Bab 9

Managing The Internal Audit Function

I. Posisi Audit Internal dalam Organisasi
Fungsi internal audit diletakkan di level senior management memberikan fungsi visibility,
authority, dan responsibilityuntuk:
1. Mengevaluasi penilaian manajemen atas sistem pengendalian intern organisasi secara
independen.
2. Menilai kemampuan organisasi dalam mencapai tujuan bisnis, mengelola, memonitor, dan
mengurangi risiko yang berkaitan dengan pencapaian tujuan.
Disamping memberikan assurance services, manajemen sering meminta auditor internal
untuk memberikan jasa konsultasi dalam bentuk inisiatif atau proyek yang memungkinkan
manajemen menggunakan kemahiran profesional yang dimiliki oleh fungsi internal audit.
Biasanya fungsi internal audit diposisikan sebagai aktivitas senior manajemen yang
memberikan laporan langsung pada board director. Hal tersebut dapat meningkatkan
efektivitas dan kemampuan melakukan evaluasi atas efisiensi dari manajemen risiko,
pengendalian dana tata kelola yang kadang dikerjakan oleh senior manajemen.
IIA Standard 2000: the chief audit executive must effectively manage the internal audit
activity to ensure it adds value to the organizations.
Audit internal akan efektif dikelola apabila:
1. Hasil dari audit internal bekerja mencapai tujuan dan tanggung jawab termasuk piagam
audit internal.
2. Audit internal menyesuaikan dii dengan definisi dari audit internal dan standarnya.
3. Individu yang merupakan bagian dari audit internal mempertunjukkan kesesuaian dengan
kode etik dan standar.
Dalam menetapkan sebuah charter, visi dan misi, dan rencana audit, CAE bertanggungjawab
untuk menetapkan dan menjaga independensi, objektifitas, kecakapan, dan menjaga
profesionalitas dalam fungsi audit internal. Diposisikan pada level senior manajemen yang
mempunya akses langsung terhadapt Board memberikan independensi yang lebih besar
begitu pula obyektivitasnya.

A. Independensi dan Objektivitas

Independensi - CAE harus melapor kepada level dalam organisasi yang mengijinkan
aktivitas internal audit untuk memenuhi kewajibannya. Internal audit activity harus bebas
dari campur tangan dalam menentukan scope dari internal auditing, melaksanakan tugas
dan melaporkan hasil pekerjaan. Organizational independencemenekankan pentingnya
dukungan senior management dan Board untuk meyakinkan kerjasama auditan dan
menghilangkan campurtangan saat internal audit function melaksanakan penugasan.
Objektivitas - sikap yang tidak bias yang membolehkan auditor internaluntuk
melakukan penugasan dengan cara sedemikian rupa sehingga mereka memiliki
kepercayaan dalam hasil pekerjaan mereka dan tidak ada kompromi material yang dibuat.
Objektifitas mensyaratkan auditor internal tidak mewakilkan penilaian mereka atas audit
yang dilakukannya kepada yang lainnya.
Objectivity melibatkan CAE mengatur penugasan staff yang menghindari conflict of
interest/potensinya. Mereview hasil pekerjaan agar diperoleh keyakinan bersalasan bahwa
pekerjaan dilaksanakan dengan objektif.Objektivitas tidak dipengaruhi apabila auditor
merekomendasikan standar pengendalian untuk suatu sistem atau mereview prosedur
sebelum diimplementasikan.Objectivitas terganggu apabila IA mendesain, menginstal,
men-draft prosedur atau mengoperasikan sistem.
Impairment independensi dan objectivity dapat terjadi in fact maupun in appearence.
Impairment yang dialami internal auditor harus dilaporkan kepada CAE dimana CAE yang
memutuskan apa internal auditor diganti. Apabila impairment-nya adalah scope limitation,
CAE harus lapor ke Board. Untuk menghindari impairment, Internal auditor tidak dapat
 menerima fees, gift, atau entertainment dari pegawai, client, atau customer.

B. Kecapakan dan Profesionalitas

Kecakapan adalah pengetahuan, skill, dan kompetensi lainnya yang auditor internal
perlukan untuk menunjukkan tanggung jawab individual mereka.
Due professional care - auditor internal harus mengaplikasikan kepedulian dan
skill yang diharapkan dari kebijaksanaan yang pantas dari auditor internal. Walaupun
begitu auditor internal tidak diharapkan untuk menjadi sempurna.
II. Perencanaan
Rencana Audit Internal - sebuah outline dari penugasan konsultansi dan assurance
yang dijadwalkan untuk suatu periode berdasarkan penilaian dari risiko organisasi.
Standar Perencanaan
Assurance Services - IAA merencanakan penugasan harus berdasarkan dokumentasi risk
assessment, minimal annually. Input dari senior management dan Board harus
dipertimbangkan.
Consulting Services-CAE harus menyetujui penugasan konsultansi dengan berdasarkan
potensi penugasan dalam meningkatkan pengelolaan risiko, memberi nilai tambah dan
meningkatkan operasional organisasi. Penugasan yang disetujui harus dimasukan dalam
perencanaan.

III. Komunikasi dan Persetujuan

Setelah rencana audit internal ditetapkan, Chief Audit Executive mempresentasikan
kepada senior management dan dewan audit agar disetujui.
Standar comunication and approval
CAE akan mengirimkan ringkasan audit plan, work schedule, staffing plan, dan financial
budget ke senior management dan Board termasuk perubahan - perubahan signifikan.
Seluruhnya mengandung informasi yang cukup bagi SM dan Board bahwa IAA sesuai dengan
charter.

IV. Pengelolaan Sumber Daya

CAE bertanggungjawab untuk meyakinkan bahwa sumber daya audit internal sudah
tepat, cukup, dan tersebar dengan efektif untuk mencapai rencana yang telah disepakati. Hal
ini dicapai dengan mengharmonikan beberapa faktor dibawah ini.

A. Struktur Organisasi dan Strategi Susunan Kepegawaian

Fungsi Audit Internal harus diatur dengan konsisten sesuai dengan kebutuhan dan
budaya organisasi. Jenis tingkatan hirarki dalam fungsi audit internal adalah sebagai
berikut:
Staff auditor
Senior auditor
Audit manager
Audit director
Chief audit executive

B. Right Sizing (Ukuran yang tepat)

Penting untuk melakukan pembinaan aas skill dan pengetauan staf. Jangan membuat
pekerjaan yang melebihi kapasitas dari sisi waktu dan kuantitas.

C. Perencanaan Kepegawaian/ SDM

CAE harus menempatkan sdm secara efektif. Dalam artian harus berkualitas dan
mampu untuk melaksanakan audit internal.
 D. Praktik Penyewaan (Hiring Practices)
CAE perlu melengkapi tim dengan individu dari berbagai disiplin ilmu sesuai
kebutuhan organisasi terutama akuntansi dan pelaporan, IT, hukum dan organisasi, dan
industri yang di bidang organisasi.

E. Strategic Sourcing
Outsourcing dapat dilakukan dengan melihat kondisi yang ada.

F. Pelatihan dan Pembinaan

Staf audit internal memerlukan beberapa sertifikasi seperti CIA, CPA, CISA, dan CFE.

G. Perencanaan Karir dan Pembangunan Profesionalisme

Penjadwalan
CAE memaksimalkan anggaran keuangan dengna membuat tim berdasarkan
keahlian dan pengalaman. Pada saat yang bersamaan, CAE memenuhi kebutuhan staf dan
pekerjaan untuk menyeimbangkan kesempatan peningkatan dari penguasan yang spesifik
yang bisa disediakan dan kebutuhan memenuhi penugasan yang telah ditetapkan
waktunya.
Penganggaran Keuangan
CAE harus mengevauasi dengan sungguh-sungguh sumber-sumber keuangan yang
diperlukan untuk menyelesaikan tujuan yang telah ditetapkan.

V. Kebijakan dan Prosedur

CAE harus menetapkan kebijakan dan prosedur audit internal. Prosedur dan kebijakan ini
digunakan untuk memandu staf audit internal dalam melaksanakan rencana audit internal.

VI. Koordinasi Assurance efforts

CAE harus membagikan informasi dan menggkoordinasikan aktivitas dengan penyedia
jasa internal dan eksernal audit lain untuk memastikan cakupan yang tepat dan mengurangi
pengulangan/duplikasi aktivitas.
Three lines of defence:
1 Management bertanggungjawab meng-asses dan memitigasi risiko dalam
mengelola internal control.
2 Masing-masing area dalam organisasi bekerja bersama-sama untuk menilai dan
memitigasi risiko dengan memfasilitasi dan memonitor upaya manajemen risiko
organisasi.
3 Fungsi internal audit yang independen dari manajemen.
External assurance - CAE berkewajiban untuk berkoordinasi dengan external
auditor, Board wajib memantau koordinasi tersebut berjalan mulus.

VII. Reporting To The Board and Senior Management

CAE (Chief Audit Executive) memiliki tanggung jawab untuk memberikan laporan secara
berkala kepada Senior Management dan dewan mengenai tujuan, kewenangan,
tanggungjawab dan performa yang berhubungan dengan rencana dari kegiatan audit.
Laporan tersebut juga harus menyertakan paparan resiko yang signifikan dan masalah
mengenai kontrol, termasuk risiko fraud, governance dan kondisi lainnya yang dibutuhkan
atau diminta oleh senior managemen dan dewan (IIA standar 2060: Reporting to Senior
Management and the Board).
Manajemen dan CAE bekerjasama dalam melapokan secara rutin mengenai berbagai
risiko dan aktivitas kontrol yang dilakukan, laporan ini biasanya berisi:
 Business unit monitoring & risk Laporan aktivitas finansial kunci
monitoring reports Laporan aktivitas manajemen risiko
Laporan kegiatan auditor eksternal Laporan monitoring hukum
independen

VIII. Governance
Governance menuntut fungsi Internal Audit untuk mengakses dan menyusun
rekomendasi yang layak untuk meningkatkan proses governance dalam mencapai tujuan
berikut:
Etika yang layak dan nilai-nilai di dalam organisasi.
Memberi keyakinan performa manajemen organisasi efektif dan akuntabel.
Mengkomunikasikan risiko dan kontrol informasi untuk area yang layak dari organisasi.
Mengkordinasikan aktivitas dan mengkomunikasikan informasi diantara dewan, auditor
ekstrnal dan internal dan manajemen.
Internal Audit Charter menjelaskan peran apa yang dimainkan oleh fungsi internal audit
dalam menyediakan assurance yang berhubungan dengan proses governance dan
mencerminkan ekspektasi dewan. Peran tersebut meliputi:
Evaluasi kelayakan manajemen risiko.
Menguji dan mengevaluasi apakah manajemen risiko bekerja seperti rencana.
Menentukan asersi risk owners ke senior management mengenai risk management sudah
sesuai dengan kondisi sekarang.
Menentukan asersi senior manajemen ke Board mencerminkan kondisi sekarang.
Mengevaluasi apakah informasi risk tolerance dikomunikasikan dengan baik.
Menilai risiko lain yang belum tercakup proses governance.

IX. Risk Management
Manajemen risiko merupakan sebuah proses partisipasi yang didesain untuk
mengidentifikasi, mendokumentasikan, mengevaluasi, mengkomunikasikan, dan memonitor
ketidakjelaskan yang dihadapi organisasi yang mensyaratkan mitigasi risiko atau eksploitasi
kesempatan untuk mencapai tujuan bisnis organisasi.

