MAKALAH

“Conducting the Assurance Engagement”

Untuk memenuhi salah satu tugas dari mata kuliah Internal Audit
Dosen: Bunga Indah Bayunitri, S.E., M.M., A.k., CA

Disusun Oleh:
Susi Susanthi (0117104024)

FAKULTAS EKONOMI
JURUSAN AKUNTANSI B REG B
UNIVERSITAS WIDYATAMA
BANDUNG
2020
 KATA PENGANTAR

Puji syukur kami panjatkan kehadiran Tuhan yang Maha Esa karena atas rahmat dan
karunianya kami dapat menyelesaikan makalah “Conducting the Assurance Engagement” ini
tepat pada waktunya .
            Adapun tujuan dari pembuatan makalah ini adalah untuk memenuhi tugas dari mata
kuliah Internal Audit.
Semoga makalah ini dapat memberikan informasi kepada pembaca. Kami
mengucapkan terimaksih kepada semua pihak yang telah membantu dan mendukung dalam
penulisan makalah ini dan kami menyadari bahwa penulisan makalah ini masih jauh dari
sempurna, oleh sebab itu kritik dan saran yang membangun dari semua pihak dapat
menyempurnakan makalah ini.

Bandung, April 2020

Penulis

ii
 Daftar Isi

Halaman
KATA PENGANTAR.........................................................................................................ii
DAFTAR ISI.......................................................................................................................iii
BAB I PENDAHULUAN...................................................................................................1
I.a Latar Belakang...................................................................................................1
I.b Rumusan Masalah..............................................................................................1
I.c Tujuan Penulisan................................................................................................1
BAB II PEMBAHASAN.....................................................................................................3
II.a Tujuan Keterlibatan dan Menentukan Ruang Lingkup.....................................3
II.b Pemahaman Audit.............................................................................................5
II.c Resiko Identifikasi dan Penilaian......................................................................9
II.d Identifikasi Kunci Kontrol................................................................................13
II.e Evaluasi Kecepatan Pengendalian Rancangan .................................................14
II.f Membuat Rencana Uji......................................................................................16
II.g Mengembangkan Program Kerja......................................................................17
II.h Alokasi Sumber Daya Untuk Keterikatan........................................................18
II.i Evaluasi Bukti Yang Dikumpulkan dan Mencapai Kesimpulan.......................20
BAB III KESIMPULAN.....................................................................................................21
DAFTAR PUSTAKA..........................................................................................................23

iii
 BAB I
PENDAHULUAN

I.a Latar Belakang

Pada BAB ini menjelaskan berbagai langkah yang diperlukan untuk melakukan
keterlibatan jaminan yang berfokus pada kontrol. Secara khusus, seperti yang digambarkan
dalam Exhbit 13-2, akan mempelajari langkah-langkah kunci yang diperlukan untuk
merencanakan dan melakukan keterlibatan jaminan.
Bagian pertama dari bab ini berfokus pada langkah-langkah perencanaan. Ini adalah
dibahas secara mendalam karena perencanaan yang efektif merupakan bagian integral
melakukan pertunangan yang sukses. Menjalankan langkah-langkah ini menyediakan
keyakinan bahwa pertunangan akan (1) komprehensif, (2) selaras dengan tujuan organisasi,
dan (3) mendukung audit internal piagam fungsi.
Perencanaan adalah tahap pertama dari perikatan jaminan dan melibatkan beberapa
langkah. Mengacu pada Exhbit 13-4 untuk daftar langkah-langkah spesifik ini, masing-
masing yang akan dibahas secara lebih rinci.

I.b Rumusan Masalah

Adapun masalah yang ditinjau dan dianalisis adalah antara lain:

1. Apa Tujuan Menentukan Keterlibatan dan Ruang Lingkup ?

2. Bagaimana Cara Memahami Audit ?
3. Bagaimana Mengidentifikasi Resiko Akses?
4. Bagaimana Mengidentifikasi Kunci Kontrol?
5. Bagaimana Mengevaluasi Kecepatan Pengendalian Rancangan?
6. Bagaimana Membuat Rencana Uji?
7. Bagaimana Mengembangkan Program Kerja?
8. Bagaimana Mengalokasi Sumber Daya untuk Jaminan?
9. Bagaimana Mengevaluasi Bukti yang Dikumpulkan dan Mencapai Kesimpulan?

I.c Tujuan Penulisan

1. Mendeskripsikan Tujuan Keterlibatan dan Ruang Lingkup

2. Menjelaskan Pemahaman Audit

1
3. Mendeskripsikan Pengidentifikasi Resiko Akses

4. Mendeskripsikan Kunci Kontrol

5. Mendeskripsikan Evaluasi Kecepatan Pengendalian Rencana

6. Menjelaskan Membuat Rencana Uji

7. Mengdeskripsikan Pengembangan Program Kerja

8. Mendeskripsikan Pengalokasian Sumber Daya untuk Jaminan

9. Menjelaskan Pengevaluasian Bukti yang dikumpulkan dan Mencapai Kesimpulan

2
 BAB II

PEMBAHASAN

II.a Tujuan Keterlibatan dan Menentukan Ruang Lingkup

Alasan Melakukan Jaminan

 Keterlibatan diidentifikasi dalam rencana audit internal karena risiko yang melekat
diidentifikasi selama penilaian risiko bisnis proses, risiko terdeteksi terakhir kali area
diaudit, dan lainnya faktor yang relevan. Untuk perikatan ini, auditor internal harus
memahami apa yang mendasari risiko bisnis yang menyebabkan perikatan untuk
dimasukkan dalam rencana, dan kemudian merancang rencana keterlibatan untuk
memberikan jaminan yang sesuai mengenai kecukupan desain dan efektivitas operasi
kontrol yang diterapkan untuk memitigasi risiko-risiko itu.
 Keterlibatan adalah bagian dari persyaratan tahunan untuk mengevaluasi sistem kontrol
internal organisasi untuk pelaporan eksternal tujuan, seperti US Sarbanes-Oxley Act of
2002 Section 404 persyaratan di Amerika Serikat dan pelaporan keuangan serupa
hukum di negara lain. Untuk perikatan ini, auditor internal harus memastikan bahwa
perikatan dirancang untuk menguji area dicakup oleh peraturan yang mendasari
(misalnya, berikan jaminan mengenai kecukupan desain dan efektivitas operasi kontrol
internal atas pelaporan keuangan).
 Peristiwa baru-baru ini (misalnya, bencana alam, penipuan, atau pelanggan
kebangkrutan) telah menguji proses dalam keadaan yang tidak biasa dan manajemen
menginginkan "post mortem" untuk menentukan di mana proses itu efektif dan di mana
tidak. Untuk keterlibatan ini, auditor internal harus menyesuaikan pengujian dan
evaluasi di sekitar peristiwa spesifik yang terjadi.
 Perubahan dalam bisnis atau industri memerlukan segera modifikasi pada proses dan
keinginan manajemen yang cepat validasi bahwa modifikasi ini tampaknya dirancang
tepat untuk mengatasi perubahan. Untuk keterlibatan ini, the fungsi audit internal dapat

3
 melakukan audit fokus penuh atau mereka mungkin ruang untuk fokus hanya pada
kontrol yang berubah.

