Professional Documents
Culture Documents
keterlibatan.
Mengembangkan program kerja umum untuk memandu proses pertunangan.
Jelaskan pertimbangan sumber daya yang harus dievaluasi ketika menentukan bagaimana
pengujian.
Mengembangkan pengamatan dan merumuskan rekomendasi.
Bagian kedua dari bab difokuskan pada pelaksanaan program tes yang dirancang selama tahap
perencanaan. Sedangkan uji audit yang melakukan biasanya membutuhkan waktu lebih lama
daripada merencanakan pertunangan, bagian ini lebih pendek dari bagian perencanaan karena
ada relatif sedikit langkah kunci, langkah ini hanya dilakukan berulang-ulang untuk menguji
pernyataan kontrol yang berbeda. Kegiatan kinerja keterlibatan jaminan dibahas dalam Bab 12,
"Pengantar Proses Engagement." Selain itu, teknik untuk mengevaluasi dan melaporkan
pengamatan audit dibahas dalam Bab 14, "Berkomunikasi Jaminan Hasil Keterlibatan dan
Performing Tindak lanjut Prosedur." Oleh karena itu, bagian kinerja bab ini difokuskan pada
penerapan konsep-konsep, daripada ulangan mereka. Informasi yang terdapat dalam bab ini
memberikan pemahaman yang solid tentang bagaimana untuk merencanakan dan melaksanakan
hampir semua keterlibatan jaminan.
THE JAMINAN KETERLIBATAN PROSES
Plan
Determine engagement
objectives and scope.
Understanding the auditee,
including auditee objectives
and assertions.
Identify and assess risks.
Identify key control
activities.
Evaluate adequacy of control
activites.
Create a test plan.
Develop a work program.
Allocate resources to the
engagement.
Perform
Conduct tests to
gather evidence.
Evaluate
evidence
gathered and
reach
conclusions.
Develop
observations and
formulate
recommendation
s.
Communicate
Perform
observation
evaluation and
escalation
process.
Conduct interim
and preliminary
engagement
communications.
Develop final
engagement
communications.
Distribute formal
and informal
final
communications.
Perform
monitoring and
follow-up
procedures.
Ada berbagai jenis keterlibatan jaminan dan mungkin ada alasan yang berbeda untuk melakukan
salah satu dari mereka. Jenis keterlibatan dan alasan untuk melakukan hal itu secara signifikan
dapat mempengaruhi bagaimana pertunangan dilakukan. Oleh karena itu, penting untuk
memahami alasan untuk melakukan pertunangan sebelum memulai perencanaan.
Ada sejumlah alasan untuk melakukan keterlibatan jaminan, termasuk, namun tidak terbatas
pada:
Keterlibatan ini diidentifikasi dalam rencana audit internal tahunan karena risiko yang melekat
diidentifikasi selama proses penilaian risiko bisnis, risiko terdeteksi terakhir kali daerah itu
diaudit, dan faktor-faktor lain yang relevan. Untuk keterlibatan tersebut, auditor internal harus
memahami apa risiko bisnis yang mendasari menyebabkan keterlibatan untuk dimasukkan dalam
rencana, dan kemudian merancang rencana pertunangan untuk memberikan jaminan yang tepat
mengenai kecukupan desain dan efektivitas operasi pengendalian yang diterapkan untuk
mengurangi risiko tersebut.
Keterlibatan adalah bagian dari kebutuhan tahunan untuk mengevaluasi sistem organisasi
pengendalian intern untuk tujuan pelaporan eksternal, seperti AS Sarbanes-Oxley Act of 2002
Pasal 404 persyaratan di Amerika Serikat dan hukum pelaporan keuangan serupa di negara lain.
Untuk keterlibatan tersebut, auditor internal harus memastikan bahwa keterlibatan ini dirancang
untuk menguji area yang tercakup dalam peraturan yang mendasari (misalnya, memberikan
jaminan mengenai kecukupan desain dan efektivitas operasi pengendalian internal atas pelaporan
keuangan).
Sebuah acara baru-baru ini (misalnya, bencana alam, penipuan, atau kebangkrutan pelanggan)
telah menguji proses di bawah kondisi yang tidak biasa dan manajemen menginginkan "post
mortem" untuk menentukan di mana proses itu efektif dan mana tidak. Untuk keterlibatan
tersebut, auditor internal harus menyesuaikan pengujian dan evaluasi di sekitar peristiwa tertentu
yang terjadi.
Perubahan dalam bisnis atau industri membutuhkan modifikasi langsung ke proses dan
manajemen menginginkan validasi cepat yang modifikasi ini tampaknya dirancang tepat untuk
mengatasi perubahan. Untuk keterlibatan ini, auditor internal dapat melakukan audit kontrol
yang berfokus penuh atau mereka mungkin lingkup untuk fokus hanya pada kontrol yang
berubah.
Plan
Determ ine
engagem ent
objectives and scope.
Understanding the
auditee, including
auditee objectives
and assertions.
Identify and assess
risks.
Identify key control
activities.
Evaluate adequacy of
control activites.
Create a test plan.
Develop a work
program .
Allocate resources to
the engagem ent.
Perfo rm
Conduct tests
to gather
evidence.
Evaluate
evidence
gathered and
reach
conclusions.
Develop
observations
and form ulate
recom m endati
ons .
Com m unicate
Perform
observation
evaluation and
escalation
process.
Conduct
interim and
prelim inary
engagem ent
com m unicatio
ns.
Develop final
engagem ent
com m unicatio
ns.
Distribute
form al and
inform al final
com m unicatio
ns.
Perform
m onitoring and
follow -up
procedures.
Mungkin ada faktor lain, selain yang tercantum di atas, yang membuatnya penting bagi tim audit
internal untuk menyadari alasan atau driver yang menyebabkan keterlibatan yang akan
dilakukan. Misalnya, alih-alih mencari kepastian mengenai pernyataan yang berbeda dibahas di
atas, manajemen mungkin menginginkan pertunangan dilakukan untuk menilai bagaimana proses
kinerja relatif terhadap harapan. Jenis keterlibatan mungkin memerlukan tes yang berbeda untuk
memberikan penilaian itu. Terlepas dari alasan untuk melakukan pertunangan, memahami alasan
seperti ini akan membantu memastikan bahwa tujuan keseluruhan, ruang lingkup, dan fokus dari
alamat keterlibatan mereka driver dan waktu tidak dikhususkan untuk yang lain, driver kurang
penting.
