Professional Documents
Culture Documents
Ada berbagai jenis keterlibatan jaminan dan mungkin ada alasan yang berbeda untuk melakukan
salah satu dari mereka. Jenis keterlibatan dan alasan untuk melakukan hal itu secara signifikan
dapat mempengaruhi bagaimana pertunangan dilakukan. Oleh karena itu, penting untuk
memahami alasan untuk melakukan pertunangan sebelum memulai perencanaan.
Ada sejumlah alasan untuk melakukan keterlibatan jaminan, termasuk, namun tidak terbatas
pada:
Keterlibatan ini diidentifikasi dalam rencana audit internal tahunan karena risiko yang melekat
diidentifikasi selama proses penilaian risiko bisnis, risiko terdeteksi terakhir kali daerah itu
diaudit, dan faktor-faktor lain yang relevan. Untuk keterlibatan tersebut, auditor internal harus
memahami apa risiko bisnis yang mendasari menyebabkan keterlibatan untuk dimasukkan dalam
rencana, dan kemudian merancang rencana pertunangan untuk memberikan jaminan yang tepat
mengenai kecukupan desain dan efektivitas operasi pengendalian yang diterapkan untuk
mengurangi risiko tersebut.
Keterlibatan adalah bagian dari kebutuhan tahunan untuk mengevaluasi sistem organisasi
pengendalian intern untuk tujuan pelaporan eksternal, seperti AS Sarbanes-Oxley Act of 2002
Pasal 404 persyaratan di Amerika Serikat dan hukum pelaporan keuangan serupa di negara lain.
Untuk keterlibatan tersebut, auditor internal harus memastikan bahwa keterlibatan ini dirancang
untuk menguji area yang tercakup dalam peraturan yang mendasari (misalnya, memberikan
jaminan mengenai kecukupan desain dan efektivitas operasi pengendalian internal atas pelaporan
keuangan).
Sebuah acara baru-baru ini (misalnya, bencana alam, penipuan, atau kebangkrutan pelanggan)
telah menguji proses di bawah kondisi yang tidak biasa dan manajemen menginginkan "post
mortem" untuk menentukan di mana proses itu efektif dan mana tidak. Untuk keterlibatan
tersebut, auditor internal harus menyesuaikan pengujian dan evaluasi di sekitar peristiwa tertentu
yang terjadi.
Perubahan dalam bisnis atau industri membutuhkan modifikasi langsung ke proses dan
manajemen menginginkan validasi cepat yang modifikasi ini tampaknya dirancang tepat untuk
mengatasi perubahan. Untuk keterlibatan ini, auditor internal dapat melakukan audit kontrol
yang berfokus penuh atau mereka mungkin lingkup untuk fokus hanya pada kontrol yang
berubah.
Plan
Perform Communicate
Mungkin ada faktor lain, selain yang tercantum di atas, yang membuatnya penting bagi tim audit
internal untuk menyadari alasan atau driver yang menyebabkan keterlibatan yang akan
dilakukan. Misalnya, alih-alih mencari kepastian mengenai pernyataan yang berbeda dibahas di
atas, manajemen mungkin menginginkan pertunangan dilakukan untuk menilai bagaimana proses
kinerja relatif terhadap harapan. Jenis keterlibatan mungkin memerlukan tes yang berbeda untuk
memberikan penilaian itu. Terlepas dari alasan untuk melakukan pertunangan, memahami alasan
seperti ini akan membantu memastikan bahwa tujuan keseluruhan, ruang lingkup, dan fokus dari
alamat keterlibatan mereka driver dan waktu tidak dikhususkan untuk yang lain, driver kurang
penting.
Setelah alasan untuk keterlibatan jaminan dipahami, tujuan keterlibatan formal harus ditetapkan.
Tujuan-tujuan ini, yang biasanya dinyatakan dalam jaminan komunikasi keterlibatan akhir,
mengartikulasikan khusus apa keterlibatan sedang mencoba untuk menyelesaikan. Sementara
tujuan dapat dinyatakan dalam berbagai cara, harus jelas apa jaminan pertunangan akan
menyediakan. Misalnya, tujuan bisa mulai dengan kalimat berikut (kata kerja yang berbeda dapat
digantikan untuk yang digunakan dalam contoh ini):
Lingkup Keterlibatan
Setelah tujuan keterlibatan telah ditetapkan, ruang lingkup keterlibatan harus ditentukan. Sejak
keterlibatan mungkin tidak mencakup segala sesuatu yang dapat diaudit berkaitan dengan tujuan
keterlibatan, pernyataan ruang lingkup khusus harus menyatakan apa atau tidak termasuk dalam
keterlibatan. Pernyataan lingkup tersebut dapat mencakup:
Batas dari proses. Sementara beberapa proses kecil dan mandiri, banyak yang sangat
luas dan tumpang tindih dengan proses lainnya. Oleh karena itu, penting untuk
mendefinisikan apa titik dalam proses keterlibatan akan dimulai dan dimana akan
berakhir.
Dalam-lingkup dibandingkan out-of-lokasi. Untuk proses yang mencakup beberapa
lokasi, hanya beberapa lokasi tersebut dapat dimasukkan dalam keterlibatan.
Subproses. Sebagian diskrit dan dikenali atau komponen dari sebuah proses.
Komponen. Bagian-bagian tertentu, atau komponen, dari sebuah proses dapat diabaikan.
Kerangka waktu. Keterlibatan dapat mencakup satu tahun kalender, 12 bulan sebelumnya, atau
beberapa kerangka waktu lainnya.
