Audit Programs & Control Self Assessment

Audit Internal (Pertemuan ke-6) Oleh: Bonny Adhisaputra & Herbayu Nugroho Sumber: Brink's Modern Internal Auditing 7th Edition

Planning and Performing Internal Audits (part 2) Audit Programs & Control Self-Assessment

Fungsi audit internal memiliki berbagai macam bidang dan kegiatan untuk dimasukkan ke dalam review. Hal ini dapat terkonsentrasi pada review pengendalian internal proses keuangan, wilayah operasional di perusahaan, sistem keselamatan dan masalah keamanan, kontrol yang berhubungan dengan teknologi informasi, atau salah satu dari serangkaian daerah lain. Daftar dari semua potensi area yang dapat diaudit sering disebut alam semesta audit. Auditor internal di semua tingkat harus memahami pentingnya memiliki alam semesta audit internal-perusahaan tertentu sebagai dasar untuk memandu kegiatan audit internal mereka.

10.1

Defining The Scope and Objectives of the Internal Audit

Universe Untuk mendefinisikan Audit Universe, audit internal harus meninjau atau memahami jumlah entitas potensial yang dapat diaudit baik dari segi unit usaha atau daerah operasi dalam perusahaan dan jumlah unit atau kegiatan yang dapat diaudit di dalam dan di antara unit-unit bisnis tersebut. Contoh auditable activities : -

peraturan, prosedur, praktek

-

manufaktur, distribusi, supply chain

-

sistem informasi

-

lini produk

-

function seperti pembelian, akuntansi, finance, marketing dll

Dalam mendeksripsikan audit universe, CAE dan supporting internal audit team akan memulai dengan bagan organisasi yang mendetail

untuk mendeskripsikan entitas tsb. Tim audit juga harus menentukan Vocal point dari audit. Contoh dari titik Vocal point tersebut misalnya : 1. IT access controls 2. System security configuration 3. Monitoring and incident response 4. Security management and administration

4 focal point dalam IT infrastructure universe misalnya: a) Structure and strategy b) Methodologies and procedures c) Measurement and reporting d) Tools and technology Unit perusahaan yang auditable harus terus diupdate sebagai bagian dari proses perencanaan audit internal. 10.2

Assessing Internal Audit Capabilitis and Objectives

Daftar rinci dari unit-unit perusahaan menunjukkan semua bidang yang dapat di review oleh audit internal adalah nilai yang tidak seberapa kecuali audit internal memiliki keterampilan dan sumber daya untuk memulai audit di seluruh daerah tersebut. Audit internal harus realistis dalam mengembangkan daftar semesta audit. Auditor harus memahami risiko kontrol dalam setiap entitas yang hendak diaudit. Internal audit harus menganalisis potensi dari entitas yang hendak diaudit berdasarkan : -

Menciptakan control objective yang tinggi untuk setiap kandidat audit universe

-

Tentukan nilai risiko dari setiap kandidat

-

koordinasikan internal audit dengan kepentingan audit dan tata kelola lainnya

-

ciptakan control objective yang tinggi untuk setiap item dalam audit universe

-

buat kuesioner untuk preliminary control assessment

Hasil dari review dan analisis, auditor harus membuat audit universe schedule yang menunjukkan area yang potensial untuk direview

10.3

Audit Universe Time and Resource Limitations Langkah berikutnya adalah kita harus melihat daftar awal semesta audit dan menentukan audit yang diperlukan pada basis tahunan atau secara setengah tahunan. Ini adalah audit yang harus diselesaikan selama periode berjalan. Sebagai contoh, manajemen mungkin mengharapkan audit internal untuk mengamati persediaan fisik dalam lingkungan manufaktur. Sebagai bagian dari alam semesta audit dan perencanaan perusahaan, audit internal harus berasumsi bahwa observasi tersebeut perlu jadwal review secara teratur dan berkala. Kemudian langkah selanjutnya adalah untuk melihat item yang tersisa di daftar awal semesta audit dan menentukan apakah waktu dan sumber daya tersedia untuk review dari item-item tersebut.

