BAB 15
Merencanakan dan Melakukan
Audit internal
bab-bab telah berfokus pada komponen untuk membangun fungsi audit internal
Masayang
lalu efektif di suatu perusahaan, standar praktik audit internal, dan faktor lain untuk
menilai berbagai kandidat audit internal potensial di suatu perusahaan dan memilih
kandidat yang tepat untuk audit internal. Bab-bab lain umumnya berfokus pada area
audit internal yang lebih terspesialisasi, seperti tinjauan pengendalian umum teknologi
informasi (TI), tetapi bab ini meninjau langkah-langkah yang diperlukan untuk
merencanakan dan melaksanakan audit internal individu. Tentu saja, tidak ada yang
khas dalam dunia audit internal yang luas dan beragam, tetapi bab ini menggunakan
contoh perusahaan dari bab lain, Produk Komputer Global, untuk menjelaskan beberapa
proses yang diperlukan untuk merencanakan dan meluncurkan audit internal.
Kami fokus pada tinjauan audit internal keuangan/operasional atas penerimaan
material dan fungsi utang usaha menggunakan contoh perusahaan kami, Global
Computer Products, di pabrik pembuatannya. Bab ini tidak dapat mencakup semua
risiko pengendalian dan aspek lain dari operasi semacam itu, tetapi membahas beberapa
karakteristik penting dari audit internal semacam itu. Asumsi kami di sini adalah bahwa
tim audit internal berfokus terutama pada pengendalian internal operasional dengan
sedikit penekanan pada masalah keuangan dan sistem TI pendukungnya.
Meskipun bab ini melukiskan lingkungan yang mungkin tidak umum untuk setiap orang,
bab ini melewati beberapa langkah audit internal yang umum. Tema keseluruhan pengetahuan
umum (CBOK) yang dibahas di seluruh buku ini berfokus pada bidang-bidang di mana auditor
internal harus memiliki pemahaman yang baik dan bidang-bidang lain di mana mereka hanya
perlu memiliki pemahaman umum saja. Bab ini membahas langkah-langkah audit internal yang
sebenarnya, aktivitas dasar dari semua auditor internal. Semua auditor internal harus memiliki
pemahaman CBOK yang kuat, jika bukan pengalaman langsung, dalam proses perencanaan
dan pelaksanaan audit internal individual ini.
321
Machine Translated by Google
perusahaan memiliki pabrik pembuatan produk kecil di kota Muddville dan memiliki fasilitas penelitian
produk lanjutan di lokasi yang sama. Saat menyusun deskripsi semesta auditnya, manajemen audit
internal mungkin telah memutuskan bahwa fasilitas produk lanjutan Muddville terlalu kecil, terlalu
terspesialisasi, atau hal lain di luar cakupan audit internal. Namun, kami telah berasumsi bahwa audit
internal telah memutuskan untuk meninjau siklus bahan langsung manufaktur pabrik Muddville, kontrol
internal yang mencakup pembelian, penerimaan, hutang dagang, dan seluruh operasi siklus akuntansi.
Selain itu, karena siklus akuntansi akan dicakup sebagai bagian dari prosedur tinjauan Sarbanes-Oxley
(SOx) dan auditor eksternal mereka nanti di akhir tahun, contoh tinjauan kami akan berfokus pada proses
pembelian dan penerimaan.
Meskipun proses-proses ini disorot dalam daftar semesta audit, asumsikan lebih lanjut bahwa audit
internal tidak pernah melakukan tinjauan proses pembelian dan penerimaan di unit ini tetapi telah
memutuskan bahwa pertumbuhan relatif fasilitas memerlukan beberapa pekerjaan audit internal. Situasi
ini tidak biasa bagi banyak fungsi audit internal.
Sejumlah besar sumber daya yang berpotensi dapat diaudit akan dicantumkan dalam dokumentasi audit
universe, tetapi karena kurangnya waktu, sumber daya, dan hal-hal lain, beberapa entitas yang berpotensi
dapat diaudit ini tidak pernah menjadi kandidat untuk tinjauan audit internal.
Mereka mungkin tetap di belakang kompor sampai pertumbuhan atau masalah lain menyebabkan
perhatian manajemen atau sampai anggota manajemen senior atau komite audit menanyakan apakah
audit internal pernah melakukan pekerjaan di fasilitas itu.
Dalam contoh ini, asumsikan bahwa audit internal telah memutuskan untuk meluncurkan tinjauan
operasi fasilitas Muddville sebagai bagian dari proses perencanaan audit internal tahunan. Kami
berasumsi bahwa audit internal telah menetapkan program audit untuk meninjau bidang-bidang ini,
seperti yang dibahas dalam Bab 10, dan memiliki pengetahuan umum yang cukup tentang operasi untuk
meluncurkan audit internal.
Langkah pertama yang penting dalam audit internal adalah melihat audit internal lain baik dalam
proses maupun direncanakan dalam jangka pendek, mempertimbangkan ketersediaan sumber daya
audit internal, dan kemudian menyiapkan rencana audit internal pendahuluan. Mari kita asumsikan bahwa
fasilitas Muddville berada di luar kota tetapi tidak memerlukan perjalanan internasional jarak jauh untuk
mengunjungi lokasi tersebut. Kami juga akan berasumsi bahwa kepala eksekutif audit (CAE) dan anggota
tim audit internal lainnya memiliki pengetahuan yang memadai tentang operasi pabrik sehingga kunjungan
pendahuluan tidak diperlukan. Berdasarkan informasi yang tersedia, audit internal akan menyiapkan
rencana awal untuk audit Muddville yang akan datang.
Exhibit 15.1 adalah rencana awal yang mungkin dikembangkan untuk tinjauan semacam itu.
Karena informasi pada pameran tersebut sangat awal, rencana tersebut tidak menunjukkan tanggal
tertentu tetapi mengasumsikan bahwa dua anggota staf audit internal akan ditugaskan untuk melakukan
pekerjaan tersebut. Rencana awal memberikan perkiraan perkiraan kegiatan mingguan. Perhatian harus
diambil untuk tidak menyegel rencana awal tersebut dalam semen, karena lebih banyak informasi dapat
memaksa semua perkiraan yang direncanakan naik atau turun.
Setelah menyusun rencana awal untuk audit, langkah selanjutnya adalah memberi tahu manajemen
yang bertanggung jawab di fasilitas tersebut melalui surat perikatan audit internal. Bukti 7.3 di Bab 7
adalah contoh surat perikatan semacam itu. Biasanya dikomunikasikan bersama dengan beberapa
diskusi pendahuluan tingkat tinggi, surat perikatan mengumumkan audit yang direncanakan beserta
tujuannya, perkiraan tanggal, dan auditor internal yang ditugaskan. Karena manajemen lokal sering
mengklaim bahwa waktu audit tidak tepat atau masalah lain, rencana audit akhir mungkin harus
disesuaikan.
Machine Translated by Google
BAGAN 15.1 Pembelian dan Penerimaan Muddville Rencana Audit Internal Awal
Kami menyatakan bahwa contoh fungsi audit internal kami tidak pernah melakukan tinjauan operasi
pembelian dan penerimaan di fasilitas Muddville tetapi memiliki program audit dan pengalaman dalam
melakukan tinjauan serupa di fasilitas Produk Komputer Global lainnya. Karena proses lokal dan bahkan
sistem pendukung mungkin berbeda dari satu pabrik ke pabrik lainnya, audit internal perlu mengumpulkan
lebih banyak data dan informasi tentang operasi di Muddville. Idealnya, audit internal dapat dengan
mudah menghubungi fasilitas lokal yang akan diaudit, memintanya untuk mengirimkan salinan bagan
alur dan dokumentasi lainnya, dan dari sana memulai pekerjaan audit internal awal.
Namun, kami hanya menggambarkan dunia yang ideal; pada kenyataannya, dokumentasi tersebut
mungkin jarang, ketinggalan zaman, atau tidak ada. Audit internal mungkin ingin mengajukan beberapa
pertanyaan untuk mengumpulkan lebih banyak informasi tentang proses ini. Tampilan 15.2 adalah contoh
kuesioner yang dapat diedarkan oleh audit internal untuk mendapatkan informasi tentang lingkungan di
mana audit internal direncanakan untuk dilakukan. Hasil kuesioner tersebut akan membantu audit internal
untuk merencanakan tinjauannya, termasuk ukuran dan jenis item yang akan dijadikan sampel serta
kebutuhan untuk kontrol aplikasi TI, tinjauan, dan alat audit berbantuan komputer, seperti yang dibahas
dalam Bab 19 dan 21 , masing-masing.
Audit internal yang efektif umumnya tidak dapat dilakukan oleh audit internal yang bekerja di kantor
perusahaan dan mengumpulkan bukti audit melalui pesan email dan permintaan file. Dalam hampir
semua kasus, auditor internal perlu menginjakkan kakinya di tanah dan harus meluangkan waktu untuk
mengunjungi lokasi auditee dan mengamati operasinya. Auditor internal biasanya dapat belajar banyak
dengan menghabiskan waktu di suatu lokasi, meskipun terkadang hanya hasil dari kesan umum. Auditor
internal di tempat harus mengamati berbagai aktivitas dan tindakan saat melakukan pekerjaan lapangan
audit: seorang manajer yang
Machine Translated by Google
BAGAN 15.2 Muddville Membeli dan Menerima Kuesioner Informasi Audit Internal
1. Apakah semua pembelian material disahkan melalui pesanan pembelian formal yang disetujui?
2. Apakah pembelian didasarkan pada sekumpulan vendor resmi yang disetujui?
3. Apakah vendor yang disetujui disaring secara berkala untuk faktor kinerja, seperti tepat waktu
pengiriman, kepatuhan terhadap spesifikasi, dll.?
4. Apakah ada batasan moneter atau kuantitas pada pesanan pembelian yang memerlukan tambahan
persetujuan?
5. Apakah semua pesanan pembelian mematuhi pembayaran resmi dan ekspektasi pengiriman
istilah standar?
6. Apakah sistem pembelian perusahaan yang disetujui digunakan untuk semua pembelian material?
7. Apakah semua penerimaan material melalui operasi penerimaan reguler?
8. Apakah ada batasan waktu penerimaan struk?
9. Apakah sistem penerimaan perusahaan yang disetujui digunakan untuk proses penerimaan?
10. Jika bahan masuk tidak sesuai dengan pesanan pembelian dalam hal dokumentasi P/O, kuantitas, tanggal
pengiriman yang disetujui, atau faktor lainnya, proses apa yang ada untuk menyelesaikan masalah ini?
