PENGAUDITAN INTERNAL

MANFAAT KOMPONEN RESIKO AUDIT DAN RESIKO KECURANGAN

MANAJEMEN

Oleh:
Kelompok 3

I Gusti Ngurah Adyaksa Pramana (06) (1802622010137)

Ni Kadek Candra Dwiyanti (16) (1802622010147)
Ni Luh Putu Cantika Dewi (21) (1802622010152)
Si Luh Putu Aryani Pradnya Dewi (29) (1802622010160)

PROGRAM STUDI AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS MAHASARASWATI DENPASAR

DENPASAR

2021
 PEMBAHASAN

1. Pihak-Pihak yang Memanfaatkan Penentuan Risiko Audit

Tujuan penetuan risiko adalah untuk membuat karyawan sadar akan beragam
risiko yang ada serta prioritas, keterbatasan dari daftar risiko tersebut. Sejumlah risiko
tidaklah statis, selalu ada risiko yang muncul setiap waktu. Oleh karena itu penentuan
risiko merupakan fungsi yang berkelanjutan dalam proses manajemen yang harus
dilakukan secara berorganisasi dan berurutan.
Manajemen menggunakan penentuan risiko sebagai bagian dari proses untuk
memastikan kesuksesan suatu entitas. Manajemen juga menggunakna penentuan
risiko sebagai alat yang penting dalam merancang sistem-sistem baru. Sistem baru
tersebut, baik manual ataupun terkomputerisasi, dibuat untuk memenuhi tujuan yang
telah ditetapkan. Bagian penting dalam perancangan dan pengembangan proses adalah
identifikasi dari semua kejadian dan tindakana yang mungkin mencegah sistem dari
pencapaian tujuan.
Akuntan publik harus membuat penentuan risiko untuk mematuhi standar
mereka. Statement on Auditing Standards (SAS) No. 55 dari American Institute of
Certified Accountantsn (AICPA) menguraikan tanggungjawab akuntan untuk
mendapatkan pemahaman atas sistem kontrol. Akuntan publik juga melakukan
penentuan risiko dalam merencanakan audit mereka. Apa saja risiko-risiko kegagalan
yang dapat mengancam pencapaian tujuan audit? Pengujian audit mana yang
seharusnya digunakan untuk memastikan bahwa tujuan audit tercapai? Satu risiko
yang dapat muncul adalah memilih pengujian yang tidak tepat, yang lainnya adalah
penggunaan rencana dan teknik pengambilan sampel yang tidak tepat dan lain
sebagianya.
Pengidentifikasian ketidakwajaran yang potensal merupakan persyaratan
mutlak untuk menentukan prosedur kontrol yang harus diterapkan. Pada kebanyakan
entitas, departemen audit internal akan menjadi pemain utama dalam penentuan risiko
yang mengarahkan laporan tahunan manajemen untuk mengemukakan kondisi sistem
kontrol. Pekerjaan auidtor internal yang berkelanjutan harus dipertimbangkan dalam
membuat leporan tersebut. Audit khusus mungkin dibutuhkan dalam beberapa entitas
untuk memastikan bahwa kelemahan yang ditemukan selama tahun tersebut telah
diperbaiki pada tanggal laporan akhir.
 Konsep audit berbasis risiko (risk-based auditing) secara tradisional bermula
dari observasi dan analisis kontrol, kemudian berkelanjutan ke penentuan risiko yang
berkaitan dengan operasi, dan akhirnya ke penentuan apakah aktivitas ini sesuai
dengan tujuan-tujuan organisasi. McNamee dan Selim menyatakan pendekatan ini
tidak tepat karena adanya kebutuhan untuk memenuhi tujuan terlebih dahulu. Tujuan
merupakan dasar operasi dan tidak selalu berbentuk nyata, bisa bersidat fleksibel dan
seharusnya berorientasi ke masa depan. Para penulis tersebut merekomendasikan
sebuah pendekatan yang memeprtimbangkan terlebih dahulu tujuan organisasi yang
ditetapkan dan kemudian menentukan risiko melalui identifikasi, pengukuran, dan
penempatan prioritas, dan akhirnya melakukan manajemen risiko dengan cara:
 Mengendalikan dan menerima risiko, atau
 Menghindari atau mendiverifikasi risiko, atau
 Membagi dan mentransfer bagian-bagian risiko ke unit-unit lainnya.
Konsep manajemen risiko ini telah semakin diterima karena risiko tidak dapat
dihindarkan disemua jenis operasi dan adanya kebutuhan untuk
mengakomodasikannya melalui berbagai pilihan aktivitas. Pilihan-pilihan tersebut
mencakup:
 Kontrol aktivitas organisasional untuk mengurangi elemen-elemen risiko baik
dari segi besaran maupun jumlah.
 Penerimaan risiko dengan memperbolehkan risiko kehati-hatian yang
diperlukan untuk kemajuan dan keuntungan.
 Penghindaran risiko yang melibatkan perancangan ulang proses bisnis untuk
merubah pola risiko.
 Pendiverifikasian risiko dengan menyebarkan total risiko ke operasi-operasi
yang terpisah. Misalnya menggunakan berbagai pemasok untuk bahan yang
penting.
 Pembagian dan pemindahan risiko dengan melibatkan kontraktual dengan
pihak ketiga untuk menerima sebagian atau semua risiko, contohnya adalah
asuransi.

