RESUME INTERNAL AUDIT

Continuous Auditing and Computer‐Assisted Audit Techniques (Chapter 11)

dan
Control Self‐Assessments and Internal Audit Benchmarking (Chapter 12)

PROGRAM STUDI AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS AIRLANGGA
SURABAYA
2019
 Chapter 11
Continuous Auditing and Computer‐Assisted Audit Techniques

11.1 MELAKSANAKAN AUDIT JAMINAN TERUS MENERUS

Audit telah melalui serangkaian perubahan konseptual dari waktu ke waktu. Jenis
proses audit yang seringkali terperinci ini telah digunakan selama bertahun-tahun. Namun,
seperti proses menjadi lebih sangat otomatis, auditor mulai mengandalkan terutama pada
ulasan kontrol internal untuk mendukung kesimpulan audit mereka daripada menjamin model
lama. Jika kontrol internal memadai dan ditemukan melalui tes untuk berfungsi, ada lebih
sedikit perlu melakukan pengujian transaksi terperinci. Dalam fase internal selanjutnya
mengaudit dan melalui awal 1990 - an, auditor memberikan penekanan besar pada tinjauan
atas kontrol internal sebagai komponen utama dari pekerjaan mereka. Dengan terlalu banyak
aplikasi IT dan beragamnya kontrol untuk dipertimbangkan, ditambah dengan penekanan
berkelanjutan pada peningkatan efisiensi audit, auditor khususnya eksternal auditor mulai
melakukan analisis risiko formal atas lingkungan kontrol mereka, dengan penekanan audit
mereka hanya ditempatkan pada area kontrol internal berisiko tinggi.

What is a Continuous Assurance Auditing and Monitoring System?

CAA adalah proses audit internal yang menghasilkan hasil audit secara real time, terjadinya
peristiwa aktual. Kontrol yang diawasi oleh auditor, misalnya, dipasang pada aplikasi sumber
daya utama di seluruh perusahaan yang mencakup alarm monitor dan rutinitas analisis
analitik berkelanjutan untuk membuktikan hasil atau sorotan item untuk analisis audit segera.
CAA umumnya independen dari aplikasi bisnis yang mendasarinya dan mencakup proses
yang menguji data transaksional parameter atau aturan kontrol yang ditolak. Proses CAA hari
ini berjalan secara otomatis setiap hari atau secara mingguan dan menghasilkan laporan
pengecualian atau peringatan untuk tindak lanjut auditor internal. Mirip dengan proses audit
tradisional, CAA lebih detektif daripada preventif. Meskipun konsep dasarnya sangat mirip,
kadang-kadang kita bisa bingung apa yang disebut audit jaminan berkelanjutan dan
pemantauan berkelanjutan. Karakteristik dasar mereka:
A. Pemeriksaan Keuangan Berkelanjutan
● Monitor audit perangkat lunak berulang dibangun ke dalam aplikasi TI. Misalnya, jika
audit internal tertarik pada transaksi keuangan dalam akun buku besar di atas batas
tertentu, perubahan perangkat lunak dapat diinstal untuk memantau aktivitas apa pun
yang memenuhi kriteria.
● Daripada menjadwalkan audit internal berkala untuk meninjau suatu area, CAA
mencatat bidang minat potensial untuk perhatian audit internal. Itu kemudian audit
internal tanggung jawab untuk menindaklanjuti hal-hal ini.
● Audit internal umumnya bertanggung jawab atas perangkat lunak CAA, sering kali
diinstal secara independen dan tanpa sepengetahuan beberapa pengguna, dan mungkin
menghadapi masalah jika pengguna aplikasi membuat perubahan TI tertentu.
B. Pemantauan berkelanjutan
● Dalam banyak hal, pemantauan berkelanjutan (CM) sangat mirip dengan CAA
kecuali pengguna TI sering manajemen memasang CM dalam aplikasi yang
 menarik.
● Daripada dimaksudkan untuk mendeteksi item pengecualian individual atau transaksi
yang tidak biasa, CM sering dipasang dalam bentuk layar dasbor — mirip dengan gas
ukur dalam mobil — untuk memantau status yang sedang berlangsung.
● Audit internal dapat meninjau proses CM secara berkala, tetapi seringkali hanya untuk
mendapatkan jaminan bahwa keseluruhan proses bekerja.

CM dan CAA serupa tetapi berbeda dalam konsep mereka. Dalam desainnya yang
paling mendasar,CAA adalah aplikasi independen yang memonitor aplikasi penting lainnya.
Langkah-langkah berikut harus dipertimbangkan dalam perencanaan dan implementasi proses
CAA internal:
1. Menentukan persyaratan output CAA. Sangat mudah untuk membaca laporan yang
menyala tentang kekuatan aplikasi CAA, tetapi kepemimpinan audit internal harus
memahami mereka kebutuhan potensial dan menilai bagaimana mereka dapat lebih
membantu untuk mengaudit dan memahami beberapa aplikasi yang terinstal
kompleks.
2. Pilih alat analisis CAA. Audit internal perlu diterapkan baik di perusahaan atau alat
perangkat lunak yang disediakan vendor untuk proyek CAA mereka.
3. Kembangkan tujuan audit untuk CAA. Mirip dengan bab-bab lain yang telah dibahas
untuk perencanaan audit internal, audit internal harus mengembangkan beberapa
tingkat tinggi tujuan untuk aplikasi CAA yang direncanakan. Karena aplikasi CAA
akan menyita waktu dan sumber daya untuk mengimplementasikan, harus ada minat
berkelanjutan dalam penggunaannya aplikasi CAA ini selama beberapa periode.
4. Mempersiapkan dan menguji aplikasi CAA. Mirip dengan perangkat lunak aplikasi
TI, perawatan harus diberikan untuk merencanakan, mengembangkan, dan menguji
CAA sebelum penerapannya.
5. Menilai integritas data dan menyiapkan data. Penggunaan aplikasi CAA biasanya
bukan latihan audit sekali pakai tetapi sesuatu yang akan digunakan secara
berkelanjutan .
6. Tinjau hasil dari pendekatan pemantauan berkelanjutan dengan manajemen. Audit
internal harus terlebih dahulu menentukan bahwa upayanya untuk mengembangkan
CAA memberikan hasil yang hemat biaya, dan jika berencana untuk menggunakan
pendekatan ini lebih lanjut, ia harus jelaskan dan ulas pendekatan ini dengan
manajemen dan komite audit.
7. Kembangkan rutinitas audit berkelanjutan untuk menilai kontrol dan mengidentifikasi
kekurangan. CAA harus diluncurkan, didokumentasikan, dan diimplementasikan.

Resources for Implementing a CAA

Sedangkan konsep dasar penerapan beberapa bentuk monitor audit dalam ERP atau
lainnya aplikasi bisnis tampaknya relatif mudah, implementasi aktual dari CAA dalam suatu
perusahaan seringkali menghadirkan tantangan. Agar independen dari TI lain. Aplikasi,
proses CAA harus diinstal dengan beberapa tingkat independensi dari orang lain dan
pengembang IT. Artinya, jika CAA memiliki tujuan untuk memantau semua transaksi biaya
pemasaran lebih dari X dollar dan beberapa kondisi lainnya, Sistem harus dipasang secara
independen agar sistem tidak mudah dibajak. Namun, menginstal proses CAA dalam ERP
atau aplikasi lain yang lebih besar dan kompleks memerlukan beberapa keterampilan teknis
TI yang mungkin di luar kemampuan teknis banyak auditor internal. Sebaliknya, sekalipun
internal audit memiliki keterampilan untuk memasang CAA di aplikasi perusahaan,
manajemen TI akan melihat itu dengan tingkat skeptisisme yang tinggi. Manajemen TI tidak
akan percaya auditornya untuk menginstal perangkat lunak pemantauan CAA mereka sendiri
dalam sistem, tetapi jika manajemen IT setuju untuk mengambil modul perangkat lunak CAA
dan menguji dan memodifikasinya untuk instalasi produksi, independensi CAA dapat
dikompromikan.

11.2 ACL, NETSUITE, BISNIS, DAN SISTEM JAMINAN LAINNYA

Banyak auditor selama bertahun-tahun telah menggunakan ACL, 3 produk perangkat
lunak yang populer dan efektif untuk analisis dan pengambilan audit audit berbantuan
komputer. ACL memungkinkan auditor internal menginstal dan mengimplementasikan
aplikasi audit atau pemantauan kontinu sepenuhnya tertanam dan otomatis. Aplikasi
pengujian terkait audit ACL terdiri dari serangkaian aplikasi otomatis tes analisis data yang
diprakarsai secara manual dan dijalankan secara teratur. Pendekatan ACL melangkah lebih
jauh sehingga auditor tidak perlu secara formal memulai dan menjalankan program
pemantauan. Perangkat lunak ACL ditautkan ke file dan aplikasi perusahaan sehingga bisa
berjalan di latar belakang. Perangkat lunak ini berguna untuk bidang-bidang seperti
mendeteksi indikator transaksi yang tidak biasa penipuan atau mengidentifikasi pembayaran
berlebih duplikat dan lainnya. Meskipun mungkin tidak benar-benar berkelanjutan, ACL
dapat diinstal dan dijalankan saat selesai langkah-langkah proses dan pada interval waktu
berkala.
Aplikasi TI saat ini memberikan lingkungan yang lebih baik untuk pemantauan lintas-
aplikasi seperti itu, karena semua komponen sistem secara keseluruhan, dari penerimaan
hingga umum proses buku besar, berada di bawah struktur database umum. Selain itu,
beberapa produk perangkat lunak ada yang memungkinkan suatu organisasi untuk menginstal
monitor dasbor meninjau keseluruhan kemajuan transaksi bisnis dan kegiatan lain untuk
memfasilitasi perbaikan bila perlu. Ada dua di antara yang terbaik dari perangkat lunak ini
saat ini adalah Business Objects4 dan produk Cognos Business Intelligence dan Keuangan
IBM. Mereka membantu perusahaan untuk mengikat berbagai aplikasi yang beragam ke
dasbor, memungkinkan pengguna untuk memantau aktivitas secara keseluruhan.