15. Dan pertanyaan rinci lainnya untuk memungkinkan audit internal memperoleh pemahaman tentang ini
proses
selalu datang sangat terlambat, seorang analis yang tampaknya tidak mengikuti prosedur keamanan
TI yang baik, atau pengamatan lainnya. Banyak yang mungkin tidak menghasilkan rekomendasi audit
internal formal, tetapi mereka akan membantu auditor internal untuk mendapatkan beberapa kesan
keseluruhan dari unit yang diaudit. Beberapa hal tersebut dapat didokumentasikan secara formal
dalam kertas kerja audit internal, sementara yang lain hanya berupa kesan yang dapat digunakan
untuk mendukung kesimpulan audit secara keseluruhan.
Jauh lebih penting dari sekedar pengamatan, auditor internal perlu mengembangkan pemahaman
yang baik tentang materi yang mereka tinjau, menyiapkan dokumentasi untuk mendukung atau
memperbarui materi yang ada, dan kemudian menggunakan materi tersebut untuk mengidentifikasi
kerentanan pengendalian internal atau untuk membantu pemahaman audit internal. dari proses yang
sedang ditinjau. Bab 16 membahas pendokumentasian hasil melalui pemodelan proses dan
menyebutkan bahwa ada banyak pendekatan dokumentasi yang diterima. Tampilan 15.3 menunjukkan
diagram alur sampel fungsi penerima. Idenya adalah untuk menunjukkan poin-poin keputusan dalam
proses yang sering menjadi area pengujian audit. Misalnya, pameran ini memiliki langkah-langkah
keputusan apakah bahan yang diterima telah lulus uji inspeksi dan kemudian apakah bahan tersebut
dikirim kembali ke pemasok.
Tujuan kami di sini bukan untuk menjelaskan suatu proses secara rinci tetapi untuk menunjukkan
seberapa tepat dokumentasi proses audit internal dapat menentukan poin keputusan utama. Dalam
contoh ini, jika manajemen lokal khawatir bahwa bahan yang buruk dan rusak secara tidak benar
masuk ke dalam proses produksi, auditor internal dapat menggunakan alur proses tersebut untuk
mengidentifikasi titik di mana, jika bahan tidak diberikan pemeriksaan yang tepat, bahan yang buruk
dapat masuk ke dalam proses produksi.
Diagram seperti Tampilan 15.3 dapat disiapkan untuk menggambarkan pemahaman auditor
internal tentang proses di fasilitas yang diaudit. Auditor internal perlu mengkonfirmasi bahwa deskripsi
yang terdokumentasi tersebut adalah benar. Bagan alur sampel kami
Machine Translated by Google
Bahan Menentukan
Produksi Dikerjakan ulang atau Biaya
Masalah terselesaikan Mengolah lagi
Cacat
Bahan dari
Keuangan
Produksi
menunjukkan proses yang relatif sederhana. Auditor internal dapat menggambar diagram alir seperti itu di area
yang didokumentasikan untuk menentukan apakah deskripsi tersebut secara umum benar.
Namun, banyak proses dan bagan alur pendukung begitu kompleks sehingga auditor internal tidak dapat hanya
berharap untuk menunjukkan bagan alur tersebut kepada manajer di lokasi untuk menanyakan apakah boleh.
Seringkali diperlukan lebih banyak informasi pendukung.
Latihan berjalan seringkali merupakan cara yang efektif untuk memverifikasi bahwa dokumentasi proses
sudah benar. Jenis latihan ini paling efektif dalam proses yang sangat kompleks dengan banyak liku-liku dan
banyak titik keputusan serta banyak titik keputusan yang bergantung pada orang di sepanjang jalan. Idenya adalah
auditor akan mengambil dokumen, seperti laporan penerimaan material, dan secara manual menjalankan setiap
langkah yang ditinjau. Auditor internal harus berusaha untuk menentukan bahwa personel pada setiap langkah
dalam rantai keputusan tersebut benar-benar melakukan proses seperti yang dijelaskan. Hasil di sini terkadang
menarik. Auditor internal dapat menyajikan dokumen yang sedang dianalisis kepada personel lantai untuk
menanyakan bagaimana mereka akan memprosesnya. Terkadang auditor internal akan menemukan bahwa proses
yang didokumentasikan tidak berjalan seperti yang dijelaskan.
Jika demikian, dalam banyak kasus, dokumentasi yang disiapkan perlu direvisi. Namun, dalam beberapa
situasi, wawancara selama penelusuran dapat mengidentifikasi potensi kelemahan pengendalian internal. Ini
adalah situasi di mana manajemen unit tampaknya berpikir bagaimana suatu proses harus bekerja tetapi auditor
internal, melalui wawancara dengan orang-orang yang benar-benar melakukan prosedur, mungkin menemukan
bahwa operasi sebenarnya sangat berbeda. Situasi seperti ini mungkin memerlukan pemikiran ulang atau
peninjauan kembali.
bahwa kontrol tersebut berfungsi. Ukuran dan sifat pengujian ini sangat bergantung pada sifat dan
kekritisan proses. Namun, biasanya tidak cukup untuk memilih satu item untuk menjalani proses dan
kemudian mengatakan bahwa semuanya baik-baik saja selama satu item tersebut memenuhi uji audit
ini.
Bab 9 membahas pengambilan sampel audit, termasuk menggunakan prosedur statistik dan
nonstatistik untuk mengambil sampel dan mengevaluasi bukti audit. Meskipun beberapa aspek
pengambilan sampel statistik bersifat kompleks dan dapat menimbulkan masalah bagi auditor internal,
bab tersebut merekomendasikan agar semua auditor internal setidaknya memiliki pemahaman umum
CBOK tentang proses pengambilan sampel statistik. Pengetahuan seperti itu akan memungkinkan
auditor internal untuk menyatakan dengan keyakinan tertentu apakah pengendalian internal tampak
berfungsi atau apakah saldo akun sudah benar.
Dalam contoh audit kami di sini, tim audit internal akan tiba di lokasi pabrik Muddville,
mengonfirmasi dokumentasi proses yang disiapkan sebelum tiba di lokasi lapangan audit, atau
membuat dokumentasi selama langkah audit pertama. Selanjutnya, setelah menegaskan kembali
dokumentasi tersebut melalui penelusuran, audit internal perlu menyempurnakan prosedur audit
internalnya sendiri dan kemudian melakukan pengujian audit.
Di lingkungan kami, fungsi audit internal mungkin telah tiba di lokasi audit dengan beberapa
program audit yang ditetapkan untuk area yang akan diuji dan dievaluasi. Namun, seringkali tim audit
internal di lapangan mungkin perlu melakukan beberapa penyesuaian kecil terhadap program audit
yang disiapkan oleh manajemen audit internal. Dalam semua keadaan tersebut, tim audit internal
harus memperoleh, dari manajemen audit internal, persetujuan untuk setiap perubahan program atau
prosedur audit dan kemudian melanjutkan untuk melakukan langkah-langkah audit yang sebenarnya
seperti yang didokumentasikan.
Contoh audit internal kami menjelaskan serangkaian prosedur yang relatif terbatas yang akan
dilakukan dengan tim audit internal yang kecil—di sini dua auditor internal—dan selama durasi waktu
yang cukup singkat. Namun, ada banyak situasi audit internal lainnya, di mana audit internal akan jauh
lebih besar dalam hal area yang ditinjau, ukuran tim audit, durasi waktu, dan banyak faktor lainnya.
Alat manajemen proyek yang kuat, seperti yang dibahas dalam Bab 14, sangat penting untuk tinjauan
yang diperpanjang.
Berapa pun ukurannya, tim audit internal perlu mengembangkan kertas kerja audit internal yang
efektif, baik dalam file hardcopy tradisional atau kertas kerja soft-copy berbasis komputer laptop. Baik
format kertas kerja maupun format lain untuk mengontrol dan mengelola audit internal dengan lebih
baik dibahas di Bab 16.
Meskipun mungkin diperlukan beberapa upaya tambahan dan sumber daya audit untuk
menyiapkan bahkan draf laporan audit sebelum akhir pekerjaan lapangan audit, audit internal
setidaknya harus menerbitkan lembar poin temuan audit kepada manajemen yang diaudit yang menguraikan internal
Machine Translated by Google
pengamatan audit dan rekomendasi potensial. Auditor lapangan tidak boleh mencoba menyiapkan draf
laporan audit sebelum tinjauan dan persetujuan yang lebih rinci oleh manajemen audit. Meskipun
laporan audit internal selalu penting, persyaratan SOx membuatnya semakin kritis karena komite audit
sekarang akan memiliki akses penuh ke semua laporan audit internal. Di era lampiran email kita, cukup
mudah bagi sebuah laporan—bahkan yang berlabel “draf”—untuk diedarkan dan disalahtafsirkan. Draf
laporan yang menghasilkan beberapa kesimpulan yang salah atau bahkan memalukan harus dikontrol
dan dipantau dengan ketat.
Ada beberapa situasi, tentu saja, di mana tim audit internal dapat meninggalkan perikatan audit
dengan draf yang kuat atau laporan audit yang hampir final. Misalnya, ketika perusahaan memiliki
sejumlah besar lokasi ritel atau restoran kecil, auditor internal yang melakukan tinjauan sering akan
melakukan jenis tinjauan kepatuhan hampir daftar periksa, mencari hal-hal seperti apakah dokumen
harian yang diperlukan selalu diperbarui. Laporan audit akhir yang lengkap masuk akal dalam situasi
seperti itu.
Untuk audit internal yang lebih besar, mungkin lebih komprehensif, seperti peninjauan Global
Computer Products kami terhadap fasilitas pabrik Muddville, sebaiknya manajemen audit internal
meninjau dan menyetujui bahkan draf laporan. Namun, lembar poin audit internal terkadang merupakan
cara yang sangat efektif untuk mendokumentasikan pengamatan audit internal. Dokumen ini merangkum
temuan awal audit internal bersama dengan rekomendasi potensial. Tampilan 15.4 adalah contoh
lembar poin semacam itu. Lembar poin pada dasarnya adalah dokumen diskusi. Dalam kasus di mana
manajemen memiliki beberapa bidang sengketa yang signifikan, audit internal dapat mendokumentasikan
dan menyetujuinya
Catatan: Komentar ini merupakan temuan audit internal awal dan rekomendasi potensial
sebagai hasil dari tinjauan audit internal baru-baru ini. Hasil akhir akan dipublikasikan dalam
laporan audit internal yang akan segera diterbitkan. Sementara temuan dan rekomendasi akhir
dapat berubah, audit internal merekomendasikan agar manajemen operasi memulai langkah-
langkah tindakan korektif sebelum laporan audit internal formal.
