MELAKUKAN JAMINAN KETERLIBATAN

 

Melakukan Jaminan Keterlibatan

MENENTUKAN TUJUAN KETERLIBATAN DAN SCOPE

Alasan Melakukan Engagement. Ada sejumlah alasan untuk melakukan keterlibatan jaminan, termasuk, namun tidak terbatas pada:

  • Keterlibatan ini diidentifikasi dalam rencana audit internal tahunan karena risiko yang melekat diidentifikasi selama proses penilaian risiko bisnis, risiko terdeteksi terakhir kali daerah itu diaudit, dan faktor-faktor lain yang relevan.
  • Keterlibatan adalah bagian dari kebutuhan tahunan untuk mengevaluasi sistem organisasi pengendalian intern untuk tujuan pelaporan eksternal, seperti AS Sarbanes-Oxley Act of 2002 Pasal 404 persyaratan di Amerika Serikat dan hukum pelaporan keuangan serupa di negara lain.
  • Sebuah acara baru-baru ini (misalnya, bencana alam, penipuan, atau kebangkrutan pelanggan) telah menguji proses di bawah kondisi yang tidak biasa dan manajemen menginginkan “post mortem” untuk menentukan di mana proses itu efektif dan mana tidak
  • Perubahan dalam bisnis atau industri membutuhkan modifikasi langsung ke proses dan manajemen menginginkan validasi cepat yang modifikasi ini tampaknya dirancang tepat untuk mengatasi perubahan.

    • Menetapkan Tujuan Engagement. Tujuan keterlibatan formal harus ditetapkan. Tujuan-tujuan ini, yang biasanya dinyatakan dalam jaminan komunikasi keterlibatan akhir, mengartikulasikan khusus apa keterlibatan sedang mencoba untuk menyelesaikan. Sementara tujuan dapat dinyatakan dalam berbagai cara, harus jelas apa jaminan pertunangan akan menyediakan.

    Lingkup Keterlibatan. Ruang lingkup keterlibatan harus ditentukan. Sejak keterlibatan mungkin tidak mencakup segala sesuatu yang dapat diaudit berkaitan dengan tujuan keterlibatan, pernyataan ruang lingkup khusus harus menyatakan apa atau tidak termasuk dalam keterlibatan. Pernyataan lingkup tersebut dapat mencakup:

    • Batas dari proses
    • Dalam-lingkup dibandingkan out-of-lokasi
    • Subproses.
    • Komponen
    • Kerangka waktu

    Hasil dan Hasil yang Diharapkan. Hasil potensial dari pengujian yang akan dilakukan selama perikatan dan Penjelasan auditee mengenai komunikasi perikatan- Memahami bentuk dan isi komunikasi akhir membantu internal Anak perusahaan, unit bisnis, auditor memastikan bahwa semua informasi yang diperlukan dikumpulkan selama perikatan.

    Menentukan Tujuan Auditee Memahami proses dimulai dengan menentukan tujuan proses utama. Ini membantu auditor internal memahami mengapa proses itu ada, yang akan menjadi penting ketika mengidentifikasi dan menilai risiko dan kontrol tingkat proses.

    • Tujuan operasi adalah jenis tujuan yang paling umum di tingkat proses dan biasanya menentukan alasan proses itu ada
    • Tujuan pelaporan pada tingkat proses adalah tujuan yang dirancang untuk memenuhi kebutuhan pelaporan organisasi, baik internal maupun eksternal.
    • Tujuan kepatuhan pada tingkat proses mungkin terkait dengan kepatuhan terhadap hukum dan peraturan eksternal, kebijakan internal, atau kontrak.
    • Tujuan strategis pada tingkat proses adalah tujuan yang dibuat untuk menyelaraskan secara khusus dengan tujuan strategis organisasi.
    • Tujuan lain juga dapat dibuat untuk proses khusus yang terkait dengan inisiatif departemen individu.
    • Mengapa proses ini ada (yaitu, apa tujuan utamanya)?
    • Manakah dari tujuan strategis organisasi yang dipengaruhi atau dipengaruhi dan bagaimana?
    • Inisiatif apa yang/harus dilakukan proses untuk membantu organisasi mencapai tujuan strategisnya?
    • Apa yang disediakan oleh proses ini bagi organisasi, yang tanpanya organisasi akan mengalami kesulitan untuk berhasil?
    • Pada akhir hari/minggu/bulan/tahun, apa yang memberi karyawan rasa pencapaian dengan pekerjaan mereka?
    • Prestasi apa yang cenderung membuat karyawan diakui oleh manajemen atau pelanggan internal?

