MAKALAH INTERNAL AUDIT

“MERENCANAKAN PENUGASAN ASURANS”

DISUSUN OLEH:

KELOMPOK 7

RAHMATIA FAATI B1C1 19 152

RISA KARINA B1C1 19 157

SELFIANTI B1C1 19 161

WAODE SITI ASUMI B1C1 19 170

NURJANNAH B1C1 19 179

KELAS D

JURUSAN AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS HALU OLEO

KENDARI

2021
 KATA PENGANTAR

Puji syukur kehadirat Allah SWT yang telah melimpahkan hidayah, taufik,
dan inayahnya kepada kita semua, sehingga kami bisa menjalani kehidupan ini sesuai
dengan ridho-Nya.Syukur Alhamdulillah kami dapat menyelesaikan makalah yang
berjudul “Merencanakan Penugasan Asurans”

Sholawat serta salam semoga tetap tercurahkan kepada junjungan kita Nabi
Muhammad SAW. Karena beliau adalah salah satu figur umat yang mampu
memberikan syafa’at kelak di Yaumil Akhir. Dan kepada semua pihak yang terlibat
dalam pembuatan makalah ini hingga selesai.

Makalah ini bukanlah karya yang sempurna karena masih memiliki banyak
kekurangan, baik dalam hal isi maupun sistematika dan teknik penulisan.Oleh sebab
itu, penulis sangat mengharapkan saran dan kritik yang membangun demi
kesempurnaan makalah ini.Akhirnya semoga makalah ini bisa memberikan manfaat
bagi penulis dan bagi pembaca. Aamiin

Kendari, 15 Desember 2021

Penulis

ii
 DAFTAR ISI

KATA PENGANTAR ..............................................................................................i

DAFTAR ISI .............................................................................................................ii

BAB I PENDAHULUAN .........................................................................................1

1.1 LATAR BELAKANG...................................................................................... 1

1.2 RUMUSAN MASALAH...................................................................................1

1.3 TUJUAN............................................................................................................2

BAB II PEMBAHASAN ..........................................................................................3

1.1 PENGANTAR ...................................................................................................3

1.2 LANGKAH-LANGKAH PERENCANAAN ..................................................3

BAB III PENUTUP ..................................................................................................31

3.1 KESIMPULAN...................................................................................................31

DAFTAR PUSTAKA ...............................................................................................32

iii
 BAB I

PENDAHULUAN

1.1 LATAR BELAKANG

Kegiatan apapun dalam organisasi memerlukan proses perencanaan karena

perencanaan merupakan langkah awal dalam mencapai tujuan. Pencapaian suatu
tujuan akan memiliki peluang yang besar apabila dimulai dengan suatu
perencanaan yang baik. Kegiatan audit memiliki tujuan dengan penggunaan
sumber daya yang tidak kecil. Oleh karena itu, untuk mencapai tujuan audit yang
efisien dan efektif diperlukan perencanaan penugasan audit.

Perencanaan menetapkan bagaimana sumber daya dipergunakan secara efisien

dan efektif dan sekaligus dapat dijadikan acuan atau kriteria untuk menilai
realisasi kinerjanya.

Dengan proses perencanaan memungkinkan pimpinan dapat menyatukan sumber

daya secara efektif dalam rangka mencapai tujuan/sasaran organisasi. Setiap
pimpinan tertinggi organisasi harus menyusun rencana yang melibatkan para
pimpinan lainnya. Keterlibatan para pimpinan dalam perencanaan berdasarkan
gagasan bahwa keberhasilan suatu rencana tergantung pada komitmen para
pimpinan selaku penanggung jawab pelaksanaannya. Perencanaan audit intern
merupakan tanggung jawab pimpinan APIP dan harus konsisten dengan kaidah
dan tujuan organisasi.

1.2 RUMUSAN MASALAH

1) Apa yang menjadi pengertian merencakan penugasan asurans?

2) Apa saja langkah-langkah perencanaan?

3) Bagaimana memetakan proses dan pengendalian?

4) Bagaimana dokumentasi informasi yang dikumpulkan?

5) Bagaimana menentukan tujuan-tujuan penugasan?

6) Bagaimana lingkup penugasan asurans?

7) Bagaimana pelaksanaan penugasan asurans?

1
1.3 TUJUAN

1) Dapat memahami pengertian merencakan penugasan asurans?

2) Dapat memahami langkah-langkah perencanan?

3) Dapat memahami pemetakan proses dan pengendalian?

4) Dapat memahami dokumentasi informasi yang dikumpulkan?

5) Dapat memahami penentuan tujuan-tujuan penugasan?

6) Dapat memahami lingkup penugasan asurans?

7) Dapat memahami pelaksanaan penugasan asurans?

2
 BAB II

PEMBAHASAN

1.1 PENGANTAR

Merencanakan suatu penugasan audit merupakan bagian dari pendekatan audit

internal yang sistematis, berdisiplin, dan berbasis risiko; inilah pendekatan audit yang
diwajibkan oleh International Standards for the Professional Practice of Internal
Auditing (selanjutnya disingkat "IPPF").

Dalam merencanakan penugasan audit, audit internal mempertimbangkan

strategi-strategi dan tujuan-tujuan dari area atau proses yang direviuw, dengan a)
memprioritaskan risiko-risiko yang relevan untuk penugasan tersebut, b) menentukan
tujuan dan lingkup penugasan, dan c) mendokumentasikan pendekatan yang
digunakan. [Catatan: dalam audit internal, istilah lain dari area atau proses yang
direviu ialah auditee]

Petunjuk praktik (Practice Guide) IPPF memuat langkah-langkah perencanaan

penugasan untuk memenuhi Standard 2200 - Engagement Planning sampai Standard
2220- Engagement Scope dan standar-standar implementasinya untuk penugasan
asurans (disingkat dengan kode A) dan penugasan consulting (disingkat dengan kode
C).

1.2 LANGKAH-LANGKAH PERENCANAAN

Urut-urutan dan rincian perencanaan penugasan, termasuk penyusunan tujuan dan

lingkup penugasan, dapat berbeda sesuai dengan kebutuhan organisasi, kegiatan audit
internal dan jenis penugasan asurans atau konsulting). Namun, langkah-langkah
berikut terdapat dalam langkah-langkah perencanaan penugasan (asurans atau
konsulting) pada umumnya adalah:

1. Pahami konteks dan tujuan penugasan.

2. Kumpulkan informasi untuk memahami auditee (area atau proses yang direviu).
3. Lakukan penilaian sementara (preliminary assessment) atas risiko-risiko yang
relevan.
4. Tentukan tujuan-tujuan penugasan.
5. Tentukan lingkup penugasan.
6. Alokasikan sumber daya manusia yang tepat keahliannya dan cukup.
7. Dokumentasi rencana audit yang dibuat.
3
Memahami konteks dan tujuan perencanaan
Untuk merencanakan penugasan secara efektif, auditor internal memulainya
dengan memahami konteks dan tujuan penugasan, mengapa penugasan ini
dimasukkan dalam rencana audit tahunan, dan bagaimana misi, visi, tujuan strategis
organisasi dan hal-hal lain sejalan (align) dengan hal-hal tersebut (misi, visi, tujuan,
dan lain-lain) dari area atau proses yang direviu. Auditor internal juga harus
memastikan apakah penugasan ini merupakan permintaan akan jasa asurans atau
konsulting, karena ekspektasi pemangku kepentingan dan Standards yang berlaku,
berbeda untuk kedua jenis penugasan tersebut.

