![Resume Internal Audit Chapter 11 Dan 13 [PDF]](https://pdfs.asia/img/200x200/resume-internal-audit-chapter-11-dan-13.jpg)
14 0 317 KB
RESUME INTERNAL AUDIT Continuous Auditing and Computer‐Assisted Audit Techniques (Chapter 11) dan Control Self‐Assessments and Internal Audit Benchmarking (Chapter 12)
PROGRAM STUDI AKUNTANSI FAKULTAS EKONOMI DAN BISNIS UNIVERSITAS AIRLANGGA SURABAYA 2019
Chapter 11 Continuous Auditing and Computer‐Assisted Audit Techniques 11.1 MELAKSANAKAN AUDIT JAMINAN TERUS MENERUS Audit telah melalui serangkaian perubahan konseptual dari waktu ke waktu. Jenis proses audit yang seringkali terperinci ini telah digunakan selama bertahun-tahun. Namun, seperti proses menjadi lebih sangat otomatis, auditor mulai mengandalkan terutama pada ulasan kontrol internal untuk mendukung kesimpulan audit mereka daripada menjamin model lama. Jika kontrol internal memadai dan ditemukan melalui tes untuk berfungsi, ada lebih sedikit perlu melakukan pengujian transaksi terperinci. Dalam fase internal selanjutnya mengaudit dan melalui awal 1990 - an, auditor memberikan penekanan besar pada tinjauan atas kontrol internal sebagai komponen utama dari pekerjaan mereka. Dengan terlalu banyak aplikasi IT dan beragamnya kontrol untuk dipertimbangkan, ditambah dengan penekanan berkelanjutan pada peningkatan efisiensi audit, auditor khususnya eksternal auditor mulai melakukan analisis risiko formal atas lingkungan kontrol mereka, dengan penekanan audit mereka hanya ditempatkan pada area kontrol internal berisiko tinggi. What is a Continuous Assurance Auditing and Monitoring System? CAA adalah proses audit internal yang menghasilkan hasil audit secara real time, terjadinya peristiwa aktual. Kontrol yang diawasi oleh auditor, misalnya, dipasang pada aplikasi sumber daya utama di seluruh perusahaan yang mencakup alarm monitor dan rutinitas analisis analitik berkelanjutan untuk membuktikan hasil atau sorotan item untuk analisis audit segera. CAA umumnya independen dari aplikasi bisnis yang mendasarinya dan mencakup proses yang menguji data transaksional parameter atau aturan kontrol yang ditolak. Proses CAA hari ini berjalan secara otomatis setiap hari atau secara mingguan dan menghasilkan laporan pengecualian atau peringatan untuk tindak lanjut auditor internal. Mirip dengan proses audit tradisional, CAA lebih detektif daripada preventif. Meskipun konsep dasarnya sangat mirip, kadang-kadang kita bisa bingung apa yang disebut audit jaminan berkelanjutan dan pemantauan berkelanjutan. Karakteristik dasar mereka: A. Pemeriksaan Keuangan Berkelanjutan ● Monitor audit perangkat lunak berulang dibangun ke dalam aplikasi TI. Misalnya, jika audit internal tertarik pada transaksi keuangan dalam akun buku besar di atas batas tertentu, perubahan perangkat lunak dapat diinstal untuk memantau aktivitas apa pun yang memenuhi kriteria. ● Daripada menjadwalkan audit internal berkala untuk meninjau suatu area, CAA mencatat bidang minat potensial untuk perhatian audit internal. Itu kemudian audit internal tanggung jawab untuk menindaklanjuti hal-hal ini. ● Audit internal umumnya bertanggung jawab atas perangkat lunak CAA, sering kali diinstal secara independen dan tanpa sepengetahuan beberapa pengguna, dan mungkin menghadapi masalah jika pengguna aplikasi membuat perubahan TI tertentu. B. Pemantauan berkelanjutan ● Dalam banyak hal, pemantauan berkelanjutan (CM) sangat mirip dengan CAA kecuali pengguna TI sering manajemen memasang CM dalam aplikasi yang
menarik. ● Daripada dimaksudkan untuk mendeteksi item pengecualian individual atau transaksi yang tidak biasa, CM sering dipasang dalam bentuk layar dasbor — mirip dengan gas ukur dalam mobil — untuk memantau status yang sedang berlangsung. ● Audit internal dapat meninjau proses CM secara berkala, tetapi seringkali hanya untuk mendapatkan jaminan bahwa keseluruhan proses bekerja. CM dan CAA serupa tetapi berbeda dalam konsep mereka. Dalam desainnya yang paling mendasar,CAA adalah aplikasi independen yang memonitor aplikasi penting lainnya. Langkah-langkah berikut harus dipertimbangkan dalam perencanaan dan implementasi proses CAA internal: 1. Menentukan persyaratan output CAA. Sangat mudah untuk membaca laporan yang menyala tentang kekuatan aplikasi CAA, tetapi kepemimpinan audit internal harus memahami mereka kebutuhan potensial dan menilai bagaimana mereka dapat lebih membantu untuk mengaudit dan memahami beberapa aplikasi yang terinstal kompleks. 2. Pilih alat analisis CAA. Audit internal perlu diterapkan baik di perusahaan atau alat perangkat lunak yang disediakan vendor untuk proyek CAA mereka. 3. Kembangkan tujuan audit untuk CAA. Mirip dengan bab-bab lain yang telah dibahas untuk perencanaan audit internal, audit internal harus mengembangkan beberapa tingkat tinggi tujuan untuk aplikasi CAA yang direncanakan. Karena aplikasi CAA akan menyita waktu dan sumber daya untuk mengimplementasikan, harus ada minat berkelanjutan dalam penggunaannya aplikasi CAA ini selama beberapa periode. 4. Mempersiapkan dan menguji aplikasi CAA. Mirip dengan perangkat lunak aplikasi TI, perawatan harus diberikan untuk merencanakan, mengembangkan, dan menguji CAA sebelum penerapannya. 5. Menilai integritas data dan menyiapkan data. Penggunaan aplikasi CAA biasanya bukan latihan audit sekali pakai tetapi sesuatu yang akan digunakan secara berkelanjutan . 6. Tinjau hasil dari pendekatan pemantauan berkelanjutan dengan manajemen. Audit internal harus terlebih dahulu menentukan bahwa upayanya untuk mengembangkan CAA memberikan hasil yang hemat biaya, dan jika berencana untuk menggunakan pendekatan ini lebih lanjut, ia harus jelaskan dan ulas pendekatan ini dengan manajemen dan komite audit. 7. Kembangkan rutinitas audit berkelanjutan untuk menilai kontrol dan mengidentifikasi kekurangan. CAA harus diluncurkan, didokumentasikan, dan diimplementasikan. Resources for Implementing a CAA Sedangkan konsep dasar penerapan beberapa bentuk monitor audit dalam ERP atau lainnya aplikasi bisnis tampaknya relatif mudah, implementasi aktual dari CAA dalam suatu perusahaan seringkali menghadirkan tantangan. Agar independen dari TI lain. Aplikasi, proses CAA harus diinstal dengan beberapa tingkat independensi dari orang lain dan pengembang IT. Artinya, jika CAA memiliki tujuan untuk memantau semua transaksi biaya pemasaran lebih dari X dollar dan beberapa kondisi lainnya, Sistem harus dipasang secara
independen agar sistem tidak mudah dibajak. Namun, menginstal proses CAA dalam ERP atau aplikasi lain yang lebih besar dan kompleks memerlukan beberapa keterampilan teknis TI yang mungkin di luar kemampuan teknis banyak auditor internal. Sebaliknya, sekalipun internal audit memiliki keterampilan untuk memasang CAA di aplikasi perusahaan, manajemen TI akan melihat itu dengan tingkat skeptisisme yang tinggi. Manajemen TI tidak akan percaya auditornya untuk menginstal perangkat lunak pemantauan CAA mereka sendiri dalam sistem, tetapi jika manajemen IT setuju untuk mengambil modul perangkat lunak CAA dan menguji dan memodifikasinya untuk instalasi produksi, independensi CAA dapat dikompromikan. 11.2 ACL, NETSUITE, BISNIS, DAN SISTEM JAMINAN LAINNYA Banyak auditor selama bertahun-tahun telah menggunakan ACL, 3 produk perangkat lunak yang populer dan efektif untuk analisis dan pengambilan audit audit berbantuan komputer. ACL memungkinkan auditor internal menginstal dan mengimplementasikan aplikasi audit atau pemantauan kontinu sepenuhnya tertanam dan otomatis. Aplikasi pengujian terkait audit ACL terdiri dari serangkaian aplikasi otomatis tes analisis data yang diprakarsai secara manual dan dijalankan secara teratur. Pendekatan ACL melangkah lebih jauh sehingga auditor tidak perlu secara formal memulai dan menjalankan program pemantauan. Perangkat lunak ACL ditautkan ke file dan aplikasi perusahaan sehingga bisa berjalan di latar belakang. Perangkat lunak ini berguna untuk bidang-bidang seperti mendeteksi indikator transaksi yang tidak biasa penipuan atau mengidentifikasi pembayaran berlebih duplikat dan lainnya. Meskipun mungkin tidak benar-benar berkelanjutan, ACL dapat diinstal dan dijalankan saat selesai langkah-langkah proses dan pada interval waktu berkala. Aplikasi TI saat ini memberikan lingkungan yang lebih baik untuk pemantauan lintasaplikasi seperti itu, karena semua komponen sistem secara keseluruhan, dari penerimaan hingga umum proses buku besar, berada di bawah struktur database umum. Selain itu, beberapa produk perangkat lunak ada yang memungkinkan suatu organisasi untuk menginstal monitor dasbor meninjau keseluruhan kemajuan transaksi bisnis dan kegiatan lain untuk memfasilitasi perbaikan bila perlu. Ada dua di antara yang terbaik dari perangkat lunak ini saat ini adalah Business Objects4 dan produk Cognos Business Intelligence dan Keuangan IBM. Mereka membantu perusahaan untuk mengikat berbagai aplikasi yang beragam ke dasbor, memungkinkan pengguna untuk memantau aktivitas secara keseluruhan. 