X. Control
Menurut standar IIA 2130 kontrol merupakan kegiatan audit internal harus
mengawal organisasi dalam menjaga kontrol yang efektif dengan mengevaluasi
keefektifan dan keefisienan dan mendorong peningkatan yang terus menerus.
Standar 2130 A1- Dalam menyediakan kegiatan assurance, informasi mengenai risk
assessment harus mendorong fungsi internal audit dalam mengevaluasi kecukupan dan
keefektifan kontrol dalam merespon risiko didalam tatakelola organisasi, operasional dan
sistem informasi dengan memperhatikan:
Capaian tujuan strategis organisasi. Pengamanan aset.
Kehandalan dan integritas informasi Pemenuhan hukum, regulasi dan
keuangan dan kontrak.
operasional(nonfinansial).
Efektifitas dan efisiensi operasional.
Standar 2130 C1 - Internal auditor harus menggabungkan pengetahuan
pengendalian yang didapat dari penugasan consulting dalam mengevaluasi control
process organisasi.

XI. Quality Assurance and Improvement Program (Quality Program Assessments)
 Quality assurance merupakan proses untuk memberikan jaminan bahwa fungsi internal
audit telah mengikuti kepada standar yang ditetapkan yang menegaskan elemen spesifik
yang harus ada untuk member keyakinan bahwa fungsi tersebut telah berjalan dengan tepat.
Disclosure of Nonconformance
Dalam kondisi fungsi audit internal didapati tidak cukup untuk mempengaruhi
keseluruhan cakupan ataupun pekerjaan dari kegiatan audit internal maka CAE harus
mengungkapkan ketidaksesuaian dan dampaknya ke senior manajemen dan dewan (IIA
Standar 1322: Disclosure of Nonconformance).

XII. Performance Measurement for the Internal Audit Function
Pengukuran performa merupakan bagian internal assessment, CAE harus
mempertimbangkan banyak hal ketika menciptakan pengukuran performa seperti ukuran&
fungsi audit internal, pelayanan spesifik yang ditawarkan, regulasi industri, lingkungan
operasi, dan kultur organisasi. Pengukuran performa harus disesuaikan dengan audit charter.
Seluruh pelayanan yang ditetapkan dalam charter harus dipertimbangkan ketika menyusun
pengukuran.

XIII. Use of Technology to Support the Internal Audit Process
1 Risk and Control Self-Assessment (dengan database)
2 Data Analysis
3 Automated Monitoring
4 Automated Working Papers
5 Departement Administration and Management
6 The Internet

XIV. Opportunity to Provide Insight
Manajemen yang efektif dari fungsi audit penting untuk mendukung senior
manajemen untuk mencapai tujuan organisasi.
Bab 10
Audit Evidence and Working Papers

I Bukti Audit
Kualitas dari kesimpulan dan saran yang dihasilkan auditor internal tergantung dari kemampuan mereka untuk
mengumpulkan dan mengevaluasi bukti yang cukup untuk mendukung kesimpulan dan saran mereka itu.
Bukti adalah informasi apa saja yang dapat digunakan oleh auditor untuk menentukan apakah informasi yang
diaudit telah dinyatakan sesuai dengan standar yang ditetapkan.
A Professional Skepticism
Auditor harus selalu menerapkan level professional skepticism yang sehat ketika mengevaluasi bukti
audit. Professional skepticism adalah ketika auditor tidak mengambil bukti begitu saja, mereka harus selalu
mempertanyakan secara terus menerus apa yang mereka lihat dan dengar. Auditor tidak boleh mengasumsikan
dari awal apakah auditee tersebut telah jujur atau tidak jujur. Professional skepticism perlu agar penilaian auditor
tidak bias dan auditee tetap dapat berpikiran terbuka utuk mengevaluasi bukti yang ada.
B Reasonable Assurance
Auditor tidak pernah benar-benar bisa memberikan absolut assurance atas hasil auditnya. Karena itu
hasil audit hanya dapat memberikan reasonable assurance. Reasonable assurance adalah level assurance yang
didukung oleh prosedur audit dan penilaian yang telah diterima secara umum.
C Persuasiveness of Audit Evidence
Bukti audit yang meyakinkan adalah bukti yang dapat memungkinkan auditor untuk memformulakan
kesimpulan dan saran. Untuk dapat memberi keyakinan, bukti harus:
1 Relevan mendukung observasi dan rekomendasi, serta konsisten deegan tujuan audit.
 Apakah bukti relevan dengan tujuan audit, apakah secara logika dapat mendukung kesimpulan dan saran
audit.
2 Reliable informasi terbaik yang dapat dicapai melalui teknis audit yang tepat.
Apakah bukti didapat dari sumber yang terpercaya, apakah internal auditor yang mendapatkan bukti tersebut
secara langsung, informasi yang didokumentasikan, informasi dihasilkan oleh sistem yang spi nya bagus.
3 Sufficient faktual, cukup, dan meyakinkan, sehingga orang lain yang membaca informasi yang ada akan
menghasilkan kesimpulan yang sama dengan kesimpulan auditor.
Apakah auditor telah mengumpulkan bukti yang cukup.

Risiko dari mengumpulkan bukti yang tidak valid akan menghasilkan saran yang tidak valid juga.

II Audit Procedures
Langkah-langkah auditor internal untuk mengumpulkan bukti untuk mencapai tujuan audit.
Dilakukan selama proses audit untuk:
a Memperoleh pemahaman yang teliti tentang auditee.
b Mengetes kecukupan desain dan efektivitas sistem pengendalian atas area yang akan diperiksa.
c Menganalisas hubungan yang masuk akal antara berbagai elemen data.
d Secara langsung mengetes informasi keuangan yang tercatat maupun yang tidak tercatat untuk mengetahui
error&fraud.
e Menghasilkan bukti audit yang cukup untuk mencapai tujuan audit, termasuk menentukan nature, extent, dan
timing untuk melakukan prosedur audit.
- Nature nature atau sifat dari prosedur audit berhubungan dengan tipe tes yang akan dilakukan oleh auditor
internal untuk mencapai tujuannya.
- Extent berhubungan dengan seberapa banyak bukti audit yang harus dikumpulkan untuk mencapai tujuan
- Timing kapan prosedur audit akan dilakukan dan lingkup periode waktu yang akan dilakukan pengujian.

A Manual Audit Procedure
Prosedur audit yang sering dilakukan adalah inquiry, observasi, inspeksi, vouching, tracing,
reperformance, prosedur analitis, dan konfirmasi.


B Teknik Audit Berbantuan Komputer
Teknik Audit Berbantuan Komputer didefinisikan sebagai segala bentuk teknik audit yang
bekerja secara otomatis, contohnya software khusus audit (cth. ACL), test data generators, program
audit terkomputerisasi dan alat audit lainnya.
Teknik audit berbantuan komputer, beberapa diantaranya:
1 Software khusus audit software multipurpose yang dapat melakukan pekerjaan audit seperti pencocokkan,
pemilihan record, penghitungan ulang, dan pelaporan.
2 Test data generators simulasi transaksi yang digunakan untuk memproses logika, pengendallian, skema
penghitungan dalam bentuk aplikasi.
 3 Aplikasi software tracing-mapping alat khusus yang digunakan untuk menganalisa arus data dari suatu
aplikasi berdasarkan dasar logika software tersebut , seperti bahasa pemogramannya, perintah bahasa, dsb.
4 Audit expert system sistem pengambilan keputusan yang digunakan untuk mendukung kerja sistem
informasi auditor dalam melaksanakan pekerjaannya. Sistem ini secara otomatis dapat melakukan analisis
risiko secara otomatis.
5 Continues auditing memungkinkan seorang auditor yang bergerak dalam bidang sistem informasi untuk
memantau reliabilitas sistem secara teru menerus dan mengumpulkan bukti audit melalui komputer.
Keuntungan menggunakan software audit:
Memungkinkan untuk melakukan prosedur audit pada lingkungan yang memiliki banyak hardware dan
software dengan persyaratan yang sederhana.
Memungkinkan auditor untuk menguji data pegawai dari perusahaan IT secara independen.
Memungkinkan untuk menganalisis jumlah data yang besar.
Beberapa software audit, dapat menguji jumlah populasi data, dibandingkan dengan prosedur audit manual
yang hanya bisa mengambil sampel.
Menghemat waktu auditor dalam melakukan pekerjaan.
Hambatan dalam software audit:
Harus ada ijin khusus terhadap data.
Sulit untuk mendapatkan akses fisik terhadap data.
Harus mengerti dengan benar bagaimana format data dan disimpan dimana.
Kesulitan untuk mengubah data menjadi bentuk yang dapat diolah dan diteliti auditor.


III Kertas Kerja
IIA Standard 2330 - mendokumentasikan informasi dibutuhkan oleh internal auditor dalam
mengumpulkan bukti yang mendukung hasil penugasan.
Tujuan Kertas Kerja:
1 Dibutuhkan dalam perencanaan dan pelaksanaan pekerjaan.
2 Memfasilitasi supervisi terhadap pekerjaan dan melakukan review terhadap pekerjaan yang telah selesai.
3 Menunjukkan apakah penugasan telah dilaksanakan secara objektif.
4 Merupakan sarana pendukung utama bagi internal auditor dalam berkomunikasi dengan auditee, manajemen
senior, dewan direksi dan pihak ketiga.
5 Digunakan untuk mengevaluasi kualitas penugasan.
6 Berkontribusi dalam pengembangan kualitas SDM internal auditor.
Tipe Kertas Kerja:
1 Program kerja - karakteristik, ruang lingkup, jangka waktu prosedur audit.
2 Anggaran waktu penugasan dan kertas kerja alokasi sumber daya.
3 Gambaran mengenai proses berupa flowchart atau peta permasalahan yang mengidentifikasikan aktivitas, risiko,
dan pengendalian.
4 Grafik, diagram, yang digunakan untuk menunjukkan kemungkinan terjadi dan dampaknya pada risiko bisnis
auditee.
5 Agenda pertemuan dengan auditee dan pertemuan tim.
6 Memo hasil interview dan rapat dengan auditee.
7 Informasi dasar auditee.
8 Copy dari sumber dokumen auditee.
9 Dokumen terkait IT.
10 Bukti yang diperoleh dari pihak ketiga.
11 Bukti yang dikumpulkan oleh auditee.
12 Kertas kerja yang disiapkan oleh auditor seperti matriks risiko dan pengendalian.
13 Pengendalian yang dilakukan auditee, dan proses reperformed yang dilakukan auditor.
14 Hasil observasi, rekomendasi, dan simpulan auditor.
15 Komunikasi final dari penugasan dan tanggapan atas penjelasan auditor pada akhir penugasan.
Standar kertas kerja yang benar, meliputi:
1 Keseragaman sistem cross-referencing dalam semua penugasan.
2 Format kertas kerja yang konsisten.
3 Tick marks yang standar.
4 Klasifikasi dokumen atas dokumen yang merupakan jenis permanen atau yang sifatnya berlanjut setiap tahun dan
saling terkait antar tahun.
Kertas kerja sedikitnya memuat:
1 Nomor indeks dan referensi yang tepat.
2 Surat penugasan dan tujuan penugasan.
3 Diberi tanggal & ditandatangani oleh internal auditor yang melaksanakan (ketua tim) maupun yang me-review.
4 Memberikan penjelasan rinci terkait data dari auditee.
5 Memberikan penjelasan spesifik terhadap prosedur audit tertentu.
6 Dengan jelas ditulis dan dapat dimengerti oleh auditor lain yang berbeda penugasan.