Menetapkan Tujuan Keterlibatan

Tujuan-tujuan ini, yang biasanya dinyatakan dalam komunikasi keterlibatan jaminan

akhir, mengartikulasikan secara spesifik apa yang ingin dicapai oleh pertunangan. Sementara
tujuan dapat dinyatakan dalam berbagai cara, itu harus jelas jaminan apa yang akan diberikan
pertunangan. Misalnya tujuan bisa mulai dengan frasa berikut (kata kerja yang berbeda dapat
diganti dengan yang digunakan dalam contoh ini):
• Mengevaluasi kecukupan desain ...
• Menentukan efektivitas operasi ...
• Menilai kepatuhan dengan ...
• Menentukan efektivitas dan efisiensi ...
• Mengevaluasi keakuratan ...
• Menilai pencapaian ...
• Menentukan kinerja ...
kecukupan desain dan efektivitas operasi dari kontrol yang ada

Lingkup Jaminan

Ruang lingkup keterlibatan harus ditentukan. Karena jaminan mungkin tidak

mencakup segala sesuatu yang dapat diaudit terkait dengan tujuan keterlibatan, pernyataan
ruang lingkup harus secara khusus menyatakan apa yang termasuk atau tidak dalam
pertunangan. Pernyataan ruang lingkup tersebut dapat meliputi:
 Batas proses. Sementara beberapa proses kecil dan mandiri, banyak yang sangat luas
dan tumpang tindih dengan yang lain proses. Oleh karena itu, penting untuk
menentukan pada titik apa dalam proses pertunangan akan dimulai (misalnya, input
awal dari transaksi atau proses lain) dan di mana akan berakhir (untuk contoh,
laporan, laporan keuangan, atau output ke yang lain proses).
 Lokasi dalam lingkup versus di luar ruang lingkup. Untuk proses itu mencakup
beberapa lokasi, hanya beberapa lokasi tersebut yang mungkin termasuk dalam
pertunangan.

4
  Subproses. Proses yang lebih besar dapat terdiri dari serangkaian subproses
(misalnya, proses pencairan kas dapat termasuk pencocokan faktur dan validasi, input
pencairan, dan subproses pemrosesan pembayaran).
 Komponen. Bagian tertentu, atau komponen, dari suatu proses mungkin dihilangkan.
Misalnya, jika aplikasi komputer yang mendukung a proses diaudit relatif baru, terkait
kontrol manual untuk proses itu dapat dimasukkan dalam ruang lingkup, sedangkan
otomatis kontrol tidak.
 Kerangka waktu. Perikatan dapat mencakup satu tahun kalender, the 12 bulan
sebelumnya, titik waktu tertentu (misalnya, pada 31 Desember), atau kerangka waktu
lainnya.

II.b Pemahaman Audit

Menentukan Tujuan Audit
 Sasaran operasi adalah jenis sasaran yang paling umum di tingkat proses dan biasanya
menentukan alasan proses itu ada. Ini tujuan biasanya adalah tata kelola atau
berorientasi pada tugas, dan sebagai hasilnya, sering fokus pada akurasi, ketepatan
waktu, kelengkapan, atau kontrol atribut.
 Tujuan pelaporan di tingkat proses adalah tujuan yang dirancang untuk dipenuhi
kebutuhan pelaporan organisasi, baik internal maupun eksternal.
 Sasaran kepatuhan di tingkat proses mungkin terkait dengan kepatuhan dengan hukum
dan peraturan eksternal (definisi COSO), internal kebijakan, atau kontrak (termasuk
dalam definisi The IIA bersama dengan hukum dan peraturan eksternal).
 Tujuan lain juga dapat dibuat untuk proses spesifik terkait inisiatif masing-masing
departemen.

Mengumpulkan Informasi

Ada banyak cara untuk mengumpulkan informasi tentang suatu proses. Itu auditor
internal harus mempertimbangkan berbagai jenis dan sumber dengan mudah informasi
relevan yang tersedia. Selain itu, analisis data dan kontrol tingkat entitas dapat membantu
memberikan wawasan tambahan ke dalam suatu proses.

Jenis dan Informasi yang Relevan

5
 Titik awal untuk memahami suatu proses adalah meninjau dokumentasi yang sudah
ada. Misalnya, berikut ini mungkin tersedia dari pemilik proses atau orang lain yang akrab
dengan proses itu dapat memberikan informasi yang berguna mengenai cara kerja proses:
• Kebijakan yang berkaitan dengan proses.
• Prosedur manual.
• Bagan organisasi atau informasi serupa yang menguraikan jumlah
karyawan dan hubungan pelaporan utama.
• Deskripsi pekerjaan untuk orang yang terlibat dalam proses.
• Peta proses atau diagram alur yang menggambarkan keseluruhan aliran proses.
• Deskripsi naratif tentang tugas-tugas utama atau bagian dari proses.
• Salinan kontrak kunci dengan pelanggan, vendor, outsourcing mitra, dll.
• Informasi yang relevan tentang hukum dan peraturan yang mempengaruhi proses.
• Dokumentasi lain yang mungkin dikembangkan untuk mendukung wajib melaporkan
efektivitas sistem internal kontrol.

Prosedur Analitik

Prosedur analitis adalah salah satu cara auditor internal melakukan tingkat tinggi
penilaian yang dapat mengungkapkan kegiatan proses yang membutuhkan lebih dekat
perhatian dan, karenanya, pengujian lebih rinci. Prosedur analitik melibatkan peninjauan dan
evaluasi yang ada informasi, yang dapat berupa finansial atau nonkeuangan, untuk
menentukan apakah itu konsisten dengan harapan yang telah ditentukan.
Contoh Pembelian : Untuk audit pengeluaran kas, ini analisis dapat mencakup salah satu
atau semua hal berikut ini:
■ Perbandingan informasi keuangan dengan periode sebelumnya, untuk contoh, tren saldo
hutang dagang dari seperempat selanjutnya.
■ Analisis rasio, misalnya, rasio lancar (aset lancar dibagi oleh kewajiban lancar) dan
perputaran hutang (biaya sebesar barang yang dijual dibagi dengan hutang dagang).
■ Perbandingan informasi keuangan atau non finansial terhadap informasi yang dianggarkan,
misalnya, saldo kas aktual versus jumlah uang yang diperkirakan.