11.3 MANFAAT CAA Pendekatan CAA memungkinkan audit internal untuk menangani masalah berbasis TI secara real-time. Daripada menunggu audit internal yang dijadwalkan hanya setahun sekali atau lebih lambat, proses CAA memberikan audit internal dengan peringatan dini untuk banyak bidang kepentingan audit internal. CAA menyediakan audit internal dengan alat untuk manajemen risiko proaktif. Selain itu, proses CAA yang efektif memungkinkan auditor internal untuk mengembangkan pemahaman yang lebih baik tentang lingkungan bisnis perusahaan mereka serta untuk mendukung kepatuhan dan mendorong kinerja bisnis. Dengan mengubah pendekatan audit internal tradisional dan menerapkan proses CAA, auditor internal dapat mengembangkan pemahaman yang lebih baik tentang lingkungan
bisnis mereka dan risiko terhadap perusahaan mereka untuk mendukung kepatuhan dan mendorong peningkatan kinerja. Proses CAA dapat menyediakan otomatisasi pengujian melalui verifikasi integritas dan validitas transaksi dan generasi alarm kontrol internal. CAA menciptakan lingkungan pengujian berkelanjutan di mana kegagalan kontrol internal dapat dideteksi dan diperbaiki segera. Meskipun ada beberapa upaya yang terlibat dalam menerapkan CAA, pendekatannya dalam melihat populasi penuh data dari bidang yang diminati dapat sangat meningkatkan efektivitas keseluruhan audit internal. Di mana setelah proses CAA dipromosikan oleh hampir "suara di padang gurun" pembicara di konferensi teknis audit internal, kita sekarang melihat fungsi audit internal perusahaan besar mengadopsi pendekatan CAA. CAA adalah tren audit internal yang berkembang. 11.4 ALAT DAN TEKNIK AUDIT KOMPUTER - BANTUAN CAATT adalah program atau proses komputer khusus, yang dikendalikan oleh audit internal, yang digunakan untuk menguji atau menganalisis data pada file komputer. Terminologi berubah dari waktu ke waktu, dan auditor internal kadang-kadang akan melihat akronim CAAT atau CAAP daripada CAATT, dimana huruf terakhir pada awalnya merujuk hanya "teknik," dan yang kedua "prosedur." Akronim ini dapat digunakan secara bergantian. AICPA menggunakan CAATT, yang juga merupakan istilah pilihan kami dalam bab ini. Seperti disebutkan dalam pengantar bab ini, pada hari-hari awal sistem pemrosesan data, auditor biasanya hanya mengandalkan hasil cetak dari sistem TI dan menggunakan prosedur audit konvensional untuk membaca, menguji, dan menganalisis laporan yang kadang-kadang besar ini dihasilkan oleh komputer . Ketika sistem TI menjadi lebih luas dengan file data yang semakin besar, auditor membutuhkan pendekatan yang lebih baik untuk secara memadai mengevaluasi dokumentasi dan catatan yang disimpan dalam sistem TI yang besar. CAATT adalah program komputer yang dikendalikan oleh auditor yang dapat dijalankan terhadap file IT produksi untuk menganalisis data itu dan melakukan tes audit. Analisis Pendanaan Ekuitas terjadi sebelum alat perangkat lunak desktop yang kuat hari ini, dan aplikasi CAATT ini dianggap sebagai teknik audit lanjutan. Pengguna akhir kemudian biasanya mengandalkan departemen pemrosesan data mereka untuk menulis program pengambilan khusus untuk memberi mereka berbagai laporan keluaran yang diminta. Baik auditor internal maupun eksternal kemudian mulai menggunakan apa yang disebut perangkat lunak audit umum untuk mengembangkan program mereka sendiri secara independen untuk menguji dan menganalisis data. Perangkat lunak umum ini menjadi dasar bagi CAATT untuk mendefinisikan sistem dan prosedur TI khusus untuk membantu auditor internal dan eksternal. Aplikasi CAATT dapat dikembangkan untuk menghitung ulang secara independen semua usia dalam sistem piutang, untuk memverifikasi saldo piutang dan menyoroti setiap item pengecualian yang tidak biasa. Audit internal dapat melakukan pendekatan CAATT ‐ oriented ini melalui langkah-langkah berikut : 1. Tentukan tujuan CAATT. Audit internal seharusnya tidak hanya "menggunakan komputer" untuk menguji sistem tanpa serangkaian tujuan audit yang jelas untuk CAATT. Dalam contoh ini, audit internal akan memiliki tujuan untuk menentukan apakah penagihan piutang dinyatakan dengan benar.
2. Memahami sistem TI pendukung. Audit internal harus meninjau dokumentasi sistem TI untuk menentukan bagaimana penghitungan penagihan piutang dihitung, di mana data ini disimpan dalam sistem, dan bagaimana item dijelaskan dalam file sistem. 3. Kembangkan program CAATT. Menggunakan paket pengambilan perangkat lunak yang dipilih atau pengolah bahasa TI, audit internal akan menulis program mereka sendiri untuk menghitung ulang penuaan piutang dan untuk menghasilkan total dari file piutang. 4. Tes dan proses CAATT. Setelah menguji program, auditor internal akan mengatur agar CAATT diproses terhadap file piutang produksi. 5. Kembangkan kesimpulan audit dari hasil CAATT. Mirip dengan tes audit apa pun, kesimpulan audit akan diambil dari hasil pemrosesan CAATT, didokumentasikan dalam kertas kerja, dan dibahas dalam laporan audit, sebagaimana diperlukan. Ini adalah pendekatan umum untuk mengembangkan dan memproses CAATT. Ini mengikuti langkah-langkah yang sama yang akan digunakan audit internal untuk menetapkan tujuan audit dan melakukan tes yang sesuai untuk peninjauan sistem atau proses apa pun. Sebagaimana dibahas sebelumnya, CAATT adalah seperangkat khusus program komputer atau prosedur yang berada di bawah kendali audit internal. CAATT dapat dikembangkan melalui program perangkat lunak audit umum yang dijalankan pada sistem komputer produksi, perangkat lunak khusus yang dijalankan pada komputer laptop auditor itu sendiri, atau kode program khusus penggunaan auditor yang tertanam dalam aplikasi produksi yang normal. Dengan ketergantungan utama kami pada proses TI di semua area perusahaan saat ini, CAATT dapat meningkatkan proses audit internal di beberapa area berikut : ❏ Tingkatkan cakupan audit. CAATT dapat memungkinkan auditor internal untuk meninjau dan menganalisis komponen-komponen seperti database keuangan besarbesaran di mana auditor internal kadang-kadang tidak memiliki akses mudah ke laporan layar online dan di mana tidak ada laporan kertas. ❏ Fokus pada bidang-bidang risiko. Mirip dengan poin sebelumnya dan contoh kami dari pengujian penuaan piutang, CAATT sering memungkinkan auditor internal untuk meninjau dan menyelidiki area-area yang belum menerima pengawasan audit internal tingkat tinggi. ❏ Tingkatkan efektivitas biaya. Meskipun CAATT mungkin memerlukan beberapa waktu tambahan dan biaya untuk berkembang, CAATT bisa sangat efektif untuk menganalisis volume besar data penduduk TI selama beberapa periode. ❏ Meningkatkan kredibilitas audit. CAATT memberi auditor internal kemampuan untuk secara independen melihat basis data yang kompleks dan memberikan analisis dan rekomendasi terperinci; jenis analisis tersebut dapat sangat meningkatkan kredibilitas auditor internal. ❏ Meningkatkan integrasi TI dan auditor keuangan dan operasional. CAATT sering digunakan untuk menganalisis proses keuangan dan operasional menggunakan proses TI. Mereka akan membuat semua pihak yang berkepentingan untuk berbicara lebih baik dan mengoordinasikan tujuan dan kebutuhan audit.
