Audit-Internal Chpter 9

Bab 9
Managing The Internal Audit Function

I. Posisi Audit Internal dalam Organisasi
Fungsi internal audit diletakkan di level senior management memberikan fungsi visibility, authority, dan
responsibilityuntuk:
1. Mengevaluasi penilaian manajemen atas sistem pengendalian intern organisasi secara independen.
2. Menilai kemampuan organisasi dalam mencapai tujuan bisnis, mengelola, memonitor, dan mengurangi risiko
yang berkaitan dengan pencapaian tujuan.
Disamping memberikan assurance services, manajemen sering meminta auditor internal untuk memberikan jasa
konsultasi dalam bentuk inisiatif atau proyek yang memungkinkan manajemen menggunakan kemahiran profesional
yang dimiliki oleh fungsi internal audit.
Biasanya fungsi internal audit diposisikan sebagai aktivitas senior manajemen yang memberikan laporan langsung
pada board director. Hal tersebut dapat meningkatkan efektivitas dan kemampuan melakukan evaluasi atas efisiensi
dari manajemen risiko, pengendalian dana tata kelola yang kadang dikerjakan oleh senior manajemen.
IIA Standard 2000: “the chief audit executive must effectively manage the internal audit activity to ensure it adds
value to the organizations”.
Audit internal akan efektif dikelola apabila:
1. Hasil dari audit internal bekerja mencapai tujuan dan tanggung jawab termasuk piagam audit internal.
2. Audit internal menyesuaikan dii dengan definisi dari audit internal dan standarnya.
3. Individu yang merupakan bagian dari audit internal mempertunjukkan kesesuaian dengan kode etik dan standar.
Dalam menetapkan sebuah charter, visi dan misi, dan rencana audit, CAE bertanggungjawab untuk menetapkan dan
menjaga independensi, objektifitas, kecakapan, dan menjaga profesionalitas dalam fungsi audit internal. Diposisikan
pada level senior manajemen yang mempunya akses langsung terhadapt Board memberikan independensi yang lebih
besar begitu pula obyektivitasnya.
A. Independensi dan Objektivitas

Independensi - CAE harus melapor kepada level dalam organisasi yang mengijinkan aktivitas internal audit
untuk memenuhi kewajibannya. Internal audit activity harus bebas dari campur tangan dalam menentukan
scope dari internal auditing, melaksanakan tugas dan melaporkan hasil pekerjaan. Organizational
independencemenekankan pentingnya dukungan senior management dan Board untuk meyakinkan kerjasama
auditan dan menghilangkan campurtangan saat internal audit function melaksanakan penugasan.
Objektivitas - sikap yang tidak bias yang membolehkan auditor internaluntuk melakukan penugasan
dengan cara sedemikian rupa sehingga mereka memiliki kepercayaan dalam hasil pekerjaan mereka dan tidak
ada kompromi material yang dibuat. Objektifitas mensyaratkan auditor internal tidak mewakilkan penilaian
mereka atas audit yang dilakukannya kepada yang lainnya.
Objectivity melibatkan CAE mengatur penugasan staff yang menghindari conflict of interest/potensinya.
Mereview hasil pekerjaan agar diperoleh keyakinan bersalasan bahwa pekerjaan dilaksanakan dengan
objektif.Objektivitas tidak dipengaruhi apabila auditor merekomendasikan standar pengendalian untuk suatu
sistem atau mereview prosedur sebelum diimplementasikan.Objectivitas terganggu apabila IA mendesain,
menginstal, men-draft prosedur atau mengoperasikan sistem.
Impairment independensi dan objectivity dapat terjadi in fact maupun in appearence. Impairment yang
dialami internal auditor harus dilaporkan kepada CAE dimana CAE yang memutuskan apa internal auditor
diganti. Apabila impairment-nya adalah scope limitation, CAE harus lapor ke Board. Untuk menghindari
impairment, Internal auditor tidak dapat menerima fees, gift, atau entertainment dari pegawai, client, atau
customer.
B. Kecapakan dan Profesionalitas

Kecakapan adalah pengetahuan, skill, dan kompetensi lainnya yang auditor internal perlukan untuk
menunjukkan tanggung jawab individual mereka.
Due professional care - auditor internal harus mengaplikasikan kepedulian dan skill yang diharapkan dari
kebijaksanaan yang pantas dari auditor internal. Walaupun begitu auditor internal tidak diharapkan untuk
menjadi sempurna.
II. Perencanaan
Rencana Audit Internal - sebuah outline dari penugasan konsultansi dan assurance yang dijadwalkan untuk
suatu periode berdasarkan penilaian dari risiko organisasi.
Standar Perencanaan
Assurance Services - IAA merencanakan penugasan harus berdasarkan dokumentasi risk assessment, minimal
annually. Input dari senior management dan Board harus dipertimbangkan.
Consulting Services-CAE harus menyetujui penugasan konsultansi dengan berdasarkan potensi penugasan dalam
meningkatkan pengelolaan risiko, memberi nilai tambah dan meningkatkan operasional organisasi. Penugasan yang
disetujui harus dimasukan dalam perencanaan.
III. Komunikasi dan Persetujuan

Setelah rencana audit internal ditetapkan, Chief Audit Executive mempresentasikan kepada senior
management dan dewan audit agar disetujui.
Standar comunication and approval
CAE akan mengirimkan ringkasan audit plan, work schedule, staffing plan, dan financial budget ke senior
management dan Board termasuk perubahan - perubahan signifikan. Seluruhnya mengandung informasi yang cukup
bagi SM dan Board bahwa IAA sesuai dengan charter.
IV. Pengelolaan Sumber Daya

CAE bertanggungjawab untuk meyakinkan bahwa sumber daya audit internal sudah tepat, cukup, dan tersebar
dengan efektif untuk mencapai rencana yang telah disepakati. Hal ini dicapai dengan mengharmonikan beberapa
faktor dibawah ini.
A. Struktur Organisasi dan Strategi Susunan Kepegawaian

Fungsi Audit Internal harus diatur dengan konsisten sesuai dengan kebutuhan dan budaya organisasi. Jenis
tingkatan hirarki dalam fungsi audit internal adalah sebagai berikut:
 Staff auditor
 Senior auditor
 Audit manager
 Audit director
 Chief audit executive
B. Right Sizing (Ukuran yang tepat)

Penting untuk melakukan pembinaan aas skill dan pengetauan staf. Jangan membuat pekerjaan yang
melebihi kapasitas dari sisi waktu dan kuantitas.
C. Perencanaan Kepegawaian/ SDM

CAE harus menempatkan sdm secara efektif. Dalam artian harus berkualitas dan mampu untuk
melaksanakan audit internal.
D. Praktik Penyewaan (Hiring Practices)

CAE perlu melengkapi tim dengan individu dari berbagai disiplin ilmu sesuai kebutuhan organisasi
terutama akuntansi dan pelaporan, IT, hukum dan organisasi, dan industri yang di bidang organisasi.
E. Strategic Sourcing
Outsourcing dapat dilakukan dengan melihat kondisi yang ada.
F. Pelatihan dan Pembinaan
Staf audit internal memerlukan beberapa sertifikasi seperti CIA, CPA, CISA, dan CFE.
G. Perencanaan Karir dan Pembangunan Profesionalisme

Penjadwalan
CAE memaksimalkan anggaran keuangan dengna membuat tim berdasarkan keahlian dan pengalaman.
Pada saat yang bersamaan, CAE memenuhi kebutuhan staf dan pekerjaan untuk menyeimbangkan kesempatan
peningkatan dari penguasan yang spesifik yang bisa disediakan dan kebutuhan memenuhi penugasan yang telah
ditetapkan waktunya.
Penganggaran Keuangan
CAE harus mengevauasi dengan sungguh-sungguh sumber-sumber keuangan yang diperlukan untuk
menyelesaikan tujuan yang telah ditetapkan.
V. Kebijakan dan Prosedur

CAE harus menetapkan kebijakan dan prosedur audit internal. Prosedur dan kebijakan ini digunakan untuk
memandu staf audit internal dalam melaksanakan rencana audit internal.
VI. Koordinasi Assurance efforts

CAE harus membagikan informasi dan menggkoordinasikan aktivitas dengan penyedia jasa internal dan
eksernal audit lain untuk memastikan cakupan yang tepat dan mengurangi pengulangan/duplikasi aktivitas.
Three lines of defence:
1. Management bertanggungjawab meng-asses dan memitigasi risiko dalam mengelola internal control.
2. Masing-masing area dalam organisasi bekerja bersama-sama untuk menilai dan memitigasi risiko
dengan memfasilitasi dan memonitor upaya manajemen risiko organisasi.
3. Fungsi internal audit yang independen dari manajemen.
External assurance - CAE berkewajiban untuk berkoordinasi dengan external auditor, Board wajib
memantau koordinasi tersebut berjalan mulus.
VII. Reporting To The Board and Senior Management

CAE (Chief Audit Executive) memiliki tanggung jawab untuk memberikan laporan secara berkala kepada Senior
Management dan dewan mengenai tujuan, kewenangan, tanggungjawab dan performa yang berhubungan dengan
rencana dari kegiatan audit. Laporan tersebut juga harus menyertakan paparan resiko yang signifikan dan masalah
mengenai kontrol, termasuk risiko fraud, governance dan kondisi lainnya yang dibutuhkan atau diminta oleh senior
managemen dan dewan (IIA standar 2060: Reporting to Senior Management and the Board).
Manajemen dan CAE bekerjasama dalam melapokan secara rutin mengenai berbagai risiko dan aktivitas
kontrol yang dilakukan, laporan ini biasanya berisi:
 Business unit monitoring & risk monitoring  Laporan aktivitas finansial kunci
reports  Laporan aktivitas manajemen risiko
 Laporan kegiatan auditor eksternal independen  Laporan monitoring hukum
VIII. Governance
Governance menuntut fungsi Internal Audit untuk mengakses dan menyusun rekomendasi yang layak untuk
meningkatkan proses governance dalam mencapai tujuan berikut:
 Etika yang layak dan nilai-nilai di dalam organisasi.
 Memberi keyakinan performa manajemen organisasi efektif dan akuntabel.
 Mengkomunikasikan risiko dan kontrol informasi untuk area yang layak dari organisasi.
 Mengkordinasikan aktivitas dan mengkomunikasikan informasi diantara dewan, auditor ekstrnal dan internal
dan manajemen.
Internal Audit Charter menjelaskan peran apa yang dimainkan oleh fungsi internal audit dalam menyediakan
assurance yang berhubungan dengan proses governance dan mencerminkan ekspektasi dewan. Peran tersebut
meliputi:
 Evaluasi kelayakan manajemen risiko.
 Menguji dan mengevaluasi apakah manajemen risiko bekerja seperti rencana.
 Menentukan asersi risk owners ke senior management mengenai risk management sudah sesuai dengan kondisi
sekarang.
 Menentukan asersi senior manajemen ke Board mencerminkan kondisi sekarang.
 Mengevaluasi apakah informasi risk tolerance dikomunikasikan dengan baik.
 Menilai risiko lain yang belum tercakup proses governance.
IX. Risk Management

Manajemen risiko merupakan sebuah proses partisipasi yang didesain untuk mengidentifikasi,
mendokumentasikan, mengevaluasi, mengkomunikasikan, dan memonitor ketidakjelaskan yang dihadapi organisasi
yang mensyaratkan mitigasi risiko atau eksploitasi kesempatan untuk mencapai tujuan bisnis organisasi.
X. Control
Menurut standar IIA 2130 kontrol merupakan “kegiatan audit internal harus mengawal organisasi dalam
menjaga kontrol yang efektif dengan mengevaluasi keefektifan dan keefisienan dan mendorong peningkatan yang
terus menerus.”
Standar 2130 A1- Dalam menyediakan kegiatan assurance, informasi mengenai risk assessment harus
mendorong fungsi internal audit dalam mengevaluasi kecukupan dan keefektifan kontrol dalam merespon risiko
didalam tatakelola organisasi, operasional dan sistem informasi dengan memperhatikan:
 Capaian tujuan strategis organisasi.
 Kehandalan dan integritas informasi keuangan
dan operasional(nonfinansial).
 Efektifitas dan efisiensi operasional.
 Pengamanan aset.
 Pemenuhan hukum, regulasi dan kontrak.
Standar 2130 C1 - Internal auditor harus menggabungkan pengetahuan pengendalian yang didapat dari penugasan
consulting dalam mengevaluasi control process organisasi.
XI. Quality Assurance and Improvement Program (Quality Program Assessments)

