KONSEP AUDIT
Konsep Audit Adalah
gambaran mengenai pelaksanaan proses audit. Proses audit berkaitan dengan
verifikasi dan atestasi yang bertujuan untuk membuktikan validitas dan
kesesuaian antara informasi yang diaudit dengan kriteria yang telah di tetapkan,
serta untuk menguji temuan-temuan tersebut dengan menerbitkan laporan keuangan
yang sesuai dengan jenis dan tujuan auditnya.
TUJUAN AUDIT
Tujuan audit secara umum adalah untuk menilai apakah informasi atau
kondisi telah sesusai dengan kriteria ataupun prinsip yang telah di tetapkan.
PROSES AUDIT MENGANDUNG
BEBERAPA KONSEP:
- Proses yang Sistematis, adalah proses terstruktur sebagai suatu aktivitas yang dinamis yang dilakukan secara logis
·
Memperoleh dan menilai bukti, bukti bagi auditor merupakan informasi yang digunakan untuk menentukan
aktivitas bisnis yang diaudit sesuai dengan kondisi yang sebenarnya
·
Menentukan tingkat kesesuaian informasi dengan
ketentuan yang berlaku, membandingkan antara kondisi sebenarnya dengan
seharusnya atau menentukan tingkat kesesuaian kondisi dimaksud
·
Melaporkan hasil audit, melaporkan hasil audit kepada pihak-pihak yang terkait
LANGKAH-LANGKAH
AUDIT PDE
1. Merencanakan pemeriksaan
Perencanaan audit memungkinkan bagi auditor :
·
Memperoleh bukti yang kompeten & cukup
·
Dapat melaksanakan audit secara effisien dengan
biaya yang memadai
·
Menghindari kesalahpahaman yang bisa timbul
dengan pihak yang diperiksa
Dalam audit PDE selain manfaat perencanaan
audit, aditor juga dapat memanfaatkan sumber daya komputer dalam audit yang
hendak dilaksanakannya. Dengan kata lain, apabila ia bermaksud melaksanakan
audit dengan komputer maka ia dapat menggunakan komputer milik auditan maupun
menggunakan komputer miliknya sendiri.
2. Memahami lingkungan komputer (computer
environment)
Audit
sekitar komputer dianggap riskan karena perubahan teknologi PDE yang semakin
kompleks dan teritegrasi. Tahapan kedua ini harus dimengerti oleh salah satu
atau seluruh auditor dalam suatu tim audit PDE. Pengetahuan & kompetensi
auditor tentang komputer atau konsep PDE diperlukan sebagai alat bagi auditor
untuk memilih dan menerapkan prosedur audit secara memadai. Selain itu, dalam
memahami lingkungan komputer auditor dituntut pula memahami struktur
pengendalian obyek yang diperiksa.
3. Mengevaluasi pengendalian interen
Mengevaluasi
pengendalian intern sering pula dikatakan mengakses risiko pengendalian yaitu :
menilai effektivitas kebijakan dan prosedur struktur pengendalian intern dalam
mencegah atau mendeteksi salah saji (misstatement). Tujuan dari memahami
struktur pengendalian interen adalah:
·
Mengidentifikasi jenis-jenis kesalahan yang
mungkin timbul
·
Mempertimbangkan faktor-faktor yang mempengaruhi
risiko penyajian laporan keuangan yang secara material salah
·
Merancang pengujian-pengujian substantif
·
Dapat mengurangi prosedur audit lainnya
·
Mengetahui faktor-faktor yang mempengaruhi
risiko karena kesalahan pengungkapan dalam informasi yang diaudit
4. Melakukan pengujian ketaatan dan pengujian
substantif
Tujuan
pengujian ketaatan adalah untuk menentukan apakah sistem pengendalian intern
berjalan sebagaimana yang dikehendaki.
Tujuan
pengujian substantif adalah untuk memvalidasi bahwa suatu transaksi ter-tentu
yang telah diotorisasikan secara memadai, disertai bukti pendukung dan dicatat.
5. Menyelesaikan pemeriksaan
Tahap
akhir adalah penyampaian laoporan audit (audit report) sesuai dengan penugasan
dan tujuan audit yang dilakukan. Penyelesaian audit berupa opini atas penyampaian laporan auditor sesuai penugasannya yaitu :
·
Pendapat wajar tanpa
pengecualian (unqualified opinion)
·
Pendapat wajar tanpa
pengecualian dengan pen-jelasan tambahan (unqualified
opinion with notice)
·
Pendapat wajar dengan
pengecualian (qualified opinion)
·
Pendapat tidak wajar (adverse opinion)
·
Pernyataan tidak
memberikan pendapat (disclaimer)
PERENCANAAN
AUDIT
1.
Memperoleh
bukti yang kompeten dan cukup
2.
Melaksanakan
audit secara efisien dengan biaya yang memadai
3.
Menghindari
kesalah pahaman yang bisa timbul dengan auditan
PERTIMBANGAN
AUDITOR DALAM MERENCANAKAN PEMERIKSAAN
1.
Memperoleh
pemahaman kondisi kegiatan usaha
2.
Mengidentifikasi
mengapa auditor memerlukan audit
3.
Memperoleh
informasi kewajiban hukum serta informasi penting
4.
Mengantisipasi
stuktur pengendalian intern auditan
5.
Menilai
masalah yang timbul dari laporan keuangan
6.
Mengantisipasi
jenis laporan akuntan
7.
Membuat
program pemeriksaan
PEMAHAMAN
TERHADAP LINGKUNGAN EKSTERNAL
Weber menyatakan bahwa audit sekitar
komputer mempunyai konotasi negatif yang di berikan kepada auditor yang tidak
memahami teknologi informasi berbasis komputer atau sering diistilahkan “gatek”
gagap teknologi. Sehingga tahap ini harus di mengerti oleh salah satu atau
seluruh auditor dalam suatu tim PDE
MEMBANGUN
FUNGSI AUDIT INTERNAL TI YANG EFEKTIF
Dalam bab ini kita akan membahas
tujuan departemen audit internal dan bagaimana cara terbaik memanfaatkannya
untuk memberi manfaat bagi perusahaan
·
Misi
audit departemen nyata
·
Konsep
kemandirian dan cara menghindari penyalahgunaan
·
Bagaimana
menambahkan nilai di luar audit formal melalui konsultasi dan keterlibatan awal
·
Bagaimana
meningkatkan efektivitas dengan membangun hubungan
·
Peran
audit teknologi Informasi (TI) dan bagaimana memilih fokus yang benar
·
Bagaimana
membangun dan memelihara tim audit TI yang efektif
MISI
DEPARTEMEN AUDIT INTERNAL
Tujuan departemen audit
internal harus mempromosikan pengendalian internal dan membantu perusahaan
mengembangkan solusi efektif biaya untuk menangani masalah. Ini memerlukan
pergeseran fokus dari pelaporan ke peningkatan seperti departemen lain,
departemen audit ada untuk memberi nilai tambah kepada perusahaan melalui
wilayah spesifik keahlian dalam kasus ini, pengetahuan tentang pengendalian
internal dan bagaimana mengevaluasinya.
LANGKAH-LANGKAH
UNTUK MENILAI RESIKO PENGENDALIAN, YAITU :
1.
Menilai
apakah entitas yang diaudit tersebut layak audit (auditable)
2.
Mengindentifikasi
tujuan-tujuan audit yang harus dicapai
3.
Mengidentifikasi
kebijakan-kebijakan dan prosedur-prosedur khusus
4.
Mengidentifikasi
dan mengevaluasi kelemahan-kelamahan
PENYELESAIAN
AUDIT
Penyampaian laporan audit (audit
report) sesuai dengan penugasan dan tujuan audit yang dilakukan. Dalam laporan
ini di kemukakan apa yang telah dilakukan oleh auditor dan
kesimpulan-kesimpulan yang diambil
PROSES AUDIT
Tahap-tahap dasar proses audit :
•
Berbagai jenis kontrol internal
•
Bagaimana Anda harus memilih apa yang harus di audit
•
Bagaimana melakukan tahap dasar audit
•
Perencanaan
•
Kerja lapangan dan dokumentasi
•
Mengeluarkan penemuan dan validasi masalah
•
Solusi pengembangan
•
Melaporkan penyusunan dan penerbitan
• Pelacakan masalah
Tujuan nya untuk memberikan beberapa
panduan tentang cara terbaik untuk melaksanakan proses audit untuk
memastikannya bahwa tim audit TI Anda seefektif mungkin.
Pengendalian
Internal
Kontrol internal, dinyatakan dalam
istilah yang paling sederhana, adalah mekanisme yang memastikan tepat
berfungsinya proses dalam perusahaan. Setiap sistem dan proses dalam perusahaan
ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari keberadaannya
risiko terhadap tujuan tersebut dan kemudian memastikan bahwa pengendalian
internal diterapkan untuk mengurangi risiko tersebut
Jenis Pengendalian Internal Kontrol
bisa
bersifat preventif, detektif, atau reaktif, dan bisa bersifat administratif,
teknis, dan implementasi fisik. Contoh implementasi administratif termasuk item
seperti kebijakan dan proses. Implementasi teknis adalah alatnya dan perangkat
lunak yang secara logis menerapkan kontrol (seperti kata sandi). Implementasi
fisik termasuk kontrol seperti petugas keamanan dan pintu terkunci (Gambar
2-1).
Kontrol Pencegahan
Kontrol
pencegahan menghentikan kejadian buruk terjadi. ingat bahwa kontrol preventif
tidak selalu merupakan biaya yang paling efektif, dan jenis kontrol lainnya
mungkin lebih masuk akal dari sudut pandang biaya / manfaat.
Kontrol Detektif
Kontrol
detektif merekam kejadian buruk setelah kejadian itu terjadi. Misalnya, logging
semua Kegiatan yang dilakukan pada sistem akan memungkinkan Anda untuk meninjau
log untuk mencari yang tidak sesuai kegiatan setelah acara
Kontrol Reaktif (alias Kontrol Korektif)
Kontrol
reaktif turun antara kontrol preventif dan detektif. Mereka tidak mencegah
sebuah Kejadian buruk terjadi, namun memberikan cara sistematis untuk
mendeteksi kapan terjadi peristiwa yang buruk telah terjadi dan memperbaiki
situasi, itulah sebabnya mereka terkadang dipanggil kontrol korektif Misalnya,
Anda mungkin memiliki sistem antivirus pusat yang dapat mendeteksi
Gambar 2.1
Idealnya, Anda bisa melarang akses
jaringan ke mesin apapun yang tidak sesuai. Namun, ini mungkin tidak praktis
dari sudut pandang bisnis. Oleh karena itu, alternatif mungkin untuk log PC
yang tidak sesuai dan melakukan beberapa kegiatan tindak lanjut yang ketat
untuk mendapatkan PC sesuai atau menghapus kemampuannya untuk mengakses
jaringan
Contoh Pengendalian Internal :
Auditor harus memahami tujuan bisnis
dari apa yang dia atau dia sedang mengaudit, memikirkan risiko untuk mencapai
tujuan itu, dan kemudian mengidentifikasi kontrol internal yang ada yang
mengurangi risiko tersebut.
