Chapter 17 -19 Full.docx

TUGAS MATA KULIAH PENGAUDITAN KEPATUHAN DAN PENGENDALIAN INTERNAL RINGKASAN BAB 17 – 19

KELOMPOK 1: 1. Bellina G. Sembiring

432420

2. Dina Pricillia Yudas

432425

3. Irene Ipal Parinding

432437

4. Kezia Aprilia

432439

5. Puja Latifa Hadina

432454

MAGISTER AKUNTANSI FAKULTAS EKONOMIKA DAN BISNIS UNIVERSITAS GADJAH MADA

2019

Chapter 17: Mendokumentasikan Hasil Audit melalui Pemodelan Proses dan Kertas Kerja Auditor internal mengamati dan mengidentifikasi banyak proses yang berhubungan dengan masalah, kelemahan pengendalian internal, atau kesalahan data dan operasi sebagai bagian dari reviu audit internal mereka. Audit internal membutuhkan dokumentasi yang kuat untuk mendukung temuan dan pengamatan mereka selama audit dilaksanakan. Kemampuan untuk mendokumentasikan bukti audit merupakan keahlian yang penting bagi audit internal. Pertama, auditor internal sering berhadapan dengan berbagai macam informasi bisnis dan operasinya. Untuk pemahaman yang lebih baik mengenai kelemahan dan kekuatan pengendalian, auditor internal perlu memikirkan untuk melakukan dokumentasi yang baik. 17.1 Persyaratan Dokumentasi Audit Internal Auditor internal menghabiskan banyak waktunya untuk mereviu catatan, melakukan analisis berdasarkan catatan tersebut, dan mewawancarai karyawan di semua level dalam entitas untuk mendapatkan informasi. Auditor menggunakan semua informasi tersebut untuk mengembangkan kesimpulan audit dan untuk membuat rekomendasi yang tepat. Informasi yang didapatkan harus didokumentasikan dengan baik karena jika hanya mengandalkan ingatan pribadi, kemungkinan besar akan ada banyak hal yang terlewat. Dengan begitu, pekerjaan audit menjadi tidak efektif. Selain itu, untuk pekerjaan yang berhubungan dengan proses hukum, bisa dibutuhkan beberapa bulan atau beberapa tahun setelah audit. Jadi auditor internal yang melakukan pekerjaan itu sudah tidak ada di dalam entitas, tapi hasil pekerjaannya masih bisa dilihat lewat dokumentasi. Dokumentasi audit internal mengacu pada laporan audit yang dipublikasikan, rencana pelaksanaan, dan material lainnya yang mendukung laporan, kertas kerja audit, notulensi rapat. Tentu saja dokumentasi audit tidak akan disimpan atau dipertahankan selamanya, dan fungsi auditor internal harus membentuk dan mengikuti beberapa standar penyimpanan dokumentasi minimum. Setiap negara memiliki aturan yang berbeda, salah satu contoh penyimpanan dokumen audit adalah aturan SEC untuk catatan keuangan audit eksternal. Menurut SEC, catatan disimpan selama tujuh tahun setelah auditor menyimpulkan reviu atas laporan keuangan. Untuk audit internal, waktu penyimpanan catatan mungkin saja kurang dari tujuh tahun. Hal ini karena auditor eksternal itu tunduk pada aturan Public Company Accounting Oversight Board sedangkan auditor internal tidak.

Aspek penting dalam dokumentasi audit internal adalah pemodelan proses, kertas kerja audit, dan penyimpanan dokumen. 17.2 Pemodelan Proses untuk Auditor Internal Model proses bisnis merupakan peta yang membantu auditor internal untuk memandu melalui aktivitas bisnis: a) Where we are right now b) Where we need to go c) Where we came from d) How we got to where we are Model proses merupakan peta atau flowchart yang akan membantu auditor internal untuk mengamati aktivitas entitas. Pemodelan proses bisnis yang baik itu tidak hanya menunjukkan bagaimana untuk mencapai satu titik dan berpindah ke titik yang lainnya.

Gambar 17.1 Contoh Model Proses Dengan model ini, auditor internal bisa mendapatkan lebih banyak informasi yang lebih terperinci, seperti aktivitas input menjadi output yang sesuai dengan keinginan konsumen, dan sistem umpan balik dan pengukuran yang diperlukan untuk membuat proses bekerja.

Memahami Hirarki Pemodelan Proses Meskipun unit bisnis seringkali mengembangkan bagan proses mereka sendiri yang mencakup aktivitas utama atau kunci, auditor internal akan mengembangkannya sebagai bagian dari kunjungan pendahuluan untuk mendapatkan pemahaman mengenai operasi entitas.

Gambar 17.2 Proses alur kerja untuk audit internal Bagan diatas merupakan hirarki proses kerja yang dilakukan oleh audit internal. Dalam kenyataannya, elemennya akan lebih terperinci dan lebih kompleks. Menggambarkan dan Mendokumentasikan Proses Kunci (Utama) Dulu, auditor internal bisa menggambar diagram flowchart menggunakan alat sederhana yaitu pensil dan kertas. Sekarang, zaman semakin berkembang yang memungkinkan auditor internal dapat memanfaatkan komputer dan software seperti Visio dan SmartDraw. Audit internal harus mengembangkan pendekatan standar dan konsisten untuk flowchart pemodelan prosesnya. Dua pendekatan yang mudah digunakan dan dipahami adalah alur input/output dan bagan alur kerja.

a) Input/output flowcharts Pendekatan ini baik untuk proses yang berurusan dengan objek fisik. Pendekatan ini berfokus pada partisipan pasif yang sedang dikonsumsi, diproduksi, atau diganti oleh proses aktivitas. Contoh flowchartnya adalah untuk pemanufakturan kursi kayu. Berbagai macam input di transfer ke proses perakitan, kemudian pindah ke proses pengecatan.

Gambar 17.3 Input/output process flowchart b) Workflow flowcharts Pendekatan ini lebih menekankan pada urutan aktivitas daripada aktivitas apa yang melakukan pekerjaan. Bagan berikut merupakan contoh yang menunjukkan alur pembayaran dan pengiriman.

Gambar 17.4 Workflow description process flowchart 17.3 Kertas Kerja Audit Internal Kertas kerja merupakan catatan tertulis yang disimpan untuk mengumpulkan dokumentasi, laporan, korespondensi, dan material sampel lainnya yang diakumulasikan selama audit internal. Kertas kerja itu berisi skedul, analisis, dan salinan dokumen yang disiapkan sebagai bagian dari audit. Karakteristik umum dari kertas kerja adalah bukti dokumen yang akan menggambarkan hasil audit internal. Kertas kerja harus disimpan secara formal karena akan menjadi referensi atas kesimpulan laporan audit dan rekomendasinya. Tujuan keseluruhan kertas kerja adalah untuk mendokumentasikan bahwa audit yang memadai dilakukan sesuai dengan standar profesional. Fungsi utama kertas kerja auditor meliputi: a) Dasar untuk perencanaan audit b) Catatan pekerjaan audit yang dilakukan c) Digunakan selama audit

d) Deskripsi situasi dengan minat khusus e) Dukungan untuk kesimpulan audit spesifik f) Sumber referensi g) Penilaian staf h) Koordinasi audit Standar Kertas Kerja Tidak ada format spesifik yang digunakan dalam kertas kerja audit internal. Menurut IIA, auditor internal harus mencatat informasi yang relevan untuk mendukung kesimpulan dan hasil perikatan. Standar kerta kerja audit internal, harus meliputi: a) Relevansi dengan tujuan audit b) Kondensasi detail c) Kejelasan presentasi d) Akurasi kertas kerja e) Tindakan pada item terbuka f) Bentuk standar: preparation of headings, enterprise, neatness and legibility, crossindexing Format Kertas Kerja

Gambar 17.5 Contoh kertas kerja yang disiapkan secara manual Format di atas merupakan kertas kerja yang disiapkan secara manual dari audit pengamatan sediaan fisik. Poin penting disini adalah deskripsi singkat mengenai pengamatan yang dilakukan oleh auditor internal. 17.4 Organisasi Dokumen Kertas Kerja Audit internal akan selalu berhadapan dengan dokumen yang banyak, seperti dokumen proses pengendalian internal atau hasil pengujian audit. Dengan banyaknya aktivitas yang akan di reviu, berarti prosedur auditnya juga banyak, hal ini akan berpengaruh pada format dan isi dari kertas kerja audit. Kertas kerja audit internal bisa dibagi menjadi: a) File permanen. Berisi data yang sifatnya historis atau berkelajutan yang berkaitan dengan audit saat ini, seperti: -