Temuan Audit #1: Bahan yang masuk tidak menerima pemeriksaan kualitas yang diperlukan, sesuai
prosedur yang ditetapkan. Meskipun prosedur memerlukan inspeksi terperinci untuk subassemblies
elektronik yang telah selesai, kami menemukan bahwa beberapa barang dipindahkan langsung ke
operasi produksi. Dalam sampel 15 subassembly yang masuk, kami menemukan bahwa tanda terima
telah dipindahkan langsung ke area produksi, melewati pemeriksaan kualitas.
Rekomendasi: ...
Temuan Audit #2: ...
Machine Translated by Google
meninjau temuan draf lagi atau membuat perubahan untuk menjernihkan area manajemen yang
menjadi perhatian.
Tujuan dari audit internal yang efektif bukanlah agar auditor lapangan pulang dengan laporan
audit yang memukau yang berisi temuan dan rekomendasi, tetapi untuk meninjau suatu area dan
membuat rekomendasi untuk meningkatkan lingkungan pengendalian internal secara keseluruhan.
Seringkali auditor internal melewatkan tujuan ini karena mereka terlibat dengan jenis temuan audit
“gotcha”. Seperti yang telah kita diskusikan, tujuan auditor internal harus selalu memberikan layanan
menyeluruh kepada manajemen.
Meskipun beberapa anggota manajemen audit internal terlibat dalam pekerjaan meja jauh dari
kegiatan lapangan dan tidak melakukan audit internal secara langsung, setiap anggota fungsi audit
internal harus memiliki tingkat pengetahuan CBOK yang kuat tentang apa yang diperlukan untuk
merencanakan dan melaksanakan audit internal yang efektif. . Itu adalah persyaratan keterampilan
mendasar dalam proses audit internal, dan setiap auditor internal, dari CAE hingga anggota staf audit,
harus terbiasa dan nyaman dengan audit internal dasar.
proses.
Machine Translated by Google
BAB 16
Mendokumentasikan Hasil melalui Proses
Pemodelan dan Kertas Kerja
Saya
auditor internal mengamati banyak masalah atau kesalahan terkait proses dalam data dan operasi
sebagai bagian dari tinjauan audit internal mereka. Namun, manajemen tidak akan sepenuhnya
mengakui kekhawatiran dan temuan tersebut kecuali jika didukung oleh dokumentasi pendukung yang
kuat. Auditor internal dapat menjelaskan masalah pengendalian internal tingkat tinggi dalam ringkasan
hasil audit, tetapi jika manajer yang bertanggung jawab atas area yang diaudit mempertanyakan
temuan tersebut, mereka akan menjawab dengan permintaan "tunjukkan kepada saya".
Audit internal memerlukan dokumentasi yang kuat untuk mendukung temuan dan pengamatan audit.
Selain laporan audit internal yang efektif, sebagaimana dibahas dalam Bab 17, dokumentasi yang baik
harus mendukung pekerjaan audit internal.
Dokumentasi bukti audit yang efektif merupakan persyaratan keahlian audit internal yang sangat
penting. Ada dua dimensi untuk dokumentasi ini. Pertama, auditor internal sering dihadapkan pada
berbagai informasi tentang bisnis dan operasinya di suatu lokasi. Untuk lebih memahami kekuatan dan
kelemahan pengendalian, auditor perlu memikirkan aktivitas ini dalam kaitannya dengan proses
pendukungnya, yang seringkali tidak didokumentasikan secara memadai. Bab ini mengulas prosedur
untuk menjelaskan dan mendokumentasikan aktivitas ini melalui apa yang disebut pemodelan proses.
Beberapa profesional menggunakan teknik pemodelan proses yang menghasilkan diagram yang
kompleks; di sini kami mengeksplorasi pemodelan proses yang efektif untuk auditor internal—
keterampilan umum pengetahuan umum (CBOK) yang penting.
Bab ini juga menguraikan teknik untuk mendokumentasikan pekerjaan audit internal dalam kertas
kerja audit atau bukti audit. Ini adalah bahan yang dirakit untuk menggambarkan audit internal. Kertas
kerja audit sangat penting untuk audit internal individual dan untuk keseluruhan perusahaan. Dalam
beberapa situasi, mereka bahkan bisa menjadi sumber bukti dalam litigasi. Setelah diatur dalam file
berbasis kertas yang tebal, kertas kerja audit saat ini paling baik diatur dalam format digital dan dirakit
di komputer laptop. Bab ini membahas beberapa praktik terbaik untuk mengatur kertas kerja audit
internal.
Audit internal memiliki pelaporan keuangan dan persyaratan hukum untuk mempertahankan
dokumentasi kertas kerja auditnya untuk periode hingga tujuh tahun atau lebih. Ini bisa menjadi
tantangan; perubahan teknologi terkadang mempersulit pengaksesan arsip lama, dan keterbatasan
ruang fisik menghadirkan tantangan untuk melacak arsip lama.
Bab ini diakhiri dengan pembahasan manajemen catatan audit internal dan
329
Machine Translated by Google
praktik terbaik retensi. Penjelasan, pendokumentasian, dan pemeliharaan catatan kegiatan audit internal
adalah semua persyaratan CBOK audit internal.
SEC mensyaratkan bahwa "catatan disimpan selama tujuh tahun setelah auditor menyimpulkan
audit atau review laporan keuangan." 1 Untuk audit internal, periode penyimpanan catatan akan minimal
tujuh tahun setelah laporan audit dirilis. Sementara kantor akuntan publik tunduk pada aturan Dewan
Pengawas Akuntansi Perusahaan Publik serta tindakan hukum pemegang saham potensial, audit
internal tidak berada di bawah sorotan yang sama. Namun demikian, fungsi audit internal harus mengatur
untuk menyimpan semua catatan penting dari audit internal selama periode retensi tujuh tahun ini.
Bagian selanjutnya membahas tiga aspek penting dari dokumentasi audit internal: pemodelan
proses, kertas kerja audit, dan manajemen dokumen. Auditor internal sering memulai peninjauan di area
proses baru di mana mungkin belum ada audit sebelumnya dan bahkan dokumentasi perusahaan yang
terbatas. Auditor internal perlu mengamati operasi, meninjau laporan dan prosedur, dan mengajukan
pertanyaan untuk mengembangkan pemahaman tentang proses baru tersebut. Dokumentasi yang
dihasilkan penting untuk memahami lingkungan pengendalian internal dan untuk membuat rekomendasi
terkait konsultasi bila perlu.
Kertas kerja adalah topik utama kedua dari bab ini. Ini adalah dokumen yang menjelaskan
pekerjaan auditor internal dan memberikan dasar dan pemahaman untuk audit internal. Kami telah
beralih dari dokumen kertas cetak dan tulisan tangan ke era di mana pekerjaan audit dikumpulkan di
komputer laptop; dokumentasi yang baik
Machine Translated by Google
prosedur keamanan dan retensi sangat penting. Pemahaman dasar tentang bidang-bidang ini harus
menjadi persyaratan CBOK auditor internal dasar.
Model atau deskripsi proses bisnis adalah peta yang membantu auditor internal bernavigasi melalui
aktivitas bisnis:
Model proses benar-benar merupakan bentuk peta untuk membantu auditor internal menavigasi
melalui serangkaian aktivitas yang diamati. Namun, pemodelan proses yang baik lebih dari sekadar
peta jalan sederhana yang menunjukkan cara berpindah dari satu titik ke titik lainnya. Peta seperti itu
tidak akan membantu jika kita salah belok di suatu tempat di sepanjang jalan, dan kita membutuhkan
peta jalan yang lebih detail untuk kembali ke jalur awal yang dituju. Tampilan 16.1 menunjukkan
model proses yang sangat sederhana untuk proses pembuatan produk sesuai pesanan yang diminta
untuk ditinjau oleh auditor internal. Di sini beberapa grup proses perusahaan menerima input atau
pesanan dari pelanggannya dan mengirimkan produk yang telah selesai kepada mereka. Namun,
untuk menghasilkan output, itu harus berkoordinasi dengan pemasok, dan harus ada sistem
pengukuran umpan balik untuk mempromosikan perbaikan produk.
Persyaratan
Persyaratan
Pemasok Perusahaan Pelanggan
Proses
Memasukkan
Keluaran
Ini adalah jenis bagan yang disederhanakan yang mungkin disusun oleh auditor internal pada
kunjungan pertama ke fasilitas ketika mengajukan pertanyaan tentang aktivitasnya. Dengan menggunakan
bagan ini, auditor internal dapat mengumpulkan informasi yang lebih terperinci, seperti persyaratan input
dan output spesifik antara pemilik proses, aktivitas yang mengubah input pemasok menjadi output yang
memenuhi persyaratan pelanggan, dan sistem umpan balik dan pengukuran yang diperlukan untuk membuat
proses bekerja. Penting untuk melampaui model yang disederhanakan ini untuk informasi proses yang lebih
besar. Misalnya, proses operasi dapat didefinisikan dalam hal perencanaan, perekayasaan, pengadaan,
entri pesanan, hutang dagang, dan proses rinci piutang dagang.
Kegiatan. Bagian kecil dari proses yang dilakukan oleh satu departemen atau individu.
Sebagai bagian dari pemahaman dan penjelasan proses, auditor internal perlu memahami bagaimana
elemen-elemen proses tersebut berhubungan satu sama lain. Tampilan 16.2 menunjukkan perincian hirarki
proses untuk apa yang seharusnya menjadi proses yang familiar bagi auditor internal: elemen-elemen yang
terlibat dalam pelaksanaan audit internal. Deskripsi proses yang sebenarnya akan jauh lebih rinci, tetapi
pameran ini menunjukkan bahwa proses evaluasi pengendalian internal audit internal menunjuk ke seluruh
aliran subproses.
Melakukan analisis proses dan mendokumentasikan elemen-elemen kunci membutuhkan lebih banyak
usaha daripada langkah-langkah awal auditor yang dijelaskan dalam Bab 7.
Auditor internal perlu berkumpul menjadi tim personel yang terlibat dalam area proses dan melewati area
proses secara mendetail, mendefinisikan hal-hal seperti kriteria input dan output, potensi kesalahan yang
terkait dengan setiap tautan, dan mekanisme umpan balik untuk memperbaiki kesalahan tersebut. Proses
ini dapat memakan banyak waktu, tetapi harus bermanfaat bagi audit internal saat ini dan masa depan di
area peninjauan.