❏ Mendorong independensi auditor dari operasi dukungan layanan TI. Auditor internal tidak harus sangat bergantung pada sistem dan infrastruktur TI untuk mengoperasikan CAATT mereka. Meskipun koordinasi yang kuat sangat penting, auditor internal dapat beroperasi dengan cara yang cukup independen. Auditor internal harus memiliki pemahaman yang baik tentang kapan CAATT harus digunakan untuk meningkatkan proses audit, jenis alat perangkat lunak yang tersedia untuk auditor internal, dan bagaimana menggunakan CAATT dalam audit. Meskipun beberapa CAATT memerlukan auditor internal untuk memiliki pengetahuan pemrograman khusus, sebagian besar dapat diimplementasikan oleh auditor dengan hanya pemahaman umum tentang sistem informasi. 11.5 MENENTUKAN KEBUTUHAN UNTUK CAATT CAATT adalah alat yang ampuh yang dapat meningkatkan proses audit dan independensi auditor internal. Namun, prosedur ini terkadang memakan waktu untuk berkembang dan tidak akan selalu hemat biaya kecuali direncanakan dan dirancang dengan baik. Bagian ini membahas bidang-bidang di mana CAATT akan meningkatkan audit dan bidang-bidang yang perlu dipertimbangkan ketika mengembangkan dan menerapkan CAATT. Sebelum mengembangkan CAATT spesifik, auditor internal harus terlebih dahulu menentukan apakah pendekatan yang direncanakan sesuai. Sering kali, seorang anggota manajemen mungkin memiliki keprihatinan tentang efisiensi audit dan kemudian dapat meminta tim audit internal untuk "melakukan sesuatu" untuk meningkatkan efisiensi audit dengan lebih baik menggunakan sumber daya TI sebagai bagian dari audit internal. Jenis arahan efisiensi audit yang ditingkatkan ini seringkali dapat mengakibatkan kekecewaan bagi semua pihak. Demikian pula, auditor internal yang sangat teknis kadang-kadang dapat mengembangkan CAATT "menarik secara teknis" sebagai bagian dari audit meskipun sebenarnya tidak mendukung atau berkontribusi pada efektivitas keseluruhan tujuan audit internal. Keputusan untuk mengembangkan dan mengimplementasikan CAATT dalam mendukung audit internal akan tergantung pada sifat data dan program produksi yang ditinjau dalam audit, alat CAATT yang tersedia untuk audit internal, dan tujuan audit. Audit internal membutuhkan pemahaman menyeluruh tentang prosedur CAATT untuk membuat keputusan ini, dan harus mempertimbangkan hal-hal berikut : ● Sifat atau tujuan audit. Audit internal mula-mula harus mengevaluasi materi yang akan ditinjau dalam audit yang direncanakan dan mempertimbangkan ukuran dan format data berbasis TI apa pun. Audit berdasarkan nilai atau atribut data terkomputerisasi biasanya merupakan kandidat yang baik untuk CAATT. ● Sifat data yang akan ditinjau. CAATT paling efektif ketika data dan informasi yang bergantung pada keputusan tentang data tersebut didasarkan pada sistem otomatis. ● Alat CAATT dan keterampilan audit yang tersedia. Audit internal harus berusaha mengembangkan CAATTs menggunakan alat otomasi yang ada yang tersedia dalam departemen audit atau fungsi TI perusahaan. Audit internal harus mempertimbangkan jenis alat perangkat lunak yang tersedia untuk pengembangan CAATT sebelum menghubungi vendor luar. Ketersediaan itu mungkin didasarkan pada kendala
anggaran audit dan batasan produk. Keahlian auditor juga harus dipertimbangkan, dan fungsi audit internal harus menilai apakah spesialis audit teknis diperlukan dan tersedia untuk proyek pengembangan CAATT yang direncanakan. Tiga pertimbangan yang tercantum di sini dinyatakan dalam istilah yang sangat umum tetapi merupakan area yang harus dipertimbangkan ketika merencanakan strategi keseluruhan untuk menggunakan CAATT. Audit internal harus menyadari bahwa CAATT mungkin sulit untuk diterapkan dan kadang-kadang tidak terlalu hemat biaya. Tantangan untuk audit internal adalah untuk mengidentifikasi area yang sesuai untuk CAATT. Beberapa tahun yang lalu, ada produk perangkat lunak khusus yang tersedia untuk membantu auditor dalam membangun dan mengembangkan CAATT. Teknologi TI telah berubah secara luas sejak produk-produk itu dirilis, dan produk-produk perangkat lunak audit komputer khusus telah digantikan oleh generator laporan dan alat-alat lain yang tersedia dengan banyak alat perangkat lunak standar. Grup audit internal sering tidak perlu mencoba untuk memperoleh produk perangkat lunak audit khusus saat ini, tetapi ada banyak alat pengambilan yang sangat baik tersedia untuk membantu auditor internal mengembangkan CAATTs. Sebagai contoh, produk perangkat lunak ACL yang dibahas sebelumnya dalam bab ini untuk audit kontinu juga memiliki banyak kemampuan sebagai alat CAATS. CAAT yang dikembangkan oleh audit internal dapat efektif di beberapa bidang yang dibahas nanti. ❏ Memeriksa Catatan Berdasarkan Kriteria yang Ditentukan oleh Audit Internal. Karena catatan dalam sistem manual terlihat, audit internal dapat memindai ketidakkonsistenan atau ketidakakuratan tanpa kesulitan. Untuk catatan pada file data komputer, audit internal dapat menentukan instruksi perangkat lunak audit untuk memindai dan mencetak catatan yang merupakan pengecualian terhadap kriteria, sehingga tindakan tindak lanjut dapat diambil. Contoh area yang ditentukan adalah: ➔ Saldo piutang untuk jumlah yang melebihi batas kredit ➔ Jumlah persediaan untuk saldo negatif dan tidak masuk akal dalam jumlah besar ➔ File penggajian untuk karyawan yang diberhentikan ➔ Bank meminta file setoran untuk setoran atau penarikan yang luar biasa besar ❏ Menguji perhitungan dan membuat perhitungan. Audit internal dapat menggunakan perangkat lunak untuk melakukan analisis kuantitatif untuk mengevaluasi kewajaran representasi auditee. Analisis semacam itu mungkin untuk: ➔ Perluasan item inventaris ➔ Penghitungan ulang jumlah penyusutan ➔ Keakuratan diskon penjualan ➔ Perhitungan bunga ➔ Perhitungan gaji bersih karyawan ❏ Membandingkan data pada file terpisah. Ketika catatan pada file terpisah harus berisi informasi yang kompatibel, perangkat lunak dapat menentukan apakah informasi
tersebut setuju. Perbandingan dapat berupa: ➔ Perubahan saldo piutang antara dua tanggal, membandingkan rincian penjualan dan penerimaan kas pada file transaksi ➔ Detail penggajian dengan file personel ➔ File inventaris periode sebelumnya dan sebelumnya untuk membantu meninjau item yang usang atau lambat ❏ Memilih dan mencetak sampel audit. Beberapa kriteria dapat digunakan untuk pemilihan, seperti sampel penilaian barang-barang mahal dan lama dan sampel acak dari semua item lainnya, yang dapat dicetak dalam format kertas kerja auditor atau di formulir konfirmasi khusus. Contohnya adalah: ➔ Saldo piutang akun untuk konfirmasi ➔ Barang inventaris untuk observasi ➔ Penambahan aset tetap untuk dijamin ➔ Catatan voucher berbayar untuk tinjauan pengeluaran ➔ Catatan vendor untuk konfirmasi hutang ❏ Merangkum dan menyusun ulang data dan melakukan analisis. Audit lunak membuat dan memformat dan mengumpulkan data dalam berbagai cara untuk mensimulasikan pemrosesan atau untuk menentukan kewajaran hasil keluaran. Contohnya adalah: ➔ Total transaksi pada file akun ➔ Menguji umur piutang ➔ Mempersiapkan neraca saldo buku besar ➔ Meringkas statistik perputaran persediaan untuk analisis kelebihan atau keusangan ➔ Pelajari kembali inventaris berdasarkan lokasi untuk memudahkan pengamatan fisik ❏ Membandingkan data yang diperoleh melalui prosedur audit lainnya dengan file data sistem TI. Bukti audit yang dikumpulkan secara manual dapat dikonversi ke formulir yang dapat dibaca mesin dan dibandingkan dengan file data lainnya. Contohnya adalah: ➔ Tes inventaris diperhitungkan dengan catatan abadi ➔ Pernyataan kreditur dengan file hutang Meskipun banyak dari ini pada awalnya dikembangkan untuk auditor eksternal dan berasal dari sebelum hari-hari file database terintegrasi, teknik ini umumnya masih berlaku untuk auditor internal. Jumlah dan kecanggihan CAATT ini meningkat karena auditor internal individu menjadi lebih berpengalaman dalam penggunaannya.
