CHAPTER 13 : AREAS TO AUDIT : AUDIT PROGRAM AND ESTABLISHING

THE AUDIT UNIVERSE

Dengan tujuan keseluruhan untuk meninjau dan meningkatkan pengendalian internal
serta untuk meningkatkan efektifitas dan efesiensi kinerja, Fungsi audit internal disajikan
dengan berbagai bidang dan kegiatan untuk dimasukkan dalam tinjauan audit internal. Fungsi
audit internal perlu menetapkan titik dasar atau fondasi mereka sendiri untuk menentukan
area dalam ruang lingkup mereka yang dapat mereka pertimbangkan untuk audit internal.
Daftar area potensial untuk audit ini sering disebut audit universe. Berdasarkan review dan
persetujuan oleh komite audit dan manajemen senior, audit universe terdiri atas populasi dari
entitas audit untuk setiap fungsi audit internal.

Selain itu, semua anggota fungsi audit internal harus melakukan prosedur internal audit
secara konsisten dan tertib. Mereka akan menyelesaikan prosedur audit ini dengan dokumen
yang disebut program audit. Program audit antar satu perusahaan berbeda dengan perusahaan
lain, tetapi auditor harus mengikuti fomat yang konsisten dalam fungsi audit internal melalui
pehaman CBOK yang kuat untuk membangun dan menggunakannya dalam program audit
internal.

13.1 Defining the Scope and Objectives of the Internal Audit Universe
Audit universe adalah kumpulan dari semua area yang memungkinkan untuk di audit
dalam suatu perusahaan. Untuk menentukan audit universe, audit internal harus
mereview atau memahami jumlah “audible entities” yang potensial, baik dari segi unit
usaha atau area operasi dalam perusahaan dan jumlah unit atau kegiatan “audible unit”
didalam unit - unit bisnis. Audible entities dapat didefinisikan melalui beberapa cara,
misalnya dengan fungsi atau kegiatan, unit organisasi atau divisi, atau dengan suatu
proyek atau program. Beberapa contoh dari kegiatan audit dapat meliputi :

 Kebijakan, prosedur, dan praktek-praktek baik ditingkat perusahaan maupun lokasi

tertentu, seperti di unit internasional.
 Manufaktur, distribusi, atau rangkaian unit persediaan.
 Sistem informasi pada infrastruktur dan tingkat penggunaan khusus.
 Kontrak utama atau lini produk.
 Kegiatan media sosial, seperti penggunaan Facebook atau Twitter dan lainnya,
yang biasa dilakukan oleh personil perusahaan
 Fungsi seperti pembelian, akuntansi, keuangan, pemasaran, dan lain-lain
Cara kedua untuk memahami entitas adalah dengan unit bisnis. Pada lingkungan saat
ini, suatu perusahaan mungkin memiliki beberapa lini bisnis yang beroperasi secara
global dan mungkin memiliki banyak wewenang/tanggung jawab serta struktur
laporan. Agar auditor internal tidak salah dalam menyusun struktur perusahaan, maka
pengaturan dari inventory dari semua auditable unit yang signifikam harus disusun.
Definisi dari unit audible entities tergantung pada suatu karakteristik organisasi
tertentu dan apakah perusahaan secara fungsional terorganisir atau berpusat pada
produk. Kita harus mendefinisikan audible entities dimana audit internal individu akan
menjadi biaya yang efektif. Ontohnya :

• Mempertimbangkan fasilitas manufaktur multiplant dengan banyak unit produksi

kecil. Semua proses manufaktur pada masing-masing unit produksi yang lebih
kecil dapat dianggap sebagai potensi unit audit. Produksi plant dapat berupa
kegiatan pembelian, penerimaan, factory floor rounting, jaminan kualitas,
pengiriman, dan lainnya. Hampir tidak pernah masuk akal untuk mengirim tim
audit untuk meninjau satu proses tunggal, seperti proses penerimaan, di hanya satu
pabrik produksi.
• Untuk rantai multi-restoran dengan banyak unit kecil, lebih baik mendefinisikan
masing-masing invidu restoran yang kecil sebagai unit audit, tanpa rencana untuk
menjadwalkan proses tertentu pada masing-masing restoran sebagai audit yang
terpisah. Tim audit internal akan mereview semua kegiatan operasi disebuah
restoran tertentu, seperti prosedur pengendalian tunai untuk semua unit restoran.
• Dalam banyak kasus, seringkali paling efisien untuk menunjuk proses umum yang
mencakup semua unit sebagai entitas yang dapat diaudit secara keseluruhan,
terutama jika kebijakan dan prosedur umum mencakup semua unit individu.

