DISUSUN OLEH:
KELOMPOK 7
KELAS D
JURUSAN AKUNTANSI
KENDARI
2021
KATA PENGANTAR
Puji syukur kehadirat Allah SWT yang telah melimpahkan hidayah, taufik,
dan inayahnya kepada kita semua, sehingga kami bisa menjalani kehidupan ini sesuai
dengan ridho-Nya.Syukur Alhamdulillah kami dapat menyelesaikan makalah yang
berjudul “Merencanakan Penugasan Asurans”
Sholawat serta salam semoga tetap tercurahkan kepada junjungan kita Nabi
Muhammad SAW. Karena beliau adalah salah satu figur umat yang mampu
memberikan syafa’at kelak di Yaumil Akhir. Dan kepada semua pihak yang terlibat
dalam pembuatan makalah ini hingga selesai.
Makalah ini bukanlah karya yang sempurna karena masih memiliki banyak
kekurangan, baik dalam hal isi maupun sistematika dan teknik penulisan.Oleh sebab
itu, penulis sangat mengharapkan saran dan kritik yang membangun demi
kesempurnaan makalah ini.Akhirnya semoga makalah ini bisa memberikan manfaat
bagi penulis dan bagi pembaca. Aamiin
Penulis
ii
DAFTAR ISI
1.3 TUJUAN............................................................................................................2
3.1 KESIMPULAN...................................................................................................31
iii
BAB I
PENDAHULUAN
1
1.3 TUJUAN
2
BAB II
PEMBAHASAN
1.1 PENGANTAR
Mengumpulkan informasi
Selanjutnya, auditor internal mengumpulkan informasi mengenai auditee, area
atau proses yang akan direviu, untuk menentukan tujuan, lingkup, dan rencana
penugasan.
Auditor internal mengumpulkan informasi tentang area atau proses yang akan
direviu. seperti a) tujuan bisnisnya (business objectives), b) proses yang ada untuk
mencapai tujuan tersebut, c) risiko yang dapat menghambat tercapainya tujuan bisnis
tadi, dan d) pengendalian yang ada untuk memitigasi risiko tersebut. Memahami
tujuan bisnis akan membantu auditor internal mengidentifikasi risiko-risiko yang
harus diperhatikan dan dimasukkan dalam Penilaian awal risiko seperti yang
disyaratkan Standard 2210.A1.
Auditor internal dapat memeriksa dokumentasi dari penugasan-penugasan
yang lalu. mereviu kebijakan dan prosedur terkait, dan mewawancarai pemangku
kepentingan yang relevan untuk memahami dan memetakan arus proses dan
pengendaliannya (map the process flow and controls) pada area atau proses yang
direviuw.
Dengan melakukan assessment sementara mengenai risiko-risiko yang
diidentifikasi, auditor internal dapat memprioritaskan mana risiko-risiko yang harus
didalami, dalam evaluasi pada penugasan tersebut.
Ada dua teknik yang dapat membantu auditor internal mengidentifikasi risiko
dan (process maps), pengendaliannya pada area atau proses yang akan direviu: a)
menggunakan peta peta proses dan b) tukar pikiran (brainstorming) mengenai risiko-
risiko potensi.
Sebagai ringkasan, untuk mengumpulkan informasi, auditor internal
melakukan:
4
1. Mereviu assessments yang dilakukan dalam penugasan yang lalu di area atau
proses yang bersangkutan
2. Memahami proses dan pengendaliannya, dan membuat petanya, untuk area
atau proses yang bersangkutan
3. Wawancarai pemangku kepentingan yang relevan.
4. Lakukan brainstorming tentang skenario-skenario dari risiko yang mungkin
terjadi
Assessments tentang risiko fraud dan dokumen tentang tuduhan dan investigasi
fraud - auditor internal mengomunikasikan dengan mereka yang bertanggung jawab
untuk menangani risiko-risiko fraud, sangkaan dan tuduhan, dan peristiwa fraud yang
terjadi mereka ini, misalnya, adalah bagian hukum, bagian SDM, dan fraud risk
management.
