang dapat menimpa organisasi jika informationsecurity
dilanggar. Pemahaman ini harus dinyatakan dalam istilah bisnis non-teknis untuk
memastikan semua orang kompeten memahami tingkat (s) risiko organisasi dapat
dan tidak dapat menerima berkaitan dengan melindungi aset informasi. Hanya
dengan tingkat komprehensif pemahaman manajemen sumber daya memastikan
didedikasikan untuk keamanan informasi dapat sejalan dengan kekritisan
perlindungan yang dibutuhkan oleh organisasi.
Sebagai langkah berikutnya, ini dewan C-level harus kolektif memastikan

solusi keamanan resourcesand di tempat yang tepat untuk mengelola risiko usaha
dalam batas-batas persyaratan eksternal dan nafsu makan bisnis untuk risiko. Dan
pemantauan keamanan harus memastikan tingkat perlindungan akan tetap berada
di placeand berfungsi. The bottom line: Manajemen puncak harus menerapkan
program manajemen keamanan informasi yang benar-benar pengamanan seluruh
aset organisasi.
Organisasi yang belum melakukannya sudah harus segera:
Diskusikan keamanan informasi dengan papan dan manajemen senior,

memastikan pemahaman mereka tentang risiko utama dan memperoleh
dukungan mereka untuk kontrol yang diperlukan;
investasi Tautan keamanan dan resourcing dengan prioritas bisnis inti dan
hasil riskassessment;
Leverage yang standar keamanan, bimbingan, dan praktek dan

mendefinisikan sistem manajemen keamanan informasi organisasi yang ada;
Secara eksplisit menetapkan tanggung jawab dan akuntabilitas untuk

melindungi aset informasi di seluruh organisasi;
Tinjau ulang IT dan strategi terkait untuk menyelaraskan upaya bisnis dan TI,
dan memastikan bahwa persyaratan keamanan informasi yang menyeluruh
secara eksplisit de fi ned;
Inventarisasi dan mengklasifikasikan informasi organisasi: Identifikasi itu,
menetapkan wali bisnis untuk itu, dan menentukan cara terbaik untuk
melindunginya berdasarkan hasil penilaian risiko;
Menerapkan praktik keamanan umum dan solusi untuk memenuhi kebutuhan

bisnis dan mematuhi pernah memperluas persyaratan kepatuhan terhadap
peraturan;
Mengidentifikasi peluang perbaikan terus-menerus dan memprioritaskan

mereka, dan kemudian berinvestasi dalam meningkatkan ketahanan
operasional organisasi;
Memperkuat program kelangsungan bisnis;
Con angka keamanan ke kedua proses bisnis dan mendukung sistem TI,
untuk memperkuat praktik keamanan teknis dan prosedural;
Sertakan '' Perlindungan Aset di Era Digital '' sebagai salah satu item
pembahasan dalam kinerja bisnis Ulasan pertemuan kuartalan, dan
mengembangkan rencana aksi untuk perbaikan yang diperlukan.
Kita harus membangun keamanan ke dalam dan di semua upaya

organisasi. The CISO dan CFO masing-masing memiliki mandat untuk bekerja
dengan pemain perusahaan kunci lainnya - dan terutama wali bisnis aset informasi -
untuk memastikan perlindungan aset yang efektif. Ini adalah de fi nitely tanggung
jawab bersama oleh berbagai pemain di seluruh organisasi.Pertanyaannya adalah,
apakah para pemain bekerja sama untuk memastikan perlindungan aset yang
efektif? Atau apakah mereka bekerja pada tanggung jawab penting ini dalam silo,
sehingga hal-hal jatuh antara celah-celah? Apakah kita juga menangani
perlindungan informasi dalam semua kegiatan outsourcing yang begitu umum hari
ini?
Para pemimpin juga perlu memastikan bahwa semua vendor, pemasok, dan
pihak ketiga lainnya bertanggung jawab untuk melindungi informasi yang
digunakan dalam kegiatan outsourcing termasuk dalam campuran perlindungan
aset informasi dan tindakan keamanan.
Sebagai seorang rekan baru-baru ini menunjukkan, kita perlu menjauh dari
keuangan, operasional, dan berpikir teknologi dan keputusan terhadap metodologi
berpikir kritis dimaksudkan untuk memaksimalkan manfaat bagi perusahaan secara
keseluruhan, tidak subunit itu. Yang didasarkan pada penilaian risiko perusahaan-
lebar dan manajemen. Apakah semua aset organisasi Anda tepat dilindungi di era
digital? Saya sarankan membuat ini menjadi topik diskusi pada pertemuan komite
manajemen berikutnya, atau lebih baik lagi, meletakkannya di agenda dewan. Nada
yang efektif di atas dimulai dengan manajemen puncak dan dewan mengambil
tindakan untuk menerapkan kontrol keamanan yang sesuai.
cipta.
Teknik Audit dibantu komputer (CAATs)
auditor internal dibebankan

dengan mengamankan suf bukti fi sien
untuk mendukung temuan audit mereka
dan ada gunanya, bukti ini harus dapat
dipercaya. Auditor perlu menguji kontrol
otomatis dan memilih dan transaksi tes
yang diselenggarakan pada komputer fi
les. Untuk mengekstrak bukti yang
diperlukan dan memenuhi dua tujuan
tersebut perlu bagi auditor untuk masuk
ke dalam sistem (yaitu komputer) dan
mengamankan semua data
otomatis. Hal ini terjadi selama
pengujian rutin di mana kontrol sedang
diuji baik untuk kepatuhan atau untuk
efektivitas.Karena posisi khusus auditor dalam organisasi dan kebutuhan untuk
mengasumsikan tingkat kemandirian, tidak disarankan untuk mengandalkan
manajemen untuk memberikan semua bukti yang diperlukan. Ini idealnya harus
diekstrak oleh auditor, dan fakta bahwa hal itu mungkin akan diadakan pada media
magnetik tidak akan mempengaruhi ini. Auditor kemudian harus menggunakan
fasilitas otomatis untuk membantu audit
operasi komputerisasi dan ini adalah
CAATs. Proses untuk menerapkan paket
interogasi audit diilustrasikan pada Gambar
7.30.
audit internal harus memastikan bahwa mereka

memiliki akses penuh ke semua sistem
organisasi dan bahwa akses ini tersedia dari
dalam mereka kantor-kantor. Download adalah
fasilitas lain yang harus tersedia di mana data
yang relevan dijamin oleh auditor untuk impor
menjadi interrogationpackage cocok. data
otomatis harus tunduk mengaudit pengujian
seperti sumber informasi lain yang. Hubungan
antara data uji dan fasilitas penyelidikan dapat diilustrasikan seperti pada Gambar
7.31.
CAATs harus digunakan untuk mencapai tujuan kontrol dan ini cenderung
berlaku untuk berbagai rutinitas pengujian bahwa auditor mungkin telah
dirancang. Kita seharusnya tidak membangun atau memperoleh seperangkat teknik
canggih mencari masalah yang cocok untuk memecahkan. Dalam memilih teknik
yang paling tepat untuk menggunakan auditor dapat mempertimbangkan sejumlah
faktor:
tingkat jaminan bahwa auditor memerlukan;
tingkat keahlian teknis yang tersedia untuk departemen audit;
pentingnya sistem;
apakah review adalah satu-off atau masalah berkelanjutan;
waktu set-up dan biaya;
pendekatan audit yang dianut;
tingkat kemandirian yang diperlukan;
waktu dan biaya pemeliharaan teknik;
kompleksitas tes audit.
software interogasi, seperti namanya, dapat digunakan untuk menganalisis
data yang didownload dari komputer fi les. Hal ini penting ketika menerapkan tes
berjalan-melalui, tes kepatuhan tes andsubstantive. Di mana paket seperti IDEA
diterapkan auditor komputer dapat:
1. pilih transaksi dari fi le sebagai download;
2. ekstrak pengecualian untuk perhatian khusus - kita dapat mencari keanehan,

item luar fi de berbagai ned, duplikasi, barang yang hilang dari urutan nomor,
penyimpangan, medan yang tidak valid dan segera;
4. membuat analisis frekuensi dan pola dengan tujuan untuk mengisolasi bidang
yang menjadi perhatian;
5. Data mengelompokkan;
6. Data 5. memvalidasi;
7. audit buat ulang;
8. item sorot tidak sesuai dengan aturan sistem, tidak masuk akal, kepentingan
audit, atau pengolahan digandakan;
9. menggunakan ini untuk menipu fi rm bahwa sistem ini tidak bekerja, masukan
yang salah atau yang pengolahan yang salah.
Hal ini berguna dengan volume data yang tinggi, kurangnya audit trail,
transaksi yang dihasilkan komputer, kurangnya hasil cetakan, atau lingkungan
paperless. auditor dapat mempertanyakan apakah manajemen harus memiliki
akses ke dan akan menggunakan informasi yang dihasilkan khusus tersebut dan ini
dapat menjadi audit fi nding. Data uji dapat digunakan untuk menciptakan jenis
transaksi yang sistem akan memproses dan menguji fungsi yang benar dari kontrol
sistem. Hai untuk dicatat mengenai penggunaan data uji:
untuk menguji logika pengolahan;
untuk menguji operasi yang benar dari kontrol;
untuk menguji algoritma dalam program;
tidak perlu bergantung pada produksi normal run;
hanya dapat menguji kontrol yang terbentuk sebelumnya yang

didokumentasikan.
Ada cara alternatif yang menguji data yang dapat diterapkan:
1. pengolahan Hidup / data hidup. Data yang sesuai dengan persyaratan tes
harus ditemukan dengan memilah data input.
2. Data Dummy / pengolahan hidup. Sebuah tingkat yang lebih tinggi jaminan
akan diperlukan untuk meniadakan korupsi dengan penyesuaian manual dan
jurnal. Ini harus didiskusikan dengan manajer IS terlebih dahulu.
3. Data Dummy / pengolahan dummy. Hal ini dapat mencakup semua fitur dari
data. Hal ini dijalankan terhadap salinan fi les dan program sehingga tidak
mengganggu proses. Program boneka mungkin, bagaimanapun, menjadi
usang dan perlu dipertahankan.
4. Uji Generator data. Hal ini menciptakan volume besar data uji melalui
perangkat lunak utilitas. Bukti yang dihasilkan komputer dapat digunakan di
pengadilan jika aturan-aturan tertentu yang dipatuhi:
kasus perdata
Informasi ini berasal dari data yang diberikan ke komputer.
Komputer bekerja dengan benar dan secara teratur digunakan untuk tujuan
tersebut.
Data teratur disediakan.
Bukti harus secara hukum diterima.

kasus kriminal
Tidak ada alasan untuk komputer yang tidak akurat dan kesalahan dalam
komputer tidak mempengaruhi data.
A fi cate sertifikasi ditandatangani oleh yang bertanggung jawab perwira

diperlukan, yang mengidentifikasikan data dan thecomputer.
Bukti sesuai dengan hukum yang relevan.
aplikasi Auditing
Strategi IS, IS keamanan dan metodologi melalui sistem baru dan

ditingkatkan dikembangkan dan dibawa secara online semua berkontribusi terhadap
lingkungan pengendalian untuk sistem informasi. Lingkungan ini memastikan bahwa
aplikasi seperti toko, pendapatan, pembayaran, proses bisnis, manajemen kinerja,
akuntansi finansial, penganggaran, pemesanan, sistem perencanaan dan
sebagainya diterapkan dengan cara yang terkendali. sistem informasi akan memiliki
komponen dasar dari input, proses dan output sebagai data dijabarkan ke dalam
informasi, yang kemudian mendukung pengambilan keputusan. Hal ini
dimungkinkan untuk mengaudit aplikasi dengan mempertimbangkan beberapa
kontrol standar lebih input, proses dan output dan daftar kontrol tersebut dapat
digunakan untuk memastikan informasi yang lengkap, handal, resmi dan benar
diproses dan disimpan. Perhatikan bahwa cara terbaik untuk mengembangkan
kontrol adalah untuk melakukan penilaian risiko dan membangun solusi kontrol
sekitar strategi manajemen risiko yang jelas yang membahas risiko fi kan lebih
signifikan. Sebuah daftar kemungkinan kontrol aplikasi berikut: Ada beberapa
kontrol input dasar:
prosedur pengguna Otorisasi
pelatihan staf dan rekrutmen Kelengkapan, misalnya nomor bets
sidang disipliner dengan penghapusan kontrol Batch (jika perlu)

instan dari staf
masukan yang dirancang dengan baik
Pemisahan tugas dokumen dokumen Turnaround
pembatasan akses fisik Validasi (display data setelah rutin)

cek Akurasi
Firewall dan rutinitas otentikasi
Akses, keamanan dan password
enkripsi mengontrol Panggil kembali untuk
akses jarak jauh
software anti-virus
Kontrol total angka Sequential
Ganda keying dan verifikasi
e-transfer resmi Pengawas ulasan dan
otorisasi
Dikontrol Pesan kesalahan tulis Validasi - kisaran, format, kewajaran
kontrol pengolahan diatur dalam perangkat lunak aplikasi yang mendasari

dan mencakup:
lebih dari aliran fl ags yang menunjukkan di mana kelebihan digit telah
digunakan;
Kisaran cek - sehingga transaksi harus antara, katakanlah, 0 dan 20.000;
cek validitas - mengatakan, memeriksa bahwa kode yang benar telah digunakan;
Format cek - Pastikan item adalah baik alpha atau numerik;
cek kompatibilitas - memastikan bahwa lapangan konsisten digunakan;
pemeriksaan pengecualian - misalnya, lembur hanya diberikan kepada nilai

tertentu perwira;
kontrol sistem kegagalan;
fi le identifikasi kontrol fi kasi;
run-to-menjalankan kontrol - misalnya, jumlah gaji kotor dari program Gross Pay
harus menjadi masukan untuk program Pay Net;
menduplikasi cek masukan;
urutan pemeriksaan pada penomoran berturut-turut;
digit cek;
pemeriksaan kelengkapan, misalnya, semua ladang tertutup dan semua data

menyumbang;
program validasi keseluruhan;
rekonsiliasi medan terkait;
checkpointing - menyimpan transaksi pada titik tertentu dalam waktu;
rutinitas logis;
record count;
total kontrol;
hilang cek data;

cek limit;
prosedur pemulihan;
laporan pengecualian.
output kontrol meliputi:
Laporan cocok;
dokumen kerja;
dokumen referensi;
laporan kesalahan;
pengaturan keamanan yang baik untuk laporan sesuai dengan aturan DP;
prosedur manual untuk memastikan semua laporan mencapai tujuan mereka;
tampilan layar terbatas petugas yang berwenang;
prioritas output;
keamanan lebih alat yang berharga;
pemeriksaan independen atas semua output;
laporan hanya dikirim ke pengguna yang berwenang;
mekanisme untuk memastikan bahwa output diterima secara tepat waktu;
theappropriatemediaused;
format yang sesuai;
terencana kesalahan dan pengecualian laporan;
umpan balik pengguna untuk memastikan bahwa laporan tidak lagi dikirim di
mana mereka tidak digunakan;
jadwal kelengkapan output yang diharapkan;
data dengan cepat dikirim kembali ke mana pun diperlukan;
pengecualian diselidiki oleh jawab perwira;
semua output yang diharapkan diterima;

jejak transaksi yang memadai tersedia sehingga data dapat ditelusuri ke asli
atau melalui sistem;
printer aman;
pembuangan dokumen dan laporan;
aturan tentang retensi dokumen otomatis dan penyimpanan;
laporan pengecualian;
penomoran halaman;
Shredders untuk limbah bersifat rahasia con fi.
Pendekatan audit tradisional untuk sistem informasi adalah typi fi ed oleh rim
menganalisis auditor dari cetakan komputer. Mengabaikan keberadaan manajemen
komputer dan klien isrelied untuk memberikan informasi auditor
membutuhkan. Dalam keadaan di mana audit beroperasi secara konsultasi, ini bisa
diterima. Dalam kegiatan usahanya, maka perlu untuk mempertahankan tingkat
kemandirian dan mengadopsi garis yang lebih proaktif. auditor harus beable untuk
berdiri kembali dari manajemen dan mampu mengamankan informasi yang
diperlukan. Ini baik dapat dilakukan melalui penghubung dengan dukungan IS atau
membangun fasilitas audit khusus ke dalam sistem pada tahap
pengembangan. Atau, departemen audit dapat mengembangkan Suite sendiri
software untuk mengekstrak data dan kontrol tes. IS audit kemudian datang ke
dalam sendiri, tetapi jika ini tidak ditangani, fungsi audit akhirnya akan menjadi
terkunci dari systems.The komputerisasi organisasi IS auditor harus menghabiskan
waktu bekerja dengan auditor lainnya pada kebutuhan interogasi mereka dan
bagaimana data uji akan dikembangkan dan diterapkan.CAE harus memastikan
bahwa hal ini terjadi dan kebijakan thataudit membangun dalam masalah penting
ini.
Audit Keamanan Informasi: Apakah Anda Protected?
Baru saja saya membaca bahwa banyak orang khawatir tentang kematian,
terutama dengan cara yang sangat menakutkan: ular berbisa atau laba-laba, atau
bahkan serangan buaya. Artikel Thissame mencatat bahwa berdasarkan dari fi
statistik kematian resmi, sebagian besar peopleactually meninggal akibat kronis
kesehatan: serangan jantung, obesitas, dan penyakit lainnya yang dihasilkan dari
perhatian miskin untuk jangka panjang pribadi fi fitness. Pada tahun 2003, kematian
disengaja di Amerika Serikat berjumlah sekitar 100.000; kematian yang
berhubungan dengan kesehatan kronis lebih dari 2,4 juta. Intinya adalah orang
harus memusatkan perhatian mereka di thecorrect tempat ketika mereka
mempertimbangkan apa yang akan paling memengaruhi kualitas hidup
mereka. Masalah yang sama persis ada di organisasi mana dewan dan manajemen
mustensure mereka membangun dan mempertahankan kesehatan jangka panjang
organisasi.Konsep ini juga berlaku ketika audit keamanan informasi. Apakah
program keamanan informasi Anda perlu pergi ke gym, mengubah pola makannya,
atau mungkin keduanya? Saya sarankan Anda mengaudit program Anda untuk fi nd
keluar. Departemen audit internal harus kesehatan evaluatethe perusahaan - yaitu,
auditor internal harus mengevaluasi fungsi kritis organisasi untuk keberlanjutan
jangka panjang. Apakah upaya manajemen risiko mengidentifikasi dan fokus pada
risiko yang tepat? Apakah manajemen senior mendorong tingkat yang tepat dari
mengambil resiko dalam toleransi didefinisikan de fi? Apakah status quo menantang
secara teratur? Perusahaan isthe dianggap sebagai tempat yang baik untuk
bekerja? Apa yang bisa membawa organisasi ke bawah, dan langkah-langkah untuk
mencegah atau mengurangi kemungkinan bahwa (misalnya, dengan menjalankan
skenario kelangsungan dan latihan)?
Untuk itu, audit internal harus memiliki pembicaraan rutin dengan

manajemen dan dewan mengenai upaya keamanan informasi organisasi. Apakah
manajemen dan staf mengantisipasi kebutuhan besok? Membangun organisasi ''
kegiatan keamanan muscle''for kritis (pengembangan kebijakan, kesadaran dan
pendidikan, pemantauan keamanan, arsitektur keamanan, pengembangan kode
aman, penelitian dan pengembangan, dan sebagainya)? Apakah ada proses
perencanaan keamanan andprogram komprehensif? Apakah ada visi strategis, misi,
rencana strategis, atau rencana taktis untuk keamanan yang terintegrasi dengan
bisnis? Dapat tim keamanan dan manajemen mempertahankan mereka sebagai
bagian dari melakukan sehari-hari kerja?Adalah program keamanan informasi
difokuskan pada kebutuhan perlindungan informasi penting organisasi, atau itu
khawatir tentang kecelakaan? Apakah hasil dari upaya keamanan dilaporkan secara
teratur?
mengevaluasi Keamanan
Peran yang tepat dari audit internal mengenai keamanan informasi bervariasi
antara perusahaan, tetapi selalu memberikan kesempatan yang signifikan untuk
audit internal todeliver nilai nyata bagi dewan dan manajemen. auditor internal
harus memainkan peran penting dalam memastikan bahwa upaya keamanan
informasi memiliki organisasi efek Onan positif dan melindungi organisasi dari
bahaya. Mengapa khawatir begitu banyak keamanan
aboutinformation? Mempertimbangkan beberapa alasan mengapa organisasi perlu
untuk melindungi theirinformation:
Ketersediaan. Dapat organisasi Anda memastikan akses yang cepat untuk

informasi atau systemsto resmi pengguna? Apakah Anda tahu apakah informasi
penting Anda secara teratur didukung-up dan dapat dengan mudah
dikembalikan?
Integritas data dan sistem. Papan dan komite audit percaya diri mereka dapat
yakin bahwa informasi ini belum diubah dalam unauthorizedmanner dan bahwa
sistem bebas dari manipulasi tidak sah yang couldcompromise kehandalan?
Con fi kerahasiaan data. Dapatkah Anda memberitahu pelanggan Anda dan

karyawan bahwa informasi non publik mereka aman dari akses yang tidak sah,
pengungkapan, atau menggunakan?Ini adalah fi signifikan risiko reputasi tidak
bisa hari ini!
Akuntabilitas. Jika informasi telah diganggu, dapat Anda melacak tindakan untuk
sumber mereka?
Audit keamanan informasi dapat mengambil banyak bentuk. Pada sederhana,