Hasil yang diharapkan dan Publikasi
Sebelum pindah ke langkah berikutnya dalam proses perencanaan, pada tugas akhir harus
dilakukan. Masing-masing dijelaskan lebih lengkap sebagai berikut:
Potensi hasil tes yang akan dilakukan selama keterlibatan. Mampu mengantisipasi
berbagai jenis pengujian pengecualian yang dapat diidentifikasi dalam keterlibatan yang
diberikan membantu rencana uji internal auditor untuk memberikan jaminan reaasonable
bahwa perbedaan tersebut terdeteksi. Pengecualian khas meliputi:
Kesalahan statment keuangan atau misclassifications dalam rekening keuangan, saldo,
atau pengungkapan.
Kontrol kekurangan menunjukkan kontrol tertentu yang tidak mencapai efek yang
diinginkan, yaitu, mengurangi risiko sesuai dengan tingkat yang diinginkan.
Kekurangan dalam pencapaian tujuan, karena kekurangan kontrol atau kinerja yang tidak
memadai.
Inefisiensi karena sumber daya tidak digunakan secara optimal.
Situasi out-of-kepatuhan saat hukum, peraturan, atau kebijakan tidak dipenuhi secara
konsisten.
Anak perusahaan, unit bisnis, departemen, kelompok, atau bagian ketatanegaraan didirikan lain
dari suatu organisasi yang merupakan subjek dari keterlibatan jaminan. Jenis-jenis komunikasi
meliputi:
Lingkup penuh, laporan internal biasanya memiliki distribusi yang luas dan, dengan
demikian, memerlukan bukti yang tepat cukup untuk mendukung kesimpulan dan
rekomendasi untuk perbaikan.
Internal memeronda dapat digunakan untuk distribusi lebih terbatas, yang menyatakan
pekerjaan yang dilakukan dan dukungan untuk kesimpulan dan rekomendasi hanya
tertalu sejauh necessay untuk audiens yang dituju untuk memahami kekurangan yang
mendasari.
Laporan untuk penggunaan pihak ketiga harus mengasumsikan pihak tersebut kurang
akrab dengan kebijakan dan prosedur yang unik bagi organisasi dan, oleh karena itu,
mungkin memerlukan tingkat yang lebih detail untuk memastikan pembaca memahami
sifat dan konteks pengamatan dan rekomendasi.
Kadang-kadang, tingkat yang lebih tinggi kerahasiaan mungkin diperlukan untuk
keterlibatan tertentu. contoh tersebut harus dibicarakan di depan dengan manajemen
proses untuk memastikan kiriman mendukung tingkat yang diperlukan confidientiality.
MEMAHAMI AUDIT
Ketika merencanakan keterlibatan, tim audit internal harus terlebih dahulu memahami auditee.
Memahami proses dimulai dengan menentukan tujuan proses kunci. Ini membantu auditor
internal mengerti mengapa proses itu ada, yang akan menjadi penting ketika mengidentifikasi
dan menilai risiko tingkat proses dan kontrol.
Tujuan operasi adalah jenis yang paling umum dari tujuan pada tingkat proses dan
biasanya menentukan alasan proses ada. Tujuan ini biasanya adalah pemerintahan atau
berorientasi pada tugas, dan, sebagai hasilnya, sering fokus pada accurancy, ketepatan
waktu, kelengkapan, atau atribut kontrol.
Tujuan strategis pada tingkat proses adalah mereka diciptakan untuk khusus selaras
dengan tujuan strategis organisasi.
operasi
pelaporan
pemenuhan
strategis
Pemilik proses atau staf yang terlibat dalam proses tersebut mungkin dapat memberikan daftar
tujuan proses. Namun, dalam banyak kasus, tujuan-tujuan tersebut mungkin belum
diartikulasikan secara formal.
Mengumpulkan Informasi
Ada banyak cara untuk mengumpulkan informasi tentang proses. Auditor internal harus
mempertimbangkan berbagai jenis dan sumber informasi yang relevan tersedia. Selain itu,
analisis, data dan kontrol tingkat-entitas dapat membantu memberikan wawasan tambahan ke
proses.
Titik awal untuk memahami proses sedang mengkaji dokumentasi yang sudah ada. Sebagai
contoh, berikut ini mungkin tersedia dari pemilik proses atau keluarga lain eith proses yang dapat
memberikan informasi yang berguna mengenai bagaimana proses kerjanya:
Apa masukan (informasi, dokumentasi, dll) yang Anda butuhkan untuk melakukan tiga
tugas?
Yang orang lain atau daerah tergantung pada Anda melakukan tiga tugas secara efektif
dan tepat waktu?
Apa hambatan atau tantangan lain yang Anda biasanya temui ketika melakukan tugas-
tugas?
Apa yang Anda lakukan untuk menghilangkan hambatan atau memenuhi tantangan?
Pada akhirnya, bagaimana Anda memastikan bahwa Anda melakukan tugas dengan
benar?
Pertanyaan ini dan lainnya dapat membantu memberikan auditor internal dengan
informasi yang dibutuhkan untuk memahami proses. Hal ini dapat diperoleh melalui wawancara
individu atau dengan melakukan walkthrough, yang melibatkan mengikuti transaksi melalui
setiap langkah dari proses. Terlepas dari pendekatan, adalah penting untuk memahami tugas
utama secara cukup rinci untuk memberikan dasar untuk langkah-langkah selanjutnya dalam
proses perencanaan.