11.3 MANFAAT CAA

Pendekatan CAA memungkinkan audit internal untuk menangani masalah berbasis TI
secara real-time. Daripada menunggu audit internal yang dijadwalkan hanya setahun sekali
atau lebih lambat, proses CAA memberikan audit internal dengan peringatan dini untuk
banyak bidang kepentingan audit internal. CAA menyediakan audit internal dengan alat
untuk manajemen risiko proaktif. Selain itu, proses CAA yang efektif memungkinkan auditor
internal untuk mengembangkan pemahaman yang lebih baik tentang lingkungan bisnis
perusahaan mereka serta untuk mendukung kepatuhan dan mendorong kinerja bisnis.
Dengan mengubah pendekatan audit internal tradisional dan menerapkan proses CAA,
auditor internal dapat mengembangkan pemahaman yang lebih baik tentang lingkungan
bisnis mereka dan risiko terhadap perusahaan mereka untuk mendukung kepatuhan dan
mendorong peningkatan kinerja. Proses CAA dapat menyediakan otomatisasi pengujian
melalui verifikasi integritas dan validitas transaksi dan generasi alarm kontrol internal. CAA
menciptakan lingkungan pengujian berkelanjutan di mana kegagalan kontrol internal dapat
dideteksi dan diperbaiki segera. Meskipun ada beberapa upaya yang terlibat dalam
menerapkan CAA, pendekatannya dalam melihat populasi penuh data dari bidang yang
diminati dapat sangat meningkatkan efektivitas keseluruhan audit internal. Di mana setelah
proses CAA dipromosikan oleh hampir "suara di padang gurun" pembicara di konferensi
teknis audit internal, kita sekarang melihat fungsi audit internal perusahaan besar mengadopsi
pendekatan CAA. CAA adalah tren audit internal yang berkembang.

11.4 ALAT DAN TEKNIK AUDIT KOMPUTER - BANTUAN

CAATT adalah program atau proses komputer khusus, yang dikendalikan oleh audit
internal, yang digunakan untuk menguji atau menganalisis data pada file komputer.
Terminologi berubah dari waktu ke waktu, dan auditor internal kadang-kadang akan melihat
akronim CAAT atau CAAP daripada CAATT, dimana huruf terakhir pada awalnya merujuk
hanya "teknik," dan yang kedua "prosedur." Akronim ini dapat digunakan secara bergantian.
AICPA menggunakan CAATT, yang juga merupakan istilah pilihan kami dalam bab ini.
Seperti disebutkan dalam pengantar bab ini, pada hari-hari awal sistem pemrosesan
data, auditor biasanya hanya mengandalkan hasil cetak dari sistem TI dan menggunakan
prosedur audit konvensional untuk membaca, menguji, dan menganalisis laporan yang
kadang-kadang besar ini dihasilkan oleh komputer . Ketika sistem TI menjadi lebih luas
dengan file data yang semakin besar, auditor membutuhkan pendekatan yang lebih baik untuk
secara memadai mengevaluasi dokumentasi dan catatan yang disimpan dalam sistem TI yang
besar.
CAATT adalah program komputer yang dikendalikan oleh auditor yang dapat
dijalankan terhadap file IT produksi untuk menganalisis data itu dan melakukan tes audit.
Analisis Pendanaan Ekuitas terjadi sebelum alat perangkat lunak desktop yang kuat hari ini,
dan aplikasi CAATT ini dianggap sebagai teknik audit lanjutan. Pengguna akhir kemudian
biasanya mengandalkan departemen pemrosesan data mereka untuk menulis program
pengambilan khusus untuk memberi mereka berbagai laporan keluaran yang diminta. Baik
auditor internal maupun eksternal kemudian mulai menggunakan apa yang disebut perangkat
lunak audit umum untuk mengembangkan program mereka sendiri secara independen untuk
menguji dan menganalisis data. Perangkat lunak umum ini menjadi dasar bagi CAATT untuk
mendefinisikan sistem dan prosedur TI khusus untuk membantu auditor internal dan
eksternal.
Aplikasi CAATT dapat dikembangkan untuk menghitung ulang secara independen
semua usia dalam sistem piutang, untuk memverifikasi saldo piutang dan menyoroti setiap
item pengecualian yang tidak biasa. Audit internal dapat melakukan pendekatan CAATT ‐
oriented ini melalui langkah-langkah berikut :
1. Tentukan tujuan CAATT. Audit internal seharusnya tidak hanya "menggunakan
komputer" untuk menguji sistem tanpa serangkaian tujuan audit yang jelas untuk
CAATT. Dalam contoh ini, audit internal akan memiliki tujuan untuk menentukan
apakah penagihan piutang dinyatakan dengan benar.
 2. Memahami sistem TI pendukung. Audit internal harus meninjau dokumentasi
sistem TI untuk menentukan bagaimana penghitungan penagihan piutang dihitung, di
mana data ini disimpan dalam sistem, dan bagaimana item dijelaskan dalam file
sistem.
3. Kembangkan program CAATT. Menggunakan paket pengambilan perangkat lunak
yang dipilih atau pengolah bahasa TI, audit internal akan menulis program mereka
sendiri untuk menghitung ulang penuaan piutang dan untuk menghasilkan total dari
file piutang.
4. Tes dan proses CAATT. Setelah menguji program, auditor internal akan mengatur
agar CAATT diproses terhadap file piutang produksi.
5. Kembangkan kesimpulan audit dari hasil CAATT. Mirip dengan tes audit apa
pun, kesimpulan audit akan diambil dari hasil pemrosesan CAATT,
didokumentasikan dalam kertas kerja, dan dibahas dalam laporan audit, sebagaimana
diperlukan.

Ini adalah pendekatan umum untuk mengembangkan dan memproses CAATT. Ini
mengikuti langkah-langkah yang sama yang akan digunakan audit internal untuk menetapkan
tujuan audit dan melakukan tes yang sesuai untuk peninjauan sistem atau proses apa pun.
Sebagaimana dibahas sebelumnya, CAATT adalah seperangkat khusus program komputer
atau prosedur yang berada di bawah kendali audit internal. CAATT dapat dikembangkan
melalui program perangkat lunak audit umum yang dijalankan pada sistem komputer
produksi, perangkat lunak khusus yang dijalankan pada komputer laptop auditor itu sendiri,
atau kode program khusus penggunaan auditor yang tertanam dalam aplikasi produksi yang
normal. Dengan ketergantungan utama kami pada proses TI di semua area perusahaan saat
ini, CAATT dapat meningkatkan proses audit internal di beberapa area berikut :
❏ Tingkatkan cakupan audit. CAATT dapat memungkinkan auditor internal untuk
meninjau dan menganalisis komponen-komponen seperti database keuangan besar-
besaran di mana auditor internal kadang-kadang tidak memiliki akses mudah ke
laporan layar online dan di mana tidak ada laporan kertas.
❏ Fokus pada bidang-bidang risiko. Mirip dengan poin sebelumnya dan contoh kami
dari pengujian penuaan piutang, CAATT sering memungkinkan auditor internal untuk
meninjau dan menyelidiki area-area yang belum menerima pengawasan audit internal
tingkat tinggi.
❏ Tingkatkan efektivitas biaya. Meskipun CAATT mungkin memerlukan beberapa
waktu tambahan dan biaya untuk berkembang, CAATT bisa sangat efektif untuk
menganalisis volume besar data penduduk TI selama beberapa periode.
❏ Meningkatkan kredibilitas audit. CAATT memberi auditor internal kemampuan
untuk secara independen melihat basis data yang kompleks dan memberikan analisis
dan rekomendasi terperinci; jenis analisis tersebut dapat sangat meningkatkan
kredibilitas auditor internal.
❏ Meningkatkan integrasi TI dan auditor keuangan dan operasional. CAATT
sering digunakan untuk menganalisis proses keuangan dan operasional menggunakan
proses TI. Mereka akan membuat semua pihak yang berkepentingan untuk berbicara
lebih baik dan mengoordinasikan tujuan dan kebutuhan audit.
 ❏ Mendorong independensi auditor dari operasi dukungan layanan TI. Auditor
internal tidak harus sangat bergantung pada sistem dan infrastruktur TI untuk
mengoperasikan CAATT mereka. Meskipun koordinasi yang kuat sangat penting,
auditor internal dapat beroperasi dengan cara yang cukup independen.