Menetapkan Tujuan Engagement
Setelah alasan untuk keterlibatan jaminan dipahami, tujuan keterlibatan formal harus ditetapkan.
Tujuan-tujuan ini, yang biasanya dinyatakan dalam jaminan komunikasi keterlibatan akhir,
mengartikulasikan khusus apa keterlibatan sedang mencoba untuk menyelesaikan. Sementara
tujuan dapat dinyatakan dalam berbagai cara, harus jelas apa jaminan pertunangan akan
menyediakan. Misalnya, tujuan bisa mulai dengan kalimat berikut (kata kerja yang berbeda dapat
digantikan untuk yang digunakan dalam contoh ini):
Lingkup Keterlibatan
Setelah tujuan keterlibatan telah ditetapkan, ruang lingkup keterlibatan harus ditentukan. Sejak
keterlibatan mungkin tidak mencakup segala sesuatu yang dapat diaudit berkaitan dengan tujuan
keterlibatan, pernyataan ruang lingkup khusus harus menyatakan apa atau tidak termasuk dalam
keterlibatan. Pernyataan lingkup tersebut dapat mencakup:
Batas dari proses. Sementara beberapa proses kecil dan mandiri, banyak yang sangat
luas dan tumpang tindih dengan proses lainnya. Oleh karena itu, penting untuk
mendefinisikan apa titik dalam proses keterlibatan akan dimulai dan dimana akan
berakhir.
Kerangka waktu. Keterlibatan dapat mencakup satu tahun kalender, 12 bulan sebelumnya, atau
beberapa kerangka waktu lainnya.
Hasil yang diharapkan dan Publikasi
Sebelum pindah ke langkah berikutnya dalam proses perencanaan, pada tugas akhir harus
dilakukan. Masing-masing dijelaskan lebih lengkap sebagai berikut:
Potensi hasil tes yang akan dilakukan selama keterlibatan. Mampu mengantisipasi
berbagai jenis pengujian pengecualian yang dapat diidentifikasi dalam keterlibatan yang
diberikan membantu rencana uji internal auditor untuk memberikan jaminan reaasonable
bahwa perbedaan tersebut terdeteksi. Pengecualian khas meliputi:
Kesalahan statment keuangan atau misclassifications dalam rekening keuangan, saldo,
atau pengungkapan.
Kontrol kekurangan menunjukkan kontrol tertentu yang tidak mencapai efek yang
memadai.
Inefisiensi karena sumber daya tidak digunakan secara optimal.
Situasi out-of-kepatuhan saat hukum, peraturan, atau kebijakan tidak dipenuhi secara
konsisten.
Lingkup penuh, laporan internal biasanya memiliki distribusi yang luas dan, dengan
demikian, memerlukan bukti yang tepat cukup untuk mendukung kesimpulan dan
rekomendasi untuk perbaikan.
Internal memeronda dapat digunakan untuk distribusi lebih terbatas, yang menyatakan
pekerjaan yang dilakukan dan dukungan untuk kesimpulan dan rekomendasi hanya
tertalu sejauh necessay untuk audiens yang dituju untuk memahami kekurangan yang
mendasari.
Laporan untuk penggunaan pihak ketiga harus mengasumsikan pihak tersebut kurang
akrab dengan kebijakan dan prosedur yang unik bagi organisasi dan, oleh karena itu,
mungkin memerlukan tingkat yang lebih detail untuk memastikan pembaca memahami
MEMAHAMI AUDIT
Ketika merencanakan keterlibatan, tim audit internal harus terlebih dahulu memahami auditee.
Menentukan Tujuan Auditee
Memahami proses dimulai dengan menentukan tujuan proses kunci. Ini membantu auditor
internal mengerti mengapa proses itu ada, yang akan menjadi penting ketika mengidentifikasi
dan menilai risiko tingkat proses dan kontrol.
Tujuan operasi adalah jenis yang paling umum dari tujuan pada tingkat proses dan
biasanya menentukan alasan proses ada. Tujuan ini biasanya adalah pemerintahan atau
berorientasi pada tugas, dan, sebagai hasilnya, sering fokus pada accurancy, ketepatan
operasi
pelaporan
pemenuhan
strategis
Pemilik proses atau staf yang terlibat dalam proses tersebut mungkin dapat memberikan daftar
tujuan proses. Namun, dalam banyak kasus, tujuan-tujuan tersebut mungkin belum
diartikulasikan secara formal.
Mengumpulkan Informasi
Ada banyak cara untuk mengumpulkan informasi tentang proses. Auditor internal harus
mempertimbangkan berbagai jenis dan sumber informasi yang relevan tersedia. Selain itu,
analisis, data dan kontrol tingkat-entitas dapat membantu memberikan wawasan tambahan ke
proses.
Jenis dan Sumber Informasi Relevan
Titik awal untuk memahami proses sedang mengkaji dokumentasi yang sudah ada. Sebagai
contoh, berikut ini mungkin tersedia dari pemilik proses atau keluarga lain eith proses yang dapat
memberikan informasi yang berguna mengenai bagaimana proses kerjanya:
pelaporan kunci.
Deskripsi pekerjaan bagi orang-orang yang terlibat dalam proses.
Peta proses atau alur depictig aliran keseluruhan proses.
Deskripsi naratif kontrak kunci dengan pelanggan, vendor, mitra outsorcing, dll
Informasi yang relevan mengenai hukum dan peraturan yang mempengaruhi proses.
Dokumentasi lain yang mungkin telah pengembangan untuk mendukung diperlukan
pelaporan atas efektivitas sistem pengendalian internal.
penilaian tingkat tinggi internal yang dapat mengungkapkan kegiatan proses yang menjamin
perhatian lebih dan, pengujian sesuai, lebih rinci.
Prosedur analitis melibatkan meninjau dan mengevaluasi informasi yang ada, yang
mungkin finansial atau non finansial, untuk menentukan apakah itu konsisten dengan yang telah
ditentukan harapan.