Prosedur Analitis
Memahami tugas dalam suatu proses, seperti dijelaskan di atas, merupakan langkah
penting dalam perencanaan pertunangan. Namun, tugas ini menggambarkan cara proses yang
dirancang untuk melakukan, tetapi memberikan sedikit indikasi mengenai seberapa efektif
mereka dilakukan. Melakukan prosedur analitis adalah salah satu cara auditor melakukan
penilaian tingkat tinggi internal yang dapat mengungkapkan kegiatan proses yang menjamin
perhatian lebih dan, pengujian sesuai, lebih rinci.
Prosedur analitis melibatkan meninjau dan mengevaluasi informasi yang ada, yang
mungkin finansial atau non finansial, untuk menentukan apakah itu konsisten dengan yang telah
ditentukan harapan.
Contoh: untuk audit pengeluaran kas, analisis ini mungkin termasuk salah satu atau
semua hal berikut:
Analisis Rasio, misalnya, rasio lancar (aktiva lancar dibagi dengan kewajiban lancar)
dan rekening omset hutang (pokok penjualan dibagi dengan hutang)
Analisis data melibatkan pengumpulan dan analisis data dalam jumlah besar, biasanya
melalui penggunaan teknologi. Analisis data dapat memberikan informasi tentang populasi
transaksi yang bisa membuktikan berguna ketika menentukan pendekatan audit internal.
Contoh: ketika melakukan audit internal dan proses pengeluaran kas, tim audit internal
dapat melakukan tes analisis data berikut selama tahap perencanaan:
Jumlah atau persen pembayaran yang dibuat baik sebelum atau setelah tanggal jatuh
tempo - ini dapat memberikan wawasan mengenai bagaimana erat arus kas dikelola.
Jumlah cek petunjuk - ini dapat menunjukkan proses kekurangan desain atau potensial
pengelakan kontrol didirikan.
Gandakan jumlah pembayaran kepada vendor yang sama - hal ini dapat menunjukkan
potensi pembayaran ganda, atau memberikan wawasan tentang vendor yang pembayaran berkala
yang dibuat untuk jumlah seperti.
Meskipun penting untuk memahami tugas-tugas tingkat proses dan kontrol, juga penting
untuk memahami bagaimana entity level control dapat mempengaruhi kinerja dari sebuah proses.
Kekurangan dalam entity level control dapat menghindari dengan baik kontrol dirancang dalam
proses dan, pada kenyataannya, menjadi resiko yang melekat pada operasi yang efektif dari
kontrol pada tingkat proses. Sebagai contoh, jika organisasi kebijakan lebar cenderung informal
dan tidak konsisten menegakkan, maka kebijakan khusus untuk proses yang diaudit mungkin
tidak penting untuk memahami proses. Demikian pula, jika ada sedikit komitmen untuk menarik,
pelatihan, dan mengembangkan karyawan yang kompeten di bidang utama yang membutuhkan
kemampuan pengambilan keputusan dan penilaian yang kompleks, pendekatan pengujian
mungkin perlu diubah karena ketergantungan kurang dapat ditempatkan pada individu mampu
melakukan kompleks atau sangat tugas menghakimi.
Kontrol tingkat-entitas biasanya dievaluasi secara organisasiyang luas secara berkala (misalnya,
per tahun). Oleh karena itu, biasanya tidak akan diperlukan untuk melakukan penilaian terhadap
efektivitas pengendalian entitas-level pada setiap keterlibatan. Namun, seperti yang dijelaskan
dalam paragraf sebelumnya, auditor internal harus mempertimbangkan hasil penilaian kontrol
entitas tingkat ketika merencanakan keterlibatan individu untuk memastikan pendekatan untuk
pengujian yang relevan yang efisien.
Sebagaimana dibahas di atas, mungkin ada banyak jenis informasi yang dapat dikumpulkan
tentang proses dari berbagai sumber. Untuk menunjukkan bahwa auditor internal memahami
bagaimana proses sebenarnya beroperasi, langkah-langkah kunci harus didokumentasikan.
Proses ini aliran dokumentasi akan memfasilitasi review kertas kerja oleh atasan auditor internal
atau orang lain. Cara yang paling umum mendokumentasikan aliran proses adalah diagram alur
(tingkat tinggi atau rinci) dan memorandum narasi. Sebelum memberikan penjelasan singkat
masing-masing, penting untuk memahami beberapa perbedaan halus antara dokumentasi arus
proses.
Peta Proses, seperti yang dijelaskan dalam Bab 5, "Proses Bisnis dan Risiko", upaya untuk
menggambarkan masukan dewan, kegiatan, alur kerja, dan interaksi dengan proses dan output
lainnya. Mereka menyediakan kerangka kerja untuk memahami kegiatan dan subproses.
Memorandum Narasi memberikan informasi tentang aliran proses hanya menggunakan kata-
kata tertulis, tidak ada upaya untuk menggunakan simbol-simbol untuk menggambarkan aliran.
Hal ini umum untuk combin diagram alur dengan informasi naratif tambahan untuk membuat
bentuk hibrida dokumentasi.
Peta proses cenderung paling berguna pada tingkat bisnis, seperti yang dijelaskan dalam bab 5,
sedangkan diagram alur dan dokumentasi hibrida memberikan tingkat informasi yang diperlukan
untuk memahami proses rinci. Folowing adalah deskripsi singkat dari teknik tersebut sering
aused pada tingkat proses.
