Audit Internal
Disusun oleh :
Kelompok 8
Kelas A
FAKULTAS EKONOMI
UNIVERSITAS WIDYATAMA
BANDUNG
2017
MENENTUKAN TUJUAN KETERLIBATAN DAN SCOPE
Ada berbagai jenis keterlibatan jaminan dan mungkin ada alasan yang berbeda untuk
melakukan salah satu dari mereka.Jenis keterlibatan dan alasan untuk melakukan hal itu secara
signifikan dapat mempengaruhi bagaimana pertunangan dilakukan.Oleh karena itu, penting
untuk memahami alasan untuk melakukan pertunangan sebelum memulai perencanaan.
Ada sejumlah alasan untuk melakukan keterlibatan jaminan, termasuk, namun tidak terbatas
pada:
Keterlibatan ini diidentifikasi dalam rencana audit internal tahunan karena risiko yang
melekat diidentifikasi selama proses penilaian risiko bisnis, risiko terdeteksi terakhir kali
daerah itu diaudit, dan faktor-faktor lain yang relevan. Untuk keterlibatan tersebut,
auditor internal harus memahami apa risiko bisnis yang mendasari menyebabkan
keterlibatan untuk dimasukkan dalam rencana, dan kemudian merancang rencana
pertunangan untuk memberikan jaminan yang tepat mengenai kecukupan desain dan
efektivitas operasi pengendalian yang diterapkan untuk mengurangi risiko tersebut.
Keterlibatan adalah bagian dari kebutuhan tahunan untuk mengevaluasi sistem organisasi
pengendalian intern untuk tujuan pelaporan eksternal, seperti AS Sarbanes-Oxley Act of
2002 Pasal 404 persyaratan di Amerika Serikat dan hukum pelaporan keuangan serupa di
negara lain. Untuk keterlibatan tersebut, auditor internal harus memastikan bahwa
keterlibatan ini dirancang untuk menguji area yang tercakup dalam peraturan yang
mendasari (misalnya, memberikan jaminan mengenai kecukupan desain dan efektivitas
operasi pengendalian internal atas pelaporan keuangan).
Sebuah acara baru-baru ini (misalnya, bencana alam, penipuan, atau kebangkrutan
pelanggan) telah menguji proses di bawah kondisi yang tidak biasa dan manajemen
menginginkan "post mortem" untuk menentukan di mana proses itu efektif dan mana
tidak. Untuk keterlibatan tersebut, auditor internal harus menyesuaikan pengujian dan
evaluasi di sekitar peristiwa tertentu yang terjadi.
Perubahan dalam bisnis atau industri membutuhkan modifikasi langsung ke proses dan
manajemen menginginkan validasi cepat yang modifikasi ini tampaknya dirancang tepat
untuk mengatasi perubahan. Untuk keterlibatan ini, auditor internal dapat melakukan
audit kontrol yang berfokus penuh atau mereka mungkin lingkup untuk fokus hanya pada
kontrol yang berubah.
Mungkin ada faktor lain, selain yang tercantum di atas, yang membuatnya penting bagi
tim audit internal untuk menyadari alasan atau driver yang menyebabkan keterlibatan yang akan
dilakukan. Misalnya, alih-alih mencari kepastian mengenai pernyataan yang berbeda dibahas di
atas, manajemen mungkin menginginkan pertunangan dilakukan untuk menilai bagaimana proses
kinerja relatif terhadap harapan. Jenis keterlibatan mungkin memerlukan tes yang berbeda untuk
memberikan penilaian itu. Terlepas dari alasan untuk melakukan pertunangan, memahami alasan
seperti ini akan membantu memastikan bahwa tujuan keseluruhan, ruang lingkup, dan fokus dari
alamat keterlibatan mereka driver dan waktu tidak dikhususkan untuk yang lain, driver kurang
penting.
Setelah alasan untuk keterlibatan jaminan dipahami, tujuan keterlibatan formal harus
ditetapkan. Tujuan-tujuan ini, yang biasanya dinyatakan dalam jaminan komunikasi keterlibatan
akhir, mengartikulasikan khusus apa keterlibatan sedang mencoba untuk menyelesaikan.
Sementara tujuan dapat dinyatakan dalam berbagai cara, harus jelas apa jaminan pertunangan
akan menyediakan. Misalnya, tujuan bisa mulai dengan kalimat berikut (kata kerja yang berbeda
dapat digantikan untuk yang digunakan dalam contoh ini):
Lingkup Keterlibatan
Setelah tujuan keterlibatan telah ditetapkan, ruang lingkup keterlibatan harus ditentukan.