Penggunaan Data Analisis

6
Analisis Data Menggunakan Audit Berbantuan Komputer

Analisis data melibatkan pengumpulan dan analisis sejumlah besar data, biasanya
melalui penggunaan teknologi. Sementara sebagian besar analisis data dilakukan untuk
menguji efektivitas proses, beberapa tes analisis data dapat memberikan informasi yang
bermanfaat selama proses perencanaan. Analisis data dapat memberikan informasi tentang
populasi transaksi yang bisa bermanfaat ketika menentukan pendekatan audit internal.
Contoh Pembelian : Saat melakukan audit internal atas proses pencairan kas, tim audit
internal dapat melakukan tes analisis data berikut selama fase perencanaan:
■ Jumlah atau persentase pembayaran yang dilakukan sebelum atau setelah tanggal jatuh
tempo — ini dapat memberikan wawasan tentang seberapa dekat arus kas dikelola.
■ Jumlah pemeriksaan manual — ini mungkin mengindikasikan desain proses kekurangan
atau potensi pengelakan dari kontrol yang ada.
■ Stratifikasi jumlah pembayaran — ini dapat memberikan informasi tentang tingkat
pembayaran kecil yang dilakukan, menunjukkan potensi kartu pengadaan.
■ Distribusi digit pertama dari jumlah pembayaran (Benford's Analisis hukum) — sebuah
distribusi yang tidak mengikuti Hukum Benford mungkin merupakan indikasi praktik
pencairan yang tidak biasa (untuk contoh, faktur terpecah), yang pada gilirannya dapat
mempengaruhi pendekatan audit internal. Hukum Benford memperkirakan jumlah kali
masing-masing dari 10 digit (nol hingga sembilan) biasanya akan terjadi pada awal setiap
angka dalam suatu populasi dengan karakteristik tertentu.
■ Jumlah pembayaran rangkap untuk vendor yang sama — ini mungkin menunjukkan
kemungkinan pembayaran rangkap dua, atau memberikan wawasan tentang vendor yang
pembayaran berulangnya dibuat seperti jumlah.

Analisis Kontrol Tingkat Entitas

Meskipun penting untuk memahami tugas-tugas tingkat proses dan kontrol, juga
penting untuk memahami bagaimana tingkat entitas kontrol dapat memengaruhi kinerja suatu
proses. Kekurangan dalam kontrol tingkat entitas dapat mengelak dari kontrol yang dirancang
dengan baik dalam proses dan, pada kenyataannya, menjadi risiko yang melekat pada operasi
yang efektif kontrol di tingkat proses.

Mendokumentasikan Aliran Proses

7
• Memproses peta, berupaya menggambarkan input luas, aktivitas, alur kerja, dan interaksi
dengan proses dan keluaran lain. Mereka menyediakan kerangka kerja untuk memahami
kegiatan dan subproses.
• Diagram alir mencakup informasi tambahan, sering kali menggambarkan sistem dan
aplikasi komputer, aliran dokumen, risiko terperinci dan kontrol, langkah manual versus
otomatis, waktu berlalu untuk langkah dalam proses, pemilik langkah-langkah utama, dan
informasi tambahan apa pun diperlukan untuk membantu pengulas memahami proses dan
alurnya.
• Memo naratif memberikan informasi tentang prosesnya mengalir hanya menggunakan
kata-kata tertulis; tidak ada upaya untuk menggunakan simbol gambarkan alirannya. Adalah
umum untuk menggabungkan diagram alur dengan informasi naratif tambahan untuk
membuat bentuk hibrid dari dokumentasi.

Mengidentifikasi Indikator Kinerja Utama

• Relevan , yaitu, mereka mengukur apa yang penting (misalnya, akurasi pencairan) sebagai
kebalikan dari apa yang dapat diukur (untuk misalnya, nilai dolar dari pengeluaran yang
diproses).
• Terukur , yaitu, ada informasi yang dapat diukur untuk ditentukan kinerja yang sukses
(misalnya, pencairan yang tidak akurat informasi dilacak dan dikompilasi untuk memantau
keakuratan pencairan).
• Tersedia , yaitu, informasi yang dibutuhkan tersedia di sebelah kanan waktu dan orang
yang tepat, memungkinkan pengukuran tepat waktu proses kinerja (misalnya, statistik
pencairan adalah tersedia untuk manajer hutang pada penutupan setiap pembayaran siklus).
• Selaras dengan tujuan utama proses (misalnya, duplikat informasi pembayaran ditangkap
karena ada tujuan untuk tidak punya).
• Diartikulasikan kepada orang-orang yang terlibat dalam proses sehingga mereka
memahami apa yang diukur dan pentingnya mencapai tingkat kinerja (misalnya, karyawan
yang dibayar per bulan) dapat melihat statistik tepat waktu dan menyesuaikan kinerjanya
demikian).

Mengevaluasi Resiko Proses Tingkat Kecurangan

8
1. Identifikasi skenario penipuan potensial. Brainstorming dengan individu yang terlibat
dalam proses adalah cara yang efektif untuk mengidentifikasi kemungkinan sarana yang
digunakan individu, bekerja sendiri atau dalam kolusi dengan orang lain, bisa menghindari
proses.
2. Memahami dampak penipuan potensial. Dampak potensial dari setiap skenario
penipuan harus ditentukan. Misalnya, sebuah organisasi dapat:
■ Menderita kerugian finansial langsung (melalui penyalahgunaan aktiva).
■ Hasil keuangan yang keliru (melalui keuangan yang curang
pelaporan).
■ Menderita kerusakan reputasi jika kecurangan mencerminkan dengan sangat negatif
tentang tata kelola organisasi.
3. Menentukan apakah akan menguji risiko penipuan tertentu. Berdasarkan pada dua
langkah pertama, auditor internal dapat menilai, berdasarkan pada risiko penipuan yang
melekat dalam proses, apakah tes khusus harus dirancang untuk menentukan kerentanan
untuk penipuan.