auditor akan meninjau rencana program keamanan informasi, kebijakan, prosedur,
dan inisiatif baru kunci, ditambah memegang beberapa wawancara dengan
stakeholder kunci. Di kompleks yang paling, tim audit internal yang besar akan
mengevaluasi hampir setiap aspek securityprogram dan bahkan melakukan
pengujian intrusi. Keragaman ini tergantung pada risiko, persyaratan jaminan
dewan dan manajemen eksekutif, dan keterampilan dan kemampuan
auditor. Misalnya, jika organisasi mengalami extensivechange dalam aplikasi IT
portfolio atau IT infrastruktur, yang akan menjadi waktu yang tepat untuk penilaian
yang komprehensif dari program keamanan informasi secara keseluruhan (mungkin
terbaik sebelum atau setelah perubahan). Jika audit keamanan tahun lalu adalah
positif, mungkin audit khusus dari kegiatan tertentu atau e-commerceapplication
penting akan berguna. Evaluasi audit yang dapat, dan sering kali harus, bepart dari
jangka panjang (baca: multi-tahun) penilaian audit hasil keamanan.
Mendefinisikan tujuan audit, tujuan, dan ruang lingkup untuk review

informationsecurity adalah penting langkah pertama. program keamanan informasi
organisasi dan langkah-langkah itsvarious mencakup rentang luas peran, proses,
dan teknologi, dan sama pentingnya, mendukung bisnis dalam berbagai
cara; keamanan adalah sistem kardiovaskular dari suatu organisasi dan harus
bekerja setiap saat. Firewall, teknologi pemantauan, perangkat lunak enkripsi,
jaringan desain arsitektur, manajemen aset desktop solusi manajemen identitas,
solusi ketersediaan tinggi, manajemen perubahan dan mengubah sistem audit,
solusi kontrol akses logis - sistem keamanan listof, teknologi, dan proses yang
digunakan hampir tak ada habisnya . Tahap perencanaan audit perlu memastikan
fokus yang tepat dan kedalaman evaluasi audit. auditor internal harus menentukan
tingkat keterlibatan mereka, yang terbaik pendekatan audit untuk mengambil
selama perencanaan audit, dan keahlian yang mereka butuhkan.
Keputusan tentang bagaimana agresif audit internal harus mengevaluasi

keamanan informasi harus didasarkan pada penilaian risiko audit dan termasuk
faktor-faktor seperti riskto bisnis kompromi keamanan aset kritis (informasi atau
sistem), pengalaman dari tim manajemen keamanan informasi, ukuran dan
kompleksitas organisasi dan program keamanan informasi itu sendiri, dan tingkat
perubahan inthe bisnis dan dalam program keamanan informasi. keamanan
informasi standardsdictate bahwa kontrol keamanan informasi harus dipilih dalam
terang penilaian risiko aset-tingkat. Menggabungkan aset masuk akal ketika
seseorang berhadapan dengan sekelompok aset seperti terkena risiko yang sama
( '' risiko '' menjadi fi de didefinisikan sebagai kemungkinan suatu fi ancaman
mampu mengidentifikasi mengeksploitasi spesifisitas c kerentanan). Audit
keamanan informasi harus, karena itu, termasuk mengaudit proses penilaian risiko
organisasi dan kelayakan kontrol yang dipilih, dilaksanakan, dipantau, Ulasan, dan
diperbarui sebagai hasil dari penilaian risiko.
Pindah Untuk Continuous Improvement
Seperti kebanyakan audit, audit program keamanan informasi secara umum

akan melibatkan tiga fase: perencanaan, kerja lapangan, dan pelaporan. program
keamanan informasi, bagaimanapun, datang dalam berbagai bentuk dan ukuran,
sehingga audit keamanan informasi harus fleksibel dan berbasis risiko. audit harus
mendorong organisasi untuk membangun kekuatan, daya tahan, dan ketangkasan
dalam upaya program keamanannya. Selama fase perencanaan, tim audit
theinternal harus memastikan bahwa semua isu-isu kunci dianggap, bahwa tujuan
audit akan memenuhi kebutuhan jaminan organisasi, bahwa ruang lingkup kerja
konsisten dengan tingkat sumber daya yang tersedia dan berkomitmen, koordinasi
yang andplanning dengan IT dan staf keamanan informasi telah efektif, dan bahwa
program kerja dipahami dengan baik oleh semua orang yang terlibat. Adalah
penting bahwa ruang lingkup audit menjadi didefinisikan menggunakan pendekatan
berbasis risiko untuk memastikan bahwa prioritas diberikan kepada daerah yang
lebih penting. aspek yang kurang penting keamanan informasi dapat ditinjau dalam
audit terpisah di kemudian hari. Pada tahap kerja lapangan fi, auditor menganalisis
berbagai komponen program keamanan informasi berdasarkan lingkup diidentifikasi
dalam tahap perencanaan. Di antara beberapa pertanyaan penting yang mungkin
akan diminta dalam audit khas adalah:
Apakah program keamanan informasi mencerminkan risiko dan kompleksitas

organisasi?
Apakah program aktif menyelidiki dan menerapkan cara-cara baru untuk

melindungi organisasi dari bahaya berdasarkan tren ancaman?
Apakah ada pendidikan dan kesadaran aktif usaha, sehingga manajemen dan
staf memahami peran masing-masing dan tanggung jawab?
Apakah langkah-langkah keamanan dan kontrol diuji secara teratur untuk

efektivitas operasional, dan tindakan korektif terjadi?
Apakah kinerja yang diukur dan dilaporkan kepada pemangku kepentingan?
Bagaimana keamanan organisasi dibandingkan dengan organisasi sejenis

lainnya dikelola dengan baik?
tes Audit dapat mencakup meninjau rencana Program dan anggaran,

wawancara eksekutif kunci, melihat materi pelatihan keamanan, meninjau rencana
uji manajemen untuk mengevaluasi efektivitas operasi dari upaya keamanan dan
hasil mereka, meninjau komunikasi manajemen untuk karyawan mengenai
pentingnya keamanan untuk organisasi dan bagaimana memberikan kontribusi
untuk kesuksesan jangka panjang, dan mempelajari dukungan dan tren untuk
pelaporan kinerja. Pada sisi yang lebih teknis, cobalah menilai praktik deteksi
intrusi;pengujian kontrol akses fisik dan logis; dan usingspecialized alat untuk
menguji mekanisme keamanan dan potensi eksposur. Evaluasi upaya kelangsungan
bisnis dan pemulihan bencana bisa dipertimbangkan juga.
Intinya adalah bahwa auditor internal harus menjadi dokter perusahaan: (1)
menyelesaikan pemeriksaan fisik rutin yang menilai kesehatan organ vital
organisasi dan memverifikasi bahwa bisnis mengambil langkah yang diperlukan
untuk tetap sehat dan aman, dan (2) mendorong manajemen dan papan untuk
berinvestasi dalam praktek keamanan informasi yang berkontribusi terhadap kinerja
yang berkelanjutan dan menjamin perlindungan yang handal dari aset penting
organisasi.

cipta.
7.7. Kepatuhan
The IIA Atribut penawaran Standar 1220.A1 dengan perawatan profesional
karena dan mengatakan bahwa auditor internal harus mempertimbangkan:
Tingkat kerja yang diperlukan untuk mencapai tujuan keterlibatan ini;
Relatif kompleksitas, materialitas, atau signifikansi dari hal-hal yang prosedur

Kecukupan dan efektivitas pemerintahan, manajemen risiko, dan proses kontrol;
Probabilitas signi fi kesalahan tidak bisa, penipuan, atau ketidakpatuhan; dan
Kami telah menunjukkan sebelumnya bahwa IIA Standar Kinerja 2120.A1

mengatakan bahwa aktivitas audit internal harus mengevaluasi eksposur risiko
yang berkaitan dengan organisasi pemerintahan, operasi andinformation sistem
mengenai:.
Keandalan dan integritas keuangan dan informasi operasional.
Efektivitas dan efisiensi operasi.
Pengamanan aset.
Memenuhi hukum, peraturan, dan kontrak.
Kepatuhan adalah masalah bagi auditor internal dan selama audit, penilaian
akan dibuat dari sejauh mana usaha yang mengikuti hukum, peraturan dan standar
kontrol. Kinerja Standar 2210.A3 con fi rms bahwa:
auditor internal harus meninjau operasi dan program untuk memastikan

sejauh mana hasil yang konsisten dengan tujuan didirikan dan tujuan untuk
menentukan apakah operasi dan program-program yang sedang dilaksanakan atau
dilakukan sebagaimana dimaksud.
Sementara kepatuhan dan isu-isu yang berkaitan dengan keteraturan dan

kejujuran umumnya terkait dengan tujuan audit utama dalam menilai signi fi risiko
tidak bisa dan kontrol, ada saat-saat audit internal mungkin perlu untuk memulai ke
penyelidikan spesifik masalah yang terkait. Di banyak negara maju, kegagalan
untuk menunjukkan kepatuhan dengan anti pencucian uang dapat menyebabkan
kemungkinan penutupan usaha, penyitaan aset atau pencabutan izin
operasi. Beberapa tim audit yang memiliki ulasan kepatuhan dibangun ke mereka
dari fi istilah resmi acuan. Misalnya, review langkah-langkah keamanan mungkin
akan menemukan bahwa bagian-bagian terpencil organisasi mungkin telah gagal
untuk memenuhi standar keamanan perusahaan seperti yang digambarkan di
bawah ini:
Polisi telah menyerukan penyelidikan setelah wisatawan zaman baru

ditemukan hidup di sebuah perkebunan ganja governmentlicensed. Gadis remaja
telah memarkir bus berkarat nya antara tanaman 12 ft tinggi dan membantu
dirinya untuk tanaman, yang seharusnya dijaga oleh seorang petani ... polisi
mengunjungi perkebunan setelah tip-off bahwa langkah-langkah keamanan yang
'tidak ada '...
Ada banyak bank, keuangan perusahaan jasa, besar ts ritel keluar fi dan
organizationsthat lainnya baik sangat diatur atau terdiri dari ratusan cabang
bermerek menggunakan sistem keuangan operasional dan fi
samebasic. Kekhawatiran utama dari papan adalah bahwa bagian dari
theorganizations yang keluar dari langkah dengan persyaratan dan tim audit
internal dibebankan dengan melaksanakan ulasan kepatuhan sebagai cara utama
mengatasi risiko tingkat tinggi ini. Otomatis dataanalysis memungkinkan tim audit
yang seperti itu untuk menargetkan daerah berisiko tinggi mereka dengan masalah
yang mungkin dari non-kepatuhan. Namun, proposisi nilai tambah adalah bahwa
ulasan kepatuhan adalah kekuatan utama dari pekerjaan audit internal.
Dalam hal dari tinjauan berkelanjutan sesuai dengan yang ditetapkan

prosedur di sektor-sektor berisiko tinggi seperti perbankan, jasa keuangan dan ritel,
pengujian reguler dan kunjungan ke perusahaan lokal adalah fitur utama dari
pekerjaan audit. Manajemen harus menetapkan prosedur operasional dan standar
yang sesuai dari manajemen finansial untuk semua operasi, terutama untuk lokasi
terpencil dan kegiatan desentralisasi. Mereka juga harus memeriksa sejauh mana
standar ini sedang diterapkan. Sebuah program formal kunjungan kejujuran dapat
ditugaskan dan dilakukan mungkin atas dasar spot-cek. audit internal akan
merekomendasikan manajemen membuat kunjungan ini sebagai bagian dari sistem
kontrol atas operasi ini desentralisasi. Hal ini belum tentu peran utama audit
internal untuk melakukan pemeriksaan kejujuran ini. Mungkin fungsi audit
diperlukan untuk mengoperasikan serangkaian pemeriksaan kepatuhan sebagai
bagian dari peran mereka dalam organisasi. Sebuah hal formal acuan dan anggaran
untuk pekerjaan yang akan diperlukan dan ini harus ditetapkan dan disepakati
dengan manajemen. audit kejujuran harus dilakukan melalui program yang
disepakati kunjungan yang mungkin dijadwalkan baik di muka. Istilah 'Program' juga
dapat merujuk pada jadwal yang mencatat tugas-tugas yang harus diselesaikan
selama audit, yang harus disusun oleh manajer audit. program standar dapat
diterapkan, tetapi mereka harus disesuaikan dengan audit kejujuran yang
sebenarnya thatis yang dilakukan dan, dengan demikian, adalah praktik yang baik
untuk mengadakan serangkaian program ini di auditlibrary tersebut. Prosedur untuk
melaksanakan audit kejujuran adalah sebagai berikut:
1. Pekerjaan akan disepakati dengan manajemen senior dan ini mungkin

melibatkan kunjungan satu atau serangkaian kunjungan diprogram.
2. manajer lini yang sesuai harus dihubungi dan tanggal yang ditetapkan untuk
kunjungan. Hal ini dimungkinkan untuk mendistribusikan informasi audit brosur
sebelum kunjungan ini.
3. Hal ini dimungkinkan untuk menerapkan dokumentasi standar untuk ini

pekerjaan audit terprogram. Kunjungan kejujuran seharusnya tidak
diperbolehkan untuk mengkonsumsi sumber daya yang berlebihan audit dan
pendekatan akan menerapkan staf junior sedapat mungkin dan bekerja untuk
anggaran ketat hingga, katakanlah, seminggu. Ini akan tergantung pada jenis
audit.
4. Kunjungan ke instansi remote / operasi harus mencakup:
cash-up;
vouching sampel transaksi dari pengaturan perbankan;
pemeriksaan persediaan meliputi semua barang berharga dan bergerak;
memeriksa sampel pembelian lokal dan tes untuk kepatuhan, integritas dan
efek pada pusat biaya;
program tes diterapkan ke semua daerah yang mungkin rentan terhadap

penipuan atau ketidakteraturan;
verifikasi dari sampel kembali dibuat untuk kepala kantor;
pemeriksaan lain yang diperlukan atau setuju dengan manajemen.
5. Pekerjaan yang dilakukan harus memenuhi standar yang ditetapkan dalam

audit manual dan dokumentasi yang tepat dan format laporan harus disepakati
dengan manajer audit.
6. Standar review harus sesuai dengan manual audit, dan pengawasan review dan
penilaian kinerja dokumen harus digunakan oleh manajemen audit.
Di mana tidak mungkin untuk sumber daya audit kejujuran, pendekatan

alternatif akan menasihati manajemen tentang cara terbaik karya bisa
diselenggarakan. Ini mungkin termasuk membantu dalam proses. dari penyusunan
program audit kejujuran yang relevan bersama dengan menyediakan manajemen
dengan dukungan dan pelatihan. Manajemen dibebankan tidak hanya dengan
membangun prosedur yang cocok untuk mengendalikan sumber daya mereka,
tetapi juga dengan memastikan bahwa prosedur ini dipenuhi. Kami berpendapat
bahwa sebagai bagian dari peran konsultan Audit adalah mungkin untuk melakukan
pemeriksaan pada kepatuhan atas nama manajemen dan ini harus mengikuti
prosedur yang sama dijelaskan di atas. Setelah mengatakan ini, ada banyak
perusahaan di mana audit kepatuhan adalah norma dan satu perusahaan
menggambarkan pekerjaan audit sebagai: 'audit kepatuhan masing-masing cabang
dua kali setahun. Periksa prosedur perusahaan dan kepatuhan peraturan untuk
industri game pada penipuan dan pencucian uang. kerja berbasis komputer dengan
banyak persiapan membuat kunjungan lebih pendek dan lebih efisien. Mencoba CSA
tapi tidak bekerja karena alasan operasional. ' Ada poin tambahan untuk pekerjaan
berbasis kepatuhan:
1. Area dapat berkisar dari kesehatan dan keselamatan, perlindungan data,

pengaturan keamanan, peraturan finansial, prosedur operasional,
pengendalian anggaran, legislasi perlindungan karyawan, kesempatan yang
sama melalui pernyataan kebijakan tingkat tinggi. auditor membutuhkan
pemahaman yang jelas tentang persyaratan kepatuhan dan dasar dalam
undang-undang.
2. Daerah yang paling terpengaruh oleh kebutuhan untuk mematuhi harus

diidentifikasi dan terdaftar.
3. kepatuhan Manajemen pemeriksaan harus dipastikan dan dievaluasi untuk

kecukupan dan efektivitas.
4. Sebuah program tes harus dirumuskan dan disepakati dengan manajer audit
dan klien.
5. Program uji harus dengan standar profesional yang ditetapkan di seluruh

manual.
6. Standar yang sama dokumentasi dan review harus diterapkan untuk pengujian
kepatuhan.
Ada massa yang tumbuh dari aturan dan peraturan yang perlu dicermati oleh
badan hukum dan contoh dari beberapa ini termasuk berikut:
Hak Kerja (Dispute Resolution) Act 1998
Hak Asasi Manusia Act 1998 - hak untuk hidup, larangan penyiksaan, pelarangan
perbudakan dan kerja paksa, hak atas kebebasan dan keamanan, hak untuk
pengadilan yang adil, tidak ada hukuman tanpa lawfulauthority, hak untuk
menghormati keluarga dan kehidupan pribadi, kebebasan berpikir, hati nurani
andreligion, kebebasan berekspresi, kebebasan berserikat dan berkumpul, hak
untuk menikah, larangan diskriminasi, perlindungan hak milik, hak atas
pendidikan, hak untuk freeelections
Nasional Upah Minimum Act 1998
Kepentingan Umum Pengungkapan Act 1998
Waktu Peraturan Kerja 1998
Data Protection Act 1998
Undang-Undang Cacat Komisi Hak Asasi 1999
Hubungan Kerja Act 1999
Peluang Sama (Pekerjaan Legislasi) (Batas Teritorial) Peraturan 1999
Redundancies Kolektif dan Transfer usaha (Perlindungan Tenaga Kerja)

(Amandemen) Peraturan 1999
Informasi Transnasional dan Konsultasi Peraturan Karyawan 1999
Bersalin dan Parental Cuti dll Peraturan 1999
Reformasi Kesejahteraan dan Pension Act 1999
Hubungan Ras (Amandemen) Act 2000
Telekomunikasi (sah Praktek Bisnis) (Inception Komunikasi) Peraturan 2000
Pekerja Part-time (Pencegahan Kurang Favourable Pengobatan) Peraturan 2000
Seks Diskriminasi (langsung Diskriminasi dan Beban Pembuktian) Peraturan

2001
Pengadilan Tenaga Kerja (Konstitusi dan Peraturan Tata Tertib) Peraturan

200.151.
Satu fi kata nal peringatan dari bahaya fokus berlebihan pada kepatuhan
berasal dari Fad Sur fi ng di Boardroom oleh Elaine C. Shapiro yang mendefinisikan
non-kepatuhan sebagai 'keputusan saya untuk tidak membuat keputusan yang
Anda ingin saya untuk membuat cara Anda ingin saya untuk membuat mereka,
yang mengarah ke aksioma lama yang dapat Anda menulis naskah untuk memesan,
tetapi Anda tidak bisa membuat saya berpikir. '
Audit Etika Dan Program Kepatuhan
Luas dipahami, kepatuhan merupakan mekanisme penting yang membantu

membuat pemerintahan yang efektif. Pemantauan dan menjaga kepatuhan tidak
hanya untuk menjaga regulator bahagia; sesuai dengan persyaratan peraturan dan
kebijakan organization'sown adalah komponen penting dari manajemen risiko yang
efektif. Ini adalah salah satu cara yang paling penting organisasi mencapai tujuan
bisnis, mempertahankan kesehatan etika, mendukung kemakmuran jangka panjang,
dan mempertahankan dan mempromosikan nilai-nilainya. Sebuah kepatuhan dan
etika yang efektif program terbaik diselenggarakan sebagai proses yang
terintegrasi, ditugaskan untuk fungsi bisnis yang ditunjuk dan dikelola oleh individu
yang memiliki tanggung jawab dan akuntabilitas keseluruhan. Kepatuhan bisa
menjadi tantangan yang menakutkan, tetapi juga merupakan kesempatan untuk
membangun dan mempromosikan efektivitas operasional di seluruh organisasi.
Dewan dan manajemen secara berkala perlu mengevaluasi desain dan

operasi efektivitas kepatuhan dan etika program
perusahaan. evaluationssupplement seperti yang sedang berlangsung, sehari-hari
pemantauan respon dan kontrol activities.Not hanya melakukan ulasan ini - audit,
benar-benar menyediakan analisis yang lebih mendalam ofthe desain dan
efektivitas program; mereka juga memberikan kesempatan untuk
mempertimbangkan praktek baru dan teknologi yang mungkin telah dikembangkan
sejak program ini pertama dilaksanakan.
Menentukan Risiko Key
tujuan mendefinisikan itu audit internal adalah pertama dan salah satu
langkah yang paling penting dalam menentukan arah audit, karena mendefinisikan
tingkat jaminan dewan dan manajemen akan disediakan. Dari awal, kemudian, staf
audit internal harus mengadakan diskusi dengan manajemen dan dewan (atau
komite audit dan penasihat hukum, yang diperlukan) mengenai kebutuhan jaminan
stakeholder kunci untuk memastikan audit memenuhi kebutuhan jaminan organisasi
- dan itu semua harus dilakukan sebelum fi finishing rencana audit. Kepatuhan dan
etika program mencakup rentang yang sangat luas dari kegiatan, dan tahap
perencanaan perlu memastikan fokus yang tepat dari upaya audit. audit harus
didasarkan pada penilaian risiko audit komprehensif - yaitu, auditor harus
menentukan apa risiko kunci dari kepatuhan dan etika program perusahaan
yang. Partisipasi penasihat hukum di auditis faktor penting lain yang harus
diputuskan di sini, selama perencanaan audit (atau selanjutnya jika asumsi rencana
itu ternyata berbeda dari situasi audit yang sebenarnya). Jika kesalahan ini
diidentifikasi selama audit internal dialog dengan penasihat hukum diperlukan -
memang, sering kritis.
tujuan apa yang harus ditetapkan? Tiga gol harus:
Aplikasi - Untuk menentukan apakah kepatuhan dan etika Program memberikan

jaminan yang wajar dari kepatuhan terhadap kebijakan organisasi dan hukum
dan peraturan yang berlaku;
Dokumentasi - Untuk menentukan apakah kerangka kerja manajemen program

didokumentasikan, di tempat, dan tepat sumber daya untuk memenuhi
kebutuhan organisasi;
Implementasi - Untuk menentukan apakah program tersebut telah dilaksanakan
secara efektif, dan bahwa sistem pelaporan kinerja telah didefinisikan dan akurat
menyajikan hasil isu-isu kunci program efforts.Some untuk mengeksplorasi
selama audit termasuk memastikan bahwa ada:
Universalitas - Konsistensi dan integrasi program kepatuhan dan etika antara