Kontrol
Perubahan Perangkat Lunak
Jika perubahan pada kode sistem itu
sendiri tidak disetujui dan diuji dengan benar, Anda mungkin melakukannya
temukan bahwa logika yang dieksekusi oleh kode itu keliru. Ini mungkin berarti
Anda kehilangan kepercayaan diri Anda terhadap integritas data di dalam sistem,
yang mengakibatkan ketidakmampuan untuk mengetahui pasti siapa yang telah
membayar perusahaan Anda dan siapa yang tidak. Jadi apa saja kontrol internal
yang akan mengurangi risiko ini?
- Jangan biarkan akses logis pemrogram untuk memperbarui kode produksi.
- Orang yang memiliki akses logis untuk memperbarui kode produksi mungkin tidak melakukannya jadi tanpa bukti pengujian dan persetujuan.
Kontrol
Akses
Jika akses ke sistem diberikan kepada
orang-orang yang tidak memiliki kebutuhan akan akses tersebut, data sistem bisa
diubah, ditambah, atau dihapus secara tidak tepat. Apa saja internal kontrol
yang akan mengurangi risiko ini?
• Mengharuskan user ID dan password
untuk mengakses sistem.
• Memiliki sejumlah administrator
keamanan aplikasi yang mengendalikan kemampuan untuk menambahkan akun pengguna
baru ke sistem.
• Pastikan administrator keamanan
aplikasi mengetahui individu yang tahu pengguna mana yang benar-benar
membutuhkan akses ke sistem
Rencana Pemulihan dan Pemulihan
Bencana
Jika sistem atau datanya hilang,
fungsionalitas sistem tidak akan tersedia, hasilnya kehilangan kemampuan Anda
untuk melacak piutang yang terutang atau mengirim pembayaran baru. Apa beberapa
kontrol internal yang akan mengurangi risiko ini?
• Back up sistem dan datanya secara
berkala.
• Mengirimkan kaset cadangan ke luar
kantor.
• Dokumentasikan rencana pemulihan
bencana.
Menentukan
Apa yang Harus di Audit
Anda harus efisien dan efektif dalam
menggunakan sumber daya terbatas Anda dengan menghabiskan jam audit TI Anda
melihat area yang paling banyak pentingnya. Hal ini seharusnya tidak dilakukan
dengan secara sewenang - wenang menarik potensi audit .Sebagai gantinya,
seharusnya proses logis dan metodis memastikan semua potensi audit telah
dipertimbangkan
Menciptakan
Lingkup Audit
Salah satu langkah pertama dalam
memastikan proses perencanaan yang efektif adalah menciptakan audit TI dalam
lingkungan anda. Anda bisa melewati
lingkungan TI dengan berbagai cara, dan tidak ada yang khusus benar atau salah.
Fungsi
TI Terpusat
Pertama, tentukan apa fungsi TI yang
terpusat, dan letakkan masing-masing yang terpusat berfungsi dalam daftar audit
TI potensial Anda (lihat Tabel 2-1). Ini bisa termasuk proses administrasi
seperti manajemen akun, manajemen perubahan, masalah manajemen, manajemen patch,
pemantauan keamanan, dan proses lainnya akan berlaku untuk seluruh lingkungan.
Kemudian, jika rencana auditor
keuangan meminta dilakukannya audit atas aplikasi keuangan tertentu yang berada
pada sebuah Server Unix, partisipasi Anda dalam audit itu hanya bisa mengaudit
keamanan dari server tertentu tanpa harus menghabiskan waktu untuk memahami
prosesnya mengelola server itu (yang sudah tercakup dalam audit terpusat Anda).
Tentu saja, setiap perusahaan akan memusatkan fungsi inti inti semacam ini agar
berbeda derajat. Anda dapat menghapus fungsi terpusat yang telah ada diaudit
dari ruang lingkup audit. Misalnya, Anda melakukan audit terhadap lingkungan TI
di setiap situs, namun Konfigurasi dan dukungan jaringan terpusat. Tidak
efisien untuk berbicara dengan kelompok jaringan tentang proses mereka selama
setiap audit lokasi. Sebagai gantinya, kamu harus melakukan satu audit meliputi
proses mereka, dan kemudian lingkup daerah yang diluar dari audit anda
Fungsi
TI yang Terdesentralisasi
.Audit ini dapat berupa review
terhadap pengendalian TI yang terdesentralisasi yang dimiliki oleh setiap
situs, seperti data center keamanan fisik dan pengendalian lingkungan. Server
dan Dukungan PC juga mungkin terdesentralisasi di perusahaan Anda. Kuncinya
adalah memahami kontrol TI apa yang dimiliki di tingkat situs dan
mengulasnya.Semuanya tergantung pada kompleksitas lingkungan, hirarki
organisasi, dan staf Anda tingkat. Anda harus menentukan apa yang paling
efektif di lingkungan Anda.
Aplikasi
Bisnis
Anda juga bisa membuat potensi audit
untuk setiap aplikasi bisnis. Anda harus melakukannya tentukan apakah lebih
efektif melakukan audit ini di audit IT
atau di audit finansial. Dalam banyak hal, sangat masuk akal untuk
memilikinya audit didorong oleh auditor keuangan, (seperti review dari server
yang mana aplikasi pengadaan berada, kontrol perangkat lunak sistem kontrol,
sistem itu rencana pemulihan bencana, dan sebagainya).
Kepatuhan
Terhadap Peraturan
Contoh umum termasuk audit kepatuhan
terhadap Sarbanes-Oxley, Portabilitas dan Akuntabilitas Asuransi Kesehatan UU
(HIPPA), dan peraturan dan standar Industri Kartu Pembayaran (PCI). Anda
mungkin memiliki audit terpisah di alam audit Anda untuk menguji kepatuhan
masing-masing peraturan.
Peringkat Lingkup Audit
Peringkat Lingkup Audit
Setelah
Anda menciptakan alam semesta audit TI Anda, Anda harus mengembangkan
metodologi untuk mendapatkan rangking audit potensial tersebut (Gambar 2-2)
untuk menentukan rencana Anda untuk tahun ini (atau kuartal, bulan, dan
seterusnya). Anda bisa memasukkan semua jenis faktor dalam metodologi ini, tapi
Berikut adalah beberapa hal penting:
- Masalah yang diketahui di area Jika Anda mengetahui ada masalah di area, Anda harus lebih mungkin untuk melakukan audit daerah itu.
- Tapi pengalaman Anda memberitahu Anda bahwa daerah ini rentan terhadap masalah, jadi Anda harus mempertimbangkan untuk melakukan audit. Misalnya, mungkin Anda secara konsisten temukan masalah penting saat mengaudit kontrol TI tingkat situs yang mendukung sebuah aktivitas manufaktur tertentu
- Manfaat melakukan audit di daerah Pertimbangkan manfaat dari melakukan audit di wilayah tersebut, dengan fokus terutama pada apakah audit akan menambah nilai bagi perusahaan. Ini memberikan offset macam pada item pertama dalam daftar ini, Anda harus juga mempertimbangkan pentingnya daerah untuk perusahaan.
- Jika petugas informasi kepala (CIO) dan / atau anggota kunci dari tim kepemimpinan TI prihatin dengan sebuah daerah dan ingin Anda mengauditnya, maka masukan itu harus membebani Anda dengan berat proses keputusannya, Sebenarnya, jika hubungan itu sehat dan Anda sedang melakukan sebuah pekerjaan yang baik untuk mempertahankan kontak sepanjang tahun, rencana audit Anda seharusnya hampir menciptakan dirinya sendiri.
Faktor lainnya dapat dimasukkan dalam model peringkat audit, namun empat faktor sebelumnya sangat penting Faktor lainnya bisa ditambahkan berdasarkan lingkungan di tempat Anda perusahaan (misalnya, memiliki faktor yang mengukur jumlah aset yang diwakili oleh daerah atau faktor yang mencerminkan hasil audit sebelumnya di wilayah tersebut). Selain itu, lingkungan di perusahaan Anda dapat membawa Anda ke berat beberapa faktor-faktor tersebut lebih banyak dibanding yang lain. Sebagai contoh bagaimana model peringkat akan Bekerja, Anda mungkin memutuskan untuk memberi peringkat masing-masing faktor dari 1 sampai 10. Jika CIO dan seluruh pimpinan Tim mendorong Anda untuk melakukan audit, faktor masukan manajemen mungkin akan mendapatkan 10. Namun, jika Anda tidak melihat banyak risiko inheren di area itu, Anda mungkin memberi faktor itu 5. Dan ini berlanjut sampai Anda memberi nilai poin pada masing-masing faktor setiap potensi audit di alam audit mu. Anda juga mungkin memutuskan itu, misalnya, Faktor "masalah yang diketahui" membutuhkan bobot yang lebih tinggi daripada yang lain, jadi Anda bisa menghitungnya faktor itu ganda. Kuncinya adalah membuat sekian banyak audit potensial Anda didefinisikan dan kemudian buat beberapa proses yang membantu Anda menentukan peringkat relatif masing-masing audit potensial tersebut
Menentukan Apa yang Harus Diperiksa : Keputusan
Akhir
Setelah
Anda melakukan peringkat Anda, Anda perlu memperkirakan persyaratan sumber daya
untuk setiap potensi audit untuk menentukan garis potong rencana audit Anda
(sejak Anda seharusnya sudah tahu sumber daya apa yang tersedia untuk Anda).
Singkatnya, sebelum Anda merasa nyaman bahwa Anda mengaudit hal yang benar,
Anda harus menentukan jagad audit potensial Anda dan kemudian mengembangkan
sebuah metodologi untuk memeringkat audit tersebut. Setelah Anda menentukan apa
yang akan Anda audit, Anda dapat melaksanakan setiap audit dalam rencana
tersebut. Sisa dari bab ini dikhususkan untuk membahas metodologi
Tahap Tahap Sebuah Audit
Sekarang setelah Anda memahami proses
memilih apa yang harus di audit. Kita akan membahas hal berikut enam fase audit
utama (Gambar 2-3):
1. Perencanaan
2. Kerja lapangan dan dokumentasi
3. Terbitkan penemuan dan validasi
4. Solusi pengembangan
5. Melaporkan penyusunan dan
penerbitan
6. Pelacakan masalah
Anda akan belajar bagaimana melakukan
setiap tahap ini dengan sangat efektif.