Quality assurance merupakan proses untuk memberikan jaminan bahwa fungsi internal audit telah mengikuti
kepada standar yang ditetapkan yang menegaskan elemen spesifik yang harus ada untuk member keyakinan bahwa
fungsi tersebut telah berjalan dengan tepat.
Disclosure of Nonconformance
Dalam kondisi fungsi audit internal didapati tidak cukup untuk mempengaruhi keseluruhan cakupan ataupun
pekerjaan dari kegiatan audit internal maka CAE harus mengungkapkan ketidaksesuaian dan dampaknya ke senior
manajemen dan dewan (IIA Standar 1322: Disclosure of Nonconformance).
XII. Performance Measurement for the Internal Audit Function

Pengukuran performa merupakan bagian internal assessment, CAE harus mempertimbangkan banyak hal
ketika menciptakan pengukuran performa seperti ukuran& fungsi audit internal, pelayanan spesifik yang ditawarkan,
regulasi industri, lingkungan operasi, dan kultur organisasi. Pengukuran performa harus disesuaikan dengan audit
charter. Seluruh pelayanan yang ditetapkan dalam charter harus dipertimbangkan ketika menyusun pengukuran.
XIII. Use of Technology to Support the Internal Audit Process

1) Risk and Control Self-Assessment (dengan database)
2) Data Analysis
3) Automated Monitoring
4) Automated Working Papers
5) Departement Administration and Management
6) The Internet
XIV. Opportunity to Provide Insight

Manajemen yang efektif dari fungsi audit penting untuk mendukung senior manajemen untuk mencapai
tujuan organisasi.
Bab 10
Audit Evidence and Working Papers
I. Bukti Audit
Kualitas dari kesimpulan dan saran yang dihasilkan auditor internal tergantung dari kemampuan mereka untuk
mengumpulkan dan mengevaluasi bukti yang cukup untuk mendukung kesimpulan dan saran mereka itu.
Bukti adalah informasi apa saja yang dapat digunakan oleh auditor untuk menentukan apakah informasi yang
diaudit telah dinyatakan sesuai dengan standar yang ditetapkan.
A. Professional Skepticism
Auditor harus selalu menerapkan level professional skepticism yang sehat ketika mengevaluasi bukti audit.
Professional skepticism adalah ketika auditor tidak mengambil bukti begitu saja, mereka harus selalu
mempertanyakan secara terus menerus apa yang mereka lihat dan dengar. Auditor tidak boleh mengasumsikan
dari awal apakah auditee tersebut telah jujur atau tidak jujur. Professional skepticism perlu agar penilaian auditor
tidak bias dan auditee tetap dapat berpikiran terbuka utuk mengevaluasi bukti yang ada.
B. Reasonable Assurance
Auditor tidak pernah benar-benar bisa memberikan absolut assurance atas hasil auditnya. Karena itu hasil
audit hanya dapat memberikan reasonable assurance. Reasonable assurance adalah level assurance yang
didukung oleh prosedur audit dan penilaian yang telah diterima secara umum.
C. Persuasiveness of Audit Evidence
Bukti audit yang meyakinkan adalah bukti yang dapat memungkinkan auditor untuk memformulakan
kesimpulan dan saran. Untuk dapat memberi keyakinan, bukti harus:
1) Relevan – mendukung observasi dan rekomendasi, serta konsisten deegan tujuan audit.
Apakah bukti relevan dengan tujuan audit, apakah secara logika dapat mendukung kesimpulan dan saran
audit.
2) Reliable – informasi terbaik yang dapat dicapai melalui teknis audit yang tepat.
Apakah bukti didapat dari sumber yang terpercaya, apakah internal auditor yang mendapatkan bukti tersebut
secara langsung, informasi yang didokumentasikan, informasi dihasilkan oleh sistem yang spi nya bagus.
3) Sufficient – faktual, cukup, dan meyakinkan, sehingga orang lain yang membaca informasi yang ada akan
menghasilkan kesimpulan yang sama dengan kesimpulan auditor.
Apakah auditor telah mengumpulkan bukti yang cukup.
Risiko dari mengumpulkan bukti yang tidak valid akan menghasilkan saran yang tidak valid juga.
II. Audit Procedures

Langkah-langkah auditor internal untuk mengumpulkan bukti untuk mencapai tujuan audit. Dilakukan
selama proses audit untuk:
a. Memperoleh pemahaman yang teliti tentang auditee.
b. Mengetes kecukupan desain dan efektivitas sistem pengendalian atas area yang akan diperiksa.
c. Menganalisas hubungan yang masuk akal antara berbagai elemen data.
d. Secara langsung mengetes informasi keuangan yang tercatat maupun yang tidak tercatat untuk mengetahui
error&fraud.
e. Menghasilkan bukti audit yang cukup untuk mencapai tujuan audit, termasuk menentukan nature, extent, dan
timing untuk melakukan prosedur audit.
- Nature – nature atau sifat dari prosedur audit berhubungan dengan tipe tes yang akan dilakukan oleh auditor
internal untuk mencapai tujuannya.
- Extent – berhubungan dengan seberapa banyak bukti audit yang harus dikumpulkan untuk mencapai tujuan
- Timing – kapan prosedur audit akan dilakukan dan lingkup periode waktu yang akan dilakukan pengujian.
A. Manual Audit Procedure

Prosedur audit yang sering dilakukan adalah inquiry, observasi, inspeksi, vouching, tracing,
reperformance, prosedur analitis, dan konfirmasi.
B. Teknik Audit Berbantuan Komputer
Teknik Audit Berbantuan Komputer didefinisikan sebagai segala bentuk teknik audit yang bekerja
secara otomatis, contohnya software khusus audit (cth. ACL), test data generators, program audit
terkomputerisasi dan alat audit lainnya.
Teknik audit berbantuan komputer, beberapa diantaranya:
1. Software khusus audit – software multipurpose yang dapat melakukan pekerjaan audit seperti pencocokkan,
pemilihan record, penghitungan ulang, dan pelaporan.
2. Test data generators – simulasi transaksi yang digunakan untuk memproses logika, pengendallian, skema
penghitungan dalam bentuk aplikasi.
3. Aplikasi software tracing-mapping – alat khusus yang digunakan untuk menganalisa arus data dari suatu
aplikasi berdasarkan dasar logika software tersebut , seperti bahasa pemogramannya, perintah bahasa, dsb.
4. Audit expert system – sistem pengambilan keputusan yang digunakan untuk mendukung kerja sistem
informasi auditor dalam melaksanakan pekerjaannya. Sistem ini secara otomatis dapat melakukan analisis
risiko secara otomatis.
5. Continues auditing – memungkinkan seorang auditor yang bergerak dalam bidang sistem informasi untuk
memantau reliabilitas sistem secara teru menerus dan mengumpulkan bukti audit melalui komputer.
Keuntungan menggunakan software audit:
 Memungkinkan untuk melakukan prosedur audit pada lingkungan yang memiliki banyak hardware dan
software dengan persyaratan yang sederhana.
 Memungkinkan auditor untuk menguji data pegawai dari perusahaan IT secara independen.
 Memungkinkan untuk menganalisis jumlah data yang besar.
 Beberapa software audit, dapat menguji jumlah populasi data, dibandingkan dengan prosedur audit manual
yang hanya bisa mengambil sampel.
 Menghemat waktu auditor dalam melakukan pekerjaan.
Hambatan dalam software audit:
 Harus ada ijin khusus terhadap data.
 Sulit untuk mendapatkan akses fisik terhadap data.
 Harus mengerti dengan benar bagaimana format data dan disimpan dimana.
 Kesulitan untuk mengubah data menjadi bentuk yang dapat diolah dan diteliti auditor.
III. Kertas Kerja

