BAB 13

MELAKUKAN JAMINAN KETERLIBATAN

Jaminan Keterlibatan
Keterlibatan melibatkan pemeriksaan obyektif bukti untuk tujuan memberikan
pemerintahan independen assessmenton, manajemen risiko, dan proses kontrol
bagi organisasi.

I. MENENTUKAN TUJUAN KETERLIBATAN DAN LINGKUP

A. Alasan untuk Melakukan Keterlibatan
Adalah jumlah alasan untuk melakukan pertunangan jaminan, termasuk,
namun tidak terbatas pada:
Pertunangan diidentifikasi dalam rencana audit internal karena risiko yang
melekat diidentifikasi selama proses penilaian risiko bisnis, risiko
terdeteksi terakhir kali daerah itu diaudit, dan faktor-faktor lain yang
relevan.
Pertunangan merupakan bagian dari kebutuhan tahunan untuk
mengevaluasi sistem organisasi pengendalian internal untuk tujuan
pelaporan eksternal, seperti as sarbanes-oxley act of 2002 section 404
persyaratan dalam undang-undang pelaporan keuangan serupa di negara
lain amerika serikat dan.
Sebuah peristiwa baru-baru ini (misalnya, bencana alam, penipuan, atau
kebangkrutan pelanggan) telah menguji proses di bawah kondisi yang
tidak biasa dan manajemen menginginkan post mortem untuk
menentukan di mana proses itu efektif dan mana itu tidak.
Perubahan dalam bisnis atau industri membutuhkan modifikasi segera
untuk proses dan manajemen menginginkan validasi cepat yang modifikasi
ini seperti ditampilkan harus dirancang secara tepat untuk mengatasi
perubahan.

B. Membangun Keterlibatan Tujuan

Misalnya, tujuan bisa mulai dengan kalimat berikut (kata kerja yang berbeda
dapat digantikan yang digunakan dalam contoh ini):
Mengevaluasi kecukupan desain ...
1
 Menentukan efektivitas operasi ...
Menilai kepatuhan dengan ...
Menentukan efektivitas dan efisiensi ...
Mengevaluasi akurasi ...
Menentukan kinerja ...

C. Lingkup Keterlibatan Tersebut

Ruang lingkup apa atau tidak termasuk dalam sebuah pertunangan.
Subproses sebagian diskrit dan dikenali atau komponen dari sebuah
proses.
Pernyataan ruang lingkup tersebut dapat mencakup;
Batas dari proses. Sementara: beberapa proses kecil dan mandiri,
banyak yang sangat luas dan tumpang tindih dengan proses lainnya.
Dalam lingkup dibandingkan luar-lingkup lokasi.
Subproses, proses yang lebih besar dapat terdiri dari serangkaian
subproses (misalnya, proses pengeluaran kas mungkin termasuk
pencocokan faktur dan validasi, pengeluaran masukan, dan subproses
proses pembayaran).
Komponen. bagian-bagian tertentu, atau komponen, dari sebuah proses
dapat dihilangkan.
Jangka waktu. Pertunangan dapat mencakup satu tahun kalender, 12
bulan sebelumnya, sebuah titik waktu tertentu (misalnya, pada tanggal
31 Desember), atau beberapa kerangka waktu lainnya.

D. Diharapkan Hasil dan Capaian

Masing-masing dijelaskan secara lebih lengkap sebagai berikut:
Potensi hasil tes yang akan dilakukan selama pertunangan.
Harapan auditee mengenai komunikasi keterlibatan.