Deskripsi proses yang disiapkan oleh auditor internal harus menjadi bagian dari kertas kerja audit untuk
setiap tinjauan, seperti yang dijelaskan di bagian selanjutnya. Tujuannya adalah untuk menggambarkan
aliran input dan output antara aktivitas proses ini. Mereka membutuhkan yang kuat
Machine Translated by Google
Kegiatan Proses
Dokumen Evaluasi
Hasil Hasil tes
Tugas
Perbaikan
Rencana aksi
Menindaklanjuti Hasil
materi deskriptif serta diagram flowchart. Meskipun dokumentasi semacam itu pernah disiapkan dengan
metode pensil-dan-kertas yang cepat ketinggalan zaman, alat otomatis canggih pada komputer laptop
mengembangkan bagan alur proses dengan mudah. Banyak produk kuat ada di pasaran; SmartDraw
dan Visio adalah produk perangkat lunak yang sangat baik untuk dipertimbangkan. (Perhatikan bahwa
buku ini tidak mendukung satu produk di atas yang lain.) Sebelum memperoleh perangkat lunak grafik,
auditor internal harus bertemu dengan manajer teknologi informasi (TI) atau jaminan kualitas untuk
memastikan perangkat lunak apa yang mereka gunakan.
Berdasarkan produk pemodelan lain yang ada, audit internal harus mengembangkan standar
diagram untuk digunakan dalam menggambarkan proses perusahaan dan pengendalian internal mereka.
Standar diagram ini terdiri dari diagram alur dan deskripsi singkat.
Uraian tersebut, tentu saja, harus mengikuti standar yang sama dengan yang digunakan audit internal
dalam semua uraian kertas kerja auditnya, sering kali berupa catatan berpoin yang menggambarkan
wawancara yang telah dilakukan oleh auditor serta waktu dan tanggal wawancara yang didokumentasikan.
Catatan ini harus ditinjau dan disetujui oleh penyelia dan dilindungi dari perubahan tidak sah di masa
mendatang. Mereka adalah elemen dari kertas kerja audit internal dan memerlukan kontrol penyimpanan
dokumen.
Sebuah survei teks pemodelan proses akan menunjukkan banyak pendekatan diagram alternatif.
Banyak yang sangat rumit dan harus dihindari; yang lain terlalu menekankan pada deskripsi semua titik
keputusan yang terperinci dalam suatu proses—mirip dengan bagan alir terperinci yang pernah digunakan
untuk mendokumentasikan program COBOL. Audit internal harus mengembangkan pendekatan standar
dan konsisten untuk diagram alur pemodelan prosesnya. Dua pendekatan yang mudah digunakan dan
dipahami adalah bagan alur input/output dan bagan alur kerja.
Machine Translated by Google
Cetak biru
Kursi
Belum selesai
Kaki Kursi
Perakitan
Kembali
Selesai
Kursi
Melukis
Melukis
(i) BAGAN ALIR PROSES INPUT/OUTPUT Pendekatan deskripsi aliran paling baik untuk proses yang
berhubungan dengan objek fisik. Fokusnya adalah pada partisipan pasif yang dikonsumsi, diproduksi,
atau diubah oleh proses aktivitas. Jenis flowchart ini adalah peta jalan untuk mengangkut langkah-
langkah proses dari satu aktivitas ke aktivitas berikutnya. Tampilan 16.3 menunjukkan aliran proses
input/output untuk pembuatan kursi kayu. Menggunakan cetak biru yang sudah mapan, berbagai input
bagian ditransfer ke proses perakitan. Setelah selesai, kursi pindah ke proses pengecatan. Ini adalah
diagram sederhana, tetapi menunjukkan bagaimana input dan output proses bergerak melalui suatu
operasi.
(ii) BAGAN ALUR PROSES DESKRIPSI ARUS KERJA Sebuah bagan alir proses deskripsi alur kerja
menempatkan penekanannya pada urutan aktivitas daripada aktivitas apa yang dilakukan pekerjaan.
Exhibit 16.4 adalah contoh flowchart jenis ini yang menunjukkan alur pembayaran dan pengiriman. Di
sini semua kegiatan harus dilakukan dalam urutan tertentu.
Misalnya, dalam bagan alur, penting untuk menerima pembayaran sebelum pengiriman barang. Dalam
jenis diagram ini, penekanannya bukan pada peserta tetapi pada urutan proses yang harus mengalir.
Karena banyak audit internal melibatkan aktivitas jenis kantor daripada pembuatan langkah kerja,
bentuk bagan alur proses ini seringkali paling baik untuk memberikan peta jalan jenis aktivitas yang
akan dihadapi oleh auditor internal.
Menerima
Pembayaran
Memeriksa
Pembayaran
(Tidak baik)
Kontak
Pelanggan
(OKE)
Mengirimkan Memberitahukan
Barang Pelanggan
peran auditor internal sebagai konsultan perusahaan; pemahaman tentang alat dan teknik pemodelan
proses sangat penting di sana. Auditor dapat bertemu dengan tim perusahaan dan mengidentifikasi area
untuk perbaikan.
Bab ini berisi deskripsi tingkat tinggi dari pemodelan proses. Meskipun jenis alur kerja dari bagan
alur yang dijelaskan di sini tidak begitu rumit, auditor internal mungkin ingin mengumpulkan lebih banyak
informasi untuk meningkatkan keterampilan pemodelan proses.
Auditor internal yang dididik dalam metode Institute of Internal Auditors mungkin tidak berpengalaman
dalam teknik pemodelan proses, tetapi siapa pun yang terlibat dalam proses penjaminan mutu harus
mengetahuinya. Bab 31 membahas audit dan pendekatan penjaminan mutu. Setiap auditor internal harus
memiliki setidaknya tingkat minimum pengetahuan tentang pemodelan proses dan bagan alur.
salinan dokumen yang disiapkan sebagai bagian dari audit. Kertas kerja merupakan bukti untuk
menggambarkan hasil audit internal. Mereka harus dipertahankan secara formal untuk referensi
selanjutnya dan pembuktian kesimpulan audit dan rekomendasi yang dilaporkan. Sebagai jembatan
antara prosedur audit internal aktual dan laporan yang dikeluarkan, kertas kerja bukanlah tujuan itu
sendiri tetapi sarana untuk mencapai tujuan itu.
Kertas kerja dibuat agar sesuai dengan tugas audit tertentu, dan persiapannya mungkin sangat
fleksibel. Mereka harus mendukung dan mendokumentasikan tujuan dan kegiatan auditor internal,
terlepas dari bentuk spesifiknya. Dengan demikian, prinsip dan konsep kertas kerja lebih penting
daripada sekadar format spesifiknya.
Kertas kerja audit internal juga dapat memiliki signifikansi hukum. Dalam beberapa situasi,
mereka telah diserahkan, melalui perintah pengadilan, kepada otoritas pemerintah, hukum, atau
regulator sebagai bukti pendukung. Ketika diteliti oleh orang luar dalam konteks ini, catatan atau jadwal
kertas kerja yang tidak tepat dapat dengan mudah diambil dalam konteks yang salah. Kertas kerja
merupakan catatan terdokumentasi tentang siapa yang melakukan audit dan siapa yang meninjau
pekerjaan tersebut. Kertas kerja audit internal adalah catatan utama dari pekerjaan audit yang
dilakukan, dan pada suatu saat dapat memberikan bukti tentang apa yang terjadi atau tidak terjadi
dalam suatu audit.
Bagian ini memberikan panduan umum untuk menyiapkan, mengatur, meninjau, dan menyimpan
kertas kerja. Meskipun pernah diatur dalam folder kertas ukuran legal yang besar, kertas kerja audit
saat ini disimpan sebagai folder berbasis komputer atau kombinasi dokumen format kertas dan
komputer. Penyusunan kertas kerja merupakan persyaratan dasar CBOK auditor internal. Sebagai
catatan tambahan, bab ini dan bab lainnya menggunakan istilah kertas kerja. Pembaca juga dapat
melihat working paper atau kertas kerja. Semua berarti hal yang sama.
Seperti dibahas dalam bab-bab sebelumnya, audit internal adalah proses peninjauan dokumentasi
bisnis yang dipilih secara objektif serta mewawancarai anggota perusahaan untuk mengumpulkan
informasi tentang suatu kegiatan untuk mendukung tujuan audit. Auditor internal kemudian mengevaluasi
materi dan informasi yang dikumpulkan dari wawancara untuk menentukan apakah tujuan audit
terpenuhi dan apakah standar dan prosedur yang tepat diikuti. Berdasarkan pemeriksaan tersebut,
auditor membentuk suatu kesimpulan dan opini audit yang dilaporkan kepada manajemen, biasanya
dalam bentuk temuan audit dan rekomendasi yang dipublikasikan dalam laporan audit internal,
sebagaimana dibahas dalam Bab 17. Namun, auditor internal tidak boleh hanya dengan santai
membolak-balik beberapa laporan atau mengamati operasi untuk memberikan kesan kepada
manajemen tentang apa yang ditemukan. Bukti audit, yang didokumentasikan dalam kertas kerja
auditor, harus cukup untuk mendukung asersi dan kesimpulan auditor.
Tujuan keseluruhan kertas kerja adalah untuk mendokumentasikan bahwa audit yang memadai
dilakukan mengikuti standar profesional. Fungsi utama kertas kerja auditor meliputi:
Dasar perencanaan audit. Kertas kerja dari audit sebelumnya memberi auditor informasi latar
belakang untuk melakukan tinjauan saat ini di area keseluruhan yang sama. Mereka mungkin
berisi deskripsi entitas, evaluasi pengendalian internal, anggaran waktu, program audit yang
digunakan, dan hasil lain dari pekerjaan audit masa lalu.
Rekaman pekerjaan audit yang dilakukan. Kertas kerja menjelaskan pekerjaan audit saat ini
yang dilakukan dan juga menyediakan referensi untuk program audit yang telah ditetapkan. (Lihat
Bab 13 tentang penyiapan program audit.) Meskipun audit bersifat khusus,
Machine Translated by Google
seperti investigasi penipuan di mana mungkin tidak ada program audit formal, catatan harus
disimpan dari pekerjaan audit yang dilakukan. Catatan kertas kerja ini harus mencakup uraian
kegiatan yang ditinjau, salinan dokumen perwakilan, luas cakupan audit, dan hasil yang diperoleh.
