Chapter 13.en - Id.en - Id - Salin

TUJUAN PEMBELAJARAN
* Jelaskan bagaimana tujuan perikatan asurans berdampak pada tujuan audit. Tentukan tujuan
pernyataan dan pernyataan ruang lingkup. Jelaskan jenis yang berbeda dan sumber 01 informasi
yang tuat akan membantu auditor internal memahami proses melakukan perikatan asurans.
"Dokumentasi aliran proses sederhana, yang menunjukkan langkah-langkah proses utama,
antarmuka, dan departemen yang terlibat. Lakukan proses risiko tingkat. Membedakan kunci kontrol
dari yang tidak ada sebagai kunci. Jelaskan bagaimana pengalaman kecukupan desain dari proses
kontrol tingkat. Rancang berbagai jenis pendekatan pengujian, perkiraan pada desain proses dan
tujuan interaksi. Kembangkan program kerja umum untuk memandu proses interaksi. Jelaskan
pertimbangan sumber daya yang harus dievaluasi saat menentukan cara berbicara dan
menjadwalkan pertunangan. 1 melakukan dan mendokumentasikan jenis tes tertentu untuk
mengumpulkan bukti. Mengevaluasi dari prosedur asurans untuk mencapai rekomendasi hasil
pengujian. Kembangkan observasi dan rumuskan rekomendasi.
13-1
PAMERAN 13-1 PEDOMAN IPPF RELEVAN UNTUK BAB 13
Standar 2200- Perencanaan Penugasan
SCi. dtdllUJIU iZUI II Pertimbangan Perencanaan
Standar 2210 - Tujuan Penugasan
Standar 2220- Lingkup Pengikatan
Standar 2230- Alokasi Sumber Daya Keterlibatan
Standar 2240- Program Kerja Penugasan
Standar 2300 melakukan Pengikatan
Standar 2310-Mengidentifikasi Informasi
Standar 2320-Analisis dan Evaluasi
Standar 2330 - Mendokumentasikan Informasi
Standar 2340- Pengawasan Enaaaement
Bab ini menjelaskan berbagai langkah yang diperlukan untuk melakukan perikatan yang berfokus
pada internal. Secara khusus, seperti yang digambarkan dalam pameran 13-2, yang diperkenalkan
sebagai pameran 12-3 di bab sebelumnya, Anda akan mempelajari langkah-langkah kunci yang
diperlukan untuk merencanakan dan melakukan pengikatan jaminan.
Bagian pertama dari bab ini penilaian pada langkah-langkah perencanaan. Hal ini dibahas secara
mendalam karena perencanaan yang efektif merupakan bagian integral dari pelaksanaan interaksi
yang berhasil. Pelaksanaan langkah-langkah ini memberikan keyakinan bahwa penugasan akan 1)
komprehensif, 2) sejalan dengan tujuan organisasi, dan 3) mendukung piagam fungsi audit internal.
Setelah meninjau bagian ini, Anda harus menghargai ungkapan, "gagal merencanakan berarti Anda
berencana untuk gagal."
Bagian kedua dari bab ini berfokus pada pelaksanaan program penguji yang dirancang
Jaminan Keterlibatan
selama tahap perencanaan. Meskipun melakukan audit audit biasanya membutuhkan lebih banyak
waktu. Penugasan yang melibatkan suatu tujuan merencanakan suatu penugasan, bagian ini lebih
pendek dalam bagian perencanaan karena bukti tive untuk langkah-langkah kunci yang relatif
sedikit; Langkah-langkah ini hanya dilakukan berulang kali untuk memberikan independen lagi untuk
pengujian pernyataan kontrol yang berbeda. Penilaian kinerja perikatan pada tata kelola,
manajemen risiko, dan proses pengendalian untuk aktivitas dibahas dalam bab 12, "Pengantar
Proses Penugasan." organisasi. Selain itu, teknik untuk memantau dan melaporkan pengamatan
audit yang tercakup dalam bab 14, "Mengkomunikasikan Hasil Keterlibatan dan melakukan Tindak
Lanjut." Karena itu, Bagian kinerja dari bab ini didasarkan pada penerapan konsep-konsep tersebut,
yang mengukurnya. Informasi yang terkandung dalam bab ini memberikan pemahaman yang kuat
tentang bagaimana merencanakan dan melakukan hampir semua perikatan asurans.
Di sepanjang bab ini, contoh-contoh yang diberikan untuk banyak langkah kunci untuk
menggambarkan bagaimana mereka dapat dilakukan dan didokumentasikan. Contoh-contoh ini
berkaitan dengan perusahaan yang curang, BUKU 2 PEMBELIAN, dan fokus pada proses hutang dan
pembayaran (disebut sebagai proses pengeluaran tunai seluruh bab). Proses khusus ini
diilustrasikan, karena ini umum terjadi pada sebagian besar organisasi dari ukuran atau industrinya.
Fakta-fakta penting mengenai BUKU 2 PEMBELIAN dapat ditemukan di pameran 13-3. Fakta-fakta ini
membantu membuat contoh menjadi lebih realistis.
13-2 AUDIT INTERNAL: JAMINAN & JASA PENASIHAT
Perencanaan adalah fase pertama dari interaksi jaminan dan melibatkan beberapa langkah. Lihat
pameran 13-4 untuk daftar langkah-langkah khusus ini, yang masing-masing akan dibahas lebih rinci
pada bagian berikut.
PAMERAN 13-2 PROSES KETERLIBATAN ASURANSI
Rencana melakukan Berkomunikasi Menentukan "melakukan tes untuk observasi, interaksi interaksi,
dan tujuan ruang lingkup. Proses eskalasi." Mengevaluasi Memahami auditee, mengumpulkan dan
mencapai tidak benar-benar salah audititee. dan pendahuluan dan pernyataan. engagement
"Mengembangkan komunikasi observasi. Identifikasi dan nilai risiko. an / 1 CnrmnUlg
recommendedati <Kembangkan final Identifikasi key control. engagement. engagement.
engagement. engagement.
Evaluasi kecukupan kontrol
komunikasi. rancangan. Distribusikan Buat rencana penguji formal. dan komunikasi akhir informal.
Kembangkan program kerja. Lakukan tindak lanjut. pertunangan.
GAMBAR 13-3 FAKTA BUKU PENDUKUNG 2 CONTOH BELI

Books 2 adalah penerbit buku teks, menyediakan alat pendidikan untuk pasar pendidikan K-8,
sekolah menengah, dan pasca-sekolah menengah.
Perusahaan ini berbasis publik, berbasis di Atlanta, Georgia, dan memiliki pelanggan di Amerika
Serikat, Kanada, Inggris, Afrika Selatan, Jepang, Australia, dan Selandia Baru.
Buku 2 Beli tim editorial profesional dan kontrak dengan akademisi terkemuka dan profesional
lainnya untuk menulis buku teks.
Semua aktivitas pencetakan dan penjilidan dialihdayakan, yang merupakan salah satu biaya paling
signifikan bagi perusahaan.
Perusahaan menyewa ruang untuk pusat distribusinya, yang berlokasi di semua negara tempat
berbisnis.
Pendapatan tahunan untuk Buku 2 Beli total $ 550 juta, pengeluaran tunai kira-kira $ 480 juta,
pengeluaran non tunai (misalnya, depresiasi dan amortisasi) kira-kira $ 25 juta, dan pengeluaran
modal jangka panjang kira-kira $ 40 juta.
Rata-rata, $ 480 juta pengeluaran tunai tahunan dicairkan sebagai berikut:
% of Disbursements% of Dollars Electronic or wire transfer 10% 60% Computer generated check 88%
38% Manual check 2% 2%
Meskipun pembayaran dapat dilakukan dalam mata uang yang berbeda, semua diproses dari fungsi
pembayaran terpusat yang berlokasi di Atlanta, Georgia.
MELAKUKAN KETERLIBATAN ASSURANCE 13-3
TENTUKAN TUJUAN DAN RUANG LINGKUP KETERLIBATAN Alasan Melakukan Perikatan Sebagaimana
dibahas dalam bab 12, ada berbagai jenis perikatan asurans dan mungkin ada alasan berbeda untuk
melakukan salah satunya. Jenis keterlibatan dan alasan untuk melakukannya mungkin secara
signifikan memengaruhi bagaimana keterlibatan dilakukan. Oleh karena itu, penting untuk
memahami alasan dilakukannya penugasan sebelum memulai perencanaan.
Terdapat sejumlah alasan untuk melakukan perikatan asurans, termasuk, namun tidak terbatas
pada: Tujuan Perikatan: Penugasan tersebut diidentifikasikan dalam rencana audit internal karena
adanya risiko inheren yang teridentifikasi selama proses penilaian risiko bisnis, risiko yang terdeteksi
- Bagian dari rencana terakhir kali area itu diaudit, dan faktor relevan lainnya. Untuk keterlibatan ini
<- Persyaratan kepatuhan, auditor internal harus memahami apa risiko bisnis yang mendasari -
Postmortem - Perubahan signifikan yang menyebabkan perikatan dimasukkan ke dalam rencana,
dan kemudian merancang rencana penugasan untuk memberikan jaminan yang sesuai mengenai
kecukupan desain dan efektivitas operasi pengendalian yang diterapkan untuk memitigasi risiko
tersebut. Penugasan tersebut merupakan bagian dari persyaratan tahunan untuk mengevaluasi
sistem pengendalian internal organisasi untuk tujuan pelaporan eksternal, seperti persyaratan US
Sarbanes-Oxley Act of 2002 Section 404 di Amerika Serikat dan undang-undang pelaporan keuangan
serupa di negara lain. Untuk penugasan ini, auditor internal harus memastikan bahwa penugasan
tersebut dirancang untuk menguji area yang dicakup oleh peraturan yang mendasarinya (misalnya,
memberikan jaminan terkait kecukupan desain dan efektivitas operasi pengendalian internal atas
pelaporan keuangan). Peristiwa baru-baru ini (misalnya, bencana alam, penipuan, atau
kebangkrutan pelanggan) telah menguji proses tersebut dalam keadaan yang tidak biasa dan
manajemen menginginkan "pemeriksaan mayat" untuk menentukan di mana proses itu efektif dan
di mana tidak. Untuk keterlibatan ini, auditor internal harus menyesuaikan pengujian dan evaluasi di
sekitar peristiwa spesifik yang terjadi. Risiko yang muncul atau perubahan lain dalam bisnis atau
industri memerlukan modifikasi segera pada proses dan manajemen menginginkan validasi cepat
bahwa modifikasi ini tampaknya dirancang dengan tepat untuk mengatasi perubahan. Untuk
perikatan ini, fungsi audit internal dapat melaksanakan audit penuh atas pengendalian atau mereka
dapat menetapkan lingkupnya untuk hanya berfokus pada pengendalian yang berubah.
Mungkin ada faktor-faktor lain, selain yang disebutkan di atas, yang membuat tim audit internal
perlu mengetahui alasan atau pendorong yang menyebabkan perikatan dilakukan. Sebagai contoh,
alih-alih mencari jaminan mengenai asersi berbeda yang dibahas di atas, manajemen mungkin
menginginkan suatu perikatan dilakukan untuk menilai bagaimana suatu proses berjalan relatif
terhadap ekspektasi. Jenis keterlibatan ini mungkin memerlukan pengujian yang berbeda untuk
memberikan penilaian tersebut. Terlepas dari alasan untuk melakukan penugasan, memahami
alasan tersebut akan membantu memastikan bahwa keseluruhan tujuan, ruang lingkup, dan fokus
penugasan ditujukan kepada penggerak dan waktu tersebut tidak dikhususkan untuk penggerak lain
yang kurang penting.
PAMERAN 13-4 PROSES KETERLIBATAN JAMINAN Rencana Lakukan T Komunikasikan Tentukan

Lakukan tes untuk Lakukan observasi keterlibatan mengumpulkan bukti. evaluasi dan tujuan dan
ruang lingkup. proses eskalasi. Mengevaluasi bukti "Memahami auditee, mengumpulkan dan
mencapai Melakukan sementara termasuk kesimpulan tujuan auditee. Dan pendahuluan dan asersi.
Keterlibatan Mengembangkan komunikasi pengamatan. Identifikasi dan menilai risiko. Dan
merumuskan rekomendasi. Kembangkan akhir" Identifikasi kontrol kunci. komunikasi pertunangan.
"Evaluasi kecukupan desain kontrol. Distribusikan final formal dan informal" Buat piano uji.
komunikasi. Kembangkan program kerja. / Lakukan pemantauan dan Alokasikan sumber daya untuk
prosedur tindak lanjut. pertunangan.
BUKU 2 MEMBELI Contoh: Keterlibatan proses pengeluaran kas dimasukkan dalam rencana audit
internal karena risiko inheren yang teridentifikasi selama proses penilaian risiko bisnis (lihat bab 5,
"Proses dan Risiko Bisnis," untuk diskusi tentang proses penilaian risiko bisnis) .
Menetapkan Tujuan Penugasan Setelah alasan perikatan asurans dipahami, hubungan formal ‹
Tujuan Keterlibatan
tujuan ment harus ditetapkan. Tujuan ini, yang biasanya dinyatakan dalam komunikasi perikatan
asurans akhir, secara spesifik mengartikulasikan apa yang ingin dicapai oleh penugasan oleh auditor
internal. Sedangkan tujuan dapat dinyatakan dalam berbagai pencapaian melalui audit. cara, harus
jelas jaminan apa yang akan diberikan oleh keterlibatan tersebut. Misalnya, tujuan dapat dimulai
dengan frasa berikut (kata kerja yang berbeda dapat diganti / 1 fr \ r * tnr »cja ucort di tnocA
ovamnlocV
Mengevaluasi kecukupan desain ... Menentukan efektivitas operasi ... Menilai kepatuhan dengan ...
Menentukan efektivitas dan efisiensi ... Mengevaluasi ketepatan ... Menilai pencapaian ...
Menentukan kinerja ...
Menetapkan tujuan di awal keterlibatan adalah langkah penting. Tanpa penetapan tujuan perikatan
formal, tim audit internal mungkin tidak selaras dengan alasan penugasan dan, akibatnya, dapat
melakukan tugas yang tidak memadai atau tidak perlu.
MELAKUKAN KETERLIBATAN ASURANCE 13-5
BUKU 2 MEMBELI Contoh: Tujuan penugasan adalah untuk mengevaluasi kecukupan desain dan
efektivitas operasi pengendalian yang ada untuk memitigasi risiko yang terkait dengan proses
pengeluaran kas.
Lingkup Pengikatan c, ~ «Setelah tujuan pembungkus telah ditetapkan, scone dari lingkungan harus
ditentukan. Karena suatu perikatan mungkin tidak mencakup segala sesuatu yang termasuk atau
tidak termasuk dalam dapat diaudit terkait dengan tujuan penugasan, pernyataan ruang lingkup
harus khusus perikatan. secara sipil menyatakan apa yang termasuk atau tidak termasuk dalam
suatu pertunangan. Status ruang lingkup tersebut dapat mencakup: Batasan proses. Meskipun
beberapa proses kecil dan mandiri, banyak proses yang sangat luas dan tumpang tindih dengan
proses lainnya. Oleh karena itu, penting untuk menentukan pada titik mana dalam proses penugasan
akan dimulai (misalnya, masukan awal dari transaksi atau proses lain) dan di mana itu akan berakhir
(misalnya, laporan, laporan keuangan, atau keluaran ke proses lain) . Lokasi dalam lingkup versus
lokasi di luar cakupan. Untuk proses yang mencakup beberapa lokasi, hanya beberapa dari lokasi
tersebut yang dapat disertakan dalam pengikatan. Subproses Subproses. Proses yang lebih besar
dapat terdiri dari serangkaian subproses (misalnya, proses pengeluaran tunai dapat mencakup
pencocokan faktur Bagian atau komponen proses yang terpisah dan dapat dikenali. Dan subproses
validasi, input pencairan, dan pemrosesan pembayaran). Komponen. Bagian tertentu, atau
komponen, dari suatu proses dapat dihilangkan. Misalnya, jika aplikasi komputer yang mendukung
proses diaudit secara relatif baru-baru ini, kontrol manual yang terkait dengan proses tersebut dapat
dimasukkan dalam ruang lingkup, sedangkan kontrol otomatis tidak. Jangka waktu. Suatu
pertunangan dapat mencakup satu tahun kalender, 12 bulan sebelumnya, waktu tertentu (misalnya,
pada 31 Desember), atau kerangka waktu lain.
Keputusan mengenai ruang lingkup membutuhkan banyak pertimbangan profesional. Auditor

