E. Strategic Sourcing
Outsourcing dapat dilakukan dengan melihat kondisi yang ada.
Risiko dari mengumpulkan bukti yang tidak valid akan menghasilkan saran yang tidak valid juga.
II Audit Procedures
Langkah-langkah auditor internal untuk mengumpulkan bukti untuk mencapai tujuan audit.
Dilakukan selama proses audit untuk:
a Memperoleh pemahaman yang teliti tentang auditee.
b Mengetes kecukupan desain dan efektivitas sistem pengendalian atas area yang akan diperiksa.
c Menganalisas hubungan yang masuk akal antara berbagai elemen data.
d Secara langsung mengetes informasi keuangan yang tercatat maupun yang tidak tercatat untuk mengetahui
error&fraud.
e Menghasilkan bukti audit yang cukup untuk mencapai tujuan audit, termasuk menentukan nature, extent, dan
timing untuk melakukan prosedur audit.
- Nature nature atau sifat dari prosedur audit berhubungan dengan tipe tes yang akan dilakukan oleh auditor
internal untuk mencapai tujuannya.
- Extent berhubungan dengan seberapa banyak bukti audit yang harus dikumpulkan untuk mencapai tujuan
- Timing kapan prosedur audit akan dilakukan dan lingkup periode waktu yang akan dilakukan pengujian.
A Manual Audit Procedure
Prosedur audit yang sering dilakukan adalah inquiry, observasi, inspeksi, vouching, tracing,
reperformance, prosedur analitis, dan konfirmasi.
B Teknik Audit Berbantuan Komputer
Teknik Audit Berbantuan Komputer didefinisikan sebagai segala bentuk teknik audit yang
bekerja secara otomatis, contohnya software khusus audit (cth. ACL), test data generators, program
audit terkomputerisasi dan alat audit lainnya.
Teknik audit berbantuan komputer, beberapa diantaranya:
1 Software khusus audit software multipurpose yang dapat melakukan pekerjaan audit seperti pencocokkan,
pemilihan record, penghitungan ulang, dan pelaporan.
2 Test data generators simulasi transaksi yang digunakan untuk memproses logika, pengendallian, skema
penghitungan dalam bentuk aplikasi.
3 Aplikasi software tracing-mapping alat khusus yang digunakan untuk menganalisa arus data dari suatu
aplikasi berdasarkan dasar logika software tersebut , seperti bahasa pemogramannya, perintah bahasa, dsb.
4 Audit expert system sistem pengambilan keputusan yang digunakan untuk mendukung kerja sistem
informasi auditor dalam melaksanakan pekerjaannya. Sistem ini secara otomatis dapat melakukan analisis
risiko secara otomatis.
5 Continues auditing memungkinkan seorang auditor yang bergerak dalam bidang sistem informasi untuk
memantau reliabilitas sistem secara teru menerus dan mengumpulkan bukti audit melalui komputer.
Keuntungan menggunakan software audit:
Memungkinkan untuk melakukan prosedur audit pada lingkungan yang memiliki banyak hardware dan
software dengan persyaratan yang sederhana.
Memungkinkan auditor untuk menguji data pegawai dari perusahaan IT secara independen.
Memungkinkan untuk menganalisis jumlah data yang besar.
Beberapa software audit, dapat menguji jumlah populasi data, dibandingkan dengan prosedur audit manual
yang hanya bisa mengambil sampel.
Menghemat waktu auditor dalam melakukan pekerjaan.
Hambatan dalam software audit:
Harus ada ijin khusus terhadap data.
Sulit untuk mendapatkan akses fisik terhadap data.
Harus mengerti dengan benar bagaimana format data dan disimpan dimana.
Kesulitan untuk mengubah data menjadi bentuk yang dapat diolah dan diteliti auditor.
III Kertas Kerja
IIA Standard 2330 - mendokumentasikan informasi dibutuhkan oleh internal auditor dalam
mengumpulkan bukti yang mendukung hasil penugasan.
Tujuan Kertas Kerja:
1 Dibutuhkan dalam perencanaan dan pelaksanaan pekerjaan.
2 Memfasilitasi supervisi terhadap pekerjaan dan melakukan review terhadap pekerjaan yang telah selesai.
3 Menunjukkan apakah penugasan telah dilaksanakan secara objektif.
4 Merupakan sarana pendukung utama bagi internal auditor dalam berkomunikasi dengan auditee, manajemen
senior, dewan direksi dan pihak ketiga.
5 Digunakan untuk mengevaluasi kualitas penugasan.
6 Berkontribusi dalam pengembangan kualitas SDM internal auditor.
Tipe Kertas Kerja:
1 Program kerja - karakteristik, ruang lingkup, jangka waktu prosedur audit.
2 Anggaran waktu penugasan dan kertas kerja alokasi sumber daya.
3 Gambaran mengenai proses berupa flowchart atau peta permasalahan yang mengidentifikasikan aktivitas, risiko,
dan pengendalian.
4 Grafik, diagram, yang digunakan untuk menunjukkan kemungkinan terjadi dan dampaknya pada risiko bisnis
auditee.
5 Agenda pertemuan dengan auditee dan pertemuan tim.
6 Memo hasil interview dan rapat dengan auditee.
7 Informasi dasar auditee.
8 Copy dari sumber dokumen auditee.
9 Dokumen terkait IT.
10 Bukti yang diperoleh dari pihak ketiga.
11 Bukti yang dikumpulkan oleh auditee.
12 Kertas kerja yang disiapkan oleh auditor seperti matriks risiko dan pengendalian.
13 Pengendalian yang dilakukan auditee, dan proses reperformed yang dilakukan auditor.
14 Hasil observasi, rekomendasi, dan simpulan auditor.
15 Komunikasi final dari penugasan dan tanggapan atas penjelasan auditor pada akhir penugasan.
Standar kertas kerja yang benar, meliputi:
1 Keseragaman sistem cross-referencing dalam semua penugasan.
2 Format kertas kerja yang konsisten.
3 Tick marks yang standar.
4 Klasifikasi dokumen atas dokumen yang merupakan jenis permanen atau yang sifatnya berlanjut setiap tahun dan
saling terkait antar tahun.
Kertas kerja sedikitnya memuat:
1 Nomor indeks dan referensi yang tepat.
2 Surat penugasan dan tujuan penugasan.
3 Diberi tanggal & ditandatangani oleh internal auditor yang melaksanakan (ketua tim) maupun yang me-review.
4 Memberikan penjelasan rinci terkait data dari auditee.
5 Memberikan penjelasan spesifik terhadap prosedur audit tertentu.
6 Dengan jelas ditulis dan dapat dimengerti oleh auditor lain yang berbeda penugasan.
BAB 11
AUDIT SAMPLING
Audit sampling merupakan salah satu prosedur audit yang diterapkan untuk mengurangi item
populasi (kurang dari 100%) tapi dengan tujuan menggambarkan keseluruhan populasi. Populasi dapat
berupa semua laporan penerimaan selama setahun atau semua saldo pelanggan pada buku pembantu piutang.
Sampling ini digunakan untuk pelaksanaan prosedur audit seperti tracing atau vouching yang
digunakan untuk pemeriksaan dokumen audit trail atau digunakan untuk prosedur audit inquiry dan
observation.
