Anda di halaman 1dari 42

BAB 13 MELAKUKAN JAMINAN KETERLIBATAN

JAMINAN KETERLIBATAN PROSES

Plan Perform Communicate

Determine engagement objectives Perform observation


and scope. evaluation and
Understanding the auditee, including Conduct tests to escalation process.
auditee objectives and assertions. gather evidence. Conduct interim and
Identify and assess risks. Evaluate evidence preliminary
Identify key control activities. gathered and reach engagement
Evaluate adequacy of control conclusions. communications.
activites. Develop observations Develop final
Create a test plan. and formulate engagement
recommendations. communications.
Develop a work program.
Distribute formal and
Allocate resources to the
informal final
engagement.
communications.
Perform monitoring
and follow-up
procedures.

MENENTUKAN TUJUAN KETERLIBATAN DAN SCOPE

Alasan Melakukan Engagement

Ada berbagai jenis keterlibatan jaminan dan mungkin ada alasan yang berbeda untuk melakukan
salah satu dari mereka. Jenis keterlibatan dan alasan untuk melakukan hal itu secara signifikan
dapat mempengaruhi bagaimana pertunangan dilakukan. Oleh karena itu, penting untuk
memahami alasan untuk melakukan pertunangan sebelum memulai perencanaan.

Ada sejumlah alasan untuk melakukan keterlibatan jaminan, termasuk, namun tidak terbatas
pada:

Keterlibatan ini diidentifikasi dalam rencana audit internal tahunan karena risiko yang melekat
diidentifikasi selama proses penilaian risiko bisnis, risiko terdeteksi terakhir kali daerah itu
diaudit, dan faktor-faktor lain yang relevan. Untuk keterlibatan tersebut, auditor internal harus
memahami apa risiko bisnis yang mendasari menyebabkan keterlibatan untuk dimasukkan dalam
rencana, dan kemudian merancang rencana pertunangan untuk memberikan jaminan yang tepat
mengenai kecukupan desain dan efektivitas operasi pengendalian yang diterapkan untuk
mengurangi risiko tersebut.

Keterlibatan adalah bagian dari kebutuhan tahunan untuk mengevaluasi sistem organisasi
pengendalian intern untuk tujuan pelaporan eksternal, seperti AS Sarbanes-Oxley Act of 2002
Pasal 404 persyaratan di Amerika Serikat dan hukum pelaporan keuangan serupa di negara lain.
Untuk keterlibatan tersebut, auditor internal harus memastikan bahwa keterlibatan ini dirancang
untuk menguji area yang tercakup dalam peraturan yang mendasari (misalnya, memberikan
jaminan mengenai kecukupan desain dan efektivitas operasi pengendalian internal atas pelaporan
keuangan).

Sebuah acara baru-baru ini (misalnya, bencana alam, penipuan, atau kebangkrutan pelanggan)
telah menguji proses di bawah kondisi yang tidak biasa dan manajemen menginginkan "post
mortem" untuk menentukan di mana proses itu efektif dan mana tidak. Untuk keterlibatan
tersebut, auditor internal harus menyesuaikan pengujian dan evaluasi di sekitar peristiwa tertentu
yang terjadi.

Perubahan dalam bisnis atau industri membutuhkan modifikasi langsung ke proses dan
manajemen menginginkan validasi cepat yang modifikasi ini tampaknya dirancang tepat untuk
mengatasi perubahan. Untuk keterlibatan ini, auditor internal dapat melakukan audit kontrol
yang berfokus penuh atau mereka mungkin lingkup untuk fokus hanya pada kontrol yang
berubah.
Plan
Perform Communicate

Determine engagement Perform


objectives and scope. observation
Understanding the auditee, Conduct tests to evaluation and
including auditee objectives gather evidence. escalation process.
and assertions. Evaluate evidence Conduct interim
gathered and reach and preliminary
Identify and assess risks. engagement
conclusions.
Identify key control Develop communications.
activities. observations and Develop final
Evaluate adequacy of formulate engagement
recommendations. communications.
control activites.
Distribute formal
Create a test plan. and informal final
Develop a work program. communications.
Allocate resources to the Perform
monitoring and
engagement. follow-up
procedures.

Mungkin ada faktor lain, selain yang tercantum di atas, yang membuatnya penting bagi tim audit
internal untuk menyadari alasan atau driver yang menyebabkan keterlibatan yang akan
dilakukan. Misalnya, alih-alih mencari kepastian mengenai pernyataan yang berbeda dibahas di
atas, manajemen mungkin menginginkan pertunangan dilakukan untuk menilai bagaimana proses
kinerja relatif terhadap harapan. Jenis keterlibatan mungkin memerlukan tes yang berbeda untuk
memberikan penilaian itu. Terlepas dari alasan untuk melakukan pertunangan, memahami alasan
seperti ini akan membantu memastikan bahwa tujuan keseluruhan, ruang lingkup, dan fokus dari
alamat keterlibatan mereka driver dan waktu tidak dikhususkan untuk yang lain, driver kurang
penting.

Menetapkan Tujuan Engagement

Setelah alasan untuk keterlibatan jaminan dipahami, tujuan keterlibatan formal harus ditetapkan.
Tujuan-tujuan ini, yang biasanya dinyatakan dalam jaminan komunikasi keterlibatan akhir,
mengartikulasikan khusus apa keterlibatan sedang mencoba untuk menyelesaikan. Sementara
tujuan dapat dinyatakan dalam berbagai cara, harus jelas apa jaminan pertunangan akan
menyediakan. Misalnya, tujuan bisa mulai dengan kalimat berikut (kata kerja yang berbeda dapat
digantikan untuk yang digunakan dalam contoh ini):

Mengevaluasi kecukupan desain. . .


Menentukan efektivitas operasi. . .
Menilai kepatuhan. .
Menentukan efektivitas dan efisiensi. . .
Mengevaluasi akurasi. .
Menilai pencapaian. . .
Menentukan kinerja
Menentukan efektivitas dan efisiensi ...
Mengevaluasi akurasi ...
Menilai pencapaian ...
Menentukan kinerja ...

Lingkup Keterlibatan

Setelah tujuan keterlibatan telah ditetapkan, ruang lingkup keterlibatan harus ditentukan. Sejak
keterlibatan mungkin tidak mencakup segala sesuatu yang dapat diaudit berkaitan dengan tujuan
keterlibatan, pernyataan ruang lingkup khusus harus menyatakan apa atau tidak termasuk dalam
keterlibatan. Pernyataan lingkup tersebut dapat mencakup:

Batas dari proses. Sementara beberapa proses kecil dan mandiri, banyak yang sangat
luas dan tumpang tindih dengan proses lainnya. Oleh karena itu, penting untuk
mendefinisikan apa titik dalam proses keterlibatan akan dimulai dan dimana akan
berakhir.
Dalam-lingkup dibandingkan out-of-lokasi. Untuk proses yang mencakup beberapa
lokasi, hanya beberapa lokasi tersebut dapat dimasukkan dalam keterlibatan.
Subproses. Sebagian diskrit dan dikenali atau komponen dari sebuah proses.
Komponen. Bagian-bagian tertentu, atau komponen, dari sebuah proses dapat diabaikan.

Kerangka waktu. Keterlibatan dapat mencakup satu tahun kalender, 12 bulan sebelumnya, atau
beberapa kerangka waktu lainnya.
Hasil yang diharapkan dan Publikasi

Sebelum pindah ke langkah berikutnya dalam proses perencanaan, pada tugas akhir harus
dilakukan. Masing-masing dijelaskan lebih lengkap sebagai berikut:

Potensi hasil tes yang akan dilakukan selama keterlibatan. Mampu mengantisipasi
berbagai jenis pengujian pengecualian yang dapat diidentifikasi dalam keterlibatan yang
diberikan membantu rencana uji internal auditor untuk memberikan jaminan reaasonable
bahwa perbedaan tersebut terdeteksi. Pengecualian khas meliputi:
Kesalahan statment keuangan atau misclassifications dalam rekening keuangan, saldo,
atau pengungkapan.
Kontrol kekurangan menunjukkan kontrol tertentu yang tidak mencapai efek yang
diinginkan, yaitu, mengurangi risiko sesuai dengan tingkat yang diinginkan.
Kekurangan dalam pencapaian tujuan, karena kekurangan kontrol atau kinerja yang tidak
memadai.
Inefisiensi karena sumber daya tidak digunakan secara optimal.
Situasi out-of-kepatuhan saat hukum, peraturan, atau kebijakan tidak dipenuhi secara
konsisten.

Auditee pengecualian mengenai keterlibatan.

Anak perusahaan, unit bisnis, departemen, kelompok, atau bagian ketatanegaraan didirikan lain
dari suatu organisasi yang merupakan subjek dari keterlibatan jaminan. Jenis-jenis komunikasi
meliputi:

Lingkup penuh, laporan internal biasanya memiliki distribusi yang luas dan, dengan
demikian, memerlukan bukti yang tepat cukup untuk mendukung kesimpulan dan
rekomendasi untuk perbaikan.
Internal memeronda dapat digunakan untuk distribusi lebih terbatas, yang menyatakan
pekerjaan yang dilakukan dan dukungan untuk kesimpulan dan rekomendasi hanya
tertalu sejauh necessay untuk audiens yang dituju untuk memahami kekurangan yang
mendasari.
Laporan untuk penggunaan pihak ketiga harus mengasumsikan pihak tersebut kurang
akrab dengan kebijakan dan prosedur yang unik bagi organisasi dan, oleh karena itu,
mungkin memerlukan tingkat yang lebih detail untuk memastikan pembaca memahami
sifat dan konteks pengamatan dan rekomendasi.
Kadang-kadang, tingkat yang lebih tinggi kerahasiaan mungkin diperlukan untuk
keterlibatan tertentu. contoh tersebut harus dibicarakan di depan dengan manajemen
proses untuk memastikan kiriman mendukung tingkat yang diperlukan confidientiality.