11.6 LANGKAH-LANGKAH UNTUK MEMBANGUN CAATT EFEKTIF Auditor internal harus mengikuti pendekatan yang sama untuk mengembangkan
CAATT baik menggunakan bahasa pengambilan generator laporan atau data yang diunduh ke komputer laptop auditor. Pendekatan ini mirip dengan pendekatan metodologi pengembangan sistem yang dibahas dalam Bab 22. Perbedaannya di sini adalah bahwa auditor internal dapat mengembangkan CAATT untuk upaya sekali pakai atau penggunaan terbatas daripada untuk aplikasi produksi yang sedang berlangsung. Karena audit internal sering menarik kesimpulan dan membuat rekomendasi yang agak signifikan berdasarkan hasil CAATT, penting untuk menggunakan praktik pengembangan sistem yang baik untuk merancang dan menguji CAATT. Berikut ini adalah pendekatan empat langkah untuk mengembangkan CAATT : 1. Tentukan tujuan alat audit berbantuan komputer. Tidak cukup untuk audit internal hanya untuk mengaudit sistem akuntansi otomatis. Seringkali manajer audit internal hanya akan mengarahkan auditor staf untuk menulis CAATT untuk beberapa audit tanpa sepenuhnya menentukan tujuannya. Tujuan audit yang diinginkan harus didefinisikan secara jelas; ini akan membuat identifikasi prosedur pengujian selanjutnya menjadi tugas yang jauh lebih mudah. Setelah audit internal menetapkan tujuan CAATT, tata letak file dan bagan alur sistem harus diperoleh untuk memilih sumber data yang sesuai untuk pengujian. Terkadang, auditor internal pada titik ini menghadapi masalah teknis yang mungkin menghambat kemajuan lebih lanjut. File dokumentasi atau kertas kerja CAATT juga harus dimulai bersamaan dengan langkah ini. 2. Rancang aplikasi yang dibantu komputer. Perangkat lunak CAATT yang digunakan harus dipahami dengan baik, termasuk fitur-fiturnya, logika program secara keseluruhan, dan format pelaporan. Setiap kode khusus atau karakteristik data lainnya harus didiskusikan dengan orang yang bertanggung jawab untuk aplikasi TI. Pertimbangan juga harus diberikan pada bagaimana audit internal akan membuktikan hasil tes audit dengan, misalnya, menyeimbangkan total kontrol aplikasi produksi. Hal-hal ini harus dijabarkan dalam kertas kerja audit dokumentasi. 3. Program atau kode lalu uji aplikasi. Tugas ini biasanya mengikuti langkah 2 dengan sangat cermat. Pemrograman dilakukan menggunakan alat perangkat lunak yang dipilih. Sekali CAATT telah diprogram, audit internal harus mengatur untuk mengujinya pada populasi data yang terbatas. Hasilnya harus diverifikasi untuk kebenaran logika program dan pencapaian tujuan audit yang diinginkan. Kegiatan ini juga harus didokumentasikan dalam kertas kerja. Ketepatan logika program berarti CAATT harus bekerja. Terkadang kesalahan dalam pengkodean akan menyebabkan aplikasi gagal untuk memproses. Kegagalan untuk mencapai tujuan audit adalah masalah yang berbeda. Misalnya, dalam CAATT untuk mensurvei kondisi dalam file inventaris, auditor mungkin membuat seleksi yang terlalu luas, menghasilkan laporan hasil dari ribuan pengecualian kecil. Logika CAATT tersebut harus direvisi untuk menghasilkan seleksi yang lebih masuk akal. 4. Proses dan selesaikan CAATT. Membuat pengaturan untuk pemrosesan CAATT seringkali membutuhkan koordinasi antara audit internal dan operasi TI. Audit internal sering tertarik pada pembuatan file data secara spesifik, dan perlu mengatur aksesnya. Selama pemrosesan aktual, audit internal harus mengambil langkah-langkah untuk memastikan bahwa file yang diuji adalah versi yang benar.
Bergantung pada sifat CAATT, auditor internal harus membuktikan hasilnya dan menindaklanjuti pengecualian yang diperlukan. Jika ada masalah dengan logika CAATT, audit internal harus melakukan koreksi seperti yang diperlukan dan ulangi langkahlangkahnya. Kertas kerja aplikasi CAATT harus diselesaikan pada titik ini, termasuk titik tindak lanjut untuk meningkatkan CAATT untuk periode mendatang. CAAT adalah alat yang ampuh yang harus tersedia untuk digunakan oleh auditor internal mana pun, dan tidak boleh sepenuhnya menjadi tanggung jawab spesialis audit TI. Seperti halnya pengguna akhir meningkatkan penggunaan alat pengambilan untuk kebutuhan TI mereka sendiri, semua anggota departemen audit harus mendapatkan pemahaman tentang alat audit yang tersedia untuk memungkinkan mereka mengembangkan CAATT mereka sendiri. Tentu saja, karena semakin banyak proses otomatis menjadi tanpa kertas, kebutuhan auditor untuk membangun dan menggunakan CAATT akan meningkat. Artinya, jejak kertas tradisional yang digunakan auditor untuk melacak dan memvalidasi transaksi berkurang atau bahkan dihilangkan dalam sistem otomatis modern saat ini. Alat audit mulai dari perangkat lunak pembuat laporan aplikasi hingga monitor audit berkelanjutan akan semakin menjadi satu-satunya pilihan yang tersedia untuk menguji dan mengumpulkan bukti tentang sistem tanpa kertas ini. Banyak sistem operasional memiliki beberapa elemen tanpa kertas yang sangat kuat. Auditor internal harus kreatif ketika merancang CAATT untuk mengumpulkan bukti mengenai aplikasi tanpa kertas ini, dan banyak teknik yang dijelaskan dalam bab ini berlaku. 11.7 PENTINGNYA MENGGUNAKAN CAATT UNTUK AUDIT PENGUMPULAN BUKTI Auditor internal sering tidak memberikan perhatian yang cukup terhadap kebutuhan untuk mengumpulkan bukti ketika meninjau aplikasi otomatis. Terlalu sering tugas audit yang menarik dan menantang untuk mendapatkan pemahaman tentang aplikasi TI dan untuk mengevaluasi pengendalian internalnya, tetapi konfirmasi terperinci dari saldo akun atau jenis-jenis tes pengumpulan bukti terkadang dilihat oleh auditor internal sebagai tidak menarik. dan terlalu memakan waktu. Namun, prosedur pengumpulan bukti ini sering memberikan peluang audit internal untuk mengimplementasikan bagian paling kreatif dari proyek audit. Asumsikan, misalnya, bahwa audit internal telah melakukan tinjauan terperinci kontrol internal yang berorientasi pada aplikasi penganggaran modal aset tetap besar di mana transaksi dimulai dari berbagai sistem anak perusahaan dan di mana aplikasi tersebut pada akhirnya memberikan saldo laporan keuangan buku besar. Audit internal telah menguji kontrol internal sistem ke sistem dan menyimpulkan bahwa kontrol internal ini memadai; mereka juga secara manual menghitung ulang biaya penyusutan untuk beberapa transaksi yang dipilih dan menganggapnya benar. Auditor internal harus memiliki pemahaman tentang kapan itu efektif dari segi biaya dan tepat untuk mengembangkan CAATT untuk melakukan tes terperinci aplikasi TI untuk memverifikasi kebenaran transaksi atau saldo akun. Beberapa keadaan ketika audit internal harus melakukan pengumpulan dan pengujian bukti aplikasi yang lebih terperinci ini meliputi: ■■ Ada persepsi bahwa risiko mengandalkan kontrol internal terlalu tinggi.