Keseluruhan bagan entitas yang menjadi unit audit

-

Bagan akun dan salinan prosedur dan kebijakan utama

-

Salinan laporan audit terakhir, program audit yang digunakan, dan berbagai komentar tindak lanjut (follow up)

-

Laporan keuangan entitas serta data analitis lainnya

-

Informasi mengenai unit audit (deskripsi produk, proses produksi)

-

Informasi logistik untuk membantu auditor selanjutnya, termasuk catatan mengenai logistik dan pengaturan perjalanan

File permanen tidak berarti permanen, yang akan disimpan terus dan tidak akan berubah. File permanen itu menyediakan informasi kepada auditor internal yang akan memulai pekerjaannya untuk membuat rencana audit. b) File administrasi Meskipun sebagian file administrasi kertas kerja tidak diperlukan untuk audit yang skala kecil, material kertas kerja administrasi umum yang sama harus dimasukkan di suatu tempat di semua kumpulan kertas kerja audit. Jika hanya ada satu auditor atau reviu terbatas, material ini akan dimasukkan ke dalam kertas kerja tunggal. c) File prosedur audit File ini umumnya yang terbesar dan berisi elemen:

-

Daftar prosedur audit yang diselesaikan: kertas kerja adalah penyimpanan pusat mengenai prosedur audit dan program audit yang dilakukan, termasuk tanggaltanggalnya.

-

Koesioner yang diselesaikan: fungsi audit internal menggunakan kuesioner yang meliputi prosedur pengendalian internal. Biasanya berbentuk yes/no question.

-

Deskripsi prosedur operasional: kertas kerja harus menggambarkan sifat dan lingkup aktivitas operasional. Deskripsinya bisa dengan flowchart atau naratif verbal.

-

Aktivitas reviu: kertas kerja meliputi investigasi yang menilai aktivitas yang dipilih, seperti pengujian data, observasi kinerja.

-

Analisis dan jadwal yang berkaitan dengan laporan keuangan: kertas kerja audit keuangan berisi informasi untuk meyakinkan akurasi laporan keuangan atau saldo akun.

-

Dokumen entitas: dokumen ini seperti bagan entitas, catatan rapat, kebijakan atau prosedur entitas, kontrak.

-

Poin temuan, catatan supervisor, atau draft laporan. Lembar poin menggambarkan sifat temuan audit serta rincian pekerjaan audit, harus dimasukkan dalam file prosedur audit meskipun salinannya telah diteruskan ke file administrasi. Selama audit, auditor atau supervisor akan memberikan komentar.

-

Audit bulk files: audit internal biasanya menghasilkan material bukti yang banyak, yang harus dipertahankan tapi tidak termasuk dalam kertas kerja utama. Contohnya audit internal mungkin melakukan survei yang menghasilkan pengembalian kuesioner yang banyak.

17.5 Teknik Persiapan Kertas Kerja Kertas kerja itu harus bisa dipahami oleh semua anggota audit. Oleh karena itu dibutuhkan kesepakatan dalam penggunakan simbol atau indeks. a) Pengindeksan kertas kerja dan referensi silang Seperti notasi referensi yang ada di buku, referensi silang dan notasi juga dibutuhkan dalam kertas kerja audit, agar auditor atau reviewer bisa menelusuri sumber aslinya. b) Tick marks Auditor dapat mengembangkan tanda tertentu sebagai simbol dalam kertas kerja. Tanda ini harus diketahui oleh semua anggota audit.

Gambar 17.6 Contoh tick marks c) Referensi ke sumber audit eksternal Auditor mungkin perlu merujuk undang-undang atau regulasi untuk mendukung pekerjaan audit mereka. Demikian pula, mereka dapat melakukan peninjauan terhadap vendor dan mengakses pencarian web untuk memverifikasi keberadaan vendor. Biasanya tidak perlu untuk memasukkan salinan undang-undang atau salinan halaman web. Namun kertas kerja harus secara jelas menunjukkan judul atau sumber semua referensi ekternal tersebut, termasuk alamat webnya. d) Workpaper rough notes Ketika melakukan wawancara, auditor mungkin saja membuat catatannya sendiri (rough notes). Catatan itu harusnya di tulis ulang secara formal dan dimasukkan ke dalam kertas kerja, namun rough notes –nya juga harus dilampirkan. Proses Reviu Kertas Kerja Semua kertas kerja harus melalui proses tinjauan audit internal yang independen untuk memastikan bahwa pekerjaan yang diperlukan telah dilakukan, dijelaskan dengan benar, dan bahwa temuan audit didukung oleh bukti yang memadai. Eksekutif kepala audit, melaporkan kepada komite audit, memiliki tanggung jawab untuk melakukan tinjauan ini. Bukti dari tinjauan ini harus terdiri dari inisial pengulas dan tanggal pada setiap lembar kertas kerja yang ditinjau. 17.6 Manajemen dokumen audit internal Upaya untuk mendokumentasikan proses atau untuk menggambarkan audit internal melalui kertas kerja yang efektif memiliki nilai, kecuali jika fungsi audit internal memiliki kontrol penyimpanan dokumen yang mencakup semua produk kerjanya, termasuk catatan audit,

salinan rapat, file IT, dan banyak lainnya. Saat kami beralih ke lingkungan bisnis yang sebagian besar tidak memiliki kertas dan audit internal, kebutuhan penyimpanan dokumen menjadi banyak tantangan. Di masa lalu dokumen sering disimpan dalam lemari arsip formal yang memerlukan akses ke kunci dari administrator kantor dan kemudahan dan fleksibilitas. Pada era sekarang ini berbagai hal dapat menimbulkan risiko dokumen seperti hilangnya kertas kerja audit karena laptop auditor yang dicuri atau kesalahan proses dalam proses analisis TI yang dikembangkan oleh audit internal. Sistem operasi atau format file dapat berubah, dan kita mungkin tiba-tiba tidak dapat mengakses atau membaca dokumen ini sering menjadi tantangan. Dokumen dapat menghilang karena seseorang secara keliru menekan tombol hapus, atau dokumen dapat menghilang karena kegagalan untuk mengunduh. Fungsi audit internal memerlukan kebijakan manajemen dokumen yang kuat dan konsisten dengan tanggung jawab administratif yang ditugaskan untuk tugas-tugas ini. Bagian berikut membahas beberapa praktik dokumen manajemen yang penting untuk fungsi audit internal pada laptop auditor dan jaringan nirkabel auditor. 1.

Standar dokumen dan proses peninjauan Audit internal perlu menetapkan standar untuk perangkat lunak yang digunakan, konfigurasi komputer laptop, dan standar dokumen dan templet umum. Tujuannya adalah agar setiap anggota tim audit internal menggunakan peralatan yang sama dan dengan pengecualian beberapa alat IT khusus, setiap orang mengikuti format dan standar yang sama. Proses formal dan aman harus ditetapkan untuk setiap audit terjadwal. auditor internal di lokasi lapangan dapat diberi laptop dengan program audit pendahuluan serta kertas kerja dari tinjauan sebelumnya semua diamankan dan dimuat. auditor utama tentu saja dapat menghadapi situasi di mana program audit yang ditetapkan perlu dimodifikasi, tetapi perubahan yang diusulkan ini dapat dilewatkan melalui jaringan pribadi virtual yang aman untuk ditinjau dan disetujui oleh manajemen audit.

2.

Cadangan, keamanan, dan kontinuitas Area ini mungkin yang paling kritis dan berisiko tinggi untuk sistem audit internal berbasis laptop karna banyak cybersecurity dan kontrol privasi dibahas. Ide awal yang baik di sini adalah mengkonfigurasi dan menetapkan sistem laptop auditor sebagai alat audit internal semata. Seharusnya tidak ada tautan luar ke internet atau unduhan yang diizinkan ke perangkat USB. Untuk email pribadi di rumah dan sejenisnya, auditor internal dapat menggunakan salah satu dari banyak perangkat portabel kecil yang

tersedia. Sementara kita tidak dapat mengaitkan sistem audit laptop atau tablet dengan auditor internal. Langkah-langkah harus diterapkan untuk menjaga sistem tetap aman, dan jika terjadi pencurian, kontrol keamanan dan kata sandi yang kuat harus dipasang sedemikian rupa sehingga jika suatu sistem dicuri, isinya tidak dapat diakses dengan mudah. 3.