Sejak keterlibatan mungkin tidak mencakup segala sesuatu yang dapat diaudit berkaitan dengan
tujuan keterlibatan, pernyataan ruang lingkup khusus harus menyatakan apa atau tidak termasuk
dalam keterlibatan. Pernyataan lingkup tersebut dapat mencakup:
Batas dari proses. Sementara beberapa proses kecil dan mandiri, banyak yang sangat
luas dan tumpang tindih dengan proses lainnya. Oleh karena itu, penting untuk
mendefinisikan apa titik dalam proses keterlibatan akan dimulai dan dimana akan
berakhir.
Dalam-lingkup dibandingkan out-of-lokasi. Untuk proses yang mencakup beberapa
lokasi, hanya beberapa lokasi tersebut dapat dimasukkan dalam keterlibatan.
Subproses. Sebagian diskrit dan dikenali atau komponen dari sebuah proses.
Komponen. Bagian-bagian tertentu, atau komponen, dari sebuah proses dapat diabaikan.
Kerangka waktu. Keterlibatan dapat mencakup satu tahun kalender, 12 bulan sebelumnya, atau
beberapa kerangka waktu lainnya.
Sebelum pindah ke langkah berikutnya dalam proses perencanaan, pada tugas akhir harus
dilakukan. Masing-masing dijelaskan lebih lengkap sebagai berikut:
Potensi hasil tes yang akan dilakukan selama keterlibatan. Mampu mengantisipasi
berbagai jenis pengujian pengecualian yang dapat diidentifikasi dalam keterlibatan yang
diberikan membantu rencana uji internal auditor untuk memberikan jaminan reaasonable
bahwa perbedaan tersebut terdeteksi. Pengecualian khas meliputi:
Kesalahan statment keuangan atau misclassifications dalam rekening keuangan, saldo,
atau pengungkapan.
Kontrol kekurangan menunjukkan kontrol tertentu yang tidak mencapai efek yang
diinginkan, yaitu, mengurangi risiko sesuai dengan tingkat yang diinginkan.
Kekurangan dalam pencapaian tujuan, karena kekurangan kontrol atau kinerja yang tidak
memadai.
Inefisiensi karena sumber daya tidak digunakan secara optimal.
Situasi out-of-kepatuhan saat hukum, peraturan, atau kebijakan tidak dipenuhi secara
konsisten.
Anak perusahaan, unit bisnis, departemen, kelompok, atau bagian ketatanegaraan didirikan lain
dari suatu organisasi yang merupakan subjek dari keterlibatan jaminan. Jenis-jenis komunikasi
meliputi:
Lingkup penuh, laporan internal biasanya memiliki distribusi yang luas dan, dengan
demikian, memerlukan bukti yang tepat cukup untuk mendukung kesimpulan dan
rekomendasi untuk perbaikan.
Internal memeronda dapat digunakan untuk distribusi lebih terbatas, yang menyatakan
pekerjaan yang dilakukan dan dukungan untuk kesimpulan dan rekomendasi hanya
tertalu sejauh necessay untuk audiens yang dituju untuk memahami kekurangan yang
mendasari.
Laporan untuk penggunaan pihak ketiga harus mengasumsikan pihak tersebut kurang
akrab dengan kebijakan dan prosedur yang unik bagi organisasi dan, oleh karena itu,
mungkin memerlukan tingkat yang lebih detail untuk memastikan pembaca memahami
sifat dan konteks pengamatan dan rekomendasi.
Kadang-kadang, tingkat yang lebih tinggi kerahasiaan mungkin diperlukan untuk
keterlibatan tertentu. contoh tersebut harus dibicarakan di depan dengan manajemen
proses untuk memastikan kiriman mendukung tingkat yang diperlukan confidientiality.
MEMAHAMI AUDIT
Ketika merencanakan keterlibatan, tim audit internal harus terlebih dahulu memahami auditee.
Memahami proses dimulai dengan menentukan tujuan proses kunci. Ini membantu auditor
internal mengerti mengapa proses itu ada, yang akan menjadi penting ketika mengidentifikasi
dan menilai risiko tingkat proses dan kontrol.
Tujuan operasi adalah jenis yang paling umum dari tujuan pada tingkat proses dan
biasanya menentukan alasan proses ada. Tujuan ini biasanya adalah pemerintahan atau
berorientasi pada tugas, dan, sebagai hasilnya, sering fokus pada accurancy, ketepatan
waktu, kelengkapan, atau atribut kontrol.
Tujuan strategis pada tingkat proses adalah mereka diciptakan untuk khusus selaras
dengan tujuan strategis organisasi.
