TUGAS RINGKASAN MATERI KULIAH (RMK)

PENGAUDITAN KEPATUHAN DAN PENGENDALIAN INTERNAL

MATERI 1

NAMA ANGGOTA:
CELIA MAKKIYATUL BERLINNA 464849
SELVIN MANUPUTTY 464885
OKTA AMELIANA SIPAYUNG 464872

MAGISTER AKUNTANSI
FAKULTAS EKONOMIKA DAN BISNIS
UNIVERSITAS GADJAH MADA
2021
 CH 17

DOCUMENTING AUDIT RESULTS THROUGH PROCESS MODELING AND WORKPAPERS

Kemampuan untuk mendokumentasikan bukti audit secara efektif adalah keterampilan audit
internal yang sangat penting. Ada dua dimensi di sini. Pertama, auditor internal sering kali
dihadapkan pada berbagai informasi tentang bisnis dan operasinya di beberapa lokasi. Untuk lebih
memahami kekuatan dan kelemahan pengendalian, auditor internal perlu memikirkan kegiatan ini
dalam kaitannya dengan proses pendukung yang seringkali tidak terdokumentasi dengan baik.
Kertas kerja audit sangat penting untuk audit internal individu serta untuk keseluruhan perusahaan.
Dalam beberapa situasi, mereka bahkan dapat menjadi sumber bukti dalam perkara litigasi. Setelah
diatur dalam file berbasis kertas yang sangat banyak, kertas kerja audit sekarang sering kali paling
baik diatur dalam format digital dan dirakit di komputer laptop. Audit internal memiliki persyaratan
hukum yang diamanatkan Sarbanes-Oxley Act (SOx) untuk menyimpan dokumentasi kertas kerja
auditnya selama tujuh tahun atau lebih. Ini bisa menjadi tantangan ketika teknologi berubah,
terkadang membuat akses ke catatan lama ini sulit, dan keterbatasan ruang fisik menjadi tantangan
untuk melacak catatan aktivitas audit internal yang lama. Mendeskripsikan, mendokumentasikan,
dan mencatat kegiatan audit internal adalah semua persyaratan CBOK audit internal.

17.1 INTERNAL AUDIT DOCUMENTATION REQUIREMENTS

Auditor internal menghabiskan sebagian besar waktu mereka meninjau catatan, melakukan analisis
berdasarkan pada catatan tersebut, dan mewawancarai orang-orang di semua tingkatan dalam
perusahaan untuk mendapatkan informasi. Auditor menggunakan semua informasi ini untuk
mengembangkan dan membuat kesimpulan audit serta rekomendasi yang sesuai. Namun, upaya ini
tidak banyak nilainya kecuali jika audit berhasil didokumentasikan secara tertib. Pengamatan yang
tidak berdokumen memiliki nilai yang kecil jika pekerjaan audit dipertanyakan terkadang bahkan
untuk proses hukum berbulan-bulan atau bahkan hingga bertahun-tahun ke depan. Auditor internal
yang awalnya melakukan pekerjaan mungkin telah pindah, dan pekerjaan audit internal tidak dapat
dikuatkan tanpa bukti pendukung. Dokumentasi audit internal mengacu pada laporan audit yang
dipublikasikan, rencana tindakan, dan bahan pendukung laporan lainnya, kertas kerja audit,
risalah rapat utama, ekstrak file TI khusus, atau laporan. SEC mensyaratkan bahwa “catatan
disimpan selama tujuh tahun setelah auditor menyimpulkan audit atau review atas laporan
keuangan. " Untuk audit internal, periode penyimpanan catatan juga akan menjadi minimal tujuh
tahun setelah laporan audit diterbitkan. Bagian berikut membahas tiga aspek penting dari
dokumentasi audit internal: pemodelan proses, kertas kerja audit, dan penyimpanan dokumen.
Pertama-tama, auditor internal akan sering memulai tinjauan di area proses baru di mana mungkin
tidak ada audit sebelumnya dan bahkan dokumentasi perusahaan terbatas. Auditor internal perlu
mengamati operasi, meninjau laporan dan prosedur, dan ajukan pertanyaan untuk mengembangkan
pemahaman tentang proses baru itu. Dokumentasi ini penting untuk memahami lingkungan
pengendalian internal dan untuk membuat rekomendasi terkait konsultasi jika sesuai. Kertas kerja
adalah topik utama kedua dari bab ini. Ini adalah dokumen-dokumen yang menggambarkan
pekerjaan auditor internal dan memberikan dasar dan pemahaman untuk audit internal. Bab ini akan
membahas pendekatan untuk mengembangkan internal yang efektif kertas kerja audit dan akan
diakhiri dengan bagian yang membahas dokumen penyimpanan kertas kerja. Pemahaman dasar
tentang semua tiga dari area ini harus menjadi persyaratan CBOK auditor internal dasar.

17.2 PROCESS MODELING FOR INTERNAL AUDITORS

Model atau deskripsi proses bisnis adalah peta yang membantu auditor internal untuk mengarahkan
melalui aktivitas bisnis:

- Where we are right now

- Where we need to go
- Where we came from
- How we got to where we are

Model proses sebenarnya adalah semacam peta atau diagram alur untuk membantu auditor
internal menavigasi melalui serangkaian aktivitas yang diamati. Namun, pemodelan proses yang
baik adalah lebih dari sekadar peta jalan sederhana yang menunjukkan cara berpindah dari satu
titik ke titik lainnya. Di sini, kelompok operasi desain menerima masukan atau pesanan dari
pelanggannya dan mengirimkan produk jadi kepada mereka. Namun, untuk menghasilkan output
harus berkoordinasi dengan pemasok, dan harus ada loop umpan balik sistem pengukuran untuk
mempromosikan peningkatan produk. Ini adalah jenis bagan yang disederhanakan yang mungkin
dibuat oleh auditor internal pada kunjungan pertama ke fasilitas ketika mengajukan pertanyaan
tentang kegiatan unit. Menggunakan ini, auditor dapat mengumpulkan lebih banyak informasi
seperti persyaratan masukan dan keluaran yang terperinci antara pemilik proses, aktivitas yang
mengubah masukan pemasok menjadi keluaran yang memenuhi persyaratan pelanggan, dan umpan
balik dan sistem pengukuran yang diperlukan untuk membuat proses berjalan. (gambar 1)

Understanding the Process Modeling Hierarchy

Sementara unit bisnis terkadang mengembangkan diagram prosesnya sendiri yang mencakup
aktivitas kunci, auditor internal harus sering mengembangkannya sebagai bagian dari kunjungan
awal untuk mendapatkan pemahaman tentang operasi. Beberapa definisi proses utama akan
membantu auditor internal untuk lebih berkomunikasi dengan orang lain;

- Sistem. Proses terkait yang mungkin terhubung atau tidak.

- Proses. Terinterkoneksi secara logis, aktivitas terkait yang mengambil masukan, menambah nilai
kedalamnya, dan menghasilkan output ke proses internal lain atau pelanggan output.
- Kegiatan. Bagian kecil dari proses yang dilakukan oleh satu departemen atau seorang individu.
- Tasks. Langkah-langkah yang diperlukan untuk melakukan aktivitas tertentu.
- Pelanggan eksternal. Entitas di luar unit pemasok proses yang menerima produk, layanan, atau
informasi dari pemasok.
- Pelanggan internal. Seseorang, departemen, atau proses dalam perusahaan yang menerima
keluaran dari proses lain.
Sebagai bagian dari proses memahami dan mendeskripsikan, auditor internal membutuhkan untuk
memahami bagaimana elemen proses ini terkait satu sama lain. Sebagai contoh, Tampilan 17.2
menunjukkan rincian hierarki proses untuk apa yang seharusnya sudah biasa bagi seorang auditor
internal yaitu elemen untuk melakukan audit internal. Sementara deskripsi proses yang sebenarnya
akan jauh lebih rinci, contoh ini menunjukkan bahwa proses mengevaluasi kontrol internal menunjuk
ke aliran subproses yang mengarah ke proses aktivitas melakukan pengujian audit. Gambar 2

Describing and Documenting Key Processes

Berdasarkan produk pemodelan lain yang ada, audit internal harus mengembangkan standar
pembuatan diagram untuk digunakan dalam mendeskripsikan proses perusahaan dan pengendalian
internalnya. Standar pembuatan diagram ini akan terdiri dari diagram alur dan deskripsi singkat.
Deskripsi tersebut, tentu saja, harus mengikuti standar yang sama dengan yang digunakan audit
internal dalam semua deskripsi kertas kerja auditnya, sering kali berupa catatan poin yang
menggambarkan wawancara yang telah dilakukan auditor serta waktu dan tanggal wawancara yang
didokumentasikan. Audit internal harus mengembangkan pendekatan standar dan konsisten untuk
diagram alur pemodelan prosesnya. Dua pendekatan yang mudah digunakan dan dipahami adalah
diagram aliran input / output dan diagram alur kerja.

1. Diagram alur proses input / output. Pendekatan deskripsi aliran paling baik untuk proses
yang berhubungan dengan objek fisik. Fokusnya adalah pada peserta pasif yang
dikonsumsi, diproduksi, atau diubah oleh proses kegiatan. Jenis diagram alur ini adalah
peta jalan untuk memindahkan langkah-langkah proses dari satu aktivitas ke aktivitas
berikutnya.
2. Diagram alur proses deskripsi alur kerja. Jenis diagram ini lebih menekankan pada urutan
kegiatan daripada kegiatan apa yang berhasil. Di sini, semua aktivitas harus dilakukan
dalam urutan yang ditentukan, seperti contoh diagram alur di mana penting untuk
menerima pembayaran sebelum mengirimkan barang. Dalam diagram jenis ini,
penekanannya bukan pada peserta tetapi pada urutan proses yang harus mengalir.
Gambar 3

Process Modeling and the Internal Auditor

Pemodelan proses dalam alat auditor internal yang penting baik untuk meninjau proses perusahaan
yang ada dan untuk menyarankan area untuk perbaikan. Auditor internal dapat bertemu dengan tim
perusahaan dan mengidentifikasi area untuk perbaikan.

17.3 INTERNAL AUDIT WORKPAPERS

Kertas kerja adalah catatan tertulis yang disimpan untuk mengumpulkan dokumentasi, laporan,
korespondensi, dan bahan sampel lainnya, dan bukti penting yang terkumpul selama audit internal.
Istilah kertas kerja adalah ekspresi audit yang agak kuno yang menggambarkan file fisik atau
komputer yang mencakup jadwal, analisis, dan salinan dokumen yang disiapkan sebagai bagian dari
sebuah audit. Karakteristik umum dari semua kertas kerja adalah bahwa mereka adalah bukti
menjelaskan hasil audit internal. Pernyataan tersebut harus disimpan secara resmi untuk referensi
dan pembuktian selanjutnya dari kesimpulan dan rekomendasi audit yang dilaporkan. Sebagai
jembatan antara prosedur audit internal aktual dan laporan yang dikeluarkan, kertas kerja
merupakan alat untuk mencapai tujuan. Mereka dibuat untuk memenuhi tugas audit tertentu dan
sangat fleksibel. Kertas kerja audit internal juga dapat memiliki signifikansi hukum. Dalam beberapa
situasi, mereka telah diserahkan, melalui perintah pengadilan, kepada pemerintah, otoritas hukum,
atau regulator sebagai bukti pendukung dalam beberapa hal.

Tujuan keseluruhan dari kertas kerja adalah untuk mendokumentasikan bahwa audit yang memadai
telah dilakukan dengan mengikuti standar profesional yang ditentukan IIA. Fungsi utama kertas kerja
auditor meliputi

- Dasar perencanaan audit.

- Rekaman pekerjaan audit yang dilakukan.
- Digunakan selama audit.
- Mendeskripsikan situasi dengan signifikansi khusus
- Dukungan untuk kesimpulan audit tertentu.
- Sumber referensi.
- Penilaian staf.
- Koordinasi audit.