5
Di samping membahas kejadian fraud atau tuduhan yang diinvestigasi dalam
area atau proses yang direviu, auditor internal juga perlu mereviu dokumentasi yang
relevan untuk memahami fakta-fakta mengenai tuduhan atau investigasi dan apa
hasilnya. Auditor internal dapat nembatasi penelitiannya sampai jangka waktu yang
memadai untuk: a) fraud yang dinvestigasi tetapi belum terbukti. sudah terjadi dan
sudah ada penegasan, dan b) untuk sangkaan atau tuduhan yang masih
Laporan oleh pemberi jasa asurans dan konsulting lainnya - auditor internal
dapat menggunakan pekerjaan dari pemberi jasa asurans dan konsulting lainnya,
sehingga tidak mengenai: a) apakah pemberi jasa independen dan kompeten, dan b)
apakah pekerjaannya terjadi duplikasi. Menggunakan jasa pihak lain sangat
tergantung pada pendapat auditor memuaskan, relevan dan dapat dipercaya.
Pemberi jasa asurans dan konsulting dapat terdiri dari personalia yang bertanggung
jawab atas risk management, compliance, keselamatan kerja, teknologi informasi,
etika, hukum, konsultan dan auditor eksternal keamanan/security, dan lain-lain.
Pemberi jasa bisa juga berasal dari entitas eksternal seperti
Auditor internal dapat bertemu dengan para pemberi jasa asurans dan consulting
untuk mereviu dan membahas laporan dan/atau dokumentasi serupa yang digunakan
dalam pekerjaan yang dialkukan untuk area atau proses yang direviu. Standard 2050-
Coordination and Reliance memberikan informasi tambahan tentang kerja sama
dengan pemberi jasa asurans dan konsulting lain.
6
1. Sistem dan informasi yang perlu diperhatikan ketika menentukan tujuan-
tujuan penugasan dan lingkup, interdependensi atau saling keterkaitan, dan di
mana informasi kritikal (critical information) tersedia (misalnya dalam sistem
tunggal atau sistem ganda/multiple systems).
4. Titik-titik di dalam rangkaian proses yang tidak ada pengendalian yang efektif
(misalnya tidak dirancang dengan baik), atau di mana ada peluang untuk
penyempurnaan atau perbaikan proses.
Beberapa informasi yang diperlukan untuk membuat peta proses dapat dikumpulan
dari dokumen organisasi, seperti buku petunjuk untuk pegawai/employee handbooks,
berbagai manual, dan/atau situs di dalam organisasi/intranet websites yang memuat
kebijakan dan prosedur Visi, misi, tujuan bisnis, dan strategi yang relevan untuk area
yang direviu sering kali didokumentasikan. Atau, informasi ini dapat dikumpulkan
ketika mewawancarai manajemen
Manajemen - Para manajer yang bertanggung jawab atas area atau proses yang
direviu dapat memberikan gambaran menyeluruh yang terbaik mengenai proses
dirancang untuk beroperasi
8
mengungkapkan hal-hal di mana pengendalian mungkin tidak ada (missing), tidak
cukup (inadequate), atau dijebol (circumvented).
Oleh karena itu, auditor internal mungkin akan memutuskan untuk bertemu dengan
penasihat hukum (legal counsel, internal dan/atau eksternal) dan para risk managers
untuk menggali" informasi yang diterima penasihat hukum dari whistleblower atau
program whistleblower, dan informasi tentang peristiwa-peristiwa luar biasa (unusual
events) dan tuntutan hukum (dari masa lalu atau sekarang) yang relevan bagi
penugasan.
Berdiskusi dalam kelompok yang melahirkan gagasan dan pemikiran baru, atau
pemecahan Suatu masalah, dalam bahasa Inggris disebut brainstorming, yang secara
harafiah berarti "badai otak".
5. Sistem TI dan sistem-sistem lain yang relevan untuk area atau proses yang
direviu.
6. Sumber-sumber data dan tingkat kepercayaan data yang masuk dan keluar
dari area atau proses yang direviu.
Mendapatkan pemahaman yang mendalam tentang organisasi, dan area atau proses
yang direviu, memungkinkan auditor internal melakukan preliminary assessment
(penilaian sementara) atas risiko-risiko yang relevan, seperti yang disyaratkan
Standard 2210.41.