COSO Tujuan Kategori:
Operasi
Pelaporan
Pemenuhan
Strategis
Pemilik proses atau staf yang terlibat dalam proses tersebut mungkin dapat memberikan daftar
tujuan proses. Namun, dalam banyak kasus, tujuan-tujuan tersebut mungkin belum
diartikulasikan secara formal.
Mengumpulkan Informasi
Ada banyak cara untuk mengumpulkan informasi tentang proses. Auditor internal harus
mempertimbangkan berbagai jenis dan sumber informasi yang relevan tersedia.Selain itu,
analisis, data dan kontrol tingkat-entitas dapat membantu memberikan wawasan tambahan ke
proses.
Titik awal untuk memahami proses sedang mengkaji dokumentasi yang sudah ada. Sebagai
contoh, berikut ini mungkin tersedia dari pemilik proses atau keluarga lain eith proses yang dapat
memberikan informasi yang berguna mengenai bagaimana proses kerjanya:
Pertanyaan ini dan lainnya dapat membantu memberikan auditor internal dengan
informasi yang dibutuhkan untuk memahami proses. Hal ini dapat diperoleh melalui wawancara
individu atau dengan melakukan walkthrough, yang melibatkan mengikuti transaksi melalui
setiap langkah dari proses. Terlepas dari pendekatan, adalah penting untuk memahami tugas
utama secara cukup rinci untuk memberikan dasar untuk langkah-langkah selanjutnya dalam
proses perencanaan.
Prosedur Analitis
Memahami tugas dalam suatu proses, seperti dijelaskan di atas, merupakan langkah
penting dalam perencanaan pertunangan. Namun, tugas ini menggambarkan cara proses yang
dirancang untuk melakukan, tetapi memberikan sedikit indikasi mengenai seberapa efektif
mereka dilakukan. Melakukan prosedur analitis adalah salah satu cara auditor melakukan
penilaian tingkat tinggi internal yang dapat mengungkapkan kegiatan proses yang menjamin
perhatian lebih dan, pengujian sesuai, lebih rinci.
Prosedur analitis melibatkan meninjau dan mengevaluasi informasi yang ada, yang
mungkin finansial atau non finansial, untuk menentukan apakah itu konsisten dengan yang telah
ditentukan harapan.
Latihan bertukar pikiran akan dioptimalkan jika individu yang terlibat dalam proses
berpartisipasi. Mereka mungkin dapat mengidentifikasi skenario risiko berdasarkan pengalaman
tangan pertama. Namun, auditor internal yang berpengalaman harus bisa melakukan latihan ini
tanpa bantuan dari individu tingkat proses.
Sebuah cara yang efektif untuk auditor internal untuk melakukan seperti sesi
brainstorming adalah untuk menulis skenario yang berbeda pada catatan diri menempel dan
menempatkan mereka di dinding atau papan besar. Setelah brainstroming selesai, catatan dapat
(1) diatur oleh tujuan untuk memastikan komprehensif menutup-usia masing-masing tujuan, dan
(2) dikategorikan menurut jenis skenario serupa untuk mendukung definisi risiko.
Ketepatan waktu
Ketidakmampuan untuk memproses pembayaran tepat waktu dapat mengakibatkan denda
atau hukuman (untuk pembayaran terlambat).
Akses sistem
Kurangnya praktik keamanan logis yang efektif dapat menciptakan peluang bagi individu
yang tidak sah untuk mengakses, memanipulasi, atau menghapus data.
Sumber daya mnusia
Ketidakmampuan untuk menarik, mengembangkan, menyebarkan, dan mempertahankan
individu yang kompeten dapat menyebabkan pembayaran yang tidak akurat atau tidak
tepat waktu.
Setelah risiko didefinisikan, mereka harus dikaitkan dengan tujuan tingkat proses untuk
memastikan ada hubungan antara masing-masing risiko dan tujuan. Seperti dibahas di bawah,
penilaian risiko melibatkan pertimbangan dampak pada kemampuan untuk mencapai tujuan.
Karyawan bertanggung jawab untuk mengelola risiko tingkat proses, adalah penting
bahwa mereka memiliki pemahaman yang seragam dan konsisten tentang risiko tersebut. Oleh
karena itu, auditor internal harus berbagi dan mendiskusikan definisi risiko dengan manajemen
tingkat proses dan karyawan untuk memvalidasi bahwa daftar risiko selesai. Sukses dengan tugas
ini akan membantu memfasilitasi keberhasilan dalam mengevaluasi dampak dan kemungkinan
risiko tugas yang berikut.