II.c Resiko Identifikasi dan Penilaian

Mengidentifikasi Resiko Skenario tingkat
Suatu organisasi menetapkan proses untuk melaksanakan rencana bisnisnya dan
mencapai tujuannya. Proses-proses ini mungkin terpisah dan terfokus, atau mereka mungkin
lintas fungsional. Risiko ada di semua proses, terlepas dari luasnya, lokasi, atau fokus
mereka. Tugas pertama dalam menilai tingkat proses risiko adalah untuk mengidentifikasi
skenario risiko yang melekat dalam proses. Skenario risiko adalah peristiwa nyata di dunia
nyata yang mungkin berdampak buruk pencapaian tujuan.
Berikut ini memberikan garis besar bagaimana ini dapat diselesaikan.
1. Pilih tujuan tingkat proses tunggal. Latihan ini paling berhasil jika dilakukan satu tujuan
pada suatu waktu.
2. Brainstorm barrier (peristiwa, masalah, keadaan, dll) itu dapat mengancam pencapaian
tujuan.
Contohnya termasuk pengikut:
a. Peristiwa eksternal di mana organisasi tidak siap atau tidak bereaksi secara tepat waktu
atau tepat.
b. Prosedur yang tidak dirancang dengan baik atau kurang didokumentasikan.
c. Kerusakan dalam prosedur yang ada.

9
d. Kurangnya orang yang tepat, dengan keterampilan yang tepat, ditempatkan di cara yang
benar.
e. Komunikasi yang tidak memadai antara area interfacing.
f. Karyawan yang dengan sengaja melanggar kebijakan atau bertindak tidak etis.
g. Aplikasi komputer yang tidak dirancang atau kedaluwarsa.
h. Informasi yang terlalu cepat, tidak akurat, atau tidak memadai untuk pengambilan
keputusan membuat.
3. Lanjutkan latihan untuk tujuan tingkat proses yang tersisa.
4.Karena beberapa skenario risiko akan serupa di seluruh proses-tingkat tujuan,
mengkategorikan dan menggabungkan skenario risiko serupa. Itu alasan untuk
menggabungkan skenario risiko serupa akan menjadi lebih banyak terbukti dalam tugas
berikutnya, Menentukan Risiko tingkat Proses.

Menentukan Resiko Tingkat Proses

Skenario risiko serupa memberikan dasar untuk mengidentifikasi risiko tingkat

proses. Skenario risiko mewakili spesifik peristiwa kehidupan nyata yang dapat
mempengaruhi pencapaian tujuan. Risiko adalah deskripsi yang lebih luas tentang sebab dan
akibat dari peristiwa semacam itu. Selanjutnya tugas dalam menilai risiko tingkat proses
adalah menentukan risiko yang relevan.

Contoh Pembelian : Contoh kemungkinan pencairan uang tunai risiko termasuk:

■ Harapan. Kurangnya berkembang dengan baik dan diartikulasikan dengan baik
kebijakan, prosedur, dan bentuk komunikasi lainnya dari manajemen senior dapat
mengakibatkan karyawan melaksanakan tugasnya tanggung jawab dengan cara yang tidak
konsisten dengan senior harapan dan keinginan manajemen.
■ Pembayaran rangkap. Gagal mengidentifikasi beberapa input faktur dapat mengakibatkan
pembayaran duplikat ke vendor yang bisa tidak terdeteksi atau terbukti sulit untuk
dikumpulkan.
■ Ketepatan waktu. Ketidakmampuan untuk memproses pembayaran tepat waktu dapat
terjadi dalam denda atau penalti (untuk pembayaran terlambat) atau diskon yang terlewat.
■ Akses sistem. Kurangnya praktik keamanan logis yang efektif mungkin menciptakan
peluang bagi individu yang tidak sah untuk mengakses,memanipulasi, atau menghapus data
pengeluaran kunci.

10
■ Sumber daya manusia. Ketidakmampuan untuk menarik, mengembangkan, menyebarkan,
dan mempertahankan individu yang kompeten dapat menghasilkan uang tunai proses
pencairan yang dilakukan pada tingkat suboptimal, yang dapat menyebabkan pembayaran
yang tidak akurat atau tidak tepat waktu
Mengevaluasi Dampak dan Kemungkinan Resiko

Proses untuk melakukan penilaian risiko tingkat proses secara umum melibatkan tiga langkah
berikut:

1. Tentukan dampak dari berbagai hasil yang terkait dengan masing-masing risiko. Kiat-kiat
berikut mungkin terbukti membantu saat melakukan ini langkah:

■ Ingat bahwa, menurut definisi, risiko mewakili ketidakpastian; karena itu, mungkin ada
beberapa kemungkinan hasil risiko. Internal auditor harus berusaha untuk tidak fokus hanya
pada satu kemungkinan hasil risiko dan abaikan hasil yang lebih mungkin atau membawa
dampak lebih besar.
■ Risiko biasanya diukur dalam hal dampak keuangan, yang merupakan dampak paling
umum dan mudah diukur. Namun, mungkin ada hasil risiko lain yang tidak bisa dilakukan
diukur dalam istilah keuangan atau dapat dianggap lebih lebih parah dari dampak finansial.
Misalnya, kerusakan pada kesehatan dan keselamatan karyawan, atau penurunan nilai
reputasi organisasi karena publisitas negatif mungkin dianggap sebagai hasil yang lebih parah
daripada keuangan langsung dampak risiko tersebut.
■ Dampak harus fokus pada potensi paparan terhadap spesifik periode waktu, biasanya satu
tahun. Karena risiko dapat terjadi lebih dari sekali selama periode tersebut, penting untuk
dihindari berkonsentrasi pada dampak satu peristiwa. Memperkirakan dampaknya selama
periode waktu memastikan bahwa kemungkinan terburuk paparan dianggap.
■ Tidak perlu untuk mendapatkan tingkat presisi yang tinggi saat memperkirakan dampak
risiko.