2. Komponen-Komponen Risiko Audit pada Audit Laporan Keuangan

Auditor dan menajemen harus mempertanyakan luas dan probabilitas risiko.
Luas risiko adalah jumlah yang berpotensi terkena risiko. Probabilitas adalah
kemungkinan terjadinya risiko. Masih terdapat hal-hal yang ahrus dipertimbangkan
pada saat menentukan dampak risiko.
AICPA telah memberikan pedoman mengenai hal ini melalui beberapa
Stetement on Auditing Standards (No. 47, No, 53, No. 55). Risiko audit terdiri dari
dua tingkatan, tingkat laporan keuangan dan saldo akun (atau tingkat kelompok
transaksi). Pada tingkat laporan keuangan, risiko audit adalah “risiko bahwa auditor
mungkin secara tidak sengaja gagal memodifikasi dengan layak pendapatannya atas
laporan keuangan yang salah saji secara material.” Seorang auditor diharapkan untuk
merencanakan audit sehingga risiko audit dibatasi pada apa yang dipertimbangkan
auditor sebagai tingkat yang rendah. Dalam menentukan risiko audit pada tingkat
laoran keuangan, standar audit (AU 316) menyatakan bahwa seorang auditor harus
mempertimbnagka karakteristik manajemen, karakteristik operasi dan industri, dan
karakteristik penugasan. Faktor-faktor yang disebutkan berikut ini bisa menunjukkan
situasi yang dapat meningkatkan risiko audit:
a. Karakteristik Manajemen
 Kebijakan manajemen didominasi hanya oleh satu orang.
 Manajemen memiliki perilaku yang sangat agresif terhadap pelaporan
keuangan.
 Perputaran manajemen tinggi.
 Manajemen sangat berlebihan dalam menekankan pencapaian proyeksi
laba.
 Manajemen memiliki reputasi yang buruk dalam komunitas bisnis.
b. Karakteristik Operasi dan Industri
 Profitabilitas entitas dibandingkan dengan industrinya ternyata tidak
memadai atau tidak konsisiten.
 Hasil-hasil operasi entitas sensitif terhadap faktor-faktor ekonomi.
 Entitas berada pada industri yang meunurun.
 Opersi entitas bersifat desentraliasasi tanap pengawasan aktivitas yang
memadai.
 Entitas diraguakn kelangsungan hidupnya.
c. Karakteristik Penugasan
 Terdapat banyak perbedaan dan/atau masalah-masalah akuntansi yang sulit.
  Terdapat transaksi-transaksi atau saldo-saldo yang signifikan yang sulit
diaudit.
 Terdapat transaksi dengan pihak-pihak yang memiliki hubungan istimewa
dengna jumlah yang signifikan dan tidak biasa.
 Sebelumnya terdaoat salah saji yang signifikan dan dideteksi selama audit
atau tidak tersedia data mengenai hal tersebut.
Faktor-faktor seperti ini tidak bisa dipertimbangkan secara terpisah. Sebagai
contoh, ukuran, kompleksitas, dan kepmilikan entitas akan meningkatkan atau
mengurangi faktor-faktor ini.
Kesimpulan auditor mengenai risiko audit pada tingkat laporan keuangan akan
berdampak pada:
1) Penugasan staf;
2) Pengawasan yang dibutuhkan;
3) Keseluruhan startegi audit;
4) Tingkat skeptisme profesional;
Dalam mempertimbangkan risiko audit pada tingkat saldo akun atau kelompok
transaksi, seorang auditor harus mempertimbangkan asersi-asersi laporan keuangan.
Asersi adalah representasi manajemen yang terdapat dalam saldo akun, kelompok
transaksi dan pengungkapan. SAS mengidentifikasi lima asersi umum manajemen