unit-unit bisnis yang berbeda dalam organisasi;
Integrasi - Koordinasi antara kepatuhan pusat dan etika kantor dan unit bisnis
individu;
Akuntabilitas - Sebuah pembagian yang jelas dan efektif peran dan tanggung
jawab antara etika kantor, kepatuhan, HR, hukum, dan unit terkait lainnya.
Down To Bisnis
Setiap audit internal memiliki tiga tahap: perencanaan, kerja lapangan dan
pelaporan. Audit kepatuhan dan etika program tidak berbeda. Selama fase
perencanaan, tim audit internal harus memastikan bahwa semua isu-isu kunci
dianggap, bahwa tujuan audit akan memenuhi kebutuhan jaminan organisasi, dan
bahwa kepatuhan dan etika program dipahami dengan baik. Hal ini sangat penting
bahwa audit fokus pada evaluasi komponen yang signifikan dari kepatuhan dan
etika Program; yaitu, auditor harus menggunakan pendekatan berbasis risiko untuk
fi elemen nd program yang paling mungkin untuk gagal dan paling membutuhkan
perhatian. Tahap perencanaan adalah kesempatan untuk con fi rmthat lingkup audit
yang tepat, dan biaya tidak akan memberikan orang sakit maag.
Pada tahap kerja lapangan fi, tim menganalisis berbagai komponen program
kepatuhan ini, berdasarkan pada tujuan dan metodologi diidentifikasi di
planningphase tersebut. Di antara beberapa pertanyaan yang paling penting untuk
menjawab adalah bagaimana boardsets nya '' nada di bagian atas; '' bagaimana
berkomunikasi nilai-nilai tersebut kepada karyawan; bagaimana karyawan di semua
tingkat perusahaan memandang komitmen manajemen untuk nilai-nilai; dan
bagaimana perusahaan menangani masalah kepatuhan atau etika yang timbul dari
kegagalan kepatuhan. tes Audit dapat mencakup meninjau karyawan fi les untuk
menandatangani Kode Etik atau pelatihan con rmations fi, melihat materi pelatihan
dan hasil program pelatihan, meninjau tanggapan terhadap pelanggaran,
melakukan survei dan reviewingthe hasil dari mereka, meninjau komunikasi
manajemen untuk karyawan untuk konten etis, mengukur organisasi sumber daya
yang tersedia untuk pengoperasian program, dan menilai kualitas dukungan untuk
pelaporan kinerja program. Tahap pelaporan adalah di mana audit internal tim harus
memastikan semua pemangku kepentingan yang benar informasi dari hasil audit
dan manajemen setiap berencana untuk meningkatkan kepatuhan dan etika
Program. Sebuah terencana dan dilaksanakan audit internal (tahap 1 dan 2) harus
membuat pelaporan audit lurus ke depan: memberitahu mereka apa yang Anda
lakukan, apa yang Anda temukan, dan apa yang manajemen berencana untuk
melakukan hal itu. Itu semua ada untuk auditor it.Internal harus mengambil
pendekatan berbasis risiko ketika merencanakan program audit etika
complianceand. Dengan sumber daya terbatas, auditor tidak punya pilihan selain
untuk fokus pada daerah risiko tinggi dan selalu berusaha untuk menambah nilai
bagi organisasi. Audit praktik terbaik menyarankan auditor internal harus terlibat
sepanjang siklus hidup program, bukan hanya dalam evaluasi program pasca-
pelaksanaan.
Audit internal dari kepatuhan dan etika Program juga perlu menjadi bagian
dari rencana audit yang lebih besar secara keseluruhan. auditor internal harus
menyusun rencana yang memenuhi persyaratan jaminan jangka panjang dewan
dan manajemen. Serangkaian audit internal untuk managecomplexity (jika
dianggap tepat selama fase perencanaan) mungkin bukan langkah yang buruk,
karena kepatuhan dan etika Program bisa sangat informasi-intensif. Manajemen
tidak harus mengembangkan proses, prosedur, laporan, dan soforth selama
audit.Sebaliknya, tim audit harus mengevaluasi upaya tersebut yang kepatuhan dan
etika Program dalam memenuhi kebutuhan organisasi. Akhirnya, manajemen harus
menyelesaikan penilaian diri sebelum audit internal dan potongan studyvarious
bimbingan seperti OCEG panduan untuk audit dari program etika complianceand.

cipta.
7.8. VFM, Sosial dan Keuangan Audit

Nilai untuk uang
Bagian dari lingkup audit internal melibatkan mengevaluasi kecukupan dan

efektivitas pengaturan untuk mengamankan nilai uang. Pengaturan ini terdiri dari
kontrol yang shouldbe ditetapkan oleh manajemen untuk memastikan bahwa tujuan
mereka akan bertemu, dan didasarkan pada mempromosikan sistem kontrol
manajerial. Pengaturan ini harus melibatkan manajemen ina pencarian terus
menerus untuk ciencies fi ef yang dapat mengakibatkan tingkat tabungan. Hal ini
tidak audit'sresponsibilities internal untuk mengidentifikasi tabungan ini, dan
langkah-langkah kinerja kami tidak harus mencakup theamount dari uang yang
disimpan melalui rekomendasi hasil audit pelaksanaan. Hal ini harus beunderstood
dan dapat disajikan kembali bahwa kita harapkan rekomendasi audit kami untuk
placemanagement dalam posisi untuk mengidentifikasi daerah-daerah di mana
mereka dapat melakukan penghematan. Contohnya berecommending bahwa sistem
informasi yang lebih baik dipasang. Sebagai bagian dari procedureswe pengujian
kami mungkin dapat memperkirakan penghematan yang dihasilkan, tapi ini bukan
peran utama audit. Tugas kita adalah untuk mendapatkan manajemen untuk
melaksanakan perbaikan dalam sistem kontrol di mana diperlukan. Hal ini
dimungkinkan untuk sumber daya sebagai bagian dari ulasan VFM jasa konsultasi
kami yang dirancang untuk menyebabkan tabungan untuk manajemen. Deplu
Auditor General of Canada mengatakan tentang VFM:
Audit VFM adalah pemeriksaan yang sistematis, terarah, teratur dan tujuan
kegiatan pemerintah. Ini memberikan Parlemen dengan penilaian pada
kinerja kegiatan ini; dengan informasi, pengamatan dan rekomendasi yang
dirancang untuk mempromosikan jawab, jujur andn produktif pemerintah dan
mendorong akuntabilitas dan praktek terbaik. Jangkauannya mencakup
theexamination ekonomi, efisiensi, efektivitas biaya; hubungan
akuntabilitas; perlindungan aset publik; dan sesuai dengan otoritas. Subjek
audit dapat menjadi entitas pemerintah atau kegiatan (lini bisnis), kegiatan
sektoral, atau area fungsional
pemerintah secara luas .
Ada dua pandangan VFM: VFM

dalam arti sebenarnya adalah
tentang cara manajemen mengatur
dan mengontrol sumber daya untuk
efek maksimum. Pandangan sempit melihat VFM sebagai hasilnya ad hoc
initiativesthat di de fi tabungan ned dan / atau tingkat yang lebih besar dari layanan
/ output. VFM menghasilkan:
Ekonomi. Sumber daya yang dibutuhkan untuk melakukan operasi diperoleh

dengan cara yang paling costeffective.
Ef fi siensi. Sumber daya yang digunakan untuk memaksimalkan tingkat yang

dihasilkan dari output.
Efektivitas. Hasil akhir merupakan produk yang operasi didirikan untuk

memproduksi.
Ef ulasan defisiensi
Pendekatan sistem berbasis dengan review fi siensi akan mempertimbangkan

standar, rencana, arah dan jenis informasi bahwa manajemen berlaku untuk
mengendalikan operasi mereka.Pendekatan investigasi, di sisi lain, berkonsentrasi
pada metode yang spesifik oleh whichef defisiensi dapat ditingkatkan. Ini mungkin
dengan menerapkan praktek terbaik dalam hal praktek operasional alternatif, atau
dengan mengisolasi spesifik contoh fi c limbah dan ketidakefisienan yang mungkin
diperbaiki. Ekonomi (yaitu mengamankan input termurah) dimasukkan ke dalam
konsep yang lebih luas dari efisiensi karena hubungan intim antara kedua. Efisiensi
meliputi hal-hal dasar ekonomi.
ulasan efektivitas
ulasan efektivitas yang sulit untuk melaksanakan dan pendekatan sistem

berbasis akan melihat ke penerapan praktek-praktek manajerial suara. Ini adalah
satu-satunya cara untuk menjamin bahwa tujuan-tujuan operasional dapat
dicapai. Penyelidikan operationaleffectiveness (tidak seperti ulasan sistem)
menentukan apakah tujuan telah tercapai. Hal ini memerlukan proses yang
berkelanjutan:
1. mendefinisikan produk akhir;
2. memeriksa arus keluaran;

3. menentukan apakah output ini dapat diterima;
4. mengukur setiap kekurangan.
Banyak hal ini melibatkan unsur subjektivitas dan auditor dapat dipanggil
untuk membuat apa yang dapat dianggap sebagai pendapat ahli. Ada banyak
perangkap potensial dan ini harus diingat ketika memulai tugas. Konsep efektivitas
harus mencakup tinjauan dari persepsi pelanggan sebagai penerima layanan yang
relevan. Sebuah teknik yang berguna adalah untuk mengelola survei klien
menggunakan kuesioner diformulasikan khusus. Ini harus didasarkan pada
mengamankan ide apakah jasa tersebut memiliki efek yang diinginkan pada
pengguna fi nal. Kami ingin melihat sistem yang mendasari cocok di tempat untuk
memastikan efektivitas. Sebagian besar didasarkan pada arah dan praktek
manajemen yang baik didukung oleh sistem komunikasi yang
komprehensif. Efektivitas tergantung pada pengaturan tujuan yang jelas dan
memastikan ini sumber daya dan dikomunikasikan dengan baik. Sementara sebagai
auditor kita tidak bisa mempertanyakan validitas tujuan atau kerangka kebijakan
terkait, kita dapat meninjau sejauh mana mereka didukung oleh mekanisme
manajerial sesuai. Ini meliputi labirin kompleks sistem yang harus di tempat untuk
tujuan yang akan diterjemahkan ke dalam kegiatan bisnis yang mendasari.
Program VFM Beberapa anggaran pendapatan disusun atas dasar bahwa program
tinjauan VFM akan menghasilkan penghematan ned fi de dalam
anggaran. Konsultasi lengan audit internal dapat memberikan beberapa dukungan
untuk program ini, dan ulasan individu VFM dapat diambil dari kerangka organisasi-
lebar. Kita harus berhati-hati untuk tidak mengunci audit internal menjadi
serangkaian dibuat tabungan sasaran, di mana kita menjadi bertanggung jawab
untuk memulai pencarian untuk tidak pernah berakhir tabungan untuk
membenarkan keberadaan kita.Pandangan sistem, di mana manajemen dibebankan
dengan menginstal kontrol cocok untuk memungkinkan mereka untuk menjadi yang
efisien, harus dipublikasikan secara luas. Kami tidak akan merekomendasikan
bahwa sumber daya audit internal menjadi bertanggung jawab untuk fi de ned
Program VFM, kecuali tidak dapat dihindari.
Akuntabilitas Salah satu aspek yang menarik dari kehidupan bisnis adalah
kebutuhan untuk menanamkan tingkat akuntabilitas seluruh organisasi mulai dari
atas. Banyak ulasan operasional didasarkan sekitar proses pengambilan keputusan
di mana pejabat yang diperlukan untuk merumuskan dan menerapkan
pertimbangan profesional mereka dan kemudian bertanggung jawab atas tindakan
mereka. Inisiatif pemberdayaan berupaya untuk menerapkan konsep ini pada
semua tingkat manajemen dan staf. Sistem akuntabilitas harus memperhitungkan
bersaing faktor:
hubungan departemen dan implikasi politik daripadanya
tujuan dan arah yang jelas
penilaian kinerja mekanisme

tanggung jawab penuh untuk kegiatan staf seseorang
strategi dan hasil daripadanya
mekanisme pelaporan yang sesuai
tanggung jawab atas hasil dari unit bisnis yang relevan
kesadaran staf motivasi dan dampak pada kinerja.
Operasi pro fi le Sebagai bagian dari tahap latar belakang kajian operasional
auditor harus melihat ukuran kinerja yang digunakan oleh manajemen untuk
mengidentifikasi area limbah yang potensial. Banyak bahan dapat dikumpulkan di
mana auditor mengkompilasi / nya indikator kinerja sendiri (PI) dan dengan
demikian isolat potensial kinerja yang buruk. Hal ini dapat dilakukan dengan:
membandingkan operasi serupa;
membandingkan satu operasi selama periode waktu de fi ned;
mempertimbangkan varians antara kinerja yang direncanakan dan hasil aktual.
Proses ini dapat mengidentifikasi 'anggapan', yaitu, daerah-daerah di mana satu

mungkin akan menemukan kegagalan untuk mengamankan VFM baik. Auditor harus
menimbang-nimbang antara biaya mempersiapkan informasi PI, dan manfaat yang
mungkin diperoleh dari penggunaannya. Ada banyak daerah di mana kajian
operasional dapat berdampak pada kinerja dan VFM. Satu daftar tersebut mencakup
bidang utama:
Energi Cash fl ow fungsi digandakan Sentralisasi atau

model layanan desentralisasi
biaya manajemen aset Transportasi
perencanaan tenaga kerja sementara
nomor staf kontrol Stock staf
kontrak Pendapatan pembelian Tengah Wisma Catering
polis asuransi jasa Dukungan biaya lembur Administrasi
Ulasan berada di sensitif masa lalu dengan potensi untuk organisasi untuk
menumpahkan staf sebagai bagian dari reorganisasi bisnis. Manajemen berharap
rekomendasi untuk memasukkan pengurangan anggaran staf. Ada daerah inti yang
fitur dalam kajian operasional termasuk:
Gaya Manajemen struktur perusahaan prosedur otorisasi Pemisahan tugas
sistem informasi Komunikasi Pengawasan kesehatan dan

keselamatan
Ulasan Peningkatan kinerja Proses pengambilan keputusan
Motivasi
standar kualitas operasional
pemanfaatan sumber daya kebijakan budaya Personil
cek pengaturan Kepatuhan Tujuan kerangka kebijakan
Prosedur manual pengaturan Security

Nilai Dari 'Pengukuran Kinerja'
Steven Covey, penulis The Seven Kebiasaan Manusia yang Sangat Efektif,
dan banyak lainnya cukup benar merekomendasikan bahwa ketika Anda memulai
segala jenis proyek baru, Anda harus mulai dengan akhir dalam pikiran. Apa yang
melibatkan?
1. Memutuskan di mana Anda ingin berada di masa depan (yaitu, apa yang
Anda '' keadaan akhir '' akan);
2. Mendefinisikan tujuan utama Anda dan tujuan dalam mendapatkan sana

(untuk memandu berbagai fforts Anda sepanjang jalan); dan
3. Bangunan dan kemudian melaksanakan rencana Anda ke sana (sarana untuk

mencapai keadaan akhir yang diinginkan).
siklus perencanaan ini bekerja untuk semua individu, baik dalam kehidupan
profesional dan pribadi mereka. Hal ini bahkan lebih penting untuk organisasi, di
mana pemahaman di seluruh perusahaan sangat penting dalam memperoleh
dukungan luas di seluruh tenaga kerja facedwith banyak, dan berkali-kali saling
bertentangan, prioritas. Untuk auditor internal siklus perencanaan ini mengambil
makna khusus juga. audit yang sukses membutuhkan pemahaman tentang apa
organisasi yang ingin dicapai dan anjak bahwa pemahaman dalam upaya audit
perusahaan. Dan sebagai kegiatan penting itu sendiri, audit internal perlu
mendefinisikan apa yang tim audit sedang mencoba untuk mencapai; tanpa
melakukan itu, tim audit mungkin berakhir turun jalan yang salah selama
proyek. Bagi organisasi untuk memahami apa yang tim audit yang ingin dicapai, tim
audit itu sendiri harus memahami dan berkomunikasi apa yang ingin acc omplish.
Intinya adalah bahwa auditor harus: (1) mendorong dan memverifikasi bahwa
organisasi memiliki sistem yang kuat untuk mengukur dan melaporkan kinerja; (2)
akan memanfaatkan informasi dari sistem seperti dalam perencanaan upaya audit
mereka, dan akhirnya (3) berjalan garis sendiri, dengan mendefinisikan tujuan
jangka panjang mereka, cara untuk sampai ke sana, dan melaporkan kemajuan
mereka kepada komite audit.
Dimana Manajemen Kinerja Fits Dalam
Sebagai bagian dari pelacakan kemajuan audit, pengukuran periodik dan

pelaporan sangat penting, dan berfungsi sebagai jembatan antara pekerjaan hari ini
dan besok. Dengan kata lain, tim anaudit harus mendefinisikan peta jalan yang,
dapatkan kesepakatan dengan semua pemangku kepentingan bahwa jalan yang
benar (termasuk tujuan proyek audit ini, rencana, dan mengusulkan endstate), dan
kemudian memantau dan melaporkan kemajuan dalam mendapatkan di
sana. Sebuah pengukuran kinerja dan pelaporan program yang kuat memfasilitasi
pemantauan kemajuan, perdebatan biasa (dan kadang-kadang menyakitkan) isu
dan hasil sementara sepanjang jalan, dan tindakan perbaikan dan penyesuaian
yang diperlukan untuk tetap menuju di mana Anda harus pergi.
Semua konsep di atas berlaku pada berbagai tingkat organisasi, dari

perusahaan secara keseluruhan turun ke anak perusahaan dan unit bisnis yang
signifikan. Asthe tim audit internal mengevaluasi berbagai aspek organisasi, setiap
audit harus mempertimbangkan di evaluasi apakah pengukuran kinerja dan
pelaporan kontribusi untuk pengaturan arah dan pelaksanaan rencana.
The Art Of Pengukuran
Sebuah pepatah terkenal adalah, '' Apa yang diukur akan dilakukan. '' Semua
proses perusahaan, termasuk audit, dapat manfaat dari pengukuran. Idealnya,
pengukuran akan membantu organisasi:
menunjukkan bagaimana hasil ini mendukung tujuan organisasi;
menentukan apa yang berhasil dan apa yang tidak;
membenarkan alokasi modal;
memotivasi dan memberikan umpan balik yang nyata kepada karyawan; dan
meningkatkan kemampuan untuk berkomunikasi dengan para pemangku

kepentingan.
Elemen penting dari pengukuran kinerja adalah membangun

performanceindicators kunci dan metrik. Dalam berpikir tentang metrik, mereka
harus '' SMART '' - thatis, Speci fi c, Measurable, ditindaklanjuti, relevan, dan tepat
waktu. Pertimbangan penting lainnya adalah untuk tidak membebani proses dengan
terlalu banyak metrik tapi untuk memusatkan perhatian pada orang-orang yang
paling relevan untuk menjamin organisasi adalah menciptakan nilai pemegang
saham. (Satu panduan referensi yang sangat baik adalah Kepatuhan Terbuka dan
bimbingan metrik Etika Group andmeasurements.)
Untuk audit dan kepatuhan upaya, pengukuran kinerja dan reportingallows

audit dan profesional sesuai untuk bekerja dengan klien mereka (dan sesama
karyawan) dan pemangku kepentingan lainnya untuk mendefinisikan tujuan, peta
jalan, dan endstate organisasi bekerja menuju. Apa sistem yang ideal operasi
apakah perusahaan ingin memiliki? Apa yang harus diuji untuk melihat apakah
perusahaan tersebut mencapai tujuan tersebut? Apa yang harus
diperbaiki? Bagaimana Anda bisa mengukur performanceto mengukur seberapa
baik perbaikan yang terjadi? Berdebat di depan waktu apa langkah-langkah yang
akan dipertimbangkan untuk pelaporan kinerja formal yang akan membantu
memastikan bahwa setiap orang pada halaman yang sama dan bahwa kejutan bisa
diantisipasi. Selain itu, kami selalu mengatakan kita perlu meningkatkan komunikasi
(penyebab nomor satu dari kegagalan, sejauh ini, di hampir semua yang kita
lakukan). Mendefinisikan kinerja program pengukuran andreporting Anda adalah
kendaraan untuk berdiskusi tentang apa yang penting, apa prioritas Anda, dan di
mana Anda ingin pergi.Mengetahui bahwa membuat sebuah proyek audit sangat
besar lebih mudah. pengukuran kinerja dan pelaporan pada upaya organisasi dan
audit menawarkan peluang strategis untuk kepatuhan dan departemen
internalaudit untuk memengaruhi upaya pemerintahan seluruh
organisasi. Mempertimbangkan untuk mengambil pada!
Seperti disebutkan, audit internal harus mempertimbangkan menggabungkan

evaluasi KINERJA dan pelaporan ke setiap pemeriksaan yang dilakukan. Audit
pengukuran kinerja organisasi secara keseluruhan dan program pelaporan juga
sangat dianjurkan. Audit akan memberikan tinjauan independen dan obyektif dari
upaya organisasi untuk mendefinisikan tujuan dan sasaran, mengambil tindakan
pada mereka, dan memantau kemajuan, termasuk tindakan korektif sebagai
sesuatu terjadi (dan mereka akan terjadi). Mengevaluasi program melibatkan
mendefinisikan sistem yang akan diaudit, menilai langkah-langkah yang digunakan,
proses di tempat, dan efektivitas operasi; dan menentukan apakah perbaikan
sistem akan memiliki efek onthe hasil organisasi.
Meningkatkan kinerja operasional organisasi selalu menjadi prioritas penting,

dan menerapkan (atau meningkatkan) pengukuran kinerja formal dan Program
pelaporan akan sangat membantu. Ini memastikan bahwa organisasi tetap pada
jalur dengan tujuan itsoverall, dan gagal untuk mengaudit kontrol yang
menciptakan kesenjangan yang signifikan dalam cakupan audit secara keseluruhan.