Manajemen sumber daya perangkat keras dan lunak Hari ini, dengan sumber daya yang relatif efisien dan berbiaya rendah tersedia. Sebenarnya tidak ada alasan fungsi audit internal tidak boleh memiliki sistem server yang didedikasikan untuk tujuan audit internal saja. Sistem yang aman harus dipasang sebagai gudang untuk semua aktivitas audit internal. Folder file kunci sistem harus dilipat dengan proses perencanaan kontinuitas fungsi TI.

4.

Laporan audit, manajemen risiko, dan administrasi audit internal Audit internal memiliki kebutuhan untuk menyiapkan dan mendistribusikan sejumlah besar bahan, termasuk laporan audit, analisis manajemen risiko, anggaran, dan komunikasi dengan komite audit. Aturan penyimpanan dokumen berlaku untuk catatan administrasi audit internal, dan harus ditempatkan dalam folder aman pada sistem server departemen audit. Aturan

tujuh tahun penyimpanan dapat menempatkan permintaan pada fasilitas

penyimpanan, meskipun biaya fasilitas penyimpanan semakin rendah. Banyak perusahaan telah menggunakan fasilitas penyimpanan yang aman untuk penyimpanan di luar lokasi dari dokumen kertas yang memiliki persyaratan penyimpanan. Vendor akan mengambil dokumen penting perusahaan, katalog mereka dengan beberapa kategori pengambilan, dan kemudian menyimpannya di fasilitas yang aman dan terlindung dari kebakaran. vendor ini memberikan perlindungan kepada perusahaan asuransi terhadap dokumen yang disimpan dan akan mengirimkan dokumen apa pun yang diminta dalam jangka waktu yang relatif singkat. 17.7 Pentingnya dokumentasi audit internal Bab ini telah mencoba untuk menekankan pentingnya kertas kerja audit untuk mendokumentasikan kegiatan audit internal serta pemodelan proses untuk menggambarkan kegiatan perusahaan. Kemampuan untuk menyiapkan kertas kerja yang deskriptif dan efektif adalah persyaratan utama CBOK internal. Selain itu, semua auditor internal mulai dari kepala eksekutif audit hingga staf audit harus merasa nyaman dan terbiasa dengan banyak perangkat TI yang tersedia untuk menggambarkan dan mendokumentasikan proses audit internal.

BAB 18 Melaporkan Hasil Audit Internal Laporan audit internal adalah dokumen formal di mana fungsi audit internal merangkum pekerjaannya pada proyek audit dengan melaporkannya sebagai pengamatan dan rekomendasi berdasarkan audit itu. Laporan audit adalah produk paling penting dari proses audit internal dan merupakan kendaraan utama untuk menggambarkan kegiatan audit internal untuk orang-orang baik di dalam maupun di luar perusahaan. Laporan audit yang efektif, tentu saja harus didukung oleh kerja lapangan audit yang berkualitas tinggi atas evaluasi bukti. Persiapan laporan yang jelas dan efektif harus menjadi perhatian utama bagi auditor internal di semua tingkatan, dari chief audit executive (CAE) hingga anggota staf tim audit. Pemahaman tentang bagaimana membangun dan menyusun laporan audit internal yang efektif adalah persyaratan dasar pengetahuan umum (CBOK). Laporan audit harus mencerminkan filosofi dasar suatu pendekatan audit internal total perusahaan, termasuk tujuan tinjauan yang mendasarinya, strategi pendukung dan kebijakan utama, prosedur yang mencakup pekerjaan audit, dan kinerja profesional staf audit. Komunikasi juga harus dilakukan melalui wawancara selama kerja lapangan, penutupan rapat ketika temuan audit pertama kali disajikan, pertemuan dengan manajemen senior dan komite auditor untuk memberi tahu mereka tentang hasil audit, dan melalui banyak kontrak lainnya di seluruh perusahaan. Semua anggota organisasi audit internal harus menjadi komunikator yang efektif baik dalam kata-kata tertulis dan lisan mereka. 18.1

Kerangka laporan audit

Laporan audit yang efektif harus melibatkan anggotanya - mulai dari anggota komite audit dewan hingga manajemen yang terlibat - dengan membahas risiko dan masalah yang merupakan bagian dari tema laporan dan kemudian mengembangkan seruan untuk bertindak berdasarkan rekomendasi laporan. Tiga elemen utama dari laporan audit internal: 1. Pengantar laporan adalah untuk menjelaskan alasan memulai audit dan pentingnya pengamatan laporan. 2. Pihak yang menjelaskan pekerjaan audit yang akan dilakukan dan membahas sebab dan akibat yang terkait. 3. Laporan rekomendasi, bagian tinjauan ini merangkum tempat audit internal dan termasuk perintah untuk bertindak. Kerangka kerja juga memiliki tiga tujuan penting:

1. Setiap laporan audit harus melibatkan pembaca dan audiens yang tertarik secara keseluruhan dengan menjelaskan dampak dari pengamatan audit internal. 2. Laporan audit harus memasukkan tingkat kekhususan yang tinggi untuk mendukung temuan dan rekomendasinya. 3. Setiap laporan audit harus mengandung saran, di mana rekomendasi laporan audit dirangkum dengan lebih rinci. 18.2 Tujuan dan jenis laporan audit internal Jika departemen audit atau auditor secara konsisten tidak menemukan masalah di sebagian besar audit terjadwal. Mungkin ada kebutuhan untuk meninjau pendekatan penilaian risiko audit internal dan ulasan mereka mengikuti standar audit internal. Apakah dokumen tertulis resmi ditetapkan untuk manajemen tingkat senior dan dewan atau presentasi informal atau bahkan verbal di akhir pekerjaan lapangan audit, laporan audit internal harus selalu memiliki empat kompenen dasar: 1. Tujuan audit, waktu, dan ruang lingkup tinjauan. Laporan audit harus meringkas tujuan, di mana dan kapan tinjauan berlangsung, dan ruang lingkup dari audit internal. Pernyataan ruang lingkup, misalnya, dapat mengungkapkan bahwa audit dilakukan atas permintaan komite audit atau diprakarsai sebagai hasil dari kecurangan yang ditemukan. 2. Deskripsi temuan laporan audit Berdasarkan pada kondisi yang diamati dan ditemukan selama peninjauan, laporan audit harus melibatkan pembacanya dengan menjelaskan hasil audit internal. Sering kali di mana laporan menggambarkan apa yang salah dengan kondisi yang ditemukan, serta mengapa itu salah. Istilah yang salah di sini termasuk kelemahan pengendalian internal, pelanggaran prosedur perusahaan, atau berbagai masalah audit internal lainnya. 3. Saran untuk tindakan korektif. Laporan audit harus mencakup rekomendasi, berdasarkan temuan audit, untuk mengoreksi kondisi yang diamati dan penyebabnya. Tujuan dari saran laporan ini termasuk pernyataan tentang memperbaiki kondisi yang diamati serta rekomendasi untuk meningkatkan operasi. 4. Dokumentasi rencana dan klarifikasi pandangan pihak yang diaudit Pihak yang di audit, atau fungsi yang telah diaudit, mungkin ingin meringankan keadaan atau memberikan klarifikasi masalah untuk setiap masalah yang dilaporkan

dalam ketidak sepakatan. Tergantung pada format laporan, ini sering merupakan tempat di mana pihak yang diaudit dapat secara formal mengajukan tanggapan terhadap temuan audit internal dan menyatakan rencana untuk tindakan korektif sebagai tanggapan terhadap temuan dan rekomendasi audit tersebut. Sementara fungsi-fungsi

