pendekatan audit
TRANSCRIPT
-
8/17/2019 Pendekatan Audit
1/176
INTERNAL AUDITING
“PENDEKATAN AUDIT”
DISUSUN OLEH :
KELOMPOK 7
ELVIA NURHIDAYAH (12030113120012)
DILLA ZHAFARINA (12030113120055)
CHUSWATUL CHASANAH (12030113120097)
SITI AISYAH FITRIA ()12030113120115
FAKULTAS EKONOMIKA DAN BISNIS
UNUVERSITAS DIPONEGOR
2016
-
8/17/2019 Pendekatan Audit
2/176
PENDEKATAN AUDIT
Pengantar
Audit internal dapat dilakukan dalam berbagai cara dan ada berbagai model yang dapat
diterapkan untuk pemakaian peran audit.Organisasi akan menentukan kebutuhan audit dan ini akan
membantu untuk menetapkan jenis jasa audit yang disediakan. CAE kemudian didakwa dengan
menyediakan layanan ini dengan standar audit profesional. Bab ini membahas beberapa pendekatan yang
berbeda dan cara yang mereka berhubungan dengan peran audit internal. Perkembangan audit internal,
sebagai profesi, didasarkan pada premis bahwa praktek audit internal adalah subjek disiplin didefinisikan
standar profesional. Pada saat yang sama, jelas bahwa ada banyak variasi dalam cara peran audit habis. Ini
hasil dari pendekatan yang berbeda dan, dalam beberapa kasus, interpretasi yang berbeda dari prinsip-
prinsip yang mendasari, meskipun berbagai hal berdasarkan audit tidak berarti bahwa tidak ada yang jelas
disiplin audit internal. Hal ini tidak hanya masuk akal pekerjaan yang setiap orang terlatih dapat
melakukan. Apa yang terbukti adalah cara bahwa peran audit habis akan bervariasi sesuai dengan
ketentuan yang disepakati acuan (atau audit charter). Ragam menciptakan kekayaan dan derajatfleksibilitas dalam jenis pekerjaan audit yang dilakukan. Dalam banyak kasus departemen audit akan berisi
berbagai jenis auditor yang secara kolektif debit fungsi audit. Audit internal adalah tentang evaluasi
manajemen risiko dan pengendalian internal dan ini harus menjadi tema sentral dalam kebanyakan
pekerjaan audit.
Sistem Audit
Hal ini dipandang oleh beberapa sebagai cara utama di mana peran audit harus dibuang karena
harus melibatkan sistem pengendalian internal mengevaluasi. Idenya adalah bahwa sistem yang dipelajari
untuk menilai apakah mereka cukup dikendalikan sehingga tujuan manajerial dapat dicapai. Sebelum
pendapat dapat ditentukan, maka perlu untuk menguji operasi pengendalian dan sejauh mana kelemahanberdampak pada produk akhir. Tes-tes ini mungkin termasuk vouching, verifikasi dan bermacam-macam
pemeriksaan dan rutinitas konfirmasi, titik adalah bahwa vouching sini digunakan sebagai teknik untuk
membantu evaluasi kontrol, yang bertentangan dengan hasil menjadi tujuan pada dirinya sendiri. Dengan
cara ini, penekanannya bukan pada melakukan rangkaian tanpa akhir tes tapi lebih pada meninjau sistem
dan tujuan utamanya. Kita mulai dengan pendekatan standar dalam kedok audit berbasis sistem
(SBA).Konteks baru adalah untuk mengarahkan sumber daya audit pada sistem tata kelola perusahaan,
manajemen risiko dan pengendalian.Pengendalian risiko self-assessment (CRSA) telah digunakan oleh
banyak auditor internal sebagai cara untuk mendapatkan tim kerja untuk mengidentifikasi dan mengelola
risiko utama mereka dan material di CRSA dilengkapi dengan penjelasan singkat keterampilan fasilitasi,
sebagai prasyarat untuk melakukan lokakarya CRS. Kami juga mencakup penipuan dan investigasi lainnya,
IS (sistem informasi) audit dan pendekatan konsultasi untuk bekerja sebagai pengakuan atas arah baruyang auditor internal mengambil. Teknologi bergerak sangat cepat dan Dan Swanson telah memberikan
beberapa kontribusi yang berguna untuk Internal Audit Handbook dengan maksud untuk memperbarui
cakupan IS audit.
-
8/17/2019 Pendekatan Audit
3/176
Perhatikan bahwa semua referensi untuk definisi IIA, kode etik, atribut IIA dan standar kinerja,
nasihat praktek dan panduan praktek berhubungan dengan International Praktek Profesional Framework
(IPPF) disiapkan oleh Institute of Internal Auditor pada tahun 2009. Bagian dibahas di sini adalah sebagai
berikut :
7.1 Pendekatan Sistem
7.2 Pengendalian Risiko dan Self-assessment
7.3 Fasilitas Keterampilan
7.4 Integrated Self-assessment dan Audit
7,5 Investigasi Penipuan
7.6 Audit Sistem Informasi
7.7 Kepatuhan
7.8 Nilai untuk uang (VFM), Sosial dan Audit Keuangan
7.9 Pendekatan Consulting
7.10 Struktur 'Kanan'
7.11 erkembangan Baru Ringkasan dan Kesimpulan Tugas dan Pertanyaan Multi-pilihan
7.1. Pendekatan Sistem
Ada banyak cara yang
berbeda yang audit internal
dapat didekati dan beberapa
penyelidikan / transaksi berbasis
sementara yang lain bergerak
menuju pendekatan sistem. Ada
argumen yang paling efisien
penggunaan sumber daya audit
yang terjadi di mana salah satu
berkonsentrasi pada meninjau
sistem yang bertentangan
dengan pemeriksaan transaksi
sistem individu. Manajemen
mungkin ingin menggunakan
-
8/17/2019 Pendekatan Audit
4/176
audit internal untuk satu-off latihan pemecahan masalah terutama di mana ada faktor malu potensial jika
masalah ini tidak diselesaikan. Di sisi lain, di mana ulasan sistem tidak dilakukan, maka kerusakan dan
fungsi optimal dapat terjadi. Hal ini menyebabkan transaksi tunggakan. Hal ini dimungkinkan untuk
menggunakan analisis kekuatan-lapangan untuk menimbang faktor-faktor yang bersama-sama
menentukan pendekatan audit aktual yang diterapkan dalam organisasi apapun. Kekuatan ini telah
ditetapkan dalam Gambar 7.1:
Masing-masing faktor akan menerapkan tekanan dalam mendefinisikan cara bahwa peran audit habis dan
beberapa pengaruh mungkin muncul seperti yang ditunjukkan pada Tabel 7.1.
Standar kinerja 2100 - Sifat pekerjaan segi standar profesional, ada beberapa aspek dari suatu
organisasi yang jelas termasuk dalam ruang lingkup pekerjaan audit. Standar Kinerja 2100 berarti bahwa
aktivitas audit internal harus mengevaluasi dan memberikan kontribusi pada peningkatan tata kelola,
manajemen risiko dan pengendalian proses menggunakan pendekatan sistematis dan disiplin. Dalam hal
sistem kerja, Standar Kinerja 2110 meminta bahwa aktivitas audit internal mengevaluasi dan memberikan
kontribusi terhadap peningkatan tata kelola, manajemen risiko dan proses kontrol menggunakan
pendekatan sistematis dan disiplin, sedangkan Standar Kinerja 2120.A1 membuat jelas bahwa aktivitas
audit internal harus mengevaluasi eksposur risiko yang berkaitan dengan organisasi pemerintahan,
operasi dan sistem informasi mengenai:
keandalan dan integritas informasi keuangan dan operasional;
efektivitas dan efisiensi operasi;
Menjaga aset;
kepatuhan terhadap hukum, peraturan, dan kontrak
Sistem ini harus dinilai oleh audit internal sebagai bagian dari peran jaminan. Ada pilihan dalamcara audit internal dilakukan dan meskipun standar profesional yang menetapkan pedoman onceptual,
mereka tidak mempromosikan metodologi tertentu. Pendekatan akhir akan hasil dari kombinasi faktor
yang mempengaruhi peran audit dan pekerjaan yang dihasilkan dilakukan. Premis yang di atasnya
Handbook yang didirikan menganggap sistem berbasis risiko audit sebagai interpretasi yang valid dari
peran jaminan audit internal, dengan semua hal-hal lain yang jatuh di bawah investigasi istilah generik -
yang sebagian besar merupakan bagian dari layanan konsultasi bersama dengan bantuan langsung dan
saran dalam membangun manajemen risiko bisnis. Sistem pendekatan audit internal telah tersedia teknik
-
8/17/2019 Pendekatan Audit
5/176
yang sangat kuat untuk melakukan audit, di masa lalu telah menyebabkan perubahan dalam konsep
audit. Ini membutuhkan kebijakan audit yang menekankan pentingnya membangun sistem yang baik
sehingga risiko seperti kegagalan, kesalahan dan penyalahgunaan dapat dihindari di tempat
pertama. Manajemen dibebankan dengan merancang dan memelihara sistem ini dengan saran dari audit
internal. Langkah ini jauh dari kesalahan bercak, dengan lebih menekankan pada mendapatkan sistem
manajemen risiko yang tepat. Sistem audit didasarkan pada teori sistem dan konsep sistem yang lebih
luas.
Fitur Sistem
Sistem berpikir didasarkan pada melihat operasi dan peristiwa sebagai proses dengan arus seperti
yang ditunjukkan pada Gambar 7.2.
GAMBAR 7.2
Mendefinisikan sistem:
Sebuah set objek bersama-sama dengan hubungan antara benda-benda dan atribut merekaterhubung atau terkait satu sama lain sedemikian rupa untuk membentuk keseluruhan atau keseluruhan.
Ada sejumlah konsep yang mendukung teori sistem dan ini mungkin tercantum:
Komponen terhubung Setiap bagian dari sistem memiliki beberapa hubungan dengan bagian lain,
sehingga bersama-sama mereka terdiri sistem di tangan. Misalnya, link dalam rantai terhubung
dengan dua link yang pasangkan ke rantai serta yang terhubung ke link lain dengan posisi relatif
mereka dalam rantai. Setiap link memiliki kedekatan yang berbeda dengan yang lain, tetapi
mereka masih memiliki beberapa jenis hubungan keseluruhan.
Terpengaruh dengan berada di sistem Komponen harus terpengaruh dengan berada di sistem
yang ada beberapa alasan untuk itu harus didefinisikan dengan cara ini. Akan kembali ke rantai,
link harus menjadi bagian dari proses pembentukan keseluruhan dengan link lainnya untuk sistem
untuk eksis. Sebuah link cadang yang tidak terpasang tidak terpengaruh oleh kegiatan rantai dan
jatuh di luar sistem. Perakitan komponen melakukan sesuatu ini membawa ke dalam bermain
konsep penting dari tujuan sistem yang berarti bahwa sistem harus memiliki beberapa tujuan
yang membenarkan keberadaannya. Sebuah rantai sepeda menggerakkan roda sementara rantai
emas dikenakan di leher akan ada terutama untuk ornamen.
-
8/17/2019 Pendekatan Audit
6/176
Majelis diidentifikasi sebagai kepentingan khusus. ini adalah bagian yang paling sulit dari konsep
sistem dalam bahwa harus ada alasan yang mendasari mengapa sesuatu telah didefinisikan
sebagai suatu sistem. Sebuah sistem tergantung pada apa yang didefinisikan bukannya konsep
mutlak. Jika kita melihat rantai sepeda sebagai suatu sistem yang terdiri dari link, ini mungkin
karena kita ingin memeriksa sifat-sifatnya sehingga kekuatannya dapat ditingkatkan. Kami
alternatif dapat menentukan sistem yang terdiri dari rantai dan pedal jika kita ingin
mempertimbangkan energi cara ditransfer dari pedal ke roda melalui rantai. Ini mungkin untuk
mencari untuk meningkatkan efisiensi transfer energi ini. Sistem ini dianggap sistem karena kita
ingin hal itu terjadi, yang membawa gagasan itu memiliki minat khusus. Sesuatu menjadi sistem
karena orang melihatnya sebagai suatu sistem. Hal ini telah dibuat jelas oleh para ahli dalam
berpikir sistem: "Kami akan melihat bahwa sangat sering titik paling penting untuk leverage dalam
sistem apapun adalah kepercayaan dari orang-orang di dalamnya, karena itu adalah keyakinan
bahwa mempertahankan sistem seperti itu.