10.4

“Selling” the Audit Universe to the Audit Committee and

Management CAE dan tim audit internal dapat melalui upaya yang besar untuk membangun dan memelihara alam semesta audit internal dan mungkin diminta bantuan dan saran dari manajemen senior dalam isi dan asumsi alam semesta audit ini, tetapi komite audit adalah entitas yang bertanggung jawab untuk meninjau dan menyetujui dokumen tersebut. Komite Audit bertanggung jawab untuk semua kegiatan audit internal dan harus bergantung pada CAE dan anggota lain dari audit internal untuk melakukan audit terjadwal dan melaporkan kembali hasilnya ke komite audit. Namun, komite audit tidak sering bersentuhan langsung engan proses audit, di sini CAE sebagai perpanjangan tangan yang diandalkan komite untuk melakukan audit dan melaporkan hasilnya pada komite audit. CAE akan mempresentasikan dan meyakinkan komite audit untuk menyetujui konsep yang telah disusun..

10.5

Assembling Audit Programs: Audit Universe Key Components Untuk

memberikan

bantuan

dan

bimbingan,

auditor

internal

menggunakan program audit untuk melaksanakan prosedur audit internal secara konsisten dan efektif untuk sejenis audit sejenis.

Program audit adalah alat untuk merencanakan, mengarahkan, dan mengendalikan pekerjaan audit serta cetak biru untuk tindakan, menentukan langkah-langkah yang akan dilakukan untuk memenuhi tujuan audit. Ini merepresentasikan pilihan auditor atas metode terbaik untuk menyelesaikan pekerjaan yang dilakukan dan berfungsi sebagai dasar untuk merekam langkah-langkah pekerjaan yang dilakukan. Dalam rangka mempersiapkan program ini, auditor internal harus terlebih dahulu memiliki pemahaman tentang karakteristik bagaimana program audit yang memadai. a) Audit Program Formats and Their Preparation Program audit adalah prosedur yang menggambarkan langkahlangkah dan tes yang akan dilakukan oleh auditor ketika melakukan pekerjaan di lapangan. Program ini harus diselesaikan setelah selesainya survei pendahuluan dan lapangan sebelum memulai kegiatan lapangan audit yang sebenarnya. Program audit tersebut harus dibangun dengan beberapa kriteria, yang paling penting adalah bahwa program ini harus mengidentifikasi aspek area yang akan diperiksa lebih lanjut dan daerah sensitif yang memerlukan penekanan dalam pemeriksaan. b) Types of Program Audit Evidence Auditor internal harus mengumpulkan bukti audit untuk mendukung evaluasi, apa yang disebut dengan standar audit internal yang cukup, kompeten, relevan, dan berguna. Sebuah program audit, yang dibangun dengan benar, harus membimbing auditor dalam proses pengumpulan bukti. Internal auditor akan menghadapi beberapa jenis bukti yang dapat berguna dalam mengembangkan kesimpulan auditor. Auditor internal akan menghadapi berbagai tingkat bukti audit dan harus berusaha untuk merancang prosedur audit mereka untuk mencari dan bergantung pada bukti audit terbaik yang tersedia.

10.6

Audit Universe and Program Maintenance Dokumen audit universe adalah deskripsi umum atas seluruh unit audit yang dapat direview fungsi internal audit. Selanjutnya perencanaan akan

menentukan kedalaman dan batasan dalam aktivitas audit. Universe menjadi peta besar yang meliputi teritori dan batasan internal audit. Hal ini dapat menjadi basis komunikasi ke komite audit dan untuk perencanaan aktivitas audit ke depan. Dokumen audit universe tidak harus selalu berubah sesuai perubahan kecil, namun yang penting tetap update. Audit universe yang efektif akan mendefinisikan perencanaan audit tahunan dan menjadi media untuk mendeskripsikan aktivitas dari audit. Audit internal perlu mengembangkan format program audit standard untuk semua review aktivitas audit yang sifatnya repetitive dan regular. Audit program dapat menjadi learning tool dan mekanisme untuk mempersiapkan audit internal yang lebih konsisten dan efektif. Memahami bagaimana membangun dan menggunakan audit universe serta program audit pendukung merupakan kunci CBOK yang harus dimiliki internal audit.

