UNIVERSITAS INDONESIA

MAKALAH AUDIT INTERNAL AUDIT REPORT

KELOMPOK 6

GIOVANNI JANITRA PRANAYA MUHAMAD HELMI JOAN DOHARTHA ARDELIA DEA DARMAWAN ADI IRINE AYU

FAKULTAS EKONOMI PROGRAM STUDI AKUNTANSI UNIVERSITAS INDONESIA

2013

STATEMENT OF AUTHORSHIP

Kami yang bertanda tangan di bawah ini menyatakan bahwa tugas terlampir adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain yang kami gunakan tanpa menyebutkan sumbernya. Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk tugas pada mata ajaran lain kecuali kami menyatakan dengan jelas bahwa kami menggunakannya. Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan/atau dikomunikasikan untuk tujuan deteksi adanya plagiarisme. Mata Ajar Judul Tugas Tanggal Dosen : Audit Internal : Audit report : Senin, 23 September 2013 : 1. Achmad Baraba M.Ak. 2. M. Malik S.E., M. Ak., CPMA.,CIA

No. 1 2 3 4 5 6

Nama Giovanni Janitra Pranaya Muhamad Helmi Joan Dohartha Ardelia Dea Darmawan Adi Irine Ayu

NPM 1006696131 1006696421 1006764044 1006712160 1006774783

Tanda Tangan

DAFTAR ISI AUDIT REPORT

DAFTAR ISI I. REPORTING INTERNAL AUDIT RESULTS I.I. Standards I.II. Audit Report Preparation Steps I.II.I. Prepare audit report introductory page I.II.II. Outline Audit Findings I.II.III. Prepare the First Draft Audit Report I.II.IV. Discuss with Management I.II.V. Preparation of Final Audit Report Draft I.II.VI. Audit Report Closing Conference I.II.VII. Issue Final Report I.III. Balanced Audit Report Presentation Guidelines I.IV. Alternative Audit Reports Formats I.V. Importance of Communication in Audit Reports II. AUDIT REPORT REVIEW AND REPLIES II.I. Introduction II.II. Standards II.III. Template Audit Review Report III. REPORTS TO EXECUTIVE MANAGEMENT AND BOARD III.I. Standards III.II. Activity Report III.III. Evaluation Report DAFTAR PUSTAKA LAMPIRAN 1: Internal Audit Report Health and Care Professional Council

5 8 10 15 17 19 22 23 24 26 28

30 33 36

40 41 44 47 48

BAB I REPORTING INTERNAL AUDIT RESULTS

Audit report adalah laporan tertulis berisi hasil observasi dan rekomendasi internal auditor. Audit report merupakan tujuan akhir dari kegiatan internal audit dalam perusahaan, sekaligus menggambarkan keseluruhan aktivitas internal auditor kepada pihak di dalam maupun di luar perusahaan. Audit report merefleksikan fisolofis dasar dari pendekatan internal audit kepada perusahaan secara keseluruhan; tujuan kegiatan audit, kebijakan utama dan strategi pendukung, prosedur yang digunakan, hingga kinerja dari masing-masing staff audit. Tujuan dari audit report adalah komunikasi antara internal auditor sebagai pembuat laporan dengan mereka yang membaca dan menggunakan laporan tersebut. Untuk mencapai komunikasi yang efektif, maka internal auditor harus memastikan 2 tujuan utama audit report tercapai, yakni: (1) menyediakan informasi yang berguna dan pada waktu yang tepat, serta (2) memberikan rekomendasi yang dapat memperbaiki kontrol dan performa dari operasi perusahaan. Internal Audit harus memanfaatkan audit report sebagai sarana untuk membantu kinerja manajemen dalam meningkatkan operasional perusahaan. Seluruh audit report, baik dalam bentuk surat tertulis kepada manajemen perusahaan maupun presentasi informal setelah melakukan kegiatan audit di lapangan, harus berisi 4 komponen utama: 1. Tujuan, Waktu, dan Scope dari review Audit report harus merangkum tujuan dari review, kapan review dilakukan, dan scope dari internal audit. Contoh dari scope internal audit adalah kegiatan internal audit yang dilakukan karena permintaan dari komite audit atau dilaksanakan secara mendadak karena adanya indikasi manipulasi dalam laporan keuangan. 2. Penjabaran mengenai hasil temuan Report harus berisi mengenai apa yang salah dari kondisi yang ditemukan, dan mengapa kesalahan tersebut terjadi. Kesalahan disini berupa kelemahan internal control perusahaan, pelanggaran terhadap prosedur perusahaan, atau pertimbangan lainnya 4

3. Saran untuk koreksi Setelah menemukan adanya kesalahan, auditor memberi pernyataan tertulis untuk memperbaiki kesalahan tersebut beserta rekomendasi untuk meningkatkan performa perusahaan. 4. Dokumentasi dari rencana dan klarifikasi auditee Auditee dapat mengklarifikasikan secara formal untuk temuan internal audit dan memberikan rencana untuk membetulkan kondisi untuk temuan dan rekomendasi audit yang diberikan oleh internal auditor

I.I Standards The Standards for the Professional Practice of Internal Auditing mengatur beberapa pedoman terkait tanggung jawab internal auditor untuk melaporkan hasil kegiatan auditnya. Standard tersebut diantaranya: 2400 Communicating Results Internal auditors must communicate the results of engagements. 2410 Criteria for Communicating Communications must include the engagements objectives and scope as well as applicable conclusions, recommendations, and action plans. 2410.A1 - Final communication of engagement results must, where appropriate, contain the internal auditors opinion and/or conclusions. When issued, an opinion or conclusion must take account of the expectations of senior management, the board, and other stakeholders and must be supported by sufficient, reliable, relevant, and useful information. Penjelasan: Opini yang diberikan dapat berupa penilaian, kesimpulan, atau deskripsi dari hasil tertentu. Keterlibatan audit bisa berhubungan dengan kontrol atas proses, resiko, atau unit

bisnis tertentu. Opini yang diberikan oleh internal auditor membutuhkan pertimbangan dari hasil keterlibatan kerja audit dan dampaknya terhadap perusahaan. Informasi yang sufficient berarti informasinya faktual dan meyakinkan sehingga pengguna yang diinformasikan, yang juga memiliki sikap berhati-hati, akan menarik kesimpulan yang sama dengan auditor. Informasi yang reliable berarti informasi terbaik yang dapat ditemukan melalui metode audit yang paling pantas. Informasi yang relevan mendukung observasi atas kegiatan audit serta rekomendasi dan konsisten dengan tujuan kegiatan audit. Useful Information membantu organisasi mencapai tujuan utamanya.

2410.A2 Internal auditors are encouraged to acknowledge satisfactory performance in engagement communications. 2410.A3 When releasing engagement results to parties outside the organization, the communication must include limitations on distribution and use of the results. 2410.C1 Communication of the progress and results of consulting engagements will vary in form and content depending upon the nature of the engagement and the needs of the client. Kualitas kriteria komunikasi dari internal auditor diatur dalam Standards Practice Advisory 2420-1, Quality of Communication Criteria. Ada setidaknya 5 syarat hasil temuan audit yang berkualitas : 1. Komunikasi hasil temuan audit harus faktual, akurat, tidak bias, dan bebas dari distorsi. Observasi, kesimpulan, dan rekomendasi tidak boleh didasarkan atas prasangkaprasangka tertentu. 2. Komunikasi yang lancar mengharuskan internal auditor menyajikan hal-hal yang logis dan mudah dimengerti. Kejelasan dapat ditingkatkan dengan menghindari penggunaan istilah-istilah teknis yang tidak relevan dan menyediakan informasi pendukung yang cukup. 3. Komunikasi juga harus singkat. Komunikasi langsung membahas poin inti permasalahan dengan kata-kata sesingkat mungkin.