IIA Standard 2330 - mendokumentasikan informasi dibutuhkan oleh internal auditor dalam
mengumpulkan bukti yang mendukung hasil penugasan.
Tujuan Kertas Kerja:
1. Dibutuhkan dalam perencanaan dan pelaksanaan pekerjaan.
2. Memfasilitasi supervisi terhadap pekerjaan dan melakukan review terhadap pekerjaan yang telah selesai.
3. Menunjukkan apakah penugasan telah dilaksanakan secara objektif.
4. Merupakan sarana pendukung utama bagi internal auditor dalam berkomunikasi dengan auditee, manajemen
senior, dewan direksi dan pihak ketiga.
5. Digunakan untuk mengevaluasi kualitas penugasan.
6. Berkontribusi dalam pengembangan kualitas SDM internal auditor.
Tipe Kertas Kerja:
1. Program kerja - karakteristik, ruang lingkup, jangka waktu prosedur audit.
2. Anggaran waktu penugasan dan kertas kerja alokasi sumber daya.
3. Gambaran mengenai proses berupa flowchart atau peta permasalahan yang mengidentifikasikan aktivitas, risiko,
dan pengendalian.
4. Grafik, diagram, yang digunakan untuk menunjukkan kemungkinan terjadi dan dampaknya pada risiko bisnis
auditee.
5. Agenda pertemuan dengan auditee dan pertemuan tim.
6. Memo hasil interview dan rapat dengan auditee.
7. Informasi dasar auditee.
8. Copy dari sumber dokumen auditee.
9. Dokumen terkait IT.
10. Bukti yang diperoleh dari pihak ketiga.
11. Bukti yang dikumpulkan oleh auditee.
12. Kertas kerja yang disiapkan oleh auditor seperti matriks risiko dan pengendalian.
13. Pengendalian yang dilakukan auditee, dan proses reperformed yang dilakukan auditor.
14. Hasil observasi, rekomendasi, dan simpulan auditor.
15. Komunikasi final dari penugasan dan tanggapan atas penjelasan auditor pada akhir penugasan.
Standar kertas kerja yang benar, meliputi:
1. Keseragaman sistem cross-referencing dalam semua penugasan.
2. Format kertas kerja yang konsisten.
3. Tick marks yang standar.
4. Klasifikasi dokumen atas dokumen yang merupakan jenis permanen atau yang sifatnya berlanjut setiap tahun dan
saling terkait antar tahun.
Kertas kerja sedikitnya memuat:
1. Nomor indeks dan referensi yang tepat.
2. Surat penugasan dan tujuan penugasan.
3. Diberi tanggal & ditandatangani oleh internal auditor yang melaksanakan (ketua tim) maupun yang me-review.
4. Memberikan penjelasan rinci terkait data dari auditee.
5. Memberikan penjelasan spesifik terhadap prosedur audit tertentu.
6. Dengan jelas ditulis dan dapat dimengerti oleh auditor lain yang berbeda penugasan.
BAB 11
AUDIT SAMPLING
Audit sampling merupakan salah satu prosedur audit yang diterapkan untuk mengurangi item populasi
(kurang dari 100%) tapi dengan tujuan menggambarkan keseluruhan populasi. Populasi dapat berupa semua
laporan penerimaan selama setahun atau semua saldo pelanggan pada buku pembantu piutang.
Sampling ini digunakan untuk pelaksanaan prosedur audit seperti tracing atau vouching yang
digunakan untuk pemeriksaan dokumen audit trail atau digunakan untuk prosedur audit inquiry dan
observation.
A. Dua Pendekatan Umum Audit Sampling
Dua pendekatan tersebut adalah statistical dan nonstatistical. Kedua pendekatan ini membutuhkan
professional judgment dalam mendesain rencana sampling, melaksanakan rencana tersebut dan
mengevaluasi hasil sample. Internal audit memiliki kebebasan dalam memilih kedua pendekatan tersebut
sesuai dengan prosedur yang akan dilakukan, evaluasi atas bukti yang diperoleh, dan tindakan yang akan
dilakukan berdasarkan tujuan penerapan sampling.
Untuk memilih, auditor internal harus mempertimbangkan cost and benefit. Statistical sampling
merupakan alat bantu auditor internal untuk mengukur kecukupan bukti yang yang diperoleh dan
mengevaluasi hasil sampling secara kuantitatif. Lebih dari itu audit sampling memungkinkan auditor untuk
menghitung, mengukur, dan mengontrol sampling risk. Namun, statistical sampling juga lebih costly.
B. Audit Risk and Sampling Risk
Dalam chapter sebelumnya audit risk diartikan sebagai risiko kesalahan pengambilan kesimpulan
dan/atau menyediakan saran yang keliru berdasarkan pekerjaan audit yang dilakukan. Dalam konteks
tersebut maka audit risk dibagi menjadi 2 yaitu sampling risk dan non-sampling risk.
Sampling risk adalah risiko bahwa kesimpulan internal audit berdasarkan sample yang diuji berbeda
dengan kesimpulan yang diperoleh apabila prosedur audit dilakukan terhadap seluruh item pada populasi.
Dalam melakukan Test of control, internal audit concerned terhadap dua aspek sampling risk yaitu:
1) The risk of assessing control risk too low (type II risk, beta risk)
Dikenal juga dengan risk of overreliance (risiko ketergantungan lebih) yaitu risiko bahwa internal auditor salah
dalam menyimpulkan bahwa kontrol tertentu lebih efektif dari yang seharusnya.
2) The risk of assessing control si too High (The I risk, alpa risk)
Dikenal juga dengan risk of under-reliance (risiko ketergantungan kurang) yaitu risiko bahwa internal audit salah
dalam menyimpulkan bahwa kontrol kurang efektif dari yang seharusnya.
Non sampling risk – risiko yang terjadi ketika internal auditor gagal dalam menjalankan pekerjaannya
secara benar. Misalnya melakukan prosedur audit yang tidak tepat atau sah dalam melakukan interpretasi
hasil sampling. Nonsampling risk dikontrol menggunakan audit planning, supervisi, dan quality assurance.
I. STATISTICAL AUDIT SAMPLING IN TESTS OF CONTROL
A. Atribute Sampling Approaches
Attribute Sampling merupakan pendekatan sampling statistikal berdasarkan teori binomial distribution
yang memungkinkan pengguna memperoleh kesimpulan tentang populasi dengan menggunakan tingkat
keterjadiannya. Binomial distribution adalah distribusi semua kemungkinan sample yang mana tiap item dalam
populasi mempunyai satu atau dua kemungkinan states.
Stratified attribute sampling – variasi dari attribute sampling dari populasi yang dapat dibagi-bagi. Ketika
kontrol yang berbeda diterapkan dalam level transaksi yang berbeda maka perbedaan level transaksi terebut dapat
dipertimbangkan sebagai populasi yang berbeda.
Stop-or-go sampling – variasi attribute sampling yang digunakan ketika tingkat penyimpangan
diperkirakan rendah karena dapat meminimalkan ukuran sample untuk level sampling risk tertentu.
Discovery sample- variasi attribute sampling yang didesain dengan cukup luas untuk mendeteksi paling
tidak satu penyimpangan apabila tingkat deviasi pada populasi setara atau melebihi tingkat spesifik. Pendekatan
ini biasa digunakan untuk menguji adanya fraud.
B. Designing an Attribute Sampling Plan, Executing The Plan, and Evaluating The Sample Result
Attribute sampling dilakukan melalui 9 langkah berikut:
1. Identify a specific internal control objective dan prescribed control(s) aimed at achieving that objective
Tujuan audit yang spesifik merupakan faktor kunci yang menentukan apa yang akan di sample. Sebagai
contoh adalah auditor internal akan menguji, dengan menggunakan sample, apakah order pembelian selama
12 bulan telah didukung oleh daftar permintaan pembelian yang sesuai.
2. Define what is meant by control Aviation
Secara hati-hati mendefinisikan yang dimaksud dengan penyimpangan dari kontrol yang telah ditentukan
sama pentingnya dengan mendefinisikan tujuan kontrol dan prosedur kontrol. Jika internal auditor gagal
melakukan ini, ada risiko tidak dikenalinya penyimpangan yang hal ini merupakan non sampling risk.
Sebagai contoh adalah internal auditor ingin meyakini bahwa order pembelian dukung oleh permintaan
pembelian yang tepat. Penyimpangan dari kontrol yang ditetapkan akan termasuk hal berikut: tidak adanya
daftar permintaan pembelian, tidak adanya bukti dari persetujuan daftar permintaan pembelian, disetujui oleh
orang yang tidak berwenang, adanya perbedaan antara barang yang dipesan dengan barang yang diterima
gudang.
3. Define population and sampling unit
Sesuai contoh sebelumnya maka, populasi yang ditentukan adalah order pembelian prenumber selama 12
bulan. Sampling unit-nya adalah setiap order pembelian yang diuji untuk memastikan apakah order pembelian
telah didukung oleh daftar permintaan pembelian yang sesuai. Untuk mengujinya, internal auditor akan
melakukan vouching terhadap order pembelian dan menghubungkannya dengan daftar permintaan pembelian.
4. Determine the appropriate values of parameter affecting sample size
Dalam attribute sampling, internal auditor harus menetapkan, menggunakan audit judgment, nilai yang tepat
dari 3 faktor yang mempengaruhi ukuran sample.
a) Risiko yang dapat diterima dari penilaian kontrol yang terlalu rendah.
Ingat bahwa risiko penilaian control risk terlalu rendah maka internal auditor akan salah menyimpulkan
bahwa kontrol tertentu lebih efektif dari pada seharusnya. Risiko penilaian control risk yang terlalu
rendah akan berkebalikan dengan ukuran sample, dengan kata lain semakin rendah tingkat acceptable
risk, semakin besar ukuran sample.
b) Tingkat penyimpangan yang dapat ditolerir.
Tingkat maksimum atas penyimpangan yang masih dapat diterima auditor dan masih dapat menyimpulkan
bahwa pengendalian sudah efektif. Penyimpangan yang masih dapat diterima berkebalikan dengan jumlah
sample audit.
c) Tingkat penyimpangan populasi yang diperkirakan.
Perkiraan auditor pada penyimpangan aktual dari populasi yang diperiksa. Auditor harus membedakan
antara tingkat tolerable deviation dan tingkat perkiraan penyimpangan populasi sebagai planned
allowance for sampling risk atau planned precision.
5. Determine the appropriate sample size
Setelah auditor menetapkan nilai dari faktor-faktor yang mempengaruhi ukuran sample, cara paling mudah
untuk menentukan ukuran sample yang tepat dapat mengacu pada tabel berikut.
6. Memilih sample secara acak

Dua pendekatan yang sering digunakan adalah:
a) Simple Random Sampling
Pendekatan yang paling mudah ketika sampling dokumen prenumbered. Menggunakan tabel nomor
random adalah salah satu jalan internal auditor mendapatkan random sample.
b) Systematic Sampling
Internal auditor memilih secara random untuk menentukan titik awal data dan memlih sampai urutan
tertentu setetahnya.
7. Audit sample item yang dipilih dan menghitung jumlah deviasi dari control yang ditentukan.
8. Menentukan batas deviasi yang dapat diterima.
9. Mengevaluasi hasil sample, meliputi:
a) Kesimpulan perhitungan statistik.
b) Membuat keputusan audit berdasarkan hasil sample quantitative.
c) Mempertimbangkan aspek kualitatif dari hasil sample.
C. Memformulasikan Keputusan Statistikal

Kelebihan utama statistical sampling dibandingkan nonstatistical sampling adalah memungkinkan
internal auditor untuk mengkuantifikasi, mengukur, dan mengendalikan risiko sampling.
Estimasi terbaik auditor untuk deviation rate dalam populasi untuk hipotetis hasil pertama dari 1
penyimpangan sampel adalah 1/80 = 1,25%. Untuk hasil hipotetis kedua (2 penyimpangan sampel) = 2/80
= 2,5%. Meskipun begitu, terdapat ketidakpastian pada estimasi tersebut dikarenakan fakta bahwa
auditor hanya melakukan sampling, bukan menguji 100%.
Oleh sebab itu, kesimpulannya dapat ditulis dalam bentuk :
Hipotesis 1 – I am 90% confident that the true, but unknown, population deviation rate is ≤ 4,8%.
Hipotesis 2 – I am 90% confident that the true, but unknown, population deviation rate is ≤ 6,6%.
D. Menyusun keputusan audit berdasarkan hasil sampel kuantitatif

Aplikasi atribut sampling didesain agar internal auditor akan menyimpulkan bahwa pengendalian
efektif, berdasarkan hasil sampling, jika 90% tingkat keyakinan bisa dicapai bahwa population rate-nya
adalah ≤ 5%. Penting untuk diingat, bahwa interpretasi auditor terhadip hasil sampling kuantitatif hanya
menunjukkan efektifitas pengendalian bagi 12 bulan terakhir saja.
E. Mempertimbangkan aspek kualitatif dari hasil sampel

Sebagai tambahan dalam mengevaluasi hasil dari attribute sampling, internal auditor harus
mempertimbangkan aspek-aspek kualitatif dari penyimpangan dari pengendalian yang ditemukan.
II. SAMPLING AUDIT NONSTATISTIKAL DALAM PENGUJIAN PENGENDALIAN

Memilih dan Mengevaluasi Sampel NonStatistik
Statistical sampling membutuhan dua hal fundamental, yaitu : sampelnya harus dipilih secara random
dan hasil sampling tersebut harus dievaluasi secara matematis dengan pendekatan teori probabiilitas.
Sampling nonstatistikal membrikan auditor keleluasaan lebih dalam memilih dan mengevaluasi sampel.
Meski begitu, auditor harus tetap memilih sampel yang dipercaya sebagai representasi dari populasi, dengan
mempertimbangkan faktor-faktor yang memengaruhi ukuran sampel. Haphazard sampling adalah teknik
pemilihan non random yang digunakan auditor untuk memilih sampel yang diharapkan dapat
merepresentasikan populasi.
Ketidakmampuan untuk mengkuantifikasi risiko sampling secara statistik merupakan fitur utama dari
sampling non statistik yang membedakannya dengan statistical sampling. Kesimpulan auditor mengenai
populasi (yang direpresentasikan sampel) sangatlah judgemental ketimbang berdasarkan teori probablitas.
Salah satu pendekatan sampling nonstatistik yang paling awam adalah memilih sampel yang relatif
kecil secara haphazard, misalnya 25 item untuk seluruh aplikasi sampling berdasarkan presumsi bahwa
tidak terdapat penyimpangan pengendalian dalam populasi, dan untuk menyimpulkan bahwa pengendalian
tidak cukup efektif jika satu atau lebih deviasi pengendalian ditemukan.
III. STATISTICAL SAMPLING DALAM PENGUJIAN NILAI-NILAI MONETER

Sebagai tambahan untuk penggunaan sampling dalam konteks pengujian pengendalian, internal
auditor juga menerapkan sampling ketikan melakukan pengujian yang didesain untuk mendapatkan bukti
langsung mengenai kebenaran nilai-nilai monetaris-misalnya, nilai dari inventori yang disajikan.
Ketika melakukan pengujian atas nilai moneter, internal auditor harus memperhatikan dua aspek risiko
sampling :
1) Risiko penerimaan yang tidak benar (Type II Risk, Beta Risk)
Risiko dimana sampel menunjukkan tidak ada misstatement material, padahal sebenarnya ada.
2) Risiko penolakan yang tidak benar (Type 1 Risk, Alpha Risk)
Kebalikan dari yang atas.
A. Probability-Proportional-To-Size Sampling
Juga disebut sebagai monetary-unit sampling atau dollar-unit sampling adalah bentuk modifikasi dari
sampling atribut yang digunakan untuk mencapai kesimpulan terkait jumlah moneter ketimbang tingkat
keterjadian.
Faktor2 yang memengaruhi ukuran sampling PPS :
c. Tolerable misstatement.
a. Nilai buku moneter dari populasi.
d. Anticipated misstatement.
b. Risiko ketidakbenaraan penerimaan.
B. Classical Variables Sampling