audit

internal

sering

menghabiskan

banyak

waktu

dalam

mempersiapkan laporan audit mereka, mereka kadang-kadang kehilangan pandangan tentang siapa yang menjadi pembaca laporan. Laporan audit internal harus disiapkan untuk komite audit dan manajer senior. Sementara komite audit jauh lebih terlihat dan menonjol hari ini karena persyaratan tindakan sarban oxley (SOx), jumlah pembaca manajemen laporan audit ada di semua tingkatan mulai dari ingkat manajemen yang lebih senior hingga komite audit di level tertinggi. pihak yang diaudit yaitu, staf dan kelompok manajemen yang diaudit- akan dimotivasi oleh kombinasi kepentingan organisasi dan entitas lokal. Manajemen pihak yang diaudit langsung tahu bahwa kesejahteraan utamanya berkaitan erat dengan keberhasilan total perusahaan tetapi juga tahu bahwa imbalan ini sangat ditentukan oleh kinerjanya sendiri. Audit internal harus mencoba membantu manajemen lokal melakukan pekerjaan yang lebih efektif, mengetahui bahwa untuk mengidentifikasi masalah pengendalian internal dan merekomendasikan solusi potensial, audit internal harus memiliki kerja sama penuh dan kemitraan yang dekat dengan manajemen lokal. Namun, sikap kooperatif ini dapat memberikan tekanan pada audit internal jika diminta untuk menarik pukulannya dalam laporan audit dengan salinan ke manajemen senior. namun audit internal memiliki tanggung jawab utama untuk melaporkan tujuan audit pada kondisi yang ditemukan atau diamati. Sementara memberikan layanan kepada manajemen lokal, kewajiban audit internal mencapai semua hingga komite audit dewan. Efek umum dari tindakan ini adalah untuk mendorong audit internal lebih ke arah dilihat sebagai layanan untuk manajemen lokal dalam pekerjaannya dan jauh dari dipandang sebagai mata-mata kantor pusat. Pendekatan ini harus berlanjut untuk mengakui bahwa audit internal selalu memiliki tanggung jawab pelaporan yang penting kepada manajemen senior dan komite audit. 18.3 Laporan audit yang dipublikasikan Meskipun laporan audit telah dibahas hampir sebagai konsep tunggal, mereka dapat mengambil berbagai format dan gaya yang berbeda. Dalam format apa pun, laporan audit adalah dokumen laporan formal yang mengalahkan kekhawatiran audit dan rekomendasi

internal mengikuti empat tujuan yang telah dibahas sebelumnya. Dengan SOx, anggota komite audit, dan tentu saja manajemen senior, akan menerima atau memiliki akses ke salinan lengkap dari semua laporan audit. Sementara itu adalah hak mereka untuk meminta laporan yang dirangkum juga, mereka masih bertanggung jawab untuk menerima dan memahami semua temuan audit yang dilaporkan. Temuan pengendalian internal harus dijelaskan dengan jelas dalam laporan audit internal. Bagian ini akan membahas laporan audit resmi yang dipublikasikan serta mekanisme alternatif untuk pelaporan audit internal. Format laporan audit yang diterbitkan Laporan audit yang mencakup tinjauan kontrol internal mungkin tampak berbeda dari laporan tentang kontrol kontinuitas bisnis atau laporan tentang prosedur investigasi penipuan. Namun, terlepas dari subjek audit internal, laporan audit formal harus selalu mencakup format umum yang serupa, dimulai dengan halaman depan, deskripsi pekerjaan yang dilakukan, dan kemudian temuan dan rekomendasi audit internal. Laporan hari ini biasanya berupa dokumen berbasis web yang mungkin tidak pernah dicetak secara resmi. Namun, sama seperti kata-kata dalam buku cetak tidak dapat diubah setelah dicetak, versi salinan perangkat lunak dari laporan audit harus dilindungi sedemikian rupa sehingga tidak ada orang selain audit internal penulis yang dapat mengubahnya setelah rilis atau publikasi. Halaman pengantar laporan harus memiliki elemen berikut: 1. Alamat laporan dan carbonees. Laporan audit harus selalu ditujukan kepada satu orang yang bertanggung jawab untuk menyusun respons laporan, sering kali seseorang biasanya setidaknya satu tingkat organisasi di atas pihak yang diaudit. Juga harus ada daftar carbone yang dipilih, sebagaimana ditentukan oleh audit internal. Surat itu akan mencakup manajer yang diaudit, anggota manajemen senior, dan orang-orang yang tertarik lainnya seperti mitra yang bertanggung jawab atas tim audit eksternal. 2. Judul laporan dan tujuan ulasan Defenisi judul memberi tahu pembaca apa yang terkandung dalam laporan audit dan juga akan berguna untuk berbagai laporan ringkasan. Sama halnya, suatu laporan audit harus memiliki pernyataan yang singkat namun jelas mengenai tujuan dari tinjauan tersebut. 3. Ruang lingkup audit dan data kerja lapangan

Biasanya disertakan dengan pernyataan tujuan audit tentang beberapa informasi singkat mengenai ruang lingkup umum audit dan perkiraan tanggal kerja lapangan audit. 4. Lokasi yang dikunjungi dan waktu audit Karena potensi keterlambatan dalam menyelesaikan laporan audit, waktu dapat berlalu antara pelaksanaan fiefwork dan penerbitan laporan audit akhir. Halaman sampul laporan harus dengan jelas menyatakan kapan pekerjaan lapangan audit dilakukan dan juga menyebutkan lokasi yang dikunjungi. 5. Prosedur audit yang dilakukan Paragraf singkat yang menjelaskan prosedur audit yang dilakukan seringkali sangat membantu pembaca laporan. Informasi ini sangat berguna jika audit internal telah melakukan beberapa prosedur pengujian khusus untuk sampai pada pendapatnya. 6. Pendapat auditor berdasarkan hasil tinjauan Laporan audit internal harus selalu memiliki penilaian yang cukup umum tentang kecukupan keseluruhan kontrol atau masalah lain di bidang yang ditinjau. Laporan audit internal yang efektif harus selalu mencakup elemen-elemen kunci berikut: 1. ringkasan singkat dari laporan audit keseluruhan Laporan harus dimulai dengan elemen-elemen utama audit, membahas masalahmasalah kritis, dan kemudian merangkum detailnya. 2. Pesan utama dari laporan Laporan harus membahas hasil pekerjaan audit, risiko terkait, dan pertimbangan manajemen untuk dipertimbangkan, dan kenapa harus peduli tentang rekomendasi auditor internal serta risiko tidak mengikuti rekomendasi tersebut. 3. Elemen temuan audit Tergantung pada ruang lingkup dan sifat audit, temuan dapat mencakup banyak detail. Namun, laporan audit yang efektif harus merangkum temuannya menggunakan teknik seperti grafik dan grafik ilustrasi untuk membantu menyampaikan pesan. 4. Kalimat, kata-kata pendek dan sederhana yang dimengerti oleh audiens Audit internal yang mencakup bidang seperti keamanan sistem operasi TI dapat terlibat dalam beberapa bidang yang sangat teknis. namun, laporan tersebut harus berusaha menggunakan kata-kata dan frasa yang dapat dipahami oleh sebagian besar pembaca.

Elemen temuan laporan audit Selama peninjauan, auditor internal yang ditugaskan untuk proyek mungkin menghadapi kelemahan kontrol internal di beberapa area yang ditinjau, seperti yang diuraikan dalam program

audit

yang

ditetapkan.

Program

audit

tersebut

seharusnya

membantu

mengidentifikasi kelemahan serta pengamatan audit internal lainnya yang menjadi subjek dari temuan laporan audit. Misalnya, program audit dapat mengarahkan auditor untuk meninjau sampel biaya perjalanan untuk memeriksa apakah mereka disetujui dengan benar dan untuk memverifikasi bahwa biaya yang dilaporkan konsisten dengan kebijakan perjalanan yang dipublikasikan. Jika audit internal menemukan beberapa sampel yang dipilih tidak disetujui dengan benar atau tidak sesuai dengan kebijakan perjalanan, audit internal akan memiliki satu atau lebih temuan potensial untuk dilaporkan. Temuan laporan audit yang disajikan dalam format umum memungkinkan pembaca laporan untuk memahami masalah dengan mudah. tidak peduli apa sifat pekerjaan audit atau temuan, pembaca harus dapat memindai temuan audit dan dengan cepat memutuskan apa yang salah dan apa yang perlu diperbaiki. Sementara penting bagi auditor internal yang menyusun temuan dan untuk melaporkan pembaca, temuan laporan audit terkadang tidak dibangun dengan baik. Temuan audit yang disusun dengan buruk sering membuat pembaca laporan mempertanyakan apa masalahnya dan mengapa mereka harus khawatir. Temuan laporan audit yang baik harus berisi yang berikut: 1.

Pernyataan kondisi Kalimat pertama dalam laporan temuan audit biasanya harus merangkum hasil tinjauan audit internal dari bidang yang menjadi perhatian, itu bisa memberikan perbandingan apa yang ada dengan "apa yang seharusnya". Kalimat apa yang merangkum kondisi atau penilaian yang dibuat oleh audit internal berdasarkan fakta yang diungkapkan dalam tinjauan.

2.

Apa yang ditemukan Temuan tersebut harus membahas prosedur dan hasil dari prosedur tersebut. Tergantung pada kerumitannya, temuan dapat diringkas dalam judul yang lebih dari satu kalimat, atau mungkin memerlukan diskusi yang luas menjelaskan prosedur audit

3.