MEMAHAMI AUDIT

Ketika merencanakan keterlibatan, tim audit internal harus terlebih dahulu memahami auditee.

Menentukan Tujuan Auditee

Memahami proses dimulai dengan menentukan tujuan proses kunci. Ini membantu auditor
internal mengerti mengapa proses itu ada, yang akan menjadi penting ketika mengidentifikasi
dan menilai risiko tingkat proses dan kontrol.

Tujuan operasi adalah jenis yang paling umum dari tujuan pada tingkat proses dan
biasanya menentukan alasan proses ada. Tujuan ini biasanya adalah pemerintahan atau
berorientasi pada tugas, dan, sebagai hasilnya, sering fokus pada accurancy, ketepatan
waktu, kelengkapan, atau atribut kontrol.
Tujuan strategis pada tingkat proses adalah mereka diciptakan untuk khusus selaras
dengan tujuan strategis organisasi.

COSO Tujuan Kategori:

operasi
pelaporan
pemenuhan
strategis

Pemilik proses atau staf yang terlibat dalam proses tersebut mungkin dapat memberikan daftar
tujuan proses. Namun, dalam banyak kasus, tujuan-tujuan tersebut mungkin belum
diartikulasikan secara formal.
Mengumpulkan Informasi

Ada banyak cara untuk mengumpulkan informasi tentang proses. Auditor internal harus
mempertimbangkan berbagai jenis dan sumber informasi yang relevan tersedia. Selain itu,
analisis, data dan kontrol tingkat-entitas dapat membantu memberikan wawasan tambahan ke
proses.

Jenis dan Sumber Informasi Relevan

Titik awal untuk memahami proses sedang mengkaji dokumentasi yang sudah ada. Sebagai
contoh, berikut ini mungkin tersedia dari pemilik proses atau keluarga lain eith proses yang dapat
memberikan informasi yang berguna mengenai bagaimana proses kerjanya:

Kebijakan yang berkaitan dengan proses.


Prosedur manual.
Bagan organisasi atau informasi serupa menguraikan jumlah karyawan dan hubungan
pelaporan kunci.
Deskripsi pekerjaan bagi orang-orang yang terlibat dalam proses.
Peta proses atau alur depictig aliran keseluruhan proses.
Deskripsi naratif kontrak kunci dengan pelanggan, vendor, mitra outsorcing, dll
Informasi yang relevan mengenai hukum dan peraturan yang mempengaruhi proses.
Dokumentasi lain yang mungkin telah pengembangan untuk mendukung diperlukan
pelaporan atas efektivitas sistem pengendalian internal.

Apa tugas utama Anda bertanggung jawab untuk melakukan?

Apa masukan (informasi, dokumentasi, dll) yang Anda butuhkan untuk melakukan tiga
tugas?

Apa khusus, yang Anda lakukan dengan input ini?

Apa output yang Anda hasilkan dari setiap tugas?


Yang orang lain atau daerah Anda tergantung pada saat Anda melakukan tugas-tugas
ini?

Yang orang lain atau daerah tergantung pada Anda melakukan tiga tugas secara efektif
dan tepat waktu?

Sistem informasi yang Anda gunakan saat melakukan tugas-tugas ini?

Berapa lama waktu yang dibutuhkan untuk menyelesaikan setiap tugas?

Apa jenis pengecualian atau kesalahan yang Anda biasanya menemukan?

Bagaimana Anda menangani pengecualian atau kesalahan?

Apa hambatan atau tantangan lain yang Anda biasanya temui ketika melakukan tugas-
tugas?

Apa yang Anda lakukan untuk menghilangkan hambatan atau memenuhi tantangan?

Pada akhirnya, bagaimana Anda memastikan bahwa Anda melakukan tugas dengan
benar?

Pertanyaan ini dan lainnya dapat membantu memberikan auditor internal dengan
informasi yang dibutuhkan untuk memahami proses. Hal ini dapat diperoleh melalui wawancara
individu atau dengan melakukan walkthrough, yang melibatkan mengikuti transaksi melalui
setiap langkah dari proses. Terlepas dari pendekatan, adalah penting untuk memahami tugas
utama secara cukup rinci untuk memberikan dasar untuk langkah-langkah selanjutnya dalam
proses perencanaan.

Prosedur Analitis

Memahami tugas dalam suatu proses, seperti dijelaskan di atas, merupakan langkah
penting dalam perencanaan pertunangan. Namun, tugas ini menggambarkan cara proses yang
dirancang untuk melakukan, tetapi memberikan sedikit indikasi mengenai seberapa efektif
mereka dilakukan. Melakukan prosedur analitis adalah salah satu cara auditor melakukan
penilaian tingkat tinggi internal yang dapat mengungkapkan kegiatan proses yang menjamin
perhatian lebih dan, pengujian sesuai, lebih rinci.
Prosedur analitis melibatkan meninjau dan mengevaluasi informasi yang ada, yang
mungkin finansial atau non finansial, untuk menentukan apakah itu konsisten dengan yang telah
ditentukan harapan.

Contoh: untuk audit pengeluaran kas, analisis ini mungkin termasuk salah satu atau
semua hal berikut:

Perbandingan informasi keuangan untuk periode sebelumnya, misalnya, tren dalam


rekening saldo hutang dari satu seperempat berikutnya.

Analisis Rasio, misalnya, rasio lancar (aktiva lancar dibagi dengan kewajiban lancar)
dan rekening omset hutang (pokok penjualan dibagi dengan hutang)

Perbandingan informasi keuangan atau non finansial terhadap informasi anggaran,


misalnya, saldo kas aktual versus diperkirakan jumlah uang.

Analisis Data Menggunakan

Teknik Audit dibantu komputer (CAATs)

Analisis data melibatkan pengumpulan dan analisis data dalam jumlah besar, biasanya
melalui penggunaan teknologi. Analisis data dapat memberikan informasi tentang populasi
transaksi yang bisa membuktikan berguna ketika menentukan pendekatan audit internal.

Contoh: ketika melakukan audit internal dan proses pengeluaran kas, tim audit internal
dapat melakukan tes analisis data berikut selama tahap perencanaan:

Jumlah atau persen pembayaran yang dibuat baik sebelum atau setelah tanggal jatuh
tempo - ini dapat memberikan wawasan mengenai bagaimana erat arus kas dikelola.

Jumlah cek petunjuk - ini dapat menunjukkan proses kekurangan desain atau potensial
pengelakan kontrol didirikan.

Stratifikasi jumlah pembayaran - ini dapat memberikan informasi mengenai tingkat


pembayaran kecil dibuat, menunjukkan potensi atau kartu pengadaan.
Distribusi digit pertama jumlah pembayaran (Analisa Hukum Benford ini) - distribusi
yang tidak mengikuti Hukum Benford mungkin indikasi praktik pencairan tidak biasa (misalnya,
split faktur), yang mungkin, pada gilirannya, mempengaruhi pendekatan audit internal . Hukum
Benford yang memperkirakan jumlah kali setiap o 10 digit (nol melalui sembilan) biasanya akan
terjadi pada awal setiap nomor pada populasi dengan karakteristik tertentu.

Gandakan jumlah pembayaran kepada vendor yang sama - hal ini dapat menunjukkan
potensi pembayaran ganda, atau memberikan wawasan tentang vendor yang pembayaran berkala
yang dibuat untuk jumlah seperti.

Mendapatkan informasi tentang populasi selama fase perencanaan dapat membantu


desain internal auditor tes yang paling efektif mengatasi risiko yang melekat dalam proses.

Badan Analisis Tingkat Kontrol

Meskipun penting untuk memahami tugas-tugas tingkat proses dan kontrol, juga penting
untuk memahami bagaimana entity level control dapat mempengaruhi kinerja dari sebuah proses.
Kekurangan dalam entity level control dapat menghindari dengan baik kontrol dirancang dalam
proses dan, pada kenyataannya, menjadi resiko yang melekat pada operasi yang efektif dari
kontrol pada tingkat proses. Sebagai contoh, jika organisasi kebijakan lebar cenderung informal
dan tidak konsisten menegakkan, maka kebijakan khusus untuk proses yang diaudit mungkin
tidak penting untuk memahami proses. Demikian pula, jika ada sedikit komitmen untuk menarik,
pelatihan, dan mengembangkan karyawan yang kompeten di bidang utama yang membutuhkan
kemampuan pengambilan keputusan dan penilaian yang kompleks, pendekatan pengujian
mungkin perlu diubah karena ketergantungan kurang dapat ditempatkan pada individu mampu
melakukan kompleks atau sangat tugas menghakimi.

Kontrol tingkat-entitas biasanya dievaluasi secara organisasiyang luas secara berkala (misalnya,
per tahun). Oleh karena itu, biasanya tidak akan diperlukan untuk melakukan penilaian terhadap
efektivitas pengendalian entitas-level pada setiap keterlibatan. Namun, seperti yang dijelaskan
dalam paragraf sebelumnya, auditor internal harus mempertimbangkan hasil penilaian kontrol
entitas tingkat ketika merencanakan keterlibatan individu untuk memastikan pendekatan untuk
pengujian yang relevan yang efisien.