Adalah pendekatan sampling statistikal yang berdasarkan pada teori distribusi normal yang
digunakan untuk memeroleh kesimpulan terkait jumal monetary. Metode ini dianggap lebih sulit dari
PPS, karena melibatkan metode perhitungan yang lebih kompleks dalam menentukan jumlah sampel
yang tepat dan mengevaluasi hasil sampling.
Dua pendekatan pemilihan sampel yang umum digunakan dalam metode ini adalah simple
random sampling dan systematic sampling with random start.
Faktor2 yang memengaruhi ukuran sampel pada metode ini :
c. Risiko penerimaan yang tidak benar.
a. Ukuran populasi.
d. Risiko penolakan yang tidak benar.
b. Standar deviasi populasi yang diestimasi.
e. Tolerable misstatement.
C. PPS versus CVS

BAB 12
INTRODUCTION TO THE ENGAGEMENT PROCESS
I. TYPES OF INTERNAL AUDIT ENGAGEMENTS (TIPE PENUGASAN INTERNAL AUDIT)

Secara umum, auditor internal menyediakan dua jenis layanan : jasa assurance dan jasa consulting,
baik yang berbentuk control-focused maupun yang sifatnya performance-focused.
Proses penugasan (engagements) kedua jenis layanan tersebut terdiri dari 3 tahap utama yaitu
(1) Perencanaan; (2) Pelaksanaan; (3) Komunikasi (pelaporan).
II. GAMBARAN UMUM PROSES ASSURANCE ENGAGEMENTS

PLAN PERFORM COMMUNICATE
- Menentukan tujuan & lingkup - Melakukan pengujian untuk - Melakukan evaluasi observasi &
engagement mengumpulkan bukti proses eskalasi
- Memahami auditee, termasuk - Mengevaluasi bukti yang diperoleh - Melakukan engagement
tujuan & asersi auditee dan menyimpulkan pendahuluan & interim
- Mengidentifikasi & mengukur - Mengembangkan observasi & - Mengembangkan komunikasi
risiko menyusun rekomendasi engagement final
- Mengidentifikasi pengendalian - Mendistribusikan komunikasi final
kunci (key control) formal & informal
- Mengevaluasi kecukupan desain - Melakukan prosedur monitoring &
pengendalian tindak lanjut
- Menyusun rencana pengujian
- Mengembangkan Program Kerja
- Mengalokasikan sumber daya pada
engagement
Meskipun gambaran di atas menunjukkan tiga tahap dari engagement sebagai langkah yang terpisah
dan menunjukkan urutan, sebenarnya praktik yang dilakukan tidak sepenuhnya seperti gambaran di atas.
Tidak terdapat garis tegas antara perencanaan, pelaksanaan dan pelaporan.
A. Aktivitas Perencanaan Assurance Engagements

Terdapat sebuah ungkapan 7P :“Proper Prior Planning Prevents Poor Performance” dan ungkapan lain
“Failing to plan means planning to fail” menunjukkan betapa pentingnya perencanaan. Dalam assurance
engagement, tahapanyang dilalui antara lain:
1) Menentukan tujuan dan lingkup engagement
Pertimbangan penting ;
a. Kategori tujuan bisnis (strategis, operasional, pelaporan dan kepatuhan).
Apakah fokusnya pada efektivitas operasi dan efisiensi auditee, aspek pelaporan keuangan auditee,
atau keduanya.
b. Hasil yang diharapkan dari Tim Audit Internal.
Tim diharapkan dapat membatasi fokusnya untuk mengkomunikasikan observasi atas pengendalian
selama proses engagements, atau diharapkan untuk menyampaikan opini keseluruhan atas area
khusus yang ditanyakan.
c. Batasan engagements
Dari Proses/subproses bisnis mana dimulai/diakhiri, unit mana yg dikunjungi, dsb.
2) Memahami auditee, termasuk tujuan dan asersi auditee
a. Tujuan Bisnis Auditee apakah yang ingin dicapai auditee
b. Asersi Auditee pernyataan tentang “apa yang telah dicapai”
3) Mengidentifikasi dan mengukur risiko
Tim audit internal harus mem-bobot level risiko yang diukur dibandingkan dengan batas toleransi
risiko manajemen yang dapat diterima.
Pilihan/respon risiko  menerima (accept), menghindari (avoid) dan membagi (sharing) risiko.
4) Mengidentifikasi pengendalian kunci (key control)
Tim audit internal juga harus mengidentifikasi pengendalian mana yang paling kritis untuk
mengurangi risiko bisnis ke level yang dapat diterima serta menyediakan jaminan bahwa tujuan
yang ditetapkan akan tercapai.
Dibahas lengkap di Ch. 3 “Internal Control” dan Ch. 13 “Conducting Assurance Engagement”
5) Mengevaluasi kecukupan desain pengendalian
Tim audit internal harus memutuskan apakah pengendalian kunci yang teridentifikasi
diidentifikasi secara memadai untuk mengurangi risiko, baik secara individual maupun kolektif ke
level yang dapat diterima – diasumsikan bahwa pengendalian telah dijalankan sesuai rencana.
6) Membuat pengujian perencanaan
Membuat pengujian perencanaan terdiri dari menentukan sifat, waktu, dan perluasan prosedur
yang diperlukan untuk mengumpulkan bukti audit. Pengujian perencanaan berupa pengujian
langsung atas pengendalian dan atau test kinerja untuk menghasilkan bukti tak langsung berkaitan
dengan efektivitas pengendalian.
7) Mengembangkan program kerja
Selama proses penugasan, internal auditor menandai prosedur dalam audit program yang menandakan
pekerjaan telah selesai dilaksanakan. Supervisor harus mereviu pekerjaan tim audit atas pekerjaan yang
telah dilaksanakan dan pekerjaan yang belum selesai atau yang masih harus dikerjakan, yang bisa saja
diluar dari program kerja.
8) Alokasi sumber daya untuk penugasan
Step terakhir dalam perencanaan penugasan, antara lain menentukan keahlian audit yang diperlukan,
estimasi waktu, menugaskan internal auditor, dan membuat skedul pekerjaan supaya dapat dikontrol
realisasi tepat waktu.
B. Aktivitas Pelaksanaan Penugasan Assurance

Assurance Engagement Performance Activities. Tahapan pekerjaan lapangan kegiatan assurance
sebagai berikut:
1) Melakukan test untuk mengumpulkan bukti
Pertama, melakukan prosedur untuk mengumpulkan bukti, misalnya making inquiry, observing operations,
inspecting document, dan analyzing reasonableness of information. Kemudian mendokumentasikan prosedur
yang telah dikerjakan beserta hasilnya.
2) Evaluasi bukti audit yang dikumpulkan dan membuat kesimpulan
Evaluasi bukti misalnya untuk menentukan apakah kegiatan pengendalian telah didesain memadai dan
efektivitas operasi telah tercapai. Internal auditor harus membuat kesimpulan logis berdasarkan bukti.
3) Mengembangkan observations (atau findings/temuan) and merumuskan rekomendasi
Temuan yang baik memuat empat elemen : kriteria (what should be), kondisi (what is), akibat (effect), dan
sebab (reason the gap).
Rekomendasi berdasarkan temuan dan kesimpulan internal auditor, untuk menutup gap antara kriteria dan
kondisi, kontennya perbaikan atas masalah utama (root cause not sympton) berupa solusi yang jangka
panjang dan secara ekonomi dapat dikerjakan.
C. Aktivitas Komunikasi Penugasan Assurance

Proses komunikasi hasil adalah komponen kritis dalam semua kegiatan internal audit, komunikasi
hasil internal audit harus “accurate, objective, clear, concise, constructive, complete, and timely” (IIA
Standard 2420 : Quality of Communications).
Tahapan kegiatan komunikasi kegiatan assurance sebagai berikut:
1) Melakukan proses evaluasi dan eskalasi (escalation process) atas temuan
Temuan harus di assess melalui proses evaluasi dan eskalasi, selanjutnya menentukan implikasi temuan
dalam komunikasi hasil pada area yang direviu.
2) Melakukan komunikasi interim dan awal penugasan
Komunikasi oleh internal audit terjadi selama proses penugasan dan tidak hanya terjadi di akhir. Komunikasi
di awal atas permasalahan yang muncul memperkenankan manajemen untuk menyelesaikan masalah
secepatnya sebelum penugasan selesai, yang akan mempengaruhi ruang lingkup dan progress. Komunikasi
memberikan manajemen kesempatan untuk melakukan klarifikasi dan menyampaikan pemikiran dari sudut
pandangnya atas kesimpulan dan rekomendasi tim audit. Komunikasi juga untuk menghindari multi tafsir
karena kata yang tertulis kadang berbeda dengan yang diucapkan.
3) Mengembangkan komunikasi penugasan akhir
Internal auditor telah siap untuk mengkonsolidasi dan mensintesis semua bukti yang dikumpulkan selama
penugasan. Pengembangan komunikasi akhir termasuk:
 Membuat list dan prioritas pengendalian atas temuan dengan mempertimbangkan efektivitas
pengendalian auditee.
 Membuat kesimpulan jaminan negatif (negative assurance/limited assurance). Auditor internal
mengungkapkan keyakinan negatif ketika mereka menyimpulkan bahwa tidak ada yang menjadi
perhatian mereka yang menunjukkan bahwa kontrol auditee yang dirancang tidak memadai atau tidak
efektif beroperasi.
 Membuat kesimpulan jaminan positif (positive assurance/reasonable assurance). Internal auditor
mengungkapkan keyakinan positif ketika mereka menyimpulkan dalam opininya bahwa pengendalian
auditee dirancang memadai dan beroperasi efektif.
4) Distribusi komunikasi akhir formal dan informal
Komunikasi penugasan final mengandung tanggapan auditee terhadap kesimpulan, pendapat, dan
rekomendasi tim audit internal. Temuan yang harus dimasukkan dalam formal, komunikasi penugasan akhir
adalah apa-apa yang harus dilaporkan untuk mendukung, atau mencegah kesalahpahaman, atas kesimpulan
tim audit internal dan rekomendasi. Temuan kurang signifikan dapat disampaikan secara informal.
Rekomendasi, yang didasarkan pada temuan dan kesimpulan, adalah tindakan yang diajukan untuk
memperbaiki kondisi yang ada atau meningkatkan operasi yang diusulkan.
5) Melakukan monitoring dan prosedur tindak lanjut (follow up).
 IIA Standard 2500: Monioring Progress menyatakan bahwa "Kepala eksekutif Audit harus membangun
dan memelihara sistem untuk memonitor [huruf miring ditambahkan] disposisi hasil dikomunikasikan
kepada manajemen."
 Standar 2500.A1 melanjutkan dengan mengatakan bahwa "Kepala eksekutif Audit harus menetapkan
proses tindak lanjut [huruf miring ditambahkan] untuk memantau dan memastikan bahwa tindakan
manajemen telah dilaksanakan secara efektif atau bahwa manajemen senior telah menerima risiko tidak
mengambil tindakan."
 Audit internal charter harus mendefinisikan tanggung jawab fungsi audit internal untuk tindak lanjut, dan
CAE harus menentukan sifat, saat, dan lingkup prosedur tindak lanjut yang tepat untuk penugasan
tertentu.
III. THE CONSULTING ENGAGEMENT PROCESS

Penugasan consulting internal audit berbeda dengan penugasan assurance, yaitu:
 Jika sifat dan ruang lingkup penugasan assurance ditentukan berdasarkan fungsi dari internal audit, maka sifat
dan ruang lingkup penugasan consulting berdasarkan persetujuan dengan pengguna layanan (customer).
 Penugasan consulting dalam sifatnya lebih bersifat discretionary (bebas dalam memilih jenis jasa) dibandingkan
penugasan assurance. Jasa consulting termasuk “consul, advise, facilitation, and training”.
Proses dan tahapan penugasan consultingsama dengan assurance, yang membedakan adalah tidak semua
tahapan assurance diperlukan, dan tahapan dalam consulting dilakukan secara berbeda dikarenakan
tergantung dari sifat penugasannya (consul, advise, facilitation, and training).
Tiga fase utama penugasan yang diatur dalam Standar (Internal Audit) sebagai berikut:
A. Planning
 IIA Standard 2200 Engagement Planning – “Internalauditors must develop and document a plan for each
(consulting) engagement, including the engagement’s objective, scope, timing, and resource allocation”.
 IIA Standard 2201.C1 – “Internal auditor must establish an understanding with consulting engagement
(customer) about objective, scope, respective, responsibilies, and other (customer) expectation”.
 IIA Standard 2220.C1 –“Internal auditor must ensure that the scope of engagement is sufficien to address
the agreed-upon objectives”.
 IIA Standard 2240.C1 –“Work program for consulting engagement may vary in form and content
depending upon the nature of the engagement.
B. Performing
IIA Standard 2300 Performing The Engagement – “Internal auditor must identify, analyze, evaluate,
and document sufficient information to achieve the (consulting) engagement’s objective”.
C. Communicating
 IIA Standard 2400 Communicating Result – “Internal Auditor must communicate the result of
(consulting) engegement”.
 IIA Standard 2410 Criteria for Communicating –“Communications must include the engagement’s
objective and scope as well as applicable conclusion, recommendations, and action plans”.
 IIA Standard 2410.C1 – “Communication of the progress and result of consulting engagement will vary in
form and content depending upon the nature of the engagement and the needs of the (customer)”.
BAB 13
Conducting the Assurance Engagement
I. MENENTUKAN TUJUAN DAN LINGKUP ENGAGEMENT