internal harus memastikan bahwa ruang lingkupnya cukup untuk memenuhi tujuan penugasan.
Mengartikulasikan pernyataan lingkup spesiik akan memungkinkan tim audit internal untuk lebih
memfokuskan pengujian spesiik. Selain itu, penerima komunikasi akan lebih mampu menafsirkan
temuan dalam konteks tujuan keterlibatan.
BUKU 2 MEMBELI Contoh: Hal-hal berikut ini akan dimasukkan dalam ruang lingkup perjanjian ini:
Prosedur pengeluaran tunai, dimulai dengan penerimaan faktur atau dokumen serupa yang
membuktikan adanya kewajiban untuk membayar, dan diakhiri dengan pencairan dana dan
pencatatan dari pencairan tersebut di buku besar. Ketiga jenis pembayaran (kabel elektronik,
pemeriksaan yang dihasilkan komputer, dan pemeriksaan manual). s Pencairan dalam dolar AS dan
mata uang lainnya. Pencairan yang diproses selama 12 bulan terakhir.
Hasil dan Hasil yang Diharapkan Sebelum melanjutkan ke langkah berikutnya dalam proses
perencanaan, satu tugas akhir harus dilakukan. Sementara tujuan dan ruang lingkup telah
ditentukan, akan sangat membantu untuk menerapkan salah satu dari Tujuh Kebiasaan Orang yang
Sangat Efektif: "Mulailah dengan memikirkan akhir." 1 Ada dua "tujuan" penting untuk
dipertimbangkan yang akan membantu valirirt't 'O tna onrfirrln ^ lTit AniA /> tnrai * o ¥ »*! c / tt »- \
£» 1 1 nA + ontiol nntftnmtl # - »# + l-ia + * ir> + *» + / * i.ii>. i ii> "Sa ^ v uu 1U vn» ji.i.un.j unu a \ - \
JLi \ - 'yj pui ^ iuiai uulv, uiiu.i3 \ j \ liiv \, \ a <. " > dilakukan selama perikatan, dan 2) ekspektasi
auditi terkait komunikasi perikatan. Masing-masing dijelaskan lebih lengkap sebagai berikut: Hasil
potensial dari pengujian yang akan dilakukan selama pengikatan. Mampu mengantisipasi berbagai
jenis pengecualian pengujian yang dapat diidentifikasi dalam perikatan tertentu membantu
pengujian rencana auditor internal untuk memberikan keyakinan memadai bahwa perbedaan
tersebut terdeteksi. Pengecualian umum meliputi: Kesalahan atau kesalahan klasifikasi laporan
keuangan dalam akun keuangan, saldo, atau pengungkapan. Kekurangan kontrol yang menunjukkan
kontrol spesifik yang tidak mencapai efek yang diinginkan, yaitu mengurangi risiko yang sesuai ke
tingkat yang diinginkan. Kekurangan dalam pencapaian obyektif karena kekurangan kontrol atau
kinerja yang tidak memadai. Inefisiensi karena sumber daya tidak diterapkan secara optimal. Situasi
ketidakpatuhan ketika hukum, peraturan, atau kebijakan tidak dipatuhi secara konsisten. Ekspektasi
Auditee mengenai komunikasi penugasan- Di bawah- AII r \ ife * c- bentuk dan isi komunikasi akhir
membantu internal Anak perusahaan, unit bisnis, auditor memastikan bahwa semua informasi yang
diperlukan dikumpulkan selama keterlibatan <departemen, grup, atau ment lainnya. Meskipun
fungsi audit internal biasanya memiliki satu atau lebih subdivisi dari templat pelaporan standar,
tetap penting untuk memahami organisasi auditi yang menjadi subjek ekspektasi sehingga templat
tersebut dapat dimodifikasi sesuai kebutuhan. Jenis perjanjian jaminan yang umum. Komunikasi
mencakup: Laporan internal dengan cakupan penuh biasanya memiliki distribusi yang luas dan, oleh
karena itu, memerlukan bukti yang memadai dan memadai yang dapat dipahami oleh penerima yang
luas ini untuk mendukung kesimpulan dan rekomendasi perbaikan. Memorandum internal dapat
digunakan untuk distribusi yang lebih terbatas, menyatakan pekerjaan yang dilakukan dan dukungan
untuk kesimpulan dan rekomendasi hanya sejauh yang diperlukan untuk audiens yang dituju untuk
memahami kekurangan dan kesimpulan yang mendasarinya. Laporan untuk penggunaan pihak
ketiga harus mengasumsikan bahwa pihak tersebut kurang paham dengan kebijakan dan prosedur
yang unik untuk organisasi dan, oleh karena itu, mungkin memerlukan tingkat detail yang lebih tinggi
untuk memastikan pembaca memahami sifat dan konteks pengamatan dan rekomendasi. i
Terkadang, tingkat kerahasiaan yang lebih tinggi mungkin diperlukan untuk perikatan tertentu.
Contoh seperti itu harus didiskusikan sepenuhnya di awal dengan manajemen proses untuk
memastikan kiriman mendukung tingkat kerahasiaan yang diperlukan. menyatakan pekerjaan yang
dilakukan dan dukungan untuk kesimpulan dan rekomendasi hanya sejauh yang diperlukan bagi
audiens yang dituju untuk memahami kekurangan dan kesimpulan yang mendasarinya. Laporan
untuk penggunaan pihak ketiga harus mengasumsikan bahwa pihak tersebut kurang paham dengan
kebijakan dan prosedur yang unik untuk organisasi dan, oleh karena itu, mungkin memerlukan
tingkat detail yang lebih tinggi untuk memastikan pembaca memahami sifat dan konteks
pengamatan dan rekomendasi. i Terkadang, tingkat kerahasiaan yang lebih tinggi mungkin
diperlukan untuk perikatan tertentu. Contoh seperti itu harus didiskusikan sepenuhnya di depan
dengan manajemen proses untuk memastikan kiriman mendukung tingkat kerahasiaan yang
diperlukan. menyatakan pekerjaan yang dilakukan dan dukungan untuk kesimpulan dan
rekomendasi hanya sejauh yang diperlukan bagi audiens yang dituju untuk memahami kekurangan
dan kesimpulan yang mendasarinya. Laporan untuk penggunaan pihak ketiga harus mengasumsikan
bahwa pihak tersebut kurang paham dengan kebijakan dan prosedur yang unik untuk organisasi dan,
oleh karena itu, mungkin memerlukan tingkat detail yang lebih tinggi untuk memastikan pembaca
memahami sifat dan konteks pengamatan dan rekomendasi. i Terkadang, tingkat kerahasiaan yang
lebih tinggi mungkin diperlukan untuk perikatan tertentu. Contoh seperti itu harus didiskusikan
sepenuhnya di depan dengan manajemen proses untuk memastikan kiriman mendukung tingkat
kerahasiaan yang diperlukan.
BUKU 2 MEMBELI Contoh: Semua pengecualian pengujian potensial dapat terjadi selama penugasan
ini dan, oleh karena itu, tim audit internal perlu merancang pengujian yang sesuai. Hasil kerja akan
menjadi komunikasi audit internal standar dengan cakupan penuh. Contoh hasil yang mungkin
dibahas dalam bab 14.
MEMAHAMI AUDITEE Ketika merencanakan suatu penugasan, tim audit internal harus terlebih
dahulu memahami auditi (digunakan secara sinonim dengan "proses" atau "area" dalam ruang
lingkup penugasan dalam bab ini). Kegagalan untuk mendapatkan pemahaman yang komprehensif
tentang area yang sedang ditinjau dapat mengakibatkan rencana pengujian yang tidak lengkap atau
kesalahan alokasi sumber daya audit internal yang digunakan dalam perikatan. Oleh karena itu,
memperoleh pemahaman tentang proses tersebut sangatlah penting.
Menentukan Tujuan Auditee Pemahaman proses dimulai dengan menentukan tujuan proses utama.
Tujuan Auditee Hal ini membantu auditor internal memahami mengapa proses tersebut ada, yang
mana auditee berusaha keras untuk menjadi penting ketika mengidentifikasi dan menilai risiko dan
pengendalian tingkat proses. mencapai. Perlu dicatat bahwa langkah keterlibatan ini selaras dengan
risiko, strategi, dan komponen penetapan tujuan dari Komite Organisasi Sponsoring Manajemen
Risiko Perusahaan Treadway Commission (COSO) - Menyelaraskan Risiko dengan Strategi dan
Kinerja, yang dibahas secara lebih rinci di bab 4, "Manajemen Risiko," serta di bagian lain dalam
buku teks ini.
Mungkin ada berbagai jenis tujuan untuk proses tertentu. Secara khusus, tujuan tingkat proses dapat
dijelaskan sebagai berikut (serta dalam contoh untuk proses pencairan tunai BUKU 2 BELI): Tujuan
operasi adalah jenis tujuan yang paling umum di tingkat proses dan biasanya menentukan alasan
proses itu ada. Tujuan ini biasanya adalah tata kelola atau berorientasi tugas, dan akibatnya, sering
kali berfokus pada atribut akurasi, ketepatan waktu, kelengkapan, atau kontrol. Selain itu, tujuan
operasi biasanya berfokus pada memastikan efektivitas dan efisiensi operasi dan pengamanan aset.
BUKU 2 MEMBELI Contoh: Proses pencairan dana mungkin memiliki tujuan yang meliputi:
"Membayar tagihan secara akurat untuk menghindari penyesuaian tagihan atau denda di masa
mendatang karena kurang bayar kewajiban saat ini. Bayar tagihan tepat waktu untuk memanfaatkan
diskon (jika tersedia dan dibenarkan secara ekonomi) atau hindari denda keterlambatan
pembayaran. Catat semua pengeluaran secara akurat dalam catatan akuntansi dan dalam periode
akuntansi yang sesuai. Proses pengeluaran dalam metrik biaya per transaksi yang ditetapkan untuk
memastikan penggunaan sumber daya yang hemat biaya. "Pastikan semua pengeluaran mewakili
kewajiban yang bonafide membayar.
Sasaran pelaporan di tingkat proses dirancang untuk memenuhi kebutuhan pelaporan organisasi,
baik internal maupun eksternal.
BUKU 2 MEMBELI Contoh: Informasi dari proses pengeluaran kas dapat digunakan untuk: *
Pelaporan internal informasi arus kas yang membantu bendahara menyiapkan ramalan kas rendah
mingguan. Mendukung pengungkapan likuiditas dalam regulasi organisasi. Sasaran kepatuhan di
tingkat proses mungkin terkait dengan kepatuhan terhadap undang-undang dan peraturan
eksternal, kebijakan internal, atau kontrak.
BUKU 2 MEMBELI Contoh: Tujuan kepatuhan pencairan tunai dapat COSO Internal meliputi: Tujuan
Pengendalian <Memastikan pencairan sesuai dengan peraturan perbankan yang berlaku dan
undang-undang anti pencucian uang anti-Operasi. - Pelaporan "Memastikan pencairan disetujui
sesuai dengan kebijakan Delegasi wewenang organisasi. Sasaran strategis pada tingkat proses adalah
yang dibuat untuk secara khusus selaras dengan tujuan strategis organisasi. Meskipun tidak selalu
terbukti bagi individu yang melakukan tugas proses tertentu , tujuan ini penting untuk menciptakan
hubungan antara aktivitas sehari-hari dan strategi yang mendorong kesuksesan organisasi.
Perhatikan bahwa diskusi tentang tujuan strategis ini berbeda dari definisi tujuan strategis dalam
Pengendalian Internal COSO - Kerangka Terintegrasi yang dibahas di bab 6, "Pengendalian Internal."
Sasaran strategis per COSO hanya ada di tingkat entitas. Namun, ketika melakukan perikatan
asurans, auditor internal perlu melakukan pendekatan terhadap proses tersebut
'1 "IV»' I IL / Ull ^ llk VI HIV. -IV II 11, IHI VII 1. 1 II I It>> \ 1 \ 1 1 tujuan dapat dianggap strategis di
alam.
BUKU 2 MEMBELI Contoh: Fungsi pengeluaran kas mungkin memiliki tujuan berikut dalam organisasi
dengan kas rendah khusus atau strategi likuiditas: "Membayar tagihan sesuai dengan arahan kas
rendah yang diberikan oleh departemen keuangan untuk mendukung likuiditas berkelanjutan dari
organisasi.Tujuan lain juga dapat dibuat untuk proses spesifik yang terkait dengan inisiatif
departemen individu.
BUKU 2 MEMBELI Contoh: Jika manajemen pengeluaran kas ingin mengembangkan kekuatan bangku
di antara staf, tujuan berikut mungkin dapat diterapkan: "Melatih individu di semua pekerjaan
departemen untuk memastikan setidaknya dua orang mampu melakukan semua tugas departemen
utama.
Pemilik proses atau staf yang terlibat dalam proses mungkin dapat memberikan daftar tujuan
proses. Namun, dalam banyak kasus, tujuan tersebut mungkin belum diartikulasikan secara formal.
Dalam situasi seperti itu, auditor internal mungkin perlu memfasilitasi diskusi dengan individu proses
untuk menentukan tujuan proses utama. Pertanyaan-pertanyaan berikut mungkin terbukti
membantu selama diskusi semacam itu, atau ketika melakukan brainstorming di antara tim audit
internal jika proses individu tidak tersedia: Mengapa proses ini ada (yaitu, apa tujuan utamanya)?
Manakah dari tujuan strategis organisasi yang dipengaruhi atau dipengaruhinya dan bagaimana?
Inisiatif apa yang harus / proses dilakukan untuk membantu organisasi mencapai tujuan
strategisnya?
Apa yang disediakan oleh proses ini bagi organisasi, yang tanpanya organisasi akan kesulitan untuk
berhasil? Pada akhir hari / minggu / bulan / tahun, apa yang membuat karyawan merasa puas
dengan pekerjaannya? Prestasi apa yang cenderung membuat karyawan dikenali oleh manajemen
atau pelanggan internal?
Setelah tujuan proses dipahami, auditor internal siap untuk mengumpulkan informasi tentang
bagaimana proses tersebut beroperasi.
Mengumpulkan Informasi Ada banyak cara untuk mengumpulkan informasi tentang suatu proses.
Auditor internal harus mempertimbangkan berbagai jenis dan sumber informasi relevan yang sudah
tersedia. Selain itu, analisis data dan kontrol tingkat entitas dapat membantu memberikan tambahan
Jenis dan Sumber Informasi yang Relevan Titik awal untuk memahami suatu proses adalah meninjau
dokumentasi yang sudah ada. Misalnya, berikut ini mungkin tersedia dari pemilik proses atau orang
lain yang memahami proses yang mungkin memberikan informasi berguna tentang cara kerja
proses: Kebijakan yang berkaitan dengan proses. * Prosedur manual.
^ ^ Bagan organisasi atau informasi serupa yang menguraikan jumlah karyawan dan hubungan
pelaporan utama. /> y Uraian tugas untuk orang-orang yang terlibat dalam proses tersebut. Peta
proses atau diagram rendah yang menggambarkan keseluruhan proses yang rendah. Deskripsi
naratif tugas atau bagian utama dari proses. Salinan kontrak utama dengan pelanggan, vendor, mitra
outsourcing, dll. Informasi relevan mengenai undang-undang dan peraturan yang mempengaruhi
proses. Dokumentasi lain yang mungkin telah dikembangkan untuk mendukung pelaporan yang
diperlukan tentang keefektifan sistem pengendalian internal.
Informasi ini dapat memberikan auditor internal banyak hal yang diperlukan untuk memahami
proses tersebut. Namun, mungkin masih perlu untuk mendiskusikan aspek-aspek tertentu dengan
individu-individu kunci yang terlibat dalam proses tersebut. Jika dokumentasi yang tersedia tidak
cukup lengkap, mungkin perlu untuk menanyakan individu yang terlibat dalam proses pertanyaan
seperti: Tugas utama apa yang Anda bertanggung jawab untuk lakukan? Inuts apa (informasi,
dokumentasi, dll.) Yang saya tugaskan? Secara khusus, apa yang Anda lakukan dengan masukan ini?
Apa output yang Anda hasilkan dari setiap tugas?
Orang atau area mana yang Anda andalkan saat Anda melakukan tugas-tugas ini? Kumpulkan
Informasi Tentang: Orang atau area mana yang bergantung pada Anda untuk melakukan tugas ini
secara efektif - Masukan dan tepat waktu? - Pemrosesan Sistem informasi apa yang Anda gunakan
saat melakukan tugas ini? - Output Seberapa sendiri yang diperlukan untuk menyelesaikan setiap
tugas? Jenis pengecualian atau kesalahan apa yang biasanya Anda temui? Bagaimana Anda
menangani pengecualian atau kesalahan ini? Hambatan atau tantangan apa lagi yang biasanya Anda
hadapi saat melakukan tugas-tugas ini? Apa yang Anda lakukan untuk menghilangkan hambatan
atau menghadapi tantangan? Pada akhirnya, bagaimana Anda memastikan bahwa Anda melakukan
tugas dengan benar?
Pertanyaan dan pertanyaan lain dapat membantu memberikan informasi yang diperlukan auditor
internal untuk memahami prosesnya. Ini dapat diperoleh melalui wawancara individu atau dengan
melakukan walkthrough, yang melibatkan mengikuti transaksi melalui setiap langkah proses.
Terlepas dari pendekatannya, penting untuk memahami tugas-tugas utama dengan detail yang
memadai untuk memberikan landasan bagi langkah-langkah selanjutnya dalam proses perencanaan.
Prosedur Analitis Memahami tugas-tugas dalam suatu proses, seperti yang dijelaskan di atas,
merupakan langkah penting
Prosedur Analitis
dalam merencanakan pertunangan. Namun, tugas-tugas ini menjelaskan cara suatu proses dirancang
untuk dilakukan, tetapi tugas-tugas ini memberikan sedikit indikasi mengenai seberapa efektif
Meninjau dan mengevaluasi yang ada, mereka dilakukan. Melakukan prosedur analitis adalah salah
satu cara informasi audio internal, yang mungkin finansial atau nonfinansial, untuk menentukan
apakah pemeriksa melakukan penilaian tingkat tinggi yang dapat mengungkapkan aktivitas proses
yang konsisten dengan perhatian lebih dekat kata-kata kasar yang telah ditentukan sebelumnya dan,
karenanya, pengujian yang lebih rinci. harapan.
Prosedur analitis melibatkan peninjauan dan evaluasi informasi yang ada, yang mungkin bersifat
finansial atau non-finansial, untuk menentukan apakah itu konsisten dengan ekspektasi yang telah
ditentukan sebelumnya.
PEMBELIAN BUKU 2 Contoh: Untuk audit pengeluaran kas, analisis ini dapat mencakup salah satu
atau semua hal berikut: Perbandingan informasi keuangan dengan periode sebelumnya, misalnya,
tren saldo hutang dari satu kuartal ke kuartal berikutnya. Analisis rasio, misalnya, rasio lancar (aset
lancar dibagi dengan kewajiban sewa) dan perputaran hutang (harga pokok penjualan dibagi dengan
hutang). Perbandingan informasi keuangan atau non-keuangan dengan informasi yang dianggarkan,
misalnya, saldo kas aktual versus perkiraan jumlah kas.
Analisis Data Menggunakan Teknik Audit Berbantuan Komputer (CAATs) Analisis data melibatkan
pengumpulan dan analisis data dalam jumlah besar, biasanya melalui penggunaan teknologi. Teknik
ini dijelaskan lebih rinci dalam bab 10, "Bukti Audit dan Makalah Kerja." Sedangkan sebagian besar
analisis data adalah
MELAKUKAN KETERLIBATAN JAMINAN 13-11
dilakukan untuk menguji keefektifan suatu proses, beberapa pengujian analisis data dapat
memberikan informasi yang berguna selama proses perencanaan. Analisis data dapat memberikan
informasi tentang populasi transaksi yang terbukti berguna saat menentukan pendekatan audit
internal.
PEMBELIAN BUKU 2 Contoh: Pada saat melakukan audit internal atas proses pengeluaran kas, tim
audit internal dapat melakukan data berikut
Bantuan Komputer
tes analisis selama tahap perencanaan:
Teknik Audit
Jumlah atau persentase pembayaran yang dilakukan sebelum atau setelah jatuh tempo Teknik audit
otomatis, tanggal tersebut dapat memberikan wawasan tentang seberapa dekat posisi terendah kas
dikelola. sebagai perangkat lunak audit umum, perangkat lunak utilitas, data pengujian, perangkat
lunak aplikasi ‹Jumlah pemeriksaan manual ini dapat menunjukkan kekurangan desain proses atau
penelusuran dan pemetaan gudang, dan mengaudit potensi pengelakan dari kontrol yang telah
ditetapkan. sistem pakar, yang membantu auditor internal secara langsung menguji kontrol yang
dibangun ke dalam Stratiication jumlah pembayaran ini dapat memberikan informasi tentang tingkat
sistem informasi terkomputerisasi dari pembayaran kecil yang dilakukan, yang menunjukkan potensi
untuk kartu pengadaan. dan data yang terdapat dalam file komputer. Distribusi angka pertama dari
jumlah pembayaran (analisis Hukum Benford) distribusi yang tidak mengikuti Hukum Benford
mungkin merupakan indikasi praktik pencairan yang tidak biasa (misalnya, faktur terpisah), yang
dapat, pada gilirannya, mempengaruhi pendekatan audit internal . Hukum Benford memperkirakan
berapa kali masing-masing dari 10 digit (nol hingga sembilan) biasanya akan muncul di awal setiap
angka dalam populasi dengan karakteristik tertentu.
Jumlah pembayaran duplikat ke vendor yang sama ini mungkin menunjukkan potensi pembayaran
duplikat, atau memberikan wawasan tentang vendor yang pembayaran berulangnya dilakukan untuk
jumlah yang serupa.
Memperoleh informasi tentang suatu populasi selama fase perencanaan dapat membantu pengujian
desain auditor internal yang paling efektif menangani risiko yang melekat dalam proses.
Analisis Kontrol Tingkat Entitas Meskipun penting untuk memahami tugas dan kontrol tingkat
proses, penting juga untuk memahami bagaimana kontrol tingkat entitas dapat memengaruhi
kinerja Kontrol Tingkat Entitas dari suatu proses. Kekurangan dalam pengendalian tingkat entitas
dapat menghindari Pengendalian yang beroperasi di seluruh pengendalian yang dirancang dengan
baik dalam suatu proses dan, pada kenyataannya, menjadi risiko yang melekat pada entitas dan,
dengan demikian, tidak terikat pada operasi pengendalian yang efektif pada tingkat proses.
Misalnya, jika organisatoris. atau terkait dengan, kebijakan individu di seluruh negeri cenderung
informal dan ditegakkan secara tidak konsisten, kemudian proses kebijakan. khusus untuk proses
yang diaudit mungkin tidak terlalu penting untuk memahami proses tersebut. Demikian pula, jika
ada sedikit komitmen untuk menarik, melatih,
Pengendalian tingkat entitas biasanya dievaluasi di seluruh organisasi pada interval periodik
(misalnya, setiap tahun). Oleh karena itu, biasanya tidak perlu melakukan penilaian keefektifan
pengendalian tingkat entitas pada setiap perikatan. Namun, seperti yang dijelaskan dalam paragraf
sebelumnya, auditor internal harus mempertimbangkan hasil penilaian pengendalian tingkat entitas
ketika merencanakan perikatan individu untuk memastikan pendekatan pengujian relevan dan
efisien.
Mendokumentasikan Alur Proses Seperti yang telah dibahas di atas, mungkin ada banyak jenis
informasi yang dapat dikumpulkan tentang suatu proses dari berbagai sumber. Untuk menunjukkan
bahwa auditor internal memahami bagaimana proses sebenarnya beroperasi, langkah-langkah kunci
dalam proses tersebut harus didokumentasikan. Proses ini, dokumentasi yang rendah akan
memfasilitasi Peta Proses a iv ^ v iv ^ v 177- »fb" r \ oTnaT * c V \\ r tVi * i infernal anHitr ^ r'c cnr% *
»rxricr * rr% v nthprQ Tnf Menggambarkan masukan yang luas, kegiatan, cara paling umum untuk
mendokumentasikan proses rendah adalah diagram rendah (tingkat tinggi atau alur kerja, dan
interaksi dengan detail) dan memorandum naratif. Sebelum memberikan deskripsi singkat tentang
masing-masing, proses dan keluaran lainnya. penting untuk memahami beberapa halus perbedaan
antara dokumentasi proses terendah. Peta proses, seperti yang dijelaskan dalam bab 5, mencoba
untuk menggambarkan masukan, kegiatan, alur kerja, dan interaksi yang luas dengan proses dan
keluaran lain. Mereka menyediakan kerangka kerja untuk memahami aktivitas dan subproses.
Diagram alir mencakup informasi tambahan, sering kali menggambarkan sistem dan aplikasi
komputer, dokumen terendah, risiko dan kontrol terperinci, langkah manual versus otomatis, waktu
yang berlalu untuk langkah-langkah dalam proses, pemilik langkah-langkah utama, dan informasi
tambahan apa pun yang diperlukan untuk membantu peninjau memahami proses dan itu rendah.
Nota naratif memberikan informasi tentang proses rendah hanya dengan menggunakan kata-kata
tertulis; tidak ada upaya untuk menggunakan simbol untuk menggambarkan rendah. Biasanya untuk
menggabungkan grafik rendah dengan informasi naratif tambahan untuk membuat bentuk
dokumentasi hibrida. Mereka menyediakan kerangka kerja untuk memahami aktivitas dan
subproses. Diagram alir mencakup informasi tambahan, sering kali menggambarkan sistem dan
aplikasi komputer, dokumen terendah, risiko dan kontrol terperinci, langkah manual versus
otomatis, waktu yang berlalu untuk langkah-langkah dalam proses, pemilik langkah-langkah utama,
dan informasi tambahan apa pun yang diperlukan untuk membantu peninjau memahami proses dan
itu rendah. Nota naratif memberikan informasi tentang proses rendah hanya dengan menggunakan
kata-kata tertulis; tidak ada upaya untuk menggunakan simbol untuk menggambarkan rendah.
Biasanya untuk menggabungkan grafik rendah dengan informasi naratif tambahan untuk membuat
bentuk dokumentasi hibrida. Mereka menyediakan kerangka kerja untuk memahami aktivitas dan
subproses. Diagram alir mencakup informasi tambahan, sering kali menggambarkan sistem dan
aplikasi komputer, dokumen terendah, risiko dan kontrol terperinci, langkah manual versus
otomatis, waktu yang berlalu untuk langkah-langkah dalam proses, pemilik langkah-langkah utama,
dan informasi tambahan apa pun yang diperlukan untuk membantu peninjau memahami proses dan
itu rendah. Nota naratif memberikan informasi tentang proses rendah hanya dengan menggunakan
kata-kata tertulis; tidak ada upaya untuk menggunakan simbol untuk menggambarkan rendah.
Biasanya untuk menggabungkan grafik rendah dengan informasi naratif tambahan untuk membuat
bentuk dokumentasi hibrida. risiko dan kontrol terperinci, langkah manual versus otomatis, waktu
yang berlalu untuk langkah-langkah dalam proses, pemilik langkah-langkah utama, dan informasi
tambahan apa pun yang diperlukan untuk membantu peninjau memahami proses dan rendahnya.
Nota naratif memberikan informasi tentang proses rendah hanya dengan menggunakan kata-kata
tertulis; tidak ada upaya untuk menggunakan simbol untuk menggambarkan yang rendah. Biasanya
untuk menggabungkan grafik rendah dengan informasi naratif tambahan untuk membuat bentuk
dokumentasi hibrida. risiko dan kontrol terperinci, langkah manual versus otomatis, waktu yang
berlalu untuk langkah-langkah dalam proses, pemilik langkah-langkah utama, dan informasi
tambahan yang diperlukan untuk membantu peninjau memahami proses dan rendahnya. Nota
naratif memberikan informasi tentang proses rendah hanya dengan menggunakan kata-kata tertulis;
tidak ada upaya untuk menggunakan simbol untuk menggambarkan rendah. Biasanya untuk
menggabungkan grafik rendah dengan informasi naratif tambahan untuk membuat bentuk
dokumentasi hibrida.
Peta proses cenderung paling berguna di tingkat bisnis, seperti yang dijelaskan dalam bab 5,
sementara diagram rendah dan dokumentasi hibrid menyediakan informasi yang diperlukan untuk
memahami proses yang terperinci. Berikut ini adalah uraian singkat tentang teknik-teknik yang biasa
digunakan pada tingkat proses.
Diagram Alir Tingkat Tinggi Tujuan dari diagram alir tingkat tinggi adalah untuk menggambarkan
masukan, tugas, alur kerja, dan keluaran yang luas. Diagram rendah tingkat tinggi membantu
peninjau memahami keseluruhan aktivitas, sistem, laporan, dan antarmuka dengan proses atau
subproses lain. Pemahaman ini akan memberikan kerangka acuan untuk mengidentifikasi subproses
kunci Bagan alir dan sistem yang dapat dipertimbangkan untuk ruang lingkup penugasan. Diagram
alir l _ '. ^ U << w »% f,, uf MWS.MV", vi- -w * - .. biasanya digambar seperti peta proses, dengan
informasi tambahan ditambahkan sebagai sistem dan aplikasi komputer yang diperlukan, penting
untuk mendukung pemahaman proses yang rendah. Aliran dokumen diagram rendah umum, risiko
terperinci, dan simbol ing ditunjukkan pada gambar 13-5. Simbol-simbol ini memperluas yang
digunakan untuk kontrol, peta proses manual versus otomatis, sebagaimana dibahas dalam bab 5.
langkah, waktu yang telah berlalu, dan pemilik langkah-langkah utama. BUKU 2 MEMBELI Contoh:
Bagan alir tingkat tinggi yang menggambarkan proses pencairan tunai ditunjukkan pada Gambar 13-
6.
Tabel rendah tingkat tinggi yang sederhana dapat digunakan untuk menegaskan pemahaman
keseluruhan auditor internal tentang proses dengan pemilik proses, membantu dalam menentukan
area atau subproses mana yang berada dalam ruang lingkup untuk penugasan, dan berfungsi sebagai
ringkasan pandangan dari detail lowcharts.
PAMERAN 13-5 SIMBOL UMUM FLOWCHARTING
Proses atau operasi - Proses, subproses, atau aktivitas.
Keputusan - Menunjukkan pilihan alternatif (misalnya, ya / tidak atau terima / tolak), yang masing-
masing menghasilkan aliran aktivitas dan / atau dokumen yang berbeda.
Dokumen - Dokumen sumber input hard copy atau laporan output.
Flow line - Arah kegiatan, alur kerja, arus informasi, ”dokumen, dan handoff.
Sistem atau aplikasi komputer - Teknologi informasi yang digunakan untuk menyimpan data,
menjalankan aplikasi, atau menjalankan fungsi berbasis komputer lainnya. Konektor pada halaman -
Digunakan untuk menyambungkan bagian yang berbeda dari diagram alur pada halaman yang sama
tanpa menggunakan garis alur.
Konektor di luar halaman - Digunakan untuk menghubungkan bagian diagram alir yang
didokumentasikan di halaman berbeda. Terminator - Awal atau akhir aliran.CD Annotation - Catatan
penjelasan yang dilampirkan ke titik tertentu di ~ flowchart.
Diagram Alir Terperinci Meskipun diagram alir tingkat tinggi merupakan titik awal yang penting,
diagram ini tidak memberikan kedalaman dan tingkat detail yang diperlukan untuk mendukung
penilaian auditor internal terkait desain proses. Sebuah diagram rendah yang rinci
mendokumentasikan masukan, tugas, tindakan, sistem, keputusan, dan keluaran yang lebih spesifik.
Selain memberikan gambaran yang lebih rinci tentang proses yang rendah, diagram rendah yang
terperinci memberikan informasi tambahan yang meningkatkan pemahaman proses. Sebagai
contoh, diagram rendah yang terperinci dapat mencakup beberapa atau semua hal berikut: Risiko
utama, yang dapat dilambangkan dengan simbol yang mengidentifikasi titik-titik dalam proses di
mana ada yang tidak beres dan menyebabkan proses tidak beroperasi sebagaimana yang dirancang.
Kontrol kunci, yang dapat dilambangkan dengan simbol yang mengidentifikasi tugas, tindakan, atau
keputusan yang dianggap penting untuk desain proses yang memadai. Individu atau posisi yang
melakukan tugas utama atau membuat keputusan. Waktu kapan tugas, tindakan, atau keputusan
utama terjadi. Waktu yang dibutuhkan untuk melakukan tugas atau membuat keputusan (ini dapat
dimasukkan jika diagram rendah digunakan untuk mengevaluasi efisiensi proses).
GAMBAR 13-7 FLOWCHART RINCI, (lanjutan)
RESIKO PENGOLAHAN INVOICE
Faktur tidak diterima tepat waktu oleh hutang dagang, mengakibatkan kewajiban tidak tercermin
dengan baik dalam laporan keuangan. Faktur tidak diproses tepat waktu oleh hutang dagang,
mengakibatkan hilangnya peluangV untuk mengambil diskon atau menimbulkan biaya
keterlambatan pembayaran. Informasi faktur dimasukkan secara tidak akurat ke dalam sistem
pembelian, mengakibatkan pembayaran yang tidak akurat atau tidak tepat. Faktur duplikat
dimasukkan dan diproses untuk pembayaran, menghasilkan paymentV untuk faktur yang sama dua
kali.
Petugas hutang akun memiliki akses yang tidak tepat ke berbagai sistem, memungkinkan mereka
untuk mendirikan vendor yang curang, membuat pesanan pembelian palsu, dan melakukan
pembayaran tidak sah. Pembayaran diproses ke vendor yang salah atau tidak ada, mengakibatkan
pembayaran lateV ke vendor yang benar, kebutuhan untuk mengumpulkan pengembalian dana dari
vendor yang salah, atau pembayaran yang curang. Pembayaran diproses untuk faktur yang belum
disetujui, mengakibatkan pembayaran dalam V sebelum barang atau jasa diterima. Faktur yang
diproses tidak sesuai dengan pesanan pembelian, menerima laporan, atau dokumentasi relevan
lainnya, yang mengakibatkan timbulnya kewajiban dan pembayaran dalam jumlah yang salah.
Pembayaran dilakukan sebelum tanggal jatuh tempo, mengakibatkan hilangnya nilai waktu uang.V
Pembayaran tidak sah dilakukan,
(lanjutan halaman berikutnya)
BUKU 2 MEMBELI Contoh: Contoh grafik rendah rinci ditunjukkan pada pameran 13-7- Contoh ini
menggambarkan subproses pemrosesan faktur dalam proses pengeluaran tunai untuk BUKU 2 BELI.
Subproses pemrosesan faktur ditampilkan di grafik rendah tingkat tinggi pada pameran 13-6.
Karena banyak orang adalah pembelajar dan pemikir visual, peta rendah yang terperinci adalah cara
yang efektif untuk menyajikan banyak informasi dalam format yang intuitif dan tidak dapat diatur.
Tingkat informasi dalam diagram rendah yang terperinci harus memadai untuk mendukung penilaian
auditor internal mengenai identifikasi pengendalian kunci, kecukupan desain proses secara
keseluruhan, dan kesenjangan antara tingkat pengendalian khusus saat ini dan yang diinginkan.
Memorandum Naratif Mungkin ada situasi di mana auditor internal percaya bahwa lebih tepat untuk
mendokumentasikan pemahaman proses menggunakan penulisan naratif daripada catatan rendah.
Situasi ini biasanya menunjukkan satu atau lebih dari karakteristik berikut:
MELAKUKAN KETERLIBATAN JAMINAN 13-17
GAMBAR 13-7 FLOWCHART RINCI, (lanjutan)
KONTROL PEMROSESAN INVOICE DAN GAPS DESAIN Sebagai bagian dari proses penutupan akhir
bulan, manajer A / P akan meminta informasi A L L_A tentang faktur yang belum diproses dan akan
menyiapkan akrual yang sesuai. Setelah faktur yang disetujui dimasukkan, sistem akan secara
otomatis membukukan kredit A ke A / P dan mendebitnya ke akun pengeluaran atau neraca yang
sesuai. Pesanan pembelian terbuka ditinjau sebulan sekali oleh manajer pembelianA untuk
menentukan statusnya.
Petugas A / P menjalankan laporan pada akhir setiap minggu yang menunjukkan faktur masuk tetapi
tidak disetujui. Untuk faktur terutang lebih dari seminggu, pengingat dikirim ke pengguna. Sistem
pembelian mensyaratkan bahwa semua bidang faktur diselesaikan sebelum pemrosesan selesai.
Faktur tidak dapat dimasukkan tanpa kecocokan dengan vendor yang disetujui.
Sistem pembelian memberitahu petugas A / P jika nomor vendor, nomor faktur, dan jumlah faktur
cocok dengan faktur yang dimasukkan sebelumnya. Sistem pembelian memastikan kesesuaian
antara jumlah dan harga pada faktur, pesanan pembelian, dan dokumen penerimaan. Jika tidak
cocok, faktur akan ditahan. Batas persetujuan faktur dikonfirmasikan dengan kepala departemen
setiap tahun dan diperbarui jika perlu. Nama pengguna dan kata sandi AA diperlukan untuk
mengakses semua sistem. Kata sandi tergantung pada parameter penamaan, dan harus diubah
setiap 90 hari.
Hak akses sistem ditinjau setengah tahunan dengan kepala departemen untuk memastikan
kapabilitas akses selaras dengan tanggung jawab pekerjaan. Personel A / P tidak dapat mengakses
masterile vendor, juga tidak dapat membuat perubahan A ke pesanan pembelian yang dimasukkan
sebelumnya dan menerima informasi. Hanya manajer A / P yang dapat memulai pemrosesan batch
cek terkomputerisasi. Hanya personel departemen keuangan yang berhak memproses transfer bank.
Sistem pembelian berinteraksi dengan modul A / P buku besar dan sistem transfer bank. Cek
terkomputerisasi di atas $ 50.000 memerlukan tanda tangan manual dari bendahara. Cek
terkomputerisasi di atas $ 100.000 memerlukan tanda tangan manual dari CFO. Pemeriksaan manual
membutuhkan tanda tangan ganda dari bendahara dan CFO. Perjanjian harus mengizinkan transfer
bank individu yang melebihi $ 100.000.
Tidak ada pemeriksaan dengan pengguna untuk menentukan apakah ada barang atau jasa yang
telah diterima tetapi belum ditagih (observasi keterlibatan tertulis di kertas kerja Zl).
Meskipun sistem pembelian memberi tahu petugas A / P tentang kemungkinan adanya faktur
duplikat, hal itu tidak mencegah petugas A / P untuk terus memproses faktur tersebut (observasi
keterlibatan tertulis di kertas kerja 2.-2).
Prosesnya sederhana dan, dengan demikian, penggambaran visual yang dibuat dalam peta rendah
tidak bernilai tinggi. Langkah-langkahnya rumit, sehingga sulit untuk mendeskripsikannya secara
efektif dalam ruang terbatas yang disediakan dalam simbol diagram alur. Pemilik proses
menginginkan keluaran untuk mendukung dokumentasi proses lainnya dan lebih memilih penulisan
naratif daripada grafik rendah. Tulisan naratif adalah cara yang lebih efisien untuk
mendokumentasikan proses tersebut.
Nota naratif harus mencakup jenis informasi yang sama seperti yang ada di peta rendah. Meskipun
bagian-bagian tertentu dari memorandum semacam itu dapat berbeda-beda di antara proses-
prosesnya, sebuah memorandum pada umumnya harus mencakup elemen-elemen dari garis besar
berikut ini: 1. Deskripsi keseluruhan dari proses tersebut Alasan-alasan untuk Naratif 2. Masukan-
masukan utama Memorandum: a. Dokumen atau komunikasi dari sumber luar (misalnya, - Faktur
atau cek proses sederhana) - Langkah-langkah rumit b. Keluaran dari proses atau subproses lain -
Proses permintaan pemilik c. Informasi dari sumber luar d. Data dari sistem internal - Lebih efisien 3.
Langkah-langkah kunci dalam proses a. Tugas yang menangani, memeriksa, mengubah, atau
memantau masukan b. Analisis yang selesai c. Keputusan atau penilaian yang dibuat d. Aplikasi
komputer yang diperbarui e. Dokumen atau informasi baru yang dibuat f. Individu kunci yang
melaksanakan tugas g. Waktu yang berlalu untuk tugas atau kelompok tugas 4. Keluaran utama a.
Dokumen yang akan dikirim ke pihak luar (misalnya, tagihan, cek, atau laporan) b. Laporan untuk
penggunaan internal c. Masukan ke proses atau subproses lain d. Data yang akan disimpan secara
elektronik e. Salinan dokumen cetak harus disimpan secara internal 5. Risiko yang mengancam
proses 6. Kontrol kunci (lihat bagian Mengidentifikasi Kontrol Kunci nanti di bab ini)
Terlepas dari apakah peta rendah, memorandum naratif, atau kombinasi keduanya digunakan,
mendokumentasikan proses terendah membantu memberikan pemahaman yang penting untuk
langkah selanjutnya dalam perencanaan keterlibatan. Oleh karena itu, perhatian harus diberikan
untuk menginvestasikan cukup waktu dalam memahami proses untuk memungkinkan penilaian
kecukupan desain proses oleh auditor internal.
Penting untuk diingat bahwa dalam perjanjian jaminan, peta rendah dan memorandum naratif
digunakan untuk menggambarkan keadaan saat ini atau "sebagaimana adanya", bukan keadaan
yang diinginkan atau "seharusnya". Tujuan audit umum adalah untuk mengevaluasi kecukupan
desain dan efektivitas operasi suatu proses. Keadaan saat ini didokumentasikan untuk membantu
auditor internal menilai kecukupan desain saat ini. Itu
Auditee memperoleh keadaan yang diinginkan hanya setelah menangani setiap kekurangan yang
diidentifikasi oleh auditor internal.
Mengidentifikasi Indikator Kinerja Utama Setelah memperoleh pemahaman tentang proses yang
rendah, akan sangat membantu bagi auditor Indikator Kinerja Utama internal untuk juga memahami
bagaimana manajemen tingkat proses memantau kinerja. Metrik atau bentuk pengukuran lainnya
Seringkali, akan ada indikator kinerja utama (KPI), yang dipantau apakah suatu proses atau tugas
individu secara berkala untuk memberikan informasi kepada pemilik proses tentang seberapa baik
proses tersebut beroperasi dalam kinerja yang ditentukan. Pemantauan KPI ini mungkin serupa
dengan proses analitis toleransi. berapa lama auditor internal dilakukan, seperti yang dijelaskan di
bagian sebelumnya, atau sangat berbeda. Ada karakteristik tertentu dari indikator kinerja utama
yang baik. Mereka harus: Relevan, yaitu mengukur apa yang penting (misalnya, akurasi pencairan)
sebagai lawan dari apa yang dapat dihitung (misalnya, nilai dolar dari pembayaran yang diproses).
Terukur, yaitu, terdapat informasi yang dapat diukur untuk menentukan kinerja yang berhasil
(misalnya, informasi pencairan yang tidak akurat dilacak dan dikumpulkan untuk memantau
keakuratan pencairan). Tersedia, yaitu, informasi yang dibutuhkan tersedia pada waktu yang tepat
dan untuk orang yang tepat, memungkinkan pengukuran kinerja proses yang tepat waktu (misalnya,
statistik pencairan tersedia untuk manajer hutang pada penutupan setiap siklus pembayaran).
Selaras dengan tujuan utama bisnis dan proses (misalnya, informasi pembayaran duplikat ditangkap
karena ada tujuan untuk tidak memilikinya).
Indikator kinerja utama, baik formal maupun informal, dapat menentukan toleransi pemilik proses
terhadap penyimpangan kinerja. Manajemen menentukan tingkat kesalahan apa yang bersedia
mereka terima ketika proses tidak berjalan seperti yang diharapkan. Mengetahui tingkat toleransi ini
akan membantu auditor internal dalam mengevaluasi hasil pengujian. Misalnya, jika auditor internal
menemukan tingkat kesalahan dua persen dalam sebuah pengujian, mengetahui apakah frekuensi
kesalahan ini dapat diterima akan membantu auditor internal menentukan apakah tingkat kesalahan
ini signifikan.
PEMBELIAN BUKU 2 Contoh: Contoh indikator kinerja utama atau proses pengeluaran tunai adalah
sebagai berikut: 100 persen pencairan sudah akurat, misalnya jumlah yang dibayarkan sesuai dengan
faktur. 98 persen pencairan dibayar pada saat jatuh tempo. Dalam keadaan apa pun perusahaan
tidak boleh membayar bunga atau denda atas keterlambatan pembayaran. Tidak ada pembayaran
duplikat. "90 persen dari hutang dengan diskon gaji awal melebihi satu persen dibayarkan pada
waktunya untuk mengambil diskon.
Mengevaluasi Risiko Penipuan Tingkat Proses Terakhir, penting untuk memahami potensi risiko
penipuan tingkat proses. Sebagaimana dibahas di bagian selanjutnya dalam bab ini, sebagian besar
risiko didasarkan pada ketidaktepatan peristiwa yang mungkin terjadi karena sifat proses yang
melekat. Kemungkinan yang melekat dari risiko tertentu yang terjadi meningkat jika ada niat oleh
individu untuk melakukan penipuan dan / atau kolusi di antara banyak individu yang terlibat dalam
proses tersebut. Oleh karena itu, sebelum memulai proses penilaian risiko formal dalam suatu
perikatan, penting untuk mengevaluasi skenario potensi kecurangan yang terjadi. Ini melibatkan tiga
langkah berikut: 1. Mengidentifikasi skenario penipuan potensial. Brainstorming dengan individu
Penipuan yang terlibat dalam proses adalah cara yang efektif untuk mengidentifikasi cara yang
mungkin dilakukan oleh Setiap tindakan ilegal yang ditandai oleh individu mana, bekerja sendiri atau
berkolusi dengan orang lain, dapat mengelak dari penipuan, penyembunyian, atau pelanggaran
melampiaskan proses. kepercayaan. Tindakan tersebut tidak bergantung pada ancaman kekerasan
atau BUKU 2 BELI Contoh: Contoh potensi penipuan pencairan uang tunai secara paksa. Penipuan
dilakukan; i..J .iUCLUUC. hv narties organisasi ke-6 untuk mendapatkan uang, properti, atau layanan;
Seorang karyawan membuat vendor ictitious dengan alamatnya sendiri, mengirimkan untuk
menghindari pembayaran atau hilangnya layanan; faktur untuk diproses ke vendor itu, dan
menyetorkan pembayaran ke dalam atau atau untuk mengamankan akun pribadi atau bisnisnya
sendiri. keuntungan. "Seorang karyawan bagian hutang memproses pembayaran duplikat dan,
melalui kolusi dengan vendor, setuju untuk membagi hasil pembayaran tambahan dengan individu di
vendor tersebut." Seorang pegawai bendahara membuat rekening bank atas nama yang mirip
dengan vendor resmi dan mentransfer dana ke rekening itu. 2. Pahami potensi dampak penipuan.
Dampak potensial dari setiap skenario penipuan harus ditentukan. Misalnya, organisasi dapat:
Menderita kerugian finansial langsung (melalui penyalahgunaan aset). i Salah merepresentasikan
hasil keuangan (melalui pelaporan keuangan yang mengandung kecurangan). Menderita kerusakan
reputasi jika kecurangan sangat berpengaruh negatif pada tata kelola organisasi. 3. Tentukan apakah
akan menguji risiko kecurangan spesifik. Berdasarkan dua langkah pertama, auditor internal dapat
menilai, berdasarkan risiko inheren kecurangan dalam proses, apakah tes khusus harus dirancang
untuk menentukan kerentanan kecurangan.
Maksud dari langkah ini tidak serta merta untuk mengidentifikasi terjadinya fraud, melainkan untuk
mengevaluasi kemungkinan terjadinya skenario fraud. Jika kemungkinan skenario tersebut akan
terjadi, auditor internal harus mempertimbangkan untuk merancang pengujian khusus untuk
mengidentifikasi terjadinya, atau potensi, skenario kecurangan. Lihat bab 8, "Risiko Penipuan dan
Tindakan Ilegal", untuk diskusi lebih lanjut tentang penipuan.
IDENTIFIKASI DAN PENILAIAN RISIKO Mengidentifikasi Skenario Risiko Tingkat Proses Suatu
organisasi menetapkan proses untuk melaksanakan rencana bisnisnya dan mencapai tujuannya.
Proses ini mungkin terpisah dan terfokus, atau mungkin juga
lintas fungsi. Risiko ada di semua proses, terlepas dari luasnya, lokasi, atau fokusnya. Tugas pertama
dalam menilai risiko tingkat proses adalah mengidentifikasi skenario risiko yang melekat dalam
proses. Skenario risiko adalah peristiwa potensial dalam kehidupan nyata yang dapat berdampak
buruk pada pencapaian tujuan.
Risiko yang diperlihatkan dalam pameran 13-7 mungkin tidak dapat diidentifikasi sampai auditor
internal telah menyelesaikan tugas ini dalam proses perencanaan. Biasanya kedua langkah ini:
Memahami Auditee dan Mengidentifikasi dan Menilai Risiko dilakukan secara berulang.