Kriteria audit internal untuk mempresentasikan temuan Temuan audit harus selalu memiliki kritik, atau pernyataan tentang apa yang harus digunakan dalam menilai pernyataan kondisi. Tanpa kriteria yang kuat tidak akan ada

temuan audit. Kriteria bervariasi sesuai dengan area yang diaudit dan tujuan audit. Kriteria dapat berupa kebijakan, prosedur, dan standar perusahaan. Audit internal harus mempertimbangkan hal-hal berikut: a.

kriteria ekstrem Jelas kinerja yang tidak memadai atau luar biasa relatif mudah untuk dinilai. Namun, ketika kinerja bergerak mendekati rata-rata, semakin sulit untuk menilai. Audit internal kadang-kadang dapat menggunakan kasus ekstrim dengan kinerja yang tidak memadai sebagai kriteria untuk temuan laporan.

b.

Kriteria yang sebanding Perbandingan dapat dibuat antara operasi atau kegiatan yang serupa, menentukan keberhasilan atau kurangnya keberhasilan dan penyebab perbedaannya.

c.

Kriteria elemen Dalam beberapa kasus, auditor internal secara tidak benar menyatakan kriteria kinerjanya sedemikian luas sehingga tidak mungkin untuk mengevaluasi kondisi yang dilaporkan. Jenis kriteria yang tidak jelas ini menyatakan bahwa semua manajer harus membuat keputusan yang baik.

d.

Kriteria keahlian Dalam beberapa kasus, audit internal mungkin bermanfaat untuk mempunyai keahlian lain untuk mengevaluasi suatu kegiatan. Para ahli ini mungkin berada di luar perusahaan atau mungkin menjadi bagian dari staf perusahaan yang diaudit.

4.

Efek dari temuan yang dilaporkan Audit internal harus mempertimbangkan materialitas, jika temuan tidak signifikan, mungkin bukan temuan sama sekali. Setelah keputusan dibuat untuk memasukkannya sebagai temuan dalam laporan audit, efek dari kondisi yang dilaporkan harus dikomunikasikan.

5.

Sebab atau alasan untuk penyimpangan audit Alasan mengapa menyimpang dari persyaratan, standar, atau kebijakan harus dijelaskan secara singkat dan sebaik mungkin. Mengidentifikasi penyebab kondisi tersebut memberikan dasar untuk mengambil tindakan manajemen yang diperlukan.

6.

Rekomendasi audit internal Temuan-temuan laporan audit harus diakhiri dengan merekomendasikan tindakan korektif yang sesuai. Sebuah rekomendasi dapat berupa sebuah arahan sederhana untuk memperbaiki sesuatu atau bisa menjadi serangkaian tindakan korektif yang disarankan yang cukup rinci.

Beberapa teknik untuk laporan audit yang lebih baik adalah: 1.

Memberikan laporan audit dengan perspektif Audit internal harus menghindari godaan untuk mengutip hanya faktor-faktor yang mendukung kesimpulannya

dan

mengabaikan

faktor-faktor

yang

mengalihkan

perhatiannya. Perspektif selalu ditambahkan ketika terdapat efek moneter dari suatu temuan serta nilai dari seluruh akun yang sedang ditinjau. 2.

Melaporkan pencapaian auditee Karena proses evaluasi melibatkan penimbangan aspek yang memuaskan dan tidak memuaskan dari operasi auditee sehubungan dengan tujuan audit, menyebutkan prestasi auditee dalam meningkatkan kontrol atau memperbaiki kesalahan atau aspek yang perlu diperbaiki dapat menambah banyak manfaat audit.

3.

Menunjukkan tindakan yang direncanakan Dalam situasi di mana pihak yang diaudit telah membuat rencana untuk mengambil tindakan korektif sebelum penyelesaian audit, laporan audit harus mengungkapkan fakta tersebut. Selain itu, langkah-langkah lain yang diambil oleh pihak yang diaudit dalam upaya untuk memperbaiki kekurangan yang dilaporkan mungkin tidak begitu jelas tetapi tetap harus dianggap sebagai tindakan positif yang dapat dilaporkan.

4.

Melaporkan keadaan yang meringankan

5.

Laporan keadaan mitigasi Keadaan mitigasi umumnya terdiri dari faktor-faktor yang berkaitan dengan masalah atau kondisi yang dibahas dalam laporan audit di mana manajemen memiliki sedikit atau tidak ada kontrol.

6.

Respons audit sebagai bagian dari laporan audit. Respons pihak yang diaudit atas suatu temuan dapat berisi informasi yang memberikan informasi tambahan pada laporan audit. Di samping tindakan korektif yang direncanakan, auditee dapat menunjukkan pencapaian terkait lainnya atau mengutip fakta tambahan.

7.

Meningkatkan kualitas tonal laporan audit Laporan audit harus menghindari frasa yang menunjukkan bahwa pihak yang diaudit gagal mencapai tujuan atau tidak memadai, dan harus menyatakan gagasan laporan audit dengan cara yang positif dan konstruktif.

18.4 Format Laporan Audit Alternatif Pelaporan lisan seringkali bermanfaat, tetapi hanya berupa pelaporan pelengkap audit. Laporan audit lisan harus digunakan dengan hati-hati dan bukan sebagai pengganti laporan tertulis. Dalam situasi di mana disarankan untuk menginformasikan manajemen tentang perkembangan signifikan selama audit, atau setidaknya sebelum merilis laporan rutin, audit internal mungkin ingin menyiapkan semacam laporan tertulis sementara. Laporan-laporan ini mungkin berkaitan dengan masalah yang sangat signifikan di mana ada kebutuhan untuk tindakan korektif yang segera, atau laporan tersebut mungkin merupakan jenis laporan kemajuan. Jenis laporan kuesioner dapat berupa ringkasan sementara yang berguna untuk laporan audit formal atau berfungsi sebagai lampiran pada dokumen laporan formal. Fungsi audit internal sering mengeluarkan laporan tahunan yang merangkum berbagai laporan individual yang dikeluarkan, setiap temuan signifikan, dan rentang isinya. Dalam perusahaan audit internal yang lebih besar, ringkasan laporan juga memungkinkan CAE untuk melihat upaya pelaporan total dengan lebih banyak perspektif, dan secara terintegrasi. 18.5 Siklus Pelaporan Audit Internal Dimulai pada langkah-langkah awal kerja audit internal, sering diinginkan untuk mengembangkan kerangka kerja untuk laporan akhir, mengisi sebanyak mungkin saat audit berjalan. Proses laporan audit dimulai dengan identifikasi temuan, persiapan draft laporan untuk membahas temuan-temuan tersebut dan rekomendasi terkait, diskusi tentang masalah audit yang diidentifikasi dengan manajemen bersama dengan penyajian draft laporan, penyelesaian tanggapan manajemen untuk mengaudit temuan laporan, dan publikasi laporan audit formal yang mencakup bidang yang ditinjau. Draft Laporan Audit Setelah pekerjaan lapangan audit selesai dan audit internal telah membahas temuan audit yang diusulkan dengan pihak yang diaudit, draft laporan audit umumnya harus disiapkan. Audit internal kemudian menggabungkan tanggapan pihak yang diaudit ini dengan halaman tajuk laporan asli dan rancangan temuan serta rekomendasi untuk menghasilkan laporan audit akhir. Bergantung pada sifat tujuan audit dan kompleksitas temuan audit, draft laporan dapat dipresentasikan pada konferensi penutup di akhir kerja lapangan, sebelum keberangkatan personel audit lapangan, atau dikirim ke pihak yang diaudit setelah audit

