PERFORM MONITORING AND FOLLOW-UP

Tanggung jawab fungsi audit internal tidak berakhir ketika hasil penugasan
didistribusikan. Ingatlah bahwa selama perikatan, saat pengamatan diidentifikasi, manajemen
area yang menjadi target perikatan asurans berkomitmen untuk mengambil tindakan korektif
untuk memulihkan pengamatan atau mereka memilih untuk tidak mengambil tindakan.
Proses kolaboratif yang terjadi selama perikatan memastikan fungsi audit internal sesuai
dengan rencana tindakan yang diusulkan sebagaimana didokumentasikan dalam komunikasi
perikatan akhir. Akibatnya, prosedur pemantauan dan tindak lanjut dirancang untuk
memastikan pengamatan telah ditangani dan diselesaikan dengan cara yang konsisten dengan
respons manajemen yang termasuk dalam komunikasi perikatan akhir. CAE diharuskan oleh
Standar untuk "menetapkan proses tindak lanjut untuk memantau dan memastikan bahwa
tindakan manajemen telah diterapkan secara efektif atau bahwa manajemen senior telah
menerima risiko tidak mengambil tindakan" (Standar 2500.A1). Dengan kata lain,
manajemen harus membuat salah satu dari dua pilihan: menerapkan perubahan untuk
memulihkan pengamatan atau menerima risiko yang terkait dengan tidak membuat perubahan
pada kontrol atau proses. Jika perubahan diterapkan, fungsi audit internal harus memiliki
proses untuk memantau dan menindaklanjuti tindakan yang disepakati untuk memastikan
manajemen telah melakukan apa yang dimaksudkan dan tindakan tersebut menghasilkan
pengurangan risiko yang diinginkan.
Waktu tindak lanjut pengamatan tergantung pada kepentingan (tidak signifikan,
signifikan, atau material) dari pengamatan sebagaimana ditentukan selama evaluasi
pengamatan dan proses eskalasi yang digambarkan dalam pameran 14-4. Biasanya, semakin
besar pentingnya pengamatan, semakin cepat dan semakin sering tindak lanjut oleh fungsi
audit internal. Menindaklanjuti pengamatan mencakup konfirmasi dengan klien bahwa
tindakan korektif telah dilaksanakan dan melakukan prosedur pengujian ulang yang sesuai
untuk memastikan risiko yang berlaku dimitigasi. Tergantung pada kebijakan fungsi audit
internal, waktu pelaksanaan ulang akan tergantung pada berbagai faktor seperti usia,
kepentingan, dan jenis pengamatan. Pengamatan tidak dianggap diperbaiki sampai pengujian
ulang oleh fungsi audit internal memastikan bahwa kontrol yang gagal atau hilang dirancang
secara memadai dan beroperasi secara efektif dan bahwa risiko terkait dimitigasi dalam
variasi yang dapat diterima organisasi dalam parameter kinerja. Untuk memastikan perhatian
yang tepat dan remediasi tepat waktu, pengamatan terbuka dilaporkan secara berkala kepada
manajemen area yang menjadi target perikatan asurans. Selain itu, jika pentingnya suatu
pengamatan tidak signifikan tetapi melibatkan pengendalian kunci, signifikan, atau material,
pengamatan terbuka juga harus dilaporkan kepada manajemen senior. Jika observasi terbuka
berkaitan dengan pengendalian internal atas pelaporan keuangan dan pentingnya observasi
tersebut signifikan atau material, maka observasi tersebut juga harus dilaporkan kepada
komite audit dan auditor luar yang independen. Biasanya, pelaporan ini dilakukan setidaknya
setiap triwulan.