Mendokumentasikan Arus Proses

Sebagaimana dibahas di atas, mungkin ada banyak jenis informasi yang dapat dikumpulkan
tentang proses dari berbagai sumber. Untuk menunjukkan bahwa auditor internal memahami
bagaimana proses sebenarnya beroperasi, langkah-langkah kunci harus didokumentasikan.
Proses ini aliran dokumentasi akan memfasilitasi review kertas kerja oleh atasan auditor internal
atau orang lain. Cara yang paling umum mendokumentasikan aliran proses adalah diagram alur
(tingkat tinggi atau rinci) dan memorandum narasi. Sebelum memberikan penjelasan singkat
masing-masing, penting untuk memahami beberapa perbedaan halus antara dokumentasi arus
proses.

Peta Proses, seperti yang dijelaskan dalam Bab 5, "Proses Bisnis dan Risiko", upaya untuk
menggambarkan masukan dewan, kegiatan, alur kerja, dan interaksi dengan proses dan output
lainnya. Mereka menyediakan kerangka kerja untuk memahami kegiatan dan subproses.

Flowchart mencakup informasi tambahan, sering menggambarkan sistem komputer dan


aplikasi, arus dokumen, risiko rinci dan kontrol, pengguna dibandingkan otomatis langkah,
waktu berlalu untuk langkah-langkah dalam proses, pemilik langkah kunci, dan informasi
tambahan yang diperlukan untuk membantu pengkaji memahami proess dan alirannya.

Memorandum Narasi memberikan informasi tentang aliran proses hanya menggunakan kata-
kata tertulis, tidak ada upaya untuk menggunakan simbol-simbol untuk menggambarkan aliran.
Hal ini umum untuk combin diagram alur dengan informasi naratif tambahan untuk membuat
bentuk hibrida dokumentasi.

Peta proses cenderung paling berguna pada tingkat bisnis, seperti yang dijelaskan dalam bab 5,
sedangkan diagram alur dan dokumentasi hibrida memberikan tingkat informasi yang diperlukan
untuk memahami proses rinci. Folowing adalah deskripsi singkat dari teknik tersebut sering
aused pada tingkat proses.

Diagram alur tingkat tinggi


Tujuan dari flowchart tingkat tinggi adalah untuk menggambarkan input luas, tugas, alur kerja,
dan output. Sebuah flowchart tingkat tinggi membantu pengulas memahami kegiatan
keseluruhan, sistem, laporan, dan interface dengan proses lain atau subproses. Pemahaman ini
akan memberikan kerangka penghormatan untuk mengidentifikasi subproses kunci dan sistem
yang dapat dipertimbangkan untuk lingkup yang terkait. Flowchart biasanya diambil seperti peta
proses, dengan informasi tambahan yang ditambahkan yang diperlukan untuk mendukung
undestanding aliran proses. Simbol flowcharting umum ditunjukkan dalam Exhinit-13-5.
Simbol-simbol ini memperluas mereka digunakan untuk peta proses, seperti yang dibahas dalam
bab 5.

COMMON FLOWCHARTING SYMBOLS

Process operation A process, subprocess, or activity.

Decision indicates alternative choice (for eample, yes/no or accept/ reject),


each of which result in different flows of activities and/or.
Document A hard copy input source document or output report.

Flow line The direction of activities, workflow, information flow, documents


and handoffs.
Computer system or application information technology that is used to store
data, run an application, or perform other computer-based fuctions.
On-page connector used to connect different parts of a flowchart on the same
page without the use of flow lines.
Terminator The start or end of a flow

Annotation An explanatory note attached to a specific point in a flowchart.

Sederhana, tingkat tinggi flowchart dapat digunakan untuk mengkonfirmasi keseluruhan


pemahaman auditor internal proses dengan pemilik proses, membantu dalam menentukan daerah
atau subproses berada dalam ruang lingkup yang terkait, dan berfungsi sebagai pandangan
ringkasan diagram alur rinci.

Flowchart Detail

Sementara flowchart tingkat tinggi adalah titik awal yang penting, tidak memberikan kedalaman
dan tingkat detail yang diperlukan untuk mendukung penilaian internal auditor mengenai desain
proses. Sebuah dokumen flowchart rinci masukan yang lebih spesifik, tugas, tindakan, sistem,
keputusan, dan output. Selain memberikan gambaran lebih rinci dari aliran proses, flowcharts
rinci yang menyediakan informasi tambahan yang meningkatkan pemahaman tentang proses.
Sebagai contoh, diagram alur rinci mungkin mencakup beberapa atau semua hal berikut:

Risiko utama, yang akan dilambangkan dengan simbol mengidentifikasi titik-titik dalam
proses dimana sesuatu yang bisa salah dan menyebabkan proses untuk tidak beroperasi
seperti yang dirancang.
Kontrol kunci, yang dapat dilambangkan dengan simbol mengidentifikasi tugas, tindakan,
atau keputusan yang dianggap penting untuk memadai dirancang proses.
Individu atau posisi yang melaksanakan tugas kunci atau membuat keputusan.
Waktu ketika tugas utama, tindakan, atau keputusan terjadi.
Waktu berlalu yang diperlukan untuk melakukan tugas atau membuat keputusan (ini
dapat mencakup jika flowchart digunakan untuk mengevaluasi efisiensi proses).

Karena banyak orang adalah belajar visual dan pemikir, diagram alur rinci adalah cara yang
efektif untuk menyajikan banyak informasi dalam format intuitif dan mudah dipahami. Tingkat
informasi dalam diagram alur rinci harus cukup untuk mendukung penilaian auditor internal
mengenai identifikasi kontrol kunci, kecukupan proses desain secara keseluruhan, dan
kesenjangan antara tingkat saat ini dan diinginkan kontrol tertentu.

Memorandum Narasi
Mungkin ada situasi di mana auditor internal percaya itu adalah lebih tepat untuk
mendokumentasikan pemahaman tentang proses menggunakan narasi write-up dibandingkan
dengan diagram alur. Situasi ini biasanya menunjukkan satu atau lebih dari karakteristik berikut:

Proses ini sederhana dan, dengan demikian, gambaran visual dibuat dalam
flowcharting bukanlah nilai yang besar.
Langkah-langkah yang rumit, sehingga sulit untuk menggambarkan secara efektif
dalam ruang terbatas yang disediakan dalam simbol flowchart.
Para pemilik proses ingin output untuk mendukung proses dokumentasi lain dan lebih
suka narasi write-up atas diagram alur.
Narasi write-up adalah cara yang lebih efisien mendokumentasikan proses.

Memorandum narasi harus mencakup jenis informasi yang sama seperti yang terkandung dalam
diagram alur. Sementara bagian tertentu dari memorandum tersebut dapat bervariasi antara
proses, memorandum umumnya harus mencakup unsur-unsur dari garis berikut:

1. Deskripsi keseluruhan dari proses


2. Masukan kunci
a. Dokumen atau komunikasi dari sumber luar (misalnya, faktur atau cek)
b. Output dari proses lain atau subproses
c. Informasi dari sumber luar
d. Data dari sistem internal
3. Langkah-langkah penting dalam proses
a. Tugas yang menangani, memeriksa, mengubah, atau yg mengingatkan input
b. Analisis yang rumit
c. Keputusan atau penilaian yang dibuat
d. Aplikasi komputer yang diperbarui
e. Dokumen baru atau informasi yang dibuat
f. Individu kunci melakukan tugas
g. Waktu berlalu untuk tugas-tugas atau kelompok tugas
4. Output kunci
a. Dokumen yang harus dikirim ke pihak luar (misalnya, tagihan, cek, atau pernyataan)
b. Laporan untuk penggunaan internal
c. Input ke dalam proses lain atau subproses
d. Data yang akan disimpan secara elektronik
e. Hard copy dokumentasi untuk disimpan secara internal
5. Risiko yang mengancam proses
6. Kontrol utama (lihat kunci control mengidentifikasi bagian selanjutnya dalam bab ini)

Mengidentifikasi Indikator Kinerja Utama


Setelah memperoleh pemahaman tentang aliran proses, akan sangat membantu bagi auditor
internal untuk juga memahami bagaimana manajemen tingkat proses memantau kinerja. Sering,
akan ada indikator kinerja utama (KPI) yang dimonitor secara berkala untuk memberikan
pemilik proses dengan informasi tentang seberapa baik proses kinerja. Pemantauan KPI ini
mungkin mirip dengan prosedur analitis auditor internal yang dilakukan, seperti yang dijelaskan
dalam sectio sebelumnya, atau sangat berbeda. Ini adalah karakteristik tertentu dari indikator
kinerja kunci yang baik. Mereka harus:
Relevan, yaitu mengukur apa yang penting yang bertentangan dengan apa yang terukur.
Terukur, yaitu ada informasi kuantitatif untuk menentukan kinerja sukses.
Tersedia, yaitu informasi yang dibutuhkan tersedia pada waktu yang tepat dan orang
yang tepat, memungkinkan untuk pengukuran tepat waktu kinerja proses.
Sejalan dengan tujuan utama dari proses (informasi pembayaran duplikat ditangkap
karena ada tujuan untuk tidak memilikinya).
Artikulasi kepada orang-orang yang terlibat dalam proses sehingga kunci dalam proses
sehingga mereka mengerti apa yang sedang diukur dan pentingnya mencapai level kinerja
yang (rekening karyawan hutang dapat melihat statistik tepat waktu dan menyesuaikan
kinerja mereka sesuai).