Gunakan selama audit. Dalam banyak kasus, kertas kerja memainkan peran langsung dalam
melaksanakan upaya audit tertentu. Misalnya, kertas kerja dapat berisi berbagai log kontrol yang
digunakan oleh anggota tim audit untuk area seperti kontrol atas respons yang diterima sebagai
bagian dari audit konfirmasi independen saldo piutang pelanggan. Demikian pula, flowchart
mungkin disiapkan dan kemudian digunakan untuk memberikan panduan untuk tinjauan lebih
lanjut dari kegiatan aktual dalam beberapa proses. Masing-masing elemen ini akan dimasukkan
ke dalam kertas kerja pada langkah audit sebelumnya.
Deskripsi situasi minat khusus. Selama pekerjaan audit dilaksanakan, situasi dapat terjadi yang
memiliki signifikansi khusus dalam bidang-bidang seperti kepatuhan terhadap kebijakan dan
prosedur yang ditetapkan, keakuratan, efisiensi, kinerja personel, atau potensi penghematan biaya.
Dukungan untuk kesimpulan audit khusus. Produk akhir dari sebagian besar audit internal
adalah laporan audit formal, seperti yang dibahas dalam Bab 17, yang berisi temuan dan
rekomendasi audit. Dokumentasi yang mendukung temuan dapat berupa bukti aktual, seperti
salinan pesanan pembelian yang tidak memiliki tanda tangan yang diperlukan, atau bukti turunan,
seperti laporan keluaran dari prosedur berbantuan komputer terhadap file data atau catatan dari
wawancara. Kertas kerja harus memberikan bukti yang cukup untuk mendukung temuan audit
spesifik yang akan dimasukkan dalam laporan audit.
Sumber referensi. Kertas kerja dapat menjawab pertanyaan tambahan yang diajukan oleh
manajemen atau oleh auditor eksternal. Pertanyaan tersebut mungkin berkaitan dengan temuan
laporan audit tertentu atau rekomendasinya, atau mungkin terkait dengan pertanyaan lain.
Misalnya, manajemen mungkin bertanya kepada audit internal jika masalah yang dilaporkan juga
ada di lokasi lain yang bukan merupakan bagian dari audit saat ini.
Kertas kerja dari tinjauan itu dapat memberikan jawabannya. Kertas kerja juga menyediakan
bahan latar belakang dasar yang mungkin dapat diterapkan untuk audit entitas atau aktivitas
tertentu di masa mendatang.
Penilaian staf. Kinerja anggota staf selama audit—termasuk kemampuan auditor untuk
mengumpulkan dan mengatur data, mengevaluasinya, dan sampai pada kesimpulan—direfleksikan
secara langsung atau ditunjukkan oleh kertas kerja.
Koordinasi audit. Auditor internal dapat bertukar kertas kerja dengan auditor eksternal, masing-
masing mengandalkan pekerjaan pihak lain. Selain itu, auditor pemerintah, dalam tinjauan
peraturan mereka atas pengendalian internal, dapat meminta untuk memeriksa kertas kerja
auditor internal.
Dalam beberapa hal, kertas kerja audit tidak berbeda dengan file formal korespondensi, email,
dan catatan yang merupakan bagian dari perusahaan yang dikelola dengan baik. Seorang manajer
akan menyimpan file korespondensi masuk dan keluar, catatan berdasarkan percakapan telepon, dan
sejenisnya. Namun, file ini didasarkan pada praktik yang baik dan mungkin berbeda dari satu manajer
ke manajer lainnya di suatu perusahaan. Manajer mungkin tidak pernah diminta untuk mengambil file
pribadi ini untuk mendukung beberapa keputusan perusahaan atau tindakan lainnya.
Kertas kerja audit internal berbeda karena dapat digunakan untuk mendukung atau mempertahankan
kesimpulan yang dicapai dari audit. Mereka mungkin ditinjau oleh orang lain
Machine Translated by Google
karena berbagai alasan. Anggota perusahaan audit internal dapat mengerjakan proyek bersama dan
perlu berbagi kertas kerja untuk mendukung komponen masing-masing dari proyek audit yang lebih
besar atau untuk mengambil alih audit yang dilakukan sebelumnya oleh anggota staf audit yang lain.
Adalah penting bahwa departemen audit internal memiliki seperangkat standar untuk memastikan
persiapan kertas kerja yang konsisten.
Auditor internal harus mencatat informasi yang relevan untuk mendukung kesimpulan dan hasil
penugasan.
Ini adalah standar yang sangat luas, tetapi didukung oleh serangkaian Panduan Praktik yang
memberikan informasi pendukung tambahan tentang masalah kertas kerja audit internal, termasuk
persiapannya, pengendalian dokumentasi, dan persyaratan retensi. Namun, gaya dan format kertas
kerja yang sebenarnya akan bervariasi dari satu departemen audit internal ke departemen audit internal
lainnya dan, pada tingkat yang lebih rendah, dari satu audit ke audit lainnya. Departemen audit internal
sering menetapkan standar kertas kerja yang konsisten dengan auditor eksternal. Namun, audit internal
harus selalu mengenali perbedaan antara pekerjaan pengesahan laporan keuangan auditor eksternal
dan aspek operasional audit internal. Meskipun tidak ada persyaratan untuk mengadopsi standar kertas
kerja audit eksternal, banyak fungsi audit internal merasa nyaman untuk mengikuti format umum dari
pendekatan kertas kerja auditor eksternal mereka.
Kertas kerja tidak dirancang untuk bacaan umum atau sebagai laporan manajemen audit
noninternal. Mereka dirancang terutama untuk mendukung audit internal individu dan dapat digunakan
oleh anggota lain dari fungsi audit internal, termasuk manajemen dan penjaminan mutu serta auditor
eksternal dan fungsi hukum perusahaan. Kertas kerja harus mengikuti serangkaian standar yang
konsisten dan dapat berdiri sendiri sehingga pihak luar yang berwenang, seperti auditor eksternal,
dapat membacanya dan memahami tujuan audit internal, pekerjaan yang dilakukan, dan masalah yang
belum terselesaikan. atau temuan. Standar kertas kerja audit internal harus mencakup bidang-bidang
berikut:
Relevansi dengan tujuan audit. Isi kertas kerja harus relevan dengan keseluruhan penugasan
audit dan tujuan khusus dari bagian tertentu dari reviu. Tidak diperlukan bahan yang tidak
berkontribusi pada tujuan audit khusus yang dilakukan.
Kondensasi detail. Auditor internal biasanya mengumpulkan sejumlah besar data dan informasi
terperinci tentang setiap tinjauan. Materi tersebut harus dirangkum dengan hati-hati dalam kertas
kerja audit untuk lebih menggambarkan aktivitas audit yang dilakukan. Misalnya, audit dapat
menggunakan CAATT, seperti yang dibahas dalam Bab 21, untuk mengonfirmasi saldo pada file
data, tetapi seringkali tidak perlu menyertakan seluruh keluaran yang dihasilkan CAATT dalam
kertas kerja. Ringkasan total dengan hasil tes, beberapa detail sampel, dan salinan program
komputer yang digunakan mungkin cukup.
Machine Translated by Google
Kejelasan presentasi. Untuk menyajikan materi yang jelas dan dapat dipahami, auditor dan
penyelia mereka harus meninjau presentasi kertas kerja secara berkelanjutan dan membuat
rekomendasi untuk perbaikan.
Akurasi kertas kerja. Akurasi kertas kerja sangat penting untuk semua jadwal audit dan data
kuantitatif lainnya. Kertas kerja dapat digunakan kapan saja di masa mendatang untuk menjawab
pertanyaan dan mendukung representasi audit internal di kemudian hari.
Tindakan pada item terbuka. Pertanyaan sering diajukan selama audit, sebagai bagian dari
catatan kertas kerja auditor internal, atau pengungkapan informasi yang memerlukan tindak lanjut.
Setelah audit selesai, tidak boleh ada item terbuka di kertas kerja. Semua item kertas kerja harus
dibersihkan atau didokumentasikan secara formal untuk tindakan audit di masa mendatang.
Standar bentuk. Agar kertas kerja dapat secara akurat menggambarkan pekerjaan audit yang
dilakukan, kertas kerja tersebut harus disiapkan dalam format yang konsisten di dalam kertas kerja
audit mana pun atau dari satu kertas kerja ke kertas kerja lainnya di dalam departemen audit internal.
Manajer audit internal harus, misalnya, mengetahui di mana menemukan jadwal jam auditor untuk
setiap kertas kerja yang ditinjau. Standar formulir harus mencakup: Persiapan judul. Halaman
atau format kertas kerja individu harus memiliki judul dengan judul audit total, komponen tertentu
dari penugasan audit total yang terkandung dalam lembar kertas kerja tertentu, dan tanggal.
Judul yang lebih kecil di satu sisi harus mencantumkan nama atau inisial orang yang menyiapkan
kertas kerja dan tanggal pembuatannya.
Perusahaan. Penggunaan judul yang tepat, spasi, dan kecukupan margin memudahkan
pembacaan dan pemahaman. Auditor mungkin menganggap perusahaan ini sejalan dengan
cara penyusunan buku teks.
Kerapian dan keterbacaan. Kualitas-kualitas ini tidak hanya membuat kertas kerja lebih
bermanfaat bagi semua pembaca, tetapi juga menegaskan kehati-hatian dalam persiapan mereka.
Pengindeksan silang. Semua kertas kerja harus diindeks dan diindeks silang.
Pengindeksan silang memberikan jejak bagi auditor dan memastikan keakuratan informasi
dalam kertas kerja serta dalam laporan audit berikutnya.
340
Mendokumentasikan Hasil melalui Pemodelan Proses dan Kertas Kerja
BAGAN 16.5 Contoh Lembar Kertas Kerja yang Disiapkan Secara Manual
Lembar kerja untuk mencatat penghitungan disiapkan dengan menggunakan sistem persediaan
Global Computer —mereka mendaftar bagian-bagian yang ditugaskan ke lokasi gudang yang ditunjuk
tetapi tanpa jumlah sebenarnya (lihat X-Ref-02). Perwakilan dari kantor pengontrol—Lester Tuttle—
menuju meja kontrol, mengeluarkan lembar hitungan, dan mencatatnya setelah diterima.
Sebagai bagian dari pengamatan inventaris, audit internal memilih serangkaian nomor
penyimpanan stok acak dan secara independen melakukan penghitungan pengujian. Kami membandingkan
jumlah ini dengan jumlah yang dicatat oleh tim inventaris. Jumlah dan hasil tes diringkas (lihat X-Ref-03).