2. Langkah kedua adalah memperkirakan kemungkinan bahwa setiap risiko berdampak

akan terjadi. Kiat-kiat berikut mungkin bermanfaat saat melakukan ini langkah:

11
■ Sebagaimana dibahas di atas, risiko memiliki serangkaian hasil yang mungkin, masing-
masing akan memiliki kemungkinan yang berbeda untuk terjadi. Ini penting untuk fokus pada
hasil risiko yang ditentukan dalam langkah sebelumnya.
■ Karena ada banyak hasil risiko, mungkin juga ada banyak akar penyebab mengapa risiko
terjadi. Setiap akar penyebab mungkin memiliki kemungkinan berbeda. Karena itu, penting
untuk mempertimbangkan akar penyebab yang mendasari hasil yang dipilih saat
mengevaluasi kemungkinan terjadinya risiko.
■ Seperti halnya ketika menentukan dampak risiko, itu tidak perlu untuk memperoleh tingkat
presisi tinggi saat memperkirakan kemungkinan risiko. Menggunakan skala generik
(misalnya, tinggi / sedang / rendah) biasanya cukup. Misalnya tinggi kemungkinan dapat
mengindikasikan bahwa dampak risiko lebih mungkin daripada tidak terjadi (yaitu, lebih
besar dari 50 persen), sedang kemungkinan dapat mengindikasikan bahwa dampak risiko itu
mungkin (untuk misalnya, dari 10 persen hingga 50 persen), dan rendah kemungkinan dapat
mengindikasikan bahwa dampak risiko bersifat remote (untuk misalnya kurang dari 10
persen).
■ Ketika mengevaluasi kemungkinan, penting untuk fokus pada kemungkinan inheren —
yaitu, menilai kemungkinan tanpa pertimbangan manajemen kontrol mungkin ada.
Karena auditor internal sudah memiliki pemahaman tentang proses, mungkin tergoda untuk
memperkirakan kemungkinan berdasarkan efek dari kontrol ini. Namun, auditor internal
harus tidak menganggap bahwa kontrol tersebut beroperasi secara efektif ketika
merencanakan pertunangan, jika tidak, mereka mungkin menilai lebih rendah risiko terkait
dan gagal menguji kontrol tersebut.

3. Langkah terakhir adalah menggabungkan penilaian dampak dan kemungkinan menjadi

penilaian risiko tunggal. Cara terbaik untuk mencapai ini adalah untuk membuat matriks
risiko yang menunjukkan keterkaitan antara dampak dan kemungkinan masing-masing risiko.

Memahami Toleransi Resiko Tingkat Manajemen

Untuk mendapatkan memahami tingkat toleransi risiko manajemen, berikut ini

tiga langkah harus dilakukan:
1. Identifikasi kemungkinan hasil risiko. Sebagaimana dibahas sebelumnya, oleh definisi,
risiko mewakili berbagai kemungkinan hasil. Sementara hasil seperti itu biasanya diukur dari
segi keuangan, di sana mungkin hasil risiko lain yang tidak cocok untuknya pengukuran

12
keuangan atau lebih parah daripada keuangan dampak. Misalnya, keselamatan karyawan
mungkin lebih parah daripada denda atau penalti potensial karena pelanggaran keselamatan.
Demikian pula, dampak kegagalan untuk melindungi privasi data pelanggan dapat lebih parah
daripada biaya untuk memulihkan atau melindungi data tersebut.
2. Memahami tingkat toleransi yang ditetapkan. Begitu berbeda hasil risiko ditentukan,
diskusi dapat diadakan dengan manajemen proses untuk mengidentifikasi tingkat toleransi
yang mereka miliki sudah mapan. Tingkat tersebut dapat tercermin dalam dokumentasi
ukuran kinerja utama, sasaran kinerja individu, atau dalam komunikasi lainnya.
3. Kaji tingkat toleransi untuk hasil yang belum mapan. Sejauh tingkat toleransi yang
ditetapkan dilakukan tidak secara komprehensif menangani semua kemungkinan hasil risiko,
diskusi harus dilakukan dengan manajemen proses untuk menentukan tingkat toleransi yang
sesuai. Pertanyaan untuk memfasilitasi diskusi ini termasuk:
■ Berapa banyak variabilitas yang bisa Anda atau manajemen senior toleransi relatif terhadap
pencapaian tujuan proses?
■ Jenis-jenis hasil apa yang akan Anda pertimbangkan tidak bisa diterima?
■ Jenis skenario risiko apa yang membuat Anda tidak nyaman berurusan dengan?

II. d Identifikasi Kunci Kontrol

Untuk melaksanakan tugas dalam perencanaan keterlibatan, penting untuk

memahami berbagai jenis kontrol yang dapat dianggap penting kontrol di tingkat proses.
Meskipun berikut ini bukan daftar lengkap, ini merupakan contoh jenis kontrol umum:
• Menyetujui melibatkan mendapatkan otorisasi untuk melaksanakan transaksi oleh
seseorang yang diberdayakan untuk melakukannya (misalnya, persetujuan dari penghapusan).
• Menghitung mensyaratkan komputasi atau komputasi ulang sejumlah itu hasil dari data
lain yang diperoleh dalam proses (misalnya, menggunakan data penghapusan historis untuk
menghitung cadangan utang buruk, atau memeriksa perhitungan penyusutan untuk
memastikan perhitungan sistematis jumlahnya masuk akal).
• Dokumentasi berkaitan dengan menjaga informasi sumber atau mendokumentasikan
alasan di balik penilaian yang dibuat untuk masa depan referensi (misalnya, memindai
dokumen penerima, faktur, dan cek untuk mendukung pembayaran, atau menulis nota ke
file yang menguraikan penilaian yang digunakan dalam menentukan akrual).

13
• Memeriksa melibatkan memverifikasi atribut, yaitu, elemen data, acara, atau bukti
dokumenter yang mendukung keberadaan atau kejadian (misalnya, bukti bahwa barang yang
dibayar diterima).
• Mencocokkan memerlukan perbandingan antara dua hal yang berbeda atribut untuk
memverifikasi bahwa mereka setuju (misalnya, jumlah pembayaran setuju dengan jumlah
faktur).
• Pemantauan mewakili pengecekan untuk memastikan suatu tindakan terjadi (misalnya,
memantau bahwa pemberi faktur tidak melebihi batasnya)
• Membatasi melibatkan tidak mengizinkan tindakan yang tidak dapat diterima (untuk
misalnya, melarang spekulasi tentang fluktuasi suku bunga, atau tidak memungkinkan
individu yang tidak berwenang mengakses data tertentu dalam kunci sistem).
• Memisahkan fokus pada pemisahan tugas yang tidak kompatibel yang akan buat potensi
untuk tindakan yang tidak diinginkan (misalnya, memisahkan tanda tangan cek dan otoritas
persetujuan faktur).
• Pengawasan melibatkan memberikan arahan dan pengawasan untuk memastikan tindakan
dan tugas dilakukan sebagaimana dirancang (misalnya,pengawas menyetujui batch sebelum
pemrosesan komputer).

