KEMENTERIAN KEUANGAN REPUBLIK INDONESIA

BADAN PENDIDIKAN DAN PELATIHAN KEUANGAN

SEKOLAH TINGGI AKUNTANSI NEGARA

TUGAS RESUME AUDIT INTERNAL

Disusun Oleh:

Kelompok 2 Kelas 9A

Aga Bagoes A. (02)

Aziz Ahmadi (12)

Eko Suwarno (19)

Fani Pramudita (20)

Sidik Sasmito (33)

Syarif N. Mochtarom (34)

Mahasiswa Diploma IV Akuntansi Kurikulum Khusus

Tahun 2015

atkan

Chapter 9

MENGELOLA FUNGSI AUDIT INTERNAL

Tujuan Pembelajaran:

o Memahami pentingnya posisi yang tepat dari fungsi audit internal dalam organisasi o Mengidentifikasi manfaat dari berbagai struktur organisasi untuk fungsi audit internal o Mengidentifikasi peran dan tanggung jawab posisi penting dalam fungsi audit internal o Memahami kebijakan dan prosedur audit internal dan bagaimana mereka memandu fungsi

audit internal

o Memahami berbagai model manajemen risiko dan merefleksikan peran fungsi audit internal yang seharusnya terdapat dalam proses manajemen risiko organisasi

o Memahami jaminan kualitas, cara beroperasi, dan seberapa penting fungsi audit internal o Memahami penggunaan teknologi dalam pengelolaan fungsi audit internal

Memposisikan Fungsi Audit Internal Dalam Organisasi

fungsi audit internal ditempatan pada tingkat manajemen senior, memberikan fungsi visibilitas, otoritas , dan tanggung jawab untuk:

 Secara bebas mengevaluasi penilaian manajemen atas sistem pengendalian internal organisasi secara independen, dan

 Menilai kemampuan organisasi untuk mencapai tujuan bisnis dan mengelola, memantau, dan mengurangi risiko yang terkait dengan pencapaian tujuan tersebut.

 Definisi Audit Inernal menurut The IIA‟S

“Kegiatan assurance dan konsultasi yang independen dan obyektif yang dirancang untuk memberikan nilai tambah dan meningkatkan kegiatan operasi organisasi. Audit internal membantu organisasi untuk mencapai tujuannya, melalui suatu pendekatan yang sistematis dan teratur untuk mengevaluasi dan meningkatkan efektivitas pengelolaan risiko pengendalian (Control) dan proses tata kelola (Governance)”

 Standar IIA 2000 “Mengelola Aktivitas Audit Internal”

 Hasil kinerja audit internal mencapai tujuan dan tanggung jawab termasuk dalam charter audit internal

 Audit internal sesuai dengan definisi audit internal dan standar

 Para individu yang merupakan bagian dari audit internal menunjukkan kesesuaian dengan kode etik dan standar

Dalam membuat suatu charter, visi dan misi, dan rencana audit, CAE bertanggungjawab dalam menetapkan dan menjaga independensi, objektifitas, kecakapan (proficiency), dan menjaga sikap profesionalitas dalam fungsi audit internal.

Jika audit internal diposisikan pada level senior manajemen yang mempunyai akses langsung terhadapt board (dewan), maka akan memberikan independensi yang lebih besar begitu pula obyektivitasnya.

 Rekomendasi untuk menyusun sebuah piagam audit internal Pedoman praktek 1000-1 : Piagam Audit Internal

 Menyediakan suatu piagam audit internal yang formal dan tertulis sangat penting dalam manajemen aktivitas audit internal. Piagam audit internal mengandung pernyataan pengakuan untuk direview dan diaksep oleh manajemen serta untuk disetujui, sebagaimana didokumentasikan dalam risalah, oleh Dewan. Piagam ini juga memfasilitasi penilaian secara periodik kecukupan tujuan, wewenang, dan tanggung jawab aktivitas audit internal yang menetapkan peran aktivitas audit internal. Piagam audit internal menyediakan perjanjian formal dan tertulis dengan manajemen dan Dewan tentang kegiatan audit internal organisasi.

 Kepala eksekutif Audit (CAE) bertanggung jawab untuk secara periodik menilai apakah tujuan, wewenang, dan tanggung jawab aktivitas audit internal, sebagaimana didefinisikan dalam piagam audit internal, tetap memadai untuk memungkinkan aktivitas audit internal mencapai tujuannya. CAE juga bertanggung jawab untuk mengomunikasikan hasil penilaian ini kepada manajemen senior dan Dewan.

Independensi dan Objektivitas

 Standar IIA 1110: Organisasi independensi, “Kepala Eksekutif Audit harus melapor ke suatu tingkat di dalam organisasi yang memungkinkan Aktivitas Audit Internal untuk memenuhi tanggung jawabnya. Kepala Eksekutif Audit harus mengonfirmasi kepada Dewan akan independensi organisasi dari Aktivitas Audit Internal sekurang-kurangnya setiap tahun sekali.

 1110.A1 – Aktivitas Audit Internal harus bebas dari campur tangan dalam menentukan lingkup audit internal, melakukan pekerjaan, dan mengomunikasikan hasil pekerjaan.

 Praktek Penasehat 1110-1 : Independence organisasi masuk ke lebih rinci , menekankan pentingnya dukungan manajemen dan dewan senior dari fungsi audit internal untuk membantu memastikan kerjasama audit dan penghapusan penurunan nilai saat fungsi audit internal bekerja pada perlibatan.

 IIA standar 1120 : objektivitas individu menyatakan bahwa auditor internal harus memiliki , sikap objektif memihak dan menghindari konflik kepentingan.

Persyaratan ini dalam praktek penasehat 1120-1: objektivitas individu:

 Dengan objektivitas individual dimaksudkan auditor internal melakukan penugasan dengan keyakinan yang jujur dan tidak membuat kompromi dalam hal kualitas yang signifikan. Auditor internal tidak boleh ditempatkan dalam situasi-situasi yang dapat mengganggu kemampuan mereka dalam membuat penilaian secara objektif dan profesional.

 Objektivitas Individual melibatkan kepala eksekutif audit (CAE) untuk memberikan penugasan staf sedemikian rupa sehingga mencegah konflik kepentingan dan bias informasi, baik yang bersifat potensial maupun aktual.

 Review terhadap hasil pekerjaan audit internal sebelum komunikasi/laporan penugasan diterbitkan, akan membantu memberikan keyakinan yang memadai bahwa pekerjaan auditor internal yang bersangkutan telah dilakukan secara objektif.

 Objektivitas auditor internal tidak terpengaruh secara negatif ketika auditor merekomendasikan standar pengendalian untuk sistem tertentu atau melakukan review terhadap prosedur tertentu sebelum dilaksanakan. Objektivitas auditor dianggap terganggu jika auditor membuat desain, menerapkan, men-draft-kan prosedur, atau mengoperasikan sistem tersebut.

 Pelaksanaan tugas sesekali di luar audit oleh auditor internal, bila dilakukan pengungkapan penuh dalam pelaporan tugas itu, tidak serta merta mengganggu objektivitas. Namun, hal tersebut membutuhkan pertimbangan cermat, baik oleh manajemen maupun auditor internal untuk menghindari dampak negatif terhadap objektivitas auditor internal.

Standar IIA 1130: Gangguan terhadap Independensi atau Objektivitas

Jika independensi atau objektivitas terganggu baik secara kenyataan ataupun secara penampilan, rincian gangguan harus diungkapkan kepada pihak-pihak yang tepat. Sifat dari pengungkapan akan tergantung pada gangguan tersebut.

Interpretasi:

 Gangguan terhadap independensi organisasi dan objektivitas individu dapat meliputi, tetapi tidak terbatas pada, konflik kepentingan pribadi, pembatasan lingkup, pembatasan akses terhadap catatan, personel, dan properti, serta pembatasan sumber daya, seperti pendanaan.

 Penentuan pihak-pihak yang tepat kepada siapa rincian gangguan independensi atau objektivitas serta sifat gangguan harus diungkapkan, tergantung pada harapan dari Aktivitas Audit Intern dan tanggung jawab Kepala Eksekutif Audit terhadap manajemen senior dan Dewan seperti yang dijelaskan dalam Piagam Audit Internal.

Persyaratan IIA mengenai penurunan nilai untuk independensi dan obyektivitas Standar 1130.A1:

Internal auditor harus menahan diri dari menilai kegiatan tertentu yang sebelumnya mereka menjadi penanggung jawab. Objektivitas dianggap terganggu jika auditor internal menyediakan layanan pemastian untuk kegiatan dimana auditor internal terlibat dan memiliki tanggung jawab, dalam tahun sebelumnya

Standar 1130.A2:

Penugasan pemastian untuk fungsi-fungsi dimana Kepala Eksekutif Audit memiliki tanggung jawab harus diawasi oleh pihak di luar Aktivitas Audit Internal.