Flowchart Detail
Sementara flowchart tingkat tinggi adalah titik awal yang penting, tidak memberikan kedalaman
dan tingkat detail yang diperlukan untuk mendukung penilaian internal auditor mengenai desain
proses. Sebuah dokumen flowchart rinci masukan yang lebih spesifik, tugas, tindakan, sistem,
keputusan, dan output. Selain memberikan gambaran lebih rinci dari aliran proses, flowcharts
rinci yang menyediakan informasi tambahan yang meningkatkan pemahaman tentang proses.
Sebagai contoh, diagram alur rinci mungkin mencakup beberapa atau semua hal berikut:
Risiko utama, yang akan dilambangkan dengan simbol mengidentifikasi titik-titik dalam
proses dimana sesuatu yang bisa salah dan menyebabkan proses untuk tidak beroperasi
seperti yang dirancang.
Kontrol kunci, yang dapat dilambangkan dengan simbol mengidentifikasi tugas, tindakan,
atau keputusan yang dianggap penting untuk memadai dirancang proses.
Individu atau posisi yang melaksanakan tugas kunci atau membuat keputusan.
Waktu ketika tugas utama, tindakan, atau keputusan terjadi.
Waktu berlalu yang diperlukan untuk melakukan tugas atau membuat keputusan (ini
dapat mencakup jika flowchart digunakan untuk mengevaluasi efisiensi proses).
Karena banyak orang adalah belajar visual dan pemikir, diagram alur rinci adalah cara yang
efektif untuk menyajikan banyak informasi dalam format intuitif dan mudah dipahami. Tingkat
informasi dalam diagram alur rinci harus cukup untuk mendukung penilaian auditor internal
mengenai identifikasi kontrol kunci, kecukupan proses desain secara keseluruhan, dan
kesenjangan antara tingkat saat ini dan diinginkan kontrol tertentu.
Memorandum Narasi
Mungkin ada situasi di mana auditor internal percaya itu adalah lebih tepat untuk
mendokumentasikan pemahaman tentang proses menggunakan narasi write-up dibandingkan
dengan diagram alur. Situasi ini biasanya menunjukkan satu atau lebih dari karakteristik berikut:
Proses ini sederhana dan, dengan demikian, gambaran visual dibuat dalam
flowcharting bukanlah nilai yang besar.
Langkah-langkah yang rumit, sehingga sulit untuk menggambarkan secara efektif
dalam ruang terbatas yang disediakan dalam simbol flowchart.
Para pemilik proses ingin output untuk mendukung proses dokumentasi lain dan lebih
suka narasi write-up atas diagram alur.
Narasi write-up adalah cara yang lebih efisien mendokumentasikan proses.
Memorandum narasi harus mencakup jenis informasi yang sama seperti yang terkandung dalam
diagram alur. Sementara bagian tertentu dari memorandum tersebut dapat bervariasi antara
proses, memorandum umumnya harus mencakup unsur-unsur dari garis berikut:
Indikator kinerja utama, baik formal maupun informal, dapat menentukan proses pemilik
toleransi terhadap penyimpangan kinerja. Manajemen menentukan apa tingkat kesalahan mereka
bersedia diterima ketika proses tidak dilakukan seperti yang diharapkan. Mengetahui tingkat
toleransi akan membantu auditor internal mengevaluasi hasil pengujian.
Mengevaluasi Proses tingkat Penipuan Resiko
Akhirnya, penting untuk memahami potensi tingkat proses risiko penipuan. Sebagaimana
dibahas dalam bagian berikutnya dalam bab ini, sebagian besar risiko didasarkan pada uncertanty
peristiwa yang mungkin terjadi karena sifat yang melekat pada proses. Yang melekat
kemungkinan risiko tertentu terjadi meningkat jika ada niat oleh seorang individu untuk
melakukan penipuan dan / atau kolusi antara beberapa individu yang terlibat dalam proses. Oleh
karena itu, sebelum memulai proses penilaian risiko formal dalam pertunangan, penting untuk
mengevaluasi potensi skenario penipuan dalam proses. Melibatkan tiga langkah berikut:
1. Mengidentifikasi potensi skenario penipuan. Brainstroming dengan individu yang
terlibat dalam proses tersebut merupakan cara yang efektif untuk mengidentifikasi
kemungkinan cara dengan mana individu, bekerja sendiri atau dalam kolusi dengan orang
lain, bisa menghindari proses.
2. Memahami dampak penipuan potensial. Potensi dampak dari setiap skenario penipuan
harus ditentukan.
3. Tentukan apakah untuk menguji risiko kecurangan tertentu. Berdasarkan dua
langkah pertama, auditor internal dapat menilai, berdasarkan risiko yang melekat
penipuan dalam proses, apakah tes khusus harus dirancang untuk menentukan kerentanan
untuk penipuan.
Tujuan mengidentifikasi skenario risiko adalah untuk menjawab pertanyaan: Apa yang bisa
terjadi yang akan mencegah pencapaian setiap tujuan tingkat proses? Untuk menjawab
pertanyaan ini, auditor internal harus otak-badai skenario risiko yang mungkin terjadi. Berikut ini
memberikan garis besar tentang bagaimana hal ini dapat dilakukan.
1. Pilih tujuan tingkat proses tunggal. Latihan ini bekerja baik jika dilakukan satu tujuan
pada suatu waktu.