Berikut ini penting saat menentukan kontrol utama:

• Auditor internal harus memiliki pemahaman yang jelas tentang proses-tujuan tingkat.
• Konsekuensi dari pelaksanaan kontrol yang tidak memadai harus dievaluasi untuk
menentukan apakah defisiensi kontrol secara signifikan akan merusak pencapaian tujuan.
• Kontrol kompensasi lainnya harus dipertimbangkan sebagaimana mestinya menunjukkan
bahwa pengoperasian kontrol tombol yang diberikan tidak sepenting seperti pertama kali
dianggap.
• Efek dari satu kontrol pada kontrol lain juga harus dipertimbangkan. Misalnya, pelaksanaan
kontrol mungkin tidak terlihat secara signifikan mengganggu pencapaian tujuan, tetapi itu
bisa berdampak pada pelaksanaan kontrol lain, yang dapat merusak pencapaian suatu tujuan.
• Dampak kontrol tingkat entitas juga harus dipertimbangkan. Bahwa adalah, kekurangan
dalam kontrol tingkat entitas dapat mengurangi efektivitas kontrol tingkat proses. Dengan
memahami efektivitas. Pada tingkat entitas kontrol, auditor internal dapat menilai dampak
dengan lebih baik kontrol kunci pada tingkat proses akan memiliki pada pencapaian tujuan.
• Kontrol yang berlebihan, atau yang tidak hemat biaya, mungkin perlu diubah atau
dihilangkan. Kontrol semacam itu mungkin bukan kunci kontrol.

14
II. e Evaluasi Kecepatan Pengendalian Rancangan

Pertanyaan-pertanyaan berikut seharusnya dipertimbangkan ketika mengevaluasi kecukupan

desain proses:
• Apakah auditor internal memahami apa "tingkat yang dapat diterima" dari risiko,
berdasarkan tingkat toleransi risiko manajemen untuk proses tersebut?
• Lakukan kontrol tombol, diambil secara individu atau secara agregat, kurangi risiko tingkat
proses yang sesuai ke tingkat yang dapat diterima?
• Apakah ada kontrol kompensasi tambahan dari proses lain yang selanjutnya mengurangi
risiko ke tingkat rendah yang dapat diterima?
• Apakah tombol tersebut mengontrol, jika beroperasi secara efektif, akan mendukung
pencapaian sasaran tingkat proses?
• Sejauh yang sesuai, apakah alamat proses desain efektivitas dan efisiensi operasi, keandalan
pelaporan, kepatuhan terhadap hukum dan peraturan yang berlaku, dan pencapaian tujuan
strategis?
• Kesenjangan apa, jika ada, yang menghambat proses?
■ Kesenjangan spesifik apa yang ada dalam desain proses?
■ Apa hasil atau efek yang mungkin dari kesenjangan tersebut?

Penilaian auditor internal biasanya adalah satu dari berikut:

• Kontrol kunci yang ditunjukkan dirancang secara memadai untuk mengelola ini risiko ke
tingkat yang dapat diterima.
• Kontrol kunci yang ditunjukkan tidak dirancang secara memadai untuk dikelola risiko ini ke
tingkat yang dapat diterima (jelaskan kesenjangan desain). Setelah auditor internal telah
membentuk penilaian pada kecukupan desain untuk setiap risiko individu, evaluasi dapat
dilakukan mengenai desain proses diambil secara keseluruhan.
Contoh kesimpulan seperti itu termasuk:
• Desain memadai; tidak ada kesenjangan yang signifikan. Secara keseluruhan, proses dan
sistem informasi tampaknya dirancang secara memadai untuk mengelola risiko ke tingkat
yang dapat diterima.
• Desain memadai; Namun, ada kesenjangan. Secara keseluruhan, proses dan sistem
informasi tampaknya dirancang secara memadai untuk mengelola risiko ke tingkat yang

15
dapat diterima. Namun, keberadaan satu atau lebih kesenjangan dapat menyebabkan beberapa
eksposur bahwa pemilik proses dapat menemukan tidak bisa diterima.
• Desain tidak memadai; ada celah signifikan. Secara keseluruhan, prosesnya desain
tampaknya tidak memadai untuk mengelola risiko ke tingkat yang dapat diterima.
Kesenjangan yang signifikan menciptakan tingkat paparan bahwa tujuan tingkat proses tidak
akan tercapai.

II. f Membuat Rencana Uji

Sekarang auditor internal sepenuhnya memahami bagaimana prosesnya beroperasi

dan telah mengevaluasi kecukupan desain proses, selanjutnya Langkahnya adalah
mengembangkan rencana pengujian. Rencana pengujian harus dirancang untuk dikumpulkan
cukup bukti yang sesuai untuk mendukung evaluasi tentang bagaimana secara efektif kontrol
utama beroperasi.

Menentukan Kontrol yang Diuji

Faktor lain yang harus dipertimbangkan oleh auditor internal saat menentukan yang
mengontrol untuk menguji:
• Apakah ada kontrol tingkat lebih tinggi yang mungkin, dengan sendirinya, berikan jaminan
yang masuk akal bahwa risiko yang relevan dikelola cukup? Kontrol tingkat yang lebih tinggi
dapat berupa rekonsiliasi, pemantauan, atau kontrol pengawasan yang dilakukan oleh
individu yang independen dari pemilik kontrol terperinci, misalnya, supervisor atau manajer
mereka. Sebagai bagian dari penilaian kontrol berbasis risiko top-down, internal auditor harus
mempertimbangkan kontrol tingkat yang lebih tinggi ini, adil sebagai dampak dari kontrol
tingkat entitas harus dipertimbangkan.
• Apakah ada kontrol kompensasi lain yang menangani berbagai risiko? Jika jadi, mungkin
lebih efisien untuk menguji kontrol ini daripada fokus pada pengujian masing-masing kontrol
kunci rinci.
• Apakah desain kontrol dinilai memadai? Jika tidak, itu mungkin tidak perlu menguji kontrol
karena, bahkan dengan efektif operasi, risikonya mungkin tidak dikurangi karena tidak
memadai rancangan.

16
 Mengembangkan Pendekatan Pengujian

Berikut ini menguraikan keputusan itu harus dibuat ketika mengembangkan pendekatan
pengujian.
• Sifat tes. Berbagai jenis tes memberikan tingkat yang berbeda jaminan dan akan
mengambil jumlah waktu yang berbeda untuk dilakukan.
• Tingkat pengujian. Kontrol dapat diuji secara parsial atau lengkap dasar, yaitu, sampel
transaksi atau 100 persen dari transaksi. Jelas, pengujian sampel yang lebih besar
memberikan hasil yang lebih besar jaminan tetapi membutuhkan lebih banyak waktu.
• Waktu pengujian. Tes dapat dilakukan pada frekuensi yang berbeda atau Interval,
tergantung pada periode yang dicakup dalam perjanjian ruang lingkup, sifat kontrol, dan jenis
tes yang dilakukan.

