E. Strategic Sourcing
Outsourcing dapat dilakukan dengan melihat kondisi yang ada.
F. Pelatihan dan Pembinaan
Staf audit internal memerlukan beberapa sertifikasi seperti CIA, CPA, CISA, dan CFE.
VIII. Governance
Governance menuntut fungsi Internal Audit untuk mengakses dan menyusun rekomendasi yang layak untuk
meningkatkan proses governance dalam mencapai tujuan berikut:
Etika yang layak dan nilai-nilai di dalam organisasi.
Memberi keyakinan performa manajemen organisasi efektif dan akuntabel.
Mengkomunikasikan risiko dan kontrol informasi untuk area yang layak dari organisasi.
Mengkordinasikan aktivitas dan mengkomunikasikan informasi diantara dewan, auditor ekstrnal dan internal
dan manajemen.
Internal Audit Charter menjelaskan peran apa yang dimainkan oleh fungsi internal audit dalam menyediakan
assurance yang berhubungan dengan proses governance dan mencerminkan ekspektasi dewan. Peran tersebut
meliputi:
Evaluasi kelayakan manajemen risiko.
Menguji dan mengevaluasi apakah manajemen risiko bekerja seperti rencana.
Menentukan asersi risk owners ke senior management mengenai risk management sudah sesuai dengan kondisi
sekarang.
Menentukan asersi senior manajemen ke Board mencerminkan kondisi sekarang.
Mengevaluasi apakah informasi risk tolerance dikomunikasikan dengan baik.
Menilai risiko lain yang belum tercakup proses governance.
X. Control
Menurut standar IIA 2130 kontrol merupakan “kegiatan audit internal harus mengawal organisasi dalam
menjaga kontrol yang efektif dengan mengevaluasi keefektifan dan keefisienan dan mendorong peningkatan yang
terus menerus.”
Standar 2130 A1- Dalam menyediakan kegiatan assurance, informasi mengenai risk assessment harus
mendorong fungsi internal audit dalam mengevaluasi kecukupan dan keefektifan kontrol dalam merespon risiko
didalam tatakelola organisasi, operasional dan sistem informasi dengan memperhatikan:
Capaian tujuan strategis organisasi.
Kehandalan dan integritas informasi keuangan
dan operasional(nonfinansial).
Efektifitas dan efisiensi operasional.
Pengamanan aset.
Pemenuhan hukum, regulasi dan kontrak.
Standar 2130 C1 - Internal auditor harus menggabungkan pengetahuan pengendalian yang didapat dari penugasan
consulting dalam mengevaluasi control process organisasi.
I. Bukti Audit
Kualitas dari kesimpulan dan saran yang dihasilkan auditor internal tergantung dari kemampuan mereka untuk
mengumpulkan dan mengevaluasi bukti yang cukup untuk mendukung kesimpulan dan saran mereka itu.
Bukti adalah informasi apa saja yang dapat digunakan oleh auditor untuk menentukan apakah informasi yang
diaudit telah dinyatakan sesuai dengan standar yang ditetapkan.
A. Professional Skepticism
Auditor harus selalu menerapkan level professional skepticism yang sehat ketika mengevaluasi bukti audit.
Professional skepticism adalah ketika auditor tidak mengambil bukti begitu saja, mereka harus selalu
mempertanyakan secara terus menerus apa yang mereka lihat dan dengar. Auditor tidak boleh mengasumsikan
dari awal apakah auditee tersebut telah jujur atau tidak jujur. Professional skepticism perlu agar penilaian auditor
tidak bias dan auditee tetap dapat berpikiran terbuka utuk mengevaluasi bukti yang ada.
B. Reasonable Assurance
Auditor tidak pernah benar-benar bisa memberikan absolut assurance atas hasil auditnya. Karena itu hasil
audit hanya dapat memberikan reasonable assurance. Reasonable assurance adalah level assurance yang
didukung oleh prosedur audit dan penilaian yang telah diterima secara umum.