II. MEMAHAMI AUDITEE

A. Menentukan Tujuan Auditee
Tujuan auditee apa auditee berjuang untuk mencapai.
Secara khusus, tujuan proses-level dapat digambarkan sebagai berikut
(serta contoh untuk Buku 2 Beli pengeluaran kas proses):
2
 Tujuan operasi adalah jenis yang paling umum dari tujuan pada
tingkat proses dan biasanya menentukan alasan proses yang ada.
Tujuan pelaporan pada tingkat proses yang mereka dirancang untuk
memenuhi kebutuhan pelaporan organisasi, baik internal maupun
eksternal.
Tujuan kepatuhan pada tingkat proses mungkin berhubungan
dengan kepatuhan terhadap hukum eksternal dan peraturan
(definisi coso ini), kebijakan internal, atau kontrak (termasuk
dalam definisi the iia bersama dengan hukum eksternal dan
peraturan).
Tujuan strategis pada tingkat proses yang yang dibuat secara
khusus menyelaraskan dengan tujuan strategis organisasi.
Tujuan lain juga dapat dibuat untuk proses tertentu yang terkait
dengan inisiatif departemen individu.

B. Mengumpulkan Informasi
Dengan banyak cara untuk mengumpulkan informasi tentang proses.
Auditor internal harus mempertimbangkan jenis dan informasi yang
relevan tersedia.

C. Jenis dan Sumber Informasi Relevan

Titik awal untuk memahami proses adalah meninjau dokumentasi yang sudah
ada. Sebagai contoh, berikut ini mungkin tersedia dari pemilik proses atau
orang lain akrab dengan proses yang banyak memberikan informasi yang
berguna mengenai bagaimana proses bekerja:
Kebijakan yang berkaitan dengan proses.
Prosedur manual.
Bagan organisasi atau informasi yang serupa menguraikan jumlah
karyawan dan hubungan pelaporan kunci.
Deskripsi pekerjaan bagi orang-orang yang terlibat dalam proses.
Peta proses atau flowchart yang menggambarkan aliran keseluruhan
proses.
Deskripsi narasi dari tugas utama atau bagian dari proses.

3
 Salinan kontrak kunci dengan pelanggan, vendor, mitra melakukan
outsourcing, dll
Informasi yang relevan mengenai hukum dan peraturan yang
mempengaruhi proses.
Dokumentasi lainnya yang banyak telah dikembangkan untuk mendukung
pelaporan yang diperlukan pada efektivitas sistem pengendalian internal.

Kumpulkan Informasi Tentang:

Memasukkan
Pengolahan
Keluaran

D. Prosedur Analitis
Prosedur analitis melibatkan meninjau dan mengevaluasi informasi yang ada,
yang mungkin keuangan atau non-keuangan, untuk menentukan apakah itu
konsisten dengan harapan yang telah ditentukan.

E. Analisis Data
1). Using Computer-assisted Audit Techniques (CAATs)
Automated audit techniques, such as generalized audit software, utility
software, test data, application software tracing and mapping, and audit
expert systems, that help the internal auditor directly test controls built into
computerized information systems and data contained in computer files.

2). Entity-level Controls Analysis

Controls that operate across an entite entity and, as such, are not bound by,
or associated with individual processes.

3). Documenting the Process Flow

Process Map depicts the board inputs, activities, workflows, and
interactions with other processes and outputs.

4
 4). High-level Flowcharts
Flowchart expands on a process map to include computer systems and
applications, document flows, detailed risks and controls, manual versus
automated steps, elapsed time, and owners of key steps.

5). Detailed Flowcharts

For example, detailed flowcharts may include some or all of the following:
Key risks, which may be denoted by a symbol identifying the points in
the process where something could go wrong and cause the process to
not operate ad designed.
Key controls, which may be denoted by a symbol identifying the tasks,
actions, or decisions that are considered critical to the adequate design
of the process.
Individual or positions performing the jey tasks or making decisions.
The timing of when key tasks, actions, or decisions occur.
The elapsed time it takes to perform a task or make a decision (this
may be included if the flowchart is used to evaluate the efficiency of
the process).
3) Narrative memoranda Memberikan informasi tentang alur proses
hanya menggunakan kata tulis. Biasanya digabungkan dengan
flowchart untuk membuat dokumentasi bentuk hybrid.
Situasi yang tepat untuk menggunakan narrative memoranda :
- Prosesnya simpel, gambaran visual tidak bernilai penting.
- Langkahnya rumit, sulit untuk mendeskripsikan secara efektif dalam
ruang yang terbatas yang ada pada simbol2 flowchart.
- Process owner request.
- Lebih efisien dalam mendokumentasikan proses.