II. g Mengembangkan Program Kerja

Langkah selanjutnya dalam perencanaan keterlibatan adalah mendokumentasikan

semua penilaian dan kesimpulan yang dibuat selama fase perencanaan.
Program kerja ini mungkin berbeda formulir, seperti:
• Templat atau daftar periksa standar yang dipimpin oleh auditor internal bersiap untuk
mendokumentasikan penyelesaian langkah perencanaan. Template standar sering digunakan
untuk memastikan setiap keterlibatan mencakup semua tugas yang diperlukan.
• Sebuah memorandum yang meringkas tugas yang diselesaikan. Dalam situasi di yang
perencanaannya dinamis dan tidak konsisten dari keterlibatan untuk keterlibatan, pendekatan
bentuk bebas ini mungkin lebih tepat.
• Kolom tambahan dalam Matriks Risiko dan Kontrol jika internal Auditor menginginkan
agar segala sesuatu ditangkap dalam satu dokumen.
• Kombinasi ketiganya.

Formatnya akan bervariasi dari fungsi audit internal hingga audit internal
fungsi. Poin kuncinya adalah bahwa harus ada beberapa cara untuk:
• Memastikan semua anggota tim keterlibatan memahami apa yang sudah ada
dilakukan dan apa yang masih perlu dilakukan.
• Mengkomunikasikan siapa yang bertanggung jawab untuk melakukan setiap
perikatan tugas.

17
 • Memberikan catatan tugas yang diselesaikan.
• Memfasilitasi peninjauan oleh manajer atau direktur keterlibatan yang
memberikan pengawasan dan arahan selama perencanaan keterlibatan
proses.

II. h Alokasi Sumber Daya Untuk Keterikatan

Langkah terakhir dalam merencanakan perikatan adalah menentukan yang diperlukan

sumber daya yang dibutuhkan untuk melaksanakan tugas yang direncanakan.

Penganggaran
Tugas pertama adalah memperkirakan sumber daya yang diperlukan untuk melakukan
keterikatan. Anggaran harus disiapkan yang mempertimbangkan jumlah jam yang dibutuhkan
untuk menyelesaikan pertunangan, serta biaya lainnya itu mungkin diperlukan:
• Jam yang dibutuhkan untuk menyelesaikan perikatan. Seorang yang berpengalaman
auditor internal berada dalam posisi untuk mengembangkan estimasi yang wajar jumlah jam
yang dibutuhkan untuk menyelesaikan perencanaan, melakukan, dan berkomunikasi fase
pertunangan. Itu Perkiraan harus realistis, tetapi tidak selalu tepat seperti yang ada mungkin
merupakan peristiwa tak terduga yang dapat menunda keterlibatan.
• Biaya lainnya. Selain biaya sumber daya manusia, beberapa keterlibatan mungkin
membutuhkan pengeluaran tambahan. Umum contohnya termasuk:
■ Biaya perjalanan dan terkait, ketika pertunangan harus dilakukan, semua atau sebagian,
jauh dari auditor internal lokasi.
■ Biaya teknologi, ketika akses ke unik atau non-rutin diperlukan teknologi untuk
menyelesaikan pertunangan (misalnya, lisensi perangkat lunak untuk analisis data dan
keamanan jaringan analisis).
■ Persediaan, ketika barang-barang non-rutin diperlukan (misalnya, sepatu baja keras atau
hardhats untuk pengamatan penghitungan inventaris, atau kertas atau tinta khusus untuk
kiriman yang mencakup banyak gambar atau grafik berwarna dan grafik).

Mengalokasikan Sumber Daya Manusia

Ini melibatkan menjawab pertanyaan-pertanyaan berikut:

18
• Jenis keterampilan apa yang dibutuhkan pada keterlibatan ini (misalnya, pelaporan
keuangan atau TI)?
• Apa pengalaman sebelumnya akan diperlukan pada pertunangan (untuk misalnya,
pengetahuan tentang area atau pengalaman sebelumnya dengan keterlibatan serupa)?
• Siapa di departemen memiliki keterampilan dan pengalaman untuk memenuhi ini
kebutuhan?
• Apakah ada kebutuhan untuk keahlian khusus yang tidak ada dalam fungsi audit internal
(misalnya, keahlian derivatif dan keahlian lingkungan)? Jika demikian, di mana keterampilan
ini dapat diperoleh di biaya yang masuk akal?
• Apakah ada pertimbangan pengembangan profesional yang mungkin berdampak pada
alokasi sumber daya untuk keterlibatan ini? Sebagai contoh, apakah auditor internal tertentu
memerlukan jenis pengalaman tertentu untuk membantu mereka belajar dan tumbuh secara
profesional?
• Apakah ada pertimbangan departemen unik lainnya yang mungkin dampak yang harus
ditetapkan oleh auditor internal kepada keterikatan?

Penjadwalan
Sumber penjadwalan bisa menjadi proses yang sangat dinamis, dan item berikut perlu untuk
dipertimbangkan:
• Ketersediaan personil proses utama. Meskipun mungkin nyaman untuk fungsi audit
internal untuk memulai perikatan tanggal tertentu, waktunya mungkin tidak bekerja untuk
personil proses. Sana mungkin ada waktu-waktu tertentu dalam bulan atau kuartal yang tidak
nyaman (misalnya, periode ketika personil akuntansi difokuskan pada menutup buku). Selain
itu, waktu pertunangan mungkin perlu diubah karena tidak adanya personil kunci (perjalanan,
liburan, pelatihan, dll.), atau inisiatif departemen yang akan mengalihkan perhatian personel
kunci untuk masalah lain.
• Ketersediaan sumber daya keterlibatan. Mirip dengan proses utama personel, karyawan
audit internal dapat memiliki komitmen lain (misalnya, liburan, pelatihan, inisiatif
departemen, dll) itu dapat memengaruhi penjadwalan pertunangan.
• Ketersediaan sumber daya luar. Jika keahlian khusus atau tambahan tenaga kerja
diperlukan untuk menyelesaikan perikatan, ketersediaan sumber daya itu juga harus
dipertimbangkan. Terkadang, layanan perusahaan yang menyediakan sumber daya tersebut
memiliki jadwal yang berbeda dari organisasi (misalnya, hari libur berbeda, minggu pelatihan
blok, atau inisiatif internal).