■■ Meskipun audit internal mungkin telah melakukan tes walk-through atau jenis kepatuhan yang terbatas, hasil tes ini mungkin agak tidak meyakinkan dan akan menyarankan perlunya tes yang lebih rinci. ■■ Dalam beberapa kasus, kontrol internal tertentu mungkin lemah atau sulit untuk diidentifikasi, dan auditor internal mungkin ingin mengembangkan CAATTs untuk melakukan tes terperinci dari aplikasi otomatis. ■■ Beberapa aplikasi otomatis yang kompleks atau besar terlibat, seperti sistem ERP yang komprehensif Audit internal harus terbiasa dengan berbagai produk dan teknik perangkat lunak yang tersedia untuk menganalisis dan menguji file sistem komputer. Implementasi dan pemrosesan CAATT harus menjadi bagian dari persyaratan rangkaian keterampilan untuk semua auditor internal. 11.8 XBRL: THE INTERNET‐BASED EXTENSIBLE MARKING LANGUAGE Sementara pendekatan yang sangat fleksibel, mengandalkan Internet dapat meningkatkan kekhawatiran tentang integritas dokumen dari manajemen dan auditor internal. Ketika laporan diproduksi di pusat data klasik toko tertutup selama beberapa tahun terakhir, apakah di atas kertas atau melalui sistem online, biasanya ada beberapa pertanyaan tentang integritas data yang dilaporkan, asalkan kontrol internal pendukung memadai. Selama ada kontrol umum dan aplikasi yang sesuai, auditor internal memiliki beberapa pertanyaan tentang integritas data umum dan hanya harus melakukan tes audit tradisional untuk memperoleh tingkat kepastian mengenai data tersebut. Namun, sifat bebas dan terbuka dari Internet dapat menimbulkan keraguan atau pertanyaan tentang integritas data yang dikirimkan. Pengkodean atau penandaan bahasa menyelesaikan beberapa masalah tersebut, dan XBRL, pendekatan standar industri untuk penerbitan, pertukaran, dan analisis laporan dan data keuangan dan bisnis, menawarkan solusi yang sangat baik. XBRL (eXtensible Business Reporting Language) adalah bahasa penandaan standar terbuka yang dikembangkan oleh konsorsium lebih dari 200 perusahaan dan agen, dan sangat didukung oleh AICPA di Amerika Serikat. Memberikan manfaat kepada investor, akuntan, regulator, eksekutif, analis bisnis dan keuangan, dan penyedia informasi, XBRL menyediakan format umum untuk proses pelaporan bisnis kritis , penyederhanaan aliran laporan keuangan, laporan kinerja, catatan akuntansi, dan informasi keuangan lainnya antar program perangkat lunak. XBRL mendefinisikan format yang konsisten untuk mengidentifikasi data dan untuk pelaporan bisnis guna merampingkan persiapan dan penyebaran data keuangan, dan untuk memungkinkan analis, regulator, dan investor untuk meninjau dan menafsirkannya. Akibatnya, XBRL dapat menghemat waktu dan uang ketika informasi konsumen di dalam dan di luar perusahaan menganalisis operasi yang kompleks dan data keuangan. 1. Definisi XBRL XBRL adalah standar Internet yang mirip dengan penggunaan HTML untuk penelusuran Internet, MP3 untuk musik digital, atau XML, standar Bahasa Markup eXtensible, untuk perdagangan elektronik. XBRL menggunakan tag data Internet XML standar untuk menggambarkan informasi keuangan untuk perusahaan publik dan swasta dan perusahaan lain. Kelompok kontrolnya, XBRL International, adalah afiliasi profesional dari
ratusan perusahaan serta yurisdiksi pemerintah yang secara kolaboratif menghasilkan spesifikasi standar dan taksonomi yang dapat dilisensikan oleh siapa pun yang bebas royalti untuk digunakan dalam aplikasi mereka. 2. Penerapan XBRL XBRL masih merupakan standar yang terus berkembang. Ada beberapa tetapi belum banyak pengguna XBRL awal hingga saat ini. Sebagai bahasa markup Internet untuk data keuangan, XBRL mirip dengan HTML untuk browser, di mana pengguna Internet mengklik beberapa referensi yang ditandai untuk diarahkan ke situs lain. Di bawah XBRL, data keuangan Internet ditandai dengan cara untuk diakui dan ditafsirkan dengan benar oleh orang lain menggunakan aplikasi berdasarkan kosakata istilah XBRL standar, yang disebut taksonomi, untuk memetakan hasil ke dalam kategori yang disepakati. Pelaporan tanpa kertas juga difasilitasi di sini. Sebelum XBRL, perlu mengekstraksi informasi keuangan untuk laporan dari database seperti buku besar, dan bahwa informasi yang diekstraksi perlu diproses beberapa kali tergantung pada kebutuhan pengguna. Karena XBRL masih merupakan bahasa yang berkembang, ada beberapa risiko kesalahan di sini. Suatu perusahaan perlu memilih taksonomi yang sesuai dan menandai data mereka dengan tepat.
Chapter 12 Control Self‐Assessments and Internal Audit Benchmarking Control Self Assessments (CSA) merupakan proses audit awal untuk perbaikan pengendalian internal yang sedang berjalan. Daripada internal auditor harus mengunjungi area operasi dan melakukan review audit internal secara formal, dalam CSA, internal auditor bekerja dengan anggota kelompok dari beberapa area operasi perusahaan, memberikan arahan kepada mereka untuk mengevaluasi prosedur pengendalian saat ini kemudian menggunakan hasil review untuk memperbaiki pengendalian internal. Beberapa tahun belakang, Institute of Internal Auditors (IAA) telah mengenalkan konsep dari CSA dan telah menyelenggarakan suatu sertifikasi resmi untuk mengakui internal auditor yang memenuhi syarat sebagai pemimpin dari proses ini. Benchmarking adalah teknik dari internal auditor yang merujuk kembali pada perkembangan IIA melalui pembagian petunjuk original. Benchmarking merupakan praktik internal audit yang lebih formal untuk nature secara umum. Ini merupakan proses yang mengizinkan internal auditor untuk membandingkan bagaimana kesesuaian organisasi untuk mencoba menerapkan dan mengeksekusi praktik umum. Ini seringkali menjadi internal audit tools yang sangat berguna, dan auditor internal harus memiliki common of body knowledge (CBOK) untuk mendesain dan melakukan latihan benchmarking yang sukses. 12.1 Pentingnya control self assessments Metodologi CSA telah menjadi suatu alat bagi auditor internal dan lainnya untuk lebih memahami lingkungan pengendalian internal bagi perusahaan. Pendekatan ini membutuhkan internal auditor untuk menentukan tim khusus untuk menilai pengendalian internal tersebut. CSA pertama kali dibentuk pada tahun 1987 oleh tim internal auditor di Gulf Canada sebagai suatu alat untuk menilai efektivitas pengendalian internal mereka sebagaimana dengan proses bisnis. Pada saat itu, Gulf Canada menghadapi legal consent decree requiring it to report on its internal controls sebagaimana kesulitan dalam memecahkan isu pengukuran di bidang minyak dan gas menggunakan penilaian audit tradisional. Grup internal auditor Gulf Canada meluncurkan pendekatan a facilitated meeting self-assessment yang melibatkan perkumpulan manajemen dan staf untuk melakukan diskusi, serta apabila terdapat isu terkait pengendalian internal. Prosesnya menjadi CSA, mekanisme penilaian informal, sebagaimana penilaian tradisional seperti saldo akuntansi. 12.2 Model CSA CSA adalah sebuah proses yang didesain untuk membantu departemen di dalam perusahaan untuk menilai dan mengevaluasi pengendalian internalnya. Dalam model CSA dikatakan bahwa sebuah perusahaan harus mengimplementasikan tujuan pengendalian yang kuat dan aktivitas pengendalian dengan tujuan untuk menciptakan lingkungan pengendalian yang efektif. Dua elemen ini dikelilingi oleh sistem informasi dan komunikasi yang baik sebagaimana proses penilaian resiko untuk memantau kinerja. CSA adalah proses perbaikan berkelanjutan yang serupa dengan metode yang dijelaskan dan digunakan oleh jaminan kualitas, sebagaimana dibahas dalam Bab 31. Konsep ini meminta sebuah tim terbentuk dan memperbaiki lingkungan pengendalian mereka dengan menetapkan tujuan dan sasaran kontrol tersebut, kemudian melakukan penilaian risiko untuk
lebih memahami yang ditunjuk mengendalikan risiko, menerapkan kegiatan pengendalian untuk mengurangi risiko yang teridentifikasi, dan kemudian memantau kinerja kontrol yang lebih baik. Ini adalah proses yang terus menerus dimana Tim CSA dapat mulai di kuadran model 12,1 CSA Exhibit dan kemudian pindah ke fase berikutnya dengan cara searah jarum jam. CSA adalah proses penilaian kontrol yang bagi beberapa orang telah dilihat sebagai lebih didekati daripada kerangka pengendalian internal COSO atau model COBIT Bab 6. Sementara beberapa profesional bisnis, misalnya, melihat risiko pengendalian internal COSO Proses penilaian terlalu tinggi dan sulit dipahami, CSA adalah sebuah pendekatan dimana masing-masing departemen di perusahaan dapat bertemu secara formal, dalam kelompok yang difasilitasi format, dan menilai risiko dan pengendalian internal di dalam departemen masing-masing atau fungsi. Departemen audit internal telah menggunakan CSA sebagai metode untuk auditor internal untuk lebih memikirkan bagaimana memperbaiki kontrol internal mereka. 12.3 Launching The CSA Process Proses CSA menilai dan memeriksa keefektifan proses pengendalian internal bukan oleh tim luar seperti konsultan, atau bahkan auditor internal, tapi oleh orang-orang dari dalam fungsi yang dinilai. Tujuan CSA adalah untuk memberikan keyakinan memadai bahwa pengendalian internal yang baik tujuan bisnis akan terpenuhi. Konsep CSA membutuhkan pengumpulan manajemen dan staf untuk wawancara untuk menilai lingkungan pengendalian internal mereka - pengendalian diri - penilaian. Karena CSA mewajibkan semua orang untuk berpartisipasi dalam sesi ini, Dari manajer senior hingga staf, seringkali bekerja dengan baik saat seseorang berada di luar departemen bertindak sebagai fasilitator. Sementara banyak orang dapat mengambil peran fasilitator CSA ini, Audit internal seringkali merupakan kelompok kunci, ideal untuk peran ini karena tinjauan pengendalian internalnya Latar Belakang. Fungsi audit kualitas yang terpisah, seperti yang dibahas di Bab 31, seringkali dapat dilakukan menjadi bantuan utama di sini karena banyak pendekatannya serupa dengan pendekatan model CSA. Proses CSA bekerja dengan sangat baik ketika perusahaan memiliki beberapa unit bisnis kontrol internal yang tidak sesuai persis dengan sisa operasi. Sebagai contoh, asumsikan bahwa perusahaan memproduksi beberapa jenis peralatan produksi tanaman yang digunakan oleh bisnis manufaktur lainnya. Juga diasumsikan bahwa ada produksi yang baik dan kontrol internal produk untuk bisnis utama, namun karena ini adalah komponen bernilai tinggi, pelanggan dapat mengembalikan barang jadi ini ke fasilitas pengerjaan ulang dari waktu ke waktu waktu untuk meng-upgrade mereka ke versi baru. Tinjauan CSA dapat sangat efektif, misalnya, ketika peninjauan proses pengendalian internal sistem Enterprise Resource Planning (ERP) yang mencakup semua atau sebagian besar aspek operasi. Contoh , pengerjaan ulang fasilitas menggunakan komponen IT ERP hanya sebagian. Dalam ERP, satu sistem otomatis dasar meliputi akuntansi, sumber daya manusia, produksi, pemasaran, dan lainnya. ERP mencakup banyak aspek di perusahaan, tapi anggota fasilitas pengerjaan ulang contoh mungkin tidak sepenuhnya memahami semua implikasi pengendalian internal dari semua penutup yang begitu besar sistem dan hasil berbagai tindakan individu mereka.