A. Alasan Melakukan Engagement
Tipe engagement dan alasan-alasan melakukanya mungkin akan secara signifikan mempengaruhi
bagaimana engagement tersebut dilakukan. Oleh karena itu, penting untuk memahami alasan-alasan
melakukan engagement sebelum memulai perencanaan.
alasan melakukan assurance engagement adalah, tetapi tidak terbatas pada hal-hal sbb:
- Bagian dari rencana
Engagement terdapat dalam internal audit plan karena risiko inheren ditemukan saat prosessbusiness
riskassessment , dideteksinya risiko pada area yang diaudit terakhir kali, dan faktor lain yang relevan.
- Permintaan / compliance requirement
Untuk mengevaluasi sistem internal kontrol organisasi untuk tujuan pelaporan eksternal. Internal auditor
harus memastikan bahnwa engagement didesain untuk menguji area yang tercakup dalam underlying
regulations.
- “Post mortem” / pasca kejadian
Menentukan apakah suatu proses efektif atau tidak. Internal auditor harus menyesuaikan pengujian dan
evaluasi pada suatu event spesifik yang terjadi.
- Perubahan yang signifikan
Perubahan bisnis atau industri memerlukan modifikasi proses yang cepat dan manajemen menginginkan
validasi yang cepat bahwa modifikasi tersebut didesain secara tepat menyesuaiakn perubahan. Fungsi
Internal auditor dapat melakukan audit conrtrol-focused secara penuh atau fokus hanya pada kontrol yang
berubah.
B. Menyusun Tujuan Engagement

Segera setelah suatu alasan engagement disepakati, tujuan engagement formal harus disusun :
- Biasanya diinyatakan dalam laporan final assurance engagement.
- Apabila dinyatakan dalam cara lain, harus jelas menyebutkan assurance apa yang disediakan dalam
engagement.
Sebagai contoh, tujuan dapat dimulai dengan susunan sbb :
- Evaluasi kecukupan desain
- Menentukan efektivitas operasi
- Assess compliance
- Menentukan efektivitas dan efisiensi dari………………..
- Assess pencapian dari………
- Menentukan kinerja dari……..
C. Lingkup Engagement
Merupakan apa yang termasuk atau yang tidak termasuk dalam engagement). Segera setelah tujuan
engagement disusun, lingkup engagement harus ditentukan.
Pernyataan lingkup tersebut dapat mencakup :
- Batasan proses
- In-scope VS out-scope lokasi
- Subproses
- Komponen
- Jangka waktu
Lingkup engagement :
- Memerlukan judgment profesional.
- IA harus menjamin bahwa pernytaan lingkup harus untuk memenuhi tujuan engagement.
- Pernyataan lingkup yang spesifik akan memungkinkan fokus tim audit internal yang lebih baik akan
pengujian tertentu.
- Penerima laporan akan mengenterpretasikan dengan lebih baik temuan yang ada [ada konteks tujuan
engagement.
D. Outcomes dan Hasil yang Diharapkan

“Begin with the end in mind”
1) Outcome potensial dari pengujian-pengujian yang dilakukan selama engagement
Tipikal ekspektasi mencakup :
- Kesalahan laporan keuangan atau ketidaktepatan klasifikasi dalam akun keuangan, saldo, atau
pengungkapan.
- Defisiensi kontrol.
- Kekurangan pencapaian tujuan, yang disebabkan oleh defisiensi kontrol atau ketidakcukupan
kinerja.
- Inefisiensi, yang disebabkan sumber daya tidak dipergunakan dengan cara yang optimal.
- Keadaan out-of-compliance, ketika undang-undang, peraturan, atau kebijakan tidak diterapkan
secara konsisten.
2) Ekspektasi Auditee sesuai engagement communications
Memahami bentuk dan isi final communication membantu IA menjamin bahwa semua informasi yang
dibutuhkan telah dikumupulkan selama engagement.
Tipe umum communcation meliputi :
- Full scope. Tipikal Pelaporan Internal adalah ddisistribusikan secara luas, oleh karena itu
memerlukan cukup bukti yang tepat untuk mendukung kesimpulan dan rekomendasi untuk
peningkatan.
- Internal memoranda dapat digunakan untuk pendistribusian yang terbatas
- Laporan untuk keperluan pihak ke tiga harus diasumsikan bahwa pihak tersebut kurang familiar
dengan kebijakan dan prosedur yang khas untuk organisasi, dan oleh karena itu memerlukan
tingkat detail yang lebih untuk menjamin pembaca mengerti sifat dan konteks observasi dan
rekomendasi
- Terkadang, tingkat confidentiality yang lebih tinggi dibutuhkan untuk engagement tertentu. Hal
seperti itu harus didiskusikan terlebih dahulu dengan manajemen proses untuk menjamin bahwa
hasil akhir akan mendukung kebutuhan tingkat confidientality tersebut.
II. MEMAHAMI AUDITEE

A. Menentukan Tujuan-Tujuan dari Auditee
Memahami suatu proses dimulai dengan menentukan tujuan dari proses utama. Tujuan pada level proses
(prosses level) dapat dijelaskan sbb :
1) Tujuan operasi
- Tipe tujuan yang paling umum tujuan pada proses level.
- Bisanya menentukan latar belakang mengapa proses itu ada.
- Biasanya merupakan tata kelola atau task-oriented.
- Sebagai hasil, kebanyakan fokus pada keakuratan, ketepatan waktu, kelengkapan, ataau atribut kontrol.
- Tambahan, biasanya fokus pada menjamin efektifitas dan efisiensi operasi dan pengamanan aset.
2) Tujuan pelaporan pada level proses
Didesain untuk memenuhi kebutuhan pelaporan organisasi, baik internal maupun eksternal.
3) Tujuan kepatuhan (Compliance objectives) pada level proses
Berhubungan dengan kepatuhan terhadap undang-undang dan peraturan eksternal, kebijakan internal, atau
kontrak.
4) Tujuan strategis pada level proses
Disusun secara khusus agar sesuai dengan tujuan strategis perusahaan.
5) Other objectives
Untuk proses spesifik yang berhubungan dengan inisiatif departemen masing-masing.
Pertanyaan-pertanyaan yang dapat digunakan untuk menentukan/mengetahui tujuan dari proses utama
(key process objectives) :
- Mengapa proses tersebut ada? (apa tujuan utamanya?)
- Tujuan strategis organisasi mana yang akan terpegaruh dan bagaimana?
- Inisatif apa yang dilakukan/harus dilakukan proses tersebut untuk membantu organisasi mencapai tujuan
strategisnya?
- What does this process provide the organization, without which the organization would have a difficult
time being successful?
- Pada akhir hari/minggu/bulan/tahun, apa yang mendorong karyawan untuk menyelesaikan dengan
pekerjaan mereka ?
- What accomplishment tendt to get employees recognized by management or internal customers?
B. Mengumpulkan Informasi
1) Jenis dan sumber informasi yang relevan.
Titik awal untuk memahami suatu proses adalah mereview dokumentasi yang ada. Contoh :
- Kebijakan yang berhubungan dengan proses.
- Manual prosedur.
- Organizational charts atau informasi serupa yang menunjuka hubungan/aliran jumlah karyawan dan
pelaporan utama.
- Job description pihak yang terlibat dalam proses.
- Process map atau flowcharts yang menggambarkan aliran keseluruhan proses.
- Penjelasan naratif pekerjaan kunci/utama atau bagian dari suatu proses.
- Informasi yang relevan berhubungan dengan undang-undang dan peraturan yang mempengaruhi proses.
- Dokumen lain yang dibuat untuk mendukung pelaporan yang diperlukan untuk efektifitas dari sistem
pengendlian internal.
2) Prosedur Analitis
- Suatu cara IA menerapkan high-levelassessment yang dapat mengungkapkan aktivitas proses yang
menuntun perhatian yang lebih, dan oleh karena itu memerlukan pengujian yang lebih detail.
- Termasuk di dalamya me-review dan mengevaluasi informasi yang ada baik finansial maupun non
finansial untuk menentukan apakah konsisten dengan ekpektasi yang telah ditetapkan.
3) Data Analysis Using:
a. Computer-assisted Audit Techniques (CAATs)
- Data analisis termasuk mengkompilasi dan menganalisis banyak data, biasanya melalui penggunaaan
teknologi.
- Disamping sebagian besar analisis data dilakukan untuk menguji efektifitas suatu proses, beberapa
pengujian data analisis dapat menyediakan informasi yang berguna selama proses perencanaan.
- Analisis data dapat menyediakan informasi tentang populasi transaksi yang dapat dimanfaatkan
ketika menentukan pendekatan internal audit.
b. Analisis kontrol level entitas
Kontrol level entitas biasanya dievaluasi berdasarkan luasnya organisasi pada periodic interval (ex:
tahunan). Oleh karena itu, bisanya tidak diperlukan untuk melakukan assessment efektivitas dari kontrol
level entitas untuk setiap engagement. Akan tetapi auditor internal harus mempertimbangkan hasil
assessment kontrol level entitas ketika merencanakan individual engagement untuk menjamin
pendekatan penguianya relevan dan efisien
C. Mendokumentasikan Alur Proeses

Dokumentasi alur proses akan memudahkan review kertas kerja oleh supervisor internal auditor atau yang lainya.
Bentuk yang paling umum: Flowchart (High-level atau detail) dan narrative memoranda.
1) Process map – Menggambarkan luasnya input, aktivitas, workflow, dan hubunganya dengan proses dan
output lain. Framework untuk memahami aktivitas dan subproses.
Proses map berguna pada level bisnis, seddangkan flowchart dan hybrid documentation pada detail proses.
2) Flowchart – mencakup tambahan informasi, biasanya menggambarkan sistem komputer dan aplikasi, alur
dokumen, detail risiko dan pengendalian, langkah manual atau otomatis, waktu yang dibutuhkan daalam
proses, pelaksana langkah kunci, dan informasi tambahan lain yang dibutuhkan untuk membantu pereviu
memahami proses dan alurnya.
High-level flowchart :
- Menggambarkan luasnya input, tugas, alur kerja, dan output.
- Membantu pereviu memahami keseluruhan proses, sistem, laporan, dan hubunganya dengan proses dan
subproses lain.
- Biasanya digambarkan seperti process map, dengan informasi yang ditambahkan.
Detailed Flowchart :
- Mendokumentasikan secara lebih spesifik input, tugas, actions, sistem, keputusan, dan output.
- Contoh, dapat memasukan semua atau beberapa informasi berikut :Key risk, key control,
indiviudal/position performing, timing, elapsed time.
3) Narrative memoranda – Memberikan informasi tentang alur proses hanya menggunakan kata tulis. Biasanya
digabungkan dengan flowchart untuk membuat dokumentasi bentuk hybrid.
Situasi yang tepat untuk menggunakan narrative memoranda :
- Prosesnya simpel, gambaran visual tidak bernilai penting.
- Langkahnya rumit, sulit untuk mendeskripsikan secara efektif dalam ruang yang terbatas yang ada pada
simbol2 flowchart.
- Process owner request.
- Lebih efisien dalam mendokumentasikan proses.
D. Mengidentifikasi Indikator Kinerja Kunci