Penyelesaian Pekerjaan Lapangan Audit internal umumnya menemukan kesulitan untuk mengirimkan draft laporan audit penuh pada konferensi keluar akhir lapangan. Banyak audit yang terlalu rumit, dan mungkin ada terlalu banyak pertanyaan atau klarifikasi akhir, atau pengeditan yang diperlukan untuk memungkinkan rancangan laporan audit disampaikan pada saat konferensi keluar. Tekanan untuk menyelesaikan pekerjaan audit dan sampai di rumah dapat menyebabkan tim audit mengambil jalan pintas dalam keinginan mereka untuk menyelesaikan keterlibatan lapangan. Manajemen audit memiliki kesempatan untuk meninjau pekerjaan tim lapangan dan membuat penyesuaian dengan rancangan laporan audit. Pada konferensi tersebut, temuan-temuan utama dan rekomendasi yang diusulkan ditinjau, dan, sejauh kesepakatan telah dicapai antara audit dan perusahaan lokal mengenai hal-hal tertentu, kesempatan diberikan untuk menginformasikan manajemen yang bertanggung jawab di bidang yang ditinjau dan untuk mendapatkan persetujuan lebih lanjut tentang temuan dan rekomendasi audit. Konferensi penutup memberikan peluang besar bagi audit internal untuk mengonfirmasi kesehatan hasil audit dan membuat modifikasi yang diperlukan terhadap draf laporan audit sebagaimana yang dibenarkan. Laporan Audit: Tindak Lanjut dan Ringkasan Begitu manajemen telah mengirimkan tanggapan laporan auditnya, audit internal harus menggabungkan tanggapan ini dengan rancangan temuan dan rekomendasi untuk mengeluarkan laporan audit akhir. Setelah laporan audit akhir dikeluarkan, audit internal harus menjadwalkan tinjauan tindak lanjut untuk memastikan bahwa tindakan yang diperlukan berdasarkan audit benar-benar diambil. Meskipun standar audit internal menyerukan tinjauan tindak lanjut, mereka dapat menempatkan audit internal lebih dalam peran seorang polisi dan dapat bertentangan dengan hubungan kemitraan yang sedang berlangsung dengan pihak yang diaudit. Audit internal sebaiknya hanya memainkan peran terbatas dan spesifik setelah laporan audit dirilis, seperti menyediakan diri untuk menjawab pertanyaan, dan meninjau kembali situasi pada saat audit terjadwal berikutnya di area tersebut. Audit internal memiliki tanggung jawab untuk menghasilkan laporan audit yang mudah dibaca, dapat dipahami, dan persuasif. Audit internal menerima imbalan akhir dalam pengetahuannya tentang tindakan yang diambil oleh pihak yang diaudit berdasarkan rekomendasi laporan audit internal. Kombinasi keterampilan teknis audit internal dan kemampuan untuk mengkomunikasikan hasil kepada orang-orang dengan cara yang terbaik untuk memastikan penerimaan dan dukungan aktif mereka adalah elemen pelaporan audit yang baik. Laporan audit biasanya merupakan faktor utama yang melandasi reputasi

departemen audit internal. Untuk bahan audit internal yang terletak di server perusahaan atau sistem lama, audit internal harus membuat pengaturan dengan sistem informasi yang akan digunakan untuk mengunduh dan menyimpan catatan audit internal mengikuti prosedur yang sama yang digunakan untuk sistem terpusat lainnya. 18.6 Masalah Komunikasi Audit Internal dan Peluang Komunikasi adalah elemen penting dari setiap fase kegiatan audit internal. Auditor internal berkomunikasi melalui laporan audit formal, pertemuan tatap muka selama audit lapangan atau rapat, dan melalui berbagai komunikasi formal dan informal lainnya. Auditor internal harus selalu ingat bahwa komunikasi adalah unsur dasar dari hampir setiap jenis kegiatan audit dan harus bekerja untuk meningkatkan komunikasi ini dan mengurangi konflik tingkat organisasi. Auditor internal harus memiliki pemahaman yang baik tentang masalah yang terkait dengan komunikasi yang efektif dan cara mengatasinya. Situasi terus muncul dalam fungsi audit internal ketika individu perlu berkomunikasi satu sama lain. Rapat keluar audit sering berubah menjadi situasi yang penuh dengan konflik dan stres kecuali komunikator audit internal memperhatikan dengan cermat berbagai masalah emosional potensial ini. Jika audit internal menghadapi masalah pengendalian yang parah di bidang teknis selama pekerjaannya, masalah-masalah tersebut harus dikomunikasikan dengan baik. Seringkali orang lain memandang auditor internal sebagai orang yang memiliki agenda pribadi. Masalah audit internal tidak dikomunikasikan secara efektif ketika mereka baru saja dilempar ke pangkuan auditee. Seorang auditor internal harus membangun sebuah kasus untuk menggambarkan masalah dengan meyakinkan. Auditor tidak boleh memotong kata-kata untuk menghindari menggambarkan situasi masalah tetapi harus selalu mengomunikasikan masalah pengendalian dengan jelas. Semua masalah ini adalah bagian dari kebutuhan yang lebih besar bagi auditor internal untuk menempatkan diri mereka dalam perspektif penerima dan mempertimbangkan bagaimana pesan mereka akan diterima. Bagian dari komunikasi dua arah yang efektif adalah untuk mendorong umpan balik sehingga auditor internal memiliki dasar terbaik untuk menentukan apakah tujuan manajerial tercapai. Auditor internal perlu belajar memanfaatkan konflik sampai pada titik di mana ia konstruktif tetapi untuk mengendalikannya ketika ia mengancam akan lepas kendali. Tanggung jawab audit internal tak terhindarkan menghasilkan situasi yang menciptakan persaingan dan potensi konflik. Auditor dapat menyebabkan pihak yang diaudit kehilangan tingkat persaingan dalam perusahaan mereka, dan pihak yang diaudit mungkin tidak setuju dengan audit internal hanya atas dasar itu. Auditor internal yang efektif perlu memahami bagaimana mengendalikan konflik itu. Audit internal harus terus-menerus waspada dan mengawasi tanda-tanda bahaya

yang mengindikasikan potensi masalah. Perubahan terkait mungkin melibatkan struktur organisasi baru, relokasi pabrik, proses produksi baru, atau perubahan orang, tetapi auditor internal sering tidak membuat rekomendasi untuk perubahan di tingkat itu. Bagaimana audit internal dapat mencapai perubahan yang diperlukan dengan cara terbaik yang akan melayani kesejahteraan perusahaan di tingkat yang lebih tinggi? Kasus, sifat, dan ruang lingkup tindakan

yang

diperlukan

tergantung

pada

signifikansi

dari

perubahan

yang

direkomendasikan. Karena semua manajer bertanggung jawab untuk pengendalian internal dan pada saat yang sama tunduk kepada mereka, dampak perbaikan pengendalian yang direkomendasikan pada orang-orang harus dipertimbangkan dengan cermat. 18.7 Laporan Audit dan Memahami Orang-Orang di Dalam Audit Internal Walaupun semua ini menarik bagi auditor internal sebagai bagian dari tinjauan dan analisis pengendalian internal mereka, hal itu juga harus menarik bagi CAE dan komite audit. Untuk beberapa contoh, gambar juga telah dihasilkan karena beberapa auditor internal saat ini tidak melakukan cukup melalui pekerjaan audit mereka dan cara hubungan pribadi untuk membangun citra yang lebih baik. Auditor internal didakwa dengan tanggung jawab perlindungan tertentu yang cenderung membuat orang lain di perusahaan melihatnya sebagai antagonis atau petugas polisi. Peran total audit internal harus jauh melampaui peran sempit dalam menyediakan layanan perlindungan. Keberhasilan audit internal dalam memenuhi tantangan itu memberikan salah satu peluang terbesar yang tersedia untuk melayani perusahaan

dan

untuk

mencapai

kesejahteraan

maksimum.

Kemampuan

untuk

menggambarkan pekerjaan audit internal dan membuat rekomendasi audit internal yang efektif adalah persyaratan utama CBOK audit internal. Melampaui tugas mempersiapkan dan menyampaikan rekomendasi dan laporan audit internal yang efektif, semua auditor internal harus berusaha untuk menjadi komunikator yang baik dengan sesama tim audit internal dan semua anggota perusahaan mereka secara keseluruhan.