A Dua Pendekatan Umum Audit Sampling
Dua pendekatan tersebut adalah statistical dan nonstatistical. Kedua pendekatan ini membutuhkan
professional judgment dalam mendesain rencana sampling, melaksanakan rencana tersebut dan
mengevaluasi hasil sample. Internal audit memiliki kebebasan dalam memilih kedua pendekatan tersebut
sesuai dengan prosedur yang akan dilakukan, evaluasi atas bukti yang diperoleh, dan tindakan yang akan
dilakukan berdasarkan tujuan penerapan sampling.
Untuk memilih, auditor internal harus mempertimbangkan cost and benefit. Statistical sampling
merupakan alat bantu auditor internal untuk mengukur kecukupan bukti yang yang diperoleh dan
mengevaluasi hasil sampling secara kuantitatif. Lebih dari itu audit sampling memungkinkan auditor untuk
menghitung, mengukur, dan mengontrol sampling risk. Namun, statistical sampling juga lebih costly.
B Audit Risk and Sampling Risk
Dalam chapter sebelumnya audit risk diartikan sebagai risiko kesalahan pengambilan kesimpulan
dan/atau menyediakan saran yang keliru berdasarkan pekerjaan audit yang dilakukan. Dalam konteks
tersebut maka audit risk dibagi menjadi 2 yaitu sampling risk dan non-sampling risk.
Sampling risk adalah risiko bahwa kesimpulan internal audit berdasarkan sample yang diuji berbeda
dengan kesimpulan yang diperoleh apabila prosedur audit dilakukan terhadap seluruh item pada populasi.
Dalam melakukan Test of control, internal audit concerned terhadap dua aspek sampling risk yaitu:
1 The risk of assessing control risk too low (type II risk, beta risk)
Dikenal juga dengan risk of overreliance (risiko ketergantungan lebih) yaitu risiko bahwa internal auditor
salah dalam menyimpulkan bahwa kontrol tertentu lebih efektif dari yang seharusnya.
2 The risk of assessing control si too High (The I risk, alpa risk)
Dikenal juga dengan risk of under-reliance (risiko ketergantungan kurang) yaitu risiko bahwa internal audit
salah dalam menyimpulkan bahwa kontrol kurang efektif dari yang seharusnya.
Non sampling risk risiko yang terjadi ketika internal auditor gagal dalam menjalankan
pekerjaannya secara benar. Misalnya melakukan prosedur audit yang tidak tepat atau sah dalam
melakukan interpretasi hasil sampling. Nonsampling risk dikontrol menggunakan audit planning,
supervisi, dan quality assurance.
I STATISTICAL AUDIT SAMPLING IN TESTS OF CONTROL
A Atribute Sampling Approaches
Attribute Sampling merupakan pendekatan sampling statistikal berdasarkan teori binomial
distribution yang memungkinkan pengguna memperoleh kesimpulan tentang populasi dengan menggunakan
tingkat keterjadiannya. Binomial distribution adalah distribusi semua kemungkinan sample yang mana tiap item
dalam populasi mempunyai satu atau dua kemungkinan states.
Stratified attribute sampling variasi dari attribute sampling dari populasi yang dapat dibagi-bagi.
Ketika kontrol yang berbeda diterapkan dalam level transaksi yang berbeda maka perbedaan level transaksi
terebut dapat dipertimbangkan sebagai populasi yang berbeda.
Stop-or-go sampling variasi attribute sampling yang digunakan ketika tingkat penyimpangan
diperkirakan rendah karena dapat meminimalkan ukuran sample untuk level sampling risk tertentu.
Discovery sample- variasi attribute sampling yang didesain dengan cukup luas untuk mendeteksi
paling tidak satu penyimpangan apabila tingkat deviasi pada populasi setara atau melebihi tingkat spesifik.
Pendekatan ini biasa digunakan untuk menguji adanya fraud.
B Designing an Attribute Sampling Plan, Executing The Plan, and Evaluating The Sample Result
6 Memilih sample secara acak
Dua pendekatan yang sering digunakan adalah:
a Simple Random Sampling
Pendekatan yang paling mudah ketika sampling dokumen prenumbered. Menggunakan tabel nomor
random adalah salah satu jalan internal auditor mendapatkan random sample.
b Systematic Sampling
Internal auditor memilih secara random untuk menentukan titik awal data dan memlih sampai urutan
tertentu setetahnya.
7 Audit sample item yang dipilih dan menghitung jumlah deviasi dari control yang ditentukan.
8 Menentukan batas deviasi yang dapat diterima.
9 Mengevaluasi hasil sample, meliputi:
a Kesimpulan perhitungan statistik.
b Membuat keputusan audit berdasarkan hasil sample quantitative.
c Mempertimbangkan aspek kualitatif dari hasil sample.
C Memformulasikan Keputusan Statistikal
Hipotesis 1 I am 90% confident that the true, but unknown, population deviation rate is 4,8%.
Hipotesis 2 I am 90% confident that the true, but unknown, population deviation rate is 6,6%.
D Menyusun keputusan audit berdasarkan hasil sampel kuantitatif
Aplikasi atribut sampling didesain agar internal auditor akan menyimpulkan bahwa
pengendalian efektif, berdasarkan hasil sampling, jika 90% tingkat keyakinan bisa dicapai bahwa
population rate-nya adalah 5%. Penting untuk diingat, bahwa interpretasi auditor terhadip hasil
sampling kuantitatif hanya menunjukkan efektifitas pengendalian bagi 12 bulan terakhir saja.
E Mempertimbangkan aspek kualitatif dari hasil sampel
Sebagai tambahan dalam mengevaluasi hasil dari attribute sampling, internal auditor harus
mempertimbangkan aspek-aspek kualitatif dari penyimpangan dari pengendalian yang ditemukan.
II SAMPLING AUDIT NONSTATISTIKAL DALAM PENGUJIAN PENGENDALIAN
Statistical sampling membutuhan dua hal fundamental, yaitu : sampelnya harus dipilih secara
random dan hasil sampling tersebut harus dievaluasi secara matematis dengan pendekatan teori probabiilitas.
Sampling nonstatistikal membrikan auditor keleluasaan lebih dalam memilih dan mengevaluasi sampel.
Meski begitu, auditor harus tetap memilih sampel yang dipercaya sebagai representasi dari populasi, dengan
mempertimbangkan faktor-faktor yang memengaruhi ukuran sampel. Haphazard sampling adalah teknik
pemilihan non random yang digunakan auditor untuk memilih sampel yang diharapkan dapat
merepresentasikan populasi.
Ketidakmampuan untuk mengkuantifikasi risiko sampling secara statistik merupakan fitur utama dari
sampling non statistik yang membedakannya dengan statistical sampling. Kesimpulan auditor mengenai
populasi (yang direpresentasikan sampel) sangatlah judgemental ketimbang berdasarkan teori probablitas.
Salah satu pendekatan sampling nonstatistik yang paling awam adalah memilih sampel yang relatif
kecil secara haphazard, misalnya 25 item untuk seluruh aplikasi sampling berdasarkan presumsi bahwa
tidak terdapat penyimpangan pengendalian dalam populasi, dan untuk menyimpulkan bahwa pengendalian
tidak cukup efektif jika satu atau lebih deviasi pengendalian ditemukan.
