Anda di halaman 1dari 14

TUGAS RESUME

CONDUCTING THE ASSURANCE ENGAGEMENT

Audit Internal

DosenPengajarIbnuRachman, DR., Drs., M.Si., M.M., Ak., Qia.

Disusun oleh :

Kelompok 8

Risyad Satriahadi K. - 011401073

Intan Nur Mulyawati - 011401351

Kelas A

PROGRAM STUDI AKUNTANSI

FAKULTAS EKONOMI

UNIVERSITAS WIDYATAMA

BANDUNG

2017
MENENTUKAN TUJUAN KETERLIBATAN DAN SCOPE

Alasan Melakukan Engagement

Ada berbagai jenis keterlibatan jaminan dan mungkin ada alasan yang berbeda untuk
melakukan salah satu dari mereka.Jenis keterlibatan dan alasan untuk melakukan hal itu secara
signifikan dapat mempengaruhi bagaimana pertunangan dilakukan.Oleh karena itu, penting
untuk memahami alasan untuk melakukan pertunangan sebelum memulai perencanaan.

Ada sejumlah alasan untuk melakukan keterlibatan jaminan, termasuk, namun tidak terbatas
pada:

Keterlibatan ini diidentifikasi dalam rencana audit internal tahunan karena risiko yang
melekat diidentifikasi selama proses penilaian risiko bisnis, risiko terdeteksi terakhir kali
daerah itu diaudit, dan faktor-faktor lain yang relevan. Untuk keterlibatan tersebut,
auditor internal harus memahami apa risiko bisnis yang mendasari menyebabkan
keterlibatan untuk dimasukkan dalam rencana, dan kemudian merancang rencana
pertunangan untuk memberikan jaminan yang tepat mengenai kecukupan desain dan
efektivitas operasi pengendalian yang diterapkan untuk mengurangi risiko tersebut.
Keterlibatan adalah bagian dari kebutuhan tahunan untuk mengevaluasi sistem organisasi
pengendalian intern untuk tujuan pelaporan eksternal, seperti AS Sarbanes-Oxley Act of
2002 Pasal 404 persyaratan di Amerika Serikat dan hukum pelaporan keuangan serupa di
negara lain. Untuk keterlibatan tersebut, auditor internal harus memastikan bahwa
keterlibatan ini dirancang untuk menguji area yang tercakup dalam peraturan yang
mendasari (misalnya, memberikan jaminan mengenai kecukupan desain dan efektivitas
operasi pengendalian internal atas pelaporan keuangan).
Sebuah acara baru-baru ini (misalnya, bencana alam, penipuan, atau kebangkrutan
pelanggan) telah menguji proses di bawah kondisi yang tidak biasa dan manajemen
menginginkan "post mortem" untuk menentukan di mana proses itu efektif dan mana
tidak. Untuk keterlibatan tersebut, auditor internal harus menyesuaikan pengujian dan
evaluasi di sekitar peristiwa tertentu yang terjadi.
Perubahan dalam bisnis atau industri membutuhkan modifikasi langsung ke proses dan
manajemen menginginkan validasi cepat yang modifikasi ini tampaknya dirancang tepat
untuk mengatasi perubahan. Untuk keterlibatan ini, auditor internal dapat melakukan
audit kontrol yang berfokus penuh atau mereka mungkin lingkup untuk fokus hanya pada
kontrol yang berubah.

Mungkin ada faktor lain, selain yang tercantum di atas, yang membuatnya penting bagi
tim audit internal untuk menyadari alasan atau driver yang menyebabkan keterlibatan yang akan
dilakukan. Misalnya, alih-alih mencari kepastian mengenai pernyataan yang berbeda dibahas di
atas, manajemen mungkin menginginkan pertunangan dilakukan untuk menilai bagaimana proses
kinerja relatif terhadap harapan. Jenis keterlibatan mungkin memerlukan tes yang berbeda untuk
memberikan penilaian itu. Terlepas dari alasan untuk melakukan pertunangan, memahami alasan
seperti ini akan membantu memastikan bahwa tujuan keseluruhan, ruang lingkup, dan fokus dari
alamat keterlibatan mereka driver dan waktu tidak dikhususkan untuk yang lain, driver kurang
penting.