      • Mengumpulkan informasi. Auditor internal harus mempertimbangkan berbagai jenis dan sumber informasi relevan yang tersedia. Selain itu, analisis data dan kontrol tingkat entitas dapat membantu memberikan tambahan

      Jenis dan Sumber Informasi yang Relevan Titik awal untuk memahami suatu proses adalah meninjau dokumentasi yang sudah ada.

      Prosedur Analitis Memahami tugas dalam suatu proses, seperti yang dijelaskan di atas, merupakan langkah penting dalam merencanakan keterlibatan. Namun, tugas-tugas ini menggambarkan cara proses dirancang untuk dilakukan, tetapi mereka memberikan sedikit indikasi tentang seberapa efektif mereka dilakukan.

      Analisis Data Menggunakan Computer-Assisted Audit Techniques (CAATs). Analisis data melibatkan kompilasi dan analisis data dalam jumlah besar, biasanya melalui penggunaan teknologi. Sementara sebagian besar analisis data dilakukan untuk menguji efektivitas suatu proses, beberapa pengujian analisis data dapat memberikan informasi yang berguna selama proses perencanaan. Analisis data dapat memberikan informasi tentang populasi transaksi yang terbukti berguna ketika menentukan pendekatan audit internal.

      Analisis Kontrol Tingkat Entitas Meskipun penting untuk memahami tugas dan kontrol tingkat proses, penting juga untuk memahami bagaimana kontrol tingkat entitas dapat memengaruhi kinerja suatu proses. Kekurangan dalam pengendalian tingkat entitas dapat menghindari pengendalian yang dirancang dengan baik dalam suatu proses dan, pada kenyataannya, menjadi risiko yang melekat pada operasi pengendalian yang efektif pada tingkat proses.

      Mendokumentasikan Alur Proses. Untuk menunjukkan bahwa auditor internal memahami bagaimana proses sebenarnya beroperasi, langkah-langkah kunci dalam proses harus didokumentasikan. Proses pendokumentasian yang rendah ini akan memudahkan penelaahan kertas kerja oleh atasan auditor internal atau pihak lain. Cara paling umum untuk mendokumentasikan proses terendah adalah bagan rendah (tingkat tinggi atau terperinci) dan memo naratif. Sebelum memberikan deskripsi singkat masing-masing, penting untuk memahami beberapa perbedaan halus antara dokumentasi proses terendah.

      • peta proses,seperti yang dijelaskan dalam Bab 5, mencoba untuk menggambarkan masukan yang luas, kegiatan, alur kerja, dan interaksi dengan proses dan keluaran lainnya. Mereka menyediakan kerangka kerja untuk memahami kegiatan dan subproses.
      • diagram alur termasuk informasi tambahan, sering menggambarkan sistem dan aplikasi komputer, dokumen terendah, risiko dan kontrol terperinci, langkah manual versus otomatis, waktu yang berlalu untuk langkah-langkah dalam proses, pemilik langkah-langkah utama, dan informasi tambahan apa pun yang diperlukan untuk membantu peninjau memahami proses dan rendah.
      • Memorandum Narasimemberikan informasi tentang proses rendah hanya menggunakan kata-kata tertulis; tidak ada upaya untuk menggunakan simbol untuk menggambarkan yang rendah. Adalah umum untuk menggabungkan bagan rendah dengan informasi naratif tambahan untuk membuat bentuk dokumentasi hibrida.
      • Diagram Alir Tingkat Tinggi Tujuan dari diagram alur tingkat tinggi adalah untuk menggambarkan masukan, tugas, alur kerja, dan keluaran yang luas. Diagram rendah tingkat tinggi membantu peninjau memahami keseluruhan aktivitas, sistem, laporan, dan antarmuka dengan proses atau subproses lain.