III STATISTICAL SAMPLING DALAM PENGUJIAN NILAI-NILAI MONETER
Sebagai tambahan untuk penggunaan sampling dalam konteks pengujian pengendalian, internal
auditor juga menerapkan sampling ketikan melakukan pengujian yang didesain untuk mendapatkan bukti
langsung mengenai kebenaran nilai-nilai monetaris-misalnya, nilai dari inventori yang disajikan.
Ketika melakukan pengujian atas nilai moneter, internal auditor harus memperhatikan dua aspek
risiko sampling :
1 Risiko penerimaan yang tidak benar (Type II Risk, Beta Risk)
Risiko dimana sampel menunjukkan tidak ada misstatement material, padahal sebenarnya ada.
2 Risiko penolakan yang tidak benar (Type 1 Risk, Alpha Risk)
Kebalikan dari yang atas.
A Probability-Proportional-To-Size Sampling
Juga disebut sebagai monetary-unit sampling atau dollar-unit sampling adalah bentuk modifikasi dari
sampling atribut yang digunakan untuk mencapai kesimpulan terkait jumlah moneter ketimbang tingkat
keterjadian.
B Classical Variables Sampling
Adalah pendekatan sampling statistikal yang berdasarkan pada teori distribusi normal yang
digunakan untuk memeroleh kesimpulan terkait jumal monetary. Metode ini dianggap lebih sulit dari
PPS, karena melibatkan metode perhitungan yang lebih kompleks dalam menentukan jumlah sampel
yang tepat dan mengevaluasi hasil sampling.
Dua pendekatan pemilihan sampel yang umum digunakan dalam metode ini adalah simple
random sampling dan systematic sampling with random start.
Faktor2 yang memengaruhi ukuran sampel pada metode ini :
a Ukuran populasi. d Risiko penolakan yang tidak benar.
b Standar deviasi populasi yang diestimasi. e Tolerable misstatement.
c Risiko penerimaan yang tidak benar.
C PPS versus CVS
BAB 12
INTRODUCTION TO THE ENGAGEMENT PROCESS
I TYPES OF INTERNAL AUDIT ENGAGEMENTS (TIPE PENUGASAN INTERNAL AUDIT)
Secara umum, auditor internal menyediakan dua jenis layanan : jasa assurance dan jasa consulting,
baik yang berbentuk control-focused maupun yang sifatnya performance-focused.
Proses penugasan (engagements) kedua jenis layanan tersebut terdiri dari 3 tahap utama yaitu
(1) Perencanaan; (2) Pelaksanaan; (3) Komunikasi (pelaporan).
II GAMBARAN UMUM PROSES ASSURANCE ENGAGEMENTS
PLAN PERFORM COMMUNICATE
- Menentukan tujuan & lingkup - Melakukan pengujian untuk - Melakukan evaluasi observasi &
engagement mengumpulkan bukti proses eskalasi
- Memahami auditee, termasuk tujuan- Mengevaluasi bukti yang diperoleh - Melakukan engagement
& asersi auditee dan menyimpulkan pendahuluan & interim
- Mengidentifikasi & mengukur - Mengembangkan observasi & - Mengembangkan komunikasi
risiko menyusun rekomendasi engagement final
- Mengidentifikasi pengendalian - Mendistribusikan komunikasi final
kunci (key control) formal & informal
- Mengevaluasi kecukupan desain - Melakukan prosedur monitoring &
pengendalian tindak lanjut
- Menyusun rencana pengujian
- Mengembangkan Program Kerja
- Mengalokasikan sumber daya pada
engagement
Meskipun gambaran di atas menunjukkan tiga tahap dari engagement sebagai langkah yang
terpisah dan menunjukkan urutan, sebenarnya praktik yang dilakukan tidak sepenuhnya seperti gambaran di
atas. Tidak terdapat garis tegas antara perencanaan, pelaksanaan dan pelaporan.
A Aktivitas Perencanaan Assurance Engagements
Terdapat sebuah ungkapan 7P :Proper Prior Planning Prevents Poor Performance dan ungkapan
lain Failing to plan means planning to fail menunjukkan betapa pentingnya perencanaan. Dalam assurance
engagement, tahapanyang dilalui antara lain:
1 Menentukan tujuan dan lingkup engagement
Pertimbangan penting ;
a Kategori tujuan bisnis (strategis, operasional, pelaporan dan kepatuhan).
Apakah fokusnya pada efektivitas operasi dan efisiensi auditee, aspek pelaporan keuangan
auditee, atau keduanya.
b Hasil yang diharapkan dari Tim Audit Internal.
Tim diharapkan dapat membatasi fokusnya untuk mengkomunikasikan observasi atas
pengendalian selama proses engagements, atau diharapkan untuk menyampaikan opini keseluruhan
atas area khusus yang ditanyakan.
c Batasan engagements
Dari Proses/subproses bisnis mana dimulai/diakhiri, unit mana yg dikunjungi, dsb.
2 Memahami auditee, termasuk tujuan dan asersi auditee
a Tujuan Bisnis Auditee apakah yang ingin dicapai auditee
b Asersi Auditee pernyataan tentang apa yang telah dicapai
3 Mengidentifikasi dan mengukur risiko
Tim audit internal harus mem-bobot level risiko yang diukur dibandingkan dengan batas
toleransi risiko manajemen yang dapat diterima.
Pilihan/respon risiko menerima (accept), menghindari (avoid) dan membagi (sharing) risiko.
4 Mengidentifikasi pengendalian kunci (key control)
Tim audit internal juga harus mengidentifikasi pengendalian mana yang paling kritis untuk
mengurangi risiko bisnis ke level yang dapat diterima serta menyediakan jaminan bahwa tujuan
yang ditetapkan akan tercapai.
Dibahas lengkap di Ch. 3 Internal Control dan Ch. 13 Conducting Assurance
Engagement
5 Mengevaluasi kecukupan desain pengendalian
Tim audit internal harus memutuskan apakah pengendalian kunci yang teridentifikasi
diidentifikasi secara memadai untuk mengurangi risiko, baik secara individual maupun kolektif ke
level yang dapat diterima diasumsikan bahwa pengendalian telah dijalankan sesuai rencana.
6 Membuat pengujian perencanaan
Membuat pengujian perencanaan terdiri dari menentukan sifat, waktu, dan perluasan prosedur
yang diperlukan untuk mengumpulkan bukti audit. Pengujian perencanaan berupa pengujian
langsung atas pengendalian dan atau test kinerja untuk menghasilkan bukti tak langsung berkaitan
dengan efektivitas pengendalian.
7
Mengembangkan program kerja
Selama proses penugasan, internal auditor menandai prosedur dalam audit program yang menandakan
pekerjaan telah selesai dilaksanakan. Supervisor harus mereviu pekerjaan tim audit atas pekerjaan yang
telah dilaksanakan dan pekerjaan yang belum selesai atau yang masih harus dikerjakan, yang bisa saja
diluar dari program kerja.