Standar 1130.c1:

Internal auditor dapat memberikan layanan konsultasi yang berkaitan dengan kegiatan dimana mereka sebelumnya menjadi penanggung jawab.

Standar 1130.c2

Jika auditor internal memiliki potensi gangguan terhadap independensi atau objektivitas yang berhubungan dengan layanan konsultasi yang diusulkan, maka pengungkapan harus dilakukan kepada klien penugasan sebelum menerima penugasan tersebut.

Keahlian dan Kecermatan Profesional

Dalam standar IIA 1200, penugasan harus dilakukan dengan keahlian dan kecermatan profesional. Lalu dalam standar IIA 1210, dinyatakan bahwa Auditor internal harus memiliki pengetahuan, keterampilan, dan kompetensi lain yang dibutuhkan untuk melaksanakan tanggung jawabnya. Aktivitas Audit Internal secara kolektif harus memiliki atau mendapatkan pengetahuan, keterampilan, dan kompetensi lain yang dibutuhkan untuk melaksanakan tanggungjawabnya.” Berikutnya dalam standar IIA 1220, Kecermatan Profesional dinyatakan sebagai “Auditor Internal harus menerapkan kecermatan dan keterampilan yang diharapkan dari seorang auditor yang cukup berhati-hati dan kompeten. Kecermatan profesional tidak berarti kesempurnaan.”

Perencanaan

sebuah outline dari penugasan (konsultansi dan assurance) dalam periode tertentu berdasarkan penilaian resiko dari organisasi.

untuk suatu periode berdasarkan penilaian dari risiko organisasi.. 1. Standar Perencanaan.

Ada dua perbedaan, yaitu:

1. Jasa jaminan. Rencana penugasan dari Aktivitas Audit Internal harus didasarkan pada penilaian risiko yang terdokumentasi, sekurang-kurangnya dilakukan setiap tahun. Masukan dari manajemen senior dan Dewan harus dipertimbangkan dalam proses ini. 2. Jasa konsultasi. Kepala Eksekutif Audit harus mempertimbangkan untuk menerima

penugasan konsultasi yang diusulkan berdasarkan potensi penugasan tersebut untuk meningkatkan proses manajemen risiko, menambah nilai, dan meningkatkan operasi organisasi. Penugasan yang diterima harus disertakan dalam rencana.

Komunikasi dan Persetujuan

Setelah penetapan rencana audit, maka giliran Chief Audit Executive untuk mempresentasikan rencana tersebut kepada senior management dan dewan audit agar disetujui. Rekomendasi khusus untuk memenuhi persyaratan ini:

1. Setiap tahun CAE akan melaporkan kepada manajemen senior dan dewan untuk mereview dan menyetujui ringkasan rencana audit internal, jadwal kerja, rencana kepegawaian, dan anggaran keuangan,

2. .Menyetujui keterlibatan jadwal kerja, rencana kepegawaian, dan anggaran keuangan, bersama dengan semua perubahan interim yang signifikan, yang berisi informasi yang cukup untuk memungkinkan manajemen senior dan dewan direksi untuk memastikan apakah tujuan dan rencana kegiatan audit internal yang mereka dukung telah konsisten dengan charter audit internal

Manajemen Sumber Daya

CAE bertanggung jawab Mengembangkan, mengarahkan, mengorganisasi, mengawasi, merencanakan, dan mengelola rencana dan anggaran audit internal yang telah disetujui oleh komite audit dengan tujuan menentukan akurasi dari laporan keuangan, keefektifan bisnis, kesesuaian dengan kebijakan, prosedur, hukum, dan peraturan yang ada

Struktur Organisasi dan Strategi susunan kepegawaian

Fungsi audit internal harus dibentuk sesuai dengan budaya dan kebutuhan organisasi. CAE juga memilih struktur organisasi hierarki yang memiliki banyak macam posisi dengan masing-masing perannya dalam fungsi audit internal yaitu:

1. Staff auditor 2. Senior auditor 3. Audit manager 4. Audit director 5. Chief audit executive Right Sizing (Ukuran yang tepat)

Penting untuk menjaga keseimbangan staf yang mampu dan berpengetahuan dalam menyelesaikan rencana internal audit.

Perencanaan Kepegawaian atau SDM

CAE bertanggung jawab dalam menjaga SDM audit yang cukup dimana memastikan pemenuhan tanggung jawab internal audit, sebagaimana disebutkan dalam Internal Audit Charter.

Kepala Eksekutif Audit harus memastikan bahwa sumber daya audit internal adalah tepat, cukup, dan secara efektif dikerahkan untuk mencapai rencana yang telah disetujui.

Praktek Perekrutan (hiring)

CAE bertanggung jawab memperkerjakan pegawai demi memaksimalkan efektivitas dan efisiensi dari keterampilan dasar dan memanfaatkan anggaran keuangan dengan baik.

Outsourcing juga dapat dilakukan untuk membantu fungsi audit internal dengan tujuan

mengambil pokok dari suatu perjanjian atau mengisi kekosongan sumber daya yang dibutuhkan dalam menyelesaikan rencana audit internal.

Pelatihan dan Pembinaan

Wajib bagi staf audit internal untuk terus memperbarui dan mengembangkan kemampuan audit dan pengetahuannya, diantaranya dengan berbagai sertifikasi keahlian seperti CIA, CPA, CISA, dan CFE.

Perencanaan karir dan pengembangan profesional

Fungsi internal audit yang baik harus memiliki perencanaan karir dan pengembangan profesional

Penjadwalan

Setelah penentuan pegawai tetap dan outsourcing telah dilakukan dan dikelola dengan baik dalam fungsi audit internal, maka CAE dapat mulai menempatkan perjanjian dan proyek tertentu kepada pegawai yang tepat serta memaksimalkan penggunaan anggaran dengan menciptakan fungsi audit internal berdasarkan pengalaman dan kemampuannya, akan menjadi efektif dan efisien dalam mencapai tujuan.

Anggaran Keuangan

Anggaran keuangan bermanfaat untuk mendorong rencana audit internal, struktur organisasi, dan strategi kepegawaian

Kebijakan dan Prosedur

Kepala Eksekutif Audit (CAE) harus menetapkan kebijakan dan prosedur (manual audit) untuk memandu Aktivitas Audit Internal yang bentuk dan isinya tergantung pada ukuran dan struktur serta kompleksitas pekerjaan Aktivitas Audit Internal yang bersangkutan

Koordinasi dengan auditor eksternal yang independen

CAE harus mau membagikan informasi dan menggkoordinasikan aktivitas dengan penyedia jasa internal maupun eksernal audit yang lain untuk memastikan cakupan yang tepat dan mengurangi pelaksanaan aktivitas yang berulang.

Pelaporan kepada Manajemen Senior dan Dewan

Kepala Eksekutif Audit harus melaporkan secara berkala kepada manajemen senior dan Dewan atas realisasi tujuan, wewenang, tanggung jawab, serta kinerja dibandingkan dengan rencana. Pelaporan Aktivitas Audit Internal harus mencakup juga eksposur risiko yang signifikan dan masalah-masalah pengendalian, termasuk risiko kecurangan, tata kelola, serta hal-hal lain yang diperlukan atau diminta oleh manajemen senior dan Dewan. Sebagai tambahan, CAE dan manajemen berkoordinasi dalam pelaporan rutin akan banyak risiko dan aktivitas kontrol yang dilaksanakan baik sesuai dengan peran dan tanggung jawab yang ditentukan dewan maupun komite audit. CAE juga bertanggung jawab menjaga hubungan yang ada dalam organisasi yang berpotensi menimbulkan konflik, termasuk komite audit, manajemen senior, manajemen lini, dan pihak ketiga di luar perusahaan.

Tata kelola (Governance)

Tata kelola adalah kombinasi proses dan struktur yang diimplementasikan dewan untuk menginformasikan, mengarahkan, dan mengatur aktivitas dalam organisasi untuk mencapai tujuannya. Aktivitas Audit Internal harus mengevaluasi dan membuat rekomendasi yang tepat untuk memperbaiki proses tata kelola dalam pencapaian tujuan-tujuan sebagai berikut:

1. Mempromosikan etika dan nilai-nilai yang pantas dalam organisasi; 2. Memastikan manajemen dan akuntabilitas kinerja organisasi yang efektif;

3. Mengomunikasikan informasi risiko dan pengendalian kepada bidang-bidang yang sesuai di dalam organisasi dan

4. Mengoordinasikan kegiatan dan mengomunikasikan informasi di antara Dewan, auditor internal dan eksternal, serta manajemen.