Sebagai hasil pengamatan persediaan fisik ini, audit internal menemukan ...
termasuk. Demikian pula, jika auditor menindaklanjuti suatu masalah dari audit sebelumnya, kertas kerja harus
mendokumentasikan cara di mana masalah itu diperbaiki atau siapa yang memberi tahu auditor bahwa masalah
itu telah diperbaiki. Tidaklah cukup hanya dengan menandainya “diperbaiki” tanpa referensi lebih lanjut.
Auditor internal harus selalu ingat bahwa situasi dapat berubah dan kertas kerja dapat dipertanyakan
bertahun-tahun setelah disiapkan. Badan pengatur, seperti SEC, dapat memperoleh hak untuk melihat sekumpulan
kertas kerja yang disiapkan bertahun-tahun yang lalu sebagai bagian dari penyelidikan. Agensi mungkin
mengajukan pertanyaan lebih lanjut atau mengambil langkah lain berdasarkan pekerjaan audit dan pengamatan
yang dicatat dalam kertas kerja lama tersebut. Kenangan sering memudar, dan kertas kerja audit mungkin satu-
satunya catatan yang kredibel.
Saat ini, sebagian besar auditor internal menyiapkan kertas kerja mereka di komputer laptop mereka, di
mana banyak komentar dan jadwal auditor disimpan dalam file dan folder yang aman. Sebagai alternatif, kertas
kerja dapat diatur sebagai lembaran berukuran 81 × 11 inci yang diamankan dalam pengikat tiga cincin.
2
kertas
Beberapa
kerja
mungkin menggunakan format folder yang jauh lebih lama yang disiapkan pada lembar ukuran legal yang dijilid di
bagian atas. Terlepas dari ukuran halaman atau media, tujuan lembar kertas kerja adalah untuk menyediakan
kerangka kerja standar untuk mendokumentasikan kegiatan audit internal. Seperti yang telah dibahas, halaman
kertas kerja harus diberi judul, diberi tanggal, diparaf oleh pembuatnya, dan disiapkan dengan rapi dan teratur.
dan isi dari kertas kerja individu tersebut dapat sangat bervariasi. Kategori utama bergantung
pada sifat bahan audit dan pekerjaan yang dilakukan, dan standar kertas kerja harus dibuat
berdasarkan beberapa jenis file khusus. Bab ini mengacu pada ini sebagai file; istilah folder juga
umum saat ini. Beberapa departemen audit internal masih menggunakan pengikat istilah lama
untuk merujuk pada pengelompokan kertas kerja yang berbeda. Sama seperti dalam sistem
pengarsipan manual, bahan kertas kerja diklasifikasikan berdasarkan jenis dasarnya dan
dikelompokkan bersama dalam sebuah file atau diikat bersama dalam pengikat dengan cara
yang membantu pengambilannya. Untuk sebagian besar audit internal, kertas kerja dapat
dipisahkan menjadi area audit yang luas berikut ini:
File permanen
File administratif
File prosedur audit
(i) FILE PERMANEN Banyak audit dilakukan secara periodik dan mengikuti prosedur berulang.
Daripada mengumpulkan semua data yang diperlukan setiap kali audit periodik dilakukan, data
tertentu dapat dikumpulkan ke dalam apa yang disebut file kertas kerja permanen, yang berisi
data yang bersifat historis atau berkelanjutan yang berkaitan dengan audit saat ini. Beberapa
dari data ini mungkin termasuk:
Salinan laporan audit terakhir, program audit yang digunakan, dan komentar tindak lanjut
Laporan keuangan tentang entitas serta data analitik lain yang berpotensi berguna
Informasi tentang unit audit (deskripsi produk utama, proses produksi, dan hal-hal lain yang
layak diberitakan)
Informasi logistik untuk membantu auditor berikutnya, termasuk catatan tentang logistik
dan pengaturan perjalanan
File permanen tidak dimaksudkan untuk permanen karena tidak akan pernah ada perubahan;
sebaliknya, ini memberikan auditor internal yang memulai penugasan baru sebagai sumber
materi latar belakang untuk membantu merencanakan audit baru. Arsip permanen adalah sumber
kontinuitas untuk menyatukan audit dari waktu ke waktu. Auditor kadang-kadang bersalah
memuat file audit ini dengan bahan yang tidak layak status permanen (misalnya, salinan berbagai
prosedur yang akan berubah pada saat audit berikutnya). Bahan yang sudah tersedia pada saat
audit berikutnya tidak perlu disimpan dalam arsip permanen kecuali prosedur tertentu yang
sedang berlangsung didasarkan pada bahan sebelumnya. Demikian pula, auditor terkadang
mengisi file permanen berbasis kertas untuk lokasi di luar kota dengan peta dan menu restoran
lokal. Referensi ini akan berubah seperti halnya preferensi auditor individu dan kebijakan
departemen. Materi perencanaan administrasi ini harus dijaga seminimal mungkin.
(ii) FILE ADMINISTRASI Meskipun file administrasi kertas kerja yang terpisah mungkin tidak
diperlukan untuk audit yang lebih kecil, bahan kertas kerja administrasi umum yang sama harus
digabungkan dalam semua set kertas kerja audit. Jika hanya ada satu ditor atau ulasan terbatas,
materi ini dapat dimasukkan ke dalam kertas kerja tunggal.
Machine Translated by Google
1.a Tinjau sumber untuk mengurangi kondisi kas yang sulit dikendalikan. W/P B.32 LCT
10/30/xx
1.b Tentukan bahwa perlindungan fisik memadai untuk menyediakan
kas pada semua tahap operasi.
1.c Tinjau prosedur untuk menyimpan uang tunai—dalam segala bentuk dan
tingkat.
2.a Tentukan bahwa kas kecil dan dana cabang digunakan dan
dioperasikan berdasarkan impresi.
2.b Menilai kecukupan dukungan dokumenter untuk pengeluaran kas kecil W/P B.37 LCT
dan lain-lain. 10/29/xx
2.c Tinjau kontrol seputar penerbitan dan penggunaan kartu kredit perusahaan.
3.a Tentukan semua karyawan yang menangani atau memiliki akses langsung ke
uang tunai terikat secara memadai.
4.a Pilih salah satu dana kas kecil dan amati secara mandiri penghitungan kas, W/P B.26 LCT
rekonsiliasi hasilnya dengan catatan yang tercatat. 11/05/xx
(iii) FILE PROSEDUR AUDIT Rekaman pekerjaan audit sebenarnya yang dilakukan harus dipelihara,
tergantung pada jenis dan sifat penugasan audit. Misalnya, audit keuangan mungkin berisi jadwal
spreadsheet terperinci dengan komentar auditor atas pengujian yang dilakukan. Audit operasional dapat
berisi catatan wawancara dan komentar atas pengamatan auditor. File ini biasanya yang terbesar untuk
semua audit dan sering mengandung elemen-elemen berikut:
Daftar prosedur audit yang telah selesai. Kertas kerja adalah pusat penyimpanan yang
mendokumentasikan prosedur audit, dan termasuk salinan program audit bersama dengan inisial
auditor dan tanggal langkah audit. Catatan komentar mungkin ada di program atau dilampirkan
sebagai catatan tambahan referensi silang. Tampilan 16.6 menunjukkan program audit yang telah
selesai diajukan di kertas kerja.
Kuesioner yang telah selesai. Beberapa fungsi audit internal menggunakan kuesioner standar
yang mencakup jenis prosedur pengendalian internal tertentu. Kuesioner ini biasanya memberikan
jawaban ya dan tidak serta komentar tambahan yang sesuai.
Deskripsi prosedur operasional. Kertas kerja harus menjelaskan secara singkat sifat dan ruang
lingkup jenis kegiatan operasional tertentu. Deskripsi ini dapat berupa diagram alir proses, seperti
yang dibahas sebelumnya di bab ini, atau narasi verbal. Auditor harus selalu mencatat pada kertas
kerja sumber informasi untuk mengembangkan deskripsi ini. Seorang anggota manajemen auditi
mungkin telah menjelaskan prosesnya, atau auditor mungkin telah mengumpulkan informasi ini
melalui observasi.
Meninjau kegiatan. Banyak kertas kerja audit internal mencakup penyelidikan khusus yang menilai
aktivitas yang dipilih. Ini dapat mencakup pengujian data, observasi
Machine Translated by Google
Audit Internal meninjau sampel laporan perjalanan dan hiburan karyawan yang diajukan secara
elektronik selama kuartal ke-3, 20xx. Selama periode itu, 987 laporan diajukan. Kami memilih sampel 45
laporan untuk ditinjau berdasarkan kriteria berikut: Semua laporan untuk 6 pejabat senior — 16 laporan ditinjau.
kinerja, pertanyaan kepada individu yang ditunjuk, dan sejenisnya. Ini mungkin jenis kertas kerja
yang paling umum disiapkan oleh auditor internal. Ini tidak mengikuti satu bentuk tetapi hanya
berfungsi untuk menggambarkan kegiatan audit yang dilakukan dan hasilnya. Exhibit 16.7
menunjukkan kertas kerja yang mencakup tes audit biaya perjalanan dan hiburan.
Analisis dan jadwal yang berkaitan dengan laporan keuangan. Dalam audit berorientasi
keuangan, berbagai kertas kerja khusus berkaitan dengan pembuktian keakuratan laporan
keuangan atau saldo akun. Jenis jadwal kertas kerja ini adalah dokumentasi yang sesuai untuk
ulasan Sarbanes-Oxley Section 404 yang dibahas di Bab 4.
Dokumen perusahaan. Seringkali ada dokumen perusahaan dasar, seperti bagan perusahaan,
risalah rapat, pernyataan atau prosedur kebijakan tertentu, kontrak, dan sejenisnya. Sementara
beberapa di antaranya mungkin lebih sesuai untuk file permanen, yang lain unik untuk audit
tertentu. Namun, auditor tidak boleh memasukkan semua materi ke dalam kertas kerja. Misalnya,
mungkin cukup untuk menyertakan daftar isi dan kutipan yang relevan daripada memasukkan
seluruh manual prosedur dalam kertas kerja. Tujuan dari dokumen ini adalah untuk membantu
auditor masa depan dalam pengambilan keputusan atau proses mereka.
Temuan, lembar poin, catatan pengawas, atau draf laporan. Lembar poin yang menjelaskan
sifat temuan audit serta referensi kertas kerja untuk pekerjaan audit terperinci harus dimasukkan
dalam file prosedur audit meskipun salinannya telah diteruskan ke file administratif. Selama audit,
auditor penanggung jawab atau pengawas audit menyiapkan ulasan ulasan yang mungkin
memerlukan penjelasan oleh auditor. Dalam beberapa kasus, pekerjaan audit lebih lanjut diperlukan.