Perencanaan
Jika Proses perencanaan dilaksanakan
secara efektif, maka tim audit akan sukses. Sebaliknya, jika dilakukan dengan
buruk dan pekerjaan dimulai tanpa rencana dan tanpa jelas arah, upaya tim audit
bisa berakibat pada kegagalan. Tujuan dari proses perencanaan adalah untuk
menentukan tujuan dan ruang lingkup audit. Anda perlu menentukan apa yang ingin
Anda capai dengan ulasannya.. Proses perencanaan ini membutuhkan penelitian
yang cermat, pemikiran, dan pertimbangan untuk setiap audit. Berikut adalah
beberapa sumber dasar yang seharusnya
Direferensikan sebagai bagian dari
setiap proses perencanaan audit:
• melepaskan dari manajer audit
• Survei pendahuluan
• Permintaan pelanggan
• Daftar periksa standar
• Penelitian
Terlepas
dari Manajer Audit
Jika audit termasuk dalam rencana audit, pasti
ada beberapa alasan. Manajer audit harus menyampaikan kepada tim audit
informasi tersebut yang menyebabkan audit dijadwalkan. Ini mungkin termasuk
komentar dari IT manajemen dan / atau kekhawatiran yang diketahui di daerah
tersebut. Faktor-faktor yang menyebabkan terjadinya audit dijadwalkan perlu
dicakup dalam rencana audit. Selain itu, manajer audit harus dapat memberikan
tim audit kontak kunci untuk audit tersebut.
Survei
Awal
Tim audit harus meluangkan waktu
sebelum setiap audit melakukan survei pendahuluan di wilayah yang akan diaudit
untuk memahami apa auditnya akan memerlukan. Hal ini kemungkinan akan mencakup
wawancara dengan pelanggan audit untuk memahami fungsi sistem atau proses yang
sedang ditinjau, serta review dari setiap yang bersangkutan dokumentasi.
Tujuannya adalah untuk mendapatkan latar belakang dan pemahaman dasar area yang
akan ditinjau. Hal ini diperlukan untuk melakukan penilaian awal terhadap
risiko di daerah.
Permintaan
Pelanggan
Tim audit seharusnya tanyakan pada
pelanggan area apa yang mereka pikir harus ditinjau dan area mana yang menjadi
perhatian. Masukan ini harus sesuai dengan hasil penilaian risiko obyektif
auditor untuk menentukan ruang lingkup audit. Tentu, terkadang auditor tidak
akan menggunakan masukan pelanggan.
Daftar
Standar
Daftar periksa audit standar untuk
area yang sedang diperiksa adalah sering tersedia Daftar periksa di Bagian II
buku ini dapat menjadi awal yang baik titik untuk banyak audit Selain itu,
departemen audit mungkin memiliki daftar periksa sendiri untuk sistem dan
proses standar di perusahaan. Memiliki standar, repeatable audit daftar periksa
untuk area umum dapat memberikan awal yang berguna bagi banyak audit. Mereka
Daftar periksa, bagaimanapun, harus dievaluasi dan diubah seperlunya untuk
setiap audit tertentu.Memiliki daftar periksa standar tidak menghilangkan
persyaratan auditor untuk melakukan penilaian risiko sebelum setiap audit.
Penelitian
Akhirnya, Internet, buku, dan materi
pelatihan harus dirujuk dan digunakan sesuai untuk setiap audit untuk
mendapatkan informasi tambahan tentang area tersebut diaudit
Penilaian
auditor harus melakukan penilaian
terhadap risiko di wilayah yang ditinjau untuk mengidentifikasi langkah-langkah
yang harus dilakukan selama audit Konsep ini diilustrasikan di bagian
"Internal Controls". auditor perlu pikirkanlah melalui risiko
terhadap sistem atau fungsi teknologi yang dimaksud. Hasil dari latihan
sebelumnya harus menjadi penentuan lingkup dari audit, termasuk menentukan dan
mengkomunikasikan apa yang berada di luar jangkauan dan menyusun daftar langkah
yang harus dilakukan untuk mencapai cakupan itu. Langkah-langkah ini seharusnya
didokumentasikan dengan detail yang cukup untuk memungkinkan auditor melakukan
audit Pahami risikonya ditangani setiap langkahnya. Penting juga agar Anda
mendokumentasikan langkah-langkah audit sehingga mereka berulang dan mudah
digunakan oleh orang berikutnya yang melakukan audit serupa, sehingga berfungsi
sebagai alat pelatihan dan memungkinkan dilakukannya pengulangan ulang yang
lebih efisien audit.
Penjadwalan
Elemen penting dari proses perencanaan
adalah penjadwalan audit (yaitu, menentukan saat audit akan berlangsung).
Daripada mendikte kapan audit akan terjadi berdasarkan semata-mata pada
kenyamanan tim audit, penjadwalan audit harus dilakukan bekerja sama dengan
nasabah audit. Ini akan memungkinkan tim audit untuk melakukannya pertimbangkan
absensi personil dan waktu aktivitas tinggi, di mana tim audit mungkin tidak
bisa mendapatkan waktu dan perhatian yang tepat dari organisasi mereka.
Memulai
Rapat
Menjelang akhir proses perencanaan,
memulai harus dilakukan dengan audit pelanggan sehingga Anda dapat
mengkomunikasikan apa yang masuk dan keluar dari ruang lingkup proyek audit dan
juga menerima masukan terakhir mereka..
Kerja
Lapangan dan Dokumentasi
Sebagian besar audit terjadi selama
fase ini, ketika langkah - langkah audit dibuat selama tahap sebelumnya
dilaksanakan oleh tim audit. Sekarang, tim memperoleh data dan melakukan
wawancara yang akan membantu anggota tim untuk menganalisis potensi risiko dan
menentukan risiko mana yang tidak dimitigasi secara tepat. Dokumentasi
merupakan bagian penting dari kerja lapangan. Auditor harus melakukan pekerjaan
yang memadai untuk mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat
dibuktikan. Itu Tujuannya adalah untuk mendokumentasikan pekerjaan dengan cukup
detail sehingga cukup mendapat informasi Orang bisa mengerti apa yang telah dilakukan
dan sampai pada kesimpulan yang sama dengan auditor.
Ini akan menjadi penting bahwa
dokumentasi ada untuk menjelaskan dan proses auditing dan mendukung kesimpulan.
jika di audit dilakukan lagi suatu hari nanti, mempertahankan dokumentasi
terperinci akan memungkinkan audit berikutnya tim untuk belajar dari pengalaman
tim audit sebelumnya, sehingga memungkinkan untuk perbaikan dan efisiensi terus
menerus. Satu catatan terakhir tentang kerja lapangan: Selama tahap
perencanaan, Anda akan menyusun daftar periksa seperti apa yang Anda rencanakan
untuk diperiksa selama audit berlangsung. Tim harus tetap tinggal fleksibel
selama audit dan bersiap untuk mengeksplorasi jalan yang tidak diperhatikan
selama tahap perencanaan. Anggota tim selalu perlu mengingat Tujuan audit
secara keseluruhan. Langkah-langkah ini harus menjadi pedoman untuk mencapai
suatu tujuan, dan setiap auditor perlu tetap kreatif dalam bagaimana langkah
tersebut dilakukan.
Terbitkan
Penemuan dan Validasi.
Saat melaksanakan penelitian lapangan,
auditor akan mengembangkan daftar masalah potensial. Ini adalah jelas salah
satu fase audit yang lebih penting, dan auditor harus mengambilnya peduli untuk
menggandakan daftar isu potensial untuk memastikan bahwa semua masalah tersebut
valid dan relevan. Dengan semangat kolaborasi, auditor harus mendiskusikan
potensi permasalahan dengan pelanggan sesegera mungkin Tidak ada yang mau
menunggu auditor menyelesaikannya audit dan kemudian harus menanggung daftar
masalah.
Pengembangan
Solusi
Setelah Anda mengidentifikasi potensi
masalah di area yang Anda audisi dan telah divalidasi Fakta dan risiko, Anda
dapat bekerja sama dengan pelanggan untuk mengembangkan rencana tindakan untuk
menangani setiap masalah .Tiga pendekatan umum digunakan untuk pengembangan dan
menetapkan item tindakan untuk menangani masalah audit:
• Pendekatan rekomendasi
• Pendekatan manajemen-respon
• Pendekatan solusi
Pendekatan
Rekomendasi
Dengan menggunakan pendekatan umum
ini, auditor mengangkat isu dan memberikan rekomendasi mengatasinya Mereka
kemudian bertanya kepada pelanggan apakah mereka menyetujui rekomendasi
tersebut dan jika demikian, kapan mereka akan menyelesaikannya.
Pendekatan
Manajemen-Respon
Dengan pendekatan manajemen-respon,
auditor mengembangkan daftar isu dan kemudian melemparkan mereka ke pelanggan
untuk respon dan rencana tindakan mereka. Terkadang para auditor kirimkan
rekomendasi mereka untuk resolusi beserta masalahnya, dan kadang-kadang mereka
hanya mengirim masalah tanpa rekomendasi
Pendekatan
Solusi
Dengan menggunakan pendekatan ini,
auditor bekerja sama dengan pelanggan untuk mengembangkan solusi itu merupakan
rencana tindakan yang saling dikembangkan dan disepakati untuk menangani
masalah ini diangkat selama audit. Ini adalah kombinasi dari dua pendekatan sebelumnya,
membawa di terbaik dari masing-masing. Seperti pendekatan rekomendasi, auditor
menyediakan ide untuk resolusi berdasarkan pengetahuan kontrol mereka. Mereka
perlu dipersiapkan untuk memberi tahu pelanggan apakah solusinya diusulkan
tidak memenuhi kebutuhan minimum mitigasi risiko.
Panduan
Pengembangan Solusi
Terlepas dari pendekatan yang Anda
gunakan, Anda perlu menetapkan siapa yang bertanggung jawab untuk mengeksekusi
rencana tindakan dan tanggal jatuh tempo dimana mereka akan selesai. Ini menyediakan
akuntabilitas dan dasar untuk tindak lanjut auditor. Seiring rencana aksi ini
ditangani, auditor harus fleksibel mengenai bagaimana rencana kerja yang
direncanakan harus selesai berada dalam laporan audit
Beberapa masalah memberi solusi
langsung, seperti mengubah system pengaturan atau penguncian hak akses file.
Dalam kasus ini, Anda akan mengharapkan pelanggan bisa mengatakan kapan solusi
akan diimplementasikan. Namun, Masalah lain memerlukan solusi yang kompleks dan
melibatkan banyak organisasi dan mengembangkan proses yang kompleks atau
memperoleh teknologi baru. Anda dapat mengaturnya sebuah tanggal sementara
dimana mereka akan memilih solusi dan mengembangkan garis waktu. Setelah
tanggal tersebut tercapai, jika mereka memang telah mengembangkan rencana aksi
yang rinci, Anda bisa melakukannya menetapkan tanggal jatuh tempo yang baru
berdasarkan rencana tersebut.
auditor harus objektif dan memastikan
bahwa Resiko tak tanggung-tanggung tidak beralasan. Penting juga agar Anda
bekerja dengan pelanggan audit agar fleksibel saat menyetel tanggal jatuh tempo
untuk mengeluarkan resolusi. Seperti yang telah dibahas sebelumnya, auditor
harus bekerja dengan tekun untuk mencapai kesepakatan dengan pelanggan mengenai
isu dan solusi dari audit.