Prinsip-prinsip universal di balik pemikiran sistem dapat diterapkan dalam berbagai situasi dan ada
beberapa fitur kunci:
Sistem terbuka terkait dengan lingkungan dan harus merespon perubahan faktor eksternal yangrelevan sehingga dapat mengoptimalkan proses sistem. Sebuah sistem tertutup Sebaliknya
adalah tetap dan tidak bereaksi terhadap tekanan eksternal.Jadi sistem pemanas sentral mungkin
tetap selama periode waktu tetap dikendalikan oleh timer dan sekali set tetap dalam modus
operasi. Di mana ada kontrol termostat, sistem ini mampu merespon perubahan suhu dan
memberikan layanan yang lebih interaktif. Kontrol adalah bagian dari proses menyesuaikan
sistem untuk memastikan itu selalu mampu memberikan tujuannya didefinisikan.
Sebuah sistem adalah seperangkat komponen yang saling terkait dan gagasan sinergi datang ke
dalam bermain. Hal ini menunjukkan bahwa jumlah keseluruhan lebih besar daripada jumlah
masing-masing komponen individu, yang dinyatakan sebagai:
2
+ 2 = 5
Sinergi dapat dilihat dalam contoh dari serangkaian bagian yang pergi untuk membuat sepeda
motor. Ketika dipreteli, masing-masing bagian adalah komponen tidak berfungsi. Bila disatukan
untuk membentuk sebuah sepeda motor, menjadi sistem transportasi dengan potensi yang jauh
lebih besar dalam hal kemampuan dan wawasan.
Sistem berpikir didasarkan pada ide melihat proses secara keseluruhan, terdiri dari bagian-bagian
terkait. Pandangan holistik ini memungkinkan seseorang untuk memahami operasi rumit dengan
naik di atas setiap aspek tertentu dan mempertimbangkan keseluruhan. Keuntungan utama dari
sistem pemikiran potensi ini untuk bekerja pada tingkat tertinggi dengan melihat operasi sebagai
layanan yang lengkap. Auditor yang mampu membedakan antara tingkat rendah rinci danmasalah materi adalah auditor besok. Melihat sistem sebagai subsistem yang feed ke
dalam 'gambaran besar' adalah keterampilan yang auditor harus memperoleh.
Komponen kunci adalah bagian penting yang penting bagi keberhasilan proses. Perhatian
diarahkan ini akan menjadi nilai lebih dari bagian-bagian yang kurang bahan. Kemampuan untuk
mengisolasi masalah utama yang dihadapi sistem manajerial memiliki dampak yang mendasar
pada audit internal sebagai pekerjaan kami bergerak menuju tingkat yang lebih tinggi dalam
-
8/17/2019 Pendekatan Audit
7/176
organisasi.Sebagai contoh, ada banyak kelemahan kontrol yang berasal dari masalah dengan
sistem manajemen sumber daya manusia.Sebagai auditor berlangsung dalam pekerjaan, faktor
ini memungkinkan sumber daya untuk diarahkan pada daerah ini sebagai yang paling efisien
penggunaan waktu audit. Cara sistem HRM antarmuka dengan operasi baris dapat ditangkap
dengan menerapkan sistem pandangan organisasi sebagai kedua link yang kuat dan lemah yang
terisolasi.
Teori lain berasal dari teori sistem adalah bahwa ada kompensasi pengaruh. Ini dapat membuat
untuk kelemahan di tempat lain dalam sistem atau hanya memberikan kontrol tambahan. Sebagai
contoh, sistem keuangan perusahaan yang seharusnya mendukung kontrol anggaran mungkin
buruk dan hanya melaporkan belanja sebenarnya setelah tertunda beberapa bulan.Manajemen
dapat mempertahankan rekor sendiri menghabiskan untuk mendapatkan up-to-date informasi
dari varians anggaran.Sistem kontrol anggaran harus dilihat mencakup kompensasi ini jika itu
harus sepenuhnya dihargai.
Selain komponen kunci, ada daerah sensitif dalam sistem apapun. Rantai ketergantungan berarti
bahwa seluruh proses mungkin berada pada risiko di mana bagian dari link yang lemah atau
rusak. Hanya dengan memahami seluruh sistem yang satu ini mampu mengetahui pengaruhperubahan dalam satu bidang di daerah terkait lainnya. Ini mungkin manfaat terbesar tunggal
untuk bertambah dari mengadopsi pendekatan sistem berbeda dengan melihat operasi dan
kegiatan individu sebagai item diskrit.Pentingnya kontrol dalam sistem telah diakui oleh banyak
orang sebagai contoh menggambarkan: David Blunkett menghadapi tuntutan segar bagi tindakan
mendesak untuk mengakhiri 'skandal' imigran ilegal menyamar sebagai mahasiswa untuk
mendapatkan visa untuk tinggal di Inggris. Tories menyerukan tindakan keras setelah Evening
Standard menemukan bahwa sekolah bahasa tidak bermoral mengambil pembayaran tunai untuk
menempatkan 'siswa' di buku mereka yang benar-benar di sini untuk bekerja secara
ilegal. . .A Penyelidikan Standard menunjukkan bagaimana empat dari lima sekolah mendekati di
London siap untuk mengeluarkan wartawan Republik menyamar sebagai 'murid' dengan sertifikat
pendaftaran - hampir rute yakin-api untuk visa - bahkan ketika diberitahu secara eksplisit bahwadia tidak akan menghadiri kursus. Penyelidikan Standard 's menimbulkan kekhawatiran tentang
sistem imigrasi kita yang kacau. . Kami perlu semacam sistem kontrol untuk menghentikan
perguruan tinggi swasta mengutak-atik sistem.
Semua sistem harus di kontrol untuk bekerja dan kemampuan untuk mengendalikan secara
implisit dalam mekanisme umpan balik: 'Menyeimbangkan umpan balik mencari gol. Semua
sistem telah menyeimbangkan loop umpan balik untuk tetap stabil, sehingga semua sistem
memiliki tujuan - bahkan jika itu hanya untuk tetap seperti mereka. . . Oleh karena itu Sebuah
sistem membutuhkan cara untuk mengukur, jika tidak maka tidak bisa membedakan antara mana
itu dan di mana seharusnya. "3
Kita beralih ke isu hubungan dan
sistem tua / anak yang antarmuka
dengan kegiatan yang kita
pertimbangkan. Kembali ke contoh kita
dari sepeda motor, sistem terkait telah
diilustrasikan dalam Gambar 7.3
-
8/17/2019 Pendekatan Audit
8/176
Pembalap dan sepeda dapat dilihat sebagai sistem utama yang kemudian feed ke dalam sistem
hubungan seperti jalan, bahan bakar dan tujuan. Ada jumlah tak terbatas kombinasi sistem yang dapat
diterapkan tergantung pada persepsi seseorang. Sebuah hal audit referensi harus menyatakan secara jelas
di mana sistem dikaji berhenti dan mulai. Kita perlu menetapkan titik cut-off konseptual sebagai contoh
motor dapat diperluas untuk mencakup pemeliharaan, manufaktur, pembersihan, peta jalan, izin
mengemudi dan VFM.
Sistem Berpikir Umum
Sebuah penyebutan singkat
dari teori sistem dan gambaran dari
metodologi ini muncul pada Gambar
7.4. Beberapa penjelasan yang
disediakan di bawah:
1. Sistematis. Proses menggunakan
metodologi yang jelas diterapkan di
SBA dengan menggunakan
metodologi yang ditetapkan untuk
perencanaan, maju audit, dan
kemudian mengeluarkan laporan
audit
2.
Sistemik. Ini menggunakan teori
sistem diterapkan dengan cara bidang
audit dipandang sebagai serangkaian
sistem dan sistem hubungan.
3.
Sistem subjektif. Berikut
penggunaan batas set sistem untuk menentukan sistem dikaji adalah sesuatuyang auditor harus berlaku untuk memberikan gambaran yang disepakati apa
yang akan dikenakan audit.
4. Sistem induk, sistem utama dan subsistem. Apresiasi hubungan sistem secara hirarkis dan
sebagai bagian dari sistem yang terkait memberikan wawasan ke dalam cara kegiatan saling
melengkapi satu sama lain.
5.
Manajerial, operasional dan fungsional. Terjemahan dari sistem ke tingkat organisasi dan
jenis memberikan awal untuk memutuskan bagaimana untuk memecah organisasi untuk
tujuan audit.
Entropi
Hal ini dapat dilihat sebagai gangguan, disorganisasi, kurangnya pola atau keacakan organisasi
sistem. Sebuah sistem tertutup cenderung meningkat dalam entropi dari waktu ke waktu dalam hal itu
akan bergerak menuju kekacauan yang lebih besar dan keacakan. Entropi memberikan pembenaran untuk
peran audit sistem memecah dan kontrol memburuk dari waktu ke waktu kecuali mereka ditinjau dan
dibuat untuk mengikuti perubahan risiko. Kecenderungan untuk menghapus tingkat manajemen untuk
mencapai pengurangan anggaran mungkin memiliki dampak yang besar pada sistem dikendalikan melalui
ulasan pengawasan oleh garis dan manajemen menengah. Saldo kontrol harus mengubah dengan
-
8/17/2019 Pendekatan Audit
9/176
restrukturisasi. Jika tidak, ketidakseimbangan menjadi bagian dari entropi keseluruhan di mana
penurunan kontrol merusak fungsi sukses dari sistem. Sistem ini dirancang untuk memastikan tujuan yang
dicapai dalam cara yang terbaik dan telah dikatakan bahwa 'sistem pemikiran adalah cara kita dapat
membedakan beberapa aturan, beberapa rasa pola dan acara, jadi kita bisa mempersiapkan diri untuk
masa depan dan mendapatkan beberapa pengaruh lebih.
Sistem Audit
Kita dapat menggunakan prinsip-prinsip sistem berpikir untuk melakukan audit sistem. Kami
terutama prihatin tentang pengaturan untuk mempengaruhi empat eksposur risiko utama yang jatuh
dalam lingkup Kinerja audit internal Standard 2110.A1:
Keandalan dan integritas informasi keuangan dan operasional
Efektivitas dan efisiensi operasi
Pengamanan aset
Kepatuhan terhadap hukum, peraturan dan kontrak.
Kami prihatin dengan meninjau dan kemudian menasihati manajemen pada sistem mereka kontrol
internal yang melepaskan empat tujuan tersebut. Jadi kegiatan harus dilakukan dengan memperhatikan
kepatuhan terhadap hukum dan prosedur dan fitur ini harus dibangun ke dalam sistem. Sistem kontrol
akan berlangganan fitur kontrol kunci ini, berbeda dengan orang-orang yang beresiko. Ada satu masalah
yang melekat dalam Standar Kinerja 2060 yang meliputi baris berikut:
Eksekutif Audit Kepala harus melaporkan secara berkala kepada manajemen senior dan dewan
pada tujuan kegiatan audit internal, wewenang, tanggung jawab, dan kinerja relatif terhadap
rencana. Pelaporan juga harus mencakup eksposur risiko signifikan dan masalah pengendalian,
termasuk risiko penipuan, isu-isu pemerintahan, dan hal-hal lain yang diperlukan atau diminta
oleh manajemen senior dan papan.