Workpaper Standards

Tidak ada bentuk atau format khusus untuk kertas kerja audit internal. Standar profesional
internasional Institute of Internal Auditor, yang diuraikan dalam Bab 9, hanya berisi panduan
tingkat tinggi untuk kertas kerja audit melalui standar 2330 mereka: Auditor internal harus
mencatat informasi yang relevan untuk mendukung kesimpulan dan hasil penugasan.

Standar yang sangat luas ini didukung oleh serangkaian apa yang oleh IIA disebut sebagai Practice
Advisories yang memberikan informasi pendukung tambahan tentang masalah kertas kerja audit
internal termasuk persiapan, kontrol dokumentasi, dan persyaratan penyimpanannya. Gaya dan
format kertas kerja yang sebenarnya, bagaimanapun, akan berbeda dari satu internal departemen
audit ke yang lain dan, pada tingkat yang lebih rendah, kadang-kadang bahkan dari satu audit ke
audit lain. Departemen audit internal akan sering menetapkan standar kertas kerja yang sesuai
konsisten dengan auditor eksternal mereka. Kertas kerja harus mengikuti serangkaian standar yang
konsisten dan dapat berdiri sendiri sehingga pihak luar yang berwenang, seperti auditor eksternal,
dapat membacanya dan memahami tujuan audit internal, pekerjaan yang dilakukan, dan masalah
atau masalah apa pun yang beredar. temuan. Standar kertas kerja audit internal harus mencakup
bidang-bidang berikut:
- Relevansi dengan tujuan audit.
- Kondensasi detail.
- Kejelasan presentasi.
- Akurasi kertas kerja.
- Tindakan pada item terbuka.
- Standar bentuk.
Standar bentuk harus mencakup
1. Persiapan judul. Halaman atau format kertas kerja individu harus memiliki judul dengan
judul audit total, komponen tertentu dari total tersebut yang terdapat dalam lembar kertas
kerja yang diberikan, dan tanggalnya.
2. Perusahaan. Penggunaan judul yang tepat, spasi, dan margin yang memadai untuk
memudahkan dalam membaca dan pemahaman.
3. Kerapian dan keterbacaan.
4. Pengindeksan silang. Semua kertas kerja harus diindeks dan diindeks silang. Pengindeksan
silang memberikan jejak bagi auditor dan memastikan keakuratan informasi di kertas kerja,
serta di laporan audit berikutnya.

Workpaper Formats

Halaman kertas kerja disiapkan secara manual dari

audit operasional dari pengamatan inventaris fisik.
Poin penting disini adalah gambaran singkat dari
sebuah pengamatan auditor internal. Bentuk ini bisa
berdiri sendiri. Pembaca kertas kerja bisa tentukan
entitas yang dicakupnya, siapa yang mengerjakan
dan kapan, dan bagaimana kertas kerja ini terkait
dengan orang lain dalam audit. Auditor internal
harus sangat berhati-hati untuk
mendokumentasikan semua langkah kerja dan
semua keputusan audit. Auditor internal harus
selalu ingat bahwa situasi dapat berubah dan kertas
kerja mungkin dipertanyakan bertahun-tahun
setelah mereka disiapkan. Saat ini, sebagian besar
auditor internal menyiapkan kertas kerja mereka di
komputer laptop mereka. Terlepas dari ukuran halaman atau media, tujuan dari lembar kertas kerja
adalah untuk memberikan kerangka standar untuk mendokumentasikan kegiatan audit internal.
Seperti yang telah dibahas sebelumnya, halaman kertas kerja harus diberi judul, diberi tanggal,
dengan inisial yang lebih siap, dan disiapkan dengan rapi dan teratur.

17.4 WORKPAPER DOCUMENT ORGANIZATION

Audit internal yang khas mencakup pengumpulan sejumlah besar bahan untuk mendokumentasikan
beberapa proses pengendalian internal atau hasil pengujian audit. Dengan berbagai aktivitas yang
direview dan prosedur audit yang sama luasnya, bentuk dan isi masing-masing kertas kerja dapat
sangat bervariasi. Kategori utama bergantung pada sifat bahan audit dan pekerjaan yang dilakukan,
dan standar kertas kerja harus dibuat berdasarkan beberapa jenis file khusus. Seperti halnya dalam
sistem pengisian manual mana pun, bahan kertas kerja diklasifikasikan menurut jenis dasarnya dan
dikelompokkan bersama dalam sebuah file atau diikat menjadi satu dengan cara yang membantu
pengambilannya. Untuk sebagian besar audit internal, kertas kerja dapat dipisahkan menjadi area
audit yang luas berikut:

File permanen. Banyak audit dilakukan secara berkala dan mengikuti prosedur berulang. Daripada
menangkap semua data yang diperlukan kali secara berkala setiap audit dilakukan, data tertentu
dapat dikumpulkan menjadi apa yang disebut file kertas kerja permanen, yang berisi data yang
bersifat historis atau berkelanjutan yang berkaitan dengan audit saat ini. Beberapa dari data ini
mungkin termasuk:

- Bagan perusahaan secara keseluruhan dari unit audit

- Bagan akun (jika audit keuangan) dan salinan kebijakan dan prosedur utama
- Salinan laporan audit terakhir, program audit yang digunakan, dan tindak lanjutnya komentar
- Laporan keuangan tentang entitas serta potensi data analitik berguna lainnya
- Informasi tentang unit audit (deskripsi produk utama, proses produksi, dan hal-hal lain yang
layak diberitakan)
- Informasi logistik untuk membantu auditor berikutnya, termasuk catatan tentanglogistik dan
pengaturan perjalanan

File permanen tidak dimaksudkan untuk menjadi permanen dalam artian akan ada tidak pernah
berubah; sebaliknya, ini menyediakan auditor internal untuk memulai tugas baru sumber bahan latar
belakang untuk membantu merencanakan audit baru.

Berkas administratif. Meskipun file administratif kertas kerja terpisah mungkin tidak diperlukan
untuk audit yang lebih kecil, bahan kertas kerja administrasi umum yang sama harus dimasukkan di
suatu tempat di semua set kertas kerja audit. Jika hanya ada auditor tunggal atau tinjauan terbatas,
bahan ini dapat dimasukkan ke dalam kertas kerja tunggal.

File prosedur audit. Rekaman pekerjaan audit yang sebenarnya harus dipelihara tergantung pada
jenis dan sifat penugasan audit. Sebagai contoh, audit keuangan mungkin berisi jadwal spreadsheet
rinci dengan komentar auditor pada tes yang dilakukan. Audit operasional mungkin berisi catatan
wawancara dan komentar atas observasi auditor. File ini biasanya yang terbesar untuk audit apa pun
dan sering kali berisi elemen-elemen berikut:

- Daftar prosedur audit yang telah diselesaikan.

- Kuesioner yang sudah diisi.
- Deskripsi prosedur operasional.
- Tinjau aktivitas.
- Analisis dan jadwal yang berkaitan dengan laporan keuangan.
- Dokumen perusahaan.
- Lembar poin temuan, catatan supervisor, atau draf laporan
- Audit file massal

Gambar 6

17.5 WORKPAPER PREPARATION TECHNIQUES

Sebagian besar proses menyiapkan kertas kerja melibatkan penyusunan komentar audit dan
mengembangkan jadwal untuk menjelaskan pekerjaan audit dan mendukung kesimpulannya. Ini
adalah proses terperinci yang membutuhkan auditor internal untuk mengikuti standar keseluruhan
departemen audit untuk persiapan kertas kerja, dan juga untuk membuat kertas kerja mudah di
pahami. Aspek penting adalah untuk memastikan bahwa semua staf audit anggota internal memiliki
pemahaman tentang tujuan dan pentingnya kertas kerja audit mereka. Baik disiapkan secara
manual atau menggunakan sistem berbasis komputer, kertas kerja audit harus berisi standar
pengindeksan dan notasi tertentu yang akan memungkinkan tinjauan yang mudah oleh profesional
audit internal lain yang tertarik.

Pengindeksan kertas kerja dan referensi silang. Mirip dengan notasi referensi dalam buku teks,
referensi silang dan notasi yang memadai harus memungkinkan auditor atau peninjau untuk
mengambil referensi yang signifikan dalam komentar kertas kerja dan melacaknya kembali ke
kutipan atau sumber aslinya. Banyak departemen audit internal menggunakan sistem pengindeksan
umum yang sama dengan yang digunakan oleh auditor eksternal mereka sehingga semua anggota
staf audit dapat memahami referensi yang benar untuk volume dalam set kertas kerja tertentu.
Sebuah metode untuk mengindeks kertas kerja audit internal yang disiapkan secara manual mungkin
mengikuti serangkaian tiga digit sehingga “AP-5‐26” berarti halaman 26 dari langkah ke-5 dalam
serangkaian prosedur audit tertentu. Jika beberapa halaman diperlukan untuk halaman 26, itu akan
dinyatakan sebagai AP ‐ 5‐26.01, AP ‐ 5‐26.02, dan seterusnya. Sistem penomoran apa pun harus
mudah digunakan dan dapat disesuaikan dengan perubahan. Dengan dokumen kertas kerja berbasis
laptop, hyperlink Microsoft Word dapat menjadi alat yang berguna. Nomor referensi silang sangat
penting dalam audit keuangan di mana semua nomor pada berbagai jadwal harus diikat bersama
untuk memastikan konsistensi.

Tick Marks. Auditor sering menyiapkan jadwal

keuangan atau statistik dan kemudian memilih
berbagai nomor dari jadwal tersebut untuk melakukan
satu atau lebih pengujian tambahan. Misalnya, auditor
dapat meninjau sampel pesanan pembelian untuk
menentukan apakah mereka (1) mewakili vendor
dalam daftar yang disetujui, (2) tunduk pada
penawaran kompetitif, (3) dihitung dengan benar, dan
sebagainya. Daripada mencantumkan contoh
pembelian ini memesan pada beberapa lembar kertas
kerja untuk masing-masing tes, auditor biasanya
menggunakan satu jadwal, menggunakan apa yang
disebut tanda centang untuk mencatat berbagai tes yang dilakukan. Tanda centang adalah bentuk
manual auditor atau catatan singkat pensil yang telah berkembang selama bertahun-tahun,
terutama untuk audit keuangan. Auditor dapat mengembangkan tanda centang tertentu untuk
menunjukkan bahwa nilai tertentu pada jadwal keuangan bersilangan dengan nilai terkait lainnya,
dan tanda centang lain untuk menunjukkan bahwa nilai tersebut terkait dengan neraca saldo.

Referensi ke sumber audit eksternal. Auditor internal seringkali mencatat informasi yang diambil
dari sumber luar. Misalnya, auditor internal dapat mengumpulkan pemahaman tentang area
operasional melalui wawancara dengan manajemen. Auditor akan mencatat wawancara tersebut
melalui catatan kertas kerja dan mengandalkan informasi tersebut sebagai dasar pengujian atau
kesimpulan audit lebih lanjut. Penting untuk selalu mencatat sumber dari komentar semacam itu
langsung di kertas kerja. Misalnya, pameran kertas kerja dapat menunjukkan bagaimana auditor
memperoleh pemahaman tentang sistem sampel, dan sumber yang menyediakan informasi tersebut
harus didokumentasikan.

Catatan kasar kertas kerja. Secara historis, sebagian besar kertas kerja disiapkan dengan
menggunakan pensil dan kertas. Jadwal dicatat pada formulir spreadsheet akuntansi, komentar
ditulis dengan tangan, dan setiap pameran dilampirkan. Sebagian besar departemen audit internal
kini telah mengotomatiskan kertas kerja mereka melalui penggunaan spreadsheet dan perangkat
lunak pengolah kata. Otomatisasi ini tidak mengubah standar kertas kerja, tetapi biasanya membuat
kertas kerja lebih mudah dibaca dan diakses. Kertas kerja tipikal saat ini mungkin menggunakan
campuran jadwal manual dan otomatis serta komentar audit. Namun, kertas kerja saat ini biasanya
berupa folder sistem komputer dengan mungkin beberapa referensi ke dokumen kertas.