D. Mengidentifikasi Indikator Kinerja Kunci

KPI Metrik atau bentuk lain pengukuran apakah proses atau kerja individu
dioperasikan dengan toleransi yang telah ditentukan sebelumya.
Karakteristik KPI yang baik :
- Relevant

5
 - Measurable
- Available
- Sesuai degan key objective process (ex: infromasi pembayaran ganda diketahu
karena terdapat tujuan untuk tidak terdapat pembayaran ganda).
- Articulated, dapat dilafakan/disampaikan kepada orang yang terlibat dalam
proses

E. Mengevaluasi Risiko Fraud pada Level Proses

Sebelum memulai proses risk assessment formal, penting untuk mengevaluasi
potensi skenario fraud dalam proses, yang meliputi 3 langkah :
1) Mengidentifikasi potensi skenario fraud. Ex: brainstorming.
2) Memahami potensi dampak fraud.
3) Menentukan apakah akan dilaukan pengujian untuk risiko fraud spesifik.
Tidak dimaksudakn untuk mengidentifikasi terjadinya fraud, tapi mengevaluasi
kemungkinan terjadinya skenario fraud.

III. IDENTIFY AND ASSESS RISKS

A. Mengidentifikasi Skenario Risiko Pada Level Proses
Tujuan: menjawab pertanyaan What can happen that would prevent the
achievement of each process-level objective?
Langkahnya:
1) Memilih satu tujuan pada level proses.
2) Brainstorm hambatan-hambatan.
3) Continue the exercise for the remaining process-level objectives.
4) Mengkategorikan dan mnegkombinasikan skenario risiko yang serupa.

6
B. Menentukan Risiko Pada Level Proses
Pendekatan optimal dalam menentukan risiko tergantung pada budaya dan
risk language organisasi. Suatu pendekatan yang umum dan efektif untuk
menentukan risiko adalah menggunakan cause and effecttprotocol. Dengan
pendekatan ini, risiko dimulai dengan cause dan dilanjutkan ke efffect.
Setelah risiko ditentukan, risiko tersebut harus dihubungkan dengan tujuan
pada level proses untuk menjamin terdapat hubungan antara tiap risiko dan tujuan
tersebut.
Tugas terakhir adalah memvalidasi definisi speak the leanguge pegawai
pada level proses. Internal auditor harus mensharing dan mendiskusikan definisi
risiko dengan managemen pada level proses dan pegawai untuk memvalidasi
bahwa daftar risiko tersebut telah lengkap dan definisinya sesuai.

C. Evalusai Dampak dan Keterjadian Risiko

Ketika risiko telah diidentifikasi dan ditetapkan, auditor kemudian siap untuk
melakukan risk assessment. Tujuan melakukan evaluasi ini adalah untuk
membantu mengidentifikasi risiko yang mempunyai efek paling besar pada
pencapaian tujuan.
Langkah yang dilakukan dalam melakukan risk assessment
1) Menetapkan impact dari berbagai outcome yang terkait dengan masing-
masing risiko.
2) Memperkirakan keterjadian bahwa setiap dampak risiko akan terjadi.
3) Menggabungkan penilaian dari impactdan tingkat keterjadian menjadi
penilaian risiko tunggal.

7
 Nomer 9 dan 8 menunjukkan risiko tinggi, nomor 5,6,7, menunjukkan risiko
sedang, nomor 1,2,3,4 menunjukkan risiko rendah.