KPI – Metrik atau bentuk lain pengukuran apakah proses atau kerja individu dioperasikan dengan toleransi yang
telah ditentukan sebelumya.
Karakteristik KPI yang baik :
- Relevant
- Measurable
- Available
- Sesuai degan key objective process (ex: infromasi pembayaran ganda diketahu karena terdapat tujuan untuk
tidak terdapat pembayaran ganda).
- Articulated, dapat dilafakan/disampaikan kepada orang yang terlibat dalam proses
E. Mengevaluasi Risiko Fraud pada Level Proses

Sebelum memulai proses risk assessment formal, penting untuk mengevaluasi potensi skenario fraud
dalam proses, yang meliputi 3 langkah :
1) Mengidentifikasi potensi skenario fraud. Ex: brainstorming.
2) Memahami potensi dampak fraud.
3) Menentukan apakah akan dilaukan pengujian untuk risiko fraud spesifik.
Tidak dimaksudakn untuk mengidentifikasi terjadinya fraud, tapi mengevaluasi kemungkinan terjadinya
skenario fraud.
III. IDENTIFY AND ASSESS RISKS

A. Mengidentifikasi Skenario Risiko Pada Level Proses
Tujuan: menjawab pertanyaan “What can happen that would prevent the achievement of each process-
level objective?”
Langkahnya:
1) Memilih satu tujuan pada level proses.
2) Brainstorm hambatan-hambatan.
3) Continue the exercise for the remaining
process-level objectives.
4) Mengkategorikan dan mnegkombinasikan
skenario risiko yang ang serupa.
B. Menentukan Risiko Pada Level Proses
Pendekatan optimal dalam menentukan risiko tergantung pada budaya dan risk language
organisasi. Suatu pendekatan yang umum dan efektif untuk menentukan risiko adalah menggunakan
cause and effecttprotocol. Dengan pendekatan ini, risiko dimulai dengan cause dan dilanjutkan ke
efffect.
Setelah risiko ditentukan, risiko tersebut harus dihubungkan dengan tujuan pada level proses
untuk menjamin terdapat hubungan antara tiap risiko dan tujuan tersebut.
Tugas terakhir adalah memvalidasi definisi speak the leanguge pegawai pada level proses.
Internal auditor harus mensharing dan mendiskusikan definisi risiko dengan managemen pada level
proses dan pegawai untuk memvalidasi bahwa daftar risiko tersebut telah lengkap dan definisinya
sesuai.
C. Evalusai Dampak dan Keterjadian Risiko

Ketika risiko telah diidentifikasi dan ditetapkan, auditor kemudian siap untuk melakukan risk
assessment. Tujuan melakukan evaluasi ini adalah untuk membantu mengidentifikasi risiko yang
mempunyai efek paling besar pada pencapaian tujuan.
Langkah yang dilakukan dalam melakukan risk assessment
1) Menetapkan impact dari berbagai outcome yang terkait dengan masing-masing risiko.
2) Memperkirakan keterjadian bahwa setiap dampak risiko akan terjadi.
3) Menggabungkan penilaian dari impactdan tingkat keterjadian menjadi penilaian risiko tunggal.
Nomer 9 dan 8 menunjukkan risiko tinggi, nomor 5,6,7, menunjukkan risiko sedang, nomor 1,2,3,4
menunjukkan risiko rendah.
D. Memahami Risk Tolerance Management

Risk tolerance – Tingkatan atas ukuran dan jenis risiko yang dapat diterima manajemen dalam usaha
pencapaian tujuan, yang harus sejalan dengan risk apetite organisasi.
Langkah-langkah untuk memahami tingkatan risk tolerance suatu manajemen :
1) Identifikasi kemungkinan risiko hasil.
Risiko menggambarkan jarak atas kemungkinan hasil. Sedangkan hasil biasanya diukur secara financial,
mungkin ada juga risiko lainnya yang tidak terungkap dengan pengukuran keuangan.
2) Memahami tingkat toleransi yang ditetapkan.
Setiap tingkatan toleransi terlihat dari pengukuran pada dokumentasi KPI, capaian kinerja individu, dan
komunikasi lainnya.
3) Menilai level toleransi atas hasil yang belum ditetapkan.
IV. IDENTIFIKASI KEY CONTROL

Key control – sebuah aktifitas yang dirancang untuk mengurangi risiko terkait dengan tujuan bisnis
yang penting. Untuk melakukan hal ini, sangat penting untuk memahami berbagai macam tipe control yang
mungkin saja merupakan key control pada tingkatan proses yang dijalankan. Beberapa contoh control yang
telah dijalankan :
1. Approving – memerlukan otorisasi saat melakukan transaksi.
2. Calculating – menghitung atau melakukan penghitungan kembali atas hasil dari suatu data.
3. Documenting – terkait dengan menjaga sumber informasi atau mendokumentasikan pertimbangan keputusan.
4. Examining – melakukan verifikasi.
5. Matching – melakukan perbandingan dari dua atribut yang berbeda.
6. Monitoring – melakukan pemeriksaan untuk memastikan kegiatan yang dilaksanakan.
7. Restricting – tidak mengijinkan melakukan tindakan terlarang.
8. Segregating – memisahkan pelaksana pekerjaan untuk menghindari tindakan yang tidak diinginkan.
9. Supervising – melakukan pengawasan untuk memastikan kegiatan dilaksanakan sesuai dengan rencana.
Hal-hal penting dalam menetapkan key control :
1. Internal auditor harus memiliki pemahama yang jelas mengenai proses pencapaian tujuan.
2. Konsekuensi dari kurangnya control harus dievaluasi.
3. Control tambahan harus dilakukan apabila ada indikasi kegiatan tidak dijalankan sesuai key control.
4. Efek dari suatu control terhadap control lainnya harus dipertimbangkan.
5. Dampak dari control entitas juga harus dipertimbangkan.
6. Control yang berlebihan,atau sesuatu yang tidak efektif harus diubah atau dihilangkan.
V. EVALUASI KECUKUPAN DESAIN KONTROL

Menetapkan apakah key control dirancang dengan cukup untuk mengurangi risiko individual dari sebuah
proses menjadi risiko yang diterima. Gap yang teridentifikasi harus didiskusikan dengan manajemen.
Evaluasi kecukupan rencana pengendalian :
1) Rencana dinyatakan cukup, tidak ada perbedaan yang signifikan.
2) Rencana dinyatakan cukup, terdapat perbedaan.
3) Rencana tidak cukup, terdapat perbedaan yang signifikan.
VI. MEMBUAT RENCANA PENGUJIAN

Digunakan untuk mengumpulkan kecukupan bukti yang sesuai untuk mendukung evaluasi dari seberapa
efektif key control dilaksanakan.
Langkah yang dilakukan:
1) Menetapkan control mana yang cukup penting untuk pengujian.
Fokus utama melakukan pengujian adalah mengetahui apakah key control dilaksanakan cukup efektif untuk
memastikan proses risiko setiap tingkatan diatur dengan cukup. Dalam pengujian tersebut ditetapkan control yang
dipilih untuk diuji
2) Mengembangkan pendekatan untuk menguji control-control tersebut.
Pendekatan pengujian digunakan untuk menetapkan sifat-beda sifat pengujian berbeda tingkat keyakinan yang
diberikan, luasan-control dapat diuji secara parsial atau keseluruhan, dan waktu yang tepat untuk melakukan
pengujian-pengujian dapatdilakukan pada waktu yang berbeda.
3) Dokumentasi pertimbangan mendukung pemilihan audit tes.
Salah satu contoh rencana pengujian
VII. MENGEMBANGKAN WORK PROGRAM
Work program – sebuah dokumen yang berisi rincian prosedur yang arus diikuti selama pemeriksaan,
didesain untuk mencapai tujuan pemeriksaan.
Work program ini dapat memiliki bentuk yang berbeda, antara lain :
1) Standar template atau checklist yang menuntun internal auditor mempersiapkan untuk mendokumentasikan
pelaksanaan langkah yang sesuai rencana.
2) Sebuah memorandum yang berisi ringkasan penyelesaian tugas.
3) Kolom tambahan pada matriks risiko dan control bila auditor ingin semua hal yang ditemukan dalam dokumen
akan disajikan.
4) Kombinasi dari ketiganya.
Format tersebut akan bervariasi dari fungsi internal audit yang satu dengan fungsi internal audit lainnya. Hal
ini berarti ada beberapa cara untuk :
1) Memastikan seluruh tim pemeriksa memahami apa yang telah dilakukan dan apa yang masih harus dilakukan.
2) Melakukan komunikasi mengenai siaoa yang bertanggungjawab melaksanakan setiap tugas pemeriksaan.
3) Mendapatkan catatan dari tugas yang telah diselesaikan.
4) Memfasilitasi reviu oleh manajer pemeriksaan atau direktur yang melakukan pengawasan datau direktur selama
proses rencana pemeriksaan.
VIII. MENGALOKASIKAN SUMBER DAYA UNTUK MELAKSANAKAN PEMERIKSAAN

Sumber daya pemeriksaan antara lain : auditor internal, orang lain (internal/eksternal), alat transportasi,
teknologi, dan lain lain.
Langkah terakhir dalam merencanakan pemeriksaan adalah menetapkan sumber daya yang dibutuhkan
dengan benar untuk melaksanakan tugas yang direncanakan. Langkah tersebut adalah :
1) Mengestimasi, atau menganggarkan sumber daya yang dibutuhkan.
2) Mengalokasikan sumber daya manusia yang tepat untuk melaksanakan pemeriksaan.
3) Menjadwalkan sumber daya untuk memastikan penugasan selesai tepat pada waktunya.
IX. MELAKUKAN TES UNTUK MENGUMPULKAN BUKTI

Pada bagian ini adalah transisi dari tahap perencanaa kepada tahap pelaksanaan.
Langkah yang dilakukan auditor : menerapkan prosedur audit khusus untuk mendapatkan bukti; dan
mendokumentasikan prosedur yang dilaksanakan dan hasilnya dari pelaksanaan prosedur tersebut
X. MENGEVALUASI BUKTI YANG DIDAPAT DAN MEMBUAT KESIMPULAN

Pertanyaan yang harus dijawab dalam evaluasi :
- Apakah key control telah didesain secara memadai?
- Apakah key control dijalankan dengan efektif sesuai dengan desain?
- Apakah risiko yang melekat telah dimitigasi pada tingkatan yang diterima?
- Apakag desain dan pelaksanaan key control mendukung pencapaian tujuan pelaksaan tugas?
XI. MENGEMBANGKAN OBSERVASI DAN MENYUSUN REKOMENDASI

Elemen kunci dari observasi :
1) Kriteria – Apa yang seharusnya ada?
2) Kondisi – Apa yang terjadi?
3) Sebab – Kenapa terdapat perbedaan antara yang terjadi dengan yang seharusnya?
4) Akibat – Konsekuensi dari perbedaan antara yang seharusnya terjadi denfan kenyataan.
BAB 14
COMMUNICATING ASSURANCE ENGAGEMENT OUTCOMES & PERFORMING FOLLOW-UP
PROCEDURES
I. COMMUNICATION
1) Mengapa mengkomunikasikan assurance engagement outcomes itu penting?
2) Mengidentifikasikan perbedaan bentuk-bentuk dari assurance engagement communication.
3) Mengidentifikasikan langkan-langkah yang dilakukan untuk membuat suatu assurance engagement
communication yang efektif.
4) Memahami proses distribusi untuk secara efektif mengkomunikasikan hasil assurance engagement.
5) Memahamiapa yang dibutuhkan untukmelakukan monitoringyang efektifdan tindak lanjutpada hasil assurance
engagement.
6) Internal Audit (IA)  independent = objective  assurance + consulting  add value + improve org. operation.
7) IA membantu organisasi untuk mencapai tujuan-tujuannya dengan melakukan suatu pendekatan yang sistematis
dan berdisiplin untuk mengevaluasi dan meningkatkan efektivitas dari risk management, control, dan governance
process.
8) Tipe engagement: Assurance dan consulting services.
9) Apa itu assurance services?
Assurance – suatu pemeriksaan yang objektif dari bukti-bukti dengan tujuan untuk menyediakan suatu penilaian
yang independen pada proses governance, risk management, dan control untuk organisasi. Misalnya: assurance
pada kinerja keuangan, ketaatan pada aturan, sistem keamanan, atau uji kelayakan suatu engagement.
10) Assurance services  objective  bukti2  penilaian independen  gov, RM, control  organisasi.
11) Fase-fase yang fundamental dalam proses assurance engagement.
12) Plan  perform  communicate
II. MENGAPA DIKOMUNIKASIKAN?