Untuk menciptakan definis audit universe, CAE dan tim pendukung audit internal
dapat dimulai dengan membuat bagan organisasi yang rinci untuk menggambarkan unit
audible entities. Hal ini dapat kompleks jika perusahaan memiliki banyak anak
perusahaan, unit internasional, joint venture, serta struktur departemen audit yang
kompleks. Namun, penekanan harus ditempatkan pada unit di mana perusahaan CAE
memiliki tanggung jawab audit internal yang prima.
Tim audit internal juga harus mendefinisikan beberapa audit titik fokus untuk
memastikan konsistensi dalam pelaksanaan semua audit internal yang potensial. Titik
fokus ini, yang berfungsi sebagai garis besar umum untuk dokumen perencanaan audit
dan program kerja audit, hal membantu menghasilkan laporan kecenderungan tentang
status kontrol di lingkungan kontrol perusahaan. Contohnya, empat titik fokus audit
untuk semesta keamanan informasi, adalah:

1. Akses pengendalian IT
2. Konfigurasi sistem keamanan
3. Pemantauan dan peristiwa respon
4. Manajemen keamanan dan administrasi
Empat titik fokus audit untuk elemen semesta infrastruktur TI adalah:

1. Struktur dan strategi

2. Metodologi dan prosedur
3. Pengukuran dan pelaporan
4. Alat dan teknologi
Audit internal dapat saling berbagi entitas dengan anggota manajemen untuk tujuan
pengamatan dan koreksi. Informasi ini akan membantu mereka untuk menyusun audit
 universe tentatif yang mewakili semua unit atau kegiatan organisasi di perusahaan
dimana audit internal memiliki tanggung jawab audit internal yang utama.

13.2 Assessing Internal Audit Capabilities And Objectives

Rincian daftar dari unit usaha yang menunjukkan semua daerah dimana audit internal
bisa memberikan review adalah nilai kecil kecuali audit internal memiliki keterampilan
dan sumber daya untuk peluncuran audit di daerah tersebut. Penulis pernah sebagai
direktur unit audit perusahaan besar menggantikan kelompok audit internal yang ada
yang telah menghabiskan terlalu banyak waktu sebagai bagian dari latihan perencanaan
audit internal tahunan mempersiapkan daftar semesta audit semua entitas dan unit di
perusahaan yang sangat besar ini. Hasil nya mengesankan yang tampak dari daftar
entitas yang dapat diaudit, tetapi fungsi audit internal ini tidak memiliki kemampuan
atau bahkan tujuan yang sebenarnya untuk melakukan internal audit di beberapa unit-
unit ini.

Meskipun mungkin masih ada beberapa ketidakpastian mengenai sifat dari

beberapa unit bisnis ini beserta masalah pengendalian internal mereka, audit internal
harus menganalisis masing- masing potensi calon audit internal dengan cara ini :

 Establish high-level control objectives for each of the audit universe

candidates. Idenya adalah untuk menentukan mengapa unit pada daftar tersebut
sebagaimana merupakan potensi tujuan pengendalian audit internal untuk unit
tersebut. Contoh sebelumnya yaitu hak waralaba layanan pengendalian hama
rumah tangga yang mungkin akan dihilangkan dalam sebuah latihan.
 Assess high-level risks for audit universe candidates. Berdasarkan Pendekatan
Manajemen Risiko perusahaan COSO audit internal harus meninjau masing-
masing calon audit secara keseluruhan dan memperkirakan risiko tingkat tinggi
untuk perusahaan jika ada kegagalan pengendalian internal utama yang terkait
dengan kandidat.
 Coordinate the internal audit activity with other audit and governance
interests. Sementara audit internal merupakan hal yang seharusnya pertama di
lihat pada pengendalian internal perusahaan, setiap pekerjaan audit yang
direncanakan harus dikoordinasikan dengan pihak lainnya yang berkepentingan.
 Develop high-level control objectives for audits designated by the audit
universe. Tujuan audit tingkat tinggi harus diidentifikasi untuk setiap item yang
termasuk ke dalam lingkungan audit. Ini harus menjadi pernyataan sederhana dari
tujuan audit yang direncanakan untuk setiap item di lingkungan audit untuk
membantu memastikan bahwa strategi, tujuan, dan ruang lingkup untuk setiap
audit meliputi kontrol tujuan yang relevan (yaitu, cek kelengkapan untuk
mengidentifikasi adanya kesenjangan yang mungkin terjadi).
 Develop a preliminary control assessment questionnaire for each audit. Dalam
banyak kasus, item yang terdaftar di audit universe mengulangi audit internal dari
periode sebelumnya. Dalam situasi itu, pedoman audit ini harus diperbarui sebagai
 proses dari perubahan dan dievaluasi kembali untuk audit di masa depan di daerah
masing- masing. Di lain kasus, audit internal harus mengembangkan beberapa
kuesioner tingkat tinggi untuk memulai review dari potensi keseluruhan bidang
audit.