p. . Tujuan dari mengidentifikasi skenario risiko adalah untuk menjawab pertanyaan: Apa yang dapat
terjadi yang akan menghalangi pencapaian setiap tujuan tingkat proses? Untuk menjawab
kemungkinan bahwa suatu peristiwa akan terjadi pertanyaan ini, auditor internal harus melakukan
brainstorming skenario risiko yang mungkin. Ini dan berdampak negatif pada pencapaian ollowing
memberikan garis besar tentang bagaimana hal ini dapat dilakukan. tujuan. 1. Pilih satu tujuan
tingkat proses. Latihan ini bekerja paling baik jika dilakukan satu tujuan pada satu waktu. 2.
Diskusikan hambatan (peristiwa, masalah, keadaan, dll.) Yang mungkin mengancam pencapaian
tujuan. Contohnya adalah sebagai berikut: a. Peristiwa eksternal di mana organisasi tidak siap atau
tidak bereaksi tepat waktu atau tepat. b. Prosedur yang dirancang tidak memadai atau
didokumentasikan dengan buruk. c. Kerusakan dalam prosedur yang ada. d. Kurangnya orang yang
tepat, dengan keterampilan yang tepat, ditempatkan dengan cara yang benar. e. Komunikasi yang
tidak memadai antara area antarmuka. f. Karyawan yang dengan sengaja melanggar kebijakan atau
bertindak tidak etis. g. Aplikasi komputer yang didesain dengan tidak memadai atau sudah usang. h.
Informasi yang tidak tepat waktu, tidak akurat, atau tidak memadai untuk pengambilan keputusan, i.
Kegagalan mengukur kinerja. 3. Lanjutkan latihan untuk tujuan tingkat proses yang tersisa. 4. Karena
beberapa skenario risiko akan serupa di seluruh tujuan tingkat proses, kategorikan dan gabungkan
skenario risiko yang serupa. Alasan untuk menggabungkan skenario risiko serupa akan menjadi lebih
jelas di tugas berikutnya, Menentukan Risiko Tingkat Proses. Karyawan yang dengan sengaja
melanggar kebijakan atau bertindak tidak etis. g. Aplikasi komputer yang didesain dengan tidak
memadai atau sudah ketinggalan zaman. h. Informasi yang tidak tepat waktu, tidak akurat, atau
tidak memadai untuk pengambilan keputusan, i. Kegagalan mengukur kinerja. 3. Lanjutkan latihan
untuk tujuan tingkat proses yang tersisa. 4. Karena beberapa skenario risiko akan serupa di seluruh
tujuan tingkat proses, kategorikan dan gabungkan skenario risiko yang serupa. Alasan untuk
menggabungkan skenario risiko serupa akan menjadi lebih jelas di tugas berikutnya, Menentukan
Risiko Tingkat Proses. Karyawan yang dengan sengaja melanggar kebijakan atau bertindak tidak etis.
g. Aplikasi komputer yang didesain dengan tidak memadai atau sudah usang. h. Informasi yang tidak
tepat waktu, tidak akurat, atau tidak memadai untuk pengambilan keputusan, i. Kegagalan
mengukur kinerja. 3. Lanjutkan latihan untuk tujuan tingkat proses yang tersisa. 4. Karena beberapa
skenario risiko akan serupa di seluruh tujuan tingkat proses, kategorikan dan gabungkan skenario
risiko yang serupa. Alasan untuk menggabungkan skenario risiko serupa akan menjadi lebih jelas di
tugas berikutnya, Menentukan Risiko Tingkat Proses. Karena beberapa skenario risiko akan serupa di
seluruh tujuan tingkat proses, kategorikan dan gabungkan skenario risiko yang serupa. Alasan untuk
menggabungkan skenario risiko serupa akan menjadi lebih jelas di tugas berikutnya, Menentukan
Risiko Tingkat Proses. Karena beberapa skenario risiko akan serupa di seluruh tujuan tingkat proses,
kategorikan dan gabungkan skenario risiko yang serupa. Alasan untuk menggabungkan skenario
risiko serupa akan menjadi lebih jelas di tugas berikutnya, Menentukan Risiko Tingkat Proses.
Latihan brainstorming ini akan dioptimalkan jika individu yang terlibat dalam proses berpartisipasi.
Mereka mungkin dapat mengidentifikasi skenario risiko berdasarkan pengalaman tangan pertama.
Namun, auditor internal yang berpengalaman harus dapat melakukan latihan ini sebagai permulaan
tanpa bantuan dari individu di tingkat proses. Penilaian awal seperti itu harus divalidasi dengan
individu tingkat proses jika memungkinkan.
Cara yang efektif bagi auditor internal untuk melakukan sesi brainstorming adalah dengan menulis
skenario yang berbeda pada catatan tempel sendiri dan meletakkannya di dinding atau papan besar.
Setelah brainstorming selesai, catatannya dapat 1) disusun berdasarkan tujuan untuk memastikan
cakupan yang komprehensif dari setiap tujuan, dan 2) dikategorikan berdasarkan jenis skenario yang
serupa untuk mendukung definisi risiko.
BUKU 2 PEMBELIAN Contoh: Berikut ini adalah beberapa dari banyak contoh skenario risiko untuk
proses pengeluaran tunai: f Faktur tidak diproses tepat waktu untuk memungkinkan pembayaran
pada tanggal jatuh tempo.
Pembayaran duplikat dilakukan karena faktur dimasukkan dua kali sekali dari faktur yang disetujui
dan kedua kalinya dari pernyataan yang dikirim oleh vendor. i Seorang juru tulis hutang secara tidak
sengaja memasukkan jumlah yang salah ke dalam sistem, mengakibatkan pembayaran dalam jumlah
yang salah. Karena pergantian karyawan dalam hutang dagang, ada penundaan masukan yang
mengakibatkan keterlambatan pembayaran. Individu yang tidak berwenang mengubah persyaratan
pembayaran dalam sistem yang mengakibatkan pembayaran terlambat atau salah.
Mendefinisikan Risiko Tingkat Proses Seperti yang ditunjukkan di atas, skenario risiko serupa
memberikan dasar untuk mengidentifikasi masalah tingkat proses. Skenario risiko mewakili peristiwa
kehidupan nyata spesifik yang dapat memengaruhi pencapaian tujuan. Resiko adalah gambaran yang
lebih luas tentang sebab dan akibat dari peristiwa tersebut. Tugas berikutnya dalam menilai risiko
tingkat proses adalah menentukan risiko yang relevan.
Ada banyak cara untuk menentukan risiko. Pendekatan yang optimal tergantung pada budaya dan
"bahasa risiko" organisasi. Namun, terlepas dari pendekatan unik yang mungkin ada dari satu
organisasi ke organisasi berikutnya, penting untuk tetap konsisten. Kurangnya konsistensi dapat
membuat risiko lebih sulit dipahami secara luas di seluruh organisasi.
Satu pendekatan umum dan efektif untuk mendefinisikan risiko adalah dengan menggunakan
protokol "sebab dan akibat". Berdasarkan pendekatan ini, risiko dimulai dengan "penyebab"
(misalnya, kegagalan untuk ..., kurangnya ..., ketidakmampuan untuk ...) dan berlanjut dengan
akibatnya (misalnya, kerugian finansial, cedera pribadi, korupsi data , atau kerusakan reputasi).
BUKU 2 MEMBELI Contoh: Contoh kemungkinan risiko pencairan kas meliputi: "Harapan. Kurangnya
kebijakan, prosedur, dan bentuk komunikasi lain yang dikembangkan dengan baik dan
diartikulasikan dengan baik dari manajemen senior dapat mengakibatkan karyawan melaksanakan
tanggung jawab mereka dengan cara yang tidak sesuai dengan ekspektasi dan keinginan manajemen
senior. Pembayaran ganda. Kegagalan mengidentifikasi beberapa masukan faktur dapat
mengakibatkan pembayaran ganda kepada vendor yang tidak terdeteksi atau sulit dikumpulkan.
Ketepatan waktu. Ketidakmampuan untuk memproses pembayaran tepat waktu dapat
mengakibatkan pembayaran atau uang (untuk pembayaran yang terlambat) atau diskon yang
terlewat. Akses sistem. Kurangnya praktik keamanan logis yang efektif dapat menciptakan peluang
bagi individu yang tidak berwenang untuk mengakses, memanipulasi, atau menghapus data
pengeluaran utama. Sumber daya manusia.Ketidakmampuan untuk menarik, mengembangkan,
menyebarkan, dan mempertahankan individu yang kompeten dapat mengakibatkan proses
pencairan tunai berjalan di suuoptimai icvei, wuicu couiu menyebabkan pembayaran yang tidak
akurat atau tidak tepat waktu.
Setelah risiko ditentukan, risiko tersebut harus dikaitkan dengan tujuan tingkat proses untuk
memastikan ada korelasi antara masing-masing risiko dan tujuan. Seperti yang dibahas di bawah ini,
penilaian risiko melibatkan pertimbangan dampaknya terhadap kemampuan untuk mencapai tujuan.
Satu tugas terakhir adalah untuk memvalidasi bahwa definisi "berbicara bahasa" dari karyawan
tingkat proses. Karena karyawan ini bertanggung jawab untuk mengelola risiko tingkat proses,
penting bagi mereka untuk memiliki pemahaman yang seragam dan konsisten tentang risiko
tersebut. Oleh karena itu, auditor internal harus berbagi dan mendiskusikan definisi risiko dengan
manajemen tingkat proses dan karyawan untuk memvalidasi bahwa daftar risiko sudah lengkap dan
definisi tersebut masuk akal. Keberhasilan dengan tugas ini akan membantu memfasilitasi
keberhasilan dalam tugas Mengevaluasi Dampak dan Kemungkinan Risiko berikutnya.
Mengevaluasi Dampak dan Kemungkinan Risiko Setelah risiko diidentifikasi dan ditentukan, auditor
internal siap melakukan Penilaian Risiko untuk melakukan penilaian risiko. Dalam tugas ini, fokusnya
adalah menentukan potensi ‹Identifikasi dan analisis (tipikal dampak dan kemungkinan dari masing-
masing risiko. Tujuan dari evaluasi ini adalah untuk membantu secara berkala dalam hal dampak dan
kemungkinan) mengidentifikasi risiko-risiko yang akan ditimbulkan. efek merugikan terbesar pada
pencapaian risiko yang relevan dengan pencapaian tujuan organisasi, membentuk tujuan tingkat
proses. Risiko semacam itu layak mendapatkan perhatian paling besar selama suatu kepastian untuk
menentukan bagaimana risiko tersebut berhubungan dengan keterlibatan. harus dikelola. Proses
untuk melakukan penilaian risiko tingkat proses secara umum melibatkan tiga langkah berikut: 1.
Tentukan dampak dari berbagai hasil yang terkait dengan setiap risiko. Tip-tip berikut mungkin
terbukti berguna ketika melakukan langkah ini: Ingatlah bahwa, menurut definisi, risiko mewakili
ketidakpastian; oleh karena itu, mungkin ada beberapa hasil risiko yang mungkin terjadi. Auditor
internal harus mencoba untuk tidak hanya fokus pada satu kemungkinan hasil risiko dan
mengabaikan hasil yang lebih mungkin atau membawa lebih banyak dampak. Risiko biasanya diukur
dari segi dampak keuangan, yang merupakan dampak yang paling umum dan mudah diukur. Namun,
mungkin ada hasil risiko lain yang tidak dapat diukur secara finansial atau dapat dianggap lebih
parah daripada dampak finansial. Misalnya, membahayakan kesehatan dan keselamatan karyawan,
atau kerusakan reputasi organisasi karena publisitas negatif dapat dianggap sebagai hasil yang lebih
parah daripada dampak finansial langsung dari masalah tersebut. Dampak harus berfokus pada
potensi paparan selama periode waktu tertentu, biasanya satu tahun. Karena risiko dapat terjadi
lebih dari sekali selama periode tersebut, penting untuk menghindari konsentrasi pada dampak
peristiwa tunggal. Memperkirakan dampak selama periode waktu tertentu memastikan bahwa
potensi paparan kasus terburuk dipertimbangkan. i Tidak perlu mendapatkan tingkat presisi yang
tinggi saat memperkirakan dampak suatu risiko. Menggunakan skala umum (misalnya, tinggi /
sedang / rendah) biasanya sudah cukup. Namun, tetap penting untuk menentukan level skala.
Misalnya, dampak tinggi dapat didefinisikan sebagai dampak keuangan yang lebih besar dari $ 1 juta,
dampak sedang dari $ 250.000 hingga $ 1 juta, dan dampak rendah kurang dari $ 250.000. 2.
Langkah kedua adalah memperkirakan kemungkinan bahwa setiap risiko meningkat.
13-24 AUDIT INTERNAL: JAMINAN & LAYANAN PENASEHAT
akan memiliki kemungkinan yang berbeda untuk terjadi. Penting untuk fokus pada hasil Risiko
dampak yang ditentukan pada langkah sebelumnya. Tingkat keparahan hasil yang disebabkan Karena
ada banyak hasil risiko, mungkin ada banyak penyebab utama oleh peristiwa risiko. Dapat diukur
mengapa suatu risiko terjadi. Setiap akar penyebab mungkin memiliki kemungkinan yang berbeda.
Ada hasil finansial, reputasi, hukum, atau lainnya. Oleh karena itu, penting untuk
mempertimbangkan akar penyebab yang mendasari dari hasil yang dipilih saat mengevaluasi
kemungkinan terjadinya risiko. "Seperti halnya saat menentukan dampak risiko, tidak diperlukan
tingkat presisi yang tinggi saat memperkirakan kemungkinan risiko. Menggunakan skala umum
(misalnya, tinggi / sedang / rendah) biasanya sudah cukup. Misalnya, kemungkinan tinggi dapat
menunjukkan bahwa dampak risiko lebih mungkin terjadi daripada tidak terjadi (yaitu, lebih besar
dari 50 persen), kemungkinan sedang dapat menunjukkan bahwa dampak risiko mungkin terjadi
(misalnya, dari 10 persen hingga 50 persen), dan kemungkinan rendah dapat menunjukkan bahwa
dampak risikonya kecil (misalnya, kurang dari 10 persen). Saat mengevaluasi kemungkinan, penting
untuk fokus pada kemungkinan IUCU yang melekat, yaitu menilai kemungkinan tanpa
mempertimbangkan kontrol yang mungkin dimiliki manajemen. Karena auditor internal telah
memiliki probabilitas bahwa suatu peristiwa risiko akan terjadi. Memiliki pemahaman tentang proses
tersebut, mungkin tergoda untuk mengestimasi kemungkinan berdasarkan pengaruh pengendalian
ini. Namun, auditor internal tidak boleh berasumsi bahwa pengendalian tersebut beroperasi secara
efektif ketika merencanakan perikatan, jika tidak, mereka mungkin meremehkan risiko terkait dan
gagal menguji pengendalian tersebut. 3. Langkah terakhir adalah menggabungkan penilaian dampak
dan kemungkinan menjadi satu penilaian risiko. Cara terbaik untuk mencapai hal ini adalah dengan
membuat matriks risiko yang menunjukkan keterkaitan antara dampak dan dampak masing-masing
risiko. Misalnya, matriks risiko yang ditunjukkan pada gambar 13-8 menggambarkan penggunaan
skala tinggi / sedang / rendah untuk penilaian dampak dan kemungkinan. Saat meninjau matriks
risiko ini, perhatikan bahwa sebuah angka ditetapkan ke setiap kotak untuk menunjukkan tingkat
risiko secara keseluruhan. Setelah setiap risiko ditempatkan dalam salah satu kotak, maka dapat
diklasifikasikan sebagai berikut: »Risiko dalam kotak 8 atau 9 (bayangan merah) dianggap risiko
tinggi. “Resiko pada kotak 5, 6, atau 7 (bayangan kuning) dianggap resiko sedang.” Resiko pada kotak
1,2,3,
Typically, high and medium risks should be included in every internal audit assurance engagement.
Low risks may or may not be included, depending on the internal audit function’s charter, objectives
of the engagement, and resource considerations. Refer to exhibit 13-9 for an example of a cash
disbursements risk matrix that may be a relevant example for BOOKS 2 BUY.
Using a matrix or some other means to visually depict the results of the risk assess‹ ment will
facilitate an overall review of the judgments made in the risk assessment process by internal audit
management and the process owners. Such reviews, par‹ ticularly by the process owner, will help
validate the judgments made by the inter‹ nal auditor.
Understanding Management’s Risk Tolerance Risk Tolerance Traditionally, judgments of the internal
audit team have been the sole source for evaluating risks. This relects the internal auditor’s
governance role in the organi‹ The acceptable levels of risk size and zation. However, an underlying
premise in enterprise risk management (ERM) is variation relative to the achievement of objectives,
which must align with that management must establish tolerances to business risks consistent with
the the organization’s risk appetite. organization’s overall risk appetite. This premise applies at the
process level as well.
Therefore, it is important for the internal auditor to validate the reasonableness of the high,
medium, and low impact thresholds that were employed. It is possible that management may have a
different level oftolerance for the process. Recall from chap‹ ter 4 that risk appetite is described as
the types and amount of risk, on a broad level, an organization is willing to accept in pursuit of value,
while tolerance represents the organization’s acceptable levels of variation in performance relative
to the achieve‹ ment of objectives, and must align with the risk appetite. To gain an understanding
of management’s risk tolerance levels, the following three steps should be conducted: 1. Identify
possible risk outcomes. As previously discussed, by deinition, risks represent a range of possible
outcomes. While such outcomes typically DioL a~~«*:«-~i \ior\ np^ClllC are measured in inancial
terms, there may be other risk outcomes that either do not lend themselves to inancial
measurement or are more severe than the The amount of risk, on a broad level, inancial impact. For
example, the safety of employees may be more severe an organization is willing to accept in pursuit
of its business objectives. than potential ines or penalties due to safety violations. Similarly, the
impact of failure to protect the privacy of customer data may be more severe than the cost to
recover or protect such data. 2. Understand established tolerance levels. Once the different risk
outcomes are determined, discussions can be held with process management to iden‹ tify tolerance
levels that they have already established. Such levels may be relected in documentation of key
performance measures, individual perfor‹ mance goals, or in other communications. 3. Assess
tolerance levels for outcomes that have not been established. To the extent that established
tolerance levels do not comprehensively address all possible risk outcomes, discussions should be
held with process manage‹ ment to determine appropriate tolerance levels. Questions to facilitate
this discussion include:
13-26 INTERNAL AUDITING: ASSURANCE & ADVISORY SERVICES
How much variability can you or senior management tolerate relative to the achievement of process
objectives? What types of outcomes would you consider to be unacceptable? What types of risk
scenarios would you be uncomfortable dealing with?
Expectations Risk is considered high impact as lack of suficient direction and oversight from senior
management could result in material disbursements being made in an inappropriate or fraudulent
manner. This risk is considered low likelihood as there are many examples of good policies and
procedures governing disbursement activities, and senior management is not likely to ignore such an
important area.
Timeliness Risk is considered medium impact as the penalties and interest for being late would not
be material, although bad vendor relations would still be of concern. This risk is considered high
likelihood as there is heavy reliance on others to begin the cash disburse‹ ments process and, with
generally tight payment terms, there are a variety of delays that could occur in the process, causing
a payment to be late.
Human Resources Risk is considered medium impact as failure to recruit, develop, and maintain
competent people in the accounts payable department could result in a higherthan-desirable
number of inaccurate or late payments. This risk is considered medium likelihood as the necessary
skill sets are not that difficult to ind in the market.
Systems Access Risk is considered high impact as unauthorized access could result in changes that
might conceal material misdirected disbursements. This risk is considered medium likelihood as such
misdirected disbursements may be detected through other means.
Duplicate Payments Risk is considered high impact as a single duplicate disbursement could be
material and would represent lost funds if undetected. This risk is considered medium likelihood as it
is fairly common for duplicate invoices to be presented to a company, however, most vendors are
generally honest so it is less likely that a material duplicate payment would go undetected over time.
Understanding management’s tolerance levels is important, but does not neces‹ sarily supersede the
internal auditor’s judgment. Remember, the internal audit function has many stakeholders. Its
iduciary responsibility to other stakeholders should not be subordinated if the internal auditor
believes process-level manage‹ ment has a higher level of risk tolerance than other stakeholders.
However, having
CONDUCTING THE ASSURANCE ENGAGEMENT 13-27
a good understanding of process management’s tolerance levels will help the inter‹ nal auditor
inalize the risk assessment judgments, as well as gain an understand‹ ing that may prove helpful
when evaluating the signiicance of audit indings later in the engagement.
IDENTIFY KEY CONTROLS K v C trol ^ va"ety f actions make up a process. All may have a role in
achieving the inal result, but only a few are truly critical to the outcome, that is, their absence would
An activity designed to reduce risk make jt dificult to achieve the desired result. These critical actions
are referred to associated with a critical business as key controls. Chapter 6 provides a deinition of
internal control and a detailed objective. discussion of the system of internal controls. Recall also,
from earlier in this chap‹ ter, that entity-level controls may have an impact on the operation of
controls at the process level. Therefore, the internal auditor must consider the impact of entitylevel
controls on the process under review before proceeding with the identiica‹ tion of key process-level
controls.
To execute this task in engagement planning, it is important to understand the different types of
controls that may be considered key controls at the process level. Although the following is not an
exhaustive list, it represents examples of common control types: Approving involves obtaining an
authorization to execute a transaction by someone empowered to do so (for example, approval of a
write-off). Calculating entails computing or re-computing an amount that results from other data
obtained in the process (for example, using historical write-off data to compute a bad debt reserve,
or checking a depreciation calculation to ensure the systematically computed amount is reasonable).
Documenting relates to preserving source information or documenting the rationale behind
judgments made for future reference (for example, scanning receiving documentation, invoices, and
checks to support a payment, or writing a memorandum to the iles that outlines the judgments used
in determining an accrual). Examining involves verifying an attribute, that is, a data element, event,
or documentary evidence supporting existence or occurrence (for example, evi‹ dence that goods
paid for were received). Matching entails making comparisons between two different attributes to
verify that they agree (for example, a payment amount agrees with the invoice amount). Monitoring
represents checking to ensure an action is occurring (for example, monitoring that an invoice
approver does not exceed his or her limits). Restricting involves not allowing an unacceptable action
(for example, pro‹ hibiting speculation on interest rate luctuations, or not allowing unauthorized
individuals to access certain data within key systems). Segregating focuses on separating
incompatible duties that would create the potential for an undesirable action (for example,
separating check signing and invoice approval authority).
Supervising involves providing direction and oversight to ensure actions and tasks are carried out as
designed (for example, a supervisor approving a batch before computer processing).
As previously discussed, the identiication of process-level controls typically begins in the prior two
planning steps: Understand the Auditee and Identify and Assess Risks. The current task involves
ensuring that any additional process-level controls have been identiied before an assessment is
made as to which controls mitigate the key risks.
There are no checklists or formulas that provide the internal auditor with abso‹ lute information on
which controls are key and which are not. Rather, deter‹ ’*£,\ mining key controls is a judgmental
process that can be best accomplished by the internal auditor answering the following question: If
not performed as \ designed, which of these controls would likely result in the inability to achieve
the process-level objectives? Those controls that mitigate high or medium risks, v> V as depicted in
exhibit 13-8, are probably key controls. The following are import‹ ant when determining key
controls: \ * The internal auditor must have a clear understanding of the process-level objec‹ m
tives. t The consequences of inadequate control execution must be evaluated to deter‹ mine
whether a control deiciency would signiicantly impair achievement of the objectives. Other
compensating controls should be considered as they may indicate that the operation of a given key
control is not as citical as irst nresumed, The effect of one control on other controls also must be
considered. For exam‹ ple, the execution of a control may not appear to signiicantly impair the
achievement of an objective, but it could impact the execution of other controls, which could impair
the achievement of an objective. The impact of entity-level controls also should be considered. That
is, dei‹ ciencies in entity-level controls may diminish the effectiveness of process-level controls. By
understanding the effectiveness of entity-level controls, the internal auditor can better assess the
impact that key controls at the process level will have on the achievement of objectives. Redundant
controls, or those that are not cost effective, may need to be changed or eliminated. Such controls
are probably not key controls.
The inal task in this step of engagement planning is to link the process-level con‹ trols to the process-
level risks. The achievement of objectives is subject to different risk scenarios, and certain controls
may only mitigate certain risks. Ultimately, if a control is determined to be ineffective, it may impact
a single risk or multiple risks. The documentation of this linkage can be accomplished in a simple
matrix, referred to as a Risk and Control Matrix, an example of which is shown in exhibit 13-10. Later
in this chapter, you will see how this matrix can be used as the begin‹ ning for an audit program.
EXHIBIT 13-10 EXAMPLE RISK AND CONTROL MATRIX
Process-Level Risk Key Control Design Adequacy
Risk A - Deinition (associated " Control A The indicated key controls are process-level objectives) "
Control B adequate to manage this risk to an Control C acceptable level.
Risk B - Deinition (associated " Control A The indicated key controls are not process-level objectives)
Control D adequate to manage this risk to an acceptable level (describe design gap).
Rick C - Definition (associated " Control C The indicated key controls are process-level objectives) "
Control E adequate to manage this risk to an " Control F acceptable level.
EVALUATE THE ADEQUACY OF CONTROL DESIGN The next step in the engagement planning process
is to evaluate the adequacy of process design. The key to this step is determining whether the key
controls are designed adequately to reduce the individual process risks to an acceptable level. The
following questions should be considered when evaluating the adequacy of process design: Does the
internal auditor understand what an "acceptable level" of risk is, based on management’s risk
tolerance levels for the process? Do the key controls, taken individually or in the aggregate, reduce
the corre‹ sponding process-level risks to acceptable levels? Are there additional compensating
controls from other processes that further reduce isks to acceptably low levels? Does it appear that
the key controls, if operating effectively, will support the achievement of process-level objectives?
To the extent appropriate, does the process design address effectiveness and eficiency of
operations, reliability of reporting, compliance with applicable laws and regulations, and
achievement of strategic objectives? What gaps, if any, exist that impede the process? What speciic
gaps exist in the design of the process? What are the possible outcomes or effects of those gaps? "
Why do these gaps exist that is, what are the root causes (for example, inade‹ quate procedures,
unclear policies, noninterfacing systems, or lack of segrega‹ tion of duties)?
Once the internal auditor has completed the design adequacy evaluation, any gaps that were
identiied should be discussed with management and documented as preliminary audit observations
(depending on the length of time to complete this evaluation, individual gaps may be discussed with
management as identiied instead of waiting until the design adequacy evaluation is complete). Note
that
13-30 INTERNAL AUDITING. ASSURANCE & ADVISORY SERVICES
the matrix in exhibit 13-10 contains a column titled Design Adequacy where the internal auditor’s
judgments can be documented. As indicated in that exhibit, the internal auditor’s judgment typically
is one of the following: The indicated key controls are designed adequately to manage this risk to an
acceptable level. The indicated key controls are not designed adequately to manage this risk to an
acceptable level (describe design gap).
Once the internal auditor has formed judgments on design adequacy for each individual risk, an
evaluation can be made regarding the design of the process taken as a whole. Examples of such
conclusions include:
Design Adequacy
Design is adequate; no signiicant gaps. Overall, the process and information systems appear to be
designed adequately to manage the risks to an acceptable Assessment of whether management has
planned and organizedlevel. (designed) the controls in a manner a Design is adequate; however,
gaps exist. Overall, the process and information that provides reasonable assurance that the related
risks can be managedsystems appear to be designed adequately to manage the risks to an
acceptable to an acceptable level. level. However, the existence of one or more gaps may result in
some exposure that the process owner may ind unacceptable. Design is inadequate; signiicant gaps
exist. Overall, the process design does not appear to be adequate to manage the risks to an
acceptable level. Signiicant gaps create an intolerable level of exposure that process-level objectives
will not be achieved.
These individual observations and the overall evaluation will inluence the nature, extent, and timing
of tests to be performed.
CREATE A TEST PLAN Now that the internal auditor fully understands how the process operates and
has Reasonable Assurance evaluated the adequacy of process design, the next step is to develop a
test plan. A test plan should be designed to gather suficient appropriate evidence to support A level
of assurance that is supported by generally acceptedan evaluation of how effectively the key
controls are operating. This evaluation and auditing procedures and judgments. the evaluation of the
process design adequacy, taken together, provide reasonable Reasonable assurance can apply
assurance that the process-level objectives will be achieved. to judgments surrounding the -f--.:euec
Liveliest CJ1 IIILtl I Id I LUII LI LJib, LI It? £ :_.. -,-,-t I- .L. Based on the understanding gained from the
previous engagement planning steps, mitigation of risks, the achievement of objectives, or other
engagement-the internal auditor is now prepared to: 1) determine which controls are important
related conclusions. enough to test, 2) develop an approach for testing those controls, and 3)
document judgments supporting the chosen audit tests. Each of these tasks is discussed in more
detail in the following sections.
Determining Which Controls to Test As indicated above, the primary focus of testing is to determine
whether the key controls are operating effectively enough to ensure process-level risks are man‹
aged suficiently. While this may be accomplished by simply testing all of the iden‹ tiied key controls,
there are other factors the internal auditor must consider when determining which controls to test:
Are there higher-level controls that might, by themselves, provide reason‹ able assurance that the
relevant risks are managed suficiently? Higher-level controls may be reconciliation, monitoring, or
supervisory controls performed
by individuals independent of the detailed control owners, for example, their supervisors or
managers. As part of a top-down risk-based controls assessment, the internal auditor should give
consideration to these higher-level controls, just as the impact of entity-level controls should be
considered (as discussed earlier in this chapter). Are there other compensating controls that address
multiple risks? If so, it may be more eficient to test these controls rather than focusing on testing
each of the detailed key controls. Was the design of controls assessed as being adequate? If not, it
may not be nec‹ essary to test the controls because, even with effective operation, the risks may not
be mitigated due to the inadequate design. i However, the internal auditor may decide to perform
tests to determine the extent of errors resulting from inadequate control design. The types of tests
to quantify the errors (for example, data extraction and analysis) likely will be different than direct
tests performed to evaluate the effectiveness of controls. When do the key controls operate, and,
based on the period within scope for the engagement, is it practical to test certain key controls? For
example, certain controls may operate only at year-end. If the engagement is being conducted
during the year, it may not be practical to test some of those controls. Have there been changes in
the process during the period that result in certain key controls operating for only a portion of the
period within scope? If so, con‹ sideration must be given to how these changes might impact the
testing of key controls.
Once these factors have been considered, the internal auditor is ready to develop a speciic testing
approach. As indicated above, the approach typically focuses on evaluating the effectiveness of
controls that are designed adequately, but some testing may be needed to quantify the impact of
controls that are not designed adequately.
Developing a Testing Approach A testing approach involves determining the nature, extent, and
timing of tests to perform. The primary objective of testing is to determine whether the controls are
operating as designed to reduce the corresponding risks to an acceptable level. The different types
of audit tests are described in greater detail in chapter 10. However, the following outlines the
decisions that must be made when developing a testing approach. Nature of tests. Different types of
tests provide different levels of assurance and will take different amounts of time to conduct. Extent
of tests. Controls can be tested on a partial or complete basis, that is, a sample of transactions or
100 percent of the transactions. Obviously, testing larger samples provides greater assurance but
requires more time. Sampling techniques are discussed in much greater detail in chapter 11, "Audit
Sampling." Timing of tests. Tests can be performed at different frequencies or intervals, depending
on the period covered in the engagement’s scope, the nature of the control, and the type of test
being performed.
There may be other factors inluencing the nature, extent, and timing of tests. The key is to ensure
that the testing approach provides suficient evidence regarding the management of all key process-
level risks.
Documenting the Testing approach The example Risk and Control Matrix shown in exhibit 13-10 can
be expanded by adding a column to include the Testing Approach for each risk. Exhibit 13-11
provides an example of what this matrix might look like (note that the Design Ade‹ quacy column
from exhibit 13-10 has been removed to illustrate the thought link between the Key Control and
Testing Approach columns).
Note that some of the individual tests may apply to multiple controls, that is, they are multipurpose
tests.
BOOKS 2 BUY Example: Exhibit 13-12 shows a partially completed Risk and Control Matrix for the
cash disbursements function.
EXHIBIT 13-11 EXAMPLE RISK AND CONTROL MATRIX WITH TESTING APPROACH
Process-Level Risk Key Control Testing Approach
Risk A - Deinition (associated " Control A " Test A process-level objectives) " Control B " Test B
Control C Test C
Risk B - Deinition (associated " Control A " Test A process-level objectives) " Control D " Test D "
Control E " Test E
DEVELOP A WORK PROGRAM The next step in engagement planning is to document all of the
judgments and conclusions made during the planning phase. [Note that many internal audit
activities have standard work program templates that may be used from the start of planning.] As
can be seen by the breadth of activities covered in this chapter, there are many different but
important tasks that were completed, as well as many more yet to be performed (for example,
testing and reporting). To ensure all engagement team members understand what has been
completed and what remains to be performed, it is common to prepare an engagement work
program. This work program may take different forms, such as: A standard template or checklist that
the lead internal auditor prepares to doc‹ ument the completion of the planning steps. Standard
templates are frequently used to ensure each engagement covers all of the necessary tasks. A
memorandum summarizing the tasks completed. In situations in which the planning is dynamic and
not consistent from engagement to engagement, this free-form approach may be more appropriate.
EXHIBIT 13-12 EXAMPLE RISK AND CONTROL MATRIX FOR CASH DISBURSEMENTS
Process-Level Risk Key Control Testing Approach
Expectations Risk - Lack of Delegation of authority policy 1. Review delegation of authority policy and
well-developed and well- establishes approval levels for evaluate whether it appears to be current
and articulated policies, procedures, procurement and disbursement appropriate given the present
responsibilities of and other forms of communi‹ decisions. individuals. cations from management
may " Accounts payable has developed 2. Select a sample of 8o disbursements (10% risk, result in
employees carrying out 5% tolerable deviation rate, and 1% expected their responsibilities in a
manner detailed procedures covering all deviation rate) and test for approvals in accor‹ that is
inconsistent with manage‹ key disbursement tasks. dance with the policy. ment’s expectations and
desires 3. Review and discuss procedures with accounts (accuracy, timeliness, record‹ payable
personnel to determine whether the ing, compliance, and approval procedures accurately reflect the
required tasks objectives). and could be followed bv others.
Duplicate Payments Risk - " The purchasing system alerts the 1. Test the system’s duplicate invoice
functionality Failure to identify multiple inputs AP clerk if the vendor number, by attempting to enter
duplicate invoice num‹ of invoices may result in duplicate invoice number, and invoice bers. Also,
test what happens if a digit or symbol payments to vendors that could amount match an invoice
previ‹ is added to the end of a duplicate invoice number. go undetected or prove difficult ously
entered. 2. Since the system only alerts the user to the possi‹ to collect (accuracy and record‹ " The
cash disbursements run will bility of a duplicate payment, extract 100% of the ing objectives). flag
any payments of identical payments for the last year and test for possible amounts to the same
vendor for duplicate payments. review prior to disbursement. 3. Test to ensure the cash
disbursements flag oper‹ ates as designed.
Timeliness Risk - Inability to pro‹ The system requires that a 1. Test the system functionality for the
three key cess payments on a timely basis payment date be input during controls. may result in fines
or penalties invoice data entry. 2. Using data analysis software, compute the dif‹ (for late payments)
or missed An edit report is generated ference between the payment date and invoice discounts
(timeliness and cash whenever a payment date is date for 100% of payments made during the last
flow objectives). more than 30 days after the year. Follow up on any late payments or missed invoice
date. discounts. The Invoice input screen has a field that can be checked if the invoice is eligible for
an early-pay discount.
Systems Access Risk - Lack of Logical security is administered 1. IT logical security is tested in a
separate audit by effective logical security prac‹ by IT in the same manner as for the IT audit
specialists. Check the results of that tices may create opportunities all applications. audit to ensure
there were no design deficiencies for unauthorized individuals to " The accounts payable manager
relating to the cash disbursements security. access, manipulate, or delete key must review and
confirm access 2. Discuss with the accounts payable manager the disbursements data (accuracy,
rights to the cash disbursements process for conirming access rights. Examine recording, and cash
low objec‹ system twice per year. documentation supporting this procedure. tives).
Additional columns in the Risk and Control Matrix if the internal auditor desires to have everything
captured in one document. A combination of the three.
The format will vary from internal audit function to internal audit function. The Work Program key
point is that there must be some means of: A document that lists the Ensuring all engagement team
members understand what has been done and procedures to be followed during an what still needs
to be done. engagement, designed to achieve the engagement plan. Communicating who is
responsible for performing each engagement task. Providing a record of which tasks are completed.
Facilitating review by an engagement manager or director who provides over‹ sight and direction
during the engagement planning process.
Regardless of the format, the following are covered in a typical work program: Key administrative
tasks, such as preparation of a planning memorandum, scheduling resources, establishing milestone
dates, etc. Key meetings, such as conducting a kickoff meeting with process-level manage‹ ment to
discuss the objectives and scope of the engagement, process-level risks, timing of the engagement,
information needed from process-level employees, reports or other deliverables, and any
expectations management has of the engagement. Planning tasks, which list each of the tasks
discussed in this chapter (for exampie, unuerstanuing tue process, assessing process-ievei tisks, anu
luentnymg key controls). Fieldwork tasks, which list the specific tests that will be conducted (this
may be documented in the Risk and Control Matrix discussed previously). Wrap-up steps, such as
clearing open review notes, conducting a closing meet‹ ing with process-level management, inalizing
the working papers, etc. Reporting tasks, such as preparing a draft engagement communication,
solic‹ iting feedback from process-level management, and issuing a inal engagement communication
(covered more fully in chapter 14).
Even though the discussion of developing a work program is covered in the latter part of this
chapter, its preparation typically is done throughout the engagement
planning process. As indicated, the format of the work program is not what is important. The key is
to communicate the primary tasks, judgments, and con‹ ^’. ’. clusions that were made during this
process and help complete the rest of the engagement.
ALLOCATE RESOURCES TO THE ENGAGEMENT The inal step in planning the engagement is to
determine the necessary resources needed to carry out the planned tasks. This step involves: 1)
estimating, or budget‹ ing, the resources that are needed, 2) allocating the appropriate human
resources to the engagement, and 3) scheduling those resources to ensure the engagement is
completed on time.