11.1

Control Self-Assessments and Benchmarking Control Self-Assessments (CSA) adalah proses internal audit untuk

peningkatan internal control yang sedang berjalan. Dalam CSA, internal audit bekerja dengan tim local dalam beberapa area operasional perusahaan, memimpin mereka dalam usaha untuk mengevaluasi prosedur control mereka saat ini yang kemudian akan digunakan hasilnya untuk peningkatan pengendalian internal. Benchmarking adalah sebuah praktek internal audit yang lebih formal. Benchmarking merupakan sebuah proses yang mengizinkan seorang internal auditor untuk membandingkan bagaimana organisasi yang sama berusaha untuk menampilkan dan mengeksekusi praktek secara umum.

11.2

Importance of Control Self-Assessments Metodologi CSA menjadi alat yang berguna untuk internal auditor

dan yang profesi lainnya untuk lebih memahami lingkungan pengendalian

internal perusahaan. Pendekatan ini mengharuskan internal auditor menempatkan tim khusus untuk menilai pengendalian internal. CSA pertama kali di kembangkan pada tahun 1987 oleh tim internal auditor di Gulf Canada sebagai sebuah alat untuk menilai ke efektifan pengendalian internal sebaik proses bisnis yang ada. Pada bab ini menggambarkan proses CSA dengan lebih detail dan mendiskusikan nilai yang potensial bagi perusahaan dalam penerapan CSA. Kemudian bagaimana internal audit dapat memperkenalkan dan mengevaluasi data serta hasil dari rancangan CSA. CSA menjadi alat yang penting dan berguna bagi banyak organisasi internal audit. 11.3

CSA Model Dalam CSA model dikatakan bahwa sebuah perusahaan harus

menerapkan tujuan serta aktivitas pengendalian yang kuat. Dua elemen ini di dukung oleh sistem informasi serta komunikasi yang baik dalam proses bisnis, untuk penilaian risiko dan menilai kinerja. CSA adalah sebuah proses pengembangan yang berkelanjutan yang serupa dengan penggambaran dan penggunaan metode oleh jaminan kualitas. Konsep tersebut digunakan untuk sebuah tim untuk menentukan dan mengembangkan kontrol lingkungan mereka dengan menetapkan sasaran dan tujuan dengan memperhatikan kontrol. Kontrol tersebut

kemudian

penerapan

melakukan

pengendalian

penilaian

aktivitas

untuk

resiko.

Kemudian

mengurangi

risiko

untuk yang

teridentifikasi. Lalu untuk memonitor pelaksanaan pengembangan pengendalian-pengendalian berkelanjutan.

tersebut.

Ini

merupakan

proses

yang

Gambar 3.1: CSA Process Banyak departemen internal audit telah menggunakan CSA sebagai sebuah metode untuk mendorong departemen-departemen untuk berfikir bagaimana mengembangkan pengendalian internal mereka.

11.4

Launching The CSA Process Langkah pertama dalam meluncurkan proses CSA adalah sebuah

keberanian usaha, seorang Chief Audit Executive (CAE) atau beberapa orang memberikan inisiatif yang akan dibutuhkan untuk menjual konsep CSA kepada senior manager. Beberapa keunggulan potensial dari proses CSA adalah: 

Peningkatan cakupan dalam laporan pengendalian internal melaui laporan periodik.



Target dalam pengendalian internal terkait dengan penempatan. Fokus yang lebih besar pada risiko yang tinggi dan item yang tidak biasa yang ditemui dalam review CSA.



Peningkatan keefektifan dari internal audit - tindakan perbaikan yang direkomendasi

melalui

pemindahan

kepemilikan

pengendalian

internal serta tanggung jawab kepada karyawan yang beroperasi. Ada 3 prinsip utama dalam pendekatan CSA yaitu:

-

Facilitated team meeting workshop Dalam pendekatan ini pengumpulan informasi dari kerja tim yang merepresentasikan berbagai level dalam perusahaan.

-

Questionnaires Dalam pendekatan ini digunakan survei yang biasanya berdasarkan respon yang sederhana seperti ya/tidak.

