Chapter 10 (Brinks)

Audit Programs and Establishing the Audit Universe

Fungsi internal audit butuh mendefinisikan area yang mereka pertimbangkan dalam audit internal.

Daftar seluruh area potensial untuk diaudit dinamakan audit universe. Dengan review dan

persetujuan dari komite audit dan senior management, audit universe merupakan populasi entitas

yang dapat diaudit bagi fungsi internal audit manapun. Audit universe tidak meliputi seluruh unit

dalam sebuah perusahaan, ada yang terlalu kecil,risiko terlalu rendah, atau terlalu kompleks untuk

dikenakan review audit internal. Namun ketika area potensial sudah ditetapkan, CAE dan member

lain dari tim audit dapat langsung menetapkan analisis risiko dan mengembangkan rencana audit.

10.1 Defining the Scope and Objectives of the Internal Audit Universe

untuk mendefinisikan audit universe, audit internal harus mereview dan memahami entitas

yang potensial, dalam arti unit bisnis/area operasi dan unit yang dapat diaudit dalam unit bisnis

tersebut.

Contoh auditable activities :

- peraturan, prosedur, praktek

- manufaktur, distribusi, supply chain

- sistem informasi

- lini produk

- function seperti pembelian, akuntansi, finance, marketing dll

dalam mendeksripsikan audit universe, CAE dan supporting internal audit team akan memulai

dengan bagan organisasi yang mendetail untuk mendeskripsikan entitas tsb. Tim audit juga harus

menentukan focal point dari audit.

Contoh dari titik focal point tersebut misalnya :

1. IT access controls

2. System security configuration

3. Monitoring and incident response

4. Security management and administration

4 focal point dalam IT infrastructure universe misalnya:

1. Structure and strategy

2. Methodologies and procedures

3. Measurement and reporting

4. Tools and technology

unit perusahaan yang auditable harus terus diupdate sebagai bagian dari proses perencanaan audit

internal.

10.2 Assessing Internal Audit Capabilities and Objectives

daftar mendetail dan panjang mengenai daftar entitas yang dapat diaudit akan sia-sia tanpa

kemampuan dan sumber daya untuk melaksanakan audit. Internal audit harus realistis dalam

membuat daftar audit universe. Auditor harus memahami risiko kontrol dalam setiap entitas yang

hendak diaudit.

Internal audit harus menganalisis potensi dari entitas yang hendak diaudit berdasarkan :

- ciptakan control objective yang tinggi untuk setiap kandidat audit universe

- nilai risiko dari setiap kandidat

- koordinasikan internal audit dengan kepentingan audit dan tata kelola lainnya

- ciptakan control objective yang tinggi untuk setiap item dalam audit universe

- buat kuesioner untuk preliminary control assessment

hasil dari review dan analisis, auditor harus membuat audit universe schedule yang menunjukkan

area yang potensial untuk direview.

10.3 Audit Universe Time and Resource Limitations

dalam daftar potensial auditable entity, mungkin ada entitas yang tidak mungkin untuk

direview, karena adanya keterbatasan ukuran, batasan dan budget. Langkah yang harus dilakukan

adalah melihat daftar preliminary audit universe dan tentukan mana yang basisnya annual atau semi

annual. Langkah selanjutnya adalah melihat sisa di daftar dan tentukan apakah waktu dan sumber

daya memungkinkan untuk review mereka. Range waktu yang ideal adalah 3-5 tahun. Selain waktu,

jika butuh sumber daya spesialis lain, hal ini harus didokumentasikan. Semua data ini akan

membantu internal audit untuk membentuk preliminary audit universe. Dokumen ini akan direview

oleh senior management dan disetujui oleh komite audit.

10.4 Selling the Audit Universe to the Audit Committee and Management

komite audit yang memiliki wewenang untuk mereview dan menyetujui audit universe. Audit

universe schedule harus disiapkan dan diupdate per tahun untuk review dan persetujuan komite

audit. Perubahan-perubahan dapat terjadi atas keinginan komite audit.

Namun, komite audit tidak sering bersentuhan langsung engan proses audit, di sini CAE

sebagai perpanjangan tangan yang diandalkan komite untuk melakukan audit dan melapporkan

hasilnya pada komite audit. CAE akan mempresentasikan dan meyakinkan komite audit untuk

menyetujui konsep yang telah disusun.

10.5 Assembling Audit Programs: Audit Universe Key Components

agar konsisten, auditor menggunakan program audit untuk melaksanakan prosedur audit

secara konsisten dan efektif untuk tipe audit yang sama. Program audit merupakan alat untuk

merencanakan, mengarahkan dan mengontrol kerja audit dengan menyebutkan secara spesifik

langkah yang harus dilaksanakan untuk mencapai tujuan audit. Fungsi internal audit yang baik akan

memiliki program audit untuk aktivitas audit yang sering berulang. Namun program audit tidak dapat

diterapkan jika sifat prosedur unik dan berbeda.

(a) Audit Program Formats and Their Preparation

Audit program adalah prosedur yang mengambarkan langkah yang harus dilakukan auditor

dalam fieldwork.

Program harus selesai setelah penyelesaian survey lapangan namun sebelum melaksanakan

prosedur audit. Program audit ditujukan sebagai petunjuk bagi auditor internal yang kurang

berpengalaman maupun yang telah berpengalaman.

Bergantung pada tipe audit yang direncanakan, program audit biasanya mengikuti salah satu dari

ketiga format berikut : (1) set prosedur umum audit, (2) prosedur audit dengan instruksi detail bagi

auditor, atau (3) checklist untuk compliance reviews.

Audit program dengan bentuk checklist memiliki kelemahan, yaitu : auditor yang belum

memiliki banyak pengalaman mungkin akan melewatkan masalah karena hanya menyelesaikan

checklist tanpa menggali masalah lebih dalam. Audit program sebaiknya menempatkan follow up

inquiries pada area yang mungkin menimbulkan pertanyaan. Kelemahan lain adalah auditor

mungkin akan melewatkan memeriksa bukti penting karena hanya menjawab pertanyaan. Akan

mudah menjawab ya tanpa memikirkan bukti apa yang mendukung pernyataan tersebut.

Teknik audit advanced dapat diterapkan jika memungkinkan, seperti computer-assisted audit

tools and techniques (CAATTs). Penggunaan prosedur statistical sampling akan membuat auditor

lebih mudah meng-extract data dari populasi besar. Tidak ada program audit yang standard dan

dapat selalu digunakan di semua kondisi. Intinya suatu program harus menjadi dokumen yang dapat

mengarahkan auditor dan dapat mendokumentasikan aktivitas yang dilakukan.

(b) Types of Program Audit Evidence

Program audit yang bagus akan menuntun auditor dalam proses pengumpulan bukti. Salah

satu bukti yang paling kuat adalah hasil observasi auditor atau konfirmasi pihak independen.

Respon kasual dari audittee dianggap sebagai bukti yang lemah, dari bukti tertulis yang

ditandatangani. Dalam melakukan survey lapangan, sebaiknya adalah seorang personel

senior/auditor in charge.

Langkah audit yang dilakukan akan berbeda tergantung karakteristik entitas yang diaudit. Meski

begitu, keseluruhan audit internal harus dilaksanakan.

10.6 Audit Universe and Program Maintenance

dokumen audit universe adalah deskripsi umum atas seluruh unit audit yang dapat direview

fungsi internal audit. Selanjutnya perencanaan akan menentukan kedalaman dan batasan dalam

aktivitas audit. Universe menjadi peta besar yang meliputi teritori dan batasan internal audit. Hal ini

dapat menjadi basis komunikasi ke komite audit dan untuk perencanaan aktivitas audit ke depan.

Dokumen audit universe tidak harus selalu berubah sesuai perubahan kecil, namun yang

penting tetap update. Audit universe yang efektif akan mendefinisikan perencanaan audit tahunan

dan menjadi media untuk mendeskripsikan aktivitas dari audit.

Audit internal perlu mengembangkan format program audit standard untuk semua review

aktivitas audit yang sifatnya repetitive dan regular. Audit program dapat menjadi learning tool dan

mekanisme untuk mempersiapkan audit internal yang lebih konsisten dan efektif.

Memahami bagaimana membangun dan menggunakan audit universe serta program audit

pendukung merupakan kunci CBOK yang harus dimiliki internal auditor.