Tanggung jawab tata kelola fungsi audit internal termasuk:beberapa hal berikut: 1. Mengevaluasi berbagai macam aktivitas manajemen resiko

2. Menguji dan mengevaluasi berbagai aktivitas manajement resiko beroperasi sesuai dengan rancangan

4. Menentukan apakah pernyataan yang dibuat oleh manajemen senior

5. Mengevaluasi informasi toleransi risiko dikomunikasikan tepat waktu dan efektif 6. Menilai apakah ada daerah risiko lain yang saat ini tidak disertakan

Manajemen risiko

Merupakan Proses yang dilakukan oleh manajemen untuk memahami dan menangani ketidakpastian yang dapat mempengaruhi organisasi dalam mencapai tujuannya.tujuan manajemen resiko adalah menghindari bahaya potensial dan mencegah tindakan mengancam supaya tidak memberikan pengaruh negatif terhadap organisasi.

 Standar IIA 2120: Manajemen Risiko. Aktivitas Audit Internal harus mengevaluasi efektivitas dan berkontribusi bagi perbaikan proses manajemen risiko. Interpretasinya yaitu:

1. Menentukan apakah proses manajemen risiko adalah efektif merupakan hasil keputusan dari penilaian auditor internal bahwa:

2. Tujuan organisasi mendukung dan selaras dengan misi organisasi; 3. Risiko signifikan telah diidentifikasi dan dinilai;

4. Respons risiko yang tepat telah dipilih untuk menyelaraskan risiko dengan minat risiko organisasi;

5. Informasi risiko yang relevan diterima dan dikomunikasikan secara tepat waktu di seluruh organisasi, sehingga memungkinkan staf, manajemen, dan Dewan untuk melaksanakan tanggung jawab mereka.Pengendalian

Dalam Standar IIA 2130: Pengendalian “Aktivitas Audit Internal harus membantu organisasi dalam memelihara pengendalian yang efektif dengan mengevaluasi efektivitas dan efisiensinya serta dengan mempromosikan perbaikan terus-menerus.”

Jaminan Kualitas dan Pengembangan Program

Standar IIA 1300 : Jaminan Kualitas dan Program Perbaikan menyatakan “CAE harus mengembangkan dan mempertahankan jaminan kualitas dan program perbaikan yang mencakup semua aspek dari kegiatan audit internal”

Pengungkapan Ketidaksesuaian

Standar IIA 1322 menyatakan CAE harus mengungkapkan ketidaksesuaian dan dampaknya untuk manajemen senior dan dewan. Ketidaksesuaian ini berarti fungsi audit internal tidak sesuai

Pengukuran Kinerja Untuk Fungsi Audit Internal

Beberapa faktor yang dipertimbangkan oleh CAE dalam membuat kriteria pengukuran kinerja:: 1. Ukuran dari fungsi audit internal

2. Layanan khusus yang ditawarkan 3. Peraturan khusus industri 4. Lingkungan operasi 5. Budaya organisasi

Program pemastian kualitas dan peningkatan merupakan suatu proses penilaian yang dilakukan secara terus-menerus dan juga secara berkala terhadap keseluruhan spektrum pekerjaan audit dan konsultasi yang dilakukan oleh Aktivitas Audit Internal. Jika hasil penilaian menunjukkan area-area tertentu memerlukan perbaikan, CAE harus segera menerapkan program perbaikan melalui QAIP.

QAIP meliputi evaluasi-evaluasi atas:

1. Kesesuaian dengan Definisi Audit Internal, Kode Etik, dan Standar, termasuk tindakan korektif secara tepat waktu bila terjadi ketidaksesuaian yang signifikan.

2. Kecukupan piagam Aktivitas Audit Internal, tujuan, sasaran, kebijakan, serta prosedur. 3. Kontribusi terhadap proses tata kelola, manajemen risiko, serta pengendalian internal

organisasi.

4. Kepatuhan terhadap hukum yang berlaku, peraturan, dan serta standar pemerintah ataupun industri.

5. Efektivitas perbaikan kegiatan secara terus-menerus serta adopsi praktik-praktik terbaik. 6. Sejauh mana Aktivitas Audit Internal menambah nilai dan meningkatkan operasi organisasi.

Penggunaan Teknologi untuk Mendukung Proses Audit Internal

 Risiko dan pengendalian Penilaian Diri, Alat penilaian risiko otomatis dapat menyediakan fungsi audit internal dengan identifikasi, dokumentasi, resiko yang prioritas, dan area mana dalam organisasi yang memiliki resiko tersebut.

Chapter 11

AUDIT SAMPLING

Sampling audit adalah penerapan prosedur audit terhadap kurang dari seratus persen unsur dalam suatu saldo akun atau kelompok transaksi dengan tujuan untuk menilai beberapa karakteristik saldo akun atau kelompok transaksi tersebut. Sampling ini digunakan untuk pelaksanaan prosedur audit seperti tracing atau vouching yang digunakan untuk pemeriksaan dokumen audit trail atau digunakan untuk prosedur audit inquiry dan observation.

Dua Pendekatan Umum Audit Sampling

Dua pendekatan tersebut adalah statistical dan non statistical. Untuk memilih, auditor internal harus mempertimbangkan cost and benefit. Statistical sampling merupakan alat bantu auditor internal untuk mengukur kecukupan bukti yang yang diperoleh dan mengevaluasi hasil sampling secara quantitative. Lebih dari itu audit sampling memungkinkan auditor untuk menghitung, mengukur dan mengontrol sampling risk. Namun, statistical sampling juga lebih costly.

Audit Risk and Sampling Risk

Audit risk diartikan sebagai risiko kesalahan pengambilan kesimpulan dan/atau menyediakan saran yang keliru berdasarkan pekerjaan audit yang dilakukan. Dalam konteks tersebut maka audit risk dibagi menjadi 2 yaitu sampling risk dan nonsampling risk.

1. Sampling risk adalah risiko bahwa kesimpulan internal audit berdasarkan sample yang diuji berbeda dengan kesimpulan yang diperoleh apabila prosedur audit dilakukan terhadap seluruh item pada populasi.

Dalam melakukan Test of control, internal audit concerned terhadap dua aspek sampling risk yaitu:

a. The risk of assessing control risk too low (type II risk, beta risk). Dikenal juga dengan risk of overreliance (risiko ketergantungan lebih) yaitu risiko bahwa internal auditor salah dalam menyimpulkan bahwa control tertentu lebih efektif dari yang seharusnya.

b. The risk of assessing control si too High (The I risk, alpa risk). Dikenal juga Dean risk of under-reliance (risiko ketergantungan kurang) yaitu risiko bahwa internal audit salah dalam menyimpulkan bahwa control kurang efektif dari yang seharusnya.

2. Non sampling risk adalah risiko yang terjadi kerik internal auditor gagal dalam menjalankan pekerjaannya secara benar. Misalnya melakukan prosedur audit yang tidak tepat atau sah dalam melakukan interpretasi hasil sampling. Nonsampling risk dikontrol menggunakan audit planning, supervisi, dan quality assurance.

STATISTICAL AUDIT SAMPLING IN TESTS OF CONTROL Atribute Sampling Approaches

Attribute Sampling merupakan pendekatan sampling statistikal berdasarkan teori binomial distrbution yang memungkinkan pengguna memperoleh kesimpulan tentang populasi dengan menggunakan tingkat keterjadiannya.

Binomial distribution adalah distribusi semua kemungkinan sample yang mana tiap item dalam populasi mempunyai satu atau dua kemungkinan states.

Stratified attribute sampling adalah variasi dari attribute sampling dari populasi yang dapat dibagi-bagi. Ketika control yang berbeda diterapkan dalam level transaksi yang berbeda maka perbedaan level transaksi terebut dapat dipertimbangkan sebagai populasi yang berbeda.

Stop-or-go sampling merupakan variasi dari attribute sampling yang digunakan ketika tingkat penyimpangan diperkirakan rendah. Stop-or-go sampling berguna dalam situasi tersebut karena dapat meminimalkan ukuran sample untuk level sampling risk tertentu.

Discovery sample merupakan variasi attribute sampling yang didesain dengan cukup luas untuk mendeteksi paling tidak satu penyimpangan apabila tingkat deviasi pada populasi setara atau melebihi tingkat spesifik. Pendekatan ini biasa digunakan untuk menguji adanya fraud.

Designing an Attribute Sampling Plan, Executing The Plan, and Evaluating The Sample Result Attribute sampling dilakukan melalui 9 langkah berikut:

1. Identify a specific internal control objective dan prescribed control(s) aimed at achieving that objective

Tujuan audit yang spesifik merupakan faktor kunci yang menentukan apa yang akan di sample. Sebagai contoh adalah auditor internal akan menguji dengan menggunakan sample, apakah order pembelian selama 12 bulan telah didukung oleh daftar permintaan pembelian yang sesuai.