4. Komunikasi harus konstruktif dalam membantu klien dan organisasi untuk mencapai tahap perkembangan yang dibutuhkan. 5. Komunikasi harus disampaikan pada waktu yang tepat, yakni disampaikan tanpa mengulur-ngulur waktu dan langsung bisa diambil tindakan korektifnya Apabila komunikasi akhir yang dilakukan oleh internal auditor mendapati adanya error yang signifikan atau kelalaian, maka berdasarkan Standard 2421 Errors and Omissions, Chief Audit Executive (CAE) harus mengkomunikasikan informasi yang benar kepada seluruh individu yang terlanjur menerima hasil komunikasi di awal. Standard 2440 Disseminating Results mewajibkan chief audit executive untuk menyebarluaskan hasil audit kepada seluruh individu yang sesuai. Standard ini akan dibahas secara lebih jelas pada Bab II : Audit Report Review and Replies. Ketika opini secara keseluruhan sudah dikeluarkan, Standard 2450 Overall Opinions menjelaskan bahwa opini harus memperhitungkan ekspektasi dari manajemen senior, BOD, dan pemegang kepentingan lainnya dan didukung oleh informasi yang relevan, reliable, cukup, dan berguna. Komunikasi yang diberikan kepada pemegang kepentingan berupa ruang lingkup (waktu dimana opini masih berhubungan/relevan), keterbatasan pada ruang lingkup, pertimbangan seluruh proyek yang berhubungan termasuk ketergantungan pada penyedia jaminan lain, resiko dari kerangka kerja kontrol dan basis lain untuk menyusun opini, dan opini, penilaian, atau kesimpulan yang dicapai. Alasan untuk opini keseluruhan yang tidak diinginkan juga harus dilaporkan. Standard 2500 Monitoring Process mewajibkan CAE untuk menciptakan dan mempertahankan suatu sistem untuk memonitor hasil audit yang dikomunikasikan kepada manajemen perusahaan. Dijelaskan lebih lanjut dalam Standard 2500.A1, CAE wajib melakukan proses follow-up untuk memonitor dan memastikan tindakan manajemen perusahaan telah diimplementasikan secara efektif atau manajemen senior telah menerima resiko tidak melakukan tindakan apa-apa. Ketika CAE menyimpulkan bahwa manajemen telah menerima tingkat resiko tertentu yang mungkin tidak dapat diterima oleh organisasi, maka menurut Standard 2600 Communicating the Acceptance of Risks, CAE harus mendiskusikannya dengan senior 7

manajemen. Jika CAE menentukan bahwa permasalahan masih belum terpecahkan, maka CAE harus mengkomunikasikan permasalahan ini kepada direksi/dewan perusahaan. Hal yang perlu ditekankan adalah bukan menjadi tanggung jawab bagi Chief Audit Executive untuk menyelesaikan/memecahkan resiko tersebut.

I.II. Audit Report Preparation Steps Berikut adalah langkah-langkah internal auditor dalam menyiapkan audit report: I.II.I. Prepare Audit Report Introductory Page Tahapan pertama dalam membuat internal audit report adalah halaman pengantar. Halaman pengantar harus memiliki 6 elemen berikut : 1. Judul dari report dan tujuan review 2. Pihak-pihak dimana laporan ini ditujukan beserta salinan kopinya 3. Scope audit dan tanggal audit fieldwork 4. Lokasi yang dikunjungi dan waktu audit 5. Prosedur audit yang dilakukan 6. Opini auditor atas hasil review yang dilakukan Contoh opini auditor yang mungkin dikeluarkan: _ We found the controls in the area reviewed to be adequate except for . . . _ We found that most controls were good and were operating as installed . . . _ We identified significant control problems in the areas reviewed. Our findings . . . Kelompok kami menemukan contoh introductory page pada internal audit report yang dikeluarkan oleh Mazars LLP untuk Health and Care Professional Council pada November 2012 (Lampiran 1). Karena sudah di-publish dalam bentuk final internal audit report, maka ada beberapa elemen dalam introductory page yang dijelaskan dalam poin tersendiri, tidak dalam pernyataan umum pada bagian pembuka. Berikut analisa kelompok kami untuk setiap elemen: 1. Judul dari report dan tujuan review Judul dari report adalah Internal Audit Report for ICT Security. Area ICT Security sudah termasuk dalam rencana audit tahunan karena pengaruh 8

signifikan dari resiko yang dinilai oleh Health and Care Professional Council (HCPC) risk register. Tujuan dari review ICT Security HCPC adalah mencegah penggunaan IT secara tidak sah atau tidak pantas. Tujuan ini dijelaskan dalam paragraf pembuka Internal Audit Report. 2. Pihak-pihak dimana laporan ini ditujukan beserta salinan kopinya Laporan ini ditujukan untuk komite audit dan manajemen senior HCPC. Laporan ini merangkum hasil dari kerja internal audit dan tidak menyangkut beberapa hal yang tidak menjadi perhatian Mazars LLP selama kegiatan audit. Hal-hal yang tidak menjadi perhatian sudah didiskusikan terhadap staff yang terkait. Terkait dengan keputusan apa yang akan diambil, komite audit diminta untuk mendiskusikan hasil laporan beserta rekomendasi yang diberikan oleh Mazars LLP dalam Action Plan. 3. Scope audit dan tanggal audit fieldwork Scope Audit tidak dijelaskan dalam introductory page melainkan dijabarkan dalam 1 bagian tersendiri, bersama dengan tujuan audit secara lebih spesifik. Audit Scope dari internal audit ICT Security adalah : Software Virus damage (Risk 5.1, HCPC Risk Register, March 2012); IT fraud or error (Risk 5.3, HCPC Risk Register, March 2012); Malicious damage from unauthorised access (Risk 5.5, HCPC Risk Register, March 2012); Electronic data is removed inappropriately by an employee (Risk 17.1, HCPC Risk Register, March 2012); and Loss of Registrant personal data by the registration system (NetRegulate) application support provider in the performance of their support services (Risk 17.6, HCPC Risk Register, March 2012). 4. Lokasi yang dikunjungi dan waktu audit Tidak dijelaskan secara spesifik lokasi apa saja yang akan dikunjungi namun dalam latar belakang perusahaan dijelaskan mengenai fasilitas utama IT perusahaan, serta lokasi di London yang dijadikan disaster recovery facilities. Waktu audit yang dilakukan diatur dalam Audit Control Schedule pada 1 bagian tersendiri, tanggal-tanggal penting diantaranya: 9

Finish on Site \ Exit Meeting Management responses received Draft report issued Final report issued 5. Prosedur audit yang dilakukan

: 20 September 2012 : 12 November 2012 : 5 October 2012 : 12 November 2012

Secara umum, prosedur audit yang dilakukan dijelaskan dalam bagian audit scope, bukan pada paragraf pembuka. Prosedur yang dilakukan dijelaskan melalui kalimat berikut, we assess the adequacy of the internal control arrangements implemented by management and perform testing on those controls to ensure that they are operating for the period under review. 6. Opini auditor atas hasil review yang dilakukan Opini auditor dijabarkan secara komprehensif dalam ringkasan audit findings, yang akan dijelaskan lebih lanjut pada poin selanjutnya. Kesimpulannya, dalam introductory page terdapat berbagai macam elemen yang akan membantu Internal Auditor dalam menyusun draft untuk final audit report. Nantinya, elemen-elemen dalam paragraf pembuka ini akan menyusun suatu pembahasan komprehensif di setiap sub-bab final audit report, sebagaimana dapat dilihat pada internal audit report HCPC.

I.II.II.

Outline Audit Findings Beberapa kegiatan yang dilakukan Internal Auditor terkait audit finding: Determine if there is sufficient support to warrant the audit findings. Review to determine where additional evidence may be needed. Ascertain that all audit finding causes and effects of findings are considered. Determine whether there is a pattern of deficiencies requiring procedural changes or whether the findings appear to be isolated cases. Berdasarkan Standard 2431 Engagement Disclosure of Nonconformance, ketika ada ketidaksesuaian dengan definisi internal audit, kode etik, atau standard lainnya yang mempengaruhi hasil audit engagements tertentu, maka dalam mengkomunikasikan hasil audit harus ada pengungkapan mengenai

10

Prinsip atau aturan bertindak dari kode etik atau standard lainnya dimana kesesuaian secara sempurna tidak tercapai Alasan mengapa terjadi ketidaksesuaian dengan kode etik atau standard Dampak dari ketidaksesuaian terhadap keterikatan audit dan hasil keterikatan audit yang akan dilaporkan

Ketidaksesuaian yang ditemukan oleh internal audit menjadi bagian dari audit findings yang akan dilaporkan dalam audit report. Audit Findings yang baik harus merangkum beberapa elemen di bawah ini: Statement of Condition Rangkuman hasil review internal audit untuk area-area yang menjadi perhatian utama internal audit What was found? Apa prosedur yang dilakukan internal auditor dan bagaimana hasil dari prosedur yang dijalankan Kriteria internal audit untuk mempresentasikan hasil temuan audit Berisi criteria atau apa saja yang digunakan oleh internal auditor untuk menilai pernyataan dari kondisi perusahaan Efek dari hasil temuan audit yang dilaporkan Internal Auditor harus menilai materialitas dari hasil audit serta menilai efek dari hasil temuan audit yang akan dikomunikasikan kepada pihak-pihak di perusahaan. Alasan atau sebab terjadinya deviasi pada audit Penyebab terjadinya deviasi menjawab pertanyaan penting, Mengapa? sekaligus menyediakan basis bagi manajemen perusahaan untuk mengambil langkah korektif Rekomendasi Internal Audit Audit Finding harus ditutup dengan rekomendasi internal auditor untuk langkahlangkah korektif