Indikator kinerja utama, baik formal maupun informal, dapat menentukan proses pemilik
toleransi terhadap penyimpangan kinerja. Manajemen menentukan apa tingkat kesalahan mereka
bersedia diterima ketika proses tidak dilakukan seperti yang diharapkan. Mengetahui tingkat
toleransi akan membantu auditor internal mengevaluasi hasil pengujian.
Mengevaluasi Proses tingkat Penipuan Resiko
Akhirnya, penting untuk memahami potensi tingkat proses risiko penipuan. Sebagaimana
dibahas dalam bagian berikutnya dalam bab ini, sebagian besar risiko didasarkan pada uncertanty
peristiwa yang mungkin terjadi karena sifat yang melekat pada proses. Yang melekat
kemungkinan risiko tertentu terjadi meningkat jika ada niat oleh seorang individu untuk
melakukan penipuan dan / atau kolusi antara beberapa individu yang terlibat dalam proses. Oleh
karena itu, sebelum memulai proses penilaian risiko formal dalam pertunangan, penting untuk
mengevaluasi potensi skenario penipuan dalam proses. Melibatkan tiga langkah berikut:
1. Mengidentifikasi potensi skenario penipuan. Brainstroming dengan individu yang
terlibat dalam proses tersebut merupakan cara yang efektif untuk mengidentifikasi
kemungkinan cara dengan mana individu, bekerja sendiri atau dalam kolusi dengan orang
lain, bisa menghindari proses.
2. Memahami dampak penipuan potensial. Potensi dampak dari setiap skenario penipuan
harus ditentukan.
3. Tentukan apakah untuk menguji risiko kecurangan tertentu. Berdasarkan dua
langkah pertama, auditor internal dapat menilai, berdasarkan risiko yang melekat
penipuan dalam proses, apakah tes khusus harus dirancang untuk menentukan kerentanan
untuk penipuan.

IDENTIFIKASI DAN MENILAI RISIKO

Mengidentifikasi Proses-tingkat Skenario Risiko


Sebuah organisasi yang didirikan proses untuk melaksanakan rencana usaha dan mencapai
tujuannya. Proses ini mungkin diskrit dan terfokus, atau mereka mungkin lintas fungsional.
Risiko ada di semua proses, terlepas dari luasnya, lokasi, atau fokus. Tugas pertama dalam
menilai risiko tingkat proses adalah untuk mengidentifikasi skenario risiko yang melekat dalam
proses. Skenario risiko potensial kejadian kehidupan nyata yang dapat berdampak negatif
terhadap pencapaian tujuan.

Tujuan mengidentifikasi skenario risiko adalah untuk menjawab pertanyaan: Apa yang bisa
terjadi yang akan mencegah pencapaian setiap tujuan tingkat proses? Untuk menjawab
pertanyaan ini, auditor internal harus otak-badai skenario risiko yang mungkin terjadi. Berikut ini
memberikan garis besar tentang bagaimana hal ini dapat dilakukan.
1. Pilih tujuan tingkat proses tunggal. Latihan ini bekerja baik jika dilakukan satu tujuan
pada suatu waktu.
2. Brainstorm hambatan (peristiwa, masalah, keadaan, dll) yang mungkin mengancam
pencapaian tujuan. Contohnya adalah sebagai berikut:
a. Peristiwa eksternal yang organisasi tidak siap atau tidak bereaksi untuk tepat waktu
atau tepat.
b. Tidak cukup dirancang atau kurang didokumentasikan prosedur.
c. Kerusakan dalam prosedur yang ada.
d. Kurangnya orang yang tepat, dengan keterampilan yang tepat, digunakan dengan cara
yang benar.
e. Komunikasi yang tidak memadai antara daerah interfacing.
f. Karyawan yang dengan sengaja melanggar kebijakan atau bertindak tidak etis.
g. Tidak cukup dirancang atau usang aplikasi komputer.
h. Terlalu cepat, akurat, atau tidak memadai informasi untuk pengambilan keputusan.
i. Kegagalan untuk mengukur kinerja.
3. Lanjutkan latihan untuk tujuan tingkat proses yang tersisa.
4. Sejak beberapa skenario risiko akan serupa di tujuan tingkat proses, mengelompokkan
dan menggabungkan skenario risiko serupa.

Latihan bertukar pikiran akan dioptimalkan jika individu yang terlibat dalam proses
berpartisipasi. Mereka mungkin dapat mengidentifikasi skenario risiko berdasarkan pengalaman
tangan pertama. Namun, auditor internal yang berpengalaman harus bisa melakukan latihan ini
tanpa bantuan dari individu tingkat proses.

Sebuah cara yang efektif untuk auditor internal untuk melakukan seperti sesi brainstorming
adalah untuk menulis skenario yang berbeda pada catatan diri menempel dan menempatkan
mereka di dinding atau papan besar. Setelah brainstroming selesai, catatan dapat (1) diatur oleh
tujuan untuk memastikan komprehensif menutup-usia masing-masing tujuan, dan (2)
dikategorikan menurut jenis skenario serupa untuk mendukung definisi risiko.

Mendefinisikan Proses Risiko-tingkat

Sebagaimana ditunjukkan di atas, skenario risiko serupa memberikan dasar untuk


mengidentifikasi risiko tingkat proses. Para skenario risiko mewakili spesifik peristiwa
kehidupan nyata yang dapat mempengaruhi pencapaian tujuan. Risiko adalah deskripsi yang
lebih luas dari sebab dan akibat peristiwa tersebut. Tugas berikutnya dalam menilai risiko tingkat
proses adalah untuk menentukan risiko yang relevan.

Ada banyak cara untuk mendefinisikan risiko. Pendekatan yang optimal tergantung pada budaya
dan "bahasa risiko" dari organisasi. Namun, terlepas dari pendekatan yang unik yang mungkin
ada dari satu organisasi ke depan, penting untuk konsisten. Kurangnya konsistensi dapat
membuat lebih sulit bagi resiko secara luas dipahami seluruh organisasi.

Pembayaran ganda
kegagalan untuk identitas beberapa input faktur dapat mengakibatkan pembayaran ganda kepada
vendor yang bisa tidak terdeteksi.

Ketepatan waktu
Ketidakmampuan untuk memproses pembayaran tepat waktu dapat mengakibatkan denda atau
hukuman (untuk pembayaran terlambat).

Akses sistem
Kurangnya praktik keamanan logis yang efektif dapat menciptakan peluang bagi individu yang
tidak sah untuk mengakses, memanipulasi, atau menghapus data.

Sumber daya mnusia


Ketidakmampuan untuk menarik, mengembangkan, menyebarkan, dan mempertahankan
individu yang kompeten dapat menyebabkan pembayaran yang tidak akurat atau tidak tepat
waktu.
Setelah risiko didefinisikan, mereka harus dikaitkan dengan tujuan tingkat proses untuk
memastikan ada hubungan antara masing-masing risiko dan tujuan. Seperti dibahas di bawah,
penilaian risiko melibatkan pertimbangan dampak pada kemampuan untuk mencapai tujuan.

Karyawan bertanggung jawab untuk mengelola risiko tingkat proses, adalah penting bahwa
mereka memiliki pemahaman yang seragam dan konsisten tentang risiko tersebut. Oleh karena
itu, auditor internal harus berbagi dan mendiskusikan definisi risiko dengan manajemen tingkat
proses dan karyawan untuk memvalidasi bahwa daftar risiko selesai. Sukses dengan tugas ini
akan membantu memfasilitasi keberhasilan dalam mengevaluasi dampak dan kemungkinan
risiko tugas yang berikut.

Mengevaluasi dampak dan kemungkinan risiko

Sekarang bahwa risiko telah diidentifikasi dan didefinisikan, auditor internal siap untuk
melakukan penilaian risiko. Dalam tugas ini, fokusnya adalah pada penentuan dampak potensial
dan kemungkinan setiap risiko. Tujuan evaluasi ini adalah untuk membantu mengidentifikasi
risiko yang akan memiliki dampak buruk terbesar pada pencapaian tujuan tingkat proses.

Proses untuk melakukan penilaian risiko tingkat proses umumnya melibatkan tiga langkah
berikut:

1. Menentukan dampak dari berbagai hasil yang terkait dengan masing-masing risiko. Tips
berikut bisa membantu ketika melakukan langkah ini:
Ingat bahwa, menurut definisi, risiko merupakan ketidakpastian, karena itu mungkin ada
beberapa hasil risiko yang mungkin. Auditor internal harus mencoba untuk tidak fokus
hanya pada satu hasil risiko yang mungkin dan mengabaikan hasil yang lebih mungkin atau
membawa dampak yang lebih.
Risiko biasanya diukur dari segi dampak keuangan yang merupakan dampak paling umum
dan mudah diukur. Namun, mungkin ada hasil risiko lain yang baik tidak dapat diukur
secara finansial atau mungkin dianggap lebih parah daripada dampak keuangan. Misalnya,
merugikan kesehatan dan keselamatan karyawan, atau penurunan reputasi organisasi karena
publisitas negatif dapat dianggap sebagai hasil yang lebih parah daripada dampak keuangan
langsung risiko tersebut.
Dampak harus fokus pada potensi eksposur selama periode waktu tertentu, biasanya satu
tahun.

2. Langkah kedua adalah untuk memperkirakan kemungkinan bahwa setiap dampak risiko akan
terjadi.
Tips berikut mungkin berguna ketika melakukan langkah ini:

Sebagaimana dibahas di atas, risiko memiliki berbagai hasil yang mungkin, masing-masing
akan memiliki kemungkinan yang berbeda terjadi. Hal ini penting untuk fokus pada hasil
risiko ditentukan pada langkah sebelumnya.
Karena ada banyak hasil risiko, ada juga mungkin banyak akar penyebab mengapa risiko
terjadi. Setiap akar penyebab mungkin memiliki kemungkinan yang berbeda. Oleh karena
itu, penting untuk mempertimbangkan akar penyebab yang mendasari hasil yang dipilih
ketika mengevaluasi kemungkinan kejadian risiko.
Seperti halnya ketika menentukan dampak risiko, tidak perlu untuk mendapatkan tingkat
ketepatan yang tinggi ketika memperkirakan kemungkinan risiko. menggunakan skala
umum (misalnya, tinggi / menengah / rendah) biasanya akan cukup. Sebagai contoh,
kemungkinan besar dapat menunjukkan bahwa dampak risiko mungkin tidak terjadi (yaitu
lebih dari 50 persen), kemungkinan media dapat menunjukkan bahwa dampak risiko yang
mungkin (misalnya, dari 10 persen sampai 50 persen), dan kemungkinan rendah mungkin
menunjukkan bahwa dampak risiko jauh (misalnya, kurang dari 10 persen).