Lembar poin kertas kerja ditunjukkan pada Tampilan 16.8. Untuk audit yang lebih kecil yang tidak
memiliki file administratif, versi draf laporan tertulis harus disertakan di sini. Draf ini dapat dianotasi
untuk menunjukkan perubahan besar, orang-orangnya
Machine Translated by Google
Auditor
W/P Ref. Catatan Tinjauan Supervisor Tindakan
bertanggung jawab untuk mengesahkan perubahan tersebut, dan dalam beberapa kasus alasan
perubahan tersebut.
File audit massal Audit internal sering menghasilkan sejumlah besar bahan bukti, yang harus
dipertahankan tetapi tidak termasuk dalam kertas kerja utama.
Misalnya, audit internal dapat melakukan survei yang menghasilkan sejumlah besar kuesioner yang
dikembalikan. Bahan-bahan ini harus diklasifikasikan sebagai kertas kerja tetapi harus diambil dari
file curah hanya jika diperlukan.
Kertas kerja adalah dasar dokumentasi audit dari satu audit atau auditor ke audit berikutnya dan juga
merupakan sarana komunikasi dengan auditor eksternal perusahaan. Departemen audit internal harus
menetapkan beberapa standar keseluruhan yang mencakup gaya, format, dan isi kertas kerja yang
digunakan dalam berbagai audit. Beberapa detail spesifik tidak perlu dibekukan, mengingat berbagai jenis
audit yang dilakukan dan prosedur otomasi audit yang terus berkembang. Namun, isi kertas kerja harus
disiapkan secara konsisten untuk semua audit. File kertas kerja prosedur audit, misalnya, harus berisi
bahan yang mencakup setiap area yang baru saja terdaftar.
template kertas kerja tetapi juga menyertakan kertas kerja yang lebih tradisional dan disiapkan secara
manual. Apakah disiapkan secara manual atau menggunakan sistem berbasis komputer, kertas kerja
audit harus berisi standar pengindeksan dan notasi tertentu yang akan memudahkan peninjauan oleh
profesional audit lain yang berkepentingan.
(i) INDEKS DAN REFERENSI Silang KERTAS KERJA Mirip dengan notasi referensi dalam buku teks,
referensi silang dan notasi yang memadai harus memungkinkan auditor atau peninjau untuk mengambil
referensi yang signifikan dan melacaknya kembali ke kutipan atau sumber aslinya. Misalnya, dokumen
kertas kerja yang menjelaskan tinjauan keuangan aset tetap mungkin menyebutkan bahwa aplikasi TI
yang menghitung penyusutan memiliki kontrol yang memadai. Hal ini cukup untuk memberikan referensi
silang sehingga pembaca yang tertarik dapat dengan mudah menemukan kertas kerja pemeriksaan
kontrol perhitungan penyusutan auditor.
Nomor indeks pada kertas kerja sama dengan nomor jilid dan halaman pada buku terbitan. Nomor indeks
kertas kerja harus dikaitkan dengan daftar isi, yang biasanya muncul di halaman pertama folder kertas
kerja atau penjilid manual. Nomor tersebut mengidentifikasi halaman tertentu dalam pengikat kertas kerja
tertentu. Referensi ke nomor ini di tempat lain memungkinkan auditor untuk segera memilih penjilid dan
halaman kertas kerja yang benar. Sistem yang digunakan untuk nomor indeks dalam satu set kertas kerja
bisa sesederhana atau serumit yang diinginkan. Banyak departemen audit internal mengadopsi sistem
pengindeksan umum yang sama yang digunakan oleh auditor eksternal mereka sehingga semua anggota
staf audit dapat memahami referensi yang benar untuk suatu volume dalam kumpulan kertas kerja
tertentu.
Sebuah metode untuk mengindeks kertas kerja audit internal yang disiapkan secara manual mungkin
mengikuti serangkaian tiga digit sehingga "AP-5-26" berarti bagian halaman ke-26 dari langkah ke-5
dalam serangkaian prosedur audit tertentu. Jika beberapa halaman diperlukan untuk halaman 26,
halaman tersebut akan dinyatakan sebagai AP-5-26.01, -26.02, dan seterusnya. Setiap sistem penomoran
harus mudah digunakan dan dapat disesuaikan untuk diubah. Dengan dokumen kertas kerja berbasis
laptop, hyperlink Microsoft Word dapat menjadi alat yang berguna.
Referensi silang mengacu pada penempatan nomor indeks kertas kerja referensi lain dalam jadwal
kertas kerja tertentu. Misalnya, jadwal kertas kerja dapat membahas pengendalian atas penambahan
aset tetap dan menyatakan bahwa semua penambahan di atas batas yang ditentukan menerima
persetujuan yang tepat dari manajemen. Pernyataan kertas kerja tersebut akan merujuk pada nomor
indeks kertas kerja lain yang menunjukkan pengujian aset tetap dan menunjukkan bukti persetujuan
manajemen. Nomor referensi silang sangat penting dalam audit keuangan, di mana semua nomor pada
berbagai jadwal harus diikat bersama untuk memastikan konsistensi.
(ii) TANDA CENTANG Kembali ke hari-hari awal kertas kerja audit yang disiapkan secara manual,
auditor sering menyiapkan jadwal keuangan atau statistik dan kemudian memilih berbagai nomor dari
jadwal tersebut untuk melakukan satu atau lebih pengujian tambahan. Misalnya, auditor dapat meninjau
sampel pesanan pembelian untuk menentukan apakah pesanan tersebut mewakili vendor dalam daftar
yang disetujui, tunduk pada penawaran yang bersaing, dihitung dengan benar, dan sebagainya. Daripada
mencantumkan sampel pesanan pembelian ini pada beberapa lembar kertas kerja untuk setiap pengujian,
auditor biasanya menyiapkan satu jadwal, menggunakan apa yang disebut tanda centang untuk mencatat
berbagai pengujian yang dilakukan.
Tanda centang adalah bentuk manual auditor atau notasi steno pensil yang telah berkembang
selama bertahun-tahun, khususnya untuk audit keuangan. Auditor dapat mengembangkan tanda tertentu
untuk menunjukkan bahwa nilai yang diberikan pada jadwal keuangan menyilangkan kaki ke nilai terkait
lainnya dan tanda centang lain untuk menunjukkan bahwa nilai tersebut terkait dengan neraca saldo.
Auditor hanya perlu mencatat tanda centang di suatu tempat di kertas kerja
Machine Translated by Google
Perhitungan terverifikasi
digunakan untuk masing-masing. Daripada meminta auditor untuk mengembangkan sebuah legenda, banyak
departemen audit internal memiliki satu set simbol tanda centang standar untuk digunakan di semua kertas kerja.
Misalnya, tanda centang dengan garis yang melewatinya berarti item kertas kerja telah ditelusuri ke jadwal pendukung
dan nomor pada masing-masing sudah benar. Tanda centang standar ini harus digunakan oleh semua anggota staf
audit untuk semua audit.
Tanda centang standar meningkatkan komunikasi, karena manajemen audit dapat meninjau dan memahami
kertas kerja dengan mudah. Tampilan 16.9 mengilustrasikan serangkaian tanda centang tradisional yang dikembangkan
pada zaman pensil dan kertas. Meskipun simbol yang sama ini mungkin tidak tersedia melalui Microsoft Word, karakter
khusus yang serupa dapat ditetapkan untuk tujuan yang sama. Tentu saja, auditor dapat mengembangkan tanda lain
untuk menunjukkan jenis pemeriksaan silang lain yang dilakukan selama audit individual, yang kemudian harus
dijelaskan dengan jelas.
(iii) REFERENSI KE SUMBER AUDIT EKSTERNAL Auditor internal sering mencatat informasi yang diambil dari
sumber luar. Misalnya, auditor internal dapat memperoleh pemahaman tentang area operasional melalui wawancara
dengan manajemen. Auditor akan merekam wawancara tersebut melalui catatan kertas kerja dan mengandalkan
informasi tersebut sebagai dasar pengujian atau kesimpulan audit lebih lanjut. Itu selalu penting untuk mencatat
sumber komentar tersebut langsung di kertas kerja. Misalnya, pameran kertas kerja dapat menunjukkan bagaimana
auditor memperoleh pemahaman tentang sistem sampel, dan sumber yang menyediakan informasi tersebut harus
didokumentasikan.
Auditor mungkin perlu mengacu pada undang-undang atau peraturan untuk mendukung pekerjaan audit mereka.
Demikian pula, mereka dapat melakukan tinjauan terkait vendor dan mengakses pencarian Web untuk memverifikasi
keberadaan vendor. Biasanya tidak perlu memasukkan ke dalam kertas kerja salinan dari apa yang mungkin merupakan
peraturan yang sangat banyak, atau salinan halaman dari pencarian.
Namun, kertas kerja harus dengan jelas menunjukkan judul dan sumber dari semua referensi eksternal, termasuk
alamat internet jika sesuai. Salinan halaman ekstrak dapat disertakan untuk membuat poin tertentu bila diperlukan,
tetapi notasi referensi biasanya cukup.
(iv) CATATAN KASAR KERTAS KERJA Saat melakukan wawancara, auditor internal seringkali membuat catatan
yang sangat kasar, ditulis dalam bentuk steno pribadi yang hanya dapat dibaca oleh penulis. Auditor harus menulis
ulang atau memasukkan kembali catatan kasar ini ke dalam komentar kertas kerja. Karena mungkin ada alasan untuk
meninjau kembali, lembar catatan asli ini harus dimasukkan ke dalam kertas kerja, ditempatkan di belakang penjilid
manual kertas kerja atau bahkan dalam file terpisah.
Machine Translated by Google
Secara historis, sebagian besar kertas kerja disiapkan dengan pensil. Jadwal dicatat pada formulir
spreadsheet akuntansi, komentar ditulis dengan tulisan tangan, dan semua pameran dilampirkan.
Sebagian besar departemen audit internal sekarang telah mengotomatiskan kertas kerja mereka melalui
penggunaan spreadsheet dan perangkat lunak pengolah kata. Otomatisasi ini tidak mengubah standar
kertas kerja, tetapi biasanya membuat kertas kerja lebih mudah dibaca dan diakses. Kertas kerja tipikal
saat ini mungkin menggunakan campuran jadwal manual dan otomatis serta komentar audit. Namun,
kertas kerja saat ini biasanya berupa folder komputer dengan beberapa referensi ke dokumen kertas.