8 Alokasi sumber daya untuk penugasan
Step terakhir dalam perencanaan penugasan, antara lain menentukan keahlian audit yang diperlukan,
estimasi waktu, menugaskan internal auditor, dan membuat skedul pekerjaan supaya dapat dikontrol
realisasi tepat waktu.
B Aktivitas Pelaksanaan Penugasan Assurance
Assurance Engagement Performance Activities. Tahapan pekerjaan lapangan kegiatan
assurance sebagai berikut:
1 Melakukan test untuk mengumpulkan bukti
Pertama, melakukan prosedur untuk mengumpulkan bukti, misalnya making inquiry, observing
operations, inspecting document, dan analyzing reasonableness of information. Kemudian
mendokumentasikan prosedur yang telah dikerjakan beserta hasilnya.
2 Evaluasi bukti audit yang dikumpulkan dan membuat kesimpulan
Evaluasi bukti misalnya untuk menentukan apakah kegiatan pengendalian telah didesain memadai dan
efektivitas operasi telah tercapai. Internal auditor harus membuat kesimpulan logis berdasarkan bukti.
3 Mengembangkan observations (atau findings/temuan) and merumuskan rekomendasi
Temuan yang baik memuat empat elemen : kriteria (what should be), kondisi (what is), akibat (effect),
dan sebab (reason the gap).
Rekomendasi berdasarkan temuan dan kesimpulan internal auditor, untuk menutup gap antara kriteria
dan kondisi, kontennya perbaikan atas masalah utama (root cause not sympton) berupa solusi yang jangka
panjang dan secara ekonomi dapat dikerjakan.
C Aktivitas Komunikasi Penugasan Assurance
Proses komunikasi hasil adalah komponen kritis dalam semua kegiatan internal audit,
komunikasi hasil internal audit harus accurate, objective, clear, concise, constructive, complete, and
timely (IIA Standard 2420 : Quality of Communications).
Tahapan kegiatan komunikasi kegiatan assurance sebagai berikut:
1 Melakukan proses evaluasi dan eskalasi (escalation process) atas temuan
Temuan harus di assess melalui proses evaluasi dan eskalasi, selanjutnya menentukan implikasi
temuan dalam komunikasi hasil pada area yang direviu.
2 Melakukan komunikasi interim dan awal penugasan
Komunikasi oleh internal audit terjadi selama proses penugasan dan tidak hanya terjadi di akhir.
Komunikasi di awal atas permasalahan yang muncul memperkenankan manajemen untuk menyelesaikan
masalah secepatnya sebelum penugasan selesai, yang akan mempengaruhi ruang lingkup dan progress.
Komunikasi memberikan manajemen kesempatan untuk melakukan klarifikasi dan menyampaikan
pemikiran dari sudut pandangnya atas kesimpulan dan rekomendasi tim audit. Komunikasi juga untuk
menghindari multi tafsir karena kata yang tertulis kadang berbeda dengan yang diucapkan.
3 Mengembangkan komunikasi penugasan akhir
Internal auditor telah siap untuk mengkonsolidasi dan mensintesis semua bukti yang dikumpulkan
selama penugasan. Pengembangan komunikasi akhir termasuk:
Membuat list dan prioritas pengendalian atas temuan dengan mempertimbangkan efektivitas
pengendalian auditee.
Membuat kesimpulan jaminan negatif (negative assurance/limited assurance). Auditor internal
mengungkapkan keyakinan negatif ketika mereka menyimpulkan bahwa tidak ada yang menjadi
perhatian mereka yang menunjukkan bahwa kontrol auditee yang dirancang tidak memadai atau tidak
efektif beroperasi.
Membuat kesimpulan jaminan positif (positive assurance/reasonable assurance). Internal auditor
mengungkapkan keyakinan positif ketika mereka menyimpulkan dalam opininya bahwa pengendalian
auditee dirancang memadai dan beroperasi efektif.
4 Distribusi komunikasi akhir formal dan informal
Komunikasi penugasan final mengandung tanggapan auditee terhadap kesimpulan, pendapat, dan
rekomendasi tim audit internal. Temuan yang harus dimasukkan dalam formal, komunikasi penugasan akhir
adalah apa-apa yang harus dilaporkan untuk mendukung, atau mencegah kesalahpahaman, atas kesimpulan
tim audit internal dan rekomendasi. Temuan kurang signifikan dapat disampaikan secara informal.
Rekomendasi, yang didasarkan pada temuan dan kesimpulan, adalah tindakan yang diajukan untuk
memperbaiki kondisi yang ada atau meningkatkan operasi yang diusulkan.
5 Melakukan monitoring dan prosedur tindak lanjut (follow up).
IIA Standard 2500: Monioring Progress menyatakan bahwa "Kepala eksekutif Audit harus membangun
dan memelihara sistem untuk memonitor [huruf miring ditambahkan] disposisi hasil dikomunikasikan
kepada manajemen."
Standar 2500.A1 melanjutkan dengan mengatakan bahwa "Kepala eksekutif Audit harus menetapkan
proses tindak lanjut [huruf miring ditambahkan] untuk memantau dan memastikan bahwa tindakan
manajemen telah dilaksanakan secara efektif atau bahwa manajemen senior telah menerima risiko tidak
mengambil tindakan."
Audit internal charter harus mendefinisikan tanggung jawab fungsi audit internal untuk tindak lanjut, dan
CAE harus menentukan sifat, saat, dan lingkup prosedur tindak lanjut yang tepat untuk penugasan
tertentu.
III THE CONSULTING ENGAGEMENT PROCESS
Penugasan consulting internal audit berbeda dengan penugasan assurance, yaitu:
Jika sifat dan ruang lingkup penugasan assurance ditentukan berdasarkan fungsi dari internal audit, maka sifat
dan ruang lingkup penugasan consulting berdasarkan persetujuan dengan pengguna layanan (customer).
Penugasan consulting dalam sifatnya lebih bersifat discretionary (bebas dalam memilih jenis jasa) dibandingkan
penugasan assurance. Jasa consulting termasuk consul, advise, facilitation, and training.
Proses dan tahapan penugasan consultingsama dengan assurance, yang membedakan adalah tidak
semua tahapan assurance diperlukan, dan tahapan dalam consulting dilakukan secara berbeda
dikarenakan tergantung dari sifat penugasannya (consul, advise, facilitation, and training).
Tiga fase utama penugasan yang diatur dalam Standar (Internal Audit) sebagai berikut:
A Planning
IIA Standard 2200 Engagement Planning Internalauditors must develop and document a plan for each
(consulting) engagement, including the engagements objective, scope, timing, and resource allocation.
IIA Standard 2201.C1 Internal auditor must establish an understanding with consulting engagement
(customer) about objective, scope, respective, responsibilies, and other (customer) expectation.
IIA Standard 2220.C1 Internal auditor must ensure that the scope of engagement is sufficien to address
the agreed-upon objectives.
IIA Standard 2240.C1 Work program for consulting engagement may vary in form and content
depending upon the nature of the engagement.
B Performing
IIA Standard 2300 Performing The Engagement Internal auditor must identify, analyze,
evaluate, and document sufficient information to achieve the (consulting) engagements objective.
C Communicating
IIA Standard 2400 Communicating Result Internal Auditor must communicate the result of
(consulting) engegement.
