GRC - Kelompok 10 - Kelas B
GRC - Kelompok 10 - Kelas B
Beberapa aktivitas audit internal menerima kebijakan dan prosedur area tanpa pertanyaan sebagai standar yang
mereka audit. Kegiatan audit internal yang mengevaluasi kecukupan desain kebijakan, prosedur, dan teknik
manajemen risiko lainnya, biasanya menemukan bahwa bagian evaluasi ini menghasilkan pengamatan audit yang
lebih signifikan. Misalnya, menguji kontrol yang dirancang dengan baik dapat
Activity-level menghasilkan hingga 15 persen
Controls
tingkat kesalahan. Hal ini tidak terlalu baik, tetapi itu berarti kontrol untuk mencapai tujuannya adalah 85 persen
waktu. Kontrol yang dirancang dengan buruk tidak akan pernah benar-benar mencapai tujuannya, bahkan dengan
tingkat kesalahan 0 persen.
Penilaian risiko tingkat tinggi yang dilakukan selama tahap perencanaan bukan proses linear. Hal ini membutuhkan
auditor internal untuk memilah-milah berbagai informasi yang beragam untuk menemukan indikator utama risiko.
Penilaian risiko terperinci dari aktivitas yang termasuk dalam ruang lingkup audit adalah linear. Ini berlangsung
selangkah demi selangkah melalui proses analitis yang disiplin. Proses tersebut diwujudkan dan paling mudah
dipahami jika menggunakan alat audit yaitu matriks risiko. Biasanya, matriks risiko digunakan untuk menemukan
bagian-bagian tertentu dari proses berpikir yang wujudnya tidak bekerja dengan baik dan mengubahnya hingga
mewujudkan proses pemikiran yang intuitif bagi auditor dan manajer bisnis.
Item 1
(cont.)
● Verifikasi sangat membantu untuk
mengidentifikasi pengendalian kunci karena
pengendalian sekunder biasanya tidak perlu
diuji efektivitasnya.
● Membedakan kontrol dari langkah-langkah lain
dalam suatu proses, dan membedakan kontrol
utama dari kontrol sekunder, bisa jadi sulit.
Ini paling baik dilakukan dengan walk-through
dimana karyawan menjelaskan atau menunjukkan
kepada auditor, langkah demi langkah, bagaimana
Evaluate design of
karyawan melakukan tugas. Auditor melihat apakah
kontrol disertakan. Jika tidak, ada dua kemungkinan
Risk Management
benar
b. Prosedur, yang dirancang oleh orang yang
Techniques
tidak melakukan pekerjaan, secara teoritis baik,
tetapi tidak bekerja dengan baik di dunia nyata
(atau bekerja dengan baik ketika dirancang,
tetapi lingkungan telah berubah dan prosedur
belum diperbarui)
Walk-throughs melayani tujuan ganda.
Mereka adalah uji efektivitas (apakah kontrol
beroperasi seperti yang dirancang), yang dibahas
Evaluate design of
dalam Bab 11. Mereka dibahas di sini, dan
dilakukan selama fase evaluasi desain, karena
Risk Management
mendokumentasikan keadaan
pengendalian yang sebenarnya
Techniques
b. Jika prosedurnya tidak berjalan dengan
baik di dunia nyata, kelemahannya ada di
desain, bukan eksekusi
Evaluate design of ● Formulasi yang baik adalah:
Risk Management
Techniques
Pengauditan internal memberikan
pendekatan / disiplin yang sistematis
Design
● Risk/Control Matrix
● Flowchart
● Narratives
Risk Control Matrix
● Kegiatan audit internal yang menggunakan matriks risiko/kontrol sebagai alat
audit utama mereka biasanya melengkapinya dengan alat lain. Ini sebagian
karena memasukkan semua informasi dalam serangkaian kolom sempit akan
merepotkan.