Menetapkan Tujuan Engagement

Setelah alasan untuk keterlibatan jaminan dipahami, tujuan keterlibatan formal harus
ditetapkan. Tujuan-tujuan ini, yang biasanya dinyatakan dalam jaminan komunikasi keterlibatan
akhir, mengartikulasikan khusus apa keterlibatan sedang mencoba untuk menyelesaikan.
Sementara tujuan dapat dinyatakan dalam berbagai cara, harus jelas apa jaminan pertunangan
akan menyediakan. Misalnya, tujuan bisa mulai dengan kalimat berikut (kata kerja yang berbeda
dapat digantikan untuk yang digunakan dalam contoh ini):

Mengevaluasi kecukupan desain. . .


Menentukan efektivitas operasi. . .
Menilai kepatuhan. .
Menentukan efektivitas dan efisiensi. . .
Mengevaluasi akurasi. .
Menilai pencapaian. . .
Menentukan kinerja
Menentukan efektivitas dan efisiensi ...
Mengevaluasi akurasi ...
Menilai pencapaian ...
Menentukan kinerja ...

Lingkup Keterlibatan

Setelah tujuan keterlibatan telah ditetapkan, ruang lingkup keterlibatan harus ditentukan.
Sejak keterlibatan mungkin tidak mencakup segala sesuatu yang dapat diaudit berkaitan dengan
tujuan keterlibatan, pernyataan ruang lingkup khusus harus menyatakan apa atau tidak termasuk
dalam keterlibatan. Pernyataan lingkup tersebut dapat mencakup:
Batas dari proses. Sementara beberapa proses kecil dan mandiri, banyak yang sangat
luas dan tumpang tindih dengan proses lainnya. Oleh karena itu, penting untuk
mendefinisikan apa titik dalam proses keterlibatan akan dimulai dan dimana akan
berakhir.
Dalam-lingkup dibandingkan out-of-lokasi. Untuk proses yang mencakup beberapa
lokasi, hanya beberapa lokasi tersebut dapat dimasukkan dalam keterlibatan.
Subproses. Sebagian diskrit dan dikenali atau komponen dari sebuah proses.
Komponen. Bagian-bagian tertentu, atau komponen, dari sebuah proses dapat diabaikan.

Kerangka waktu. Keterlibatan dapat mencakup satu tahun kalender, 12 bulan sebelumnya, atau
beberapa kerangka waktu lainnya.

Hasil yang diharapkan dan Publikasi

Sebelum pindah ke langkah berikutnya dalam proses perencanaan, pada tugas akhir harus
dilakukan. Masing-masing dijelaskan lebih lengkap sebagai berikut:

Potensi hasil tes yang akan dilakukan selama keterlibatan. Mampu mengantisipasi
berbagai jenis pengujian pengecualian yang dapat diidentifikasi dalam keterlibatan yang
diberikan membantu rencana uji internal auditor untuk memberikan jaminan reaasonable
bahwa perbedaan tersebut terdeteksi. Pengecualian khas meliputi:
Kesalahan statment keuangan atau misclassifications dalam rekening keuangan, saldo,
atau pengungkapan.
Kontrol kekurangan menunjukkan kontrol tertentu yang tidak mencapai efek yang
diinginkan, yaitu, mengurangi risiko sesuai dengan tingkat yang diinginkan.
Kekurangan dalam pencapaian tujuan, karena kekurangan kontrol atau kinerja yang tidak
memadai.
Inefisiensi karena sumber daya tidak digunakan secara optimal.
Situasi out-of-kepatuhan saat hukum, peraturan, atau kebijakan tidak dipenuhi secara
konsisten.

Auditee pengecualian mengenai keterlibatan.