Bab 19 Praktik Terbaik ITIL, Infrastruktur IT, dan Pengendalian Umum

19.1 Pentingnya Pengendalian Umum TI Auditor internal menjadi terlibat dengan audit TI awal dan prosedur pengendalian - yang kemudian disebut pengendalian pemrosesan-data - ketika aplikasi akuntansi pertama kali diinstal pada sistem komputer input card-punched. Auditor internal, yang pada waktu itu tidak terbiasa dengan teknologi pemrosesan data, akan "mengaudit komputer." Artinya, auditor internal mungkin melihat prosedur pengendalian input dan output aplikasi untuk memeriksa apakah inputnya seimbang dengan laporan output. Di era ini, ada sedikit pertanyaan tentang keakuratan dan pengendalian laporan yang dihasilkan oleh sistem komputer. Auditor eksternal dari Equity Funding sebelumnya telah mengaudit sistem komputer, mengandalkan laporan output sistem komputer tercetak, tanpa prosedur pendukung untuk memverifikasi kebenaran program dan file komputer. Sebagai akibat dari urusan Pendanaan Ekuitas, Institut Akuntan Publik Publik Amerika dan Institut Auditor Internal mulai menekankan pentingnya audit operasi pemrosesan data dan pengendalian aplikasi. Pada masa-masa awal pemrosesan data bisnis, sebagian besar sistem komputer dianggap "Besar", dan set standar tujuan dan prosedur pengendalian auditor dikembangkan untuk meninjau pengendalian. Banyak dari tujuan ini masih berlaku saat ini, tetapi auditor internal harus melihat tujuan pengendalian TI ini dari perspektif yang agak berbeda ketika meninjau pengendalian di lingkungan TI modern. Profesi mulai memikirkan pengendalian TI dalam aplikasi spesifik dan pengendalian umum seputar semua operasi TI. Pengendalian umum TI mencakup semua operasi sistem informasi. Pengendalian yang baik harus ada di semua operasi sistem TI. Dibahas di seluruh bab ini, pengendalian ini sering tergantung pada sifat dan manajemen, ukuran dan jenis sistem yang digunakan. Tujuan pengendalian ini adalah kombinasi dari pengendalian operasi umum yang dibahas dalam bab ini serta pengendalian aplikasi spesifik yang dibahas dalam Bab 19. Masalah-masalah pengendalian integritas ini mencakup keseluruhan proses pengembangan program aplikasi dan merupakan bagian dari diskusi kami di bagian praktik terbaik ITIL. Pengendalian harus ada untuk memastikan pengembangan sistem informasi yang baru dan direvisi secara teratur. Pengendalian harus dilakukan untuk mendukung sistem kunci dan untuk memulihkan operasi jika terjadi pemadaman yang tak terduga - apa yang disebut perencanaan pemulihan bencana dan sering dikenal hari ini sebagai perencanaan kesinambungan bisnis. Bab ini membahas pengendalian umum atas operasi sistem informasi in-house mulai dari sistem server klien ke

operasi desktop serta operasi sistem komputer mainframe yang lebih lama dan lebih besar. Walaupun sistem ini berbeda dalam ukuran dan manajemen, semua harus tunduk pada kebutuhan pengendalian umum yang sama. Selain membahas prosedur pengendalian umum, bab ini juga membahas beberapa jenis dan karakteristik perangkat keras komputer yang terkait. Tujuan dari diskusi ini adalah untuk mendorong auditor internal untuk bertanya atau mencari informasi yang benar dalam lingkungan sistem informasi. 19.2 CLIENT-SERVER AND SMALL SYSTEMS GENERAL IT CONTROL Auditor internal kerap bermasalah ketika mengevaluasi pengendalian terkait small IT operation, mulai dari client-server system sampai enterprise desktop system, karena diawasi oleh staf TI yang terbatas dan lingkungan sistem yang memadai sehingga tidak beberapa prosedur terkait dengan keamanan dan pemisahan tugas tidak dapat diimplementasikan begitu saja. Apabila rekomendasi auditor internal tidak sesuai dengan keadaan perusahaan, maka akan kehilangan kredibilitasnya. Pengendalian Umum untuk Sistem Bisnis Kecil Auditor perlu menyesuaikan dengan lingkungan bisnis yang diaudit. Lingkungan bisnis yang besar biasanya memiliki sistem TI yang bisa beroperasi secara multitasking, berada dalam fasilitas yang aman, memiliki jumlah staf pendukung yang besar, sehingga auditor memerlukan perencanaan audit dan meninjau untuk memastikan bahwa sistem TI dalam perusahaan tersebut sudah sesuai dengan ukurannya. Berikut ini adalah karakteristik umum dari small business system 

Staf IT terbatas. Terbatasnya staf IT yang dimiliki memungkinkan sistem hanya dikelola oleh satu atau 2 orang yang juga menjadi administrator dalam departemen TI. Hal ini menciptakan risiko yang mungkin diabaikan dan pengendalian internal yang memperihatinkan.



Kemampuan pemrograman terbatas. Perusahaan lebih banyak membeli software aplikasi sehingga terkait dengan pembaharuan software relative lebih sederhana.



Pengendalian lingkungan terbatas. Sistem komputer banyak memakan daya terutama listrik sehingga perlu ditempatkan di tempat yang luas untuk mengatur suhu yang dikeluarkan sistem. Perlu dipasang pelindung lonjakan listrik dan drive cadangan atau ditempatkan di ruangan khusus



Pengendalian keamanan fisik yang terbatas. Lingkungan sistem bisnis kecil yang terbatas sehingga terkait dengan pengendalian keamanan tidak begitu bermasalah.



Jaringan telekomunikasi yang luas. Hampir semua sistem desktop saat ini terhubung ke internet. Data dan aplikasi dapat diunggah dan diunduh dengan mudah.

19.3 CLIENT-SERVER COMPUTER SYSTEMS Client server merupakan suatu model arsitektur jaringan yang membedakan fungsi komputer sebagai Client dan sebuah komputer sebagai Server yang menangani permintaan dari banyak Client di jaringan tersebut. Konfigurasi Client-server ini sangat umum. Namun, sistem ini mewakili sistem TI yang khas saat ini dan dapat ditempatkan di laboratorium teknik, operasi pengendalian manufaktur, departemen pemasaran, dan lain sebagainya. Sistem ini juga dapat digunakan untuk pengendalian proses, pekerjaan desain otomatis, proses analisis statistic dan aplikasi lainnya. Perusahaan banyak menggunakan sistem TI karena biaya relative lebih rendah dan mampu mendukung kemampuan khusus lainnya meskipun belum mampu digunakan untuk memelihara catatan utang usaha. Untuk mendukung pekerjaan itu, perusahaan menggunakan aplikasi pendukung. Seorang auditor internal harus memiliki pemahaman untuk megoperasikan sistem TI karena sistem memainkan peranan penting dalam prosedur pengendalian dan kegiatan operasional audit lainnya. 19.4 SMALL SYSTEMS OPERATIONS INTERNAL CONTROL TI membantu pengendalian dalam hal pemisahan tanggung jawab antara pengguna dan operator. Namun TI akan sulit diimplementasikan di departemen atau bisnis kecil. Biasanya, auditor internal akan bekerja secara tradisional di lingkungan bisnis tersebut dan mencari pemisahan tugas yang tepat untuk mengevaluasi pengendalian secara umum. Meskipun pengendalian berbasis TI sering tidak ditemukan di lingkungan bisnis yang kecil, manajer harus bertanggung jawab dan tetap melakukan pengendalian kompensatif di unit tersebut dengan sistem client-server yang lebih kecil. Pengendalian kompensatif dimaksudkan untuk memperkuat pengendalian karena terabaikannya aktivitas pengendalan. Pengendalian kompensatif yang dapat dilakukan adalah: 

Software yang dibeli, software ini dibeli kemudian diinstal dan dimodifikasi oleh admin terkait dengan pembatasan akses.



Meningkatkan perhatian manajer terhadap laporan sistem dan kegiatan konsultan. Manajemen lebih memperhatikan laporan yang dihasilkan oleh sistem untuk peninjauan.



Pemisahaan tugas antara input dan pemrosesan. Hampir semua sistem komputer pada bisnis kecil saat ini sudah mengirimkan data input ke masing-masing workstation dan menerima output di terminal atau tercetak. Auditor internal berperan untuk melakukan pencegahan terhadap akses yang tidak dikenal.

Meskipun sudah melakukan pengendalian kompensaif, auditor internal tetap waspada pada potensi terkait risiko maupun kelemahan pengendalian. Manajer memiliki tanggung jawab atas aplikasi dan kata sandi yang digunakan serta memahami proses jaringan di unit bisnis tersebut. Gejala lain yang patut diwaspadai adalah: 

Karyawan yang loyal, yang tidak mengambil cuti



Penggunaan program khusus yang tidak terdokumentasi dan hanya diketahui oleh satu orang manajer



Partisipasi langsung dari departemen IT terkait input transaksi, seperti penyesuain ke sistem persediaan.