10
Karena keterbatasan waktu dan sumber daya, tidak semua risiko dapat direviu selama
suatu penugasan. Oleh karena itu, auditor internal harus melakukan penilaian risiko
(risk assessment) sementara dan membuat urut-urutan risiko yang akan diprioritaskan,
sesuai penting atau signifikannya, yang diukur dengan gabungan beberapa faktor
risiko.
Salah satu cara yang efektif untuk melaksanakan dan mendokumentasikan suatu risk
Assessment yang bersifat sementara pada tingkat penugasan, adalah dengan membuat
bagan yang menunjukkan risiko-risiko yang relevan dan pengendalian-
pengendaliannya; bagan seperti ini disebut risk and control matrix.
Suatu risk and control matrix adalah alat yang biasanya digunakan auditor internal
untuk mengidentifikasi, menata, dan meng-assess risiko-risiko yang dapat
berpengaruh atas pencapaian tujuan-tujuan bisnis dari area yang direviu, beserta
pengendalian-pengendalian yang memitigasi risiko-risiko tersebut. Suatu risk and
control matrix dapat dibuat dengan program spreadsheet (seperti Excel), program
dokumen pengolahan kata (seperti Word), atau dengan program perangkat lunak
(audit software program). Penting atau signifikannya setiap risiko dapat dinyatakan
dengan suatu grafik biasa, seperti heat тар.
Lihat Gambar 15.2 yang menyajikan contoh risk heat map. [Catatan: secara harafiah,
heat map berarti peta panas. Bandingkan gunung berapi yang mengeluarkan lahar dan
uap yang menjalar ke mana-mana. Daerah-daerah sekitar yang menjadi panas, dapat
disajikan dalam "peta panas" yang berwarna-warni.]
11
Ada dua variabel yang menunjukkan signifikan/tidaknya suatu risiko, yakni berapa
besar kemungkinan atau probabilitas terjadinya (likelihood) dan jika terjadi, berapa
besar dampak kerugian yang ditimbulkannya (impact).
Risk heat map bisa menjadi bagian dari kertas kerja penugasan (Standard
2240 - Engagement Work Program). Dokumen ini juga bisa menjadi bagian
dari "sufficient, reliable, relevant, and useful information" yang diwajibkan
tentu mendukung hasil penugasan, seperti diatur dalam Standard 2330 -
Documenting Information.
Risk and Control Matrix seperti ditunjukkan dalam Tabel 15.1 berisi informasi yang
dikumpulkan selama proses perencanaan penugasan. Tabel ini menunjukkan
bagaimana membuat sebuah risk and control matrix. Contoh ini adalah untuk
12
penugasan asurans dalam akun utang (accounts payable). Bentuk atau format dari
suatu risk and control matrix tentunya bisa berbeda, dari satu organisasi dengan
organisasi yang lain.
A A.1
A3
13
A4
• Kolom 1: tujuan bisnis atau Business Objective - setiap tujuan dari area yang
direviu (seperti ditentukan dalam langkah pengumpulan informasi).
• Kolom 2: risiko inheren atau Inherent Risk - Inherent risks adalah risiko-
risiko yang bias terjadi jika tidak ada pengendalian apa pun untuk memitigasi
risiko tersebut.
• Kolom 3: dampak atau Impact - Berapa besar dampak dari inherent risk yang
diketahui, terhadap tujuan bisnis? Apakah besar, sedang atau kecil?
14
Auditor internal dapat menambah kolom pada Tabel 15.1 untuk mengelompokkan
Pengendalian sebagai berikut.
Auditors internal juga harus mengidentifikasi kriteria yang cukup untuk menilai
governance, risk management, dan controls dari area atau proses yang direviu dan
menentukan apakah tujuan-tujuan bisnis dan sasaran telah dicapai.
15
Dengan menentukan kriteria-kriteria tersebut, auditor dapat memastikan bahwa
tujuan-tujuan penugasan asurans dapat diukur, praktis, dan sejalan dengan tujuan-
tujuan organisasi dan area atau proses yang direviu.