Auditor internal harus memiliki pemahaman yang baik tentang kapan CAATT harus
digunakan untuk meningkatkan proses audit, jenis alat perangkat lunak yang tersedia untuk
auditor internal, dan bagaimana menggunakan CAATT dalam audit. Meskipun beberapa
CAATT memerlukan auditor internal untuk memiliki pengetahuan pemrograman khusus,
sebagian besar dapat diimplementasikan oleh auditor dengan hanya pemahaman umum
tentang sistem informasi.

11.5 MENENTUKAN KEBUTUHAN UNTUK CAATT

CAATT adalah alat yang ampuh yang dapat meningkatkan proses audit dan
independensi auditor internal. Namun, prosedur ini terkadang memakan waktu untuk
berkembang dan tidak akan selalu hemat biaya kecuali direncanakan dan dirancang dengan
baik. Bagian ini membahas bidang-bidang di mana CAATT akan meningkatkan audit dan
bidang-bidang yang perlu dipertimbangkan ketika mengembangkan dan menerapkan
CAATT.
Sebelum mengembangkan CAATT spesifik, auditor internal harus terlebih dahulu
menentukan apakah pendekatan yang direncanakan sesuai. Sering kali, seorang anggota
manajemen mungkin memiliki keprihatinan tentang efisiensi audit dan kemudian dapat
meminta tim audit internal untuk "melakukan sesuatu" untuk meningkatkan efisiensi audit
dengan lebih baik menggunakan sumber daya TI sebagai bagian dari audit internal. Jenis
arahan efisiensi audit yang ditingkatkan ini seringkali dapat mengakibatkan kekecewaan bagi
semua pihak. Demikian pula, auditor internal yang sangat teknis kadang-kadang dapat
mengembangkan CAATT "menarik secara teknis" sebagai bagian dari audit meskipun
sebenarnya tidak mendukung atau berkontribusi pada efektivitas keseluruhan tujuan audit
internal. Keputusan untuk mengembangkan dan mengimplementasikan CAATT dalam
mendukung audit internal akan tergantung pada sifat data dan program produksi yang ditinjau
dalam audit, alat CAATT yang tersedia untuk audit internal, dan tujuan audit. Audit internal
membutuhkan pemahaman menyeluruh tentang prosedur CAATT untuk membuat keputusan
ini, dan harus mempertimbangkan hal-hal berikut :
● Sifat atau tujuan audit. Audit internal mula-mula harus mengevaluasi materi yang
akan ditinjau dalam audit yang direncanakan dan mempertimbangkan ukuran dan
format data berbasis TI apa pun. Audit berdasarkan nilai atau atribut data
terkomputerisasi biasanya merupakan kandidat yang baik untuk CAATT.
● Sifat data yang akan ditinjau. CAATT paling efektif ketika data dan informasi yang
bergantung pada keputusan tentang data tersebut didasarkan pada sistem otomatis.
● Alat CAATT dan keterampilan audit yang tersedia. Audit internal harus berusaha
mengembangkan CAATTs menggunakan alat otomasi yang ada yang tersedia dalam
departemen audit atau fungsi TI perusahaan. Audit internal harus mempertimbangkan
jenis alat perangkat lunak yang tersedia untuk pengembangan CAATT sebelum
menghubungi vendor luar. Ketersediaan itu mungkin didasarkan pada kendala
 anggaran audit dan batasan produk.

Keahlian auditor juga harus dipertimbangkan, dan fungsi audit internal harus menilai
apakah spesialis audit teknis diperlukan dan tersedia untuk proyek pengembangan CAATT
yang direncanakan. Tiga pertimbangan yang tercantum di sini dinyatakan dalam istilah yang
sangat umum tetapi merupakan area yang harus dipertimbangkan ketika merencanakan
strategi keseluruhan untuk menggunakan CAATT. Audit internal harus menyadari bahwa
CAATT mungkin sulit untuk diterapkan dan kadang-kadang tidak terlalu hemat biaya.
Tantangan untuk audit internal adalah untuk mengidentifikasi area yang sesuai untuk
CAATT.
Beberapa tahun yang lalu, ada produk perangkat lunak khusus yang tersedia untuk
membantu auditor dalam membangun dan mengembangkan CAATT. Teknologi TI telah
berubah secara luas sejak produk-produk itu dirilis, dan produk-produk perangkat lunak audit
komputer khusus telah digantikan oleh generator laporan dan alat-alat lain yang tersedia
dengan banyak alat perangkat lunak standar. Grup audit internal sering tidak perlu mencoba
untuk memperoleh produk perangkat lunak audit khusus saat ini, tetapi ada banyak alat
pengambilan yang sangat baik tersedia untuk membantu auditor internal mengembangkan
CAATTs.
Sebagai contoh, produk perangkat lunak ACL yang dibahas sebelumnya dalam bab ini
untuk audit kontinu juga memiliki banyak kemampuan sebagai alat CAATS. CAAT yang
dikembangkan oleh audit internal dapat efektif di beberapa bidang yang dibahas nanti.
❏ Memeriksa Catatan Berdasarkan Kriteria yang Ditentukan oleh Audit Internal. Karena
catatan dalam sistem manual terlihat, audit internal dapat memindai
ketidakkonsistenan atau ketidakakuratan tanpa kesulitan. Untuk catatan pada file data
komputer, audit internal dapat menentukan instruksi perangkat lunak audit untuk
memindai dan mencetak catatan yang merupakan pengecualian terhadap kriteria,
sehingga tindakan tindak lanjut dapat diambil. Contoh area yang ditentukan adalah:
➔ Saldo piutang untuk jumlah yang melebihi batas kredit
➔ Jumlah persediaan untuk saldo negatif dan tidak masuk akal dalam jumlah
besar
➔ File penggajian untuk karyawan yang diberhentikan
➔ Bank meminta file setoran untuk setoran atau penarikan yang luar biasa besar

❏ Menguji perhitungan dan membuat perhitungan. Audit internal dapat menggunakan

perangkat lunak untuk melakukan analisis kuantitatif untuk mengevaluasi kewajaran
representasi auditee. Analisis semacam itu mungkin untuk:
➔ Perluasan item inventaris
➔ Penghitungan ulang jumlah penyusutan
➔ Keakuratan diskon penjualan
➔ Perhitungan bunga
➔ Perhitungan gaji bersih karyawan

❏ Membandingkan data pada file terpisah. Ketika catatan pada file terpisah harus berisi
informasi yang kompatibel, perangkat lunak dapat menentukan apakah informasi
 tersebut setuju. Perbandingan dapat berupa:
➔ Perubahan saldo piutang antara dua tanggal, membandingkan rincian
penjualan dan penerimaan kas pada file transaksi
➔ Detail penggajian dengan file personel
➔ File inventaris periode sebelumnya dan sebelumnya untuk membantu
meninjau item yang usang atau lambat

❏ Memilih dan mencetak sampel audit. Beberapa kriteria dapat digunakan untuk
pemilihan, seperti sampel penilaian barang-barang mahal dan lama dan sampel acak
dari semua item lainnya, yang dapat dicetak dalam format kertas kerja auditor atau di
formulir konfirmasi khusus. Contohnya adalah:
➔ Saldo piutang akun untuk konfirmasi
➔ Barang inventaris untuk observasi
➔ Penambahan aset tetap untuk dijamin
➔ Catatan voucher berbayar untuk tinjauan pengeluaran
➔ Catatan vendor untuk konfirmasi hutang

❏ Merangkum dan menyusun ulang data dan melakukan analisis. Audit lunak membuat
dan memformat dan mengumpulkan data dalam berbagai cara untuk mensimulasikan
pemrosesan atau untuk menentukan kewajaran hasil keluaran. Contohnya adalah:
➔ Total transaksi pada file akun
➔ Menguji umur piutang
➔ Mempersiapkan neraca saldo buku besar
➔ Meringkas statistik perputaran persediaan untuk analisis kelebihan atau
keusangan
➔ Pelajari kembali inventaris berdasarkan lokasi untuk memudahkan
pengamatan fisik

❏ Membandingkan data yang diperoleh melalui prosedur audit lainnya dengan file data
sistem TI. Bukti audit yang dikumpulkan secara manual dapat dikonversi ke formulir
yang dapat dibaca mesin dan dibandingkan dengan file data lainnya. Contohnya
adalah:
➔ Tes inventaris diperhitungkan dengan catatan abadi
➔ Pernyataan kreditur dengan file hutang

Meskipun banyak dari ini pada awalnya dikembangkan untuk auditor eksternal dan
berasal dari sebelum hari-hari file database terintegrasi, teknik ini umumnya masih berlaku
untuk auditor internal. Jumlah dan kecanggihan CAATT ini meningkat karena auditor
internal individu menjadi lebih berpengalaman dalam penggunaannya.