13.3Audit Universe Time and Resource Limitations

Kadang-kadang mudah untuk membangun sebuah dokumen audit universe yang
mencakup – terlalu banyak - potensi audit internal yang tidak akan pernah dieksekusi.
Global Computer Products menggambarkan masalah ini. Global saat ini memiliki grup
audit internal berbasis-lokasi kantor pusat yang tidak memiliki kehadiran internasional
reguler. Berdasarkan pada ukuran fungsi audit internal, komite audit harus menyadari
bahwa beberapa entitas yang dapat diaudit dalam universe list pada dasarnya tidak
pernah dapat ditinjau, mengingat ukuran dan anggaran audit internal.
Artinya, audit internal melakukan sebagian besar pekerjaan di rumah kantor dan
jarang melakukan perjalanan. Berdasarkan ukuran dari fungsi audit internal ini, komite
audit harus mengenali dan menyarankan komite audit bahwa beberapa entitas dapat
diaudit pada daftar keseluruhan yang pada dasarnya tidak pernah dapat ditinjau,
mengingat ukuran, ruang lingkup, dan anggaran audit internal ini. Idenya adalah untuk
menunjukkan ulasan lebih mengenai potensi kegiatan periode yang akan datang dan apa
yang secara realistis dapat dimasukkan dalam ruang lingkup audit internal untuk
perencanaan kegiatan.
Langkah berikutnya harus melihat daftar awal audit universe dan menentukan audit
yang mereka perlukan secara tahunan atau setengah tahunan. Sebagai bagian dari
keseluruhan bidang audit dan perencanaan perusahaan, audit internal harus
mengasumsikan bahwa itu akan perlu untuk menjadwalkan ulasan ini baik secara reguler
maupun secara periodik.

13.4 “Selling” An Audit Universe Concept To The Audit Committee And Management
Jadwal pemeriksaan keseluruhan harus disiapkan dan diperbarui pada tahunan dasar
untuk peninjauan dan persetujuan komite audit . Di mana komite audit menunjukkan
daerah yang berbeda dari penekanan atau keterlibatan, CAE harus memulai perubahan
perencanaan internal audit dan membuat penyesuaian sesuai dengan rencana dan jadwal
audit internal tahunan. Selain itu, hal ini sering kali audit internal mencari otorisasi untuk
perubahan anggaran, tenaga kerja, atau fungsi lainnya . Audit internal akan beroperasi di
bawah anggaran tahunan perusahaan, tetapi komite auditlah yang dapat membuat
perubahan di tengah proses, misalnya, untuk menambah staf audit spesialis TI baru ke
grup audit internal.
Pada bagian ini kita mempunyai judul “menjual” rencana audit universe komite audit.
Mungkin ini adalah istilah yang tidak pantas. Komite audit bertanggung jawab untuk
semua kegiatan audit internal dan harus bergantung pada CAE dan anggota audit internal
lainnya untuk melakukan audit yang terjadwal dan melaporkan kembali ke komite audit.
Namun, karena komite audit tidak sering bertemu dan mungkin tidak dekat dengan
banyak perubahan dan peristiwa baru, CAE adalah individual yang paling dekat dengan
audit universe dan perubahan lainnya. CAE orang yang sering berkomunikasi terhadap
 perubahan jadwal audit internal atau perubahan penekanannya. CAE harus menjaga audit
universe dan mendukung rencana tahunan di depan komite audit dan juga meyakinkan,
atau “menjual” konsep permintaan persetujuan kepada komite audit untuk persetujuan
yang sedang berlangsung.