Workpaper Review Processes

Semua kertas kerja harus melalui proses tinjauan audit internal independen untuk memastikan
bahwa pekerjaan yang diperlukan telah dilakukan, dijelaskan dengan benar, dan bahwa temuan
audit didukung secara memadai. Kepala eksekutif audit, yang melapor ke komite audit, memiliki
tanggung jawab keseluruhan untuk tinjauan ini tetapi biasanya mendelegasikan pekerjaan itu
kepada anggota pengawasan dari departemen audit internal. Bergantung pada ukuran staf audit dan
kepentingan relatif dari suatu audit, mungkin ada beberapa tinjauan atas sekumpulan kertas kerja,
satu oleh auditor yang bertanggung jawab dan satu lagi oleh anggota manajemen audit internal yang
lebih senior. Bukti tinjauan pengawasan ini harus terdiri dari inisial dan tanggal pengulas pada setiap
lembar kertas kerja yang ditinjau. Proses review kertas kerja ini harus selalu dilakukan sebelum
penerbitan laporan audit akhir. Hal ini untuk memastikan bahwa semua temuan laporan telah
didukung dengan baik oleh bukti audit seperti yang didokumentasikan di kertas kerja.

17.6 INTERNAL AUDIT DOCUMENT RECORDS MANAGEMENT

Upaya untuk mendokumentasikan proses atau untuk menggambarkan audit internal melalui kertas
kerja yang efektif tidak banyak nilainya kecuali fungsi audit internal memiliki kontrol penyimpanan
dokumen yang kuat yang mencakup semua produk kerjanya, termasuk catatan auditor, salinan
risalah rapat, file TI, dan banyak lainnya. Pada bagian pertama bab ini, kita membahas dokumentasi
audit internal persyaratan dan menguraikan kebutuhan untuk menyimpan semua dokumentasi audit
internal yang relevan untuk jangka waktu tujuh tahun setelah penyelesaian audit internal. Sekali lagi,
hal ini terkadang dapat menimbulkan tantangan dalam lingkungan audit tanpa kertas saat ini. Sistem
operasi atau format file dapat berubah, dan kami mungkin tiba-tiba tidak dapat mengakses atau
membaca dokumen. Dokumen dapat hilang karena seseorang secara tidak sengaja menekan tombol
hapus, atau dokumen dapat hilang karena kegagalan untuk mengunduh sistem laptop auditor ke
sistem server pusat. Fungsi audit internal memerlukan kebijakan manajemen dokumen yang kuat
dan konsisten dengan tanggung jawab administratif yang diberikan untuk tugas-tugas ini. Bab 19
membahas kontrol umum TI dan praktik terbaik ITIL®. Banyak dari praktik terbaik ITIL® yang terakhir
mencakup area seperti menetapkan kontrol manajemen konfigurasi atas sumber daya TI dan proses
manajemen perubahan TI. Sementara ITIL® difokuskan pada Infrastruktur TI, banyak konsep praktik
terbaik berlaku untuk manajemen dokumen audit internal. Bagian berikut membahas beberapa
praktik manajemen dokumen penting atau bahkan penting untuk fungsi audit internal di lingkungan
auditor saat ini laptop dan jaringan nirkabel:

Dokumentasikan standar dan proses review. Audit internal perlu membentuk standar untuk
perangkat lunak yang digunakan, konfigurasi komputer laptop, dokumen dan standar template.
Tujuannya adalah agar setiap anggota tim audit internal menggunakan peralatan yang sama dengan
pengecualian beberapa alat TI khusus

Pencadangan, keamanan, dan kontinuitas. Ini mungkin yang paling kritis dan berisiko tinggi untuk
sistem audit internal berbasis laptop. Ide awal yang baik di sini adalah mengkonfigurasi dan
menetapkan sistem laptop auditor hanya sebagai alat audit internal. Seharusnya tidak ada tautan
luar ke Internet atau mengunduh yang diizinkan ke perangkat USB. Untuk email pribadi kembali dan
sejenisnya, auditor internal dapat menggunakan salah satu dari sekian banyak portabel kecil di
perangkat yang tersedia.

Laporan audit, manajemen risiko, dan administrasi audit internal. Audit internal memiliki
kebutuhan untuk mempersiapkan dan mendistribusikan sejumlah besar bahan, termasuk laporan
audit, analisis manajemen risiko, anggaran, dan komunikasi dengan Komite Audit. Aturan
penyimpanan dokumen tujuh tahun yang sama harus diterapkan catatan administratif audit internal
ini, dan harus disimpan dengan aman dalam folder pada sistem server departemen audit.

17.7 IMPORTANCE OF INTERNAL AUDIT DOCUMENTATION

Hampir semua proses audit internal di bab-bab lain buku ini harus didukung oleh dokumentasi yang
memadai. Bab ini mencoba untuk menekankan pentingnya kertas kerja audit untuk
mendokumentasikan kegiatan audit internal serta pemodelan proses untuk menggambarkan
kegiatan perusahaan. Kemampuan untuk menyiapkan kertas kerja yang deskriptif dan efektif adalah
persyaratan CBOK internal utama. Selain itu, semua auditor internal mulai dari kepala eksekutif audit
hingga staf audit harus merasa nyaman dan terbiasa dengan banyak alat TI yang tersedia untuk
menjelaskan dan mendokumentasikan proses audit internal.
 Ch 18
MELAPORKAN HASIL AUDIT INTERNAL
18.1. KERANGKA KERJA LAPORAN AUDIT

Laporan audit yang efektif harus melibatkan penggunanya — mulai dari anggota komite
audit dewan hingga manajemen yang terlibat — dengan mendiskusikan risiko dan masalah yang
menjadi bagian dari tema laporan dan kemudian mengembangkan seruan untuk bertindak
berdasarkan rekomendasi laporan. Tampilan 18.1 menguraikan kerangka laporan audit umum

Inti dari diagram ini menunjukkan tiga elemen utama dari setiap laporan audit internal:
1. Pengantar laporan untuk menjelaskan alasan memulai audit dan pentingnya pengamatan
laporan.
2. Isi atau badan laporan yang menjelaskan pekerjaan audit yang dilakukan dan membahas
masalah sebab-akibat terkait.
3. Laporkan rekomendasi. Bagian tinjauan ini merangkum tempat audit internal dan mencakup
ajakan bertindak.

Kerangka tersebut juga dikelilingi oleh tiga tujuan penting. Pertama, setiap laporan audit
harus melibatkan pembacanya dan keseluruhan audiens yang tertarik dengan menjelaskan
dampak pengamatan audit internal. Kedua, laporan audit harus menyertakan tingkat kekhususan
yang tinggi untuk mendukung temuan dan rekomendasinya. Akhirnya, setiap laporan audit harus
berisi ajakan bertindak di mana rekomendasi laporan audit dirangkum secara lebih rinci. Bagian
selanjutnya akan membahas elemen dan tujuan laporan audit secara lebih rinci berdasarkan
kerangka laporan audit internal secara keseluruhan.

18.2. TUJUAN DAN JENIS-JENIS LAPORAN AUDIT

Laporan audit internal memiliki tujuan dasar untuk menggambarkan tujuan audit yang
direncanakan dan untuk mengkomunikasikan hasil dan rekomendasi dari audit tersebut.
Berdasarkan sifatnya, laporan audit internal umumnya memiliki konten yang kritis dan
cenderung menekankan hal-hal seperti kelemahan pengendalian internal. Laporan audit internal
harus selalu memiliki empat komponen dasar:
1. Tujuan audit, waktu, dan ruang lingkup tinjauan. Laporan audit harus meringkas tujuan
tingkat tinggi dari peninjauan, di mana dan kapan peninjauan tersebut dilakukan, dan ruang
lingkup tingkat tinggi dari audit internal. Sebuah pernyataan ruang lingkup, misalnya, dapat
mengungkapkan bahwa audit dilakukan atas permintaan komite audit atau audit dilakukan
karena ada kecurangan yang ditemukan.
2. Deskripsi temuan laporan audit. Berdasarkan kondisi yang diamati dan ditemukan selama
penelaahan, laporan audit harus melibatkan pembacanya dengan menjelaskan hasil audit
internal. Artinya laporan harus mampu menjelaskan apa yang salah dari kondisi yang
ditemukan beserta alasannya. Istilah salah di sini mencakup kelemahan pengendalian
internal, pelanggaran prosedur perusahaan, atau berbagai masalah audit internal lainnya.
 3. Saran untuk tindakan korektif. Laporan audit harus mencakup rekomendasi, berdasarkan
temuan audit, untuk memperbaiki kondisi yang diamati dan penyebabnya. Tujuan dari saran
laporan ini mencakup pernyataan tentang perbaikan kondisi yang diamati serta rekomendasi
untuk meningkatkan operasi.
4. Dokumentasi rencana dan klarifikasi pandangan auditee (tanggapan pihak yang bertanggung
jawab). Auditee, atau fungsi yang telah diaudit, mungkin ingin menyatakan keadaan yang
meringankan atau memberikan klarifikas untuk setiap masalah yang dilaporkan. Bergantung
pada format laporan, bagian ini menjadi tempat di mana auditi dapat secara formal
memberikan tanggapan atas temuan audit internal dan menyatakan rencana tindakan korektif
sebagai tanggapan atas temuan dan rekomendasi audit tersebut.
Proses empat langkah ini menjadi dasar dari hampir semua laporan audit internal. Auditor
internal harus selalu mengingat keempat langkah ini saat menyusun laporan audit dan temuan
audit terpisah yang menjadi dasar bagi mereka.
Laporan audit internal harus disiapkan untuk komite audit dan manajemen senior.
Pertanyaannya apakah audit internal bertanggung jawab secara langsung kepada auditee atau
grup manajemen yang memiliki tanggung jawab penuh atas area yang diaudit. Jawabannya
adalah Auditte (staf dan grup manajemen yang diaudit). Mereka akan termotivasi oleh kombinasi
kepentingan organisasi dan entitas local. Manajemen auditee paham betul bahwa kesejahteraan
utamanya terkait erat dengan kesuksesan total perusahaan, tetapi juga mengetahui bahwa
penghargaan ini sangat ditentukan oleh kinerjanya sendiri.
Audit internal harus mencoba membantu manajemen local melakukan pekerjaan yang lebih
efektif, mengingat untuk mengidentifikasi masalah pengendalian internal dan merekomendasikan
solusi potensial, audit internal harus memiliki kerjasama penuh dan memiliki hubungan
kemitraan yang dekat dengan manajemen lokal. Namun sikap kooperatif ini dapat menimbulkan
konflik. Di sini auditor internal merasa ada tekanan jika diminta untuk menghilangkan beberapa
temuan dalam laporan yang akan diberikan kepada manajemen senior. Auditor beranggapan
bahwa kritik yang diberikan dalam laporan akan mempengaruhi proses tindak lanjut perbaikan.
Padahal, audit internal memiliki tanggung jawa besar utnuk melaporkan segala jenis temuan
yang ada kepada komite audit dan manajemen senior.
Untuk mencegah terjadinya konflik semacam ini, semua tingkat manajemen harus diberikan
pemahaman yang komprehensif tentang kebutuhan masing-masing dan tanggung jawab audit
internal untuk melayaninya. Seringkali ada kebutuhan untuk meningkatkan tingkat toleransi
kesalahan dan fleksibilitas, jadi auditor akan meningkatkan tingkat temuan dan masalah yang
cukup signifikan yang akan dilaporkan dalam laporan audit. Dengan car aini, auditor dapat
meminimalkan temuan-temuan kecil yang seharusnya dapat diselesaikan di tingkat manajemen
local tanpa harus melibatkan manajemen tingkat tinggi.
Efek umum dari tindakan ini adalah untuk mendorong audit internal lebih dipandang
sebagai layanan untuk manajemen lokal dalam pekerjaannya dan jauh dari dipandang hanya
sebagai mata-mata kantor pusat. Pendekatan ini harus terus menyadari bahwa audit internal
selalu memiliki tanggung jawab pelaporan yang penting kepada manajemen senior dan komite
audit.

