BAB 6 MENGEMBANGKAN KEMAMPUAN CAATT
6.6 Menjamin Kualitas
Peran dan tanggung jawab dapat didefinisikan lebih lanjut sebagai berikut:
• Auditor bertanggung jawab untuk menetapkan rencana analisis yang menguraikan tujuan audit yang akan ditangani dan analisis spesifik yang akan dilakukan, dan untuk memelihara dokumentasi yang tepat untuk mendukung analisis yang dilakukan.
Auditor juga bertanggung jawab untuk melakukan analisis dan meninjau serta menilai hasilnya.
• Pemimpin tim bertanggung jawab untuk menyetujui rencana analisis dan untuk meninjau dokumentasi, analisis, dan hasil.
• Manajer audit bertanggung jawab untuk memastikan bahwa analisis telah direncanakan dan ditinjau secara memadai untuk kelengkapan dan akurasi.
• Manajemen senior harus, atas pertimbangannya sendiri, meminta tinjauan QA atas analisis yang dilakukan oleh audit. Tinjauan ini akan mencakup tinjauan kriteria terhadap populasi audit yang dipilih, rencana analisis, dokumentasi yang merinci analisis yang dilakukan, analisis yang dilakukan, dan hasil yang diperoleh.
• Analisis dan Pemantauan Dukungan Informasi (ISAM) akan melakukan dan melaporkan tinjauan seperti yang diminta oleh manajemen senior. Selain itu, ISAM akan melakukan tinjauan QA yang mereka rasa sesuai, berdasarkan kompleksitas analisis atau signifikansi potensi kesalahan.
Ada tiga tipe dasar pengendalian untuk analisis data: preventif, detektif, dan korektif.
Metodologi QA harus berisi campuran dari ketiga jenis kontrol:
• Kontrol preventif mengurangi frekuensi kesalahan dalam analisis yang dilakukan oleh auditor.
• Kontrol detektif tidak mencegah terjadinya kesalahan, melainkan menyorotinya setelah fakta dan membantu mencegahnya terjadi di masa depan.
• Kontrol korektif membantu dalam mengidentifikasi dan menentukan penyebab dan mengoreksi kesalahan atau kelalaian dalam analisis.
Kontrol Pencegahan untuk CAATTs
Jenis paling dasar dari pengendalian pencegahan adalah pengetahuan. Auditor yang terlibat dalam analisis file data harus memiliki pemahaman yang baik tentang file data dan perangkat lunak audit, yang diperoleh melalui pelatihan dan pengalaman. Banyak organisasi audit menawarkan pelatihan staf baru dalam audit, tetapi hanya sedikit yang menawarkan kepada auditor baru pelatihan apa pun yang ditujukan untuk memahami sistem informasi utama yang digunakan oleh organisasi. Berapa banyak organisasi audit yang memiliki pemahaman yang baik tentang sistem keuangan perusahaan? Berapa banyak organisasi audit yang menggunakan laporan standar yang dikembangkan oleh konsultan luar, tanpa memahami cara kerjanya atau mengetahui jenis transaksi apa yang dipilih atau, lebih buruk lagi, tanpa mempertahankan rutinitas otomatis saat modifikasi dilakukan pada aplikasi?
Dalam kasus ini, outsourcing audit dapat terjadi secara default.
Semua auditor umum harus menerima pelatihan SI, termasuk literasi komputer dan pelatihan khusus tentang paket perangkat lunak audit. Pelatihan SI yang diperlukan harus diidentifikasi sebagai bagian dari proses tinjauan kinerja dan harus direncanakan dengan baik.
Idealnya, pelatihan perangkat lunak audit akan dilakukan dengan menggunakan data dari aplikasi perusahaan dan akan membahas masalah jenis audit.
Sebelumnya dalam bab ini, kegunaan pembentukan kelompok kerja CAATT untuk menentukan aplikasi mana yang akan didukung oleh CAATT telah didiskusikan. Kelompok kerja juga bertanggung jawab untuk mengembangkan dan mengkomunikasikan pemahaman tentang aplikasi. Ini termasuk mengidentifikasi bidang utama dan memberikan definisinya, memastikan jadwal pembaruan (untuk memastikan Anda memiliki data terbaru), dan menentukan sumber dan penggunaan data yang terdapat dalam aplikasi.
Pengalaman dengan aplikasi perusahaan dapat diperoleh melalui paparan sistem ini.
Selanjutnya, produksi katalog CAATT, yang menggambarkan sistem utama (keuangan, pembayaran, inventaris, personel, dan aplikasi lainnya), oleh kelompok kerja CAATT akan sangat berharga. ISAM, jika ada, juga harus mendiskusikan semua aspek ekstraksi dan pengunduhan data dengan tim audit pada saat permintaan diajukan dan ketika file tersedia untuk tim audit, untuk memastikan bahwa pengujian kesalahan sintaksis dilakukan.
Kontrol preventif lainnya adalah keterlibatan berkelanjutan individu dengan keahlian dalam audit dan informatika. Seperti disebutkan, ini dapat dicapai dengan pembentukan ISAM dengan mandat untuk memberikan dukungan dan saran yang berkelanjutan. Kelompok ini harus dilibatkan dalam diskusi mengenai pendekatan yang akan diambil oleh tim audit dalam menganalisis file data. Mereka juga harus terlibat dalam ekstraksi dan pengunduhan awal, memastikan bahwa semua catatan yang diperlukan diekstraksi dan bahwa tim audit memiliki pemahaman yang baik tentang file data. Keterlibatan ISAM dapat memperbaiki masalah potensial sebelum banyak waktu dihabiskan untuk analisis dan sebelum hasil audit yang tidak valid dirilis ke klien.