C. Persuasiveness of Audit Evidence
Bukti audit yang meyakinkan adalah bukti yang dapat memungkinkan auditor untuk memformulakan
kesimpulan dan saran. Untuk dapat memberi keyakinan, bukti harus:
1) Relevan – mendukung observasi dan rekomendasi, serta konsisten deegan tujuan audit.
Apakah bukti relevan dengan tujuan audit, apakah secara logika dapat mendukung kesimpulan dan saran
audit.
2) Reliable – informasi terbaik yang dapat dicapai melalui teknis audit yang tepat.
Apakah bukti didapat dari sumber yang terpercaya, apakah internal auditor yang mendapatkan bukti tersebut
secara langsung, informasi yang didokumentasikan, informasi dihasilkan oleh sistem yang spi nya bagus.
3) Sufficient – faktual, cukup, dan meyakinkan, sehingga orang lain yang membaca informasi yang ada akan
menghasilkan kesimpulan yang sama dengan kesimpulan auditor.
Apakah auditor telah mengumpulkan bukti yang cukup.
Risiko dari mengumpulkan bukti yang tidak valid akan menghasilkan saran yang tidak valid juga.
BAB 11
AUDIT SAMPLING
Audit sampling merupakan salah satu prosedur audit yang diterapkan untuk mengurangi item populasi
(kurang dari 100%) tapi dengan tujuan menggambarkan keseluruhan populasi. Populasi dapat berupa semua
laporan penerimaan selama setahun atau semua saldo pelanggan pada buku pembantu piutang.
Sampling ini digunakan untuk pelaksanaan prosedur audit seperti tracing atau vouching yang
digunakan untuk pemeriksaan dokumen audit trail atau digunakan untuk prosedur audit inquiry dan
observation.
A. Dua Pendekatan Umum Audit Sampling
Dua pendekatan tersebut adalah statistical dan nonstatistical. Kedua pendekatan ini membutuhkan
professional judgment dalam mendesain rencana sampling, melaksanakan rencana tersebut dan
mengevaluasi hasil sample. Internal audit memiliki kebebasan dalam memilih kedua pendekatan tersebut
sesuai dengan prosedur yang akan dilakukan, evaluasi atas bukti yang diperoleh, dan tindakan yang akan
dilakukan berdasarkan tujuan penerapan sampling.
Untuk memilih, auditor internal harus mempertimbangkan cost and benefit. Statistical sampling
merupakan alat bantu auditor internal untuk mengukur kecukupan bukti yang yang diperoleh dan
mengevaluasi hasil sampling secara kuantitatif. Lebih dari itu audit sampling memungkinkan auditor untuk
menghitung, mengukur, dan mengontrol sampling risk. Namun, statistical sampling juga lebih costly.
B. Audit Risk and Sampling Risk
Dalam chapter sebelumnya audit risk diartikan sebagai risiko kesalahan pengambilan kesimpulan
dan/atau menyediakan saran yang keliru berdasarkan pekerjaan audit yang dilakukan. Dalam konteks
tersebut maka audit risk dibagi menjadi 2 yaitu sampling risk dan non-sampling risk.
Sampling risk adalah risiko bahwa kesimpulan internal audit berdasarkan sample yang diuji berbeda
dengan kesimpulan yang diperoleh apabila prosedur audit dilakukan terhadap seluruh item pada populasi.
Dalam melakukan Test of control, internal audit concerned terhadap dua aspek sampling risk yaitu:
1) The risk of assessing control risk too low (type II risk, beta risk)
Dikenal juga dengan risk of overreliance (risiko ketergantungan lebih) yaitu risiko bahwa internal auditor salah
dalam menyimpulkan bahwa kontrol tertentu lebih efektif dari yang seharusnya.
2) The risk of assessing control si too High (The I risk, alpa risk)
Dikenal juga dengan risk of under-reliance (risiko ketergantungan kurang) yaitu risiko bahwa internal audit salah
dalam menyimpulkan bahwa kontrol kurang efektif dari yang seharusnya.