11.6 LANGKAH-LANGKAH UNTUK MEMBANGUN CAATT EFEKTIF

Auditor internal harus mengikuti pendekatan yang sama untuk mengembangkan
CAATT baik menggunakan bahasa pengambilan generator laporan atau data yang diunduh ke
komputer laptop auditor. Pendekatan ini mirip dengan pendekatan metodologi pengembangan
sistem yang dibahas dalam Bab 22. Perbedaannya di sini adalah bahwa auditor internal dapat
mengembangkan CAATT untuk upaya sekali pakai atau penggunaan terbatas daripada untuk
aplikasi produksi yang sedang berlangsung. Karena audit internal sering menarik kesimpulan
dan membuat rekomendasi yang agak signifikan berdasarkan hasil CAATT, penting untuk
menggunakan praktik pengembangan sistem yang baik untuk merancang dan menguji
CAATT. Berikut ini adalah pendekatan empat langkah untuk mengembangkan CAATT :
1. Tentukan tujuan alat audit berbantuan komputer. Tidak cukup untuk audit
internal hanya untuk mengaudit sistem akuntansi otomatis. Seringkali manajer audit
internal hanya akan mengarahkan auditor staf untuk menulis CAATT untuk beberapa
audit tanpa sepenuhnya menentukan tujuannya. Tujuan audit yang diinginkan harus
didefinisikan secara jelas; ini akan membuat identifikasi prosedur pengujian
selanjutnya menjadi tugas yang jauh lebih mudah. Setelah audit internal menetapkan
tujuan CAATT, tata letak file dan bagan alur sistem harus diperoleh untuk memilih
sumber data yang sesuai untuk pengujian. Terkadang, auditor internal pada titik ini
menghadapi masalah teknis yang mungkin menghambat kemajuan lebih lanjut. File
dokumentasi atau kertas kerja CAATT juga harus dimulai bersamaan dengan langkah
ini.
2. Rancang aplikasi yang dibantu komputer. Perangkat lunak CAATT yang
digunakan harus dipahami dengan baik, termasuk fitur-fiturnya, logika program
secara keseluruhan, dan format pelaporan. Setiap kode khusus atau karakteristik data
lainnya harus didiskusikan dengan orang yang bertanggung jawab untuk aplikasi TI.
Pertimbangan juga harus diberikan pada bagaimana audit internal akan membuktikan
hasil tes audit dengan, misalnya, menyeimbangkan total kontrol aplikasi produksi.
Hal-hal ini harus dijabarkan dalam kertas kerja audit dokumentasi.
3. Program atau kode lalu uji aplikasi. Tugas ini biasanya mengikuti langkah 2
dengan sangat cermat. Pemrograman dilakukan menggunakan alat perangkat lunak
yang dipilih. Sekali CAATT telah diprogram, audit internal harus mengatur untuk
mengujinya pada populasi data yang terbatas. Hasilnya harus diverifikasi untuk
kebenaran logika program dan pencapaian tujuan audit yang diinginkan. Kegiatan ini
juga harus didokumentasikan dalam kertas kerja. Ketepatan logika program berarti
CAATT harus bekerja. Terkadang kesalahan dalam pengkodean akan menyebabkan
aplikasi gagal untuk memproses. Kegagalan untuk mencapai tujuan audit adalah
masalah yang berbeda. Misalnya, dalam CAATT untuk mensurvei kondisi dalam file
inventaris, auditor mungkin membuat seleksi yang terlalu luas, menghasilkan laporan
hasil dari ribuan pengecualian kecil. Logika CAATT tersebut harus direvisi untuk
menghasilkan seleksi yang lebih masuk akal.
4. Proses dan selesaikan CAATT. Membuat pengaturan untuk pemrosesan CAATT
seringkali membutuhkan koordinasi antara audit internal dan operasi TI. Audit
internal sering tertarik pada pembuatan file data secara spesifik, dan perlu mengatur
aksesnya. Selama pemrosesan aktual, audit internal harus mengambil langkah-langkah
untuk memastikan bahwa file yang diuji adalah versi yang benar.
 Bergantung pada sifat CAATT, auditor internal harus membuktikan hasilnya dan
menindaklanjuti pengecualian yang diperlukan. Jika ada masalah dengan logika CAATT,
audit internal harus melakukan koreksi seperti yang diperlukan dan ulangi langkah-
langkahnya. Kertas kerja aplikasi CAATT harus diselesaikan pada titik ini, termasuk titik
tindak lanjut untuk meningkatkan CAATT untuk periode mendatang.
CAAT adalah alat yang ampuh yang harus tersedia untuk digunakan oleh auditor
internal mana pun, dan tidak boleh sepenuhnya menjadi tanggung jawab spesialis audit TI.
Seperti halnya pengguna akhir meningkatkan penggunaan alat pengambilan untuk kebutuhan
TI mereka sendiri, semua anggota departemen audit harus mendapatkan pemahaman tentang
alat audit yang tersedia untuk memungkinkan mereka mengembangkan CAATT mereka
sendiri.
Tentu saja, karena semakin banyak proses otomatis menjadi tanpa kertas, kebutuhan
auditor untuk membangun dan menggunakan CAATT akan meningkat. Artinya, jejak kertas
tradisional yang digunakan auditor untuk melacak dan memvalidasi transaksi berkurang atau
bahkan dihilangkan dalam sistem otomatis modern saat ini. Alat audit mulai dari perangkat
lunak pembuat laporan aplikasi hingga monitor audit berkelanjutan akan semakin menjadi
satu-satunya pilihan yang tersedia untuk menguji dan mengumpulkan bukti tentang sistem
tanpa kertas ini. Banyak sistem operasional memiliki beberapa elemen tanpa kertas yang
sangat kuat. Auditor internal harus kreatif ketika merancang CAATT untuk mengumpulkan
bukti mengenai aplikasi tanpa kertas ini, dan banyak teknik yang dijelaskan dalam bab ini
berlaku.

11.7 PENTINGNYA MENGGUNAKAN CAATT UNTUK AUDIT PENGUMPULAN

BUKTI
Auditor internal sering tidak memberikan perhatian yang cukup terhadap kebutuhan
untuk mengumpulkan bukti ketika meninjau aplikasi otomatis. Terlalu sering tugas audit
yang menarik dan menantang untuk mendapatkan pemahaman tentang aplikasi TI dan untuk
mengevaluasi pengendalian internalnya, tetapi konfirmasi terperinci dari saldo akun atau
jenis-jenis tes pengumpulan bukti terkadang dilihat oleh auditor internal sebagai tidak
menarik. dan terlalu memakan waktu. Namun, prosedur pengumpulan bukti ini sering
memberikan peluang audit internal untuk mengimplementasikan bagian paling kreatif dari
proyek audit. Asumsikan, misalnya, bahwa audit internal telah melakukan tinjauan terperinci
kontrol internal yang berorientasi pada aplikasi penganggaran modal aset tetap besar di mana
transaksi dimulai dari berbagai sistem anak perusahaan dan di mana aplikasi tersebut pada
akhirnya memberikan saldo laporan keuangan buku besar. Audit internal telah menguji
kontrol internal sistem ke sistem dan menyimpulkan bahwa kontrol internal ini memadai;
mereka juga secara manual menghitung ulang biaya penyusutan untuk beberapa transaksi
yang dipilih dan menganggapnya benar.
Auditor internal harus memiliki pemahaman tentang kapan itu efektif dari segi biaya
dan tepat untuk mengembangkan CAATT untuk melakukan tes terperinci aplikasi TI untuk
memverifikasi kebenaran transaksi atau saldo akun. Beberapa keadaan ketika audit internal
harus melakukan pengumpulan dan pengujian bukti aplikasi yang lebih terperinci ini
meliputi:
■■ Ada persepsi bahwa risiko mengandalkan kontrol internal terlalu tinggi.
■■ Meskipun audit internal mungkin telah melakukan tes walk-through atau jenis kepatuhan
yang terbatas, hasil tes ini mungkin agak tidak meyakinkan dan akan menyarankan
perlunya tes yang lebih rinci.
■■ Dalam beberapa kasus, kontrol internal tertentu mungkin lemah atau sulit untuk
diidentifikasi, dan auditor internal mungkin ingin mengembangkan CAATTs untuk
melakukan tes terperinci dari aplikasi otomatis.
■■ Beberapa aplikasi otomatis yang kompleks atau besar terlibat, seperti sistem ERP yang
komprehensif
Audit internal harus terbiasa dengan berbagai produk dan teknik perangkat lunak yang
tersedia untuk menganalisis dan menguji file sistem komputer. Implementasi dan pemrosesan
CAATT harus menjadi bagian dari persyaratan rangkaian keterampilan untuk semua auditor
internal.