2. Brainstorm hambatan (peristiwa, masalah, keadaan, dll) yang mungkin mengancam
pencapaian tujuan. Contohnya adalah sebagai berikut:
a. Peristiwa eksternal yang organisasi tidak siap atau tidak bereaksi untuk tepat waktu
atau tepat.
b. Tidak cukup dirancang atau kurang didokumentasikan prosedur.
c. Kerusakan dalam prosedur yang ada.
d. Kurangnya orang yang tepat, dengan keterampilan yang tepat, digunakan dengan cara
yang benar.
e. Komunikasi yang tidak memadai antara daerah interfacing.
f. Karyawan yang dengan sengaja melanggar kebijakan atau bertindak tidak etis.
g. Tidak cukup dirancang atau usang aplikasi komputer.
h. Terlalu cepat, akurat, atau tidak memadai informasi untuk pengambilan keputusan.
i. Kegagalan untuk mengukur kinerja.
3. Lanjutkan latihan untuk tujuan tingkat proses yang tersisa.
4. Sejak beberapa skenario risiko akan serupa di tujuan tingkat proses, mengelompokkan
dan menggabungkan skenario risiko serupa.
Latihan bertukar pikiran akan dioptimalkan jika individu yang terlibat dalam proses
berpartisipasi. Mereka mungkin dapat mengidentifikasi skenario risiko berdasarkan pengalaman
tangan pertama. Namun, auditor internal yang berpengalaman harus bisa melakukan latihan ini
tanpa bantuan dari individu tingkat proses.
Sebuah cara yang efektif untuk auditor internal untuk melakukan seperti sesi brainstorming
adalah untuk menulis skenario yang berbeda pada catatan diri menempel dan menempatkan
mereka di dinding atau papan besar. Setelah brainstroming selesai, catatan dapat (1) diatur oleh
tujuan untuk memastikan komprehensif menutup-usia masing-masing tujuan, dan (2)
dikategorikan menurut jenis skenario serupa untuk mendukung definisi risiko.
Ada banyak cara untuk mendefinisikan risiko. Pendekatan yang optimal tergantung pada budaya
dan "bahasa risiko" dari organisasi. Namun, terlepas dari pendekatan yang unik yang mungkin
ada dari satu organisasi ke depan, penting untuk konsisten. Kurangnya konsistensi dapat
membuat lebih sulit bagi resiko secara luas dipahami seluruh organisasi.
Pembayaran ganda
kegagalan untuk identitas beberapa input faktur dapat mengakibatkan pembayaran ganda kepada
vendor yang bisa tidak terdeteksi.
Ketepatan waktu
Ketidakmampuan untuk memproses pembayaran tepat waktu dapat mengakibatkan denda atau
hukuman (untuk pembayaran terlambat).
Akses sistem
Kurangnya praktik keamanan logis yang efektif dapat menciptakan peluang bagi individu yang
tidak sah untuk mengakses, memanipulasi, atau menghapus data.
Karyawan bertanggung jawab untuk mengelola risiko tingkat proses, adalah penting bahwa
mereka memiliki pemahaman yang seragam dan konsisten tentang risiko tersebut. Oleh karena
itu, auditor internal harus berbagi dan mendiskusikan definisi risiko dengan manajemen tingkat
proses dan karyawan untuk memvalidasi bahwa daftar risiko selesai. Sukses dengan tugas ini
akan membantu memfasilitasi keberhasilan dalam mengevaluasi dampak dan kemungkinan
risiko tugas yang berikut.
Sekarang bahwa risiko telah diidentifikasi dan didefinisikan, auditor internal siap untuk
melakukan penilaian risiko. Dalam tugas ini, fokusnya adalah pada penentuan dampak potensial
dan kemungkinan setiap risiko. Tujuan evaluasi ini adalah untuk membantu mengidentifikasi
risiko yang akan memiliki dampak buruk terbesar pada pencapaian tujuan tingkat proses.
Proses untuk melakukan penilaian risiko tingkat proses umumnya melibatkan tiga langkah
berikut:
1. Menentukan dampak dari berbagai hasil yang terkait dengan masing-masing risiko. Tips
berikut bisa membantu ketika melakukan langkah ini:
Ingat bahwa, menurut definisi, risiko merupakan ketidakpastian, karena itu mungkin ada
beberapa hasil risiko yang mungkin. Auditor internal harus mencoba untuk tidak fokus
hanya pada satu hasil risiko yang mungkin dan mengabaikan hasil yang lebih mungkin atau
membawa dampak yang lebih.
Risiko biasanya diukur dari segi dampak keuangan yang merupakan dampak paling umum
dan mudah diukur. Namun, mungkin ada hasil risiko lain yang baik tidak dapat diukur
secara finansial atau mungkin dianggap lebih parah daripada dampak keuangan. Misalnya,
merugikan kesehatan dan keselamatan karyawan, atau penurunan reputasi organisasi karena
publisitas negatif dapat dianggap sebagai hasil yang lebih parah daripada dampak keuangan
langsung risiko tersebut.
Dampak harus fokus pada potensi eksposur selama periode waktu tertentu, biasanya satu
tahun.
2. Langkah kedua adalah untuk memperkirakan kemungkinan bahwa setiap dampak risiko akan
terjadi.
Tips berikut mungkin berguna ketika melakukan langkah ini:
Sebagaimana dibahas di atas, risiko memiliki berbagai hasil yang mungkin, masing-masing
akan memiliki kemungkinan yang berbeda terjadi. Hal ini penting untuk fokus pada hasil
risiko ditentukan pada langkah sebelumnya.
Karena ada banyak hasil risiko, ada juga mungkin banyak akar penyebab mengapa risiko
terjadi. Setiap akar penyebab mungkin memiliki kemungkinan yang berbeda. Oleh karena
itu, penting untuk mempertimbangkan akar penyebab yang mendasari hasil yang dipilih
ketika mengevaluasi kemungkinan kejadian risiko.