BAB 11
AUDIT SAMPLING
Audit sampling merupakan salah satu prosedur audit yang diterapkan untuk mengurangi item
populasi (kurang dari 100%) tapi dengan tujuan menggambarkan keseluruhan populasi. Populasi dapat
berupa semua laporan penerimaan selama setahun atau semua saldo pelanggan pada buku pembantu piutang.
Sampling ini digunakan untuk pelaksanaan prosedur audit seperti tracing atau vouching yang
digunakan untuk pemeriksaan dokumen audit trail atau digunakan untuk prosedur audit inquiry dan
observation.
A Dua Pendekatan Umum Audit Sampling

Dua pendekatan tersebut adalah statistical dan nonstatistical. Kedua pendekatan ini membutuhkan
professional judgment dalam mendesain rencana sampling, melaksanakan rencana tersebut dan
mengevaluasi hasil sample. Internal audit memiliki kebebasan dalam memilih kedua pendekatan tersebut
sesuai dengan prosedur yang akan dilakukan, evaluasi atas bukti yang diperoleh, dan tindakan yang akan
dilakukan berdasarkan tujuan penerapan sampling.
Untuk memilih, auditor internal harus mempertimbangkan cost and benefit. Statistical sampling
merupakan alat bantu auditor internal untuk mengukur kecukupan bukti yang yang diperoleh dan
mengevaluasi hasil sampling secara kuantitatif. Lebih dari itu audit sampling memungkinkan auditor untuk
menghitung, mengukur, dan mengontrol sampling risk. Namun, statistical sampling juga lebih costly.
B Audit Risk and Sampling Risk

Dalam chapter sebelumnya audit risk diartikan sebagai risiko kesalahan pengambilan kesimpulan
dan/atau menyediakan saran yang keliru berdasarkan pekerjaan audit yang dilakukan. Dalam konteks
tersebut maka audit risk dibagi menjadi 2 yaitu sampling risk dan non-sampling risk.
Sampling risk adalah risiko bahwa kesimpulan internal audit berdasarkan sample yang diuji berbeda
dengan kesimpulan yang diperoleh apabila prosedur audit dilakukan terhadap seluruh item pada populasi.
Dalam melakukan Test of control, internal audit concerned terhadap dua aspek sampling risk yaitu:
1 The risk of assessing control risk too low (type II risk, beta risk)
Dikenal juga dengan risk of overreliance (risiko ketergantungan lebih) yaitu risiko bahwa internal auditor
salah dalam menyimpulkan bahwa kontrol tertentu lebih efektif dari yang seharusnya.
2 The risk of assessing control si too High (The I risk, alpa risk)
 Dikenal juga dengan risk of under-reliance (risiko ketergantungan kurang) yaitu risiko bahwa internal audit
salah dalam menyimpulkan bahwa kontrol kurang efektif dari yang seharusnya.

Non sampling risk risiko yang terjadi ketika internal auditor gagal dalam menjalankan
pekerjaannya secara benar. Misalnya melakukan prosedur audit yang tidak tepat atau sah dalam
melakukan interpretasi hasil sampling. Nonsampling risk dikontrol menggunakan audit planning,
supervisi, dan quality assurance.
I STATISTICAL AUDIT SAMPLING IN TESTS OF CONTROL
A Atribute Sampling Approaches
Attribute Sampling merupakan pendekatan sampling statistikal berdasarkan teori binomial
distribution yang memungkinkan pengguna memperoleh kesimpulan tentang populasi dengan menggunakan
tingkat keterjadiannya. Binomial distribution adalah distribusi semua kemungkinan sample yang mana tiap item
dalam populasi mempunyai satu atau dua kemungkinan states.
Stratified attribute sampling variasi dari attribute sampling dari populasi yang dapat dibagi-bagi.
Ketika kontrol yang berbeda diterapkan dalam level transaksi yang berbeda maka perbedaan level transaksi
terebut dapat dipertimbangkan sebagai populasi yang berbeda.
Stop-or-go sampling variasi attribute sampling yang digunakan ketika tingkat penyimpangan
diperkirakan rendah karena dapat meminimalkan ukuran sample untuk level sampling risk tertentu.
Discovery sample- variasi attribute sampling yang didesain dengan cukup luas untuk mendeteksi
paling tidak satu penyimpangan apabila tingkat deviasi pada populasi setara atau melebihi tingkat spesifik.
Pendekatan ini biasa digunakan untuk menguji adanya fraud.

B Designing an Attribute Sampling Plan, Executing The Plan, and Evaluating The Sample Result

Attribute sampling dilakukan melalui 9 langkah berikut:

1 Identify a specific internal control objective dan prescribed control(s) aimed at achieving that objective
Tujuan audit yang spesifik merupakan faktor kunci yang menentukan apa yang akan di sample. Sebagai
contoh adalah auditor internal akan menguji, dengan menggunakan sample, apakah order pembelian selama
12 bulan telah didukung oleh daftar permintaan pembelian yang sesuai.
2 Define what is meant by control Aviation
Secara hati-hati mendefinisikan yang dimaksud dengan penyimpangan dari kontrol yang telah ditentukan
sama pentingnya dengan mendefinisikan tujuan kontrol dan prosedur kontrol. Jika internal auditor gagal
melakukan ini, ada risiko tidak dikenalinya penyimpangan yang hal ini merupakan non sampling risk.
Sebagai contoh adalah internal auditor ingin meyakini bahwa order pembelian dukung oleh permintaan
pembelian yang tepat. Penyimpangan dari kontrol yang ditetapkan akan termasuk hal berikut: tidak adanya
daftar permintaan pembelian, tidak adanya bukti dari persetujuan daftar permintaan pembelian, disetujui oleh
orang yang tidak berwenang, adanya perbedaan antara barang yang dipesan dengan barang yang diterima
gudang.
3 Define population and sampling unit
Sesuai contoh sebelumnya maka, populasi yang ditentukan adalah order pembelian prenumber selama 12
bulan. Sampling unit-nya adalah setiap order pembelian yang diuji untuk memastikan apakah order pembelian
telah didukung oleh daftar permintaan pembelian yang sesuai. Untuk mengujinya, internal auditor akan
melakukan vouching terhadap order pembelian dan menghubungkannya dengan daftar permintaan pembelian.
4 Determine the appropriate values of parameter affecting sample size
 Dalam attribute sampling, internal auditor harus menetapkan, menggunakan audit judgment, nilai yang tepat
dari 3 faktor yang mempengaruhi ukuran sample.
a Risiko yang dapat diterima dari penilaian kontrol yang terlalu rendah.
Ingat bahwa risiko penilaian control risk terlalu rendah maka internal auditor akan salah
menyimpulkan bahwa kontrol tertentu lebih efektif dari pada seharusnya. Risiko penilaian control risk
yang terlalu rendah akan berkebalikan dengan ukuran sample, dengan kata lain semakin rendah tingkat
acceptable risk, semakin besar ukuran sample.
b Tingkat penyimpangan yang dapat ditolerir.
Tingkat maksimum atas penyimpangan yang masih dapat diterima auditor dan masih dapat
menyimpulkan bahwa pengendalian sudah efektif. Penyimpangan yang masih dapat diterima berkebalikan
dengan jumlah sample audit.
c Tingkat penyimpangan populasi yang diperkirakan.
Perkiraan auditor pada penyimpangan aktual dari populasi yang diperiksa. Auditor harus membedakan
antara tingkat tolerable deviation dan tingkat perkiraan penyimpangan populasi sebagai planned
allowance for sampling risk atau planned precision.
5 Determine the appropriate sample size
Setelah auditor menetapkan nilai dari faktor-faktor yang mempengaruhi ukuran sample, cara paling mudah
untuk menentukan ukuran sample yang tepat dapat mengacu pada tabel berikut.

6 Memilih sample secara acak
Dua pendekatan yang sering digunakan adalah:
 a Simple Random Sampling
Pendekatan yang paling mudah ketika sampling dokumen prenumbered. Menggunakan tabel nomor
random adalah salah satu jalan internal auditor mendapatkan random sample.
b Systematic Sampling
Internal auditor memilih secara random untuk menentukan titik awal data dan memlih sampai urutan
tertentu setetahnya.
7 Audit sample item yang dipilih dan menghitung jumlah deviasi dari control yang ditentukan.
8 Menentukan batas deviasi yang dapat diterima.
9 Mengevaluasi hasil sample, meliputi:
a Kesimpulan perhitungan statistik.
b Membuat keputusan audit berdasarkan hasil sample quantitative.
c Mempertimbangkan aspek kualitatif dari hasil sample.

C Memformulasikan Keputusan Statistikal

Kelebihan utama statistical sampling dibandingkan nonstatistical sampling adalah

memungkinkan internal auditor untuk mengkuantifikasi, mengukur, dan mengendalikan risiko
sampling.
Estimasi terbaik auditor untuk deviation rate dalam populasi untuk hipotetis hasil pertama
dari 1 penyimpangan sampel adalah 1/80 = 1,25%. Untuk hasil hipotetis kedua (2 penyimpangan sampel)
= 2/80 = 2,5%. Meskipun begitu, terdapat ketidakpastian pada estimasi tersebut dikarenakan fakta bahwa
auditor hanya melakukan sampling, bukan menguji 100%.
Oleh sebab itu, kesimpulannya dapat ditulis dalam bentuk :

Hipotesis 1 I am 90% confident that the true, but unknown, population deviation rate is 4,8%.
Hipotesis 2 I am 90% confident that the true, but unknown, population deviation rate is 6,6%.

D Menyusun keputusan audit berdasarkan hasil sampel kuantitatif

Aplikasi atribut sampling didesain agar internal auditor akan menyimpulkan bahwa
pengendalian efektif, berdasarkan hasil sampling, jika 90% tingkat keyakinan bisa dicapai bahwa
population rate-nya adalah 5%. Penting untuk diingat, bahwa interpretasi auditor terhadip hasil
sampling kuantitatif hanya menunjukkan efektifitas pengendalian bagi 12 bulan terakhir saja.

E Mempertimbangkan aspek kualitatif dari hasil sampel
Sebagai tambahan dalam mengevaluasi hasil dari attribute sampling, internal auditor harus
mempertimbangkan aspek-aspek kualitatif dari penyimpangan dari pengendalian yang ditemukan.

II SAMPLING AUDIT NONSTATISTIKAL DALAM PENGUJIAN PENGENDALIAN

Memilih dan Mengevaluasi Sampel NonStatistik

Statistical sampling membutuhan dua hal fundamental, yaitu : sampelnya harus dipilih secara
 random dan hasil sampling tersebut harus dievaluasi secara matematis dengan pendekatan teori probabiilitas.
Sampling nonstatistikal membrikan auditor keleluasaan lebih dalam memilih dan mengevaluasi sampel.
Meski begitu, auditor harus tetap memilih sampel yang dipercaya sebagai representasi dari populasi, dengan
mempertimbangkan faktor-faktor yang memengaruhi ukuran sampel. Haphazard sampling adalah teknik
pemilihan non random yang digunakan auditor untuk memilih sampel yang diharapkan dapat
merepresentasikan populasi.
Ketidakmampuan untuk mengkuantifikasi risiko sampling secara statistik merupakan fitur utama dari
sampling non statistik yang membedakannya dengan statistical sampling. Kesimpulan auditor mengenai
populasi (yang direpresentasikan sampel) sangatlah judgemental ketimbang berdasarkan teori probablitas.
Salah satu pendekatan sampling nonstatistik yang paling awam adalah memilih sampel yang relatif
kecil secara haphazard, misalnya 25 item untuk seluruh aplikasi sampling berdasarkan presumsi bahwa
tidak terdapat penyimpangan pengendalian dalam populasi, dan untuk menyimpulkan bahwa pengendalian
tidak cukup efektif jika satu atau lebih deviasi pengendalian ditemukan.