(atau asersi laporan keuangan) yaitu keterjadian atau keberadaan, kelengkapan, hak
dan kewajiban, penilaian atau alokasi, serta penyajian dan pengungkapan. Pada
tingkat saldo akun atau kelompok transaksi, risiko audit terdiri atas:
a) Risiko bahwa saldo atau kelompok dan asersi terkait mengandung salah saji
baik oleh dirinya sendiri atau dengan yang lainnya yang dapat berdampak
material terhadap laporan keuangan (disebut risiko bawaan atau risiko
kontrol).
b) Risiko bahwa auditor tidak akan mendeteksi salah saji tersebut bila memang
terjadi salah saji (disebut risiko deteksi).
Jadi risiko audit pada tingkat saldo atau kelompok memiliki tiga komponen
yiatu risiko bawaan, risiko kontrol, dan risiko deteksi. Seorang auditor diharapkan
untuk merencakan audit sehingga risiko audit pada tingkat saldo atau kelompok
transaksi dibatasi sehingga memungkinkan auditor memberikan opini pada risiko
audit yang rendah pada tingkat laporna keuangan.
 SAS memberikan contoh faktor-faktor berikut ini yang harus dipertimbangkan
auditor dalam mengevaluasi risiko audit pada tingkat saldo atau kelompok transaksi:
 Dampak faktor-faktor risiko yang diidentifikasi pada tingkat laporan
keuangan.
 Masalah-masalah akuntansi yang rumit dan mengandung perbedaan.
 Transaksi-transaksi yang sering teradi atau sulit untuk diaudit.
 Salah saji signifikan yang mungkin terjadi, berdasarkan informasi yang
diperoleh dari audit sebelumnya.
 Kerentanan aktiva untuk disalah gunakan.
 Kompetensi dan pengalaman karyawan yang memproses data.
 Tingkat pertimbangan dalam menentukan saldo akun atau transaski.
 Ukuran dan volume hal-hal yang mencakup dalam saldo akun atau kelas
transaksi.
 Komplesitas perhitungan.
Substansi dari faktor-faktor yang telah diidentifikasi SAS merupakan suatu
kontribusi yang besar bagi literatur audit. Hal ini dengan jelas mengidentifikasikan
cara menentukan pekerjaan audit yang dibutuhkan untuk memenuhi tanggung jawab
audit.

3. Risiko Perdagangan Elektronik

Kepentingan auditor dalam hal ini adalah untuk menentukan dampak fungsi
perdagangan elektrinik (electronic commerce – EC) terhadap risiko organisasi.
Dengan asumsi risiko-risiko ini dapat diidentifikasi, auditor seharusnya, terkadang
dengan bantuan ahli teknologi informasi (TI), menentukan dan menggambarkan
ukuran-ukuran yang bisa diambil untuk mengurangi risiko-risiko tersebut ke tingkat
yang dapat diterima. Ukuran-ukuran yang direkomendasikan ini mencakup:
 Risiko dan dampaknya terhadap organisasi.
 Modifikasi atau aktivitas terkait yang diekomendasikan.
 Dampak modifikasi risiko terhadap operasi.
 Tingkat pengurangan risiko yang akan dicapai.
 Eksposur keuangan yang terkait dengan operasi.
 Biaya modifikasi yang dilakukan.
 Elemen-elemen waktu.
  Kemungkinan sukses.
 Rekomendasi jika terdapat lebih dari satu ukuran.
Karena dinamika yang terdapat pada fungsi perdagangan elektronik,
penelaahan risiko analisis ini harus sering dilakukan. Auditor internal atau ahli TI
terkait, atau keduanya, harus memahami perkembangan dibidang ini terutama
mengenai:

 Perubahan teknologi TI yang terbaru.

 Situasi yang diberitakan baru-baru ini.
 Perubahan dalam operasi organisasi.

Risiko EDI

Pertukaran data elektronik (electronic data interchange – EDI) adalah sebuah

sistem komunikasi komputer-ke-komputer yang saling berhubungan untuk dokumen-
dokumen bisnis yang terstandarisasi di batas-batas organisasi. Komputer, database,
dan pusat informasi terhubung oleh jaringan komunikasi publik atau lainnya.
Kerawanan sistem EDI tinggi karena kegagalan sistem pada setiap tiga tahapan, yaitu
inisiasi, transaksi, dan tujuan akan mengganggu transaksi.

Terdapat enam area faktor risiko, faktor-faktor ini dan kontrol internal yang
berkaiatan dirinci pada tampilan 2-1. Elemen area tersebut adalah:
 Tercurinya akses informasi
 Hilangnay integritas data
 Kurang lengkapnya transaksi
 Tidak tersedianya sistem EDI
 Ketidakmampuan untuk mengirmkan transaksi
 Kurangnya pedoman hukum.

Tampilan 2-1. Faktor-faktor Risiko dan Aktivitas Kontrol

Faktor-faktor Risiko Kontrol Internal

1. Akses informasi yang tidak Kontrol akses
terotorisasi. Kata sandi (password); mekanisme dial-
a. Hacker mengakses sistem. back; ID pengguna; kunci penyimpanan;
tingkat akses yang berbeda.
 Meningkatkan proteksi kabel;
b. Interpretasi selama transisi. mengirimkan pesan melalui media yang
aman; serat optik; enkripsi; lapisan
lintasan; emplop elektronik rahasia.
Meteran sinyal; pelindung kebocoran;
perisai elektromagnetik; saluran penahan
akses.
c. Penyadapan (wiretapping).
2. Hilangnya Intergritas Data. Pengecekan keotentikan data.
a. Perubahan/pemalsuan data. Protokol pemberitahuan.
b. Tidak adanya jejak audit dalam Log terkomputerisasi.
bentuk kertas.
c. Hilangnya tanda tangan fisik. Tanda tangan digital; mekanisme
pengesahan.
d. Adanya kesalahan pada sistem. Pengecekan edit.
e. Gangguan oleh karyawan yang Pemisahan tugas; tingkat akses yang
memiliki otoritas. berbeda.
3. Kurang lengkapnya transaksi Pemberitahuan.
a. Transaksi selama transmisi Total kelompok; penomoran berurutan.
b. Duplikasi transaksi akibat Pengecekan satu per satu dibandingkan
transmisi ulang dengan arsip pengendali.
4. Tidak berjalannya sistem EDI Sistem yang menoleransi kegagalan.
a. Penyebab logis, seperti virus, kuda Paket entivirus; perangkat keras dan
Trojan, kesalahan program, perangkat lunak yang bebas kesalahan.
kesalahan perangkat keras dan
lunak.
b. Penyebab alami, seperti kebijakan, Pengamanan di luar kantor, RAID, disk
banjir, gempa, kerusakan listrik, mirroring.
dll. Pelatihan; pengumuman prosedur dan
c. Sabotase oleh orang yang kebijakan kontrol.
memiliki otorisasi.
5. Ketidakmampuan untuk mengirimkan Format data terstruktur/terstandarisasi;
transaksi. ketaatan pada protokol ANSI/EDIFACT.
6. Kurangnya pedoman hukum. Perjanjian definisi-definisi hukum,
 tanggungjawab dan keajiban.