IIA Standard 2410 Criteria for Communicating Communications must include the engagements
objective and scope as well as applicable conclusion, recommendations, and action plans.
IIA Standard 2410.C1 Communication of the progress and result of consulting engagement will vary in
form and content depending upon the nature of the engagement and the needs of the (customer).
BAB 13
Conducting the Assurance Engagement
I MENENTUKAN TUJUAN DAN LINGKUP ENGAGEMENT
A Alasan Melakukan Engagement
Tipe engagement dan alasan-alasan melakukanya mungkin akan secara signifikan
mempengaruhi bagaimana engagement tersebut dilakukan. Oleh karena itu, penting untuk memahami
alasan-alasan melakukan engagement sebelum memulai perencanaan.
alasan melakukan assurance engagement adalah, tetapi tidak terbatas pada hal-hal sbb:
- Bagian dari rencana
Engagement terdapat dalam internal audit plan karena risiko inheren ditemukan saat prosessbusiness
riskassessment , dideteksinya risiko pada area yang diaudit terakhir kali, dan faktor lain yang relevan.
- Permintaan / compliance requirement
Untuk mengevaluasi sistem internal kontrol organisasi untuk tujuan pelaporan eksternal. Internal
auditor harus memastikan bahnwa engagement didesain untuk menguji area yang tercakup dalam underlying
regulations.
- Post mortem / pasca kejadian
Menentukan apakah suatu proses efektif atau tidak. Internal auditor harus menyesuaikan pengujian
dan evaluasi pada suatu event spesifik yang terjadi.
- Perubahan yang signifikan
Perubahan bisnis atau industri memerlukan modifikasi proses yang cepat dan manajemen
menginginkan validasi yang cepat bahwa modifikasi tersebut didesain secara tepat menyesuaiakn perubahan.
Fungsi Internal auditor dapat melakukan audit conrtrol-focused secara penuh atau fokus hanya pada kontrol
yang berubah.
B Menyusun Tujuan Engagement
Segera setelah suatu alasan engagement disepakati, tujuan engagement formal harus disusun :
- Biasanya diinyatakan dalam laporan final assurance engagement.
- Apabila dinyatakan dalam cara lain, harus jelas menyebutkan assurance apa yang disediakan dalam
engagement.
Sebagai contoh, tujuan dapat dimulai dengan susunan sbb :
- Evaluasi kecukupan desain
- Menentukan efektivitas operasi
- Assess compliance
- Menentukan efektivitas dan efisiensi dari..
- Assess pencapian dari
- Menentukan kinerja dari..
C Lingkup Engagement
Merupakan apa yang termasuk atau yang tidak termasuk dalam engagement). Segera setelah tujuan
engagement disusun, lingkup engagement harus ditentukan.
Pernyataan lingkup tersebut dapat mencakup :
- Batasan proses
- In-scope VS out-scope lokasi
- Subproses
- Komponen
- Jangka waktu
Lingkup engagement :
- Memerlukan judgment profesional.
- IA harus menjamin bahwa pernytaan lingkup harus untuk memenuhi tujuan engagement.
- Pernyataan lingkup yang spesifik akan memungkinkan fokus tim audit internal yang lebih baik akan
pengujian tertentu.
- Penerima laporan akan mengenterpretasikan dengan lebih baik temuan yang ada [ada konteks tujuan
engagement.
D Outcomes dan Hasil yang Diharapkan
Begin with the end in mind
1 Outcome potensial dari pengujian-pengujian yang dilakukan selama engagement
Tipikal ekspektasi mencakup :
- Kesalahan laporan keuangan atau ketidaktepatan klasifikasi dalam akun keuangan, saldo, atau
pengungkapan.
- Defisiensi kontrol.
- Kekurangan pencapaian tujuan, yang disebabkan oleh defisiensi kontrol atau ketidakcukupan
kinerja.
- Inefisiensi, yang disebabkan sumber daya tidak dipergunakan dengan cara yang optimal.
- Keadaan out-of-compliance, ketika undang-undang, peraturan, atau kebijakan tidak diterapkan
secara konsisten.
2 Ekspektasi Auditee sesuai engagement communications
Memahami bentuk dan isi final communication membantu IA menjamin bahwa semua informasi yang
dibutuhkan telah dikumupulkan selama engagement.
Tipe umum communcation meliputi :
- Full scope. Tipikal Pelaporan Internal adalah ddisistribusikan secara luas, oleh karena itu
memerlukan cukup bukti yang tepat untuk mendukung kesimpulan dan rekomendasi untuk
peningkatan.
- Internal memoranda dapat digunakan untuk pendistribusian yang terbatas
- Laporan untuk keperluan pihak ke tiga harus diasumsikan bahwa pihak tersebut kurang familiar
dengan kebijakan dan prosedur yang khas untuk organisasi, dan oleh karena itu memerlukan
tingkat detail yang lebih untuk menjamin pembaca mengerti sifat dan konteks observasi dan
rekomendasi
- Terkadang, tingkat confidentiality yang lebih tinggi dibutuhkan untuk engagement tertentu. Hal
seperti itu harus didiskusikan terlebih dahulu dengan manajemen proses untuk menjamin bahwa
hasil akhir akan mendukung kebutuhan tingkat confidientality tersebut.
II MEMAHAMI AUDITEE
A Menentukan Tujuan-Tujuan dari Auditee
Memahami suatu proses dimulai dengan menentukan tujuan dari proses utama. Tujuan pada level
proses (prosses level) dapat dijelaskan sbb :
1 Tujuan operasi
- Tipe tujuan yang paling umum tujuan pada proses level.
- Bisanya menentukan latar belakang mengapa proses itu ada.
- Biasanya merupakan tata kelola atau task-oriented.
- Sebagai hasil, kebanyakan fokus pada keakuratan, ketepatan waktu, kelengkapan, ataau atribut kontrol.
- Tambahan, biasanya fokus pada menjamin efektifitas dan efisiensi operasi dan pengamanan aset.
2 Tujuan pelaporan pada level proses
Didesain untuk memenuhi kebutuhan pelaporan organisasi, baik internal maupun eksternal.
3 Tujuan kepatuhan (Compliance objectives) pada level proses
Berhubungan dengan kepatuhan terhadap undang-undang dan peraturan eksternal, kebijakan internal,
atau kontrak.
4 Tujuan strategis pada level proses
Disusun secara khusus agar sesuai dengan tujuan strategis perusahaan.
5 Other objectives
Untuk proses spesifik yang berhubungan dengan inisiatif departemen masing-masing.
Pertanyaan-pertanyaan yang dapat digunakan untuk menentukan/mengetahui tujuan dari proses
utama (key process objectives) :
- Mengapa proses tersebut ada? (apa tujuan utamanya?)
- Tujuan strategis organisasi mana yang akan terpegaruh dan bagaimana?
- Inisatif apa yang dilakukan/harus dilakukan proses tersebut untuk membantu organisasi mencapai tujuan
strategisnya?
- What does this process provide the organization, without which the organization would have a difficult
time being successful?
- Pada akhir hari/minggu/bulan/tahun, apa yang mendorong karyawan untuk menyelesaikan dengan
pekerjaan mereka ?