Kelompok kami menemukan contoh Audit Finding pada internal audit report yang dikeluarkan oleh Mazars LLP untuk Health and Care Professional Council (HCPC) pada November 2012 (Lampiran 1). Audit Finding yang dijabarkan dalam Internal 11

Audit Report HCPC sangat lengkap karena mencakup semua elemen yang diperlukan, yakni: 1. Statement of Condition Mazars memberikan kesimpulan atas efektivitas dan aplikasi internal control HCPC atas ICT security. Ada 3 area yang menjadi perhatian utama internal audit, yakni area dimana kontrol sudah berjalan secara efektif, area dengan praktik kerja yang sudah baik, dan area yang membutuhkan perbaikan atau perkembangan. Dari 3 area yang telah disebutkan, Mazars memberi keyakinan memadai pada kerangka kerja kontrol keamanan ICT bahwa resiko material yang menghalangi HCPC mencapai tujuan organisasinya sudah dikelola secara memadai dan terkendali.

2. What was found? Hasil dari prosedur yang dijalankan oleh auditor menghasilkan beragam temuan audit untuk setiap area, misalnya: A. Area dengan kontrol yang sudah efektif An Information Technology Policy is documented as part of the staff handbook. All users of the IT systems are authorised prior to access being granted, and are identifiable and unique. At the network level, passwords are subject to change every 31 days as part of the default security policy. Password minimum length is 6 characters, and additional measures include password complexity rules, lockout after 5 login attempts and a short forced log out after a period of inactivity. Dan audit findings lainnya yang dapat dilihat di Lampiran 1 B. Area dengan praktek yang sudah baik Penetration testing which covers both infrastructure and application level testing is undertaken on a quarterly basis. The latest penetration testing report dated July 2012 highlights no high or medium level vulnerabilities in either the application or supporting infrastructure.

12

HCPC are continuing to work towards ISO27001 information security certification, which will provide an overall management and control framework for managing HCPCs information security risks;

C. Area yang masih butuh perbaikan Sub-area IT Fraud or Error: The Director of ICT has liaised with a number of similar organisations in the sector to obtain their IT Security policies to benchmark against. Sub-area Malicious Damage from unauthorised access: no penetration testing has been conducted from an internal perspective inside the business. Sub-area Loss of registrant personal data: there is no formal mechanism to confirm destruction of data should it be required.

3. Kriteria Internal Audit Mazars memiliki 2 kriteria untuk membuat audit report, yakni kriteria untuk menentukan tingkat jaminan/ assurance level untuk HCPC serta kriteria untuk memberikan rekomendasi kepada manajemen perusahaan.

Untuk menentukan assurance level, Mazars membagi lagi ke dalam 2 kategori yakni assurance level pada design sistem perusahaan dan assurance level pada efektivitas kontrol operasi organisasi. Kriteria yang digunakan dapat dilihat pada Appendix 1 Internal Audit Reports HCPC. Kesimpulannya, terdapat 3 macam assurance level yakni warna hijau untuk Substantial Assurance, warna kuning untuk Adequate Assurance, dan warna merah untuk Limited Assurance.

Sedangkan, untuk rekomendasi kepada manajemen perusahaan ditentukan 3 prioritas. Prioritas 1 sifatnya fundamental, atau mencerminkan kelemahan fundamental dari kontrol, dan HCPC memiliki resiko ketidakpastian yang tinggi. Prioritas 2 sifatnya signifikan, dimana kelemahannya signifikan dan resiko ketidakpastiannya sedang. Prioritas 3 sifatnya Housekeeping karena dalam area yang diteliti ada peluang yang digarisbawahi untuk mengimplementasikan praktek kerja yang lebih baik, efektif, dan menurunkan eksposure terhadap resiko. 13

4. Efek dari hasil temuan audit Hasil temuan audit yang berada pada area terakhir area yang masih butuh perbaikan menjadi fokus internal auditor untuk merumuskan rekomendasi yang tepat kepada manajemen. Efek dari beberapa temuan audit ini adalah munculnya resiko, sehingga auditor memberikan rekomendasi kepada manajemen dalam bentuk action plan. Dilihat dari kriteria yang sudah ditetapkan dan tingkat materialitas, maka auditor hanya menyarankan perbaikan atas 3 resiko yang berpengaruh terhadap pencapaian tujuan organisasi, yakni resiko IT fraud, perusakan dari pihak yang tidak memiliki akses, dan hilangnya data-data penting organisasi akibat sistem registrasi.

5. Sebab terjadinya deviasi pada audit Sebab terjadinya deviasi pada audit sudah dijelaskan secara detail dalam summary of audit findings dan action plan, mulai dari sistem yang dijalankan dalam operasional perusahaan, resiko yang muncul dari sistem yang bersangkutan, beserta rekomendasi kepada manajemen perusahaan. Dengan dijelaskannya deviasi pada temuan audit maka manajemen perusahaan dapat memahami dengan benar apa akar permasalahan dari resiko yang dihadapi dan harapannya dapat mengambil langkah korektif yang senada dengan rekomendasi internal auditor

6. Audit recommendation Rekomendasi yang diberikan oleh Mazars dirangkum dalam action plan. Melalui action plan, Mazars memberikan 3 rekomendasi dengan prioritas housekeeping, sesuai dengan kriteria yang telah ditetapkan, untuk mengatasi 3 resiko yang berpengaruh terhadap pencapaian tujuan organisasi, yakni resiko IT fraud, perusakan dari pihak yang tidak memiliki akses, dan hilangnya data-data penting organisasi akibat sistem registrasi.

Untuk resiko terjadinya IT Fraud, Mazars menyarankan agar HCPC mereview dan memperbarui kebijakan IT dalam handbook kerja karyawan untuk memastikan handbook berisi lebih banyak detail terkait penggunaan USB data drives. 14

Untuk resiko perusakan dari pihak yang tidak memiliki akses, Mazars menyarankan agar HCPC melakukan tes penetrasi dari dalam untuk mendapatkan penilaian utuh dari lingkungan kerja organisasi dan memastikan bahwa internal control berjalan sesuai ekspektasi organisasi.

Untuk resiko hilangnya data-data penting organisasi akibat sistem registrasi, Mazars menyarankan agar HCPC meminta konfirmasi tertulis dari DSL bahwa data sudah dihancurkan jika sudah tidak dibutuhkan, apabila ada kondisi dimana data yang masih ada saat ini akan dipertukarkan di masa depan.

I.II.III. Prepare the First Draft Audit Report 1. Me-review draft atas temuan untuk perkembangan lebih lanjut Sebuah finding control sheet (atau juga dikenal dengan issue control sheet) adalah cara untuk mendata semua kemungkinan findings, yaitu semua isu dalam perusahaan. Sebuah draft audit dimulai dan diakhiri oleh lembaran ini. 2. Memastikan bahwa temuan telah di-state dengan spesifik Tulis temuan yang didapat dengan lengkap, misalnya akun apa yang terpengaruh dan apa masalah yang dialami. 3. Memastikan bahwa semua temuan telah dicek dan di-cross referenced dengan laporan audit Pastikan semua bagian cross-reference (dalam contoh ini adalah pada kolom resolution) untuk setiap finding terpenuhi sebelum mengakhiri sebuah draft audit, jadi setiap isu dicatat dalam laporan atau dihilangkan dengan cara yang tepat.

15

Mari kita lihat salah satu contoh draft audit berikut:

Sumber: Association of Pacific Island Public Accountat (APIPA)Effective Audit Report Writing (http://apipa2009.pitiviti.org/) 4. Me-review semua workpaper yang berisi semua findings untuk memperkuat temuan audit dan membantu penyajian item yang penting. Auditor harus melakukan review atas kertas kerja (workpapers) sebelum menyerahkannya kepada audit management untuk ditentukan apakah workpaper tersebut relevan dan mempunyai tujuan yang berguna, bukti audit yang cukup, dan adanya penelusuran terhadap temuan audit. 5. Auditor juga harus memastikan bahwa kesimpulan (conclusion) harus valid dan masuk akal, dan sesuai dengan standar workpaper yang sudah ditetapkan Auditor harus me-review baik semua komentar yang diberikan maupun informasi yang didapat, untuk memastikan bahwa semua isu telah dibahas dan semua dokumentasi yang relevan telah dimasukkan dalam workpapers. Segala bentuk dokumentasi yang tidak relevan harus dikembalikan/dihancurkan setelah

menyelesaikan kegiatan audit. 6. Memeriksa ketepatan intonasi, tanda baca, dan ejaan Pastikan bahwa workpaper ditulis dengan kalimat yang simple dan padat, jelas dan mudah dipahami, serta hidupjangan biarkan pembaca merasa bosan karena terlalu menggunakan kalimat pasif.