      FLOWCHART TINGKAT TINGGI: PROSES PENGELUARAN TUNAI


      FLOWCHART RINCI

      Mengidentifikasi Indikator Kinerja Utama Setelah memperoleh pemahaman tentang alur proses, akan sangat membantu bagi auditor internal untuk juga memahami bagaimana manajemen tingkat proses memantau kinerja.

      Ada karakteristik tertentu dari indikator kinerja utama yang baik. Mereka seharusnya:

      • Relevan, yaitu mengukur apa yang penting (misalnya, pengeluaran akurasi) sebagai lawan dari apa yang dapat diukur (misalnya, nilai dolar dari pencairan yang diproses).
      • Terukur, yaitu ada informasi yang dapat diukur untuk menentukan keberhasilan kinerja (misalnya, informasi pencairan yang tidak akurat dilacak dan disusun untuk memantau keakuratan pengeluaran).
      • Tersedia, yaitu, informasi yang dibutuhkan tersedia pada waktu yang tepat dan kepada orang yang tepat, memungkinkan pengukuran kinerja proses secara tepat waktu (misalnya, statistik pencairan tersedia untuk manajer utang usaha pada penutupan setiap siklus pembayaran).
      • Sejajar dengan tujuan utama bisnis dan proses (misalnya, duplikat informasi pembayaran ditangkap karena ada tujuan untuk tidak memilikinya).
      • Diartikulasikan kepada orang-orang yang terlibat dalam proses sehingga mereka memahami apa yang diukur dan pentingnya mencapai tingkat kinerja tersebut (misalnya, karyawan bagian hutang dapat melihat statistik secara tepat waktu dan menyesuaikan kinerja mereka).

        • Mengevaluasi Risiko Penipuan Tingkat Proses:

        1. Identifikasi skenario penipuan potensial
        2. Memahami potensi dampak penipuan
        3. Tentukan apakah akan menguji risiko penipuan tertentuMENGIDENTIFIKASI DAN MENILAI RISIKO

          Mengidentifikasi Skenario Risiko Tingkat Proses Brainstorming skenario risiko yang mungkin. Berikut ini memberikan garis besar bagaimana hal ini dapat dilakukan :

          1. Pilih satu tujuan tingkat proses
          2. Brainstorm hambatan (peristiwa, masalah, keadaan, dll) yang mungkin mengancam pencapaian tujuan
          3. Lanjutkan latihan untuk tujuan tingkat proses yang tersisa
          4. Karena beberapa skenario risiko akan serupa di seluruh tujuan tingkat proses, kategorikan dan gabungkan skenario risiko yang serupa. Alasan untuk menggabungkan skenario risiko serupa akan menjadi lebih jelas dalam tugas berikutnya, Mendefinisikan Risiko Tingkat Proses.Mendefinisikan Risiko Tingkat Proses. Risiko adalah deskripsi yang lebih luas dari penyebab dan efek dari peristiwa tersebut. Tugas selanjutnya dalam menilai risiko tingkat proses adalah menentukan risiko yang relevan. Ada banyak cara untuk mendefinisikan risiko. Pendekatan yang optimal tergantung pada budaya dan “bahasa risiko” organisasi. Namun, terlepas dari pendekatan unik yang mungkin ada dari satu organisasi ke organisasi berikutnya, penting untuk tetap konsisten. Kurangnya konsistensi dapat mempersulit risiko untuk dipahami secara luas di seluruh organisasi.

            Mengevaluasi Dampak dan Kemungkinan Risiko. menentukan potensi dampak dan kemungkinan setiap risiko. Tujuan evaluasi ini adalah untuk membantu mengidentifikasi risiko yang akan memiliki efek merugikan terbesar pada pencapaian tujuan tingkat proses. Risiko-risiko semacam itu pantas mendapat perhatian paling besar selama perikatan penjaminan.