Menurut Standard 2210.A3, auditor internal harus menggunakan kriteria yang sudah
ditetapkan oleh manajemen dan/atau Dewan, jika kriteria tersebut sudah ada. Jika
belum ada kriteria, auditor internal harus menentukan kriteria yang tepat melalui
diskusi dengan manajemen dan Dewan
Auditor internal juga perlu mempertimbangkan mencari masukan dari para ahli
mengenai bidang tersebut (subject matter experts) untuk menyusun kriteria yang
relevant
Contoh-contoh kriteria:
Untuk menghindari salah interpretasi atau protes dari personalia yang bertanggung
jawab terhadap area atau proses yang direviu, kriteria untuk mengevaluasi harus
relevan, dapat dipercaya, dan didokumentasi. Kriteria yang cukup dan tepat akan
menjadi referensi bagi auditor internal untuk mengevaluasi bukti, memahami temuan,
dan menilai kecukupan pengendalian di area atau proses yang direviu. Kriteria (atau
sebaliknya, tidak adanya kriteria) harus dibandingkan dengan patokan industri
(industry benchmarks), trends, dan perkiraan waktu mendatang (forecasts), dan
tentunya, dengan kebijakan dan prosedur organisasi.
16
• Proses pengendalian atas penyampaian persetujuan, dan pembayaran laporan
biaya berjalan efektif dan efisien.
• Biaya-biaya pegawai dan biaya operasional sudah tepat dan diotorisasi atasan
yang mempunyai wewenang.
Lingkup ini dapat merumuskan unsur-unsur spesifik seperti area atau proses tertentu,
lokasi geografis tertentu, dan waktu/periode tertentu time period (kuartal, tahun, dan
Seterusnya) yang akan diliput oleh penugasan tersebut, dengan sumber daya tertentu.
Ketika menentukan lingkup penugasan asurans, akan bermanfaat jika auditor mereviu
tujuan-tujuan penugasan, untuk memastikan bahwa setiap tujuan penugasan dapat
dicapaidalam batas-batas atau parameter lingkup penugasan. Untuk memastikan hal
ini, auditor harus menggunakan pertimbangan profesional yang sehat (sound
professional judgment) berdasarkan pengalaman yang relevan dan/atau kemampuan-
kemampuan menyupervisi penugasan (Standard 2220.A1).
17
Auditor juga mempertimbangkan bagaimana faktor-faktor hukum dapat memengaruhi
lingkup penugasan. Contoh, jika organisasi atau area yang direviu mempunyai
nondisclosure agreements dengan pihak ketiga, organisasi mungkin diwajibkan
memberitahukannya kepada otoritas yag bersangkutan sebelum memulai penugasan.
Penugasan mungkin menyangkut tuntutan hukum, baik yang sudah diketahui namun
masih belum selesai/pending atau tuntutan yang sangat mungkin terjadi, dan kasus-
kasus pelanggaran atau noncompliance. Hal-hal seperti ini perlu dikonsultasikan
dengan ahli hukum.
Berikut ini contoh dari hal-hal yang dapat dimasukkan atau tidak dimasukkan dalam
lingkup penugasan asurans atas accounts payable:
4. kurun waktu (periode berjalan, periode yang lalu, bulan, kuartal, tahun, dan
seterusnya).
6. Systems (hanya sistem yang mengolah biaya, atau sistem yang mengolah
biaya dan juga SDM, semua sistem, dan seterusnya).
Penugasan asurans meliputi biaya personalia dan biaya operasional untuk 12 bulan
yang berakhir pada tanggal 31 Juli 2020 dan semua proses untuk mengajukan,
menyetujui, dan membayar laporan pengeluaran biaya (termasuk penggunaan
18
perangkat lunak pihak ketiga yang digunakan untuk mengolah laporan pengeluaran
biaya). Lingkup penugasan meliputi semua personalia yang menggunakan perangkat
lunak pihak ketiga untuk menyampaikan biaya personalia dan biaya operasional.
Penugasan ini juga akan meliputi suatu reviu atas ketaatan terhadap kebijakan
organisasi tentang biaya perusahaan
Jika lingkup penugasan asurans dibatasi dengan cara apa pun atau jika akses ke
sumber informasi dibatasi auditor internal wajib mengungkapkan situasi ini ke
manajemen senior dan/atau Dewan. Situasi semacam ini dianggap merupakan
pelanggaran (impairments) terhadap independensi audit internal (Standard 1130 -
Impairment to Independence or objectivity)
Begitu juga jika suatu proses baru saja berubah, auditor perlu mempertimbangkan
apakah proses tersebut tetap dalam lingkup penugasan atau ada perubahan dalam
lingkup. Dalam hal ini, auditor dapat memilih untuk menggeser fokus penugasan
pada pemberian asurans atas proses baru, dengan memasukkan proses baru dalam
rencana audit tahunan, atau melaksanakan penugasan konsulting yang terpisah.