2. Define what is meant by control Aviation

Yang dimaksud dengan penyimpangan dari control yang telah ditentukan sama pentingnya dengan mendefinisikan tujuan control dan prosedur control. Jika internal auditor gagal melakukan ini, ada risiko tidak dikenalinya penyimpangan yang hal ini merupakan non sampling risk. Sebagai contoh adalah internal auditor ingin meyakini bahwa order pembelian dukung oleh permintaan pembelian yang tepat. Penyimpangan dari control yang ditetapkan akan termasuk hal berikut: tidak adanya daftar permintaan pembelian, tidak adanya bukti dari persetujuan daftar permintaan pembelian, disetujui oleh orang yang tidak berwenang, adanya perbedaan antara barang yang dipesan dengan barang yang diterima gudang. 3. Define population and sampling unit

Sesuai contoh sebelumnya maka, populasi yang ditentukan adalah order pembelian prenumber selama 12 bulan. Sampling unitnya adalah setiap order pembelian yang diuji untuk memastikan apakah order pembelian telah didukung oleh daftar permintaan pembelian yang sesuai. Untuk mengujinya, internal auditor akan melakukan vouching terhadap order pembelian dan menghubungkannya dengan daftar permintaan pembelian. 4. Determine the appropriate values of parameter affecting sample size

Dalam attribute sampling, internal auditor harus menetapkan, menggunakan audit judgment, nilai yang tepat dari 3 faktor yang mempengaruhi ukuran sample.

a. Risiko yang dapat diterima dari penilaian kontrol yang terlalu rendah

Ingat bahwa risiko penilaian control risk terlalu rendah maka internal auditor akan salah menyimpulkan bahwa kontrol tertentu lebih efektif dari pada seharusnya. Risiko penilaian control risk yang terlalu rendah akan berkebalikan dengan ukuran sample, dengan kata lain semakin rendah tingkat acceptable risk, semakin besar ukuran sample. b. Tingkat penyimpangan yang dapat ditolerir

Tingkat maksimum atas penyimpangan yang masih dapat diterima auditor dan masih dapat menyimpulkan bahwa pengendalian sudah efektif. Penyimpangan yang masih dapat diterima berkebalikan dengan jumlah sample audit

c. Tingkat penyimpangan populasi yang diperkirakan

Perkiraan auditor pada penyimpangan aktual dari populasi yang diperiksa. Auditor harus membedakan antara tingkat tolerable deviation dan tingkat perkiraan penyimpangan populasi sebagai planned allowance for sampling risk atau planned precision.

5. Determine the appropriate sample size

Setelah auditor menetapkan nilai dari faktor-faktor yang mempengaruhi ukuran sample, cara paling mudah untuk menentukan ukuran sample yang tepat dapat mengacu pada tabel berikut.

6. Memilih sample secara acak

Dua pendekatan yang sering digunakan adalah: a. Simple Random Sampling

Pendekatan yang paling mudah ketika sampling dokumen prenumbered. Menggunakan tabel nomor random adalah salah satu jalan internal auditor mendapatkan random sample.

b. Systematic Sampling

Internal auditor memilih secara random untuk menentukan titik awal data dan memlih sampai urutan tertentu setetahnya.

7. Audit sample item yang dipilih dan menghitung jumlah deviasi dari control yang ditentukan. 8. Menentukan batas deviasi yang dapat diterima

9. Mengevaluasi hasil sample

Mengevaluasi hasil dari atribut sampling, meliputi: - Kesimpulan perhitungan statistik

- Membuat keputusan audit berdasarkan hasil sample quantitative - Mempertimbangkan aspek kualitatif dari hasil sample

Memformulasikan keputusan statistikal

Kelebihan utama dari statistical sampling dibandingkan nonstatistical sampling adalah statistical sampling memungkinkan internal auditor untuk mengkuantifikasi , mengukur, dan mengendalikan risiko sampling .

Menyusun keputusan audit berdasarkan hasil sampel kuantitatif.

Aplikasi atribut sampling didesain agar internal auditor akan menyimpulkan bahwa pengendalian efektif, berdasarkan hasil sampling jika 90 persen tingkat keyakinan bisa dicapai bahwa population rate nya adalah kurang atau sama dengan 5%.

Adalah penting untuk diingat, bahwa interpretasi auditor terhadip hasil sampling kuantitatif hanya menunjukkan efektifitas pengendalian bagi 12 bulan terakhir saja.

Mempertimbangkan aspek kualitatif dari hasil sampel.

Sebagai tambahan dalam mengevaluasi hasil dari attribute sampling, internal auditor harus mempertimbangkan aspek-aspek kualitatif dari penyimpangan dari pengendalian yang ditemukan. SAMPLING AUDIT NON STATISTIKAL DALAM PENGUJIAN PENGENDALIAN

Statistical sampling membutuhan dua hal fundamental : a. sampelnya harus dipilih secara random

b. hasil sampling tersebut harus dievaluasi secara matematis dengan pendekatan teori probabiilitas

Sampling nonstatistikal membrikan auditor keleluasaan lebih dalam memilih dan mengevaluasi sampel. Meskipun begitu, auditor harus tetap memilih sampel yang dipercaya yang merupakan representasi dari populasi, dengan mempertimbangkan faktor-faktor yang memengaruhi ukuran sampel. Haphazard sampling adalah teknik pemilihan non random yang digunakan auditor untuk memilih sampel yang diharapkan dapat merepresentasikan populasi.

Ketidakmampuan untuk mengkuantifikasi risiko sampling secara statistik merupakan fitur utama dari sampling non statistik yang membedakannya dengan statistical sampling. Kesimpulan auditor mengenai populasi (yang direpresentasikan sampel) sangatlah judgemental ketimbang berdasarkan teori probablitas.

Salah satu pendekatan sampling nonstatistik yang paling awam adalah memilih sampel yang relatif kecil secara haphazard, misalnya 25 item untuk seluruh aplikasi sampling berdasarkan presumsi bahwa tidak terdapat penyimpangan pengendalian dalam populasi, dan untuk menyimpulkan bahwa pengendalian tidak cukup efektif jika satu atau lebih deviasi pengendalian ditemukan.

STATISTICAL SAMPLING DALAM PENGUJIAN NILAI-NILAI MONETER

Sebagai tambahan untuk penggunaan sampling dalam konteks pengujian pengendalian, internal auditor juga menerapkan sampling ketikan melakukan pengujian yang didesain untuk mendapatkan bukti langsung mengenai kebenaran nilai-nilai monetaris-misalnya, nilai dari inventory yang disajikan.

Ketika melakukan pengujian atas nilai moneter, internal auditor harus memperhatikan dua aspek risiko sampling ;

Risiko dimana sampel menunjukkan tidak ada misstatement material, padahal sebenarnya ada.

b. Risiko penolakan yang tidak benar (Type 1 Risk, Alpha Risk) Kebalikan dari yang atas.

Probability-proportional-to size sampling

Disebut juga sebagai monetary-unit sampling atau dollar-unit sampling adalah bentuk modifikasi dari sampling atribut yang digunakan untuk mencapai kesimpulan terkait jumlah moneter ketimbang tingkat keterjadian.

Faktor yang memengaruhi ukuran sampling PPS : a. Nilai buku moneter dari population

b. Risiko ketidakbenaraan penerimaan c. Tolerable misstatement

d. Anticipated misstatement Classical Variables Sampling

Adalah pendekatan sampling statistikal yang berdasarkan pada teori distribusi normal yang digunakan untuk memeroleh kesimpulan terkait jumal monetary. Metode ini dianggap lebih sulit dari PPS, karena melibatkan metode perhitungan yang lebih kompleks dalam menentukan jumlah sampel yang teapt dan mengevaluasi hasil sampling

Dua pendekatan pemilihan sampelyang umum digunakan dalam metode ini adalah simple random sampling dan systematic sampling with random sttart

Faktor yang memengaruhi ukuran sampel pada metode ini : a. Ukuran populasi

b. Standar deviasi populasi yang diestimasi c. Risiko penerimaan yang tidak benar d. Risiko penolakan yang tidak benar’ e. Tolerable misstatement.

Chapter 12

INTRODUCTION TO THE ENGAGEMENT PROCESS (PENGANTAR PROSES PENUGASAN)

A. Tujuan Pembelajaran

1) Memahami jenis penugasan auditor internal.

2) Memahami kegiatan kunci yang terkait dalam perencanaan dan pelaksanaan penugasan assurance dan pelaporan hasil penugasan.

3) Menjelaskan bagaimana proses penugasan consulting berbeda dari proses penugasan

assurance.

B. JENIS PENUGASAN AUDIT INTERNAL

Internal Standards for The Profesiaonal Practice of Internal Audit dalam Internal Profesional Practice Framework (IPPF) mendefinisikan bahwa internal auditor secara umum menyediakan dua jenis layanan yaitu :

1. Jasa assurance yaitu Pemeriksaan obyektif atas bukti dengan tujuan memberikan penilaian independen atas tata kelola, manajemen risiko dan pengendalian proses untuk organisasi. Contohnya mungkin termasuk penugasan keuangan, kinerja, kepatuhan, sistem keamanan dan uji kelayakan.