Dalam organisasi audit yang memiliki unit pendukung yang diformalkan, unit tersebut biasanya dilibatkan pada awal audit. ISAM akan meninjau tujuan audit dan rencana audit untuk memastikan bahwa teknologi tidak hanya digunakan secara optimal, tetapi juga analisis yang diusulkan lengkap dan akurat. Jika analisisnya standar dan dapat digunakan lagi, baik untuk audit lain atau untuk kerangka waktu yang berbeda (tahun depan atau bulan depan), perintah yang diperlukan dapat ditangkap dalam skrip atau makro. Paket perangkat lunak audit memungkinkan Anda untuk menangkap serangkaian perintah dan menjalankannya sebagai file batch. Hal ini memastikan konsistensi analisis lintas auditor dan lintas waktu.
Kontrol Detektif untuk CAATT
Fitur utama dari kontrol detektif adalah perbandingan apa yang terjadi dengan apa yang seharusnya terjadi. Dalam kebanyakan kasus, ini berarti membandingkan hasil analisis dengan hasil yang diharapkan atau dengan sumber informasi lain. Kontrol detektif sangat berguna dalam dua bidang: ekstraksi dan pengunduhan file dan analisis data.
Salah satu potensi sumber kesalahan sintaksis adalah ekstraksi dan pengunduhan file dari mainframe ke mikrokomputer. Dari waktu ke waktu, kesalahan dalam perangkat lunak atau perangkat keras komunikasi akan menyebabkan catatan dihapus atau data menjadi rusak. Selain itu, interpretasi tipe data oleh perangkat lunak audit mungkin tidak sesuai dengan aplikasi mainframe. Salah satu kontrol detektif dasar—yang jelas bagi auditor—adalah total kontrol. Memverifikasi jumlah catatan, total dolar, ukuran file, dan sebagainya dari file komputer mikro dengan file mainframe akan memberikan indikasi integritas file yang diunduh. Jika memungkinkan, Anda harus memeriksa semua unduhan dengan laporan sistem.
Ini bisa berupa laporan standar yang dihasilkan oleh aplikasi atau laporan ad hoc yang dijalankan untuk audit.
Misalnya, dalam melakukan penelaahan atas pembayaran lembur, auditor dapat:
• Ekstrak semua pembayaran lembur dari sistem pembayaran dan jalankan laporan untuk meringkas pembayaran lembur berdasarkan divisi menggunakan perangkat lunak mainframe
• Unduh file yang diekstrak dan buat ringkasan berdasarkan divisi dan bandingkan hasilnya dengan laporan yang dihasilkan di mainframe
• Bandingkan laporan ringkasan dengan laporan standar yang dihasilkan oleh sistem pembayaran untuk manajemen
Terlepas dari kenyataan bahwa CAATT mempromosikan penggunaan komputer untuk membantu mengotomatisasi kontrol sintaksis, mereka dapat berguna untuk memeriksa sampel transaksi terhadap catatan manual untuk menguji secara semantik untuk korespondensi dengan kenyataan. Sebagai aturan umum, bila memungkinkan, carilah verifikasi independen atas hasil analisis audit. Anda bahkan dapat membagikan hasilnya dengan auditor lain atau pemrogram aplikasi untuk memastikan bahwa Anda tidak melewatkan materi apa pun. ISAM juga dapat menjadi sumber yang berharga dalam memastikan validitas logika yang digunakan.
Jenis kedua dari kontrol detektif adalah peer dan tinjauan manajemen analisis.
Sebagian besar paket perangkat lunak audit memiliki fitur log, dengan semua perintah dan hasil dari perintah yang diambil dalam file log. File log ini dapat menjadi bagian dari kertas kerja untuk audit dan integritas analisis dapat ditinjau dengan memeriksa file log.
Kontrol Korektif untuk CAATTs
Penting untuk memastikan bahwa tidak hanya penggunaan teknologi yang optimal, tetapi juga analisis yang diusulkan lengkap dan akurat. Secara umum, lebih baik untuk mencegah dan mendeteksi kesalahan yang dekat dengan sumbernya. Ketika kesalahan dibuat, penyebab yang mendasari harus ditentukan dan tindakan korektif diambil untuk mencegah kesalahan terjadi lagi dan lagi.
ISAM dapat berperan dalam mengidentifikasi penyebab yang mendasari masalah yang berulang. Jenis masalah ini dapat disorot melalui komunikasi reguler dengan auditor.
Selanjutnya, kursus pelatihan dapat disesuaikan untuk mengatasi masalah spesifik yang telah diidentifikasi sebagai sumber kesalahan. Misalnya, jika sistem keuangan telah digunakan secara tidak benar karena alasan tertentu, hal ini dapat diatasi saat pelatihan tentang sistem tersebut diberikan kepada auditor baru. Metodologi QA dan laporan terkait juga akan berfungsi sebagai kontrol korektif. Semua hasil tinjauan QA harus tersedia untuk staf audit.
Ulasan dan Laporan Jaminan Kualitas
Atas permintaan manajemen senior, tinjauan logika yang mendukung analisis yang dilakukan untuk audit tertentu harus dilakukan. Ini akan dibatasi untuk mengomentari akurasi sintaksis, bukan kecukupan semantik atau pragmatis dari analisis yang dilakukan. Hasil dari semua tinjauan QA formal yang diminta oleh manajemen senior harus dipresentasikan kepada manajemen senior, dan hasil tinjauan file harus didiskusikan dengan tim audit dan manajer audit yang sesuai. Jelas penting untuk menyadari tiga dimensi kontrol dan pengujian, karena arah dan intensitas pengujian berbeda untuk masing-masing.