Engagement Resources: Budgeting - Internal auditors The irst task is to estimate the resources that
are needed to conduct the engage‹ - Other people (internal/external) ment. A budget should be
prepared that considers the number of hours needed to - Travel complete the engagement, as well
as other costs that may be required: - Technology Hours needed to complete the engagement. An
experienced internal auditor -Other is in a position to develop a reasonable estimate of the number
of hours it will take to complete the planning, performing, and communicating phases of an
engagement. The estimate should be realistic, but it cannot always be precise as there may be
unexpected events that can delay an engagement (for example, unavailability of key process-level
employees, delays in obtaining requested information, or illness of internal auditors). It may be
appropriate to allow for a variance from the estimate (for example, +/-10%). If outside services are
needed to supplement the skills from the audit team, these must also be considered; this is
discussed further under Scheduling. s Other costs. In addition to the human resource costs, some
engagements may require additional expenditures. Common examples include: Travel and related
costs, when the engagement must be performed, all or in part, away from the internal auditors’
location. Technology costs, when access to unique or nonroutine technology is needed to complete
the engagement (for example, software licenses for data analysis and network security analysis).
Supplies, when nonroutine items are needed (for example, steel-toe shoes or hardhats for inventory
count observations, or special paper or ink for delivera‹ bles that include many pictures or colored
charts and graphs).
Biasanya, auditor internal utama pada penugasan memiliki pengalaman untuk menyiapkan anggaran
ini dan akan dimintai pertanggungjawaban untuk mengelola penugasan sesuai dengan parameter
anggaran. Kepala Audit Internal (CAE) mengandalkan keefektifan penganggaran keterlibatan saat
menentukan anggaran departemen secara keseluruhan. Lihat bab 9, "Mengelola Fungsi Audit
Internal", untuk lebih jelasnya.
Allocating Human Resources _.___,._ _, Once the engagement budget has been determined, it is
time to identify and allo‹ cate the resources needed to complete the engagement. The allocation of
human Supplements the in-house internal resources is the most important and challenging task. This
involves answering the audit function through the use of third-party vendor services for the
following questions: purposes of gaining subject matter What types of skills are needed on this
engagement (for example, inancial expertise for a specific engagement reporting or IT)? or filling a
gap in needed resources to complete the internal audit plan. What previous experience will be
required on the engagement (for example, knowledge about the area or previous experience with
similar engagements)? Who in the department has the skills and experience to meet these needs? Is
there a need for any specialty skills that do not exist within the internal audit function (for example,
derivatives expertise and environmental expertise)? If so, where can these skills be obtained at a
reasonable cost? Are there professional development considerations that might impact the alloca‹
tion of resources to this engagement? For example, do certain internal auditors need a particular
type of experience to help them learn and grow professionally?
Are there any other unique departmental considerations that may impact which internal auditors
should be assigned to the engagement?
Scheduling After determining the appropriate human resources, the next task is to formally
scuCuUiC tuose resources to tue engagement, ixesource scucuUiing can ue a very dynamic process,
and the following items need to be considered: Availability of key process personnel. Although it
may be convenient for the internal audit function to start an engagement on a certain date, the
timing may not work for process personnel. There may be certain times of the month or quarter that
are inconvenient (for example, the period when accounting per‹ sonnel are focused on closing the
books). Additionally, the timing of the engage‹ ment may need to be changed due to absences of key
personnel (travel, vacation, training, etc.), or department initiatives that will divert the attention of
key personnel to other matters. Availability of engagement resources. Similar to key process
personnel, internal audit employees may have other commitments (for example, vacations, training,
department initiatives, etc.) that could impact the scheduling of an engagement. Availability of
outside resources. If specialty skills or additional manpower are needed to complete an
engagement, the availability of those resources also must be considered. Sometimes, the service
irms providing such resources have schedules that differ from the organization’s (for example,
different holidays, block training weeks, or internal initiatives). Availability of key reviewers. Even if
the key engagement resources are avail‹ able to complete the ieldwork, the internal audit manager
or director also must be available to perform the level of review required on an engagement, other‹
wise its completion may be delayed.
Once the allocation and scheduling of resources is completed, the ieldwork is ready to commence.
Exhibit 13-13 highlights the next fundamental phase in the assurance engagement process:
performing the engagement. The essential steps involved in the performance phase are also listed in
this exhibit.
CONDUCT TESTS TO GATHER EVIDENCE At this point, the assurance engagement transitions from the
planning phase to the performing phase. The testing approach developed in the planning phase and
outlined in the Risk and Control Matrix (refer to exhibit 13-11) must now be exe‹ cuted to determine
whether the controls are operating as designed. As each test is conducted, evidence will be gathered
to support the internal auditor’s conclusions regarding how effectively the controls are operating.
The results of testing can be documented in the Risk and Control Matrix. The example Risk and
Control Matrix shown in exhibit 13-11 can be expanded by adding a column to include the Results of
Testing. Exhibit 13-14 provides an example of what this matrix might look like. Note that the Key
Control column from exhibit 13-11 has been removed for this illustration. This was done to sim‹ plify
this example as the Key Control column is not critical to the thought pro‹ cess at this point.
EXHIBIT 13-13 THE ASSURANCE ENGAGEMENT PROCESS
Plan Perform Communicate Determine Conduct tests to Perform observation engagement gather
evidence. evaluation and objectives and scope. escalation process. Evaluate evidence Understand
the auditee, gathered and reach Conduct interim including auditee objectives conclusions. and
preliminary and assertions. engagement Develop observations communications. Identify and assess
risks. and formulate recommendations. Develop final Identify key controls. engagement
Evaluate adequacy of control