19
• Ketersediaan pengulas kunci. Bahkan jika keterlibatan kunci sumber daya tersedia untuk
menyelesaikan kerja lapangan, audit internal manajer atau direktur juga harus ada untuk
melakukan level diperlukan ulasan tentang perjanjian, jika tidak, penyelesaiannya mungkin
terlambat.

II. i Evaluasi Bukti Yang Dikumpulkan dan Mencapai Kesimpulan

Melakukan tes audit memungkinkan auditor internal untuk mengumpulkan bukti yang
diperlukan untuk mengevaluasi kecukupan desain dan operasi efektivitas kontrol utama dan
mencapai kesimpulan tentang efektivitas proses atau area yang sedang ditinjau. Berikut ini
adalah pertanyaan yang mungkin perlu dijawab oleh auditor internal, tergantung pada
piagam fungsi audit internal, tujuan keterlibatan, dan harapan pihak yang diaudit dan internal
lainnya pemangku kepentingan audit:
• Apakah kontrol utama dirancang secara memadai?
• Apakah kontrol kunci beroperasi secara efektif, artinya, sebagaimana adanya dirancang
untuk beroperasi?
• Apakah risiko yang mendasarinya sedang dimitigasi ke tingkat yang dapat diterima?
• Secara keseluruhan, lakukan desain dan operasi dukungan kontrol kunci pencapaian tujuan
untuk proses atau bidang yang sedang ditinjau?

20
 BAB III
KESIMPULAN

KESIMPULAN

Fase pertama dari perikatan jaminan adalah fase perencanaan. Itu langkah-langkah
kunci dalam merencanakan suatu perjanjian adalah:
• Menentukan tujuan dan ruang lingkup keterlibatan. Setiap jaminan pertunangan akan
sedikit berbeda, tergantung pada alasannya melakukan pertunangan dan hasil akhir yang
diinginkan. Pertama langkahnya adalah menetapkan tujuan pertunangan dan menguraikan
ruang untuk mengartikulasikan waktu, geografis, dan prosedural batas-batas.
• Memahami auditee (termasuk tujuan auditee). Untuk melakukan perikatan secara
efektif, auditor harus terlebih dahulu memahami tujuan auditee, tugas-tugas yang dilakukan
dalam area di bawah meninjau untuk mencapai tujuan tersebut, dan cara-cara di mana
kinerja dimonitor dan keberhasilan diukur.
• Identifikasi dan nilai risiko. Peristiwa atau skenario spesifik itu bisa mencegah pencapaian
tujuan auditee harus diidentifikasi dan dinilai. Penilaian ini biasanya melibatkan suatu
evaluasi dampak dan kemungkinan skenario risiko.
• Identifikasi kontrol utama. Kontrol kunci adalah kontrol yang secara individual atau
ketika dikumpulkan dengan kontrol lain, mitigasi risiko auditee menjadi tingkat yang dapat
diterima. Sedangkan auditee mungkin sudah banyak menerapkan kontrol yang berbeda untuk
mencapai berbagai keperluan, kontrol kunci adalah orang-orang yang benar-benar integral
dengan pencapaian tujuan.
• Mengevaluasi kecukupan desain kontrol. Kunci pertama evaluasi adalah kecukupan
desain kontrol. Langkah ini membutuhkan auditor internal untuk mengevaluasi apakah

21
kontrol, jika mereka beroperasi secara efektif, akan memitigasi risiko yang dapat mencegah
pencapaian tujuan.
• Buat rencana uji. Rencana pengujian menguraikan bagaimana masing-masing kunci
kontrol akan diuji untuk membantu auditor internal mengevaluasi caranya secara efektif
kontrol-kontrol tersebut beroperasi. Tes juga harus dihubungkan risiko yang mendasari
sehingga setiap kekurangan diidentifikasi selama
• Kembangkan program kerja. Program kerja formal menguraikan tugas-tugas kunci dalam
proses keterlibatan dan penilaian apa pun yang dibuat tentang tujuan dan ruang lingkup
perikatan.
• Alokasikan sumber daya untuk keterlibatan. Berdasarkan tugas yang harus dikerjakan
dilakukan selama perikatan, personel dengan yang sesuai tingkat pengalaman dan
keterampilan harus diidentifikasi dan ditugaskan memastikan pertunangan selesai tepat waktu
dan efektif.
Merencanakan perikatan membutuhkan lebih dari sekadar menjalankan langkah-langkah
atas. Ini juga memerlukan dokumentasi informasi yang efektif didapat dan penilaian dibuat.
Sedangkan format dokumentasi tersebut dibuat selama fase perencanaan dapat mengambil
berbagai bentuk, biasanya itu
termasuk:
• Memorandum perencanaan atau daftar periksa untuk mendokumentasikan audit pendekatan
dan penilaian dibuat.
• Diagram alir atau penulisan narasi yang menggambarkan aliran proses utama.
• Peta risiko yang menggambarkan penilaian yang dibuat terkait tingkat proses risiko.
• Matriks Risiko dan Kontrol yang mendokumentasikan hubungan antara risiko, kontrol,
pendekatan pengujian, hasil pengujian, dan pengujian kesimpulan.

Fase kedua dari perikatan jaminan melibatkan pelaksanaan tes yang diuraikan dalam
fase perencanaan dan mengevaluasi hasil. Secara khusus, auditor internal melakukan
langkah-langkah berikut:
• Melakukan tes untuk mengumpulkan bukti. Ini melibatkan menyelesaikan masing-
masing dari tes yang diidentifikasi selama tahap perencanaan. Selama langkah ini auditor
internal mengumpulkan dan mendokumentasikan secara memadai bukti untuk mendukung
kesimpulan tentang seberapa efektif kontrol beroperasi.
• Mengevaluasi bukti yang dikumpulkan dan mencapai kesimpulan. Langkah ini

22
mengharuskan auditor internal untuk mempertimbangkan evaluasi awal kontrol desain serta
hasil pengujian, dan bentuk kesimpulan apakah risiko yang mendasarinya sedang dimitigasi
menjadi tingkat yang dapat diterima.

DAFTAR PUSTAKA

F. Reding, Kurt, et al. 2009. Internal Auditing: Assurance & Consulting Services.

Florida (USA). The Institute of Internal Auditors Research Foundation.

23