cipta.
Audit sosial
Meningkatnya minat dalam cara antarmuka bisnis dengan lingkungannya kini

diterima. Di masa lalu, manajemen telah dirasakan lingkungan eksternal dalam cara
yang terbatas, yang memandang orang luar sebagai yang terutama terdiri dari:
pelanggan Pesaing
Pemerintah pekerja Potensi
outlet ritel pasar baru potensial

Pemasok
Pandangan ini mengambil kekuatan papan yang berdampak pada

keberhasilan masa depan organisasi dalam hal kemampuannya untuk memenuhi
tujuannya. Ini mungkin didasarkan pada t margin pro fi atau tujuan pemberian
pelayanan, tergantung pada perannya. audit sosial dan lingkungan perubahan
posisi ini. Berikut eksekutif didorong untuk mempertimbangkan dampak yang lebih
luas dari bisnis mereka pada masyarakat pada umumnya, sebagai pengakuan atas
implikasi jangka panjang dari kegiatan mereka. pertimbangan lingkungan telah
diperhitungkan dan diaudit, dan auditor internal harus mengembangkan minat pada
topik penting ini. audit sosial memandang peran yang lebih luas dari sebuah
organisasi, yang mungkin harus mempertimbangkan banyak faktor eksternal
termasuk yang ditunjukkan pada Gambar 7.33.
Dalam mempertimbangkan audit sosial, ada beberapa masalah yang harus

disebutkan:
Gambar eksternal Tempat awal untuk audit

sosial adalah untuk menilai kembali citra publik
organisasi. Sekarang ada organisasi yang
mengiklankan citra mereka daripada produk
mereka.
Dengan serentetan tumbuh dari

pengambilalihan dan merger, kadang-kadang
sulit untuk menilai apa sebuah organisasi
menghasilkan. diversi fi kasi produk dan perluasan rentang produk dapat membuat
faktor ini agak jelas. Apa yang lebih penting adalah reputasi perusahaan, dan ini
sekarang menjadi panduan untuk pembeli dari kualitas dan layak. Input audit dapat
mulai dengan meninjau mekanisme bahwa organisasi telah dibentuk untuk
mendapatkan umpan balik pada perusahaan standingin dunia bisnis. entitas
pemerintah lebih rentan untuk menekan cakupan di mana setiap skandal publik
memiliki dampak langsung pada eksekutif senior. Kami menyatakan kembali audit
yang tidak terutama berkaitan dengan persepsi publik organisasi. Hal ini lebih
tertarik pada kecukupan dan efektivitas sistem untuk mempromosikan citra
perusahaan dan menerima umpan balik pada posisi saat ini.
Audit lingkungan ini terutama tentang melindungi lingkungan untuk generasi

mendatang berdasarkan konsep caretaker. Berikut organisasi dianggap berutang
tanggung jawab tambahan untuk warga masa depan atas dan di atas semua yang
kita bahas sebelumnya. Saat ini sudah ada berbagai seluruh standar ISO pada audit
lingkungan (ISO 14010 range). Ini panggilan untuk sistem manajemen lingkungan
yang efektif dan prosedur yang harus di tempat untuk memenuhi therequirements
standar ini. Brian Rothery telah banyak menulis tentang jaminan kualitas dan audit
lingkungan standar dan telah menyatakan pandangan bahwa akuntan dan auditor
telah melewatkan kesempatan untuk terlibat dalam melaksanakan dan
managementsystems kualitas audit, dan juga akan kehilangan audit lingkungan jika
sikap yang sama ini diasumsikan. Konsultan manajemen dan insinyur,
bagaimanapun, telah dengan cepat menangkap peluang baru.
Denia l Kekhawatiran lain bagi auditor adalah keadaan saat organisasi dalam hal
pengakuan dari implikasi sosial yang lebih luas dari kegiatan usahanya. Di mana
ada sedikit atau tidak ada apresiasi nilai audit sosial, kekuatan utama dari audit
mungkin pendidikan di alam. Sebuah tinjauan dari organisasi-organisasi serupa
untuk mengukur posisi komparatif dapat mengungkapkan sejauh mana
thisproblem. Audit lingkungan harus ditetapkan fi tegas dalam agenda dewan
direksi dan harus fitur dalam laporan tahunan dan publikasi lainnya. Seberapa jauh
direksi telah dicapai dan seberapa jauh mereka mungkin perlu untuk pergi adalah
audit komentar berharga sebagai cara menjadi topik yang rumit ini. Mengamankan
kebijakan asuransi yang luas dan melibatkan tim pengacara untuk memerangi
ancaman tindakan hukum untuk pelanggaran peraturan eksternal, kesempatan
yang sama, pengadilan industrial, nes fi untuk polusi dan pelanggaran aturan etika
dan keluhan pelanggan yang luas menunjukkan sikap tidak peduli atau manajemen
tidak berpendidikan. Langkah-langkah proaktif untuk memastikan masalah ini
terkandung bergantung pada pandangan jangka panjang di mana reputasi
organisasi adalah paling penting di benak manajemen.
Implikasi auditor perlu diingat hasil kegagalan untuk mengelola implikasi

lingkungan bisnis. Ini bukan tentang menjadi sebuah organisasi yang penuh kasih,
peduli yang memiliki 'hangat' merasa.Ini adalah tentang menghasilkan reputasi
positif yang memberikan peran yang jelas dalam masyarakat, di mana hak-hak dan
keprihatinan generasi sekarang dan masa depan yang diambil di papan ketika
mendefinisikan strategi perusahaan. Sebagai contoh, sangat mahal untuk
mengelola 'ada pertanyaan' kebijakan untuk returnedgoods, meskipun dalam
jangka panjang ini akan memungkinkan reputasi yang baik untuk
diklaim. Pengakuan tanggung jawab sosial memang memiliki biaya. Itu harus
dibenarkan dalam hal implikasi jangka panjang bagi kesejahteraan masa depan
entitas. Kompilasi biaya -bene analisis fi t adalah kontrol kunci lain selama proses
pengembangan inisiatif yang tepat. Perbedaannya adalah kerangka waktu di mana
kesadaran sosial membutuhkan waktu bertahun-tahun untuk menerjemahkan ke
posisi komersial ditingkatkan. Ada pandangan bahwa perilaku konsumen cukup
canggih dalam hal itu akhirnya merespon perilaku organisasi. Pada ekstrim, pembeli
mungkin memboikot barang dari 'tersangka' negara, 'tersangka products'or dalam
hal seluruh perusahaan. Sebuah perusahaan eksplorasi minyak yang menghadapi
tuduhan praktik yang tidak adil atau kegiatan yang mengganggu lingkungan
mungkin mengalami reaksi dari para pelanggan.
Gerakan Hijau Gerakan Hijau adalah sebuah tradisi yang didirikan yang beroperasi
di banyak negara. Ini adalah kelompok penekan dengan representasi politik di
banyak masyarakat. Ini adalah importantbecause mungkin mengambil inisiatif
menjauh dari sebuah organisasi. Ada kalanya suatu bentuk pemaksaan mungkin
muncul yang berupaya untuk memaksa perubahan kebijakan perusahaan luar
kendali manajemen eksekutif. Peran audit dapat terletak di sebuah kontinum di
mana di satu sisi itu ulasan mekanisme bahwa organisasi telah dibentuk untuk
mengelola tanggung jawab sosialnya. Di sisi lain, kami dapat meninjau reaksi dari
organisasi untuk kekuatan eksternal yang berusaha untuk kegiatan bisnis
memengaruhi yang terlihat merusak lingkungan.Kita mungkin mulai dari sikap
manajerial dan berakhir dengan respon pembatasan kerusakan mahal. Auditor
dapat expectthe organisasi untuk mengenali peran kelompok penekan dalam
masyarakat dan memastikan bahwa mereka ableto publisitas buruk memiliki lebih
dulu melalui penerapan mekanisme yang sesuai. Pada terbaik sistem ini akan
menjaga organisasi menjelang pertandingan, sementara setidaknya mereka harus
mewakili sistem EarlyWarning mana tanggapan negatif diantisipasi dan
diminimalkan. Auditor akan ingin melihat pertimbangan diatasi dan ditangani oleh
manajemen eksekutif.
Kesehatan dan keselamatan ini merupakan daerah yang dekat dengan rumah
untuk direksi paling senior. Auditor dapat meninjau berbagai tanggapan. Sebuah
respon reaktif akan memerlukan pengakuan dasar kesehatan dan safetyprocedures,
sedangkan respon yang lebih dinamis akan melibatkan berbagai risiko pro fi les
untuk semua operasi dan area kerja. Hal ini memungkinkan manajemen untuk
menargetkan area kunci dan memastikan bahwa risiko kesehatan yang dikelola
dengan baik. Kembali ke pandangan dua dimensi tanggung jawab perusahaan, kami
dapat mendorong manajemen hanya untuk mempertahankan organisasi dengan
mematuhi peraturan kesehatan dan keselamatan. Atau, kita mungkin ingin
mempromosikan budaya di mana kesejahteraan karyawan adalah consideredover
dan atas kepatuhan dasar dengan hukum. Banyak tergantung pada di mana
masalah ini terletak pada agenda thecorporate. Sebuah organisasi yang merusak
kesehatan karyawan akan selalu tunduk pada kritik. Audit kesehatan dan
keselamatan akan membangun kehadiran beberapa mekanisme kunci:
1. kunci perwira yang bertanggung jawab untuk mempromosikan fungsi ini;
2. komite perwakilan senior dari masing-masing wilayah kerja;
3. kesehatan dan keselamatan fi tegas pada agenda pada pertemuan dewan;
4. pelatihan untuk manajer lini dan koperasi;
5. publikasi cocok dan tanda-tanda yang terletak di seluruh organisasi;
6. kebijakan yang menempatkan tanggung jawab untuk kesehatan dan

keselamatan dengan manajemen;
7. pendekatan berbasis risiko yang bertujuan untuk mengisolasi potensi daerah

masalah utama - ini adalah latihan yang berkelanjutan yang harus dilakukan
oleh manajemen;
8. anggaran untuk penggunaan ahli kesehatan dan keselamatan di mana pun

diperlukan;
9. kebijakan zero-kecelakaan yang didukung penuh seluruh organisasi;
10.prosedur untuk menyelidiki penyebab kecelakaan, dekat-kecelakaan atau

insiden yang relevan.
Kode perilaku perusahaan dan etika bisnis Kami telah berurusan dengan
kebutuhan standar yang jelas tentang etika bisnis dalam Bab 2. Kami juga
menyentuh pada kebutuhan untuk menginstal mekanisme yang efektif untuk
membantu menjaga terhadap penipuan dan korupsi dalam bab ini. Sekali lagi,
tanggung jawab sosial mengasumsikan bahwa gures perusahaan fi kunci yang
mengontrol jutaan pound sumber daya diadakan di mata publik. Ketika staf dipaksa
untuk mengambil pemotongan gaji, maka eksekutif senior mungkin memimpin dan
sukarela melupakan kenaikan gaji atau bahkan mendapatkan gaji yang lebih
kecil. Tanggung jawab ini extendsto banyak daerah di mana manajemen puncak
diharapkan untuk menetapkan standar. Auditor akan sekali againreview sejauh
mana prosedur yang sesuai berada di tempat untuk memastikan bahwa standar
tinggi ofconduct akan terjadi. Hal ini dimungkinkan untuk mengajarkan etika bisnis
dan membangun program di mana masalah mendasar yang didefinisikan dan
berasimilasi ke dalam kehidupan bisnis.
Tekan hubungan dan standar periklanan Seorang auditor yang ingin tahu
seberapa jauh suatu organisasi menghargai nama publik perlu hanya mengunjungi
humas kantor (atau tekan kantor).Jika ini kantor dinamis dan mengantisipasi jenis
informasi bahwa kebutuhan masyarakat, maka harus ada sedikit yang tidak dapat
dikelola dengan baik. Proses pengelolaan media adalah bagian dari sistem kontrol
bahwa auditor akan meninjau. Sekali lagi, kita akan mencari posisi wherethe
organisasi mengambil inisiatif pada isu-isu lingkungan dan tidak satu langkah di
belakang tekanan publik.
Sama Peluang Legislasi mengharuskan semua organisasi untuk mematuhi aspek-

aspek tertentu dari mempromosikan kesempatan yang sama. Ini cenderung
menutupi ras, jenis kelamin dan cacat dan designedto memastikan bahwa
kelompok-kelompok ini tidak dirugikan dalam hal kesempatan kerja. Mereka
cenderung menjadi bagian dari praktik 'kerja yang baik' daripada persyaratan
hukum ditegakkan. Seperti dengan semua kebijakan, mereka dapat dikenakan suatu
cakupan audit internal dalam hal kecukupan dan efektivitas pengendalian yang
mempromosikan keberhasilan pelaksanaan kebijakan. Kontrol ini mencakup
perekrutan yang sesuai, prosedur seleksi dan pemantauan gerakan staf pada
mekanisme organisasi seperti promosi, disiplin staf dan program pelatihan.
Polusi Salah satu perhatian mendasar di seluruh bagian masyarakat berkaitan

dengan dampak fisik proses organisasi dalam hal polusi. Ini mungkin termasuk
pencemaran sungai, jaringan parut lanskap, emisi kimia, pekerjaan penggalian,
dibuang sampah dan sebagainya. Kajian audit willassess sejauh mana organisasi
dapat mengukur dampaknya serta menilai ketentuan hukum compliancewith,
peraturan internal organisasi sendiri dan standar cara limbah yang dirancang dan
diterapkan.
Intinya untuk audit akan menjadi pertimbangan rinci cara organisasi

berusaha untuk menyeimbangkan berbagai bersaing tujuan sosial dan
bisnis. direktur perusahaan berutang kewajiban kepada pemegang saham mereka
untuk memberikan yang terbaik yang mungkin pro fi t pro fi le. Tugas ini juga untuk
memperoleh manfaat dari masyarakat sebagai kekuatan pasar bersaing
menyamakan produksi dan distribusi barang danlayanan. Bisnis berutang kewajiban
yang lebih luas untuk memastikan bahwa mereka beroperasi dengan cara yang adil
dan tepat dan sejalan dengan hukum. Mekanisme yang memungkinkan tindakan
penyeimbangan ini mengakibatkan harus tunduk untuk mengaudit cakupan sebagai
kontribusi untuk kesejahteraan masa depan organisasi. Hal ini menjadi lebih serius
di mana organisasi adalah hukum fl outing dan praktik terbaik, menyesatkan publik
dan, di ekstrim, memalsukan hasil tes pada, katakanlah, tingkat limbah
kimia. Milenium baru ini cenderung melihat pertumbuhan badan usaha yang lebih
besar yang menekankan kesadaran sosial dan di mana peran audit dalam
mempromosikan kebijakan ini menerima banyak dukungan.
Sistem Keuangan Audit
Banyak memikirkan audit internal sebagai terutama berkaitan dengan sistem

keuangan. Ini berasal dari tradisi audit, yang diprioritaskan masalah keuangan
sebagai kunci untuk akuntabilitas dan dengan demikian membutuhkan verifikasi
yang sedang berlangsung dan review. Kami sejauh ini membuat sedikit referensi
untuk peran khusus sistem keuangan karena kita melihat semua operasi sebagai
penting untuk manajemen dan karena itu kesejahteraan berlanjut dalam organisasi.
Pandangan ini sepenuhnya dipertahankan meskipun faktanya bahwa manajemen
keuangan mungkin memiliki rencana pemeriksaan karena risiko tinggi melekat
aspek kegiatan bisnis. Itu akan salah untuk meninggalkan diskusi kami tinjauan
operasional tanpa menyebutkan sifat khusus dari sistem berbasis finansial:
Akuntabilitas Setiap sistem manajerial kontrol harus menggabungkan konsep

utama akuntabilitas manajerial. Berikut sistem harus di tempat yang mencatat hasil
bisnis kegiatan dan memperhitungkan apa yang telah terjadi selama periode waktu
yang ditetapkan. Akuntabilitas keuangan adalah sama pentingnya karena ini
terletak dengan baik dengan mempercayakan sumber dianggarkan manajemen,
maka harus memperhitungkan cara anggaran ini telah dikeluarkan.
Kerja garis depan Ada beberapa sistem keuangan yang benar-benar mewakili
pekerjaan garis depan dan bukan hanya mendukung layanan. Di sini, sistem
pengolahan dasar yang memperhitungkan pendapatan, utang, pembayaran, hibah
dan sebagainya berputar di sekitar arena keuangan. Ini merupakan sistem yang
sangat besar dalam mereka sendiri yang tepat yang dapat menjelaskan jutaan
pound dari transaksi yang diproses dalam satu apapun tahun. Dengan demikian,
mereka menganggap suatu kepentingan untuk rencana audit dan menarik sumber
daya yang didedikasikan untuk memastikan bahwa kontrol berada di tempat dan
bekerja. Kami menerima bahwa auditor eksternal tidak memiliki peran dalam hal ini
meskipun sistem ini digunakan sebagai jalan pintas untuk memverifikasi angka di
rekening akhir.
Peraturan keuangan peraturan keuangan dan buku pegangan manajemen

keuangan perangkat untuk memastikan ada standar perusahaan atas cara
keuangan dikelola di organisasi. Salah satu model dari audit internal menunjukkan
bahwa itu ada untuk mempromosikan kepatuhan dengan peraturan keuangan yang
dikeluarkan oleh direktur keuangan. Audit internal ikuti peraturan ini dalam
organisasi dan memeriksa bahwa mereka sedang diterapkan sebagaimana
dimaksud. Hal ini relevan dengan lokasi terpencil yang merupakan fitur geografis
penyebaran organisasi yang memiliki cabang di strategis daerah. Layanan audit
internal memiliki ciri khas keuangan dan kehendak ini fitur dalam rencana, kerja dan
laporan yang dihasilkan. Dalam satu organisasi manual keuangan memiliki berikut
bagian utama:
Pengenalan Informasi latar Belakang
Tanggung Jawab Staff Struktur kode rekening
Pembelian Pembayaran
Pendapatan Penerimaan dan nafkah
Kas kecil Upah dan gaji
Sistem komputer keuangan Prosedur asuransi
Perusahaan kartu kredit Istilah akuntansi berguna
Interogasi Sistem Keuangan rentan terhadap interogasi borongan di mana

database yang relevan dapat diuji secara luas oleh auditor. Ketika menangani jenis
sistem, penerapan teknik interogasi yang cocok hampir wajib sebagai cara masuk
ke sistem dan catatan terkait. Setiap masalah yang ditemukan tidak hanya
menunjukkan kesalahan tetapi mungkin juga berarti bahwa akun tersebut adalah
salah atau penipuan yang telah dilakukan, dan pertimbangan tersebut harus diingat
oleh auditor. Keterampilan dan teknik tertentu ikut berperan sebagai auditor
menangani sistem keuangan besar dan keterampilan ini datang dengan premium.
Tidak semua auditor memiliki yang keterampilan yang tepat untuk mengambil jenis
proyek dan latar belakang akuntansi pasti berguna.
audit Sistem Informasi auditor dapat membantu sistem keuangan auditor dalam
mencari untuk meninjau dan menguji sistem keuangan besar. Banyak keterampilan
auditor SI juga relevan dengan sistem keuangan auditor sebagai jenis pekerjaan
juga akan cenderung melibatkan sistem otomatis.
Banyak auditor operasional menghadapi prospek yang menarik meninjau

operasi tingkat tinggi yang rumit yang memerlukan banyak keterampilan dan
perawatan. Ini adalah arah audit internal seperti baru dan daerah yang lebih
penting ditangani dalam pencarian untuk kinerja dan kualitas sistem yang lebih
baik. Setelah mengatakan ini, adalah penting bahwa pencarian ini untuk
pendekatan baru bukan berarti kita membuang bayi keluar dengan air mandi '.
Untuk tujuan ini, kita tidak bisa melupakan pentingnya sistem audit keuangan yang
rumit ada di semua organisasi besar. Sayangnya, operasional auditor tidak dapat
secara umum merasakan nilai (dan kesulitan) meninjau sistem keuangan sampai
mereka benar-benar melakukan pemeriksaan seperti itu. Auditor menyeluruh-baik di
sisi lain memiliki eksposur untuk sistem operasional keuangan dan garis depan
selama nya / karirnya dan ini harus pasti didorong.
Audit Kontrak
Kami telah mendedikasikan seluruh bagian untuk audit SI atas dasar bahwa
semua organisasi besar akan mengelola sistem otomatis dan teknik untuk
mendukung kegiatan bisnis mereka. Demikian juga, kita mungkin telah membahas
audit kontrak menggunakan argumen yang sama; bahwa semua organisasi
masukkan kontrak dari beberapa macam. Bahkan, kami belum menerapkan
pendekatan ini sejak terbuka Ulasan dari array yang luas dari area audit yang
spesialis akan pernah berakhir. Auditor internal akan terlibat dalam berbagai
macam sistem bisnis tergantung pada sifat organisasi dan pendekatan mereka
dengan pekerjaan audit. Jasa keuangan, asosiasi perumahan, perusahaan
manufaktur, departemen pemerintah, industri jasa, farmasi, pelayanan kesehatan
dan sebagainya, masing-masing membutuhkan beberapa spesialisasi dalam jenis
bidang operasional yang fitur dalam organisasi di pertanyaan. Keterampilan ini akan
diperoleh dari waktu ke waktu sebagai auditor mengamankan lebih banyak dan
keahlian yang lebih sesuai. Mudah-mudahan, penerapan teknik audit ditetapkan
dengan kerangka teoritis audit internal akan membantu tugas ini dan memberikan
tempat awal alami untuk auditor lapangan. Audit kontrak disebutkan karena ada
beberapa persoalan mendasar yang dapat digunakan dalam setiap peran audit. Ini
termasuk:
Modal kontrak Kejayaan audit kontrak dikembangkan setelah Perang Dunia Kedua
ketika membangun baru dan investasi modal yang besar berarti bahwa struktur dan
perkembangan adalah fitur biasa dari kehidupan bisnis. Pekerjaan rekonstruksi
menyebabkan pengeluaran yang luas yang harus diaudit. Keahlian khusus yang
dibutuhkan mengakibatkan kerja inspektur kuantitas, arsitek, desainer, insinyur dan
teknisi di departemen audit internal. Bagian Audit kontrak besar muncul untuk
mendukung ini. Saat ini, sebagian besar organisasi telah pindah dari strategi
ekspansi, sementara perkembangan baru yang tidak sering. Kecenderungan cara
perbaikan bahwa karya-karya besar akan didasarkan sekitar refitting struktur yang
ada bukan membangun baru. Ada pengecualian untuk tren ini dan satu masih dapat
melihat situs bangunan di banyak daerah, terutama lebih murah, keluar dari lokasi
kota. Pekerjaan kontrak auditor telah mengubah pengakuan ini faktor dan itu adalah
dalam konteks ini bahwa kita bisa daftar beberapa isu yang relevan mengenai jenis
kerja ini.
Kontrak pendapatan Semua organisasi besar masuk ke dalam berbagai kontrak

pendapatan sebagai bagian dari kegiatan harian. Ini berkisar dari kontrak kecil
untuk penyediaan alat tulis hingga yang besar sebagai layanan yang merupakan
bagian penting dari layanan dukungan komputasi. Pengeluaran agregat kontrak
mungkin menjadi materi dan akan muncul dalam rencana audit. Sebuah organisasi
yang dinamis akan sumber daya layanan hukum yang menjamin kontrak ini
terkandung dalam kerangka diterima oleh organisasi dan tidak harus dalam format
pemasok. Kepatuhan dan standar yang melayani kontrak untuk manajemen kontrak
fitur lain dari pendekatan perusahaan bahwa auditor akan berusaha untuk
mempromosikan.
Menghubungkan ke pembelian Auditor kontrak akan meninjau kebijakan

pembelian perusahaan dan fungsi. Di mana pembelian lokal adalah model
diterapkan, perlu ada kerangka perusahaan standar di mana ini menghabiskan
keputusan akan dimuat. Ini adalah lebih dan di atas lebih terbatas prosedur
pengendalian anggaran yang juga harus diterapkan. Pedoman Eropa dan konvensi
internasional membawa dengan mereka rasa kepatuhan untuk pekerjaan auditor, di
mana manajemen operasional kadang hanya menyadari peraturan yang tepat
bahwa mereka harus membuat referensi ketika mempersiapkan kontrak baru. Ini
juga merupakan daerah siap untuk penipuan dan korupsi di mana ada sistem yang
kurang kontrol.
Layanan dieksternalisasi Banyak direksi baru datang ke pos dengan dasar