16

7.

Memeriksa bahwa ada dukungan yang cukup untuk opini auditor atau bila butuh suatu kualifikasi Auditor menggunakan professional judgement dan melatih professional skepticismnya untuk menentukan kuantitas dan kualitas dari bukti audit, yang dapat mendukung opini auditor dalam penugasannya. Biasanya, auditor bergantung pada bukti audit yang persuasif ketimbang konklusif. Saat mengumpulkan dan mengevaluasi bukti audit, auditor tidak dapat pias dengan bukti yang kurang persuasif. Jumlah dari bukti akan cukup apabila secara keseluruhan, ia mampu untuk memberikan dukungan persuasive bagi laporan penugasan auditor. Agar buktinya dinyatakan tepat, infomrasi harus relevan, reliable, dan valid.

8. Memastikan bahwa penyebab, efek, dan rekomendasi telah dipahami sepenuhnya. Dalam sebuah laporan maupun draft audit, auditor perlu tahu secara jelas mengenai apa sebab dari sebuah finding dengan menggunakan root cause analysis, dimana auditor akan fokus pada penyebab dengan efek yang paling besar, ketimbang memberikan rekomendasi atas sesuatu yang tidak signifikan. 9. Mendiskusikan metode untuk meningkatkan kualitas konten dan gaya penulisan dengan tim audit. 10. Menyiapkan draft report yang diberi judul dengan huruf kapital penuh, DRAFT.

I.II.IV. Discuss with Management 1. Menentukan apakah manajemen telah sadar akan suatu masalah dan telah mengambil langkah korektifnya. 2. Mencari tahu alasan manajemen untuk suatu kondisi tertentu. 3. Memastikan apakah ada fakta atau keadaan tertentu yang tidak disadari oleh auditor. 4. Mengumpulkan ide dari pihak manajemen mengenai koreksi dari suatu kondisi.

17

5. Memastikan bahwa manajemen telah sadar akan semua items yang akan masuk ke dalam laporan audit. 6. Memastikan bahwa terdapat persetujuan manajemen untuk mengakui fakta atau kondisi tertentu. Perlu diingat, bahwa auditor harus memahami betul pihak manajemen mana yang akan membaca laporannya, serta apa ekspektasi juga lingkup kerjanya. Dengan begitu, informasi dan cara penyampaian informasi tersebut akan tepat. Misalnya untuk bagian top management, mereka pasti akan lebih memahami konsep secara umum (general concept) ketimbang yang spesifik. Top management pasti lebih peduli akan isu yang mempengaruhi perusahaan secara keseluruhan, maka ekspektasi mereka atas suatu laporan audit dititikberatkan pada signifikansi. Mereka menginginkan auditor untuk memberikan rekomendasi atau koreksi atas suatu resiko yang berdampak signifikan pada perusahaan. Di sisi lain, apabila laporan auditor akan digunakan oleh operating management, maka ia akan sangat familiar dengan situasi dalam divisinya. Jadi operating management akan lebih menginginkan agar auditor menemukan findings dalam areanya. Pihak manajemen yang berada pada hirarki yang tinggi cenderung untuk menyadari pentingnya untuk terus mengetahui isu dalam perusahaandan sebisa mungkin terlibat dalam proses audityang masih dalam lingkup tanggung jawabnya. Ada banyak preferensi yang dimiliki oleh manajemen mengenai terkait diskusinya dengan auditor, misalnya ada pihak yang suka mendiskusikan laporan audit dengan timnya beserta auditor yang melakukan penugasan, ada yang cenderung untuk membaca draft laporan auditor di waktu senggang mereka, dan ada pula yang meminta internal auditor untuk mempresentasikan temuan auditnya. Dengan preferensi yang beragam seperti ini, dapat dilihat antusiasme dari para lapisan manajemen untuk mendiskusikan hasil audit tidak hanya findings apa yang didapatkan auditor, tetapi juga ingin mengetahui bagaimana impression auditor akan pengawasan, training, moral, atau hal lainnya yang tidak terdapat pada laporan formal auditor, terutama bagi level top management.

18

Dalam berkomunikasi dengan manajemen, auditor harus selalu ingat dengan prinsip mereka bahwa, (1) untuk memberikan informasi yang berguna dan timely, dan (2) untuk memberikan peningkatan dalam pengendalian atas kinerja perusahaan.

I.II.V.

Preparation of Final Audit Report Draft 1. Memarikan bahwa semua rekomendasi yang telah diberikan untuk perubahan dalam laporan telah dilaksanakan. 2. Memastikan bahwa perspektif manajemen telah dipertimbangkan dengan adil, dan dapat dibantah apabila diperlukan. 3. Memastikan bahwa laporan telah ditulis dengan bahasa yang baik dan benar, serta mudah dipahami. 4. Memastikan bahwa bagian summary konsisten dengan bagian isi dalam laporan. Salah satu objektif penting dalam internal audit adalah untuk membuat senior management tertarik untuk membaca laporan audit dan terlibat dalam proses audit. Akan tetapi, laporan audit yang terlalu detailsehingga menjadi terlalu panjang kemudian membuat manajemen tidak mempunyai waktu untuk membaca keseluruhan laporanapalagi untuk manajemen di pihak tertentu yang hanya ingin melihat hasil temuan di divisinya. Untuk itulah, auditor membuat summary satu halaman yang berisi: Deskripsi singkat mengenai objek yang diaudit Kesimpulan auditor Pernyataan mengenai adanya findings dan memberi referensinya pada laporan untuk mengetahui lebih detail. Deskripsi singkat mengenai langkah yang dulakukan oleh klien mengenai temuan tersebut. Pernyataan integrative yang memasukkan unsur findings dan kesimpulan dari perspektif yang objektif.

19

Suatu summary yang padat dan jelas biasanya terdiri beberapa komponen utama, yaitu: Introduction (Pengantar)

Sumber: Victorian Government AustraliaAudit Summary 2009 (www.audit.vic.gov.au)

Conclusion (Kesimpulan)

Sumber: Victorian Government AustraliaAudit Summary 2009 (www.audit.vic.gov.au)

20

Findings (Temuan)

Sumber: Victorian Government AustraliaAudit Summary 2009 (www.audit.vic.gov.au)

Recommendation (Saran)

Sumber: Victorian Government AustraliaAudit Summary 2009 (www.audit.vic.gov.au)

5. Memastikan bahwa rekomendasi telah didasarkan oleh kondisi tertentu dan penyebabnya telah dikemukakan di findings. 6. Penggunaan grafik, tabel, dan skedul yang dibuat untuk mengklarifikasi suatu kondisi telah dipresentasikan dengan benar. 7. Auditor yang menulis findings telah setuju dengan segala perubahan yang dibuat.

21

I.II.VI. Audit Report Closing Conference 1. Memastikan bahwa manajemen mempunyai waktu untuk mempelajari final report. 2. Usahakan untuk mendapat persetujuan atas perbedaan yang muncul. 3. Pertimbangkan semua masukan untuk pengubahan konsen dalam report maupun hanya masukan dalam penulisan. 4. Buat suatu plan yang mengatur tindakan follow-up dari manajemen. Sebuah closing conference menandakan penyelesaian resmi sebuah aktivitas audit. Pertemuan ini dilakukan untuk memberikan pemahaman akan hasil audit dan isu yang dilaporkan kepada manajemen. Closing conference adalah review dan diskusi akhir dari sebuah laporan audit dan respon manajemen terhadap opini audit. a. Setelah penyelesaian aktivitas audit, laporan audit mulai disusun (drafted) dan di-review oleh pihak manajemen yang berwenang. b. Pihak manajemen akan meminta untuk memberikan respon atas opini audit. c. Auditor akan menggabungkan respon tersebut dalam sebuah audit report draft. d. Direksi Internal Audit akan me-review draft laporan audit tersebut dengan isu yang diajukan terkait isi laporan audit. e. Direksi Internal Audit akan menjadwalkan adanya closing conference dengan pihak manajemen. Draft dari laporan akan diberikan ke semua partisipan conference. f. Beberapa hal yang harus dibicarakan saat closing conference: Semua isu yang terdapat dalam draft audit report harus diselesaikan sebelum dilakukannya closing conference. Pertemuan akan diadakan sebagai penguat bahwa laporan telah secara akurat menggambarkan kondisi operasional. Intonasi dalam conference haruslah positif. Auditor yang mengadakan meeting harus me-review temuan audit dan menitikberatkannya pada tindakan korektif yang dilakukan manajemen terkait isu. Apresiasi harus ditunjukkan kepada sifat koordinatif perusahaan yang di-audit.