Seperti halnya ketika menentukan dampak risiko, tidak perlu untuk mendapatkan tingkat
ketepatan yang tinggi ketika memperkirakan kemungkinan risiko. menggunakan skala
umum (misalnya, tinggi / menengah / rendah) biasanya akan cukup. Sebagai contoh,
kemungkinan besar dapat menunjukkan bahwa dampak risiko mungkin tidak terjadi (yaitu
lebih dari 50 persen), kemungkinan media dapat menunjukkan bahwa dampak risiko yang
mungkin (misalnya, dari 10 persen sampai 50 persen), dan kemungkinan rendah mungkin
menunjukkan bahwa dampak risiko jauh (misalnya, kurang dari 10 persen).
3. Langkah terakhir adalah untuk menggabungkan penilaian dampak dan kemungkinan ke dalam
penilaian risiko tunggal. cara terbaik untuk melakukannya adalah membuat matriks risiko yang
menunjukkan keterkaitan antara dampak dan kemungkinan setiap risiko. Sebagai contoh, matriks
risiko menggambarkan penggunaan skala tinggi / menengah / rendah untuk kedua dampak dan
penilaian kemungkinan. Ketika meninjau risiko matriks ini, perhatikan bahwa nomor untuk
setiap kotak untuk menandakan keseluruhan tingkat risiko. Setelah setiap risiko ditempatkan di
salah satu kotak, mereka dapat diklasifikasikan sebagai berikut:
- Risiko dalam kotak 8 atau 9 (merah) dianggap berisiko tinggi.
- Risiko dalam kotak 5,6, atau 7 (kuning) dianggap berisiko menengah.
Biasanya, risiko tinggi dan menengah harus dimasukkan dalam setiap keterlibatan jaminan audit
internal. Risiko rendah mungkin atau mungkin tidak disertakan, tergantung pada piagam fungsi
audit internal dan pertimbangan sumber daya.
Menggunakan matriks atau beberapa cara lain untuk visual menggambarkan hasil penilaian
risiko akan memfasilitasi kajian keseluruhan putusan yang dibuat dalam proses penilaian risiko
oleh manajemen audit internal dan pemilik proses. Ulasan tersebut, terutama oleh pemilik proses,
akan membantu memvalidasi penilaian yang dilakukan oleh auditor internal.
High 7 8 9
IMPACT Medium 4 5 6
Low 1 2 3
Low Medium High
LIKELIHOOD
7 8 9
Risiko harapan Risiko
High pembayaran
ganda
IMPACT Risiko sistem
akses
Medium 4 5 6
Risiko sumber Risiko
daya manusia ketepatan
waktu
Low 1 2 3
Risiko Ketepatan waktu dianggap dampak jangka menengah sebagai denda dan bunga
karena terlambat tidak akan berdampak material, meskipun hubungan vendor buruk
masih akan menjadi perhatian. Risiko ini dianggap kemungkinan tinggi karena ada
ketergantungan pada orang lain untuk memulai proses pengeluaran kas dan dengan
syarat pembayaran umumnya ketat, ada berbagai penundaan yang dapat terjadi dalam
proses menyebabkan pembayaran terlambat.
Risiko sumber daya manusia dalam dampak media dianggap sebagai kegagalan untuk
merekrut, mengembangkan, dan memelihara orang-orang yang kompeten dalam
rekening departemen hutang bisa menghasilkan lebih tinggi dari jumlah yang
diinginkan dari pembayaran tidak akurat atau terlambat. Risiko ini dianggap
kemungkinan media sebagai keahlian yang diperlukan tidak sulit untuk menemukan di
pasar.
Risiko sistem akses dianggap dampak tinggi sebagai akses yang tidak sah dapat
mengakibatkan perubahan.
Risiko pembayaran ganda dianggap dampak tinggi sebagai duplikat tunggal bisa
material dan akan mewakili dana yang hilang jika tidak terdeteksi. Risiko ini dianggap
kemungkinan menengah karena cukup umum untuk duplikat faktur yang akan
dipresentasikan kepada sebuah perusahaan, bagaimanapun, sebagian besar vendor
umumnya jujur sehingga kecil kemungkinan bahwa duplikat pembayaran material akan
terdeteksi dari waktu ke waktu.
Secara tradisional, penilaian dari tim audit internal telah menjadi satu-satunya sumber untuk
mengevaluasi risiko. Hal ini mencerminkan peran tata kelola auditor internal dalam organisasi.
Namun, premis yang mendasari dalam manajemen risiko perusahaan adalah bahwa manajemen
harus menetapkan toleransi risiko bisnis yang konsisten dengan risk appetite keseluruhan
organisasi. Premis ini berlaku pada tingkat proses juga.
Oleh karena itu, penting bagi auditor internal untuk memvalidasi kewajaran tinggi, sedang, dan
rendah dampak yang dipekerjakan. Ada kemungkinan bahwa manajemen memiliki tingkat yang
berbeda dari toleransi risiko untuk proses itu. Untuk memperoleh pemahaman tentang tingkat
toleransi risiko manajemen, tiga langkah berikut harus dilakukan:
Untuk menjalankan tugas ini dalam perencanaan keterlibatan, penting untuk memahami berbagai
jenis pengendalian yang dapat dianggap kontrol utama pada tingkat proses. Meskipun berikut ini
bukan daftar lengkap, itu merupakan contoh jenis pengendali:
Seperti yang dibahas sebelumnya, identifikasi proses kontrol-level biasanya dimulai dalam dua
langkah perencanaan sebelumnya: Memahami Auditee dan Mengidentifikasi dan Menilai Risiko.