Anak perusahaan, unit bisnis, departemen, kelompok, atau bagian ketatanegaraan didirikan lain
dari suatu organisasi yang merupakan subjek dari keterlibatan jaminan. Jenis-jenis komunikasi
meliputi:
Lingkup penuh, laporan internal biasanya memiliki distribusi yang luas dan, dengan
demikian, memerlukan bukti yang tepat cukup untuk mendukung kesimpulan dan
rekomendasi untuk perbaikan.
Internal memeronda dapat digunakan untuk distribusi lebih terbatas, yang menyatakan
pekerjaan yang dilakukan dan dukungan untuk kesimpulan dan rekomendasi hanya
tertalu sejauh necessay untuk audiens yang dituju untuk memahami kekurangan yang
mendasari.
Laporan untuk penggunaan pihak ketiga harus mengasumsikan pihak tersebut kurang
akrab dengan kebijakan dan prosedur yang unik bagi organisasi dan, oleh karena itu,
mungkin memerlukan tingkat yang lebih detail untuk memastikan pembaca memahami
sifat dan konteks pengamatan dan rekomendasi.
Kadang-kadang, tingkat yang lebih tinggi kerahasiaan mungkin diperlukan untuk
keterlibatan tertentu. contoh tersebut harus dibicarakan di depan dengan manajemen
proses untuk memastikan kiriman mendukung tingkat yang diperlukan confidientiality.

MEMAHAMI AUDIT

Ketika merencanakan keterlibatan, tim audit internal harus terlebih dahulu memahami auditee.

Menentukan Tujuan Auditee

Memahami proses dimulai dengan menentukan tujuan proses kunci. Ini membantu auditor
internal mengerti mengapa proses itu ada, yang akan menjadi penting ketika mengidentifikasi
dan menilai risiko tingkat proses dan kontrol.

Tujuan operasi adalah jenis yang paling umum dari tujuan pada tingkat proses dan
biasanya menentukan alasan proses ada. Tujuan ini biasanya adalah pemerintahan atau
berorientasi pada tugas, dan, sebagai hasilnya, sering fokus pada accurancy, ketepatan
waktu, kelengkapan, atau atribut kontrol.
Tujuan strategis pada tingkat proses adalah mereka diciptakan untuk khusus selaras
dengan tujuan strategis organisasi.
COSO Tujuan Kategori:

Operasi
Pelaporan
Pemenuhan
Strategis

Pemilik proses atau staf yang terlibat dalam proses tersebut mungkin dapat memberikan daftar
tujuan proses. Namun, dalam banyak kasus, tujuan-tujuan tersebut mungkin belum
diartikulasikan secara formal.

Mengumpulkan Informasi

Ada banyak cara untuk mengumpulkan informasi tentang proses. Auditor internal harus
mempertimbangkan berbagai jenis dan sumber informasi yang relevan tersedia.Selain itu,
analisis, data dan kontrol tingkat-entitas dapat membantu memberikan wawasan tambahan ke
proses.

Jenis dan Sumber Informasi Relevan

Titik awal untuk memahami proses sedang mengkaji dokumentasi yang sudah ada. Sebagai
contoh, berikut ini mungkin tersedia dari pemilik proses atau keluarga lain eith proses yang dapat
memberikan informasi yang berguna mengenai bagaimana proses kerjanya:

Kebijakan yang berkaitan dengan proses.


Prosedur manual.
Bagan organisasi atau informasi serupa menguraikan jumlah karyawan dan hubungan
pelaporan kunci.
Deskripsi pekerjaan bagi orang-orang yang terlibat dalam proses.
Peta proses atau alur depictig aliran keseluruhan proses.
Deskripsi naratif kontrak kunci dengan pelanggan, vendor, mitra outsorcing, dll
Informasi yang relevan mengenai hukum dan peraturan yang mempengaruhi proses.
Dokumentasi lain yang mungkin telah pengembangan untuk mendukung diperlukan
pelaporan atas efektivitas sistem pengendalian internal.
Apa tugas utama Anda bertanggung jawab untuk melakukan?
Apa masukan (informasi, dokumentasi, dll) yang Anda butuhkan untuk melakukan tiga
tugas?
Apa khusus, yang Anda lakukan dengan input ini?
Apa output yang Anda hasilkan dari setiap tugas?
Yang orang lain atau daerah Anda tergantung pada saat Anda melakukan tugas-tugas ini?
Yang orang lain atau daerah tergantung pada Anda melakukan tiga tugas secara efektif
dan tepat waktu?
Sistem informasi yang Anda gunakan saat melakukan tugas-tugas ini?
Berapa lama waktu yang dibutuhkan untuk menyelesaikan setiap tugas?
Apa jenis pengecualian atau kesalahan yang Anda biasanya menemukan?
Bagaimana Anda menangani pengecualian atau kesalahan?
Apa hambatan atau tantangan lain yang Anda biasanya temui ketika melakukan tugas-
tugas?
Apa yang Anda lakukan untuk menghilangkan hambatan atau memenuhi tantangan?
Pada akhirnya, bagaimana Anda memastikan bahwa Anda melakukan tugas dengan
benar?