Non sampling risk – risiko yang terjadi ketika internal auditor gagal dalam menjalankan pekerjaannya
secara benar. Misalnya melakukan prosedur audit yang tidak tepat atau sah dalam melakukan interpretasi
hasil sampling. Nonsampling risk dikontrol menggunakan audit planning, supervisi, dan quality assurance.
I. STATISTICAL AUDIT SAMPLING IN TESTS OF CONTROL
A. Atribute Sampling Approaches
Attribute Sampling merupakan pendekatan sampling statistikal berdasarkan teori binomial distribution
yang memungkinkan pengguna memperoleh kesimpulan tentang populasi dengan menggunakan tingkat
keterjadiannya. Binomial distribution adalah distribusi semua kemungkinan sample yang mana tiap item dalam
populasi mempunyai satu atau dua kemungkinan states.
Stratified attribute sampling – variasi dari attribute sampling dari populasi yang dapat dibagi-bagi. Ketika
kontrol yang berbeda diterapkan dalam level transaksi yang berbeda maka perbedaan level transaksi terebut dapat
dipertimbangkan sebagai populasi yang berbeda.
Stop-or-go sampling – variasi attribute sampling yang digunakan ketika tingkat penyimpangan
diperkirakan rendah karena dapat meminimalkan ukuran sample untuk level sampling risk tertentu.
Discovery sample- variasi attribute sampling yang didesain dengan cukup luas untuk mendeteksi paling
tidak satu penyimpangan apabila tingkat deviasi pada populasi setara atau melebihi tingkat spesifik. Pendekatan
ini biasa digunakan untuk menguji adanya fraud.
B. Designing an Attribute Sampling Plan, Executing The Plan, and Evaluating The Sample Result
Attribute sampling dilakukan melalui 9 langkah berikut:
1. Identify a specific internal control objective dan prescribed control(s) aimed at achieving that objective
Tujuan audit yang spesifik merupakan faktor kunci yang menentukan apa yang akan di sample. Sebagai
contoh adalah auditor internal akan menguji, dengan menggunakan sample, apakah order pembelian selama
12 bulan telah didukung oleh daftar permintaan pembelian yang sesuai.
2. Define what is meant by control Aviation
Secara hati-hati mendefinisikan yang dimaksud dengan penyimpangan dari kontrol yang telah ditentukan
sama pentingnya dengan mendefinisikan tujuan kontrol dan prosedur kontrol. Jika internal auditor gagal
melakukan ini, ada risiko tidak dikenalinya penyimpangan yang hal ini merupakan non sampling risk.
Sebagai contoh adalah internal auditor ingin meyakini bahwa order pembelian dukung oleh permintaan
pembelian yang tepat. Penyimpangan dari kontrol yang ditetapkan akan termasuk hal berikut: tidak adanya
daftar permintaan pembelian, tidak adanya bukti dari persetujuan daftar permintaan pembelian, disetujui oleh
orang yang tidak berwenang, adanya perbedaan antara barang yang dipesan dengan barang yang diterima
gudang.
3. Define population and sampling unit
Sesuai contoh sebelumnya maka, populasi yang ditentukan adalah order pembelian prenumber selama 12
bulan. Sampling unit-nya adalah setiap order pembelian yang diuji untuk memastikan apakah order pembelian
telah didukung oleh daftar permintaan pembelian yang sesuai. Untuk mengujinya, internal auditor akan
melakukan vouching terhadap order pembelian dan menghubungkannya dengan daftar permintaan pembelian.
4. Determine the appropriate values of parameter affecting sample size
Dalam attribute sampling, internal auditor harus menetapkan, menggunakan audit judgment, nilai yang tepat
dari 3 faktor yang mempengaruhi ukuran sample.
a) Risiko yang dapat diterima dari penilaian kontrol yang terlalu rendah.
Ingat bahwa risiko penilaian control risk terlalu rendah maka internal auditor akan salah menyimpulkan
bahwa kontrol tertentu lebih efektif dari pada seharusnya. Risiko penilaian control risk yang terlalu
rendah akan berkebalikan dengan ukuran sample, dengan kata lain semakin rendah tingkat acceptable
risk, semakin besar ukuran sample.
b) Tingkat penyimpangan yang dapat ditolerir.