22

Indikasikan kepada perusahaan yang diaudit, distribusi dari final audit report. Mendiskusikan prosedur follow-up audit. Pastikan bahwa manajemen mengerti tanggung jawab mereka atas implementasi dari tindakan korektif.

Setelah dilakukannya closing conference, baiknya langsung disusun sebuah working paper yang mendetail segala diskusi yang dilakukan. Working paper ini akan dimasukkan dalam Administrative Section dalam working paper.

I.II.VII. Issue Final Report 1. Memastikan bahwa perubahan akhir dibuat dengan penyesuaian dengan cloning conference. 2. Cek laporan sekali lagi untuk salah penulisan. 3. Lakukan review atas laporan untuk presentasi yang lebih balance, dengan komentar positif yang termasuk dalam hasil.audit. 4. Baca laporan terakhir kalinya untuk konten, konsistensi, dan kepatuhan dengan standar professional.

23

I.III. Balanced Audit Report Presentation Guidelines Salah satu objektif dari diadakannya internal audit adalah untuk mengevaluasi efesiensi dan efektivitas dari area yang diaudit. Oleh sebab itu internal auditor bertanggung jawab untuk mengungkapkan kondisi-kondisi atau temuan-temuan selama pelaksanaan audit entah itu bersifat memuaskan atau kebalikannya. Namun yang harus diperhatikan, internal auditor harus meminimalisasi pendeskripsian temuan audit dengan bahasa yang terlalu negatif. Auditor internal harus berusaha untuk bagaimana audit report tersebut bisa mendorong manajemen untuk mengambil langkah korektif. Karena, laporan audit akan kurang memiliki value apabila auditee bersikap seolah kurang mau menerima terkait hasil audit. Tetapi di sisi yang lain, audit report yang cinderung hanya menyatakan hal-hal atau temuan-temuan yang baik saja, tidak akan membantu manajemen untuk kedepannya. Sehingga dibutuhkan suatu gaya pelaporan yang balanced, tepat, positif dan konstruktif. Berikut adalah beberapa hal yang harus diperhatikan auditor internal dalam membuat audit report yang seimbang: Membuat audit report dengan perspektif. Auditor internal harus mencegah penggunaan faktor-faktor pendukung yang hanya mendukung kesimpulan audit yang dibuat. Ketika kekurangan-kekurangan pada suatu area diungkapkan, auditor harus memberikan perspektif dengan mengidentifikasikan area-area yang tidak terdapat kekurangan. Selain itu, terkait temuan yang bersifat monetary, harus mengungkapkan jumlah total dari akun yang diaudit dalam hubungannya dengan nilai error yang ditemukan.

Melaporkan pencapaian auditee. Pencapaian auditee dalam memperbaiki internal kontrol pada areanya, memperbaiki error, mengurangi aspek-aspek yang bersifat need improvement, sebaiknya diungkapkan dalam audit report summary, terlebih pencapaian tersebut bisa mempengaruhi kesimpulan audit.

24

Menunjukan tindakan yang direncanakan oleh auditee. Dalam situasi dimana auditee sudah mengambil tindakan atau membuat rencana terkait tindakan korektif sebelum audit diselesaikan, auditor internal harus mengungkapkan hal ini pada audit report. Contohnya ketika auditee melakukan kontrak dengan konsultan IT untuk memperbaiki internal kontrol terkait dengan teknologi informasi, kontrak ini harus disebutkan dalam audit report.

Melaporkan kondisi yang meringankan. Ada kalanya manajemen menghadapi faktor-faktor dimana mereka tidak punya kendali yang kuat. Faktor tersebut bisa mengurangi tanggung jawab manajemen, dan oleh karenanya harus disebutkan pada audit report. Contohnya antara lain: Jangka waktu yang terlalu singkat untuk melaksanakan program, Kondisi bisnis eksternal, Minimnya dana yang dianggarkan kepada area tersebut.

Memasukan respon audit sebagai bagian dari audit report. Pada kasus tertentu, ketika dilakukan komunikasi dengan manajemen terkait dengan temuan audit pada saat proses audit, ada kalanya respon dari auditee terkait dengan temuan audit tersbeut mengandung informasi. Bisa saja auditee menngindikasikan pencapaian-pencapaian yang tidak tercover pada proses audit atau keadaan-keadaan yang mempengaruhi area auditee, yang tidak termention oleh auditor.

Meningkatkan kualitas pembahasaan pada audit report. Penggunaan kata-kata yang bersifat positif dan konstruktif daripada kata-kata yang bersifat negatif dan menyalahkan akan menghasilkan audit report yang bernada positif. Pemilihan kata-kata tersebut harus tepat, tidak boleh membuat pengguna laporan audit menangkap pesan yang berbeda.

25

Contoh statement negatif dan positif: Statement negatif We found that controls in the area were generally poor. The new inventory system is poorly designed. The department failed in several of its training program operations. Statement Positif We identified areas where controls need improvements. The inventory system has some major control weaknesses. More attention should have been given to its design. Several opportunities exist for strengthening controls in training program operations.

Penggunaan pendekatan-pendekatan yang telah disebutkan tersebut bukan berarti mensugestikan bahwa audit report tidak bisa bersifat tegas dengan memberikan pernyataan yang tajam terhadap auditee. Apabila auditor menemukan masalah-masalah yang dinilai serius, hal tersebut harus dinyatakan secara jelas dan tetap dengan pembahasaan yang konstruktif tanpa mengubah maksud dari statement tersebut.

I.IV. Alternative Audit Report Formats Selain audit report yang standard, ada beberapa jenis laporan yang bisa digunakan oleh internal auditor, khususnya untuk laporan yang bersifat interim, antara lain: Oral Report Jenis report ini selalu digunakan, paling tidak dalam basis interim, ketika tim audit melaporkan hasil kerjanya dalam audit fieldwork closing conference. Dalam kasus tertentu, laporan lisan seringkali dibutuhkan apabila adanya tindakan emergency yang diperlukan, presentasi lisan dapat disampaikan sebagai pendahuluan sebelum dibuatnya report yang tertulis. Selain itu pelaporan lisan juga seringkali digunakan suplemantary atau penjelasan dari audit report tertulis.

Interim or Informal Memo Report Dalam situasi dimana internal auditor menganggap bahwa perlu untuk memberikan saran kepada manajemen terkait selama proses audit atau paling tidak sebelum dirilisnya 26

regular report, internal auditor akan membuat semacam laporan tertulis sementara. Laporan tertulis ini dapat berisi masalah yang dianggap signifikan yang membutuhkan langkah korektif dari manajemen atau semacam progress report terkait report yang telah diberikan sebelumnya. Selain itu, sebuah memo report juga digunakan untuk menjelaskan hasil dari oral report.

Questionnaire-Type Audit Report Questionnaire-type audit report digunakan sebagai summary atau appendix dari formal audit report. Format ini biasa digunakan pada area audit berhubungan dengan hal-hal yang bersifat prosedural, yang berada pada level operasional yang rendah. Berikut adalah contoh dari questionnaire-type audit report:

Regular Descriptive Audit Report Dalam tiap-tiap assignment audit, hasil kerja harus dikonklusikan dalam bentuk yang lebih formal, yakni descriptive audit report. Tidak ada format yang menentukan apakah report ini harus pendek atau panjang, semua tergantung kuantitas dari penjelasan yang terkandung didalam report.

27

Summary and Significan Finding Audit Report Divisi internal audit harus lebih berfokus kepada temuan-temuan yang dianggap sigifikan bagi perusahaan. Sehingga salah satu task dari internal auditor adalah mengeluarkan summary report terkait berbagai temuan audit yang signifikan, yang juga berisikan bagaimana current status dari setiap temuan tersebut. Sehingga jenis report ini akan sangat membantu para top-level manager. Berikut adalah contoh dari summary and significan finding audit report:

I.VI. Importance of Communication in Audit Reports Dengan menerapkan keterampilan berkomunikasi, pelaksanaan audit akan berjalan secara efektif dan efisien, (efektif dalam arti, audit dapat mencapai hasil-hasil yang diinginkan; efisien karena proses audit dapat dilaksanakan dengan lancar sehingga sumber daya audit benar-benar digunakan untuk mencapai tujuan audit), dalam hal: 1. Memeroleh data dan informasi yang diperlukan dalam pengujian audit. Audit dapat dipandang sebagai proses pengumpulan dan pengujian informasi untuk menghasilkan simpulan dan rekomendasi. Pemilik data dan informasi adalah auditan, jika perolehan data dan informasi tidak memadai, maka audit tidak akan mencapai hasil yang memuaskan.