● Hal ini juga karena beberapa informasi lebih baik didokumentasikan dan
dianalisis dengan alat lain
Risk Control Matrix
● Matriks risiko/kontrol dapat diterapkan pada tingkat mana pun.
Auditor harus tahu bahwa dalam control tidak terkandung value / nilai, karena control
hanya tools untuk mengurangi risiko. Dengan begitu, value atas control bergantung
pada seberapa besar risiko yang dapat dikurangi.
Meskipun control dinilai tidak memadai, tapi hal ini masih dapat diterima jika risiko
tetap dapat dikurangi hingga pada level yang dapat diterima dengan cara lainnya.
Some of the most commonly used concepts of control:
● Preventive control menghentikan / mencegah
suatu peristiwa yang tidak diinginkan untuk
terjadi.
Preventive or Detective
● Detective control adalah control untuk
Control
mengungkap kejadian berdasarkan fakta
sehingga dapat dilakukan / diambil tindakan
koreksinya.
Dua situasi di mana auditor harus melakukan tindakan yang lebih lanjut:
1. Ditanya oleh manajer atau auditor apakah ada kerugian yang ditimbulkan
dan sejauh mana kerugian tersebut.
2. Manager bisa saja tidak setuju bahwa rancangan / design controlnya jelek
atau manager berpendapat bahwa risiko yang ditimbulkan kecil.
Types of Audit Evidence
Testimonial Evidence Documentary Evidence
● Bukti yang didapat dari apa yang ● Bukti ada di dalam dokumen
dikatakan seseorang kepada auditor. ● Bukti ini adalah jenis bukti terkuat kedua.
● Bukti ini dianggap paling lemah, tetapi ● Penting untuk mengetahui sumber
bisa juga dianggap lebih kuat dari dokumen tersebut berasal. Dokumen yang
bukti lain. berasal dari pihak eksternal organisasi
akan jauh lebih kuat daripada bukti yang
● Informasi yang diberikan bisa lebih
berasal dari internal
akurat dari supervisor, karena terjun
● Dokumen yang berasal dari eksternal
langsung ke lapangan. Tetapi, bisa juga
dikirim ke organisasi akan lebih kuat
menutupi yang sebenarnya.
daripada dokumen internal, tetapi tidak
sekuat dokumen yang langsung
dikirimkan ke auditor
Types of Audit Evidence (cont.)
Physical Evidence Analytical Evidence
● Bukti yang dapat dilihat oleh auditor ● Bukti didapat dari membandingkan,
secara langsung, sehingga dikategorikan menghitung, atau menganalisis data.
sebagai bukti terkuat. Tapi auditor perlu Contoh bukti analitik adalah
mengetahui apa yang dapat dibuktikan membandingkan actual vs budget,
dan yang tidak dari bukti tersebut. menghitung rasio keuangan, dll.
● Ketika auditor mengetahui adanya ● Dalam bukti analitik, diasumsikan data
kekurangan dari bukti fisik, mereka harus yang dianalisis akurat untuk
dapat membuktikannya kepada yang lain. membuktikan adanya hubungan antar
Pernyataan auditor atas kekurangan data.
tersebut termasuk ke dalam testimonial
evidence.
Standards of Audit Information
Faktual, memadai, dan Dapat diandalkan, melalui Mendukung, konsisten Dapat digunakan
meyakinkan cara yang jelas.
Manual Testing Methods
Membuktikan adanya fixed Audit internal harus Mitigasi risiko utama yang
asset dengan melakukan menghemat biaya dalam memiliki jaminan, sehingga
pengecekan secara fisik menghasilkan bukti penting memerlukan metode yang
karena membutuhkan dana dapat menghasilkan bukti
dan waktu yang cukup besar yang kuat
Some of the testing methods frequently used by internal
auditors
Teknik yang biasanya digunakan untuk tahap
planning, mengevaluasi desain pengendalian
Interviews
dan melaporkan hasil. Hanya menyediakan
pengujian bukti testimoni yang dipelajari
auditor
Pengamatan sebagai tes audit berarti hanya menonton sesuatu yang dilakukan. Apa
Observation yang dilihat oleh auditor internal dengan mata kepala sendiri adalah bukti yang
lebih kuat daripada apa yang dikatakan seseorang
Inspeksi berarti melihat sesuatu dengan mata kepala sendiri. Ketika auditor
Inspection
memeriksa aset fisik, audit memiliki bukti terkuat bahwa aset itu ada.