3. Langkah terakhir adalah untuk menggabungkan penilaian dampak dan kemungkinan ke dalam
penilaian risiko tunggal. cara terbaik untuk melakukannya adalah membuat matriks risiko yang
menunjukkan keterkaitan antara dampak dan kemungkinan setiap risiko. Sebagai contoh, matriks
risiko menggambarkan penggunaan skala tinggi / menengah / rendah untuk kedua dampak dan
penilaian kemungkinan. Ketika meninjau risiko matriks ini, perhatikan bahwa nomor untuk
setiap kotak untuk menandakan keseluruhan tingkat risiko. Setelah setiap risiko ditempatkan di
salah satu kotak, mereka dapat diklasifikasikan sebagai berikut:
- Risiko dalam kotak 8 atau 9 (merah) dianggap berisiko tinggi.
- Risiko dalam kotak 5,6, atau 7 (kuning) dianggap berisiko menengah.

- Risiko dalam kotak 1,2,3, atau 4 dianggap berisiko rendah.

Biasanya, risiko tinggi dan menengah harus dimasukkan dalam setiap keterlibatan jaminan audit
internal. Risiko rendah mungkin atau mungkin tidak disertakan, tergantung pada piagam fungsi
audit internal dan pertimbangan sumber daya.

Menggunakan matriks atau beberapa cara lain untuk visual menggambarkan hasil penilaian
risiko akan memfasilitasi kajian keseluruhan putusan yang dibuat dalam proses penilaian risiko
oleh manajemen audit internal dan pemilik proses. Ulasan tersebut, terutama oleh pemilik proses,
akan membantu memvalidasi penilaian yang dilakukan oleh auditor internal.

Contoh Matriks Risiko

High 7 8 9
IMPACT Medium 4 5 6
Low 1 2 3
Low Medium High
LIKELIHOOD

Contoh matriks risiko pengeluaran kas

7 8 9
Risiko harapan Risiko
High pembayaran
ganda
IMPACT Risiko sistem
akses
Medium 4 5 6
Risiko sumber Risiko
daya manusia ketepatan
waktu
Low 1 2 3

Low Medium High


LIKELIHOOD
Risiko harapan dianggap dampak tinggi sebagai kurangnya arah yang cukup dan
pengawasan dari manajemen senior dapat mengakibatkan pengeluaran bahan yang
dibuat dengan cara yang tidak pantas atau penipuan. Risiko ini dianggap kemungkinan
rendah karena ada banyak contoh kebijakan yang baik dan prosedur yang mengatur
aktivitas, dan manajemen senior tidak mungkin untuk mengabaikan seperti daerah
penting.

Risiko Ketepatan waktu dianggap dampak jangka menengah sebagai denda dan bunga
karena terlambat tidak akan berdampak material, meskipun hubungan vendor buruk
masih akan menjadi perhatian. Risiko ini dianggap kemungkinan tinggi karena ada
ketergantungan pada orang lain untuk memulai proses pengeluaran kas dan dengan
syarat pembayaran umumnya ketat, ada berbagai penundaan yang dapat terjadi dalam
proses menyebabkan pembayaran terlambat.

Risiko sumber daya manusia dalam dampak media dianggap sebagai kegagalan untuk
merekrut, mengembangkan, dan memelihara orang-orang yang kompeten dalam
rekening departemen hutang bisa menghasilkan lebih tinggi dari jumlah yang
diinginkan dari pembayaran tidak akurat atau terlambat. Risiko ini dianggap
kemungkinan media sebagai keahlian yang diperlukan tidak sulit untuk menemukan di
pasar.

Risiko sistem akses dianggap dampak tinggi sebagai akses yang tidak sah dapat
mengakibatkan perubahan.

Risiko pembayaran ganda dianggap dampak tinggi sebagai duplikat tunggal bisa
material dan akan mewakili dana yang hilang jika tidak terdeteksi. Risiko ini dianggap
kemungkinan menengah karena cukup umum untuk duplikat faktur yang akan
dipresentasikan kepada sebuah perusahaan, bagaimanapun, sebagian besar vendor
umumnya jujur sehingga kecil kemungkinan bahwa duplikat pembayaran material akan
terdeteksi dari waktu ke waktu.

Memahami risiko manajemen yang dapat ditoleransi

Secara tradisional, penilaian dari tim audit internal telah menjadi satu-satunya sumber untuk
mengevaluasi risiko. Hal ini mencerminkan peran tata kelola auditor internal dalam organisasi.
Namun, premis yang mendasari dalam manajemen risiko perusahaan adalah bahwa manajemen
harus menetapkan toleransi risiko bisnis yang konsisten dengan risk appetite keseluruhan
organisasi. Premis ini berlaku pada tingkat proses juga.

Oleh karena itu, penting bagi auditor internal untuk memvalidasi kewajaran tinggi, sedang, dan
rendah dampak yang dipekerjakan. Ada kemungkinan bahwa manajemen memiliki tingkat yang
berbeda dari toleransi risiko untuk proses itu. Untuk memperoleh pemahaman tentang tingkat
toleransi risiko manajemen, tiga langkah berikut harus dilakukan:

1. Mengidentifikasi hasil risiko yang mungkin


Seperti dijelaskan sebelumnya, menurut definisi, risiko mewakili berbagai hasil yang mungkin.
Sementara hasil seperti biasanya diukur secara finansial, mungkin ada hasil risiko lain yang lebih
parah daripada dampak keuangan. Sebagai contoh, keselamatan karyawan mungkin lebih parah
daripada denda potensial atau hukuman karena pelanggaran keamanan. Demikian pula, dampak
dari kegagalan untuk melindungi privasi data pelanggan bisa lebih parah daripada biaya untuk
memulihkan atau melindungi data tersebut.

1. Hasil Identifikasi Risiko yang mungkin. Seperti dijelaskan sebelumnya, menurut


definisi, risiko mewakili berbagai kemungkinan hasil.
2. Memahami Tingkat Toleransi Didirikan. Setelah hasil risiko yang berbeda yang
ditentukan, diskusi dapat diselenggarakan dengan manajemen proses untuk
mengidentifikasi tingkat toleransi bahwa mereka sudah berhasil mendirikan.
3. Menilai Tingkat Toleransi untuk Hasil yang Memiliki Tidak Telah Didirikan.
Sampai-sampai tingkat toleransi didirikan tidak komprehensif mengatasi semua hasil
risiko yang mungkin, diskusi harus diadakan dengan manajemen proses untuk
menentukan tingkat toleransi yang sesuai.
Memahami tingkat toleransi manajemen adalah penting, tetapi tidak selalu menggantikan
pertimbangan auditor internal. ingat, fungsi audit internal memiliki banyak pemangku
kepentingan. Ini adalah tanggung jawab fidusia terhadap pemangku kepentingan lainnya tidak
boleh disubordinasikan jika auditor internal percaya manajemen tingkat proses memiliki tingkat
yang lebih tinggi toleransi risiko dari para pemangku kepentingan lainnya.

Mengidentifikasi Kendali Kunci


Berbagai tindakan membuat suatu proses. Semua mungkin memiliki peran dalam mencapai hasil
akhir, tetapi tidak hanya sedikit yang benar-benar penting untuk hasil, yaitu, ketidakhadiran
mereka akan membuat sulit untuk mencapai hasil yang diinginkan.

Untuk menjalankan tugas ini dalam perencanaan keterlibatan, penting untuk memahami berbagai
jenis pengendalian yang dapat dianggap kontrol utama pada tingkat proses. Meskipun berikut ini
bukan daftar lengkap, itu merupakan contoh jenis pengendali:

- Menyetujui, melibatkan mendapatkan otorisasi untuk melaksanakan transaksi dengan


memberdayakan seseorang untuk melakukannya (misalnya, persetujuan write-off).
- Menghitung, memerlukan komputasi atau menghitung ulang jumlah hasil dari data lain
yang diperoleh dalam proses (misalnya, menggunakan data historis write-off untuk
menghitung cadangan kredit macet, atau memeriksa perhitungan penyusutan untuk
memastikan jumlah sistematis dihitung wajar).
- Mendokumentasikan, berkaitan dengan menjaga informasi sumber atau
mendokumentasikan alasan di balik keputusan dibuat untuk referensi di masa mendatang
(misalnya, pemindaian menerima dokumentasi, faktur, dan cek untuk mendukung
pembayaran, atau menulis sebuah memorandum ke file yang menguraikan pertimbangan
yang digunakan dalam menentukan akrual).
- Memeriksa, melibatkan memverifikasi atribut, yaitu, elemen data, peristiwa, atau bukti
dokumen yang mendukung keberadaan atau terjadinya (misalnya, bukti bahwa barang
dibayar untuk diterima).
- Mencocokan, memerlukan membuat perbandingan antara dua atribut yang berbeda untuk
memverifikasi bahwa mereka setuju (misalnya, jumlah pembayaran setuju dengan nilai
faktur)
- Memantau, merupakan memeriksa untuk memastikan aksi yang terjadi (misalnya,
memantau bahwa pemberi persetujuan faktur tidak melebihi batas nya)
- Membatasi, melibatkan tidak mengizinkan tindakan yang tidak dapat diterima (misalnya,
melarang spekulasi fluktuasi suku bunga, atau tidak memungkinkan individu yang tidak
sah untuk mengakses data tertentu dalam sistem kunci).
- Memisahkan, berfokus pada memisahkan tugas sesuai yang akan menciptakan potensi
tindakan yang tidak diinginkan (misalnya, memisahkan cek penandatanganan dan
persetujuan otoritas faktur).
- Mengawasi, melibatkan memberikan arahan dan pengawasan untuk memastikan
tindakan dan tugas yang dilakukan seperti yang dirancang (misalnya, seorang pengawas
menyetujui batch sebelum pemrosesan komputer).