- What accomplishment tendt to get employees recognized by management or internal customers?
B Mengumpulkan Informasi
1 Jenis dan sumber informasi yang relevan.
Titik awal untuk memahami suatu proses adalah mereview dokumentasi yang ada. Contoh :
- Kebijakan yang berhubungan dengan proses.
- Manual prosedur.
- Organizational charts atau informasi serupa yang menunjuka hubungan/aliran jumlah karyawan dan
pelaporan utama.
- Job description pihak yang terlibat dalam proses.
- Process map atau flowcharts yang menggambarkan aliran keseluruhan proses.
- Penjelasan naratif pekerjaan kunci/utama atau bagian dari suatu proses.
- Informasi yang relevan berhubungan dengan undang-undang dan peraturan yang mempengaruhi proses.
- Dokumen lain yang dibuat untuk mendukung pelaporan yang diperlukan untuk efektifitas dari sistem
pengendlian internal.
2 Prosedur Analitis
- Suatu cara IA menerapkan high-levelassessment yang dapat mengungkapkan aktivitas proses yang
menuntun perhatian yang lebih, dan oleh karena itu memerlukan pengujian yang lebih detail.
- Termasuk di dalamya me-review dan mengevaluasi informasi yang ada baik finansial maupun non
finansial untuk menentukan apakah konsisten dengan ekpektasi yang telah ditetapkan.
3 Data Analysis Using:
a Computer-assisted Audit Techniques (CAATs)
- Data analisis termasuk mengkompilasi dan menganalisis banyak data, biasanya melalui penggunaaan
teknologi.
- Disamping sebagian besar analisis data dilakukan untuk menguji efektifitas suatu proses, beberapa
pengujian data analisis dapat menyediakan informasi yang berguna selama proses perencanaan.
- Analisis data dapat menyediakan informasi tentang populasi transaksi yang dapat dimanfaatkan
ketika menentukan pendekatan internal audit.
b Analisis kontrol level entitas
Kontrol level entitas biasanya dievaluasi berdasarkan luasnya organisasi pada periodic interval (ex:
tahunan). Oleh karena itu, bisanya tidak diperlukan untuk melakukan assessment efektivitas dari kontrol
level entitas untuk setiap engagement. Akan tetapi auditor internal harus mempertimbangkan hasil
assessment kontrol level entitas ketika merencanakan individual engagement untuk menjamin
pendekatan penguianya relevan dan efisien
C Mendokumentasikan Alur Proeses
Dokumentasi alur proses akan memudahkan review kertas kerja oleh supervisor internal auditor atau yang
lainya. Bentuk yang paling umum: Flowchart (High-level atau detail) dan narrative memoranda.
1 Process map Menggambarkan luasnya input, aktivitas, workflow, dan hubunganya dengan proses dan
output lain. Framework untuk memahami aktivitas dan subproses.
Proses map berguna pada level bisnis, seddangkan flowchart dan hybrid documentation pada detail
proses.
2 Flowchart mencakup tambahan informasi, biasanya menggambarkan sistem komputer dan aplikasi, alur
dokumen, detail risiko dan pengendalian, langkah manual atau otomatis, waktu yang dibutuhkan daalam
proses, pelaksana langkah kunci, dan informasi tambahan lain yang dibutuhkan untuk membantu pereviu
memahami proses dan alurnya.
High-level flowchart :
- Menggambarkan luasnya input, tugas, alur kerja, dan output.
- Membantu pereviu memahami keseluruhan proses, sistem, laporan, dan hubunganya dengan proses dan
subproses lain.
- Biasanya digambarkan seperti process map, dengan informasi yang ditambahkan.
Detailed Flowchart :
- Mendokumentasikan secara lebih spesifik input, tugas, actions, sistem, keputusan, dan output.
- Contoh, dapat memasukan semua atau beberapa informasi berikut :Key risk, key control,
indiviudal/position performing, timing, elapsed time.
3 Narrative memoranda Memberikan informasi tentang alur proses hanya menggunakan kata tulis. Biasanya
digabungkan dengan flowchart untuk membuat dokumentasi bentuk hybrid.
Situasi yang tepat untuk menggunakan narrative memoranda :
- Prosesnya simpel, gambaran visual tidak bernilai penting.
- Langkahnya rumit, sulit untuk mendeskripsikan secara efektif dalam ruang yang terbatas yang ada pada
simbol2 flowchart.
- Process owner request.
- Lebih efisien dalam mendokumentasikan proses.
D Mengidentifikasi Indikator Kinerja Kunci
KPI Metrik atau bentuk lain pengukuran apakah proses atau kerja individu dioperasikan dengan toleransi
yang telah ditentukan sebelumya.
Karakteristik KPI yang baik :
- Relevant
- Measurable
- Available
- Sesuai degan key objective process (ex: infromasi pembayaran ganda diketahu karena terdapat tujuan untuk
tidak terdapat pembayaran ganda).
- Articulated, dapat dilafakan/disampaikan kepada orang yang terlibat dalam proses
E Mengevaluasi Risiko Fraud pada Level Proses
Sebelum memulai proses risk assessment formal, penting untuk mengevaluasi potensi skenario fraud
dalam proses, yang meliputi 3 langkah :
1 Mengidentifikasi potensi skenario fraud. Ex: brainstorming.
2 Memahami potensi dampak fraud.
3 Menentukan apakah akan dilaukan pengujian untuk risiko fraud spesifik.
Tidak dimaksudakn untuk mengidentifikasi terjadinya fraud, tapi mengevaluasi kemungkinan
terjadinya skenario fraud.
III IDENTIFY AND ASSESS RISKS
A Mengidentifikasi Skenario Risiko Pada Level Proses
Tujuan: menjawab pertanyaan What can happen that would prevent the achievement of each
process-level objective?
Langkahnya:
1 Memilih satu tujuan pada level proses. 4 Mengkategorikan dan mnegkombinasikan
2 Brainstorm hambatan-hambatan. skenario risiko yang ang serupa.
3 Continue the exercise for the remaining
process-level objectives.
B Menentukan Risiko Pada Level Proses
Pendekatan optimal dalam menentukan risiko tergantung pada budaya dan risk language
organisasi. Suatu pendekatan yang umum dan efektif untuk menentukan risiko adalah menggunakan
cause and effecttprotocol. Dengan pendekatan ini, risiko dimulai dengan cause dan dilanjutkan ke
efffect.
Setelah risiko ditentukan, risiko tersebut harus dihubungkan dengan tujuan pada level proses
untuk menjamin terdapat hubungan antara tiap risiko dan tujuan tersebut.
Tugas terakhir adalah memvalidasi definisi speak the leanguge pegawai pada level proses.
Internal auditor harus mensharing dan mendiskusikan definisi risiko dengan managemen pada level
proses dan pegawai untuk memvalidasi bahwa daftar risiko tersebut telah lengkap dan definisinya
sesuai.
C Evalusai Dampak dan Keterjadian Risiko
Ketika risiko telah diidentifikasi dan ditetapkan, auditor kemudian siap untuk melakukan risk
assessment. Tujuan melakukan evaluasi ini adalah untuk membantu mengidentifikasi risiko yang
mempunyai efek paling besar pada pencapaian tujuan.