D. Memahami Risk Tolerance Management

Risk tolerance Tingkatan atas ukuran dan jenis risiko yang dapat diterima
manajemen dalam usaha pencapaian tujuan, yang harus sejalan dengan risk
apetite organisasi.
Langkah-langkah untuk memahami tingkatan risk tolerance suatu manajemen :
1) Identifikasi kemungkinan risiko hasil.
Risiko menggambarkan jarak atas kemungkinan hasil. Sedangkan hasil
biasanya diukur secara financial, mungkin ada juga risiko lainnya yang tidak
terungkap dengan pengukuran keuangan.
2) Memahami tingkat toleransi yang ditetapkan.
Setiap tingkatan toleransi terlihat dari pengukuran pada dokumentasi KPI,
capaian kinerja individu, dan komunikasi lainnya.
3) Menilai level toleransi atas hasil yang belum ditetapkan.

IV. IDENTIFIKASI KEY CONTROL

Key control sebuah aktifitas yang dirancang untuk mengurangi risiko terkait
dengan tujuan bisnis yang penting. Untuk melakukan hal ini, sangat penting untuk
memahami berbagai macam tipe control yang mungkin saja merupakan key control

8
pada tingkatan proses yang dijalankan. Beberapa contoh control yang telah
dijalankan :
1. Approving memerlukan otorisasi saat melakukan transaksi.
2. Calculating menghitung atau melakukan penghitungan kembali atas hasil dari
suatu data.
3. Documenting terkait dengan menjaga sumber informasi atau
mendokumentasikan pertimbangan keputusan.
4. Examining melakukan verifikasi.
5. Matching melakukan perbandingan dari dua atribut yang berbeda.
6. Monitoring melakukan pemeriksaan untuk memastikan kegiatan yang
dilaksanakan.
7. Restricting tidak mengijinkan melakukan tindakan terlarang.
8. Segregating memisahkan pelaksana pekerjaan untuk menghindari tindakan
yang tidak diinginkan.
9. Supervising melakukan pengawasan untuk memastikan kegiatan dilaksanakan
sesuai dengan rencana.
Hal-hal penting dalam menetapkan key control :
1. Internal auditor harus memiliki pemahama yang jelas mengenai proses
pencapaian tujuan.
2. Konsekuensi dari kurangnya control harus dievaluasi.
3. Control tambahan harus dilakukan apabila ada indikasi kegiatan tidak dijalankan
sesuai key control.
4. Efek dari suatu control terhadap control lainnya harus dipertimbangkan.
5. Dampak dari control entitas juga harus dipertimbangkan.
6. Control yang berlebihan,atau sesuatu yang tidak efektif harus diubah atau
dihilangkan.

V. EVALUASI KECUKUPAN DESAIN KONTROL

Menetapkan apakah key control dirancang dengan cukup untuk mengurangi risiko
individual dari sebuah proses menjadi risiko yang diterima. Gap yang teridentifikasi
harus didiskusikan dengan manajemen.
Evaluasi kecukupan rencana pengendalian :
1) Rencana dinyatakan cukup, tidak ada perbedaan yang signifikan.
2) Rencana dinyatakan cukup, terdapat perbedaan.
9
3) Rencana tidak cukup, terdapat perbedaan yang signifikan.

VI. MEMBUAT RENCANA PENGUJIAN

Digunakan untuk mengumpulkan kecukupan bukti yang sesuai untuk mendukung
evaluasi dari seberapa efektif key control dilaksanakan.
Langkah yang dilakukan:
1) Menetapkan control mana yang cukup penting untuk pengujian.
Fokus utama melakukan pengujian adalah mengetahui apakah key control
dilaksanakan cukup efektif untuk memastikan proses risiko setiap tingkatan
diatur dengan cukup. Dalam pengujian tersebut ditetapkan control yang dipilih
untuk diuji
2) Mengembangkan pendekatan untuk menguji control-control tersebut.
Pendekatan pengujian digunakan untuk menetapkan sifat-beda sifat pengujian
berbeda tingkat keyakinan yang diberikan, luasan-control dapat diuji secara
parsial atau keseluruhan, dan waktu yang tepat untuk melakukan pengujian-
pengujian dapatdilakukan pada waktu yang berbeda.
3) Dokumentasi pertimbangan mendukung pemilihan audit tes.
Salah satu contoh rencana pengujian