communications. design. Distribute formal
^.leaie a icsi plan.
and informal inal communications.
Develop a work program.
Perform monitoring and Allocate resources to follow-up procedures. the engagement.
EXHIBIT 13-14 EXAMPLE RISK AND CONTROL MATRIX WITH RESULTS OF TESTING
Process-Level Risk Testing Approach Results of Testing
Risk A - Deinition (associated Test A Result A process-level objectives) " Test B Result B " Test C
Result C
Risk B - Deinition (associated " Test A Result A process-level objectives) " Test D Result D " Test E "
Result E
cash disbursements function. At the end of each Results of Testing entry is a cross-reference to the
audit working papers where the test was documented (X-#). Examples of two tests are included in
exhibits 13-16 and 13-17- If an exception or deiciency was found during testing, reference is also
made to the working paper documenting the engagement observation (Z-#). Examples of select
working papers supporting this testing are shown in exhibits 13-16 and 13-17
In some circumstances, the results of testing may indicate a potential gap or issue, but the results
may be inconclusive. In such instances the internal auditor may need to do additional testing or
revise the testing approach to be able to reach the necessary conclusions that are discussed in the
following section.
EVALUATE EVIDENCE GATHERED AND REACH CONCLUSIONS Conducting audit tests allows the
internal auditor to gather the evidence needed to evaluate the design adequacy and operating
effectiveness of key controls and reach conclusions about the effectiveness of the process or area
under review. The following are questions that the internal auditor may need to answer, depending
on the charter of the internal audit function, the objectives of the engagement, and the expectations
of the auditee and other internal audit stakeholders: Are the key controls designed adequately? Are
the key controls operating effectively, that is, as they are designed to operate? Are the underlying
risks being mitigated to an acceptable level? Overall, do the design and operation of the key controls
support achievement of the objectives for the process or area under review?
EXHIBIT 13-15 EXAMPLE RISK AND CONTROL MATRIX FOR CASH DISBURSEMENTS Process-Level Risk
Testing Approach Results of Testingc Expectations Risk - Lack of 1. Review delegation of authority I,
The delegation of authority policy lists seven well-developed and well-articulated policy and evaluate
whether individuals who are no longer with the company. policies, procedures, and other it appears
to be current and Additionally, nine individuals who are new in their forms of communications from
man- appropriate given the present positions or new to the company should be on the list agenieni
may resutL in employees responsibilities oi inuiViuuais. carrying out their responsibilities to be
appropriate (WP X-l). in a manner that is inconsistent 2. Select a sample of 80 disburse‹ with
management’s expectations ments (lO% risk, 5% tolerable :. No observations were identiied in this
test; all and desires (accuracy, timeliness, deviation rate, and 1% expected approvals were in
accordance with the delegation deviation rate) and test for of authority policy, after taking into
consideration recording, compliance, and approval objectives). approvals in accordance with the
necessary changes to the policy as described on policy. working paper X-l (WP X-2).
3- Review and discuss procedures i. Based on discussions and observations, it appears with accounts
payable person‹ that the documented procedures continue to be nel to determine whether the
appropriate, current, and well-understood (WP X-3). procedures accurately reflect the required tasks
and could be followed by others.
Duplicate Payments Risk -Failure 1. Test the system’s duplicate 1. The system rejected all duplicate
invoice entries. to identify multiple inputs of invoice functionality by attempt‹ However, it accepted
invoices where a digit or invoices may result in duplicate ing to enter duplicate invoice symbol was
added to the end of the invoice number, payments to vendors that could numbers. Also, test what
hap‹ creating the opportunity for a duplicate payment go undetected or prove dificult pens if a digit
or symbol is added (Z-4) (WP X-4). to collect (accuracy and recording to the end of a duplicate
invoice objectives). number. 2. Fourteen (14) potentially duplicate payments were identified,
totaling $357,782. A/P management is 2. Since the system only alerts following up on all items,
which appear to be due to the user to the possibility of a the deficiency noted on working paper X-4
(X-5). duplicate payment, extract lOO% 3. The test transactions for this control were all flagged of
the payments for the last year in the cash disbursements run. The 14 transactions 3riu iC-st iOr
possiuie duplicate payments. identified in the duplicate payments test were from different
disbursement batches and, thus, were not 3. Test to ensure the cash disburse‹ flagged by this
control (WP X-6). ments flag operates as designed.
(continued next page)
EXHIBIT 13-15 EXAMPLE RISK AND CONTROL MATRIX FOR CASH DISBURSEMENTS, (cont)
Process-Level Risk Testing Approach Results of Testing
Timeliness Risk - Inability to process 1. Test the system functionality for 1. The benchmark testing of
all three payments on a timely basis may the three key controls. controls indicated that they
operated as result in ines or penalties (for late 2. Using data analysis software, designed (WPs X-7, X-
8, and X-o). payments) or missed discounts (time‹ compute the difference between 2. There were
172 payments (1.1% of total liness and cash flow objectives). the payment date and invoice
disbursements) made late. Late payment date for 100% of payments made fees were charged on 21
of the payments. during the last year. Follow up Follow-up by A/P management resulted on any late
payments or missed in such fees being waived for nine of discounts. the 21 late payments. Fees paid
totaled $24,489 (Z-5). There were no missed dis‹ counts identified (WPs X-IO and X-ll).
Systems Access Risk - Lack of effec‹ 1. IT logical security is tested in a 1. No design deiciencies were
noted in the tive logical security practices may separate audit by the IT audit IT logical security
testing (WP X-12). create opportunities for unautho‹ specialists. Check the results of 2. Based on the
discussion and observations rized individuals to access, manip‹ that audit to ensure there were no of
appropriate documentation, access ulate, or delete key disbursements design deiciencies relating to
the rights appear to be reviewed appropri‹ data (accuracy, recording, and cash cash disbursements
security. ately and timely (WP X-13). flow objectives). 2. Discuss with the accounts payable manager
the process for conirming access rights. Examine documentation supporting this procedure.
Operating Effectiveness The answers to these questions require the internal auditor to reach
conclusions based on the information gathered during the planning phase of the audit and
Assessment of whether management the execution of audit tests. While the conclusions typically
require a great deal has executed (operated) the controls in a manner that provides reason‹
ofjudgment, there is a logical thought process that flows from the steps described able assurance
that risks have been throughout this chapter. These conclusions can be documented in the Risk and
managed effectively and that the Control Matrix. Similar to past tasks, the example Risk and Control
Matrix shown goals and objectives will be achieved in exhibit 13-14 can be expanded by adding a
column to include the Testing Con‹ efficiently and economically. clusions. Exhibit 13-18 provides an
example of what this matrix might look like. Note that the Testing Approach column from exhibit 13-
14 has been removed for this illustration. This was done to simplify this example as the Testing
Approach column is not critical to the thought process in this example. However, as pre‹ viously
stated, all of the columns are necessary to evaluate the design adequacy and operating effectiveness
of key controls when conducting an assurance engage‹ ment. Note that instead of documenting
identiied gaps in this conclusion column, some internal audit functions may create a separate log for
gathering preliminary audit observations.
cash disbursements function.
EXHIBIT 13-16 EXAMPLE OF EXPECTATIONS RISK TEST #1
X-l
Prepared by: Steve Braveheart Reviewed by: David Richardson
Purpose of Test: To test whether the delegation of authority policy is complete, appropriate, and
current relative to establishing the authority for approving procurement and disbursement
transactions.
Testing Approach: Review delegation of authority policy and evaluate whether it appears to be
current and appropriate given the present responsibilities of individuals.
Sampling Considerations: There are 147 individuals included in this policy. Given the small
population and the nature of the asser‹ tion (that all and only appropriate individuals are delegated
authority to approve procurement and disbursement transactions), a non-statistical sample was
chosen. Beginning with the first person on the list, every third person was evaluated as to the
appropri‹ ateness of their inclusion on the delegation of authority policy.
Results of Testing: Following are the results of the test:
" After completing the initial sample, three individuals were identiied who where no longer
employees of the company.
" Because of this observation, the test was extended to include all 147 individuals, which indicated
that seven individuals on the list were no longer employees, one of whom had left the company 15
months ago.
" Recognizing that the list was not being updated timely, the auditor also tested new employees and
promotions during the preced‹ ing 18 months and found that five of the new employees and four
promoted employees should have been on the list based on their assigned responsibilities.
Conclusion: Based on the results of testing, the control relating to reliance on the delegation of
authority policy is not operating effectively on a consistent basis due to failure to update the list
timely for changes in employee status (see engagement observation in working paper Z-3).
DEVELOP OBSERVATIONS AND FORMULATE RECOMMENDATIONS After completing the testing,