Pertanyaan ini dan lainnya dapat membantu memberikan auditor internal dengan
informasi yang dibutuhkan untuk memahami proses. Hal ini dapat diperoleh melalui wawancara
individu atau dengan melakukan walkthrough, yang melibatkan mengikuti transaksi melalui
setiap langkah dari proses. Terlepas dari pendekatan, adalah penting untuk memahami tugas
utama secara cukup rinci untuk memberikan dasar untuk langkah-langkah selanjutnya dalam
proses perencanaan.

Prosedur Analitis

Memahami tugas dalam suatu proses, seperti dijelaskan di atas, merupakan langkah
penting dalam perencanaan pertunangan. Namun, tugas ini menggambarkan cara proses yang
dirancang untuk melakukan, tetapi memberikan sedikit indikasi mengenai seberapa efektif
mereka dilakukan. Melakukan prosedur analitis adalah salah satu cara auditor melakukan
penilaian tingkat tinggi internal yang dapat mengungkapkan kegiatan proses yang menjamin
perhatian lebih dan, pengujian sesuai, lebih rinci.

Prosedur analitis melibatkan meninjau dan mengevaluasi informasi yang ada, yang
mungkin finansial atau non finansial, untuk menentukan apakah itu konsisten dengan yang telah
ditentukan harapan.

IDENTIFIKASI DAN MENILAI RISIKO


Mengidentifikasi Proses-tingkat Skenario Risiko
Sebuah organisasi yang didirikan proses untuk melaksanakan rencana usaha dan
mencapai tujuannya. Proses ini mungkin diskrit dan terfokus, atau mereka mungkinlintas
fungsional. Risikoada di semuaproses, terlepas dariluasnya, lokasi, atau fokus. Tugas pertama
dalam menilairisi kotingkat prosesadalah untuk mengidentifikasi skenario risikoyang
melekatdalam proses.Skenario risiko potensial kejadian kehidupan nyata yang dapa tberdampak
negatif terhadap pencapaian tujuan.
Tujuan mengidentifikasiskenario risikoadalah untukmenjawab pertanyaan:Apa yang bisa
terjadiyang akan mencegahpencapaiansetiap tujuantingkat proses? Untuk menjawabpertanyaan
ini, auditor internalharusotak-badai skenariorisiko yang mungkin terjadi. Berikut inimemberikan
garis besartentang bagaimanahal ini dapat dilakukan.
1. Pilih tujuan tingkat proses tunggal .Latihan ini bekerja baik jika dilakukan satu tujuan
pada suatu waktu.
2. Brainstormhambata n(peristiwa, masalah, keadaan,dll) yang mungkin mengancam
pencapaian tujuan. Contohnya adalah sebagai berikut:
a. Peristiwa eksternal yang organisasi tidak siapa tau tidak bereaksi untuk tepat waktu
atau tepat.
b. Tidak cukup dirancang atau kurang didokumentasikan prosedur.
c. Kerusakan dalamprosedur yang ada.
d. Kurangnya orang yang tepat, dengan keterampilan yang tepat, digunakan dengan cara
yang benar.
e. Komunikasi yang tidak memadai antara daerah interfacing.
f. Karyawan yang dengan sengaja melanggar kebijakan atau bertindak tidak etis.
g. Tidak cukup dirancang atau usang aplikasi komputer.
h. Terlalu cepat, akurat, atau tidak memadai informasi untuk pengambilan keputusan.
i. Kegagalan untuk mengukur kinerja.
3. Lanjutkan latihan untuk tujuan tingkat proses yang tersisa.
4. Sejak beberapa skenario risiko akan serupa di tujuan tingkat proses, mengelompokkan
dan menggabungkan skenario risiko serupa.