11.8 XBRL: THE INTERNET‐BASED EXTENSIBLE MARKING LANGUAGE

Sementara pendekatan yang sangat fleksibel, mengandalkan Internet dapat
meningkatkan kekhawatiran tentang integritas dokumen dari manajemen dan auditor internal.
Ketika laporan diproduksi di pusat data klasik toko tertutup selama beberapa tahun terakhir,
apakah di atas kertas atau melalui sistem online, biasanya ada beberapa pertanyaan tentang
integritas data yang dilaporkan, asalkan kontrol internal pendukung memadai. Selama ada
kontrol umum dan aplikasi yang sesuai, auditor internal memiliki beberapa pertanyaan
tentang integritas data umum dan hanya harus melakukan tes audit tradisional untuk
memperoleh tingkat kepastian mengenai data tersebut. Namun, sifat bebas dan terbuka dari
Internet dapat menimbulkan keraguan atau pertanyaan tentang integritas data yang
dikirimkan.
Pengkodean atau penandaan bahasa menyelesaikan beberapa masalah tersebut, dan
XBRL, pendekatan standar industri untuk penerbitan, pertukaran, dan analisis laporan dan
data keuangan dan bisnis, menawarkan solusi yang sangat baik. XBRL (eXtensible Business
Reporting Language) adalah bahasa penandaan standar terbuka yang dikembangkan oleh
konsorsium lebih dari 200 perusahaan dan agen, dan sangat didukung oleh AICPA di
Amerika Serikat. Memberikan manfaat kepada investor, akuntan, regulator, eksekutif, analis
bisnis dan keuangan, dan penyedia informasi, XBRL menyediakan format umum untuk
proses pelaporan bisnis kritis , penyederhanaan aliran laporan keuangan, laporan kinerja,
catatan akuntansi, dan informasi keuangan lainnya antar program perangkat lunak. XBRL
mendefinisikan format yang konsisten untuk mengidentifikasi data dan untuk pelaporan
bisnis guna merampingkan persiapan dan penyebaran data keuangan, dan untuk
memungkinkan analis, regulator, dan investor untuk meninjau dan menafsirkannya.
Akibatnya, XBRL dapat menghemat waktu dan uang ketika informasi konsumen di dalam
dan di luar perusahaan menganalisis operasi yang kompleks dan data keuangan.
1. Definisi XBRL
XBRL adalah standar Internet yang mirip dengan penggunaan HTML untuk
penelusuran Internet, MP3 untuk musik digital, atau XML, standar Bahasa Markup
eXtensible, untuk perdagangan elektronik. XBRL menggunakan tag data Internet XML
standar untuk menggambarkan informasi keuangan untuk perusahaan publik dan swasta dan
perusahaan lain. Kelompok kontrolnya, XBRL International, adalah afiliasi profesional dari
ratusan perusahaan serta yurisdiksi pemerintah yang secara kolaboratif menghasilkan
spesifikasi standar dan taksonomi yang dapat dilisensikan oleh siapa pun yang bebas royalti
untuk digunakan dalam aplikasi mereka.
2. Penerapan XBRL
XBRL masih merupakan standar yang terus berkembang. Ada beberapa tetapi belum
banyak pengguna XBRL awal hingga saat ini. Sebagai bahasa markup Internet untuk data
keuangan, XBRL mirip dengan HTML untuk browser, di mana pengguna Internet mengklik
beberapa referensi yang ditandai untuk diarahkan ke situs lain. Di bawah XBRL, data
keuangan Internet ditandai dengan cara untuk diakui dan ditafsirkan dengan benar oleh orang
lain menggunakan aplikasi berdasarkan kosakata istilah XBRL standar, yang disebut
taksonomi, untuk memetakan hasil ke dalam kategori yang disepakati. Pelaporan tanpa kertas
juga difasilitasi di sini. Sebelum XBRL, perlu mengekstraksi informasi keuangan untuk
laporan dari database seperti buku besar, dan bahwa informasi yang diekstraksi perlu diproses
beberapa kali tergantung pada kebutuhan pengguna. Karena XBRL masih merupakan bahasa
yang berkembang, ada beberapa risiko kesalahan di sini. Suatu perusahaan perlu memilih
taksonomi yang sesuai dan menandai data mereka dengan tepat.
 Chapter 12
Control Self‐Assessments and Internal Audit Benchmarking
Control Self Assessments (CSA) merupakan proses audit awal untuk perbaikan
pengendalian internal yang sedang berjalan. Daripada internal auditor harus mengunjungi
area operasi dan melakukan review audit internal secara formal, dalam CSA, internal auditor
bekerja dengan anggota kelompok dari beberapa area operasi perusahaan, memberikan
arahan kepada mereka untuk mengevaluasi prosedur pengendalian saat ini kemudian
menggunakan hasil review untuk memperbaiki pengendalian internal.
Beberapa tahun belakang, Institute of Internal Auditors (IAA) telah mengenalkan
konsep dari CSA dan telah menyelenggarakan suatu sertifikasi resmi untuk mengakui internal
auditor yang memenuhi syarat sebagai pemimpin dari proses ini.
Benchmarking adalah teknik dari internal auditor yang merujuk kembali pada
perkembangan IIA melalui pembagian petunjuk original. Benchmarking merupakan praktik
internal audit yang lebih formal untuk nature secara umum. Ini merupakan proses yang
mengizinkan internal auditor untuk membandingkan bagaimana kesesuaian organisasi untuk
mencoba menerapkan dan mengeksekusi praktik umum. Ini seringkali menjadi internal audit
tools yang sangat berguna, dan auditor internal harus memiliki common of body knowledge
(CBOK) untuk mendesain dan melakukan latihan benchmarking yang sukses.

12.1 Pentingnya control self assessments

Metodologi CSA telah menjadi suatu alat bagi auditor internal dan lainnya untuk lebih
memahami lingkungan pengendalian internal bagi perusahaan. Pendekatan ini membutuhkan
internal auditor untuk menentukan tim khusus untuk menilai pengendalian internal tersebut.
CSA pertama kali dibentuk pada tahun 1987 oleh tim internal auditor di Gulf Canada
sebagai suatu alat untuk menilai efektivitas pengendalian internal mereka sebagaimana
dengan proses bisnis. Pada saat itu, Gulf Canada menghadapi legal consent decree requiring
it to report on its internal controls sebagaimana kesulitan dalam memecahkan isu pengukuran
di bidang minyak dan gas menggunakan penilaian audit tradisional. Grup internal auditor
Gulf Canada meluncurkan pendekatan a facilitated meeting self-assessment yang melibatkan
perkumpulan manajemen dan staf untuk melakukan diskusi, serta apabila terdapat isu terkait
pengendalian internal. Prosesnya menjadi CSA, mekanisme penilaian informal, sebagaimana
penilaian tradisional seperti saldo akuntansi.

12.2 Model CSA

CSA adalah sebuah proses yang didesain untuk membantu departemen di dalam
perusahaan untuk menilai dan mengevaluasi pengendalian internalnya. Dalam model CSA
dikatakan bahwa sebuah perusahaan harus mengimplementasikan tujuan pengendalian yang
kuat dan aktivitas pengendalian dengan tujuan untuk menciptakan lingkungan pengendalian
yang efektif. Dua elemen ini dikelilingi oleh sistem informasi dan komunikasi yang baik
sebagaimana proses penilaian resiko untuk memantau kinerja.
CSA adalah proses perbaikan berkelanjutan yang serupa dengan metode yang
dijelaskan dan digunakan oleh jaminan kualitas, sebagaimana dibahas dalam Bab 31. Konsep
ini meminta sebuah tim terbentuk dan memperbaiki lingkungan pengendalian mereka dengan
menetapkan tujuan dan sasaran kontrol tersebut, kemudian melakukan penilaian risiko untuk
lebih memahami yang ditunjuk mengendalikan risiko, menerapkan kegiatan pengendalian
untuk mengurangi risiko yang teridentifikasi, dan kemudian memantau kinerja kontrol yang
lebih baik. Ini adalah proses yang terus menerus dimana Tim CSA dapat mulai di kuadran
model 12,1 CSA Exhibit dan kemudian pindah ke fase berikutnya dengan cara searah jarum
jam.
CSA adalah proses penilaian kontrol yang bagi beberapa orang telah dilihat sebagai
lebih didekati daripada kerangka pengendalian internal COSO atau model COBIT Bab 6.
Sementara beberapa profesional bisnis, misalnya, melihat risiko pengendalian internal COSO
Proses penilaian terlalu tinggi dan sulit dipahami, CSA adalah sebuah pendekatan dimana
masing-masing departemen di perusahaan dapat bertemu secara formal, dalam kelompok
yang difasilitasi format, dan menilai risiko dan pengendalian internal di dalam departemen
masing-masing atau fungsi. Departemen audit internal telah menggunakan CSA sebagai
metode untuk auditor internal untuk lebih memikirkan bagaimana memperbaiki kontrol
internal mereka.