Jika suatu penugasan asurans sudah dimulai, setiap perubahan terhadap program
kerja-termasuk setiap perubahan dalam lingkup penugasan-harus mendapat
persetujuan (Standard 2240.A1).
Mendokumentasikan Rencana
3. Risk assessment sementara (berupa risk and control matrix dan heat map
seperti contoh di atas)
Kriteria yang digunakan untuk mengevaluasi area atau proses yang direviu
(diperlukan untuk penugasan asurans, sesuai Standard 2210.A3).
Hasil dari penilaian risiko (risk assessment) sementara, tujuan-tujuan penugasan, dan
lingkup penugasan dibahas dengan manajemen area atau proses yang ditelaah dan
pemangku kepentingan terkait (misalnya, para risk and compliance manager, pejabat
tertinggi untuk pengelolaan risiko/chief risk officer, dan senior management). Diskusi
semacam ini memberi peluang bagi semua pihak terkait, untuk mendapatkan
pemahaman bersama mengenai hasil penilaian risiko pada tingkat penugasan
(engagement-level risk assessment), untuk menegaskan kembali risiko-risiko dan
pengendalian-pengendalian yang relevan untuk penugasan, dan untuk memahami
kedudukan masing-masing dalam penilaian risiko organisasi secara keseluruhan
(organizationwide risk assessment). Diskusi ini juga perlu meliputi kepastian bahwa
20
personalia kunci dan sumber daya yang cukup, tersedia untuk penugasan ini.
Informasi ini juga perlu dikomunikasikan kepada Dewan.
Auditor internal juga dapat membuat memo tentang perencanaan penugasan (dikenal
sebagai engagement planning memorandum, disingkat planning memo), untuk
mengomunikasikan tujuan-tujuan, lingkup, dan jangka waktu penugasan. Planning
memo membuka peluang bagi auditor internal untuk memastikan bahwa manajemen
dari area atau proses yang direviu, memahami dan mendukung rencana penugasan.
Jika manajemen tidak setuju dengan butir-butir dalam planning memo, auditor
internal dapat membuat penyesuaian/ adjustments atau mendokumentasi alasan dan
pertimbangan mengapa penugasan tersebut tidak akan dimodifikasi meskipun ada
ketidaksepakatan manajemen.
Perencanaan dan dokumentasi yang mendalam dan intensif bukan saja penting
sebagai bentuk ketaatan terhadap Standards, tetapi juga merupakan langkah-langkah
penting bagi auditor internal untuk menyiapkan dan melaksanakan penugasan yang
sukses. Karena tidak setiap risiko dapat-atau perlu-dimasukkan dalam suatu
penugasan, perencanaan yang baik akan membantu auditor internal fokus pada upaya-
upaya mereka atas risiko-risiko yang paling signifikan dalam area atau proses yang
ditelaah.
Dalam bagian kedua ini akan dibahas pelaksanaan penugasan asurans sesuai dengan
standar-standar IIA. Ada empat hal penting dalam pelaksanaan suatu penugasan
asurans Standard 2300 - Performing the Engagement menyatakan: Internal auditors
must identify, analyze, evaluate, and document sufficient information to achieve the
engagement's objectives, [Terjemahan bebas: Auditor internal harus mengidentifikasi,
21
menganalisis, mengevaluasi, dan mendokumentasikan informasi yang cukup untuk
mencapai tujuan-tujuan penugasan.]
Catatan
23
• Dalam bahasa audit internal auditee-nya adalah area utang (accounts payable)
dengan proses pengendalian internal.
• Sumber yang dipakai memberi catatan sebagai berikut: Ini sekadar contoh,
laporan dapat disajikan dalam berbagai bentuk.