III STATISTICAL SAMPLING DALAM PENGUJIAN NILAI-NILAI MONETER

Sebagai tambahan untuk penggunaan sampling dalam konteks pengujian pengendalian, internal
auditor juga menerapkan sampling ketikan melakukan pengujian yang didesain untuk mendapatkan bukti
langsung mengenai kebenaran nilai-nilai monetaris-misalnya, nilai dari inventori yang disajikan.
Ketika melakukan pengujian atas nilai moneter, internal auditor harus memperhatikan dua aspek
risiko sampling :
1 Risiko penerimaan yang tidak benar (Type II Risk, Beta Risk)
Risiko dimana sampel menunjukkan tidak ada misstatement material, padahal sebenarnya ada.
2 Risiko penolakan yang tidak benar (Type 1 Risk, Alpha Risk)
Kebalikan dari yang atas.

A Probability-Proportional-To-Size Sampling
Juga disebut sebagai monetary-unit sampling atau dollar-unit sampling adalah bentuk modifikasi dari
sampling atribut yang digunakan untuk mencapai kesimpulan terkait jumlah moneter ketimbang tingkat
keterjadian.

Faktor2 yang memengaruhi ukuran sampling PPS :

a Nilai buku moneter dari populasi. c Tolerable misstatement.
b Risiko ketidakbenaraan penerimaan. d Anticipated misstatement.

B Classical Variables Sampling

Adalah pendekatan sampling statistikal yang berdasarkan pada teori distribusi normal yang
digunakan untuk memeroleh kesimpulan terkait jumal monetary. Metode ini dianggap lebih sulit dari
PPS, karena melibatkan metode perhitungan yang lebih kompleks dalam menentukan jumlah sampel
yang tepat dan mengevaluasi hasil sampling.
Dua pendekatan pemilihan sampel yang umum digunakan dalam metode ini adalah simple
random sampling dan systematic sampling with random start.
 Faktor2 yang memengaruhi ukuran sampel pada metode ini :
a Ukuran populasi. d Risiko penolakan yang tidak benar.
b Standar deviasi populasi yang diestimasi. e Tolerable misstatement.
c Risiko penerimaan yang tidak benar.

C PPS versus CVS

BAB 12
INTRODUCTION TO THE ENGAGEMENT PROCESS


I TYPES OF INTERNAL AUDIT ENGAGEMENTS (TIPE PENUGASAN INTERNAL AUDIT)
Secara umum, auditor internal menyediakan dua jenis layanan : jasa assurance dan jasa consulting,
baik yang berbentuk control-focused maupun yang sifatnya performance-focused.
Proses penugasan (engagements) kedua jenis layanan tersebut terdiri dari 3 tahap utama yaitu
(1) Perencanaan; (2) Pelaksanaan; (3) Komunikasi (pelaporan).

II GAMBARAN UMUM PROSES ASSURANCE ENGAGEMENTS
PLAN PERFORM COMMUNICATE
- Menentukan tujuan & lingkup - Melakukan pengujian untuk - Melakukan evaluasi observasi &
engagement mengumpulkan bukti proses eskalasi
- Memahami auditee, termasuk tujuan- Mengevaluasi bukti yang diperoleh - Melakukan engagement
& asersi auditee dan menyimpulkan pendahuluan & interim
- Mengidentifikasi & mengukur - Mengembangkan observasi & - Mengembangkan komunikasi
risiko menyusun rekomendasi engagement final
- Mengidentifikasi pengendalian - Mendistribusikan komunikasi final
kunci (key control) formal & informal
- Mengevaluasi kecukupan desain - Melakukan prosedur monitoring &

pengendalian tindak lanjut
- Menyusun rencana pengujian
- Mengembangkan Program Kerja
- Mengalokasikan sumber daya pada
engagement
Meskipun gambaran di atas menunjukkan tiga tahap dari engagement sebagai langkah yang
terpisah dan menunjukkan urutan, sebenarnya praktik yang dilakukan tidak sepenuhnya seperti gambaran di
atas. Tidak terdapat garis tegas antara perencanaan, pelaksanaan dan pelaporan.

A Aktivitas Perencanaan Assurance Engagements
Terdapat sebuah ungkapan 7P :Proper Prior Planning Prevents Poor Performance dan ungkapan
lain Failing to plan means planning to fail menunjukkan betapa pentingnya perencanaan. Dalam assurance
engagement, tahapanyang dilalui antara lain:
1 Menentukan tujuan dan lingkup engagement
Pertimbangan penting ;
a Kategori tujuan bisnis (strategis, operasional, pelaporan dan kepatuhan).
Apakah fokusnya pada efektivitas operasi dan efisiensi auditee, aspek pelaporan keuangan
auditee, atau keduanya.
b Hasil yang diharapkan dari Tim Audit Internal.
Tim diharapkan dapat membatasi fokusnya untuk mengkomunikasikan observasi atas
pengendalian selama proses engagements, atau diharapkan untuk menyampaikan opini keseluruhan
atas area khusus yang ditanyakan.
c Batasan engagements
Dari Proses/subproses bisnis mana dimulai/diakhiri, unit mana yg dikunjungi, dsb.
2 Memahami auditee, termasuk tujuan dan asersi auditee
a Tujuan Bisnis Auditee apakah yang ingin dicapai auditee
b Asersi Auditee pernyataan tentang apa yang telah dicapai
3 Mengidentifikasi dan mengukur risiko
Tim audit internal harus mem-bobot level risiko yang diukur dibandingkan dengan batas
toleransi risiko manajemen yang dapat diterima.
Pilihan/respon risiko menerima (accept), menghindari (avoid) dan membagi (sharing) risiko.
4 Mengidentifikasi pengendalian kunci (key control)
Tim audit internal juga harus mengidentifikasi pengendalian mana yang paling kritis untuk
mengurangi risiko bisnis ke level yang dapat diterima serta menyediakan jaminan bahwa tujuan
yang ditetapkan akan tercapai.
Dibahas lengkap di Ch. 3 Internal Control dan Ch. 13 Conducting Assurance
Engagement
5 Mengevaluasi kecukupan desain pengendalian
Tim audit internal harus memutuskan apakah pengendalian kunci yang teridentifikasi
diidentifikasi secara memadai untuk mengurangi risiko, baik secara individual maupun kolektif ke
level yang dapat diterima diasumsikan bahwa pengendalian telah dijalankan sesuai rencana.
6 Membuat pengujian perencanaan
Membuat pengujian perencanaan terdiri dari menentukan sifat, waktu, dan perluasan prosedur
yang diperlukan untuk mengumpulkan bukti audit. Pengujian perencanaan berupa pengujian
 langsung atas pengendalian dan atau test kinerja untuk menghasilkan bukti tak langsung berkaitan
dengan efektivitas pengendalian.
7
Mengembangkan program kerja
Selama proses penugasan, internal auditor menandai prosedur dalam audit program yang menandakan
pekerjaan telah selesai dilaksanakan. Supervisor harus mereviu pekerjaan tim audit atas pekerjaan yang
telah dilaksanakan dan pekerjaan yang belum selesai atau yang masih harus dikerjakan, yang bisa saja
diluar dari program kerja.
8 Alokasi sumber daya untuk penugasan
Step terakhir dalam perencanaan penugasan, antara lain menentukan keahlian audit yang diperlukan,
estimasi waktu, menugaskan internal auditor, dan membuat skedul pekerjaan supaya dapat dikontrol
realisasi tepat waktu.

B Aktivitas Pelaksanaan Penugasan Assurance
Assurance Engagement Performance Activities. Tahapan pekerjaan lapangan kegiatan
assurance sebagai berikut:
1 Melakukan test untuk mengumpulkan bukti
Pertama, melakukan prosedur untuk mengumpulkan bukti, misalnya making inquiry, observing
operations, inspecting document, dan analyzing reasonableness of information. Kemudian
mendokumentasikan prosedur yang telah dikerjakan beserta hasilnya.
2 Evaluasi bukti audit yang dikumpulkan dan membuat kesimpulan
Evaluasi bukti misalnya untuk menentukan apakah kegiatan pengendalian telah didesain memadai dan
efektivitas operasi telah tercapai. Internal auditor harus membuat kesimpulan logis berdasarkan bukti.
3 Mengembangkan observations (atau findings/temuan) and merumuskan rekomendasi
Temuan yang baik memuat empat elemen : kriteria (what should be), kondisi (what is), akibat (effect),
dan sebab (reason the gap).
Rekomendasi berdasarkan temuan dan kesimpulan internal auditor, untuk menutup gap antara kriteria
dan kondisi, kontennya perbaikan atas masalah utama (root cause not sympton) berupa solusi yang jangka
panjang dan secara ekonomi dapat dikerjakan.

C Aktivitas Komunikasi Penugasan Assurance
Proses komunikasi hasil adalah komponen kritis dalam semua kegiatan internal audit,
komunikasi hasil internal audit harus accurate, objective, clear, concise, constructive, complete, and
timely (IIA Standard 2420 : Quality of Communications).
Tahapan kegiatan komunikasi kegiatan assurance sebagai berikut:
1 Melakukan proses evaluasi dan eskalasi (escalation process) atas temuan
Temuan harus di assess melalui proses evaluasi dan eskalasi, selanjutnya menentukan implikasi
temuan dalam komunikasi hasil pada area yang direviu.
2 Melakukan komunikasi interim dan awal penugasan
Komunikasi oleh internal audit terjadi selama proses penugasan dan tidak hanya terjadi di akhir.
Komunikasi di awal atas permasalahan yang muncul memperkenankan manajemen untuk menyelesaikan
masalah secepatnya sebelum penugasan selesai, yang akan mempengaruhi ruang lingkup dan progress.
Komunikasi memberikan manajemen kesempatan untuk melakukan klarifikasi dan menyampaikan
pemikiran dari sudut pandangnya atas kesimpulan dan rekomendasi tim audit. Komunikasi juga untuk
menghindari multi tafsir karena kata yang tertulis kadang berbeda dengan yang diucapkan.
3 Mengembangkan komunikasi penugasan akhir
Internal auditor telah siap untuk mengkonsolidasi dan mensintesis semua bukti yang dikumpulkan
selama penugasan. Pengembangan komunikasi akhir termasuk:
Membuat list dan prioritas pengendalian atas temuan dengan mempertimbangkan efektivitas
pengendalian auditee.
 Membuat kesimpulan jaminan negatif (negative assurance/limited assurance). Auditor internal
mengungkapkan keyakinan negatif ketika mereka menyimpulkan bahwa tidak ada yang menjadi
perhatian mereka yang menunjukkan bahwa kontrol auditee yang dirancang tidak memadai atau tidak
efektif beroperasi.
Membuat kesimpulan jaminan positif (positive assurance/reasonable assurance). Internal auditor
mengungkapkan keyakinan positif ketika mereka menyimpulkan dalam opininya bahwa pengendalian
auditee dirancang memadai dan beroperasi efektif.
4 Distribusi komunikasi akhir formal dan informal
Komunikasi penugasan final mengandung tanggapan auditee terhadap kesimpulan, pendapat, dan
rekomendasi tim audit internal. Temuan yang harus dimasukkan dalam formal, komunikasi penugasan akhir
adalah apa-apa yang harus dilaporkan untuk mendukung, atau mencegah kesalahpahaman, atas kesimpulan
tim audit internal dan rekomendasi. Temuan kurang signifikan dapat disampaikan secara informal.
Rekomendasi, yang didasarkan pada temuan dan kesimpulan, adalah tindakan yang diajukan untuk
memperbaiki kondisi yang ada atau meningkatkan operasi yang diusulkan.
5 Melakukan monitoring dan prosedur tindak lanjut (follow up).
IIA Standard 2500: Monioring Progress menyatakan bahwa "Kepala eksekutif Audit harus membangun
dan memelihara sistem untuk memonitor [huruf miring ditambahkan] disposisi hasil dikomunikasikan
kepada manajemen."
Standar 2500.A1 melanjutkan dengan mengatakan bahwa "Kepala eksekutif Audit harus menetapkan
proses tindak lanjut [huruf miring ditambahkan] untuk memantau dan memastikan bahwa tindakan
manajemen telah dilaksanakan secara efektif atau bahwa manajemen senior telah menerima risiko tidak
mengambil tindakan."
Audit internal charter harus mendefinisikan tanggung jawab fungsi audit internal untuk tindak lanjut, dan
CAE harus menentukan sifat, saat, dan lingkup prosedur tindak lanjut yang tepat untuk penugasan
tertentu.