Teknologi selalu berubah, dan kita mungkin melihat berbagai format bukti audit yang mendukung
kertas kerja audit di tahun-tahun mendatang. Pemindai gambar digital sangat umum saat ini. Mereka
dapat melewati dokumen kertas, membuat gambar digital dari dokumen itu untuk pengambilan bukti
audit nanti. Demikian pula, beberapa komputer kini dilengkapi dengan pena stylus bagi pengguna untuk
"menulis" langsung di layar komputer. Data ditangkap pada file komputer. Ini dan teknologi berkembang
lainnya menawarkan peluang untuk otomatisasi kertas kerja audit.
catatan, salinan risalah rapat, file IT, dan banyak lainnya. Saat kita beralih ke lingkungan bisnis dan
audit internal yang sebagian besar tanpa kertas, kebutuhan penyimpanan dokumen ini telah menjadi
lebih banyak tantangan daripada catatan kertas dan pensil di masa lalu. Di masa lalu itu, dokumen
sering disimpan di lemari arsip formal.
Akses memerlukan kunci dari administrator kantor, ulasan supervisor dibuktikan dengan inisial yang
sudah dikenal dan ditandatangani pada formulir, dan upaya untuk membuat perubahan yang tidak sah
menghasilkan penghapusan yang tercoreng. Kemudahan dan fleksibilitas berbagai hal saat ini
menimbulkan risiko dokumen, seperti hilangnya kertas kerja audit karena laptop curian hingga
kesalahan proses dalam CAATT yang dikembangkan oleh internal audit.
Di bagian pertama bab ini, kami membahas persyaratan dokumentasi audit internal dan
menguraikan kebutuhan untuk menyimpan semua dokumentasi audit internal yang relevan selama
tujuh tahun setelah selesainya audit internal. Hal ini terkadang dapat menimbulkan tantangan dalam
lingkungan audit tanpa kertas saat ini. Sistem operasi atau format file dapat berubah, dan kami mungkin
tidak dapat mengakses atau membaca dokumen.
Dokumen dapat hilang karena seseorang salah menekan DELETE, atau dokumen dapat hilang karena
kegagalan mengunduh sistem laptop auditor ke sistem server pusat. Fungsi audit internal perlu
menerapkan kebijakan manajemen dokumen yang kuat dan konsisten dengan tanggung jawab
administratif yang ditugaskan untuk tugas tersebut.
Bab 18 membahas kontrol umum TI dan praktik terbaik Perpustakaan Infrastruktur TI (ITIL).
Banyak praktik terbaik ITIL yang terakhir mencakup bidang-bidang seperti menetapkan kontrol
manajemen konfigurasi atas sumber daya TI dan proses pengelolaan perubahan TI.
Sementara ITIL berfokus pada infrastruktur TI, banyak konsep praktik terbaik berlaku untuk manajemen
dokumen audit internal. Daftar berikutnya membahas beberapa praktik manajemen dokumen yang
penting atau bahkan penting untuk fungsi audit internal di lingkungan laptop auditor dan jaringan
nirkabel saat ini:
Standar dokumen dan proses peninjauan. Audit internal perlu menetapkan standar untuk
perangkat lunak yang digunakan, konfigurasi komputer laptop, dan standar dokumen dan template
umum. Tujuannya agar setiap anggota tim audit internal menggunakan peralatan yang sama dan
—dengan pengecualian beberapa alat TI khusus—setiap orang mengikuti format dan standar
yang sama. Tujuan dari proses dokumentasi audit internal harus menghilangkan semua dokumen
kertas yang terpisah. Ketika auditor internal perlu menggunakan formulir kertas atau bahan bukti
lainnya, pemindai digital harus digunakan untuk menangkap bahan tersebut.
Proses formal dan aman harus ditetapkan untuk setiap audit terjadwal. Auditor internal di
lokasi lapangan dapat diberi laptop dengan program audit pendahuluan serta kertas kerja dari
tinjauan sebelumnya yang semuanya diamankan dan dimuat.
Auditor utama mungkin menghadapi situasi di mana program audit yang ditetapkan perlu
dimodifikasi, tetapi perubahan yang diusulkan ini dapat diteruskan melalui jaringan pribadi virtual
yang aman untuk ditinjau dan disetujui oleh manajemen audit.
Pekerjaan audit itu, dimuat di laptop auditor utama dan dibagikan dengan orang lain di tim audit,
harus menjadi tempat penyimpanan catatan utama untuk audit internal tertentu. Di akhir audit,
bahan kertas kerja—termasuk laporan audit—harus diunduh ke sistem server pusat departemen
audit.
Pencadangan, keamanan, dan kontinuitas. Ini mungkin area yang paling kritis dan berisiko
tinggi untuk sistem audit internal berbasis laptop. Banyak keamanan siber dan
Machine Translated by Google
kontrol privasi yang dibahas di Bab 20 juga sangat sesuai untuk pekerjaan audit internal otomatis.
Ide awal yang baik di sini adalah mengonfigurasi dan menetapkan sistem laptop auditor hanya
sebagai alat audit internal. Seharusnya tidak ada tautan luar ke Internet atau unduhan yang
diizinkan ke perangkat USB. Untuk email pribadi di rumah dan sejenisnya, auditor internal dapat
menggunakan salah satu dari banyak perangkat portabel kecil yang tersedia.
Meskipun kita tidak boleh mengaitkan laptop audit ke badan auditor internal, langkah
keamanan yang kuat harus diterapkan untuk menjaga keamanan sistem. Kontrol keamanan dan
kata sandi yang kuat harus dipasang sedemikian rupa sehingga jika suatu sistem dicuri, isinya
tidak dapat diakses dengan mudah. (Kami menggunakan kata tersebut dengan mudah karena
ahli forensik komputer yang kuat dapat mengakses hampir semua hal.) Prosedur juga harus
dibuat agar file audit internal dicadangkan dan diunduh ke sistem server audit internal secara
teratur.
Manajemen sumber daya perangkat keras dan perangkat lunak. Pernah beberapa fungsi
audit internal menggunakan catatan TI pusat untuk kertas kerja otomatis mereka. Saat ini, dengan
tersedianya sumber daya yang relatif efisien dan berbiaya rendah, sebenarnya tidak ada alasan
kuat mengapa fungsi audit internal tidak memiliki sistem server yang didedikasikan hanya untuk
tujuan audit internal. Sistem yang aman harus dipasang sebagai tempat penyimpanan untuk
semua aktivitas audit internal. Folder file kunci sistem harus digabungkan dengan proses
perencanaan kontinuitas fungsi TI, seperti yang dibahas di Bab 22.
penyimpanan CAATT. Bab 21 membahas alat TI untuk meningkatkan akses dan meningkatkan
efisiensi audit. Terlalu sering, alat dan proses ini dipandang sebagai bagian dari domain spesialis
"audit TI" dan dipisahkan dari dokumentasi dan materi audit internal lainnya. Setiap upaya harus
dilakukan untuk mengelompokkan dan mengatur semua materi terkait CAATT dengan catatan
kertas kerja audit internal lainnya.
Laporan audit, manajemen risiko, dan administrasi audit internal. Dalam audit internal
memiliki kebutuhan untuk menyiapkan dan mendistribusikan banyak bahan, termasuk laporan
audit, analisis manajemen risiko, anggaran, dan komunikasi dengan komite audit. Aturan
penyimpanan dokumen tujuh tahun yang sama harus berlaku untuk catatan administratif audit
internal ini, dan catatan tersebut harus ditempatkan dalam folder aman di sistem server
departemen audit.
kegiatan audit serta pemodelan proses untuk menggambarkan kegiatan perusahaan. Kemampuan
untuk menyiapkan kertas kerja yang deskriptif dan efektif merupakan persyaratan utama CBOK internal.
Selain itu, semua auditor internal, mulai dari CAE hingga staf audit, harus merasa nyaman dan akrab
dengan banyak alat TI yang tersedia untuk menjelaskan dan mendokumentasikan proses audit internal.
Catatan
1. Komisi Sekuritas dan Pertukaran, Penyimpanan Catatan yang Relevan dengan Audit dan Re
dilihat, www.sec.gov/rules/final/33-8180.htm.
Machine Translated by Google
BAB 17
Pelaporan Hasil Audit Internal
laporan audit adalah dokumen formal di mana audit internal meringkas pekerjaannya
Sebuah
dengan melaporkan pengamatan dan rekomendasinya. Laporan audit adalah produk
akhir yang paling penting dari proses audit internal dan merupakan sarana utama untuk
menjelaskan aktivitas audit internal bagi orang-orang baik di dalam maupun di luar
perusahaan. Laporan audit memberikan bukti tentang karakter profesional kegiatan audit
internal dan memungkinkan orang lain untuk mengevaluasi kontribusi ini. Laporan audit yang
efektif, tentu saja, harus didukung oleh kerja lapangan audit berkualitas tinggi, seperti yang
dibahas dalam Bab 9, tetapi kerja lapangan audit yang sama dapat dibatalkan oleh laporan
yang ditulis dengan buruk atau tidak disiapkan dengan baik. Penyusunan laporan yang jelas
dan efektif harus menjadi perhatian utama auditor internal di semua tingkatan, mulai dari
chief audit executive (CAE) hingga anggota staf tim audit. Pemahaman tentang cara
membuat dan menyusun laporan audit internal yang efektif adalah persyaratan umum badan pengetahuan (CBO
Pelaporan audit internal yang baik lebih dari sekedar persiapan dan
penampilan laporan. Laporan audit harus mencerminkan filosofi dasar pendekatan
audit internal total perusahaan, termasuk tujuan tinjauan yang mendasarinya,
strategi pendukung dan kebijakan utama, prosedur yang mencakup pekerjaan
audit, dan kinerja profesional staf audit. Sementara laporan audit merupakan alat
komunikasi utama, auditor internal akan kurang efektif jika komunikasi mereka
dengan seluruh perusahaan terbatas hanya pada laporan yang dipublikasikan.
Komunikasi juga harus dilakukan melalui wawancara selama pekerjaan lapangan,
rapat penutup saat temuan audit pertama kali disajikan, rapat dengan manajemen
senior dan komite audit untuk memberi tahu mereka tentang hasil audit, dan
banyak kontak lainnya di seluruh perusahaan. Semua anggota perusahaan audit
internal harus menjadi komunikator yang efektif baik dalam kata-kata tertulis
maupun lisan. Bab ini membahas tujuan dan gaya penyajian laporan audit internal,
termasuk berbagai format dan metode penyajian hasil pekerjaan audit kepada
manajemen dan pihak lain di perusahaan. Laporan audit merupakan komponen utama komunikasi a
351