Seperti yang dibahas sebelumnya, identifikasi proses kontrol-level biasanya dimulai dalam dua
langkah perencanaan sebelumnya: Memahami Auditee dan Mengidentifikasi dan Menilai Risiko.
Tugas saat ini melibatkan memastikan bahwa setiap proses kontrol tingkat tambahan telah
diidentifikasi sebelum penilaian dilakukan pengendalian untuk mengurangi risiko utama. Berikut
ini penting ketika menentukan pengendalian kunci:

- Auditor internal harus memiliki pemahaman yang jelas tentang tujuan tingkat proses.
- Konsekuensi pelaksanaan kontrol yang tidak memadai harus dievaluasi untuk
menentukan apakah kekurangan pengendalian secara signifikan akan mengganggu
pencapaian tujuan.
- Kontrol kompensasi lain harus dipertimbangkan.
- Dampak dari kontrol tingkat-entitas juga harus dipertimbangkan.
- Kontrol berlebihan, atau mereka yang tidak efektif, mungkin perlu perubahan atau
dihilangkan. Kontrol tersebut mungkin bukan kontrol kunci.

MENGEVALUASI KECUKUPAN KONTROL DESAIN

Langkah berikutnya dalam proses perencanaan keterlibatan adalah untuk mengevaluasi


kecukupan desain proses. Pertanyaan-pertanyaan berikut harus dipertimbangkan ketika
mengevaluasi kecukupan proses desain:

- Apakah auditor internal memahami apa sebuah "tingkat yang dapat diterima" dari risiko
adalah, didasarkan pada tingkat toleransi risiko manajemen untuk proses tersebut?
- Apakah kunci control, diambil secara individual atau secara agregat, mengurangi risiko
tingkat proses yang sesuai dengan tingkat yang dapat diterima?
- Apakah ada kontrol kompensasi tambahan dari proses lain yang mengurangi risiko ke
tingkat yang cukup rendah?
- Apakah itu muncul bahwa kontrol utama, jika beroperasi secara efektif, akan mendukung
pencapaian tujuan tingkat proses?
- Sejauh yang sesuai, apakah proses desain efektivitas alamat dan efisiensi operasi,
keandalan pelaporan, kepatuhan terhadap hukum dan peraturan yang berlaku, dan
pencapaian tujuan strategis?
- Apa kesenjangan, jika ada, ada yang menghambat proses?

Pertimbangan auditor internal khas adalah salah satu langkah berikut:

- Kunci control ditunjukkan dirancang secara memadai untuk mengelola risiko ini ke
tingkat yang dapat diterima.
- Kontrol kunci yang ditunjukkan tidak dirancang secara memadai untuk mengelola risiko
ini ke tingkat yang dapat diterima (menggambarkan desain gap).
Setelah auditor internal telah membentuk penilaian pada desain kecukupan untuk setiap risiko
individu, evaluasi dapat dibuat mengenai desain dari proses secara keseluruhan. contoh
kesimpulan tersebut meliputi:

- Desain memadai, tidak ada kesenjangan yang signifikan.


- Desain memadai, namun, ada kesenjangan.
- Desain tidak memadai, kesenjangan yang signifikan ada.

MENCIPTAKAN RENCANA UJI

Sekarang internal auditor sepenuhnya memahami bagaimana proses beroperasi dan telah
mengevaluasi kecukupan proses desain, langkah berikutnya adalah mengembangkan rencana uji.
Sebuah rencana uji harus dirancang untuk mengumpulkan bukti yang cukup dan tepat untuk
mendukung evaluasi seberapa efektif kontrol utama dilaksanakan. Evaluasi dan evaluasi dari
desain kecukupan proses, diambil bersama-sama, memberikan keyakinan yang memadai bahwa
tujuan tingkat proses akan tercapai.
Berdasarkan pemahaman yang didapat dari langkah-langkah perencanaan keterlibatan
sebelumnya, auditor internal kini siap untuk: (1) menentukan kontrol cukup penting untuk
menguji, (2) mengembangkan pendekatan untuk pengujian

Menentukan Pengendalian Untuk Menguji

Sebagaimana ditunjukkan di atas, fokus utama dari pengujian adalah untuk menentukan apakah
kontrol utama dilaksanakan secara efektif enought untuk proses produktif. Risiko dikelola cukup.
sementara ini mungkin dicapai dengan menguji semua kontrol utama yang diidentifikasi, ada
faktor lain auditor internal harus dipertimbangkan ketika menentukan kontrol untuk teks:

Apakah ada kontrol tingkat tinggi yang mungkin, dengan sendirinya, menyediakan
keyakinan memadai bahwa risiko yang relevan dikelola suffiencienly? tingkat kontrol
yang lebih tinggi mungkin rekonsiliasi, monitorong, atau kontrol pengawasan
performanced oleh individu independen dari qwners kontrol rinci misalnya, supervisor
atau manajer mereka sebagai bagian dari risiko top-down dilarang kontrol assensment,
auditor internal harus memberikan considerstion terhadap tingkat yang lebih tinggi
kontrol, seperti dampak dari teh ebtity - tingkat kontrol harus dipertimbangkan dapat
dibahas sebelumnya dalam chapter3 ini
Apakah ada kontrol compencating lain yang beberapa alamat risiko? Jika demikian,
mungkin lebih efisien untuk menguji kontrol ini daripada berfokus pada pengujian dari
masing-masing kunci control rinci.
Apakah desain kontrol assesed sebagai memadai? jika bersih, hal itu mungkin tidak
diperlukan untuk menguji kontrol seperti, bahkan dengan operasi yang efektif, risiko
tidak dapat dikurangi karena desain inadeuate
o Bagaimana pernah, auditor internal dapat memutuskan untuk melakukan rasa
untuk menentukan tingkat kesalahan yang dihasilkan dari desain kontrol yang
tidak memadai. jenis tes untuk mengukur kesalahan teh
Ketika melakukan kontrol kunci oprate dan berdasarkan periode dalam lingkup untuk
engangement, apakah persentical untuk teste kontrol kunci tertentu?
Bagaimana ada bocn perubahan dalam proses selama periode yang menghasilkan kontrol
kunci tertentu beroperasi hanya sebagian dari periode dalam lingkup? jika demikian,
pertimbangan harus diberikan untuk bagaimana perubahan ini mungkin berdampak pada
pengujian kontrol kunci.

Setelah faktor-faktor ini telah dipertimbangkan, auditor internal siap untuk mengembangkan
pendekatan pengujian specifiec. seperti yang ditunjukkan di atas, pendekatan biasanya
difokuskan pada evaluasi efektivitas pengendalian yang dirancang secara memadai, tetapi
beberapa pengujian mungkin diperlukan untuk kualitas dampak kontrol yang tidak dirancang
secara memadai.

Mengembangkan pendekatan Pengujian

Pendekatan pengujian meliputi penentuan sifat, lingkup, dan waktu untuk melakukan tes. tujuan
utama dari pengujian la untuk menentukan apakah kontrol beroperasi seperti yang dirancang
untuk mengurangi risiko sesuai dengan tingkat yang dapat diterima. jenis yang berbeda dari tes
pemeriksaan dijelaskan.

Dalam grester detail dalam ch 10,. "Bukti audit dan kertas kerja ing. bagaimana pernah, berikut
menguraikan keputusan yang harus dibuat ketika mengembangkan pendekatan pengujian.

Sifat tes. berbagai jenis tes menyediakan berbagai tingkat jaminan dan akan mengambil jumlah
waktu yang berbeda untuk melakukan.

Tingkat tes.