18.3. LAPORAN AUDIT YANG DITERBITKAN

a. Format Laporan Audit yang akan diterbitkan
Laporan audit formal harus selalu mencakup format umum, dimulai dengan halaman sampul,
deskripsi pekerjaan yang dilakukan, dan kemudian temuan dan rekomendasi audit internal.
Saat ini, laporan biasanya berupa dokumen berbasis web yang bahkan mungkin tidak pernah
dicetak secara formal. Namun, seperti halnya kata-kata dalam buku cetak tidak dapat diubah
setelah dicetak, versi salinan perangkat lunak laporan audit harus dilindungi sedemikian rupa
sehingga tidak seorang pun kecuali penulis — audit internal — dapat mengubahnya setelah
rilis atau publikasi. Laporan audit harus dimulai dengan halaman pengantar. Halaman
pengantar atau halaman pengantar laporan ini harus memiliki elemen berikut:
 Laporkan penerima dan carbone. Laporan audit harus selalu ditujukan kepada satu orang
yang bertanggung jawab untuk menyusun tanggapan laporan, seringkali seseorang
biasanya setidaknya satu tingkat organisasi di atas auditi. Harus ada juga daftar carbone
yang dipilih, sebagaimana ditentukan oleh audit internal. Yang terakhir akan mencakup
manajer auditi, anggota manajemen senior, dan orang lain yang berkepentingan seperti
mitra yang bertanggung jawab atas tim audit eksternal. (Sebagai tambahan, carbone
mengacu pada masa lalu ketika kertas karbon digunakan untuk membuat salinan. Kertas
karbon telah hilang semuanya, tetapi kami masih menggunakan istilah tersebut.)
 Judul laporan dan tujuan tinjauan. Judul singkat dan pasti memberi tahu pembaca apa
yang terkandung dalam laporan audit dan juga akan berguna untuk berbagai ringkasan
laporan.
 Ruang lingkup audit dan tanggal kerja lapangan. Biasanya disertakan dengan pernyataan
tujuan audit adalah beberapa informasi singkat tentang ruang lingkup umum audit dan
perkiraan tanggal kerja lapangan audit.
 Lokasi yang dikunjungi dan waktu audit. Karena adanya potensi keterlambatan dalam
penyelesaian laporan audit, waktu mungkin berlalu antara pelaksanaan kerja lapangan
dan penerbitan laporan audit akhir. Halaman sampul laporan harus dengan jelas
menyatakan kapan kerja lapangan audit dilakukan dan juga menyebutkan lokasi yang
dikunjungi.
 Prosedur audit dilakukan. Paragraf singkat yang menjelaskan prosedur audit yang
dilakukan seringkali sangat membantu pembaca laporan. Informasi ini sangat berguna
jika audit internal telah melaksanakan beberapa prosedur pengujian khusus untuk
mendapatkan pendapatnya.
 Pendapat auditor berdasarkan hasil review. Laporan audit internal harus selalu memiliki
penilaian yang cukup umum tentang keseluruhan kecukupan kontrol atau masalah lain di
area yang ditinjau. Misalnya, pernyataan pendapat mungkin menggunakan salah satu
contoh berikut:
a. “Kami menemukan kontrol di area yang ditinjau sudah memadai kecuali untuk. . . ”
b. “Kami menemukan bahwa sebagian besar kontrol baik dan beroperasi seperti yang
terpasang. . . ”
c. “Kami mengidentifikasi masalah kontrol yang signifikan di area yang ditinjau.
Temuan kami. . . ”
Laporan audit internal yang efektif harus selalu mencakup elemen kunci berikut:
 Ringkasan singkat dari keseluruhan laporan audit. Laporan harus dimulai dengan elemen
utama audit yang dilakukan, membahas masalah kritis, dan kemudian merangkum
detailnya.
 Pesan utama dari laporan tersebut. Laporan harus membahas hasil pekerjaan audit, risiko
terkait, dan perhatian manajemen untuk dipertimbangkan.
 Elemen temuan audit. Bergantung pada ruang lingkup dan sifat audit, temuannya dapat
mencakup banyak detail. Namun, laporan audit yang efektif harus meringkas temuannya
menggunakan teknik seperti grafik dan grafik ilustrasi untuk membantu menyampaikan
pesan.
 Kalimat dan kata pendek dan sederhana yang dipahami pembaca. Audit internal yang
mencakup area seperti keamanan sistem operasi TI dapat terlibat dalam beberapa area
 yang sangat teknis. Namun, laporan tersebut harus mencoba menggunakan kata dan frasa
yang dapat dipahami oleh sebagian besar pembaca.

b. Unsur-unsur Temuan Laporan Audit

Auditor internal harus menganalisis potongan-potongan informasi yang dikumpulkan
selama tinjauan untuk memilih temuan dan rekomendasi untuk dimasukkan dalam laporan
akhir. Temuan laporan audit yang disajikan dalam format umum memungkinkan pembaca
laporan untuk memahami masalah dengan mudah. Tidak peduli apa sifat pekerjaan audit
atau temuannya, pembaca harus dapat memindai temuan audit dan dengan cepat
memutuskan apa yang salah dan apa yang perlu diperbaiki. Meskipun penting bagi auditor
internal yang menyusun temuan dan bagi pembaca laporan, temuan laporan audit terkadang
tidak disusun dengan baik. Temuan audit yang tidak dirancang dengan baik seringkali
membuat pembaca laporan mempertanyakan apa masalahnya dan mengapa mereka harus
khawatir. Temuan laporan audit yang baik harus memuat hal-hal berikut:
 Pernyataan kondisi. Kalimat pertama dalam temuan laporan biasanya harus merangkum
hasil tinjauan audit internal atas area yang menjadi perhatian. Ini dapat memberikan
perbandingan antara "apa adanya" dengan "apa yang seharusnya". Kalimat what-is
tersebut merangkum kondisi atau penilaian yang dilakukan oleh audit internal
berdasarkan fakta-fakta yang diungkapkan dalam review. Tujuannya adalah untuk
menarik perhatian pembaca laporan. Contoh laporan hasil audit yang menemukan
pernyataan kondisi meliputi:
a. “Peralatan produksi usang dijual dengan harga murah dan dengan cara yang tidak
mengikuti kebijakan disposisi aset tetap.”
b. “Rencana cadangan dan kesinambungan untuk sistem penagihan pelanggan baru
belum diuji dan tidak mengikuti standar keamanan perusahaan.”
c. "Inventaris proses kerja divisi ABC tidak dinilai dengan benar menurut prinsip
akuntansi yang diterima secara umum."
 Apa yang ditemukan? Penemuan harus membahas prosedur dan hasil dari prosedur
tersebut. Bergantung pada kompleksitasnya, temuan tersebut dapat diringkas dalam lebih
dari satu kalimat, atau mungkin memerlukan diskusi ekstensif yang menjelaskan
prosedur audit. Pernyataan apa yang ditemukan ini bisa sesederhana, "Berdasarkan
contoh laporan pengeluaran karyawan yang diajukan untuk kuartal keempat 20XX, agen
persewaan mobil pilihan perusahaan tidak digunakan di lebih dari 65% laporan
pengeluaran yang ditinjau." Seringkali bagian dari temuan ini akan jauh lebih luas,
karena audit internal menjelaskan prosedur yang dilakukan dan apa yang ditemukan.
 Kriteria audit internal untuk menyajikan temuan. Temuan audit harus selalu
memiliki kriteria, atau pernyataan tentang apa yang harus digunakan dalam menilai
pernyataan kondisi. Tanpa kriteria yang kuat tidak mungkin ada temuan audit. Kriteria
bervariasi sesuai dengan area yang diaudit dan tujuan audit. Kriteria tersebut dapat
berupa kebijakan, prosedur, dan standar perusahaan. Audit internal harus
mempertimbangkan hal-hal berikut:
a. Kriteria ekstrim. Kinerja yang jelas tidak memadai atau luar biasa relatif mudah
untuk dinilai. Namun, ketika kinerja mendekati rata-rata, itu menjadi lebih sulit
untuk dinilai. Audit internal terkadang dapat menggunakan kasus ekstrim kinerja
yang tidak memadai sebagai kriteria untuk temuan laporan.
b. Kriteria pembanding. Perbandingan dapat dibuat antara operasi atau aktivitas
serupa, menentukan keberhasilan atau kurangnya keberhasilan dan penyebab
perbedaan.
 c. Kriteria elemen. Dalam beberapa kasus, auditor internal salah menyatakan kriteria
kinerjanya sedemikian luas sehingga tidak mungkin untuk mengevaluasi kondisi
yang dilaporkan.
d. Kriteria keahlian. Dalam beberapa kasus, audit internal mungkin merasa berguna
untuk mengandalkan pakar lain untuk mengevaluasi suatu aktivitas. Para ahli ini
mungkin berada di luar perusahaan atau mungkin menjadi bagian dari staf
perusahaan yang diaudit. Jenis referensi pendukung ini seringkali memperkuat
temuan audit secara keseluruhan.
 Pengaruh temuan yang dilaporkan. Audit internal harus selalu mempertimbangkan
pertanyaan "Seberapa penting?" ketika memutuskan apakah akan memasukkan suatu
item dalam laporan audit. Audit internal harus mempertimbangkan materialitas — jika
temuan itu tidak penting, mungkin itu bukan temuan sama sekali. Setelah keputusan
diambil untuk memasukkannya sebagai temuan dalam laporan audit, dampak dari kondisi
yang dilaporkan harus dikomunikasikan. Temuan yang menjadi fokus manajemen di sini
ialah temuan yang dapat menghasilkan penghematan moneter yang mempengaruhi
operasi perusahaan dan pencapaian tujuan.
 Penyebab atau alasan penyimpangan audit. Jawaban atas pertanyaan "Mengapa?"
sangat penting bagi manajemen saat membaca laporan audit. Alasan penyimpangan dari
persyaratan, standar, atau kebijakan harus dijelaskan secara singkat tetapi sebaik
mungkin. Mengidentifikasi penyebab kondisi tersebut memberikan dasar untuk
mengambil tindakan manajemen yang diperlukan.
 Rekomendasi audit internal. Temuan laporan audit harus diakhiri dengan
merekomendasikan tindakan korektif yang tepat. Ini adalah kesimpulan dari temuan audit
"Apa yang harus dilakukan?" Rekomendasi bisa menjadi peringatan sederhana untuk
memperbaiki sesuatu atau bisa menjadi serangkaian tindakan korektif yang disarankan
secara cukup rinci.
Auditor dalam Menyusun laporan audit internal harus menmgadopsi gaya pelaporan positif
yang diimbangi dengan campuran komentar yang baik dan tidak menyenangkan. Hal ini
agar auditee dapat menerima hasil audit untuk dapat ditindaklanjuti. Beberapa teknik untuk
memberikan keseimbangan laporan audit yang lebih baik adalah:
 Memberikan laporan audit dengan perspektif. Audit internal harus menghindari godaan
untuk hanya mengutip faktor-faktor yang mendukung kesimpulannya dan mengabaikan
faktor-faktor yang mengganggu kesimpulannya. Temuan laporan harus mengungkapkan,
jika sesuai, jumlah total moneter yang diaudit atau dicatat dalam hubungannya dengan
nilai total kesalahan yang dihadapi. Signifikansi temuan dibuktikan dengan prosedur ini.
Misal kesalahan $1.000 dolar pada total $100.000 akan jauh lebih parah dibandingkan
kesalahan $1.000 pada total $10 juta.
 Laporkan pencapaian auditi. Karena proses evaluasi melibatkan penimbangan aspek
yang memuaskan dan tidak memuaskan dari operasi yang diaudit sehubungan dengan
tujuan audit, menyebutkan pencapaian auditi dalam meningkatkan pengendalian atau
mengoreksi kesalahan bersama dengan kekurangan atau aspek yang perlu diperbaiki
dapat menambah banyak kegunaan audit. Pencapaian auditee harus diungkapkan dalam
ringkasan laporan jika kesimpulan audit dapat dipengaruhi oleh signifikansinya dan
dalam temuan ketika pengungkapan pencapaian secara rinci diinginkan atau diperlukan.
 Tunjukkan tindakan yang direncanakan. Dalam situasi di mana auditi telah mengambil,
atau telah membuat rencana untuk mengambil, tindakan korektif sebelum audit selesai,
laporan audit harus mengungkapkan fakta ini. Selain itu, langkah-langkah lain yang
diambil oleh auditi dalam upaya untuk memperbaiki kekurangan yang dilaporkan
mungkin tidak begitu jelas, namun harus dianggap sebagai tindakan positif yang dapat
dilaporkan.
  Laporkan keadaan yang meringankan. Kondisi yang meringankan umumnya terdiri dari
faktor-faktor yang berkaitan dengan masalah atau kondisi yang dibahas dalam laporan
audit di mana manajemen memiliki sedikit atau tidak ada kendali. Karena faktor-faktor
ini mengurangi tanggung jawab manajemen atas kondisi tersebut, mereka harus
dilaporkan sebagai bagian dari penyebabnya
 Masukkan tanggapan audit sebagai bagian dari laporan audit. Respons auditee atas suatu
temuan mungkin berisi informasi yang memberikan keseimbangan tambahan untuk
laporan audit. Selain tindakan korektif yang direncanakan, auditi dapat menunjukkan
pencapaian terkait lainnya atau mengutip fakta tambahan dan keadaan lain.
 Meningkatkan kualitas nada laporan audit. Penggunaan kata-kata dan gagasan yang
positif dan konstruktif daripada bahasa yang negatif dan mengutuk akan memberikan
nada positif pada laporan. Kecuali memang diperlukan, laporan audit harus menghindari
frasa yang menunjukkan bahwa auditi "gagal mencapai", "tidak melakukan", atau "tidak
memadai", dan harus menyatakan gagasan laporan audit dengan cara yang positif dan
konstruktif. Laporan audit dengan judul dan keterangan negatif harus dihindari karena
tidak menambah temuan dan bahkan mungkin salah menggambarkan situasi sebenarnya.
Jadi, judul yang terdengar negatif untuk temuan seperti "Kontrol yang Tidak Memadai
atas Kontrol Kas Perusahaan" dapat diganti dengan "Kontrol Kas Perlu Perbaikan" atau
hanya "Prosedur Pengumpulan Kas" yang diikuti dengan diskusi tentang masalah audit
internal.