Mengumpulkan informasi
Selanjutnya, auditor internal mengumpulkan informasi mengenai auditee, area
atau proses yang akan direviu, untuk menentukan tujuan, lingkup, dan rencana
penugasan.
Auditor internal mengumpulkan informasi tentang area atau proses yang akan
direviu. seperti a) tujuan bisnisnya (business objectives), b) proses yang ada untuk
mencapai tujuan tersebut, c) risiko yang dapat menghambat tercapainya tujuan bisnis
tadi, dan d) pengendalian yang ada untuk memitigasi risiko tersebut. Memahami
tujuan bisnis akan membantu auditor internal mengidentifikasi risiko-risiko yang
harus diperhatikan dan dimasukkan dalam Penilaian awal risiko seperti yang
disyaratkan Standard 2210.A1.
Auditor internal dapat memeriksa dokumentasi dari penugasan-penugasan
yang lalu. mereviu kebijakan dan prosedur terkait, dan mewawancarai pemangku
kepentingan yang relevan untuk memahami dan memetakan arus proses dan
pengendaliannya (map the process flow and controls) pada area atau proses yang
direviuw.
Dengan melakukan assessment sementara mengenai risiko-risiko yang
diidentifikasi, auditor internal dapat memprioritaskan mana risiko-risiko yang harus
didalami, dalam evaluasi pada penugasan tersebut.
Ada dua teknik yang dapat membantu auditor internal mengidentifikasi risiko
dan (process maps), pengendaliannya pada area atau proses yang akan direviu: a)
menggunakan peta peta proses dan b) tukar pikiran (brainstorming) mengenai risiko-
risiko potensi.
Sebagai ringkasan, untuk mengumpulkan informasi, auditor internal
melakukan:

4
 1. Mereviu assessments yang dilakukan dalam penugasan yang lalu di area atau
proses yang bersangkutan
2. Memahami proses dan pengendaliannya, dan membuat petanya, untuk area
atau proses yang bersangkutan
3. Wawancarai pemangku kepentingan yang relevan.
4. Lakukan brainstorming tentang skenario-skenario dari risiko yang mungkin
terjadi

Auditor internal harus mendokumentasikan informasi yang dikumpulkan

ketika membuat rencana audit, sesuai dengan Standard 2200 - Engagement Planning
Perlu diperhatikan, bahwa langkah-langkah yang dirangkum dalam butir-butir
di atas tidak selalu dan tidak harus dikerjakan secara berurutan. Beberapa langkah,
seperti pembuatan peta proses dan mendokumentasikan informasi dilakukan
sepanjang berjalannya perencanaan

Mereviu assessment yang lalu

Beberapa informasi mengenai area atau proses yang direviu dapat
dikumpulkan dan dokumen-dokumen organisasi. Assessment dan laporan yang baru
saja diselesaikan mungkin berisi informasi yang dapat digunakan auditor internal
dalam menyusun rencana auditnya.

Kertas kerja dari penugasan-penugasan terdahulu - auditor internal mereviu

kertas kerja dari penugasan terakhir untuk area atau proses yang direviu, untuk
mengumpulkan informasi tentang proses dan pengendalian yang ada dalam
penugasan yang lalu. Mereviu kertas kerja yang lalu juga memungkinkan auditor
internal menanyakan tindakan perbaikan (corrective actions) yang sudah diambil
manajemen terhadap pengamatan atau temuan audit internal yang lalu

Assessments tentang risiko menyeluruh dalam organisasi - auditor internal

mereviu prioritas mengenai risiko, yang sudah ditetapkan organisasi, untuk
menentukan risiko-risiko yang akan dicakup dalam penugasan sekarang.

Assessments tentang risiko fraud dan dokumen tentang tuduhan dan investigasi
fraud - auditor internal mengomunikasikan dengan mereka yang bertanggung jawab
untuk menangani risiko-risiko fraud, sangkaan dan tuduhan, dan peristiwa fraud yang
terjadi mereka ini, misalnya, adalah bagian hukum, bagian SDM, dan fraud risk
management.

5
 Di samping membahas kejadian fraud atau tuduhan yang diinvestigasi dalam
area atau proses yang direviu, auditor internal juga perlu mereviu dokumentasi yang
relevan untuk memahami fakta-fakta mengenai tuduhan atau investigasi dan apa
hasilnya. Auditor internal dapat nembatasi penelitiannya sampai jangka waktu yang
memadai untuk: a) fraud yang dinvestigasi tetapi belum terbukti. sudah terjadi dan
sudah ada penegasan, dan b) untuk sangkaan atau tuduhan yang masih

Laporan oleh pemberi jasa asurans dan konsulting lainnya - auditor internal
dapat menggunakan pekerjaan dari pemberi jasa asurans dan konsulting lainnya,
sehingga tidak mengenai: a) apakah pemberi jasa independen dan kompeten, dan b)
apakah pekerjaannya terjadi duplikasi. Menggunakan jasa pihak lain sangat
tergantung pada pendapat auditor memuaskan, relevan dan dapat dipercaya.

Pemberi jasa asurans dan konsulting dapat terdiri dari personalia yang bertanggung
jawab atas risk management, compliance, keselamatan kerja, teknologi informasi,
etika, hukum, konsultan dan auditor eksternal keamanan/security, dan lain-lain.
Pemberi jasa bisa juga berasal dari entitas eksternal seperti

Auditor internal dapat bertemu dengan para pemberi jasa asurans dan consulting
untuk mereviu dan membahas laporan dan/atau dokumentasi serupa yang digunakan
dalam pekerjaan yang dialkukan untuk area atau proses yang direviu. Standard 2050-
Coordination and Reliance memberikan informasi tambahan tentang kerja sama
dengan pemberi jasa asurans dan konsulting lain.

Memahami Dan Memetakan Proses Dan Pengendalian

Untuk mengidentifikasi risiko-risiko yang menyebabkan gagalnya pencapaian

tujuan-tujuan bisnis, auditor internal harus memahami area atau proses yang direviu.
Suatu peta yang memberikan gambar besar (high-level process map), seperti
input/masukan dan output/keluaran yang penting (misalnya, kegiatan, arus kerja, dan
pengolahan informasi penting), akan sangat bermanfaat. Auditor internal dapat
membuat sendiri atau menggunakan peta proses yang sudah dibuat (misalnya oleh
auditee), asal saja auditor dapat memastikan bahwa peta itu akurat dan belum berubah
Peta-peta proses memungkinkan auditor internal mengidentifikasi dan memahami
dengan baik:

6
 1. Sistem dan informasi yang perlu diperhatikan ketika menentukan tujuan-
tujuan penugasan dan lingkup, interdependensi atau saling keterkaitan, dan di
mana informasi kritikal (critical information) tersedia (misalnya dalam sistem
tunggal atau sistem ganda/multiple systems).

2. Bagaimana informasi kritikal digunakan di dalam area atau proses yang

direviu, informasi apa yang relevan untuk penugasan, dan bagaimana
informasi itu devaluasi selama assessment (misalnya, untuk pengujian
standar/standard testing, analitika data/data Analytics, dan ukuran
keberhasilan kinerja/key performance metries/semacam KPI).

3. Siapa yang berwenang mengakses informasi kritikal

4. Titik-titik di dalam rangkaian proses yang tidak ada pengendalian yang efektif
(misalnya tidak dirancang dengan baik), atau di mana ada peluang untuk
penyempurnaan atau perbaikan proses.

Beberapa informasi yang diperlukan untuk membuat peta proses dapat dikumpulan
dari dokumen organisasi, seperti buku petunjuk untuk pegawai/employee handbooks,
berbagai manual, dan/atau situs di dalam organisasi/intranet websites yang memuat
kebijakan dan prosedur Visi, misi, tujuan bisnis, dan strategi yang relevan untuk area
yang direviu sering kali didokumentasikan. Atau, informasi ini dapat dikumpulkan
ketika mewawancarai manajemen

Mewawancarai Pemangku Kepentingan yang Relevan

Mewawancarai pemangku kepentingan yang relevan adalah langkah penting yang

sangat menentukan dalam membantu auditor memahami dengan baik tujuan, design,
operasi, dan lingkungan pengendalian (control environment) dari area atau proses
yang direviu. Sering kali bagan organisasi dapat membantu auditor internal
menentukan pemangku kepentingan yang relevan

Tanyakanlah hal-hal yang harus dijawab dengan penjelasan (disebut open-ended

questions) dan bukan pertanyaan yang cukup dijawab dengan Ya atau Tidak (disebut
closed ended questions). Open-ended questions mendorong dialog yang berharga
antara auditor internal dan pemangku kepentingan, karena mereka diminta
menjelaskan, yang pada gilirannya akan membuka peluang untuk pertanyaan lanjutan.

Auditor internal umumnya mewawancarai pemangku kepentingan yang melakukan

langkah-langkah dalam suatu proses, seperti manajemen, teknologi informasi, bagian
7
hukum, pejabat kepatuhan/compliance officers, pihak ketiga yang dikontrak, dan lain-
lain.