Contoh: untuk audit pengeluaran kas, analisis ini mungkin termasuk salah satu atau
semua hal berikut:
Perbandingan informasi keuangan untuk periode sebelumnya, misalnya, tren dalam
rekening saldo hutang dari satu seperempat berikutnya.
Analisis Rasio, misalnya, rasio lancar (aktiva lancar dibagi dengan kewajiban lancar)
dan rekening omset hutang (pokok penjualan dibagi dengan hutang)
Perbandingan informasi keuangan atau non finansial terhadap informasi anggaran,
misalnya, saldo kas aktual versus diperkirakan jumlah uang.
Analisis Data Menggunakan
Teknik Audit dibantu komputer (CAATs)
Analisis data melibatkan pengumpulan dan analisis data dalam jumlah besar, biasanya
melalui penggunaan teknologi. Analisis data dapat memberikan informasi tentang populasi
transaksi yang bisa membuktikan berguna ketika menentukan pendekatan audit internal.
Contoh: ketika melakukan audit internal dan proses pengeluaran kas, tim audit internal
dapat melakukan tes analisis data berikut selama tahap perencanaan:
Jumlah atau persen pembayaran yang dibuat baik sebelum atau setelah tanggal jatuh
tempo - ini dapat memberikan wawasan mengenai bagaimana erat arus kas dikelola.
Jumlah cek petunjuk - ini dapat menunjukkan proses kekurangan desain atau potensial
pengelakan kontrol didirikan.
Kontrol tingkat-entitas biasanya dievaluasi secara organisasiyang luas secara berkala (misalnya,
per tahun). Oleh karena itu, biasanya tidak akan diperlukan untuk melakukan penilaian terhadap
efektivitas pengendalian entitas-level pada setiap keterlibatan. Namun, seperti yang dijelaskan
dalam paragraf sebelumnya, auditor internal harus mempertimbangkan hasil penilaian kontrol
entitas tingkat ketika merencanakan keterlibatan individu untuk memastikan pendekatan untuk
pengujian yang relevan yang efisien.
Mendokumentasikan Arus Proses
Sebagaimana dibahas di atas, mungkin ada banyak jenis informasi yang dapat dikumpulkan
tentang proses dari berbagai sumber. Untuk menunjukkan bahwa auditor internal memahami
bagaimana proses sebenarnya beroperasi, langkah-langkah kunci harus didokumentasikan.
Proses ini aliran dokumentasi akan memfasilitasi review kertas kerja oleh atasan auditor internal
atau orang lain. Cara yang paling umum mendokumentasikan aliran proses adalah diagram alur
(tingkat tinggi atau rinci) dan memorandum narasi. Sebelum memberikan penjelasan singkat
masing-masing, penting untuk memahami beberapa perbedaan halus antara dokumentasi arus
proses.
Peta Proses, seperti yang dijelaskan dalam Bab 5, "Proses Bisnis dan Risiko", upaya untuk
menggambarkan masukan dewan, kegiatan, alur kerja, dan interaksi dengan proses dan output
lainnya. Mereka menyediakan kerangka kerja untuk memahami kegiatan dan subproses.
Flowchart mencakup informasi tambahan, sering menggambarkan sistem komputer dan
aplikasi, arus dokumen, risiko rinci dan kontrol, pengguna dibandingkan otomatis langkah,
waktu berlalu untuk langkah-langkah dalam proses, pemilik langkah kunci, dan informasi
tambahan yang diperlukan untuk membantu pengkaji memahami proess dan alirannya.
Memorandum Narasi memberikan informasi tentang aliran proses hanya menggunakan katakata tertulis, tidak ada upaya untuk menggunakan simbol-simbol untuk menggambarkan aliran.
Hal ini umum untuk combin diagram alur dengan informasi naratif tambahan untuk membuat
bentuk hibrida dokumentasi.
Peta proses cenderung paling berguna pada tingkat bisnis, seperti yang dijelaskan dalam bab 5,
sedangkan diagram alur dan dokumentasi hibrida memberikan tingkat informasi yang diperlukan
untuk memahami proses rinci. Folowing adalah deskripsi singkat dari teknik tersebut sering
aused pada tingkat proses.
Diagram alur tingkat tinggi
Tujuan dari flowchart tingkat tinggi adalah untuk menggambarkan input luas, tugas, alur kerja,
dan output. Sebuah flowchart tingkat tinggi membantu pengulas memahami kegiatan
keseluruhan, sistem, laporan, dan interface dengan proses lain atau subproses. Pemahaman ini
akan memberikan kerangka penghormatan untuk mengidentifikasi subproses kunci dan sistem
yang dapat dipertimbangkan untuk lingkup yang terkait. Flowchart biasanya diambil seperti peta
proses, dengan informasi tambahan yang ditambahkan yang diperlukan untuk mendukung
undestanding aliran proses. Simbol flowcharting umum ditunjukkan dalam Exhinit-13-5.
Simbol-simbol ini memperluas mereka digunakan untuk peta proses, seperti yang dibahas dalam
bab 5.
COMMON FLOWCHARTING SYMBOLS
Process operation A process, subprocess, or activity.
atau subproses berada dalam ruang lingkup yang terkait, dan berfungsi sebagai pandangan
ringkasan diagram alur rinci.
Flowchart Detail
Sementara flowchart tingkat tinggi adalah titik awal yang penting, tidak memberikan kedalaman
dan tingkat detail yang diperlukan untuk mendukung penilaian internal auditor mengenai desain
proses. Sebuah dokumen flowchart rinci masukan yang lebih spesifik, tugas, tindakan, sistem,
keputusan, dan output. Selain memberikan gambaran lebih rinci dari aliran proses, flowcharts
rinci yang menyediakan informasi tambahan yang meningkatkan pemahaman tentang proses.