Meningkatnya masalah sering akan
menghasilkan hasil positif bagi pelanggan, seperti sumber tambahan dialokasikan
untuk memungkinkan masalah ditangani, jadi eskalasinya Proses tidak harus
menjadi perdebatan. Dan terkadang pelanggan ingin auditor meningkatkan masalah
untuk memberikan dukungan tambahan untuk alamat yang diketahui Isu yang mungkin
belum mendapat perhatian yang tepat sebelum di audit. Saat masalah meningkat ke
manajemen, pastikan untuk memindahkan rantai komando sehingga tidak ada yang
merasa dirinya dibutakan.
Pembuatan
Laporan dan Penerbitan
Begitu Anda menemukan masalah di
lingkungan yang diaudit, validasikannya Dengan pelanggan, dan mengembangkan
solusi untuk mengatasinya, Anda dapat menyusun laporan audit. Ini melayani dua fungsi utama:
• Bagi
Anda dan pelanggan audit, ini berfungsi sebagai catatan audit, hasilnya, dan
rencana aksi yang dihasilkan.
• Untuk manajemen senior dan komite audit, ini
berfungsi sebagai "rapor" di area yang diaudit
Elemen Penting dari Laporan Audit
Ada
banyak format laporan audit karena ada departemen audit internal. Namun,
Berikut adalah elemen penting dari laporan audit:
•
Pernyataan lingkup audit
•
Ringkasan bisnis plan
• Daftar masalah, beserta rencana tindakan
untuk menyelesaikannya
Pernyataan Ruang Lingkup Audit
Buatlah
jelas dalam laporan yang disertakan dalam audit dan, jika perlu, apa yang tidak
termasuk dalam audit. Jika ada area atau topik Khususnya dikeluarkan dari
audit, penting untuk menyatakan sebanyak mungkin laporan tersebut hindari
kesalahpahaman.
Ringkasan
Eksekutif
Ringkasan ini harus bisa berdiri
sendiri sebagai dokumen informatif, bahkan jika telah dihapus dari sisa
laporan.harus mencerminkan informasi yang relevan tentang hasil audit, dengan
asumsi pembaca tidak membaca bagian lain dari laporan tersebut. Itu harus tidak
termasuk kata-kata kasar dan pernyataan samar-samar.
Daftar
Isu dan Rencana Aksi
Ini adalah inti dari laporan karena
menyediakan rincian tentang semua masalah signifikan yang ditemukan selama
audit dan apa yang sedang terjadi yang harus dilakukan untuk memperbaikinya.
Kualitas dan kejelasan penulisan sangat penting, karena setiap terbitan harus
didokumentasikan sedemikian rupa sehingga beberapa tingkat pembaca bisa
memahaminya. Orang yang berurusan dengan area dari hari ke hari harus bisa
memahami masalah Anda dan rencana, dan manajemen senior juga harus bisa
memahami risikonya dan mengapa itu perlu dikurangi. Jelaskan konsep dalam
istilah orang awam dan jelaskan setiap risiko.
Unsur
Tambahan dari Laporan Audit
Anda mungkin mempertimbangkan untuk
menambahkan beberapa elemen lain untuk laporan Anda.
Kontrol
Kunci
Selain masalah yang Anda temukan, Anda
pasti menyadarinya beberapa hal baik yang sudah dilakukan. Beberapa kontrol
penting sudah ada di tempat yang Anda andalkan selama penilaian Anda. Jika
kontrol ini tidak dilakukan atau diubah, itu akan mengubah keseluruhan
penilaian lingkungan Anda
Item
Tertutup
Jika pelanggan audit Anda
menyelesaikan masalah selama audit berlangsung, memberi mereka kredit untuk itu
Cantumkan masalah yang telah diselesaikan dalam bagian terpisah. Hal ini
membuat item tertutup menyumbat bagian "Masalah", memberi pelanggan
Anda kredit untuk bersikap proaktif, dan juga memastikan bahwa laporan audit
mencerminkan keseluruhan gambar masalah yang ada pada saat review.
Masalah
Kecil
Terkadang Anda menemukan masalah kecil
selama proyek yang tidak mewakili sebuah risiko besar Anda tidak berminat untuk
melacak resolusi mereka karena apakah pelanggan mengatasinya atau tidak tidak
penting. Namun Anda ingin membuat pelanggan sadar akan pengamatan Anda sehingga
mereka bisa melakukan tindakan jika mereka mau. Masalah kecil dapat dicantumkan
di bagian mereka sendiri.
Mendistribusikan
Laporan Audit
Setelah menyusun laporan, Anda harus
membiarkan pelanggan meninjau dan berkomentar di atasnya sebelum dikeluarkan.
Tujuannya harus untuk pelanggan merasa nyaman dengan dan sesuai dengan apa yang
ada dalam laporan. Setelah itu laporan tersebut disusun dan ditinjau oleh
pelanggan .Sebagian besar departemen audit menerbitkan semua laporan audit
kepada manajemen senior (termasuk CIO, CFO, dan CEO) dan terkadang bahkan ke
komite audit
Pelacakan
Masalah
Adalah umum bagi auditor untuk merasa
seperti audit "selesai" begitu laporan auditnya dikabarkan.Biasanya
bijaksana bagi auditor yang melakukan atau memimpin audit untuk bertanggung
jawab untuk menindaklanjuti poin dari audit tersebut dengan pelanggan yang
bertanggung jawab sebagai tanggal jatuh tempo untuk setiap titik pendekatan.
Auditor tidak harus menunggu sampai titik tersebut jatuh tempo atau sebelum
jatuh tempo sebelum menghubungi pelanggan, namun harus berada dalam kontak
reguler mengenai status dari masalah Ini melayani sejumlah tujuan. Auditor
harus tentukan seberapa penting risikonya dan buatlah keputusan mengenai
tingkat manajemennya perlu menyadari risiko itu dan membuat keputusan tentang
apakah akan menguranginya. Masalah harus ditingkatkan ke tingkat manajemen ini
jika perlu. Setiap masalah kecil tidak perlu ditingkatkan ke komite audit,
karena risikonya terkait beberapa masalah tidak menjaminnya. Anda tidak perlu
memberi tahu komite audit tentang seseorang Pengguna memiliki kata sandi yang
buruk, misalnya.
Ringkasan
Bab ini membahas hal-hal berikut:
• Kontrol internal, dinyatakan dalam
istilah yang paling sederhana, adalah mekanisme yang memastikan berfungsinya
proses dalam perusahaan. Kontrol bisa jadi preventif, detektif, atau reaktif
dan memiliki administrasi, teknis, dan implementasi fisik
• Rencana audit Anda harus memfokuskan
auditor Anda pada area yang memiliki risiko paling besar dan di mana Anda bisa
menambahkan nilai paling banyak. Jagung audit komprehensif dan Model peringkat
yang efektif merupakan elemen penting untuk mencapai tujuan ini.
• Audit memiliki enam tahap utama:
perencanaan, kerja lapangan dan dokumentasi, masalah penemuan dan validasi,
pengembangan solusi, pembuatan laporan dan penerbitan, dan pelacakan masalah
• Beberapa sumber dasar yang harus
dirujuk sebagai bagian dari setiap perencanaan audit Prosesnya meliputi
melepaskan dari manajer audit, survei pendahuluan, pelanggan permintaan, daftar
periksa standar, dan penelitian.
• Selama kerja lapangan dan
dokumentasi, sedapat mungkin, auditor harus melakukannya mencari cara untuk
memvalidasi secara independen informasi yang diberikan kepada mereka dan efektivitas
lingkungan pengendalian.
• Jika Anda bekerja dengan pelanggan
Anda sepanjang audit untuk memvalidasi masalah dan sampai pada kesepakatan
mengenai risiko yang menjadi masalah, kesimpulan dari audit akan berjalan lebih lancar dan cepat.
• Tiga pendekatan umum digunakan untuk
mengembangkan dan menetapkan item aksi untuk menangani masalah audit:
pendekatan rekomendasi, respon manajemen pendekatan, dan pendekatan solusinya.
• Elemen penting dari laporan audit
adalah pernyataan lingkup audit, daftar masalah beserta rencana aksi untuk
menyelesaikannya, dan eksekutif ringkasan.
• Audit tidak benar-benar lengkap
sampai masalah yang diangkat dalam audit diselesaikan.
AUDIT APLIKASI
Aplikasi audit adalah jenis audit umum
untuk perusahaan menengah dan besar, terutama jika beberapa aplikasi
dikembangkan secara internal. Ada beberapa prinsip dasar aplikasi audit yang
perlu diketahui dan dipahami oleh akuntan TI. Artikel dua bagian ini
menjelaskan satu kerangka kerja untuk melakukan audit aplikasi yang efektif.
Kerangka kerja yang berorientasi
proses mencakup langkah-langkah yang serupa dengan berikut ini:
• RENCANAKAN AUDIT.
• MENENTUKAN TUJUAN AUDIT.
• SISTEM MAP DAN ALIRAN DATA.
• IDENTIFIKASI KUNCI.
• MEMAHAMI FUNGSIONALITAS APLIKASI.
• LAKUKAN TES YANG SESUAI.
• HINDARI KOMPLIKASI.
• LAPORAN KEUANGAN.
• PERTIMBANGKAN ALAT YANG BERGUNA.
• LENGKAPI LAPORANNYA
Beberapa langkah, seperti sistem
pemetaan dan aliran data, diperluas. Sementara pemetaan kartu harus dilakukan
pada awal audit, sementara pemetaan kartu harus dilakukan pada awal audit, hal
ini berperan dalam sebagian besar langkah lainnya. Lainnya, seperti laporan
keuangan, mungkin atau mungkin tidak berlaku. Namun, kerangka kerja yang
tercantum menyediakan serangkaian langkah yang adil yang memungkinkan
pengendalian aplikasi yang efektif. Perlu diingat artikel ini menjelaskan tiga
langkah pertama yaitu perencanaan, menentukan tujuan dan pemetaan.
RENCANAKAN AUDIT
Rencana audit mencakup pertimbangan
semua faktor yang relevan yang menentukan tujuan audit. Pertimbangan ini
diperlukan untuk merencanakan audit dengan benar.
- Pertimbangan Tujuan
Salah satu pendorong utama audit
aplikasi selama proses berlangsung adalah kondisi atau keadaan dimana audit
tersebut muncul. Artinya, apa yang mendorong kebutuhan audit? Apakah itu
rencana audit rutin? Apakah ini audit ad hoc? Kebutuhan itu biasanya
berhubungan langsung dengan tujuan utama audit. Misalnya, jika manajemen ingin
mendapatkan kepastian bahwa aplikasi baru berjalan sesuai yang dirancang, fakta
tersebut akan mendorong tujuan dan rencana audit.
- Pertimbangan Risiko
Faktor kunci kedua dan pengemudi
adalah pertimbangan risiko yang terkait dengan audit tertentu, mengingat tujuan
audit yang telah ditentukan sebelumnya. Auditor IT, atau tim audit, perlu mengidentifikasi
risiko yang terkait dengan aplikasi dan data, sumber, infrastruktur dan sistem
yang terkait. Untuk mengikuti contoh sebelumnya, skenario risiko mungkin
termasuk kurangnya fungsionalitas (misalnya, tidak benar-benar memenuhi
persyaratan informasi), kesalahan dan / atau bug, ketidakmampuan untuk
mengintegrasikan / berinteraksi dengan aplikasi atau sistem lain, kesalahan
data, dan risiko serupa lainnya.