Personalia yang mengerjakan langkah-langkah dalam proses - Insights atau

wawasan yang dalam bisa diperoleh melalui wawancara dengan personalia dari
segala tingkat yang menangani suatu proses karena mereka dapat memberikan
informasi yang unik mengenai bagaimana proses tersebut sesungguhnya bekerja, dan
bukan sekadar bagaimana proses berfungsi sebagaimana dirancang. Informasi
semacam itu sangat berharga untuk mengidentifikasi risiko fraud personalia yang
bertanggung jawab untuk melaksanakan tugas itu sering kali memahami dengan baik
pengendalian yang ada, dan bagaimana pengendalian itu dapat di-"jebol"
(circumvented) atau dilewati begitu saja (overridden).

Manajemen - Para manajer yang bertanggung jawab atas area atau proses yang
direviu dapat memberikan gambaran menyeluruh yang terbaik mengenai proses
dirancang untuk beroperasi

Informasi mengenai proses dapat didokumentasikan berupa kebijakan, prosedur dan

bentuk self-assessments. Dokumentasi yang ada juga dapat menyajikan tujuan bisnis
dan KPI (key performance indicators) untuk area tersebut, termasuk bagaimana KPI
mendukung tujuan bisnis. [KPI adalah metrics atau ukuran yang mendefinisikan
apakah tujuan-tujuan bisnis dalam area tersebut sudah dicapai.]

Wawancara dengan manajemen dapat membantu auditor internal mengidentifikasi

apakah pemahaman manajemen tentang langkah-langkah dalam setiap proses,
berbeda dan pemahaman personalia yang melaksanakan langkah-langkah tersebut.

Wawancara juga dapat membantu auditor internal mengidentifikasi apakah kriteria

yang diterapkan ketika mengevaluasi tata kelola/governance, manajemen risiko/risk
management, dan pengendalian di area atau proses yang direviu, seperti diharuskan
untuk penugasan asurans (Standard 2210.A3).

Personalia Teknologi Informasi (TI) - Risiko-risiko TI dan risiko keamanan atas

informasi sangat critical. Para auditor internal harus belajar sebanyak-banyaknya dari
para ahli TI.

Mewawancarai pemangku kepentingan yang relevan dalam proses TI yang

memengaruhi area atau proses yang direviu akan memberi kepastian bahwa sistem
yang bersangkutan ikut dimasukkan dalam program pengamanan TI, dan dapat

8
mengungkapkan hal-hal di mana pengendalian mungkin tidak ada (missing), tidak
cukup (inadequate), atau dijebol (circumvented).

Penasihat hukum dan Compliance Officers - bermacam-macam area dan proses

menjadi subjek aturan perundang-undangan dan subjek terhadap kepatuhan
(regulatory compliance)

Oleh karena itu, auditor internal mungkin akan memutuskan untuk bertemu dengan
penasihat hukum (legal counsel, internal dan/atau eksternal) dan para risk managers
untuk menggali" informasi yang diterima penasihat hukum dari whistleblower atau
program whistleblower, dan informasi tentang peristiwa-peristiwa luar biasa (unusual
events) dan tuntutan hukum (dari masa lalu atau sekarang) yang relevan bagi
penugasan.

Mewawancarai pejabat yang bertanggung jawab atas kepatuhan hukum (compliance

officers), atau mereka yang bertanggung jawab atas berfungsinya sistem
pengendalian, dapat memberikan wawasan yang mendalam tentang seberapa
efektifnya tingkat kepatuhan dari kebijakan dan prosedur yang ada untuk memenuhi
ketentuan hukum dan peraturan perundangan. Hukum dan peraturan perundang-
undangan yang relevan bisa berisi kriteria yang digunakan untuk mengevaluasi
apakah area yang bersangkutan telah mencapai tujuan- tujuan bisnis (Standard
2210.A3).

Pemangku kepentingan lainnya -auditor internal dapat mewawancarai atau

menyurvei para pelanggan atau area bisnis yang lain yang terkait dengan area atau
proses yang direviu, untuk memahami masalah-masalah di waktu yang lalu atau
sekarang yang memberikan Indikasi risiko-risiko potensial.

Mendiskusikan Skenario-Skenario yang Berpotensi Mengandung Risiko

Berdiskusi dalam kelompok yang melahirkan gagasan dan pemikiran baru, atau
pemecahan Suatu masalah, dalam bahasa Inggris disebut brainstorming, yang secara
harafiah berarti "badai otak".

Berdiskusi dalam arti brainstorming yang dimaksud di sini ingin menghasilkan

gagasan atau pemikiran baru tentang skenario-skenario tertentu yang berpotensi
mengandung atau menimbulkan risiko.

Auditor internal dapat melakukan brainstorming dengan seseorang atau sekelompok

orang (dalam kelompok-kelompok yang dipilih atau task forces). Dalam sesi
9
brainstorming untuk mengidentifikasi risiko-risiko yang relevan, auditor dapat
menanyakan, "Apa yang dapat menghalangi dicapainya tujuan-tujuan bisnis" atau
"Ketidakberesan apa yang bisa terjadi jika tidak ada pengendalian?"

Karena pentingnya risiko fraud, Standard 2210.A2 secara khusus mengharuskan

masalah fraud dijadikan pertimbangan untuk dimasukkan ketika menyusun tujuan-
tujuan penugasan asurans. Brainstorming mengenai skenario-skenario risiko fraud
sangat bermanfaat, karena memberikan berbagai sudut pandang atau perspektif untuk
mempertimbangkan insentif atau tekanan yang menyebabkan terjadinya fraud,
peluang-peluang untuk melakukan fraud (seperti lemahnya pengendalian), dan cara-
cara manajemen dan pihak-pihak lain mengabaikan (override) dan/atau "memotong
kompas" (circumvent) pengendalian.

Mendokumentasikan Informasi yang Dikumpulkan

Dengan ketekunan mendokumentasikan informasi yang dikumpulkan dalam tahap

perencanaan penugasan, auditor internal dapat mengevaluasi data yang dikumpulkan
untuk mendapatkan sudut pandang sebagai berikut.

1. Tujuan-tujuan dari area yang direviu.

2. Strategi-strategi yang digunakan untuk mencapai tujuan-tujuan tersebut.

3. Risiko-risiko yang ada dalam upaya mencapai tujuan-tujuan tersebut.

4. Proses-proses dan pengendalian kunci (key controls).

5. Sistem TI dan sistem-sistem lain yang relevan untuk area atau proses yang
direviu.

6. Sumber-sumber data dan tingkat kepercayaan data yang masuk dan keluar
dari area atau proses yang direviu.

Mendapatkan pemahaman yang mendalam tentang organisasi, dan area atau proses
yang direviu, memungkinkan auditor internal melakukan preliminary assessment
(penilaian sementara) atas risiko-risiko yang relevan, seperti yang disyaratkan
Standard 2210.41.

Melaksanakan Suatu Risk Assessment Sementara

10
Karena keterbatasan waktu dan sumber daya, tidak semua risiko dapat direviu selama
suatu penugasan. Oleh karena itu, auditor internal harus melakukan penilaian risiko
(risk assessment) sementara dan membuat urut-urutan risiko yang akan diprioritaskan,
sesuai penting atau signifikannya, yang diukur dengan gabungan beberapa faktor
risiko.

Salah satu cara yang efektif untuk melaksanakan dan mendokumentasikan suatu risk
Assessment yang bersifat sementara pada tingkat penugasan, adalah dengan membuat
bagan yang menunjukkan risiko-risiko yang relevan dan pengendalian-
pengendaliannya; bagan seperti ini disebut risk and control matrix.

Suatu risk and control matrix adalah alat yang biasanya digunakan auditor internal
untuk mengidentifikasi, menata, dan meng-assess risiko-risiko yang dapat
berpengaruh atas pencapaian tujuan-tujuan bisnis dari area yang direviu, beserta
pengendalian-pengendalian yang memitigasi risiko-risiko tersebut. Suatu risk and
control matrix dapat dibuat dengan program spreadsheet (seperti Excel), program
dokumen pengolahan kata (seperti Word), atau dengan program perangkat lunak
(audit software program). Penting atau signifikannya setiap risiko dapat dinyatakan
dengan suatu grafik biasa, seperti heat тар.

Lihat Gambar 15.2 yang menyajikan contoh risk heat map. [Catatan: secara harafiah,
heat map berarti peta panas. Bandingkan gunung berapi yang mengeluarkan lahar dan
uap yang menjalar ke mana-mana. Daerah-daerah sekitar yang menjadi panas, dapat
disajikan dalam "peta panas" yang berwarna-warni.]