Latihan bertukar pikiran akan dioptimalkan jika individu yang terlibat dalam proses
berpartisipasi. Mereka mungkin dapat mengidentifikasi skenario risiko berdasarkan pengalaman
tangan pertama. Namun, auditor internal yang berpengalaman harus bisa melakukan latihan ini
tanpa bantuan dari individu tingkat proses.
Sebuah cara yang efektif untuk auditor internal untuk melakukan seperti sesi
brainstorming adalah untuk menulis skenario yang berbeda pada catatan diri menempel dan
menempatkan mereka di dinding atau papan besar. Setelah brainstroming selesai, catatan dapat
(1) diatur oleh tujuan untuk memastikan komprehensif menutup-usia masing-masing tujuan, dan
(2) dikategorikan menurut jenis skenario serupa untuk mendukung definisi risiko.

Mendefinisikan Proses Risiko-tingkat


Sebagaimana ditunjukkan di atas, skenario risiko serupa memberikan dasar untuk
mengidentifikasi risiko tingkat proses. Para skenario risiko mewakili spesifik peristiwa
kehidupan nyata yang dapat mempengaruhi pencapaian tujuan. Risiko adalah deskripsi yang
lebih luas dari sebab dan akibat peristiwa tersebut. Tugas berikutnya dalam menilai risiko tingkat
proses adalah untuk menentukan risiko yang relevan.
Ada banyak cara untuk mendefinisikan risiko. Pendekatan yang optimal tergantung pada
budaya dan "bahasa risiko" dari organisasi. Namun, terlepas dari pendekatan yang unik yang
mungkin ada dari satu organisasi ke depan, penting untuk konsisten. Kurangnya konsistensi
dapat membuat lebih sulit bagi resiko secara luas dipahami seluruh organisasi.
Pembayaran ganda
kegagalan untuk identitas beberapa input faktur dapat mengakibatkan pembayaran ganda
kepada vendor yang bisa tidak terdeteksi.

Ketepatan waktu
Ketidakmampuan untuk memproses pembayaran tepat waktu dapat mengakibatkan denda
atau hukuman (untuk pembayaran terlambat).
Akses sistem
Kurangnya praktik keamanan logis yang efektif dapat menciptakan peluang bagi individu
yang tidak sah untuk mengakses, memanipulasi, atau menghapus data.
Sumber daya mnusia
Ketidakmampuan untuk menarik, mengembangkan, menyebarkan, dan mempertahankan
individu yang kompeten dapat menyebabkan pembayaran yang tidak akurat atau tidak
tepat waktu.
Setelah risiko didefinisikan, mereka harus dikaitkan dengan tujuan tingkat proses untuk
memastikan ada hubungan antara masing-masing risiko dan tujuan. Seperti dibahas di bawah,
penilaian risiko melibatkan pertimbangan dampak pada kemampuan untuk mencapai tujuan.

Karyawan bertanggung jawab untuk mengelola risiko tingkat proses, adalah penting
bahwa mereka memiliki pemahaman yang seragam dan konsisten tentang risiko tersebut. Oleh
karena itu, auditor internal harus berbagi dan mendiskusikan definisi risiko dengan manajemen
tingkat proses dan karyawan untuk memvalidasi bahwa daftar risiko selesai. Sukses dengan tugas
ini akan membantu memfasilitasi keberhasilan dalam mengevaluasi dampak dan kemungkinan
risiko tugas yang berikut.

Mengevaluasi dampak dan kemungkinan risiko

Sekarang bahwa risiko telah diidentifikasi dan didefinisikan, auditor internal siap untuk
melakukan penilaian risiko. Dalam tugas ini, fokusnya adalah pada penentuan dampak potensial
dan kemungkinan setiap risiko. Tujuan evaluasi ini adalah untuk membantu mengidentifikasi
risiko yang akan memiliki dampak buruk terbesar pada pencapaian tujuan tingkat proses.