13.5Assembling Audit Programs: Audit Universe Key Components

Audit Universe dan informasi pendukungnya menggambarkan tingkat audit
internal yang tinggi. Audit internal harus diatur dan dilakukan dengan cara yang
konsisten dengan tujuan meminimalkan prosedur yang tidak perlu. Untuk
memberikan bantuan dan bimbingan, auditor internal menggunakan program audit
untuk melakukan prosedur audit internal mereka, secara konsisten dan efektif untuk
jenis yang sama dari audit. Jangka waktu program mengacu pada satu set dari auditor
prosedur yang sama dengan langkah-langkah dalam program komputer, yang
mengalami hal yang sama langkah setiap kali proses dijalankan.
a. Format dan Persiapan Program Audit

Sebuah prosedur program audit yang menjelaskan langkah-langkah dan tes

yang akan dilakukan oleh auditor ketika benar-benar melakukan kerja lapangan.
Program ini harus diselesaikan setelah penyelesaian survey pendahuluan dan
lapangan dan sebelum memulai audit pekerjaan aktual di lapangan. Hal tersebut
harus dibangun dengan beberapa kriteria pentingnya itu program ini harus
mengidentifikasi aspek daerah menjadi lebih diperiksa dan daerah sensitif yang
memerlukan penekanan audit.

Sebuah tujuan penting kedua program audit adalah bahwa hal itu harus
membimbing kekukurangan dan kelebihan auditor internal yang
berpengalaman. Bagi banyak departemen audit internal, program audit yang
tepat tidak tersedia untuk banyak daerah. hal ini karena auditor internal biasanya
menghadapi beragam set area untuk review, tetapi mereka tidak memiliki waktu
atau sumberdaya untuk meninjau setiap daerah. Auditor bertanggung jawab
untuk survey lapangan atau anggota lain dari manajemen audit harus
memperbarui Program audit yang sudah ada atau mempersiapkan serangkaian
revisi dari langkah-langkah ulasan program audit untuk direncanakan.
Tergantung pada jenis audit yang direncanakan, program biasanya mengikuti
salah satu tiga format umum yaitu, seperangkat prosedur audit umum, prosedur
audit dengan instruksi terperinci untuk auditor, dan daftar periksa untuk tinjauan
kepatuhan.

b. Jenis-Jenis Program yang Memperoleh Bukti Audit

IIA standar menyatakan bahwa auditor internal harus memeriksa dan
mengevaluasi informasi pada semua hal yang berkaitan dengan tujuan audit yang
direncanakan. Auditor internal harus mengumpulkan bukti audit untuk mendukung
evaluasi, apa yang menjadi standar audit internal menjadi cukup, kompeten, relevan,
dan berguna. Langkah-langkah pemeriksaan yang sebenarnya dilakukanakan
tergantung pada karakteristik entitas yang diaudit. Audit yang berorientasi finansial
 atas fungsi kredit dan penagihan akan sangat berbeda dari tinjauan operasional
departemen teknik desain. Audit keuangan dapat mencakup konfirmasi independen
saldo akun, sementara audit operasional mungkin mencakup wawancara ekstensif
dengan manajemen dan dokumentasi pendukung untuk menilai kontrol internal
utama. Terlepas dari perbedaan-perbedaan ini, semua audit internal harus dilakukan
dan diawasi mengikuti serangkaian prinsip atau standar umum. Ini akan memastikan
bahwa audit internal diarahkan dan dikendalikan dengan benar\

13.6Audit Universe And Program Maintenance

Dokumen Audit Universe adalah gambaran umum semua unit audit yang dapat
ditinjau atau dijalankan oleh fungsi audit internal perusahaan. Ini adalah rencana
yang mendefinisikan lebarnya ruang lingkup kegiatan audit internal. Untuk beberapa
hal, jika dipertanyakan setelah fakta mengapa kelompok audit internal tidak pernah
dijadwalkan review di beberapa daerah, mereka dapat menunjukkan bahwa area
tersebut tidak termasuk dalam rencana audit internal tahunan tetapi, yang lebih
penting, tidak pernah didefinisikan sebagai bagian dari deskripsi audit universe
internal mereka. Audit universe adalah peta-gambaran besar yang meliputi wilayah
audit internal dan batas-batas. Digunakan sebagai dasar untuk berkomunikasi
dengan komite audit dan untuk perencanaan kegiatan audit internal yang sedang
berlangsung.

Dokumen audit universe bukan sesuatu yang harus diubah secara konstan dan
teratur setiap kali ada perubahan perusahaan kecil. Namun, internal yang audit harus
memiliki proses di tempat untuk menjaga audit universe dan diperbarui mungkin
dengan kuartalan biasa. Ini sering merupakan saat yang tepat bagi CAE untuk
menjelaskan kepada komite audit setiap perubahan dalam ruang lingkup dan operasi
audit internal. Audit Universe yang efektif mendefinisikan perencanaan tahunan
audit internal dan menjadi sarana untuk menggambarkan kegiatan fungsi audit
internal.