Gambar 15.2 Risk Heat-Map

11
Ada dua variabel yang menunjukkan signifikan/tidaknya suatu risiko, yakni berapa
besar kemungkinan atau probabilitas terjadinya (likelihood) dan jika terjadi, berapa
besar dampak kerugian yang ditimbulkannya (impact).

Penjelasan dari sembilan butir risk name pada Gambar 15.2.

1. Confidentiality of information - kerahasiaan informasi.

2. Integrity of information - integritas atau keutuhan informasi yang tidak

dikotori,

3. IT service disruptions – berhentinya jasa TI, misalnya karena cyber attack

yang menyerang sistem yang sangat penting.

4. IT service disruptions - seperti butir 3 di atas, tetapi menyerang sistem yang

tidak penting

5. Fraudulent activities - kegiatan fraud oleh pemakai sistem.

6. Inadequate change management process - proses change management tidak

tepat

7. Security change management - proses change management dalam keamanan

TI

8. Threat intelligence & security - ancaman terhadap sistem penginderaan,

pemantauan dan pengamanan TI

9. Vulnerability management - pengelolaan atas titik lemah dalam sistem yang

mudah menjadi serangan

Risk heat map bisa menjadi bagian dari kertas kerja penugasan (Standard
2240 - Engagement Work Program). Dokumen ini juga bisa menjadi bagian
dari "sufficient, reliable, relevant, and useful information" yang diwajibkan
tentu mendukung hasil penugasan, seperti diatur dalam Standard 2330 -
Documenting Information.

Mengidentifikasi Risiko dan Pengendalian dalam Matrix

Risk and Control Matrix seperti ditunjukkan dalam Tabel 15.1 berisi informasi yang
dikumpulkan selama proses perencanaan penugasan. Tabel ini menunjukkan
bagaimana membuat sebuah risk and control matrix. Contoh ini adalah untuk
12
penugasan asurans dalam akun utang (accounts payable). Bentuk atau format dari
suatu risk and control matrix tentunya bisa berbeda, dari satu organisasi dengan
organisasi yang lain.

Tabel 15.1 Risk and Control Matrix

Tujuan Risiko inheren Dampak Probabilitas Pengendalian

bisnis

A A.1

Biaya Kartu tidak Sedang Sedang Pemisahan tugas

pegawai dibagikan dengan
sudah tepat benar, fraud dalam
dan biaya
diotorisasi
A2

Pegawai tidak Besar Sedang Kebijakan

mendapat mengenai biaya
penjelasan dikomunikasikan
mengenai kartu kepada atasan yang
perusahaan dan mengotorisasi
kebijakan biaya
yang ditanggung
perusahaan; fraud
dalam biaya

A3

Laporan biaya Tidak ada

tidak dimasukkan pengendalian
dan diperiksa tepat
waktu; fraud
dalam biaya

13
 A4

Laporan biaya dan Persetujuan

pendukungnya berdasarkan hierarki
tidak direviu dan jabatan. Laporan
disetujui atasan; biaya tidak bisa
fraud dalam biaya dimasukkan tanpa
persetujuan. Ada
reviu bulanan.

Untuk menyederhanakan penyajian, Tabel 15.1 hanya mencantumkan satu tujuan

bisnis Dua tujuan bisnis lainnya, tidak dicantumkan, yakni: a) biaya operasi harus
tepat dan diotorisasi, b) pembayaran harus akurat dan tepat waktu.

Penjelasan Tabel 15.1:

• Kolom 1: tujuan bisnis atau Business Objective - setiap tujuan dari area yang
direviu (seperti ditentukan dalam langkah pengumpulan informasi).

• Kolom 2: risiko inheren atau Inherent Risk - Inherent risks adalah risiko-
risiko yang bias terjadi jika tidak ada pengendalian apa pun untuk memitigasi
risiko tersebut.

• Membuat sistem yang sederhana untuk mengidentifikasi setiap risiko, akan

mempermudah pembuatan heat map selanjutnya. Setiap risiko diberi kode
alfanumerik, seperti A.1, dan seterusnya.

• Kolom 3: dampak atau Impact - Berapa besar dampak dari inherent risk yang
diketahui, terhadap tujuan bisnis? Apakah besar, sedang atau kecil?

• Kolom 4: probabilitas atau Likelihood - kemungkinan terjadinya dan

sering/tidaknya (probability and frequency of the occurrence) dari setiap
inherent risk. Apakah besar, sedang atau kecil?

• Kolom 5: pengendalian atau Control - Pengendalian yang dimaksudkan untuk

memitigasi setiap risiko yang diidentifikasi dalam langkah pengumpulan
informasi.

14
 Auditor internal dapat menambah kolom pada Tabel 15.1 untuk mengelompokkan
Pengendalian sebagai berikut.

• Criticality - apakah pengendalian tersebut merupakan pengendalian kunci atau

bukan (key or nonkey)

• Type - apakah pengendalian tersebut bersifat preventive (untuk mencegah

fraud) atau bersifat detective (untuk menemukan fraud).

• Automation - apakah pengendalian dilakukan secara manual, dengan sistem

(systemic). atau semi otomatis (semi-automated) (Semi-automated controls
adalah pengendalia secara manual yang menggunakan fungsi-fungsi dari
aplikasi yang digunakan, seperti exception report)

• Frequency - apakah tahunan, kuartalan, bulanan, mingguan, harian, atau per

transaksi

Menentukan Tujuan-Tujuan Penugasan

Sesudah auditor internal menyelesaikan preliminary risk assessment dan

mengidentifikasi risiko-risiko signifikan yang akan dievaluasi selama penugasan,
auditor dapat merumuskan tujuan-tujuan penugasan. Tujuan-tujuan penugasan
menegaskan apa yang ingin dicapai oleh penugasan tersebut. Oleh karena itu, tujuan-
tujuan itu harus memuat kegunaan yang jelas, singkat, dan dihubungkan dengan risk
assessment (Standard 2210.11).

Assurance Engagement Objectives

Auditor internal sebagaimana memastikan bahwa tujuan-tujuan penugasan asurans

sejalan dengan tujuan-tujuan bisnis dari area atau proses yang direviu. Penugasan
asurans harus fokus kepada apakah pengendalian memang ada secara efektif untuk
memitigasi risiko-risiko yang dapat menghalang-halangi area atau proses tersebut
mencapai tujuan bisnisnya.

Auditors internal juga harus mengidentifikasi kriteria yang cukup untuk menilai
governance, risk management, dan controls dari area atau proses yang direviu dan
menentukan apakah tujuan-tujuan bisnis dan sasaran telah dicapai.

15
Dengan menentukan kriteria-kriteria tersebut, auditor dapat memastikan bahwa
tujuan-tujuan penugasan asurans dapat diukur, praktis, dan sejalan dengan tujuan-
tujuan organisasi dan area atau proses yang direviu.

Menurut Standard 2210.A3, auditor internal harus menggunakan kriteria yang sudah
ditetapkan oleh manajemen dan/atau Dewan, jika kriteria tersebut sudah ada. Jika
belum ada kriteria, auditor internal harus menentukan kriteria yang tepat melalui
diskusi dengan manajemen dan Dewan

Auditor internal juga perlu mempertimbangkan mencari masukan dari para ahli
mengenai bidang tersebut (subject matter experts) untuk menyusun kriteria yang
relevant

Contoh-contoh kriteria:

• Adanya KPI (key performance indicators).

• Target-target yang ditetapkan dalam perencanaan strategis.

• Tingkat kepatuhan dengan kebijakan dan prosedur, hukum dan peraturan

perundangan dan/atau kontrak dalam aren atau proses yang direviu.

• Standar-standar atau benchmarks (patokan) yang digunakan dalam industri

yang bersangkutan

Untuk menghindari salah interpretasi atau protes dari personalia yang bertanggung
jawab terhadap area atau proses yang direviu, kriteria untuk mengevaluasi harus
relevan, dapat dipercaya, dan didokumentasi. Kriteria yang cukup dan tepat akan
menjadi referensi bagi auditor internal untuk mengevaluasi bukti, memahami temuan,
dan menilai kecukupan pengendalian di area atau proses yang direviu. Kriteria (atau
sebaliknya, tidak adanya kriteria) harus dibandingkan dengan patokan industri
(industry benchmarks), trends, dan perkiraan waktu mendatang (forecasts), dan
tentunya, dengan kebijakan dan prosedur organisasi.