2. Jasa consulting, konsultasi dan Kegiatan terkait pelayanan klien, sifat dan ruang lingkup yang disepakati dengan klien, dimaksudkan untuk menambah nilai dan meningkatkan tata kelola, manajemen risiko dan pengendalian proses organisasi tanpa auditor internal dengan asumsi tanggung jawab manajemen. Contohnya termasuk nasihat, saran, fasilitasi dan pelatihan.

baik yang berbentuk control-focused (secara langsung fokus pada operasional, pelaporan,

dan atau kepatuhan kinerja) maupun yang sifatnya performance-focused (fokus pada desain kecukupan dan efektivitas pelaksanaan dari implementasi kontrol untuk menyediakan keyakinan yang memadai atas tujuan kinerja yang ingin dicapai)

C. GAMBARAN UMUM PROSES ASSURANCE ENGAGEMENTS

Proses penugasan (engagements) baik control-focused maupun performance-focused terdiri dari 3 tahap utama yaitu (1) Perencanaan; (2) Pelaksanaan; (3) Komunikasi (pelaporan).

Proses Penugasan Assurance

PLAN PERFORM COMMUNICATE

- Menentukan tujuan dan lingkup penugasan

- Melakukan pengujian untuk mengumpulkan bukti

- Melakukan proses evaluasi observasi dan eskalasi

- Memahami auditee, termasuk tujuan dan asersi

auditee

- Mengidentifikasi dan menilai risiko

- Mengidentifikasi pengendalian kunci (key control) - Mengevaluasi kecukupan desain pengendalian - Menyusun rencana pengujian - Mengembangkan Program Kerja - Mengalokasikan sumber daya pada engagement

- Mengevaluasi bukti yang diperoleh dan

menyimpulkan

- Mengembangkan observasi dan menyusun rekomendasi

- Melakukan penugasan preliminary dan interim - Mengembangkan

komunikasi engagement final

- Mendistribusikan

komunikasi final formal dan informal

- Melakukan prosedur

monitoring dan tindak lanjut

Meskipun gambaran di atas menunjukkan tiga tahap dari engagement sebagai langkah yang terpisah dan menunjukkan urutan, sebenarnya praktik yang dilakukan tidak sepenuhnya seperti gambaran di atas. Tidak terdapat batasan yang pasti antara perencanaan, pelaksanaan dan pelaporan.

1. Aktivitas Perencanaan Assurance Engagements

Perencanaan yang efektif adalah kunci kesuksesan. Terdapat sebuah ungkapan 7P : “Proper

Prior Planning Prevents Poor Performance” dan ungkapan lain “Failing to plan means planning to fail”. Hal ini menunjukan betapa pentingnya sebuah perencanaan. Dalam

perencanaan assurance engagement,terdapat beberapa tahapan yang dilalui yaitu: a. Menentukan tujuan dan lingkup engagement

Ini adalah satu tahap penting dalam penugasan. Pertimbangan penting yang perlu diperhatikan adalah:

1) Kategori tujuan bisnis (strategis, operasional, pelaporan dan kepatuhan)

 Misalnya apakah fokus penugasan pada efektivitas operasi dan efisiensi auditee, aspek pelaporan keuangan auditee, atau keduanya.

2) Hasil yang diharapkan dari penugasan Audit Internal

 Tim diharapkan dapat membatasi fokusnya untuk mengkomunikasikan observasi atas pengendalian selama proses engagements, atau diharapkan untuk menyampaikan opini keseluruhan atas area khusus yang ditanyakan 3) Batasan engagements

 Dari Proses bisnis/subproses bisnis mana dimulai/diakhiri, unit mana yg dikunjungi seperti kantor cabang Service atau fasilitas produksi, dsb.

b. Memahami auditee, termasuk tujuan dan asersi auditee

Suksesnya penugasan ditentukan oleh seberapa besar auditor mengetahui atau mendalami auditee dan langkah pertama yang dapat dilakukan adalah memahami tujuan dan asersi auditee :

 Tujuan Bisnis Auditee  apakah yang ingin dicapai auditee  Asersi Auditee  pernyataan tentang “apa yang telah dicapai”

Dalam perspektif auditee tujuan yang jelas dan terukur bermanfaat bagi target kinerja dan asersi menrefleksikan level kinerja yang dicapai. Bagi auditor tujuan dan asersi auditee menjadi kerangka yang mendefinisikan tujuan penugasan.

c. Mengidentifikasi dan menilai risiko

Tim audit internal harus mengidentifikasi dan menilai yang dapat mengancam tujuan auditee dan tujuan organisasi secara keseluruhan. Resiko dinilai dalam beberapa level risiko yang diukur dibandingkan dengan batas toleransi risiko manajemen yang dapat diterima. Atas resiko yang diatas batas toleransi manajemen harus dilakukan irigasi resik, terdapat 3 pilihan irigasi resiko risiko :

 Avoiding risks : Menghindari resik dengan meninggalkan atau membubarkan aktivitas terkait

 Sharing risks : mentransfer sebagian resik ke pihak ketiga  Reducing risks : dengan mengimplementasikan desain kontrol

d. Mengidentifikasi pengendalian kunci (key control)

Tim audit internal juga harus mengidentifikasi pengendalian mana yang paling kritis untuk mengurangi risiko bisnis ke level yang dapat diterima serta menyediakan jaminan bahwa tujuan yang ditetapkan akan tercapai.

Dibahas lengkap di Ch. 6 “Internal Control” dan Ch. 13 “Conducting Assurance

Engagement”

e. Mengevaluasi kecukupan desain pengendalian

Tim audit internal harus memutuskan apakah pengendalian kunci yang teridentifikasi dapat secara memadai untuk mengurangi risiko, baik secara individual maupun kolektif ke level yang dapat diterima – diasumsikan bahwa pengendalian telah dijalankan sesuai rencana.

f. Membuat pengujian perencanaan

Tim auditor harus mendesain penugasan agar dapat mendapatkan bukti yang cukup. Membuat pengujian perencanaan terdiri dari menentukan sifat, waktu, dan perluasan prosedur yang diperlukan untuk mengumpulkan bukti audit. Pengujian perencanaan berupa pengujian langsung atas pengendalian dan atau test kinerja untuk menghasilkan bukti tak langsung berkaitan dengan efektivitas pengendalian.

g. Mengembangkan program kerja

Selama proses penugasan, internal auditor menandai prosedur dalam audit program yang menandakan pekerjaan telah selesai dilaksanakan. Supervisor harus mereviu pekerjaan tim audit atas pekerjaan yang telah dilaksanakan dan pekerjaan yang belum selesai atau yang masih harus dikerjakan, yang bisa saja diluar dari program kerja.

h. Alokasi sumber daya untuk penugasan

Tahap terakhir dalam perencanaan penugasan, antara lain menentukan keahlian audit yang diperlukan, estimasi waktu, menugaskan internal auditor, dan membuat skedul pekerjaan supaya dapat dikontrol realisasi tepat waktu.

2. Aktivitas Pelaksanaan Penugasan Assurance

Tahapan pekerjaan lapangan kegiatan assurance adalah sebagai berikut: a. Melakukan test untuk mengumpulkan bukti

Tahap awal adalah melakukan prosedur untuk mengumpulkan bukti, misalnya membuat pertanyaan, observing operations, inspecting document, dan analyzing reasonableness of information. Tahap kedua yang juga penting adalah mendokumentasikan prosedur yang telah dikerjakan dan hasilnya.

b. Evaluasi bukti audit yang dikumpulkan dan membuat kesimpulan.

Evaluasi bukti yang telah dikumpulkan untuk menentukan misalnya apakah kegiatan pengendalian telah didesain memadai dan efektivitas operasi telah tercapai. Internal auditor harus membuat kesimpulan logis berdasarkan bukti.

c. Mengembangkan observasi and merumuskan rekomendasi.

Observasi di sini juga berhubungan dengan menemukan bukti. Temuan yang baik memuat empat elemen :

 kriteria = standar, ukuran atau ekspektasi yang digunakan dalam evaluasi (what

should be),

 kondisi  bukti aktual yang ditemukan (what is),

 konsekuensi/akibat  efek negatif yang nyata atau potensial terjadi (effect), dan

 sebab  underliying alasan untuk gap antara kriteria dan fakta (reason the

gap).

Rekomendasi berdasarkan temuan dan kesimpulan internal auditor, untuk menutup gap antara kriteria dan kondisi, kontennya perbaikan atas masalah utama (root

cause not sympton) berupa solusi yang jangka panjang dan secara ekonomi dapat

dikerjakan.

3. Aktivitas Komunikasi Penugasan Assurance

Proses komunikasi hasil adalah komponen kritis dalam semua kegiatan internal audit, komunikasi hasil internal audit harus “accurate, objective, clear, concise, constructive,

complete, and timely” (IIA Standard 2420 : Quality of Communications). Tahapan komunikasi

kegiatan assurance sebagai berikut:

a. Melakukan proses evaluasi dan eskalasi (escalation process) atas temuan. Temuan harus di assess melalui proses evaluasi dan eskalasi, selanjutnya menentukan implikasi temuan dalam komunikasi hasil pada area yang direviu.

b. Melakukan komunikasi interim dan preliminary penugasan.