gathering and evaluating the evidence needed, and reaching conclusions, the internal auditor must
develop the observations and for‹ mulate the recommendations that should be communicated to
the auditee and other internal audit stakeholders. The key elements of a well-written observation
are discussed briefly in chapter 12, and further elaboration of these elements can be found in
chapter 14.
BOOKS 2 BUY Example: Five potential audit observations were identiied. The four key elements of
audit observations are documented in exhibit 13-20 for each of these ive audit observations.
The examples referred to above relect the documentation that the internal auditor can complete
while conducting the ieldwork. However, there is additional infor‹ mation that may be necessary
before including such observations in an engage‹ ment communication. Refer to chapter 14, where
the resolution and reporting of observations are discussed in further detail.
OPPORTUNITIES TO PROVIDE INSIGHT There are many opportunities for the internal audit function
to add value by pro‹ viding insight during assurance engagements. Exhibit 13-21 describes 10 oppor‹
tunities for the internal audit function to provide insight through performance of assurance
engagements.
EXHIBIT 13-17 EXAMPLE OF DUPLICATE PAYMENTS RISK TEST #2
X-5 Prepared by: Jerry Coxswain Reviewed by: David Richardson
Purpose of Test: To test whether any potentially duplicate payments were made during the last year.
Testing Approach: Since the system only alerts the user to the possibility of a duplicate payment,
extract 100% of the payments for the last year and test for possible duplicate payments.
Sampling Considerations: It is possible to extract all of the disbursements made during the last 12
months. Therefore, all disbursements made during that time frame were extracted from the cash
disbursements system. Using the generalized audit software licensed by the department, we
selected all payments of equal amounts for a given vendor, regardless of invoice number or payment
date. We also reviewed payments of the same amount regardless of vendor to determine if there
were payments to a vendor that may have been using different names.
Results of Testing: After analyzing all of the disbursements that met one of our criteria, we
determined that the following represent potential duplicate payments:
Vendor , Vendor Amount lnvo,ce* Payment Date Amount
Invoice " Payment Date
ABC Office Supplies 8651032 February 21, 20xx Newtown Catering NC1568 February 14, 20xx
$2,316.50 $685.73 ABC Office Supplies 8641032A February 28. 20xx Newtown Catering NC1598
March 17, 20xx $2,316.50 $443.65 Alpha Printing and Binding 48637899 March 15, 20xx Newtown
Catering NC1598A March 31, 20xx $125,414.22 $443.65 Alpha Printing and Binding 48637899-1
March 15,20xx Newtown Catering NC1677 July 4, 20xx $125,414.22 $772.43 Alpha Printing and
Binding 48637977 May 15, 20xx Newtown Catering NC1677A July 31, 20xx $86,213.47 $772.43 Alpha
Printing and Binding 48637977-1 May 31, 20xx Newtown Catering NC1751 October 31.20xx
$86,213.47 $875.00 Alpha Printing and Binding 48638102 August 15, 20xx Newtown Catering
NC1751-1 November 30, 20xx $91,236.17 $875.00 Alpha Printing and Binding 48638102* August 31,
20xx Newtown Catering NC1803 December 12, 20xx $91,236.17 $966.47 Daily Shipping Services
12587 April 22. 20xx Newtown Catering NC1804 December 31, 20xx $487.95 $966.47 Daily Shipping
Services 12587X April 22, 20xx Spellmen Training 667305832 June 18, 20XX $487.95 $7,500.00
Dewey Cheatem Tax Services 489752 April 30, 20xx Spellmen Training 667305833 June 18. 20xx
$19,495.00 $7,500.00
Dewey Cheatem Tax Services 489753 April 30, 20xx Thompson Florists 1567 August 22, 20xx
$19,495.00 $125.82
Dewey Cheatem Tax Services 489960 September 30, 20xx Thompson Florists 156X August 31, 20xx
$21,250.00 $125.82 Dewey Cheatem Tax Services 489961 September 30, 20xx $21,250.00
TOTAL DUPLICATE AMOUNTS $357,782.41
Conclusion: It appears that duplicate payments are being made in instances when invoices are
presented twice, either with slightly different invoice numbers or with the same invoice number and
the individual entering the invoice has added a digit to the end to prevent the system from rejecting
the transaction. Therefore, the controls are not operating effectively on a consistent basis (see
engagement observation in working paper Z-4).
EXHIBIT 13-18 EXAMPLE RISK AND CONTROL MATRIX WITH TESTING CONCLUSIONS
Process-Level Risk Results of Testing Testing Conclusions