- Pertimbangan Lingkungan Pengendalian
Biasanya, rencana audit harus
mempertimbangkan lingkungan pengendalian seputar aplikasi, dalam konteks tujuan
audit. Jika tujuan utama audit adalah mengaudit fungsi yang tepat, kontrol
mungkin merupakan pengendalian pengembangan aplikasi atau pengendalian siklus
hidup pengembangan sistem (SDLC). Secara khusus, kontrol untuk pengujian
aplikasi adalah penting.
- Pertimbangan penerapan Pra atau Pasca implementasi
Terkadang audit aplikasi melibatkan
aplikasi pra-implementasi, namun kemungkinan besar, ini akan menjadi situasi
pasca-implementasi. Preaudit cenderung melibatkan tujuan, cakupan dan prosedur
khusus yang sesuai dengan aplikasi dan tujuan tersebut. Postauditat sering
mengikuti serangkaian tujuan umum (lihat bagian Tentukan Tujuan Audit).
- Pertimbangan Ruang Lingkup
Pertimbangan yang sangat penting dalam
perencanaan adalah menetapkan batasan lingkup. Itu berarti menentukan teknologi
dan kontrol yang relevan yang terkait dengan audit aplikasi, seperti:
• Antarmuka ke aplikasi lain
• Sistem sumber
• Sistem target / tujuan
• Infrastruktur atau komponennya
• Database
• Fasilitas area stage / testing
- Pertimbangan Kompetensi
Seperti dalam semua audit, salah satu
pemimpin atau manajer tim audit perlu menilai kompetensi staf terhadap
kebutuhan audit. Misalnya, jika antarmuka melibatkan Oracle, ada kemungkinan
pakar Oracle akan benar-benar mengaudit aplikasi tersebut.
MENENTUKAN TUJUAN AUDIT
Pemetaan adalah salah satu alat paling
efektif yang dimiliki auditor TI untuk audit TI. Tujuannya agak terkait dengan
pertimbangan pra / pasca implementasi. Seperti yang dinyatakan sebelumnya,
tujuannya cenderung berpemilik untuk aplikasi pra-implementasi. Hal yang sama
juga berlaku untuk tujuan tertentu. Bagi orang lain, tujuannya cenderung
menjadi salah satu yang khas untuk audit:
•
Efisiensi (terkait dengan biaya pengembangan, kinerja operasional, dll.)
•
Efektivitas (terkait dengan memenuhi persyaratan / fungsi informasi, tujuan
otorisasi asli, integrasi dengan TI
lainnya, kinerja operasional, dll.)
•
Kepatuhan (hukum dan peraturan, kontrak, dll)
•
Lansiran (jika peringatan disertakan dengan aplikasi)
•
Implikasi pelaporan keuangan
SISTEM MAP DAN ARUS DATA
Pemetaan adalah salah satu alat paling
efektif yang dimiliki auditor TI untuk audit TI. Dalam aplikasi audit, penting
untuk benar lingkup TI lain yang mempengaruhi atau dipengaruhi oleh aplikasi.
Para ahli percaya bahwa pemetaan dapat membantu auditor TI dalam memperoleh
pemahaman menyeluruh tentang teknologi yang relevan, proses, kontrol dan
bagaimana semuanya sesuai. Ini juga memberdayakan auditor TI untuk melakukan
langkah terbaik dalam kerangka ini dari perencanaan hingga pelaporan, ini juga
berdampak komprehensif terhadap kualitas audit TI. Item yang harus diperhatikan
dalam memetakan aplikasi dengan benar antara lain:
•
Komponen TI yang relevan (deskripsi)
•
Pemilik bisnis atau lini bisnis
•
Mengubah kebijakan dan prosedur manajemen
•
Peran dan dampak dari vendor
•
Proses bisnis
•
Kontrol
•
Administrasi akses dan keamanan
Faktor-faktor ini dapat memandu
auditor TI dalam membuat peta, menentukan apa yang seharusnya ada di peta atau
menentukan kolom apa yang harus digunakan dalam spreadsheet yang menggambarkan
pemetaan. Mendokumentasikan dan memetakan risiko mungkin melibatkan item
seperti risiko, area risiko, tujuan, referensi, prosedur, hari audit,
persentase yang dilakukan, hari untuk menyelesaikan, ruang lingkup sistem dan
catatan.
Auditor TI perlu memetakan proses dan
aliran data menggunakan diagram alir data konvensional (DFD), use cases,
diagram alir sistem atau Unified Modeling Language (UML). Diagram
nonkonvensional dapat berfungsi sebagai model yang lebih baik untuk
menggambarkan proses dan arus data.
IDENTIFIKASI KUNCI KONTROL
Saat mengevaluasi kontrol yang
relevan, auditor TI ingin membedakan antara kontrol yang disesuaikan dan yang
terdapat dalam perangkat lunak off-the-shelf komersial (COTS). Untuk kontrol
yang dibuat khusus, penyelidikan adalah tempat yang baik untuk memulai
evaluasi. Salah satu pertanyaan utamanya adalah meminta manajemen keahlian
pengendalian khusus yang disuntikkan ke dalam proses pengembangan aplikasi.
Artinya, siapa atau kelompok apa yang menyediakan keahlian yang memastikan
kontrol yang memadai tertanam dalam aplikasi baru? Bagaimana tujuan itu
tercapai? Dan akhirnya, auditor TI harus memastikan bahwa kontrol tersebut
telah didokumentasikan dan diuji dengan benar.
Bagi COTS, auditor TI mungkin akan
memulai dengan walk-through untuk menentukan kontrol apa yang sebenarnya ada
dalam aplikasi dan bagaimana fungsinya. Jalan-jalan akan melibatkan mengikuti
transaksi atau proses langkah demi langkah, keystroke oleh keystroke, dengan
orang yang masuk ke data menjelaskan apa yang mereka lakukan dan mengapa.
Proses semacam itu harus memungkinkan auditor TI untuk memperoleh pemahaman
umum tentang kontrol aplikasi, kecukupan kontrol dan sifatnya (yaitu efektivitas).
Jalan-jalan ini sangat penting untuk pertama kalinya aplikasi digunakan oleh
entitas.
Juga untuk COTS, auditor TI harus
menetapkan garis dasar tes kontrol untuk memahami keandalan dan efektivitas.
Ini termasuk konfigurasi untuk aplikasi, seperti SAP dan Oracle.
Bagi COTS, auditor TI perlu menentukan
tanggung jawab vendor yang terlibat. Tujuannya adalah mengapa angka 1, yang
merupakan bagian dari langkah pemetaan dan terperinci di bagian 1 artikel ini,
memiliki informasi tentang vendor dan sifat pemeliharaan aplikasi. Bila terjadi
masalah dengan aplikasi, manajemen perlu memiliki kepastian dari siapa yang
harus di andalkan untuk memecahkan masalah. Tentunya, praktik pengelolaan
vendor berlaku.
Jenis kontrol dapat dinilai dengan
menggunakan model sistem yang khas: input, proses dan output. Kontrol input
meliputi:
• Akses keamanan
• Pemisahan tugas secara logika (SoD)
• Validasi data
• Integritas data
• Coding
• Kesalahan koreksi masukan
• Kontrol batch (jika ada) Kontrol
proses tipikal meliputi:
• Tingkat otomasi (misalnya,
sepenuhnya otomatis, bergantung pada IT, sepenuhnya manual)
• Job scheduler dependencies (untuk
job processing)
• Pemantauan jadwal kerja
• Perhitungan otomatis
• Rekonsiliasi otomatis
• Pemberitahuan otomatis
• Kontrol output tipikal meliputi:
• Rekonsiliasi
• Ulasan
• Persetujuan
• Laporan / daftar kesalahan deteksi /
kesalahan
• Kontrol atas laporan fisik (kontrol
tambahan)
MEMAHAMI
FUNGSIONALITAS APLIKASI
Biasanya, fungsi audit adalah tujuan
audit utama. Prosedur melibatkan verifikasi fungsi operasional, yang harus
dijelaskan dalam persyaratan informasi dalam proses pengembangan aplikasi
(AppDev). Selain meninjau dokumen otorisasi untuk aplikasi, auditor TI harus
meninjau laporan penerimaan pengguna akhir.
Beberapa tujuan khas terkait dengan
tujuan aplikasi. Saat menguji aplikasi, pertimbangan diberikan pada berbagai
skenario yang dibutuhkan untuk menguji aplikasi dengan benar. Jika tujuan
aplikasi mengarah pada hasil dikotomis, tes seseorang mungkin cukup (ya atau
tidak, disetujui atau tidak disetujui, dll.). Tapi, jika aplikasinya adalah
update untuk proses penggajian, misalnya ada sejumlah besar skenario yang perlu
dipertimbangkan untuk menguji semua kombinasi berbagai faktor yang masuk ke
dalam perhitungan pajak gaji. Hal yang sama mungkin terjadi pada pengujian
keamanan dan kontrol akses.
Beberapa pertimbangan khusus mencakup
setidaknya beberapa hal yang pengguna akhir dan manajer bisnis tipikal
cenderung mengabaikannya dalam tahap pengumpulan kebutuhan informasi: keamanan
dan cakupan data yang tepat diambil. Tingkat keamanan yang tepat jelas
merupakan faktor penentu keberhasilan di AppDev dan, karenanya, perlu
dievaluasi. Biasanya, pengguna dan manajer tidak sepenuhnya memahami cakupan
data yang perlu ditangkap pada titik kejadian dan transaksi. Fakta ini sangat
penting jika entitas memiliki rencana untuk pernah mempekerjakan, misalnya,
business intelligence (BI) atau business analytics. Data yang kaya menjadi
penting untuk data "irisan dan dadu" dengan alat data mining untuk
mendapatkan keuntungan maksimal dari data penggunaan BI.
Kontrol operasional mungkin ada dalam
lingkup, tergantung pada pertimbangan tujuan. Hal yang sama berlaku untuk
kontrol pelaporan keuangan.
Menggunakan model sistem ini cenderung
membuat analisis dan pengujian fungsi aplikasi lebih mudah dan lebih lengkap.
LAKUKAN
TES YANG SESUAI
Ketika sebuah aplikasi gagal untuk
melakukan dengan benar, ketika ada kesalahan yang dibuat, ketika proses yang
disematkan di aplikasi gagal bekerja dengan baik, biasanya dapat ditelusuri
kembali ke tahap pengujian yang tidak tepat. Pengujian aplikasi lebih dari
sekedar melakukan tes tunggal.