Komunikasi oleh internal audit terjadi selama proses penugasan dan tidak hanya terjadi di akhir. Komunikasi di awal atas permasalahan yang muncul memperkenankan manajemen untuk menyelesaikan masalah secepatnya sebelum penugasan selesai, yang akan mempengaruhi ruang lingkup dan progress. Komunikasi memberikan manajemen kesempatan untuk melakukan klarifikasi dan menyampaikan pemikiran dari sudut pandangnya atas kesimpulan dan rekomendasi tim audit. Komunikasi juga untuk

menghindari multi tafsir karena kata yang tertulis kadang berbeda dengan yang diucapkan.

c. Mengembangkan komunikasi penugasan akhir

Dalam tahap ini internal auditor telah siap untuk mengkonsolidasi dan Men”sintesis” semua bukti yang dikumpulkan selama penugasan. Pengembangan komunikasi akhir termasuk:

 Membuat list dan prioritas pengendalian atas temuan dengan mempertimbangkan efektivitas pengendalian auditee

 Membuat kesimpulan negative assurance/limited assurance. auditor internal mengungkapkan keyakinan negatif ketika mereka menyimpulkan bahwa tidak ada kontrol -yang menjadi perhatian mereka- yang menunjukkan bahwa kontrol auditee yang dirancang tidak memadai atau tidak efektif beroperasi

 Membuat kesimpulan positive assurance/reasonable assurance. Internal auditor mengungkapkan keyakinan positif ketika mereka menyimpulkan dalam opininya bahwa pengendalian auditee dirancang memadai dan beroperasi efektif

d. Distribusi komunikasi akhir formal dan informal

Menurut Standard 2410-Criteria for Comunicating komunikasi harus mengandung tujuan dan lingkup penugasan dan juga kesimpulan, rekomendasi dan rencana kerja yang dapat diaplikasikan. Komunikasi penugasan final mengandung tanggapan auditee terhadap kesimpulan, pendapat, dan rekomendasi tim audit internal. Temuan yang harus dimasukkan dalam formal, komunikasi penugasan akhir adalah apa-apa yang harus dilaporkan untuk mendukung, atau mencegah kesalahpahaman, atas kesimpulan tim audit internal dan rekomendasi. Temuan kurang signifikan dapat disampaikan secara informal. Rekomendasi, yang didasarkan pada temuan dan kesimpulan, adalah tindakan yang diajukan untuk memperbaiki kondisi yang ada atau meningkatkan operasi yang diusulkan.

e. Melakukan monitoring dan prosedur tindak lanjut (follow up). Penugasan Assurances tidak berhenti pada laporan.

 IIA Standard 2500: Monioring Progress menyatakan bahwa "Kepala eksekutif

Audit harus membangun dan memelihara sistem untuk memonitor disposisi dari hasil audit yang dikomunikasikan kepada manajemen."

 Standar 2500.A1 melanjutkan dengan mengatakan bahwa "Kepala eksekutif

Audit harus menetapkan proses tindak lanjut untuk memantau dan memastikan bahwa tindakan manajemen telah dilaksanakan secara efektif atau manajemen senior telah menerima risiko dengan tidak mengambil tindakan."

Audit internal charter harus mendefinisikan tanggung jawab fungsi audit internal untuk tindak lanjut, dan CAE harus menentukan sifat, saat, dan lingkup prosedur tindak lanjut yang tepat untuk penugasan tertentu.

D. THE CONSULTING ENGAGEMENT PROCESS

Penugasan consulting internal audit berbeda dengan penugasan assurance yaitu:

 Jika sifat dan ruang lingkup penugasan assurance ditentukan berdasaran fungsi dari internal audit, maka sifat dan ruang lingkup penugasan consulting berdasarkan persetujuan dengan pengguna layanan (customer)

 Penugasan consulting dalam sifatnya lebih bersifat discretionary (bebas dalam memilih jenis jasa) dibandingkan penugasan assurance. Jasa consulting termasuk “consul, advise,

facilitation, and training”

Proses dan tahapan penugasan consulting sama dengan assurance, yang membedakan adalah tidak semua tahapan assurance diperlukan, dan tahapan dalam consulting dilakukan secara berbeda dikarenakan tergantung dari sifat penugasannya (consul, advise, facilitation, and

training) . Tiga fase utama penugasan yang diatur dalam Standar (Internal Audit) sebagai berikut:

1. Perencanaan Penugasan

Auditor internal harus mengembangkan dan mendokumentasikan rencana untuk setiap penugasan konsulting termasuk tujuan, lingkup, waktu dan alokasi sumber daya penugasan

 IIA Standard 2200 Engagement Planning : “Auditor internal harus mengembangkan

dan mendokumentasikan rencana untuk setiap (konsultasi) keterlibatan, termasuk tujuan keterlibatan ini, ruang lingkup, waktu, dan alokasi sumber daya"

 IIA Standard 2201.C1 : "Auditor internal harus membangun pemahaman dengan

pelanggan tentang tujuan, ruang lingkup, bersangkutan, tanggung jawab, dan harapan lainnya (customer)"

 IIA Standard 2220.C1 : "Auditor internal harus memastikan bahwa lingkup

keterlibatan yang cukup memadai untuk mengatasi disepakati tujuan"

 IIA Standard 2240.C1 : "Program Kerja untuk penugasan konsultasi dapat bervariasi

2. Pelaksanaan Penugasan

"Auditor internal harus mengidentifikasi, menganalisis, mengevaluasi, dan mendokumentasikan informasi yang cukup untuk mencapai Tujuan penugasan ini" IIA

Standard 2300 Performing The Engagement 3. Mengkomunikasikan Hasil Audit/Penugasan

"Auditor internal harus mengkomunikasikan hasil dari penugasan(konsultasi)" IIA Standard

2400 Communicating Result. "Komunikasi harus mencakup tujuan dan ruang lingkup

penugasan serta kesimpulan, rekomendasi, dan rencana aksi yang dapat diterapkan" IIA

Standard 2410 Criteria for Communicating. "Komunikasi tentang perkembangan dan hasil

penugasan konsultasi akan bervariasi dalam bentuk dan isi tergantung pada sifat dari penugasan dan kebutuhan (pelanggan)" IIA Standard 2410.C1

E. Ringkasan

1. Internal auditor menyediakan dua jenis layanan yaitu layanan Assurances dan layanan consulting yang dalam penugasannya dapat fokus pada Control dan/atau fokus pada kinerja. 2. Proses penugasan dari kedua jenis layanan pada dasarnya terdiri dari 3 tahap yaitu

perencanaan, pelaksanaan dan mengkomunikasikan

3. Sifat dan lingkup penugasan Assurances ditentukan secara sepihak oleh fungsi internal audit, dan proses cenderung relatif seragam dari penugasan satu dan penugasan lain

4. Sifat dan lingkup penugasan consulting ditentukan oleh dua pihak yaitu auditor dan Customs, dan tahapan spesifik proses biasanya bervariasi tergantung penugasan.

Chapter 13

CONDUCTING THE ASSURANCE ENGAGEMENT

Kerangka Proses Conducting the Assurance Engagement

PLAN PERFORM COMMUNICATE

- Menentukan tujuan dan lingkup

engagement

- Memahami auditi, termasuk tujuan dan asersi auditi

- Identifikasi dan ases risiko

- Identifikasi key kontrol - Mengevaluasi kecukupan desain kontrol - Menyusun rencana pengujian - Mengalokasikan sumberdaya - Melakukan pengujian untuk mengumpulkan bukti - Mengevaluasi bukti yang dikumpulkan dan membuat kesimpulan - Membangun observasi dan menyusun rekomendasi - Melakukan evaluasi observasi dan proses ekskalasi - Melakukan engagement communication sementara dan pendahuluan - Membangun engagement communication final - Mendistribusikan

laporan final formal dan informal

- Melakukan monitoring dan prosedur tindak lanjut

PLANING

I. MENENTUKAN TUJUAN DAN LINGKUP ENGAGEMENT Alasan Melakukan Engagement

Tipe dan alasan-alasan melakukan engagement mungkin akan secara signifikan mempengaruhi bagaimana engagement tersebut dilakukan. Oleh karena itu, penting untuk memahami alasan-alasan melakukan engagement sebelum memulai perencanaan.

Alasan melakukan assurance engagement adalah, tetapi tidak terbatas pada hal-hal sbb: - Bagian dari rencana

Enggagment terdapat dalam internal audit plan karena risiko inheren ditemukan saat proses business risk assessment , dideteksinya risiko pada area yang diaudit terakhir kali, dan faktor lain yang relevan.

- Permintaan / compliance requirement

Untuk mengevaluasi sistem internal kontrol organisasi untuk tujuan pelaporan eksternal. Internal auditor harus memastikan bahnwa engagement didesain untuk menguji area yang tercakup dalam underlying regulations

- “Post mortem” / pasca kejadian

Menentukan apakah suatu proses efektif atau tidak. Internal auditor harus menyesuaikan pengujian dan evaluasi pada suatu event spesifik yang terjadi.

- Perubahan yang signifikan

Perubahan bisnis atau industri memerlukan modifikasi proses yang cepat dan manajemen menginginkan validasi yang cepat bahwa modifikasi tersebut didesain secara tepat menyesuaikan perubahan. Fungsi Internal auditor dapat melakukan audit controls-focused secara penuh atau fokus hanya pada kontrol yang berubah.

Menyusun Tujuan Engagement

Segera setelah suatu alasan engagment disepakati, tujuan engagment formal harus disusun. Tujuan Engagement :

- Biasanya diinyatakan dalam laporan final assurance engagement

- Apabila dinyatakan dalam cara lain, harus jelas menyebutkan assurance apa yang disediakan dalam engagement

Sebagai contoh, tujuan dapat dimulai dengan susunan sbb : - Evaluasi kecukupan desain

- Menentukan efektivitas operasi - Assess compliance

- Menentukan efektivitas dan efisiensi dari... - Assess pencapian dari...

- Menentukan kinerja dari... Lingkup Engagement

Segera setelah tujuan engagment disusun, lingkup engagment harus ditentukan. Lingkup

engagement merupakan apa yang termasuk atau yang tidak termasuk dalam engagment.

Pernyataan lingkup tersebut dapat mencakup : - Batasan proses

- In-scope VS out-scope lokasi - Subproses

- Komponen - Jangka waktu Lingkup engagment

- Memerlukan judgment profesional

- IA harus menjamin bahwa pernytaan lingkup harus untuk memenuhi tujuan engagement

- Pernyataan lingkup yang spesifik akan memungkinkan fokus tim audit internal yang lebih baik akan pengujian tertentu

- Penerima laporan akan mengenterpretasikan dengan lebih baik temuan yang ada [ada konteks tujuan engagement

Outcomes dan Hasil yang Diharapkan

 Outcome potensial dari pengujian-pengujian yang dilakukan selama engagement Tipikal ekspektasi mencakup :

- Kesalahan laporan keuangan atau ketidaktepatan klasifikasi dalam akun keuangan, saldo, atau pengungkapan

- Defisiensi kontrol

- Kekurangan pencapaian tujuan, yang disebabkan oleh defisiensi kontrol atau ketidakcukupan kinerja

- Inefisiensi, yang disebabkan sumber daya tidak dipergunakan dengan cara yg optimal - Keadaan out-of compliance, ketika undang-undang, peraturan, atau kebijakan tidak

diterapkan secara konsisten

 Ekspektasi auditi sesuai engagement communications

Memahami bentuk dan isi final communication membantu IA menjamin bahwa semua informasi yang dibutuhkan telah dikumupulkan selama engagement.

Tipe umum communcation meliputi :

- Full scope. Tipikal Pelaporan Internal adalah disistribusikan secara luas, oleh karena itu

memerlukan cukup bukti yang tepat untuk mendukung kesimpulan dan rekomendasi untuk peningkatan.

- Internal memoranda dapat digunakan untuk pendistribusian yang terbatas

- Laporan untuk keperluan pihak ke tiga harus diasumsikan bahwa pihak tersebut kurang familiar dengan kebijakan dan prosedur yang khas untuk organisasi, dan oleh karena itu memerlukan tingkat detail yang lebih untuk menjamin pembaca mengerti sifat dan konteks observasi dan rekomendasi

- Terkadang, tingkat confidentiality yang lebih tinggi dibutuhkan untuk engagement tertentu. Hal seperti itu harus didiskusikan terlebih dahulu dengan manajemen proses untuk menjamin bahwa hasil akhir akan mendukung kebutuhan tingkat confidientality tersebut.

II. MEMAHAMI AUDITI

Menentukan Tujuan-tujuan dari Auditi

Memahami suatu proses dimulai dengan menentukan tujuan dari proses utama. Tujuan pada level proses (prosses level) dapat dijelaskan sbb :

 Tujuan operasi :

- Tipe tujuan yang paling umum tujuan pada proses level - Bisanya menentukan latar belakang mengapa proses itu ada - Biasanya merupakan tata kelola atau task-oriented

- Sebagai hasil, kebanyakan fokus pada keakuratan, ketepatan waktu, kelengkapan, ataau atribut kontrol

- Tambahan, biasanya fokus pada menjamin efektifitas dan efisiensi operasi dan pengamanan aset

 Tujuan pelaporan pada level proses

- Didesain untuk memenuhi kebutuhan pelaporan organisasi, baik internal maupun eksternal

 Tujuan kepatuhan (Compliance objectives) pada level proses

- Berhubungan dengan kepatuhan terhadap undang-undang dan peraturan eksternal, kebijakan internal, atau kontrak

 Tujuan strategis pada level proses

- Disusun secara khusus agar sesuai dengan tujuan strategis perusahaan

 Other objectives

- Untuk proses spesifik yang berhubungan dengan inisiatif departemen masing-masing

Pertanyaan2 yang dapat digunakan untuk menentukan/mengetahui tujuan dari proses utama (key process objectives) :

- Mengapa proses tersebut ada? (apa tujuan utamanya?)

- Tujuan strategis organisasi mana yang akan terpengaruh dan bagaimana?

- Inisatif apa yang dilakukan/harus dilakukan proses tersebut untuk membantu organisasi mencapai tujuan strategisnya?

- Apa proses ini memberikan sesuatu pada organisasi, tanpa organisasi akan memiliki waktu yang sulit untuk menjadi sukses?

- Pada akhir hari/minggu/bulan/tahun, apa yang mendorong karyawan untuk menyelesaikan dengan pekerjaan mereka ?

- Apa prestasi yang cenderung didapatkan karyawan diakui oleh manajemen atau pelanggan internal?

Mengumpulkan Informasi

Jenis dan sumber informasi yang relevan

Titik awal untuk memahami suatu proses adalah mereview dokumentasi yang ada. Contoh : - Kebijakan yang berhubungan dengan proses

- Manual prosedur

- Organizational charts atau informasi serupa yang menunjuka hubungan/aliran jumlah

karyawan dan pelaporan utama

- Job description pihak yang terlibat dalam proses

- Process map atau flowcharts yang menggambarkan aliran keseluruhan proses

- Penjelasan naratif pekerjaan kunci/utama atau bagian dari suatu proses

- Informasi yang relevan berhubungan dengan undang-undang dan peraturan yang mempengaruhi proses

- Dokumen lain yang dibuat untuk mendukung pelaporan yang diperlukan untuk efektifitas dari sistem pengendlian internal

Prosedur Analitis

- Suatu cara IA menerapkan high-level assessment yang dapat mengungkapkan aktivitas proses yang menuntun perhatian yang lebih, dan oleh karena itu memerlukan pengujian yang lebih detail.

- Termasuk didalamya mereview dan mengevaluasi informasi yang ada baik finansial maupun non finansial untuk menentukan apakah konsisten dengan ekpektasi yang telah ditetapkan Data Analysis Using

Computer-assisted Audit Techniques (CAATs)

- Penggunaan teknologi seperti software audit, system audit yang expert, test data, software

tracing dan mapping yang membantu auditor dalam melakukan pengujian pada system data

dan informasi yang terkomputerisasi.

- Disamping sebagian besar analisis data dilakukan untuk menguji efektifitas suatu proses, beberapa pengujian data analisis dapat menyediakan informasi yang berguna selama proses perencanaan

- Analisis data dapat menyediakan informasi tentang populasi transaksi yang dapat dimanfaatkan ketika menentukan pendekatan internal audit.

Analisis kontrol level entitas

Kontrol level entitas biasanya dievaluasi berdasarkan luasnya organisasi pada periodic interval (ex: tahunan). Oleh karena itu, bisanya tidak diperlukan untuk melakukan assessment efektivitas dari

kontrol level entitas untuk setiap engagement. Akan tetapi auditor internal harus mempertimbangkan hasil assessment kontrol level entitas ketika merencanakan individual

engagement untuk menjamin pendekatan penguianya relevan dan efisien

Mendokumentasikan alur proeses

Dokumentasi alur proses akan memudahkan review kertas kerja oleh supervisor internal auditor atau yang lainya. Bentuk yang paling umum: Flowchart (High-level atau detail) dan narrative memoranda.

Process map : Menggambarkan luasnya input, aktivitas, workflow, dan hubungannya dengan

proses dan output lain. Framework untuk memahami aktivitas dan subproses

Flowchart : mencakup tambahan informasi, biasanya menggambarkan sistem komputer dan aplikasi, alur dokumen, detail risiko dan pengendalian, langkah manual atau otomatis, waktu yang dibutuhkan daalam proses, pelaksana langkah kunci, dan informasi tambahan lain yang dibutuhkan untuk membantu pereviu memahami proses dan alurnya.