12.3 Launching The CSA Process

Proses CSA menilai dan memeriksa keefektifan proses pengendalian internal bukan
oleh tim luar seperti konsultan, atau bahkan auditor internal, tapi oleh orang-orang dari dalam
fungsi yang dinilai. Tujuan CSA adalah untuk memberikan keyakinan memadai bahwa
pengendalian internal yang baik tujuan bisnis akan terpenuhi. Konsep CSA membutuhkan
pengumpulan manajemen dan staf untuk wawancara untuk menilai lingkungan pengendalian
internal mereka - pengendalian diri - penilaian. Karena CSA mewajibkan semua orang untuk
berpartisipasi dalam sesi ini,
Dari manajer senior hingga staf, seringkali bekerja dengan baik saat seseorang berada
di luar departemen bertindak sebagai fasilitator. Sementara banyak orang dapat mengambil
peran fasilitator CSA ini, Audit internal seringkali merupakan kelompok kunci, ideal untuk
peran ini karena tinjauan pengendalian internalnya Latar Belakang. Fungsi audit kualitas
yang terpisah, seperti yang dibahas di Bab 31, seringkali dapat dilakukan menjadi bantuan
utama di sini karena banyak pendekatannya serupa dengan pendekatan model CSA.
Proses CSA bekerja dengan sangat baik ketika perusahaan memiliki beberapa unit
bisnis kontrol internal yang tidak sesuai persis dengan sisa operasi. Sebagai contoh,
asumsikan bahwa perusahaan memproduksi beberapa jenis peralatan produksi tanaman yang
digunakan oleh bisnis manufaktur lainnya. Juga diasumsikan bahwa ada produksi yang baik
dan kontrol internal produk untuk bisnis utama, namun karena ini adalah komponen bernilai
tinggi, pelanggan dapat mengembalikan barang jadi ini ke fasilitas pengerjaan ulang dari
waktu ke waktu waktu untuk meng-upgrade mereka ke versi baru.
Tinjauan CSA dapat sangat efektif, misalnya, ketika peninjauan proses pengendalian
internal sistem Enterprise Resource Planning (ERP) yang mencakup semua atau sebagian
besar aspek operasi. Contoh , pengerjaan ulang fasilitas menggunakan komponen IT ERP
hanya sebagian. Dalam ERP, satu sistem otomatis dasar meliputi akuntansi, sumber daya
manusia, produksi, pemasaran, dan lainnya. ERP mencakup banyak aspek di perusahaan, tapi
anggota fasilitas pengerjaan ulang contoh mungkin tidak sepenuhnya memahami semua
implikasi pengendalian internal dari semua penutup yang begitu besar sistem dan hasil
berbagai tindakan individu mereka.
 Melakukan Review CSA yang difasilitasi
Konsep dasar dibalik tinjauan CSA mengenai sistem pengendalian internal atau
prosesnya adalah mengatur sekelompok orang, di berbagai tingkat perusahaan dan dari
beberapa unit, dan kemudian secara kolektif mengumpulkan informasi lengkap tentang
pengendalian internal untuk itu sistem atau proses yang dipilih Idenya adalah memilih sampel
perwakilan pemangku kepentingan di seluruh perusahaan untuk bertemu dan mendiskusikan
operasi dan kontrol sistem yang dipilih. Contoh kami sebelumnya tentang fasilitas pengerjaan
ulang dalam operasi manufaktur adalah cocok di sini Seorang auditor internal atau spesialis
komunikasi lainnya harus melakukannya ditunjuk untuk memimpin lokakarya ini, diskusi
utama, dan membantu menarik kesimpulan.
Lokakarya tim yang difasilitasi mengumpulkan informasi dari tim kerja yang
mewakili tingkat yang berbeda dalam unit usaha atau fungsi. Format bengkel mungkin
berdasarkan tujuan, risiko, kontrol, atau proses. Masing-masing memiliki kelebihan yang
berbeda tergantung pada area kontrol internal yang ditinjau. Asumsikan sebagai contoh
bahwa perusahaan telah memasang sistem ERP komprehensif dan besar yang mencakup
banyak operasional utama daerah. Manajemen telah meminta penilaian risiko pengendalian
internal atas hal ini aplikasi utama Karena sistem ERP mencakup banyak aspek operasi
bisnis, sebuah keputusan dibuat untuk meninjau kontrol sistem melalui serangkaian pengguna
kelompok focus berkumpul untuk membahas dan meninjau kembali operasi sistem. Tinjauan
CSA harus dikembangkan menjadi rencana perusahaan CSA. Berdasarkan ekstensif Materi
CSA yang diterbitkan, sesi CSA yang difasilitasi dapat mengikuti salah satu dari empat
format pertemuan :
1. Objektif berbasis sesi CSA-difasilitasi.
Sesi ini berfokus pada upaya pencapaian tujuan bisnis, seperti pelaporan keuangan
yang akurat. Lokakarya dimulai dengan tim yang mengidentifikasi kontrol yang ada saat ini
untuk mendukung tujuan sistem dan kemudian menentukan sisa risiko yang tersisa jika
control tidak bekerja. Tujuan dari format workshop ini adalah untuk memutuskan apakah
pengendaliannya prosedur bekerja secara efektif dan risiko yang tersisa ada di dalam tingkat
yang dapat diterima. Sesi jenis ini bisa dimulai oleh fasilitator yang menanyakan peserta
untuk mengidentifikasi lingkungan kontrol kelompok mereka, menekankan area tersebut di
lingkungan kontrol sebagai :
a. Kesadaran kontrol perusahaan
b. Sejauh mana karyawan berkomitmen untuk melakukan apa yang benar atau
melakukannya jalan yang benar
c. Berbagai faktor yang mencakup kompetensi teknis dan komitmen etis
d. Faktor tak berwujud yang seringkali penting untuk pengendalian internal yang efektif
2. Sesi yang difasilitasi oleh CSA berbasis risiko.
Sesi ini berfokus pada tim CSA mencatat risiko untuk mencapai tujuan pengendalian
internal. Lokakarya dimulai dengan daftar semua rintangan, rintangan, ancaman, dan
eksposur yang mungkin bisa mencegah pencapaian sebuah tujuan dan kemudian memeriksa
prosedur pengendalian untuk menentukan apakah data tersebut memadai untuk mengelola
risiko kunci yang teridentifikasi. Tujuan dari workshop ini adalah untuk menentukan risiko
residu yang signifikan Format ini membawa tim kerja melalui keseluruhan rangkaian tujuan,
risiko, dan kontrol seputar entitas yang ditinjau. Ini akan mengikuti dengan diskusi berbasis
risiko dimana tim diminta untuk mengidentifikasi risiko mereka melalui pertanyaan seperti:
a. Apa yang salah?
b. Aset apa yang perlu kita lindungi?
c. Bagaimana bisa seseorang mencuri dari kita?
d. Apa eksposur legal terbesar kami?
Sesi akan mencoba mengidentifikasi risiko signifikan di departemen, aktivitas, atau tingkat
proses Untuk setiap risiko yang teridentifikasi, kelompok harus mendiskusikan kemungkinan
potensial tersebut kejadian dan dampak potensial. Mereka berisiko dengan kemungkinan
yang masuk akal kejadian dan dampak potensial yang besar akan diidentifikasi sebagai
signifikan.
3. Sesi yang difasilitasi oleh CSA.
Sesi ini berfokus pada seberapa baik kontrol di tempat bekerja. Format ini berbeda
dengan dua sesi sebelumnya karena fasilitator mengidentifikasi risiko dan kontrol utama
sebelum permulaan bengkel. Selama sesi CSA, tim kerja menilai seberapa baik kontrolnya
mengurangi risiko dan mendorong tercapainya tujuan. Tujuan dari workshop ini adalah untuk
menghasilkan analisis kesenjangan antara bagaimana kontrol bekerja dan bagaimana
manajemen yang baik mengharapkan kontrol tersebut untuk bekerja.
4. Proses berbasis sesi CSA-difasilitasi.
Sesi ini berfokus pada kegiatan yang dipilih yaitu elemen rantai proses. Proses adalah
serangkaian aktivitas yang berhubungan yang pergi dari beberapa titik awal sampai akhir,
seperti berbagai langkah dalam pembelian, pengembangan produk, atau pembuatan
pendapatan. Jenis bengkel ini biasanya mencakup identifikasi tujuan keseluruhan proses dan
berbagai intermediate tangga. Tujuan dari lokakarya ini adalah untuk mengevaluasi,
memperbarui, memvalidasi, memperbaiki, dan bahkan merampingkan keseluruhan proses
dan aktivitas komponennya. Format sesi ini mungkin memiliki analisis yang lebih luas
daripada pendekatan berbasis kontrol dengan melipat banyak tujuan dalam proses dan dengan
mendukung usaha pengelolaan bersamaan, semacam itu sebagai reengineering, peningkatan
kualitas, dan inisiatif perbaikan berkelanjutan.
Masing-masing format ini bisa efektif untuk mengembangkan dan memahami
keduanya dan kontrol lunak2 dalam suatu fungsi serta risiko seputar internal yang signifikan
proses kontrol Kunci sukses di sini adalah memiliki pengetahuan dan persiapan fasilitator
pertemuan mengajukan pertanyaan yang sesuai dan meminta semua anggota tim yang dipilih
ikut. Kunci utama lainnya adalah mengambil transkrip rinci dari sesi pertemuan.
Meskipun tidak setiap kata yang diucapkan harus dicatat, diperlukan sorotan
pertemuan yang kuat. Merekam titik diskusi utama pada bantalan besar di bagian depan
ruangan sering bekerja dengan baik. Sementara fasilitator adalah pendorong utama di sini,
sesi CSA dapat dengan mudah berubah menjadi bencana dengan campuran orang yang salah.
Pemangku kepentingan tingkat rendah mungkin merasa enggan untuk berdiskusi Kendalikan
kelemahan jika orang yang lebih senior ada di sesi. Komentar tentang Risiko atau kelemahan
pengendalian bisa menjadi sangat pribadi jika beberapa anggota tim memiliki tanggung
jawab utama untuk sistem atau proses yang dibahas. Terlepas dari semua ini, CSA Proses
bisa menjadi alat yang sangat berharga, jika mahal, untuk melihat sistem yang komprehensif
atau proses dari berbagai perspektif dan untuk memahami kelemahan pengendalian internal.
Melakukan Tinjauan CSA Berbasis Kuesioner
Dalam banyak kasus, format kuesioner dapat menjadi cara yang efektif untuk
mengumpulkan informasi kontrol internal. Kuesioner disiapkan yang mencakup proses atau
sistem kepentingan dan kemudian didistribusikan ke kelompok pemangku kepentingan
terpilih untuk memperoleh pemahaman tentang risiko dan kontrol di bidang yang diminati.
Kuesioner Fungsi Spesifik CSA: Perencanaan dan Penganggaran
Pertanyaan-pertanyaan ini dapat digunakan untuk tinjauan CSA tentang proses
perencanaan dan penganggaran:
1. Apakah Anda memastikan bahwa anggaran yang diselesaikan konsisten dengan rencana
strategis perusahaan?
2. Apakah ada kebijakan dan prosedur untuk menghindari pengeluaran yang terlalu rendah?
3. Apakah Anda menyelidiki semua varians antara pengeluaran aktual dan jumlah yang
dianggarkan, dan, untuk semua varians, apakah diperlukan penjelasan?
4. Apakah Anda memastikan bahwa anggaran nasional dan semua revisi yang disetujui
didokumentasikan dan disetujui dengan benar?
5. Sudahkah Anda menugaskan seseorang untuk menerima semua informasi tentang
perubahan pada perusahaan yang dapat mempengaruhi anggaran?
6. Apakah prosedur persiapan anggaran (termasuk persyaratan tingkat persetujuan)
sepenuhnya didokumentasikan, dan apakah itu didistribusikan kepada semua manajemen
yang terlibat dalam proses anggaran?
7. Apakah ada prosedur untuk memberikan informasi yang memadai kepada manajemen
departemen untuk digunakan dalam mengembangkan anggaran?
8. Apakah Anda memantau tren pengeluaran jangka pendek dan jangka panjang?
9. Apakah metode perhitungan untuk pengeluaran (termasuk kategori baru) dijelaskan
dengan memadai?
10. Apakah Anda memastikan bahwa departemen diberi waktu yang cukup untuk
menyelesaikan dan menyerahkan anggaran mereka?
11. Sudahkah Anda mengidentifikasi satu orang dalam setiap departemen yang memiliki
tanggung jawab untuk menyelesaikan anggaran, dan apakah bantuan diberikan sesuai
kebutuhan?
12. Apakah Anda memberi tahu departemen tentang biaya apa dan bagaimana yang akan
dibebankan untuk akuisisi atau operasi dibuang?
13. Apakah ada prosedur untuk memastikan bahwa sejumlah individu yang berwenang
memiliki akses ke anggaran dan bahwa setiap penambahan, perubahan, dan penghapusan
disetujui dan dilacak? Jika anggaran online, apakah semua transaksi diidentifikasi
berdasarkan ID pengguna, tanggal, dan jenis transaksi?
14. Apakah Anda meninjau anggaran awal dan mengidentifikasi area-area dari kemungkinan
pengurangan biaya?
15. Apakah ada prosedur untuk mengidentifikasi departemen yang secara konsisten
mengeluarkan pengeluaran besar pada akhir tahun untuk membuat biaya aktual sesuai
anggaran?
16. Apakah ada prosedur untuk menangani perkiraan uang tunai?
17. Apakah Anda memantau dan meminta persetujuan untuk semua pengeluaran modal?
18. Sudahkah Anda mengidentifikasi semua dokumentasi yang diperlukan departemen ketika
mengirimkan angka untuk anggaran, pengembalian atas investasi, dll.?
19. Apakah Anda memantau gangguan proyek untuk memastikan bahwa proyek besar tidak
dipecah menjadi proyek yang lebih kecil untuk menghindari persyaratan persetujuan?