Sebagai contoh, diagram alur rinci mungkin mencakup beberapa atau semua hal berikut:
Risiko utama, yang akan dilambangkan dengan simbol mengidentifikasi titik-titik dalam
proses dimana sesuatu yang bisa salah dan menyebabkan proses untuk tidak beroperasi
Karena banyak orang adalah belajar visual dan pemikir, diagram alur rinci adalah cara yang
efektif untuk menyajikan banyak informasi dalam format intuitif dan mudah dipahami. Tingkat
informasi dalam diagram alur rinci harus cukup untuk mendukung penilaian auditor internal
mengenai identifikasi kontrol kunci, kecukupan proses desain secara keseluruhan, dan
kesenjangan antara tingkat saat ini dan diinginkan kontrol tertentu.
Memorandum Narasi
Mungkin ada situasi di mana auditor internal percaya itu adalah lebih tepat untuk
mendokumentasikan pemahaman tentang proses menggunakan narasi write-up dibandingkan
dengan diagram alur. Situasi ini biasanya menunjukkan satu atau lebih dari karakteristik berikut:
Proses ini sederhana dan, dengan demikian, gambaran visual dibuat dalam
Memorandum narasi harus mencakup jenis informasi yang sama seperti yang terkandung dalam
diagram alur. Sementara bagian tertentu dari memorandum tersebut dapat bervariasi antara
proses, memorandum umumnya harus mencakup unsur-unsur dari garis berikut:
1. Deskripsi keseluruhan dari proses
2. Masukan kunci
a. Dokumen atau komunikasi dari sumber luar (misalnya, faktur atau cek)
b. Output dari proses lain atau subproses
c. Informasi dari sumber luar
d. Data dari sistem internal
3. Langkah-langkah penting dalam proses
a. Tugas yang menangani, memeriksa, mengubah, atau yg mengingatkan input
b. Analisis yang rumit
c. Keputusan atau penilaian yang dibuat
d. Aplikasi komputer yang diperbarui
e. Dokumen baru atau informasi yang dibuat
f. Individu kunci melakukan tugas
4.
Relevan, yaitu mengukur apa yang penting yang bertentangan dengan apa yang terukur.
Tersedia, yaitu informasi yang dibutuhkan tersedia pada waktu yang tepat dan orang
yang tepat, memungkinkan untuk pengukuran tepat waktu kinerja proses.
Sejalan dengan tujuan utama dari proses (informasi pembayaran duplikat ditangkap
karena ada tujuan untuk tidak memilikinya).
Artikulasi kepada orang-orang yang terlibat dalam proses sehingga kunci dalam proses
sehingga mereka mengerti apa yang sedang diukur dan pentingnya mencapai level kinerja
yang (rekening karyawan hutang dapat melihat statistik tepat waktu dan menyesuaikan
kinerja mereka sesuai).
Indikator kinerja utama, baik formal maupun informal, dapat menentukan proses pemilik
toleransi terhadap penyimpangan kinerja. Manajemen menentukan apa tingkat kesalahan mereka
bersedia diterima ketika proses tidak dilakukan seperti yang diharapkan. Mengetahui tingkat
toleransi akan membantu auditor internal mengevaluasi hasil pengujian.
Mengevaluasi Proses tingkat Penipuan Resiko
Akhirnya, penting untuk memahami potensi tingkat proses risiko penipuan. Sebagaimana
dibahas dalam bagian berikutnya dalam bab ini, sebagian besar risiko didasarkan pada uncertanty
peristiwa yang mungkin terjadi karena sifat yang melekat pada proses. Yang melekat
kemungkinan risiko tertentu terjadi meningkat jika ada niat oleh seorang individu untuk
melakukan penipuan dan / atau kolusi antara beberapa individu yang terlibat dalam proses. Oleh
karena itu, sebelum memulai proses penilaian risiko formal dalam pertunangan, penting untuk
mengevaluasi potensi skenario penipuan dalam proses. Melibatkan tiga langkah berikut:
1. Mengidentifikasi potensi skenario penipuan. Brainstroming dengan individu yang
terlibat dalam proses tersebut merupakan cara yang efektif untuk mengidentifikasi
kemungkinan cara dengan mana individu, bekerja sendiri atau dalam kolusi dengan orang
lain, bisa menghindari proses.
2. Memahami dampak penipuan potensial. Potensi dampak dari setiap skenario penipuan
harus ditentukan.
3. Tentukan apakah untuk menguji risiko kecurangan tertentu. Berdasarkan dua
langkah pertama, auditor internal dapat menilai, berdasarkan risiko yang melekat
penipuan dalam proses, apakah tes khusus harus dirancang untuk menentukan kerentanan
untuk penipuan.
IDENTIFIKASI DAN MENILAI RISIKO
Mengidentifikasi Proses-tingkat Skenario Risiko
Sebuah organisasi yang didirikan proses untuk melaksanakan rencana usaha dan mencapai
tujuannya. Proses ini mungkin diskrit dan terfokus, atau mereka mungkin lintas fungsional.
Risiko ada di semua proses, terlepas dari luasnya, lokasi, atau fokus. Tugas pertama dalam
menilai risiko tingkat proses adalah untuk mengidentifikasi skenario risiko yang melekat dalam
proses. Skenario risiko potensial kejadian kehidupan nyata yang dapat berdampak negatif
terhadap pencapaian tujuan.
Tujuan mengidentifikasi skenario risiko adalah untuk menjawab pertanyaan: Apa yang bisa
terjadi yang akan mencegah pencapaian setiap tujuan tingkat proses? Untuk menjawab
pertanyaan ini, auditor internal harus otak-badai skenario risiko yang mungkin terjadi. Berikut ini
memberikan garis besar tentang bagaimana hal ini dapat dilakukan.
1. Pilih tujuan tingkat proses tunggal. Latihan ini bekerja baik jika dilakukan satu tujuan
pada suatu waktu.
2. Brainstorm hambatan (peristiwa, masalah, keadaan, dll) yang mungkin mengancam
pencapaian tujuan. Contohnya adalah sebagai berikut:
a. Peristiwa eksternal yang organisasi tidak siap atau tidak bereaksi untuk tepat waktu
atau tepat.
b. Tidak cukup dirancang atau kurang didokumentasikan prosedur.
c. Kerusakan dalam prosedur yang ada.
d. Kurangnya orang yang tepat, dengan keterampilan yang tepat, digunakan dengan cara
yang benar.
e. Komunikasi yang tidak memadai antara daerah interfacing.
f. Karyawan yang dengan sengaja melanggar kebijakan atau bertindak tidak etis.
g. Tidak cukup dirancang atau usang aplikasi komputer.
h. Terlalu cepat, akurat, atau tidak memadai informasi untuk pengambilan keputusan.
i. Kegagalan untuk mengukur kinerja.