'kontrak itu' sudut pandang. Ini terlihat sebagai jawaban kerusuhan industri, kinerja
yang buruk, overspends anggaran dan kondisi yang merugikan lainnya. Apa yang
banyak orang seperti gagal untuk menghargai adalah bahwa strategi ini, seperti
semua orang lain, harus disertai dengan kontrol yang sesuai untuk itu untuk bekerja
sampai batas tertentu. Jika ini Pendekatan diadopsi, labirin yang rumit kontrak akan
dikembangkan bahwa antarmuka di dan seluruh organisasi, yang mempengaruhi
banyak dukungan dan layanan garis depan. Tanpa utama investasi dalam sumber
daya manajemen kontrak, yang mengambil rute PI papan, posisi hukum, hal
akuntansi dan pengaturan kontrak, dan tanpa memastikan kelangsungan layanan
pengiriman, pengaturan ini mungkin hanya gagal. Sejarah mencatat jumlah kontrak
layanan yang telah berakhir di arbitrase atau tindakan pengadilan dan ini tidak
hanya biaya uang tetapi juga melibatkan gangguan layanan. Hal ini tidak cukup
untuk membangun hukuman dalam setiap kontrak karena ini adalah jalan terakhir
untuk menghukum kontraktor. Upaya diarahkan pada membangun hubungan kerja
yang baik dengan kontraktor berdasarkan pada istilah yang jelas dari referensi,
pemantauan ketat dan memastikan kedua belah pihak gain adalah solusi yang lebih
baik. Ini dan hal-hal lainnya yang terkait harus fitur dalam pekerjaan auditor dan
laporan.
Keterampilan berasimilasi Kami perlu menyebutkan dasar keterampilan auditor

dan cara itu dipengaruhi oleh pengaturan kontrak bahwa organisasi telah dilakukan.
Komputer auditor, keuangan sistem auditor, penipuan penyidik dan kejujuran
auditor masing-masing akan menemukan berbagai besar kontrak selama audit. Hal
ini tidak mungkin lagi untuk meninggalkan kontrak sebagai provinsi auditor kontrak
spesialis. Dasar kontrak keterampilan harus berasimilasi ke dalam bidang umum
gudang senjata auditor keterampilan, pengetahuan dan disiplin dan ini akan
menjadi fitur yang berkembang.
Manajemen bertanggung jawab untuk melaksanakan pertanyaan pemecahan

masalah dan penyelidikan VFM, sementara audit dapat membantu mereka.
Sebaliknya, audit bertanggung jawab untuk melaksanakan ulasan tentang sistem
manajemen risiko dan pengendalian internal, dan konsultasi terhadap pekerjaan
audit harus dilihat dalam konteks ini. Ada banyak yang semua organisasi perlu
dipertimbangkan ketika membuat yakin bahwa itu adalah di sesuai dengan undang-
undang.
7.9. Pendekatan Konsultasi

Auditor internal telah bermain-main dengan menyediakan bentuk layanan
konsultasi internal yang selama bertahun-tahun. Standar IIA sekarang membuat
jelas bahwa audit internal dapat memberikan konsultasi serta sebagai jaminan
bekerja untuk sebuah organisasi. Buku panduan IIA Menerapkan Praktek Profesional
Kerangka menunjukkan enam jenis pekerjaan konsultasi:
1. keterlibatan Formal - direncanakan dan perjanjian tertulis;

2. keterlibatan Informal - pertukaran informasi rutin dan partisipasi dalam
proyek, pertemuan dan seterusnya;
3. Layanan Darurat - bantuan sementara dan permintaan khusus;
4. layanan Penilaian - informasi kepada manajemen untuk membantu mereka

membuat keputusan, untuk Misalnya, diusulkan sistem baru atau kontraktor;
5. Jasa Fasilitasi - untuk perbaikan, misalnya, CSA, benchmarking, dukungan

perencanaan;
6. Jasa Remedial - untuk mengasumsikan peran langsung untuk mencegah

atau memulihkan masalah, untuk Misalnya, pelatihan manajemen risiko,
pengendalian internal, masalah kepatuhan penyusunan kebijakan.
Hal ini penting untuk membuat jelas apa yang merupakan pekerjaan
konsultasi sejak IIA Atribut Standar 1000.C1 mengatakan 'Sifat jasa konsultasi harus
didefinisikan dalam piagam. " Salah satu kesulitan adalah ketik salah satu konsultan
yang terdiri dari keterlibatan formal dengan perjanjian yang direncanakan dan
tertulis. Buku seri IIA selanjutnya membedakan antara pekerjaan konsultasi opsional
dan wajib jasa asuransi:
Jaminan - kecukupan pengendalian intern entitas, kecukupan proses atau

sub-entitas internal yang kontrol, kecukupan ERM, kecukupan proses tata
kelola, sesuai dengan undang-undang atau peraturan.
Consulting - peningkatan efisiensi atau efektivitas, bantuan dalam desain

korektif tindakan, pengendalian yang diperlukan untuk desain sistem baru,
benchmarking.
Kita perlu beralih ke profesional konsultan manajemen untuk memperoleh

wawasan jenis Pendekatan yang dapat dipertimbangkan untuk proyek-proyek
konsultasi formal. Salah satu pendekatan yang terkenal untuk tugas konsultasi
melibatkan urutan dasar sebagai berikut:
1. Masuk - pekerjaan latar belakang, kontak awal dengan klien, survei awal
(apa masalah?);
2. Kerangka acuan - lebar dan kedalaman, rentang waktu, sumber daya dan
pelaporan garis: membuat jelas persyaratan Standar Kinerja 2120.C1, yang
menyatakan bahwa 'selama konsultasi keterlibatan, auditor internal harus
mengatasi risiko sesuai dengan tujuan keterlibatan ini dan harus waspada
terhadap adanya risiko signifikan lainnya '; juga membuat sesuai jelas peran
dan apakah pekerjaan melibatkan membantu orang melakukan analisis dan
memecahkan bisnis mereka masalah, atau apakah itu tentang mengatasi
masalah dan membuat rekomendasi untuk klien pada cara ke depan;
3. Kontrak - secara tertulis, mengapa tugas yang diperlukan, kerangka acuan

(TOR), apa yang akan diperiksa, tindakan yang harus diambil untuk orang
yang tertarik, menyepakati peran masing, dukungan dan melaksanakan
rekomendasi - siapa melakukan apa; pemantauan pengaturan untuk proyek
dan jalur pelaporan dan perencanaan dan monitoring; itu juga mungkin ide
untuk membangun di setiap kerahasiaan klausa dan isi IIA Standar Kinerja
2130.C2, yang menyatakan bahwa 'Auditor internal harus menggabungkan
pengetahuan kontrol diperoleh dari keterlibatan konsultasi ke dalam proses
mengidentifikasi dan mengevaluasi eksposur risiko yang signifikan dari
organisasi. "
4. Analisis - yang meliputi:
Diagnosis - menimbang-nimbang bukti, apa yang dapat diterima,

alternatif solusi, komputerisasi, apa adalah biaya yang paling efektif,
kendala kebijakan dan kemudian pengambilan keputusan;
Perencanaan untuk tindakan - rekomendasi tegas, berdasarkan

temuan, kebijakan dan sosial pertimbangan, reaksi klien, laju
perkembangan IT, dampak pada VFM, partisipatif Pendekatan, laporan
pendahuluan, laporan secara lisan;
Implementasi - manajemen yang bertanggung jawab untuk

implementasi, rutin tindak lanjut setelah enam bulan: berapa banyak kita
harus mendukung manajemen dalam pelaksanaan - pelaksanaan harus
direncanakan mengawasi reaksi staf; konsultan mungkin tersedia untuk
membantu melatih staf (melatih kelompok kecil yang kemudian melatih
kelompok yang lebih besar), membantu mengantisipasi masalah,
membantu mengembangkan rencana aksi dan pos pemeriksaan, tetapi
tidak harus merampas manajemen - kebutuhan untuk menetapkan
tanggal saat Keterlibatan konsultan berhenti; Juga untuk membuat
manajemen senior memastikan terlibat dalam lebih proyek-proyek
kompleks.
5. Pers - dari kontrak ketika semua pekerjaan telah selesai. Proposisi nilai
tambah adalah bahwa auditor internal dapat menambah kesegaran pandang
dan datang tanpa asumsi inbuilt dari orang-orang yang mengoperasikan jalur
bisnis. Wawasan baru telah dijelaskan oleh Milan Kubr:
Bisa keberatan bahwa manajer juga perlu memiliki ini berbagai pengetahuan
dan keterampilan, dan bahwa setiap situasi manajemen adalah unik. Apa
yang kemudian dapat diperoleh dengan membawa pendatang baru siapa
yang tidak kenal dengan situasi tertentu? Selama bertahun-tahun, konsultan
manajemen melewati banyak organisasi dan belajar bagaimana
menggunakan pengalaman dari tugas sebelumnya dalam membantu klien
baru mereka, atau klien lama mereka, untuk menghadapi situasi baru. Karena
mereka terkena banyak kombinasi berbagai keadaan, konsultan belajar
bagaimana membedakan kecenderungan umum dan penyebab umum dari
masalah, dengan baik a peluang untuk menemukan solusi yang tepat;
mereka juga belajar bagaimana untuk mendekati masalah baru dan peluang.
Selain itu, konsultan profesional terus mengikuti perkembangan manajemen
Perkembangan sastra dan dari dalam konsep manajemen, metode dan
sistem, termasuk yang mengambil tempat di universitas dan lembaga
penelitian. Sehingga mereka berfungsi sebagai penghubung antara teori dan
praktek manajemen.
Sebuah model lanjut dari penyelidikan konsultasi telah dikembangkan oleh

penulis dan terdiri dari Prosedur yang melibatkan 10 langkah dasar seperti yang
ditunjukkan pada Gambar 7.34.
[1] Hal awal acuan untuk pekerjaan
[2] Survei pendahuluan
[3] Membangun anggapan
[4] Perencanaan audit dan program kerja
[5] Pekerjaan lapangan lengkap
[6] Tentukan mendasari penyebab masalah
[7] Tentukan dan mengevaluasi pilihan yang tersedia
[8] Tes yang dipilih pilihan
[9] Diskusikan dengan manajemen
[10] Laporan
GAMBAR 7.34 Pertunjukan penyelidikan konsultasi.
[1] hal Awal acuan untuk pekerjaan
Melakukan kunci pengarahan manajer dan diskusi di review
gejala Outline dan masalah daerah utama
Menetapkan kriteria keberhasilan manajemen
Dokumen sejarah singkat tentang peristiwa yang relevan dengan

masalah di tangan
Tunjukkan kendala tertentu diakui oleh manajemen
Lihatlah ke kebijakan manajemen pada solusi yang tidak dapat

diterima, misalnya, pemotongan staf atau besar restrukturisasi
Tunjukkan rencana masa depan bahwa manajemen telah ditetapkan
untuk jangka pendek dan menengah
Kami membangun kerangka kerja untuk latihan, lingkup tinjauan dan

indikasi manajemen perlu.
[2] survei pendahuluan
menit Komite / alas yang berdampak pada review
diskusi singkat dengan staf untuk menilai konsistensi umum dengan

masalah utama
PI
Analisis gejala untuk menangkap 'apa yang benar-benar salah'
laporan internal dan anggaran
penelitian yang dipublikasikan relevan yang berhubungan dengan

bidang pekerjaan tertentu
Kunjungan ke lokasi.
Kami mendefinisikan masalah secara rinci dan membangun anggapan

garis berdasarkan masalah ini (mis berbagai kemungkinan penyebab).
[3] Membangun anggapan
Efek dari masalah kinerja, kualitas dan VFM
Materialitas masalah
Hirarki pengandaian: yang paling signifikan pertama
Indikasi bagaimana dugaan dapat diuji untuk menentukan apakah

mereka benar atau tidak
Kemungkinan penyebab dari masalah (berbasis di sekitar anggapan)
sejauh mana keseluruhan masalah.
Kita harus setuju dengan manajemen tentang apa masalahnya,

kemungkinan penyebab mereka dan bagaimana mereka akan ditangani
dalam pemeriksaan.
[4] perencanaan Audit dan program kerja

Jumlah auditor diperlukan dan waktu anggaran
Tingkat dan jenis keahlian yang dibutuhkan
Pengawasan staf ditugaskan untuk proyek; seberapa sering dan

bagaimana hal ini akan dilakukan
Pedoman pengujian
pengaturan Ulasan meliputi pekerjaan audit seperti yang dilakukan
pengaturan Pelaporan
Program kerja (banyak akan terdiri dari penelitian dan pengujian)
Waktu yang tersedia dan tenggat waktu: untuk proyek-proyek lama itu
adalah praktik yang baik untuk mengatur tonggak dengan produk
didefinisikan dan kemajuan Ulasan poin
Pengaturan administratif termasuk perjalanan, biaya, akomodasi,

komputer, dan sebagainya.
Hal ini dimungkinkan untuk menetapkan kemajuan checklist tugas yang

jelas dan tanggal yang mendasari yang dapat dipantau selama durasi
proyek.
[5] pekerjaan lapangan lengkap
wawancara Programmed
penelitian Tersedia yang harus diamankan dan diambil di papan
Re-kinerja tugas-tugas tertentu jika diperlukan
pendapat ahli Independent mana yang sesuai
Inspeksi
analisis Penyebab-dan-efek
Analisis statistik
Kuesioner
Pembangunan PI baru jika diperlukan
Lain rutinitas pengujian tertentu.

Tujuannya adalah untuk menetapkan apakah anggapan asli benar. Ini
berarti mengamankan memadai bukti yang dapat diandalkan.
[6] Tentukan mendasari penyebab masalah
Rinci diskusi dengan manajemen
Ulasan struktur manajerial
Ulasan praktek manajerial yang ada
Penentuan besarnya pengaruh dari lingkungan eksternal
Tingkat kontrol manajerial dan bimbingan yang tersedia untuk staf
Membangun hubungan yang jelas antara masalah dan penyebab
Membedakan antara gejala dan sebab-sebab yang mendasari.
Kami akan mencari tahu mengapa masalah ini muncul di tempat pertama
tanpa harus menugaskan menyalahkan.
[7] Tentukan dan mengevaluasi pilihan yang tersedia
Penelitian yang luas dalam mengisolasi pilihan yang cocok
Ide dari manajer dan staf
solusi Textbook untuk membentuk tempat awal
Model bangunan
Penerapan berpikir kreatif
Penentuan praktek terbaik yang relevan di tempat lain yang

dipindahtangankan.
Pilihan yang tersedia yang lebih baik, asalkan mereka layak.
[8] Tes yang dipilih Pilihan
manfaat Ditetapkan
keahlian Staf tersedia dan diperlukan
biaya keuangan aktual
implikasi sumber daya Umum

aspek motivasi dan berdampak pada arus kerja
Jadwal pelaksanaan
aspek politik
knock-on efek untuk sistem lain
perbaikan Incremental atau pendekatan 'big bang' lebih berisiko
dampak keseluruhan pada 'masalah'
Apakah itu sesuai dengan fundamental 'aturan' dari manajemen

perubahan yang berhasil.
Kita harus ingat bahwa tidak ada solusi 100%.
[9] Diskusi dengan manajemen
Kendala yang dihadapi manajemen, termasuk praktis
Perjanjian tentang isi faktual dari laporan
Ingatlah biaya audit dan kebutuhan untuk memberikan manfaat pasti
Perhatikan psikologi negosiasi - misalnya, mencari kompromi parsial di

mana diperlukan
Perlu tujuan manajerial pikiran dan kriteria keberhasilan nyata mereka
Pertimbangkan tingkat pekerjaan yang dilakukan dan sejauh mana kita

dapat yakin posisi kami
Pertimbangkan penerimaan keseluruhan pekerjaan audit.
Ini adalah praktek terbaik untuk memberikan presentasi lisan kepada

manajemen puncak di mana ada besar implikasi dari tinjauan dan
rekomendasi terkait.
[10] Laporan
Laporan harus secara resmi dibuka untuk publikasi akhir
Ini idealnya harus perpanjangan dari presentasi lisan
Perlu dipastikan bahwa laporan sesungguhnya adalah benar
Semua masukan manajerial harus tercermin dengan baik

Laporan struktur harus baik dan ditulis dengan baik.
Tindakan manajemen yang diperlukan harus sepenuhnya jelas dan kami berharap
untuk lulus tanggung jawab atas pengelolaan dan dijual ide-ide kita kepada mereka
Pengantar
pemberi pekerjaan fakta bahwa itu adalah konsultasi, perbedaan antara VFM dan
sistem
Latar Belakang Operasi
Hal ini biasanya akan mencakup:
kegiatan utama, sejarah singkat, ulasan sebelumnya, anggapan utama
Temuan Utama
Untuk setiap anggapan
Rekomendasi
Pilihan harus didefinisikan menyatakan, bila sesuai, setiap dikuantifikasi
tabungan dan efek pada anggaran resmi
Lampiran
Dapat terdiri dari indikator kinerja
pada saat laporan ini dikeluarkan. Sebuah struktur laporan standar dapat muncul
seperti pada Gambar 7.35.
GAMBAR 7.35 struktur laporan Standard.