Melakukan Analisis Yang Diproduksi Manajemen-Tinjauan CSA

Sebagai alternatif survei atau lokakarya yang difasilitasi, analisis yang dihasilkan
manajemen sangat mirip dengan jenis tinjauan operasional yang akan dilakukan oleh auditor
internal. Ini adalah salah satu dari tiga pendekatan analisis CSA yang disarankan oleh IIA, di
mana manajemen menghasilkan studi staf tentang proses bisnis — hampir studi penelitian.
Spesialis CSA, yang mungkin merupakan auditor internal, menggabungkan hasil penelitian
dengan informasi yang dikumpulkan dari sumber, seperti manajer lain dan personel kunci.
Dengan mensintesis bahan ini, spesialis CSA mengembangkan analisis yang dapat digunakan
pemilik proses dalam upaya CSA mereka.
IIA percaya semua format yang dibahas di sini memperkuat struktur kontrol entitas.
Setiap entitas harus melakukan analisis peluang atau ancaman eksternal serta kekuatan dan
kelemahan internal untuk menentukan format mana yang paling tepat dalam perusahaan.
Banyak pengguna CSA menggabungkan satu atau lebih format dalam pertemuan yang
difasilitasi untuk memenuhi kebutuhan mereka.

12.4 EVALUASI HASIL CSA

Analisis CSA, terutama jika mencakup beberapa proses atau sistem, akan
menghasilkan sejumlah besar data. Hasil tinjauan CSA akan serupa dengan tinjauan COSO
atas kontrol akuntansi internal — metode yang disiplin dan menyeluruh untuk mengevaluasi
kontrol internal yang signifikan. Ini juga bisa menjadi langkah awal yang baik untuk
meluncurkan analisis SOx Section 404. CSA menyediakan cara bagi pengulas untuk
mendapatkan pemahaman yang lebih baik tentang banyak kontrol lunak yang mengelilingi
banyak proses atau sistem. Dokumentasi yang dipublikasikan atau wawancara tinjauan
kontrol terfokus dapat mengindikasikan bahwa ada beberapa kontrol.
CSA diperkenalkan ke komunitas audit internal pada akhir 1980-an dan kemudian
dianut oleh IIA. Banyak perusahaan sektor swasta di seluruh dunia telah memprakarsai
program-program CSA yang sukses, dan beberapa pemerintah negara bagian di Amerika
Serikat mulai membutuhkan penilaian kontrol internal yang berorientasi CSA. Untuk
mendukung proses CSA, IIA telah meluncurkan sertifikasi khusus, Sertifikasi dalam Kontrol
Penilaian Diri (CCSA). Sertifikat berbasis pemeriksaan ini dirancang untuk meningkatkan
kepercayaan manajemen senior terhadap pemahaman, pengetahuan, dan pelatihan pengulas
dalam proses CSA. Sertifikat CCSA dan persyaratannya, serta sertifikasi profesional audit
internal lainnya. IIA percaya bahwa proses CSA secara efektif menambah profesi audit
internal. Salah satu tanggung jawab utama dewan dan pejabat dari setiap perusahaan adalah
memberikan jaminan pemangku kepentingan melalui pengawasan kegiatan perusahaan.
Melalui CSA, staf audit dan operasional internal dapat berkolaborasi untuk menghasilkan
penilaian kontrol internal dalam suatu operasi. Sinergi ini membantu audit internal untuk
membantu fungsi pengawasan manajemen dengan meningkatkan kuantitas dan kualitas
informasi yang tersedia.
12.5 BENCHMARKING DAN AUDIT INTERNAL
Benchmarking adalah salah satu konsep profesional yang sering disalahgunakan.
Artinya, sering kali mudah bagi seorang profesional untuk mengatakan, "Kami membuat
tolok ukur proses itu," ketika seorang auditor internal mengajukan beberapa pertanyaan
terkait proses. Benchmarking adalah “praktik terbaik di mana perusahaan mengevaluasi
berbagai aspek dari prosesnya sendiri terkait dengan praktik terkait, biasanya di dalam
perusahaan rekan mereka yang lain. Setelah analisis dan perbandingan seperti itu, suatu
perusahaan dapat mengembangkan rencana tentang cara mengadopsi praktik terbaik lainnya,
biasanya dengan tujuan meningkatkan beberapa aspek kinerja. Benchmarking kadang-kadang
bisa menjadi peristiwa satu kali, tetapi sering diperlakukan sebagai proses yang berkelanjutan
di mana perusahaan terus berupaya untuk menantang dan meningkatkan praktiknya.
Benchmarking dapat menjadi alat manajemen yang kuat karena mengatasi apa yang
oleh beberapa konsultan disebut "paradigma kebutaan." Ini adalah cara berpikir di sepanjang
garis "cara kita melakukannya adalah yang terbaik karena ini adalah cara kita selalu
melakukannya. ”Perbandingan dapat membuka usaha pada metode, gagasan, dan alat baru
untuk meningkatkan efektivitasnya. Pendekatan perbandingan penting bagi auditor internal
dari dua perspektif.
1. Penggunaan tolok ukur dapat menjadi rekomendasi audit internal yang sangat kuat ketika
meninjau operasi di beberapa area. Auditor internal sering mengamati kelemahan kontrol
internal yang jelas di beberapa area, tetapi mungkin tidak memiliki kedalaman di suatu
area untuk membuat rekomendasi peningkatan kontrol internal yang komprehensif.
2. Auditor internal juga perlu membuat tolok ukur untuk meningkatkan praktik audit internal
mereka sendiri. IIA telah mempromosikan konsep "Kemajuan melalui Berbagi" untuk
meningkatkan praktik audit internal sejak didirikan pada akhir 1940-an.