Berikut ini contoh bagaimana tujuan-tujuan penugasan asurans dapat dirumuskan

untuk penugasan utang (accounts payable engagement).

Kegiatan audit internal akan memberikan asurans bahwa:

• Beban-beban biaya sudah layak sesuai dengan kebijakan organisasi.

16
 • Proses pengendalian atas penyampaian persetujuan, dan pembayaran laporan
biaya berjalan efektif dan efisien.

• Biaya-biaya pegawai dan biaya operasional sudah tepat dan diotorisasi atasan
yang mempunyai wewenang.

• Pembayaran biaya-biaya dilakukan secara akurat dan pada waktunya.

Menentukan Lingkup Penugasan

Sesudah tujuan-tujuan berbasis risiko dirumuskan, audit internal dapat menentukan

lingkup atau scope dari penugasan auditnya. Karena suatu penugasan tidak dapat
meliputi segalanya, auditor harus menentukan apa yang menjadi lingkup auditnya,
dan apa yang tidak

Lingkup penugasan menjadi batas suatu penugasan. Auditor harus berhati-hati

menetapkan batas-batas suatu penugasan. Ia harus dapat memastikan bahwa batas-
batas ini menciptakan lingkup yang cukup untuk mencapai tujuan-tujuan penugasan
(Standard 2220 - Engagement Scope).

Lingkup ini dapat merumuskan unsur-unsur spesifik seperti area atau proses tertentu,
lokasi geografis tertentu, dan waktu/periode tertentu time period (kuartal, tahun, dan
Seterusnya) yang akan diliput oleh penugasan tersebut, dengan sumber daya tertentu.

Auditor harus berhati-hati merumuskan luasnya lingkup penugasan untuk

memastikan lingkup tersebut dapat mengidentifikasi informasi yang dapat dipercaya,
andal, relevan. dan berguna pada waktu yang tepat untuk mencapai tujuan-tujuan
penugasan yang sudah dirumuskan sebelumnya (Standard 2210 - Engagement
Objectives and Standard 2310 - Identifying Information)

Lingkup Penugasan Asurans

Ketika menentukan lingkup penugasan asurans, akan bermanfaat jika auditor mereviu
tujuan-tujuan penugasan, untuk memastikan bahwa setiap tujuan penugasan dapat
dicapaidalam batas-batas atau parameter lingkup penugasan. Untuk memastikan hal
ini, auditor harus menggunakan pertimbangan profesional yang sehat (sound
professional judgment) berdasarkan pengalaman yang relevan dan/atau kemampuan-
kemampuan menyupervisi penugasan (Standard 2220.A1).

17
Auditor juga mempertimbangkan bagaimana faktor-faktor hukum dapat memengaruhi
lingkup penugasan. Contoh, jika organisasi atau area yang direviu mempunyai
nondisclosure agreements dengan pihak ketiga, organisasi mungkin diwajibkan
memberitahukannya kepada otoritas yag bersangkutan sebelum memulai penugasan.

[Catatan: nondisclosure agreements adalah perjanjian atau kontrak dengan pihak

ketiga yang antara lain berisi informasi rahasia atau proprietary information, misalnya
informasi berbasis teknologi, dan pihak yang menggunakan jasa berdasarkan
informasi itu sepakat untuk menjaga kerahasiaan tersebut. Tergantung rahasia apa
yang harus dijaga, otoritas di negara tertentu, mungkin harus diberi tahu; karena itu
advis ahli hukum diperlukan.)

Penugasan mungkin menyangkut tuntutan hukum, baik yang sudah diketahui namun
masih belum selesai/pending atau tuntutan yang sangat mungkin terjadi, dan kasus-
kasus pelanggaran atau noncompliance. Hal-hal seperti ini perlu dikonsultasikan
dengan ahli hukum.

Berikut ini contoh dari hal-hal yang dapat dimasukkan atau tidak dimasukkan dalam
lingkup penugasan asurans atas accounts payable:

1. Biaya-biaya operasional, perjalanan, supplies, pegawai, dan lain-lain).

2. Masalah personalia (para eksekutif perusahaan, manajemen, dan lain-lain).

3. Lokasi (kantor korporasi/kantor pusat, lokasi operasional/perwakilan di

dalam/luar negeri, dan seterusnya).

4. kurun waktu (periode berjalan, periode yang lalu, bulan, kuartal, tahun, dan
seterusnya).

5. Tingkat materialitas (jumlah tertentu, hanya jumlah di atas batas otorisasi

pengeluaran dan seterusnya).

6. Systems (hanya sistem yang mengolah biaya, atau sistem yang mengolah
biaya dan juga SDM, semua sistem, dan seterusnya).

Berikut ini contoh lingkup penugasan asurans untuk accounts payable.

Penugasan asurans meliputi biaya personalia dan biaya operasional untuk 12 bulan
yang berakhir pada tanggal 31 Juli 2020 dan semua proses untuk mengajukan,
menyetujui, dan membayar laporan pengeluaran biaya (termasuk penggunaan
18
perangkat lunak pihak ketiga yang digunakan untuk mengolah laporan pengeluaran
biaya). Lingkup penugasan meliputi semua personalia yang menggunakan perangkat
lunak pihak ketiga untuk menyampaikan biaya personalia dan biaya operasional.
Penugasan ini juga akan meliputi suatu reviu atas ketaatan terhadap kebijakan
organisasi tentang biaya perusahaan

Jika lingkup penugasan asurans dibatasi dengan cara apa pun atau jika akses ke
sumber informasi dibatasi auditor internal wajib mengungkapkan situasi ini ke
manajemen senior dan/atau Dewan. Situasi semacam ini dianggap merupakan
pelanggaran (impairments) terhadap independensi audit internal (Standard 1130 -
Impairment to Independence or objectivity)

Ketika melaksanakan penugasan asurans, auditor bisa memperoleh informasi baru

yang mengakibatkan lingkup penugasan diubah. Contoh, jika suatu anak perusahaan
ditutup dan dilikuidasi, lingkup penugasan bisa berubah, yakni mengeluarkan anak
perusahaan dari lingkup penugasan, dan menggantinya dengan anak perusahaan yang
lain.

Begitu juga jika suatu proses baru saja berubah, auditor perlu mempertimbangkan
apakah proses tersebut tetap dalam lingkup penugasan atau ada perubahan dalam
lingkup. Dalam hal ini, auditor dapat memilih untuk menggeser fokus penugasan
pada pemberian asurans atas proses baru, dengan memasukkan proses baru dalam
rencana audit tahunan, atau melaksanakan penugasan konsulting yang terpisah.

Jika suatu penugasan asurans sudah dimulai, setiap perubahan terhadap program
kerja-termasuk setiap perubahan dalam lingkup penugasan-harus mendapat
persetujuan (Standard 2240.A1).

Jika peluang-peluang untuk memberikan konsulting yang signifikan terbuka, auditor

mempertimbangkan apakah perlu penugasan konsulting secara terpisah. Jika
demikian halnya, perlu dicapai kesepakatan tertulis mengenai pemahaman tentang
penugasan konsulting ini, seperti tujuan-tujuan yang ingin dicapai, lingkup, tanggung
jawab kedua belah pihak (auditor dan auditee), dan apa-apa yang menjadi ekspektasi.
Hasil dari penugasan konsulting ini harus dikomunikasikan sesuai standard yang
berlaku (Standard 2220.A2).

Mendokumentasikan Rencana

Dalam tahap perencanaan penugasan, auditor mendokumentasikan informasi yang

diperolehnya, dalam kertas kerja penugasan (engagement workpapers). Informasi ini
19
menjadi bagian dari program penugasan yang diperlukan untuk mencapai tujuan-
tujuan penugasan seperti disyaratkan oleh Standard 2240 - Engagement Work
Program.

Proses penyusunan tujuan-tujuan penugasan dan lingkup penugasan dapat

menghasilkan kertas kerja sebagai berikut.

1. Process map atau peta proses.

2. Rangkuman wawancara dan sesi-sesi brainstorming.

3. Risk assessment sementara (berupa risk and control matrix dan heat map
seperti contoh di atas)

4. Pertimbangan yang digunakan untuk menentukan risiko-risiko apa yang akan

ditelaah dalam penugasan ini.