28

2.

Mengendalikan dan mengoordinasikan kegiatan-kegiatan tim audit. Audit dilaksanakan oleh tim yang terdiri dari individu-individu. Audit juga menjalankan aktivitas-aktivitas yang saling terkait. Komunikasi yang baik dalam tim akan membuat interaksi individu dan rangkaian aktivitas dalam audit dapat berjalan dengan baik. Masalah-masalah dapat diselesaikan bersama sehingga hambatan dalam proses audit dapat diminimalkan.

3.

Meningkatkan mutu audit. Jika aktivitas-aktivitas dasar dalam audit, seperti pengumpulan informasi, pengujian, dan penyampaian hasil audit dapat berjalan dengan lancar, maka konsentrasi tim audit dapat diarahkan pada usaha peningkatan mutu audit. Misalnya, jika perolehan informasi menjadi mudah dan cepat, maka tim audit dapat berkonsentrasi untuk memilih proses analisis yang lebih tepat.

4.

Memperbaiki citra auditor internal. Selama ini, auditor telah dicitrakan secara keliru, sebagai sosok yang tidak ramah, sibuk sendiri, bahkan sering dianggap sewenang-wenang. Citracitra tersebut menyulitkan auditor dalam menjalin kerjasama dengan auditan. Auditan yang mempunyai citra yang keliru tentang auditor akan cenderung untuk tertutup, tidak mau bekerjasama, menghindar, bahkan dapat mendorong mereka untuk menghambat pekerjaan auditor. Dengan keterampilan komunikasi antar pribadi, citra ini dapat dikurangi, kemudian dibangun citra auditor yang lebih terbuka, siap bekerja sama, dan memposisikan auditan sebagai mitra dalam pelaksanaan auditnya.

29

BAB II AUDIT REPORT REVIEW AND REPLIES

Introduction Setelah membuat laporan audit, internal auditor bersama klien akan melakukan proses review atas laporan audit sebelum pada akhirnya menerbitkan laporan audit final. Proses reviewing merupakan suatu bentuk pertanggungjawaban dan penghormatan atas klien dimana proses tersebut dianggap penting didasari bahwa adanya keterbatasan atas pemahaman internal auditor yang pada dasarnya tidak mengetahui secara mendalam tentang operasional perusahaan seperti layaknya pengetahuan dan perspektif yang dimiliki oleh manajemen lini sehingga dalam audit temuannya, auditor hanya dapat mencoba menyelesaikan masalah hanya sebatas pada working level saja. Maka dalam praktiknya, internal auditor akan menunjukkan draft laporan auditnya kepada manajemen lini dimana internal auditor akan berusaha untuk jujur dan terbuka sehingga tidak menyembunyikan sesuatu yang merugikan atau signifikan dimana dalam hal ini akan mempertimbangkan kliennya. Sifat positif yang ditunjukkan oleh internal auditor dapat berdampak positif terhadap relasi dengan kliennya, dimana klien akan memiliki pandangan positif terhadap internal auditor. Dalam hal ini, jika auditor memiliki citra positif maka klien akan lebih memiliki kecenderungan untuk memberi respon dan mempertimbangkan rekomendasi auditor dalam draft review bahkan bersedia melakukan langkah koreksi. Disaat audit replies dilakukan dimana tentunya dengan persetujuan executive, internal auditor memiliki tanggung jawab untuk mereview dan menilai kelayakan dari jawaban tertulis klien atas laporan tersebut dikarenakan merekalah pihak yang dapat menilai kewajaran dan kelayakan respon yang diberikan oleh klien. Berdasarkan buku Sawyer, tujuan dari report review adalah: Memberikan informasi tentang audit Menyelesaikan konflik Mencapai kesepakatan tentang fakta-fakta Menghindari argumentative replies 30

Memberikan izin kepada klien untuk melihat report tertulis sebelumnya Memberikan tindakan awal atas temuan audit

Internal auditor pun memiliki objektif yakni: Memastikan klien mempertimbangkan dengan baik atas temuan audit dan rekomendasi yang diberikan oleh internal auditor Memberikan jaminan bahwa hal yang dilaporkan akan tetap di monitor hingga dikoreksi Ada 4 tipe dari audit report reviews yakni: 1. Audit report segments 2. Draft Audit reports 3. Audit reports yang telah selesai dan diterbitkan 4. Open recommendations Seperti yang telah dijelaskan diatas, draft akan di-review oleh klien. Dalam hal ini, pihak yang melakukan review atas draft laporan bergantung pada sifat dasar dari report dan kepentingan atau kepedulian dari manajer maupun eksekutif. Draft laporan pun dapat di-review oleh pihak yang bertanggung jawab pada area atau kondisi yang dilaporkan dimana langkah koreksi dibutuhkan. Laporan yang meminta adanya perubahan pada sistem dapat di review oleh sistem analis. Jika pada praktiknya, tidak ada temuan atau rekomendasi yang diajukan oleh internal auditor maka draft dapat dibatasi hanya untuk manajer lini dan atasannya. Semua report reviews pada akhirnya harus didokumentasikan termasuk hasil dari review perlu dicatat dalam working paper selama atau langsung setelah konferensi sehingga tidak kehilangan poinnya seperti dalam keputusan, komentar, dan lainnya. Periode untuk melakukan sebuah review cenderung tidak menentu tergantung dari semakin banyaknya draft reviews maka hal tersebut berbanding lurus dengan semakin lamanya periode untuk menerbitkan laporan audit final. Maka itu internal auditor perlu menetapkan deadline dalam setiap review dan agar lebih efektif sebaiknya auditor membuat list pihak yang sebaiknya melakukan review paling awal lalu setelah itu draft diduplikasikan pada pihak yang concern untuk melakukan review. Untuk mempercepat proses review, beberapa perusahaan menggunakan teknik laporan interim kepada 31

kliennya dimana format dan detail yang akan ada pada full audit report dan setelah itu memberikan waktu pada klien untuk meresponnya. Proses draft reviewing dapat melewati sebuah konferensi dimana auditor akan mempersiapkan draftnya yang disebarkan kepada pihak yang mengikuti konferensi tersebut beberapa waktu sebelumnya. Tujuan dari konferensi tersebut adalah untuk memberikan informasi, mencapai kesepakatan tentang fakta dan mengatur implementasi dari rekomendasi auditor. Dalam praktiknya, sebaik apapun posisi internal auditor dalam sebuah perusahaan terkadang tidak bisa terlepas dari konflik. Auditor dapat menghindarinya dengan menyadari setiap komentar kritis yang dapat menimbulkan keberatan dan membutuhkan bukti tambahan. Sebaiknya auditor telah menyiapkan detail work paper dan pernyataan atas respon potensial dari klien mengenai temuan audit. Pada dasarnya konflik dapat terjadi dikarenakan klien khawatir akan rekomendasi auditor yang mungkin dapat berdampak buruk, takut akan adanya dislokasi, dan lainnya. Hal diatas dapat diatasi jika auditor dapat bersikap positif seperti dengan beretika yang baik, tidak berusaha menyudutkan klien, mengggunakan tata bahasa yang baik dan sopan, dan lainnya. U.S. General Accounting Office mengusulkan 4 prinsip agar ada langkah yang diterapkan manajemen atas rekomendasi auditor yakni rekomendasi yang berkualitas, komitmen, proses monitoring dan follow-up system, perhatian khusus pada inti rekomendasinya. Satu hal yang perlu ditekankan adalah saat seorang auditor memberikan opini audit, tidak ada hal seperti saran akan perubahan yang dapat mempengaruhi opini audit agar bisa dinegosiasikan. Setelah draft report melewati proses review, maka perubahan-perubahan yang dilakukan oleh manajemen dapat saja terjadi. Signifikansi dari perubahan akan menjadi penilaian. Jika klien ingin melakukan langkah yang tidak dibahas dalam review, klien berhak untuk melihat kembali draft yang telah dimodifikasi. Perubahan dapat dikomunikasikan lewat berbagai media. Kegiatan internal audit tidak berhak untuk meminta replies atas temuan audit mereka atau mengevaluasi kecukupan atas langkah koreksi. Dalam hal ini, manajemen sebaiknya mengarahkan jika audit report yang meminta adanya langkah koreksi harus di respon dalam bentuk tulisan dan memberikan batas waktu untuk mengumpulkan replies. Setiap divisi memiliki 32

format dan instruksi dalam rangka menanggapi review. Manajemen dapat memberikan arahan agar audit report tetap terbuka sampai auditor menilai bahwa replies yang diberikan memuaskan. Ketika replies dianggap tidak memuaskan maka auditor akan reply akan ditolak melalui memorandum. Jika auditor puas akan replies yang diberikan, maka auditor akan memberikan memorandum yang menyatakan bahwa auditor puas akan respon dan report dapat diselesaikan. Standard IPPF