Risk A - Deinition (associated " Result A Conclusion covering Risk A process-level objectives) " Result
B " Result C
Risk B - Definition (associated Result A Conclusion covering Risk B process-level objectives) " Result D
" Result E
EXHIBIT 13-19 EXAMPLE RISK AND CONTROL MATRI
Expectations Risk - Lack 1. The delegation of authority policy lists Based on the results of the sample
of well-developed and seven individuals who are no longer with chosen, we can conclude with 90%
well-articulated policies, the company. Additionally, nine individuals confidence that the rate of
deviations procedures, and other forms who are new in their positions or new to the from
management’s approval policy of communications from company should be on the list but are not
did not exceed 2.9%, which is less management may result in (Z-3). All other responsibilities
appeared to than the tolerable deviation rate of employees carrying out their be appropriate (WP X-
l). 5%. However, expectations regarding responsibilities in a manner approval authority are not being
met that is inconsistent with 2. No observations were identified in this test; due to the fact that the
delegation of all approvals were in accordance with the management’s expectations and delegation
of authority policy, after taking authority list is not updated consis‹ desires (accuracy, timeliness, into
consideration necessary changes to the tently to reflect changes in employ‹ recording, compliance,
and ment status (see working paper Z-3). approval objectives). policy as described on working paper
X-l Therefore, this risk is only partially (WP X-2). mitigated. 3. Based on discussions and observations,
it appears that the documented procedures continue to be appropriate, current, and well-
understood (WP X-3).
Duplicate Payments Risk - 1. The system rejected all duplicate invoice While the systematic controls
appear Failure to identify multiple inputs entries. However, it accepted invoices where to be
operating effectively, it is of invoices may result in dupli‹ a digit or symbol was added to the end of
possible to circumvent these controls cate payments to vendors that the invoice number, creating
the opportunity through submission and input of a could go undetected or prove for a duplicate
payment (Z-4) (WP X-4). different invoice number or adding difficult to collect (accuracy and a digit
at the end of the existing recording objectives). 2. Fourteen (14) potentially duplicate payments
invoice number (see working paper were identified, totaling $357,782. A/P man‹ agement is
following up on all items, which Z-4). This represents a deficiency in appear to be due to the
deficiency noted on the design of controls relating to this risk, which, along with the design working
paper X-4 (X-5). deficiency noted in working paper 3. The test transactions for this control were Z-2,
indicates that this risk is not all flagged in the cash disbursements adequately mitigated. ruD. The 1^
transactions identified in the duplicate payments test were from different disbursement batches
and, thus, were not flagged by this control (WP X-6).
(continued next page)
EXHIBIT 13-19 EXAMPLE RISK AND CONTROL MATRIX FOR CASH DISBURSEMENTS, (cont.)
Timeliness Risk - Inability to The benchmark testing of all three controls All of the systematic controls
are process payments on a timely indicated that they operated as designed operating effectively.
However, basis may result in fines or penal‹ (WPs X-7, X-8, and X-9). delays earlier in the process (for
ties (for late payments) or missed example, getting invoices approved discounts (timeliness and cash
There were 172 payments (1.1% of total and processed by initiators of the flow objectives).
disbursements) made late. Late payment purchase) result in a relatively fees were charged on 21 of
the payments. small number of payments being Follow-up by A/P management resulted in delayed.
These delays have resulted such fees being waived for nine of the 21 in an insignificant financial
impact late payments. Fees paid totaled $24,489 (late-payment fees). Therefore, this (Z-5). There
were no missed discounts risk appears to be only partially identified (WPs X-lO and X-ll). mitigated.
Systems Access Risk - Lack of No design deiciencies were noted in the The controls appear to be
designed effective logical security prac‹ IT logical security testing (WP X-12). adequately and are
operating effec‹ tices may create opportunities tively to mitigate this risk. for unauthorized
individuals to Based on the discussion and observations access, manipulate, or delete key of
appropriate documentation, access disbursements data (accuracy, rights appear to be reviewed
appropriately recording, and cash flow objec‹ and timely (WP X-13). tives).
EXHIBIT 13-20 BOOKS 2 BUY AUDIT OBSERVATIONS FOR CASH DISBURSEMENTS
Z-4
Criteria: All goods received for which title has passed to the Criteria: The receipt of goods or services
should be recorded company, or services which have been rendered, should be and processed only
once. recorded in the financial statements. Condition: The system rejected all duplicate invoice
entries. Condition: There is no check with users to determine whether However, it accepted invoices
where a digit or symbol was any goods or services have been received but not invoiced yet. added to
the end of the invoice number, creating the opportu‹ Cause: Accounts payable management had not
previously con‹ nity for a duplicate payment. sidered or recognized the value of performing such a
check. Cause: In some instances, the A/P clerks appear to be entering Effect: Unrecorded liabilities,
along with the corresponding certain invoices a second time when sent by the vendor. The
unrecorded assets or expenses, may result when the books are clerks are not recognizing that these
invoices may have been closed at month-end, quarter-end, or year-end. received before, and, given
the control design deficiency as described in Z-2, are adding a digit to the end to facilitate
processing. In other instances, the vendor is issuing a duplicate invoice with a different invoice
number (typically one higher Criteria: The receipt of goods or services should be recorded than the
last one) and the A/P clerks did not detect the poten‹ and processed only once. tial that these were
duplicate invoices. Condition: While the system does alert the A/P clerk to poten‹ Effect: Liabilities,
and the corresponding assets or expenses, tial duplicate invoices, it does not prevent the A/P clerk
from were overstated by $357,782.41 and the same amount of funds continuing to process such an
invoice. were disbursed inappropriately. Cause: The system was coded to remind the user, but not to
prohibit the user from entering an invoice again if circum‹ Z-5 stances warranted. Criteria: Payments
should be made in a timely manner, consis‹ Effect: Liabilities, and the corresponding assets or
expenses, tent with management’s expectations regarding avoidance of may be overstated and
funds disbursed inappropriately. late payment fees. Condition: There were 172 payments (l.l% of
total disburse‹ Z-3 ments) made late resulting in late-payment fees being charged on 21 of the
payments. Follow-up by A/P management resulted Criteria: Authority over the disbursing of funds
should only in such fees being waived for nine of the 21 late payments. Fees be delegated to
individuals whose responsibilities justify such paid totaled $24,489. authority. Cause: For a variety of
reasons, invoice approvals were not Condition: The delegation of authority policy lists seven timely
in 19 of the 21 instances; thus, the payments missed the individuals who are no longer with the
company. Additionally, company’s disbursement processing deadlines. In the remaining nine
individuals who are new in their positions or new to the two instances, the delays were a result of
management’s deci‹ company that should be on the list, are not. sions to withhold payment until a
disagreement with the vendor Cause: The delegation of authority policy is updated semi- could be
resolved. annually, rather than each time there is a change in personnel Effect: The company
incurred late payment fees totaling or responsibilities of authorized individuals. $24,489. Effect:
Disbursements may be made that are not in accordance with management’s direction.
EXHIBIT 13-21 10 OPPORTUNITIES FOR INTERNAL AUDIT TO PROVIDE INSIGHT WHILE CONDUCTING
AN AUDIT ENGAGEMENT
1. Facilitate a discussion of key auditee objectives to ensure a consistent understand‹ ing among all
employees in that area.
2. Share process documentation (flowcharts, etc.) developed during the audit that the auditee can
use as a training tool.
3- Share results of data analysis, including any spreadsheets or tools developed that can be used by
the auditee in the future.
4. Advise on the sufficiency and comprehensiveness of key performance indicators to help auditee
management better monitor performance.
5. Share thoughts on process-level fraud risks and advise on ways to best prevent, deter, or detect
potential fraud incidents.
6. Discuss process-level risks identiied to ensure auditee has considered such risks in its design of
controls and procedures.
7. Share the internal audit team’s assessment of such risks to ensure alignment on the inherent level
of each risk.
8. Discuss management’s tolerance levels related to process-level risks and advise, as appropriate,
on areas where potentially too much or too little risk is accepted.
9. Share the internal audit team’s assessment of the design of controls and reach agreement on the
acceptability of design adequacy.
10. Share the internal audit team’s assessment of the operation of controls and reach
SUMMARY Chapter 12 introduced an expression known as the six Ps: Proper Prior Planning Prevents
Poor Performance. This expression means that it is critical to effectively plan engagements to ensure
success. Time spent in the planning phase of an engagement likely will pay great dividends later,
helping to ensure that the overall audit is conducted effectively, efficiently, and comprehensively.
The irst phase of an assurance engagement is the planning phase. The key steps in planning an
engagement are: Determine engagement objectives and scope. Each assurance engagement will be
a little different, depending on the reason for performing the engage‹ ment and the desired end
results. The irst step is to establish the objectives of the engagement and outline the scope to
articulate the time, geographical, and procedural boundaries. Understand the auditee (including
auditee objectives). To conduct an engagement effectively, the auditor must irst understand the
auditee’s objec‹ tives, the tasks undertaken within the area under review to achieve those objec‹
tives, and the ways in which performance is monitored and success is measured. Identify and assess
risks. The speciic events or scenarios that could prevent the achievement of the auditee’s objectives
must be identiied and assessed. This
assessment typically involves an evaluation of the impact and likelihood of the risk scenarios.
Identify key controls. Key controls are those that, individually or when aggre‹ gated with other
controls, mitigate the auditee’s risk to an acceptable level. While the auditee may have implemented
many different controls to achieve
j v-f -f~~ , - j a vnriptv nf rnirnnsp« trip kpv rnntrnls arp trip ones that arp trnlv integral to - j 0 -
achievement of objectives. Evaluate the adequacy of control design. The irst key evaluation is the
adequacy of control design. This step requires the internal auditor to evaluate whether the controls,
if they operate effectively, will mitigate the risks that could prevent the achievement of objectives.
Create atest plan. The test plan outlines how each of the key controls will be tested to help the
internal auditor evaluate how effectively those controls are operating. The tests also must be linked
to the underlying risks so that any deficiencies identiied during testing can be evaluated relative to
the impact on risk mitigation. Develop a work program. A formal work program outlines the key
tasks in the engagement process and any judgments made regarding the objectives and scope of the
engagement. Allocate resources to the engagement. Based on the tasks to be performed during an
engagement, personnel with the appropriate level of experience and skills must be identified and
assigned to ensure the engagement is completed timely and effectively.
Planning an engagement requires more than just carrying out the steps above. It also requires
effective documentation of the information gained and judgments made. While the format of such
documentation created during the planning phase may take various forms, typically it includes: A
planning memorandum or checklist to document the audit approach and judgments made.
Flowcharts or narrative write-ups describing key process flows. A risk map that depicts the
judgments made regarding process-level risks. A Risk and Control Matrix that documents the link
between risks, controls, testing approach, results of testing, and testing conclusions.
The second phase of an assurance engagement involves performing the tests that were outlined in
the planning phase and evaluating the results. Speciically, the internal auditor conducts the following
steps: Conduct tests to gather evidence. This involves completing each of the tests identiied during
the planning stage. During this step the internal auditor gath‹ ers and documents suficient
appropriate evidence to support the conclusions regarding how effectively the controls are
operating. Evaluate evidence gathered and reach conclusions. This step requires the internal auditor
to consider the initial evaluation of control design as well as the results of testing, and form a
conclusion as to whether the underlying risks are being mitigated to an acceptable level.
CONDUCTING