15 April 2020
di Jakarta
Dengan hormat,
Berikut ini rangkuman hasil penilaian kami atas efektifnya pengendalian internal
(disingkat 'PI') atas pendapatan iklan PT XYZ dalam periode 30 September 2019
sampai 28 Februari 2020, Laporan terpisah disampaikan kepada manajemen senior,
menyajikan penjelasan lengkap tentang rancangan PI. Untuk singkatnya, laporan
tersebut tidak dicantumkan di sini.
Lingkup penugasan
• pencatatan iklan-iklan;
24
• ketelitian dan ketepatan waktu memasukkan iklan-iklan di surat-surat kabar
terbitan XYZ;
Sesuai dengan kesepakatan kita, kami tidak menilai: a) sistem yang mengendalikan
pembayaran-pembayaran bank, dan b) pelaporan pembayaran-pembayaran bank dan
rangkumannya ke general ledger untuk pembuatan laporan manajemen atau laporan
statuter.
Keterbatasan Inheren
ada keterbatasan inheren (inherent limitations) mengenai apa yang dapat dicapai oleh
Pl. Dan konsekuensinya adalah, keterbatasan mengenai kesimpulan yang ditarik dari
penugasan ini. Sebagai harusnya karena "human error, kegiatan Pl yang digagalkan
lewat persekongkolan dua Keterbatasan ini meliputi kemungkinan pengambilan
keputusan yang salah, Pl gagal berfungsi Orang atau lebih, dan kewenangan
manajemen yang digunakan untuk mengabaikan (override) Pl.
Juga tidak ada kepastian bahwa Pl yang sekarang berfungsi secara efektif, akan tetap
berjalan sebagaimana mestinya, di kemudian hari, atau bahwa Pl akan memadai untuk
mencegah semua risiko signifikan yang mungkin timbul di kemudian hari. Oleh
karena itu, kami tidak memberikan pendapat mengenai kecukupan sistem Pl untuk
mencegah risiko dikemudian hari.
PI berbeda dari satu perusahaan ke perusahaan yang lain, karena perbedaan industry
ukuran perusahaan, budaya perusahaan dan pemikiran yang dianut manajemen
(management philosophy). Ketika merancang sistem PI ada banyak opsi mengenai
sifat dan luasnya PI yang dapat dilaksanakan. PI, misalnya, dapat bersifat preventive
(mencegah) atau detective (menemukan, misalnya menemukan fraud atau
penyimpangan), dan dapat dilaksanakan oleh manusia atau teknologi information
technology systems). Ada keseimbangan antara biaya implementasi PI (cost of
implementation) dan manfaat (benefits) yang diperoleh dengan adanya Pl. Oleh
25
karena itu, Pl suatu perusahaan bisa saja jauh berbeda dari PI perusahaan lain, untuk
proses bisnis yang sama. Keputusan yang dibuat ketika merancang PI, termasuk
menerima risiko-risiko sampai tingkat tertentu. Karena hasil dari berjalannya PI tidak
dapat diprediksi secara mutlak, setiap penilaian Pl dapat berbeda antara satu orang
dengan orang yang lain.
Tujuan-Tujuan Bisnis
Kami membahas tujuan-tujuan bisnis dan Pl-nya berkenaan dengan pendapatan iklan,
dengan para executive director dan manajemen senior; inilah pemahaman kami:
5. Memastikan konten teks dan gambar dari setiap iklan, memenuhi "Aturan
Nilai-Nilai Publikasi" yang dibuat XYZ.
Pelaksanaan Tugas
Kami melaksanakan tugas dari tanggal 15 Juni 2019 sampai 31 Maret 2020. Penilaian
kami atas efektifnya PI dibagi dalam empat tahap:
26
2. Menelaah proses-proses identifikasi risiko yang dilaksanakan manajemen dan
mengamati risk screening process (yang dilaksanakan manajemen) untuk
mengidentifikasi risiko-risiko yang signifikan dan mungkin terjadi
(selanjutnya disebut "applicable risks").
Memahami Bisnis
Kami juga mendapatkan pemahaman latar belakang bisnis, termasuk manusia dalam
organisasi, pelanggan, supplier dan kompetitor, key business processes dan
lingkungan bisnis (business environment).