Waktu tes
EXAMPLE RISK AND CONTROL MATRIX
FOR CASH DISBURSEMENTS

Mendokumentasikan pendekatan pengujian

Contoh risiko dan pengendalian matriks ditampilkan exibit 13-10 dapat diperluas dengan
menambahkan kolom untuk memasukkan pendekatan pengujian untuk setiap risk.note bahwa
beberapa tes individu mungkin berlaku untuk kontrol mutliple, itu, adalah, mereka tets multiguna

Mengembangkan program kerja

Example risk and control matrix with testing approach


Process-level risk Key control Testing approach
Risk A- Definition Activity A Test A
(associated process-level Activity B Test B
objectives) Activity C Test C
Risk B- Definition Activity A Test A
(associated process-level Activity B Test B
objectives) Activity C Test c
Proses-Risiko
Kunci Pengendalian Pendekatan pengujian
level
Risiko harapan- Delegasikebijakanotoritasmenetapk 1. meninjaukebijakanpendelegasi
kurangnya antingkatpersetujuan anwewenang danmengevaluasi
kebijakanyang untukpengadaan apakahtampaknya
berkembang danpenyalurankeputusan. menjaditanggung
dengan baikdan Hutangtelahdiserahkanprosedur jawabhadiryhediberikansaat ini
kebijakan yang semua rincian dansesuaiindividu.
diartikulasikan, mengkonversitugaspencairankunci. 2. Pilihsampeldari80pencairan(ris
prosedur dan iko 10%, 5% tingkat
bentuk lain deviasiditoleransi, dan1%
komunikasi dari diharapkantingkatdeviasi)dan
manajemen dapat tes
mengakibatkan untukpersetujuansesuaidengan
karyawan kebijakan
melaksanakan 3. meninjau dan
tanggung jawab membahasProsedur
mereka dengan dasardengan
carayang tidak akunpribadihutanguntuk
sesuai menentukan
denganharapan apakahprosedurakurat
dan keiingan mencerminkantugas-tugasyang
manajemen diperlukan dandapat
(keakuratan, tepat diikutioleh orang lain
waktu, mencatat,
kepatuhan dan
persetujuan
objek)
Risiko Alert sistem pembelian dengan 1. mengujifungsionalitasduplikatf
Pembayaran Hutang Panitera nomor penjual, aktursistemdengan mencoba
Ganda- nomor faktur, dan jumlah faktur untukmemasukkan
Kegagalanuntuk sesuai faktur yang dimasukkan nomorfakturduplikat.
mengidentifikasib sebelumnya. jugamengujiapa yang terjadi
eberapa Pembayarab kas yang jikasuatudigitatausimbolditam
inputfakturdapat dijalankanakan bahkan ke akhirdari
mengakibatkanpe benderapembayaranjumlahidentik sejumlahfakturduplikat.
mbayaran Ganda denganvendor yang samauntuk 2. karenasistem tersebuthanya
kepadavendor ulasansebelum pencairan peringatanpengguna
yangbisaterdeteks untukkemungkinanduplikatpe
i atau sulit untuk mbayaran, ekstrak 100% dari
membuktikan dan pembayaran untuktahun lalu
mengumpulkan(K dantes
eakuratan dan untukpembayaranduoicatemun
mencatat tujuan) gkin.
3. Pengujian untuk
memastikanbenderapengeluara
n kasberoperasi
sebagaidirancang.

Risiko Sistem ini mensyaratkan suatu 1. menguji sitem fungsi untuk 3


Ketepatan tanggal pembayaran menjadi kunci pengendalian.
Waktu- masukan selama entri data faktur. 2. Menggunakan software
ketidakmampuan laporan edit dihasilkan setiap kali analisis data, menghitung
untukmemproses data payement lebih dari 30 hari perbedaan antara tanggal
pembayaransecar setelah tanggal faktur. pembayaran dengan tanggal
a tepat layar masukan faktur telah tagihan untu 100%
waktudapat mengajukan suatu yang dapat pembayaran yang dibuat
mengakibatkande diperiksa jika invoce memenuhi selama tahun lalu.
nda ataudiskon syarat untuk diskon awal-bayar Menindaklanjuti pembayaran
yang hilang. yang telat dan diskon yang
hilang.
Risiko Akses keamananlogisdikelola 1. Keamanan IT logikal diuji
sistem- Kurang olehTIdengan cara yang keterlibatan terpisah oleh
efektifnya samaseperti untuksemua aplikasi. spesialis IT audit. memeriksa
praktik Manajer bagian hutang hasil audit untuk memastikan
keamananlogis dagangharus meninjau bahwa tidak ada kekurangan
membuat danmengkonfirmasihakacces desain yang berkaitan dengan
kemungkinan kepengeluaran kassistem pengamanan pengeluaran kas.
peluang untuk tersebutdua kali per tahun 2. Diskusi dengan manajer bagian
adanya akses hutang dagang untuk
yang tidak sah, konfirmasi hak akses.
manipulasi atau memeriksa dokumentasi
penghapusan pendukung Prosedur dasar ini.
kunci data
pembayaran
(Keakuratan,
Pencatatan dan
tujuan aliran kas)

TABEL CONTOH MATRIX RISIKO DAN PENGENDALIANNYA UNTUK


PEMBAYARAN KAS

Berikut ini Program kerja dari persfektif lain:

1. Sebuah temple standar atau daftar yang meminjamkan kepada audotor internal kertas kerja
untuk mendokumentasikan kompilasi langkang-langkah perancanaan. Hal ini dilakukan
untuk memastikan setiapketerlibatanmencakup semuatugas yang diperlukan.
2. Memorandummeringkastugas yangselesai.
3. Tambahan kolom dalam matriks risiko dan pengendaliannya jika auditor internal ingin
mempunyai semua tercantum dalam satu dokumen.
4. Kombinasi dari ketiga komponen yng sudah dibahas sebelumnya.
Format ini akanbervariasi darifungsi auditinternal untukfungsi audit internal. Poin-point kunci
yang harus dilakukan:

1. Meyakinkan semua anggota tim penugasan memahami apa yang sudah beres dan apa
yang masih harus dikerjakan.
2. Mengkomunikasikan siapa yang bertanggungjawab untuk menampilkan tugas penugasan
yang lain.
3. Menyediakan catatan tugas yang lengkap
4. Memfasilitasi review oleh manajer penugasan dan direksi yang menyediakan kesalahan
dan arahan selama proses perencanaan penugasan.

Yang tidak usah terlalu diperhatikan dari format didalam tipe program kerja:

1. Tugas kunci adminstratif, seperti persiapan atas rencana, memorendum,penjadwalan


sumber daya, dll
2. Melakukanrapa denganmanajementingkatproses untuk membahastujuan dan ruang
lingkuppenugasan.
3. Penugasan perencanaan, yang telah terdaftar pada bahasan bab ini.
4. Tugas lapangan, yang telah terdaftar pada pengujian yang spesifik.
5. Langkah meringkasan, seperti pembukaan kliring catatan review, melakukan sebuah
penutupan rapat dengan level proses manajemen, mengakhiri kertas kerja.
6. Melaporkan penugasan, seperti penyiapkan draft komunikasi penugasan, melakukan
sosialisasi umpanbalik dari level proses manajemen, dan menerbitkan sebuah akhir
komunikasi penugasan.

ALOKASI RESOURCHE TO THE ENAGEMENT

Penganggaran
Jam yang dibutuhkan untuk menyelesaikan pertunangan
Biaya lain-lain

Sumber daya Engagement:


Auditor Internal
Orang lain (internal / eksternal)
Perjalanan
Teknologi
Lainnya

Mengalokasikan sumber daya manusia

Strategis sourcing, suplemen fungsi audit in-house internal melalui penggunaan layanan vendor
pihak ketiga untuk tujuan memperoleh keahlian subjek untuk keterlibatan tertentu atau mengisi
kesenjangan dalam sumber daya yang dibutuhkan untuk menyelesaikan rencana audit internal.

Penjadwalan sumber daya dapat menjadi proses yang sangat dinamis, item berikut perlu
dipertimbangkan:
Ketersediaan tenaga proses kunci
Ketersediaan sumber daya luar
Ketersediaan sumber daya keterlibatan
Ketersediaan pengulas kunci

PERILAKU TES UNTUK KUMPUL BUKTINYA

Transisi keterlibatan jaminan dari tahap perencanaan sampai dengan tahap pelaksanaan.
Pendekatan pengujian dikembangkan dalam tahap perencanaan dan digariskan dalam risiko dan
pengendalian matriks sekarang harus dijalankan untuk menentukan apakah kontrol beroperasi
seperti yang dirancang. Seperti setiap tes dilakukan, bukti akan dikumpulkan untuk mendukung
kesimpulan auditor internal mengenai seberapa efektif kontrol beroperasi.

MENGEVALUASI bukti yang dikumpulkan DAN KESIMPULAN REACH

Melakukan tes pemeriksaan memungkinkan auditor internal untuk mengumpulkan bukti yang
dibutuhkan untuk mengevaluasi kecukupan desain dan efektivitas operasi pengendalian kunci
dan mencapai kesimpulan tentang efektivitas proses atau daerah di bawah ulasan.

Evaluate Evidence Gathered and Reach Conclusions

Melakukan tes pemeriksaan memungkinkan auditor internal untuk mengumpulkan


buktinya diperlukan untuk mengevaluasi kecukupan desain dan efektivitas operasi pengendalian
kunci dan mencapai kesimpulan tentang efektivitas proses atau luas di bawah ulasan. Berikut ini
adalah pertanyaan yang auditor internal mungkin perlu untuk menjawab, tergantung pada carter
fungsi internal audit, tujuan keterlibatan, dan harapan para auditee dan pemangku kepentingan
audit internal lainnya:

Apakah desain kontrol utama memadai?


Apakah kunci control beroperasi secara efektif, yaitu, seperti yang dirancang
untuk beroperasi?
Apakah risiko yang mendasari yang dikurangi ke tingkat yang dapat diterima?
Secara keseluruhan, lakukan desgin dan pengoperasian kunci kontrol lebih
mendukung pencapaian tujuan untuk proses atau daerah yang sedang dikaji?

Jawaban atas pertanyaan ini membutuhkan auditor internal untuk mencapai kesimpulan
biasanya akan membutuhkan banyak pertimbangan.