Mengelola Perubahan
Perubahan manajemen adalah disiplin dalam dirinya sendiri bersama

pengakuan yang berkembang dari peran penting jelas strategi perubahan.
Konsultan audit juga terutama terlibat dalam perubahan Proses, melalui kepedulian
mereka untuk mencari perbaikan dalam manajemen risiko dan pengendalian.
Banyak dari peran konsultasi untuk proyek-proyek strategis yang lebih besar akan
berkisar pada manajemen perubahan Peran yang mengapa studi tentang prinsip-
prinsip dasar manajemen perubahan pasti akan membayar dividen
untuk auditor internal. Hal ini jelas bahwa manajer mulai mengadopsi
pandangan bahwa miskin Kinerja dapat diperbaiki melalui perubahan positif dan
direncanakan. Sektor publik adalah salah satu daerah yang akan melalui latihan
reformasi besar dan berkelanjutan dalam upaya untuk meningkatkan efisiensi,
efektivitas dan kualitas dalam pelayanan publik. Dengan mempelajari perubahan
sebagai suatu topik, yang auditor mungkin dapat mempromosikan penggunaan
teknik perubahan dengan manajemen dalam khusus Strategi dirancang yang
memungkinkan mereka untuk mengelola dan mengendalikan proses perubahan.
Bahkan ada satu lihat yang menunjukkan bahwa auditor dapat menjadi agen
perubahan yang mendasari fundamental proses perubahan. Dalam konteks ini,
konsultan audit dapat menjadi bagian penting dari manajemen mencoba untuk
insinyur perubahan, titik yang harus sepenuhnya diakui jika rekomendasi ini untuk
memiliki dampak yang besar.
Kebutuhan untuk Perubahan
Ada tren didirikan untuk organisasi organik adaptif, yang memiliki

kemampuan untuk mengubah sebagai faktor bersaing mengubah dan
mempengaruhi itu. fitur utama yang mempromosikan perubahan yang sedang
berlangsung antara lain:
tumbuh dampak tata kelola perusahaan dan manajemen risiko;
ketersediaan ahli spesialis yang dapat memberikan nasihat tentang

perubahan tertentu;
pengetahuan dan keterampilan umum yang terletak di seluruh organisasi;
komunikasi yang lebih penasehat yang bertentangan dengan mengarahkan

petunjuk;
lebih komitmen dari karyawan;
tugas individu sumber daya jika diperlukan.
Ada alasan praktis lain mengapa organisasi perlu mengubah:

1. Meningkatkan kompetisi berarti fleksibel, selalu berubah organisasi sekarang
norma.
2. Lebih partisipasi karyawan dan karena itu meningkatkan bentuk inovasi dasar
yang kuat di mana inisiatif perubahan dapat dikembangkan.
3. Tekanan pada sumber daya keuangan memberikan dorongan untuk

melangsingkan bawah dan restrukturisasi berkala.
4. Masalah interfacing departemen yang berbeda dapat menghasilkan formula

perubahan.
5. tingkat yang lebih besar profesionalisme menyediakan akses ke keahlian

pada manajemen perubahan. Ini dapat dilihat sebagai 'fenomena MBA'
dimana staf baru memenuhi syarat bergabung dengan organisasi dengan
maksud untuk melakukan hal-hal dengan cara-cara baru dan lebih baik.
6. Lebih baik mekanisme penilaian kinerja memungkinkan manajemen untuk

memantau kinerja dan sasaran sumber daya dengan cara yang paling
kondusif untuk pencapaian tujuan organisasi. Ini, bagaimanapun, adalah
tergantung pada sistem informasi yang mendasari baik.
7. Kecenderungan untuk membedakan kegiatan membuka jalan untuk proses

re-engineering untuk diterapkan. Konsep unit bisnis mendorong pendekatan
berbasis client untuk bekerja manajer mana lokal dapat membuat sebagian
besar keputusan bisnis tanpa mengacu pada mekanisme persetujuan
perusahaan.
8. teknik peramalan yang lebih baik lagi membantu proses maju-perencanaan,

yang pada gilirannya mempromosikan tindakan manajemen yang sesuai
dengan kegiatan dengan kemungkinan perubahan dalam lingkungan.
9. Perubahan teknologi dan peningkatan sistem informasi pendukung keputusan

juga relevan tren secara keseluruhan ini.
Drive ke arah efisiensi yang lebih besar dan kinerja dan banyak dicari-cari
'kompetitif tepi'. Dapat dikatakan bahwa manajer sekarang harus menjadi ahli
dalam manajemen perubahan terlepas dari lapangan ia / dia beroperasi dalam.
Selanjutnya, auditor internal harus, sebagai minimum, memahami dan mendukung
keahlian ini jika dia / dia belum konsultan perubahan.
Implikasi Perubahan dan Program HRM
Perubahan akan cenderung mempengaruhi tiga bidang utama organisasi:
Struktur. Ini diharapkan dengan kecenderungan berubah, organisasi datar

dengan rantai desentralisasi perintah dan bekerja lebih baik arus, bersama
dengan kontak yang lebih dekat dengan klien dan pelanggan.
Teknologi. Ini termasuk peralatan modal dan tugas gabungan. Hubungan
antara struktur organisasi dan teknologi yang mendasari adalah fitur dalam
sistem sosial-teknologi sekolah pemikiran. teknologi baru dengan cepat
dibawa jika ia berpikir bahwa ada sebuah layanan Keuntungan pengiriman
yang dapat dijamin, tanpa terlihat sebagai isu utama.
Orang-orang. Seleksi, skema pelatihan dan reward yang diberikan perhatian

meningkat di pencarian orang yang tepat. Organisasi di masa lalu telah
mencoba untuk sistem 'cocok' ke orang, tapi sekarang semakin membeli
pada orang yang masuk ke dalam sistem. Orang-orang sekarang diperlukan
untuk mengubah untuk bertahan hidup, karena pekerjaan tidak lagi dijamin.
Hal ini dimungkinkan untuk memperluas model ini untuk menutupi mengevaluasi
pilihan utama dengan bahan berpengaruh pada organisasi. Di masa lalu,
manajemen telah mempertimbangkan opsi melalui dua kriteria:
1. kelayakan ekonomi.
2. penerimaan sosial.
Perubahan manajemen mengharuskan manajemen untuk mempertimbangkan

dimensi ketiga:
Hubungan manusia implikasi. Di sini setiap individu (dan kelompok

individu) dapat terpengaruh dalam hal implikasi ekonomi, sosial, pribadi dan
politik. Para pekerja sekarang memiliki peran tambahan atas dan di atas
fungsi operasional, karena mereka sekarang harus menjadi positif, komponen
interaktif dari program perubahan. Manajemen mungkin bereaksi terhadap
tanda-tanda perubahan dengan modifikasi sedikit demi sedikit. Atau,
mungkin mengembangkan dan sumber daya program perubahan sejalan
dengan manajemen sumber daya manusia yang jelas Program atas dan di
atas pelatihan belaka. Sebuah agen perubahan harus ditunjuk untuk
memfasilitasi ini.
Individu Analisis Biaya-Manfaat
Beberapa penulis berpendapat bahwa ketika latihan perubahan besar

dilakukan, masing-masing anggota organisasi cenderung untuk melakukan biaya-
manfaat individual analisis untuk mengidentifikasi keuntungan dan kerugian
sebagai diilustrasikan pada Tabel 7.2.
TABEL 7.2 analisis biaya-manfaat individu.
Keuntungan yang dirasakan Kerugian yang dirasakan
Lebih kenyamanan Ketidaknyamanan personal

Keuntungan sosial di status Ketakutan sosial
Kepuasan kerja Kurang kepuasan kerja
Lebih aman (lebih terampil) Tidak aman
Keuntungan ekonomi Kerugian ekonomi
Kondisi lebih baik Waktu lebih
Setelah menimbang masing-masing faktor individu akan memutuskan apakah

nya / dukungannya untuk perubahan akan tinggi atau rendah. Ingat bahwa tingkat
dukungan akan bervariasi tergantung pada apakah orang tersebut bagian dari
manajemen puncak, manajemen menengah atau staf garis depan. Bukan itu tidak
biasa untuk rasa kehilangan yang dialami sebagai akibat dari perubahan yang
direncanakan bahkan di mana didefinisikan manfaat akan diterima. Pada dasarnya,
ini dapat dilihat sebagai hilangnya keamanan bahwa banyak orang butuhkan, yang
berasal dari lingkungan mapan. Masalahnya adalah bahwa sementara keamanan
dicari pada saat turbulensi, itu adalah masa-masa yang sama yang menuntut
perubahan besar dari organisasi dan di sinilah letak potensi konflik. Faktor ini
mungkin mendikte sejauh mana karyawan terlibat dalam, atau menjauhkan dari,
keputusan perubahan. Banyak manajer senior membuat kesalahan dengan
menganggap bahwa perubahan akan bersifat sementara dan tidak mengganggu.
Dengan demikian mereka gagal untuk menginstal kontrol yang efektif pada tahap
awal dalam proses, untuk mengantisipasi jenis masalah. Audit internal adalah ideal
ditempatkan oleh dihapus dari detail operasional, untuk menentukan jenis
persyaratan kontrol yang timbul dari program, serta menunjukkan hambatan efektif
kinerja.
Resistensi terhadap Perubahan dan Masalah Associated

Lainnya
Di mana anggota organisasi telah mengadopsi strategi perubahan resistensi

akan ada masalah dalam melaksanakan perubahan. resistensi dibenarkan untuk
mengubah mungkin berasal dari:
Ketidakpastian efek dari perubahan melalui kurangnya informasi Ketika

baru hal muncul tanpa peringatan atau informasi untuk menempatkan mereka ke
dalam perspektif, ada alami kecenderungan ketakutan. diketahui memegang
ketakutan bagi banyak orang yang tidak berkembang pada ketidakpastian, tetapi
lebih memilih untuk bekerja dalam lingkungan yang terkendali. Ini adalah mengapa
sangat penting untuk menjaga manajemen menyarankan tentang temuan audit
sebelum laporan rancangan formal dimasukkan sebelum.
Keengganan untuk menyerah manfaat yang ada yang terancam oleh

perubahan yang direncanakan Kita mungkin berusaha untuk mengubah
keseimbangan kekuasaan melalui perubahan yang direncanakan dan ada tingkat
resistensi yang berasal dari protectionalism dalam hal kekuasaan tersebut.
Misalnya, auditor mungkin khawatir tentang fakta bahwa dukungan hanya satu IT
spesialis memiliki pengalaman tertentu aplikasi perusahaan dan laporan audit dapat
mengomentari ini sebagai merupakan kontrol yang buruk. Ini adalah posisi yang
benar dalam hal kesejahteraan organisasi, tetapi dapat menyebabkan resistensi
besar dari petugas IT seperti menghilangkan dia dari posisi kekuatan besar.
Kesadaran kelemahan tertentu / celah dalam perubahan yang diusulkan

Ada kali ketika koperasi tahu lebih jauh tentang area kerja tertentu daripada orang-
orang yang mengembangkan program perubahan. Apa yang muncul pada
pandangan pertama menjadi perlawanan dari staf garis depan, mungkin di Praktek
khawatir tentang masalah yang melekat dalam perubahan itu sendiri. Sebagai
contoh, baru sistem komputer yang memberikan waktu respon sangat lambat
mungkin menciptakan masalah dari operasional Staf yang belum sepenuhnya
dihargai oleh tim proyek bertanggung jawab untuk melaksanakan sistem baru.
Ada banyak masalah yang dapat timbul di mana ada tingkat tinggi resistensi
terhadap direncanakan perubahan yang dapat mengancam proses perubahan
seluruh jika dibiarkan tanpa pengawasan. Masalah berikutnya dapat hasil dari
program perubahan buruk direncanakan:
1. rendahnya kualitas pekerjaan yang merusak produktivitas, pelayanan dan

kinerja;
2. pemogokan dan bentuk lain dari aksi industri terbuka;
3. pertengkaran terus-menerus di antara tenaga kerja yang mengarah ke

suasana stabil;
4. permusuhan sungguh-sungguh terhadap manajemen yang mirip dengan

'pekerjaan-to-rule' jenis lingkungan;
5. sabotase;
6. dukungan tanda tanpa makna atau kedalaman;
7. penurunan output mempengaruhi tingkat produktivitas;
8. computerphobia mana sistem baru ditolak dan metode manual memegang;
9. permintaan untuk transfer dari daerah yang terkena dan pengunduran diri;
10. kemarahan dari tenaga kerja;
11. peningkatan yang signifikan dalam tingkat ketidakhadiran karena sakit dan
stres;
12. peningkatan keluhan dari staf dan klien;
13. tingkat kecelakaan meningkat;

14. kepemimpinan cukup mengakibatkan kurangnya keputusan penting;
15. tugas utama tidak benar didefinisikan, sehingga kurangnya koordinasi;
16. MIS miskin yang tidak menunjukkan umpan balik tentang kemajuan
perubahan yang direncanakan;
17. pelatihan yang tidak memadai menyebabkan lagi untuk masalah kinerja;
18. krisis yang mengalihkan sumber daya ke masalah operasional bersaing, yang
berarti bahwa perubahan Program kemudian mengambil kursi belakang
sebagai masalah 'kehidupan nyata' dibahas;
19. masalah tak terduga yang membuat tugas yang jauh lebih sulit - fakta bahwa
sangat sulit pekerjaan mungkin telah diabaikan oleh semua pihak yang
terlibat;
20. penundaan dalam proses, yang mengarah ke frustrasi dan demotivasi; di

mana ini terus berlanjut, ada kecenderungan manajemen puncak untuk
menarik dukungan mereka di mana program ini tidak bekerja, dan
memisahkan diri dari potensi bencana.
Yang berasal dari analisis biaya-manfaat individu, banyak anggota organisasi

dapat diyakinkan bahwa perubahan yang direncanakan tidak akan bekerja. Ini bisa
berubah menjadi konfrontasi dengan destruktif win / sikap kalah. Konfrontasi
dengan staf tidak kooperatif berlaku tetapi berisiko dan mungkin menghasilkan
tahan lama menurunkan moral. Manajemen harus memutuskan apakah potensi
Konflik dapat dikelola melalui mesin yang ada atau apakah proses baru harus
dirancang. Ini harus terus
dikaji dekat karena, jika
mekanisme yang diperlukan
tidak dimasukkan ke tempat,
program mungkin gagal. Tidak
ada yang salah dengan audit
internal memberikan saran
asalkan kondusif untuk
pencapaian tujuan organisasi.
Kami telah membentang kami
definisi kontrol untuk menutupi
pengaturan untuk memastikan
tujuan tercapai. Kami
menggambarkan perlu
mengelola perubahan pada Gambar 7.36.
GAMBAR 7.36 Tingkat efisiensi dan perubahan.
Angka tersebut menggambarkan bagaimana organisasi harus siap untuk

menderita penurunan sementara di Efisiensi dari tingkat 2 ke tingkat 1 sebelum
tingkat 3 tercapai. Masalah ini akan berlangsung dari periode b ke c meskipun lebih
lama dan lebih dalam kurva ini, semakin lama periode dan lebih dari sebuah
tantangan program perubahan akan mewakili. Bahkan, bentuk yang tepat dari
kurva akan ditentukan dengan kombinasi keduanya mengemudi dan menahan
pasukan (lihat di bawah). Jika program perubahan tidak hati-hati dirancang dan
dikelola mereka akan sulit untuk melaksanakan. banyak organisasi mencoba untuk
mencapai terlalu banyak lebih terlalu pendek kerangka waktu dan ini dapat
menyebabkan lingkungan kekacauan tidak terkendali.
Sebuah organisasi besar membawa tim manajemen puncak baru. inisiatif

pertama mereka adalah untuk melaksanakan program staf perampingan 25% dan
memperkenalkan penilaian kinerja untuk semua staf. Sebagian besar posting
dihapus dan petugas lebih mampu diterapkan untuk redundansi dan kiri untuk
mengejar karir baru. Staf tanpa kualifikasi tidak memiliki pilihan tetapi untuk tetap.
prestasi target yang ditetapkan sebelum PHK jatuh ke dalam tidak digunakan
karena gejolak dan kekacauan yang dihasilkan dari restrukturisasi. Skema penilaian
kinerja ditinggalkan dan kualitas layanan menurun terasa.
Analisis kekuatan-bidang
Ada banyak yang terjadi dalam sebuah organisasi yang tidak diatur dalam
kebijakan formal dan Prosedur. Beberapa telah digunakan sebagai ilustrasi gunung
es organisasi di mana tujuan yang jelas formal, struktur, teknologi, kebijakan,
prosedur dan sumber daya didefinisikan. Namun, ini merupakan hanya puncak
gunung es di mana seluruh lautan rahasia persepsi, sikap, perasaan tidak resmi,
nilai-nilai dan norma-norma kelompok dapat ditemukan di bawah permukaan. Setiap
strategi perubahan harus mengenali bagian-bagian tersembunyi dari gunung es
organisasi untuk itu menjadi efektif. Kurt Lewin 56 memiliki mengembangkan
medan gaya sebagai salah satu cara menganalisa tekanan bersaing yang
mendorong dan berhenti perubahan yang terjadi. Idenya adalah bahwa kekuatan
pendorong mendorong perubahan sehingga organisasi maju ke posisi yang lebih
baik. Pasukan menolak, di sisi lain, mempertahankan keseimbangan dengan
meniadakan kekuatan kekuatan-kekuatan mengemudi. Beberapa ini kekuatan
pendorong adalah sebagai berikut:
New IT dan sistem yang lebih baik membuat ruang lingkup yang hampir tak
terbatas untuk menemukan dan mengembangkan perubahan rutinitas.
bahan yang lebih baik dapat menyebabkan produksi lebih cepat dan lebih
ramping.
kekuatan Persaingan perubahan dan mungkin merupakan faktor pendorong

yang paling penting.
tekanan Pengawas 'untuk kinerja yang lebih baik sejalan dengan arah
strategis yang cocok.
Pasukan menolak adalah sebagai berikut:

norma Group untuk kinerja kelompok dapat membatasi dorongan untuk
perubahan.
Ketakutan asli perubahan dapat menambah resistensi ini.
Kepuasan adalah dampener nyata. The 'dua tahun untuk pensiun' sindrom
tidak kondusif untuk perubahan nyata sebagai manajer kunci mencari posisi
penahanan sampai ia / dia pensiun.
keterampilan Terletak belajar dapat menjadi berlebihan dan ini bisa jatuh di
sisi yang salah dari individu persamaan biaya-manfaat.
Model ini dapat digunakan untuk menyusun rencana induk berdasarkan

strategi meningkatkan kekuatan kekuatan pendorong sementara pada saat yang
sama meminimalkan dampak dari setiap kekuatan yang menentang. Sebuah
kekuatan Audit dapat digunakan untuk mengisolasi dan memenuhi basis kekuasaan
yang dipengaruhi oleh perubahan situasi, khususnya di mana sistem komputer
perusahaan ditingkatkan sedang dilaksanakan. Sana ada yang salah dengan auditor
internal melakukan latihan seperti itu sebelum memulai program perubahan utama,
sebagai cara menimbang praktis dari tertentu dianjurkan tindakan, sebelum
dilaporkan. Lima tahap audit kekuatan ini adalah sebagai berikut:
1. Analisis sistem politik dan budaya yang ada.
2. Menilai kemungkinan perubahan dalam basis kekuasaan tersebut.
3. Pertimbangkan berbagai kemungkinan operasi baru dan efek masing-masing

pada basis kekuasaan.
4. Menilai masalah politik dan budaya dalam melaksanakan setiap pilihan.
5. Mengembangkan strategi untuk membuat kombinasi sukses dari pilihan

dalam hal politik mereka dan penerimaan budaya.
Hal ini dapat dilihat sebagai proses yang berkelanjutan dimana masalah
tertentu yang merasakan dan tepat solusi kemudian didefinisikan. Medan kekuatan
dapat digunakan untuk bekerja pada mengemudi dan menolak Pasukan. Di mana
audit kekuatan isolat sikap yang membentuk kekuatan yang menentang,proses hati-
hati unfreezing lama dan menginstal sikap baru yang diperlukan harus ditindak.
Idenya adalah bahwa sikap tua dicairkan, berubah, maka refrozen sebagai sikap
baru. Ada kritik dari mencairkan / freeze / refreeze argumen yang melihat ini
sebagai konsep buatan dan titik ini juga harus dilihat. Sementara itu, jika kita
menerima bahwa sikap tua harus diubah, kita dapat mengatur sebuah sejumlah
cara untuk unfreezing mereka:
Tampilkan efek dari masalah yang ada untuk menambah penerimaan built-in
dari kebutuhan untuk berubah.
Impress staf kebutuhan untuk keunggulan kompetitif lagi sebagai cikal bakal
reformasi yang tertunda.
Aksesoris perubahan dalam strategi yang jelas yang diketahui tentang dan
dipahami oleh staf.
Menyediakan program pelatihan yang sesuai melampirkan perubahan yang

diperlukan.
Gunakan staf konseling dan memastikan keahlian yang dibutuhkan termasuk

dalam program perubahan.
Memberikan informasi yang jelas tentang reformasi yang diusulkan.
Tentukan kebutuhan untuk semua perubahan besar untuk membenarkan

kebutuhan untuk mengamankan perbaikan.
Perubahan Strategi
Sejauh ini proses perubahan telah dibangun menggunakan model dan teknik
yang telah dirancang selama bertahun-tahun. Dengan menghabiskan sumber daya
pada penilaian kemungkinan dampak dari perubahan yang diusulkan, kita mungkin
mendefinisikan strategi perubahan yang tepat. Pertama dan terpenting, kita bisa
mengacu pada perubahan yang diperlukan dan kemudian memastikan bahwa
strategi perubahan meliputi:
bagaimana struktur dapat diubah dengan restrukturisasi, desentralisasi dan

karya yang dimodifikasi mengalir;
bagaimana teknologi dapat diubah operasi kerja desain ulang sesuai dengan
database yang baik dan strategi jaringan;
bagaimana keduanya dapat berubah (perubahan yaitu techno-struktural) di

sini struktur dan operasi didesain ulang bersama-sama;
bagaimana orang dapat diubah dalam hal keterampilan mereka, sikap dan
persepsi; alternatif, seperti pilihan akhir di mana semuanya gagal, mungkin
perlu untuk mengubah orang yang sebenarnya sendiri.
Strategi Perubahan bisa bergerak dari 'lembut' melalui 'keras' pendekatan

tergantung pada tingkat perubahan, waktu yang tersedia dan tingkat dukungan
dijamin. Di mana tingkat diantisipasi resistensi tinggi, salah satu mungkin ingin
melupakan teknik biasa 'menjual'. Manajemen dapat memilih kaku, pendekatan
konfrontatif sebagai jalan pintas untuk mendapatkan perubahan diterapkan. Mulai
dari akhir lunak, model telah dikembangkan untuk menilai bagaimana konfrontasi
bergerak melalui tingkat keparahan seperti digambarkan pada Gambar 7.37.
GAMBAR 7.37 Derajat konfrontasi.
Manajemen harus ingat bahwa strategi perubahan yang dipilih menetapkan

preseden untuk masa depan program.
GAMBAR 7.38 Pindah dari penolakan.
Berurusan dengan Stres
Perubahan dan stres terkait erat dalam satu yang baik dapat menyebabkan
yang lain, terutama di mana dampak dari perubahan belum dipenuhi. Hal ini
kemudian memiliki knock-on efek pada perubahan program dan kinerja berikutnya
dari staf yang terlibat. Colin Carnell telah mencatat bahwa:
sistem baru dan proses harus dipelajari dan ini membutuhkan waktu;
sistem baru tidak bekerja dengan sempurna pada awalnya, tetapi perlu
memodifikasi untuk meningkatkan kinerja;
ada maka efek pada harga diri yang bisa menurun di masa perubahan.
Ada pandangan bahwa kinerja akan menurun segera setelah perubahan

diperkenalkan sebagai hasilnya faktor yang disebutkan di atas. Proses membangun
kembali harga diri kemudian mengarah drive untuk kinerja yang lebih baik dan
tugas ini harus diarahkan oleh manajemen senior. Carnall berlangsung untuk
menggambarkan proses lima tahap dimana perubahan, dalam waktu, sepenuhnya
diambil di papan:
1. Penolakan- di mana perlunya perubahan ditolak;
2. Pertahanan - mana seseorang mulai menghadapi kenyataan;
3. Mengabaikan - di mana satu sekarang melihat ke masa depan;
4. Adaptasi - di mana tantangan terpenuhi dengan membangun kinerja dan