Tingkat maksimum atas penyimpangan yang masih dapat diterima auditor dan masih dapat menyimpulkan
bahwa pengendalian sudah efektif. Penyimpangan yang masih dapat diterima berkebalikan dengan jumlah
sample audit.
c) Tingkat penyimpangan populasi yang diperkirakan.
Perkiraan auditor pada penyimpangan aktual dari populasi yang diperiksa. Auditor harus membedakan
antara tingkat tolerable deviation dan tingkat perkiraan penyimpangan populasi sebagai planned
allowance for sampling risk atau planned precision.
5. Determine the appropriate sample size
Setelah auditor menetapkan nilai dari faktor-faktor yang mempengaruhi ukuran sample, cara paling mudah
untuk menentukan ukuran sample yang tepat dapat mengacu pada tabel berikut.
A. Probability-Proportional-To-Size Sampling
Juga disebut sebagai monetary-unit sampling atau dollar-unit sampling adalah bentuk modifikasi dari
sampling atribut yang digunakan untuk mencapai kesimpulan terkait jumlah moneter ketimbang tingkat
keterjadian.
Faktor2 yang memengaruhi ukuran sampling PPS :
c. Tolerable misstatement.
a. Nilai buku moneter dari populasi.
d. Anticipated misstatement.
b. Risiko ketidakbenaraan penerimaan.
C. Lingkup Engagement
Merupakan apa yang termasuk atau yang tidak termasuk dalam engagement). Segera setelah tujuan
engagement disusun, lingkup engagement harus ditentukan.
Pernyataan lingkup tersebut dapat mencakup :
- Batasan proses
- In-scope VS out-scope lokasi
- Subproses
- Komponen
- Jangka waktu
Lingkup engagement :
- Memerlukan judgment profesional.
- IA harus menjamin bahwa pernytaan lingkup harus untuk memenuhi tujuan engagement.
- Pernyataan lingkup yang spesifik akan memungkinkan fokus tim audit internal yang lebih baik akan
pengujian tertentu.
- Penerima laporan akan mengenterpretasikan dengan lebih baik temuan yang ada [ada konteks tujuan
engagement.
B. Mengumpulkan Informasi
1) Jenis dan sumber informasi yang relevan.
Titik awal untuk memahami suatu proses adalah mereview dokumentasi yang ada. Contoh :
- Kebijakan yang berhubungan dengan proses.
- Manual prosedur.
- Organizational charts atau informasi serupa yang menunjuka hubungan/aliran jumlah karyawan dan
pelaporan utama.
- Job description pihak yang terlibat dalam proses.
- Process map atau flowcharts yang menggambarkan aliran keseluruhan proses.
- Penjelasan naratif pekerjaan kunci/utama atau bagian dari suatu proses.
- Informasi yang relevan berhubungan dengan undang-undang dan peraturan yang mempengaruhi proses.
- Dokumen lain yang dibuat untuk mendukung pelaporan yang diperlukan untuk efektifitas dari sistem
pengendlian internal.
2) Prosedur Analitis
- Suatu cara IA menerapkan high-levelassessment yang dapat mengungkapkan aktivitas proses yang
menuntun perhatian yang lebih, dan oleh karena itu memerlukan pengujian yang lebih detail.
- Termasuk di dalamya me-review dan mengevaluasi informasi yang ada baik finansial maupun non
finansial untuk menentukan apakah konsisten dengan ekpektasi yang telah ditetapkan.
3) Data Analysis Using:
a. Computer-assisted Audit Techniques (CAATs)
- Data analisis termasuk mengkompilasi dan menganalisis banyak data, biasanya melalui penggunaaan
teknologi.
- Disamping sebagian besar analisis data dilakukan untuk menguji efektifitas suatu proses, beberapa
pengujian data analisis dapat menyediakan informasi yang berguna selama proses perencanaan.