Kriteria yang digunakan untuk mengevaluasi area atau proses yang direviu
(diperlukan untuk penugasan asurans, sesuai Standard 2210.A3).

CAE dan/atau engagement supervisor (supervisor penugasan) yang ditunjuk mereviu

semua kertas kerja untuk memastikan informasinya lengkap dan akurat. Reviu oleh
atasan atas dokumen diperlukan untuk meyakinkan tujuan-tujuan dan lingkup
penugasan mencerminkan hasil preliminary risk assessment dan kriteria evaluasi telah
diidentifikasi atau dibuat. Untuk Suatu penugasan asurans, program kerja harus
disetujui sebelum dilaksanakan (Standard 2240.A1). (Catatan: Hal ini berbeda dengan
penugasan konsulting, di mana persetujuan atas program kerja sangat bergantung
pada sifat atau nature penugasan.]

Hasil dari penilaian risiko (risk assessment) sementara, tujuan-tujuan penugasan, dan
lingkup penugasan dibahas dengan manajemen area atau proses yang ditelaah dan
pemangku kepentingan terkait (misalnya, para risk and compliance manager, pejabat
tertinggi untuk pengelolaan risiko/chief risk officer, dan senior management). Diskusi
semacam ini memberi peluang bagi semua pihak terkait, untuk mendapatkan
pemahaman bersama mengenai hasil penilaian risiko pada tingkat penugasan
(engagement-level risk assessment), untuk menegaskan kembali risiko-risiko dan
pengendalian-pengendalian yang relevan untuk penugasan, dan untuk memahami
kedudukan masing-masing dalam penilaian risiko organisasi secara keseluruhan
(organizationwide risk assessment). Diskusi ini juga perlu meliputi kepastian bahwa

20
personalia kunci dan sumber daya yang cukup, tersedia untuk penugasan ini.
Informasi ini juga perlu dikomunikasikan kepada Dewan.

Auditor internal juga dapat membuat memo tentang perencanaan penugasan (dikenal
sebagai engagement planning memorandum, disingkat planning memo), untuk
mengomunikasikan tujuan-tujuan, lingkup, dan jangka waktu penugasan. Planning
memo membuka peluang bagi auditor internal untuk memastikan bahwa manajemen
dari area atau proses yang direviu, memahami dan mendukung rencana penugasan.
Jika manajemen tidak setuju dengan butir-butir dalam planning memo, auditor
internal dapat membuat penyesuaian/ adjustments atau mendokumentasi alasan dan
pertimbangan mengapa penugasan tersebut tidak akan dimodifikasi meskipun ada
ketidaksepakatan manajemen.

Suatu planning memo juga dapat membantu auditor internal mengomunikasikan

penugasan kepada auditor internal lainnya dan kepada Dewan. Dokumentasi dari
rencana ini beserta umpan balik dari manajemen sering kali dimasukkan ke dalam
kertas kerja penugasan.

Perencanaan dan dokumentasi yang mendalam dan intensif bukan saja penting
sebagai bentuk ketaatan terhadap Standards, tetapi juga merupakan langkah-langkah
penting bagi auditor internal untuk menyiapkan dan melaksanakan penugasan yang
sukses. Karena tidak setiap risiko dapat-atau perlu-dimasukkan dalam suatu
penugasan, perencanaan yang baik akan membantu auditor internal fokus pada upaya-
upaya mereka atas risiko-risiko yang paling signifikan dalam area atau proses yang
ditelaah.

Melaksanakan Penugasan Asurans

Bagian pertama bab ini membahas persiapan-persiapan yang dilakukan untuk

penugasan asurans, dalam tahap perencanaan. Banyak sekali persiapan yang
dilakukan dalam tahap perencanaan; dan semua itu hendaknya dilakukan sesuai
standar-standar audit internal yang ditetapkan IIA

Dalam bagian kedua ini akan dibahas pelaksanaan penugasan asurans sesuai dengan
standar-standar IIA. Ada empat hal penting dalam pelaksanaan suatu penugasan
asurans Standard 2300 - Performing the Engagement menyatakan: Internal auditors
must identify, analyze, evaluate, and document sufficient information to achieve the
engagement's objectives, [Terjemahan bebas: Auditor internal harus mengidentifikasi,

21
menganalisis, mengevaluasi, dan mendokumentasikan informasi yang cukup untuk
mencapai tujuan-tujuan penugasan.]

Empat hal penting dalam pelaksanaan penugasan asurans dan standar-standarnya

adalah sebagai berikut

1. Standard 2310 - Identifying information

2. Standard 2320 - Analysis and Evaluation

3. Standard 2330 - Documenting Information

4. Standard 2340 - Engagement Supervision

Keempat hal ini akan dijelaskan di bawah.

Standard 2310 - Mengidentifikasi Informasi

Auditor internal harus mengidentifikasi informasi yang cukup (sufficient), dapat

dipercaya (reliable), relevan (relevant), dan berguna (useful) untuk mencapai tujuan-
tujuan penugasan. Keempat "sifat" informasi yang harus dikumpulkan auditor
internal dijelaskan sebagai berikut.

1. Sufficient information adalah informasi yang sesuai dengan kenyataan

sebenarnya (factual), cukup (adequate), dan meyakinkan (convincing)
sehingga seseorang yang bijak dan hati-hati (prudent) dengan pengetahuan
dan data (informed) akan mencapai kesimpulan yang sama seperti yang
dicapai auditor.

2. Reliable information adalah informasi terbaik yang dapat dicapai melalui

penggunaan teknik-teknik penugasan yang tepat.

3. Relevant information mendukung observations (pengamatan, temuan auditor)

dan rekomendasi-rekomendasi auditor yang sejalan atau konsisten dengan
tujuan-tujuan penugasan

4. Useful information membantu organisasi mencapai sasarannya.

Standard 2320 - Analisis dan Evaluasi

Auditor internal harus mendasarkan kesimpulan-kesimpulan dan hasil-hasil

penugasannya pada analisis dan evaluasi yang tepat.
22
Standard 2330 - Mendokumentasikan Informasi

Auditor internal harus mendokumentasikan informasi yang cukup, dapat dipercaya,

Sejak tahap perencanaan auditor internal diingatkan oleh standard-standard IIA untuk
relevan, dan berguna untuk mendukung hasil dan kesimpulan penugasan. [Perhatikan,
mendokumentasikan pekerjaannya.]

Berikut ini standar-standar pelaksanaan atau implementasi dari Standard 2330.

Perhatikan kode A, yang menandakan ini standar untuk penugasan Assurance:

1. Standard 2330.A1 - CAE (chief audit executive) harus mengendalikan akses

terhadap catatan dan dokumen penugasan. CAE harus mendapat persetujuan
manajemen senior dan/atau legal counsel (penasihat hukum) sebelum
memberikan catatan dan dokumen tersebut kepada pihak luar. (Apakah
persetujuan itu diperoleh dari manajemen senior dan/atau legal counsel,
tergantung kasus masing-masing.)

2. Standard 2330.A2 - CAE (chief audit executive) harus membuat ketentuan

mengenai penyimpanan (retention requirements) catatan dan dokumen
penugasan, apa pun sarana penyimpanannya. Ketentuan-ketentuan
penyimpanan ini harus sejalan dengan petunjuk-petunjuk organisasi dan
ketentuan perundang-undangan yang berlaku tentang penyimpanan dokumen.

Contoh Pelaksanaan Penugasan Asurans

Catatan

• Contoh ini diterjemahkan dari "Briefing Paper - Providing Assurance on the

Effectiveness of Internal Control" (Sumber:
https://www.frc.org.uk/getattachment/fe971745-7d08-407- 9d28-
285e/Icde2d/Providing-Assurance-on-the-Effectiveness-of-intern-July-
2001.pdf)

• Meskipun dalam contoh ini pelaksananya adalah konsultan eksternal,

pelaksanaan tugasnya mirip dengan pelaksanaan penugasan asurans oleh audit
internal. Jasa asurans ini diberikan kepada perusahaan periklanan (diberi nama
PT XYZ) yang juga menerbitkan beberapa surat kabar yang digunakan untuk
pemasangan iklan.

23
 • Dalam bahasa audit internal auditee-nya adalah area utang (accounts payable)
dengan proses pengendalian internal.