3. Lanjutkan latihan untuk tujuan tingkat proses yang tersisa.
4. Sejak beberapa skenario risiko akan serupa di tujuan tingkat proses, mengelompokkan
dan menggabungkan skenario risiko serupa.
Latihan bertukar pikiran akan dioptimalkan jika individu yang terlibat dalam proses
berpartisipasi. Mereka mungkin dapat mengidentifikasi skenario risiko berdasarkan pengalaman
tangan pertama. Namun, auditor internal yang berpengalaman harus bisa melakukan latihan ini
tanpa bantuan dari individu tingkat proses.
Sebuah cara yang efektif untuk auditor internal untuk melakukan seperti sesi brainstorming
adalah untuk menulis skenario yang berbeda pada catatan diri menempel dan menempatkan
mereka di dinding atau papan besar. Setelah brainstroming selesai, catatan dapat (1) diatur oleh
tujuan untuk memastikan komprehensif menutup-usia masing-masing tujuan, dan (2)
dikategorikan
menurut
jenis
skenario
serupa
untuk
mendukung
definisi
risiko.
Setelah risiko didefinisikan, mereka harus dikaitkan dengan tujuan tingkat proses untuk
memastikan ada hubungan antara masing-masing risiko dan tujuan. Seperti dibahas di bawah,
penilaian risiko melibatkan pertimbangan dampak pada kemampuan untuk mencapai tujuan.
Karyawan bertanggung jawab untuk mengelola risiko tingkat proses, adalah penting bahwa
mereka memiliki pemahaman yang seragam dan konsisten tentang risiko tersebut. Oleh karena
itu, auditor internal harus berbagi dan mendiskusikan definisi risiko dengan manajemen tingkat
proses dan karyawan untuk memvalidasi bahwa daftar risiko selesai. Sukses dengan tugas ini
akan membantu memfasilitasi keberhasilan dalam mengevaluasi dampak dan kemungkinan
risiko tugas yang berikut.
2. Langkah kedua adalah untuk memperkirakan kemungkinan bahwa setiap dampak risiko
akan terjadi.
Tips berikut mungkin berguna ketika melakukan langkah ini:
Sebagaimana dibahas di atas, risiko memiliki berbagai hasil yang mungkin, masing-masing
akan memiliki kemungkinan yang berbeda terjadi. Hal ini penting untuk fokus pada hasil
risiko ditentukan pada langkah sebelumnya.
Karena ada banyak hasil risiko, ada juga mungkin banyak akar penyebab mengapa risiko
terjadi. Setiap akar penyebab mungkin memiliki kemungkinan yang berbeda. Oleh karena
itu, penting untuk mempertimbangkan akar penyebab yang mendasari hasil yang dipilih
ketika mengevaluasi kemungkinan kejadian risiko.
Seperti halnya ketika menentukan dampak risiko, tidak perlu untuk mendapatkan tingkat
ketepatan yang tinggi ketika memperkirakan kemungkinan risiko. menggunakan skala
umum (misalnya, tinggi / menengah / rendah) biasanya akan cukup. Sebagai contoh,
kemungkinan besar dapat menunjukkan bahwa dampak risiko mungkin tidak terjadi (yaitu
lebih dari 50 persen), kemungkinan media dapat menunjukkan bahwa dampak risiko yang
mungkin (misalnya, dari 10 persen sampai 50 persen), dan kemungkinan rendah mungkin
menunjukkan bahwa dampak risiko jauh (misalnya, kurang dari 10 persen).
IMPACT
High
Medium
Low
7
4
1
Low
LIKELIHOOD
8
5
2
Medium
9
6
3
High
Risiko harapan
Risiko
High
pembayaran
ganda
IMPACT
Risiko
sistem
Medium
akses
5
Low
daya manusia
ketepatan
waktu
3
Low
Medium
High
LIKELIHOOD
Risiko harapan dianggap dampak tinggi sebagai kurangnya arah yang cukup dan
pengawasan dari manajemen senior dapat mengakibatkan pengeluaran bahan yang
dibuat dengan cara yang tidak pantas atau penipuan. Risiko ini dianggap kemungkinan
rendah karena ada banyak contoh kebijakan yang baik dan prosedur yang mengatur
aktivitas, dan manajemen senior tidak mungkin untuk mengabaikan seperti daerah
penting.
Risiko Ketepatan waktu dianggap dampak jangka menengah sebagai denda dan bunga
karena terlambat tidak akan berdampak material, meskipun hubungan vendor buruk
masih akan menjadi perhatian. Risiko ini dianggap kemungkinan tinggi karena ada
ketergantungan pada orang lain untuk memulai proses pengeluaran kas dan dengan
syarat pembayaran umumnya ketat, ada berbagai penundaan yang dapat terjadi dalam
proses menyebabkan pembayaran terlambat.
Risiko sumber daya manusia dalam dampak media dianggap sebagai kegagalan untuk
merekrut, mengembangkan, dan memelihara orang-orang yang kompeten dalam
rekening departemen hutang bisa menghasilkan lebih tinggi dari jumlah yang
diinginkan dari pembayaran tidak akurat atau terlambat. Risiko ini dianggap
kemungkinan media sebagai keahlian yang diperlukan tidak sulit untuk menemukan di
pasar.
Risiko sistem akses dianggap dampak tinggi sebagai akses yang tidak sah dapat
mengakibatkan perubahan.
Risiko pembayaran ganda dianggap dampak tinggi sebagai duplikat tunggal bisa
material dan akan mewakili dana yang hilang jika tidak terdeteksi. Risiko ini dianggap
kemungkinan menengah karena cukup umum untuk duplikat faktur yang akan
dipresentasikan kepada sebuah perusahaan, bagaimanapun, sebagian besar vendor
umumnya jujur sehingga kecil kemungkinan bahwa duplikat pembayaran material akan
terdeteksi dari waktu ke waktu.
dari kegagalan untuk melindungi privasi data pelanggan bisa lebih parah daripada biaya untuk
memulihkan atau melindungi data tersebut.