18.4. FORMAT LAPORAN AUDIT ALTERNATIF

Beberapa cara alternatif yang kurang formal dan lebih singkat dimana audit internal dapat
melaporkan hasil pekerjaannya meliputi:
 Laporan lisan. Dalam beberapa situasi, audit internal mungkin ingin melaporkan hasil
sementara (tetapi bukan hasil akhir) dari pekerjaannya dan setiap rekomendasi secara
lisan. Mode pelaporan ini harus selalu terjadi ketika tim audit di tempat melaporkan hasil
kerjanya pada akhir konferensi penutupan kerja lapangan audit. Dalam kasus lain,
laporan lisan mungkin merupakan hasil dari kebutuhan tindakan darurat, dan presentasi
lisan juga dapat menjadi pendahuluan untuk laporan tertulis yang lebih formal. Pelaporan
lisan seringkali berguna tetapi hanya pelengkap dari pelaporan audit. Laporan lisan tidak
boleh menjadi pengganti laporan tertulis formal, karena umumnya tidak ada catatan
permanen selain catatan rapat.
 Laporan memo interim atau informal. Dalam situasi di mana dianggap perlu untuk
menginformasikan manajemen tentang perkembangan signifikan selama audit, atau
setidaknya sebelum penerbitan laporan reguler, audit internal mungkin ingin menyiapkan
beberapa bentuk laporan tertulis interim. Laporan ini mungkin hanya berkaitan dengan
masalah yang sangat signifikan di mana ada kebutuhan untuk tindakan korektif yang
cepat, atau mungkin merupakan jenis laporan kemajuan. Laporan memo harus
digunakan, minimal, untuk menggambarkan hasil presentasi lisan, seperti yang dibahas
sebelumnya. Laporan interim atau memo sering kali dirilis untuk mencatat hasil
presentasi lisan dan untuk meminta perhatian manajemen lokal pada temuan audit
potensial. Materi yang dibahas dalam contoh laporan ini pada akhirnya akan dimasukkan
ke dalam laporan audit yang lebih formal yang membahas hasil total audit internal.
 Laporan audit jenis kuesioner. Bukan format laporan yang umum, jenis laporan
kuesioner dapat menjadi ringkasan sementara yang berguna untuk laporan audit formal
atau berfungsi sebagai lampiran dokumen laporan formal. Format ini bekerja paling baik
jika ruang lingkup tinjauan audit berkaitan dengan masalah prosedural yang cukup
spesifik, dan biasanya pada tingkat operasional yang cukup rendah. Namun, jenis laporan
ini biasanya memiliki jangkauan kegunaan yang cukup terbatas. Tampilan 18.5 adalah
 contoh laporan audit kuesioner. Ini sering kali paling baik digunakan sebagai alat
pendidikan untuk menginformasikan manajemen tentang masalah audit internal.
 Laporan audit deskriptif reguler. Di sebagian besar penugasan audit, pekerjaan harus
diakhiri dengan penyusunan laporan audit deskriptif formal. Bentuk pastinya dan
tentunya isi dari laporan tertulis tersebut akan sangat bervariasi, baik antara penugasan
audit individu dan departemen audit internal individu. Keseluruhan idenya adalah bahwa
mereka mewakili catatan terdokumentasi dari pekerjaan audit internal pada suatu
penugasan.
 Ringkasan laporan audit. Laporan ringkasan ini seringkali terutama disiapkan untuk
komite audit atau anggota manajemen senior lainnya. Laporan ringkasan sangat berguna
untuk manajer tingkat atas, tetapi mereka harus hanya halaman sampul untuk manajer
senior dan anggota dewan yang memiliki tanggung jawab SOx untuk memiliki akses ke
laporan lengkap.

18.5. SIKLUS LAPORAN AUDIT INTERNAL

Proses laporan audit dimulai dengan identifikasi temuan, penyusunan draf laporan untuk
membahas temuan tersebut dan rekomendasinya terkait, pembahasan masalah audit yang
diidentifikasi dengan manajemen bersama dengan penyajian draf laporan, penyelesaian
tanggapan manajemen terhadap temuan laporan audit, dan publikasi laporan audit formal yang
mencakup area yang sedang ditinjau.
a. Mempersiapkan dan Menyampaikan Laporan Audit
Pertemuan penutup dan draf laporan merupakan langkah penting untuk memvalidasi
kecukupan dan akurasi temuan audit internal yang dilaporkan dan kebenaran rekomendasi
terkait sebelum laporan audit akhir diterbitkan. Meskipun fondasi utama untuk validasi ini
adalah pekerjaan audit yang dilakukan oleh audit internal, pekerjaan perlu dilengkapi dengan
penelaahan dan konfirmasi dari personel auditi. Manfaat dari validasi tambahan ini ada dua,
yaitu:
 Memberikan pemeriksaan silang atas keakuratan, kelengkapan, dan kualitas pekerjaan
audit. Fakta-fakta penting mungkin telah diabaikan atau ditafsirkan secara keliru.
Mungkin juga ada faktor lain yang memengaruhi beberapa masalah tertentu yang hanya
diketahui oleh orang-orang tertentu. Paparan kepada auditi dengan demikian
memberikan pemeriksaan penting tentang apakah temuan dan rekomendasi akan
bertahan di bawah pengawasan yang lebih cermat
 Membantu mempromosikan hubungan kemitraan dengan manajemen lokal yang akan
menciptakan semangat kerja sama dan komitmen untuk mencari solusi yang memadai.
Draf laporan harus diteruskan ke manajemen lokal untuk ditinjau dan komentar tindakan
korektif sebelum finalisasi laporan formal atau final. Audit internal harus meminta
tanggapan formal mungkin dalam waktu 14 hari setelah penerimaan draf laporan. Setelah
manajemen menyerahkan tanggapan laporan auditnya, audit internal harus menggabungkan
tanggapan ini dengan draf temuan dan rekomendasinya untuk merilis laporan audit akhir
yang ditujukan kepada manajemen setidaknya satu tingkat di atas manajemen auditi, dengan
salinan kepada komite audit dewan dan pejabat terkait lainnya dari perusahaan. Laporan
audit yang efektif adalah laporan yang diterbitkan segera setelah pelaksanaan audit selesai
tanpa mengurangi proses-proses yang berarti.
b. Tindak Lanjut dan Peringkasan Laporan Audit
Setelah laporan audit akhir diterbitkan, audit internal selanjutnya harus menjadwalkan
tinjauan tindak lanjut untuk memastikan bahwa tindakan yang diperlukan berdasarkan audit
tersebut benar-benar diambil. Audit internal harus memainkan peran khusus yang terbatas
 setelah laporan audit dirilis, seperti menyediakan dirinya sendiri untuk menjawab
pertanyaan, dan untuk meninjau kembali situasi pada saat audit terjadwal berikutnya di area
tersebut. Audit internal memiliki tanggung jawab untuk menghasilkan laporan audit yang
dapat dibaca, dipahami, dan persuasif. Tujuannya adalah untuk menerbitkan laporan yang
akan menarik perhatian manajer yang memiliki tanggung jawab untuk berbagai kegiatan
operasional, dan untuk mendorong mereka agar mengambil tindakan korektif yang sesuai.
Tujuan sekunder adalah untuk laporan audit yang akan membangun rasa hormat terhadap
upaya audit internal.
c. Laporan Audit dan Penyimpanan Kertas Kerja
Laporan audit internal formal dan kertas kerjanya merupakan dokumen penting yang
mendukung kegiatan audit internal. Prosedur harus diterapkan untuk menyimpan catatan
untuk setiap audit yang dilakukan sebagai bagian dari prosedur penyimpanan catatan reguler
di seluruh perusahaan. Semua laporan audit berbasis kertas dan kertas kerja pendukung harus
disimpan di fasilitas penyimpanan catatan perusahaan yang aman. Banyak pekerjaan audit
internal saat ini dikembangkan pada catatan digital berbasis komputer, mulai dari catatan
auditor yang dimasukkan di laptop hingga foto digital dari kondisi pabrik yang diambil
dengan kamera ponsel . Materi ini harus disimpan dan kemudian diunduh ke media
penyimpanan yang aman. Materi pada komputer laptop audit harus diburn ke disk atau
perangkat penyimpanan lain yang lebih permanen. Untuk bahan audit internal yang terletak
di server perusahaan atau sistem warisan, audit internal harus membuat pengaturan dengan
perusahaan sistem informasi untuk mengunduh dan menyimpan catatan audit internal
mengikuti prosedur yang sama yang digunakan untuk sistem terpusat lainnya.