• Sumber yang dipakai memberi catatan sebagai berikut: Ini sekadar contoh,
laporan dapat disajikan dalam berbagai bentuk.

• Catatan penerjemah: perhatikan a) langkah-langkah yang dilakukan untuk

pelaksanaan suatu penugasan asurans; b) apa-apa yang dilaporkan, sistematika,
dan istilah yang digunakan. Ada istilah diterjemahkan, namun selanjutnya
istilah Inggrisnya dipertahankan; c) opini yang diberikan; dand) pembatasan
(di akhir surat) yang dalam hal pelaksanaan oleh audit internal sendiri,
mungkin tidak dicantumkan (tergantung kebijaksanaan perusahaan) atau
dicantumkan dengan cara lain.

Surat dari Konsultan mengenai Pelaksanaan Penugasan Asurans

15 April 2020

Kepada yang terhormat

Komite Audit PT XYZ

di Jakarta

Dengan hormat,

Hal: Pengendalian Internal atas Pendapatan Iklan

Berikut ini rangkuman hasil penilaian kami atas efektifnya pengendalian internal
(disingkat 'PI') atas pendapatan iklan PT XYZ dalam periode 30 September 2019
sampai 28 Februari 2020, Laporan terpisah disampaikan kepada manajemen senior,
menyajikan penjelasan lengkap tentang rancangan PI. Untuk singkatnya, laporan
tersebut tidak dicantumkan di sini.

Lingkup penugasan

Lingkup penugasan meliputi proses-proses yang berikut:

• mempertahankan daya saing XYZ dengan mengikuti perkembangan dalam

gaya periklanan masa kini yang ditunjukkan para pesaing

• pencatatan iklan-iklan;
24
 • ketelitian dan ketepatan waktu memasukkan iklan-iklan di surat-surat kabar
terbitan XYZ;

• ketaatan iklan-iklan yang dibuat XYZ terhadap "Aturan Nilai-Nilai Publikasi"

yang dibuat XYZ

• pemrosesan pendapatan iklan ke buku besar (general ledger) dan akun

manajemen; dan

• penerimaan dari pendapatan iklan dan penyetorannya ke bank, serta

pencatatan penerimaan ini.

Sesuai dengan kesepakatan kita, kami tidak menilai: a) sistem yang mengendalikan
pembayaran-pembayaran bank, dan b) pelaporan pembayaran-pembayaran bank dan
rangkumannya ke general ledger untuk pembuatan laporan manajemen atau laporan
statuter.

Keterbatasan Inheren

ada keterbatasan inheren (inherent limitations) mengenai apa yang dapat dicapai oleh
Pl. Dan konsekuensinya adalah, keterbatasan mengenai kesimpulan yang ditarik dari
penugasan ini. Sebagai harusnya karena "human error, kegiatan Pl yang digagalkan
lewat persekongkolan dua Keterbatasan ini meliputi kemungkinan pengambilan
keputusan yang salah, Pl gagal berfungsi Orang atau lebih, dan kewenangan
manajemen yang digunakan untuk mengabaikan (override) Pl.

Juga tidak ada kepastian bahwa Pl yang sekarang berfungsi secara efektif, akan tetap
berjalan sebagaimana mestinya, di kemudian hari, atau bahwa Pl akan memadai untuk
mencegah semua risiko signifikan yang mungkin timbul di kemudian hari. Oleh
karena itu, kami tidak memberikan pendapat mengenai kecukupan sistem Pl untuk
mencegah risiko dikemudian hari.

PI berbeda dari satu perusahaan ke perusahaan yang lain, karena perbedaan industry
ukuran perusahaan, budaya perusahaan dan pemikiran yang dianut manajemen
(management philosophy). Ketika merancang sistem PI ada banyak opsi mengenai
sifat dan luasnya PI yang dapat dilaksanakan. PI, misalnya, dapat bersifat preventive
(mencegah) atau detective (menemukan, misalnya menemukan fraud atau
penyimpangan), dan dapat dilaksanakan oleh manusia atau teknologi information
technology systems). Ada keseimbangan antara biaya implementasi PI (cost of
implementation) dan manfaat (benefits) yang diperoleh dengan adanya Pl. Oleh
25
karena itu, Pl suatu perusahaan bisa saja jauh berbeda dari PI perusahaan lain, untuk
proses bisnis yang sama. Keputusan yang dibuat ketika merancang PI, termasuk
menerima risiko-risiko sampai tingkat tertentu. Karena hasil dari berjalannya PI tidak
dapat diprediksi secara mutlak, setiap penilaian Pl dapat berbeda antara satu orang
dengan orang yang lain.

Tujuan-Tujuan Bisnis

Kami membahas tujuan-tujuan bisnis dan Pl-nya berkenaan dengan pendapatan iklan,
dengan para executive director dan manajemen senior; inilah pemahaman kami:

1. Memaksimumkan pendapatan iklan yang ditempatkan dalam surat-surat kabar

terbitan XYZ dengan memastikan bahwa penyajian iklan-iklan tersebut
sejalan dengan perkembangan yang terjadi di para pesaing XYZ, tanpa
mengeluarkan biaya untuk menjadi brand leader.

2. Memastikan bahwa semua iklan yang dibukukan para pelanggan diterbitkan

secara akurat sesuai dengan permintaan pemasang iklan.

3. Memastikan semua iklan yang terpasang di surat-surat kabar, dibuat invoice-

nya sesuai dengan tarif menurut kartu tarif iklan yang diterbitkan XYZ.

4. Menerima kenyataan bahwa sebagian pendapatan tidak akan tertagih karena

risiko kredit. Namun, karena biaya marginal iklan yang rendah (untuk iklan
terpasang), menerima tingkat tidak tertagihnya pendapatan sampai 2,5% dari
jumlah total pendapatan iklan

5. Memastikan konten teks dan gambar dari setiap iklan, memenuhi "Aturan
Nilai-Nilai Publikasi" yang dibuat XYZ.

6. Memastikan XYZ dapat menerima dan mengolah iklan sekalipun sistem

computer tidak berfungsi.

Pelaksanaan Tugas

Kami melaksanakan tugas dari tanggal 15 Juni 2019 sampai 31 Maret 2020. Penilaian
kami atas efektifnya PI dibagi dalam empat tahap:

1. Memahami bisnis dan tujuan-tujuan bisnis dalam pengelolaan dan

pengendalian pendapatan iklan.

26
 2. Menelaah proses-proses identifikasi risiko yang dilaksanakan manajemen dan
mengamati risk screening process (yang dilaksanakan manajemen) untuk
mengidentifikasi risiko-risiko yang signifikan dan mungkin terjadi
(selanjutnya disebut "applicable risks").

3. Menilai efektifnya Pl yang dirancang untuk mengendalikan applicable risks.

4. Menguji efektifnya PI yang dilaksanakan dalam periode 30 September 2019

sampai 28 Februari 2020.

Memahami Bisnis

Kami mengumpulkan informasi latar belakang (background information) untuk

melaksanakan penugasan, dan kami memperoleh pemahaman mengenai:

1. Trends atau kecenderungan dalam hasil keuangan perusahaan, dan key

performance measures (ukuran keberhasilan, semacam KPI) yang digunakan
manajemen, bersama perbandingan dengan perusahaan sejenis.

2. Sistem-sistem yang digunakan untuk mengolah transaksi dan menghasilkan

management information.

Kami juga mendapatkan pemahaman latar belakang bisnis, termasuk manusia dalam
organisasi, pelanggan, supplier dan kompetitor, key business processes dan
lingkungan bisnis (business environment).

Identifikasi Risiko

Kami menilai a) efektifnya dan b) hasil dari proses berkelanjutan yang dilakukan
manajemen untuk mengidentifikasi dan mengelola risiko. Penilaian ini meliputi
pemahaman mengenai lingkungan pengendalian secara menyeluruh, ukuran-ukuran
kinerja (key performance measures) yang digunakan manajemen dan proses-proses
yang dirancang manajemen untuk mengidentifikasi risiko-risiko yang akan timbul di
kemudian hari (emerging risks).

Dengan menggunakan penilaian-penilaian ini dan informasi latar belakang tentang

bisnis ini, kami menelaah kecukupan dari perumusan risiko-risiko potensial yang
diidentifikasi oleh manajemen. Risiko-risiko potensial yang diidentifikasi ini
disajikan dalam lampiran surat ini. [Catatan Penerjemah: lampiran ini tidak
disertakan].