Langkah yang dilakukan dalam melakukan risk assessment
1 Menetapkan impact dari berbagai outcome yang terkait dengan masing-masing risiko.
2 Memperkirakan keterjadian bahwa setiap dampak risiko akan terjadi.
3 Menggabungkan penilaian dari impactdan tingkat keterjadian menjadi penilaian risiko tunggal.
Nomer 9 dan 8 menunjukkan risiko tinggi, nomor 5,6,7, menunjukkan risiko sedang, nomor 1,2,3,4
menunjukkan risiko rendah.
D Memahami Risk Tolerance Management
Risk tolerance Tingkatan atas ukuran dan jenis risiko yang dapat diterima manajemen dalam usaha
pencapaian tujuan, yang harus sejalan dengan risk apetite organisasi.
Langkah-langkah untuk memahami tingkatan risk tolerance suatu manajemen :
1 Identifikasi kemungkinan risiko hasil.
Risiko menggambarkan jarak atas kemungkinan hasil. Sedangkan hasil biasanya diukur secara
financial, mungkin ada juga risiko lainnya yang tidak terungkap dengan pengukuran keuangan.
2 Memahami tingkat toleransi yang ditetapkan.
Setiap tingkatan toleransi terlihat dari pengukuran pada dokumentasi KPI, capaian kinerja individu,
dan komunikasi lainnya.
3 Menilai level toleransi atas hasil yang belum ditetapkan.
IV IDENTIFIKASI KEY CONTROL
Key control sebuah aktifitas yang dirancang untuk mengurangi risiko terkait dengan tujuan bisnis
yang penting. Untuk melakukan hal ini, sangat penting untuk memahami berbagai macam tipe control yang
mungkin saja merupakan key control pada tingkatan proses yang dijalankan. Beberapa contoh control yang
telah dijalankan :
1 Approving memerlukan otorisasi saat melakukan transaksi.
2 Calculating menghitung atau melakukan penghitungan kembali atas hasil dari suatu data.
3 Documenting terkait dengan menjaga sumber informasi atau mendokumentasikan pertimbangan keputusan.
4 Examining melakukan verifikasi.
5 Matching melakukan perbandingan dari dua atribut yang berbeda.
6 Monitoring melakukan pemeriksaan untuk memastikan kegiatan yang dilaksanakan.
7 Restricting tidak mengijinkan melakukan tindakan terlarang.
8 Segregating memisahkan pelaksana pekerjaan untuk menghindari tindakan yang tidak diinginkan.
9 Supervising melakukan pengawasan untuk memastikan kegiatan dilaksanakan sesuai dengan rencana.
Hal-hal penting dalam menetapkan key control :
1 Internal auditor harus memiliki pemahama yang jelas mengenai proses pencapaian tujuan.
2 Konsekuensi dari kurangnya control harus dievaluasi.
3 Control tambahan harus dilakukan apabila ada indikasi kegiatan tidak dijalankan sesuai key control.
4 Efek dari suatu control terhadap control lainnya harus dipertimbangkan.
5 Dampak dari control entitas juga harus dipertimbangkan.
6 Control yang berlebihan,atau sesuatu yang tidak efektif harus diubah atau dihilangkan.
V EVALUASI KECUKUPAN DESAIN KONTROL
Menetapkan apakah key control dirancang dengan cukup untuk mengurangi risiko individual dari
sebuah proses menjadi risiko yang diterima. Gap yang teridentifikasi harus didiskusikan dengan
manajemen.
Evaluasi kecukupan rencana pengendalian :
1 Rencana dinyatakan cukup, tidak ada perbedaan yang signifikan.
2 Rencana dinyatakan cukup, terdapat perbedaan.
3 Rencana tidak cukup, terdapat perbedaan yang signifikan.
VI MEMBUAT RENCANA PENGUJIAN
Digunakan untuk mengumpulkan kecukupan bukti yang sesuai untuk mendukung evaluasi dari
seberapa efektif key control dilaksanakan.
Langkah yang dilakukan:
1 Menetapkan control mana yang cukup penting untuk pengujian.
Fokus utama melakukan pengujian adalah mengetahui apakah key control dilaksanakan cukup efektif untuk
memastikan proses risiko setiap tingkatan diatur dengan cukup. Dalam pengujian tersebut ditetapkan control yang
dipilih untuk diuji
2 Mengembangkan pendekatan untuk menguji control-control tersebut.
Pendekatan pengujian digunakan untuk menetapkan sifat-beda sifat pengujian berbeda tingkat keyakinan yang
diberikan, luasan-control dapat diuji secara parsial atau keseluruhan, dan waktu yang tepat untuk melakukan
pengujian-pengujian dapatdilakukan pada waktu yang berbeda.
3 Dokumentasi pertimbangan mendukung pemilihan audit tes.
Salah satu contoh rencana pengujian
VII MENGEMBANGKAN WORK PROGRAM
Work program sebuah dokumen yang berisi rincian prosedur yang arus diikuti selama
pemeriksaan, didesain untuk mencapai tujuan pemeriksaan.
Work program ini dapat memiliki bentuk yang berbeda, antara lain :
1 Standar template atau checklist yang menuntun internal auditor mempersiapkan untuk mendokumentasikan
pelaksanaan langkah yang sesuai rencana.
2 Sebuah memorandum yang berisi ringkasan penyelesaian tugas.
3 Kolom tambahan pada matriks risiko dan control bila auditor ingin semua hal yang ditemukan dalam dokumen
akan disajikan.
4 Kombinasi dari ketiganya.
Format tersebut akan bervariasi dari fungsi internal audit yang satu dengan fungsi internal audit
lainnya. Hal ini berarti ada beberapa cara untuk :
1 Memastikan seluruh tim pemeriksa memahami apa yang telah dilakukan dan apa yang masih harus dilakukan.
2 Melakukan komunikasi mengenai siaoa yang bertanggungjawab melaksanakan setiap tugas pemeriksaan.
3 Mendapatkan catatan dari tugas yang telah diselesaikan.
4 Memfasilitasi reviu oleh manajer pemeriksaan atau direktur yang melakukan pengawasan datau direktur selama
proses rencana pemeriksaan.
VIII MENGALOKASIKAN SUMBER DAYA UNTUK MELAKSANAKAN PEMERIKSAAN
Sumber daya pemeriksaan antara lain : auditor internal, orang lain (internal/eksternal), alat
transportasi, teknologi, dan lain lain.
Langkah terakhir dalam merencanakan pemeriksaan adalah menetapkan sumber daya yang
dibutuhkan dengan benar untuk melaksanakan tugas yang direncanakan. Langkah tersebut adalah :
1 Mengestimasi, atau menganggarkan sumber daya yang dibutuhkan.
2 Mengalokasikan sumber daya manusia yang tepat untuk melaksanakan pemeriksaan.
3 Menjadwalkan sumber daya untuk memastikan penugasan selesai tepat pada waktunya.
IX MELAKUKAN TES UNTUK MENGUMPULKAN BUKTI
Pada bagian ini adalah transisi dari tahap perencanaa kepada tahap pelaksanaan.