mengatasi kemunduran;
5. Internalisasi - di mana sistem baru diciptakan dan hubungan baru diterima.
Hal ini di sini bahwa harga diri kemudian dapat dibangun kembali sebagai
landasan untuk meningkatkan kinerja dengan komunikasi dan pemahaman. Peran
manajer adalah fundamental untuk tugas dari memimpin perubahan dan
mempertahankan rasa yang mendasari arah. Perhatikan bahwa ide ini diambil dari
karya Scott dan Jaffe.
Penolakan dan perlawanan adalah dua tahap utama di mana stres mungkin
mengembangkan dan berpotensi mengakibatkan komplikasi medis dan di sini yang
mendukung dan jaminan yang paling diperlukan (lihat Gambar 7.38 di atas). Tentu
saja, kita tidak bisa beralih ke masalah produktivitas hingga tahap awal telah diatasi
dan kami telah pindah ke dalam arena komitmen. Prinsip-prinsip, praktek dan teknik
yang mendasari perubahan organisasi harus dipelajari dan diterapkan oleh
manajemen. Sumber daya lebih diterapkan untuk meneliti dan menggunakan teknik
ini, semakin baik menempatkan organisasi akan memenuhi persaingan. auditor juga
harus siap untuk menjadi yang terlibat dalam proses ini sebagai kehadiran Audit
juga dapat berkontribusi pada keseluruhan tingkat manajerial stres, sebagai
tekanan tambahan pada kedua manajemen operasional dan senior. Dimana internal
tim audit tidak memiliki kompetensi yang tepat, yang berarti tidak dapat melakukan
konsultasi bekerja untuk standar profesional, pekerjaan tersebut harus ditolak.
Memastikan Perubahan Teknologi Apakah Dikelola Baik
Teknologi informasi sangat penting untuk keberhasilan jangka panjang dari

kebanyakan organisasi. Ini adalah alasan utama untuk biaya operasi, dan biaya
operasi cenderung menjadi komponen penting dari keseluruhan profitabilitas. Ini
memfasilitasi pengenalan bisnis baru inisiatif, serta perbaikan berkelanjutan dari
proses saat ini, dan memungkinkan tim manajemen untuk memantau dan
melaporkan kinerja. IT memungkinkan bisnis operasi melalui konektivitas,
pengolahan informasi, intelijen bisnis, dan sejenisnya. Terakhir, dan sangat penting
untuk audiens ini, TI dapat berkontribusi besar sistem perusahaan pengendalian
internal. Dengan pentingnya organisasi IT terus tumbuh setiap tahun, pentingnya ''
manajemen perubahan '' di IT sistem terus tumbuh bersama dengan itu. Ada tubuh
besar bukti bahwa manajemen perubahan kontribusi kritis untuk pelaksanaan
efisien, efektif, dan aman operasi TI. Karena setiap perubahan dalam sistem IT
menciptakan konsekuensi potensial pada operasi perusahaan, eksekutif harus
memahami manajemen perubahan secara menyeluruh: bagaimana memaksakan
itu, bagaimana menegakkannya, dan bagaimana memantau dan meningkatkan
efektivitas. Penelitian dari Institut Proses IT telah menunjukkan bahwa organisasi
yang mengelola teknologi mereka juga tampil jauh lebih baik dibandingkan
organisasi yang tidak.
Secara sederhana, semua perubahan TI perlu disahkan dan diuji, dan tidak
sah atau perubahan belum teruji dilarang. Dengan kata lain: perubahan IT
perusahaan infrastruktur merupakan sumber signifikan dari risiko untuk setiap
bisnis; untuk melindungi permata mahkota perusahaan, praktik manajemen
perubahan yang kuat yang benar-benar penting. Kebutuhan untuk '' lingkungan
pengendalian 'positif' dalam IT dan sikap tak kenal ampun mengenai perubahan IT
yang tidak sah tidak dapat dilebih-lebihkan.
Manajemen perubahan yang kuat berarti implementasi sistem yang

direncanakan, terbukti (baca: diuji) solusi, dijadwalkan peningkatan jendela di mana
pemulihan difasilitasi jika diperlukan, dan banyak lagi. Untuk mengelola perubahan
teknologi dengan baik, manajemen perubahan Program perlu diperkenalkan secara
resmi ke dalam organisasi. menerapkan Program manajemen perubahan berarti
menempatkan tanggung jawab untuk berbagai perubahan kegiatan yang terlibat
dalam menerapkan solusi teknologi baru.
Perubahan Proses Teknologi Audit
Audit perubahan manajemen harus meninjau IT hasil untuk mengidentifikasi

perbaikan kunci peluang. Selama audit perubahan program manajemen, auditor
harus:
Memahami proses perubahan manajemen dan prosedur.
Mengidentifikasi dan menilai kontrol kunci dalam proses perubahan

manajemen yang memastikan semua perubahan yang diotorisasi dan diuji
sebelum pelaksanaan.
Menentukan kualitas informasi yang dihasilkan oleh manajemen perubahan

Program, dan menilai apakah itu cukup untuk mengelola manajemen
perubahan proses.
Menilai metrik kinerja manajemen perubahan untuk keberadaan mereka,

efektivitas, memantau kegiatan, dan tanggapan terhadap setiap
penyimpangan Program.
Mengevaluasi apakah kontrol manajemen risiko yang preventif, detektif, atau

korektif, dan jika keseimbangan yang baik telah dilaksanakan.
Tentukan tes untuk mengkonfirmasi efektivitas operasional kegiatan
manajemen perubahan, termasuk manajemen dan staf wawancara,
dokumentasi dan ulasan laporan, dan analisis data.
Merekomendasikan peluang untuk perbaikan kegiatan manajemen

perubahan.
Indikator Miskin Manajemen Perubahan
perubahan tidak sah. Apa pun di atas nol tidak dapat diterima.
membangun nada di bagian atas yang jelas berkomunikasi intoleransi
perusahaan tidak sah perubahan adalah penting bagi keberhasilan jangka
panjang dari program manajemen perubahan.
pemadaman terencana. Pemadaman Sistem harus dijadwalkan

(direncanakan) untuk mengurangi dampak pada operasi organisasi. Yang
telah ditentukan '' jendela perubahan '' adalah di mana sistem produksi harus
diperbarui. pemadaman yang tidak direncanakan disebabkan oleh masalah
sistem dan mendorong lingkungan reaksioner (yaitu, pemadam kebakaran),
yang tidak bagaimana Anda tetap di atas sistem pengendalian internal.
Rendah tingkat perubahan keberhasilan manajemen perubahan yang

baik melibatkan pengujian yang baik; jika perubahan harus '' mundur, '' itu
adalah indikator pengujian miskin yang gagal menangkap masalah pada
tahap awal.
jumlah tinggi perubahan darurat. Sekali lagi, keadaan darurat harus

keadaan darurat, dan jarang terjadi. perencanaan yang buruk dari perubahan
menghasilkan tinggi jumlah darurat.
Tertunda implementasi proyek. Keterlambatan pelaksanaan proyek

adalah tanda rencana realistis atau keputusan resourcing miskin. manajemen
perubahan yang baik praktek mendorong perencanaan yang baik dan dari
waktu ke waktu rencana yang lebih terjangkau, sehingga penundaan lebih
sedikit dan pembatalan implementasi.
Audit manajemen perubahan harus meninjau indikator risiko di atas sebagai

yang baik mengukur dari kemungkinan bahwa kontrol berada atau tidak efektif.
Proses audit IT bisa sangat produktif; Hasil bisnis yang baik terjadi karena kualitas
proses yang digunakan untuk menghasilkan mereka. Meninjau kebijakan dan
prosedur dan terkait proses yang telah dilaksanakan akan membantu menentukan
apakah investasi TI Anda akan menjadi produktif dan bermanfaat. Juga, berdiskusi
dengan manajemen TI bagaimana mereka melakukannya mereka pekerjaan -
khususnya upaya perubahan TI mereka - akan sangat produktif, dan membantu
menjawab pertanyaan mendasar: perubahan Apakah diimplementasikan dalam
dikendalikan atau cara serampangan?
Ketika saya melihat manajer bekerja TI telah dilakukan untuk menguji (yaitu,
membuktikan) bahwa perubahan adalah bekerja, saya ingin melihat empat teknik
pengujian mendasar: uji fungsional, stres pengujian, pengujian logis, dan pengujian
jalan. Sudah pengalaman saya bahwa jika di atas pengujian sistem tidak dilakukan,
diverifikasi, dan disetujui oleh beberapa validasi independen Unit (kontrol kualitas,
audit internal, luar konsultan, apa pun), maka kita memiliki masalah dalam 60
persen dari implementasi.
Akhirnya, yang kuat '' manajemen rilis '' proses, selain perubahan yang kuat
praktek manajemen, harus menjadi tujuan utama. praktek yang ketat untuk
membangun, pengujian, dan menerbitkan perubahan TI memiliki dampak yang luas
pada hasil IT individu dan kinerja keseluruhan organisasi. Oleh karena itu,
sementara menerapkan komprehensif Program manajemen perubahan penting,
membangun rilis yang kuat proses manajemen serta sangat dianjurkan.
Bimbingan Audit IT
IT Compliance Institute telah menerbitkan audit IT perubahan checklist meliputi

baru pengelolaan. makalah ini, '' IT Audit Checklist: Manajemen Perubahan, ''
mendukung audit internal dari kebijakan manajemen perubahan organisasi untuk
memverifikasi kepatuhan dan mencari peluang untuk meningkatkan efisiensi,
efektivitas, dan ekonomi. Itu kertas termasuk rekomendasi untuk menilai
keberadaan dan efektivitas manajemen perubahan dalam pengawasan proyek,
pengembangan, pengadaan, IT layanan pengujian, dan IT operasi; pedoman bagi
manajemen dan auditor untuk mendukung manajemen perubahan; dan informasi
untuk memastikan perbaikan terus-menerus dari manajemen perubahan upaya.
Apakah perubahan teknologi yang dikelola dengan baik? Saya percaya saatnya
untuk mencari tahu.
Dipetik dari Kepatuhan Minggu. Artikel ini awalnya diterbitkan di Kepatuhan

Minggu. Direproduksi dengan izin dari Kepatuhan Minggu. Seluruh hak cipta.
7.10. Struktur 'Kanan'

Setelah strategi audit yang jelas jaminan berbasis risiko dan bekerja
konsultasi adalah dalam audit tempat manajemen maka harus mengalihkan
perhatiannya pada cara sumber daya yang terorganisir. Ini akan memiliki efek
penting pada pengiriman jasa audit. Selain itu, ada banyak pilihan yang mendasari
jenis struktur yang harus di tempat, yang harus dipertimbangkan dan diputuskan.
Beberapa pilihan ini adalah sebagai berikut:
departemen Desentralisasi mungkin timbul di mana bidang audit yang

terdiri dari geografis segmen terisolasi ketika mungkin dianjurkan untuk
menempatkan unit audit dalam masing-masing. Hal ini dapat mencakup
wilayah, negara atau bahkan seluruh benua, di mana perbedaan adat istiadat
setempat yang begitu besar bahwa peran audit yang terpusat akan tidak
pantas.
Satu departemen audit terpusat mungkin lebih di mana hal ini tidak
terjadi. Di Sebaliknya, tren saat ini untuk mengembalikan pengelolaan
keuangan untuk manajer lini juga dapat mempengaruhi audit internal, yang
mungkin tersapu dalam strategi ini. Sayangnya, ini akan cenderung
mencairkan basis kekuatan dari CAE sebagai garis pelaporan kuat didirikan
dengan masing-masing departemen.
fungsi berbasis Layanan dapat dibagi menjadi kelompok-kelompok yang

memberikan jasa audit khusus seperti IS, kontrak, keuangan, konsultasi,
penyelidikan, keteraturan, sistem berbasis risiko dan sebagainya di. Idenya
adalah untuk mengembangkan tingkat keahlian dalam jasa audit khusus,
dalam pencarian profesionalisme ditingkatkan. Cara lain adalah dengan
membagi jaminan dan jasa konsultasi. Itu kemunduran adalah tingkat
crossover yang akan timbul di mana beberapa auditor mungkin muncul di
area kerja sama, tetapi dengan tujuan yang berbeda. Hal ini juga lebih sulit
untuk membangun klien berbasis melihat, sebagai tim audit yang melayani
seluruh organisasi dan departemen tidak ditentukan.
kelompok berbasis Client masing-masing bertanggung jawab untuk

berbagai didefinisikan bidang audit yang menyediakan jasa audit untuk klien
utama mereka. Setelah kelompok audit yang telah ditetapkan untuk klien
(katakanlah, Direktur), kita akan mengharapkan berbagai layanan yang akan
diberikan sebagai kontribusi untuk mengembangkan hubungan klien /
auditor.
struktur Mixed timbul di mana kombinasi pendekatan client dan layanan

berbasis adalah diterapkan, dan bidang audit yang dialokasikan untuk
kelompok yang juga menyediakan beberapa layanan khusus. Hal ini mungkin
mencerminkan kepraktisan kehidupan kerja di mana klien ditetapkan untuk
setiap audit manager, sementara ada beberapa jasa audit khusus (seperti
penyelidikan penipuan) yang akan menjalankan seluruh organisasi.
Pendekatan berbasis proyek memungkinkan auditor untuk jatuh ke dalam

kolam sumber daya yang membentuk menjadi tim saat pemeriksaan proyek
permintaan. Ini dirancang untuk memberikan layanan berbasis respon cepat
terdiri dari keahlian mengambang, dan mencerminkan pendekatan tim
multidisiplin mana sumber mengatasi masalah dan ketika mereka muncul. Ini
bisa menjadi solusi yang sangat baik tetapi membutuhkan besar
keterampilan untuk mengelola dengan benar.
model berbasis Konsultasi- mirip dengan yang berbasis proyek meskipun

auditor akan bekerja secara terpisah bukan di tim. struktur datar ini
memberikan afiliasi klien, tetapi bisa memberikan waktu respon yang cepat,
terutama untuk pekerjaan yang tidak direncanakan. Tugas diperoleh, audit
singkat dan anggaran yang tersedia, dan auditor dikirim keluar, untuk
kembali dengan draft laporan selesai dalam beberapa jam dianggarkan.
struktur hirarkis melibatkan beberapa tingkatan auditor dengan berbagai

nilai yang berbeda masing-masing ditempatkan dalam kelompok audit yang
ditetapkan. Kita mungkin menemukan manajer audit, auditor utama, auditor
senior, asisten audit dan kemudian trainee. Pendekatan tradisional ini
dianggap kontrol untuk melekat di semua staf mengetahui posisi mereka di
unit audit dan pelaporan garis jelas mengatur dan terapan.
Proyek teaming melibatkan kelompok audit yang tetap tetapi juga memilih
auditor individu untuk membentuk tim proyek untuk tugas sementara. Atas
dan di atas kebijakan ini, auditor dapat diputar antara kelompok, mengatakan
setiap tiga bulan, atau memiliki penugasan jangka tetap ke daerah-daerah
khusus. Perhatikan bahwa banyak kelompok yang awalnya dibentuk sebagai
tim proyek menjadi perlengkapan tetap.
Faktor yang Mempengaruhi Struktur
GAMBAR 7.39 Penataan audit internal.
Ada banyak pilihan dan kombinasi metode yang dapat diterapkan dan lagi,
seperti dengan sebagian besar bahan pada manajemen audit, keputusan yang
sesuai harus dibuat. keputusan ini harus positif, berdasarkan pilihan yang tersedia
dan didirikan pada utama yang perlu untuk mencapai layanan kualitas audit. Dalam
prakteknya, tidak ada satu solusi, meskipun ada prinsip-prinsip perusahaan yang
harus diterapkan bersama dengan kebutuhan untuk memperoleh tingkat
fleksibilitas inbuilt atas dasar bahwa perubahan adalah sekarang norma.
Selanjutnya, struktur audit harus mengalir secara alami dari setuju strategi audit.
Setelah CAE telah menetapkan struktur disepakati untuk fungsi audit dan
didefinisikan prosedur dan standar untuk kinerja pekerjaan audit, maka salah satu
mungkin berpendapat bahwa staf harus mampu memberikan jasa audit seperti
yang ditunjukkan pada Gambar 7.39.
Kualitas staf dapat disesuaikan melalui strategi audit namun dapat

bergantung pada perusahaan kebijakan.
Status Audit Internal Status audit internal memiliki efek knock-on pada
tingkat kemandirian yang
dijamin. Di dunia yang ideal,
orang akan berpendapat bahwa
semakin tinggi status audit,
dalam hal nilai dari staf, lebih
baik. Ini, bagaimanapun, tidak
memberikan beban tambahan
pada CAE, tidak sedikit menjadi
biaya tinggi menjalankan
layanan yang harus diisi ulang.
Meskipun demikian, penataan
harus dimulai dengan posisi
yang sebenarnya dari audit
internal dalam organisasi dan
garis pelaporan diadopsi. Ada juga link dengan statusnya seperti yang ditunjukkan
pada Gambar 7.40.
GAMBAR 7.40 Status Audit dan struktur.
pekerjaan audit tingkat rendah melaporkan ke CAE (atau manajer audit)

cukup junior akan hasil dari status yang rendah dan struktur hirarkis akan menjadi
norma. Tingkat tinggi audit rumit langsung bunga kepada kepala eksekutif
memerlukan datar, lebih layanan berbasis respon yang diberikan oleh Staf
bergradasi lebih tinggi.
Pekerjaan individu
Ada konflik antara auditor tradisional dan gaya kerja baru yang harus
berhasil. Model kerja
konvensional didasarkan
pada tim audit yang
ditugaskan untuk salah satu
proyek yang bisa
mengambil beberapa
minggu. Tim akan terdiri
dari seorang auditor senior
(atau auditor memimpin)
dan satu atau lebih junior
staf. Memimpin auditor akan
melakukan evaluasi sistem
dan pemastian sedangkan
junior akan cenderung
melaksanakan program pengujian dihasilkan. Rasa tim Semangat akan menang dan
pengalaman berharga dalam supervizing dapat diperoleh oleh auditor senior. Junior
sementara akan belajar lewat pekerjaan dan mengembangkan keterampilan audit
diperlukan karena mereka naik melalui nilai. Dalam banyak departemen audit,
model ini telah memberikan cara untuk baru Pendekatan berbasis konsultasi-:
1. tingkat tinggi kerja audit de-memprioritaskan pengujian rinci yang digunakan

untuk dilaksanakan. Keuangan pengujian sistem dilakukan melalui software
interogasi diterapkan untuk database download.
2. anggaran ketat ditugaskan untuk setiap audit untuk mencerminkan

kebutuhan untuk efisiensi penggunaan sumber daya. Klien membayar
langsung untuk pekerjaan audit dan tidak ada alasan untuk menetapkan tim
besar untuk satu audit.
3. Salah satu auditor akan merupakan tim dan diminta untuk menyelesaikan
pekerjaan dalam waktu yang ketat frame waktu. Orang ini akan memiliki
banyak kontrol atas tugas, meskipun Laporan akan dibersihkan oleh audit
manajemen sebelum publikasi
4. auditor ini bekerja lebih atau kurang sendirian dan hanya menggunakan
yunior untuk pengujian tertentu bila diperlukan. staf tambahan tiba untuk,
katakanlah, pengujian rutinitas, dan berangkat setelah beberapa hari yang
dibutuhkan untuk lengkap. auditor yang ditugaskan akan bertanggung jawab
untuk hasil masukan tambahan ini.
5. Dengan cara ini, konsep tim hilang, tetapi masing-masing audit baik
disampaikan dengan biaya minimum dan fokus dipertahankan oleh auditor
yang ditugaskan.
Salah satu cara di mana beberapa semangat tim dapat dipertahankan, di

samping penerapan konsultan Model, adalah untuk manajer audit menjadi papan
terdengar dengan membahas proyek dengan auditor. Lain adalah dengan
mengadakan pertemuan kelompok reguler dimana setiap auditor dapat
menyebutkan nya / proyek nya untuk debat terbatas. Akhirnya, salah satu mungkin
mengizinkan beberapa pertukaran pandangan antara staf saat mereka membahas
audit mereka tertentu (dan masalah terkait) ketika mereka berada di kantor.
Sayangnya, biaya tinggi jam pemeriksaan cenderung berarti bahwa setiap auditor
harus melakukan / audit nya sendiri dari awal sampai akhir.
Tim proyek
Proyek tim adalah cara yang berguna di mana departemen audit dapat
membangun fleksibilitas dalam nya struktur. Ini melibatkan staf pemindahan
sehingga mereka kelompok menjadi tim kecil untuk besar tertentu proyek atau
serangkaian proyek. Atau, sumber daya tambahan dapat dibawa untuk staf yang
ada, lagi untuk proyek-proyek tertentu. Ini bisa menjadi kuat terutama di mana
tambahan jasa konsultasi yang disediakan. Di mana manajemen ingin latihan
tertentu dilakukan out, kita dapat melestarikan sistem yang direncanakan bekerja
dan tim menggunakan proyek untuk sumber daya anti-fraud Latihan atau
penyelidikan manajemen utama. Jika proyek ini begitu penting, manajemen tidak
akan keberatan pendanaan sumber daya tambahan. Sebuah auditor utama,
mengatakan manajer audit, harus mengarahkan kerja tim sehingga tetap dalam
kontrol. tim proyek dapat sumber daya sebagai berikut:
Ada staf audit Mereka akan diandalkan, tetapi tidak akan kemudian akan tersedia
untuk melaksanakan direncanakan audit. Pendekatan ini dapat dianggap sebagai
memperlakukan audit menunggu sekitar untuk kerja nyata yang harus dilakukan,
yang tidak mempromosikan citra profesional. Itwill juga sangat sulit untuk
merencanakan pekerjaan ketika staf terus-menerus dipindahkan ke proyek tim,
kecuali tim adalah bagian dari rencana di tempat pertama.
Mempekerjakan konsultan Ini adalah pilihan yang sangat mahal, meskipun ada
akan sedikit waktu yang dihabiskan meninjau pekerjaan mereka. Kami akan
cenderung menggunakan konsultan untuk proyek jangka pendek individu dan bukan
untuk kerja berbasis tim, yang bisa berlangsung beberapa waktu.
Mempekerjakan staf lembaga ini adalah model yang berguna sebagai sumber
daya tambahan dapat berkontribusi langsung ke proyek yang akan dikelola oleh
auditor di rumah. rencana Audit akan tetap utuh dan kita dapat menggunakan staf
sementara untuk beberapa waktu karena mereka tidak harus dibebankan pada tarif
premium.
Kedua staf dari tempat lain dalam organisasi Tim mengangkat tangan-baik
mungkin dijamin, meskipun kita harus memastikan bahwa loyalitas anggota
'berbohong dengan proyek. Kebutuhan pelatihan mungkin timbul di mana
pendekatan ini diterapkan dan staf non-audit yang digunakan sampai batas
tertentu.
Mempekerjakan orang pada kontrak jangka pendek Kelemahannya adalah

bahwa kerahasiaan dapat menjadi masalah di mana orang-orang yang tidak akan
tinggal dengan organisasi yang digunakan pada pekerjaan sensitif. Keuntungan
utama adalah fleksibilitas bahwa ini menciptakan mana kita dapat melepaskan staf
secepat kontrak mereka berakhir. Kami akan berhati-hati tentang investasi sumber
daya yang berlebihan dalam pelatihan dan pembangunan sebagai sumber daya ini
dapat dihentikan pada waktunya.
Memungkinkan manajer commissioning proyek untuk memasok sumber

daya dari mereka sendiri Pembentukan Di sini mungkin kehilangan gelar
kemerdekaan di mana, dalam hal konflik, loyalitas mungkin terletak dengan
manajer dan tidak organisasi. Hal ini juga untuk mengatur kontrol yang jelas atas
tim proyek bergulir sekitar segi perusahaan acuan, prosedur review yang baik dan
ketat anggaran untuk pekerjaan yang dibutuhkan. Ingat bahwa beberapa staf
mungkin ingin insinyur peran permanen untuk sesuatu yang hanya dimaksudkan
untuk bersifat sementara.
Basis Layanan Tim Audit
Hal ini dimungkinkan untuk membentuk tim audit atau kelompok atas dasar
jenis layanan yang masing-masing kelompok menyediakan. Ini dapat
disederhanakan dalam contoh empat kelompok audit yang utama yang
mengkhususkan diri di:
1. Sistem dan IS audit
2. Manajemen risiko dan CRSA
3. Layanan konsultasi
4. Investigasi.
GAMBAR 7.41 Klien dibandingkan tim layanan berbasis.