Sekarang bahwa risiko telah diidentifikasi dan didefinisikan, auditor internal siap untuk
melakukan penilaian risiko. Dalam tugas ini, fokusnya adalah pada penentuan dampak potensial
dan kemungkinan setiap risiko. Tujuan evaluasi ini adalah untuk membantu mengidentifikasi
risiko yang akan memiliki dampak buruk terbesar pada pencapaian tujuan tingkat proses.
Proses untuk melakukan penilaian risiko tingkat proses umumnya melibatkan tiga langkah
berikut:
1. Menentukan dampak dari berbagai hasil yang terkait dengan masing-masing risiko. Tips
berikut bisa membantu ketika melakukan langkah ini:
o Ingat bahwa, menurut definisi, risiko merupakan ketidakpastian, karena itu
mungkin ada beberapa hasil risiko yang mungkin. Auditor internal harus
mencoba untuk tidak fokus hanya pada satu hasil risiko yang mungkin dan
mengabaikan hasil yang lebih mungkin atau membawa dampak yang lebih.
o Risiko biasanya diukur dari segi dampak keuangan yang merupakan dampak
paling umum dan mudah diukur. Namun, mungkin ada hasil risiko lain yang baik
tidak dapat diukur secara finansial atau mungkin dianggap lebih parah daripada
dampak keuangan. Misalnya, merugikan kesehatan dan keselamatan karyawan,
atau penurunan reputasi organisasi karena publisitas negatif dapat dianggap
sebagai hasil yang lebih parah daripada dampak keuangan langsung risiko
tersebut.
o Dampak harus fokus pada potensi eksposur selama periode waktu tertentu,
biasanya satu tahun.
2. Langkah kedua adalah untuk memperkirakan kemungkinan bahwa setiap dampak risiko
akan terjadi. Tips berikut mungkin berguna ketika melakukan langkah ini:
o Sebagaimana dibahas di atas, risiko memiliki berbagai hasil yang mungkin,
masing-masing akan memiliki kemungkinan yang berbeda terjadi. Hal ini penting
untuk fokus pada hasil risiko ditentukan pada langkah sebelumnya.
o Karena ada banyak hasil risiko, ada juga mungkin banyak akar penyebab
mengapa risiko terjadi. Setiap akar penyebab mungkin memiliki kemungkinan
yang berbeda. Oleh karena itu, penting untuk mempertimbangkan akar penyebab
yang mendasari hasil yang dipilih ketika mengevaluasi kemungkinan kejadian
risiko.
o Seperti halnya ketika menentukan dampak risiko, tidak perlu untuk mendapatkan
tingkat ketepatan yang tinggi ketika memperkirakan kemungkinan risiko.
menggunakan skala umum (misalnya, tinggi / menengah / rendah) biasanya akan
cukup. Sebagai contoh, kemungkinan besar dapat menunjukkan bahwa dampak
risiko mungkin tidak terjadi (yaitu lebih dari 50 persen), kemungkinan media
dapat menunjukkan bahwa dampak risiko yang mungkin (misalnya, dari 10
persen sampai 50 persen), dan kemungkinan rendah mungkin menunjukkan
bahwa dampak risiko jauh (misalnya, kurang dari 10 persen).
Menggunakan matriks atau beberapa cara lain untuk visual menggambarkan hasil
penilaian risiko akan memfasilitasi kajian keseluruhan putusan yang dibuat dalam proses
penilaian risiko oleh manajemen audit internal dan pemilik proses. Ulasan tersebut, terutama
oleh pemilik proses, akan membantu memvalidasi penilaian yang dilakukan oleh auditor internal.
Berbagai tindakan membuat suatu proses. Semua mungkin memiliki peran dalam
mencapai hasil akhir, tetapi tidak hanya sedikit yang benar-benar penting untuk hasil, yaitu,
ketidakhadiran mereka akan membuat sulit untuk mencapai hasil yang diinginkan.
Untuk menjalankan tugas ini dalam perencanaan keterlibatan, penting untuk memahami
berbagai jenis pengendalian yang dapat dianggap kontrol utama pada tingkat proses. Meskipun
berikut ini bukan daftar lengkap, itu merupakan contoh jenis pengendali:
- Auditor internal harus memiliki pemahaman yang jelas tentang tujuan tingkat proses.
- Konsekuensi pelaksanaan kontrol yang tidak memadai harus dievaluasi untuk
menentukan apakah kekurangan pengendalian secara signifikan akan mengganggu
pencapaian tujuan.
- Kontrol kompensasi lain harus dipertimbangkan.
- Dampak dari kontrol tingkat-entitas juga harus dipertimbangkan.
- Kontrol berlebihan, atau mereka yang tidak efektif, mungkin perlu perubahan atau
dihilangkan. Kontrol tersebut mungkin bukan kontrol kunci.