10
VII. MENGEMBANGKAN WORK PROGRAM
Work program sebuah dokumen yang berisi rincian prosedur yang arus diikuti
selama pemeriksaan, didesain untuk mencapai tujuan pemeriksaan.
Work program ini dapat memiliki bentuk yang berbeda, antara lain :
1) Standar template atau checklist yang menuntun internal auditor mempersiapkan
untuk mendokumentasikan pelaksanaan langkah yang sesuai rencana.
2) Sebuah memorandum yang berisi ringkasan penyelesaian tugas.
3) Kolom tambahan pada matriks risiko dan control bila auditor ingin semua hal
yang ditemukan dalam dokumen akan disajikan.
4) Kombinasi dari ketiganya.
Format tersebut akan bervariasi dari fungsi internal audit yang satu dengan fungsi
internal audit lainnya. Hal ini berarti ada beberapa cara untuk :
1) Memastikan seluruh tim pemeriksa memahami apa yang telah dilakukan dan apa
yang masih harus dilakukan.

11
2) Melakukan komunikasi mengenai siaoa yang bertanggungjawab melaksanakan
setiap tugas pemeriksaan.
3) Mendapatkan catatan dari tugas yang telah diselesaikan.
4) Memfasilitasi reviu oleh manajer pemeriksaan atau direktur yang melakukan
pengawasan datau direktur selama proses rencana pemeriksaan.

VIII. MENGALOKASIKAN SUMBER DAYA UNTUK MELAKSANAKAN

PEMERIKSAAN
Sumber daya pemeriksaan antara lain : auditor internal, orang lain (internal/eksternal),
alat transportasi, teknologi, dan lain lain.
Langkah terakhir dalam merencanakan pemeriksaan adalah menetapkan sumber daya
yang dibutuhkan dengan benar untuk melaksanakan tugas yang direncanakan.
Langkah tersebut adalah :
1) Mengestimasi, atau menganggarkan sumber daya yang dibutuhkan.
2) Mengalokasikan sumber daya manusia yang tepat untuk melaksanakan
pemeriksaan.
3) Menjadwalkan sumber daya untuk memastikan penugasan selesai tepat pada
waktunya.

IX. MELAKUKAN TES UNTUK MENGUMPULKAN BUKTI

Pada bagian ini adalah transisi dari tahap perencanaa kepada tahap pelaksanaan.
Langkah yang dilakukan auditor : menerapkan prosedur audit khusus untuk
mendapatkan bukti; dan mendokumentasikan prosedur yang dilaksanakan dan
hasilnya dari pelaksanaan prosedur tersebut

X. MENGEVALUASI BUKTI YANG DIDAPAT DAN MEMBUAT

KESIMPULAN
Pertanyaan yang harus dijawab dalam evaluasi :
- Apakah key control telah didesain secara memadai?
- Apakah key control dijalankan dengan efektif sesuai dengan desain?
- Apakah risiko yang melekat telah dimitigasi pada tingkatan yang diterima?
- Apakag desain dan pelaksanaan key control mendukung pencapaian tujuan
pelaksaan tugas?

12
XI. MENGEMBANGKAN OBSERVASI DAN MENYUSUN
REKOMENDASI
Elemen kunci dari observasi :
1) Kriteria Apa yang seharusnya ada?
2) Kondisi Apa yang terjadi?
3) Sebab Kenapa terdapat perbedaan antara yang terjadi dengan yang seharusnya?
4) Akibat Konsekuensi dari perbedaan antara yang seharusnya terjadi denfan
kenyataan.

13