Bahasa

Chapter 13.en - Id.en - Id - Salin

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Chapter 13.en - Id.en - Id - Salin

Diunggah oleh

Hak Cipta:

TUJUAN PEMBELAJARAN

PAMERAN 13-1 PEDOMAN IPPF RELEVAN UNTUK BAB 13

Standar 2200- Perencanaan Penugasan

SCi. dtdllUJIU iZUI II Pertimbangan Perencanaan

Standar 2210 - Tujuan Penugasan

Standar 2220- Lingkup Pengikatan

Standar 2230- Alokasi Sumber Daya Keterlibatan

Standar 2240- Program Kerja Penugasan

Standar 2300 melakukan Pengikatan

Standar 2310-Mengidentifikasi Informasi

Standar 2320-Analisis dan Evaluasi

Standar 2330 - Mendokumentasikan Informasi

Standar 2340- Pengawasan Enaaaement

13-2 AUDIT INTERNAL: JAMINAN & JASA PENASIHAT

PAMERAN 13-2 PROSES KETERLIBATAN ASURANSI

Evaluasi kecukupan kontrol

GAMBAR 13-3 FAKTA BUKU PENDUKUNG 2 CONTOH BELI

Rata-rata, $ 480 juta pengeluaran tunai tahunan dicairkan sebagai berikut:

MELAKUKAN KETERLIBATAN ASSURANCE 13-3

13-4 AUDIT INTERNAL: JAMINAN & JASA PENASIHAT

PAMERAN 13-4 PROSES KETERLIBATAN JAMINAN Rencana Lakukan T Komunikasikan Tentukan

MELAKUKAN KETERLIBATAN ASURANCE 13-5

Keputusan mengenai ruang lingkup membutuhkan banyak pertimbangan profesional. Auditor

MELAKUKAN KETERLIBATAN ASSURANCE 13-7

13-8 AUDIT INTERNAL: JAMINAN & JASA PENASIHAT

MELAKUKAN KETERLIBATAN ASSURANCE 13-9

13-10 AUDIT INTERNAL: JAMINAN & JASA PENASIHAT

MELAKUKAN KETERLIBATAN JAMINAN 13-11

13-12 AUDIT INTERNAL: JAMINAN & JASA PENASIHAT

MELAKUKAN KETERLIBATAN ASSURANCE 13-13

PAMERAN 13-5 SIMBOL UMUM FLOWCHARTING

Proses atau operasi - Proses, subproses, atau aktivitas.

Dokumen - Dokumen sumber input hard copy atau laporan output.

GAMBAR 13-7 FLOWCHART RINCI, (lanjutan)

RESIKO PENGOLAHAN INVOICE

(lanjutan halaman berikutnya)

MELAKUKAN KETERLIBATAN JAMINAN 13-17

GAMBAR 13-7 FLOWCHART RINCI, (lanjutan)

MELAKUKAN KETERLIBATAN ASSURANCE 13-19

13-20 AUDIT INTERNAL: JAMINAN & JASA PENASIHAT

MELAKUKAN KETERLIBATAN ASSURANCE 13-21

13-22 AUDIT INTERNAL: JAMINAN & JASA PENASIHAT

MELAKUKAN KETERLIBATAN ASSURANCE 13-23

13-24 AUDIT INTERNAL: JAMINAN & LAYANAN PENASEHAT

13-26 INTERNAL AUDITING: ASSURANCE & ADVISORY SERVICES

13-28 INTERNAL AUDITING: ASSURANCE & ADVISORY SERVICES

CONDUCTING THE ASSURANCE ENGAGEMENT 13-29

EXHIBIT 13-10 EXAMPLE RISK AND CONTROL MATRIX

Process-Level Risk Key Control Design Adequacy

13-30 INTERNAL AUDITING. ASSURANCE & ADVISORY SERVICES

CONDUCTING THE ASSURANCE ENGAGEMENT 13-31

13-32 INTERNAL AUDITING: ASSURANCE & ADVISORY SERVICES

Process-Level Risk Key Control Testing Approach

CONDUCTING THE ASSURANCE ENGAGEMENT 13-33

Process-Level Risk Key Control Testing Approach

13-34 INTERNAL AUDITING: ASSURANCE & ADVISORY SERVICES

CONDUCTING THE ASSURANCE ENGAGEMENT 13-35

13-36 INTERNAL AUDITING: ASSURANCE & ADVISORY SERVICES

CONDUCTING THE ASSURANCE ENGAGEMENT 13-37

EXHIBIT 13-13 THE ASSURANCE ENGAGEMENT PROCESS

Evaluate adequacy of control

^.leaie a icsi plan.

and informal inal communications.

Develop a work program.

Perform monitoring and Allocate resources to follow-up procedures. the engagement.