Standard 2440 Disseminating Results mewajibkan chief audit executive untuk

menyebarluaskan hasil audit kepada seluruh individu yang sesuai. Secara detail, Standar 2440 dalam Standards for the Professional Practice of Internal Auditing menjelaskan bahwa : 2440.A1 The chief audit executive is responsible for communicating the final results to parties who can ensure that the results are given due consideration. 2440.A2 If not otherwise mandated by legal, statutory, or regulatory requirements, prior to releasing results to parties outside the organization the chief audit executive must: Assess the potential risk to the organization

Consult with senior management and/or legal counsel as appropriate; and Control dissemination by restricting the use of the results. 2440.C1 The chief audit executive is responsible for communicating the final results of consulting engagements to the clients. 2440.C2

During consulting engagements, governance, risk management, and control issues may be identified. Whenever these issues are significant to the organization, they must be communicated to senior management and the board. 33

Penjelasannya : Chief Audit Executive bertanggung jawab dalam me-review dan menyetujui komunikasi atas final engagement sebelum penerbitan dan untuk memutuskan kepada siapa dan bagaimana hal itu akan disebarluaskan. Ketika CAE mendelegasikan tugasnya, maka ia akan tetap memegang tanggung jawab seluruhnya. Secara keseluruhan, audit review yang diberikan oleh auditor pada dasarnya harus dikomunikasikan kepada seluruh pihak terkait yakni pihak yang bertanggung jawab atas temuan audit maupun pihak yang terkena dampak dari temuan tersebut. Pada praktiknya, jika ada temuan audit, maka dalam draft report audit, internal audit akan menawarkan beberapa rekomendasi. Dalam menyikapi hal tersebut, pihak manajemen diharap dapat berkonsultasi dan melakukan penilaian atas dampak jika rekomendasi diterapkan maupun jika tidak diterapkan. Setelah dikeluarkannya draft atas laporan audit maka klien akan melakukan review untuk memastikan bahwa laporan tersebut tidak mengabaikan aspek signifikan pada sebuah operasi dalam audit.

Standard 2500 Monitoring Progress mewajibkan chief audit executive untuk

membentuk dan menjaga sistem untuk memonitor disposisi hasil yang dikomunikasikan pada manajemen. Secara detail, Standar 2500 dalam Standards for the Professional Practice of Internal Auditing menjelaskan bahwa : 2500.A1 The chief audit executive must establish a follow-up process to monitor and ensure that management actions have been effectively implemented or that senior management has accepted the risk of not taking action. Penjelasannya : Auditor Internal harus menentukan bahwa tindakan korektif sudah diambil dan dalam proses mencapai hasil yang diinginkan, atau bahwa manajemen senior atau dewan

34

telah berasumsi atas risiko tidak mengambil tindakan korektif pada pengamatan dilaporkan. Follow up oleh auditor internal didefinisikan sebagai proses dimana mereka menentukan kecukupan, efektivitas, dan ketepatan waktu tindakan yang diambil oleh manajemen atas engagement observation yang dilaporkan dan rekomendasi termasuk yang dibuat oleh eksternal auditor dan lainnya. Auditor Internal harus pertimbangkan saran berikut saat melakukan proses follow up. Pedoman ini tidak dimaksudkan untuk mewakili semua pertimbangan yang mungkin diperlukan selama evaluasi tersebut, tetapi hanya satu set item yang

direkomendasikan yang harus ditujukan. Faktor yang dapat dipertimbangkan dalam menentukan prosedur follow up yang baik adalah: o Tingkat signifikansi dari rekomendasi atau observasi yang dilaporkan o Besar upaya dan biaya yang dibutukan untuk memperbaiki kondisi yang dilaporkan o Dampak yang mungkin terjadi jika langkah koreksi gagal o Kerumitan dari langkah koreksi o Periode waktu yang diperlukan

35

Template dari Audit Review Report Sample Review report on Contractors schedule Independent Accountants Report Contractor Name Contractor Address

We have reviewed the accompanying Schedule of Revenues and Expenses of [Contractor] for the fiscal year ended [Date], in accordance with Statements on Standards for Accounting and Review Services issued by the American Institute of Certified Public Accountants and the requirements of the Auditor of State of Ohio. All information included in this Schedule is the representation of the management of [Contractor]. A review consists principally of inquiries of company personnel and analytical procedures applied to financial data. It is substantially less in scope than an audit in accordance with generally accepted auditing standards, the objective of which is the expression of an opinion regarding the Schedule taken as a whole. Accordingly, we do not express such an opinion. Based on our review, we are not aware of any material modifications that should be made to the accompanying Schedule in order for it to be in conformity with generally accepted accounting principles and the provisions of section 9.232 of the Ohio Revised Code. [Signature of Accountant] [Date]

36

Contoh respon/replies manajemen atas Draft Report

37

Contoh Formal Closing Memorandum

38

www.hudoig.gov

39

BAB III REPORTS TO EXECUTIVE MANAGEMENT AND BOARD

Standards Standard 2020 Communication and Approval The chief executive must communicate the internal audit activitys plans and resource requirements, including significant interim changes, to senior management and the board for review and approval. The chief audit executive must also communicate the impact of resource limitations. Standard 1320 Reporting on the Quality Assurance and Improvement Program The chief audit executive must communicate the results of the quality assurance and improvement program to senior management and the board

Pelaporan kepada manajemen dan direksi oleh internal auditor memiliki dua tujuan. Pertama, untuk mengomunikasikan hal-hal apa saja yang telah dicapai internal auditor. Kedua, untuk mendeskripsikan hal-hal apa saja yang telah diobservasi oleh internal auditor. Tujuan pertama, dalam buku Sawyer, diklasifikasikan sebagai activity reports, dan tujuan keduanya diklasifikasikan sebagai evaluation reports. Berdasarkan Practice Advisory 2060-1, Reporting to the Board and Senior Management, disebutkan bahwa chief audit executives memiliki kewajiban dalam menyampaikan laporan mencakup 1) activity reports kepada manajemen senior dan kepada dewan secara tahunan atau lebih rutin tergantung kebutuhan. Activity reports tersebut haruslah menekankan pada observasi penugasan serta rekomendasi yang signifikan serta harus menginformasikan apakah terdapat deviasi dari yang telah direncanakan, serta 2) observasi penugasan yang signifikan adalah kondisi di mana secara subjektif chief audit executive menilai bahwa hal tersebut akan berdampak pada organisasi. 40

Standard 2060 Reporting to Senior Management and the Board The chief audit executive must report periodically to senior management and the board on the internal audit activitys purpose, authority, responsibility, and performance relative to its plan. Reporting must also include significant risk exposures and control issues, including fraud risks, governance issues, and other matters needed or requested by senior management and the board. Berdasarkan AICPA SAS 61, Communications with Audit Committees, area yang perlu dikomunikasikan oleh internal auditor terhadap komite audit mencakup: 1. Fraud and illegal acts 2. Deficiencies in internal control 3. Significant accounting policies 4. Accounting estimates 5. Significant audit adjustments 6. Disagreements with management 7. Difficulties in performing the audit

ACTIVITY REPORT Activity reports menunjukkan sampai tingkat mana audit internal mencapai goals-nya. Selain mendeskripsikan ruang lingkup dan seberapa dalam usaha internal audit, activity reports juga merangkum corrective action yang diambil atas hasil dari audit internal. Selain itu, activity reports juga menunjukkan bagaimana audit telah membantu perusahaan dalam memonitor kecukupan serta keefektivitasan sistem kontrol perusahaan. Internal auditor harus secara periodik menunjukkan pencapaian (secara moneter atau bukan moneter) untuk menunjukkan nilai dari kontribusi internal audit. Berikut adalah subjek dari activity reports:

41

 Comparison of work programmed with work accomplished Membandingkan jumlah hari yang telah direncanakan dalam program audit dengan realisasinya. Number and diversity of activities audited Laporan ini menyediakan keseluruhan opini audit maupun opini untuk sebagian proyek audit. Form ini juga harus mengklasifikasikan penemuan audit kedalam ranking penemuan audit yang mayor atau pun minor. Number and kinds of reports issued Number of other communications to management Cost of operating the auditing department Biaya atas audit harus dihitung dan dilaporkan pada setiap laporan audit. Activity based costing adalah salah satu cara yang tepat dalam menghitungkan biaya dalam setiap program audit. Amounts of recoveries and savings Pelaporan dalam penghematan dolar (satuan mata uang lainnya) merupakan isu yang sensitif.Nilai penghematan atas peningkatan performa sistem atau pengeliminasian kerja yang tidak diperlukan bisa menimbulkan interpretasi yang berbeda antara auditor dengan klien. Adanya persetujuan klien atas penghematan yang terjadi merupakan salah satu cara guna menghindari konflik tersebut. Status of risk exposure Pelaporan juga berkaitan dengan pengungkapan risiko yang dihadapi perusahaan.