Tugas saat ini melibatkan memastikan bahwa setiap proses kontrol tingkat tambahan telah
diidentifikasi sebelum penilaian dilakukan pengendalian untuk mengurangi risiko utama. Berikut
ini penting ketika menentukan pengendalian kunci:
- Auditor internal harus memiliki pemahaman yang jelas tentang tujuan tingkat proses.
- Konsekuensi pelaksanaan kontrol yang tidak memadai harus dievaluasi untuk
menentukan apakah kekurangan pengendalian secara signifikan akan mengganggu
pencapaian tujuan.
- Kontrol kompensasi lain harus dipertimbangkan.
- Dampak dari kontrol tingkat-entitas juga harus dipertimbangkan.
- Kontrol berlebihan, atau mereka yang tidak efektif, mungkin perlu perubahan atau
dihilangkan. Kontrol tersebut mungkin bukan kontrol kunci.
- Apakah auditor internal memahami apa sebuah "tingkat yang dapat diterima" dari risiko
adalah, didasarkan pada tingkat toleransi risiko manajemen untuk proses tersebut?
- Apakah kunci control, diambil secara individual atau secara agregat, mengurangi risiko
tingkat proses yang sesuai dengan tingkat yang dapat diterima?
- Apakah ada kontrol kompensasi tambahan dari proses lain yang mengurangi risiko ke
tingkat yang cukup rendah?
- Apakah itu muncul bahwa kontrol utama, jika beroperasi secara efektif, akan mendukung
pencapaian tujuan tingkat proses?
- Sejauh yang sesuai, apakah proses desain efektivitas alamat dan efisiensi operasi,
keandalan pelaporan, kepatuhan terhadap hukum dan peraturan yang berlaku, dan
pencapaian tujuan strategis?
- Apa kesenjangan, jika ada, ada yang menghambat proses?
- Kunci control ditunjukkan dirancang secara memadai untuk mengelola risiko ini ke
tingkat yang dapat diterima.
- Kontrol kunci yang ditunjukkan tidak dirancang secara memadai untuk mengelola risiko
ini ke tingkat yang dapat diterima (menggambarkan desain gap).
Setelah auditor internal telah membentuk penilaian pada desain kecukupan untuk setiap risiko
individu, evaluasi dapat dibuat mengenai desain dari proses secara keseluruhan. contoh
kesimpulan tersebut meliputi:
Sekarang internal auditor sepenuhnya memahami bagaimana proses beroperasi dan telah
mengevaluasi kecukupan proses desain, langkah berikutnya adalah mengembangkan rencana uji.
Sebuah rencana uji harus dirancang untuk mengumpulkan bukti yang cukup dan tepat untuk
mendukung evaluasi seberapa efektif kontrol utama dilaksanakan. Evaluasi dan evaluasi dari
desain kecukupan proses, diambil bersama-sama, memberikan keyakinan yang memadai bahwa
tujuan tingkat proses akan tercapai.
Berdasarkan pemahaman yang didapat dari langkah-langkah perencanaan keterlibatan
sebelumnya, auditor internal kini siap untuk: (1) menentukan kontrol cukup penting untuk
menguji, (2) mengembangkan pendekatan untuk pengujian
Sebagaimana ditunjukkan di atas, fokus utama dari pengujian adalah untuk menentukan apakah
kontrol utama dilaksanakan secara efektif enought untuk proses produktif. Risiko dikelola cukup.
sementara ini mungkin dicapai dengan menguji semua kontrol utama yang diidentifikasi, ada
faktor lain auditor internal harus dipertimbangkan ketika menentukan kontrol untuk teks:
Apakah ada kontrol tingkat tinggi yang mungkin, dengan sendirinya, menyediakan
keyakinan memadai bahwa risiko yang relevan dikelola suffiencienly? tingkat kontrol
yang lebih tinggi mungkin rekonsiliasi, monitorong, atau kontrol pengawasan
performanced oleh individu independen dari qwners kontrol rinci misalnya, supervisor
atau manajer mereka sebagai bagian dari risiko top-down dilarang kontrol assensment,
auditor internal harus memberikan considerstion terhadap tingkat yang lebih tinggi
kontrol, seperti dampak dari teh ebtity - tingkat kontrol harus dipertimbangkan dapat
dibahas sebelumnya dalam chapter3 ini
Apakah ada kontrol compencating lain yang beberapa alamat risiko? Jika demikian,
mungkin lebih efisien untuk menguji kontrol ini daripada berfokus pada pengujian dari
masing-masing kunci control rinci.
Apakah desain kontrol assesed sebagai memadai? jika bersih, hal itu mungkin tidak
diperlukan untuk menguji kontrol seperti, bahkan dengan operasi yang efektif, risiko
tidak dapat dikurangi karena desain inadeuate
o Bagaimana pernah, auditor internal dapat memutuskan untuk melakukan rasa
untuk menentukan tingkat kesalahan yang dihasilkan dari desain kontrol yang
tidak memadai. jenis tes untuk mengukur kesalahan teh
Ketika melakukan kontrol kunci oprate dan berdasarkan periode dalam lingkup untuk
engangement, apakah persentical untuk teste kontrol kunci tertentu?