Praktik terbaik untuk pengujian
melibatkan beberapa tingkat pengujian. Pertama, aplikasi yang diuji berdiri
sendiri. Itu biasanya dilakukan oleh seorang programmer senior atau analis yang
terutama bertanggung jawab atas proyek AppDev. Kemudian, aplikasi berjalan
melalui beberapa kontrol kualitas di departemen TI. Artinya, ini diuji secara
independen oleh beberapa ahli di departemen TI.
Selanjutnya, aplikasi ini diuji oleh
pengguna sebenarnya. Seringkali, pengguna akhir ini terlibat secara siklis saat
aplikasi dikembangkan. Tapi, minimal, satu atau lebih pengguna akhir harus
menguji aplikasi begitu dikembangkan sepenuhnya untuk menentukan fungsionalitas,
kelengkapan, akurasi dan efisiensinya. Setelah selesai, biasanya pengguna akhir
tersebut menandatangani laporan penerimaan pengguna akhir, mendokumentasikan
hasil tes.
Kemudian, aplikasi diuji bersamaan
dengan aplikasi lain dalam modul, siklus, atau kelas transaksi yang sama. Itu
sering membutuhkan lingkungan yang lebih kuat daripada pengujian aplikasi
sebelumnya yang berdiri sendiri. Area pementasan telah menjadi salah satu cara
terbaik untuk melakukan tes ini, di mana simulator dibuat dari infrastruktur,
aplikasi, sistem, dan basis data entitas. Tapi, itu bukan
akhir baik Aplikasi harus diuji dalam
konteks sistem perusahaan, dengan semua transfer data dan antarmuka yang
berjalan dalam operasi TI aktual. Proses itu membutuhkan area pementasan.
HINDARI
KOMPLIKASI
Ada sejumlah komplikasi yang secara
inheren berisiko dan, oleh karena itu, perlu dipertimbangkan selama audit
aplikasi. Pertama, aplikasi proprietary (custom-built) memiliki risiko inheren
tinggi. Fakta ini mempengaruhi tujuan, perencanaan, pengendalian dan
langkah-langkah risiko.
Jika sebuah gudang data (DW)
dilibatkan, ada risiko inheren yang relatif tinggi. Hampir secara universal,
ketika DW diimplementasikan, data yang diimpor ke DW memiliki risiko tinggi
karena, misalnya, ketidakkonsistenan data (bidang yang sama dengan nama yang
berbeda), data yang hilang dan data buruk (yaitu, kesalahan). Jadi, ketika data
diambil dari sistem pemrosesan transaksi (TPS), perawatan harus dilakukan dalam
pemetaan data dan menggunakan proses ETL (ekstrak, transformasi dan beban)
untuk mengidentifikasi dan memperbaiki anomali data yang telah disebutkan
sebelumnya.
Untuk DW yang sedang berjalan, pemilik
data bisa, misalnya, mengganti nama field dan menambahkan field, dan jika
kontrol perubahan tidak efektif, data tidak dapat melewati proses ETL
berikutnya dengan sukses. Dengan demikian, perubahan kontrol manajemen untuk DW
sangat penting. Hal yang sama berlaku untuk fungsi integrasi serupa lainnya.
Beberapa perbedaan harus dibuat antara
dua jenis risiko dengan DW. Pertama, ada integritas proses. Integritas ini
adalah tentang apakah prosesnya berhasil. Apakah aplikasi melakukan apa yang
seharusnya dilakukan terkait dengan fungsi pemrosesannya? Kedua, ada integritas
data atau kualitas data, yang menyangkut keandalan dan integritas data yang
sedang diproses, ditransfer dan direkam. Apakah data masuk valid? Apakah data
sumbernya valid, akurat dan lengkap? Apakah transfer data dari sumber ke target
selesai secara efektif, tanpa kesalahan?
LAPORAN KEUANGAN
Ketika pelaporan keuangan dalam
lingkup, aplikasi perlu menangani asertifikasi utama dari saldo akun, kelas
transaksi atau pengungkapan. Apakah aplikasi mencakup kontrol yang sesuai yang
terkait dengan laporan utama dari hasil akhir saldo akun atau kelas transaksi?
Auditor TI, jika ada, harus menguji aplikasi terhadap pernyataan yang sesuai.
Misalnya, jika laporan akurat, pengujian bisa mencakup hal-hal seperti:
• Kontrol validasi entri data
• Perhitungan otomatis
• Rekonsiliasi otomatis
Pernyataan keberadaan mungkin diuji
untuk kontrol validasi entri data. Pernyataan kelengkapan bisa diuji untuk
kontrol / rekonsiliasi atau proses kerja / batch.
PERTIMBANGKAN ALAT YANG BERGUNA
Beberapa alat yang berguna untuk
pengujian aplikasi adalah teknik audit yang dibantu komputer (CAAT) dan ETL.
CAAT sangat membantu dalam melakukan prosedur, seperti data mining, yang
memeriksa hasil data dari posting oleh aplikasi untuk menentukan apakah kontrol
aplikasi bekerja, jika aplikasi bekerja dengan benar dan jika aplikasi
menghasilkan kesalahan. CAAT juga berguna dalam menganalisis data untuk tujuan
seperti integritas data.
ETL berguna dalam mendeteksi data
cacat yang dapat ditelusuri kembali ke aplikasi yang menghasilkannya dan,
dengan demikian, memberikan kesempatan untuk memperbaiki kekurangan pada
aplikasi.
Pengujian
Kontrol
Beberapa kemungkinan tes kontrol
meliputi:
•
Rekonsiliasi
•
Perhitungan ulang
•
Duplikasi
• Kesenjangan
Contoh rekonsiliasi mungkin
memverifikasi ID pelanggan dalam file transaksi terhadap ID pelanggan di file
induk. Artinya, apakah pelanggan dalam file transaksi benar-benar ada dalam
daftar pelanggan resmi? Contoh lain adalah menghitung ulang di mana auditor TI
dapat memperpanjang basis data inventaris untuk melihat apakah total biaya
persediaan sesuai dengan jumlah kontrol dalam buku besar (mis., Saldo akun).
Duplikat dan kesenjangan berguna dalam mendeteksi kesalahan dalam pengolahan
data.
Data
Mining
Data mining dapat digunakan untuk
mendukung tujuan audit. Secara khusus, ini berguna dalam melakukan prosedur
substantif terkait TI, seperti persetujuan pengujian atau kesalahan klasifikasi
yang terkait dengan kode yang benar.
Pesanan
Pembelian Ambang batas
Setiap kali sebuah aplikasi melibatkan
ambang batas di mana persetujuan awal / tambahan diperlukan, CAAT berguna untuk
menentukan apakah pengendalian tersebut berjalan efektif. Misalnya, jika
aplikasinya berupa pesanan pembelian atau pengeluaran, dan jika pembelian dan
pembayaran dilakukan satu banding satu (misalnya, pencairan dibayar dengan
faktur dan bukan pernyataan), sebuah uji sederhana untuk mengekstraksi semua
pencairan di atas ambang terhadap data file yang berisi persetujuan (misalnya,
file pesanan pembelian) akan mengekspos pengecualian apapun ke control /
threshold. Ini juga memiliki manfaat tambahan dari deteksi kecurangan jika
seseorang membuat frustrasi ambang batas dengan sengaja melakukan kecurangan.
LENGKAPI LAPORANNYA
Jelas semua audit diakhiri dengan
semacam laporan. Laporan tersebut umumnya berpemilik dalam format. Tapi, mereka
cenderung memasukkan tujuan audit, tes yang dilakukan, hasil tes (biasanya) dan
rekomendasi
REGULASI COSO
COSO kepanjangannya Committee of
Sponsoring Organizations of the Treadway Commission. Sejarahnya, COSO ini ada
kaitannya sama FCPA yang dikeluarkan sama SEC dan US Congress di tahun 1977
untuk melawan fraud dan korupsi yang marak di Amerika tahun 70-an. Bedanya,
kalo FCPA adalah inisiatif dari eksekutif-legislatif, nah kalo COSO ini lebih
merupakan inisiatif dari sektor swasta.
Sektor swasta ini membentuk ‘National Commission
on Fraudulent Financial Reporting’ atau dikenal juga dengan ‘The Treadway
Commission’ di tahun 1985. Komisi ini disponsori oleh 5 professional
association yaitu: AICPA, AAA, FEI, IIA, IMA. Tujuan komisi ini adalah
melakukan riset mengenai fraud dalam pelaporan keuangan (fraudulent on
financial reporting) dan membuat rekomendasi2 yang terkait dengannya untuk
perusahaan publik, auditor independen, SEC, dan institusi pendidikan.
Walaupun disponsori sama 5 professional
association, tapi pada dasarnya komisi ini bersifat independen dan orang2 yang
duduk di dalamnya berasal dari beragam kalangan: industri, akuntan publik,
Bursa Efek, dan investor. Nama ‘Treadway’ sendiri berasal dari nama ketua
pertamanya yaitu James C. Treadway, Jr.
Komisi ini mengeluarkan report pertamanya
pada 1987. Isi reportnya di antaranya adalah merekomendasikan dibuatnya report
komprehensif tentang pengendalian internal (integrated guidance on internal
control). Makanya terus dibentuk COSO, yang kemudian bekerjasama dengan Coopers
& Lybrand (Ehm, kira2 bisa dibilang mbahnya PwC gitu) untuk membuat report
itu.
Coopers & Lybrand mengeluarkan report
itu pada 1992, dengan perubahan minor pada 1994, dengan judul ‘Internal Control
– Integrated Framework’. Report ini berisi definisi umum internal control dan
membuat framework untuk melakukan penilaian (assessment) dan perbaikan
(improvement) atas internal control. Gunanya report ini salah satunya adalah
untuk mengevaluasi FCPA compliance di suatu perusahaan.
Poin penting dalam report COSO ‘Internal
Control – Integrated Framework’ (1992):
Definisi
internal control menurut COSO
Suatu proses yang dijalankan oleh dewan
direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:
·
Efektifitas dan efisiensi operasional
·
Reliabilitas pelaporan keuangan
·
Kepatuhan atas hukum dan peraturan yang
berlaku
Menurut
COSO framework, Internal control terdiri dari 5 komponen yang saling terkait,
yaitu:
·
Control Environment
·
Risk Assessment
·
Control Activities
·
Information and communication
·
Monitoring
KOMPONEN
PENGENDALIAN INTERNAL COSO
1. Pengendalian Lingkungan (Control
Environment) Pengendalian lingkungan mengatur “warna” organisasi. Merupakan
dasar dari semua komponen pengendalian internal, berupa aturan dan struktur.
Faktor pegendalian lingkungan termasuk integritas, nilai etika, kompetensi
staff, filosofi manajemen dan gaya operasional, cara manajemen memberikan
otoritas dan tanggung jawab serta pengembangan staff, perhatian dan arahan dari
dewan direksi.
2. Risk Assessment (Penilaian Risiko)
Setiap entitas dalam organisasi akan menghadapi beragam risiko yang berasal
dari eksternal dan internal yang harus dinilai/diperkirakan.