            Memahami Toleransi Risiko Manajemen. Untuk mendapatkan pemahaman tentang tingkat toleransi risiko manajemen, tiga langkah berikut harus dilakukan: Identifikasi kemungkinan hasil risiko, Memahami tingkat toleransi yang ditetapkaN, Kaji tingkat toleransi untuk hasil yang belum ditetapkan

      Ekspektasi Risiko dianggap berdampak tinggi karena kurangnya arahan yang memadai dan pengawasan dari manajemen senior dapat mengakibatkan pengeluaran material yang dilakukan dengan cara yang tidak pantas atau curang. Risiko ini dianggap kemungkinannya rendah karena ada banyak contoh kebijakan dan prosedur yang baik yang mengatur kegiatan pencairan dana, dan manajemen senior kemungkinan besar tidak akan mengabaikan area penting seperti itu.

      Risiko Ketepatan Waktu dianggap berdampak sedang sebagai denda dan bunga atas keterlambatan tidak akan material, meskipun hubungan vendor yang buruk masih akan menjadi perhatian. Risiko ini dianggap sangat mungkin terjadi karena ada ketergantungan yang besar pada pihak lain untuk memulai proses pencairan uang tunai dan, dengan persyaratan pembayaran yang umumnya ketat, ada berbagai penundaan yang dapat terjadi dalam proses tersebut, yang menyebabkan pembayaran menjadi terlambat.

      Risiko Sumber Daya Manusia dianggap berdampak sedang sebagai kegagalan merekrut, mengembangkan, dan mempertahankan orang-orang yang kompeten di departemen hutang dapat menghasilkan jumlah pembayaran yang tidak akurat atau terlambat yang lebih tinggi dari yang diinginkan. Risiko ini dianggap kemungkinan sedang karena keahlian yang diperlukan tidak terlalu sulit ditemukan di pasar.

      Risiko Akses Sistem dianggap berdampak tinggi karena akses yang tidak sah dapat mengakibatkan perubahan yang mungkin menyembunyikan pengeluaran material yang salah arah. Risiko ini dianggap sebagai kemungkinan menengah karena pengeluaran yang salah arah tersebut dapat dideteksi melalui cara lain.

      Risiko Pembayaran Duplikat dianggap berdampak tinggi sebagai pencairan rangkap tunggal bisa material dan akan mewakili dana yang hilang jika tidak terdeteksi. Risiko ini dianggap kemungkinan sedang karena cukup umum untuk faktur duplikat disajikan kepada perusahaan, namun, sebagian besar vendor umumnya jujur ​​sehingga kecil kemungkinan pembayaran duplikat material tidak terdeteksi dari waktu ke waktu.

      IDENTIFIKASI KONTROL KUNCI

      ketidakhadiran mereka akan mempersulit pencapaian hasil yang diinginkan. Tindakan kritis ini disebut sebagai kontrol kunci. Berikut ini adalah penting saat menentukan kontrol kunci:

      • Auditor internal harus memiliki pemahaman yang jelas tentang tujuan tingkat proses.
      • Konsekuensi dari pelaksanaan kontrol yang tidak memadai harus dievaluasi untuk menentukan apakah kekurangan kontrol akan secara signifikan mengganggu pencapaian tujuan.
      • Kontrol kompensasi lainnya harus dipertimbangkan karena dapat menunjukkan bahwa pengoperasian kontrol kunci yang diberikan tidak sepenting yang diperkirakan sebelumnya.
      • Pengaruh satu pengendalian terhadap pengendalian lainnya juga harus dipertimbangkan..Dampak pengendalian tingkat entitas juga harus dipertimbangkan.
      • Kontrol yang berlebihan, atau yang tidak hemat biaya, mungkin perlu diubah atau dihilangkan Kontrol tersebut mungkin bukan kontrol utama

      MENGEVALUASI KECUKUPAN DESAIN PENGENDALIAN

      Evaluasi dapat dilakukan mengenai desain proses yang diambil secara keseluruhan. Contoh kesimpulan tersebut meliputi:

      • Desain memadai, tidak ada celah yang signifikan. Secara keseluruhan, proses dan sistem informasi tampaknya dirancang secara memadai untuk mengelola risiko ke tingkat yang dapat diterima.
      • Desain sudah memadai, namun ada celah. Secara keseluruhan, proses dan sistem informasi tampaknya dirancang secara memadai untuk mengelola risiko ke tingkat yang dapat diterima. Namun, keberadaan satu atau lebih celah dapat mengakibatkan beberapa paparan yang mungkin tidak dapat diterima oleh pemilik proses.
      • Desain tidak memadai, ada kesenjangan yang signifikan. Secara keseluruhan, desain proses tampaknya tidak memadai untuk mengelola risiko ke tingkat yang dapat diterima. Kesenjangan yang signifikan menciptakan tingkat paparan yang tidak dapat ditoleransi sehingga tujuan tingkat proses tidak akan tercapai

      BUAT RENCANA UJI

      Rencana pengujian harus dirancang untuk mengumpulkan bukti yang cukup dan tepat untuk mendukung evaluasi seberapa efektif pengendalian utama beroperasi. Evaluasi ini dan evaluasi kecukupan desain proses, secara bersama-sama, memberikan jaminan yang masuk akal bahwa tujuan tingkat proses akan tercapai.

      Menentukan Kontrol Yang Akan Diuji Fokus utama pengujian adalah untuk menentukan apakah kontrol utama beroperasi cukup efektif untuk memastikan risiko tingkat proses dikelola secara memadai.

      Mengembangkan Pendekatan Pengujian Pendekatan pengujian melibatkan penentuan sifat, tingkat, dan waktu pengujian untuk dilakukan. Tujuan utama pengujian adalah untuk menentukan apakah pengendalian beroperasi seperti yang dirancang untuk mengurangi risiko yang sesuai ke tingkat yang dapat diterima.

      Mendokumentasikan pendekatan Pengujian

      KEMBANGKAN PROGRAM KERJA

      Program kerja ini dapat mengambil bentuk yang berbeda, seperti:

      • Templat standar atau daftar periksa yang disiapkan oleh auditor internal utama untuk mendokumentasikan penyelesaian langkah-langkah perencanaan. Template standar sering digunakan untuk memastikan setiap keterlibatan mencakup semua tugas yang diperlukan.
      • Memorandum yang meringkas tugas yang diselesaikan. Dalam situasi di mana perencanaan bersifat dinamis dan tidak konsisten dari keterlibatan ke keterlibatan, ini pendekatan bentuk bebas mungkin lebih tepat.
      • Kolom tambahan dalam Matriks Risiko dan Pengendalian jika auditor internal ingin semuanya tercakup dalam satu dokumen.
      • Kombinasi dari ketiganya

      ALOKASIKAN SUMBER DAYA UNTUK KETERLIBATAN

      Langkah terakhir dalam merencanakan penugasan adalah menentukan sumber daya yang diperlukan untuk melaksanakan tugas yang direncanakan.

      LAKUKAN TES UNTUK MENGUMPULKAN BUKTI

      Bukti akan dikumpulkan untuk mendukung kesimpulan auditor internal mengenai seberapa efektif pengendalian beroperasi. Hasil pengujian dapat didokumentasikan dalam Risk and Control Matrix. hasil pengujian mungkin menunjukkan potensi kesenjangan atau masalah, tetapi hasilnya mungkin tidak meyakinkan.

      MENGEVALUASI BUKTI YANG DIKUMPULKAN DAN MENCAPAI KESIMPULAN

       Efektivitas Operasi. Penilaian apakah manajemen telah menjalankan (mengoperasikan) pengendalian dengan cara yang memberikan jaminan yang masuk akal bahwa risiko telah dikelola secara efektif dan bahwa tujuan dan sasaran akan dicapai secara efisien dan ekonomis

      MENGEMBANGKAN OBSERVASI DAN MENYUSUN REKOMENDASI

      Setelah menyelesaikan pengujian, mengumpulkan dan mengevaluasi bukti yang diperlukan, dan mencapai kesimpulan, auditor internal harus mengembangkan pengamatan dan untuk merumuskan rekomendasi yang harus dikomunikasikan kepada auditee dan pemangku kepentingan audit internal lainnya.