III THE CONSULTING ENGAGEMENT PROCESS
Penugasan consulting internal audit berbeda dengan penugasan assurance, yaitu:
Jika sifat dan ruang lingkup penugasan assurance ditentukan berdasarkan fungsi dari internal audit, maka sifat
dan ruang lingkup penugasan consulting berdasarkan persetujuan dengan pengguna layanan (customer).
Penugasan consulting dalam sifatnya lebih bersifat discretionary (bebas dalam memilih jenis jasa) dibandingkan
penugasan assurance. Jasa consulting termasuk consul, advise, facilitation, and training.
Proses dan tahapan penugasan consultingsama dengan assurance, yang membedakan adalah tidak
semua tahapan assurance diperlukan, dan tahapan dalam consulting dilakukan secara berbeda
dikarenakan tergantung dari sifat penugasannya (consul, advise, facilitation, and training).
Tiga fase utama penugasan yang diatur dalam Standar (Internal Audit) sebagai berikut:
A Planning
IIA Standard 2200 Engagement Planning Internalauditors must develop and document a plan for each
(consulting) engagement, including the engagements objective, scope, timing, and resource allocation.
IIA Standard 2201.C1 Internal auditor must establish an understanding with consulting engagement
(customer) about objective, scope, respective, responsibilies, and other (customer) expectation.
IIA Standard 2220.C1 Internal auditor must ensure that the scope of engagement is sufficien to address
the agreed-upon objectives.
IIA Standard 2240.C1 Work program for consulting engagement may vary in form and content
depending upon the nature of the engagement.
B Performing
IIA Standard 2300 Performing The Engagement Internal auditor must identify, analyze,
evaluate, and document sufficient information to achieve the (consulting) engagements objective.
C Communicating
 IIA Standard 2400 Communicating Result Internal Auditor must communicate the result of
(consulting) engegement.
IIA Standard 2410 Criteria for Communicating Communications must include the engagements
objective and scope as well as applicable conclusion, recommendations, and action plans.
IIA Standard 2410.C1 Communication of the progress and result of consulting engagement will vary in
form and content depending upon the nature of the engagement and the needs of the (customer).
BAB 13
Conducting the Assurance Engagement

I MENENTUKAN TUJUAN DAN LINGKUP ENGAGEMENT
A Alasan Melakukan Engagement
Tipe engagement dan alasan-alasan melakukanya mungkin akan secara signifikan
mempengaruhi bagaimana engagement tersebut dilakukan. Oleh karena itu, penting untuk memahami
alasan-alasan melakukan engagement sebelum memulai perencanaan.
alasan melakukan assurance engagement adalah, tetapi tidak terbatas pada hal-hal sbb:
- Bagian dari rencana
Engagement terdapat dalam internal audit plan karena risiko inheren ditemukan saat prosessbusiness
riskassessment , dideteksinya risiko pada area yang diaudit terakhir kali, dan faktor lain yang relevan.
- Permintaan / compliance requirement
Untuk mengevaluasi sistem internal kontrol organisasi untuk tujuan pelaporan eksternal. Internal
auditor harus memastikan bahnwa engagement didesain untuk menguji area yang tercakup dalam underlying
regulations.
- Post mortem / pasca kejadian
Menentukan apakah suatu proses efektif atau tidak. Internal auditor harus menyesuaikan pengujian
dan evaluasi pada suatu event spesifik yang terjadi.
- Perubahan yang signifikan
Perubahan bisnis atau industri memerlukan modifikasi proses yang cepat dan manajemen
menginginkan validasi yang cepat bahwa modifikasi tersebut didesain secara tepat menyesuaiakn perubahan.
Fungsi Internal auditor dapat melakukan audit conrtrol-focused secara penuh atau fokus hanya pada kontrol
yang berubah.

B Menyusun Tujuan Engagement
Segera setelah suatu alasan engagement disepakati, tujuan engagement formal harus disusun :
- Biasanya diinyatakan dalam laporan final assurance engagement.
- Apabila dinyatakan dalam cara lain, harus jelas menyebutkan assurance apa yang disediakan dalam
engagement.
Sebagai contoh, tujuan dapat dimulai dengan susunan sbb :
- Evaluasi kecukupan desain
- Menentukan efektivitas operasi
- Assess compliance
- Menentukan efektivitas dan efisiensi dari..
- Assess pencapian dari
- Menentukan kinerja dari..

C Lingkup Engagement
Merupakan apa yang termasuk atau yang tidak termasuk dalam engagement). Segera setelah tujuan
engagement disusun, lingkup engagement harus ditentukan.
Pernyataan lingkup tersebut dapat mencakup :
- Batasan proses
 - In-scope VS out-scope lokasi
- Subproses
- Komponen
- Jangka waktu
Lingkup engagement :
- Memerlukan judgment profesional.
- IA harus menjamin bahwa pernytaan lingkup harus untuk memenuhi tujuan engagement.
- Pernyataan lingkup yang spesifik akan memungkinkan fokus tim audit internal yang lebih baik akan
pengujian tertentu.
- Penerima laporan akan mengenterpretasikan dengan lebih baik temuan yang ada [ada konteks tujuan
engagement.

D Outcomes dan Hasil yang Diharapkan
Begin with the end in mind
1 Outcome potensial dari pengujian-pengujian yang dilakukan selama engagement
Tipikal ekspektasi mencakup :
- Kesalahan laporan keuangan atau ketidaktepatan klasifikasi dalam akun keuangan, saldo, atau
pengungkapan.
- Defisiensi kontrol.
- Kekurangan pencapaian tujuan, yang disebabkan oleh defisiensi kontrol atau ketidakcukupan
kinerja.
- Inefisiensi, yang disebabkan sumber daya tidak dipergunakan dengan cara yang optimal.
- Keadaan out-of-compliance, ketika undang-undang, peraturan, atau kebijakan tidak diterapkan
secara konsisten.
2 Ekspektasi Auditee sesuai engagement communications
Memahami bentuk dan isi final communication membantu IA menjamin bahwa semua informasi yang
dibutuhkan telah dikumupulkan selama engagement.
Tipe umum communcation meliputi :
- Full scope. Tipikal Pelaporan Internal adalah ddisistribusikan secara luas, oleh karena itu
memerlukan cukup bukti yang tepat untuk mendukung kesimpulan dan rekomendasi untuk
peningkatan.
- Internal memoranda dapat digunakan untuk pendistribusian yang terbatas
- Laporan untuk keperluan pihak ke tiga harus diasumsikan bahwa pihak tersebut kurang familiar
dengan kebijakan dan prosedur yang khas untuk organisasi, dan oleh karena itu memerlukan
tingkat detail yang lebih untuk menjamin pembaca mengerti sifat dan konteks observasi dan
rekomendasi
- Terkadang, tingkat confidentiality yang lebih tinggi dibutuhkan untuk engagement tertentu. Hal
seperti itu harus didiskusikan terlebih dahulu dengan manajemen proses untuk menjamin bahwa
hasil akhir akan mendukung kebutuhan tingkat confidientality tersebut.


II MEMAHAMI AUDITEE
A Menentukan Tujuan-Tujuan dari Auditee
Memahami suatu proses dimulai dengan menentukan tujuan dari proses utama. Tujuan pada level
proses (prosses level) dapat dijelaskan sbb :
1 Tujuan operasi
- Tipe tujuan yang paling umum tujuan pada proses level.
- Bisanya menentukan latar belakang mengapa proses itu ada.
- Biasanya merupakan tata kelola atau task-oriented.
- Sebagai hasil, kebanyakan fokus pada keakuratan, ketepatan waktu, kelengkapan, ataau atribut kontrol.
- Tambahan, biasanya fokus pada menjamin efektifitas dan efisiensi operasi dan pengamanan aset.
 2 Tujuan pelaporan pada level proses
Didesain untuk memenuhi kebutuhan pelaporan organisasi, baik internal maupun eksternal.
3 Tujuan kepatuhan (Compliance objectives) pada level proses
Berhubungan dengan kepatuhan terhadap undang-undang dan peraturan eksternal, kebijakan internal,
atau kontrak.
4 Tujuan strategis pada level proses
Disusun secara khusus agar sesuai dengan tujuan strategis perusahaan.
5 Other objectives
Untuk proses spesifik yang berhubungan dengan inisiatif departemen masing-masing.
Pertanyaan-pertanyaan yang dapat digunakan untuk menentukan/mengetahui tujuan dari proses
utama (key process objectives) :
- Mengapa proses tersebut ada? (apa tujuan utamanya?)
- Tujuan strategis organisasi mana yang akan terpegaruh dan bagaimana?
- Inisatif apa yang dilakukan/harus dilakukan proses tersebut untuk membantu organisasi mencapai tujuan
strategisnya?
- What does this process provide the organization, without which the organization would have a difficult
time being successful?
- Pada akhir hari/minggu/bulan/tahun, apa yang mendorong karyawan untuk menyelesaikan dengan
pekerjaan mereka ?
- What accomplishment tendt to get employees recognized by management or internal customers?

B Mengumpulkan Informasi
1 Jenis dan sumber informasi yang relevan.
Titik awal untuk memahami suatu proses adalah mereview dokumentasi yang ada. Contoh :
- Kebijakan yang berhubungan dengan proses.
- Manual prosedur.
- Organizational charts atau informasi serupa yang menunjuka hubungan/aliran jumlah karyawan dan
pelaporan utama.
- Job description pihak yang terlibat dalam proses.
- Process map atau flowcharts yang menggambarkan aliran keseluruhan proses.
- Penjelasan naratif pekerjaan kunci/utama atau bagian dari suatu proses.
- Informasi yang relevan berhubungan dengan undang-undang dan peraturan yang mempengaruhi proses.
- Dokumen lain yang dibuat untuk mendukung pelaporan yang diperlukan untuk efektifitas dari sistem
pengendlian internal.
2 Prosedur Analitis
- Suatu cara IA menerapkan high-levelassessment yang dapat mengungkapkan aktivitas proses yang
menuntun perhatian yang lebih, dan oleh karena itu memerlukan pengujian yang lebih detail.
- Termasuk di dalamya me-review dan mengevaluasi informasi yang ada baik finansial maupun non
finansial untuk menentukan apakah konsisten dengan ekpektasi yang telah ditetapkan.
3 Data Analysis Using:
a Computer-assisted Audit Techniques (CAATs)
- Data analisis termasuk mengkompilasi dan menganalisis banyak data, biasanya melalui penggunaaan
teknologi.
- Disamping sebagian besar analisis data dilakukan untuk menguji efektifitas suatu proses, beberapa
pengujian data analisis dapat menyediakan informasi yang berguna selama proses perencanaan.
- Analisis data dapat menyediakan informasi tentang populasi transaksi yang dapat dimanfaatkan
ketika menentukan pendekatan internal audit.
b Analisis kontrol level entitas
Kontrol level entitas biasanya dievaluasi berdasarkan luasnya organisasi pada periodic interval (ex:
tahunan). Oleh karena itu, bisanya tidak diperlukan untuk melakukan assessment efektivitas dari kontrol
level entitas untuk setiap engagement. Akan tetapi auditor internal harus mempertimbangkan hasil
 assessment kontrol level entitas ketika merencanakan individual engagement untuk menjamin
pendekatan penguianya relevan dan efisien