42

Beberapa audit program menyediakan informasi tambahan berikut dalam ringkasan laporan atau aktivitasnya, seperti Nama dan latar belakang internal auditor Daftar objektif pekerjaan Koordinasi internal dan eksternal auditor Kepatuhan dengan kebutuhan professional seperti standar Komentar mengenai evaluasi risiko, aspek lingkungan, dan etik

Dalam penyajiannya, biasanya auditor menyertakan grafik agar lebih mudah dibaca dan dianalisis.Contohnya adalah perbandingan jumlah hari dalam rencana kerja dengan aktualnya yang disampaikan melalui grafik bar. Dalam laporan aktivitas tersebut, manajemen pun dapat melihat bagaimana auditor mengevaluasi kinerjanya: apa yang telah dilakukan dan kemana mereka akan menuju. Audit Productivity Pengujian utama atas sukses atau tidaknya sebuah audit adalah dengan mengukur produktivitasnya. Produktivitas auditor bukanlah pengukuran seperti jumlah audit yang diselesaikan atau pun penghematan yang terjadi akibat adanya internal audit. Produktivitas merupakan perbandingan antara outcome dengan input. Outcomes merupakan hasil dari output. Biasanya hal tersebut merupakan peningkatan yang dicapai perusahaan atas dilaksanakannya aktivitas audit. Untuk menentukan apakah sebuah audit telah produktif atau tidak, sebuah program audit haruslah memiliki objektif.Objektif tersebut juga harus dinyatakan dalam expected-output atau expected-outcome yang terukur.

43

EVALUATION REPORTS Senior manajer bisa mendapatkan laporan operasional dari manajer operasi.Namun, laporan semacam tersebut bukanlah laporan yang bisa digunakan senior manajer untuk evaluasi.Laporan yang dibutuhkan senior manajer adalah evaluasi yang objektif, teredukasi, serta professional. Aktivitas pendukungnya adalah review internal auditor terhadap kevaliditasan laporan operasional tersebut. Evaluasi yang disediakan auditor bukanlah evaluasi tiap individu atau tiap kegiatan; melainkan akumulasi dari penemuan audit (audit findings) dan kesimpulan mengenai tren serta variances.Audit opinions dan audit findings merupakan unit pengukuran untuk laporan tersebut. Ringkasan Opini Audit Opini internal audit terhadap aktivitas operasional yang spesifik biasanya adalah satisfactory atau unsatisfactory.Namun, dari perspektif manajemen, pengukuran

operasional adalah sebatas apakah operasi tersebut sesuai standar atau tidak; apakah pekerjaannya terselesaikan atau tidakjika tidak, kenapa? Oleh karena itu, laporan audit sebaiknya memasukkan keseluruhan opini audit. Opiniopini tersebut juga seharusnya merupakan ringkasan yang bisa menunjukkan kepada manajemen dan komite audit mengenai indikasi kualitas dari kontrol dan performa dalam organisasi yang ditunjukkan oleh internal auditor. Dari ringkasan tersebut, manajer bisa menganalisis bagian mana yang masih unsatisfactory dan corrective actions apa yang dibutuhkan. Ringkasan Penemuan Audit Penemuan audit diklasifikasikan menjadi major dan minor.Penemuan yang mayor biasanya berdampak terhadap performa, kontrol, dan fungsi sehingga berpengaruh signifikan terhadap objektif.Sementara itu, penemuan yang minor dianggap tidak berpengaruh signifikan terhadap objektif. Semua penemuan, oleh karena itu, harus dievaluasi oleh pihak yang memiliki otoritas untuk memastikan konsistensi dan dalam level yang sesuai. Penemuan auditselain bersifat major dan minorjuga berdampak terhadap kontrol dan performa.

44

Ringkasan Penyebab Mengetahui opini unsatisfactory tidaklah cukup.Manajemen harus mengetahui mengapa hal tersebut terjadi. Oleh karena itu, dalam laporan evaluasi ini, internal auditor harus menunjukkan hal-hal apa saja yang biasanya menyebabkan defisiensi dalam kontrol dan performa perusahaan. Laporan yang ditunjukkan haruslah menunjukkan kecendrungan (bukan sekadar laporan penyebab per aktivitas) agar manajer bisa memutuskan bagian atau kelompok mana yang harus diberi atensi lebih. Beberapa contoh hal yang menyebabkan defisiensi: Tidak dibuatnya objektif dan rencana yang cocok bagi perusahaan Standar atau kriteria yang tidak ditentukan Proses yang tengah berjalan tidak dimonitor Tidak adanya aksi manajemen atas pelaporan defisiensi Karyawan yang tidak terlatih Selain daftar di atas, ringkasan penyebab defisiensi juga bisa dilakukan dengan mengelompokkan kendala-kendala berkaitan dengan fungsi manajemen: planning, organizing, directing, dan controlling. Selain itu, dalam mendifinisakan penyebab, penting bagi internal auditor untuk menentukan asal defisiensi itu terjadi. Oleh karena itu, bersamaan dengan penyebab, penting bagi manajemen untuk tahu apakah kontrol atau performanya: 1. Incomplete 2. Lacking 3. Not timely 4. Inaccurate 5. Inconsistent 6. False Defisiensi sangat penting untuk disertakan dalam laporan sehingga corrective actions pun bisa diidentifikasi.

45

One-page Audit Reports Guna mempermudah direksi serta komite audit membaca laporan audit, laporan audit satu halaman merupakan bentuk laporan yang mempermudah mereka dalam memilih isu mana yang perlu perhatian lebih dan isu mana yang tidak. Selain itu, direksi serta komite audit bisa dengan jelas melihat gambaran hasil audit secara menyeluruh tanpa terlalu detail. Dalam laporan tersebut biasanya disertakan referensi apabila direksi atau komite audit ingin mengetahuinya lebih dalam. Caveats Internal auditor harus hati-hati dalam laporan aktivitasnya untuk tidak memberikan impresi yang counterproductive.Selain itu, aktivitas internal auditor sebaiknya dipandu oleh implikasi dugaan sebagai berikut: Jumlah dan keberagaman tugas audit Peningkatan dalam jumlah departemen yang audit mengindikasikan bahwa staf audit tersebar ke dalam banyak kelompok atau mengindikasikan bahwa audit yang dilakukan merupakan superficial audits. Jumlah laporan yang diterbitkan Tanpa penjelasan lebih lanjut, peningkatan dalam jumlah pelaporan mengimplikasikan jangka waktu yang pendek atau area audit yang kecil. Seberapa banyak komunikasi dengan manajemen Biasanya menunjukkan seberapa sering follow-up dilakukan. Seberapa banyak sugesti diadopsi Laporan audit bisa menspesifikasikan beberapa tindakan korektif yang seharusnya dilakukan oleh klien, tapi tanpa rekomendasi dari auditor. Jika tindakan korektifnya diambil oleh klien, maka laporan tersebut memiliki dampak yang positif. Konsultasi Jumlah konsultasi yang berlebihan akan menyebabkan independensi dari internal auditor patut dipertanyakan karena akan mengurangi objektivitasnya. Investigasi Tipe penugasan audit ini biasanya hasil dari emergency. Beberapa investigasi diklasifikasikan berisi informasi yang rahasia dan atau terlarang. 46

Daftar Pustaka

International Standards for the Professional Practice of Internal Auditing 2012. Internal audit report ICT Security Health and Care Professional Council November 2012

47