Masalahnya berasal dari mencoba untuk mengambil pandangan tentang manajemen risiko di seluruh
organisasi ketika kita hanya memiliki hasil audit individu di tangan. Joseph O'Connor dan Ian McDermott
memperingatkan terhadap pendekatan silo untuk melihat sistem: 'Sistem memiliki sifat yang muncul yang
tidak ditemukan di bagian mereka. Anda tidak dapat memprediksi sifat-sifat dari sistem yang lengkap
dengan mengambil itu untuk potong dan menganalisis parts.'5 nya
Transaksi Pendekatan
Sistem ini dirancang untuk memproses transaksi dan audit internal berkaitan dengan kontrol yangmemastikan tujuan sistem terpenuhi.Di mana hal ini tidak terjadi, sistem menghasilkan transaksi
tunggakan yang melanggar salah satu atau lebih dari empat daerah kontrol utama. Sebuah pendekatan
audit yang mengabaikan sistem tetapi berusaha untuk mengidentifikasi transaksi tunggakan dapat dilihat
sebagai audit transaksi berbasis. Kunjungan kejujuran, penyelidikan penipuan, program pengujian
kepatuhan, tempat pemeriksaan dan ulasan VFM efisiensi mungkin didasarkan pada pendekatan
transaksi. Setiap pekerjaan audit yang tidak termasuk penilaian risiko dan evaluasi dan pengujian kontrol
-
8/17/2019 Pendekatan Audit
10/176
tidak dapat sistem audit. Sistem audit
bergantung pada beberapa pengujian
meskipun ini secara alami mengalir dari ulasan
kontrol ditunjukkan pada Gambar 7.5.
Sebagai contoh, tim audit dapat
digunakan untuk mengikuti kendaraan
perusahaan untuk melihat apakah mereka
sedang digunakan pada bisnis resmi. Ini
menampilkan kepatuhan terhadap
pendekatan transaksi berbasis, karena
pendekatan sistem akan berusaha untuk mempertimbangkan kontrol yang harus di tempat untuk
memastikan bahwa kendaraan yang digunakan hanya untuk tujuan bisnis. Kita mungkin ingin mengamati
beberapa kendaraan selama audit tetapi ini akan memeriksa cara kontrol ini beroperasi dan bukan sebagai
audit dalam dirinya sendiri. Audit sistem dari sistem pembayaran akan berusaha untuk mengisolasi dan
meninjau kontrol atas proses penyusunan faktur dan membayar pemasok. Pendekatan transaksi
memeriksa sampel dari pembayaran untuk melihat apakah mereka benar dan tepat tanpa mengomentari
kontrol yang mendasari. Prinsip utama adalah bahwa sistem audit dimulai dari atas (kontrol ditetapkanoleh manajemen), berbeda dengan pendekatan transaksi yang dimulai di bagian bawah (hasil akhir
pengolahan transaksi).
Tahapan Sistem berbasis Risiko Audit (RBSA)
Sistem berpikir digunakan dua kali
dalam sistem berbasis risiko audit
(RBSA). Pertama, kita memecah operasi
sebagai sistem, komponen dari suatu
sistem, subsistem, sistem paralel dan
sistem induk. Gambaran dapat diadopsidan hubungan antara operasi dapat
diidentifikasi dan dipahami. Kedua, RBSA
sebenarnya adalah pendekatan audit yang
sistematis dalam dirinya sendiri, dengan
tahapan yang ditetapkan dan link yang jelas
antara langkah-langkah yang
berurutan. Tahapan audit SBA ditunjukkan
pada Gambar 7.6.
RBSA tidak dapat dilakukan tanpa
mengikuti langkah-langkah di atas. Setelahrencana penugasan telah ditentukan
(setelah survei awal) kami memiliki hal yang
jelas dari referensi dan garis besar sistem
yang bersangkutan. Tahap berikutnya adalah untuk menentukan apa risiko dapat mencegah tujuan bisnis
dari yang dicapai dan memastikan risiko ini dipahami, diklasifikasikan dan diprioritaskan. Setelah
menemukan risiko kunci, kita bisa pergi ke menimbang dan mengevaluasi kontrol tertentu yang
membentuk aspek utama dari strategi manajemen risiko dan menilai apakah kontrol yang
-
8/17/2019 Pendekatan Audit
11/176
memadai. Kontrol yang memadai (strong) harus dipertimbangkan lebih lanjut untuk menilai apakah
mereka bekerja dengan benar melalui tes kepatuhan. Beberapa auditor berpendapat bahwa bahkan
ketika kontrol berada di tempat dan bekerja, perlu ada sejumlah kecil pengujian lebih lanjut untuk
memastikan hasil yang benar diperoleh (yaitu tujuan sistem sedang dicapai). Kontrol yang lemah berarti
ada tingkat yang tidak dapat diterima risiko residual dan ini dapat dilaporkan langsung. Sekali lagi,
beberapa auditor ingin menguji implikasi dari kelemahan ini dan mencari kesalahan yang sebenarnya,
penyalahgunaan, kegagalan dan eksposur risiko lain seperti untuk menunjukkan implikasi dari kontrol
miskin. Temuan pada keadaan risiko residual mengarah ke jaminan di mana semuanya baik-baik dan
rekomendasi di mana ada perbaikan lebih lanjut diperlukan untuk mengurangi aspek risiko residual yang
perlu terkandung. Hasilnya dilaporkan kembali ke klien dan tindakan apapun yang diperlukan dipantau
selama tindak lanjut audit yang dijadwalkan untuk masa depan. Namun, ada satu kata peringatan. Ketika
auditor mencoba untuk 'memperbaiki' sistem miskin itu jauh lebih baik untuk mendapatkan klien untuk
membantu dalam proses ini. Hal ini disebabkan kompleksitas dinamis dalam sistem di mana mereka
memiliki kekuatan internal yang cenderung untuk menarik hal-hal bersama-sama.Jika kekuatan ini tidak
dipahami, maka diusulkan perubahan tidak akan bekerja. Kekuatan ini telah digambarkan sebagai berikut:
Sebuah sistem akan bertindak seperti jaring elastis yang kuat - ketika Anda menarik salah satu
bagian dari posisi itu akan tinggal di sana selama Anda benar-benar mengerahkan kekuatan diatasnya. Ketika Anda membiarkan pergi, Anda mungkin akan terkejut dan kesal bahwa mata air
kembali ke tempat itu sebelumnya. Namun ketika Anda melihat ketegaran ini sebagai bagian dari
sistem daripada kedengkian terisolasi, perlawanan itu tidak hanya dimengerti tapi inevitable.6
Kembali ke tahapan RBSA, ada sejumlah hal yang harus dipertimbangkan pada setiap tahap:
1.
Tentukan tujuan yang jelas untuk panggung. Apa yang kita bertujuan untuk mencapai harus
dinyatakan dengan jelas pada setiap tahap sehingga output aktual dapat diukur terhadap hal ini.
2.
Rencana kerja dan pendekatan yang akan diadopsi. Perencanaan merupakan proses yang
berkesinambungan yang terjadi sebelum audit dan seluruh berbagai tahapan yang disebutkan di
atas. Hal ini dimungkinkan untuk menetapkan anggaran waktu terpisah untuk panggung dankemudian berusaha untuk memonitor jam dikenakan sebelum menyelesaikan audit. Hal ini juga
memungkinkan untuk melakukan review pekerjaan sebagai panggung selesai untuk memberikan
pengawasan berkelanjutan proyek dengan manajemen audit.
3. Mendapatkan pemahaman yang baik tentang risiko dengan operasi ini dapat dicapai melalui
analisis, diskusi dengan staf klien atau melalui lokakarya terstruktur di mana anggota tim klien
mempertimbangkan risiko mereka dan bagaimana mereka berdampak pada bisnis dan tim tujuan
mereka.
4.
Mendefinisikan strategi pengujian. Pengujian diterapkan pada pemastian (walkthrough),
kepatuhan (setelah evaluasi) dan pengujian substantif (setelah evaluasi dan kepatuhan
tes). Program kerja rinci dapat disusun dan disepakati sebagai tahap yang sesuai tiba di.
5.
Menentukan teknik yang akan digunakan. Teknik Audit seperti wawancara, flowcharting,
interogasi basis data, kontrol self-assessment, negosiasi dan sampling statistik harus disepakati lagi
pada tahap yang relevan dari audit. Hal ini akan membantu waktu kerja dan memungkinkan
tambahan pada keterampilan perlu diidentifikasi.
6. Staf singkat bekerja pada proyek. Dengan pendekatan tim, hal ini berguna untuk memecah setiap
tahap sehingga briefing dapat diadakan untuk membahas masalah daerah, kemajuan dan hal-hal
lain. Tidak hanya akan tindakan ini sebagai perangkat umpan balik tetapi juga akan mempromosikan
tim bekerja di mana ide-ide dipertukarkan.
-
8/17/2019 Pendekatan Audit
12/176
7.
Memastikan bahwa pekerjaan secara formal didokumentasikan. Dokumentasi Standar menjamin
semua poin kunci yang dibahas dan bahwa pekerjaan sepenuhnya direkam. Akhir tahap ini adalah
waktu yang tepat untuk mempertimbangkan apakah dokumentasi memenuhi standar kualitas
(sesuai dengan pedoman audit) dan berisi semua detail yang diperlukan. Kesempatan untuk
mendapatkan materi yang hilang adalah lebih mudah tersedia selama dan tidak setelah audit. Ada
link yang jelas antara ini dan manajer audit ulasan prosedur.
8.
Carilah tingkat resiko yang tinggi tak tanggung-tanggung Ini adalah praktik yang baik untuk
melaporkan sebagai audit berlangsung untuk menghemat waktu dan memastikan bahwa laporan
segar dan dinamis. Auditor memiliki kesempatan untuk menilai dampak dari pekerjaan yang
dilakukan sejauh laporan dan strategi pengujian yang harus dikembangkan pada tahap
tertentu. Rincian dari risiko yang berlebihan bisa masuk laporan selama dampak telah diuji. Sejak
evaluasi risiko terjadi sepanjang audit, seluruh paket dari pandangan tentang kemampuan kontrol
kunci untuk mengurangi risiko dikembangkan sebagai pekerjaan berlangsung. Ini adalah bagian
utama dari pekerjaan auditor.
9.
Setuju pada arah kerja untuk tahap berikutnya Hubungan antara tahap datang secara alami dari
pendekatan sistem untuk audit sebagai salah satu bergerak dengan lancar dari satu ke yang
lain. Arah tahap berikutnya harus dipertimbangkan oleh auditor tidak hanya dari sudut pandang
perencanaan pandang, tetapi juga dari perspektif yang lebih luas dari apakah pekerjaan harusdiperluas, dibatasi atau disesuaikan. Ini adalah titik di mana untuk membahas masalah dengan
manajer audit dan juga menyarankan bahwa tahap tersebut selesai.
Masalah Sistem kunci
Dalam RBSA sebuah, auditor akan
mengomentari penentuan spesifik keadaan kontrol
yang demiliki ditinjau, seperti pada Gambar 7.7
menunjukkan:
Rutinitas pengujian rinci dan diskusikomprehensif dengan manajemen semua
berkontribusi untuk kontrol yang lebih baik. Obsesi
dengan mekanisme melakukan audit dan pemeriksaan
dekat dari file dan data seharusnya tidak mengurangi
titik ini. Auditor harus pada akhir hari siap untuk
mengomentari sistem pengendalian internal dan
apakah kontrol ini menjaga terhadap semua risiko
material. Selain itu, sistem untuk mengelola risiko
tergantung pada cara tim kerja klien
beroperasi. Kontrol lunak adalah tentang cara orang
berhubungan satu sama lain dan termotivasi (atau tidak). Ketika sistem dipandang sebagai hubungan yangdinamis, kita dapat lebih memahami cara rutinitas kontrol dikembangkan dan diterapkan. Mengambil
baris ini, telah dikatakan 'Pertimbangkan tim proyek bisnis. Suasana hati setiap orang dapat berubah dari
waktu ke waktu. Ada banyak, banyak cara yang berbeda mereka dapat berhubungan satu sama lain. Jadi
sistem mungkin memiliki beberapa bagian tetapi banyak kompleksitas dinamis. Masalah yang terlihat
sederhana di permukaan dapat mengungkapkan banyak kompleksitas dinamis ketika kita menyelidiki
mereka.
-
8/17/2019 Pendekatan Audit
13/176
Manfaat Audit berbasis Sistem (SBA)
Sumur tahu guru audit internal, Keith Wade (dari kursus catatan yang tidak dipublikasikan dari
program gelar Master, City University Business School, 1991) berpendapat bahwa SBA memiliki sejumlahmanfaat:
1. Hal ini positif dan melihat ke depan dan mempertimbangkan kekuatan masa depan sistem kontrol
yang bertentangan dengan mengisolasi dan pelaporan serangkaian kesalahan masa lalu.
2. Mempromosikan partisipasi dengan melibatkan klien dalam menjelaskan sistem dan tujuannya.
3. Mempromosikan profesionalisme sebagai lawan mengaduk-aduk auditor yang ahli di dasar
rutinitas pengujian ekstensif.
4. Ini mencakup segala sesuatu dengan yang berbasis pada sistem dalam operasi.
5. Hal ini konstruktif dalam upaya memperbaiki sistem.
6. Hal ini kesalahan pencegahan dan pandangan dalam hal mencegah mereka di masa depan
daripada daftar mereka bagi manajemen untuk memproses ulang.
7.
Hal ini dapat diarahkan ke pengembangan karir sebagai sistem auditor yang berpengalaman
mampu mengatasi operasi yang sangat rumit.
8. Mempromosikan penghormatan dengan mengharuskan auditor untuk memahami sistem
dan kebutuhan klien.
9. Ini mengembangkan auditor sebagai ahli dalam kontrol daripada catur manajemen.
10. Ada potensi yang tak terbatas untuk memperluas sistem audit ke dalam semua kegiatan
organisasi.
11. Auditor umumnya merasa lebih menarik dengan penekanan dari transaksi pengujian.
12. Hal ini dapat bertindak sebagai bantuan penting untuk manajemen dengan efek jangka panjang
dalam memperkuat kontrol.
13. Hal ini dapat menjadi sangat efisien penggunaan sumber daya audit karena mencari penyebab
masalah dan bukan hanya kesalahan konsekuensial.14. Karena tidak kesalahan berorientasi, tidak karena itu dilihat sebagai negatif oleh manajemen.
15. Hal ini sistematis, dan bidang utama dapat diidentifikasi dan diisolasi untuk perhatian lebih lanjut.
16. Ini memiliki cakupan luas dan aplikasi dan dapat
digunakan untuk mengaudit hampir semua hal.Dimana
audit internal menekankan program pengujian dan
kunjungan kejujuran, penyelidikan penipuan, inspeksi
kepatuhan, ulasan VFM dan kepatuhan kontrak, ini
merupakan indikasi dari pendekatan audit transaksi.
Implikasinya adalah bahwa kriteria keberhasilan audit
yang jatuh di sekitar kesalahan yang dapat ditemukan
sebagai lawan kontrol yang dapat ditingkatkan. Ini'industri error' harus memiliki sistem yang lemah untuk
bertahan hidup dan berkembang secara total konflik
dengan pendekatan sistem berbasis. Seluruh tentara
catur dapat digunakan untuk mencari dan melaporkan
masalah menggunakan staf junior dengan 'mari kita
menangkap mereka' sikap yang menetapkan nada ancaman dan intimidasi. Pendekatan ini
mengarah ke sistem yang kurang terkontrol yang mengalahkan tujuan audit profesional yang
-
8/17/2019 Pendekatan Audit
14/176
adalah untuk meninjau dan memastikan manajemen telah memasang kontrol yang memadai atas
sumber daya organisasi. Gambar 7.8 menunjukkan bagaimana kontrol ketika diabaikan cenderung
memecah, memperkuat kebutuhan untuk menguji kesalahan. Sebuah pendekatan tercerahkan
untuk mengatasi audit internal adalah untuk melihat organisasi sebagai kumpulan layanan yang
disediakan secara internal maupun eksternal. Hal ini didasarkan pada sejumlah prinsip:
1. Organisasi ini dipandang sebagai serangkaian unit bisnis di mana manajemen lokal dianggap
bertanggung jawab untuk memberikan tingkat didefinisikan dan kualitas layanan.
2. Sistem pengendalian intern harus di tempat untuk mengurangi risiko yang mempengaruhi tujuan
yang dinyatakan.
3. Berbagai dukungan fungsi fungsional termasuk standar perusahaan keuangan, operasional,
informasi dan lainnya berada di bawah ulasan ini jika mereka berdampak pada tujuan bisnis.
Pendekatan ini dicontohkan
dalam otoritas lokal di mana satu
hanya perlu mendapatkan direktori
layanan seperti perpustakaan,
perawatan anak, sekolah, menolak
koleksi, jalan raya perbaikan,perumahan, pusat olahraga dan
ratusan layanan yang unik. Setiap
layanan kemudian menjadi unit audit
dan tunduk pada penutup audit. Ini
jelas pandangan subjektif organisasi
tapi alamat jelas masalah
mendefinisikan sistem secara tepat
sejalan dengan pendekatan tingkat
tinggi untuk layanan berbasis sistem
audit seperti pada Gambar 7.9.
Pendekatan di atas dapat diterapkan sebagai berikut:
1. Daftar semua layanan (unit bisnis).
2. layanan dukungan Daftar.
3. Terapkan penilaian risiko untuk layanan ini.
4. Buatlah perencanaan audit.
5. Audit setiap layanan dengan menerapkan berbasis risiko pendekatan sistem.
6. Lakukan investigasi khusus ke dalam area masalah menggunakan sumber daya disisihkan untuk
pekerjaan konsultasi.
-
8/17/2019 Pendekatan Audit
15/176
Andy Wynne pada Sistem
Andy Wynne dari ACCA telah menyiapkan kertas untuk buku pegangan pada sistem audit:
.Pemeriksaan pra-pembayaran, substantif pengujian atau sistem audit yang -? Apa peran yang paling
efektif untuk audit internal Asal-usul audit internal adalah sebagai pemeriksaan internal pada akurasi danvaliditas semua pembayaran yang dilakukan oleh sebuah organisasi. Tidak ada pembayaran bisa
dibuat tanpa terlebih dahulu diperiksa dan dicap untuk pembayaran oleh staf audit internalbagian. Praktik
audit internal sekarang membentuk spektrum dari peran ini asli dari audit internal untuk sistem
audit. Yang terakhir ini terdiri dari ulasan audit internal dari sistem pengendalian internal dengan
pengujian hanya terbatas kontrol internal untuk memastikan bahwa mereka benar-benar diterapkan
sesuai kebutuhan. Itu Dikombinasikan Kode London Stock Exchange membutuhkan dewan semua
perusahaan yang terdaftar untuk 'mempertahankan sistem pengendalian internal untuk menjaga
pemegang saham investasi' dan bahwa'direksi harus . . . Melakukan peninjauan efektivitas sistem
kelompok internal kontrol '. Dalam kebanyakan perusahaan direksi akan mengandalkan fungsi audit
internal perusahaan untuk secara langsung melakukan ulasan ini pengendalian internal. Banyak orang
akan setuju bahwa tujuan dari audit internal adalah untuk membantu memastikan bahwa sistem
pengendalian internal entitas memadai danefektif. Memadai dapat ditafsirkan sebagai berarti cocok
untuk tujuan, sehingga dalam konteks internal kontrol, bahwa kontrol yang tepat dan bahwa mereka
benar-benar dimanfaatkan secara rutin. Efektivitas jangka tampaknya menuntut lebih dari ini dan
menyiratkan suatu kepentingan yang sebenarnya hasil dari kontrol, misalnya memastikan bahwa
transaksi sebenarnya yang tepat, akurat dan valid.Akibatnya, jika audit internal adalah untuk
menyimpulkan apakah suatu pengendalian internal sistem yang efektif harus melakukan setidaknya
beberapa pengujian substantif untuk mengkonfirmasi apakah atau tidak kontrol internal telah beroperasi
seperti yang diharapkan dan dengan demikian memastikan bahwa transaksi yang akurat dan valid. Selain
itu, audit eksternal akan sering mengandalkan audit internal dan sebagai bagian dari ini ketergantungan,
mungkin berharap audit internal untuk melakukan gelar transaksi substantif yang telah diproses oleh
sistem keuangan utama. Pemeriksaan audit pra-pembayaran (atau pre-audit untuk pendek)adalah
pemeriksaan voucher pembayaran dan dokumen lain sebelum pembayaran terkait dibuat. Tujuan daripra-audit adalah untuk memastikan bahwa pembayaran yang dilakukan adalah:
valid
diperlukan dan akurat dan
pengeluaran ini sejalan dengan anggaran yang disetujui
Keuntungan dari pre-audit dikatakan bahwa hal itu dapat membantu untuk:
memastikan bahwa semua pengeluaran yang diperlukan dan tepat;
memastikan bahwa semua pembayaran telah diotorisasi sebelum dilakukan;
memastikan pengeluaran yang sesuai dengan hukum dan peraturan yang relevan mencegahpenipuan manajemen;
mengurangi timbulnya fraud atau penyimpangan;
mengkonfirmasi keakuratan klasifikasi dan pengkodean pengeluaran; dan
memastikan akurasi hitung dari transaksi yang diperiksa.
-
8/17/2019 Pendekatan Audit
16/176
Pendekatan pre-audit untuk audit internal ditemukan dalam banyak pemerintah Afrika, tetapi
juga di Perancis, Portugal, Spanyol dan negara-negara Eropa kontinental lainnya dengan tradisi hukum
berdasarkan Kode Napoleon. Di negara-negara ini, penekanan diletakkan pada kontrol yang dilakukan
oleh organisasi pihak ketiga, di pusat pemerintahan, sering agen dari kementerian keuangan atau
pelayanan itu sendiri. lembaga ini mungkin sering audit internal dan sampai saat ini ini adalah pendekatan
yang diadopsi oleh Komisi Eropa. Setelah kritik oleh Parlemen Eropa dari praktek manajemen keuangan
dalam Komisi Eropa, yang menyebabkan pengunduran diri dari seluruh Komisi pada Maret 1999, Komite
Independen Ahli didirikan. Komite ini menyimpulkan bahwa 'keberadaan prosedur dimana semua
transaksi harus menerima persetujuan terlebih dahulu eksplisit dari layanan kontrol keuangan tersendiri
telah menjadi faktor utama dalam mengurangi manajer Komisi rasa tanggung jawab pribadi untuk operasi
mereka wewenang saat melakukan sedikit atau tidak untuk mencegah penyimpangan serius. '
Ini melanjutkan dengan mengatakan bahwa:
“praktis pilihan ini apa pun (im), Komite terus memiliki keberatan yang kuat tentang mereka pada
dua poin dari prinsip. Pertama,ex ante pengecekan, apakah itu bersifat universal atau atas dasar
sampling, tidak mungkin proses hemat biaya: upaya dimasukkan ke memeriksa semua transaksi
adalah jelas tidak proporsional, sedangkan pengambilan sampel tidak mungkin memiliki efekberalasan cukup. Kedua, dan fundamental, prinsipnya adalah bahwa setiap retensi ex
ante control berjalan melawan keberatan penting bahwa, de facto jika tidak de jure , yang
dipindahkan tanggung jawab untuk keteraturan keuangan dari orang benar-benar mengelola
pengeluaran ke orang menyetujui hal itu. Perpindahan ini tanggung jawab yang berarti berlaku
bahwa tidak ada orang yang bertanggung jawab. "
Komite juga merekomendasikan bahwa Layanan Internal Audit profesional dan independen harus
dibentuk melapor langsung kepada Presiden Komisi, bahwa fungsi pra-audit terpusat yang ada harus
ditiadakan, dan bahwa pengendalian internal - sebagai bagian terpadu dari manajemen lini - harus
didesentralisasikan ke Direktorat Jenderal di Komisi. Komisi mengumumkan pada Januari 2000 bahwa itu
akan menerima rekomendasi ini, dan reorganisasi dari layanan Komisi dirilis tahun itu termasukpembentukan layanan audit internal yang independen dari pre-audit atau fungsi kontrol keuangan. Gema
dari pendekatan pra-audit juga dapat ditemukan di beberapa bagian audit internal Inggris, terutama di
pemerintah daerah. Berikut audit internal masih dapat diharapkan untuk meninjau rekening akhir skema
modal utama sebelum pembayaran akhir dapat dilakukan terhadap kontraktor. Sebaliknya, sistem audit
melibatkan auditor internal mengkaji kecukupan sistem pengendalian dan membuat komentar tentang
ini bukan pada akurasi atau validitas output aktual dari sistem. Pendekatan sistem ini tidak berarti bahwa
pengujian substantif langsung transaksi ditinggalkan. Namun, edisi 1996 dari Inggris Pedoman Audit Intern
Pemerintah menyatakan bahwa pengujian substantif adalah 'biasanya tidak ekonomis' dan 'memiliki
peran yang terbatas untuk bermain dalam sistem audit.' Sebagai buntut dari runtuhnya Andersens, yang
dihasilkan dari pekerjaan audit eksternal di Enron, itu mungkin bahwa akan ada peningkatan penekanan
pada peran pekerjaan audit substantif dalam audit eksternal.Demikian pula, telah ada beberapa
pembicaraan tentang peran yang lebih besar untuk audit internal dan mungkin ada tekanan yang
sebanding untuk audit internal untuk kembali ke pengujian lebih langsung transaksi daripada
berkonsentrasi pada upaya pengendalian internal, kecukupan dan kehandalan mereka. Manfaat penuh
dari audit internal hanya dapat dicapai jika manajer dan auditor internal berbagi persepsi yang sama dari
tanggung jawab bersama. Pandangan auditor internal karena hanya auditor kepatuhan mungkin
menunjukkan pemahaman yang terbatas peran audit internal modern dan juga kurangnya pemahaman
dari berbagai tanggung jawab Inggris Pedoman Audit Intern Pemerintah menyatakan bahwa pengujian
substantif adalah 'biasanya tidak ekonomis' dan ' memiliki peran yang terbatas untuk bermain dalam
-
8/17/2019 Pendekatan Audit
17/176
sistem audit. ' Sebagai buntut dari runtuhnya Andersens, yang dihasilkan dari pekerjaan audit eksternal di
Enron, itu mungkin bahwa akan ada peningkatan penekanan pada peran pekerjaan audit substantif dalam
audit eksternal.Demikian pula, telah ada beberapa pembicaraan tentang peran yang lebih besar untuk
audit internal dan mungkin ada tekanan yang sebanding untuk audit internal untuk kembali ke pengujian
lebih langsung transaksi daripada berkonsentrasi pada upaya pengendalian internal, kecukupan dan
kehandalan mereka. Manfaat penuh dari audit internal hanya dapat dicapai jika manajer dan auditor
internal berbagi persepsi yang sama dari tanggung jawab bersama. Pandangan auditor internal karena
hanya auditor kepatuhan mungkin menunjukkan pemahaman yang terbatas peran audit internal modern
dan juga kurangnya pemahaman tentang berbagai tanggung jawab yang manajer sendiri harus
memiliki. Auditor internal harus bekerja dengan manajer untuk memfasilitasi pengenalan sistem kontrol
yang efektif. Sistem ini akan mencakup:
orde pertama kontrol untuk mengatasi semua risiko yang signifikan;
orde kedua kontrol untuk memastikan bahwa pemeriksaan secara teratur dilaksanakan untuk
memastikan bahwa semua kontrol dipatuhi; dan
orde ketiga kontrol untuk memastikan bahwa prosedur pengendalian secara berkala untuk
memastikan mereka berubah dan beradaptasi dalam menanggapi lingkungan risiko berubah.
Auditor internal juga harus membantu untuk mendidik para manajer untuk memastikan bahwa
mereka menerima, dan memahami, berbagai tanggung jawab mereka untuk kontrol internal. Tanggung
jawab manajerial harus mencakup
merancang kontrol yang memadai;
memastikan kepatuhan dengan kontrol yang diperlukan; dan
reguler ulasan dan revisi kontrol internal.
Tugas auditor internal kemudian meninjau sistem pengendalian internal untuk memastikan
bahwa manajer telah memadai memenuhi masing-masing tiga set ini tanggung jawab. auditor internal
juga harus memberitahu manajer pada kontrol yang tepat, pemeriksaan kepatuhan dan prosedur reviewyang mereka harus mengadopsi. Ini adalah sistem audit. Sebuah organisasi dengan sistem audit yang
efektif lebih mungkin untuk memiliki sistem kontrol yang efektif; kurang kemungkinan untuk menderita
berbagai risiko itu terkena; dan lebih mungkin untuk menjadi sukses.
Ada beberapa tugas penting bahwa auditor perlu melakukan untuk memastikan pekerjaan
dilakukan dengan perawatan profesional karena. The IIA Atribut Standar 1220.A1 membahas minimum
yang harus diperhatikan selama audit:
Tingkat pekerjaan yang diperlukan untuk mencapai pertunangan ' tujuan s;
kompleksitas relatif, materialitas, atau arti dari hal-hal yang prosedur jaminan yang diterapkan;
Kecukupan dan efektivitas pemerintahan, manajemen risiko, dan proses kontrol; Kemungkinan kesalahan yang signifikan, penipuan, atau ketidakpatuhan; dan
Biaya jaminan dalam kaitannya dengan potensi manfaat.
-
8/17/2019 Pendekatan Audit
18/176
Sistem Bisnis
Hal ini dimungkinkan untuk melihat semua
bisnis sebagai serangkaian sistem yang mencakup
operasi, manajemen keuangan, layanan dukungan,
proses, bermitra pengaturan dan sebagainya. Sistembisnis diilustrasikan pada Gambar 7.10. Untuk
mempermudah, kami telah rusak organisasi ke dalam
tiga jenis elemen:
1. Tim - kelompok orang yang ditentukan
disatukan untuk tujuan memberikan tujuan yang
ditetapkan. Sebagai contoh, tim operasional yang
bekerja di produksi. Audit internal juga merupakan
salah satu tim tersebut.
2.
Proses - fungsi yang berjalan di sebuah organisasi seperti prosedur keluhan atau sistem
manajemen kinerja.
3.
Proyek - sumber sementara ditugaskan untuk mengembangkan sistem baru atau produk,
misalnya, sebuah proyek untuk merancang dan menerapkan sistem informasi baru.
Untuk semua bagian organisasi, akan ada
tujuan yang ditetapkan, risiko dan strategi
manajemen risiko untuk mengatasi risiko ini. Oleh
karena itu semua sistem seperti di seluruh
organisasi dapat ditinjau oleh audit internal
sebagaimana tercantum dalam Gambar 7.11.
Fungsi audit internal akan memeriksa
aspek dari sistem untuk mengelola risiko yangtermasuk dalam disepakati kerangka acuan untuk
audit yang bersangkutan. Audit akan memastikan
tujuan dan sistem untuk memberikan tujuan
tersebut, dan mengevaluasi apakah kontrol di
tempat yang mampu menangani risiko secara
signifikan yang mendapatkan di jalan mencapai
tujuan. Pengujian akan menentukan apakah apa
yang harus terjadi yang sebenarnya terjadi dalam praktek dan memberikan bukti untuk mendukung opini
audit.Produk dari audit internal adalah jaminan atas risiko cara sedang dikelola, rekomendasi untuk
perbaikan mana yang sesuai dan validasi objektif praktik saat ini diadopsi oleh manajemen. Audit juga
akan mempertimbangkan umpan balik dalam sistem dan bagaimana manajemen mampu mengukur hasilyang diharapkan terhadap hasil aktual sehingga sistem dapat disesuaikan untuk memastikan
perbaikan. Semua ini feed ke dalam pernyataan di pengendalian internal suatu membantu memastikan
hasil yang diinginkan tercapai.Kami akan melihat self-assessment (CRSA) di bagian depan dan bagaimana
teknik ini dapat digunakan untuk mendapatkan sistem yang lebih baik untuk mengelola risiko. Sistem
audit dimaksudkan untuk memberikan tinjauan objektif dari sistem di tangan tapi di sini kita harus
mengeluarkan kata peringatan tentang betapa auditor internal dapat mencapai, dan di mana batas-batas
berbohong. objektivitas lengkap tidak mungkin, bahkan di mana auditor benar-benar memihak, karena
-
8/17/2019 Pendekatan Audit
19/176
proses audit tidak dapat dihapus dan terpisah dari sistem yang diaudit. Keterbatasan ini harus dihargai
oleh auditor dan telah digambarkan rapi oleh Joseph O'Connor dan Ian McDermott:
Dalam analisis akhir tidak akan pernah ada objektivitas akhir, karena Anda tidak pernah bisa
berdiri di luar sistem yang Anda adalah bagian karena Anda tidak akan ada. Total objektivitas ada
artinya karena tidak ada pengamat untuk menggambarkan hal itu. Jadi apakah Anda sedang
subjektif atau objektif tergantung pada bagaimana Anda mendefinisikan batas dari sistem Anda
considering.
Sistem lembut
Beberapa berpendapat bahwa sistem bisnis yang begitu rumit sehingga auditor perlu mengadopsi
cara-cara yang lebih canggih dari menganalisis mereka. Pendekatan standar untuk meninjau sistem toko
adalah untuk mengisolasi sistem tujuan, katakanlah, toko pasokan untuk siklus produksi organisasi dengan
akurat menentukan barang / jasa yang dibutuhkan dan mereka beli dengan biaya minimum dengan
memperhatikan kualitas dan pengiriman persyaratan. Kami kemudian dapat pergi untuk memutuskan
tujuan kontrol yang tepat dari, katakanlah, menjaga saham rendah, memastikan tidak ada saham-out,
hanya pesanan yang valid yang disediakan, mengidentifikasi kebutuhan pengguna dan sebagainya. Risiko
untuk mencapai tujuan pengendalian tersebut akan dipastikan kemudian mekanisme kontrol saat ini
seperti sistem yang kuat informasi, prosedur toko dan persediaan, manajer toko kepala dan sebagainya,
akan dipertimbangkan dalam hal apakah, secara kolektif, mereka mampu benar mengelola risiko
didefinisikan. Pendekatan analisis sistem yang lembut akan menggunakan bentuk logika fuzzy untuk
melihat situasi dengan masalah rekonsiliasi saham rendah memegang dengan risiko saham-out dan
mencoba untuk membangun sebuah model konseptual untuk mengelola risiko bersaing. Model ini akan
membahas akar penyebab masalah dan motivasi dan menyesuaikan praktek saat ini untuk mencari solusi
yang lebih baik yang masuk akal untuk staf yang bekerja di daerah yang bersangkutan. Sistem lembut
pendekatan akan mengatasi asumsi dan posisi yang diambil oleh interpretasi masyarakat terhadap sistem
dan mencoba untuk bekerja melalui perbaikan setuju dengan membawa sudut pandang semua pihak yang
berkepentingan 'lebih dekat bersama-sama. Sebuah sistem review yang bergantung pada interpretasihitam dan putih, yang mengabaikan cara orang melihat kontribusi mereka, akan gagal untuk mengatasi
masalah nyata. kunjungan lagi ke seni berpikir sistem akan berguna di sini sebagai kata akhir pada sistem:
Jadi mencari efek dekat dengan penyebabnya bisa membawa kita ke kesimpulan palsu. Kami juga
dapat disesatkan oleh penjelasan yang masuk akal karena kita cenderung untuk mencari peristiwa
yang menyediakan model ourpre-ada. Ingat bahwa dalam sistem berpikir penjelasan tidak
terletak pada penyebab tunggal yang berbeda, tetapi dalam struktur sistem dan hubungan dalam
it.
-
8/17/2019 Pendekatan Audit
20/176
7.2. Pengendalian Risiko Self-assessment (CRSA)
CRSA adalah alat yang digunakan oleh perusahaan
untuk mempromosikan manajemen risiko dalam tim,
proyek, melalui proses dan umumnya di seluruh
organisasi. Alat ini dapat digunakan oleh dewan eksekutif,mitra, manajemen menengah, tim kerja dan, tentu saja,
audit internal. Dengan kata lain, CRSA merupakan sebuah
alat manajemen dan teknik audit yang tergantung pada
apa yang CAE ingin berlaku untuk proses audit dan
pandangan dari badan hukum. Dalam bentuk yang paling
murni, CSA mengintegrasikan tujuan bisnis dan risiko dan
proses kontrol. Kembali ke model sistem bisnis, kami
menggambarkan di mana CRSA cocok ke proses
pengelolaan risiko pada Gambar 7.12.
Semua sistem bisnis memiliki tujuan, risiko dancara mengelola risiko ini. CRSA adalah proses untuk
menyetujui tujuan yang ditetapkan, mengidentifikasi risiko
yang melekat yang menghentikan salah satu dari pencapaian tujuan dan kemudian bekerja yang risiko
yang paling signifikan. Bab 3 tentang manajemen risiko memberikan informasi tentang siklus manajemen
risiko dan risiko cara dapat dikategorikan dan dinilai. Bagian ini hanya menjelaskan teknik CRSA di mana
ia digunakan dalam modus lokakarya. Setelah mengisolasi risiko utama, anggota tim akan pergi untuk
memperbaiki strategi mereka untuk mengelola risiko, yang akan cenderung berfokus pada pengendalian
internal sebagai komponen utama dari strategi. Catatan Bab bahwa 4 penawaran dengan pengendalian
internal dalam beberapa detail.Memungkinkan tim kerja (atau tim proyek, atau perwakilan dari proses
cross-organisasi) untuk menilai strategi manajemen risiko mereka mengarah ke pemahaman yang lebih
baik tentang risiko tertentu dan kontrol yang bersangkutan, untuk lebih membeli-in sebagai orang setuju
pada pendekatan mereka dan untuk memastikan rencana aksi yang realistis. The CRSA pendekatanmemperkuat pandangan bahwa tanggung jawab untuk kontrol terletak pada orang-orang yang
mengoperasikannya dan orang-orang yang mengelola operasi.
CRSA dan Pengendalian Intern
Beberapa melihat lokakarya CRSA sebagai cara untuk mengembangkan rencana kontingensi
untuk melindungi kepentingan bisnis dan untuk usaha baru yang sedang dikembangkan. Bahkan, banyak
yang melihat pengendalian internal sebagai terutama berkaitan dengan pemulihan bencana dan
perencanaan kontingensi, terutama dalam menanggapi ancaman ancaman teroris. Banyak lokakarya
risiko fokus pada mempertahankan staf kunci, dan menyediakan pengaturan back-up untuk tokoh senior
atau spesialis atas dalam hal kecelakaan atau alasan lain untuk non-ketersediaan mereka. lokakaryalainnya berkonsentrasi pada proyek-proyek tertentu dan cara mengelola risiko untuk proyek yang lebih
besar dan lebih penting. Pandangan tradisional pengendalian internal berkaitan mereka untuk langkah-
langkah seperti otorisasi dan pemisahan tugas digunakan sebagai contoh dalam sistem akuntansi
dasar. Salah satu cara untuk menganalisis dilema ini adalah untuk menunjukkan bahwa ada empat jenis
utama dari lingkungan yang cenderung tunduk pada penilaian risiko yang terdiri dari proses, proyek, orang
dan kesiapan sebagaimana diatur dalam Gambar 7.13.
-
8/17/2019 Pendekatan Audit
21/176
Sementara dalam prakteknya ada
banyak jenis acara CRSA, kami dapat
menyarankan empat pendekatan dasar:
1.
Proses Berikut CRSA digunakan untuk
meninjau kontrol khas ditemukan dalam
proses bisnis dengan maksud untuk
memeriksa apakah kontrol yang kuat dan
memenuhi. Sebuah contoh mungkin
workshop CRSA untuk tim keuangan yang
mempersiapkan kelompok rekening
akhir. Kontrol dasar atas informasi,
penyesuaian, sistem feeder, menutup
rekening, rekonsiliasi dan sebagainya akan
dipertimbangkan dalam terang mengubah risiko (misalnya risiko salah saji keuangan) dan kontrol fine-
tuned di mana diperlukan. Kepatuhan dengan kontrol ini juga menjadi pertimbangan utama. Sistem
pengendalian internal akan cenderung berputar di sekitar prosedur set dan sistem informasi,
yaitu, ' kontrol keras untuk memastikan hal-hal yang dilakukan dengan benar ' .
2.
Proyek CRSA ini acara akan menjadi bagian dari penilaian risiko standar dan persiapan register risiko
yang paling metodologi manajemen proyek merekomendasikan. Risiko proyek akan terdiri dari
kombinasi proyek yang salah dan hasilnya menjadi miskin, terlambat atau melebihi anggaran. Kontrol
akan berputar di sekitar jalan proyek dikelola dan, jika ini melibatkan usaha baru yang besar, seluruh
rangkaian kontrol baru mungkin dirancang dan diterapkan. Fokusnya adalah pada inovasi dan
fleksibilitas dan produksi merek baru kontrol yang sesuai dengan tagihan. Selain itu, risiko juga dapat
dilihat sebagai risiko terbalik itu berarti kita mengambil kontrol berlebihan untuk memastikan peluang
baru dapat dimanfaatkan.
3.
Orang Beberapa lokakarya CRSA mencoba untuk mengatasi masalah orang sebagai pendorongutama. Berikut isu dan masalah yang mempengaruhi cara tim beroperasi dan berhubungan satu sama
lain dalam mengejar tujuan bisnis dianggap. Idenya adalah untuk mengisolasi masalah (risiko) dan
solusi (kontrol) untuk mendorong kinerja yang lebih baik. Fokus pada kontrol lembut dalam hal isu-
isu orang adalah faktor kunci yang mendorong jenis perilaku lokakarya. Mengalami CRSA pendukung
seperti Paul Makosztelah dipromosikan pentingnya kontrol lembut dan menggambarkan mereka
sebagai raksasa tidur. Selain itu, James Roth telah menyarankan bahwa ' Anda benar-benar memiliki
risiko audit kurang bila Anda mencurahkan waktu untuk mengevaluasi kontrol lembut, karena mereka
lebih penting untuk mengendalikan suatu organisasi dari kegiatan pengendalian keras ' .10 Dalam
satu lokakarya berbasis CRSA latar belakang adalah untuk mengidentifikasi mengapa operasi
menderita disfungsi dan untuk:
mengidentifikasi inhibitor saat yang mencegah tim dari melakukan untuk yang terbaik dari
standar kelas;
membayangkan bagaimana layanan dapat meningkatkan dalam jangka pendek, menengah
dan panjang;
menelusuri pada masing-masing inhibitor untuk mengidentifikasi proses dan sistem
kegagalan atau kelemahan yang akan mencegah atau menghambat perbaikan layanan;
mengembangkan rencana aksi rinci diperlukan untuk layanan untuk meningkatkan;
-
8/17/2019 Pendekatan Audit
22/176
berbagi praktek terbaik sedapat mungkin untuk membantu perbaikan sistem / proses.
Lokakarya ini berusaha untuk menilai risiko yang dapat mencegah atau mempercepat
pencapaian tujuan bisnis dan dianggap:
1. bagaimana tim melihat dirinya;
2. bagaimana tim ingin melihat sendiri;
3. perubahan apa yang diperlukan untuk sampai ke sana.
Temuan dari acara tersebut termasuk berikut
• risiko signifikan dan ancaman menghadapi operasi.
•
Risiko ini tidak dikelola dengan baik.
•
Kontrol fokus reaktif, bukan proaktif.
• Pengoperasian tidak berkinerja baik sebagai sebuah tim.
• Tidak ada tujuan layanan dipahami dengan jelas.
•
Banyak silo berada di tempat berdasarkan mana staf berdiri dalam hirarki.
• ini telah menimbulkan budaya menyalahkan - tidak ada kepemilikan kolektif dari masalah.
• Semua staf ingin melihat perbaikan.
• Ada persepsi yang berbeda dari masalah dari staf, supervisor dan manajer.
Serangkaian kelompok fokus didirikan untuk mengatasi masalah dan membantu meningkatkan layanan
berdasarkan rencana aksi dan baru menyepakati visi untuk layanan ini.
4. Kesiapan Jenis lokakarya semakin populer dan terdiri dari mempertimbangkan jenis risiko yang dapat
mempengaruhi integritas sumber daya perusahaan, yaitu, bangunan, staf, pengetahuan, sistem
informasi dan produk atau jasa. Konteksnya adalah kesadaran yang tinggi dari kecelakaan, sabotase,
terorisme dan bencana alam yang dapat memusnahkan semalam aset perusahaan. Lokakarya iniberkonsentrasi pada perencanaan skenario dan hasilnya dalam strategi mitigasi risiko, asuransi dan
rencana kontinjensi sepenuhnya dibiayai. Banyak orang sekarang melihat risiko sebagai terutama
terkait dengan bencana skala luas yang dapat menghentikan sebuah organisasi di
jalurnya. Penekanannya adalah pada perlindungan aset dan mengandung kerusakan potensial untuk
operasi lanjutan dari bisnis.
Hal ini penting untuk memahami jenis (atau campuran jenis) dari peristiwa CRSA sedang
ditargetkan. Ada gunanya dalam mendapatkan tim keuangan untuk benar-benar mendesain ulang
kontrol mereka, ketika banyak berkaitan dengan menetapkan standar dan persyaratan regulator
Ada sedikit ruang untuk berbicara tentang rutinitas kontrol standar untuk tim proyek baru yang
membuat up aturan saat mereka pergi bersama, dan perlu pemikiran baru untuk menangani risikobaru. Orang-orang lokakarya tergantung pada 'outing' orang-orang masalah yang perlu ditangani
dan tidak merancang prosedur sementara mengabaikan hambatan yang jelas untuk kinerja
karena hubungan buruk.
Akhirnya, workshop kesiapan mulai dengan premis bahwa risiko menimbulkan ancaman nyata dan
serius untuk bisnis dan seluruh kantor dapat diambil oleh, misalnya, serangan teroris. Keberhasilan
industri CRSA adalah karena cara tujuan kelompok / bisnis digunakan sebagai lensa untuk
-
8/17/2019 Pendekatan Audit
23/176
memfokuskan energi yang dibuat selama lokakarya. Banyak kejadian pengembangan kelompok yang
menyenangkan tapi kehilangan titik, dalam bahwa mereka tidak benar-benar berhubungan dengan
tujuan bisnis. CRSA umumnya positif karena apa pun yang membawa orang lebih dekat untuk
memahami dan mencapai tujuan mereka adalah berharga.