C Mendokumentasikan Alur Proeses
Dokumentasi alur proses akan memudahkan review kertas kerja oleh supervisor internal auditor atau yang
lainya. Bentuk yang paling umum: Flowchart (High-level atau detail) dan narrative memoranda.
1 Process map Menggambarkan luasnya input, aktivitas, workflow, dan hubunganya dengan proses dan
output lain. Framework untuk memahami aktivitas dan subproses.
Proses map berguna pada level bisnis, seddangkan flowchart dan hybrid documentation pada detail
proses.
2 Flowchart mencakup tambahan informasi, biasanya menggambarkan sistem komputer dan aplikasi, alur
dokumen, detail risiko dan pengendalian, langkah manual atau otomatis, waktu yang dibutuhkan daalam
proses, pelaksana langkah kunci, dan informasi tambahan lain yang dibutuhkan untuk membantu pereviu
memahami proses dan alurnya.
High-level flowchart :
- Menggambarkan luasnya input, tugas, alur kerja, dan output.
- Membantu pereviu memahami keseluruhan proses, sistem, laporan, dan hubunganya dengan proses dan
subproses lain.
- Biasanya digambarkan seperti process map, dengan informasi yang ditambahkan.
Detailed Flowchart :
- Mendokumentasikan secara lebih spesifik input, tugas, actions, sistem, keputusan, dan output.
- Contoh, dapat memasukan semua atau beberapa informasi berikut :Key risk, key control,
indiviudal/position performing, timing, elapsed time.
3 Narrative memoranda Memberikan informasi tentang alur proses hanya menggunakan kata tulis. Biasanya
digabungkan dengan flowchart untuk membuat dokumentasi bentuk hybrid.
Situasi yang tepat untuk menggunakan narrative memoranda :
- Prosesnya simpel, gambaran visual tidak bernilai penting.
- Langkahnya rumit, sulit untuk mendeskripsikan secara efektif dalam ruang yang terbatas yang ada pada
simbol2 flowchart.
- Process owner request.
- Lebih efisien dalam mendokumentasikan proses.

D Mengidentifikasi Indikator Kinerja Kunci
KPI Metrik atau bentuk lain pengukuran apakah proses atau kerja individu dioperasikan dengan toleransi
yang telah ditentukan sebelumya.
Karakteristik KPI yang baik :
- Relevant
- Measurable
- Available
- Sesuai degan key objective process (ex: infromasi pembayaran ganda diketahu karena terdapat tujuan untuk
tidak terdapat pembayaran ganda).
- Articulated, dapat dilafakan/disampaikan kepada orang yang terlibat dalam proses

E Mengevaluasi Risiko Fraud pada Level Proses
Sebelum memulai proses risk assessment formal, penting untuk mengevaluasi potensi skenario fraud
dalam proses, yang meliputi 3 langkah :
1 Mengidentifikasi potensi skenario fraud. Ex: brainstorming.
2 Memahami potensi dampak fraud.
3 Menentukan apakah akan dilaukan pengujian untuk risiko fraud spesifik.
Tidak dimaksudakn untuk mengidentifikasi terjadinya fraud, tapi mengevaluasi kemungkinan
 terjadinya skenario fraud.

III IDENTIFY AND ASSESS RISKS
A Mengidentifikasi Skenario Risiko Pada Level Proses
Tujuan: menjawab pertanyaan What can happen that would prevent the achievement of each
process-level objective?
Langkahnya:
1 Memilih satu tujuan pada level proses. 4 Mengkategorikan dan mnegkombinasikan
2 Brainstorm hambatan-hambatan. skenario risiko yang ang serupa.
3 Continue the exercise for the remaining
process-level objectives.

B Menentukan Risiko Pada Level Proses
Pendekatan optimal dalam menentukan risiko tergantung pada budaya dan risk language
organisasi. Suatu pendekatan yang umum dan efektif untuk menentukan risiko adalah menggunakan
cause and effecttprotocol. Dengan pendekatan ini, risiko dimulai dengan cause dan dilanjutkan ke
efffect.
Setelah risiko ditentukan, risiko tersebut harus dihubungkan dengan tujuan pada level proses
untuk menjamin terdapat hubungan antara tiap risiko dan tujuan tersebut.
Tugas terakhir adalah memvalidasi definisi speak the leanguge pegawai pada level proses.
Internal auditor harus mensharing dan mendiskusikan definisi risiko dengan managemen pada level
proses dan pegawai untuk memvalidasi bahwa daftar risiko tersebut telah lengkap dan definisinya
sesuai.

C Evalusai Dampak dan Keterjadian Risiko
Ketika risiko telah diidentifikasi dan ditetapkan, auditor kemudian siap untuk melakukan risk
assessment. Tujuan melakukan evaluasi ini adalah untuk membantu mengidentifikasi risiko yang
mempunyai efek paling besar pada pencapaian tujuan.
Langkah yang dilakukan dalam melakukan risk assessment
1 Menetapkan impact dari berbagai outcome yang terkait dengan masing-masing risiko.
2 Memperkirakan keterjadian bahwa setiap dampak risiko akan terjadi.
3 Menggabungkan penilaian dari impactdan tingkat keterjadian menjadi penilaian risiko tunggal.

 Nomer 9 dan 8 menunjukkan risiko tinggi, nomor 5,6,7, menunjukkan risiko sedang, nomor 1,2,3,4
menunjukkan risiko rendah.

D Memahami Risk Tolerance Management
Risk tolerance Tingkatan atas ukuran dan jenis risiko yang dapat diterima manajemen dalam usaha
pencapaian tujuan, yang harus sejalan dengan risk apetite organisasi.
Langkah-langkah untuk memahami tingkatan risk tolerance suatu manajemen :
1 Identifikasi kemungkinan risiko hasil.
Risiko menggambarkan jarak atas kemungkinan hasil. Sedangkan hasil biasanya diukur secara
financial, mungkin ada juga risiko lainnya yang tidak terungkap dengan pengukuran keuangan.
2 Memahami tingkat toleransi yang ditetapkan.
Setiap tingkatan toleransi terlihat dari pengukuran pada dokumentasi KPI, capaian kinerja individu,
dan komunikasi lainnya.
3 Menilai level toleransi atas hasil yang belum ditetapkan.


IV IDENTIFIKASI KEY CONTROL
Key control sebuah aktifitas yang dirancang untuk mengurangi risiko terkait dengan tujuan bisnis
yang penting. Untuk melakukan hal ini, sangat penting untuk memahami berbagai macam tipe control yang
mungkin saja merupakan key control pada tingkatan proses yang dijalankan. Beberapa contoh control yang
telah dijalankan :
1 Approving memerlukan otorisasi saat melakukan transaksi.
2 Calculating menghitung atau melakukan penghitungan kembali atas hasil dari suatu data.
3 Documenting terkait dengan menjaga sumber informasi atau mendokumentasikan pertimbangan keputusan.
4 Examining melakukan verifikasi.
5 Matching melakukan perbandingan dari dua atribut yang berbeda.
6 Monitoring melakukan pemeriksaan untuk memastikan kegiatan yang dilaksanakan.
7 Restricting tidak mengijinkan melakukan tindakan terlarang.
8 Segregating memisahkan pelaksana pekerjaan untuk menghindari tindakan yang tidak diinginkan.
9 Supervising melakukan pengawasan untuk memastikan kegiatan dilaksanakan sesuai dengan rencana.
Hal-hal penting dalam menetapkan key control :
1 Internal auditor harus memiliki pemahama yang jelas mengenai proses pencapaian tujuan.
2 Konsekuensi dari kurangnya control harus dievaluasi.
3 Control tambahan harus dilakukan apabila ada indikasi kegiatan tidak dijalankan sesuai key control.
4 Efek dari suatu control terhadap control lainnya harus dipertimbangkan.
5 Dampak dari control entitas juga harus dipertimbangkan.
6 Control yang berlebihan,atau sesuatu yang tidak efektif harus diubah atau dihilangkan.

V EVALUASI KECUKUPAN DESAIN KONTROL
Menetapkan apakah key control dirancang dengan cukup untuk mengurangi risiko individual dari
sebuah proses menjadi risiko yang diterima. Gap yang teridentifikasi harus didiskusikan dengan
manajemen.
Evaluasi kecukupan rencana pengendalian :
1 Rencana dinyatakan cukup, tidak ada perbedaan yang signifikan.
2 Rencana dinyatakan cukup, terdapat perbedaan.
3 Rencana tidak cukup, terdapat perbedaan yang signifikan.

VI MEMBUAT RENCANA PENGUJIAN
Digunakan untuk mengumpulkan kecukupan bukti yang sesuai untuk mendukung evaluasi dari
 seberapa efektif key control dilaksanakan.
Langkah yang dilakukan:
1 Menetapkan control mana yang cukup penting untuk pengujian.
Fokus utama melakukan pengujian adalah mengetahui apakah key control dilaksanakan cukup efektif untuk
memastikan proses risiko setiap tingkatan diatur dengan cukup. Dalam pengujian tersebut ditetapkan control yang
dipilih untuk diuji
2 Mengembangkan pendekatan untuk menguji control-control tersebut.
Pendekatan pengujian digunakan untuk menetapkan sifat-beda sifat pengujian berbeda tingkat keyakinan yang
diberikan, luasan-control dapat diuji secara parsial atau keseluruhan, dan waktu yang tepat untuk melakukan
pengujian-pengujian dapatdilakukan pada waktu yang berbeda.
3 Dokumentasi pertimbangan mendukung pemilihan audit tes.
Salah satu contoh rencana pengujian

VII MENGEMBANGKAN WORK PROGRAM
Work program sebuah dokumen yang berisi rincian prosedur yang arus diikuti selama
pemeriksaan, didesain untuk mencapai tujuan pemeriksaan.
Work program ini dapat memiliki bentuk yang berbeda, antara lain :
1 Standar template atau checklist yang menuntun internal auditor mempersiapkan untuk mendokumentasikan
pelaksanaan langkah yang sesuai rencana.
2 Sebuah memorandum yang berisi ringkasan penyelesaian tugas.
3 Kolom tambahan pada matriks risiko dan control bila auditor ingin semua hal yang ditemukan dalam dokumen
akan disajikan.
4 Kombinasi dari ketiganya.
Format tersebut akan bervariasi dari fungsi internal audit yang satu dengan fungsi internal audit
lainnya. Hal ini berarti ada beberapa cara untuk :
 1 Memastikan seluruh tim pemeriksa memahami apa yang telah dilakukan dan apa yang masih harus dilakukan.
2 Melakukan komunikasi mengenai siaoa yang bertanggungjawab melaksanakan setiap tugas pemeriksaan.
3 Mendapatkan catatan dari tugas yang telah diselesaikan.
4 Memfasilitasi reviu oleh manajer pemeriksaan atau direktur yang melakukan pengawasan datau direktur selama
proses rencana pemeriksaan.