Narrative memoranda : Memberikan informasi tentang alur proses hanya menggunakan kata tulis.

Biasanya digabungkan dengan flowchart untuk membuat dokumentasi bentuk hybrid.

Proses map berguna pada level bisnis, sedangkan flowchart dan hybrid documentation pada detail proses.

High-level flowchart

- Menggambarkan luasnya input, tugas, alur kerja, dan output.

- Membantu pereviu memahami keseluruhan proses, sistem, laporan, dan hubunganya dengan proses dan subproses lain

- Biasanya digambarkan seperti process map, dengan informasi yang ditambahkan

Detailed Flowchart

- Mendokumentasikan secara lebih spesifik input, tugas, actions, sistem, keputusan, dan output.

- Contoh, dapat memasukan semua atau beberapa informasi berikut : Key risk, key control,

indiviudal/position performing, timing, elapsed time

Narrative Memoranda

Situasi yang tepat untuk menggunakan narrative memoranda : - Prosesnya simpel, gambaran visual tidak bernilai penting

- Langkahnya rumit, sulit untuk mendeskripsikan secara efektif dalam ruang yang terbatas yang ada pada simbol2 flowchart

- Process owner request

Mengidentifikasi indikator kinerja kunci (KPI)

KPI: Metrik atau bentuk lain pengukuran apakah proses atau kerja individu dioperasikan dengan toleransi yang telah ditentukan sebelumya.

Karakteristik KPI yang baik : - Relevant

- Measurable - Available

- Sesuai degan key objective proses (ex: informasi pembayaran ganda diketahu karena terdapat tujuan untuk tidak terdapat pembayaran ganda)

- Articulated, dapat dilafakan/disampaikan kepada orang yang terlibat dalam proses

Mengevaluasi risiko fraud pada level proses

Sebelum memulai proses risk assessment formal, penting untuk mengevaluasi potensi skenario fraud dalam proses, yang meliputi 3 langkah :

1. Mengidentifikasi potensi skenario fraud. Ex: brainstorming 2. Memahami potensi dampak fraud

3. Menentukan apakah akan dilaukan pengujian untuk risiko fraud spesifik

Tidak dimaksudakn untuk mengidentifikasi terjadinya fraud, tapi mengevaluasi kemungkinan terjadinya skenario fraud

III. IDENTIFIKASI DAN PENILAIAN RISIKO Mengidentifikasi skenario risiko pada level proses

Tujuan: menjawab pertanyaan “Apa yang bisa terjadi yang akan mencegah pencapaian tujuan pada masing-masing tingkat proses?”

Langkahnya:

1. Memilih satu tujuan pada level proses 2. Brainstorm hambatan-hambatan

3. Lanjutkan langkah an tindakan untuk tujuan level-proses yang tersisa. 4. Mengkategorikan dan mnegkombinasikan skenario risiko yang ang serupa Menentukan risiko pada level proses

Risiko adalah kemungkinan terjadinya peristiwa yang memiliki efek merugikan dalam rangka pencapaian tujuan.

Pendekatan optimal dalam menentukan risiko tergantung pada budaya dan “risk language” organisasi.Suatu pendekatan yang umum dan efektif untuk menentukan risiko adalah menggunakan “cause and effect” protocol. Dengan pendekatan ini, risiko dimulai dengan “cause” dan dilanjutkan ke “efffect”

Setelah risiko ditentukan, risiko terssebut harus dihubungkan dengan tujuan pada level proses untuk menjamin terdapat hubungan antara tiap risiko dan tujuan tersebut.

Tugas terakhir adalah memvalidasi definisi “speak the leanguge” pegawai pada level proses. Internal auditor harus mensharing dan mendiskusikan definisi risiko dengan managemen pada level proses dan pegawai untuk memvalidasi bahwa daftar risiko tersebut telah lengkap dan definisinya sesuai. Evalusai Dampak dan Keterjadian Risiko

Ketika risiko telah diidentifikasi dan ditetapkan, auditor kemudian siap untuk melakukan risk assessment.Tujuan melakukan evaluasi ini adalah untuk membantu mengidentifikasi risiko yang mempunyai efek paling besar pada pencapaian tujuan.

Langkah yang dilakukan dalam melakukan risk assessment

1) Menetapkan impact dari berbagai outcome yang terkait dengan masing-masing risiko 2) Memperkirakan keterjadian bahwa setiap dampak risiko akan terjadi

3) Menggabungkan penilaian dari impactdan tingkat keterjadian menjadi penilaian risiko tunggal

Nomer 9 dan 8 menunjukkan risiko tinggi, nomor 5,6,7, menunjukkan risiko sedang, nomor 1,2,3,4 menunjukkan risiko rendah

Memahami Risk Tolerance Management

Risk tolerance : Tingkatan atas ukuran dan jenis risiko yang dapat diterima manajemen dalam usaha pencapaian tujuan, yang harus sejalan dengan risk apetite organisasi.

Langkah-langkah untuk memahami tingkatan risk tolerance suatu manajemen : 1. Identifikasi kemungkinan risiko hasil

Risikomenggambarkan jarak atas kemungkinan hasil.Sedangkan hasil biasanya diukur secara financial, mungkin ada juga risiko lainnya yang tidak terungkap dengan pengukuran

2. Memahami tingkat toleransi yang ditetapkan

Setiap tingkatan toleransi terlihat dari pengukuran pada dokumentasi KPI, capaian kinerja individu, dan komunikasi lainnya.

3. Menilai level toleransi atas hasil yang belum ditetapkan IV. IDENTIFIKASI KEY CONTROL

Key control adalah sebuah aktifitas yang dirancang untuk mengurangi risiko terkait dengan tujuan

bisnis yang penting.

Untuk melakukan hal ini, sangat penting untuk memahami berbagai macam tipe control yang mungkin saja merupakan key control pada tingkatan proses yang dijalankan. Beberapa contoh control yang telah dijalankan :

1. Approving _ memerlukan otorisasi saat melakukan transaksi

2. Calculating _ menghitung atau melakukan penghitungan kembali atas hasil dari suatu data 3. Documenting_ terkait dengan menjaga sumber informasi atau mendokumentasikan

pertimbangan keputusan 4. Examining_ melakukan verifikasi

5. Matching_melakukan perbandingan dari dua atribut yang berbeda

6. Monitoring_melakukan pemeriksaan untuk memastikan kegiatan yang dilaksanakan 7. Restricting_ tidak mengijinkan melakukan tindakan terlarang

8. Segregating_memisahkan pelaksana pekerjaan untuk menghindari tindakan yang tidak diinginkan

9. Supervising_melakukan pengawasan untuk memastikan kegiatan dilaksanakan sesuai dengan rencana

Hal-hal penting dalam menetapkan key control :

1. Internal auditor harus memiliki pemahama yang jelas mengenai proses pencapaian tujuan 2. Konsekuensi dari kurangnya control harus dievaluasi

3. Control tambahan harus dilakukan apabila ada indikasi kegiatan tidak dijalankan sesuai key control

4. Efek dari suatu control terhadap control lainnya harus dipertimbangkan 5. Dampak dari control entitas juga harus dipertimbangkan

6. Control yang berlebihan,atau sesuatu yang tidak efektif harus diubah atau dihilangkan V. EVALUASI KECUKUPAN DESAIN KONTROL

Menetapkan apakah key control dirancang dengan cukup untuk mengurangi risiko individual dari sebuah proses menjadi risiko yang diterima

Gap yang teridentifikasi harus didiskusikan dengan manajemen Evaluasi kecukupan rencana pengendalian :

a. Rencana dinyatakan cukup, tidak ada perbedaan yang signifikan b. Rencana dinyatakan cukup, terdapat perbedaan

VI. MEMBUAT RENCANA PENGUJIAN

Digunakan untuk mengumpulkan kecukupan bukti yang sesuai untuk mendukung evaluasi dari seberapa efektif key control dilaksanakan.

Langkah yang dilakukan:

a. Menetapkan control mana yang cukup penting untuk pengujian

Fokus utama melakukan pengujian adalah mengetahui apakah key control dilaksanakan cukup efektif untuk memastikan proses risiko setiap tingkatan diatur dengan cukup. Dalam pengujian tersebut ditetapkan control yang dipilih untuk diuji

b. Mengembangkan pendekatan untuk menguji control-control tersebut

Pendekatan pengujian digunakan untuk menetapkan sifat-beda sifat pengujian berbeda tingkat keyakinan yang diberikan, luasan-control dapat diuji secara parsial atau keseluruhan, dan waktu yang tepat untuk melakukan pengujian-pengujian dapatdilakukan pada waktu yang berbeda.

c. Dokumentasi pertimbangan mendukung pemilihan audit tes Salah satu contoh rencana pengujian

VII. MENGEMBANGKAN PROGRAM KERJA

Program Kerja adalah sebuah dokumen yang berisi rincian prosedur yang arus diikuti selama pemeriksaan, didesain untuk mencapai tujuan pemeriksaan.