      Melakukan tes audit memungkinkan auditor internal untuk mengumpulkan bukti yang diperlukan untuk mengevaluasi kecukupan desain dan efektivitas operasi pengendalian utama dan mencapai kesimpulan tentang efektivitas proses atau area yang ditinjau.

Komentar

Posting Komentar

Postingan populer dari blog ini

Analisis Data dan Pengambilan Sampel Audit

Gambar
Sampling audit, menurut definisi, penerapan prosedur audit kurang dari 100 persen item dalam populasi kepentingan audit untuk tujuan menarik kesimpulan tentang seluruh populasi. Ini paling sering digunakan oleh auditor internal untuk menguji efektivitas operasi pengendalian. Namun, auditor internal semakin dapat menerapkan analisis pada populasi data yang besar untuk mengidentifikasi anomali yang dapat menunjukkan perlunya perbaikan. Pengambilan sampel audit (baik statistik maupun nonstatistik) dan analitik data akan dibahas saat diterapkan oleh auditor internal dalam pengujian pengendalian. Sering kali, pengujian diperlukan dalam kasus kontrol manual atau ketika informasi terdokumentasi tidak disimpan secara elektronik. ANALISIS DATA Analisis data adalah proses mengumpulkan dan menganalisis data dan kemudian menggunakan hasilnya untuk membuat keputusan yang lebih baik. Survei kepala eksekutif audit (CAE) mengungkapkan arti yang paling populer untuk istilah “analisis data” sebagai beri...
Baca selengkapnya

RISIKO DAN PENGENDALIAN TEKNOLOGI INFORMASI

  RISIKO DAN PENGENDALIAN TEKNOLOGI INFORMASI   10 Risiko Terbaik Teknologi Navigasi Badan Pengetahuan Umum Audit Internal Global Keamanan siber Keamanan Informasi Proyek Pengembangan Sistem TI Tata Kelola TI Layanan TI yang Dialihdayakan Penggunaan Media Sosial Komputasi Seluler Keterampilan TI di antara Auditor Internal Teknologi yang Muncul Kesadaran Teknologi Dewan dan Komite Audit Seperti disebutkan dalam “GTAG: Menilai Risiko Keamanan Siber: Peran Tiga Garis Pertahanan” (bagian dari seri Panduan Audit Teknologi Global [GTAG] IIA), ketiga garis pertahanan memainkan peran penting dalam memantau organisasi dan melindunginya dari potensi risiko keamanan siber. Sebagai garis pertahanan pertama, manajemen memiliki dan mengelola data, proses, risiko, dan kontrol. Untuk keamanan siber, fungsi ini sering berada pada administrator sistem dan pihak lain yang bertanggung jawab untuk menjaga aset organisasi. ...
Baca selengkapnya

RESUME AUDIT INTERNAL P5-ALFINA AGISTIANI

MENGELOLA FUNGSI AUDIT INTERNAL 1. POSISI FUNGSI AUDIT INTERN  DALAM ORGANISASI Salah satu pendapat mengatakan, fungsi audit internal ditempatkan pada tingkat manajemen senior, memberikan fungsi visibilitas, wewenang, dan tanggung jawab untuk mengevaluasi penilaian manajemen terhadap sistem pengendalian internal organisasi, dan menilai organisasi  kemampuan untuk mencapai tujuan bisnis dan mengelola, memantau, dan mengurangi risiko yang terkait dengan pencapaian tujuan tersebut.  Selain jasa assurance, fungsi audit internal ini biasanya diminta oleh manajemen untuk memberikan jasa konsultasi dalam bentuk inisiatif atau proyek yang memungkinkan manajemen untuk menggunakan keahlian profesional yang dimiliki oleh fungsi audit internal. Organisasi yang menyadari pentingnya menempatkan fungsi audit internal pada posisi yang memaksimalkan efektivitas dan kemampuannya untuk mengevaluasi keefektifan proses manajemen risiko, pengendalian, dan tata kelola yang ada sering melak...
Baca selengkapnya