Proses untuk melakukan penilaian risiko tingkat proses umumnya melibatkan tiga langkah
berikut:

1. Menentukan dampak dari berbagai hasil yang terkait dengan masing-masing risiko. Tips
berikut bisa membantu ketika melakukan langkah ini:
o Ingat bahwa, menurut definisi, risiko merupakan ketidakpastian, karena itu
mungkin ada beberapa hasil risiko yang mungkin. Auditor internal harus
mencoba untuk tidak fokus hanya pada satu hasil risiko yang mungkin dan
mengabaikan hasil yang lebih mungkin atau membawa dampak yang lebih.
o Risiko biasanya diukur dari segi dampak keuangan yang merupakan dampak
paling umum dan mudah diukur. Namun, mungkin ada hasil risiko lain yang baik
tidak dapat diukur secara finansial atau mungkin dianggap lebih parah daripada
dampak keuangan. Misalnya, merugikan kesehatan dan keselamatan karyawan,
atau penurunan reputasi organisasi karena publisitas negatif dapat dianggap
sebagai hasil yang lebih parah daripada dampak keuangan langsung risiko
tersebut.
o Dampak harus fokus pada potensi eksposur selama periode waktu tertentu,
biasanya satu tahun.

2. Langkah kedua adalah untuk memperkirakan kemungkinan bahwa setiap dampak risiko
akan terjadi. Tips berikut mungkin berguna ketika melakukan langkah ini:
o Sebagaimana dibahas di atas, risiko memiliki berbagai hasil yang mungkin,
masing-masing akan memiliki kemungkinan yang berbeda terjadi. Hal ini penting
untuk fokus pada hasil risiko ditentukan pada langkah sebelumnya.
o Karena ada banyak hasil risiko, ada juga mungkin banyak akar penyebab
mengapa risiko terjadi. Setiap akar penyebab mungkin memiliki kemungkinan
yang berbeda. Oleh karena itu, penting untuk mempertimbangkan akar penyebab
yang mendasari hasil yang dipilih ketika mengevaluasi kemungkinan kejadian
risiko.
o Seperti halnya ketika menentukan dampak risiko, tidak perlu untuk mendapatkan
tingkat ketepatan yang tinggi ketika memperkirakan kemungkinan risiko.
menggunakan skala umum (misalnya, tinggi / menengah / rendah) biasanya akan
cukup. Sebagai contoh, kemungkinan besar dapat menunjukkan bahwa dampak
risiko mungkin tidak terjadi (yaitu lebih dari 50 persen), kemungkinan media
dapat menunjukkan bahwa dampak risiko yang mungkin (misalnya, dari 10
persen sampai 50 persen), dan kemungkinan rendah mungkin menunjukkan
bahwa dampak risiko jauh (misalnya, kurang dari 10 persen).

3. Langkah terakhir adalah untuk menggabungkan penilaian dampak dan kemungkinan ke


dalam penilaian risiko tunggal. cara terbaik untuk melakukannya adalah membuat
matriks risiko yang menunjukkan keterkaitan antara dampak dan kemungkinan setiap
risiko. Sebagai contoh, matriks risiko menggambarkan penggunaan skala tinggi /
menengah / rendah untuk kedua dampak dan penilaian kemungkinan. Ketika meninjau
risiko matriks ini, perhatikan bahwa nomor untuk setiap kotak untuk menandakan
keseluruhan tingkat risiko. Setelah setiap risiko ditempatkan di salah satu kotak, mereka
dapat diklasifikasikan sebagai berikut:
o Risiko dalam kotak 8 atau 9 (merah) dianggap berisiko tinggi.
o Risiko dalam kotak 5,6, atau 7 (kuning) dianggap berisiko menengah.
o Risiko dalam kotak 1,2,3, atau 4 dianggap berisiko rendah.
Biasanya, risiko tinggi dan menengah harus dimasukkan dalam setiap keterlibatan
jaminan audit internal. Risiko rendah mungkin atau mungkin tidak disertakan, tergantung pada
piagam fungsi audit internal dan pertimbangan sumber daya.

Menggunakan matriks atau beberapa cara lain untuk visual menggambarkan hasil
penilaian risiko akan memfasilitasi kajian keseluruhan putusan yang dibuat dalam proses
penilaian risiko oleh manajemen audit internal dan pemilik proses. Ulasan tersebut, terutama
oleh pemilik proses, akan membantu memvalidasi penilaian yang dilakukan oleh auditor internal.