Ini adalah salah satu cara untuk mengembangkan keahlian di bidang audit
tertentu. Hal ini juga memungkinkan untuk menggunakan Tim investigasi untuk
menghindari mengganggu sistem direncanakan dan bekerja kejujuran. Salah satu
kritik pendekatan ini adalah bahwa klien afiliasi mungkin sulit untuk
mempertahankan di mana tidak ada satu kelompok bertanggung jawab untuk satu
departemen. Pendekatan kontras adalah untuk mengatur kelompok untuk masing-
masing utama departemen di seluruh organisasi. Ini diilustrasikan pada Gambar
7.41.
GAMBAR 7.42 tim berbasis Departmentally.
Kita harus mempertimbangkan pro dan kontra dari masing-masing pendekatan dan
membuat keputusan beralasan.
Hal ini dimungkinkan untuk mengembangkan solusi campuran dimana

kelompok audit departmentally berdasarkan namun memiliki spesialisasi built-in. Ini
mungkin muncul seperti pada Gambar 7.42. kelompok audit dapat ditugaskan untuk
departemen sementara juga bertanggung jawab untuk jenis didefinisikan jasa audit.
Ini dibuat lebih mudah dengan mengaitkan layanan untuk departemen mana jenis
ini pendekatan yang paling tepat. Kelompok ini juga akan bertanggung jawab untuk
menyediakan layanan ini departemen di seluruh. Tim investigasi tidak akan
ditugaskan ke departemen sebagai masalah alam ini bisa terjadi di mana saja
dalam organisasi.
Nomor minimum Sebuah diskusi tentang berapa banyak staf harus digunakan
untuk mendukung misi Audit akan tergantung strategi audit diadopsi. Ini tidak
terulang di sini. Apa yang kita harus
mengatasi, bagaimanapun, adalah fakta
bahwa setiap struktur audit yang akan
ditentukan dengan mempertimbangkan
banyak faktor; salah satunya adalah
jumlah auditor yang tersedia untuk
melepaskan peran audit. Semakin besar
jumlah auditor semakin godaan yang
ada untuk mengembangkan
departemen audit birokrasi dengan
banyak tingkatan staf dan berbagai
nilai. Karena jumlah staf meningkat
lebih dari batas tertentu, mengatakan
lima atau enam, salah satu akan
harus mempertimbangkan untuk
mengembangkan konsep
kelompok audit. Kelompok-
kelompok ini akan
memungkinkan CAE untuk
membagi unit ke proporsi
dikelola dipimpin oleh seorang
manajer audit (atau auditor
group). Kebebasan dari masalah
kepegawaian maka akan
memungkinkan CAE untuk menangani hal-hal strategis yang bergerak fungsi dari
posisi mereka yang ada terhadap target mereka / tujuan. Sebaliknya, CAE yang
memiliki bagian dari kurang dari lima staf, akan cenderung menganggap kurang
strategis dan lebih peran manajerial. Titik kunci untuk dicatat adalah bahwa tidak
ada jawaban yang mendasar untuk pertanyaan tentang bagaimana struktur fungsi
audit dapat disediakan. Hal ini karena posisi yang ideal akan tergantung pada
berbagai faktor bersaing, termasuk strategi audit dan jumlah staf. Jika kita diminta
apakah ada jumlah minimum auditor yang harus digunakan maka satu jawaban
adalah:
Berapa jumlah minimum staf yang harus digunakan untuk mengaktifkan CAE
untuk mengadakan Status manajemen senior dan memiliki dampak nyata pada
organisasi?
Posisi yang ideal tercapai di mana fungsi audit dipandang sebagai kekuatan
utama dalam hal yang penunjukan resmi sebagai divisi atau departemen daripada
bagian kecil atau kelompok. ada satu peringatan untuk ini dalam hal kebutuhan
untuk memastikan anggaran audit tidak menjadi begitu besar untuk membuat ini
overhead terlalu mahal untuk manajer layanan. Ini mungkin ide untuk mengambil
dilihat dari komite audit dan tingkat jaminan bahwa audit internal berikan pada
internal yang kontrol. Hal ini umumnya lebih baik untuk mempekerjakan sejumlah
kecil auditor berpengalaman dan fokus pada penyediaan jaminan untuk area
berisiko tinggi di seluruh organisasi bersama dengan penting proyek konsultasi.
Supervisor
Proses audit penataan cascades turun dari CAE, manajer pemeriksaan melalui
seniornya auditor dan staf audit lainnya. Memimpin auditor / supervisor adalah
seorang perwira kunci dalam dunia audit itu orang ini yang, di atas semua,
menghasilkan pekerjaan audit yang sebenarnya. Fakta ini harus diakui sepenuhnya
dan melayani. Di bawah arahan manajer audit, auditor senior yang harus
membentuk unit utama yang ditugaskan untuk proyek baik secara individual atau
sebagai kepala tim audit kecil.
Trainee
Tingkat bawah dari struktur audit yang idealnya harus terdiri dari peserta pelatihan.
Orang-orang ini akan memiliki pengalaman terbatas dalam masalah audit tetapi
harus antusias dan membentuk murah sumber. Ini adalah praktik yang baik untuk
menggunakan trainee sebagai sumber auditor masa depan dan untuk memastikan
bahwa kita up to date pada perkembangan baru dan penelitian yang datang dengan
program pelatihan. beberapa Audit departemen tidak perlu mempekerjakan
'peserta' tapi tetap mendorong staf kurang senior untuk menjalani pelatihan
profesional formal. Ini kemudian dibangun ke dalam program pengembangan karir
mereka. Kita perlu mengembangkan model suara dari layanan audit internal dengan
masing-masing berkontribusi auditor untuk program kerja tepat. Audit tidak dapat
dikelola kecuali ada orang yang bekerja pada tingkat yang tepat dalam kapasitas
yang tepat. CAE harus menjaga meja yang jelas untuk merumuskan strategi dan
mengembangkan basis klien baru dan yang sudah ada. Manajer Audit harus mampu
menjalankan berbagai proyek pada saat yang sama sambil memastikan bahwa
masing-masing memenuhi standar kualitas yang telah secara resmi diadopsi.
Auditor harus dapat menyelesaikan audit mereka dengan cara yang kompeten
untuk standar profesional sesuai dengan manual audit, sehingga menghasilkan
pendapatan fee penting untuk fungsi audit. Keputusan penataan dan pengaturan
yang mendasari semua berkontribusi terhadap penerapan model yang paling tepat
yang mempromosikan posisi di atas.
7.11. Perkembangan Baru

Di masa lalu, ciri utama dari lapangan audit internal adalah bahwa auditor
selalu sangat teliti. Itu berarti, jika auditor melakukan cek stok, ia / dia akan
menghitung setiap item dalam / nya sampel dan melacak apa yang hilang atau
disimpan di tempat yang salah. auditor akan duduk dan belajar laporan rinci,
melakukan analisis rinci dan tidak akan berhenti sampai setiap pertanyaan pada
checklist itu menjawab. Agenda manajemen risiko baru berarti kita menerima
beberapa risiko dan kami tidak bisa memberikan jaminan pada segala sesuatu yang
terjadi dalam sebuah organisasi. Apa lebih relevan adalah bahwa auditor dapat
memberikan jaminan pada hal-hal yang penting. Alih-alih menjadi dikenal sebagai
seseorang yang bisa menghitung setiap item dari saham dalam daftar, auditor
menjadi diketahui sebagai seseorang yang terlibat dalam isu-isu tata kelola yang
berarti sesuatu untuk anggota dewan dan manajemen strategis. Kekhawatiran lain
tentang lapangan adalah bahwa manajemen kurang tertarik dalam apa yang terjadi
di masa lalu dan lebih peduli tentang apa yang akan datang di sudut, dan dapat
proses manajemen risiko mengambil masalah ini dan berurusan dengan mereka.
Ketika mempertimbangkan pendekatan audit, mungkin ide untuk

menanggung dalam pikiran kekurangan yang ada di banyak organisasi. Banyak
manajer tidak memiliki pemahaman yang nyata pada risiko yang mereka butuhkan
untuk berhasil tetap di atas. Salah satu survei membawa pulang fakta
mengkhawatirkan ini, dan temuan kunci dilaporkan di bawah ini:
Hanya setengah auditor internal dalam survei kami merasa organisasi

mereka memiliki pemahaman yang baik risiko yang mereka hadapi, bisa
memprioritaskan risiko tersebut, dan menanggapi secara efektif.
Beberapa organisasi memiliki jaminan memadai atas risiko yang mereka

hadapi dan ini akan tetap menjadi masalah karena ada kekurangan yang
signifikan dari orang-orang dengan keterampilan audit internal.
auditor internal di organisasi terbesar yang memenangkan argumen untuk

sumber daya, tetapi orang lain harus berbuat lebih banyak untuk membuat
kasus mereka, terutama jika mereka ingin memperluas kewenangan mereka
ke daerah di mana mereka percaya keahlian mereka dibutuhkan.
Telah ada argumen lama berjalan tentang tuntutan standar auditing dan
apakah tim audit yang lebih kecil dapat memenuhi persyaratan standar yang
tampaknya ditujukan pada yang lebih besar unit. Ada beberapa kelemahan di mana
tim audit cukup kecil tetapi lebih intim Suasana memiliki beberapa keuntungan
seperti yang dijelaskan oleh Nicola Rimmer:
Dalam tim yang lebih kecil sering ada kurang perebutan posisi seperti yang
dapat terjadi di tim yang lebih besar, dan sebagainya lebih banyak
kesempatan bagi staf untuk terlibat dalam perencanaan dan strategi audit,
dan membuat yang terbaik praktek saran dan umumnya berbagi
pengetahuan. Juga, jika seorang individu memiliki nilai tambah dalam jalan
besar, ini lebih jelas, baik di dalam tim, tetapi juga di antara manajemen,
audit Panitia dan papan. Hal ini dapat memberikan pengalaman berharga
untuk internal auditor, meskipun dengan risiko tambahan yang mereka dapat
dengan cepat beralih ke hal-hal yang lebih besar. Apakah bekerja di Tim audit
besar atau kecil, masing-masing memiliki tantangan khusus mereka sendiri
dan keuntungan. Namun, besar atau kecil, tekanan pada audit internal untuk
memberikan pelayanan yang berkualitas semakin meningkat. Satu hal jelas -
ukuran benar-benar tidak peduli. Yang penting adalah bagaimana Anda
menggunakan apa yang Anda miliki.
Salah satu isu yang telah berkembang dalam pentingnya selama bertahun-
tahun berhubungan dengan audit internal berbasis risiko Pendekatan yang telah
merembes melalui ke sebagian besar unit audit internal. Jeremy Opie telah
mencatat manfaat yang datang dari menggunakan pendekatan ini:
1. Menawarkan secara independen dan sistematis bagi para pemangku

kepentingan organisasi untuk menilai efektivitas pengaturan pengendalian
internal.
2. Menyediakan cek kritis yang tujuan bisnis yang jelas dan dipahami oleh
semua, dan kongruen dengan tujuan bagian lain dari organisasi.
3. Menyediakan penilaian independen terhadap efektivitas dan efisiensi dari

identifikasi risiko dan proses penilaian.
4. Menyediakan jaminan akurasi, kelengkapan dan mata uang risiko eksekutif

gambar.
5. Memberikan jaminan bahwa proses untuk merancang kontrol efektif dan

efisien, dan melengkapi eksekutif untuk mengelola perubahan.
6. Memberikan jaminan bahwa kontrol eksekutif yang efektif dan efisien, atau
akun apa yang harus dilakukan untuk membuat mereka begitu; mengakui,
dan memberikan kredit karena untuk, inovatif solusi manajemen risiko
kontrol. RBIA menghindari hanya memberlakukan kontrol standar Template.
7. Melawan risiko audit internal '' melakukan pekerjaan manajemen untuk

mereka. '' Sukses RBIA keharusan bekerja dengan manajemen.
8. Program Sebuah RBIA harus sesuai dengan ruang lingkup dan tujuan yang
paling pengendalian internal tahunan laporan, menawarkan dukungan yang
berharga untuk komitmen pelaporan komite audit dan dewan eksekutif.
Sementara aturan audit berbasis risiko dalam kebanyakan organisasi, masih

ada kesetiaan yang kuat untuk bangunan beberapa kepatuhan kerja dalam banyak
audit. ulasan berbasis risiko kepatuhan melihat daerah mana bisnis dapat
melanggar aturan, baik melalui kelalaian, pengawasan, atau melalui gelar perilaku
sembrono terkendali yang dapat menempatkan seluruh bisnis beresiko. audit
berbasis risiko memeriksa sejauh mana operasi ditujukan untuk menangani risiko
untuk sukses di masa depan pengiriman, tapi itu tidak berarti auditor akan ingin
mengabaikan pelecehan aktual yang terjadi di sini dan sekarang.
Ringkasan dan Kesimpulan

Jangkauan dan kemungkinan auditor intern dalam hal layanan dan
pendekatan untuk mereka kerja yang luas. Bab ini telah menyentuh pada beberapa
pendekatan dan dianggap sebagai isu-isu spesifik dan nuansa masing-masing
pendekatan. pekerjaan audit internal dapat dipecah menjadi jaminan-based dan
pekerjaan berbasis konsultasi. Pendekatan sistem berbasis bekerja jaminan bisa
terkait dengan meninjau sistem-tingkat yang lebih tinggi seperti sistem tata kelola
perusahaan, risiko sistem manajemen dan sistem yang dihasilkan dari pengendalian
internal. Selain itu, jaminan kerja yang bisa fokus pada berbagai aspek dari
spektrum kontrol seperti sistem informasi, masalah kepatuhan, VFM dan sistem
untuk melindungi sumber daya perusahaan dari penipuan dan penyalahgunaan.
pekerjaan konsultasi juga dapat berhubungan dengan masing-masing daerah di
atas, dalam hal ini dapat diarahkan untuk membantu organisasi mengatur
pengaturan tata kelola perusahaan termasuk manajemen risiko dan pengendalian.
consulting juga dapat digunakan untuk menelusuri ke pengaturan dan melibatkan
memfasilitasi kejadian risiko dan lokakarya. keterlibatan konsultasi tingkat atas
dapat diprogram ke dalam rencana audit untuk mengatasi masalah perusahaan dan
manajerial dan investigasi khusus melalui proyek formal yang mungkin memakan
waktu beberapa bulan untuk menyelesaikan. upaya berkelanjutan untuk
memberikan saran dan informasi untuk berbaris manajer mungkin juga fitur dari
peran audit internal, lagi secara konsultasi. Disitu ada pernah begitu banyak pilihan
yang tersedia untuk auditor internal. Respon terhadap dilema ini adalah untuk
berbicara dengan para pemangku kepentingan, mengatur strategi,
mempublikasikan hasil, memastikan struktur yang tepat dirancang dan bahwa staf
audit dilengkapi untuk melakukan strategi dan kemudian mendorong ke depan dan
memantau keberhasilan. Dimulai dengan pengaturan pemandangan Audit
melampaui apa yang biasa kami lakukan atau apa yang kita miliki tradisional baik
di. kemajuan nyata dibuat ketika CAE mampu bekerja 'di luar kotak' dan
mengembangkan sumber daya yang benar-benar menambah nilai ke arah, energi
dan akuntabilitas dari badan hukum.

Pendekatan Audit

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Pendekatan Audit

Diunggah oleh

Hak Cipta:

Format Tersedia

INTERNAL AUDITING

ELVIA NURHIDAYAH (12030113120012)

DILLA ZHAFARINA (12030113120055)

CHUSWATUL CHASANAH (12030113120097)

SITI AISYAH FITRIA ()12030113120115

FAKULTAS EKONOMIKA DAN BISNIS

7.1 Pendekatan Sistem

7.2 Pengendalian Risiko dan Self-assessment

7.3 Fasilitas Keterampilan

7.4 Integrated Self-assessment dan Audit

7,5 Investigasi Penipuan

7.6 Audit Sistem Informasi

7.8 Nilai untuk uang (VFM), Sosial dan Audit Keuangan

7.9 Pendekatan Consulting

7.10 Struktur 'Kanan'

7.11 erkembangan Baru Ringkasan dan Kesimpulan Tugas dan Pertanyaan

Ada banyak cara

Masing-masing faktor akan menerapkan tekanan dalam mendefinisikan cara bahwa

keandalan dan integritas informasi keuangan dan operasional;

efektivitas dan efisiensi operasi;

kepatuhan terhadap hukum, peraturan, dan kontrak

Sebuah set objek bersama-sama dengan hubungan antara benda-benda dan

Komponen terhubung Setiap bagian dari sistem memiliki beberapa

Terpengaruh dengan berada di sistem Komponen harus terpengaruh

Majelis diidentifikasi sebagai kepentingan khusus. ini adalah bagian

Prinsip-prinsip universal di balik pemikiran sistem dapat diterapkan dalam berbagai

Sistem terbuka terkait dengan lingkungan dan harus merespon perubahan

Sistem berpikir didasarkan pada ide melihat proses secara keseluruhan,

Komponen kunci adalah bagian penting yang penting bagi keberhasilan

Semua sistem harus di kontrol untuk bekerja dan kemampuan untuk

Sistem Berpikir Umum

1. Sistematis. Proses menggunakan metodologi yang jelas diterapkan di SBA

2. Sistemik. Ini menggunakan teori sistem diterapkan dengan

3. Sistem subjektif. Berikut penggunaan batas set sistem untuk

4. Sistem induk, sistem utama dan subsistem. Apresiasi hubungan sistem

Kita dapat menggunakan prinsip-prinsip sistem berpikir untuk melakukan

Keandalan dan integritas informasi keuangan dan operasional

Efektivitas dan efisiensi operasi

Kepatuhan terhadap hukum, peraturan dan kontrak.

Eksekutif Audit Kepala harus melaporkan secara berkala kepada manajemen

Masalahnya berasal dari mencoba

Sebagai contoh, tim audit dapat digunakan untuk mengikuti kendaraan

RBSA tidak dapat dilakukan tanpa mengikuti langkah-langkah di atas. Setelah

2. Rencana kerja dan pendekatan yang akan diadopsi. Perencanaan

3. Mendapatkan pemahaman yang baik tentang risiko dengan operasi ini

4. Mendefinisikan strategi pengujian. Pengujian diterapkan pada pemastian

5. Menentukan teknik yang akan digunakan. Teknik Audit seperti

7. Memastikan bahwa pekerjaan secara formal

8. Carilah tingkat resiko yang tinggi tak tanggung-tanggung Ini adalah

Masalah Sistem kunci

Dalam RBSA sebuah, auditor akan

Rutinitas pengujian rinci dan diskusi

Manfaat Audit berbasis Sistem (SBA)

2. Mempromosikan partisipasi dengan melibatkan klien dalam menjelaskan

3. Mempromosikan profesionalisme sebagai lawan mengaduk-aduk auditor yang

5. Hal ini konstruktif dalam upaya memperbaiki sistem.

8. Mempromosikan penghormatan dengan mengharuskan auditor untuk

9. Ini mengembangkan auditor sebagai ahli dalam kontrol daripada catur

11.Auditor umumnya merasa lebih menarik dengan penekanan dari transaksi

1. Organisasi ini dipandang sebagai serangkaian unit bisnis di mana manajemen

2. Sistem pengendalian intern harus di

3. Berbagai dukungan fungsi fungsional

Pendekatan ini dicontohkan dalam

Pendekatan di atas dapat diterapkan sebagai berikut: