Auditing: Entity Level Control

Kalo melakukan auditing pd sesuatu yg terkomputerisasi, maka hrs melakukan auditing entity
level control. Contohnya mau melakukan BCA yg pny cabang, pusat cabang, dll. Ga mungkin
melakukan audit pd cabang sj, krn resiko ada dmn2. Karena mungkin sj resiko ga tjd di pusat, tp
mgkn tjd di cabang nya.
Entity Level Control (ELC) adalah untuk mengendalikan risk.
Dibagi jd 2:
- Pervasive: sifatnya umum, berlaku pd smua, tdk pd 1 bagian. Contohnya di ubaya hrs pke
spatu, ga cm 1 fakultas tok. Ada 2:
Entity Level Control: berlaku di smua
IT General Control: cm berlaku di divisi IT
- Specific: cm berlaku spesifik pd department tertentu
Contoh, di ekonomi hrs pake kerah tp di teknik ga hrs pke kerah.

Entity Level Control hrs dibagi jd 3:

1. Entity Level Objectives: tentukan objektif. Contoh mengamankan harta karun
perusahaan
2. Entity-Level Risks: tentukan risk. Risk ini hrs dicontrol
3. Entity-Level Controls: tentuin control buat risknya

Yg mau dicontrol -> pake COSO

1. Control environment
Akuntan pd jaman2 dlu slalu menekankan pd enviroment control. Jd aktivitas control nya
yg jd penting. Tp seketat2 nya pengendalian msh saja jebol. Bkn brti pengendalian nya
tdk efektif, tp org2 nya melanggar. Dr sana lah brubah, control aktivitas nya ga efektif
dan tdk efisien krn org bs sj melanggar, bs sj berkolusi. Shg akuntan sadar kl control
enviroment lbh penting. Lingkungan dibuat sedemikian rupa tp org gbs. Contohnya kl
mau buang bungkus permen sbnrnya bs, tp kan lignkungan dibuat buat org susah
mbuang. Salah satu konsep -> Tone at the top (ngasi contoh). Di singapore pun mau
buang sampah jd tkt. Org Indonesia buang sampah di Singapore jd tkt. Diciptakan suatu
lingkungan agar pengendalian internal bs berjalan dgn baik
- Code of conduct
- Governance
- Assignment of authority and responsibility
- Hiring and retention practices
- Fraud prevention prevent / detect controls and analytical procedures.
Control enviroment lbh pervasive
2. Risk assessment
- Hrs memguasai risk assessment methodology: risk identification, risk estimation sbrp
bsr, risk evaluation (penyebab dan faktor), risk treatement (control), risk mitigation
- Risk Assessment Analytical Technigues: self assessment (lihat org nya mampu ga),
wawancara
3. Control activities
- Policies and procedures
- Internal audit reviews: krn IT merupakan supporting dlm mencapai tujuan, maka internal
audit reviews mjd penting
- Segregation of duties: yg hrs dipisah dlm IT itu programmer dan operator. Programmer dr
sisi development, operator sisi data rpocessing. Tdk blh dikerjakan dgn org yg sama.
- Account recincillation. Diterapkan baps control (?)
- System Balancing and exception reporting: exception reporting itu smua yg aneh2 utk
menimbulkan funding
- Change management
4. Information and communication
- Internal communications and performance: penting krn jika komunikasi jelek ya hancur
- Tone setting: bahwa communication disampaikan dgn nada yg positif
- Board/audit committee reporting: pastikan perusahaan melaporkan apa yg tjd ke audit
committee
- External communication: memilah mana data yg bs diakses oleh eksternal
5. Monitoring
- Ongoing monitoring activities: dilihat aktivitas nya apa sj yg tjd
- Independent assessment mechanism: panggil org luar utk mengecek
- Variance analysis reporting: kl ada varians penyebab e apa
- Remediation mechanism: kkl servernya rusak, brp lama bs d bnrin
- Management “triggers” embedded within IT system: kl ada yg aneh2 bs tau.