Melakukan Review CSA yang difasilitasi Konsep dasar dibalik tinjauan CSA mengenai sistem pengendalian internal atau prosesnya adalah mengatur sekelompok orang, di berbagai tingkat perusahaan dan dari beberapa unit, dan kemudian secara kolektif mengumpulkan informasi lengkap tentang pengendalian internal untuk itu sistem atau proses yang dipilih Idenya adalah memilih sampel perwakilan pemangku kepentingan di seluruh perusahaan untuk bertemu dan mendiskusikan operasi dan kontrol sistem yang dipilih. Contoh kami sebelumnya tentang fasilitas pengerjaan ulang dalam operasi manufaktur adalah cocok di sini Seorang auditor internal atau spesialis komunikasi lainnya harus melakukannya ditunjuk untuk memimpin lokakarya ini, diskusi utama, dan membantu menarik kesimpulan. Lokakarya tim yang difasilitasi mengumpulkan informasi dari tim kerja yang mewakili tingkat yang berbeda dalam unit usaha atau fungsi. Format bengkel mungkin berdasarkan tujuan, risiko, kontrol, atau proses. Masing-masing memiliki kelebihan yang berbeda tergantung pada area kontrol internal yang ditinjau. Asumsikan sebagai contoh bahwa perusahaan telah memasang sistem ERP komprehensif dan besar yang mencakup banyak operasional utama daerah. Manajemen telah meminta penilaian risiko pengendalian internal atas hal ini aplikasi utama Karena sistem ERP mencakup banyak aspek operasi bisnis, sebuah keputusan dibuat untuk meninjau kontrol sistem melalui serangkaian pengguna kelompok focus berkumpul untuk membahas dan meninjau kembali operasi sistem. Tinjauan CSA harus dikembangkan menjadi rencana perusahaan CSA. Berdasarkan ekstensif Materi CSA yang diterbitkan, sesi CSA yang difasilitasi dapat mengikuti salah satu dari empat format pertemuan : 1. Objektif berbasis sesi CSA-difasilitasi. Sesi ini berfokus pada upaya pencapaian tujuan bisnis, seperti pelaporan keuangan yang akurat. Lokakarya dimulai dengan tim yang mengidentifikasi kontrol yang ada saat ini untuk mendukung tujuan sistem dan kemudian menentukan sisa risiko yang tersisa jika control tidak bekerja. Tujuan dari format workshop ini adalah untuk memutuskan apakah pengendaliannya prosedur bekerja secara efektif dan risiko yang tersisa ada di dalam tingkat yang dapat diterima. Sesi jenis ini bisa dimulai oleh fasilitator yang menanyakan peserta untuk mengidentifikasi lingkungan kontrol kelompok mereka, menekankan area tersebut di lingkungan kontrol sebagai : a. Kesadaran kontrol perusahaan b. Sejauh mana karyawan berkomitmen untuk melakukan apa yang benar atau melakukannya jalan yang benar c. Berbagai faktor yang mencakup kompetensi teknis dan komitmen etis d. Faktor tak berwujud yang seringkali penting untuk pengendalian internal yang efektif 2. Sesi yang difasilitasi oleh CSA berbasis risiko. Sesi ini berfokus pada tim CSA mencatat risiko untuk mencapai tujuan pengendalian internal. Lokakarya dimulai dengan daftar semua rintangan, rintangan, ancaman, dan eksposur yang mungkin bisa mencegah pencapaian sebuah tujuan dan kemudian memeriksa prosedur pengendalian untuk menentukan apakah data tersebut memadai untuk mengelola risiko kunci yang teridentifikasi. Tujuan dari workshop ini adalah untuk menentukan risiko residu yang signifikan Format ini membawa tim kerja melalui keseluruhan rangkaian tujuan,
risiko, dan kontrol seputar entitas yang ditinjau. Ini akan mengikuti dengan diskusi berbasis risiko dimana tim diminta untuk mengidentifikasi risiko mereka melalui pertanyaan seperti: a. Apa yang salah? b. Aset apa yang perlu kita lindungi? c. Bagaimana bisa seseorang mencuri dari kita? d. Apa eksposur legal terbesar kami? Sesi akan mencoba mengidentifikasi risiko signifikan di departemen, aktivitas, atau tingkat proses Untuk setiap risiko yang teridentifikasi, kelompok harus mendiskusikan kemungkinan potensial tersebut kejadian dan dampak potensial. Mereka berisiko dengan kemungkinan yang masuk akal kejadian dan dampak potensial yang besar akan diidentifikasi sebagai signifikan. 3. Sesi yang difasilitasi oleh CSA. Sesi ini berfokus pada seberapa baik kontrol di tempat bekerja. Format ini berbeda dengan dua sesi sebelumnya karena fasilitator mengidentifikasi risiko dan kontrol utama sebelum permulaan bengkel. Selama sesi CSA, tim kerja menilai seberapa baik kontrolnya mengurangi risiko dan mendorong tercapainya tujuan. Tujuan dari workshop ini adalah untuk menghasilkan analisis kesenjangan antara bagaimana kontrol bekerja dan bagaimana manajemen yang baik mengharapkan kontrol tersebut untuk bekerja. 4. Proses berbasis sesi CSA-difasilitasi. Sesi ini berfokus pada kegiatan yang dipilih yaitu elemen rantai proses. Proses adalah serangkaian aktivitas yang berhubungan yang pergi dari beberapa titik awal sampai akhir, seperti berbagai langkah dalam pembelian, pengembangan produk, atau pembuatan pendapatan. Jenis bengkel ini biasanya mencakup identifikasi tujuan keseluruhan proses dan berbagai intermediate tangga. Tujuan dari lokakarya ini adalah untuk mengevaluasi, memperbarui, memvalidasi, memperbaiki, dan bahkan merampingkan keseluruhan proses dan aktivitas komponennya. Format sesi ini mungkin memiliki analisis yang lebih luas daripada pendekatan berbasis kontrol dengan melipat banyak tujuan dalam proses dan dengan mendukung usaha pengelolaan bersamaan, semacam itu sebagai reengineering, peningkatan kualitas, dan inisiatif perbaikan berkelanjutan. Masing-masing format ini bisa efektif untuk mengembangkan dan memahami keduanya dan kontrol lunak2 dalam suatu fungsi serta risiko seputar internal yang signifikan proses kontrol Kunci sukses di sini adalah memiliki pengetahuan dan persiapan fasilitator pertemuan mengajukan pertanyaan yang sesuai dan meminta semua anggota tim yang dipilih ikut. Kunci utama lainnya adalah mengambil transkrip rinci dari sesi pertemuan. Meskipun tidak setiap kata yang diucapkan harus dicatat, diperlukan sorotan pertemuan yang kuat. Merekam titik diskusi utama pada bantalan besar di bagian depan ruangan sering bekerja dengan baik. Sementara fasilitator adalah pendorong utama di sini, sesi CSA dapat dengan mudah berubah menjadi bencana dengan campuran orang yang salah. Pemangku kepentingan tingkat rendah mungkin merasa enggan untuk berdiskusi Kendalikan kelemahan jika orang yang lebih senior ada di sesi. Komentar tentang Risiko atau kelemahan pengendalian bisa menjadi sangat pribadi jika beberapa anggota tim memiliki tanggung jawab utama untuk sistem atau proses yang dibahas. Terlepas dari semua ini, CSA Proses bisa menjadi alat yang sangat berharga, jika mahal, untuk melihat sistem yang komprehensif atau proses dari berbagai perspektif dan untuk memahami kelemahan pengendalian internal.