Penilaian/identifikasi risiko merupakan identifikasi dan analisa dari risiko
yang relevan dalam mencapai sasaran, yang kemudian mengarah pada bagaimana
risiko dikelola. Karena kondisi ekonomi, industri, peraturan/regulasi, dan
operasional akan terus berubah, sebuah mekanisme diperlukan untuk
mengidentifikasi dan mengelola risiko karena perubahan.
3. Aktivitas Pengendalian Aktivitas
pengendalian merupakan kebijakan dan prosedur yang membantu manjamin bahwa
manajemen dijalankan dengan baik. Hal ini akan menjamin bahwa tindakan penting
diambil untuk menyelesaikan risiko dan mencapai sasaran entitas. Aktivitas
pengendalian dijalankan di seluruh organisasi, di semua level dan fungsi.
Termasuk di dalamnya, aktivitas untuk persetujuan, keamanan aset dan pemisahan
tugas.
4. Informasi dan Komunikasi Menurut COSO,
informasi harus diidentifikasi, disimpan dan dikomunikasikan dalam sebuah form
dan time frame yang memungkinkan individu dapat menjalankan tanggung jawabnya.
Sistem informasi memproduksi laporan yang berisi operasional, keuangan dan
pemenuhan informasi yang digunakan untuk menjalankan dan mengendalikan bisnis.
Informasi tidak hanya berasal dari data internal, tetapi juga berasal dari
kejadian, aktivitas dan kondisi eksternal yang perlu untuk proses pengambilan
keputusan dan pelaporan eksternal. Komunikasi yang efektif harus disampaikan
dengan jelas dari manajemen atas bahwa pengendalian harus dijalankan dengan
serius. Masing-masing individu harus mengerti peran dalam sistem pengendalian
internal.
5. Pengawasan (Monitoring) Sistem
pengendalian internal harus diawasi, sebuah proses yang menjamin kualitas dari
kinerja pengendalian untuk masa waktu tertentu.
6. Hubungan antar Komponen Terdapat
sinergi dan keterkaitan diantara komponen pengendalian internal tersebut, yang
membentuk sistem yang terintegrasi yang bereaksi secara dinamis terhadap
perubahan kondisi. Sistem pengendalian internal terjalin dengan keseluruhan
aktivitas operasi dan ada sebagai dasar bisnis. Pengendalian internal akan
lebih efektif jika disusun ke dalam infrastruktur dan menjadi bagian dari
enterprise.
STANDAR DAN KERANGKA KERJA AUDIT
Manajemen risiko Enterprise adalah sebuah proses yang diaplikasikan dalam perumusan strategi dan dirancang untuk mengidentifikasi kejadian potensial yang mungkin akan berdampak pada keseluruhan organisasi, dan pengelolaan risiko. Kategori sasaran dalam manajemen risiko :
·
Strategis : tujuan tingkat tinggi, selaras
dengan dan mendukung misi
·
Operasional : penggunaan sumberdaya secara
efektif dan efisien
·
Pelaporan : keandalan pelaporan
·
Pemenuhan : pemenuhan hukum dan peraturan
yang berlaku
Di tahun 2004, COSO mengeluarkan report ‘Enterprise
Risk Management – Integrated Framework’, sebagai pengembangan COSO framework di
atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:
·
Internal Environment
·
Objective Setting
·
Event Identification
·
Risk Assessment
·
Risk Response
·
Control Activities
·
Information and Communication
·
Monitoring
STANDAR KINERJA
Mengelola Aktivitas
Audit Internal
Kepala Audit Internal harus mengelola
aktivitas audit internal secara efektif untuk meyakinkan bahwa aktivitas
tersebut memberikan nilai tambah bagi organisasi.
Interpretasi:
Aktivitas audit
internal telah dikelola secara efektif apabila:
• Hasil pekerjaan aktivitas audit
internal mencapai tujuan dan tanggung jawab sebagaimana tercantum pada piagam
audit internal;
• Aktivitas audit internal sesuai
dengan Definisi Audit Internal dan Standar;
• Individu yang berpartisipasi
dalam kegiatan audit internal menunjukkan kepatuhannya terhadap Kode Etik dan
Standar; dan
• Aktivitas audit internal
dikatakan memberi nilai tambah bagi organisasi (dan pemangku kepentingannya)
apabila dapat memberikan asurans yang objektif dan relevan, serta berkontribusi
pada peningkatan efektivitas dan efisiensi proses tata kelola, manajemen
risiko, dan pengendalian.
Perencanaan
Kepala Audit Internal
harus menyusun perencanaan berbasis risiko (risk-based plan) untuk
menetapkan prioritas kegiatan aktivitas audit internal sesuai dengan tujuan
organisasi.
Interpretasi:
Kepala Audit Internal
bertanggung jawab membangun perencanaan berbasis risiko. Kepala Audit Internal
memanfaatkan kerangka manajemen risiko organisasi, termasuk penggunaan tingkat
risk appetite yang ditetapkan manajemen pada berbagai aktivitas atau
bagian organisasi. Apabila kerangka tersebut belum ada, Kepala Audit
Internal menggunakan pertimbangan risikonya sendiri setelah mempertimbangkan
masukan dari Manajemen Senior dan Dewan. Kepala Audit Internal harus mengkaji
dan menyesuaikan perencanaan seperlunya untuk merespon perubahan dalam berbagai
hal: usaha, risiko, operasi, program, sistem, dan pengendalian organisasi.
Pengelolaan Sumber Daya
Kepala Audit Internal
harus memastikan bahwa sumber daya audit internal telah sesuai, memadai, dan
dapat digunakan secara efektif dalam rangka pencapaian rencana yang telah
disetujui.
Interpretasi:
Sesuai mengacu pada
gabungan dari pengetahuan, kecakapan/keahlian, dan kompetensi lain yang
diperlukan untuk melaksanakan rencana. Memadai mencakup kuantitas sumber daya
yang diperlukan untuk mencapai rencana. Sumber daya digunakan secara efektif
apabila digunakan dengan cara yang dapat mengoptimalkan pencapaian tujuan yang
telah disetujui.
Sifat Dasar Pekerjaan
Aktivitas audit internal
harus melakukan evaluasi dan memberikan kontribusi dalam peningkatan proses
tata kelola, manajemen risiko, dan pengendalian dengan menggunakan pendekatan
yang sistematis dan teratur.
|
Tata Kelola
Aktivitas audit internal
harus menilai dan memberikan rekomendasi yang sesuai untuk peningkatan proses
tata kelola dalam pencapaian tujuan-tujuan sebagai berikut:
|
·
Pengembangan etika dan nilai-nilai yang sesuai dalam organisasi;
·
Memastikan bahwa pengelolaan dan akuntabilitas kinerja organisasi
telah efektif;
·
Mengkomunikasikan informasi risiko dan pengendalian pada area yang
sesuai dalam organisasi; dan
·
Mengkoordinasikan kegiatan dan mengkomunikasikan informasi secara
efektif diantara Dewan Pengawas, auditor eksternal dan internal, serta
manajemen.
Perencanaan Penugasan
Auditor Internal harus
menyusun dan mendokumentasikan rencana untuk setiap penugasan yang mencakup
tujuan penugasan, ruang lingkup, waktu, dan alokasi sumber daya.
|
Pertimbangan Perencanaan
Dalam merencanakan
penugasan, auditor internal harus mempertimbangkan:
• Sasaran dari kegiatan
yang sedang diperiksa dan mekanisme yang digunakan dalam mengendalikan kinerjanya;
• Risiko signifikan
atas kegiatan, sasaran, sumber daya, dan operasi yang diperiksa, dan
bagaimana menurunkan dampak risiko tersebut sampai pada tingkat yang dapat
diterima;
• Kecukupan dan
efektivitas tata kelola, manajemen risiko dan proses pengendalian
dibandingkan dengan kerangka atau model yang relevan; dan
• Peluang untuk
meningkatkan secara signifikan tata kelola, manajemen risiko, dan proses
pengendalian.
a)
Sewaktu menyusun rencana penugasan yang akan diberikan kepada
pihak di luar organisasi, auditor internal harus membuat kesepahaman dengan
mereka tentang tujuan, ruang lingkup, tanggung jawab masingmasing pihak, dan
harapan lainnya, termasuk pembatasan distribusi hasil penugasan dan akses
terhadap catatan penugasan.
b)
Auditor Internal harus membuat nota kesepahaman dengan klien
penugasan konsultansi yang memuat tujuan, ruang lingkup, tanggung jawab
masing-masing pihak, dan harapan lain klien.
Untuk penugasan yang signifikan, nota kesepahaman ini harus
didokumentasikan.
Tujuan
Penugasan
Tujuan harus
ditetapkan untuk setiap penugasan.
-
Auditor Internal harus melakukan penilaian
pendahuluan terhadap risiko yang relevan atas kegiatan yang dikaji. Tujuan
penugasan harus mencerminkan hasil penilaian tersebut.
-
Auditor Internal harus mempertimbangkan
kemungkinan timbulnya kesalahan yang signifikan, kecurangan, ketidaktaatan,
dan eksposur lain pada saat menyusun tujuan penugasan.
-
Kriteria yang memadai diperlukan untuk
mengevaluasi tata kelola, manajemen risiko, dan pengendalian. Auditor Internal
harus memastikan seberapa jauh manajemen
dan/atau Dewan telah menetapkan kriteria memadai untuk menilai apakah tujuan
dan sasaran telah tercapai. Apabila memadai, auditor internal harus
menggunakan kriteria tersebut dalam evaluasinya. Apabila tidak memadai,
auditor internal harus bekerja dengan manajemen dan/atau Dewan untuk
membangun kriteria evaluasi yang sesuai.
-
Tujuan penugasan konsultansi harus
diarahkan pada proses tata kelola, risiko, dan pengendalian, sesuai dengan
kesepakatan yang dibuat dengan klien.
-
Tujuan penugasan konsultansi harus
konsisten dengan nilai, strategi, dan tujuan organisasi.
Ruang
Lingkup Penugasan
Ruang lingkup
penugasan yang ditetapkan harus memadai untuk dapat mencapai tujuan
penugasan.
Ø Ruang
lingkup penugasan harus mempertimbangkan sistem, catatan, personel dan
properti fisik yang relevan, termasuk yang berada dibawah pengelolaan pihak
ketiga.
Ø Jika
timbul peluang dilakukannya jasa konsultansi yang signifikan pada saat
penugasan asurans, nota kesepahaman tertulis khusus yang mencakup tujuan,
ruang lingkup, tanggung jawab masing-masing pihak, dan harapan lain harus
dibuat dan hasil penugasan konsultansi dikomunikasikan berdasarkan standar
penugasan konsultansi.
Ø Dalam
penugasan konsultansi, auditor internal harus memastikan bahwa ruang lingkup
penugasan telah memadai untuk mencapai tujuan yang telah disepakati. Jika
Auditor Internal merasa berkeberatan
tentang ruang lingkup selama penugasan, keberatan tersebut harus didiskusikan
dengan klien untuk menentukan kelanjutan penugasan.