A. Standard 2060 – Pelaporan kepada Senior Management (SM) dan Board
CAE puya kewajiban untuk melapor secara periodik kepada SM dan board mengenai tujuan, otoritas, tanggung
jawab, dan kinerja aktivitas internal audit jika dibandingkan dengan perencanaannya.
B. Pelaporan di atas harus juga termasuk memaparkan risiko-risiko yang signifikan dan permasalahan-permasalahan
dalam control, termasuk risiko fraud, permasalahan pada governance, dan hal-hal penting lain yang dibutuhkan
atau memang diminta oleh SM dan Board.
C. Hasil dari assurance engagement lapor  SM dan audit committee.
D. Kewajiban Engagement Communication:

1) Audit Report
a. Hasil akhir dari suatu engagement process yang akan dikomunikasikan pada pihak-pihak terkait.
b. Cara formal sebuah fungsi internal audit mengkomunikasikan hasil dari engagement-nya kepada
manajemen dan pihak lain yang tepat (appropriate) yang mengandalkan hasil dari engagement tersebut.
2) Individual assurance engagements didesain untuk memenuhi tujuan audit yang spesifik yang terikat
dengan annual risk assessment dan internal audit plan.
a. Uji control untuk memastikan bahwa annual risk assessment dan internal audit plan telah didesain
dengan memadai dan dioperasikan dengan efektif.
b. Contoh control assertions
Criteria for Assessing Management’s Control Assertions
Authorization Apa pihak yang disetujui mengotorisasi transaksi?
Validity Apa transaksi benar2 terjadi?
Accuracy Apa jumlah barang, harga, waktu, dll sudah benar?
Timeliness Apa semua sudah dicatat di periode yang wajar dan tepat?
Confidentiality Apa informasi dirahasiakan?
Integrity Apa informasi masih asli, tidak diubah dan tidak dikorupsi?
Availability Apa informasi sudah disimpan dan siap tersedia jika sewaktu-waktu dibutuhkan?
III. LANGKAH-LANGKAH UNTUK MEMBUAT ASSURANCE ENGAGEMENT YANG EFEKTIF

A. Perencanaan
1. Tentukan tujuan & ruang lingkup 3. Identifikasi & nilai risiko.
engagement. 4. Identifikasi key control activity.
2. Pahami auditee (tujuan2 & pernyataan2 5. Evaluasi kecukupan control design.
assertions auditee) 6. Buat uji perencanaan.
7. Kembangkan program kerja. 8. Alokasikan sumberdaya pada engagement.
B. Pelaksanaan
1. Lakukan tes untuk mengumpulkan bukti.
2. Evaluasi bukti yang terkumpul & peroleh simpulan.
3. Kembangkan observasi & rumuskan rekomendasi.
C. Komunikasi
1. Lakukan evaluasi observasi & proses eskalasi.
2. Lakukan interim &preliminary engagement communication.
3. Kembangkan final engagement communication.
4. Distribusikan formal & informal final communications.
5. Lakukan prosedur monitoring & tindak lanjut.
D. Aktivitas Assurance Engagement Communication

1. Segera setelah satu atau lebih observasi2 diidentifikasi, internal audit harus menilai setiap observasi tsb
menggunakan sebuah proses evaluasi dan eskalasi dan menentukan implikasi dari pengamatan2 (observasi)
tersebut pada komunikasi yang dihasilkan untuk daerah yang sedang dikaji/direviu.
2. Observasi.
3. Sebuah temuan, ketetapan, atau judgement yang dihasilkan dari hasil pengujian yang dilakukan oleh internal
auditor dari sebuah assurance atau consulting engagement.
Material observation
Significant observation
Insignificant observation
E. Observation Evaluation Map

1) Insignificant
Mengidentifikasikan bahwa sebuah kontrol jauh dari likelihood/kemungkinan untuk gagal dan impact
kegagalannya sepele.
Falure + impact = Remote + trivial
2) Significant
Mengidentifikasikan bahwa sebuah kontrol cukup dekat (more than remote) dari likelihood/kemungkinan
untuk gagal dan impact kegagalannya juga cukup berpengaruh pada organisasi (more than trivial).
Falure + impact = More than remote + more than trivial
3) Material
Mengidentifikasikan bahwa sebuah kontrol cukup dekat (more than remote) dari likelihood/kemungkinan
untuk gagal dan impact kegagalannya melebihi ambang pintu materialitas.
Falure + impact = more than remote + melebihi ambang pintu materialitas
F. Pendokumentasian
Elemen yang diobservasi :
a. Kriteria what should exist? c. Cause kenapa ada perbedaan antara poin a
b. Conditionwhat does exist? & b?
d. Effects konsekuensi dari poin c apa?
G. Komunikasi
IA communication dilakukan selama engagement berlangsung. Komunikasi yang tepat waktu membuat
permasalahan/hambatan/penyimpangan/dll bisa ditemukan dan diselesaikan lebih cepat.
Tim IA harus memberikan kesempatan pada manajemen untuk menjelaskan
permasalahan/hambatan/penyimpangan/dll. yang terjadi dan curhat serta mengkomunikasikan apa yang ada di
pikiran mereka mengenai simpulan dan rekomendasi tim audit.
Final assurance engagement communications memastikan fungsi internal audit memenuhi kewajibab sbb:
1. Komunikasi tepat waktu
2. Dokumentasikan ruang lingkup, simpulan, observasi, rekomendasi, dan hasil dari management action plans
of an engagement.
3. Simpan permanent record dari pekerjaan yang telah IA lakukan.
IV. OBSERVASI DAN REKOMENDASI BERDASARKAN PADA ATRIBU-ATRIBUT BERIKUT INI:

A. Criteria (Kriteria)
Berisi tentang what should exist (apa yang seharusnya) yakni terdiri atas standar-standar, ukuran atau ekpektasi
yang digunakan dalam melaksanakan evaluasi/verifikasi (the correct state).
B. Condition (Kondisi)
Berisi tentang what does exist (seperti apa yang sedang terjadi) yakni merupakan fakta-fakta aktual yang
ditemukan oleh auditor internal dalam melaksanakan pemeriksaan (the current state).
C. Cause (Sebab)
Berisi tentang alasan adanya perbedaan antara what should exist dengan what does exist. Maksudnya adalah
penyebab/alasan yang mendasari adanya perbedaan antara kondisi yang ideal/diharapkan dengan kondisi yang
sedang terjadi.
D. Effect (Pengaruh)
Merupakan konsekuensi yang timbul atas perbedaan antara what should exist dengan what does exist. Jadi
merupakan risiko yang dijumpai organisasi maupun pihak lain yang disebabkan karena kondisi yang terjadi tidak
konsisten dengan kriteria yang ditetapkan. Dalam menentukan tingkat risiko ini, auditor internal menyadari akan
dampak dari engagement observation dan rekomendasi yang diberikan kepada operasional organisasi dan laporan
keuangan.
E. Recommendation (Rekomendasi)
Berisikan usulan tindakan korektif untuk memperbaiki kondisi yang ada. Dalam detailed recommendation ini
dijelaskan rangkaian aksi dan tindakan manajemen yang harus disadari dalam memperbaiki kondisi yang ada dan
mengeliminasi dampak negatif yang ada.
V. PELAKSANAAN INTERIM DAN PRELIMINARY ENGAGEMENT COMMUNICATIONS

Fungsi Internal Audit akan menggunakan informasi yang dikumpulkan selama proses komunikasi
interim untuk memfinalisasi pengamatan/observasi dan pada akhirnya akan menuju ke komunikasi final
serta untuk memformalkan action plan dari manajemen ke dalam simpulan komunikasi final.
Fungsi Internal Audit juga harus memberikan penegasan pada preliminary fact dan konklusi/simpulan
dengan perwakilan manajemen yang tepat pada area yang telah dicakup dalam engagement sebelum
didistribusikan ke dalam bentuk finalnya. Hal ini dapat dilakukan dengan berbagai cara, tetapi secara umum
dilakukan melalui formal meeting dengan manajemen yang selanjutnya disebut dengan exit interview atau
closing conference, diikuti dengan penyusunan draft final communication seperti apapun bentuknya.
VI. FINAL COMMUNICATION

Merupakan sarana dengan mana fungsi internal audit menginformasikan interested parties atau hasil
engagements.
Assurance Engagement Consulting Engagement
Melibatkan 3 pihak: Melibatkan 2 pihak:
1. Orang/kelompok yang terlibat langsung dengan 1. Orang/kelompok yang mencari dan menerima
proses, sistem, atau subjek penting lain (auditee) advice (customer)
2. Orang/kelompok yang membuat independent 2. Orang/kelompok yang menawarkan jasa
assessment (fungsi Internal Audit) advice/saran (fungsi Internal Audit)
3. Orang/kelompok yang bergantung pada independent
assessment (user)
A. Final assurance engagement communication memastikan fungsi Internal Audit memenuhi kewajiban
berikut ini:
1) Berkomunikasi tepat pada waktunya berkaitan dengan informasi kepada manajemen mengenai defisiensi
dalam pengendalian (lack of design adequacy atau efektifitas operasi), kekuatan dalam pengendalian,
kesempatan untuk maximize penggunaan sumber daya atau mengurangi costs dan area dalam peningkatan
produktivitas atau efisiensi.
2) Mendokumentasikan ruang lingkup, kesimpulan, observasi, rekomendasi, dan menghasilkan action plan
manajemen ke dalam sebuah engagement.
3) Menyimpan permanent record dari pekerjaan yang dilakukan selama engagement dan hasil dari engagement
yang disusun.
B. Well-designed final communication harus meliputi:
1) Purpose and scope of engagement
Merupakan tujuan dan ruang lingkup dari engagement (apa saja yang dimasukkan dan tidak dimasukkan ke
dalam sebuah engagement).
2) Time frame covered by the engagement
Periode operasi yang dilingkupi dalam engagement scope
1) Observasi sesuai kebutuhan evaluasi dan eskalasi proses
2) Engagement conclusion dan rating (jika aplikabel)
Conclusion merupakan internal audit function dalam kecukupan desain dan pengoperasian efektivitas subjek
pengendalian dalam audit.
Rating system ada 2 yaitu positive assurance (rating atau konklusi dari internal auditor yang menghasilkan
spesifik assurance tentang engagement) dan negatice assurance (nothing negative has come to the internal
auditor’s attention).
3) Management’s action plan to appropriately address reported observations (jika aplikabel)
4) Jenis laporan dari tim audit:
1) Laporan dengan kritikan yang tinggi, banyak tindakan remedial & signifikan yang direkomendasikan oleh tim.
2) Laporan yang menyebutkan defisiensi yang perlu dikoreksi, tetapi perubahannya tidak terlalu signifikan.
3) Laporan yang secara efektif yang mengidentifikasikan beberapa kesempatan untuk upaya improvement.
VII. FORMAL AND INFORMAL FINAL COMMUNICATION

Penerima formal assurance engagement communication adalah senior management, komite audit, auditor
eksternal independen, dan/atau auditee management. Formal communications ini mengindikasikan bahwa
pengendalian yang dievaluasi selama assurance engagement di-assess to be insignificantly compromised
tapi key controls affected, significantly compromised, dan materially compromised.
Informal communications merupakan komunikasi mengenai insignificant observations berhubungan
dengan secondary control yang mungkin dikompromisasikan.
A. Kualitas Komunikasi
Kualitas komunikasi (Quality of Communications) harus:
1) Accurate (bebas dari error dan distorsi).
2) Objective (fair, imparsial dan tidak bias).
3) Clear (mudah dimengerti dan logis).
4) Concise (to the point dan menghindari perluasan yang tak perlu).
5) Constructive (membantu engagement client dan organisasi menuju improvement).
6) Complete (include all significant & relevant information dan observasi untuk mendukung rekomendasi &
simpulan).
7) Timely (layak dan bijak dalam penggunaan waktu bergantung pada signifikansi permasalahan).
B. Errors and Omissions