Menghitung, memerlukan komputasi atau menghitung ulang jumlah hasil dari data lain
yang diperoleh dalam proses (misalnya, menggunakan data historis write-off untuk
Mendokumentasikan,
berkaitan
dengan
menjaga
informasi
sumber
atau
Memeriksa, melibatkan memverifikasi atribut, yaitu, elemen data, peristiwa, atau bukti
dokumen yang mendukung keberadaan atau terjadinya (misalnya, bukti bahwa barang
dibayar untuk diterima).
Mencocokan, memerlukan membuat perbandingan antara dua atribut yang berbeda untuk
memverifikasi bahwa mereka setuju (misalnya, jumlah pembayaran setuju dengan nilai
faktur)
Membatasi, melibatkan tidak mengizinkan tindakan yang tidak dapat diterima (misalnya,
melarang spekulasi fluktuasi suku bunga, atau tidak memungkinkan individu yang tidak
sah untuk mengakses data tertentu dalam sistem kunci).
Memisahkan, berfokus pada memisahkan tugas sesuai yang akan menciptakan potensi
tindakan yang tidak diinginkan (misalnya, memisahkan cek penandatanganan dan
persetujuan otoritas faktur).
Seperti yang dibahas sebelumnya, identifikasi proses kontrol-level biasanya dimulai dalam dua
langkah perencanaan sebelumnya: Memahami Auditee dan Mengidentifikasi dan Menilai Risiko.
Tugas saat ini melibatkan memastikan bahwa setiap proses kontrol tingkat tambahan telah
diidentifikasi sebelum penilaian dilakukan pengendalian untuk mengurangi risiko utama. Berikut
ini penting ketika menentukan pengendalian kunci:
Auditor internal harus memiliki pemahaman yang jelas tentang tujuan tingkat proses.
Kontrol berlebihan, atau mereka yang tidak efektif, mungkin perlu perubahan atau
dihilangkan. Kontrol tersebut mungkin bukan kontrol kunci.
Apakah auditor internal memahami apa sebuah "tingkat yang dapat diterima" dari risiko
adalah, didasarkan pada tingkat toleransi risiko manajemen untuk proses tersebut?
Apakah kunci control, diambil secara individual atau secara agregat, mengurangi risiko
tingkat proses yang sesuai dengan tingkat yang dapat diterima?
Apakah ada kontrol kompensasi tambahan dari proses lain yang mengurangi risiko ke
tingkat yang cukup rendah?
Apakah itu muncul bahwa kontrol utama, jika beroperasi secara efektif, akan mendukung
pencapaian tujuan tingkat proses?
Sejauh yang sesuai, apakah proses desain efektivitas alamat dan efisiensi operasi,
keandalan pelaporan, kepatuhan terhadap hukum dan peraturan yang berlaku, dan
pencapaian tujuan strategis?
Kunci control ditunjukkan dirancang secara memadai untuk mengelola risiko ini ke
tingkat yang dapat diterima.
Kontrol kunci yang ditunjukkan tidak dirancang secara memadai untuk mengelola risiko
ini ke tingkat yang dapat diterima (menggambarkan desain gap).
Setelah auditor internal telah membentuk penilaian pada desain kecukupan untuk setiap risiko
individu, evaluasi dapat dibuat mengenai desain dari proses secara keseluruhan. contoh
kesimpulan tersebut meliputi:
-
Apakah ada kontrol tingkat tinggi yang mungkin, dengan sendirinya, menyediakan
keyakinan memadai bahwa risiko yang relevan dikelola suffiencienly? tingkat kontrol
yang lebih tinggi mungkin rekonsiliasi, monitorong, atau kontrol pengawasan
performanced oleh individu independen dari qwners kontrol rinci misalnya, supervisor
atau manajer mereka sebagai bagian dari risiko top-down dilarang kontrol assensment,
auditor internal harus memberikan considerstion terhadap tingkat yang lebih tinggi
kontrol, seperti dampak dari teh ebtity - tingkat kontrol harus dipertimbangkan dapat
Setelah faktor-faktor ini telah dipertimbangkan, auditor internal siap untuk mengembangkan
pendekatan pengujian specifiec. seperti yang ditunjukkan di atas, pendekatan biasanya
difokuskan pada evaluasi efektivitas pengendalian yang dirancang secara memadai, tetapi
beberapa pengujian mungkin diperlukan untuk kualitas dampak kontrol yang tidak dirancang
secara memadai.
Mengembangkan pendekatan Pengujian
Pendekatan pengujian meliputi penentuan sifat, lingkup, dan waktu untuk melakukan tes. tujuan
utama dari pengujian la untuk menentukan apakah kontrol beroperasi seperti yang dirancang
untuk mengurangi risiko sesuai dengan tingkat yang dapat diterima. jenis yang berbeda dari tes
pemeriksaan dijelaskan.
Dalam grester detail dalam ch 10,. "Bukti audit dan kertas kerja ing. bagaimana pernah, berikut
menguraikan keputusan yang harus dibuat ketika mengembangkan pendekatan pengujian.
Sifat tes. berbagai jenis tes menyediakan berbagai tingkat jaminan dan akan mengambil jumlah
waktu yang berbeda untuk melakukan.
Tingkat tes.
Waktu tes
Testing approach
Test A
(associated
process-level Activity B
Test B
Activity C
Definition Activity A
Test C
Test A
(associated
process-level Activity B
Test B
objectives)
Activity C
Test c
objectives)
Risk
B-
antingkatpersetujuan
anwewenang danmengevaluasi
kebijakanyang
untukpengadaan
apakahtampaknya
berkembang
danpenyalurankeputusan.
Hutangtelahdiserahkanprosedur
menjaditanggung
dengan
kebijakan
baikdan
yang
diartikulasikan,
prosedur
dan
bentuk
lain
semua
rincian
mengkonversitugaspencairankunci.
jawabhadiryhediberikansaat ini
dansesuaiindividu.