Melakukan Tinjauan CSA Berbasis Kuesioner Dalam banyak kasus, format kuesioner dapat menjadi cara yang efektif untuk mengumpulkan informasi kontrol internal. Kuesioner disiapkan yang mencakup proses atau sistem kepentingan dan kemudian didistribusikan ke kelompok pemangku kepentingan terpilih untuk memperoleh pemahaman tentang risiko dan kontrol di bidang yang diminati. Kuesioner Fungsi Spesifik CSA: Perencanaan dan Penganggaran Pertanyaan-pertanyaan ini dapat digunakan untuk tinjauan CSA tentang proses perencanaan dan penganggaran: 1. Apakah Anda memastikan bahwa anggaran yang diselesaikan konsisten dengan rencana strategis perusahaan? 2. Apakah ada kebijakan dan prosedur untuk menghindari pengeluaran yang terlalu rendah? 3. Apakah Anda menyelidiki semua varians antara pengeluaran aktual dan jumlah yang dianggarkan, dan, untuk semua varians, apakah diperlukan penjelasan? 4. Apakah Anda memastikan bahwa anggaran nasional dan semua revisi yang disetujui didokumentasikan dan disetujui dengan benar? 5. Sudahkah Anda menugaskan seseorang untuk menerima semua informasi tentang perubahan pada perusahaan yang dapat mempengaruhi anggaran? 6. Apakah prosedur persiapan anggaran (termasuk persyaratan tingkat persetujuan) sepenuhnya didokumentasikan, dan apakah itu didistribusikan kepada semua manajemen yang terlibat dalam proses anggaran? 7. Apakah ada prosedur untuk memberikan informasi yang memadai kepada manajemen departemen untuk digunakan dalam mengembangkan anggaran? 8. Apakah Anda memantau tren pengeluaran jangka pendek dan jangka panjang? 9. Apakah metode perhitungan untuk pengeluaran (termasuk kategori baru) dijelaskan dengan memadai? 10. Apakah Anda memastikan bahwa departemen diberi waktu yang cukup untuk menyelesaikan dan menyerahkan anggaran mereka? 11. Sudahkah Anda mengidentifikasi satu orang dalam setiap departemen yang memiliki tanggung jawab untuk menyelesaikan anggaran, dan apakah bantuan diberikan sesuai kebutuhan? 12. Apakah Anda memberi tahu departemen tentang biaya apa dan bagaimana yang akan dibebankan untuk akuisisi atau operasi dibuang? 13. Apakah ada prosedur untuk memastikan bahwa sejumlah individu yang berwenang memiliki akses ke anggaran dan bahwa setiap penambahan, perubahan, dan penghapusan disetujui dan dilacak? Jika anggaran online, apakah semua transaksi diidentifikasi berdasarkan ID pengguna, tanggal, dan jenis transaksi? 14. Apakah Anda meninjau anggaran awal dan mengidentifikasi area-area dari kemungkinan pengurangan biaya? 15. Apakah ada prosedur untuk mengidentifikasi departemen yang secara konsisten mengeluarkan pengeluaran besar pada akhir tahun untuk membuat biaya aktual sesuai anggaran? 16. Apakah ada prosedur untuk menangani perkiraan uang tunai? 17. Apakah Anda memantau dan meminta persetujuan untuk semua pengeluaran modal?
18. Sudahkah Anda mengidentifikasi semua dokumentasi yang diperlukan departemen ketika mengirimkan angka untuk anggaran, pengembalian atas investasi, dll.? 19. Apakah Anda memantau gangguan proyek untuk memastikan bahwa proyek besar tidak dipecah menjadi proyek yang lebih kecil untuk menghindari persyaratan persetujuan? Melakukan Analisis Yang Diproduksi Manajemen-Tinjauan CSA Sebagai alternatif survei atau lokakarya yang difasilitasi, analisis yang dihasilkan manajemen sangat mirip dengan jenis tinjauan operasional yang akan dilakukan oleh auditor internal. Ini adalah salah satu dari tiga pendekatan analisis CSA yang disarankan oleh IIA, di mana manajemen menghasilkan studi staf tentang proses bisnis — hampir studi penelitian. Spesialis CSA, yang mungkin merupakan auditor internal, menggabungkan hasil penelitian dengan informasi yang dikumpulkan dari sumber, seperti manajer lain dan personel kunci. Dengan mensintesis bahan ini, spesialis CSA mengembangkan analisis yang dapat digunakan pemilik proses dalam upaya CSA mereka. IIA percaya semua format yang dibahas di sini memperkuat struktur kontrol entitas. Setiap entitas harus melakukan analisis peluang atau ancaman eksternal serta kekuatan dan kelemahan internal untuk menentukan format mana yang paling tepat dalam perusahaan. Banyak pengguna CSA menggabungkan satu atau lebih format dalam pertemuan yang difasilitasi untuk memenuhi kebutuhan mereka. 12.4 EVALUASI HASIL CSA Analisis CSA, terutama jika mencakup beberapa proses atau sistem, akan menghasilkan sejumlah besar data. Hasil tinjauan CSA akan serupa dengan tinjauan COSO atas kontrol akuntansi internal — metode yang disiplin dan menyeluruh untuk mengevaluasi kontrol internal yang signifikan. Ini juga bisa menjadi langkah awal yang baik untuk meluncurkan analisis SOx Section 404. CSA menyediakan cara bagi pengulas untuk mendapatkan pemahaman yang lebih baik tentang banyak kontrol lunak yang mengelilingi banyak proses atau sistem. Dokumentasi yang dipublikasikan atau wawancara tinjauan kontrol terfokus dapat mengindikasikan bahwa ada beberapa kontrol. CSA diperkenalkan ke komunitas audit internal pada akhir 1980-an dan kemudian dianut oleh IIA. Banyak perusahaan sektor swasta di seluruh dunia telah memprakarsai program-program CSA yang sukses, dan beberapa pemerintah negara bagian di Amerika Serikat mulai membutuhkan penilaian kontrol internal yang berorientasi CSA. Untuk mendukung proses CSA, IIA telah meluncurkan sertifikasi khusus, Sertifikasi dalam Kontrol Penilaian Diri (CCSA). Sertifikat berbasis pemeriksaan ini dirancang untuk meningkatkan kepercayaan manajemen senior terhadap pemahaman, pengetahuan, dan pelatihan pengulas dalam proses CSA. Sertifikat CCSA dan persyaratannya, serta sertifikasi profesional audit internal lainnya. IIA percaya bahwa proses CSA secara efektif menambah profesi audit internal. Salah satu tanggung jawab utama dewan dan pejabat dari setiap perusahaan adalah memberikan jaminan pemangku kepentingan melalui pengawasan kegiatan perusahaan. Melalui CSA, staf audit dan operasional internal dapat berkolaborasi untuk menghasilkan penilaian kontrol internal dalam suatu operasi. Sinergi ini membantu audit internal untuk membantu fungsi pengawasan manajemen dengan meningkatkan kuantitas dan kualitas informasi yang tersedia.