27
Screening terhadap Risiko

Risk screening adalah proses di mana semua risiko potensial dievaluasi oleh
manajemen, berdasarkan assessment mengenai probabilitas terjadinya dan dampak
atas besarnya risiko. Risiko-risiko yang memenuhi kriteria tertentu dianggap
merupakan applicable risks. Proses screening ini diatur dan difasilitasi oleh para
konsultan yang ahli dalam bidang ini, dari Firma konsultan PQR. Kami mengamati
dan berpartisipasi dalam pertemuan-pertemuan risk screening ini, yang dilakukan
pada setiap Divisi.

Proses risk screening banyak menggunakan pemikiran (judgment) dan puncak dari
proses ini adalah pertemuan terakhir dengan para executive director, yang juga
dihadiri Komite Audit pada tanggal 15 Juli 2019. Pertemuan ini membahas:

1. risiko potensial yang sebelumnya telah diidentifikasi oleh line management

dan executive directors;

2. apakah ada risiko-risiko lain yang perlu dipertimbangkan; dan

3. kemungkinan (likelihood) dan dampak (significance) dari setiap risiko

potensial.

Dalam proses screening ini, risiko-risiko yang memenuhi tiga kriteria ini tidak akan
diikutsertakan dalam pertimbangan selanjutnya:

1. Jika dampak risikonya dapat dikuantifikasi dan dampak keuangannya lebih

kecil dari tingkat materialitas sebesar £5.000.

2. Jika ada strategi manajemen yang tepat untuk memitigasi risiko yang
bersangkutan.

3. Berdasarkan judgmental assessments tentang probabilitas terjadinya dan

dampak yang signifikan, dianggap probailitas rendah ("unlikely") dan dampak
tidak signifikan.

Rincian dari hasil screening process ini disajikan dalam lampiran surat ini. (Catatan
Penerjemah: lampiran ini tidak disertakan.) Lampiran ini menunjukkan screening
process dan alasan-alasan mengapa risiko-risiko tidak dimasukkan (were screened out)
untuk pertimbangan selanjutnya.

Proses screening ini menghasilkan daftar applicable risks sebagai berikut.

28
 1. Risiko pendapatan iklan tidak maksimum karena kegagalan memantau
perkembangan para kompetitor dalam menyajikan iklan mereka.\

2. Risiko iklan yang diterbitkan tidak memenuhi "Aturan Nilai-Nilai Publikasi"

yang dibuat XYZ.

3. Risiko pemindahan data antara sistem editorial dan sistem pembebanan

(billing system) yang tidak akurat, dan karenanya tidak semua iklan
dibebankan ke pelanggan.

4. Risiko bahwa cek yang diterima tidak disetorkan ke bank atau digunakan
untuk kepentingan pribadi.

5. Risiko bahwa uang tunai yang diterima di front desk tidak diteruskan ke kasir
atau digunakan untuk kepentingan pribadi.

6. Risiko bahwa sistem editorial dan sistem pembebanan (billing system) tidak
tersedia.

Proses risk screening semula dilakukan dalam bulan Juni dan Juli 2019. Dalam
periode sampai 28 Februari 2020 kami memutakhirkan pemahaman kami mengenai
bisnis dan proses-prosesnya untuk mengetahui apakah ada perubahan-perubahan yang
merupakan indikasi bahwa risiko-risiko yang semula di-screened outseharusnya tetap
dimasukkan untuk pertimbangan selanjutnya, atau indikasi adanya risiko-risiko baru.

Kami tidak mempertimbangkan dampak terhadap risiko-risiko terhadap bisnis yang

terjadi karena perubahan sistem dalam sales ledger dan general ledger yang
dilaksanakan dalam bulan Maret 2020 dan perubahan-perubahan personalia akibat
perubahan sistem tersebut.

Pengendalian yang dirancang untuk memitigasi "applicable risks"

Kami menilai rancangan (design) dari PI yang mengendalikan setiap applicable risk.
Pl ini individual terdiri atas:

1. specific controls - yang berhubungan dengan pengolahan transaksi-transaksi

2. pervasive controls - yang berhubungan dengan lingkungan pemrosesan

(processing environment), akses ke sistem, mutu dan pelatihan personalia,
pengamanan fisik, dan lain-lain.

29
 3. monitoring controls - yang berhubungan dengan kinerja dari rekonsiliasi saldo,
pengawasan umm oleh manajemen atas key performance measures (semacam
KPI) dan prosedur-prosedur monitoring lainnya.

Untuk setiap applicable risk kami menilai efektifnya rancangan atau design dari
specific control, pervasive control, dan monitoring control. Lepas dari pengecualian
(exception) yang dijelaskan di bawah, dalam semua kasus, kami simpulkan bahwa PI
telah dirancang dengan efektif. Rincian dari rancangan PI berkenaan dengan
applicable risks disajikan dalam laporan yang sudah kami kirimkan kepada senior
management.

Berjalannya PI

Kami menguji apakah PI berjalan sesuai dengan rancangannya, untuk periode 30

September 2019 sampai 28 Februari 2020. Serangkaian test ini terdiri dari penelaahan
bukti pelaksanaan Pl ini, diskusi dengan personalia kunci dan mengevaluasi integritas
informasi yang digunakan untuk melaksanakan Pl. Kami tidak menguji specific
controls ketika kami menemukan bahwa baik pervasive control maupun monitoring
control berjalan dengan baik.

Perkecualian

Pekerjaan kami mengindikasikan adanya PI yang cukup untuk lima dari enam
applicable risks. Namun, dalam hal risiko yang berhubungan dengan tersedianya
sistem editorial dan system pembebanan (billing system) kami menemukan bahwa
XYZ tidak mempunyai rencana yang tepat yang memungkinkannya melanjutkan
beroperasinya sistem-sistem tersebut. Meskipun tidak terjadi insiden-insiden dalam
periode 30 September 2019 sampai 28 Februari 2020, kami sangat menyarankan
manajemen membuat rencana yang rinci dan mengujinya, untuk mengantisipasi gagal
berfungsinya sistem-sistem komputer tersebut.

30
 BAB III

PENUTUP

3.1 KESIMPULAN

Merencanakan suatu penugasan audit merupakan bagian dari pendekatan audit

internal yang sistematis, berdisiplin, dan berbasis risiko; inilah pendekatan audit yang
diwajibkan oleh International Standards for the Professional Practice of Internal
Auditing (selanjutnya disingkat "IPPF"). Dalam merencanakan penugasan audit, audit
internal mempertimbangkan strategi-strategi dan tujuan-tujuan dari area atau proses
yang direviuw, dengan a) memprioritaskan risiko-risiko yang relevan untuk
penugasan tersebut, b) menentukan tujuan dan lingkup penugasan, dan c)
mendokumentasikan pendekatan yang digunakan. [Catatan: dalam audit internal,
istilah lain dari area atau proses yang direviu ialah auditee] Petunjuk praktik (Practice
Guide) IPPF memuat langkah-langkah perencanaan penugasan untuk memenuhi
Standard 2200 - Engagement Planning sampai Standard 2220- Engagement Scope
dan standar-standar implementasinya untuk penugasan asurans (disingkat dengan
kode A) dan penugasan consulting (disingkat dengan kode C). Urut-urutan dan
rincian perencanaan penugasan, termasuk penyusunan tujuan dan lingkup penugasan,
dapat berbeda sesuai dengan kebutuhan organisasi, kegiatan audit internal dan jenis
penugasan asurans atau konsulting). Namun, langkah-langkah berikut terdapat dalam
langkah-langkah perencanaan penugasan (asurans atau konsulting) pada umumnya
adalah: Pahami konteks dan tujuan penugasan, Kumpulkan informasi untuk
memahami auditee (area atau proses yang direviu), Lakukan penilaian sementara
(preliminary assessment) atas risiko-risiko yang relevan, Tentukan tujuan-tujuan
penugasan, Tentukan lingkup penugasan, Alokasikan sumber daya manusia yang
tepat keahliannya dan cukup, Dokumentasi rencana audit yang dibuat.

31
 DAFTAR PUSTAKA

Tuanakotta, theodorus M. (2019). Audit Internal Berbasis Resiko. Jakarta: Salemba

empat

32