2. Pilihsampeldari80pencairan(ris
iko
10%,
5%
deviasiditoleransi,
tingkat
dan1%
diharapkantingkatdeviasi)dan
komunikasi
dari
tes
manajemen dapat
untukpersetujuansesuaidengan
mengakibatkan
kebijakan
3. meninjau
karyawan
membahasProsedur
melaksanakan
tanggung
dasardengan
jawab
mereka
akunpribadihutanguntuk
dengan
carayang
menentukan
tidak
apakahprosedurakurat
sesuai
mencerminkantugas-tugasyang
denganharapan
dan
dan
diperlukan
keiingan
dandapat
manajemen
(keakuratan, tepat
waktu, mencatat,
kepatuhan
dan
persetujuan
objek)
Risiko
Pembayaran
aktursistemdengan
Ganda-
untukmemasukkan
Kegagalanuntuk
nomorfakturduplikat.
mengidentifikasib
sebelumnya.
Pembayarab
eberapa
kas
yang
inputfakturdapat
dijalankanakan
mengakibatkanpe
benderapembayaranjumlahidentik
mbayaran Ganda
kepadavendor
yangbisaterdeteks
i atau sulit untuk
membuktikan dan
mengumpulkan(K
mencoba
jikasuatudigitatausimbolditam
bahkan
ke
akhirdari
sejumlahfakturduplikat.
2.
karenasistem
tersebuthanya
denganvendor yang samauntuk
peringatanpengguna
ulasansebelum pencairan
untukkemungkinanduplikatpe
mbayaran, ekstrak 100% dari
pembayaran untuktahun lalu
dantes
untukpembayaranduoicatemun
eakuratan
dan
gkin.
3. Pengujian
mencatat tujuan)
untuk
memastikanbenderapengeluara
n
kasberoperasi
sebagaidirancang.
Risiko
Ketepatan
tanggal
Waktu-
ketidakmampuan
pembayaran
menjadi
kunci pengendalian.
2. Menggunakan
analisis
data,
software
menghitung
untukmemproses
perbedaan
pembayaransecar
tagihan
mengajukan
dapat
pembayaran
tepat
waktudapat
mengakibatkande
nda
ataudiskon
suatu
yang
sistem-
untu
selama
Menindaklanjuti
tanggal
100%
yang
tahun
dibuat
lalu.
pembayaran
yang hilang.
Akses
Risiko
antara
Kurang
olehTIdengan
efektifnya
hilang.
1. Keamanan IT logikal diuji
keamananlogisdikelola
cara
yang
keterlibatan
terpisah
oleh
keamananlogis
dagangharus
membuat
danmengkonfirmasihakacces
kemungkinan
kepengeluaran
peluang
untuk
adanya
akses
praktik
atau
pembayaran
(Keakuratan,
kassistem
dagang
untuk
hak
akses.
dokumentasi
penghapusan
kunci
meninjau
data
Pencatatan
dan
TABEL
CONTOH
MATRIX
RISIKO
DAN
PENGENDALIANNYA
UNTUK
PEMBAYARAN KAS
Berikut ini Program kerja dari persfektif lain:
1. Sebuah temple standar atau daftar yang meminjamkan kepada audotor internal kertas kerja
untuk mendokumentasikan kompilasi langkang-langkah perancanaan. Hal ini dilakukan
untuk memastikan setiapketerlibatanmencakup semuatugas yang diperlukan.
2. Memorandummeringkastugas yangselesai.
3. Tambahan kolom dalam matriks risiko dan pengendaliannya jika auditor internal ingin
mempunyai semua tercantum dalam satu dokumen.
4. Kombinasi dari ketiga komponen yng sudah dibahas sebelumnya.
Format ini akanbervariasi darifungsi auditinternal untukfungsi audit internal. Poin-point kunci
yang harus dilakukan:
1. Meyakinkan semua anggota tim penugasan memahami apa yang sudah beres dan apa
yang masih harus dikerjakan.
2. Mengkomunikasikan siapa yang bertanggungjawab untuk menampilkan tugas penugasan
yang lain.
3. Menyediakan catatan tugas yang lengkap
4. Memfasilitasi review oleh manajer penugasan dan direksi yang menyediakan kesalahan
dan arahan selama proses perencanaan penugasan.
Yang tidak usah terlalu diperhatikan dari format didalam tipe program kerja:
1. Tugas kunci adminstratif, seperti persiapan atas rencana, memorendum,penjadwalan
sumber daya, dll
2. Melakukanrapa denganmanajementingkatproses untuk membahastujuan dan ruang
lingkuppenugasan.
3. Penugasan perencanaan, yang telah terdaftar pada bahasan bab ini.
4. Tugas lapangan, yang telah terdaftar pada pengujian yang spesifik.
ALOKASI
RESOURCHE
TO
THE
ENAGEMENT
Penganggaran
Jam
yang
dibutuhkan
Sumber
untuk
menyelesaikan
Biaya
lain-lain
daya
Engagement:
Auditor
Orang
pertunangan
lain
Internal
(internal
eksternal)
Perjalanan
Teknologi
Lainnya
Mengalokasikan
sumber
daya
manusia
Strategis sourcing, suplemen fungsi audit in-house internal melalui penggunaan layanan vendor
pihak ketiga untuk tujuan memperoleh keahlian subjek untuk keterlibatan tertentu atau mengisi
kesenjangan dalam sumber daya yang dibutuhkan untuk menyelesaikan rencana audit internal.
Penjadwalan sumber daya dapat menjadi proses yang sangat dinamis, item berikut perlu
dipertimbangkan:
Ketersediaan
Ketersediaan
Ketersediaan
Ketersediaan
tenaga
proses
sumber
sumber
daya
daya
pengulas
kunci
luar
keterlibatan
kunci
PERILAKU
TES
UNTUK
KUMPUL
BUKTINYA
Transisi keterlibatan jaminan dari tahap perencanaan sampai dengan tahap pelaksanaan.