Identifikasi Risiko
Kami menilai a) efektifnya dan b) hasil dari proses berkelanjutan yang dilakukan
manajemen untuk mengidentifikasi dan mengelola risiko. Penilaian ini meliputi
pemahaman mengenai lingkungan pengendalian secara menyeluruh, ukuran-ukuran
kinerja (key performance measures) yang digunakan manajemen dan proses-proses
yang dirancang manajemen untuk mengidentifikasi risiko-risiko yang akan timbul di
kemudian hari (emerging risks).
27
Screening terhadap Risiko
Risk screening adalah proses di mana semua risiko potensial dievaluasi oleh
manajemen, berdasarkan assessment mengenai probabilitas terjadinya dan dampak
atas besarnya risiko. Risiko-risiko yang memenuhi kriteria tertentu dianggap
merupakan applicable risks. Proses screening ini diatur dan difasilitasi oleh para
konsultan yang ahli dalam bidang ini, dari Firma konsultan PQR. Kami mengamati
dan berpartisipasi dalam pertemuan-pertemuan risk screening ini, yang dilakukan
pada setiap Divisi.
Proses risk screening banyak menggunakan pemikiran (judgment) dan puncak dari
proses ini adalah pertemuan terakhir dengan para executive director, yang juga
dihadiri Komite Audit pada tanggal 15 Juli 2019. Pertemuan ini membahas:
Dalam proses screening ini, risiko-risiko yang memenuhi tiga kriteria ini tidak akan
diikutsertakan dalam pertimbangan selanjutnya:
2. Jika ada strategi manajemen yang tepat untuk memitigasi risiko yang
bersangkutan.
Rincian dari hasil screening process ini disajikan dalam lampiran surat ini. (Catatan
Penerjemah: lampiran ini tidak disertakan.) Lampiran ini menunjukkan screening
process dan alasan-alasan mengapa risiko-risiko tidak dimasukkan (were screened out)
untuk pertimbangan selanjutnya.
4. Risiko bahwa cek yang diterima tidak disetorkan ke bank atau digunakan
untuk kepentingan pribadi.
5. Risiko bahwa uang tunai yang diterima di front desk tidak diteruskan ke kasir
atau digunakan untuk kepentingan pribadi.
6. Risiko bahwa sistem editorial dan sistem pembebanan (billing system) tidak
tersedia.
Proses risk screening semula dilakukan dalam bulan Juni dan Juli 2019. Dalam
periode sampai 28 Februari 2020 kami memutakhirkan pemahaman kami mengenai
bisnis dan proses-prosesnya untuk mengetahui apakah ada perubahan-perubahan yang
merupakan indikasi bahwa risiko-risiko yang semula di-screened outseharusnya tetap
dimasukkan untuk pertimbangan selanjutnya, atau indikasi adanya risiko-risiko baru.
Kami menilai rancangan (design) dari PI yang mengendalikan setiap applicable risk.
Pl ini individual terdiri atas:
29
3. monitoring controls - yang berhubungan dengan kinerja dari rekonsiliasi saldo,
pengawasan umm oleh manajemen atas key performance measures (semacam
KPI) dan prosedur-prosedur monitoring lainnya.
Untuk setiap applicable risk kami menilai efektifnya rancangan atau design dari
specific control, pervasive control, dan monitoring control. Lepas dari pengecualian
(exception) yang dijelaskan di bawah, dalam semua kasus, kami simpulkan bahwa PI
telah dirancang dengan efektif. Rincian dari rancangan PI berkenaan dengan
applicable risks disajikan dalam laporan yang sudah kami kirimkan kepada senior
management.
Berjalannya PI
Perkecualian
Pekerjaan kami mengindikasikan adanya PI yang cukup untuk lima dari enam
applicable risks. Namun, dalam hal risiko yang berhubungan dengan tersedianya
sistem editorial dan system pembebanan (billing system) kami menemukan bahwa
XYZ tidak mempunyai rencana yang tepat yang memungkinkannya melanjutkan
beroperasinya sistem-sistem tersebut. Meskipun tidak terjadi insiden-insiden dalam
periode 30 September 2019 sampai 28 Februari 2020, kami sangat menyarankan
manajemen membuat rencana yang rinci dan mengujinya, untuk mengantisipasi gagal
berfungsinya sistem-sistem komputer tersebut.
30
BAB III
PENUTUP
3.1 KESIMPULAN
31
DAFTAR PUSTAKA
32