Jika final communications mengandung error atau omission, chief audit executive harus
mengkomunikasikan informasi yang telah dikoreksi kepada seluruh pihak terkait yang menerima
informasi tersebut. Error merupakan pernyataan salah yang tidak disengaja (unintentionally
misstatement) atau kelalaian atas informasi signifikan dalam final engagement communication.
VIII. MONITORING AND FOLLOW-UP

Monitoring dan follow-up procedur didesain untuk memastikan observasi telah ditujukan dan
diputuskan dalam cara yang konsisten dengan respon manajemen yang telah dimuat dalam final engagement
communication. Proses Follow-up dibangun untuk memonitor dan memastikan bahwa aksi manajemen telah
secara efektif diimplementasikan atau senior manajemen telah menerima risiko untuk tidak melakukan aksi.
Timing dalam follow-up tergantung pada pentingnya observasi (Insignificant, significant, atau material)
yang ditentukan selama evaluasi dan eskalasi observasi.
Ch.15 Consulting Engagement (Part.1)
Consulting Engagement mempunyai potensi besar dalam memberikan nilai tambah dalam sistem
pengendalian internal organisasi. Juga dapat memberi pandangan ke depan daripada hanya menilai sesuatu
yang sudah lewat. Kebijakan, prosedur, dan proses yang baru harus terus dikembangkan untuk pengendalian
organisasi dengan tetap mempertimbangkan efisiensi.
Internal auditor dengan kapasitas konsultan mengetahui nilai dari organisasi dan memberikan pandangan
pada tahap awal proyek/kegiatan. contohnya sikap due diligence dari internal auditor yang memberikan
pandangan yang sangat berharga pada saat akuisisi perusahaan. Fungsi internal audit dapat melihat
organisasi secara mendalam dan dapat memberikan pandangan pada seluruh sistem pengendalian internal
organisasi.
Pada beberapa organisasi, fungsi internal audit merupakan bagian dari proses internal whistleblower. Ini
merupakan peluang dalam menyediakan jasa konsultasi. Contohnya, ada telpon yang menyatakan bahwa ada
fraud terjadi pada bagian utang, kemudian internal audit dapat mengerahkan sumber daya untuk melakukan
investigasi. Di beberapa organisasi bagian utang dianggap bagian yang berisiko rendah, jadi setelah
investigasi selesai internal audit dapat merubah peringkat risiko dari bagian utang.
David Richard, mantan Presiden The IIA, telah lama sebagai pengacara dari jasa konsultasi internal audit.
Saat beliau sebagai CAE di First Energy, beliau berkata:
Bagi beberapa internal auditor konsep dari konsultasi dan audit merupakan hal yang bertentangan karena
mereka melihat bahwa konsultasi membuat auditor terlalu dekat dengan customer dan berpotensi untuk
berkompromi dengan keindepenannya sebagai auditor. Sebenarnya konsultasi merupakan bagian dari
internal auditor saat tahun... Definisi internal audit memiliki fokus yaitu jasa assurance dan consulting. Jadi
sudah jelas bahwa internal auditor dapat menambah nilai organisasi dari jasa konsultasi dengan
menyediakan metodologi, fasilitasi, fokus, pengetahuan,
teknologi, best practice, dan independensi yang dapat
membantu memecahkan masalah customer.
Intenal Audit adalah katalis dalam meningkatkan efektivitas
dan efisiensi organisasi dengan menyediakan insight dan
rekomendasi berdasarkan analisis dan assesment data dan
proses bisnis.
Perbedaan Definisi Jasa Konsultasi dan Assurance:

 Jasa Konsultasi : memberikan nasihat dengan hal-hal yang berhubungan dengan aktivitas klien, lingkupnya
berdasarkanpersetujuan dengan klien, untuk menambah nilai dan meningkatkan tata kelola organisasi, manajemen
risiko, dan proses pengendalian tanpa mengambil alih tanggungjawab manajemen. Contohnya adalah konseling,
pemberian nasihat, fasilitasi, training.
 Jasa Assurance : Penilaian objektif dari bukti bukti yang ada dengan tujuan menyediakan penilaian independen atas
tata kelola, manajemen risiko, dan proses pengendalian. Contohnya finansial, kinerja, kepatuhan, sistem keamanan,
dan kontrak due diligence
Perbedaan Kontrak pada Jasa Konsultasi dan Assurance:

 Jasa Konsultasi melibatkan hanya dua pihak, yaitu orang yang mencari dan menerima saran/nasihat (customer)
dengan orang yang memberikan saran/nasihat (auditor)
 Jasa Assurance melibatkan tiga pihak, yaitu orang yang terlibat dalam proses, sistem, dll (auditan), orang yang
memberikan penilaian yang independen (auditor), dan orang/kelompok orang yang mengandalkan/menggunakan
hasil dari penilaian independen tersebut (pengguna)
Dalam penomoran pada standar, assurance engagement dapat diidentifikasi dengan huruf “A” setelah nomor
(contoh : Standard 1130.A1) dan konsultasi dengan huruf “C” (contoh: Standar 1130.C1)
Dari segi tujuan assurance engagement bertujuan untuk menyediakan penilaian independen, consulting
engagement bertujuan memberikan saran, pendidikan, jasa fasilitasi dan memberiakn pandangan dalam
melihat peluang.
Dari segi pelaporan, assurance engagement formatnya relatif standar dan terstruktur sedangkan consulting
engagement lebih bervariasi (bisa formal dan informal).
Jenis Jasa Konsultasi:
 Advisory
Kebanyakan jasa konsultasi adalah untuk memberikan saran. Saat organisasi ingin melakukan perubahan, seperti
pengurangan staf atau perubahan proses bisnis, biasanya fungsi internal audit dipanggil untuk memberikan
pandangan. contoh advisory:
- Saran tentang rancangan pengendalian
- Saran dalam pengembangan kebijakan dan prosedur
- Berartisipasi dan memberikan saran dalam proyek yang berisiko tinggi
 Educational
Internal audit memiliki pengetahuan yang spesifik tentang area2 yang penting di organisasi. Karena jasa assurance,
internal auditor memiliki pemahaman yang spesifik mengenai peraturan, risk assesment, mitigasi risiko, desain
pengendalian, best practice, dll.
Contoh educational:
- Training manajemen risikod dan pengendalian internal
- Benchmarking
- Analisis postmortem (mempelajari proyek/kegiatan yang sudah selesai)
 Facilitative
Fasilitasi mengharuskan fungsi internal audit lebih terlibat dalam aktivitas organisasi darpada sekedar memberikan
pengetahuan. contohnya adalah memfasiilitasi control self assesment (CSA). Contoh fasilitasi:
- Fasilitasi proses risk assement
- Fasilitasi CSA dari manajemen
- dll
Blended Engagement
Merupakan kontrak campuran antara consulting dan assurance. Internal auditor harus lebih hati-hati
karena ada kemungkinan lebih berkompromi dengan independensi. Namun meskipun kontraknya satu,
hasil atau outcomenya terpisah karena tujuan dan lingkupnya beda.
Contoh blended engagement:
Fungsi internal audit memiliki sumber daya yang terbatas, jadi tidak semua permintaan jasa konsultasi
dapat terlayani, dipilih berdasarkan besarnya risiko atau peluang.
Jenis-jenis permintaan jasa konsultasi yang potensial:
1. Kontrak yang diajukan saat proses penilaian risiko dan apabila teridentifikasi merupakan prioritas
maka akan dimasukkan dalam rencana audit tahunan
2. Kontrak yang spesifik dari manajemen (contoh: investigasi fraud, proyek, komite ad hoc, reviu
prosedur baru)
3. Kondisi baru atau ada perubahan yang memerlukan perhatian internal audit>> merupakan peluang bagi
internal audit untuk menambah nilai dengan memberikan pandangan pada organisasi tentang area yang
akan mengalami perubahan secara signifikan
Proses Consulting Engagement

Kontrak konsultasi berbeda dari segi sifat dan lingkupnya, prosesnya pun bervariasi dari setiap kontrak.

Audit-Internal Chpter 9

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Audit-Internal Chpter 9

Diunggah oleh

Hak Cipta:

Format Tersedia

Bab 9

Managing The Internal Audit Function

A. Independensi dan Objektivitas

B. Kecapakan dan Profesionalitas

III. Komunikasi dan Persetujuan

IV. Pengelolaan Sumber Daya

A. Struktur Organisasi dan Strategi Susunan Kepegawaian

B. Right Sizing (Ukuran yang tepat)

C. Perencanaan Kepegawaian/ SDM

D. Praktik Penyewaan (Hiring Practices)

G. Perencanaan Karir dan Pembangunan Profesionalisme

V. Kebijakan dan Prosedur

VI. Koordinasi Assurance efforts

VII. Reporting To The Board and Senior Management

IX. Risk Management

XI. Quality Assurance and Improvement Program (Quality Program Assessments)

XII. Performance Measurement for the Internal Audit Function

XIII. Use of Technology to Support the Internal Audit Process

XIV. Opportunity to Provide Insight

II. Audit Procedures

A. Manual Audit Procedure

III. Kertas Kerja

6. Memilih sample secara acak

C. Memformulasikan Keputusan Statistikal

D. Menyusun keputusan audit berdasarkan hasil sampel kuantitatif

E. Mempertimbangkan aspek kualitatif dari hasil sampel

II. SAMPLING AUDIT NONSTATISTIKAL DALAM PENGUJIAN PENGENDALIAN

III. STATISTICAL SAMPLING DALAM PENGUJIAN NILAI-NILAI MONETER

B. Classical Variables Sampling

C. PPS versus CVS

I. TYPES OF INTERNAL AUDIT ENGAGEMENTS (TIPE PENUGASAN INTERNAL AUDIT)

II. GAMBARAN UMUM PROSES ASSURANCE ENGAGEMENTS

A. Aktivitas Perencanaan Assurance Engagements

B. Aktivitas Pelaksanaan Penugasan Assurance

C. Aktivitas Komunikasi Penugasan Assurance

III. THE CONSULTING ENGAGEMENT PROCESS

I. MENENTUKAN TUJUAN DAN LINGKUP ENGAGEMENT

B. Menyusun Tujuan Engagement

D. Outcomes dan Hasil yang Diharapkan

II. MEMAHAMI AUDITEE

C. Mendokumentasikan Alur Proeses

D. Mengidentifikasi Indikator Kinerja Kunci

E. Mengevaluasi Risiko Fraud pada Level Proses

III. IDENTIFY AND ASSESS RISKS

C. Evalusai Dampak dan Keterjadian Risiko

D. Memahami Risk Tolerance Management

IV. IDENTIFIKASI KEY CONTROL

V. EVALUASI KECUKUPAN DESAIN KONTROL

VI. MEMBUAT RENCANA PENGUJIAN

VIII. MENGALOKASIKAN SUMBER DAYA UNTUK MELAKSANAKAN PEMERIKSAAN

IX. MELAKUKAN TES UNTUK MENGUMPULKAN BUKTI

X. MENGEVALUASI BUKTI YANG DIDAPAT DAN MEMBUAT KESIMPULAN

XI. MENGEMBANGKAN OBSERVASI DAN MENYUSUN REKOMENDASI

II. MENGAPA DIKOMUNIKASIKAN?

C. Hasil dari assurance engagement lapor  SM dan audit committee.

D. Kewajiban Engagement Communication:

III. LANGKAH-LANGKAH UNTUK MEMBUAT ASSURANCE ENGAGEMENT YANG EFEKTIF

D. Aktivitas Assurance Engagement Communication

E. Observation Evaluation Map

IV. OBSERVASI DAN REKOMENDASI BERDASARKAN PADA ATRIBU-ATRIBUT BERIKUT INI:

V. PELAKSANAAN INTERIM DAN PRELIMINARY ENGAGEMENT COMMUNICATIONS

VI. FINAL COMMUNICATION

VII. FORMAL AND INFORMAL FINAL COMMUNICATION

B. Errors and Omissions