Bagaimana ada bocn perubahan dalam proses selama periode yang menghasilkan kontrol
kunci tertentu beroperasi hanya sebagian dari periode dalam lingkup? jika demikian,
pertimbangan harus diberikan untuk bagaimana perubahan ini mungkin berdampak pada
pengujian kontrol kunci.
Setelah faktor-faktor ini telah dipertimbangkan, auditor internal siap untuk mengembangkan
pendekatan pengujian specifiec. seperti yang ditunjukkan di atas, pendekatan biasanya
difokuskan pada evaluasi efektivitas pengendalian yang dirancang secara memadai, tetapi
beberapa pengujian mungkin diperlukan untuk kualitas dampak kontrol yang tidak dirancang
secara memadai.
Pendekatan pengujian meliputi penentuan sifat, lingkup, dan waktu untuk melakukan tes. tujuan
utama dari pengujian la untuk menentukan apakah kontrol beroperasi seperti yang dirancang
untuk mengurangi risiko sesuai dengan tingkat yang dapat diterima. jenis yang berbeda dari tes
pemeriksaan dijelaskan.
Dalam grester detail dalam ch 10,. "Bukti audit dan kertas kerja ing. bagaimana pernah, berikut
menguraikan keputusan yang harus dibuat ketika mengembangkan pendekatan pengujian.
Sifat tes. berbagai jenis tes menyediakan berbagai tingkat jaminan dan akan mengambil jumlah
waktu yang berbeda untuk melakukan.
Tingkat tes.
Waktu tes
EXAMPLE RISK AND CONTROL MATRIX
FOR CASH DISBURSEMENTS
Contoh risiko dan pengendalian matriks ditampilkan exibit 13-10 dapat diperluas dengan
menambahkan kolom untuk memasukkan pendekatan pengujian untuk setiap risk.note bahwa
beberapa tes individu mungkin berlaku untuk kontrol mutliple, itu, adalah, mereka tets multiguna
1. Sebuah temple standar atau daftar yang meminjamkan kepada audotor internal kertas kerja
untuk mendokumentasikan kompilasi langkang-langkah perancanaan. Hal ini dilakukan
untuk memastikan setiapketerlibatanmencakup semuatugas yang diperlukan.
2. Memorandummeringkastugas yangselesai.
3. Tambahan kolom dalam matriks risiko dan pengendaliannya jika auditor internal ingin
mempunyai semua tercantum dalam satu dokumen.
4. Kombinasi dari ketiga komponen yng sudah dibahas sebelumnya.
Format ini akanbervariasi darifungsi auditinternal untukfungsi audit internal. Poin-point kunci
yang harus dilakukan:
1. Meyakinkan semua anggota tim penugasan memahami apa yang sudah beres dan apa
yang masih harus dikerjakan.
2. Mengkomunikasikan siapa yang bertanggungjawab untuk menampilkan tugas penugasan
yang lain.
3. Menyediakan catatan tugas yang lengkap
4. Memfasilitasi review oleh manajer penugasan dan direksi yang menyediakan kesalahan
dan arahan selama proses perencanaan penugasan.
Yang tidak usah terlalu diperhatikan dari format didalam tipe program kerja:
Penganggaran
Jam yang dibutuhkan untuk menyelesaikan pertunangan
Biaya lain-lain
Strategis sourcing, suplemen fungsi audit in-house internal melalui penggunaan layanan vendor
pihak ketiga untuk tujuan memperoleh keahlian subjek untuk keterlibatan tertentu atau mengisi
kesenjangan dalam sumber daya yang dibutuhkan untuk menyelesaikan rencana audit internal.
Penjadwalan sumber daya dapat menjadi proses yang sangat dinamis, item berikut perlu
dipertimbangkan:
Ketersediaan tenaga proses kunci
Ketersediaan sumber daya luar
Ketersediaan sumber daya keterlibatan
Ketersediaan pengulas kunci
Transisi keterlibatan jaminan dari tahap perencanaan sampai dengan tahap pelaksanaan.
Pendekatan pengujian dikembangkan dalam tahap perencanaan dan digariskan dalam risiko dan
pengendalian matriks sekarang harus dijalankan untuk menentukan apakah kontrol beroperasi
seperti yang dirancang. Seperti setiap tes dilakukan, bukti akan dikumpulkan untuk mendukung
kesimpulan auditor internal mengenai seberapa efektif kontrol beroperasi.
Melakukan tes pemeriksaan memungkinkan auditor internal untuk mengumpulkan bukti yang
dibutuhkan untuk mengevaluasi kecukupan desain dan efektivitas operasi pengendalian kunci
dan mencapai kesimpulan tentang efektivitas proses atau daerah di bawah ulasan.
Jawaban atas pertanyaan ini membutuhkan auditor internal untuk mencapai kesimpulan
biasanya akan membutuhkan banyak pertimbangan.
Kondisi: Sementara sistem tidak memberitahukan petugas hutang acoount potensi faktur
digandakan, tidak mencegah petugas hutang account terus memproses faktur tersebut
Kriteria: penerimaan barang atau jasa harus dicatat dan proses hanya sekali.
Penyebab: Sistem ini kode untuk mengingatkan pengguna, tetapi tidak untuk melarang pengguna dari
memasuki faktur lagi jika keadaan dijamin
Efek: Kewajiban, dan aset yang sesuai atau biaya, mungkin dilebih-lebihkan dan dana yang
dikucurkan tidak tepat
Tahap kedua keterlibatan jaminan melibatkan melakukan tes yang digariskan dalam tahap
perencanaan dan mengevaluasi hasilnya khusus, auditor internal melakukan langkah-langkah
berikut: