com
BAB 10
■ Mengetahui prosedur manual yang digunakan oleh auditor internal untuk mengumpulkan
bukti audit.
BUKTI AUDIT
Ingat dari Bab 1, “Pengantar Audit Internal,” bahwa audit internal didasarkan pada
logika, yang melibatkan penalaran dan penarikan kesimpulan. Auditor internal
sangat bergantung pada pertimbangan profesional berpengalaman ketika mereka
merumuskan kesimpulan dan saran berdasarkan bukti yang mereka kumpulkan
dan evaluasi. Kualitas kesimpulan dan saran auditor internal bergantung pada
kemampuan mereka untuk mengumpulkan dan mengevaluasi bukti yang cukup
dan tepat untuk mendukung kesimpulan dan saran mereka.
PAMERAN 10-1
PANDUAN IPPF RELEVAN DENGAN BAB 10
Skeptisisme Profesional
Keadaan pikiran di mana auditor internal tidak menerima begitu saja; mereka terus
mempertanyakan apa yang mereka dengar dan lihat dan menilai secara kritis bukti audit.
Auditor internal jarang, jika pernah, dalam posisi untuk memberikan jaminan
mutlak mengenai asersi manajemen mengenai sistem pengendalian internal
dan kinerja. Bahkan auditor internal yang berpengalaman jarang diyakinkan
tanpa keraguan. Hal ini disebabkan sifat dan luasnya bukti yang
dikumpulkan dan jenis keputusan yang dibuat. Seringkali, auditor internal
harus mengandalkan bukti yang persuasif daripada benar-benar
meyakinkan, dan keputusan audit jarang hitam dan putih. Selain itu,
kesimpulan dan saran auditor internal harus dibuat dengan biaya yang wajar
dalam jangka waktu yang wajar untuk menambah nilai ekonomi. Oleh
karena itu, auditor internal berusaha untuk mendapatkan bukti yang cukup
dan tepat untuk memberikan dasar yang masuk akal untuk merumuskan
kesimpulan dan saran. Konsep ini disebut oleh auditor internal sebagai:
jaminan yang wajar.
Jaminan yang masuk akal
Tingkat keyakinan yang didukung oleh prosedur dan pertimbangan audit yang
berlaku umum.
Risiko Audit
Risiko mencapai kesimpulan audit yang tidak valid dan/atau memberikan saran yang salah berdasarkan
pekerjaan audit yang dilakukan.
Meskipun tidak ada aturan keras dan cepat mengenai keandalan dan
kecukupan bukti, ada pedoman berguna yang dapat diikuti oleh auditor
internal jika mereka ingat bahwa pedoman umumnya ditandai dengan
pengecualian. Pedoman tersebut meliputi:
■ Bukti yang diperoleh dari pihak ketiga yang independen adalah lebih terpercaya
daripada bukti yang diperoleh dari personel auditee.
■ Bukti yang dihasilkan oleh suatu proses atau sistem dengan pengendalian yang efektif adalah:lebih
terpercaya daripada bukti yang dihasilkan oleh suatu proses atau sistem dengan pengendalian yang
tidak efektif.
■ Bukti yang diperoleh secara langsung oleh auditor internal adalah lebih terpercaya daripada bukti
yang diperoleh secara tidak langsung.
■ Bukti yang terdokumentasi adalah lebih terpercaya daripada bukti yang tidak terdokumentasi.
■ Bukti tepat waktu adalah lebih terpercaya daripada bukti sebelum waktunya.
■ Bukti yang dikuatkan adalah lebih memadai daripada bukti yang tidak
dikuatkan atau kontradiktif.
■ Sampel yang lebih besar menghasilkan lebih memadai bukti daripada sampel yang lebih kecil.
Bukti dokumenter adalah bagian penting dari bukti yang dikumpulkan
selama sebagian besar penugasan audit internal. Keandalan bukti
dokumenter tergantung, sebagian besar, pada asalnya dan rute yang
dilaluinya sebelum diperiksa oleh auditor internal.Pameran 10-2
mengilustrasikan poin ini.
Perusahaan menghadapi ekspektasi regulasi yang meningkat. Salah satu bidang minat
tertentu adalah informasi atau data yang dihasilkan atau dimanipulasi oleh karyawan
atau sistem perusahaan yang diandalkan oleh manajemen untuk melakukan
pengendalian utama atau untuk membuat keputusan bisnis yang signifikan.
Regulator biasanya menyebut informasi atau data ini sebagai informasi yang
dihasilkan oleh entitas (IPE). Ketika IPE diidentifikasi, regulator mengharapkan
manajemen untuk memverifikasi (menguji) kelengkapan dan keakuratan informasi
atau data yang digunakan oleh manajemen untuk melakukan kontrol utama atau
diandalkan untuk membuat keputusan bisnis yang signifikan. Ada juga harapan
bahwa auditor eksternal dan internal akan menentukan apakah IPE diverifikasi
dengan tepat sebelum ketergantungan manajemen pada informasi atau data
tersebut.
PAMERAN 10-2
KEANDALAN BUKTI DOKUMENTER
Tingkat dari
deskripsi Contoh Dokumen
Keandalan
■ Memperoleh bukti yang cukup dan tepat untuk mencapai tujuan audit yang
ditentukan yang terlibat dalam menentukan sifat, luas, dan waktu prosedur
audit untuk dilakukan.
Prosedur Audit
Tugas khusus yang dilakukan oleh auditor internal untuk mengumpulkan bukti yang diperlukan untuk
mencapai tujuan audit yang ditentukan.
■ Auditor internal yang menguji apakah transaksi dicatat pada tahun fiskal
yang sesuai akan memfokuskan pengujiannya pada transaksi segera
sebelum dan setelah akhir tahun.
■ Auditor internal akan menguji operasi pengendalian aplikasi yang terkomputerisasi pada
waktu tertentu untuk menentukan apakah pengendalian tersebut beroperasi secara efektif
pada saat itu. Auditor internal kemudian akan mengandalkan pengujian yang berbeda,
seperti pengujian atas akses dan modifikasi program aplikasi selama periode waktu
tertentu, untuk memperoleh jaminan bahwa pengendalian dioperasikan secara konsisten
selama periode waktu tersebut.
• Lakukan kembali rekonsiliasi bank yang disiapkan oleh auditee untuk menguji
apakah rekonsiliasi tersebut diselesaikan dengan benar.
PAMERAN 10-4
KOMPONEN UTAMA WAWANCARA EFEKTIF
Tujuan wawancara:
• Mengumpulkan informasi (yaitu, bukti audit) yang relevan dengan perikatan.
• Membangun hubungan yang memupuk hubungan kerja yang positif selama
pertunangan.
Proses wawancara:
Mempersiapkan untuk wawancara:
• Tentukan tujuannya.
• Identifikasi orang yang diwawancarai yang sesuai.
• Kumpulkan informasi latar belakang tentang area audit dan orang yang diwawancarai.
• Buat rangkaian pertanyaan yang tepat (apa, mengapa, bagaimana, di mana, kapan, siapa).
• Tetapkan harapan dengan orang yang diwawancarai dan identifikasi kebutuhan informasi.
• Mengatur logistik (tanggal, waktu, lokasi, panjang).
• Siapkan garis besar.
Mengadakan wawancara:
• Keingintahuan bawaan.
• Objektivitas (yaitu, tetap tidak memihak dan menahan diri dari menyela pendapat pribadi).
• Hambatan auditee seperti tuntutan bersaing tepat waktu, prasangka tentang auditor
internal, dan ketakutan akan pembalasan.
• Kesalahan dalam proses wawancara.
Menjamin
Informasi pelacakan ke belakang dari satu dokumen atau catatan ke dokumen atau catatan
yang telah disiapkan sebelumnya, atau ke sumber daya nyata.
Pelacakan
Informasi pelacakan maju dari satu dokumen, catatan, atau sumber daya berwujud ke
dokumen atau catatan yang selanjutnya disiapkan.
Prosedur Analitis
Menilai informasi yang diperoleh selama perikatan dengan membandingkan informasi
dengan harapan yang diidentifikasi atau dikembangkan oleh auditor internal.
PAMERAN 10-5
RASIO KINERJA PROSES ILUSTRASI
Harga Pokok Penjualan Rata-rata atau Persediaan Akhir Tahun (Perputaran Persediaan) 365
Jumlah Unit Yang Diproduksi Cacat Total Unit Biaya Produksi atau Scrap/
Jumlah Karyawan yang Keluar Secara Sukarela dan/atau Tidak Secara Sukarela Selama Tahun Ini Jumlah
Karyawan Rata-rata atau Akhir Tahun (Perputaran Karyawan)
Perangkat lunak utilitas terdiri dari “program komputer yang disediakan oleh produsen
perangkat keras komputer atau vendor perangkat lunak dan digunakan dalam
menjalankan sistem… Teknik ini dapat digunakan untuk memeriksa aktivitas
pemrosesan; menguji program, aktivitas sistem, dan prosedur operasional;
untuk mengevaluasi aktivitas file data; dan, untuk menganalisis data
akuntansi pekerjaan.”
Data percobaan adalah “transaksi simulasi yang dapat digunakan untuk
menguji logika pemrosesan, perhitungan, dan kontrol yang sebenarnya
diprogram dalam aplikasi komputer. Program individu atau keseluruhan
sistem dapat diuji… Teknik ini mencakup fasilitas pengujian terintegrasi (ITF)
dan evaluasi sistem kasus dasar (BCSE).”
Pelacakan dan pemetaan perangkat lunak aplikasi adalah “alat khusus
yang dapat digunakan untuk menganalisis aliran data melalui logika
pemrosesan perangkat lunak aplikasi dan mendokumentasikan logika,
jalur, kondisi kontrol, dan urutan pemrosesan…Baik bahasa perintah atau
pernyataan kontrol pekerjaan dan bahasa pemrograman dapat dianalisis.
Teknik ini mencakup program/sistem: pemetaan, penelusuran, snapshot,
simulasi paralel, dan perbandingan kode.”
Mengaudit sistem pakar adalah “ahli atau sistem pendukung keputusan yang dapat
digunakan untuk membantu auditor SI [sistem informasi] dalam proses
pengambilan keputusan dengan mengotomatiskan pengetahuan para ahli di
bidangnya… Teknik ini mencakup analisis risiko otomatis, perangkat lunak sistem,
dan paket perangkat lunak tujuan pengendalian. ”
Audit Berkelanjutan
Menggunakan teknik komputerisasi untuk terus-menerus mengaudit pemrosesan
transaksi bisnis.
Definisi ini menunjukkan bahwa auditor internal dapat menggunakan CAATs untuk secara
langsung menguji 1) kontrol yang dibangun ke dalam sistem informasi terkomputerisasi
dan 2) data yang terkandung dalam file komputer. Perlu dicatat bahwa, dengan menguji
secara langsung data yang terdapat dalam file komputer, auditor internal memperoleh
bukti tidak langsung tentang efektivitas pengendalian dalam aplikasi yang memproses
data tersebut.
Contoh: Auditor internal menggunakan perangkat lunak audit umum untuk secara
langsung menguji apakah ada pembayaran duplikat faktur dalam file transaksi
pengeluaran kas perusahaan. Auditor internal menemukan beberapa pembayaran
duplikat yang dilakukan sepanjang tahun. Auditor internal dapat dengan tepat
menyimpulkan bahwa pengendalian untuk mencegah dan/atau mendeteksi
pembayaran tersebut secara tepat waktu tidak ada, dirancang secara tidak
memadai, atau tidak beroperasi secara efektif.
ISACA mensponsori penunjukan CISA. Namun, GAS dan jenis analisis data yang
dapat dilakukan auditor internal dengan GAS memerlukan sedikit lebih banyak
perhatian.
Beberapa auditor internal terus memendam keyakinan bahwa GAS adalah alat
yang hanya digunakan oleh spesialis audit TI. Namun, seperti yang ditunjukkan
oleh kutipan berikut dari “GTAG: Data Analysis Technologies” (dari seri Panduan
Audit Teknologi Global The IIA), ini tidak lagi benar.
“Kenyataan dari dunia yang sangat otomatis saat ini adalah bahwa hampir
setiap auditor harus menganalisis data. Apa yang dulunya dianggap
sebagai keahlian khusus, pekerjaan auditor TI, atau tugas yang mudah
dialihdayakan ke departemen atau organisasi lain, telah menjadi
kompetensi inti untuk profesi audit internal.”
Untungnya, GAS telah maju ke tahap yang relatif mudah digunakan, bahkan
oleh auditor internal dengan sedikit pelatihan TI terkait audit. Ini
menggabungkan antarmuka yang ramah pengguna dengan fungsi analisis
data yang kuat seperti:
■ Memeriksa file dan catatan untuk validitas, kelengkapan, dan akurasi.
■ Menghitung ulang nilai yang tercatat dan menghitung nilai audit lainnya
minat.
■ Memilih dan mencetak sampel serta menghitung hasil sampel.
■ Membandingkan informasi dalam file terpisah.
■ Meringkas, mengurutkan ulang, dan memformat ulang data.
■ Membuat tabel pivot untuk analisis multidimensi.
■ Mencari anomali dalam data yang mungkin menunjukkan kesalahan atau penipuan.
■ Menyiapkan dan mencetak laporan.
■ Secara otomatis menghasilkan log historis dari analisis data yang dilakukan.
■ Ini memungkinkan auditor internal untuk melakukan pengujian pada data secara independen
dari personel TI perusahaan.
■ Menggunakan GAS memungkinkan auditor internal untuk dengan cekatan menganalisis jumlah data
yang sangat besar.
■ Menggunakan GAS untuk melakukan tugas audit yang diperlukan tetapi rutin membebaskan
waktu bagi auditor internal untuk berpikir secara analitis.
Hambatan untuk mengimplementasikan GAS dengan sukses. Ada juga
hambatan yang sah yang harus diatasi oleh auditor internal untuk
mengimplementasikan GAS dengan sukses:
ACL® dan perangkat lunak CaseWare IDEA. Dua GAS yang dominan
program yang digunakan oleh auditor internal, ACL (Bahasa Perintah Audit®)
dan IDEA (awalnya singkatan dari Interactive Data Extraction and Analysis),
menyertai buku teks ini. Baik perangkat lunak analisis data ACL dan IDEA
berbasis Windows dan dapat dioperasikan dengan mudah di komputer
pribadi auditor internal.
Perangkat lunak ACL adalah produk dari ACL Services Ltd. Pembaca yang tertarik
dapat mempelajari lebih lanjut tentang Layanan ACL dengan mengunjungi situs
web perusahaan diwww.acl.com. Ada tautan ke versi uji coba ACL di situs web yang
menyertai buku teks ini, yang menyediakan materi berikut yang relevan dengan
ACL selain perangkat lunak ACL itu sendiri:
■ Panduan Memulai.
■ ACL dalam panduan Praktik.
■ Panduan Akses Data.
■ Bantuan ACL.
Manual ACL in Practice berisi tutorial ekstensif yang melibatkan perusahaan
hipotetis dan data dunia nyata, yang memberikan pengenalan yang baik
tentang kemampuan analisis dan pelaporan ACL.
Perangkat lunak IDEA adalah produk dari CaseWare IDEA Inc., sebuah perusahaan
pengembangan dan pemasaran perangkat lunak swasta. Audimation Services Inc.
adalah mitra bisnis AS dengan CaseWare IDEA Inc. Pembaca yang tertarik dapat
mempelajari lebih lanjut tentang perusahaan-perusahaan ini dan IDEA dengan
mengunjungi situs web mereka:www.CaseWare-IDEA.com dan
www.audimation.com. Tautan ke situs web yang menyertai buku teks ini berisi
materi berikut yang relevan dengan IDEA selain perangkat lunak itu sendiri:
■ Petunjuk pemasangan.
■ Tutorial IDE.
■ Tutorial Pembaca Laporan.
■ Bantuan IDEA.
■ Studi Kasus untuk IDEA Versi Delapan.
■ Studi Kasus Metode Statistik Lanjutan IDEA.
Tutorial Memulai di Bagian Empat Tutorial IDEA, yang dapat diselesaikan
dengan menggunakan contoh file data yang ada di situs, memberikan
pengenalan yang baik tentang fungsionalitas IDEA. Studi Kasus untuk IDEA
Versi Delapan dan Studi Kasus Metode Statistik Lanjutan IDEA dapat
digunakan untuk latihan tambahan dengan perangkat lunak.
KERTAS KERJA
Standar IIA 2330: Mendokumentasikan Informasi mengharuskan auditor
internal untuk mencatat bukti yang mereka kumpulkan sebagai dukungan
untuk hasil keterlibatan. Panduan Implementasi 2330: Mendokumentasikan
Informasi memberikan panduan tambahan mengenai persiapan dan
pendokumentasian informasi yang benar dalam kertas kerja auditor internal.
Tujuan dan Isi Kertas Kerja
Karena banyak kegunaan kertas kerja, sulit untuk melebih-lebihkan
pentingnya mereka. Misalnya, kertas kerja:
■ Membantu dalam merencanakan dan melaksanakan penugasan.
■ Memfasilitasi pengawasan perikatan dan peninjauan pekerjaan yang telah
diselesaikan.
Isi kertas kerja perikatan audit internal akan tergantung pada sifat
perikatan. Namun, mereka harus selalu memberikan dokumentasi yang
lengkap, akurat, dan ringkas tentang proses perikatan.
■ Peta proses atau diagram alur yang digunakan untuk mendokumentasikan aktivitas proses, risiko,
dan kontrol. (Simbol pemetaan proses umum dan peta proses
ilustratif disajikan dalamBab 5, “Proses dan Risiko Bisnis.” Simbol
diagram alur umum dan diagram alur ilustratif disajikan dalambab 13
, “Melakukan Perikatan Penjaminan.”)
■ Bagan, grafik, dan diagram, seperti peta risiko yang digunakan untuk
memplot dampak dan kemungkinan risiko bisnis (gambar peta risiko
disajikan di bab 13).
■ Jenis kertas kerja lain yang disiapkan oleh auditor internal yang
mencerminkan pekerjaan yang dilakukan (misalnya, prosedur analitis,
analisis data terkomputerisasi, dan pengujian langsung atas transaksi,
peristiwa, saldo akun, dan pengukuran kinerja).
■ Bukti yang dikumpulkan oleh auditee dan diuji oleh auditor internal.
■ Pengendalian yang dilakukan oleh auditee dan dilakukan kembali oleh
auditor internal (misalnya, rekonsiliasi bank).
File kertas kerja harus lengkap dan terorganisir dengan baik. Pada akhir
perikatan, arsip harus dibersihkan sehingga hanya berisi versi final dari
kertas kerja yang diselesaikan selama perikatan. Setiap kertas kerja
individu harus berdiri di atas kemampuannya sendiri. Ini berarti,
misalnya, bahwa setiap kertas kerja harus:
■ Berisi indeks atau nomor referensi yang sesuai.
■ Identifikasi perikatan dan jelaskan tujuan atau isi kertas kerja.
■ Ditandatangani (atau diparaf) dan diberi tanggal oleh auditor internal yang
melakukan pekerjaan dan auditor internal yang meninjau pekerjaan tersebut.
(Perhatikan bahwa tanda tangan tersebut mungkin elektronik.)
■ Identifikasi dengan jelas sumber data auditee yang dicantumkan pada kertas
kerja.
Intinya adalah bahwa kertas kerja harus berisi informasi yang cukup
untuk auditor internal, selain orang yang melakukan pekerjaan, untuk
dapat melakukannya kembali. Di sisi lain, kertas kerja tidak boleh berisi
informasi lebih dari yang diperlukan; mereka harus sesingkat mungkin.
Selain itu, karena waktu adalah sumber audit yang berharga, auditor internal
harus selalu berusaha untuk mempersiapkan kertas kerja dengan cara yang benar
pertama kali. Tidak ada waktu yang dialokasikan untuk menulis ulang mereka.
Kebutuhan vital akan kertas kerja untuk disiapkan dengan benar, jelas, ringkas, dan
cepat adalah salah satu alasan penting mengapa kemampuan auditor internal dalam
komunikasi tertulis bukanlah suatu pilihan—sangat penting.
Kertas kerja dapat disiapkan dalam bentuk kertas, bentuk elektronik, atau keduanya.
Menggunakan perangkat lunak kertas kerja otomatis, baik yang dibeli dari vendor luar
atau yang dikembangkan sendiri, sekarang sudah umum. Perangkat lunak ini
meningkatkan efisiensi dan memfasilitasi organisasi yang konsisten dan penyimpanan
dokumentasi yang mendukung keterlibatan audit internal. NS
Rekan Tim® tugas kasus di akhir Bab 6, “Pengendalian Internal”, dan bab 12,
“Pengantar Proses Keterlibatan,” memberikan kesempatan kepada pembaca
untuk mendapatkan pengalaman langsung dengan perangkat lunak TeamMate
EWP (Electronic Working Papers).
RINGKASAN
Bab ini berfokus pada pengumpulan dan pendokumentasian bukti audit.
Bab ini dimulai dengan diskusi tentang bukti audit dan prosedur, baik
prosedur manual maupun CAAT, yang digunakan auditor internal untuk
mengumpulkan bukti yang cukup dan tepat. Bab ini diakhiri dengan
pembahasan kertas kerja, yang berfungsi sebagai catatan utama dari
prosedur yang diselesaikan, bukti yang diperoleh, kesimpulan yang dicapai,
dan rekomendasi yang dirumuskan oleh tim audit internal selama
penugasan. Sebelas hal penting yang perlu diingat tentang bukti audit dan
kertas kerja tercantum dalampameran 10-6.
PAMERAN 10-6
11 HAL PENTING UNTUK DIINGAT TENTANG BUKTI
AUDIT DAN KERJA KERJA
1. Kualitas kesimpulan dan saran auditor internal tergantung pada kemampuan mereka untuk
mengumpulkan dan mengevaluasi bukti pendukung yang cukup dan tepat.
2. Skeptisisme profesional berarti bahwa auditor internal tidak menerima begitu saja; mereka terus
mempertanyakan apa yang mereka dengar dan lihat dan menilai secara kritis bukti audit.