Menerapkan Tolok Ukur untuk Meningkatkan Proses

Tidak ada prosedur profesional standar yang diterima untuk meluncurkan proses
benchmarking audit internal. Karena itu, ada banyak variasi dari apa yang oleh para
profesional disebut sebagai perbandingan. Langkah-langkah berikut menjelaskan bagaimana
penulis ini meluncurkan studi perbandingan yang berhasil untuk unit majikannya beberapa
tahun yang lalu. Kami akan menjelaskan langkah-langkah yang diperlukan untuk
meluncurkan tolok ukur dari perspektif proyek penulis ini. Tindakan penulis dijelaskan
menggunakan kata kami, tetapi poin-poin ini harus berlaku untuk semua auditor internal yang
bertindak sebagai konsultan internal dan tim yang meluncurkan studi benchmarking.
1. Tetapkan tujuan dari studi perbandingan. Kedengarannya hampir jelas, tetapi langkah
pertama adalah menentukan apa yang ingin dipelajari oleh auditor internal dari latihan
benchmarking.
2. Tetapkan serangkaian mitra potensial yang mungkin bersedia untuk berpartisipasi. Dalam
hal ini, kami menyadari melalui pertemuan profesional dan publikasi perusahaan lain yang
melakukan hal serupa. Ini adalah langkah perencanaan perbandingan penting. Terlalu
banyak mitra mungkin sulit untuk dikelola, tetapi terlalu sedikit mungkin tidak
memberikan banyak informasi representatif.
3. Kembangkan tujuan dan sasaran spesifik untuk studi tolok ukur apa yang ingin kita
 pelajari? Langkah ini mendefinisikan apa yang ingin kita pelajari dari pelajaran kita.
Karena waktu dan logistik biasanya akan mencegah kunjungan langsung, banyak
informasi kami akan datang dari tanggapan terhadap kuesioner, dengan tindak lanjut
melalui telepon nanti.
4. Bersihkan masalah hukum dan kerahasiaan. Dalam studi tolok ukur, kami akan meminta
perusahaan lain untuk memberi kami beberapa informasi perusahaan yang berpotensi
rahasia, dan dengan mengajukan pertanyaan ini kami mengakui bahwa kami mungkin
memiliki defisit di area yang kami tinjau.
5. Hubungi mitra perbandingan potensial. Setelah semua pekerjaan pendahuluan, kita harus
menghubungi calon peserta untuk penelitian. Ini sering bekerja paling baik ketika kontak
pribadi profesional telah dibangun.
6. Kumpulkan informasi benchmarking. Ini adalah langkah di mana kami mengumpulkan
data tolok ukur kami dari setiap peserta.
7. Kumpulkan dan gosok hasil. Setelah kami menyelesaikan survei tolok ukur kami — harus
dilakukan kehati-hatian untuk tidak menarik terlalu banyak perio — informasi survei harus
dikumpulkan dan ditinjau untuk menjawab pertanyaan kami. Setiap informasi yang
berpotensi rahasia mengenai nama dan identitas perusahaan lain harus dihapus atau
dihapus.
8. Publikasikan hasil benchmarking dan buat perubahan, yang sesuai. Seluruh tujuan dari
setiap studi perbandingan adalah untuk melihat apa yang dilakukan orang lain sebagai
praktik terbaik dalam bidang yang diminati.

Pembandingan dan Inisiatif GAIN IIA

Sementara itu merupakan pendekatan yang tepat, IIA memutuskan untuk
memformalkan lebih baik melalui forum benchmark GAIN yang sebelumnya dirujuk.
Pertama kali didirikan oleh IIA pada tahun 1992, GAIN tidak menerima banyak perhatian
dan telah diformalkan dengan lebih baik dalam beberapa tahun terakhir. GAIN IIA adalah
forum pertukaran pengetahuan untuk :
● Bagikan, bandingkan, dan validasikan praktik audit internal
● Jaringan dengan fungsi audit internal lainnya
● Belajar dari tantangan dan solusi rekan audit internal
● Dapatkan praktik audit internal terkemuka dari organisasi top
● Meningkatkan efektivitas dan efisiensi operasional audit internal

Sebagai inisiatif IIA yang terpisah, konferensi GAIN menerbitkan studi perbandingan
yang luas dan komprehensif mengenai kegiatan audit internal pada skala global. Inisiatif
GAA IIA meminta fungsi audit internal anggotanya untuk mendaftar dan mengisi kuesioner
yang cukup terperinci tentang fungsi audit internal mereka.
Setelah menyelesaikan kuesioner fungsi audit internal, data respons ini divalidasi dan
ditambahkan ke database Studi Benchmarking GAIN Tahunan. Dari sebuah jawaban fungsi
internal dan jawaban kelompok audit internal serupa lainnya, beragam laporan tolok ukur
audit internal yang unik tersedia melalui GAIN yang mencerminkan kegiatan audit internal
berbeda dengan rekan-rekannya. Sementara berbagai macam disesuaikan laporan tersedia
spesifik untuk pengelompokan industri dan atribut lainnya, GAIN menerbitkan sebuah
laporan benchmarking audit internal tahunan yang benar-benar memberikan fungsi audit
internal pemahaman tentang apa yang mereka lakukan berbeda dengan fungsi internal rekan
mereka. Laporan tahunan ini tersedia untuk pembelian melalui IIA. Gambar 12.4 pada buku
Brink’s modern adalah sampel tabel survei tolok ukur konten GAIN tahunan. Ada banyak hal
baik data benchmarking audit internal yang berharga di sini, dan CAE harus menggunakan
data ini untuk lebih memahami bagaimana fungsi audit internalnya berbeda dengan orang
lain. Satu Namun, area yang agak mengejutkan adalah kurangnya data perbandingan yang
dikumpulkan seputar masalah dan praktik audit TI.
GAIN tampaknya tidak cukup memberi membandingkan perhatian ke area yang
sangat penting. Fungsi GAIN IIA juga melakukan berbagai macam apa yang disebut IIA
Flash Survei. Sebagai contoh, mereka akan memilih kelompok audit internal yang
berpartisipasi misalnya, jika mereka menggunakan alat otomatis atau manual untuk
mengembangkan dan menghasilkan laporan audit internal mereka. Survei-survei ini
umumnya terbatas pada sekitar 300 hingga 400 tanggapan dan berikan beberapa jawaban
dasar ya-atau-tidak pada pertanyaan. Fungsi GAA IIA telah berjalan jauh dalam
memungkinkan auditor internal untuk lebih memahami apa yang dilakukan rekan-rekan
mereka sebagai bagian dari praktik audit internal mereka. Itu tanggapan terhadap kuesioner
GAIN hanya sebaik atau seakurat audit internal fungsi dengan data fungsi yang dimasukkan.
Namun, data GAIN ini memberikan gambaran umum tentang banyak praktik yang penting
bagi semua auditor internal. CAE harus kuat pertimbangkan untuk mendaftar dalam survei
dan studi tolok ukur GAIN. Ini luar biasa cara untuk fungsi internal serta staf audit internal
secara keseluruhan untuk memahami bidang yang ditekankan oleh auditor internal lainnya.
Ini benar-benar meningkatkan berbagi informasi di antara auditor internal.

12.6 BETTER UNDERSTANDING INTERNAL AUDIT ACTIVITIES

Bab ini telah memperkenalkan dua alat auditor internal yang penting: kontrol
penilaian mandiri dan perbandingan. CSA mengatakan bahwa daripada auditor internal yang
melakukan tinjauan formal di beberapa bidang, audit internal seringkali dapat memberikan
nilai keseluruhan bagi semua pihak dengan mempromosikan konsep penilaian diri kontrol ini.
Meskipun tidak sesuai dalam beberapa area, pendekatan ini mendorong auditor internal untuk
bertindak sebagai konsultan internal dan untuk memimpin upaya dalam perusahaan mereka
sendiri untuk mendorong tim garis depan untuk melihat kontrol internal mereka sendiri dan
untuk mengimplementasikan peningkatan. Ini bisa menjadi alat yang sangat efektif di banyak
tingkatan, dan auditor internal harus memiliki CBOK yang memahami cara melakukannya
meluncurkan kontrol proses penilaian.
Pemahaman tentang proses CSA dan tolok ukur auditor internal adalah persyaratan
CBOK auditor internal yang penting. Seperti yang dibahas, benchmarking adalah salah
satunya istilah-istilah yang terlalu sering digunakan tanpa pemahaman yang lengkap tentang
proses. Auditor internal harus memiliki pemahaman CBOK dasar tentang CSA dan proses
benchmarking, apakah menggunakannya untuk mendapatkan informasi praktik terbaik dari
yang lain.Fungsi audit internal atau berfungsi sebagai konsultan perusahaan untuk membantu
personel perusahaan meluncurkan studi tolok ukur sendiri.