Langkah yang dilakukan auditor : menerapkan prosedur audit khusus untuk mendapatkan bukti; dan
mendokumentasikan prosedur yang dilaksanakan dan hasilnya dari pelaksanaan prosedur tersebut
X MENGEVALUASI BUKTI YANG DIDAPAT DAN MEMBUAT KESIMPULAN
Pertanyaan yang harus dijawab dalam evaluasi :
- Apakah key control telah didesain secara memadai?
- Apakah key control dijalankan dengan efektif sesuai dengan desain?
- Apakah risiko yang melekat telah dimitigasi pada tingkatan yang diterima?
- Apakag desain dan pelaksanaan key control mendukung pencapaian tujuan pelaksaan tugas?
XI MENGEMBANGKAN OBSERVASI DAN MENYUSUN REKOMENDASI
Elemen kunci dari observasi :
1 Kriteria Apa yang seharusnya ada?
2 Kondisi Apa yang terjadi?
3 Sebab Kenapa terdapat perbedaan antara yang terjadi dengan yang seharusnya?
4 Akibat Konsekuensi dari perbedaan antara yang seharusnya terjadi denfan kenyataan.
BAB 14
COMMUNICATING ASSURANCE ENGAGEMENT OUTCOMES & PERFORMING
FOLLOW-UP PROCEDURES
I COMMUNICATION
1 Mengapa mengkomunikasikan assurance engagement outcomes itu penting?
2 Mengidentifikasikan perbedaan bentuk-bentuk dari assurance engagement communication.
3 Mengidentifikasikan langkan-langkah yang dilakukan untuk membuat suatu assurance engagement
communication yang efektif.
4 Memahami proses distribusi untuk secara efektif mengkomunikasikan hasil assurance engagement.
5 Memahamiapa yang dibutuhkan untukmelakukan monitoringyang efektifdan tindak lanjutpada hasil assurance
engagement.
6 Internal Audit (IA) independent = objective assurance + consulting add value + improve org. operation.
7 IA membantu organisasi untuk mencapai tujuan-tujuannya dengan melakukan suatu pendekatan yang sistematis
dan berdisiplin untuk mengevaluasi dan meningkatkan efektivitas dari risk management, control, dan governance
process.
8 Tipe engagement: Assurance dan consulting services.
9 Apa itu assurance services?
Assurance suatu pemeriksaan yang objektif dari bukti-bukti dengan tujuan untuk menyediakan suatu
penilaian yang independen pada proses governance, risk management, dan control untuk organisasi. Misalnya:
assurance pada kinerja keuangan, ketaatan pada aturan, sistem keamanan, atau uji kelayakan suatu engagement.
10 Assurance services objective bukti2 penilaian independen gov, RM, control organisasi.
11 Fase-fase yang fundamental dalam proses assurance engagement.
12 Plan perform communicate
II MENGAPA DIKOMUNIKASIKAN?
A Standard 2060 Pelaporan kepada Senior Management (SM) dan Board
CAE puya kewajiban untuk melapor secara periodik kepada SM dan board mengenai tujuan, otoritas,
tanggung jawab, dan kinerja aktivitas internal audit jika dibandingkan dengan perencanaannya.
B Pelaporan di atas harus juga termasuk memaparkan risiko-risiko yang signifikan dan permasalahan-permasalahan
dalam control, termasuk risiko fraud, permasalahan pada governance, dan hal-hal penting lain yang dibutuhkan
atau memang diminta oleh SM dan Board.
C Hasil dari assurance engagement lapor SM dan audit committee.
D Kewajiban Engagement Communication:
1 Audit Report
a Hasil akhir dari suatu engagement process yang akan dikomunikasikan pada pihak-pihak terkait.
b Cara formal sebuah fungsi internal audit mengkomunikasikan hasil dari engagement-nya kepada
manajemen dan pihak lain yang tepat (appropriate) yang mengandalkan hasil dari engagement tersebut.
2 Individual assurance engagements didesain untuk memenuhi tujuan audit yang spesifik yang terikat
dengan annual risk assessment dan internal audit plan.
a Uji control untuk memastikan bahwa annual risk assessment dan internal audit plan telah didesain
dengan memadai dan dioperasikan dengan efektif.
b Contoh control assertions
Criteria for Assessing Managements Control Assertions
Authoriz Apa pihak yang disetujui mengotorisasi transaksi?
ation
Validity Apa transaksi benar2 terjadi?
Accuracy Apa jumlah barang, harga, waktu, dll sudah benar?
Timeline Apa semua sudah dicatat di periode yang wajar dan tepat?
ss
Confiden Apa informasi dirahasiakan?
tiality
Integrity Apa informasi masih asli, tidak diubah dan tidak dikorupsi?
Availabili Apa informasi sudah disimpan dan siap tersedia jika sewaktu-waktu dibutuhkan?
ty
III LANGKAH-LANGKAH UNTUK MEMBUAT ASSURANCE ENGAGEMENT YANG EFEKTIF
A Perencanaan
1 Tentukan tujuan & ruang lingkup 4 Identifikasi key control activity.
engagement. 5 Evaluasi kecukupan control design.
2 Pahami auditee (tujuan2 & pernyataan2 6 Buat uji perencanaan.
assertions auditee) 7 Kembangkan program kerja.
3 Identifikasi & nilai risiko. 8 Alokasikan sumberdaya pada engagement.
B Pelaksanaan
1 Lakukan tes untuk mengumpulkan bukti.
2 Evaluasi bukti yang terkumpul & peroleh simpulan.
3 Kembangkan observasi & rumuskan rekomendasi.
C Komunikasi
1 Lakukan evaluasi observasi & proses eskalasi.
2 Lakukan interim &preliminary engagement communication.
3 Kembangkan final engagement communication.
4 Distribusikan formal & informal final communications.
5 Lakukan prosedur monitoring & tindak lanjut.
D Aktivitas Assurance Engagement Communication
1 Segera setelah satu atau lebih observasi2 diidentifikasi, internal audit harus menilai setiap observasi tsb
menggunakan sebuah proses evaluasi dan eskalasi dan menentukan implikasi dari pengamatan2 (observasi)
tersebut pada komunikasi yang dihasilkan untuk daerah yang sedang dikaji/direviu.
2 Observasi.
3 Sebuah temuan, ketetapan, atau judgement yang dihasilkan dari hasil pengujian yang dilakukan oleh internal
auditor dari sebuah assurance atau consulting engagement.
Material observation
Significant observation
Insignificant observation
Fungsi internal audit memiliki sumber daya yang terbatas, jadi tidak semua permintaan jasa
konsultasi dapat terlayani, dipilih berdasarkan besarnya risiko atau peluang.
Jenis-jenis permintaan jasa konsultasi yang potensial:
1. Kontrak yang diajukan saat proses penilaian risiko dan apabila teridentifikasi merupakan prioritas
maka akan dimasukkan dalam rencana audit tahunan
2. Kontrak yang spesifik dari manajemen (contoh: investigasi fraud, proyek, komite ad hoc, reviu
prosedur baru)
3. Kondisi baru atau ada perubahan yang memerlukan perhatian internal audit>> merupakan peluang
bagi internal audit untuk menambah nilai dengan memberikan pandangan pada organisasi tentang area
yang akan mengalami perubahan secara signifikan