Ø Selama
penugasan konsultansi, auditor internal harus memperhatikan pengendalian yang
terkait dengan tujuan penugasan serta waspada terhadap berbagai permasalahan
pengendalian yang signifikan.
Ø Alokasi
Sumber Daya Penugasan Auditor Internal harus menentukan sumber daya yang
sesuai dan memadai untuk mencapai tujuan penugasan, berdasarkan evaluasi atas
sifat dan tingkat kompleksitas setiap penugasan, keterbatasan waktu, dan
sumber daya yang dapat digunakan.
COSO Definisi Pengendalian Internal
Pengendalian
internal adalah proses, dipengaruhi oleh dewan direksi, manajemen, dan
perusahaan personil lainnya, yang dirancang untuk memberikan keyakinan
memadai mengenai pencapaian tersebut
tujuan
dalam kategori berikut:
•
Efektivitas dan efisiensi operasi
•
Keandalan pelaporan keuangan
•
Kepatuhan terhadap hukum dan peraturan yang berlaku
Konsep Utama Pengendalian Internal
Berikut
ini adalah konsep kunci pengendalian internal menurut COSO:
•
Kontrol internal adalah sebuah proses. Ini adalah sarana untuk mencapai
tujuan, bukan tujuan itu sendiri.
•
Kontrol internal dipengaruhi oleh orang. Ini bukan hanya manual kebijakan dan
bentuk,
tapi orang-orang di setiap tingkat organisasi.
•
Pengendalian internal dapat diharapkan hanya memberikan kepastian yang
memadai, tidak
kepastian
mutlak, terhadap manajemen dan dewan direksi.
•
Pengendalian internal diarahkan pada pencapaian tujuan dalam satu atau lebih
terpisah
tapi tumpang tindih kategori.
|
MANAJEMEN RESIKO
Risiko
TI
- TI memainkan peran sentral dalam organisasi, sehingga dampak risiko TI terlalu besar untuk dapat diabaikan.
Dampak insiden risiko
TI:
−
Secara
signifikan merugikan pihak-pihak terkait baik internal maupun eksternal
(konsumen/ publik, rekanan, dsb.)
−
Merusak
reputasi organisasi, tidak hanya manajemen TI tetapi manajemen organisasi
secara umum.
Penyebab
Risiko TI
•
Mayoritas
risiko TI bukan karena masalah teknis tetapi kegagalan proses pengawasan dan
tatakelola TI organisasi: proses-proses pengambilan keputusan yang
mengabaikan (sengaja atau tidak) potensi konsekuensi bisnis dari risiko TI.
•
Kegagalan
mengakibatkan rangkaian keputusan dan struktur aset TI yang bermasalah.
•
Manifestasi
kelemahan manajemen risiko TI:
−
Tatakelola
TI yang tidak efektif
−
Kompleksitas
yang tidak terkendali, dan
−
Kurangnya
kesadaran terhadap risiko.
Kelemahan
Tatakelola TI
•
Tidak
adanya struktur dan proses yang memungkinkan keterlibatan pihak bisnis
dalam pengambilan keputusan tentang TI (termasuk investasi TI) berdampak:
−
Keoptimalan
keputusan hanya
diukur secara lokal (bagian/divisi/unit) untuk merespon kebutuhan lokal.
Cepat atau lambat akan membatasi kelincahan organisasi untuk dapat tanggap
terhadap kebutuhan bisnis (integrasi, layanan baru, dsb.)
−
Tanpa
keterlibatan bisnis, pengambil keputusan TI dapat salah dalam menilai
tingkat risiko. Berakibat pada prioritasi penerapan kontrol yang tidak
tepat.
Kompleksitas
Tak Terkendali
•
Kompleksitas
aset TI yang tinggi (bervariasi dan saling tumpang-tindih) meningkatkan
kerawanan terhadap risiko
−
Rumit
dan beratnya beban kerja pengelolaannya.
−
Keterbatasan
SDM berkeahlian menimbulkan ketergantungan pada pihak ketiga.
Kurangnya
Kesadaran terhadap Risiko
•
Ketidak-pekaan
terhadap sumber risiko TI:
−
Kelemahan
dalam perencanaan SDM: mutasi, PHK, dan ketergantungan pada kontraktor pihak
ketiga.
−
Kelemahan
pengelolaan infrastruktur: digunakannya perangkat infrastruktur yang tidak
handal.
−
Ketidak-tahuan
dan ketidak-pedulian karyawan terhadap usaha menghindari resiko keamanan TI.
−
Tidak-adanya
fasilitas (kontrol) untuk mendeteksi dan mencegah terjadinya aktivitas yang
merugikan.
Menuju
Lingkungan Peka Risiko
•
Manajemen
risiko TI adalah tanggung jawab bersama:
−
Pimpinan
TI harus dapat menjelaskan kepada eksekutif bisnis tentang konsekuensi risiko
TI.
−
Pimpinan
TI harus menciptakan mekanisme pengambilan keputusan yang memungkinkan
pembahasan risiko TI dari perspektif bisnis.
•
Risiko
TI bukan hanya masalah TI yang dipecahkan dengan teknologi dan keahlian
pengelolaannya saja:
−
Inisiatif
mitigasi risiko membutuhkan komitmen dari pimpinan organisasi, termasuk untuk
berinvestasi dalam mengimplementasikan kontrol yang dibutuhkan.
Kemampuan Tatakelola Resiko TI
•
Perusahaan
yang mapan membangun kemampuan tatakelola risiko TI dengan:
−
Menerapkan
kerangka-kerja terpadu dalam mengelola risiko TI sehingga dapat mengambil
keputusan secara rasional dengan menimbang untung-ruginya dari perspektif
bisnis
•
Adanya
kesamaan persepsi terhadap risiko TI.
−
Menekankan
pada tiga pilar utama manajemen resiko:
•
Penyederhanaan
arsitektur TI
•
Penerapan
proses tatakelola risiko,
dan
•
Penciptaan
budaya peka risiko.
Definisi Risiko dan Manajemennya
•
Risiko
−
Kondisi
atau kejadian (event) yang dapat berdampak positif atau negatif pada
hasil suatu kegiatan.
−
Berbeda
dengan problem, risiko adalah potensi (belum terjadi) timbulnya
kerugian.
•
Manajemen
Resiko:
−
Proses
identifikasi, analisa dan antisipasi risiko secara proaktif.
−
Tujuannya
untuk memaksimalkan dampak positif (peluang) dan meminimalkan dampak negatif
(kerugian).
Prinsip Dasar Manajemen Risiko
•
Bersifat
proaktif:
−
Antisipatif,
bukan reaktif
−
Mengatasi
penyebab, bukan gejala
−
Menyiapkan
rencana penanggulangan sebelum kejadiannya
−
Menerapkan
prosedur penanggulangan yang baku
−
Menerapkan
mekanisme preventif (mengurangi kemungkinan terjadinya) sejauh
memungkinkan.
•
Bersifat
kolektif:
melibatkan setiap pihak (dengan bidang tanggung jawab masing-masing) dalam
proses manajemen risiko.
Prinsip Dasar Manajemen Risiko
•
Bersifat
partisipatif:
secara terbuka membahas berbagai potensi risiko demi kesuksesan bersama untuk
menghindari adanya risiko tersembunyi.
•
Bersifat
iteratif:
melalui siklus untuk memfasilitasi proses belajar (memahami risiko) dari
pengalaman. Menjadikan evaluasi ulang risiko sebagai bagian dari siklus
kegiatan.
Siklus Manajemen Risiko
•
Siklus
secara umum :
•
1. Identifikasi
•
2. Analisa & Prioritasi
•
3. Perencanaan & Implementasi Penanggulangan
•
4. Pantau & Laporkan
•
5. Kontrol
Identifikasi
Risiko
•
Merupakan
aktivitas kolektif dengan sasaran tercapainya kesepakatan tentang daftar risiko
yang dihadapi.
•
Mempertimbangkan:
−
Pengalaman
anggota tim
−
Pengetahuan
umum tentang kategori dan jenis risiko:
•
Operational,
financial, technological,
dsb.
−
Kebijakan
dan prosedur organisasi tentang manajemen risiko
−
Karakteristik
kegiatan: konteks, tujuan, status pelaksanaan, catatan historisnya, dsb.
−
Pernyataan
Risiko
•
Setiap
risiko dalam daftar resiko memiliki risk statement yang minimal
mendefinisikan:
−
Penyebab
(root cause)
−
Kondisi
(atau event)
−
Akibat
langsung (consequence) bagi kegiatan
−
Dampak
(downstream efect) bagi bisnis
Analisa dan Prioritasi Risiko
•
Karena
keterbatasan sumber daya, risiko harus dianalisa untuk diprioritaskan mana yang
utama harus ditanggulangi.
•
Mempertimbangkan:
−
Pengalaman
anggota tim
−
Risk
statement
−
Pengetahuan
tentang risiko tsb.
−
Kebijakan
dan prosedur manajemen risiko organisasi
−
Penilaian
pihak manajemen.
Analisa Risiko
•
Menghitung
derajad risiko (risk exposure) berdasarkan dua komponen:
−
Peluang
terjadinya (probability)
−
Besarnya
dampak (impact)
•
Metoda
penilaian kualitatif (semi kuantitatif) dan kuantitatif.
•
risk
exposure = probability
x impact
Probabilitas
•
Peluang
terjadinya dapat diperkirakan berdasarkan:
−
Statistik
terjadinya event (atau event serupa) pada masa lalu.
−
Perkiraan
ahli di bidang terkait, dapat juga melalui konsensus anggota tim.
•
Diukur
secara kuantitatif atau semi-kuantitatif :
Rencana Penanggulangan
•
Penyusunan
rencana untuk mengendalikan risiko-risiko dengan prioritas tinggi
−
Berupa
implementasi mekanisme kontrol yang terintegrasi dalam prosedur kegiatan.
•
Prinsip:
−
Kendalikan
penyebab untuk memperkecil probability
−
Kendalikan
akibat untuk memperkecil impact
−
Untuk
risiko yang diluar wilayah kewenangan/ kendali, limpahkan ke pihajk yang
berwenang.
Alternatif Tindakan
•
Accept, terima jika masih dalam batas
toleransi organisasi (risk appetite).
•
Avoid, hindari dengan membatasi lingkup
kegiatan.
•
Transfer, alihkan kepada pihak lain termasuk
dengan outsourcing/subcontract/purchase atau dengan asuransi.
•
Mitigate, menerapkan mekanisme untuk
menurunkan peluang terjadinya atau meminimalisasi dampaknya sampai batas yang
dapat ditolerir.
•
Contingency, menerapkan prosedur penanggulangan
untuk meminimalkan dampak.
Pemantauan Risiko
•
Memantau
kerja mekanisme pengendalian risiko dengan:
−
Metrik
indikator terjadinya risiko yang diukur dari aspek-aspek kinerja kegiatan
(misalnya: kelambatan proses, peningkatan jumlah gangguan, jumlah pengerjaan
ulang, dsb.)
•
Mengaktifkan
rencana contingency jika batas ambang terlampaui (trigger).