- Analisis data dapat menyediakan informasi tentang populasi transaksi yang dapat dimanfaatkan
ketika menentukan pendekatan internal audit.
b. Analisis kontrol level entitas
Kontrol level entitas biasanya dievaluasi berdasarkan luasnya organisasi pada periodic interval (ex:
tahunan). Oleh karena itu, bisanya tidak diperlukan untuk melakukan assessment efektivitas dari kontrol
level entitas untuk setiap engagement. Akan tetapi auditor internal harus mempertimbangkan hasil
assessment kontrol level entitas ketika merencanakan individual engagement untuk menjamin
pendekatan penguianya relevan dan efisien
Nomer 9 dan 8 menunjukkan risiko tinggi, nomor 5,6,7, menunjukkan risiko sedang, nomor 1,2,3,4
menunjukkan risiko rendah.
BAB 14
COMMUNICATING ASSURANCE ENGAGEMENT OUTCOMES & PERFORMING FOLLOW-UP
PROCEDURES
I. COMMUNICATION
1) Mengapa mengkomunikasikan assurance engagement outcomes itu penting?
2) Mengidentifikasikan perbedaan bentuk-bentuk dari assurance engagement communication.
3) Mengidentifikasikan langkan-langkah yang dilakukan untuk membuat suatu assurance engagement
communication yang efektif.
4) Memahami proses distribusi untuk secara efektif mengkomunikasikan hasil assurance engagement.
5) Memahamiapa yang dibutuhkan untukmelakukan monitoringyang efektifdan tindak lanjutpada hasil assurance
engagement.
6) Internal Audit (IA) independent = objective assurance + consulting add value + improve org. operation.
7) IA membantu organisasi untuk mencapai tujuan-tujuannya dengan melakukan suatu pendekatan yang sistematis
dan berdisiplin untuk mengevaluasi dan meningkatkan efektivitas dari risk management, control, dan governance
process.
8) Tipe engagement: Assurance dan consulting services.
9) Apa itu assurance services?
Assurance – suatu pemeriksaan yang objektif dari bukti-bukti dengan tujuan untuk menyediakan suatu penilaian
yang independen pada proses governance, risk management, dan control untuk organisasi. Misalnya: assurance
pada kinerja keuangan, ketaatan pada aturan, sistem keamanan, atau uji kelayakan suatu engagement.
10) Assurance services objective bukti2 penilaian independen gov, RM, control organisasi.
11) Fase-fase yang fundamental dalam proses assurance engagement.
12) Plan perform communicate
B. Pelaporan di atas harus juga termasuk memaparkan risiko-risiko yang signifikan dan permasalahan-permasalahan
dalam control, termasuk risiko fraud, permasalahan pada governance, dan hal-hal penting lain yang dibutuhkan
atau memang diminta oleh SM dan Board.
B. Pelaksanaan
1. Lakukan tes untuk mengumpulkan bukti.
2. Evaluasi bukti yang terkumpul & peroleh simpulan.
3. Kembangkan observasi & rumuskan rekomendasi.
C. Komunikasi
1. Lakukan evaluasi observasi & proses eskalasi.
2. Lakukan interim &preliminary engagement communication.
3. Kembangkan final engagement communication.
4. Distribusikan formal & informal final communications.
5. Lakukan prosedur monitoring & tindak lanjut.
Material observation
Significant observation
Insignificant observation
G. Komunikasi
IA communication dilakukan selama engagement berlangsung. Komunikasi yang tepat waktu membuat
permasalahan/hambatan/penyimpangan/dll bisa ditemukan dan diselesaikan lebih cepat.
Tim IA harus memberikan kesempatan pada manajemen untuk menjelaskan
permasalahan/hambatan/penyimpangan/dll. yang terjadi dan curhat serta mengkomunikasikan apa yang ada di
pikiran mereka mengenai simpulan dan rekomendasi tim audit.
Final assurance engagement communications memastikan fungsi internal audit memenuhi kewajibab sbb:
1. Komunikasi tepat waktu
2. Dokumentasikan ruang lingkup, simpulan, observasi, rekomendasi, dan hasil dari management action plans
of an engagement.