18.6. MASALAH DAN PELUANG KOMUNIKASI AUDIT INTERNAL

Komunikasi yang efektif baik perorangan maupun dengan kelompok yang lebih besar
merupakan komponen kunci keberhasilan audit internal. Situasi terus-menerus muncul dalam fungsi
audit internal ketika individu perlu berkomunikasi satu sama lain Semua situasi ini melibatkan
hubungan pribadi yang berbeda tetapi terdiri dari aliran pesan dua arah yang berkelanjutan. Auditor
internal harus memahami proses ini untuk mengidentifikasi jenis masalah yang dapat mengganggu
atau mencegah komunikasi yang efektif. Masalah-masalah ini mempengaruhi semua langkah dalam
proses komunikasi dan termasuk:
 Tidak memberikan pertimbangan yang tepat pada hubungan kekuatan pengirim dan
penerima pesan. Komunikasi dengan supervisor lini sering kali berbeda dengan
komunikasi dengan manajer senior.
 Mengabaikan tekanan emosional sementara baik oleh pengirim maupun penerima.
Pertemuan keluar audit sering kali dapat berubah menjadi situasi yang penuh dengan
konflik dan stres kecuali komunikator audit internal berhati-hati untuk
mempertimbangkan potensi masalah emosional ini.
 Kegagalan untuk mengevaluasi secara tepat kapasitas penerima untuk menerima dan
memahami pesan tersebut. Jika audit internal menghadapi masalah pengendalian yang
parah di area teknis selama pekerjaannya, masalah tersebut harus dikomunikasikan
dengan benar.
 enggunaan kata-kata yang dapat memiliki banyak arti atau dapat menyampaikan arti
yang tidak diinginkan. Kami telah membahas kekhawatiran ini saat menyiapkan laporan
audit, tetapi ini lebih penting dalam komunikasi verbal.
 Terlalu terburu-buru dalam penyampaian pesan yang merusak kejelasan dan / atau
kredibilitas. Pesan sering kali perlu dikomunikasikan perlahan agar semua pihak
mengerti.
  Persepsi bahwa pengirim ingin memenuhi kebutuhan pribadi, sehingga menimbulkan
hambatan dan hambatan emosional. Seringkali auditor internal akan dipandang oleh
orang lain sebagai memiliki agenda pribadi. Orang lain dengan cepat mengenali ini dan
komunikasi mungkin terhalang.
 Kegagalan membangun fondasi yang dibutuhkan untuk pesan inti, dan waktu yang buruk
terkait. Masalah audit internal tidak dikomunikasikan secara efektif ketika hanya
diserahkan ke pangkuan auditi.
 Kurangnya kejelasan atau keyakinan karena keengganan untuk menyebabkan
ketidakpuasan penerima. Sementara auditor internal harus membuat kasus untuk
menggambarkan kekhawatiran secara meyakinkan, auditor tidak boleh berbasa-basi
untuk menghindari penggambaran situasi masalah tetapi harus selalu dengan jelas
mengkomunikasikan masalah pengendalian.
 Dampak tindakan nonverbal seperti nada suara, ekspresi wajah, dan cara komunikasi. Di
beberapa bagian dunia, menyilangkan kaki dengan telapak kaki mengarah ke pendengar
dapat dipandang sebagai penghinaan yang ekstrim.
 Tidak mempertimbangkan persepsi dan perasaan terkait penerima. Auditor harus
mencoba untuk memahami bagaimana pesan akan diterima dan diterjemahkan oleh
penerima mereka.
Berbagai kebutuhan orang berhubungan dengan persaingan, konflik, dan kerja sama. Secara
tradisional, konflik dipandang sebagai sesuatu yang merusak dan tidak diinginkan. Namun, bila
dikelola dengan benar, konflik dapat berguna dalam mencapai kesejahteraan organisasi. Auditor
internal perlu belajar memanfaatkan konflik ke titik di mana itu konstruktif tetapi untuk
mengendalikannya ketika mengancam untuk lepas kendali. Tanggung jawab audit internal pasti
menimbulkan situasi yang menciptakan persaingan dan potensi konflik. Baik unit perusahaan
maupun individu terus bersaing dalam hal prestasi kerja, pengakuan, dukungan manajemen, dan
kebutuhan lainnya. Persaingan itu harus mendorong imajinasi, pemikiran yang baik, dan kinerja
tingkat tinggi. Pada saat yang sama, kekuatan yang dihasilkan bisa begitu kuat sehingga para
pesaing mencari cara apa pun untuk menang, terlepas dari kepatutan dan legitimasi yang
dipertanyakan dari cara-cara itu. Pada titik itu, persaingan tidak lagi menguntungkan perusahaan dan
diperlukan tindakan korektif yang tepat. Manajemen kemudian memiliki tantangan untuk
mengeksploitasi keuntungan dari persaingan dan konflik yang sehat dalam pengertian profesional
yang sah tetapi untuk mengontrol proses untuk menghindari ekses.