-

Management Produced Analysis Pendekatan ini merupakan tipe yang benar-benar seperti internal audit dalam analisa, digunakan tergantung dari keseluruhan budaya organisasi maupun keputusan manajemen.

Proses dalam peluncuran CSA adalah sebagai berikut: a. Performing the Facilitated CSA Review 1. Objective-based Fasilitated CSA Review Sesi ini berfokus pada jalan terbaik untuk mencapai tujuan bisnis seperti keakuratan laporan keuangan. Workshop ini dimulai oleh tim mengidentifikasi pengendalian saat ini, kemudian menentukan sisa risiko yang ada jika pengendalian tidak bekerja. Tujuannya adalah untuk memutuskan apakah prosedur pengendalian sudah efektif, dan apakah risiko ada dalam level yang dapat diterima. 2. Risk-based Fasilitated CSA Review Sesi ini berfokus pada tim CSA dalam mendaftarkan risiko-risiko untuk mencapai tujuan pengendalian internal. Dimulai dengan mendaftar seluruh hambatan yang mungkin terjadi, rintangan, ancaman,

dan

pengungkapan

yang

mungkin

mencegah

pencapaian sebuah tujuan. Kemudian memeriksa prosedur pengendalian untuk menentukan jika prosedur tersebut cukup untuk mengelola risiko yang teridentifikasi. Tujuannya adalah menentukan residual risk yang signifikan. 3. Control-based Fasilitated CSA Review Sesi ini berfokus pada seberapa baik penempatan pengendalian bekerja. Format ini berbeda dari dua format sebelumnya karena fasilitator mengidentifikasi risiko-risiko kunci dan pengendalian sebelum

memulai

workshop.

Tujuannya

adalah

untuk

menganalisa celah diantara seberapa baik pengendalian yang bekerja dan seberapa baik manajemen berekspektasi terhadap pengendalian yang bekerja. 4. Process-based Fasilitated CSA Review Sesi ini berfokus pada seleksi aktivitas yang merupakan elemen dari rangkaian proses. Proses merupakan sebuah rangkaian yang terkait aktivitas yang dimulai dan diakhiri seperti proses pembelian, pengembangan produk. Tujuan dari tipe ini adalah untuk evaluasi, update, validasi, dan pengembangan. b. Performing the Questionnaire-Based CSA Review Dalam banyak kasus, questionnaire dapat menjadi cara yang efektif untuk mengumpulkan informasi pengendalian internal. Sebuah questionnaire dapat disiapkan kemudian didistribusikan kepada kelompok terpilih dari stakeholder untuk memahami resiko dan pengendalian dalam area kepentingan. Tim CSA akan mengedarkan kuisioner tersebut dengan nama responden yang tertera kepada kelompok stakeholder yang terpilih, lalu memonitor hasil untuk memastikan bahwa sejumlah nomor yang tepat telah dikembalikan kemudian mengumpulkan hasilnya. c. Performing the Management-Produced Analysis CSA Review Sebagai sebuah alternatif untuk melakukan survey atau memfasilitasi workshop. Dengan pendekatan ini, manajemen memproduksi sebuah pembelajaran proses bisnis

serupa dengan riset. Seorang CSA

specialist, yang mungkin seorang internal auditor mengkombinasikan hasil dari pembelajaran dengan informasi yang dikumpulkan dari sumber-sumber lain seperti manager dan personil utama.

11.5

Evaluating CSA Result

Sebuah analisis CSA, terutama jika itu mencakup beberapa proses atau sistem, akan menghasilkan sejumlah besar data. Beberapa mungkin akan mendukung kekuatan proses yang ada. Yang lain akan menunjukkan kelemahan pengendalian internal yang membutuhkan koreksi. Dan yang

lain mungkin juga akan menunjukkan daerah-daerah yang membutuhkan penelitian lebih lanjut. Hasil review CSA ini akan mirip dengan review COSO internal control, metode untuk mengevaluasi internal kontrol yang signifikan. IIA percaya bahwa proses CSA efektif meningkatkan profesi audit internal.