Auditor melakukan perbandingan harga pada invoice dengan daftar harga, serta
Reperformance auditor melakukan kembali analisis dan klasifikasi aging atas tagihan yang
dimiliki klien.
Testing Application
Sebelum melakukan aktivitas audit apa
pun, auditor internal harus memahami hal-hal
Control berikut tentang suatu aplikasi:
Step 3 mengidentifikasi proses dan opsi untuk kesesuaian dengan aturan dan
praktik bisnis
Computer-Assisted Audit
mengerjakan tugas-tugas yang
diberikan kepada mereka.
Techniques (CAATS) ● CAAT digunakan oleh auditor dalam
banyak situasi audit, termasuk
prosedur audit anti-penipuan
terkomputerisasi, kontrol internal
yang tertanam dalam sistem IT, dan
keterlibatan di mana sejumlah besar
data perlu dianalisis.
Continous Monitoring and Continous Auditing
● Secara tradisional, pengujian ● Menurut The IIA's GTAG 3: Continuous
Auditing: Implications for Assurance,
pengendalian dilakukan secara siklis
Monitoring, and Risk Assessment, "Pendekatan
dan umumnya dengan aktivitas audit berkelanjutan memungkinkan auditor
bisnis selama berbulan-bulan. Selain internal untuk sepenuhnya memahami titik
kontrol kritis, aturan, dan pengecualian.
itu, pengujian pengendalian ini Dengan analisis data yang sering dan otomatis,
didasarkan pada kelambatan pada mereka dapat untuk melakukan kontrol dan
teknik pengambilan sampel dan penilaian risiko secara real time atau
mendekati waktu nyata.
memberikan cakupan evaluasi yang ● Dengan menerapkan pendekatan terpadu dari
sempit. pemantauan dan audit berkelanjutan,
● Audit berkelanjutan adalah metode organisasi dapat secara signifikan mengurangi
contoh kesalahan, risiko, dan penipuan. pada
yang sering melakukan pengujian investasi penggelaran pendekatan terpadu
pengendalian. menunjukkan hasil positif yang cepat
General IT Control
Menurut The ILA's GTAG 8: Auditing Selain ITGC ini, organisasi harus mengingat
Application controls, “ITGCs [IT general konsep dan teknologi baru yang tercakup
controls] berlaku untuk semua komponen dalam kontrol IT umum, yang
sistem, proses, dan data yang menyajikan meningkatkan risiko bawaan. Konsep dan
lingkungan organisasi atau sistem. Tujuan dari teknologi ini termasuk, namun tidak
pengendalian ini adalah untuk memastikan
terbatas pada:
pengembangan dan implementasi aplikasi yang
● Virtualisasi.
sesuai dengan integritas program dan file data
dan operasi komputer "ITGC yang paling ● Komputasi awan/Cloud computing
umum adalah" : ● Perangkat seluler pintar
● Kontrol akses logis atas infrastruktur, ● Jejaring sosial dan media sosial.
aplikasi, dan data. Penyaringan konten web.
● Kontrol siklus hidup pengembangan ● Network firewalls, Deteksi intrusi, dan
sistem (SDLC) dan kontrol manajemen sistem pencegahan intrusi.
perubahan program.
● Kontrol operasional TI lainnya.
Logical Assess
Alat yang mendukung kontrol atas
Jalur akses logis: jalur akses logis yang diandalkan Otorisasi Akses Pengguna