VIII MENGALOKASIKAN SUMBER DAYA UNTUK MELAKSANAKAN PEMERIKSAAN
Sumber daya pemeriksaan antara lain : auditor internal, orang lain (internal/eksternal), alat
transportasi, teknologi, dan lain lain.
Langkah terakhir dalam merencanakan pemeriksaan adalah menetapkan sumber daya yang
dibutuhkan dengan benar untuk melaksanakan tugas yang direncanakan. Langkah tersebut adalah :
1 Mengestimasi, atau menganggarkan sumber daya yang dibutuhkan.
2 Mengalokasikan sumber daya manusia yang tepat untuk melaksanakan pemeriksaan.
3 Menjadwalkan sumber daya untuk memastikan penugasan selesai tepat pada waktunya.

IX MELAKUKAN TES UNTUK MENGUMPULKAN BUKTI
Pada bagian ini adalah transisi dari tahap perencanaa kepada tahap pelaksanaan.
Langkah yang dilakukan auditor : menerapkan prosedur audit khusus untuk mendapatkan bukti; dan
mendokumentasikan prosedur yang dilaksanakan dan hasilnya dari pelaksanaan prosedur tersebut

X MENGEVALUASI BUKTI YANG DIDAPAT DAN MEMBUAT KESIMPULAN
Pertanyaan yang harus dijawab dalam evaluasi :
- Apakah key control telah didesain secara memadai?
- Apakah key control dijalankan dengan efektif sesuai dengan desain?
- Apakah risiko yang melekat telah dimitigasi pada tingkatan yang diterima?
- Apakag desain dan pelaksanaan key control mendukung pencapaian tujuan pelaksaan tugas?

XI MENGEMBANGKAN OBSERVASI DAN MENYUSUN REKOMENDASI
Elemen kunci dari observasi :
1 Kriteria Apa yang seharusnya ada?
 2 Kondisi Apa yang terjadi?
3 Sebab Kenapa terdapat perbedaan antara yang terjadi dengan yang seharusnya?
4 Akibat Konsekuensi dari perbedaan antara yang seharusnya terjadi denfan kenyataan.

BAB 14
COMMUNICATING ASSURANCE ENGAGEMENT OUTCOMES & PERFORMING
FOLLOW-UP PROCEDURES


I COMMUNICATION
1 Mengapa mengkomunikasikan assurance engagement outcomes itu penting?
2 Mengidentifikasikan perbedaan bentuk-bentuk dari assurance engagement communication.
3 Mengidentifikasikan langkan-langkah yang dilakukan untuk membuat suatu assurance engagement
communication yang efektif.
4 Memahami proses distribusi untuk secara efektif mengkomunikasikan hasil assurance engagement.
5 Memahamiapa yang dibutuhkan untukmelakukan monitoringyang efektifdan tindak lanjutpada hasil assurance
engagement.
6 Internal Audit (IA) independent = objective assurance + consulting add value + improve org. operation.
7 IA membantu organisasi untuk mencapai tujuan-tujuannya dengan melakukan suatu pendekatan yang sistematis
dan berdisiplin untuk mengevaluasi dan meningkatkan efektivitas dari risk management, control, dan governance
process.
8 Tipe engagement: Assurance dan consulting services.
9 Apa itu assurance services?
Assurance suatu pemeriksaan yang objektif dari bukti-bukti dengan tujuan untuk menyediakan suatu
penilaian yang independen pada proses governance, risk management, dan control untuk organisasi. Misalnya:
assurance pada kinerja keuangan, ketaatan pada aturan, sistem keamanan, atau uji kelayakan suatu engagement.
10 Assurance services objective bukti2 penilaian independen gov, RM, control organisasi.
11 Fase-fase yang fundamental dalam proses assurance engagement.
12 Plan perform communicate

II MENGAPA DIKOMUNIKASIKAN?
A Standard 2060 Pelaporan kepada Senior Management (SM) dan Board
CAE puya kewajiban untuk melapor secara periodik kepada SM dan board mengenai tujuan, otoritas,
tanggung jawab, dan kinerja aktivitas internal audit jika dibandingkan dengan perencanaannya.

B Pelaporan di atas harus juga termasuk memaparkan risiko-risiko yang signifikan dan permasalahan-permasalahan
dalam control, termasuk risiko fraud, permasalahan pada governance, dan hal-hal penting lain yang dibutuhkan
atau memang diminta oleh SM dan Board.

C Hasil dari assurance engagement lapor SM dan audit committee.

D Kewajiban Engagement Communication:
1 Audit Report
a Hasil akhir dari suatu engagement process yang akan dikomunikasikan pada pihak-pihak terkait.
b Cara formal sebuah fungsi internal audit mengkomunikasikan hasil dari engagement-nya kepada
manajemen dan pihak lain yang tepat (appropriate) yang mengandalkan hasil dari engagement tersebut.
2 Individual assurance engagements didesain untuk memenuhi tujuan audit yang spesifik yang terikat
dengan annual risk assessment dan internal audit plan.
a Uji control untuk memastikan bahwa annual risk assessment dan internal audit plan telah didesain
dengan memadai dan dioperasikan dengan efektif.
b Contoh control assertions
 Criteria for Assessing Managements Control Assertions
Authoriz Apa pihak yang disetujui mengotorisasi transaksi?
ation
Validity Apa transaksi benar2 terjadi?
Accuracy Apa jumlah barang, harga, waktu, dll sudah benar?
Timeline Apa semua sudah dicatat di periode yang wajar dan tepat?
ss
Confiden Apa informasi dirahasiakan?
tiality
Integrity Apa informasi masih asli, tidak diubah dan tidak dikorupsi?
Availabili Apa informasi sudah disimpan dan siap tersedia jika sewaktu-waktu dibutuhkan?
ty

III LANGKAH-LANGKAH UNTUK MEMBUAT ASSURANCE ENGAGEMENT YANG EFEKTIF
A Perencanaan
1 Tentukan tujuan & ruang lingkup 4 Identifikasi key control activity.
engagement. 5 Evaluasi kecukupan control design.
2 Pahami auditee (tujuan2 & pernyataan2 6 Buat uji perencanaan.
assertions auditee) 7 Kembangkan program kerja.
3 Identifikasi & nilai risiko. 8 Alokasikan sumberdaya pada engagement.

B Pelaksanaan
1 Lakukan tes untuk mengumpulkan bukti.
2 Evaluasi bukti yang terkumpul & peroleh simpulan.
3 Kembangkan observasi & rumuskan rekomendasi.

C Komunikasi
1 Lakukan evaluasi observasi & proses eskalasi.
2 Lakukan interim &preliminary engagement communication.
3 Kembangkan final engagement communication.
4 Distribusikan formal & informal final communications.
5 Lakukan prosedur monitoring & tindak lanjut.

D Aktivitas Assurance Engagement Communication
1 Segera setelah satu atau lebih observasi2 diidentifikasi, internal audit harus menilai setiap observasi tsb
menggunakan sebuah proses evaluasi dan eskalasi dan menentukan implikasi dari pengamatan2 (observasi)
tersebut pada komunikasi yang dihasilkan untuk daerah yang sedang dikaji/direviu.
2 Observasi.
3 Sebuah temuan, ketetapan, atau judgement yang dihasilkan dari hasil pengujian yang dilakukan oleh internal
auditor dari sebuah assurance atau consulting engagement.


Material observation

Significant observation

Insignificant observation

E Observation Evaluation Map

1 Insignificant
Mengidentifikasikan bahwa sebuah kontrol jauh dari likelihood/kemungkinan untuk gagal dan impact
kegagalannya sepele.
Falure + impact = Remote + trivial
2 Significant
Mengidentifikasikan bahwa sebuah kontrol cukup dekat (more than remote) dari
likelihood/kemungkinan untuk gagal dan impact kegagalannya juga cukup berpengaruh pada organisasi
(more than trivial).
Falure + impact = More than remote + more than trivial
3 Material
Mengidentifikasikan bahwa sebuah kontrol cukup dekat (more than remote) dari
likelihood/kemungkinan untuk gagal dan impact kegagalannya melebihi ambang pintu materialitas.
Falure + impact = more than remote + melebihi ambang pintu materialitas



F Pendokumentasian
Elemen yang diobservasi :
a Kriteria what should exist? c Cause kenapa ada perbedaan antara poin a
b Conditionwhat does exist? & b?
d Effects konsekuensi dari poin c apa?

G Komunikasi
IA communication dilakukan selama engagement berlangsung. Komunikasi yang tepat waktu membuat
permasalahan/hambatan/penyimpangan/dll bisa ditemukan dan diselesaikan lebih cepat.
Tim IA harus memberikan kesempatan pada manajemen untuk menjelaskan
permasalahan/hambatan/penyimpangan/dll. yang terjadi dan curhat serta mengkomunikasikan apa yang ada di
pikiran mereka mengenai simpulan dan rekomendasi tim audit.
Final assurance engagement communications memastikan fungsi internal audit memenuhi kewajibab sbb:
1 Komunikasi tepat waktu
2 Dokumentasikan ruang lingkup, simpulan, observasi, rekomendasi, dan hasil dari management action plans
of an engagement.
3 Simpan permanent record dari pekerjaan yang telah IA lakukan.

IV OBSERVASI DAN REKOMENDASI BERDASARKAN PADA ATRIBU-ATRIBUT BERIKUT INI:
A Criteria (Kriteria)
Berisi tentang what should exist (apa yang seharusnya) yakni terdiri atas standar-standar, ukuran atau
ekpektasi yang digunakan dalam melaksanakan evaluasi/verifikasi (the correct state).
B Condition (Kondisi)
Berisi tentang what does exist (seperti apa yang sedang terjadi) yakni merupakan fakta-fakta aktual yang
ditemukan oleh auditor internal dalam melaksanakan pemeriksaan (the current state).
C Cause (Sebab)
Berisi tentang alasan adanya perbedaan antara what should exist dengan what does exist. Maksudnya adalah
penyebab/alasan yang mendasari adanya perbedaan antara kondisi yang ideal/diharapkan dengan kondisi yang
sedang terjadi.
D Effect (Pengaruh)
Merupakan konsekuensi yang timbul atas perbedaan antara what should exist dengan what does exist. Jadi
merupakan risiko yang dijumpai organisasi maupun pihak lain yang disebabkan karena kondisi yang terjadi tidak
konsisten dengan kriteria yang ditetapkan. Dalam menentukan tingkat risiko ini, auditor internal menyadari akan
dampak dari engagement observation dan rekomendasi yang diberikan kepada operasional organisasi dan laporan
keuangan.
E Recommendation (Rekomendasi)
Berisikan usulan tindakan korektif untuk memperbaiki kondisi yang ada. Dalam detailed recommendation ini
dijelaskan rangkaian aksi dan tindakan manajemen yang harus disadari dalam memperbaiki kondisi yang ada dan
mengeliminasi dampak negatif yang ada.

V PELAKSANAAN INTERIM DAN PRELIMINARY ENGAGEMENT COMMUNICATIONS
Fungsi Internal Audit akan menggunakan informasi yang dikumpulkan selama proses komunikasi
interim untuk memfinalisasi pengamatan/observasi dan pada akhirnya akan menuju ke komunikasi final
serta untuk memformalkan action plan dari manajemen ke dalam simpulan komunikasi final.
Fungsi Internal Audit juga harus memberikan penegasan pada preliminary fact dan
konklusi/simpulan dengan perwakilan manajemen yang tepat pada area yang telah dicakup dalam
engagement sebelum didistribusikan ke dalam bentuk finalnya. Hal ini dapat dilakukan dengan berbagai
cara, tetapi secara umum dilakukan melalui formal meeting dengan manajemen yang selanjutnya disebut
dengan exit interview atau closing conference, diikuti dengan penyusunan draft final communication seperti
apapun bentuknya.