Pendekatan pengujian dikembangkan dalam tahap perencanaan dan digariskan dalam risiko dan
pengendalian matriks sekarang harus dijalankan untuk menentukan apakah kontrol beroperasi
seperti yang dirancang. Seperti setiap tes dilakukan, bukti akan dikumpulkan untuk mendukung
kesimpulan
auditor
MENGEVALUASI
internal
bukti
yang
mengenai
seberapa
dikumpulkan
efektif
DAN
kontrol
KESIMPULAN
beroperasi.
REACH
Melakukan tes pemeriksaan memungkinkan auditor internal untuk mengumpulkan bukti yang
dibutuhkan untuk mengevaluasi kecukupan desain dan efektivitas operasi pengendalian kunci
dan mencapai kesimpulan tentang efektivitas proses atau daerah di bawah ulasan.
untuk beroperasi?
Apakah risiko yang mendasari yang dikurangi ke tingkat yang dapat diterima?
Secara keseluruhan, lakukan desgin dan pengoperasian kunci kontrol lebih
mendukung pencapaian tujuan untuk proses atau daerah yang sedang dikaji?
Jawaban atas pertanyaan ini membutuhkan auditor internal untuk mencapai kesimpulan
biasanya akan membutuhkan banyak pertimbangan.
dikembangkan
dengan
baik
mengevaluasi
apakah
kebijakan,
dan
perusahaan
2. Tidak ada pengamatan
dan
prosedur,
dan
manajemen
dapat
mengakibatkan
karyawan
melaksanakan
tanggung
dan
manajemen
keinginan
(akurasi,
dan
tujuan
tanggung
input
untuk
faktur
mengakibatkan
jawab
ini
perorangan
2. Pilih sampel
dari
80
yang
sesuai
dengan
pendelegasian wewenang
5%
kebijakan,
tingkat
deviasi
setelah
memperhitungkan
diharapkan
perubahan concideration
tingkat
diperlukan
kebijakan
3. Meninjau dan membahas
untuk
dijelaskan
pada
pengamatan,
menentukan
bahwa
kertas
beberapa
dapat
duplikat
apakah
tampak
prosedur
prosedur
akurat
terdokumentasi
mencerminkan
tugas-
dan
baik
lain
Duplicates Payments Risk - 1. Uji
mengidentifikasi
mengingat
kerja
prosedur dengan hutang 3. Berdasarkan diskusi dan
persetujuan)
Kegagalan
tepat
fungsi
faktur
duplikasi 1. Sistem
sistem
dengan
mencoba
untuk
memasukkan
nomor
faktur duplikat
2. Karena sistem
peringatan
dipahami
hanya
pengguna
rejcted
terus
dengan
semua
duplikasi
pembayaran diidentifikasi
3. Transaksi
uji
untuk
kontrol
ini
semua
menyulitkan
untuk
untuk
kemungkinan
pembayaran duplicat
3. Test untuk memastikan
flag
pengeluaran
ditandai
dalam
pengeluaran
kas
dijalankan
kas
Risk
Ketidakmampuan
- 1. Menguji
fungsionalitas 1. Pengujian
benchmark
untuk
utama
2. Menggunakan perangkat
pembayaran)
aliran
waktu
ketepatan
dan
kas)
lunak
analisis
manajemen
yang
mengakibatkan
biaya
tanggal
tersebut dibebaskan
faktur
untuk
Systems
Access
Risk
terakhir
ada
kekurangan
logis
IT pengujian keamanan
yang
efektif
dapat
memanipulasi,
menghapus
pencairan
utama
data
(akurasi,
audit TI
2. Diskusikan
logis
dengan 2. Berdasarkan pembahasan
dan
proses
untuk
mengkonfirmasikan
akses
kas)
hak
pengamatan
EXAMPLE
RISK
AND
CONTROL
orang yang tidak lagi dengan perusahaan. sampel yang dipilih, kita
dikembangkan
articultated
kebijakan,
prosedur,
dari
dapat
menyimpulkan
keyakinan
tingkat
kebijakan
diidentifikasi
90%
dari
persetujuan
penyimpangan
karyawan
kebijakan,
melaksanakan
tanggung
setelah
jawab
manajemen
expactation
dan
keinginan
(akurasi,
ketepatan
waktu,
pencatatan,
kepatuhan,
dan
tujuan persetujuan)
Ketepatan
waktu 1. Patokan dari ketiga kontrol menunjukkan Semua tof kontrol sistematis
Risiko.Ketidakmampua
n
untuk
memproses
pembayaran
tepat
waktu
dapat
mengakibatkan
denda
atau
(untuk
penalti
keterlambatan
pembayaran)
atau
diskonto terjawab.
Akses Sistem Risiko- 1. Tidak ada deficienties desain yang dicatat Kontrol
Kurangnya
praktik
tampaknya
logis.
dan beroperasi secara efektif
2. Berdasarkan pembahasan dan pengamatan
efektif
dapat
untuk mengurangi risiko ini.
dokumentasi yang sesuai, hak akses
menciptakan peluang
tampaknya ditinjau secara tepat dan tepat
bagi
individu
waktu.
unaunthorized untuk
mengakses,
memanipulasi,
atau
menghapus
data
pencairan kunci.
Semua barang yang diterima yang hak kepemilikan berpindah ke tge perusahaan,
atau layanan yang telah diberikan, harus dicatat dalam laporan keuangan.
Penyebab:
Akun manajemen hutang sebelumnya tidak dianggap atau diakui nilai pada
pemeriksaan tersebut
Efek:
Kewajiban Kosong, bersama dengan aset tercatat sesuai atau biaya, dapat
mengakibatkan ketika buku ditutup pada akhir bulan, akhir kuartal, atau akhir
tahun
Kondisi:
Kriteria:
penerimaan barang atau jasa harus dicatat dan proses hanya sekali.
Penyebab:
Sistem ini kode untuk mengingatkan pengguna, tetapi tidak untuk melarang
pengguna dari memasuki faktur lagi jika keadaan dijamin
Efek:
Kewajiban, dan aset yang sesuai atau biaya, mungkin dilebih-lebihkan dan dana yang
dikucurkan tidak tepat
Tahap kedua keterlibatan jaminan melibatkan melakukan tes yang digariskan dalam tahap
perencanaan dan mengevaluasi hasilnya khusus, auditor internal melakukan langkah-langkah
berikut: