BAB 13MELAKUKAN JAMINAN KETERLIBATANTujuan Pembelajaran Jelaskan
bagaimana tujuan keterlibatan jaminan dampak tujuan audit.
Menentukan tujuan keterlibatan dan pernyataan lingkup. Menjelaskan
berbagai jenis dan sumber informasi yang akan membantu auditor
internal memahami proses melakukan keterlibatan jaminan. Dokumen
arus proses yang sederhana, menunjukkan langkah kunci proses,
antarmuka, dan departemen yang terlibat. Melakukan penilaian risiko
tingkat proses. Membedakan kontrol utama dari kontrol tidak
dianggap penting. Jelaskan bagaimana untuk mengevaluasi kecukupan
desain kontrol proses tingkat. Desain berbagai jenis pendekatan
pengujian, tergantung pada desain tujuan proses dan keterlibatan.
Mengembangkan program kerja umum untuk memandu proses pertunangan.
Jelaskan pertimbangan sumber daya yang harus dievaluasi ketika
menentukan bagaimana untuk staf dan jadwal pertunangan. Melakukan
dan mendokumentasikan jenis tes untuk mengumpulkan bukti.
Mengevaluasi bukti dari prosedur jaminan untuk mencapai kesimpulan
berdasarkan hasil pengujian. Mengembangkan pengamatan dan
merumuskan rekomendasi.STANDAR PROFESIONAL DAN PRAKTEK nasihat
RELEVAN UNTUK BAB 132200 - Keterlibatan Perencanaan2201 -
Pertimbangan Perencanaan2210 - Tujuan Engagement2220 - Keterlibatan
Lingkup2230 - Engagement Alokasi Sumber Daya2240 - Engagement
Program Kerja2300 - Pertunjukan Engagement yang2310 -
Mengidentifikasi Informasi2320 - Analisis dan Evaluasi2330 -
Mendokumentasikan Informasi2340 - Pengawasan EngagementPraktek
Penasehat 2200-1: Perencanaan EngagementPraktek Penasehat 2210-1:
Tujuan EngagementPraktek Penasehat 2210.A1-1: Penilaian Risiko
dalam Perencanaan EngagementPraktek Penasehat 2230-1: Keterlibatan
Alokasi Sumber DayaPraktek Penasehat 2240-1: Program Kerja
EngagementPraktek Penasehat 2330-1: Mendokumentasikan
InformasiPraktek Penasehat 2330.A1-1: Kontrol Keterlibatan
RekamanPraktek Penasehat 2330.A2-1: Retensi ArsipPraktek Penasehat
2340-1: Keterlibatan PengawasanBab ini menjelaskan berbagai langkah
yang diperlukan untuk melakukan keterlibatan jaminan
kontrol-terfokus. Secara khusus, seperti yang digambarkan dalam
Exhibit 13-2, yang memperkenalkan sebagai Bukti 12-2 dalam bab
sebelumnya, Anda akan mempelajari langkah-langkah kunci yang
diperlukan untuk merencanakan dan melaksanakan keterlibatan
jaminan.Bagian pertama bab ini berfokus pada langkah-langkah
perencanaan. Hal ini tercakup dalam kedalaman yang cukup sebagai
perencanaan yang efektif merupakan bagian integral untuk melakukan
keterlibatan sukses. Pelaksana langkah-langkah ini memberikan
keyakinan bahwa pertunangan akan (1) lengkap, (2) menyelaraskan
dengan tujuan organisasi, dan (3) mendukung piagam fungsi audit
internal. Setelah meninjau bagian ini, Anda harus sepenuhnya
menghargai ekspresi, "gagal merencanakan berarti Anda berencana
untuk gagal."Bagian kedua dari bab difokuskan pada pelaksanaan
program tes yang dirancang selama tahap perencanaan. Sedangkan uji
audit yang melakukan biasanya membutuhkan waktu lebih lama daripada
merencanakan pertunangan, bagian ini lebih pendek dari bagian
perencanaan karena ada relatif sedikit langkah kunci, langkah ini
hanya dilakukan berulang-ulang untuk menguji pernyataan kontrol
yang berbeda. Kegiatan kinerja keterlibatan jaminan dibahas dalam
Bab 12, "Pengantar Proses Engagement." Selain itu, teknik untuk
mengevaluasi dan melaporkan pengamatan audit dibahas dalam Bab 14,
"Berkomunikasi Jaminan Hasil Keterlibatan dan Performing Tindak
lanjut Prosedur." Oleh karena itu, bagian kinerja bab ini
difokuskan pada penerapan konsep-konsep, daripada ulangan mereka.
Informasi yang terdapat dalam bab ini memberikan pemahaman yang
solid tentang bagaimana untuk merencanakan dan melaksanakan hampir
semua keterlibatan jaminan.THE JAMINAN KETERLIBATAN
PROSESMENENTUKAN TUJUAN KETERLIBATAN DAN SCOPEAlasan Melakukan
EngagementAda berbagai jenis keterlibatan jaminan dan mungkin ada
alasan yang berbeda untuk melakukan salah satu dari mereka. Jenis
keterlibatan dan alasan untuk melakukan hal itu secara signifikan
dapat mempengaruhi bagaimana pertunangan dilakukan. Oleh karena
itu, penting untuk memahami alasan untuk melakukan pertunangan
sebelum memulai perencanaan.Ada sejumlah alasan untuk melakukan
keterlibatan jaminan, termasuk, namun tidak terbatas pada:
Keterlibatan ini diidentifikasi dalam rencana audit internal
tahunan karena risiko yang melekat diidentifikasi selama proses
penilaian risiko bisnis, risiko terdeteksi terakhir kali daerah itu
diaudit, dan faktor-faktor lain yang relevan. Untuk keterlibatan
tersebut, auditor internal harus memahami apa risiko bisnis yang
mendasari menyebabkan keterlibatan untuk dimasukkan dalam rencana,
dan kemudian merancang rencana pertunangan untuk memberikan jaminan
yang tepat mengenai kecukupan desain dan efektivitas operasi
pengendalian yang diterapkan untuk mengurangi risiko tersebut.
Keterlibatan adalah bagian dari kebutuhan tahunan untuk
mengevaluasi sistem organisasi pengendalian intern untuk tujuan
pelaporan eksternal, seperti AS Sarbanes-Oxley Act of 2002 Pasal
404 persyaratan di Amerika Serikat dan hukum pelaporan keuangan
serupa di negara lain. Untuk keterlibatan tersebut, auditor
internal harus memastikan bahwa keterlibatan ini dirancang untuk
menguji area yang tercakup dalam peraturan yang mendasari
(misalnya, memberikan jaminan mengenai kecukupan desain dan
efektivitas operasi pengendalian internal atas pelaporan keuangan).
Sebuah acara baru-baru ini (misalnya, bencana alam, penipuan, atau
kebangkrutan pelanggan) telah menguji proses di bawah kondisi yang
tidak biasa dan manajemen menginginkan "post mortem" untuk
menentukan di mana proses itu efektif dan mana tidak. Untuk
keterlibatan tersebut, auditor internal harus menyesuaikan
pengujian dan evaluasi di sekitar peristiwa tertentu yang terjadi.
Perubahan dalam bisnis atau industri membutuhkan modifikasi
langsung ke proses dan manajemen menginginkan validasi cepat yang
modifikasi ini tampaknya dirancang tepat untuk mengatasi perubahan.
Untuk keterlibatan ini, auditor internal dapat melakukan audit
kontrol yang berfokus penuh atau mereka mungkin lingkup untuk fokus
hanya pada kontrol yang berubah.Mungkin ada faktor lain, selain
yang tercantum di atas, yang membuatnya penting bagi tim audit
internal untuk menyadari alasan atau driver yang menyebabkan
keterlibatan yang akan dilakukan. Misalnya, alih-alih mencari
kepastian mengenai pernyataan yang berbeda dibahas di atas,
manajemen mungkin menginginkan pertunangan dilakukan untuk menilai
bagaimana proses kinerja relatif terhadap harapan. Jenis
keterlibatan mungkin memerlukan tes yang berbeda untuk memberikan
penilaian itu. Terlepas dari alasan untuk melakukan pertunangan,
memahami alasan seperti ini akan membantu memastikan bahwa tujuan
keseluruhan, ruang lingkup, dan fokus dari alamat keterlibatan
mereka driver dan waktu tidak dikhususkan untuk yang lain, driver
kurang penting.Menetapkan Tujuan EngagementSetelah alasan untuk
keterlibatan jaminan dipahami, tujuan keterlibatan formal harus
ditetapkan. Tujuan-tujuan ini, yang biasanya dinyatakan dalam
jaminan komunikasi keterlibatan akhir, mengartikulasikan khusus apa
keterlibatan sedang mencoba untuk menyelesaikan. Sementara tujuan
dapat dinyatakan dalam berbagai cara, harus jelas apa jaminan
pertunangan akan menyediakan. Misalnya, tujuan bisa mulai dengan
kalimat berikut (kata kerja yang berbeda dapat digantikan untuk
yang digunakan dalam contoh ini): Mengevaluasi kecukupan desain. .
. Menentukan efektivitas operasi. . . Menilai kepatuhan. .
Menentukan efektivitas dan efisiensi. . . Mengevaluasi akurasi. .
Menilai pencapaian. . . Menentukan kinerja Menentukan efektivitas
dan efisiensi ... Mengevaluasi akurasi ... Menilai pencapaian ...
Menentukan kinerja ...Lingkup KeterlibatanSetelah tujuan
keterlibatan telah ditetapkan, ruang lingkup keterlibatan harus
ditentukan. Sejak keterlibatan mungkin tidak mencakup segala
sesuatu yang dapat diaudit berkaitan dengan tujuan keterlibatan,
pernyataan ruang lingkup khusus harus menyatakan apa atau tidak
termasuk dalam keterlibatan. Pernyataan lingkup tersebut dapat
mencakup: Batas dari proses. Sementara beberapa proses kecil dan
mandiri, banyak yang sangat luas dan tumpang tindih dengan proses
lainnya. Oleh karena itu, penting untuk mendefinisikan apa titik
dalam proses keterlibatan akan dimulai dan dimana akan berakhir.
Dalam-lingkup dibandingkan out-of-lokasi. Untuk proses yang
mencakup beberapa lokasi, hanya beberapa lokasi tersebut dapat
dimasukkan dalam keterlibatan. Subproses. Sebagian diskrit dan
dikenali atau komponen dari sebuah proses. Komponen. Bagian-bagian
tertentu, atau komponen, dari sebuah proses dapat
diabaikan.Kerangka waktu. Keterlibatan dapat mencakup satu tahun
kalender, 12 bulan sebelumnya, atau beberapa kerangka waktu
lainnya.Hasil yang diharapkan dan PublikasiSebelum pindah ke
langkah berikutnya dalam proses perencanaan, pada tugas akhir harus
dilakukan. Masing-masing dijelaskan lebih lengkap sebagai berikut:
Potensi hasil tes yang akan dilakukan selama keterlibatan. Mampu
mengantisipasi berbagai jenis pengujian pengecualian yang dapat
diidentifikasi dalam keterlibatan yang diberikan membantu rencana
uji internal auditor untuk memberikan jaminan reaasonable bahwa
perbedaan tersebut terdeteksi. Pengecualian khas meliputi:
Kesalahan statment keuangan atau misclassifications dalam rekening
keuangan, saldo, atau pengungkapan. Kontrol kekurangan menunjukkan
kontrol tertentu yang tidak mencapai efek yang diinginkan, yaitu,
mengurangi risiko sesuai dengan tingkat yang diinginkan. Kekurangan
dalam pencapaian tujuan, karena kekurangan kontrol atau kinerja
yang tidak memadai. Inefisiensi karena sumber daya tidak digunakan
secara optimal. Situasi out-of-kepatuhan saat hukum, peraturan,
atau kebijakan tidak dipenuhi secara konsisten.Auditee pengecualian
mengenai keterlibatan.Anak perusahaan, unit bisnis, departemen,
kelompok, atau bagian ketatanegaraan didirikan lain dari suatu
organisasi yang merupakan subjek dari keterlibatan jaminan.
Jenis-jenis komunikasi meliputi: Lingkup penuh, laporan internal
biasanya memiliki distribusi yang luas dan, dengan demikian,
memerlukan bukti yang tepat cukup untuk mendukung kesimpulan dan
rekomendasi untuk perbaikan. Internal memeronda dapat digunakan
untuk distribusi lebih terbatas, yang menyatakan pekerjaan yang
dilakukan dan dukungan untuk kesimpulan dan rekomendasi hanya
tertalu sejauh necessay untuk audiens yang dituju untuk memahami
kekurangan yang mendasari. Laporan untuk penggunaan pihak ketiga
harus mengasumsikan pihak tersebut kurang akrab dengan kebijakan
dan prosedur yang unik bagi organisasi dan, oleh karena itu,
mungkin memerlukan tingkat yang lebih detail untuk memastikan
pembaca memahami sifat dan konteks pengamatan dan rekomendasi.
Kadang-kadang, tingkat yang lebih tinggi kerahasiaan mungkin
diperlukan untuk keterlibatan tertentu. contoh tersebut harus
dibicarakan di depan dengan manajemen proses untuk memastikan
kiriman mendukung tingkat yang diperlukan confidientiality.MEMAHAMI
AUDITKetika merencanakan keterlibatan, tim audit internal harus
terlebih dahulu memahami auditee.Menentukan Tujuan AuditeeMemahami
proses dimulai dengan menentukan tujuan proses kunci. Ini membantu
auditor internal mengerti mengapa proses itu ada, yang akan menjadi
penting ketika mengidentifikasi dan menilai risiko tingkat proses
dan kontrol. Tujuan operasi adalah jenis yang paling umum dari
tujuan pada tingkat proses dan biasanya menentukan alasan proses
ada. Tujuan ini biasanya adalah pemerintahan atau berorientasi pada
tugas, dan, sebagai hasilnya, sering fokus pada accurancy,
ketepatan waktu, kelengkapan, atau atribut kontrol. Tujuan
strategis pada tingkat proses adalah mereka diciptakan untuk khusus
selaras dengan tujuan strategis organisasi.COSO Tujuan Kategori:
operasi pelaporan pemenuhan strategisPemilik proses atau staf yang
terlibat dalam proses tersebut mungkin dapat memberikan daftar
tujuan proses. Namun, dalam banyak kasus, tujuan-tujuan tersebut
mungkin belum diartikulasikan secara formal.Mengumpulkan
InformasiAda banyak cara untuk mengumpulkan informasi tentang
proses. Auditor internal harus mempertimbangkan berbagai jenis dan
sumber informasi yang relevan tersedia. Selain itu, analisis, data
dan kontrol tingkat-entitas dapat membantu memberikan wawasan
tambahan ke proses.Jenis dan Sumber Informasi RelevanTitik awal
untuk memahami proses sedang mengkaji dokumentasi yang sudah ada.
Sebagai contoh, berikut ini mungkin tersedia dari pemilik proses
atau keluarga lain eith proses yang dapat memberikan informasi yang
berguna mengenai bagaimana proses kerjanya: Kebijakan yang
berkaitan dengan proses. Prosedur manual. Bagan organisasi atau
informasi serupa menguraikan jumlah karyawan dan hubungan pelaporan
kunci. Deskripsi pekerjaan bagi orang-orang yang terlibat dalam
proses. Peta proses atau alur depictig aliran keseluruhan proses.
Deskripsi naratif kontrak kunci dengan pelanggan, vendor, mitra
outsorcing, dll Informasi yang relevan mengenai hukum dan peraturan
yang mempengaruhi proses. Dokumentasi lain yang mungkin telah
pengembangan untuk mendukung diperlukan pelaporan atas efektivitas
sistem pengendalian internal.
Apa tugas utama Anda bertanggung jawab untuk melakukan? Apa
masukan (informasi, dokumentasi, dll) yang Anda butuhkan untuk
melakukan tiga tugas? Apa khusus, yang Anda lakukan dengan input
ini? Apa output yang Anda hasilkan dari setiap tugas? Yang orang
lain atau daerah Anda tergantung pada saat Anda melakukan
tugas-tugas ini? Yang orang lain atau daerah tergantung pada Anda
melakukan tiga tugas secara efektif dan tepat waktu? Sistem
informasi yang Anda gunakan saat melakukan tugas-tugas ini? Berapa
lama waktu yang dibutuhkan untuk menyelesaikan setiap tugas? Apa
jenis pengecualian atau kesalahan yang Anda biasanya menemukan?
Bagaimana Anda menangani pengecualian atau kesalahan? Apa hambatan
atau tantangan lain yang Anda biasanya temui ketika melakukan
tugas-tugas? Apa yang Anda lakukan untuk menghilangkan hambatan
atau memenuhi tantangan? Pada akhirnya, bagaimana Anda memastikan
bahwa Anda melakukan tugas dengan benar?Pertanyaan ini dan lainnya
dapat membantu memberikan auditor internal dengan informasi yang
dibutuhkan untuk memahami proses. Hal ini dapat diperoleh melalui
wawancara individu atau dengan melakukan walkthrough, yang
melibatkan mengikuti transaksi melalui setiap langkah dari proses.
Terlepas dari pendekatan, adalah penting untuk memahami tugas utama
secara cukup rinci untuk memberikan dasar untuk langkah-langkah
selanjutnya dalam proses perencanaan.Prosedur AnalitisMemahami
tugas dalam suatu proses, seperti dijelaskan di atas, merupakan
langkah penting dalam perencanaan pertunangan. Namun, tugas ini
menggambarkan cara proses yang dirancang untuk melakukan, tetapi
memberikan sedikit indikasi mengenai seberapa efektif mereka
dilakukan. Melakukan prosedur analitis adalah salah satu cara
auditor melakukan penilaian tingkat tinggi internal yang dapat
mengungkapkan kegiatan proses yang menjamin perhatian lebih dan,
pengujian sesuai, lebih rinci.Prosedur analitis melibatkan meninjau
dan mengevaluasi informasi yang ada, yang mungkin finansial atau
non finansial, untuk menentukan apakah itu konsisten dengan yang
telah ditentukan harapan.Contoh: untuk audit pengeluaran kas,
analisis ini mungkin termasuk salah satu atau semua hal berikut:
Perbandingan informasi keuangan untuk periode sebelumnya, misalnya,
tren dalam rekening saldo hutang dari satu seperempat berikutnya.
Analisis Rasio, misalnya, rasio lancar (aktiva lancar dibagi dengan
kewajiban lancar) dan rekening omset hutang (pokok penjualan dibagi
dengan hutang) Perbandingan informasi keuangan atau non finansial
terhadap informasi anggaran, misalnya, saldo kas aktual versus
diperkirakan jumlah uang.Analisis Data MenggunakanTeknik Audit
dibantu komputer (CAATs)Analisis data melibatkan pengumpulan dan
analisis data dalam jumlah besar, biasanya melalui penggunaan
teknologi. Analisis data dapat memberikan informasi tentang
populasi transaksi yang bisa membuktikan berguna ketika menentukan
pendekatan audit internal.Contoh: ketika melakukan audit internal
dan proses pengeluaran kas, tim audit internal dapat melakukan tes
analisis data berikut selama tahap perencanaan: Jumlah atau persen
pembayaran yang dibuat baik sebelum atau setelah tanggal jatuh
tempo - ini dapat memberikan wawasan mengenai bagaimana erat arus
kas dikelola. Jumlah cek petunjuk - ini dapat menunjukkan proses
kekurangan desain atau potensial pengelakan kontrol didirikan.
Stratifikasi jumlah pembayaran - ini dapat memberikan informasi
mengenai tingkat pembayaran kecil dibuat, menunjukkan potensi atau
kartu pengadaan. Distribusi digit pertama jumlah pembayaran
(Analisa Hukum Benford ini) - distribusi yang tidak mengikuti Hukum
Benford mungkin indikasi praktik pencairan tidak biasa (misalnya,
split faktur), yang mungkin, pada gilirannya, mempengaruhi
pendekatan audit internal . Hukum Benford yang memperkirakan jumlah
kali setiap o 10 digit (nol melalui sembilan) biasanya akan terjadi
pada awal setiap nomor pada populasi dengan karakteristik tertentu.
Gandakan jumlah pembayaran kepada vendor yang sama - hal ini dapat
menunjukkan potensi pembayaran ganda, atau memberikan wawasan
tentang vendor yang pembayaran berkala yang dibuat untuk jumlah
seperti.Mendapatkan informasi tentang populasi selama fase
perencanaan dapat membantu desain internal auditor tes yang paling
efektif mengatasi risiko yang melekat dalam proses.Badan Analisis
Tingkat KontrolMeskipun penting untuk memahami tugas-tugas tingkat
proses dan kontrol, juga penting untuk memahami bagaimana entity
level control dapat mempengaruhi kinerja dari sebuah proses.
Kekurangan dalam entity level control dapat menghindari dengan baik
kontrol dirancang dalam proses dan, pada kenyataannya, menjadi
resiko yang melekat pada operasi yang efektif dari kontrol pada
tingkat proses. Sebagai contoh, jika organisasi kebijakan lebar
cenderung informal dan tidak konsisten menegakkan, maka kebijakan
khusus untuk proses yang diaudit mungkin tidak penting untuk
memahami proses. Demikian pula, jika ada sedikit komitmen untuk
menarik, pelatihan, dan mengembangkan karyawan yang kompeten di
bidang utama yang membutuhkan kemampuan pengambilan keputusan dan
penilaian yang kompleks, pendekatan pengujian mungkin perlu diubah
karena ketergantungan kurang dapat ditempatkan pada individu mampu
melakukan kompleks atau sangat tugas menghakimi.
Kontrol tingkat-entitas biasanya dievaluasi secara
organisasiyang luas secara berkala (misalnya, per tahun). Oleh
karena itu, biasanya tidak akan diperlukan untuk melakukan
penilaian terhadap efektivitas pengendalian entitas-level pada
setiap keterlibatan. Namun, seperti yang dijelaskan dalam paragraf
sebelumnya, auditor internal harus mempertimbangkan hasil penilaian
kontrol entitas tingkat ketika merencanakan keterlibatan individu
untuk memastikan pendekatan untuk pengujian yang relevan yang
efisien.Mendokumentasikan Arus ProsesSebagaimana dibahas di atas,
mungkin ada banyak jenis informasi yang dapat dikumpulkan tentang
proses dari berbagai sumber. Untuk menunjukkan bahwa auditor
internal memahami bagaimana proses sebenarnya beroperasi,
langkah-langkah kunci harus didokumentasikan. Proses ini aliran
dokumentasi akan memfasilitasi review kertas kerja oleh atasan
auditor internal atau orang lain. Cara yang paling umum
mendokumentasikan aliran proses adalah diagram alur (tingkat tinggi
atau rinci) dan memorandum narasi. Sebelum memberikan penjelasan
singkat masing-masing, penting untuk memahami beberapa perbedaan
halus antara dokumentasi arus proses. Peta Proses, seperti yang
dijelaskan dalam Bab 5, "Proses Bisnis dan Risiko", upaya untuk
menggambarkan masukan dewan, kegiatan, alur kerja, dan interaksi
dengan proses dan output lainnya. Mereka menyediakan kerangka kerja
untuk memahami kegiatan dan subproses. Flowchart mencakup informasi
tambahan, sering menggambarkan sistem komputer dan aplikasi, arus
dokumen, risiko rinci dan kontrol, pengguna dibandingkan otomatis
langkah, waktu berlalu untuk langkah-langkah dalam proses, pemilik
langkah kunci, dan informasi tambahan yang diperlukan untuk
membantu pengkaji memahami proess dan alirannya. Memorandum Narasi
memberikan informasi tentang aliran proses hanya menggunakan
kata-kata tertulis, tidak ada upaya untuk menggunakan simbol-simbol
untuk menggambarkan aliran. Hal ini umum untuk combin diagram alur
dengan informasi naratif tambahan untuk membuat bentuk hibrida
dokumentasi.Peta proses cenderung paling berguna pada tingkat
bisnis, seperti yang dijelaskan dalam bab 5, sedangkan diagram alur
dan dokumentasi hibrida memberikan tingkat informasi yang
diperlukan untuk memahami proses rinci. Folowing adalah deskripsi
singkat dari teknik tersebut sering aused pada tingkat
proses.Diagram alur tingkat tinggiTujuan dari flowchart tingkat
tinggi adalah untuk menggambarkan input luas, tugas, alur kerja,
dan output. Sebuah flowchart tingkat tinggi membantu pengulas
memahami kegiatan keseluruhan, sistem, laporan, dan interface
dengan proses lain atau subproses. Pemahaman ini akan memberikan
kerangka penghormatan untuk mengidentifikasi subproses kunci dan
sistem yang dapat dipertimbangkan untuk lingkup yang terkait.
Flowchart biasanya diambil seperti peta proses, dengan informasi
tambahan yang ditambahkan yang diperlukan untuk mendukung
undestanding aliran proses. Simbol flowcharting umum ditunjukkan
dalam Exhinit-13-5. Simbol-simbol ini memperluas mereka digunakan
untuk peta proses, seperti yang dibahas dalam bab 5.COMMON
FLOWCHARTING SYMBOLSProcess operation A process, subprocess, or
activity.
Decision indicates alternative choice (for eample, yes/no or
accept/ reject), each of which result in different flows of
activities and/or.
Document A hard copy input source document or output report.
Flow line The direction of activities, workflow, information
flow, documents and handoffs.
Computer system or application information technology that is
used to store data, run an application, or perform other
computer-based fuctions.
On-page connector used to connect different parts of a flowchart
on the same page without the use of flow lines.
Terminator The start or end of a flow
Annotation An explanatory note attached to a specific point in a
flowchart.
Sederhana, tingkat tinggi flowchart dapat digunakan untuk
mengkonfirmasi keseluruhan pemahaman auditor internal proses dengan
pemilik proses, membantu dalam menentukan daerah atau subproses
berada dalam ruang lingkup yang terkait, dan berfungsi sebagai
pandangan ringkasan diagram alur rinci.Flowchart DetailSementara
flowchart tingkat tinggi adalah titik awal yang penting, tidak
memberikan kedalaman dan tingkat detail yang diperlukan untuk
mendukung penilaian internal auditor mengenai desain proses. Sebuah
dokumen flowchart rinci masukan yang lebih spesifik, tugas,
tindakan, sistem, keputusan, dan output. Selain memberikan gambaran
lebih rinci dari aliran proses, flowcharts rinci yang menyediakan
informasi tambahan yang meningkatkan pemahaman tentang proses.
Sebagai contoh, diagram alur rinci mungkin mencakup beberapa atau
semua hal berikut: Risiko utama, yang akan dilambangkan dengan
simbol mengidentifikasi titik-titik dalam proses dimana sesuatu
yang bisa salah dan menyebabkan proses untuk tidak beroperasi
seperti yang dirancang. Kontrol kunci, yang dapat dilambangkan
dengan simbol mengidentifikasi tugas, tindakan, atau keputusan yang
dianggap penting untuk memadai dirancang proses. Individu atau
posisi yang melaksanakan tugas kunci atau membuat keputusan. Waktu
ketika tugas utama, tindakan, atau keputusan terjadi. Waktu berlalu
yang diperlukan untuk melakukan tugas atau membuat keputusan (ini
dapat mencakup jika flowchart digunakan untuk mengevaluasi
efisiensi proses).Karena banyak orang adalah belajar visual dan
pemikir, diagram alur rinci adalah cara yang efektif untuk
menyajikan banyak informasi dalam format intuitif dan mudah
dipahami. Tingkat informasi dalam diagram alur rinci harus cukup
untuk mendukung penilaian auditor internal mengenai identifikasi
kontrol kunci, kecukupan proses desain secara keseluruhan, dan
kesenjangan antara tingkat saat ini dan diinginkan kontrol
tertentu.
Memorandum NarasiMungkin ada situasi di mana auditor internal
percaya itu adalah lebih tepat untuk mendokumentasikan pemahaman
tentang proses menggunakan narasi write-up dibandingkan dengan
diagram alur. Situasi ini biasanya menunjukkan satu atau lebih dari
karakteristik berikut: Proses ini sederhana dan, dengan demikian,
gambaran visual dibuat dalam flowcharting bukanlah nilai yang
besar. Langkah-langkah yang rumit, sehingga sulit untuk
menggambarkan secara efektif dalam ruang terbatas yang disediakan
dalam simbol flowchart. Para pemilik proses ingin output untuk
mendukung proses dokumentasi lain dan lebih suka narasi write-up
atas diagram alur. Narasi write-up adalah cara yang lebih efisien
mendokumentasikan proses.Memorandum narasi harus mencakup jenis
informasi yang sama seperti yang terkandung dalam diagram alur.
Sementara bagian tertentu dari memorandum tersebut dapat bervariasi
antara proses, memorandum umumnya harus mencakup unsur-unsur dari
garis berikut:1. Deskripsi keseluruhan dari proses2. Masukan
kuncia. Dokumen atau komunikasi dari sumber luar (misalnya, faktur
atau cek)b. Output dari proses lain atau subprosesc. Informasi dari
sumber luard. Data dari sistem internal3. Langkah-langkah penting
dalam prosesa. Tugas yang menangani, memeriksa, mengubah, atau yg
mengingatkan inputb. Analisis yang rumitc. Keputusan atau penilaian
yang dibuatd. Aplikasi komputer yang diperbaruie. Dokumen baru atau
informasi yang dibuatf. Individu kunci melakukan tugasg. Waktu
berlalu untuk tugas-tugas atau kelompok tugas4. Output kuncia.
Dokumen yang harus dikirim ke pihak luar (misalnya, tagihan, cek,
atau pernyataan)b. Laporan untuk penggunaan internalc. Input ke
dalam proses lain atau subprosesd. Data yang akan disimpan secara
elektronike. Hard copy dokumentasi untuk disimpan secara internal5.
Risiko yang mengancam proses6. Kontrol utama (lihat kunci control
mengidentifikasi bagian selanjutnya dalam bab ini)
Mengidentifikasi Indikator Kinerja UtamaSetelah memperoleh
pemahaman tentang aliran proses, akan sangat membantu bagi auditor
internal untuk juga memahami bagaimana manajemen tingkat proses
memantau kinerja. Sering, akan ada indikator kinerja utama (KPI)
yang dimonitor secara berkala untuk memberikan pemilik proses
dengan informasi tentang seberapa baik proses kinerja. Pemantauan
KPI ini mungkin mirip dengan prosedur analitis auditor internal
yang dilakukan, seperti yang dijelaskan dalam sectio sebelumnya,
atau sangat berbeda. Ini adalah karakteristik tertentu dari
indikator kinerja kunci yang baik. Mereka harus: Relevan, yaitu
mengukur apa yang penting yang bertentangan dengan apa yang
terukur. Terukur, yaitu ada informasi kuantitatif untuk menentukan
kinerja sukses. Tersedia, yaitu informasi yang dibutuhkan tersedia
pada waktu yang tepat dan orang yang tepat, memungkinkan untuk
pengukuran tepat waktu kinerja proses. Sejalan dengan tujuan utama
dari proses (informasi pembayaran duplikat ditangkap karena ada
tujuan untuk tidak memilikinya). Artikulasi kepada orang-orang yang
terlibat dalam proses sehingga kunci dalam proses sehingga mereka
mengerti apa yang sedang diukur dan pentingnya mencapai level
kinerja yang (rekening karyawan hutang dapat melihat statistik
tepat waktu dan menyesuaikan kinerja mereka sesuai).
Indikator kinerja utama, baik formal maupun informal, dapat
menentukan proses pemilik toleransi terhadap penyimpangan kinerja.
Manajemen menentukan apa tingkat kesalahan mereka bersedia diterima
ketika proses tidak dilakukan seperti yang diharapkan. Mengetahui
tingkat toleransi akan membantu auditor internal mengevaluasi hasil
pengujian.
Mengevaluasi Proses tingkat Penipuan ResikoAkhirnya, penting
untuk memahami potensi tingkat proses risiko penipuan. Sebagaimana
dibahas dalam bagian berikutnya dalam bab ini, sebagian besar
risiko didasarkan pada uncertanty peristiwa yang mungkin terjadi
karena sifat yang melekat pada proses. Yang melekat kemungkinan
risiko tertentu terjadi meningkat jika ada niat oleh seorang
individu untuk melakukan penipuan dan / atau kolusi antara beberapa
individu yang terlibat dalam proses. Oleh karena itu, sebelum
memulai proses penilaian risiko formal dalam pertunangan, penting
untuk mengevaluasi potensi skenario penipuan dalam proses.
Melibatkan tiga langkah berikut:1. Mengidentifikasi potensi
skenario penipuan. Brainstroming dengan individu yang terlibat
dalam proses tersebut merupakan cara yang efektif untuk
mengidentifikasi kemungkinan cara dengan mana individu, bekerja
sendiri atau dalam kolusi dengan orang lain, bisa menghindari
proses.2. Memahami dampak penipuan potensial. Potensi dampak dari
setiap skenario penipuan harus ditentukan.3. Tentukan apakah untuk
menguji risiko kecurangan tertentu. Berdasarkan dua langkah
pertama, auditor internal dapat menilai, berdasarkan risiko yang
melekat penipuan dalam proses, apakah tes khusus harus dirancang
untuk menentukan kerentanan untuk penipuan.
IDENTIFIKASI DAN MENILAI RISIKO
Mengidentifikasi Proses-tingkat Skenario RisikoSebuah organisasi
yang didirikan proses untuk melaksanakan rencana usaha dan mencapai
tujuannya. Proses ini mungkin diskrit dan terfokus, atau mereka
mungkin lintas fungsional. Risiko ada di semua proses, terlepas
dari luasnya, lokasi, atau fokus. Tugas pertama dalam menilai
risiko tingkat proses adalah untuk mengidentifikasi skenario risiko
yang melekat dalam proses. Skenario risiko potensial kejadian
kehidupan nyata yang dapat berdampak negatif terhadap pencapaian
tujuan.
Tujuan mengidentifikasi skenario risiko adalah untuk menjawab
pertanyaan: Apa yang bisa terjadi yang akan mencegah pencapaian
setiap tujuan tingkat proses? Untuk menjawab pertanyaan ini,
auditor internal harus otak-badai skenario risiko yang mungkin
terjadi. Berikut ini memberikan garis besar tentang bagaimana hal
ini dapat dilakukan.1. Pilih tujuan tingkat proses tunggal. Latihan
ini bekerja baik jika dilakukan satu tujuan pada suatu waktu.2.
Brainstorm hambatan (peristiwa, masalah, keadaan, dll) yang mungkin
mengancam pencapaian tujuan. Contohnya adalah sebagai berikut:a.
Peristiwa eksternal yang organisasi tidak siap atau tidak bereaksi
untuk tepat waktu atau tepat.b. Tidak cukup dirancang atau kurang
didokumentasikan prosedur.c. Kerusakan dalam prosedur yang ada.d.
Kurangnya orang yang tepat, dengan keterampilan yang tepat,
digunakan dengan cara yang benar.e. Komunikasi yang tidak memadai
antara daerah interfacing.f. Karyawan yang dengan sengaja melanggar
kebijakan atau bertindak tidak etis.g. Tidak cukup dirancang atau
usang aplikasi komputer.h. Terlalu cepat, akurat, atau tidak
memadai informasi untuk pengambilan keputusan.i. Kegagalan untuk
mengukur kinerja.3. Lanjutkan latihan untuk tujuan tingkat proses
yang tersisa.4. Sejak beberapa skenario risiko akan serupa di
tujuan tingkat proses, mengelompokkan dan menggabungkan skenario
risiko serupa.
Latihan bertukar pikiran akan dioptimalkan jika individu yang
terlibat dalam proses berpartisipasi. Mereka mungkin dapat
mengidentifikasi skenario risiko berdasarkan pengalaman tangan
pertama. Namun, auditor internal yang berpengalaman harus bisa
melakukan latihan ini tanpa bantuan dari individu tingkat
proses.
Sebuah cara yang efektif untuk auditor internal untuk melakukan
seperti sesi brainstorming adalah untuk menulis skenario yang
berbeda pada catatan diri menempel dan menempatkan mereka di
dinding atau papan besar. Setelah brainstroming selesai, catatan
dapat (1) diatur oleh tujuan untuk memastikan komprehensif
menutup-usia masing-masing tujuan, dan (2) dikategorikan menurut
jenis skenario serupa untuk mendukung definisi risiko.
Mendefinisikan Proses Risiko-tingkat
Sebagaimana ditunjukkan di atas, skenario risiko serupa
memberikan dasar untuk mengidentifikasi risiko tingkat proses. Para
skenario risiko mewakili spesifik peristiwa kehidupan nyata yang
dapat mempengaruhi pencapaian tujuan. Risiko adalah deskripsi yang
lebih luas dari sebab dan akibat peristiwa tersebut. Tugas
berikutnya dalam menilai risiko tingkat proses adalah untuk
menentukan risiko yang relevan.
Ada banyak cara untuk mendefinisikan risiko. Pendekatan yang
optimal tergantung pada budaya dan "bahasa risiko" dari organisasi.
Namun, terlepas dari pendekatan yang unik yang mungkin ada dari
satu organisasi ke depan, penting untuk konsisten. Kurangnya
konsistensi dapat membuat lebih sulit bagi resiko secara luas
dipahami seluruh organisasi.
Pembayaran ganda kegagalan untuk identitas beberapa input faktur
dapat mengakibatkan pembayaran ganda kepada vendor yang bisa tidak
terdeteksi. Ketepatan waktu Ketidakmampuan untuk memproses
pembayaran tepat waktu dapat mengakibatkan denda atau hukuman
(untuk pembayaran terlambat). Akses sistemKurangnya praktik
keamanan logis yang efektif dapat menciptakan peluang bagi individu
yang tidak sah untuk mengakses, memanipulasi, atau menghapus data.
Sumber daya mnusiaKetidakmampuan untuk menarik, mengembangkan,
menyebarkan, dan mempertahankan individu yang kompeten dapat
menyebabkan pembayaran yang tidak akurat atau tidak tepat
waktu.
Setelah risiko didefinisikan, mereka harus dikaitkan dengan
tujuan tingkat proses untuk memastikan ada hubungan antara
masing-masing risiko dan tujuan. Seperti dibahas di bawah,
penilaian risiko melibatkan pertimbangan dampak pada kemampuan
untuk mencapai tujuan.Karyawan bertanggung jawab untuk mengelola
risiko tingkat proses, adalah penting bahwa mereka memiliki
pemahaman yang seragam dan konsisten tentang risiko tersebut. Oleh
karena itu, auditor internal harus berbagi dan mendiskusikan
definisi risiko dengan manajemen tingkat proses dan karyawan untuk
memvalidasi bahwa daftar risiko selesai. Sukses dengan tugas ini
akan membantu memfasilitasi keberhasilan dalam mengevaluasi dampak
dan kemungkinan risiko tugas yang berikut.
Mengevaluasi dampak dan kemungkinan risikoSekarang bahwa risiko
telah diidentifikasi dan didefinisikan, auditor internal siap untuk
melakukan penilaian risiko. Dalam tugas ini, fokusnya adalah pada
penentuan dampak potensial dan kemungkinan setiap risiko. Tujuan
evaluasi ini adalah untuk membantu mengidentifikasi risiko yang
akan memiliki dampak buruk terbesar pada pencapaian tujuan tingkat
proses. Proses untuk melakukan penilaian risiko tingkat proses
umumnya melibatkan tiga langkah berikut:1. Menentukan dampak dari
berbagai hasil yang terkait dengan masing-masing risiko. Tips
berikut bisa membantu ketika melakukan langkah ini: Ingat bahwa,
menurut definisi, risiko merupakan ketidakpastian, karena itu
mungkin ada beberapa hasil risiko yang mungkin. Auditor internal
harus mencoba untuk tidak fokus hanya pada satu hasil risiko yang
mungkin dan mengabaikan hasil yang lebih mungkin atau membawa
dampak yang lebih. Risiko biasanya diukur dari segi dampak keuangan
yang merupakan dampak paling umum dan mudah diukur. Namun, mungkin
ada hasil risiko lain yang baik tidak dapat diukur secara finansial
atau mungkin dianggap lebih parah daripada dampak keuangan.
Misalnya, merugikan kesehatan dan keselamatan karyawan, atau
penurunan reputasi organisasi karena publisitas negatif dapat
dianggap sebagai hasil yang lebih parah daripada dampak keuangan
langsung risiko tersebut. Dampak harus fokus pada potensi eksposur
selama periode waktu tertentu, biasanya satu tahun.
2. Langkah kedua adalah untuk memperkirakan kemungkinan bahwa
setiap dampak risiko akan terjadi. Tips berikut mungkin berguna
ketika melakukan langkah ini: Sebagaimana dibahas di atas, risiko
memiliki berbagai hasil yang mungkin, masing-masing akan memiliki
kemungkinan yang berbeda terjadi. Hal ini penting untuk fokus pada
hasil risiko ditentukan pada langkah sebelumnya. Karena ada banyak
hasil risiko, ada juga mungkin banyak akar penyebab mengapa risiko
terjadi. Setiap akar penyebab mungkin memiliki kemungkinan yang
berbeda. Oleh karena itu, penting untuk mempertimbangkan akar
penyebab yang mendasari hasil yang dipilih ketika mengevaluasi
kemungkinan kejadian risiko. Seperti halnya ketika menentukan
dampak risiko, tidak perlu untuk mendapatkan tingkat ketepatan yang
tinggi ketika memperkirakan kemungkinan risiko. menggunakan skala
umum (misalnya, tinggi / menengah / rendah) biasanya akan cukup.
Sebagai contoh, kemungkinan besar dapat menunjukkan bahwa dampak
risiko mungkin tidak terjadi (yaitu lebih dari 50 persen),
kemungkinan media dapat menunjukkan bahwa dampak risiko yang
mungkin (misalnya, dari 10 persen sampai 50 persen), dan
kemungkinan rendah mungkin menunjukkan bahwa dampak risiko jauh
(misalnya, kurang dari 10 persen).
3. Langkah terakhir adalah untuk menggabungkan penilaian dampak
dan kemungkinan ke dalam penilaian risiko tunggal. cara terbaik
untuk melakukannya adalah membuat matriks risiko yang menunjukkan
keterkaitan antara dampak dan kemungkinan setiap risiko. Sebagai
contoh, matriks risiko menggambarkan penggunaan skala tinggi /
menengah / rendah untuk kedua dampak dan penilaian kemungkinan.
Ketika meninjau risiko matriks ini, perhatikan bahwa nomor untuk
setiap kotak untuk menandakan keseluruhan tingkat risiko. Setelah
setiap risiko ditempatkan di salah satu kotak, mereka dapat
diklasifikasikan sebagai berikut:- Risiko dalam kotak 8 atau 9
(merah) dianggap berisiko tinggi.- Risiko dalam kotak 5,6, atau 7
(kuning) dianggap berisiko menengah.- Risiko dalam kotak 1,2,3,
atau 4 dianggap berisiko rendah.Biasanya, risiko tinggi dan
menengah harus dimasukkan dalam setiap keterlibatan jaminan audit
internal. Risiko rendah mungkin atau mungkin tidak disertakan,
tergantung pada piagam fungsi audit internal dan pertimbangan
sumber daya.Menggunakan matriks atau beberapa cara lain untuk
visual menggambarkan hasil penilaian risiko akan memfasilitasi
kajian keseluruhan putusan yang dibuat dalam proses penilaian
risiko oleh manajemen audit internal dan pemilik proses. Ulasan
tersebut, terutama oleh pemilik proses, akan membantu memvalidasi
penilaian yang dilakukan oleh auditor internal.
Contoh Matriks RisikoIMPACTHigh789
Medium456
Low123
LowMediumHigh
LIKELIHOOD
Contoh matriks risiko pengeluaran kas
IMPACT
High7Risiko harapan 8Risiko pembayaran gandaRisiko sistem akses
9
Medium45Risiko sumber daya manusia 6Risiko ketepatan waktu
Low123
LowMedium High
LIKELIHOOD
Risiko harapan dianggap dampak tinggi sebagai kurangnya arah
yang cukup dan pengawasan dari manajemen senior dapat mengakibatkan
pengeluaran bahan yang dibuat dengan cara yang tidak pantas atau
penipuan. Risiko ini dianggap kemungkinan rendah karena ada banyak
contoh kebijakan yang baik dan prosedur yang mengatur aktivitas,
dan manajemen senior tidak mungkin untuk mengabaikan seperti daerah
penting.
Risiko Ketepatan waktu dianggap dampak jangka menengah sebagai
denda dan bunga karena terlambat tidak akan berdampak material,
meskipun hubungan vendor buruk masih akan menjadi perhatian. Risiko
ini dianggap kemungkinan tinggi karena ada ketergantungan pada
orang lain untuk memulai proses pengeluaran kas dan dengan syarat
pembayaran umumnya ketat, ada berbagai penundaan yang dapat terjadi
dalam proses menyebabkan pembayaran terlambat.
Risiko sumber daya manusia dalam dampak media dianggap sebagai
kegagalan untuk merekrut, mengembangkan, dan memelihara orang-orang
yang kompeten dalam rekening departemen hutang bisa menghasilkan
lebih tinggi dari jumlah yang diinginkan dari pembayaran tidak
akurat atau terlambat. Risiko ini dianggap kemungkinan media
sebagai keahlian yang diperlukan tidak sulit untuk menemukan di
pasar.
Risiko sistem akses dianggap dampak tinggi sebagai akses yang
tidak sah dapat mengakibatkan perubahan.Risiko pembayaran ganda
dianggap dampak tinggi sebagai duplikat tunggal bisa material dan
akan mewakili dana yang hilang jika tidak terdeteksi. Risiko ini
dianggap kemungkinan menengah karena cukup umum untuk duplikat
faktur yang akan dipresentasikan kepada sebuah perusahaan,
bagaimanapun, sebagian besar vendor umumnya jujur sehingga kecil
kemungkinan bahwa duplikat pembayaran material akan terdeteksi dari
waktu ke waktu.
Memahami risiko manajemen yang dapat ditoleransiSecara
tradisional, penilaian dari tim audit internal telah menjadi
satu-satunya sumber untuk mengevaluasi risiko. Hal ini mencerminkan
peran tata kelola auditor internal dalam organisasi. Namun, premis
yang mendasari dalam manajemen risiko perusahaan adalah bahwa
manajemen harus menetapkan toleransi risiko bisnis yang konsisten
dengan risk appetite keseluruhan organisasi. Premis ini berlaku
pada tingkat proses juga.Oleh karena itu, penting bagi auditor
internal untuk memvalidasi kewajaran tinggi, sedang, dan rendah
dampak yang dipekerjakan. Ada kemungkinan bahwa manajemen memiliki
tingkat yang berbeda dari toleransi risiko untuk proses itu. Untuk
memperoleh pemahaman tentang tingkat toleransi risiko manajemen,
tiga langkah berikut harus dilakukan:1. Mengidentifikasi hasil
risiko yang mungkinSeperti dijelaskan sebelumnya, menurut definisi,
risiko mewakili berbagai hasil yang mungkin. Sementara hasil
seperti biasanya diukur secara finansial, mungkin ada hasil risiko
lain yang lebih parah daripada dampak keuangan. Sebagai contoh,
keselamatan karyawan mungkin lebih parah daripada denda potensial
atau hukuman karena pelanggaran keamanan. Demikian pula, dampak
dari kegagalan untuk melindungi privasi data pelanggan bisa lebih
parah daripada biaya untuk memulihkan atau melindungi data
tersebut.
1. Hasil Identifikasi Risiko yang mungkin. Seperti dijelaskan
sebelumnya, menurut definisi, risiko mewakili berbagai kemungkinan
hasil.2. Memahami Tingkat Toleransi Didirikan. Setelah hasil risiko
yang berbeda yang ditentukan, diskusi dapat diselenggarakan dengan
manajemen proses untuk mengidentifikasi tingkat toleransi bahwa
mereka sudah berhasil mendirikan.3. Menilai Tingkat Toleransi untuk
Hasil yang Memiliki Tidak Telah Didirikan. Sampai-sampai tingkat
toleransi didirikan tidak komprehensif mengatasi semua hasil risiko
yang mungkin, diskusi harus diadakan dengan manajemen proses untuk
menentukan tingkat toleransi yang sesuai.Memahami tingkat toleransi
manajemen adalah penting, tetapi tidak selalu menggantikan
pertimbangan auditor internal. ingat, fungsi audit internal
memiliki banyak pemangku kepentingan. Ini adalah tanggung jawab
fidusia terhadap pemangku kepentingan lainnya tidak boleh
disubordinasikan jika auditor internal percaya manajemen tingkat
proses memiliki tingkat yang lebih tinggi toleransi risiko dari
para pemangku kepentingan lainnya.Mengidentifikasi Kendali
KunciBerbagai tindakan membuat suatu proses. Semua mungkin memiliki
peran dalam mencapai hasil akhir, tetapi tidak hanya sedikit yang
benar-benar penting untuk hasil, yaitu, ketidakhadiran mereka akan
membuat sulit untuk mencapai hasil yang diinginkan.Untuk
menjalankan tugas ini dalam perencanaan keterlibatan, penting untuk
memahami berbagai jenis pengendalian yang dapat dianggap kontrol
utama pada tingkat proses. Meskipun berikut ini bukan daftar
lengkap, itu merupakan contoh jenis pengendali: Menyetujui,
melibatkan mendapatkan otorisasi untuk melaksanakan transaksi
dengan memberdayakan seseorang untuk melakukannya (misalnya,
persetujuan write-off). Menghitung, memerlukan komputasi atau
menghitung ulang jumlah hasil dari data lain yang diperoleh dalam
proses (misalnya, menggunakan data historis write-off untuk
menghitung cadangan kredit macet, atau memeriksa perhitungan
penyusutan untuk memastikan jumlah sistematis dihitung wajar).
Mendokumentasikan, berkaitan dengan menjaga informasi sumber atau
mendokumentasikan alasan di balik keputusan dibuat untuk referensi
di masa mendatang (misalnya, pemindaian menerima dokumentasi,
faktur, dan cek untuk mendukung pembayaran, atau menulis sebuah
memorandum ke file yang menguraikan pertimbangan yang digunakan
dalam menentukan akrual). Memeriksa, melibatkan memverifikasi
atribut, yaitu, elemen data, peristiwa, atau bukti dokumen yang
mendukung keberadaan atau terjadinya (misalnya, bukti bahwa barang
dibayar untuk diterima). Mencocokan, memerlukan membuat
perbandingan antara dua atribut yang berbeda untuk memverifikasi
bahwa mereka setuju (misalnya, jumlah pembayaran setuju dengan
nilai faktur) Memantau, merupakan memeriksa untuk memastikan aksi
yang terjadi (misalnya, memantau bahwa pemberi persetujuan faktur
tidak melebihi batas nya) Membatasi, melibatkan tidak mengizinkan
tindakan yang tidak dapat diterima (misalnya, melarang spekulasi
fluktuasi suku bunga, atau tidak memungkinkan individu yang tidak
sah untuk mengakses data tertentu dalam sistem kunci). Memisahkan,
berfokus pada memisahkan tugas sesuai yang akan menciptakan potensi
tindakan yang tidak diinginkan (misalnya, memisahkan cek
penandatanganan dan persetujuan otoritas faktur). Mengawasi,
melibatkan memberikan arahan dan pengawasan untuk memastikan
tindakan dan tugas yang dilakukan seperti yang dirancang (misalnya,
seorang pengawas menyetujui batch sebelum pemrosesan komputer).
Seperti yang dibahas sebelumnya, identifikasi proses
kontrol-level biasanya dimulai dalam dua langkah perencanaan
sebelumnya: Memahami Auditee dan Mengidentifikasi dan Menilai
Risiko. Tugas saat ini melibatkan memastikan bahwa setiap proses
kontrol tingkat tambahan telah diidentifikasi sebelum penilaian
dilakukan pengendalian untuk mengurangi risiko utama. Berikut ini
penting ketika menentukan pengendalian kunci: Auditor internal
harus memiliki pemahaman yang jelas tentang tujuan tingkat proses.
Konsekuensi pelaksanaan kontrol yang tidak memadai harus dievaluasi
untuk menentukan apakah kekurangan pengendalian secara signifikan
akan mengganggu pencapaian tujuan. Kontrol kompensasi lain harus
dipertimbangkan. Dampak dari kontrol tingkat-entitas juga harus
dipertimbangkan. Kontrol berlebihan, atau mereka yang tidak
efektif, mungkin perlu perubahan atau dihilangkan. Kontrol tersebut
mungkin bukan kontrol kunci.
MENGEVALUASI KECUKUPAN KONTROL DESAINLangkah berikutnya dalam
proses perencanaan keterlibatan adalah untuk mengevaluasi kecukupan
desain proses. Pertanyaan-pertanyaan berikut harus dipertimbangkan
ketika mengevaluasi kecukupan proses desain: Apakah auditor
internal memahami apa sebuah "tingkat yang dapat diterima" dari
risiko adalah, didasarkan pada tingkat toleransi risiko manajemen
untuk proses tersebut? Apakah kunci control, diambil secara
individual atau secara agregat, mengurangi risiko tingkat proses
yang sesuai dengan tingkat yang dapat diterima? Apakah ada kontrol
kompensasi tambahan dari proses lain yang mengurangi risiko ke
tingkat yang cukup rendah? Apakah itu muncul bahwa kontrol utama,
jika beroperasi secara efektif, akan mendukung pencapaian tujuan
tingkat proses? Sejauh yang sesuai, apakah proses desain
efektivitas alamat dan efisiensi operasi, keandalan pelaporan,
kepatuhan terhadap hukum dan peraturan yang berlaku, dan pencapaian
tujuan strategis? Apa kesenjangan, jika ada, ada yang menghambat
proses?
Pertimbangan auditor internal khas adalah salah satu langkah
berikut: Kunci control ditunjukkan dirancang secara memadai untuk
mengelola risiko ini ke tingkat yang dapat diterima. Kontrol kunci
yang ditunjukkan tidak dirancang secara memadai untuk mengelola
risiko ini ke tingkat yang dapat diterima (menggambarkan desain
gap).Setelah auditor internal telah membentuk penilaian pada desain
kecukupan untuk setiap risiko individu, evaluasi dapat dibuat
mengenai desain dari proses secara keseluruhan. contoh kesimpulan
tersebut meliputi: Desain memadai, tidak ada kesenjangan yang
signifikan. Desain memadai, namun, ada kesenjangan. Desain tidak
memadai, kesenjangan yang signifikan ada.
MENCIPTAKAN RENCANA UJISekarang internal auditor sepenuhnya
memahami bagaimana proses beroperasi dan telah mengevaluasi
kecukupan proses desain, langkah berikutnya adalah mengembangkan
rencana uji. Sebuah rencana uji harus dirancang untuk mengumpulkan
bukti yang cukup dan tepat untuk mendukung evaluasi seberapa
efektif kontrol utama dilaksanakan. Evaluasi dan evaluasi dari
desain kecukupan proses, diambil bersama-sama, memberikan keyakinan
yang memadai bahwa tujuan tingkat proses akan tercapai.Berdasarkan
pemahaman yang didapat dari langkah-langkah perencanaan
keterlibatan sebelumnya, auditor internal kini siap untuk: (1)
menentukan kontrol cukup penting untuk menguji, (2) mengembangkan
pendekatan untuk pengujian
Menentukan Pengendalian Untuk MengujiSebagaimana ditunjukkan di
atas, fokus utama dari pengujian adalah untuk menentukan apakah
kontrol utama dilaksanakan secara efektif enought untuk proses
produktif. Risiko dikelola cukup. sementara ini mungkin dicapai
dengan menguji semua kontrol utama yang diidentifikasi, ada faktor
lain auditor internal harus dipertimbangkan ketika menentukan
kontrol untuk teks: Apakah ada kontrol tingkat tinggi yang mungkin,
dengan sendirinya, menyediakan keyakinan memadai bahwa risiko yang
relevan dikelola suffiencienly? tingkat kontrol yang lebih tinggi
mungkin rekonsiliasi, monitorong, atau kontrol pengawasan
performanced oleh individu independen dari qwners kontrol rinci
misalnya, supervisor atau manajer mereka sebagai bagian dari risiko
top-down dilarang kontrol assensment, auditor internal harus
memberikan considerstion terhadap tingkat yang lebih tinggi
kontrol, seperti dampak dari teh ebtity - tingkat kontrol harus
dipertimbangkan dapat dibahas sebelumnya dalam chapter3 ini Apakah
ada kontrol compencating lain yang beberapa alamat risiko? Jika
demikian, mungkin lebih efisien untuk menguji kontrol ini daripada
berfokus pada pengujian dari masing-masing kunci control rinci.
Apakah desain kontrol assesed sebagai memadai? jika bersih, hal itu
mungkin tidak diperlukan untuk menguji kontrol seperti, bahkan
dengan operasi yang efektif, risiko tidak dapat dikurangi karena
desain inadeuate Bagaimana pernah, auditor internal dapat
memutuskan untuk melakukan rasa untuk menentukan tingkat kesalahan
yang dihasilkan dari desain kontrol yang tidak memadai. jenis tes
untuk mengukur kesalahan teh Ketika melakukan kontrol kunci oprate
dan berdasarkan periode dalam lingkup untuk engangement, apakah
persentical untuk teste kontrol kunci tertentu? Bagaimana ada bocn
perubahan dalam proses selama periode yang menghasilkan kontrol
kunci tertentu beroperasi hanya sebagian dari periode dalam
lingkup? jika demikian, pertimbangan harus diberikan untuk
bagaimana perubahan ini mungkin berdampak pada pengujian kontrol
kunci.
Setelah faktor-faktor ini telah dipertimbangkan, auditor
internal siap untuk mengembangkan pendekatan pengujian specifiec.
seperti yang ditunjukkan di atas, pendekatan biasanya difokuskan
pada evaluasi efektivitas pengendalian yang dirancang secara
memadai, tetapi beberapa pengujian mungkin diperlukan untuk
kualitas dampak kontrol yang tidak dirancang secara
memadai.Mengembangkan pendekatan PengujianPendekatan pengujian
meliputi penentuan sifat, lingkup, dan waktu untuk melakukan tes.
tujuan utama dari pengujian la untuk menentukan apakah kontrol
beroperasi seperti yang dirancang untuk mengurangi risiko sesuai
dengan tingkat yang dapat diterima. jenis yang berbeda dari tes
pemeriksaan dijelaskan.Dalam grester detail dalam ch 10,. "Bukti
audit dan kertas kerja ing. bagaimana pernah, berikut menguraikan
keputusan yang harus dibuat ketika mengembangkan pendekatan
pengujian. Sifat tes. berbagai jenis tes menyediakan berbagai
tingkat jaminan dan akan mengambil jumlah waktu yang berbeda untuk
melakukan. Tingkat tes. Waktu tes
Mendokumentasikan pendekatan pengujianContoh risiko dan
pengendalian matriks ditampilkan exibit 13-10 dapat diperluas
dengan menambahkan kolom untuk memasukkan pendekatan pengujian
untuk setiap risk.note bahwa beberapa tes individu mungkin berlaku
untuk kontrol mutliple, itu, adalah, mereka tets
multigunaMengembangkan program kerjaExample risk and control matrix
with testing approach
Process-level riskKey controlTesting approach
Risk A- Definition (associated process-level objectives)Activity
AActivity BActivity CTest ATest BTest C
Risk B- Definition (associated process-level objectives)Activity
AActivity BActivity CTest ATest BTest c
EXAMPLE RISK AND CONTROL MATRIX FOR CASH DISBURSEMENTS
Proses-Risiko levelKunci PengendalianPendekatan pengujian
Risiko harapan- kurangnya kebijakanyang berkembang dengan
baikdan kebijakan yang diartikulasikan, prosedur dan bentuk lain
komunikasi dari manajemen dapat mengakibatkan karyawan melaksanakan
tanggung jawab mereka dengan carayang tidak sesuai denganharapan
dan keiingan manajemen (keakuratan, tepat waktu, mencatat,
kepatuhan dan persetujuan objek)
Delegasikebijakanotoritasmenetapkantingkatpersetujuan
untukpengadaan danpenyalurankeputusan.
Hutangtelahdiserahkanprosedur semua rincian
mengkonversitugaspencairankunci.1.
meninjaukebijakanpendelegasianwewenang danmengevaluasi
apakahtampaknya menjaditanggung jawabhadiryhediberikansaat ini
dansesuaiindividu.2. Pilihsampeldari80pencairan(risiko 10%, 5%
tingkat deviasiditoleransi, dan1% diharapkantingkatdeviasi)dan tes
untukpersetujuansesuaidengan kebijakan3. meninjau dan
membahasProsedur dasardengan akunpribadihutanguntuk menentukan
apakahprosedurakurat mencerminkantugas-tugasyang diperlukan
dandapat diikutioleh orang lain
Risiko Pembayaran Ganda-Kegagalanuntuk mengidentifikasibeberapa
inputfakturdapat mengakibatkanpembayaran Ganda kepadavendor
yangbisaterdeteksi atau sulit untuk membuktikan dan
mengumpulkan(Keakuratan dan mencatat tujuan) Alert sistem pembelian
dengan Hutang Panitera nomor penjual, nomor faktur, dan jumlah
faktur sesuai faktur yang dimasukkan sebelumnya. Pembayarab kas
yang dijalankanakan benderapembayaranjumlahidentik denganvendor
yang samauntuk ulasansebelum pencairan
1. mengujifungsionalitasduplikatfaktursistemdengan mencoba
untukmemasukkan nomorfakturduplikat. jugamengujiapa yang terjadi
jikasuatudigitatausimbolditambahkan ke akhirdari
sejumlahfakturduplikat.2. karenasistem tersebuthanya
peringatanpengguna untukkemungkinanduplikatpembayaran, ekstrak 100%
dari pembayaran untuktahun lalu dantes
untukpembayaranduoicatemungkin.3. Pengujian untuk
memastikanbenderapengeluaran kasberoperasi sebagaidirancang.
Risiko Ketepatan Waktu- ketidakmampuan untukmemproses
pembayaransecara tepat waktudapat mengakibatkandenda ataudiskon
yang hilang. Sistem ini mensyaratkan suatu tanggal pembayaran
menjadi masukan selama entri data faktur. laporan edit dihasilkan
setiap kali data payement lebih dari 30 hari setelah tanggal
faktur. layar masukan faktur telah mengajukan suatu yang dapat
diperiksa jika invoce memenuhi syarat untuk diskon awal-bayar
1. menguji sitem fungsi untuk 3 kunci pengendalian.2.
Menggunakan software analisis data, menghitung perbedaan antara
tanggal pembayaran dengan tanggal tagihan untu 100% pembayaran yang
dibuat selama tahun lalu. Menindaklanjuti pembayaran yang telat dan
diskon yang hilang.
Risiko Akses sistem- Kurang efektifnya praktik keamananlogis
membuat kemungkinan peluang untuk adanya akses yang tidak sah,
manipulasi atau penghapusan kunci data pembayaran (Keakuratan,
Pencatatan dan tujuan aliran kas) keamananlogisdikelola
olehTIdengan cara yang samaseperti untuksemua aplikasi. Manajer
bagian hutang dagangharus meninjau danmengkonfirmasihakacces
kepengeluaran kassistem tersebutdua kali per tahun1. Keamanan IT
logikal diuji keterlibatan terpisah oleh spesialis IT audit.
memeriksa hasil audit untuk memastikan bahwa tidak ada kekurangan
desain yang berkaitan dengan pengamanan pengeluaran kas.2. Diskusi
dengan manajer bagian hutang dagang untuk konfirmasi hak akses.
memeriksa dokumentasi pendukung Prosedur dasar ini.
TABEL CONTOH MATRIX RISIKO DAN PENGENDALIANNYA UNTUK PEMBAYARAN
KASBerikut ini Program kerja dari persfektif lain:1. Sebuah temple
standar atau daftar yang meminjamkan kepada audotor internal kertas
kerja untuk mendokumentasikan kompilasi langkang-langkah
perancanaan. Hal ini dilakukan untuk memastikan
setiapketerlibatanmencakup semuatugas yang diperlukan.2.
Memorandummeringkastugas yangselesai. 3. Tambahan kolom dalam
matriks risiko dan pengendaliannya jika auditor internal ingin
mempunyai semua tercantum dalam satu dokumen.4. Kombinasi dari
ketiga komponen yng sudah dibahas sebelumnya.
Format ini akanbervariasi darifungsi auditinternal untukfungsi
audit internal. Poin-point kunci yang harus dilakukan:1. Meyakinkan
semua anggota tim penugasan memahami apa yang sudah beres dan apa
yang masih harus dikerjakan.2. Mengkomunikasikan siapa yang
bertanggungjawab untuk menampilkan tugas penugasan yang lain.3.
Menyediakan catatan tugas yang lengkap4. Memfasilitasi review oleh
manajer penugasan dan direksi yang menyediakan kesalahan dan arahan
selama proses perencanaan penugasan.Yang tidak usah terlalu
diperhatikan dari format didalam tipe program kerja:1. Tugas kunci
adminstratif, seperti persiapan atas rencana,
memorendum,penjadwalan sumber daya, dll2. Melakukanrapa
denganmanajementingkatproses untuk membahastujuan dan ruang
lingkuppenugasan.3. Penugasan perencanaan, yang telah terdaftar
pada bahasan bab ini.4. Tugas lapangan, yang telah terdaftar pada
pengujian yang spesifik.5. Langkah meringkasan, seperti pembukaan
kliring catatan review, melakukan sebuah penutupan rapat dengan
level proses manajemen, mengakhiri kertas kerja.6. Melaporkan
penugasan, seperti penyiapkan draft komunikasi penugasan, melakukan
sosialisasi umpanbalik dari level proses manajemen, dan menerbitkan
sebuah akhir komunikasi penugasan.
ALOKASI RESOURCHE TO THE ENAGEMENT
Penganggaran Jam yang dibutuhkan untuk menyelesaikan pertunangan
Biaya lain-lain
Sumber daya Engagement: Auditor Internal Orang lain (internal /
eksternal) Perjalanan Teknologi Lainnya
Mengalokasikan sumber daya manusia
Strategis sourcing, suplemen fungsi audit in-house internal
melalui penggunaan layanan vendor pihak ketiga untuk tujuan
memperoleh keahlian subjek untuk keterlibatan tertentu atau mengisi
kesenjangan dalam sumber daya yang dibutuhkan untuk menyelesaikan
rencana audit internal.
Penjadwalan sumber daya dapat menjadi proses yang sangat
dinamis, item berikut perlu dipertimbangkan: Ketersediaan tenaga
proses kunci Ketersediaan sumber daya luar Ketersediaan sumber daya
keterlibatan Ketersediaan pengulas kunci
PERILAKU TES UNTUK KUMPUL BUKTINYA
Transisi keterlibatan jaminan dari tahap perencanaan sampai
dengan tahap pelaksanaan. Pendekatan pengujian dikembangkan dalam
tahap perencanaan dan digariskan dalam risiko dan pengendalian
matriks sekarang harus dijalankan untuk menentukan apakah kontrol
beroperasi seperti yang dirancang. Seperti setiap tes dilakukan,
bukti akan dikumpulkan untuk mendukung kesimpulan auditor internal
mengenai seberapa efektif kontrol beroperasi.
MENGEVALUASI bukti yang dikumpulkan DAN KESIMPULAN REACH
Melakukan tes pemeriksaan memungkinkan auditor internal untuk
mengumpulkan bukti yang dibutuhkan untuk mengevaluasi kecukupan
desain dan efektivitas operasi pengendalian kunci dan mencapai
kesimpulan tentang efektivitas proses atau daerah di bawah
ulasan.Evaluate Evidence Gathered and Reach ConclusionsMelakukan
tes pemeriksaan memungkinkan auditor internal untuk mengumpulkan
buktinya diperlukan untuk mengevaluasi kecukupan desain dan
efektivitas operasi pengendalian kunci dan mencapai kesimpulan
tentang efektivitas proses atau luas di bawah ulasan. Berikut ini
adalah pertanyaan yang auditor internal mungkin perlu untuk
menjawab, tergantung pada carter fungsi internal audit, tujuan
keterlibatan, dan harapan para auditee dan pemangku kepentingan
audit internal lainnya: Apakah desain kontrol utama memadai? Apakah
kunci control beroperasi secara efektif, yaitu, seperti yang
dirancang untuk beroperasi? Apakah risiko yang mendasari yang
dikurangi ke tingkat yang dapat diterima? Secara keseluruhan,
lakukan desgin dan pengoperasian kunci kontrol lebih mendukung
pencapaian tujuan untuk proses atau daerah yang sedang
dikaji?Jawaban atas pertanyaan ini membutuhkan auditor internal
untuk mencapai kesimpulan biasanya akan membutuhkan banyak
pertimbangan.Example Risks and Control Matrix For Cash
Disbursements
Process-Level RiskTesting ApproachResults of Testing
Expections Risk - Kurangnya dikembangkan dengan baik dan
diartikulasikan dengan baik kebijakan, prosedur, dan bentuk lain
dari komunikasi dari manajemen dapat mengakibatkan karyawan
melaksanakan tanggung jawab mereka dengan cara yang tidak sesuai
dengan harapan dan keinginan manajemen (akurasi, ketepatan waktu,
pencatatan, kepatuhan, dan tujuan persetujuan)
1. Pendelegasian wewenang kebijakan meninjau dan mengevaluasi
apakah tampaknya berada kini dan tepat mengingat tanggung jawab ini
perorangan2. Pilih sampel dari 80 pengeluaran (risiko 10%, 5%
tingkat deviasi toleransi, dan 1% yang diharapkan tingkat deviasi)
dan tes untuk persetujuan sesuai dengan kebijakan3. Meninjau dan
membahas prosedur dengan hutang personil rekening untuk menentukan
apakah prosedur akurat mencerminkan tugas-tugas yang diperlukan dan
dapat diikuti oleh orang lain1. Delegasi kebijakan otoritas daftar
tujuh orang yang tidak lagi dengan perusahaan2. Tidak ada
pengamatan diidentifikasi dalam tes ini, semua persetujuan yang
sesuai dengan pendelegasian wewenang kebijakan, setelah
memperhitungkan perubahan concideration diperlukan untuk kebijakan
seperti yang dijelaskan pada kertas kerja3. Berdasarkan diskusi dan
pengamatan, tampak bahwa prosedur terdokumentasi terus menjadi
tepat, saat ini, dan dipahami dengan baik
Duplicates Payments Risk - Kegagalan untuk mengidentifikasi
beberapa input faktur dapat mengakibatkan duplikat pembayaran
kepada vendor yang bisa terdeteksi atau menyulitkan untuk
mengumpulkan (akurasi dan tujuan perekaman)1. Uji fungsi duplikasi
faktur sistem dengan mencoba untuk memasukkan nomor faktur
duplikat2. Karena sistem hanya peringatan pengguna untuk
kemungkinan pembayaran duplicat3. Test untuk memastikan flag
pengeluaran kas beroperasi sebagai yang dirancang
1. Sistem rejcted semua entri faktur digandakan2. Empat belas
(14) berpotensi duplikasi pembayaran diidentifikasi3. Transaksi uji
untuk kontrol ini semua ditandai dalam pengeluaran kas
dijalankan
Timeliness Risk - Ketidakmampuan untuk memproses pembayaran
tepat waktu dapat mengakibatkan denda atau hukuman (untuk
keterlambatan pembayaran) atau diskon yang terlewatkan (tujuan
aliran ketepatan waktu dan kas)
1. Menguji fungsionalitas sistem untuk tiga kontrol utama2.
Menggunakan perangkat lunak analisis data, menghitung selisih
antara tanggal pembayaran dan tanggal faktur untuk 100% dari
pembayaran yang dilakukan selama setahun terakhir
1. Pengujian benchmark ketiga kontrol inidicated bahwa mereka
beroperasi seperti yang dirancang2. Menindaklanjuti oleh A/P
manajemen yang mengakibatkan biaya tersebut dibebaskan
Systems Access Risk - Kurangnya praktik keamanan logis yang
efektif dapat menciptakan peluang bagi individu yang tidak sah
untuk mengakses, memanipulasi, atau menghapus data pencairan utama
(akurasi, rekaman, dan tujuan arus kas)1. Keamanan TI yang logis
diuji dalam keterlibatan dipisahkan oleh spesialis audit TI2.
Diskusikan dengan rekening manager hutang proses untuk
mengkonfirmasikan hak akses
1. Tidak ada kekurangan desain yang dicatat dalam IT pengujian
keamanan logis2. Berdasarkan pembahasan dan pengamatan dokumentasi
yang sesuai
Develop Observations and Formulate RecomendationsSetelah
menyelesaikan pengujian, mengumpulkan dan mengevaluasi bukti yang
diperlukan, dan mencapai kesimpulan, auditor internal harus
mengembangkan observasi dan merumuskan rekomendasi yang harus
dikomunikasikan kepada auditee dan pemangku kepentingan audit
internal lainnya. Elemen-elemen kunci dari pengamatan yang ditulis
secara singkat dibahas dalam Bab 12, "Pengantar Proses Engagement."
Penjabaran lebih lanjut dari elemen ini dapat ditemukan di Bab 14,
"Berkomunikasi Jaminan Hasil Keterlibatan dan Performing Tindak
lanjut Prosedur."
Contoh: Lima pengamatan audit yang potensial diidentifikasi.
Elemen-elemen kunci dari pengamatan audit didokumentasikan dalam
pameran 13-20 untuk masing-masing lima observasi audit.
Contoh di atas mencerminkan dokumentasi yang auditor internal
dapat menyelesaikan saat melakukan penelitian lapangan. Namun, ada
informasi tambahan yang mungkin diperlukan sebelum termasuk
pengamatan tersebut dalam komunikasi pertunangan. Lihat Bab 14, di
mana resolusi dan pelaporan observasi dibahas lebih lanjut secara
rinci.
EXAMPLE RISK AND CONTROL MATRIX FOR CASH DISBURSEMENT
Process level riskResult of TestingTesting Conclusions
Ekspektasi Risiko-Kurangnya dikembangkan dengan baik dan baik
articultated kebijakan, prosedur, dan bentuk lain dari
comminication dari manajemen dapat mengakibatkan karyawan
melaksanakan tanggung jawab mereka dengan cara yang tidak konsisten
dengan manajemen expactation dan keinginan (akurasi, ketepatan
waktu, pencatatan, kepatuhan, dan tujuan persetujuan)1. Delegasi
kebijakan otoritas daftar tujuh orang yang tidak lagi dengan
perusahaan. Ditambahkannya, sembilan orang yang baru dalam posisi
mereka atau baru untuk perusahaan harus pada daftar tapi tidak
(z-3). Semua tanggung jawab lain tampaknya sesuai (WP X-1).2. Tidak
ada pengamatan diidentifikasi dalam tes ini, semua persetujuan yang
sesuai dengan pendelegasian wewenang kebijakan, setelah
memperhitungkan perubahan consideretion diperlukan untuk kebijakan
seperti yang dijelaskan pada kertas kerja X-1 (WP X-2)3.
Berdasarkan diskusi dan pengamatan, tampak bahwa prosedur
terdokumentasi terus menjadi tepat, saat ini, dan dipahami dengan
baik.Berdasarkan hasil dari sampel yang dipilih, kita dapat
menyimpulkan dengan keyakinan 90% bahwa tingkat penyimpangan dari
kebijakan persetujuan manajemen tidak melebihi 2,9%, yang kurang
bahwa tingkat penyimpangan ditoleransi dari 5%. Namun, harapan
mengenai persetujuan otoritas tidak terpenuhi karena fakta bahwa
delegasi daftar otoritas tidak diperbarui secara konsisten untuk
mencerminkan perubahan dalam status pekerjaan.
Ketepatan waktu Risiko.Ketidakmampuan untuk memproses pembayaran
tepat waktu dapat mengakibatkan denda atau penalti (untuk
keterlambatan pembayaran) atau diskonto terjawab.1. Patokan dari
ketiga kontrol menunjukkan bahwa mereka beroperasi seperti yang
dirancang (WP X-7, X-8, dan X-9)2. Ada 172 pembayaran (1,1% dari
total pengeluaran) dibuat akhir. Biaya keterlambatan pembayaran
adalah perubahan pada 21 pembayaran.Semua tof kontrol sistematis
beroperasi secara efektif. Namun, penundaan sebelumnya dalam hasil
proses dalam jumlah yang relatif kecil pembayaran yang
tertunda.
Akses Sistem Risiko-Kurangnya praktik keamanan logis yang
efektif dapat menciptakan peluang bagi individu unaunthorized untuk
mengakses, memanipulasi, atau menghapus data pencairan kunci.1.
Tidak ada deficienties desain yang dicatat di dalam Engkau IT
pengujian keamanan logis.2. Berdasarkan pembahasan dan pengamatan
dokumentasi yang sesuai, hak akses tampaknya ditinjau secara tepat
dan tepat waktu.Kontrol tampaknya dirancang secara memadai dan
beroperasi secara efektif untuk mengurangi risiko ini.
BOOKS 2 BUY AUDIT ABSERVATIONSFOR CASH DISBURSEMENT
Kondisi: Tidak ada pemeriksaan dengan pengguna untuk menentukan
apakah barang atau jasa yang telah diterima namun belum
ditagihkanKriteria: Semua barang yang diterima yang hak kepemilikan
berpindah ke tge perusahaan, atau layanan yang telah diberikan,
harus dicatat dalam laporan keuangan.Penyebab: Akun manajemen
hutang sebelumnya tidak dianggap atau diakui nilai pada pemeriksaan
tersebutEfek: Kewajiban Kosong, bersama dengan aset tercatat sesuai
atau biaya, dapat mengakibatkan ketika buku ditutup pada akhir
bulan, akhir kuartal, atau akhir tahun
Kondisi: Sementara sistem tidak memberitahukan petugas hutang
acoount potensi faktur digandakan, tidak mencegah petugas hutang
account terus memproses faktur tersebutKriteria: penerimaan barang
atau jasa harus dicatat dan proses hanya sekali.Penyebab: Sistem
ini kode untuk mengingatkan pengguna, tetapi tidak untuk melarang
pengguna dari memasuki faktur lagi jika keadaan dijaminEfek:
Kewajiban, dan aset yang sesuai atau biaya, mungkin
dilebih-lebihkan dan dana yang dikucurkan tidak tepat
Tahap kedua keterlibatan jaminan melibatkan melakukan tes yang
digariskan dalam tahap perencanaan dan mengevaluasi hasilnya
khusus, auditor internal melakukan langkah-langkah berikut:
Melakukan tes untuk mengumpulkan bukti Mengevaluasi bukti yang
dikumpulkan dan mencapai kesimpulan Mengembangkan observasi dan
merumuskan reccommendations