18.7. LAPORAN AUDIT DAN PEMAHAMAN ORANG DALAM AUDIT INTERNAL

Pembahasan tentang pembuatan laporan audit internal yang efektif ini difokuskan pada
kepentingan semua auditor internal dalam kaitannya dengan hubungan mereka dengan manajemen
dan dengan satu sama lain. Meskipun semua ini menarik perhatian auditor internal sebagai bagian dari
tinjauan dan analisis pengendalian internal mereka, hal ini juga harus menjadi perhatian CAE dan
komite audit. Beberapa masalah unik dan spesifik dihadapi auditor internal dalam aktivitasnya,
termasuk masalah citra karena auditor internal sering dianggap terlalu fokus pada masalah kepatuhan
atau pengendalian yang terperinci dan dipandang sebagai ancaman. auditor internal modern harus
memperhatikan kesejahteraan total perusahaan di semua tingkatan dan dalam hubungannya dengan
semua aktivitas. Dalam segala aspek, komunikasi dan hubungan dengan masyarakat merupakan
tantangan berkelanjutan yang melibatkan target audit internal yang selalu bergerak maju.
Keberhasilan audit internal dalam memenuhi tantangan itu memberikan salah satu peluang terbesar
yang tersedia untuk melayani perusahaan dan mencapai kesejahteraan maksimumnya.
 CH 19
ITIL BEST PRACTICES, THE IT INFRASTRUCTURE, AND GENERAL
CONTROLS
19.1 Pentingnya Pengendalian Umum TI
Auditor internal terlibat dalam prosedur TI awal (pemrosesan control data), auditor
internal melihat input prosedur pengendalian dan output aplikasi untuk memeriksa
apakah input telah seimbang dengan laporan outputnya. AICPA dan IIA menekankan
pentingnya meninjau apa yang kemudian disebut pemrosan data operasi dan control
aplikasi. Control umum atau infrastruktur TI mencakup semua operasi TI dan
mencakup:
 Keandalan pemrosesan sistem informasi: control yang baik harus
ditempatkan diatas semua sistem operasi.
 Integritas data: memastikan integritas data yang digunakan.
 Integritas program: program yang baru atau yang diperbarui harus
dikembangkan dan dikelola dengan control yang baik, untuk memberikan hasil
pemrosesan yang akurat.
 Control pengembangan dan implementasi sitem yang tepat: kontol untuk
memastikan perkembangan yang teratur dan sistem informasi yang baru.
 Kontinuitas pemrosesan: control untuk mencadangkan sistem utama dan
memulihkan operasi jika terjadi pemadaman yang tak terduga.
19.2 Client-Server dan Kontrol TI Umum Sistem Kecil
Auditor internal dapat dengan mudah kehilangan kredibilitas jika kendali
mereka dalam merekomendasikan perbaikan tidak sesuai dengan risiko yang
ditemukan di pengaturan sistem computer kecil.internal auditor harus memahami
pengendalian umum seputar sistem computer kecil. Meskipun ukurannya kecil, sistem
ini sering kali merepresentasikan masalah signifikan control umum.
Sistem computer bisnis kecil menyediakan total dukungan TI untuk fungsi
atau unit bisnis kecil, sistem ini dapat mendukung unit atau fungsi komputasi
departemen dalam perusahaan yang lebih besar untuk mendukung computer pusat
sumber daya sistem. Masalah yang timbul dari sistem kecil yaitu:
 Arsitektur perangkat keras computer yang ketat seringkali tidak
membantu audit internal untuk memutuskan kapan menerapkan
prosedur tinjauan pengendalian internal sistem yang lebih kecil.
 Sistem kecil sering terlihat seperti prosessor file besar.
Audit internal akan sering bekerja di lingkungan di mana hanya digunakan
sistem bisnis kecil, misalnya perusahaan nirlaba yang hanya membutuhkan sistem
server dan sistem desktop untuk mendukung pengiriman surat langsung dan aplikasi
terkaiy akuntansi terbatas. Audit internal harus meninjau control umum atas
konfigurasi server seolah-olah itu adalah sistem perusahaan besar. artinya, masih
diperlukan keamanan sistem, integritas, dan prosedur cadangan. Berikut jenis sistem
bisnis kecil umum dengan karakteristik:
 1. Staf TI terbatas: jumlah staf yang kecil tidak dengan sendirinya
menimbulkan masalah pengendalian internal. Audit internal harus
dapat mencari control kompensasi seperti halnya ketika kesesuaian
pemisahan tugas.
2. Kemampuan pemrograman terbatas: khas dengan memanfaatkan
paket perangkat lunak yang telah dibeli secara ekstensif.
3. Pengendalian lingkungan terbatas: umumnya dapat dihubungkan ke
sistem tenaga normal dan beroperasi dalam kisaran yang cukup luas,
hal ini yang membuat pemasangan sistem kecil tanpa control
lingkungan.
4. Control keamanan fisik terbatas: meskipun control keamanan fisik
masih kurang seharusnya tidak menghadirkan masalah pengendalian
internal yang signifikan.
5. Jaringan telekomunikasi terbatas: suluruh sistem desktop memiliki
koneksi nirkabel ke internet sehingga data dan aplikasi bisa dengan
mudah diunggah atau diunduh, perangkat USB yang mudah digunakan.
Kombinasi pengendalian dan kebijakan harus didirikan untuk
melindungi perusahaan.
19.3 Sistem Komputer Server Klien
Arsitektur klien-server telah menjadi konfigurasi TI yang sangat popular di
semua ukuran perusahaan dan sistem. Di sebuah lingkungan jaringan local misalnya,
setiap workstation adalah klien, dan sentralisasi, yang berisi file umum dan sumber
daya lainnya, yang disebut server. Mungkin juga ada server khusus untuk tugas-tugas
seperti manajemen penyimpanan atau mencetak. Pengguna workstation mengirimkan
permintaan dari mesin klien ke server, yang kemudian melayani klien tersebut dengan
melakukan pemrosesan yang diperlukan.
19.4 Pengoperasian Sistem Kecil Kontrol Internal
Control pemisahan tugas yang tepat pada fungsi TI bisnis kecil masih kurang.
Meskipun tujuan pengendalian TI bagus memerlukan pemisahan tanggung jawab
yang tepat antara pengguna dan operator, dan control ini masih sulit diterapkan pada
pengoperasian sistem kecil. Control pemisahan tugas yang ditemukan di sistem besar
tidak ada pada lingkungan sistem kecil, tetapi sistem kecil harus ada control
kompensasi termasuk:
 Perangkat lunak yang dibeli
 peningkatan perhatian manajemen terhadap laporan sistem dan
kegiatan ikatan konsultan
 Pemisahan tugas input dan pemrosesan
Meskipun dengan control kompensasi diatas dalam sistem TI bisnis kecil,
audit internal harus menyadari potensi risiko dan kelemahan pengendalian. Gejala
kelemahan control lainnya di perusahaan TI kecil meliputi:
 Karyawan “setia” yng tidak mengambil cuti pribadi mereka
 Penggunaan program khusus dan tidak berdokumen yang hanya
diketahui oleh manajer TI
  Partisipasi langsung departemen TI dalam transaksi input sistem,
seperti penyesuaian ke sistem inventaris.
Control umum yang sangat penting untuk perusahaan TI kecil adalah
dokumentasi yang memadai atas sistem dan prosedurnya. Tanpa dokumen yang
memadai, akan sangat sulit untuk melihat perubahan keputusan atau kejadian yang
terjadi di perusahaan. Terkadang operasi sistem TI kecil adalah unit operasi dari
perusahaan besar dengan fasilitas IT terpusat. Untuk memastikan kepatuhan terhadap
standar ini, audit internal harus memiliki pemahaman umum tentang mereka dan level
dimana berada dan diharapkan untuk diikuti. Ketika auditor merasa harus
mengungkapkan atau berdiskusi tentang pelanggaran yang terjadi pada unit yang lebih
kecil kepada majaemen TI pusat atau kelompok yang bertanggung jawab atas standar.
19.5 Mengaudit Kontrol Umum Untuk Sistem Kecil TI
Audit internal harus tetap berharap untuk memiliki tujuan pengendalian umum dengan
hal-hal masalah pengendalian internal berikut ini:
1. Control sistem yang lemah atas akses ke data dan program
Saat orang yang tidak sah diperbolehkan untuk mengakses dan mengubah file
computer, control umum sangat lemah, dan audit internal harus
mempertimbangkan akses ke data dan program untuk menjadi tujuan control
umum utama saat meninjau perusahaan TI kecil.
2. Akses data yang tidak tepat melalui workstation pengguna
Untuk menangani masalah kerentanan data audit internal dapat melakukan:
 Memperoleh pemahaman umum tentang sistem keamanan data yang di
install (kata sandi yang baik, dan prosedur yang sangat terstruktur)
 Memahami implementasi sistem yang digunakan
 Mengeluarkan beberapa uang dan waktu untuk meninjau penggunaan
control aplikasi di area pengguna.
3. Penggunaan program utilitas yang tidak sah
Program utilitas yang terdapat dalam sistem kecil dirancang untuk digunakan
dalam situasi pemecahan masalah khusus, dan seringkali hanya menghasilkan
laporan jejak audit yang terbatas. Program utilitas ini berfungsi sebagai
penganti program pembaruan produksi normal atau yang digunakan oleh
manajer TI untuk pembaruan khusus, dan terkadang bahkan diberikan kepa
pengguna.
4. Permintaan akses program data TI yang tidak tepat
Informalitas perusahaan kecil sering kali mengizinkan data diakses secara
tidak benar melalui prosedur operasi TI normal tanpa memerlukan izin. Hal ini
menunjukkan bahwa risiko yang ada lebih besar daripada akses melalui
penggunan program yang tidak tepat.
Untuk mengontrol masalah diatas audit internal dapat melakukan pengontrolan sistem
computer bisnis kecil sebagai berikut:
1) Tetapkan konvensi penanaman program yang menyertakan tanggal atau nomor
versi disertakan dengan nama program
 2) Minta orang berwenang untuk membuat perubahan parameter input nomor
versi, tanggal, ukuran program, dan alasan perubahan dalam daftar manual
kepada manajer berkala
3) Menjaga setidaknya satu Salinan cadangan Pustaka program dan merotasi file
Salinan setidaknya sekali seminggu
4) Perkuat control akases, sehingga tidak semua orang dapat dengan mudah
mengaksesnya
5) Lakukan tinjauan audit internal atas perubahan log Pustaka secara berkala.
Langkah diatas tidak menjamin lengkap otorisasi program, tetapi ketika audit internal
menjau perubahan tersebut, dokumentasi dan catatan akan lebih baik dan konsisten
setiap perubahan program produksi.
19.6 Komponen Sistem Legacy Mainframe dan Kontrol
Berikut ini akan membantu auditor untuk memahami karakteristik sistem TI besar:
 Control keamanan fisik
 Persyaratan pengendalian lingkungan
 Sistem operasi multitask
 Kemampuan pemrograman in-house
 Jaringan telekomunikasi yang luas
 File yang sangat besar atau penting
 Bagian control input-output
Karakteristik diatas meskipun tidak spesifik, mampu membantu menentukan auditor
internal bekerja dengan lingkungan sistem TI besar. tujuan pengendalian audit internal
tetap ada, pada dasarnya pengendaliannya sama untuk kedua sistem besar maupun
kecil. Jika auditor memiliki keraguan tentang tinjauan TI harus disesuaikan dengan
sistem besar atau kecil, audit internal dapat mempertimbangkan sistem yang akan
ditinjau sebagai sistem yang besar dan kompleks.
19.7 Tinjauan Pengendalian Internal Mainframe Klasik atau Legacy IT Systems
Meskipun konfigurasi sistem dan prosedur organisasi mungkin saat ini sangat
beragam, karena adanya perbedaan jenis dan umur dari perangkat keras dan perangkat
lunak pada area operasi sistem besar. berikut beberapa area yang auditor harus
mempertimbangkan untuk mengumpulkan beberapa informasi dasar mengenai operasi
dan prosedur control dalam operasi pusat data besar. Survei awal control umum TI
besar antara lain:
 Informasi dasar tentang lingkungan
 Review bagan organisasi yang diterbitkan untuk menentukan pemisahan
fungsi
 Pastikan bahwa tanggung jawab atas keamanan fisik dan logis telah tepat dan
prosedur terdokumentasi sesuai
 Menentukan keberadaan aplikasi dan perangkat keras baru dan komite
pengarah fungsi SI
 Tinjauan anggaran SI dan biaya actual serta kinerja terhdap penilaian kinerja
keuangan
  Dan hal lainnya yang dianggap penting (gambar 19.7)
Perangkat lunak sistem operasi. Sistem operasi TI adalah perangkat lunak dasar
yang menyediakan antarmuka dengan pengguna sistem, program aplikasi, dan
perangkat keras TI lainnya. Pengoperasian perangkat lunak mencakupsistem operasi
pusat, program control, berbagai alat bantu tata Bahasa, dan perangkat lunak
pendukung terkait aplikasi. Auditor internal harus mengembangkan pemahaman
umum tentang tingginya tingkat risiko pengendalian, termasuk:
a) Sistem operasi pusat: sistem operasi mengawasi semua pemrosesan sumber
daya dan program sistem
b) Sistem monitor: berbagai bantuan produk perangkat lunak dukungan sistem
operasi menjadwalkan pekerjaan, memantau aktivitas sistem, dan membantu
memecahkan masalah atau kesalahan sistem operasi.
c) Pengontrol jaringan dan monitor teleprocessing: program sistem operasi
yang mengawasi dan mengontrol transmisi antara sistem computer host dan
pariferal. Perangkat ini memungkinkan aplikasi memproses pada sistem
computer host untuk berkomunikasi dengan beberapa koneksi jaringan.
19.8 Warisan Sistem Besar Ulasan Umum Kontrol
Audit internal harus mengembangkan seperangkat tujuan pengendalian yang
dirancang khusus untuk tinjauan yang direncanakan daripada hanya menggunakan
serangkaian standar pertanyaan pengendalian internal. Meskipun tinjauan control
umum TI sistem besar memiliki tujuan yang beragam, tetapi akan masuk ke dalam
salah satu dari empat jenis ulasan berikut:
1. Tinjauan awal dari control umum TI: merupakan tipe review awal yang
dilakukan oleh auditor eksternal (penilaian risiko pengendalian). Langkah-
langkah awal harus memandu auditor internal untuk mendapatkan informasi
tentang struktur umum operasi TI, bagaimana merencanakan dan mengatur
sumber daya, alat pelaporan manajemennya, dan prosedur untuk perencanaan
keamanan dan kontijensi.
2. Tinjauan control umum terperinci atas operasi TI: tinjauan pengendalian
umum terperinci paling baik dilakukan oleh anggota staff audit yang lebih
senior dengan pemahaman yang baik tentang control dan prosedur TI.
Berdasarkan tinjauan walk-through operasi TI awal, audit internal harus
mengembangkan pemahaman umum tentang prosedur control TI yang ada
dengan mengajukan pertanyaan:
 Bagaimana jadwal kerja?
 Bagaimana media penyimpanan dikelola?
 Jenis prosedur atau instruksi operator apa yang digunakan?
 Bagaimana pekerjaan dimulai dan bagaimana itu mengalir melalui
operasi?
3. Review khusus atau berorientasi ruang lingkup terbatas
Karena permintaan manajemen dan risiko yang dirasakan, auditor sering
melakukan tinjauan terbatas atas area terspesialisai dalam fungsi TI secara
keseluruhan. Tinjauan ini dapat dibatasi satu fungsi, seperti administrasi
database, atau bidang khusus, seperti laporan keuangan terdistribusi.
 Manajemen sering meminta audit internal untuk melakukan peninjauan karena
beberapa masalah yang diidentifikasi, seperti pelanggaran keamanan yang
dipublikasikan dengan baik.
4. Review untuk menilai kepatuhan terhadap hukum atau peraturan
Auditor yang bekerja di perusahaan yang melakukan pemerintahan ekstensif
membuat kontrak mungkin sering diminta untuk melakukan audit kepatuhan
terkait TI untuk menentukan jika hukum dan peraturan yang sesuai telah di
ikuti.
19.9 Dukungan dan Pengiriman Layanan Infrastruktur Technology Infrastructure
Library (ITIL) Praktik Terbaik Infrastruktur
ITIL adalah kerangka terperinci dari praktik terbaik TI yang signifikan, dengan daftar
periksa lengkap, tugas, prosedur, dan tanggung jawab yang disesuaikan dirancang
dengan organisasi TI manapun. ITIL telah menjadi standar de facto untuk
menjelaskan banyak proses mendasar dalam manajemen layanan TI, seperti
konfigurasi atau manajemen perubahan. Itil digunakan untuk membuat rekomendasi
yang lebih efektif ketika meninjau control umum TI. Proses ITIL mencakup apa yang
sering kita sebut dengan infrastructure TI (proses pendukung yang memungkinkan
aplikasi TI berfungsi dan memberikan hasilnya kepada pengguna sistem).

Gambar diatas merupakan kerangka ITIL yang menunjukkan bahwa bidang layanan
manajemen dan dukungan pemberian layanan, bersama dengan manajemen
keamanan, menyediakan hubungan antara operasi bisnis dan teknologi TI dan
manajemen infrastruktur. Berikut infrastructure ITIL:
1. Manajemen Insiden Dukungan Layanan ITIL
Tujuan dari proses manajemen insiden yang efektif adalah untuk memulihkan
operasi normal secepat mungkin dengan cara yang hemat biaya dengan
dampak minimal pada kedua bisnis secara keseluruhan atau pengguna.
Komponen dari proses manajemen insiden ITIL yaitu Pendeteksian dan
dokumentasi kejadian oleh meja layanan sebagai satu titik kontak. Manajemen
insiden adalah titik kontak pertama antara pengguna dan fungsi TI secara
keseluruhan. Insiden terjadi akibat adanya kesalahan di dalam infrastruktur.
Berikut siklus hidup insiden dari dari panggilan awal, penyelesaian dan
penutupan.gambar ini dimaksudkan bagi auditor bukan untuk mengelola
proses meja layanan tetapi lebih pada rekomendasinya.