Example Risks and Control Matrix For Cash Disbursements


Process-Level Risk Testing Approach Results of Testing
Expections Risk - 1. Pendelegasian wewenang 1. Delegasi kebijakan
Kurangnya dikembangkan kebijakan meninjau dan otoritas daftar tujuh orang
dengan baik dan mengevaluasi apakah yang tidak lagi dengan
diartikulasikan dengan baik tampaknya berada kini perusahaan
kebijakan, prosedur, dan dan tepat mengingat 2. Tidak ada pengamatan
bentuk lain dari komunikasi tanggung jawab ini diidentifikasi dalam tes
dari manajemen dapat perorangan ini, semua persetujuan
mengakibatkan karyawan 2. Pilih sampel dari 80 yang sesuai dengan
melaksanakan tanggung pengeluaran (risiko 10%, pendelegasian wewenang
jawab mereka dengan cara 5% tingkat deviasi kebijakan, setelah
yang tidak sesuai dengan toleransi, dan 1% yang memperhitungkan
harapan dan keinginan diharapkan tingkat perubahan concideration
manajemen (akurasi, deviasi) dan tes untuk diperlukan untuk
ketepatan waktu, pencatatan, persetujuan sesuai dengan kebijakan seperti yang
kepatuhan, dan tujuan kebijakan dijelaskan pada kertas
persetujuan) 3. Meninjau dan membahas kerja
prosedur dengan hutang 3. Berdasarkan diskusi dan
personil rekening untuk pengamatan, tampak
menentukan apakah bahwa prosedur
prosedur akurat terdokumentasi terus
mencerminkan tugas- menjadi tepat, saat ini,
tugas yang diperlukan dan dan dipahami dengan
dapat diikuti oleh orang baik
lain
Duplicates Payments Risk - 1. Uji fungsi duplikasi faktur 1. Sistem rejcted semua
Kegagalan untuk sistem dengan mencoba entri faktur digandakan
mengidentifikasi beberapa untuk memasukkan 2. Empat belas (14)
input faktur dapat nomor faktur duplikat berpotensi duplikasi
mengakibatkan duplikat 2. Karena sistem hanya pembayaran diidentifikasi
pembayaran kepada vendor peringatan pengguna 3. Transaksi uji untuk
yang bisa terdeteksi atau untuk kemungkinan kontrol ini semua
menyulitkan untuk pembayaran duplicat ditandai dalam
mengumpulkan (akurasi dan 3. Test untuk memastikan pengeluaran kas
tujuan perekaman) flag pengeluaran kas dijalankan
beroperasi sebagai yang
dirancang

Timeliness Risk - 1. Menguji fungsionalitas 1. Pengujian benchmark


Ketidakmampuan untuk sistem untuk tiga kontrol ketiga kontrol inidicated
memproses pembayaran tepat utama bahwa mereka beroperasi
waktu dapat mengakibatkan 2. Menggunakan perangkat seperti yang dirancang
denda atau hukuman (untuk lunak analisis data, 2. Menindaklanjuti oleh A/P
keterlambatan pembayaran) menghitung selisih antara manajemen yang
atau diskon yang terlewatkan tanggal pembayaran dan mengakibatkan biaya
(tujuan aliran ketepatan tanggal faktur untuk tersebut dibebaskan
waktu dan kas) 100% dari pembayaran
yang dilakukan selama
setahun terakhir

Systems Access Risk - 1. Keamanan TI yang logis 1. Tidak ada kekurangan


Kurangnya praktik keamanan diuji dalam keterlibatan desain yang dicatat dalam
logis yang efektif dapat dipisahkan oleh spesialis IT pengujian keamanan
menciptakan peluang bagi audit TI logis
individu yang tidak sah untuk 2. Diskusikan dengan 2. Berdasarkan pembahasan
mengakses, memanipulasi, rekening manager hutang dan pengamatan
atau menghapus data proses untuk dokumentasi yang sesuai
pencairan utama (akurasi, mengkonfirmasikan hak
rekaman, dan tujuan arus akses
kas)

Develop Observations and Formulate Recomendations

Setelah menyelesaikan pengujian, mengumpulkan dan mengevaluasi bukti yang


diperlukan, dan mencapai kesimpulan, auditor internal harus mengembangkan observasi dan
merumuskan rekomendasi yang harus dikomunikasikan kepada auditee dan pemangku
kepentingan audit internal lainnya. Elemen-elemen kunci dari pengamatan yang ditulis secara
singkat dibahas dalam Bab 12, "Pengantar Proses Engagement." Penjabaran lebih lanjut dari
elemen ini dapat ditemukan di Bab 14, "Berkomunikasi Jaminan Hasil Keterlibatan dan
Performing Tindak lanjut Prosedur."
Contoh: Lima pengamatan audit yang potensial diidentifikasi. Elemen-elemen kunci dari
pengamatan audit didokumentasikan dalam pameran 13-20 untuk masing-masing lima observasi
audit.

Contoh di atas mencerminkan dokumentasi yang auditor internal dapat menyelesaikan


saat melakukan penelitian lapangan. Namun, ada informasi tambahan yang mungkin diperlukan
sebelum termasuk pengamatan tersebut dalam komunikasi pertunangan. Lihat Bab 14, di mana
resolusi dan pelaporan observasi dibahas lebih lanjut secara rinci.

EXAMPLE RISK AND CONTROL


MATRIX FOR CASH DISBURSEMENT
Process level risk Result of Testing Testing Conclusions
Ekspektasi Risiko- 1. Delegasi kebijakan otoritas daftar tujuh Berdasarkan hasil dari
Kurangnya orang yang tidak lagi dengan perusahaan. sampel yang dipilih, kita
dikembangkan dengan Ditambahkannya, sembilan orang yang dapat menyimpulkan
baik dan baik baru dalam posisi mereka atau baru untuk dengan keyakinan 90%
articultated kebijakan, perusahaan harus pada daftar tapi tidak (z- bahwa tingkat
prosedur, dan bentuk 3). Semua tanggung jawab lain tampaknya penyimpangan dari
lain dari comminication sesuai (WP X-1). kebijakan persetujuan
dari manajemen dapat 2. Tidak ada pengamatan diidentifikasi manajemen tidak melebihi
mengakibatkan dalam tes ini, semua persetujuan yang 2,9%, yang kurang bahwa
karyawan sesuai dengan pendelegasian wewenang tingkat penyimpangan
melaksanakan tanggung kebijakan, setelah memperhitungkan ditoleransi dari 5%. Namun,
jawab mereka dengan perubahan consideretion diperlukan untuk harapan mengenai
cara yang tidak kebijakan seperti yang dijelaskan pada persetujuan otoritas tidak
konsisten dengan kertas kerja X-1 (WP X-2) terpenuhi karena fakta
manajemen expactation 3. Berdasarkan diskusi dan pengamatan, bahwa delegasi daftar
dan keinginan (akurasi, tampak bahwa prosedur terdokumentasi otoritas tidak diperbarui
ketepatan waktu, terus menjadi tepat, saat ini, dan dipahami secara konsisten untuk
pencatatan, kepatuhan, dengan baik. mencerminkan perubahan
dan tujuan persetujuan) dalam status pekerjaan.
Ketepatan waktu 1. Patokan dari ketiga kontrol menunjukkan Semua tof kontrol sistematis
Risiko.Ketidakmampua bahwa mereka beroperasi seperti yang beroperasi secara efektif.
n untuk memproses dirancang (WP X-7, X-8, dan X-9) Namun, penundaan
pembayaran tepat 2. Ada 172 pembayaran (1,1% dari total sebelumnya dalam hasil
waktu dapat pengeluaran) dibuat akhir. Biaya proses dalam jumlah yang
mengakibatkan denda keterlambatan pembayaran adalah relatif kecil pembayaran
atau penalti (untuk perubahan pada 21 pembayaran. yang tertunda.
keterlambatan
pembayaran) atau
diskonto terjawab.
Akses Sistem Risiko- 1. Tidak ada deficienties desain yang dicatat Kontrol tampaknya
Kurangnya praktik di dalam Engkau IT pengujian keamanan dirancang secara memadai
keamanan logis yang logis. dan beroperasi secara efektif
efektif dapat 2. Berdasarkan pembahasan dan pengamatan untuk mengurangi risiko ini.
menciptakan peluang dokumentasi yang sesuai, hak akses
bagi individu tampaknya ditinjau secara tepat dan tepat
unaunthorized untuk waktu.
mengakses,
memanipulasi, atau
menghapus data
pencairan kunci.

BOOKS 2 BUY AUDIT ABSERVATIONS


FOR CASH DISBURSEMENT
Kondisi: Tidak ada pemeriksaan dengan pengguna untuk menentukan apakah barang atau jasa yang
telah diterima namun belum ditagihkan
Kriteria: Semua barang yang diterima yang hak kepemilikan berpindah ke tge perusahaan, atau
layanan yang telah diberikan, harus dicatat dalam laporan keuangan.
Penyebab: Akun manajemen hutang sebelumnya tidak dianggap atau diakui nilai pada pemeriksaan
tersebut
Efek: Kewajiban Kosong, bersama dengan aset tercatat sesuai atau biaya, dapat mengakibatkan
ketika buku ditutup pada akhir bulan, akhir kuartal, atau akhir tahun

Kondisi: Sementara sistem tidak memberitahukan petugas hutang acoount potensi faktur
digandakan, tidak mencegah petugas hutang account terus memproses faktur tersebut
Kriteria: penerimaan barang atau jasa harus dicatat dan proses hanya sekali.
Penyebab: Sistem ini kode untuk mengingatkan pengguna, tetapi tidak untuk melarang pengguna dari
memasuki faktur lagi jika keadaan dijamin
Efek: Kewajiban, dan aset yang sesuai atau biaya, mungkin dilebih-lebihkan dan dana yang
dikucurkan tidak tepat

Tahap kedua keterlibatan jaminan melibatkan melakukan tes yang digariskan dalam tahap
perencanaan dan mengevaluasi hasilnya khusus, auditor internal melakukan langkah-langkah
berikut:

Melakukan tes untuk mengumpulkan bukti


Mengevaluasi bukti yang dikumpulkan dan mencapai kesimpulan
Mengembangkan observasi dan merumuskan reccommendations