Adanya beberapa lapis kontrol memiliki dampak yang berlipat untuk

mengurangi risiko kontrol. Risiko kontrol yang tiga lapis kontrol, yaitu kontrol
administratif, kontrol fisik dan perangkat lunak, akan gagal, dihitung dengan
persamaan ini:

CREDI=CRA*CRP*CPS
Keterangan:
CREDI = Risiko Kontrol Sistem EDI.
CRA = risiko Kontrol gagalnya prosedur administratif.
CRP = Risiko Kontrol gagalnya mekanisme fisik.

CRS = Risiko Kontrol gagalnya kontrol perangkat lunak.

4. Risiko Kecurangan Manajemen

Dalam menghadapi kecurangan yang dilakukan oleh manajemen, disarankan
struktur tiga elemen yang digunakan dalam mengealuasi risiko, yaitu :
 Kondisi yang memungkinkan terjadinya kecurangan manajemen
 Motiasi yang dapat melandasi terjadinya kecurangan
 Tingkah laku manajemen yang dapat mendorong manajemen untuk
melakukan tindak kecurangan

5. Membuat Rencana Penentu Risiko

Pembahasan penentuan risiko oleh COSO menyatakan bahwa tujuan organisasi,

sistem kontrol dan penentuan risiko tidak dapat dipisahkan satu sama lain. Tidak mungin
untuk menentukan risiko jika seseorang tida mengetahui bahayanya. Begitu risiko telah
diidentifikasi, langkah logis selanjutnya adalah membuat sarana untuk mengandalkan
risiko tersebut. Penentuan risiko tercakup dalam definisi kontrol intrnal. Studi COSO
adalah member definisi kontrol internal yang ada saat ini dan diakui secara luas.
 Kontrol internal adalah sebuah proses, ayang dipengaruhi oleh dewan direksi
entitas, manajemne, dan karyawan lainnya, yang dirancang untuk memenuhi keyakinan
yang wajar mengenai pencapaian tujuan pada kategori-kategori berikut:

 Efektivitas dan efisiensi operasi.

 Keandalan pelaporan keuangan.
 Ketaatan terhadap hukum dan regulasi yang berlaku.

Dalam pembahasan mengenai penentuan risiko, studi COSO menyatakan:

Meskipun terdapat beragam tujuan, kategori-kategori umum tertentu dapat
ditetapkan:
 Tujuan operasional – Hal ini berkaitan dengan efektivitas dan efisiensioperasi
entitas, termasuk tujuan dan kinerja profitabilitas dan pengamanan sumber
daya terhadap kerugian. Tujuan-tujuan tersebut bervariasi berdasarkan pilihan
manajemen berdasarkan struktur dan kinerja.
 Tujuan Pelaporan Keuangan – Hal ini berkaitan denga penyajian laporan
keuangan yanga andal, termasuk pencegahan pelaporan keuangan publik yang
mendukung kecurangan. Tujuan-tujuan tersebut terutama diarahkan oleh
pernyataan-pernyataan eksternal.
 Tujuan-tujuan Keteaatan – Tujuan-tuuan ini berkaiatan dengan ketaatan
terhadap hukum dan peraturan yang berlaku bagi entitas. Tujuan-tujaun
tersebut tergantung pada faktor-faktor ekternal, seperti peraturan lingkungan,
dan cenderung serupa untuk semua entitas dalam beberapa kasus dan beberapa
entitas.
Definisi dari tujuan-tujuan ini membrikan titik awal untuk penentuan risiko.
Tujuan-tujuan umum tersebut dapat dirinci ke dalam tujuan-tuuan khusus dengan risiko-
risiko yang dapat diidentifikasi. Jika risiko-risiko telah diidentifikasi, berbagai pilihan
kontrol dapat ditetapkan untuk risiko-risiko tersebut dalam rangka menentukan prosedur
kontrol optimal yang akan diterapkan.
Auditor harus memulai pemeriksaan dengan mengidentifikasi tujuan opersional,
keuangan, dan ketaatan untuk operasi tersebut:

 Untuk menerima semua pembayaran secara tepat waktu (operasional).

 Untuk memastikan kebenaran dokumen yang akan diberikan ke sistem
akuntansi piutang usaha (keuangan).
  Untuk memastikan bahwa kemampuan untuk menegosiasikan jumlah yang
tertera di cek memang telah di setujui (operasional).
 Untuk mencegak cek dari kehilangan atau disalahgunakan (operasional).
 Untuk menyetorkan ke bank secara tepat waktu agar bisa mendapatkan
pendapatan bunga maksimum (operasional).
 Untuk memastikan informasi yang dicatat pada rekening pelanggan akan
menghasilkan catatan kredit yang akurat untuk umur piutang dan sejarah kredit
pelanggan (operasional dan ketaatan).
 Untuk menetapkan akuntabilitas bagi tindakan-tindakan yang sehubungan
dengan penanganan cek untuk menghindari tidak adanya pihak yang
bertanggungjawab ketika terjadi kehilangan atau kecurangan (operasional dan
ketaatan).
 Untuk menyediakan metode pengelolaan dan persetujuan hal-hal yang tidak
sesuai prosedur (operasioan dan keuangan).
 Untuk memberikan pengukuran kinerja bagi unit karyawan di dalamnya untuk
memberikan penghargaan bagi kinerja dengan kualitas yang tinggi dan
memperbaiki kinerja yang memiliki kualitas yang rendah dan tidak dapat
diterima.
Tujuan-tujuan khusus ini digunakan untuk mengidentifikasi risiko-risiko yang akan
menghambat pencapaian tujuan unit tersebut.

6. Tujuan-tujuan Proses Manajemen Risiko

Dalam mengevaluasi proses manajemen risiko, auditor internal harus
memformulasikan suatu opini mengenai tingkat kesesuaian antara proses dengan
pencapaian lima tujuan kunci yang tercantum pada Practice Advisory 2110-1,
“Penilaian Kecukupan Proses Manajemen Risiko.” Tujuan-tujuan ini adalah:
 Risiko yang muncul dari startegi dan aktivitas usaha diidentifikasi dan
diprioritaskan.
 Manajemen dan dewan komisaris telah memutuskan tingkat risiko yang dapat
diterima oleh organisasi, termasuk penerimaan risiko yang dirancnag untuk
mencapai rencana strategis organisasi.
  Aktivitas penghindaran risiko dirancang dan diimplementasikan untuk
mengurangi, atau justru mengelola risiko pada tingkat yang ditentukan dapat
diterima oleh manajemen dan dewan komisaris.
 Aktivitas-aktivitas pengawasan yang berkelanjutan dilaksanakan untuk secara
periodik menilai ulang risiko dan efektivitas kontrol untuk mengelola risiko.
 Dewan komisaris dan manajemen menerima laporan periodik mengenai proses
manajemen risiko. Proses tata kelola organisasi harus memberikan
komunikasi periodik tentang risiko, strategi risiko, dan kontrol untuk pihak-
pihak yang berkepentingan.

7. Metode-Metode Analisis
Identifikasi dan penggunaan risiko untuk mengembangkan sebuah struktur
kontrol yang optimal menerapkan suatu metode analitis atau kombinasi dari beberapa
metode. Metode-metode ini adalah sebagai berikut:
 Pembuatan Bagan Alir
Pembuatan bagan alir (flowcharting) adalah sebuah metode analisis
efisiensi dan kontrol operasi. Bagan alir adalah penyajian grafik dua dimensi dari
sebuah operasi dalam hal aliran aktivitas melalui proses. Bagan tersebut
memungkinkan untuk “melihat” operasi, mengidentifikasi ketidakefisienan,
langkah-langkah yang terabaikan, dan kelemahan-kelamahan kontrol. Bagan alir
merukan sarana komunikasi yang bagus antara auditor dan karyawa operasional.
Bagaikan sebuah peta jalan yang merupakan alat komunikasi yang lebih baik
dibandingkan sebuah narasi berisi putaran dan lampu lalu lintas di jalan. Bagan
alir juga menawarkan peluang untuk menajikan secara komparatif suatu gambar
mengenai pendekatan alternatif untuk suatu proses.
 Kuesioner Kontrol Internal
Kuesioner dibahas sebagai sebuah saranauntuk mendapatkan informasi
tentang fungsi yang akan disurvey dan segera diaudit. Kuesioner kontrol internal
(internal control questionnaire – ICQ) sering digunakan oleh aduitor. Kuisioner
ini berbeda dengan pertanyaan terbuka yang digunakan dalam survey
pendahuluan. Kusioner pertanyaan terbuka menanyakan pertanyaan-pertanyaan
 yang membutuhkan jawaban naratif dari responden. Kuesioner seperti ini mencari
informasi untuk memperluas pemahaman auditor. ICQ dimulai dengan jawaban
yang diketahui atau diinginkan dan membutuhkan jawaban “ya” atau “tidak”
disertai komentar. ICQ membutuhkan jawaban yang langsung dan tepat
mengenai ketaatan dengan prosedur-prosedur yang diharapkan.
ICQ digunakan untuk mengevaluasi berkelanjutan atas kontrol yang ada
dan dapat digunakan dalam analisis risiko. ICQ juga biasanya dikembangkan
setelah sebuah aktivitas atau proses telah dianalisis dan dikontrol yang sesuai
telah diterapkan. ICQ merupakan uji ketaatan yang dimaksudkan untuk
memastikan bahwa kontrol masih diterapkan dan bahwa risiko dapat dievaluasi.
 Analsis Matriks
Suatu matriks kontrol merupakan alat untuk membandingkan kontrol
dengan risiko guna memastikan bahwa setiap risiko memiliki ontrol yang layak.
Matriks kontrol juga mengakui bahwa kontrol tertentu dapat memberikan
perlindungan untuk lebih dari satu risiko. Sebagai contoh, sebuah kunci dari
melindungi aset dari kemungkinan hilang dengan membatasi akses. Hal ini juga
memberikan akuntabilitas untuk menangani aset akrena orang yang memegang
kunci akan bertanggungjawab jika aset yang telah diamankan tersebut hilang.
Suatu angaran menetapkan tujaun dan sasaran yang akan dicapai dan menjadi alat
ukur kinerja. Anggaran juga menetapkan otoritas manajer untuk bertindak dalam
kendala keuangan berupa anggaran.
 Metodologi Ilustratif COSO
Studi COSO mencakup satu volume berjudul Evaluation Tools (perangkat
evaluasi). Perangkat Evaluasi berisi dua jenis umum perangkat, yaitu:
1) Perangkat Komponen
Perangkat komponen merujuk pada analisis komponen-komponen system
kontrol. Komponen-komponen tersebut adalah:
- Lingkungan Kontrol
- Penentuan Risiko
- Aktivitas-aktivitas kontrol
- Informasi dam komunikasi
- Pengawasan
 Perangkat komponen dirancang untuk mengevaluasi setiap komponen
tersebut dalam struktur entitas. Setiap komponen dapat dibagi ke dalam hal-hal
substantif yang disebut “masalah-masalah yang menjadi fokus”. Masalah-masalah
ini kemudian dirinci kedalam contoh-contoh aplikasi khusus yang dapat diperiksa
dan ditanggapi.

2) Lembar Kerja Penilaian Risisko dan Aktivitas Kontrol

Digunakan untuk menilai tujuan-tujuan khusus, risiko, dan kontrol. Tata
letak lempar kerja tersebut menuntun pembuatnya melalui proses analitis.
Bila analisis tujuan, risiko dan aktivitas kontrol telah dilakukan, program
audit diterapkan bersama-sama untuk menguji aktivitas kontrol memang
diterapkan seperti yang dirancan. Kesimpulan audit akan menjadi sebuah
ukuran kualitas kinerja.

 Metode Courtney
Teknik ini melibatkan perhitungan yang menempatkan nilai uang (dolar,
rupiah) ke risiko potensial, dan estimasi terbuat dari frekuensi yang bersama
denagan risiko bisa menciptakan kesulitan. Jika pendekatan ini digunakan,
auditor internal harus berupaya mencapai kesepakatan dengan manajemen tentang
niai-nilai yang diberikan dan frekuensi yang diestimasi.
 DAFTAR PUSTAKA

Sawyer, Lawrence et al., 2005. Sawyer’s Internal Auditing, Fifth Edition, Alih Bahasa: Desi
Adhariani, Salemba Empat, Jakarta. 
http://kurniadipancaputra.blogspot.com/p/1.html

http://kriwuull.blogspot.com/2018/09/internal-audit-bab-3.html