Dimulai dengan adanya deteksi dan pencatatan insiden yang dialporkan oleh
pelanggan, kemudian dilanjutkan untuk mengklasifikasikan insiden tersebut.
Setelah insiden masuk maka layanan permintaan akan segera diberikan dan
memulai proses investigasi dan diagnosis segera dimulai. Jika meja layanan
tidak dapat menyelesaikan insiden tersebut, maka ditugaskan ke tingkat
dukungan TI lainnya untuk dilakukan resolusi.
2. Manajemen Masalah Dukungan Layanan
Ketika proses manajemen insiden menemui penyimpangan dengan yang tidak
diketahui penyebabnya, insiden ini harus diteruskan ke manajemen masalah
untuk resolusi. Tujuannya untuk meminimalkan dampak total dari masalah
melalui proses deteksi dan perbaikan formal serta melakukan apapun tindakan
pencegahan. Proses manajemen masalah adalah langkah selanjutnya dalam
kekritisan dari beberapa insiden yang dilaporkan dan harus dipertimbangkan
dalam tiga subproses yaitu pengendalian masalah, pengendalian kesalahan,
dan manajemen masalah proaktif. Proses manajemen masalah berfokus pada
 menemukan pola antar insiden, masalah, dan kesalahan yang diketahui.
Dengan tinjauan rinci polanya memungkinkan untuk memecahkan maslah
dengan mempertimbangkan banyak kemungkinan dan mempersempit
semuanya dan menghasilkan solusi apay ag disebut akar penyebab.
3. Manajemen Konfigurasi Dukungan Layanan
Fungsi manajemen konfigurasi formal adalah proses penyampaian pelayanan
penting yang mendukung identifikasi, pencatatn, dan komponen laporan TI
dan versinya, komponen penyusunnya dan hubungannya. Item yang harus
dibawah kendali manajemen konfigurasi termasuk perangkat keras, perangkat
lunak, dan dokumentasi terkait. Aktivitas dasar dari proses manajemen
konfigurasi adalah untuk mengidentifikasi komponen indivisu dalam operasi
TI, yang disebut item konfigurasi, dan kemudian mengidentifikasi data
pendukung utama untuk item konfigurasi ini, termasuk pemiliknya,
mengidentifikasi data, nomor versi, serta keterkaitan sistem. Data ini harus
disimpan, terorganisir, dan dicatat dalam apa yang sering dikenal sebagai
database manajemen konfigurasi (CDBM). Dalam infrastruktur TI yang besar
dan kompleks membutuhkan penggunaan perpustakaan fisik dan elektronik
bersama dengan CMDB untuk menyimpan salianan pasti dari perangkat
lunaka dan dokumentasi.
Setiap auditor internal saat ini memiliki laptop, jika terjadi kesulitan dalam
sistem komunikasi satu sama lain, maka diperlukan manajemen konfigurasi.
CMDB dapat digunakan oleh proses manajemen tingkat layanan untuk:
 Menyimpan detail layanan dan menghubungkannya dengan komponen
TI yang mendasarinya
 Menyimpan rincian inventaris item konfigurasi (pemasok, tanggal
pembelian, biaya, dsb)
 Untuk mencakup aspek hukum yang terkait dengan pemeliharaan
lisensi dan kontrak.
4. Manajemen Perubahan Dukungan Layanan
Tujuan dari manajmeen perubahan ITIL adalah untuk memanfaatkan metode
standar dan prosedur untuk penanganan yang efisien dan cepat dari semua
perubahan, untuk memminimalkan dampaknya terhadap kualitas layanan dan
operasi sehari-hari. Proses manajemen ITIL meliputi:
 Perangkat keras TI dan perangkat lunak sistem
 Peralatan dan perangkat lunak komunikasi
 Semua perangkat lunak aplikasi
 Semua dokumentasi dan prosedur yang terkait dengan menjalankan,
dukungan, dan pemeliharaan sistem hidup.
Proses manajemen perubahan harus memiliki visibilitas tinggi dan saluran
komunikasi terbuka untuk mempromosikan transisi yang mulus saat perubahan
terjadi. Proses manajemen perubahan yang efektif merupakan komponen
penting dari infrastruktur control TI. Proses ini harus selaras dengan proses
utama lainnya di infrstruktir TI yaitu perubahan, konfigurasi, kapasitas, dana
manajemen rilis
5. Manajemen Rilis Dukungan Layanan
 Rilis biasanya akan diimplementasikan sebagai rilis penuh, dimana semua
komponennya sedang diubah dibangun, di uji, didistribusikan, dan diterapkan
bersama. Hal ini akan menghilangkan anggapan bahwa versi item konfigurasi
telah usang. Pendekatan alternatif untuk manajemen rilis adalah rilis delta atau
parsial. Rilis delta lebih tepat ketika rilis penuh tidak dapat dibenerkan karena
factor-faktor seperti urgensi fasilitas yang dibutuhkan dan persyaratan sumber
daya terkait dari rilis delta sebagai perbandingan dengan rilis penuh.
19.10 Praktik Terbaik Pengiriman Layanan
Terdapat lima proses penyampaian layanan yaitu:
1. Manajemen tingkat pengiriman layanan
Manajemen tingkat layanan adalah proses perencanaan ITIL, menyusun,
menyetujui, memantau, dan melaporkan perjanjian formal antara TI dan
penyedia serta penerima layanan TI. Perjanjian ini disebut perjanjian tingkat
layanan (SLA), dan mereka mewakili kesepakatan formal antara TI dan kedua
penyedia layanan TI serta customer TI. Proses SLA ini memberikan
keuntungan bagi bisnis dan TI, antara lain:
 Layanan TI akan cenderung memiliki kualitas yang lebih tinggi, lebih
sedikit gangguan, dan produktifitas pelanggan meningkat
 Sumber daya staf TI akan digunakan lebih efisien
 TI dan pelanggannya dapat mengukur layanan yang disediakan dan
persepsi operasi TI umumnya akan meningkat
 Memungkinkan untuk mengidentifikasi titik-titik lemah
 Layanan lebih mudah dikelola
SLA dapat menciptakan lingkungan yang benar-benar baru dalam TI, dimana
semua pihak akan melakukannya lebih memahami tanggung jawab dan
kewajiban layanan mereka, dan dapat menyelesaikan banyak masalah.
2. Manajemen keuangan pengiriman layanan untuk layanan TI
Manajemen keuangan untuk layanan TI memberikan informasi penting kepada
proses layanan manajemen tingkat wakit, tentang biaya TI, harga, dan strategi
pengisian. Fungsi TI yang dikelola dengan baik harus beroperasi sebagai
bisnis, dan manajemen keuangan adalah kunci proses ITIL untuk membantu
mengelola control keuangan untuk bisnis tersebut. Tujuan dari proses
manajemen keuangan adalah pemberian layanan untuk menyarankan panduan
untuk pengelolaan yang hemat biaya dari asset dan sumber daya yang
digunakan dalam layanan TI. Ada tiga subproses terpisah yang terkait dengan
manajemen keuangan ITIL:
1) Penganggaran TI adalah proses memprediksi dan mengendalikan
pengeluaran biaya untuk sumber daya TI.
2) Akuntanai TI adalah sekumpulan proses yang memungkinkan TI
untuk memperhitungkan jalannya uang atau biaya secara penuh
dihabiskan oleh pelanggan, layanan, dan aktivitas.
3) Pengisian adalah serangkaian proses penetapan harga dan penagihan
untuk menagih pelanggan atas layanan sifat buruk yang diberikan.
Proses pengisian daya TI terkadang rusak dalam fungsi TI karena
 laporan penagihan layanan TI terlalu kompleks atau teknis untuk
dipahami banyak pelanggan.
Proses manajemen keuangan memungkinkan TI dan manajemen keputusan
keseluruhan untuk membuat keputusan tentang apa, fungsi yang harus
dipertahankan in-house atau dialihdayakan ke penyedia eksternal. Auditor
internal harus menggunakan ketrampilan keuangan mereka serta pengetahuan
TI untuk meninjau dan menilai proses keuangan manajemen pengendalian
internal.
3. Manajemen kapasitas penyampaian layanan
Manajemen kapasitas ITIL memastikan bahwa kapasitas infrastruktur TI
selaras untuk kebutuhan bisnis untuk mempertahankan tingkat penyampaian
layanan yang diperlukan dengan biaya yang dapat diterima melalui tingkat
kapasitas yang sesuai. Manajemen kapasitas bisnis adalah proses jangka
panjang untuk memastikan bahwa bisnis persyaratan masa depan
dipertimbangkan dan kemudian direncanakan dan diimplementasikan jika
perlu. Proses manajemen kapasitas umumnya dianggap dalam tiga hal
subproses yang mencakup bisnis, layanan, dan manajemen kapasitas sumber
daya. Berbagai masukan dalam ketiga subproses manajemen kapasitas
termasuk:
 Pelanggaran SLA dan SLA
 Rencana dan strategi bisnis
 Jadwal operasional dan perubahan jadwal
 Masalah pengembangan aplikasi
 Kendala teknologi dan akuisisi
 Insiden dan masalah
 Anggaran dan rencana keuangan
Proses manajemen kapasitas yang efektif menawarkan manfaat bagi TI yaitu:
a) Memberikan gambaran actual tentang kapasitas saat ini yang ada dan
kemampuan merencanakan kapasitas sebelumnya
b) Memperkirakan dampak dari aplikasi atau modifikasi baru serta
memberikan penghematan biaya yang selaras dengan persyaratan
bisnis.
c) Mengurangi biaya secara signifikan biaya keseluruhan kepemilikan
sistem TI
4. Manajemen ketersediaan pengiriman layanan
Manajemen ketersediaan bergantung pada beberapa input seperti persyaratan
terkait file ketersediaan binsis, informasi tentang keandalan, pemeliharaan,
pemulihan, dan kemudahan service item konfigurasi, dan informasi dari proses
lain, insiden, masalah, dan mencapai tingkat layanan. Output dari proses
manajemen ketersediaan adalah:
 Rekomendasi terkait infrastruktur TI untuk memastikan ketahanannya
 Laporan tentang ketersediaan layanan TI
 Prosedur untuk memastikan bahwa ketersediaan dan pemulihan
ditangani untuk setiap layanan baru atau yang ditingkatkan
  Berencana untuk meningkatkan ketersediaan layanan TI
Manfaat utama dari manajemen ketersediaan adalah proses terstruktur untuk
menyampaikan layanan TI sesuai dengan persyaratan yang disepakati
pelanggan.
5. Manajemen kontinuitas pemberian layanan
Manajemen kontinuitas ITIL menekankan bahwa dampak dari kerugian total
atau bahkan Sebagian dari layanan TI harus diperkirakan dan rencana
kesinambungan ditetapkan untuk memastikan bahwa bisnis, dan infrastruktur
TI pendukungnya, akan selalu dapat terus berlanjut. ITIL menyerukan strategi
yang tepat untuk dikembangkan yang berisi keseimbangan secara optimal
dalam pengurangan risiko dan opsi pemulihan.
19.11 Mengaudit Pengelolaan Infrastruktur TI
ITIL berlaku untuk semua ukuran fungsi TI baik sistem besar maupun sistem kecil.
Agar sesuai dengan ITIL perusahaan tidak membutuhkan banyak tingkat staf
pendukung. Sebaliknya, perlu memikirkan berbagai dukungan layanan dan proses
penyampaial layanan dari perspektif terbaik ITIL. Fungsi TI kecil mungkin tidak
perlu memisahkan fungsi manajemen insiden dan manajemen masalah, tetapi harus
memeikirkannya sebagai suatu proses terpisah dengan prosedur control yang unik.
Auditor hatus memberikan perhatian khusus pada area ini saat membuat rekomendasi,
ukuran dan cakupan area yang diaudit dan ruang lingkup operasinya harus selalu
diperhatikan.
19.12 Kebutuhan CBOK Auditor Internal Untuk Kontrol Umum TI
Dunia kendali umum TI tampaknya terus-menerus berubah dan berkembang seiring
dengan perpindahan dari komputer mainframe klasik, sebuah era sebelumnya hingga
saat ini beberapa perangkat server yang terhubung melalui jaringan nirkabel dan
internet. Mungkin ada banyak masalah teknis di sini yang mungkin paling baik untuk
ditangani oleh Spesialis audit TI, tetapi semua auditor internal saat ini harus memiliki
tingkat pengetahuan CBOK yang kuat tentang kendali umum TI dan infrastruktur
pendukung yang memungkinkannya kontrol umum untuk beroperasi dan berfungsi,
sehingga pengetahuan ini harus menjadi persyaratan CBOK.