Latar Belakang CRSA
The IIA mengeluarkan perspektif tentang perkembangan CSA kembali pada tahun 1998 yang
menceritakan tentang sejarah teknik ini:
Kontrol self-assessment, metodologi dimulai pada Teluk Kanada pada tahun 1987, adalah alat
yang ampuh yang dapat digunakan untuk menilai efektivitas pengendalian serta proses bisnis
dalam organisasi. Pendekatan yang Teluk Kanada dikembangkan disebut pendekatan self-
assessment pertemuan difasilitasi. Konsep ini melibatkan manajemen pengumpulan dan staf
untuk wawancara yang berkaitan dengan, dan diskusi, masalah atau proses tertentu. Hal ini
digunakan sebagai mekanisme untuk menilai kontrol informal atau lembut, serta kontrol keras
tradisional. Gulf Kanada melihat pendekatan ini lebih efektif untuk tujuan CSA dari interviews.11
satu-ke-satu Audit
David McNamee juga terkait latar belakang untuk CSA:
Control Self Assessment biasanya didefinisikan hanya sebagai keterlibatan manajemen dan staf
dalam penilaian pengendalian internal dalam kelompok kerja mereka. Ada sejumlah cara untuk
mencapai tujuan ini, dari lokakarya yang sangat interaktif berbasis pada model perilaku di salah
satu ujung spektrum audit diri kuesioner pengendalian internal dikemas di ujung, dan sejumlah
teknik di antara . . . Ada enam metode untuk CSA digunakan saat ini. Metode berkisar dari yang
paling mekanik (kontak manusia mungkin setidaknya) Audit dikelola sendiri oleh Control
Kuesioner Intern (ICQ) untuk paling perilaku (kontak yang paling manusia) lokakarya
kelompok. Banyak publisitas telah diberikan ke sisi perilaku CSA, tetapi ada praktisi CSAmendapatkan hasil yang baik dari metode selain processes.12 kelompok
perspektif IIA pada CSA menunjukkan bahwa pendekatan yang dipilih harus berhubungan dengan
budaya dalam organisasi: 'jika budaya mendukung, IIA merekomendasikan difasilitasi pertemuan
tim. Dalam acara budaya perusahaan tidak mendukung pendekatan CSA partisipatif, tanggapan kuesioner
dan analisis pengendalian internal dapat meningkatkan lingkungan pengendalian. audit internal harus
siap untuk memvalidasi pernyataan apapun pengendalian internal received.'13 Kembali pada tahun 1993,
orang-orang seperti Tom Oxley sudah berbicara tentang teknik baru:
Apa yang begitu baik tentang pengendalian dan penilaian risiko diri? Hal ini memaksa manajer
dan staf mereka untuk berpikir sangat hati-hati tentang tujuan mereka dan orang-orang dariorganisasi. Hal ini membutuhkan secara sistematis untuk mengidentifikasi, membahas dan menilai semua
risiko yang mereka hadapi, untuk memutuskan apakah akan menerima risiko ini atau apakah akan
mengambil tindakan untuk mengurangi tingkat risiko dengan mengubah pendekatan mereka atau
mencari cara baru untuk mengendalikan risiko. Akibatnya CRSA menempatkan tanggung jawab yang jelas
untuk kontrol dengan manajer lini, tempatnya; dan prosedur yang digunakan memastikan bahwa manajer
dan staf mereka sepenuhnya terlibat dalam, serta bertanggung jawab, kontrol dan penilaian risiko. Ini
menyediakan cara yang sangat efektif untuk mengidentifikasi dan menilai risiko bisnis utama, dan
-
8/17/2019 Pendekatan Audit
24/176
memastikan komitmen yang lebih besar untuk bertindak dengan manajemen karena ide-ide yang tidak
sedang dikenakan pada mereka. Paling penting dari semua, prosedur memastikan bahwa perhatian
difokuskan secara teratur pada tujuan sebenarnya dari organisasi. Sangat proses identifikasi risiko
memberikan manajer dan staf kesadaran yang lebih jelas tentang apa yang mereka dan organisasi
berusaha untuk mencapai, sesuatu yang kurang dalam banyak organisations.14
Peran Internal Audit
The IIA telah menerima aspek konsultasi membantu untuk membangun CRSA dalam organisasi
dengan latar belakang keahlian auditor internal di daerah ini. Profesional Praktek Pamflet 98-2 membuat
jelas bahwa 'The IIA merekomendasikan menggunakan sinergi yang diciptakan oleh interaksi auditor-
fasilitator dan CSA peserta untuk menambah nilai meningkat menjadi organisasi melalui function.'15 audit
internal
Beberapa auditor internal merasa perlu untuk berdiri kembali dari drive CRSA dan memungkinkan
manajemen untuk bertanggung jawab penuh untuk mengelola risiko operasional. Lain telah dilemparkan
sendiri ke dalam pengembangan dan memimpin dari depan di bawah 'nilai tambah' banner. Yang lain
memulai CRSA dalam organisasi mereka kemudian berdiri kembali dan memvalidasi sistem ketika telah
menetap sampai batas tertentu. Tidak ada solusi yang terbatas dan banyak tergantung pada pendekatan
yang diadopsi. Apapun format akhir, auditor internal harus dilengkapi dengan keterampilan yang tepat
untuk melakukan peran Audit Perhatikan bahwa bagian berikutnya memiliki rekening singkat
keterampilan fasilitasi. Ada saran lebih lanjut tersedia dari IIA dalam bentuk Praktek Penasehat 2.120,1
dan ekstrak yang bersangkutan pada tempat audit internal cocok ke dalam persamaan keseluruhan
berikut:
Menentukan efektivitas proses self-assessment manajemen melalui pengamatan, tes langsung
kontrol dan monitoring prosedur, pengujian akurasi informasi yang digunakan dalam kegiatan
monitoring, dan teknik lain yang sesuai.
Aspek positif dari CRSA untuk audit internal di masa lalu telah dikonfirmasi oleh IIA.UK & Irlandia:
•
Secara keseluruhan, kami percaya bahwa Internal Audit memiliki peran untuk bermain dalam
setiap CRSA Program tetapi peran ini perlu didefinisikan secara jelas dan harus sama sekali tidak
mengurangi independensi dan peran penting yang sudah memainkan dalam organisasi . ( Para .
5.12)
• Sebagai manajemen lini menjadi lebih mahir dalam penerapan CRSA dan hasilnya diterima oleh
manajemen dan audit yang komite senior, Audit Internal ' peran dan kontribusi s
ke organisasi dapat ditempatkan di bawah beberapa pengawasan.Penggantian fungsi Internal
Audit oleh CRSA didirikan dan komprehensif Program bisa dilihat dangkal sebagai menghemat
biaya latihan yang menarik. Ini adalah pandangan keliru, karena manajemen dan pemangku
kepentingan lainnya yang kemungkinan akan terus membutuhkan tingkat jaminanindependen. Ini dapat dicapai melalui fungsi Internal Audit yang efektif. ( Para . 5.13) 16
-
8/17/2019 Pendekatan Audit
25/176
Apakah Ada Proses CRSA?
Tidak jelas ada salah satu cara untuk melakukan lokakarya CRSA. Dalam prakteknya, banyak
organisasi telah menafsirkan proses agar sesuai dengan cara orang yang bekerja. Beberapa menyebutnya
workshop manajemen risiko bisnis; beberapa menggambarkan mereka sebagai acara membangun tim
berbasis di sekitar mengklarifikasi tujuan tim. Salah satu organisasi besar menggunakan proses CRSAuntuk melaksanakan program perubahan besar yang melihat tim regional benar-benar ditata ulang dalam
waktu yang singkat dari beberapa enam bulan. Risiko terbesar yang mereka hadapi tidak mencapai
reorganisasi benar. organisasi lain tidak bisa mendapatkan orang-orang mereka bersama-sama dalam
lokakarya dan hanya bisa menggunakan pendekatan berbasis kuesioner dengan waktu ekstra
ditambahkan ke pertemuan kelompok untuk membahas area risiko. Mereka kemudian mendirikan
sejumlah kecil kelompok perwakilan untuk menganalisis risiko di proses organisasi-lebar, dan termasuk
beberapa stakeholder untuk memastikan semua pandangan dianggap.Satu otokratis, organisasi berbasis
kantor pusat hanya mengirimkan hasil dari penilaian risiko perusahaan mereka dan mengatakan kepada
orang-orang mereka untuk melakukan sesuatu yang serupa di kantor lokal mereka. Di sisi lain, badan lebih
ke depan harus orang-orang mereka untuk memeluk proses CRSA dan menerbitkan pedoman untuk tim
lengkap dari fasilitator yang dipimpin oleh petugas risiko kepala; semua dilengkapi dengan sistem
informasi basis data yang canggih untuk setiap daftar risiko dan profil risiko kode warna, bersama dengan
teknologi suara mahal untuk lokakarya. Dalam prakteknya sering lebih baik untuk memungkinkan setiap
organisasi untuk mengembangkan solusi mereka sendiri daripada mendatangkan konsultan dengan paket
standar industri. Hasil dari pendekatan yang dilakukan ini sedang dikembangkan dalam budaya yang
merupakan bagian dari cara organisasi bekerja. konsultan eksternal harus benar-benar bekerja bersama
orang pemberi pekerjaan dan melewati keterampilan kepada karyawan. Ketika orang didakwa dengan
menyiapkan CRSA berasal dari departemen keuangan, akan cenderung menjadi fokus yang sempit pada
konsep penilaian risiko. Salah satu pendekatan terbaik adalah untuk mencari tanggung jawab awal untuk
menyiapkan proses dengan petugas perencanaan perusahaan, sehingga hubungan antara manajemen
risiko, perencanaan dan manajemen kinerja ditetapkan secara jelas. Jika ada sponsor papan formal,
pemantauan ketat oleh komite audit dan seorang petugas risiko kepala dicalonkan (misalnya dari
perencanaan perusahaan), maka kita baik pada cara untuk keberhasilan pelaksanaan manajemen risiko.
satu Pendekatan
Hal ini dimungkinkan untuk menyebutkan satu pendekatan untuk mengembangkan CRSA dalam
sebuah organisasi, meskipun ini harus tercantum secara umum saja (perhatikan bahwa lokakarya CRSA
rinci harus dilakukan setelah menyelesaikan staf risiko dan pengendalian seminar kesadaran seperti
diuraikan dalam Bab 2 dan 3:
1. Pastikan petugas risiko yang ditunjuk sepenuhnya berkenalan dengan teori tata kelola
perusahaan, manajemen risiko dan pengendalian.
2.
Berbicara dengan perusahaan lain, dan orang-orang yang memiliki pengalaman dalammengembangkan CRSA dalam organisasi mereka; atau menyewa konsultan untuk melakukan
seminar tentang topik.
3. Pastikan ada beberapa keahlian yang tersedia di fasilitasi dan keterampilan terkait.
4. Memperkenalkan konsep CRSA - memberitahu dewan dan komite audit tentang hal itu dan di
mana ia cocok menjadi aspek yang lebih luas dari manajemen risiko perusahaan-lebar. Jika
organisasi memiliki sebuah konferensi tahunan maka ini akan menjadi kesempatan yang baik
untuk memulai inisiatif.
-
8/17/2019 Pendekatan Audit
26/176
5. Dapatkan papan untuk mendukung kerangka kontrol yang sesuai yang untuk engsel sistem
pengembangan manajemen risiko. Skor risiko dapat diukur terhadap model kontrol seperti COSO
atau CoCo menggunakan kategori yang disarankan dalam setiap model.Perlu ada cara mencetak
gol atau menyajikan risiko seperti tindakan Hijau, Amber dan Red yang menggunakan beberapa
organisasi. Bab 3 penawaran dengan topik ini. Beberapa organisasi mengembangkan serangkaian
standar kontrol dalam hal apa yang harus terjadi, meliputi bidang-bidang seperti etika staf, misi
dan visi, kompetensi staf, target kinerja, informasi manajemen, pelaporan keuangan, penipuan,
prosedur operasional, pengawasan dan sebagainya (katakanlah 10 sampai 20 standar) dan
kemudian mengukur eksposur risiko terhadap standar-standar ini. Organisasi lain overlay risiko
ke dalam unsur-unsur dari sistem manajemen kinerja seperti balanced scorecard atau komponen
dari model kualitas diadopsi seperti Yayasan Eropa untuk Manajemen Mutu (EFQM). Organisasi
budaya kontrol cenderung ingin papan bawah risiko ke dalam standar kontrol diatur sehingga
mereka mungkin terkandung. Organisasi dengan budaya risiko yang berfokus cenderung lebih
menggunakan risiko untuk mendorong model pengembangan strategis mereka dengan cara yang
lebih inovatif.
6. Dapatkan komite dewan dan audit untuk melakukan lokakarya CRSA mereka sendiri pada akhir
pertemuan formal dan menggunakan pengalaman dan hasil untuk mendorong inisiatif.
7.
Jika audit internal memimpin bergerak, kemudian melakukan workshop dalam toko auditinternal. Ingat piagam audit harus mengacu pada layanan yang disediakan dan jika ini harus
mencakup fasilitasi CRSA, kemudian mengubah piagam yang sesuai.
8. Mendapatkan sponsor tingkat papan untuk Program dan mulai perencanaan. Bekerja melalui
cara-cara menghindari inisiatif yang berlebihan dengan menanamkan CRSA ke dalam cara bisnis
beroperasi melalui perencanaan, komunikasi, keputusan -membuat dan manajemen kinerja
sistem.
9. Melakukan roadshow perusahaan dan memperkenalkan konsep pelaporan tata kelola
perusahaan dan kebutuhan untuk manajemen risiko didokumentasikan. Pastikan semua manajer
kunci memahami proses CRSA.
10. Dapatkan fasilitas yang tepat untuk melakukan lokakarya CRSA. Ini akan mencakup sistem
pelaporan risiko (berdasarkan daftar risiko), software pemungutan suara elektronik (jika inidianggap penting - beberapa hanya menggunakan ' Post-it notes ' untuk efek yang baik),
akomodasi yang sesuai dan paling penting dari semua - waktu yang tersedia untuk tim sehingga
mereka dapat menghadiri acara.
11. Menyediakan bahan untuk semua orang di intranet perusahaan - dengan informasi yang berguna,
latihan online singkat dan kontak untuk informasi lebih lanjut. Ini mungkin ide untuk memasukkan
panduan singkat untuk lokakarya CRSA ke intranet, atau memilikinya dikirim ke staf kunci.
12. Berbicara dengan manajer untuk tim lokakarya tersebut dan melakukan beberapa persiapan
dalam hal yang harus hadir dan logistik dasar. Kita mungkin ingin antara, katakanlah, 10 dan 15
orang per lokakarya. Tentukan fokus, mengingat pendekatan yang berbeda dan jenis lokakarya
CRSA menggunakan proses, proyek, orang atau kategori kesiapan jika sesuai.
13. Seluruh sistem penilaian risiko harus menjadi bagian dari drive manajemen risiko perusahaan-
lebar dan ditempa di sekitar bagian atas papan-level 10 risiko dan kebijakan risiko yang
diterbitkan. Isu briefing papan reguler pada kemajuan sampai saat ini.
14. Ini mungkin ide untuk melakukan lokakarya percontohan di daerah yang dapat
menghasilkan ' quick wins ' , tanpa mengambil bagian yang sangat sulit dari bisnis dengan
masalah bercokol bahwa akan sulit untuk berbalik dengan cepat.
15. Mengevaluasi hasil pilot dengan sponsor papan dan menyesuaikan pendekatan yang sesuai.
16. Mengkompilasi beberapa materi pre-event untuk setiap peserta (misalnya kebijakan risiko - lihat
Bab 3 - dan pertanyaan menantang beberapa) dan mengirimkannya di muka. Pastikan ada hotline
-
8/17/2019 Pendekatan Audit
27/176
untuk masing-masing peserta untuk setiap pertanyaan.Atau hubungi masing-masing peserta
untuk pembicaraan singkat melalui telepon dan membahas acara yang direncanakan.Kebanyakan
orang khawatir tentang peristiwa tim dan merasa ada beberapa agenda tersembunyi yang sedang
dikembangkan di tingkat senior.
17. Periksa tempat ini cocok untuk para peserta dan bahwa perjalanan, akomodasi dan hal-hal praktis
telah ditangani. Seluruh proses harus menimbulkan positif semua bulat.
18.
Bertemu dan menyapa para peserta dan mengenal mereka sebelum dimulainya resmi
lokakarya. Tindak lanjut atas apa yang telah dibahas dengan mereka di pra-kursus tahap
kontak. Fasilitator dan juru tulis harus memperkenalkan diri kepada kelompok dan membuat jelas
apa yang mereka ketahui tentang tim dan apa yang mereka tidak tahu. Fasilitator hanya
perlu menjadi ahli dalam mendapatkan yang terbaik dari orang-orang dan memastikan bahwa
tujuan lokakarya yang baik dicapai dan diraih. Beritahu kelompok apa yang akan terjadi dan
bagaimana mereka harus berkontribusi.
19. Beberapa percaya bahwa aturan lokakarya harus dirancang oleh para peserta pada topik-topik
seperti semua orang harus memberikan kontribusi, tidak ada dominasi dari manajer lini,
melangkah di luar kotak melalui dorongan dari orang lain hadir, mendengarkan, menghormati
pandangan dan tidak melanggar kebijakan perusahaan tentang perilaku dan keragaman, dan
seterusnya.20. Mungkin ide untuk mendapatkan pembicara utama untuk memperkenalkan bengkel, mengatakan
seorang manajer senior (atau petugas risiko kepala) atau, idealnya, papan sponsor (meskipun
orang ini akan sangat sering tidak tersedia). Dapatkan peserta untuk memperkenalkan diri
mereka secara individual dan memastikan ada sesi tanya jawab di awal.
21. Memulai acara dengan tujuan yang jelas. Ini mungkin membaca sesuatu seperti ini: untuk
mendapatkan peserta untuk mempersiapkan saling mengerti (dan setuju) tujuan,
mengidentifikasi dan menilai risiko dan kemudian mengembangkan strategi manajemen risiko
ditentukan dalam hubungannya dengan sistem yang ada kontrol dan setiap perbaikan yang
diperlukan; dan bahwa hasilnya akan membentuk bagian dari risiko yang formal sistem pelaporan
manajemen untuk mendukung diterbitkan pandangan perusahaan pada pengendalian
internal. Gunakan tujuan bisnis utama dan, katakanlah, lima atau lebih mendukungtujuan. Kelompok ini dapat dibagi menjadi sub kelompok berurusan dengan sub-tujuan, meskipun
ada kemungkinan hanya untuk meminta kelompok bagaimana mereka ingin bermain (asalkan
tujuan lokakarya keseluruhan tercapai).
22. Ini mungkin ide untuk melakukan presentasi singkat tentang tata kelola perusahaan, manajemen
risiko dan pengendalian di awal.Idealnya, ini akan telah dilakukan pada staf kesadaran seminar
tentang manajemen risiko dan pengendalian internal.Memperkenalkan konsep risiko mendaftar.
23. Pergi melalui tahapan standar proses CRSA termasuk menyetujui tujuan, menetapkan konteks
dengan mendapatkan kelompok untuk membahas manajemen kinerja mereka, perencanaan
dan pengambilan keputusan dan isu perubahan yang dihadapi daerah yang bersangkutan. Waktu
dapat dihabiskan membahas tahapan siklus pengambilan keputusan di area kerja dan
jugamenganalisis eksternal stakeholder dan internal dan membahas bagaimana pandangan
mereka dicatat oleh tim.
24. Dapatkan kelompok untuk melakukan brainstorming risiko operasional secara acak dan kemudian
mereka dapat mengklasifikasikan mereka dan memberikan suara pada kepentingan relatif
mereka - dalam hal dampak dan kemungkinan.Berakhir dengan 10 atau lebih risiko untuk
mencapai tujuan bisnis atau tidak melakukan lebih dengan memanfaatkan barupeluang.
25. Mungkin perlu melakukan presentasi singkat tentang pengendalian internal dan apa artinya ini
dalam praktek, dan perbedaan antara kontrol keras dan lembut. Bahan yang cocok dapat diambil
dari staf seminar kesadaran ditemukan dalam Bab 4.
-
8/17/2019 Pendekatan Audit
28/176
26. Mulai tahap pemecahan masalah - ini dapat dilakukan pada acara yang terpisah (atau setelah
makan siang istirahat) sehingga dapat memperkuat pindah dari identifikasi masalah (penilaian
risiko) untuk masalah solusi (manajemen risiko).
27. Membuat hubungan antara tujuan, risiko, sebab dan akibat yang jelas. Pemecahan masalah
adalah tentang melihat penyebab masalah dan tidak hanya efek. Sebuah cerita sederhana dapat
digunakan untuk menggambarkan ide ini:
Osteopati kita tahu memberitahu kami tentang salah satu pasiennya dengan nyeri leher
yang parah. Mengobati leher langsung tidak berpengaruh dan butuh beberapa minggu
untuk sampai ke bawah kesulitan. Pasien telah menyakiti ibu jari kaki kanannya.Hal ini
menyebabkan dia berjalan sedikit canggung, menggeser berat badannya dari kaki
menyakitkan, dan ini meletakkan beban yang sedikit berbeda pada pinggulnya. Kelompok
otot di punggung dan leher diperketat untuk mengkompensasi, dan otot ini pengetatan
menyebabkan pain.
28. Pastikan lokakarya sepenuhnya didokumentasikan dan disepakati dengan rencana aksi yang
dihasilkan memberikan rincian dari pemilik risiko, khusus dari tindakan yang diperlukan, tanggal
dan langkah-langkah untuk memastikan tindakan yang diambil memiliki hasil yangdibutuhkan. rencana aksi ini harus dimasukkan ke dalam perencanaan dan pengambilan
keputusan mekanisme untuk mempromosikan integrasi CRSA ke dalam budaya bisnis.
29. Menutup sesi dengan ' orang check ' - yang memerlukan terjadi di sekitar ruangan dan meminta
setiap orang untuk meringkas pengalaman mereka dan apa yang mereka dapatkan dari acara
tersebut dan apakah mereka memiliki poin lebih lanjut untuk menambahkan.
30. Penilaian risiko harus menjadi agenda sama sekali pertemuan kelompok, konferensi dan acara
staf - setiap kali ada masalah atau perubahan yang diajukan, acuan harus dibuat ke daftar risiko
saat ini dan perubahan memutuskan.
31.
Menggelar program yang melalui dan seluruh organisasi dan pastikan sistem pelaporan masuk
akal dan risiko dikelola secara dipercepat, yang memungkinkan papan untuk tahu tentang risiko
tak tanggung-tanggung serius dan yang dapat dipantau mendesak atau dengan laporan sering.32. Pastikan daftar risiko adalah dokumen hidup yang ditinjau setiap kali risiko material berubah dan
setidaknya beberapa kali selama tahun.
33. Membuat setiap lokakarya proses pembelajaran yang menghasilkan tidak hanya dalam rencana
aksi untuk pemilik risiko / proses tetapi juga lebih baik menggunakan format lokakarya dan cara
itu difasilitasi.
34. Proses CRSA terbaik membuat risiko pendorong utama untuk keputusan bisnis dan pertemuan
penilaian kinerja karyawan harus mulai dengan mengacu pada daftar risiko yang paling dekat
hubungannya dengan karyawan yang bersangkutan.
Prosedur sederhana di atas tidak selalu bekerja dan Mike Pidzamecky telah memperingatkan tentang
beberapa alasan mengapa CSA telah gagal dari perspektif audit yang
•
. Kurangnya tubuh umum pengetahuan dan proses cetak biru dasar untuk semua untuk
menggunakan.
•
Kurangnya pengembangan pelatihan dan keterampilan yang baik.
• Kegagalan untuk mengintegrasikan model kontrol ke dalam semua pekerjaan audit.
• audit manajemen Stubborn yang tidak bisa melihat melampaui approaches.18 audit tradisional
-
8/17/2019 Pendekatan Audit
29/176
Sementara itu, Andrew Chambers telah meminta auditor internal untuk bangkit untuk menantang:
CRSA, seperti lingkaran kualitas mungkin satu dekade yang lalu, telah menangkap mood kali. Jika
kita membedah kita menemukan campuran dari praktek-praktek tradisional sering dilapis dengan
teknologi modern. Ini mungkin tidak berlangsung selamanya. Sangat mungkin untuk mengubah
dirinya - mungkin sekarang dalam bentuk manajemen risiko perusahaan-lebar. Meskipun pro dan
kontra, lebih mudah untuk mendukung CRSA pada prinsipnya daripada memberikan memastikan
substansi dalam praktek. Tapi kemudian, pemantauan pengendalian intern yang efektif tidak
pernah straightforward.
7.3. Keterampilan Fasilitasi
Proses CRSA tergantung pada lingkungan pengendal