Mengidentifikasi Kendali Kunci

Berbagai tindakan membuat suatu proses. Semua mungkin memiliki peran dalam
mencapai hasil akhir, tetapi tidak hanya sedikit yang benar-benar penting untuk hasil, yaitu,
ketidakhadiran mereka akan membuat sulit untuk mencapai hasil yang diinginkan.

Untuk menjalankan tugas ini dalam perencanaan keterlibatan, penting untuk memahami
berbagai jenis pengendalian yang dapat dianggap kontrol utama pada tingkat proses. Meskipun
berikut ini bukan daftar lengkap, itu merupakan contoh jenis pengendali:

- Menyetujui, melibatkan mendapatkan otorisasi untuk melaksanakan transaksi dengan


memberdayakan seseorang untuk melakukannya (misalnya, persetujuan write-off).
- Menghitung, memerlukan komputasi atau menghitung ulang jumlah hasil dari data lain
yang diperoleh dalam proses (misalnya, menggunakan data historis write-off untuk
menghitung cadangan kredit macet, atau memeriksa perhitungan penyusutan untuk
memastikan jumlah sistematis dihitung wajar).
- Mendokumentasikan, berkaitan dengan menjaga informasi sumber atau
mendokumentasikan alasan di balik keputusan dibuat untuk referensi di masa mendatang
(misalnya, pemindaian menerima dokumentasi, faktur, dan cek untuk mendukung
pembayaran, atau menulis sebuah memorandum ke file yang menguraikan pertimbangan
yang digunakan dalam menentukan akrual).
- Memeriksa, melibatkan memverifikasi atribut, yaitu, elemen data, peristiwa, atau bukti
dokumen yang mendukung keberadaan atau terjadinya (misalnya, bukti bahwa barang
dibayar untuk diterima).
- Mencocokan, memerlukan membuat perbandingan antara dua atribut yang berbeda untuk
memverifikasi bahwa mereka setuju (misalnya, jumlah pembayaran setuju dengan nilai
faktur)
- Memantau, merupakan memeriksa untuk memastikan aksi yang terjadi (misalnya,
memantau bahwa pemberi persetujuan faktur tidak melebihi batas nya)
- Membatasi, melibatkan tidak mengizinkan tindakan yang tidak dapat diterima (misalnya,
melarang spekulasi fluktuasi suku bunga, atau tidak memungkinkan individu yang tidak
sah untuk mengakses data tertentu dalam sistem kunci).
- Memisahkan, berfokus pada memisahkan tugas sesuai yang akan menciptakan potensi
tindakan yang tidak diinginkan (misalnya, memisahkan cek penandatanganan dan
persetujuan otoritas faktur).
- Mengawasi, melibatkan memberikan arahan dan pengawasan untuk memastikan
tindakan dan tugas yang dilakukan seperti yang dirancang (misalnya, seorang pengawas
menyetujui batch sebelum pemrosesan komputer).
Seperti yang dibahas sebelumnya, identifikasi proses kontrol-level biasanya dimulai dalam dua
langkah perencanaan sebelumnya: Memahami Auditee dan Mengidentifikasi dan Menilai Risiko.
Tugas saat ini melibatkan memastikan bahwa setiap proses kontrol tingkat tambahan telah
diidentifikasi sebelum penilaian dilakukan pengendalian untuk mengurangi risiko utama. Berikut
ini penting ketika menentukan pengendalian kunci:

- Auditor internal harus memiliki pemahaman yang jelas tentang tujuan tingkat proses.
- Konsekuensi pelaksanaan kontrol yang tidak memadai harus dievaluasi untuk
menentukan apakah kekurangan pengendalian secara signifikan akan mengganggu
pencapaian tujuan.
- Kontrol kompensasi lain harus dipertimbangkan.
- Dampak dari kontrol tingkat-entitas juga harus dipertimbangkan.
- Kontrol berlebihan, atau mereka yang tidak efektif, mungkin perlu perubahan atau
dihilangkan. Kontrol tersebut mungkin bukan kontrol kunci.