3. Simpan permanent record dari pekerjaan yang telah IA lakukan.
A. Kualitas Komunikasi
Kualitas komunikasi (Quality of Communications) harus:
1) Accurate (bebas dari error dan distorsi).
2) Objective (fair, imparsial dan tidak bias).
3) Clear (mudah dimengerti dan logis).
4) Concise (to the point dan menghindari perluasan yang tak perlu).
5) Constructive (membantu engagement client dan organisasi menuju improvement).
6) Complete (include all significant & relevant information dan observasi untuk mendukung rekomendasi &
simpulan).
7) Timely (layak dan bijak dalam penggunaan waktu bergantung pada signifikansi permasalahan).
Consulting Engagement mempunyai potensi besar dalam memberikan nilai tambah dalam sistem
pengendalian internal organisasi. Juga dapat memberi pandangan ke depan daripada hanya menilai sesuatu
yang sudah lewat. Kebijakan, prosedur, dan proses yang baru harus terus dikembangkan untuk pengendalian
organisasi dengan tetap mempertimbangkan efisiensi.
Internal auditor dengan kapasitas konsultan mengetahui nilai dari organisasi dan memberikan pandangan
pada tahap awal proyek/kegiatan. contohnya sikap due diligence dari internal auditor yang memberikan
pandangan yang sangat berharga pada saat akuisisi perusahaan. Fungsi internal audit dapat melihat
organisasi secara mendalam dan dapat memberikan pandangan pada seluruh sistem pengendalian internal
organisasi.
Pada beberapa organisasi, fungsi internal audit merupakan bagian dari proses internal whistleblower. Ini
merupakan peluang dalam menyediakan jasa konsultasi. Contohnya, ada telpon yang menyatakan bahwa ada
fraud terjadi pada bagian utang, kemudian internal audit dapat mengerahkan sumber daya untuk melakukan
investigasi. Di beberapa organisasi bagian utang dianggap bagian yang berisiko rendah, jadi setelah
investigasi selesai internal audit dapat merubah peringkat risiko dari bagian utang.
David Richard, mantan Presiden The IIA, telah lama sebagai pengacara dari jasa konsultasi internal audit.
Saat beliau sebagai CAE di First Energy, beliau berkata:
Bagi beberapa internal auditor konsep dari konsultasi dan audit merupakan hal yang bertentangan karena
mereka melihat bahwa konsultasi membuat auditor terlalu dekat dengan customer dan berpotensi untuk
berkompromi dengan keindepenannya sebagai auditor. Sebenarnya konsultasi merupakan bagian dari
internal auditor saat tahun... Definisi internal audit memiliki fokus yaitu jasa assurance dan consulting. Jadi
sudah jelas bahwa internal auditor dapat menambah nilai organisasi dari jasa konsultasi dengan
menyediakan metodologi, fasilitasi, fokus, pengetahuan,
teknologi, best practice, dan independensi yang dapat
membantu memecahkan masalah customer.
Intenal Audit adalah katalis dalam meningkatkan efektivitas
dan efisiensi organisasi dengan menyediakan insight dan
rekomendasi berdasarkan analisis dan assesment data dan
proses bisnis.
Fungsi internal audit memiliki sumber daya yang terbatas, jadi tidak semua permintaan jasa konsultasi
dapat terlayani, dipilih berdasarkan besarnya risiko atau peluang.
Jenis-jenis permintaan jasa konsultasi yang potensial:
1. Kontrak yang diajukan saat proses penilaian risiko dan apabila teridentifikasi merupakan prioritas
maka akan dimasukkan dalam rencana audit tahunan
2. Kontrak yang spesifik dari manajemen (contoh: investigasi fraud, proyek, komite ad hoc, reviu
prosedur baru)
3. Kondisi baru atau ada perubahan yang memerlukan perhatian internal audit>> merupakan peluang bagi
internal audit untuk menambah nilai dengan memberikan pandangan pada organisasi tentang area yang
akan mengalami perubahan secara signifikan