VI FINAL COMMUNICATION
Merupakan sarana dengan mana fungsi internal audit menginformasikan interested parties atau hasil
engagements.
 Assurance Engagement Consulting Engagement
Melibatkan 3 pihak: Melibatkan 2 pihak:
1 Orang/kelompok yang terlibat langsung dengan 1 Orang/kelompok yang mencari dan menerima
proses, sistem, atau subjek penting lain (auditee) advice (customer)
2 Orang/kelompok yang membuat independent 2 Orang/kelompok yang menawarkan jasa
assessment (fungsi Internal Audit) advice/saran (fungsi Internal Audit)
3 Orang/kelompok yang bergantung pada independent
assessment (user)
A Final assurance engagement communication memastikan fungsi Internal Audit memenuhi kewajiban
berikut ini:
1 Berkomunikasi tepat pada waktunya berkaitan dengan informasi kepada manajemen mengenai defisiensi
dalam pengendalian (lack of design adequacy atau efektifitas operasi), kekuatan dalam pengendalian,
kesempatan untuk maximize penggunaan sumber daya atau mengurangi costs dan area dalam peningkatan
produktivitas atau efisiensi.
2 Mendokumentasikan ruang lingkup, kesimpulan, observasi, rekomendasi, dan menghasilkan action plan
manajemen ke dalam sebuah engagement.
3 Menyimpan permanent record dari pekerjaan yang dilakukan selama engagement dan hasil dari engagement
yang disusun.
B Well-designed final communication harus meliputi:
1 Purpose and scope of engagement
Merupakan tujuan dan ruang lingkup dari engagement (apa saja yang dimasukkan dan tidak
dimasukkan ke dalam sebuah engagement).
2 Time frame covered by the engagement
Periode operasi yang dilingkupi dalam engagement scope
1 Observasi sesuai kebutuhan evaluasi dan eskalasi proses
2 Engagement conclusion dan rating (jika aplikabel)
Conclusion merupakan internal audit function dalam kecukupan desain dan pengoperasian efektivitas subjek
pengendalian dalam audit.
Rating system ada 2 yaitu positive assurance (rating atau konklusi dari internal auditor yang menghasilkan
spesifik assurance tentang engagement) dan negatice assurance (nothing negative has come to the internal
auditors attention).
3 Managements action plan to appropriately address reported observations (jika aplikabel)
4 Jenis laporan dari tim audit:
1 Laporan dengan kritikan yang tinggi, banyak tindakan remedial & signifikan yang direkomendasikan oleh
tim.
2 Laporan yang menyebutkan defisiensi yang perlu dikoreksi, tetapi perubahannya tidak terlalu signifikan.
3 Laporan yang secara efektif yang mengidentifikasikan beberapa kesempatan untuk upaya improvement.

VII FORMAL AND INFORMAL FINAL COMMUNICATION
Penerima formal assurance engagement communication adalah senior management, komite audit,
auditor eksternal independen, dan/atau auditee management. Formal communications ini
mengindikasikan bahwa pengendalian yang dievaluasi selama assurance engagement di-assess to be
insignificantly compromised tapi key controls affected, significantly compromised, dan materially
compromised.
Informal communications merupakan komunikasi mengenai insignificant observations
berhubungan dengan secondary control yang mungkin dikompromisasikan.

A Kualitas Komunikasi
Kualitas komunikasi (Quality of Communications) harus:
1 Accurate (bebas dari error dan distorsi).
2 Objective (fair, imparsial dan tidak bias).
 3 Clear (mudah dimengerti dan logis).
4 Concise (to the point dan menghindari perluasan yang tak perlu).
5 Constructive (membantu engagement client dan organisasi menuju improvement).
6 Complete (include all significant & relevant information dan observasi untuk mendukung rekomendasi &
simpulan).
7 Timely (layak dan bijak dalam penggunaan waktu bergantung pada signifikansi permasalahan).

B Errors and Omissions
Jika final communications mengandung error atau omission, chief audit executive harus
mengkomunikasikan informasi yang telah dikoreksi kepada seluruh pihak terkait yang menerima
informasi tersebut. Error merupakan pernyataan salah yang tidak disengaja (unintentionally
misstatement) atau kelalaian atas informasi signifikan dalam final engagement communication.

VIII MONITORING AND FOLLOW-UP
Monitoring dan follow-up procedur didesain untuk memastikan observasi telah ditujukan dan
diputuskan dalam cara yang konsisten dengan respon manajemen yang telah dimuat dalam final engagement
communication. Proses Follow-up dibangun untuk memonitor dan memastikan bahwa aksi manajemen telah
secara efektif diimplementasikan atau senior manajemen telah menerima risiko untuk tidak melakukan aksi.
Timing dalam follow-up tergantung pada pentingnya observasi (Insignificant, significant, atau material)
yang ditentukan selama evaluasi dan eskalasi observasi.

Ch.15 Consulting Engagement (Part.1)

Consulting Engagement mempunyai potensi besar dalam memberikan nilai tambah dalam sistem
pengendalian internal organisasi. Juga dapat memberi pandangan ke depan daripada hanya menilai
sesuatu yang sudah lewat. Kebijakan, prosedur, dan proses yang baru harus terus dikembangkan
untuk pengendalian organisasi dengan tetap mempertimbangkan efisiensi.
Internal auditor dengan kapasitas konsultan mengetahui nilai dari organisasi dan memberikan
pandangan pada tahap awal proyek/kegiatan. contohnya sikap due diligence dari internal auditor
yang memberikan pandangan yang sangat berharga pada saat akuisisi perusahaan. Fungsi internal
audit dapat melihat organisasi secara mendalam dan dapat memberikan pandangan pada seluruh
sistem pengendalian internal organisasi.
Pada beberapa organisasi, fungsi internal audit merupakan bagian dari proses internal
whistleblower. Ini merupakan peluang dalam menyediakan jasa konsultasi. Contohnya, ada telpon
yang menyatakan bahwa ada fraud terjadi pada bagian utang, kemudian internal audit dapat
mengerahkan sumber daya untuk melakukan investigasi. Di beberapa organisasi bagian utang
dianggap bagian yang berisiko rendah, jadi setelah investigasi selesai internal audit dapat merubah
peringkat risiko dari bagian utang.
David Richard, mantan Presiden The IIA, telah lama sebagai pengacara dari jasa konsultasi internal
audit. Saat beliau sebagai CAE di First Energy, beliau berkata:
Bagi beberapa internal auditor konsep dari konsultasi dan audit merupakan hal yang bertentangan
karena mereka melihat bahwa konsultasi membuat auditor terlalu dekat dengan customer dan
berpotensi untuk berkompromi dengan keindepenannya sebagai auditor. Sebenarnya konsultasi
merupakan bagian dari internal auditor saat tahun... Definisi internal audit memiliki fokus yaitu jasa
assurance dan consulting. Jadi sudah jelas bahwa internal auditor dapat menambah nilai organisasi
dari jasa konsultasi dengan menyediakan metodologi, fasilitasi, fokus, pengetahuan, teknologi, best
practice, dan independensi yang dapat membantu memecahkan masalah customer.
 Intenal Audit adalah katalis dalam meningkatkan
efektivitas dan efisiensi organisasi dengan
menyediakan insight dan rekomendasi berdasarkan
analisis dan assesment data dan proses bisnis.


Perbedaan Definisi Jasa Konsultasi dan Assurance:
Jasa Konsultasi : memberikan nasihat dengan hal-hal yang
berhubungan dengan aktivitas klien, lingkupnya berdasarkanpersetujuan dengan klien, untuk menambah nilai dan
meningkatkan tata kelola organisasi, manajemen risiko, dan proses pengendalian tanpa mengambil alih
tanggungjawab manajemen. Contohnya adalah konseling, pemberian nasihat, fasilitasi, training.
Jasa Assurance : Penilaian objektif dari bukti bukti yang ada dengan tujuan menyediakan penilaian independen atas
tata kelola, manajemen risiko, dan proses pengendalian. Contohnya finansial, kinerja, kepatuhan, sistem keamanan,
dan kontrak due diligence

Perbedaan Kontrak pada Jasa Konsultasi dan Assurance:
Jasa Konsultasi melibatkan hanya dua pihak, yaitu orang yang mencari dan menerima saran/nasihat (customer)
dengan orang yang memberikan saran/nasihat (auditor)
Jasa Assurance melibatkan tiga pihak, yaitu orang yang terlibat dalam proses, sistem, dll (auditan), orang yang
memberikan penilaian yang independen (auditor), dan orang/kelompok orang yang mengandalkan/menggunakan
hasil dari penilaian independen tersebut (pengguna)
Dalam penomoran pada standar, assurance engagement dapat diidentifikasi dengan huruf A
setelah nomor (contoh : Standard 1130.A1) dan konsultasi dengan huruf C (contoh: Standar
1130.C1)
Dari segi tujuan assurance engagement bertujuan untuk menyediakan penilaian independen,
consulting engagement bertujuan memberikan saran, pendidikan, jasa fasilitasi dan memberiakn
pandangan dalam melihat peluang.
Dari segi pelaporan, assurance engagement formatnya relatif standar dan terstruktur sedangkan
consulting engagement lebih bervariasi (bisa formal dan informal).
Jenis Jasa Konsultasi:
Advisory
Kebanyakan jasa konsultasi adalah untuk memberikan saran. Saat organisasi ingin melakukan perubahan,
seperti pengurangan staf atau perubahan proses bisnis, biasanya fungsi internal audit dipanggil untuk memberikan
pandangan. contoh advisory:
- Saran tentang rancangan pengendalian
- Saran dalam pengembangan kebijakan dan prosedur
- Berartisipasi dan memberikan saran dalam proyek yang berisiko tinggi
Educational
Internal audit memiliki pengetahuan yang spesifik tentang area2 yang penting di organisasi. Karena jasa
assurance, internal auditor memiliki pemahaman yang spesifik mengenai peraturan, risk assesment, mitigasi risiko,
desain pengendalian, best practice, dll.
Contoh educational:
- Training manajemen risikod dan pengendalian internal
- Benchmarking
- Analisis postmortem (mempelajari proyek/kegiatan yang sudah selesai)
Facilitative
Fasilitasi mengharuskan fungsi internal audit lebih terlibat dalam aktivitas organisasi darpada sekedar
memberikan pengetahuan. contohnya adalah memfasiilitasi control self assesment (CSA). Contoh fasilitasi:
- Fasilitasi proses risk assement
- Fasilitasi CSA dari manajemen
- dll
Blended Engagement
Merupakan kontrak campuran antara consulting dan assurance. Internal auditor harus lebih hati-hati
karena ada kemungkinan lebih berkompromi dengan independensi. Namun meskipun kontraknya satu,
hasil atau outcomenya terpisah karena tujuan dan lingkupnya beda.
Contoh blended engagement:

Fungsi internal audit memiliki sumber daya yang terbatas, jadi tidak semua permintaan jasa
konsultasi dapat terlayani, dipilih berdasarkan besarnya risiko atau peluang.
Jenis-jenis permintaan jasa konsultasi yang potensial:
1. Kontrak yang diajukan saat proses penilaian risiko dan apabila teridentifikasi merupakan prioritas
maka akan dimasukkan dalam rencana audit tahunan
2. Kontrak yang spesifik dari manajemen (contoh: investigasi fraud, proyek, komite ad hoc, reviu
prosedur baru)
3. Kondisi baru atau ada perubahan yang memerlukan perhatian internal audit>> merupakan peluang
bagi internal audit untuk menambah nilai dengan memberikan pandangan pada organisasi tentang area
yang akan mengalami perubahan secara signifikan

Proses Consulting Engagement

Kontrak konsultasi berbeda dari segi sifat dan lingkupnya, prosesnya pun bervariasi dari setiap
kontrak.