12.5 BENCHMARKING DAN AUDIT INTERNAL Benchmarking adalah salah satu konsep profesional yang sering disalahgunakan. Artinya, sering kali mudah bagi seorang profesional untuk mengatakan, "Kami membuat tolok ukur proses itu," ketika seorang auditor internal mengajukan beberapa pertanyaan terkait proses. Benchmarking adalah “praktik terbaik di mana perusahaan mengevaluasi berbagai aspek dari prosesnya sendiri terkait dengan praktik terkait, biasanya di dalam perusahaan rekan mereka yang lain. Setelah analisis dan perbandingan seperti itu, suatu perusahaan dapat mengembangkan rencana tentang cara mengadopsi praktik terbaik lainnya, biasanya dengan tujuan meningkatkan beberapa aspek kinerja. Benchmarking kadang-kadang bisa menjadi peristiwa satu kali, tetapi sering diperlakukan sebagai proses yang berkelanjutan di mana perusahaan terus berupaya untuk menantang dan meningkatkan praktiknya. Benchmarking dapat menjadi alat manajemen yang kuat karena mengatasi apa yang oleh beberapa konsultan disebut "paradigma kebutaan." Ini adalah cara berpikir di sepanjang garis "cara kita melakukannya adalah yang terbaik karena ini adalah cara kita selalu melakukannya. ”Perbandingan dapat membuka usaha pada metode, gagasan, dan alat baru untuk meningkatkan efektivitasnya. Pendekatan perbandingan penting bagi auditor internal dari dua perspektif. 1. Penggunaan tolok ukur dapat menjadi rekomendasi audit internal yang sangat kuat ketika meninjau operasi di beberapa area. Auditor internal sering mengamati kelemahan kontrol internal yang jelas di beberapa area, tetapi mungkin tidak memiliki kedalaman di suatu area untuk membuat rekomendasi peningkatan kontrol internal yang komprehensif. 2. Auditor internal juga perlu membuat tolok ukur untuk meningkatkan praktik audit internal mereka sendiri. IIA telah mempromosikan konsep "Kemajuan melalui Berbagi" untuk meningkatkan praktik audit internal sejak didirikan pada akhir 1940-an. Menerapkan Tolok Ukur untuk Meningkatkan Proses Tidak ada prosedur profesional standar yang diterima untuk meluncurkan proses benchmarking audit internal. Karena itu, ada banyak variasi dari apa yang oleh para profesional disebut sebagai perbandingan. Langkah-langkah berikut menjelaskan bagaimana penulis ini meluncurkan studi perbandingan yang berhasil untuk unit majikannya beberapa tahun yang lalu. Kami akan menjelaskan langkah-langkah yang diperlukan untuk meluncurkan tolok ukur dari perspektif proyek penulis ini. Tindakan penulis dijelaskan menggunakan kata kami, tetapi poin-poin ini harus berlaku untuk semua auditor internal yang bertindak sebagai konsultan internal dan tim yang meluncurkan studi benchmarking. 1. Tetapkan tujuan dari studi perbandingan. Kedengarannya hampir jelas, tetapi langkah pertama adalah menentukan apa yang ingin dipelajari oleh auditor internal dari latihan benchmarking. 2. Tetapkan serangkaian mitra potensial yang mungkin bersedia untuk berpartisipasi. Dalam hal ini, kami menyadari melalui pertemuan profesional dan publikasi perusahaan lain yang melakukan hal serupa. Ini adalah langkah perencanaan perbandingan penting. Terlalu banyak mitra mungkin sulit untuk dikelola, tetapi terlalu sedikit mungkin tidak memberikan banyak informasi representatif. 3. Kembangkan tujuan dan sasaran spesifik untuk studi tolok ukur apa yang ingin kita
4.
5.
6. 7.
8.
pelajari? Langkah ini mendefinisikan apa yang ingin kita pelajari dari pelajaran kita. Karena waktu dan logistik biasanya akan mencegah kunjungan langsung, banyak informasi kami akan datang dari tanggapan terhadap kuesioner, dengan tindak lanjut melalui telepon nanti. Bersihkan masalah hukum dan kerahasiaan. Dalam studi tolok ukur, kami akan meminta perusahaan lain untuk memberi kami beberapa informasi perusahaan yang berpotensi rahasia, dan dengan mengajukan pertanyaan ini kami mengakui bahwa kami mungkin memiliki defisit di area yang kami tinjau. Hubungi mitra perbandingan potensial. Setelah semua pekerjaan pendahuluan, kita harus menghubungi calon peserta untuk penelitian. Ini sering bekerja paling baik ketika kontak pribadi profesional telah dibangun. Kumpulkan informasi benchmarking. Ini adalah langkah di mana kami mengumpulkan data tolok ukur kami dari setiap peserta. Kumpulkan dan gosok hasil. Setelah kami menyelesaikan survei tolok ukur kami — harus dilakukan kehati-hatian untuk tidak menarik terlalu banyak perio — informasi survei harus dikumpulkan dan ditinjau untuk menjawab pertanyaan kami. Setiap informasi yang berpotensi rahasia mengenai nama dan identitas perusahaan lain harus dihapus atau dihapus. Publikasikan hasil benchmarking dan buat perubahan, yang sesuai. Seluruh tujuan dari setiap studi perbandingan adalah untuk melihat apa yang dilakukan orang lain sebagai praktik terbaik dalam bidang yang diminati.
Pembandingan dan Inisiatif GAIN IIA Sementara itu merupakan pendekatan yang tepat, IIA memutuskan untuk memformalkan lebih baik melalui forum benchmark GAIN yang sebelumnya dirujuk. Pertama kali didirikan oleh IIA pada tahun 1992, GAIN tidak menerima banyak perhatian dan telah diformalkan dengan lebih baik dalam beberapa tahun terakhir. GAIN IIA adalah forum pertukaran pengetahuan untuk : ● Bagikan, bandingkan, dan validasikan praktik audit internal ● Jaringan dengan fungsi audit internal lainnya ● Belajar dari tantangan dan solusi rekan audit internal ● Dapatkan praktik audit internal terkemuka dari organisasi top ● Meningkatkan efektivitas dan efisiensi operasional audit internal Sebagai inisiatif IIA yang terpisah, konferensi GAIN menerbitkan studi perbandingan yang luas dan komprehensif mengenai kegiatan audit internal pada skala global. Inisiatif GAA IIA meminta fungsi audit internal anggotanya untuk mendaftar dan mengisi kuesioner yang cukup terperinci tentang fungsi audit internal mereka. Setelah menyelesaikan kuesioner fungsi audit internal, data respons ini divalidasi dan ditambahkan ke database Studi Benchmarking GAIN Tahunan. Dari sebuah jawaban fungsi internal dan jawaban kelompok audit internal serupa lainnya, beragam laporan tolok ukur audit internal yang unik tersedia melalui GAIN yang mencerminkan kegiatan audit internal berbeda dengan rekan-rekannya. Sementara berbagai macam disesuaikan laporan tersedia spesifik untuk pengelompokan industri dan atribut lainnya, GAIN menerbitkan sebuah
laporan benchmarking audit internal tahunan yang benar-benar memberikan fungsi audit internal pemahaman tentang apa yang mereka lakukan berbeda dengan fungsi internal rekan mereka. Laporan tahunan ini tersedia untuk pembelian melalui IIA. Gambar 12.4 pada buku Brink’s modern adalah sampel tabel survei tolok ukur konten GAIN tahunan. Ada banyak hal baik data benchmarking audit internal yang berharga di sini, dan CAE harus menggunakan data ini untuk lebih memahami bagaimana fungsi audit internalnya berbeda dengan orang lain. Satu Namun, area yang agak mengejutkan adalah kurangnya data perbandingan yang dikumpulkan seputar masalah dan praktik audit TI. GAIN tampaknya tidak cukup memberi membandingkan perhatian ke area yang sangat penting. Fungsi GAIN IIA juga melakukan berbagai macam apa yang disebut IIA Flash Survei. Sebagai contoh, mereka akan memilih kelompok audit internal yang berpartisipasi misalnya, jika mereka menggunakan alat otomatis atau manual untuk mengembangkan dan menghasilkan laporan audit internal mereka. Survei-survei ini umumnya terbatas pada sekitar 300 hingga 400 tanggapan dan berikan beberapa jawaban dasar ya-atau-tidak pada pertanyaan. Fungsi GAA IIA telah berjalan jauh dalam memungkinkan auditor internal untuk lebih memahami apa yang dilakukan rekan-rekan mereka sebagai bagian dari praktik audit internal mereka. Itu tanggapan terhadap kuesioner GAIN hanya sebaik atau seakurat audit internal fungsi dengan data fungsi yang dimasukkan. Namun, data GAIN ini memberikan gambaran umum tentang banyak praktik yang penting bagi semua auditor internal. CAE harus kuat pertimbangkan untuk mendaftar dalam survei dan studi tolok ukur GAIN. Ini luar biasa cara untuk fungsi internal serta staf audit internal secara keseluruhan untuk memahami bidang yang ditekankan oleh auditor internal lainnya. Ini benar-benar meningkatkan berbagi informasi di antara auditor internal. 12.6 BETTER UNDERSTANDING INTERNAL AUDIT ACTIVITIES Bab ini telah memperkenalkan dua alat auditor internal yang penting: kontrol penilaian mandiri dan perbandingan. CSA mengatakan bahwa daripada auditor internal yang melakukan tinjauan formal di beberapa bidang, audit internal seringkali dapat memberikan nilai keseluruhan bagi semua pihak dengan mempromosikan konsep penilaian diri kontrol ini. Meskipun tidak sesuai dalam beberapa area, pendekatan ini mendorong auditor internal untuk bertindak sebagai konsultan internal dan untuk memimpin upaya dalam perusahaan mereka sendiri untuk mendorong tim garis depan untuk melihat kontrol internal mereka sendiri dan untuk mengimplementasikan peningkatan. Ini bisa menjadi alat yang sangat efektif di banyak tingkatan, dan auditor internal harus memiliki CBOK yang memahami cara melakukannya meluncurkan kontrol proses penilaian. Pemahaman tentang proses CSA dan tolok ukur auditor internal adalah persyaratan CBOK auditor internal yang penting. Seperti yang dibahas, benchmarking adalah salah satunya istilah-istilah yang terlalu sering digunakan tanpa pemahaman yang lengkap tentang proses. Auditor internal harus memiliki pemahaman CBOK dasar tentang CSA dan proses benchmarking, apakah menggunakannya untuk mendapatkan informasi praktik terbaik dari yang lain.Fungsi audit internal atau berfungsi sebagai konsultan perusahaan untuk membantu personel perusahaan meluncurkan studi tolok ukur sendiri.