Jika manajemen memilih untuk menerima risiko, Standar menunjukkan bahwa CAE
harus membuat penilaian mengenai kehati-hatian keputusan tersebut. Selanjutnya, "ketika
kepala audit internal menyimpulkan bahwa manajemen telah menerima tingkat risiko yang
mungkin tidak dapat diterima oleh organisasi, kepala audit internal harus mendiskusikan
masalah tersebut dengan manajemen senior. Jika kepala audit internal memutuskan bahwa
masalah tersebut belum diselesaikan. , kepala eksekutif audit harus mengomunikasikan
masalah tersebut kepada dewan" (Standar 2600: Mengkomunikasikan Penerimaan Risiko).
Interpretasi dari standar ini memperjelas bahwa ini adalah tanggung jawab CAE
terlepas dari sifat situasinya, yang menyatakan bahwa "identifikasi risiko yang diterima oleh
manajemen dapat diamati melalui penugasan asurans atau konsultasi, pemantauan kemajuan
tindakan yang diambil oleh manajemen sebagai akibat dari perikatan sebelumnya, atau cara
lain.” Selanjutnya, standar menyimpulkan bahwa "bukan tanggung jawab kepala audit
internal untuk menyelesaikan risiko".
Jika, di sisi lain, manajemen menerima tanggung jawab untuk menerapkan perubahan
untuk memulihkan pengamatan, fungsi audit internal harus memantau kemajuan yang dibuat
manajemen relatif terhadap perbaikan pengamatan. Prosedur tindak lanjut reguler harus
memastikan bahwa peningkatan dilakukan sesuai jadwal dengan kerangka waktu yang
digariskan dalam komunikasi perikatan akhir. Pada akhirnya, CAE bertanggung jawab untuk
"membangun dan memelihara sistem untuk memantau disposisi hasil yang dikomunikasikan
kepada manajemen" (Standar 2500: Pemantauan Kemajuan). Proses ini harus digambarkan
dalam manual audit fungsi audit internal. Minimal, tindakan tindak lanjut harus
didokumentasikan dan disimpan dalam kertas kerja fungsi audit internal dari perikatan
asurans berikutnya yang berkaitan dengan area yang awalnya diaudit. Selain itu, dalam kasus
di mana observasi perikatan dievaluasi sebagai signifikan atau material, perikatan tindak
lanjut biasanya dijadwalkan dengan lingkup yang ditargetkan untuk mengevaluasi dan
menguji apakah pengendalian area telah ditingkatkan dan risiko telah dikurangi ke tingkat
yang dapat diterima. tingkat. Perikatan ini harus direncanakan, dilaksanakan, dan dilaporkan
dengan cara yang konsisten dengan perikatan asurans lainnya.
Pada tahun 2009, COSO menerbitkan Pedoman Pemantauan Sistem Pengendalian
Internal, yang dibahas lebih rinci dalam bab 6. Meskipun pedoman ini difokuskan pada
kegiatan manajemen dalam suatu organisasi, aspek pedoman juga relevan dengan fungsi audit
internal.
Misalnya, ketika melakukan tinjauan yang ditargetkan atas peningkatan kontrol,
COSO menunjukkan bahwa fungsi audit internal bertanggung jawab untuk
mengomunikasikan hasil tinjauan tersebut kepada audiens yang sama yang menerima
komunikasi dari perikatan asurans awal. Selain itu, ketika kontrol yang dinilai secara
signifikan atau material dikompromikan dalam komunikasi perikatan asurans asli berkaitan
dengan pelaporan keuangan, peraturan pelaporan keuangan relatif terhadap negara tempat
organisasi beroperasi harus diikuti dalam hal persyaratan komunikasi. Selanjutnya, perbaikan
atas kekurangan atau kelemahan material yang signifikan, serta hasil dari tinjauan yang
ditargetkan, harus dilaporkan kepada manajemen senior, komite audit, dan auditor luar yang
independen. Dalam hal kelemahan material, perbaikan dan peningkatan kontrol yang sesuai
juga harus diungkapkan kepada pemangku kepentingan organisasi sesuai dengan hukum
negara tempat organisasi beroperasi.