Dalam unit bisnis ini, auditor harus memperhatikan standard kepatuhan dan prosedur dalam perusahaan. Meskipun termasuk unit bisnis kecil, perusahaan tidak boleh mengabaikan standard dan prosedur yang digunakan di perusahaan besar. 19.5 AUDITING IT GENERAL CONTROL FOR SMALL IT SYSTEMS Penggunaan sistem IT pada unit bisnis kecil sering tidak dilengkapi dengan fungsi-fungsi khusus sehingga kinerja auditor internal akan lebih efektif apabila memiliki pengetahuan tentang kemampuan unit bisnis tersebut. Permasalahan pengendalian internal yang sering dihadapi antara lain: 

Lemahnya sistem pengendalian mengenai akses data dan program. Ketika orang yang tidak memiliki kewenangan diizinkan untuk mengakses dan memodifikasi file komputer, pengendalian secara umum akan lemah. Auditor internal perlu mempertimbangkan akses ke data dan program untuk menjadi tujuan utama pengendalian umum saat meninjau perusahaan. Seringkali sistem juga tidak memiliki keaanan yang canggih. Sistem komputer pada bisnis kecil mungkin juga tidak

memiliki mekanisme log in untuk memantau akses yang tidak valid ke sistem dan seberapa sering kode log-on diubah oleh administrator. 

Akses data yang tidak benar melalui workstation pengguna. Penggunaan kode log-on (password) dalam sistem komputer di unit bisnis kecil tidak dapat dipantau dan rentan, auditor internal perlu mengerti sistem keamanan yang digunakan oleh perusahaan, termasuk seberapa sering kode log-on diubah, siapa saja yang dapat mengakses menu administratordan meninjau aplikasi pengendalian dalam sistem.



Penggunaan program yang tidak diijinkan. Sistem kecil yang modern dilengkapi dengan program yang dapat mengubah fila data aplikasi apapun, misal memperbaiki salah saji. Program tersebut memang dirancang untuk situasi dan masalah khusus dan menghasilkan laporan jejak audit yang terbatas. Atas kelebihan menyangkut program ini, audit internal perlu memahami sistem melalui penyelidikan dan observasi.



Permintaan akses data dan program yang tidak benar. Memungkinkan data diakses secara tidak wajar oleh orang yang diberi otorisasi sehingga mampu mengakses data perusahaan yang bersifat rahasia. Auditor internal harus mencari cara pengendalian yang tepat untuk mencegah hal-hal seperti itu. Diperlukan sebuah sistem pengamanan yang tepat untuk membatasi akses yang tidak patut dilakukan agar kemungkinan memodifikasi file dapat dicegah. Metode pengendalian yang paling baik mungkin menginstal prosedur yang diperlukan untuk mencatat setiap perubahan atau pembaruan terkait file-file di sistem, misal: a) Menetapkan ketentuan persetujuan untuk melakukan perubahan kode log in mencakup tanggal atau nomer versi disertakan dengan nama program. b) Meminta

orang

yang

berwenang

untuk

membuat

tabel

yang

menginformasikan perubahan log in sesuai nomer versi, tanggal, ukuran program, dan alasan melakukan perubahan di daftar manual c) Membuat salinan cadangan dari program library untuk mengamankan data setidaknya seminggu sekali d) Memperkuat pengendalian akses sehingga orang yang tidak memiliki wewenang untuk mengubah program library file. e) Melakukan tinjauan audit internal terhadap perubahan kode log in secara berkala dan dicocokkan dengan versi, tanggal, dan ukuran program yang dicatat.

19.6 MAINFRAME LEGACY SYSTEM COMPONENTS AND CONTROLS Auditor internal tertarik pada ukuran dari sistem komputer untuk ditinjau karena dampaknya terhadap prosedur peninjauan pengendalian audit internal. Namun saat ini tidak ada kaitannya antara ukuran sistem dengan kompleksitas audit sehingga diharapkan audit internal dapat meninjau pengendalian baik dalam sistem komputer yang besar maupun kecil. Karakteristik sistem IT yang lebih besar. Sistem IT yang lebih besar memiliki beberapa karakteristik umum sehingga memungkinkan karakteristik pengendalian internal TI tidak berlaku untuk setiap sistem komputer ini. 

Pengendalian keamanan fisik. Pusat komputer dengan data file signifikan terletak di ruangan dengan akses yang terkunci dan tertutup rapat. Hal ini untuk membantu melindungi peralatan, program dan data serta mencegah orang yang tidak diberi kewenangan untuk memasuki area tersebut untuk mengambil laporan secara illegal. Selain itu ruangan tersebut harus dibangun di tempat yang tidak mudah terpapar api, banjir, maupun bencana lainnnya.



Persyaratan pengendalian lingkungan. Perlu disiapkan tenaga listrik khusus dan sistem pendingin khusus untuk menghindari bencana karena sistem rentan terhadap fluktuasi daya. Beberapa sistem didukung dengan generator listrik apabila terjadi pemadaman.



Sistem operasi multitasking. Hampir semua komputer menggunakan beberapa jenis master program atau sistem operasi untuk mengendalikan aplikasi yang dijalankan di komputer sehingga mampu menjalankan banyak program sekaligus.



Kemampuan pemrograman secara in-house. Untuk unit bisnis yang kecil biasanya membeli aplikasi melalui vendor atau memiliki sistem yang dipasok oleh staff kantor pusat perusahaan. Sedangkan, unit bisnis besar didukun dengan sistem in-house dan departemen pemrograman yang memiliki beberapa programmer. Selain itu, perusahaan memiliki staf analisis program dan sistem yang mempunyai kemampuan metodologi pengembangan sistem (SDM) atau system development life cycle (SDLC) untuk mengembangkan dan mengimplementasikan aplikasi baru.



Jaringan telekomunikasi yang luas. Hampir semua sistem modern memiliki jaringan telekomunikasi yang luas untuk mendukung beberapa terminal online, terletak di

seluruh perusahaan dan terhubung baik langsung ke pusat sistem komputer atau ke internet. 

File sangat besar dan kritis. Cadangan akan file ini sangat penting untuk membantu memastikan kelengkapan basis data, keakuratan dan integritas.



Bagian pengendalian input-output. Sistem IT memiliki fungsi pengendalian untuk mendistribusikan input ke sistem output.

19.7 MENINJAU PENGENDALIAN INTERNAL CLASSIC MAINFRAME

ATAU

LEGACY IT SYSTEMS Masalah pengendalian internal yang menjadi permasalahan dalam audit yaitu prosedur operasi untuk sistem komputer besar dan operator komputer tidak boleh memiliki akses ke program operasi komputer atau pengetahuan untuk mengubahnya dengan alasan operator (programmer) berpotensi untuk memodifikasi atau menjalankan program yang tidak sah. Rumitnya sistem operasi TI modern dan besarnya tuntutan produksi, maka pemisahan tugas dalam fungsi TI untuk unit bisnis besar harus ada. Auditor harus mendapatkan pemahaman tentang jenis peralatan TI yang digunakan dan sifat peralatan tersebut untuk mengembangkan prosedur pengendalian yang sesuai. Auditor internal juga perlu meninjau ruangan komputer dan mengingatkan tujuan maupun prosedur pengendalian umum yang perlu dipertimbangkan. Perangkat Lunak Sistem Operasi Auditor internal perlu mengembangkan pemahaman berbagai macam software sistem operasi yang berpotensi memiliki risiko pengendalian tinggi, seperti: 

Pusat sistem operasi. Sistem operasi sering terikat dengan hardware yang dikendalikan.



Monitor sistem. Berbagai software membantu penjadwalan pekerjaan, memantau kegiatan sistem, dan menyelesaikan masalah atau kesalahan sistem.



Pengendalian jaringan dan monitor teleproses. Mengawasi dan mengendalikan transmisi antar host di sistem komputer dengan perangkat peripheral.

19.8 Mereviu Pengendalian Umum Sistem Legasi Besar Jika pihak manajemen meminta reviu mengenai biaya dan manfaat dati operasi data terpusat, prosedur audit internal mungkin memasukkan beberapa area seperti chargeback dan sistem

penjadwalan kerja. Meskipun reviu pengendalian umum TI sebuah sistem yang besar dapat memiliki beragam tujuan, yang mungkin sesuai dengan 4 tipe reviu berikut: 1. Reviu Pendahuluan mengenai pengendalian umum TI 2. Reviu pengendalian umum yang detail mengenai operasi TI 3. Reviu yang special atau dengan orientasi cakupan yang terbatas 4. Reviu terhadap menilai kepatuhan sesuai perundang-undangan atau peraturan

19.9 Dukungan Layanan ITIL® dan Memberikan Praktik Infrastuktur TI Terbaik ITIL® merupakan singkatan dari “Information Technology Infrastructure Information”. Ketika auditor internal sedang mengobservasi dan menreviu pengendalian internal operasi TI, sebah pendekatan yang berguna adalaj memisahkan proses ITIL®. Manajemen Insiden Dukungan Layanan ITIL Proses manajemen insiden mencakup kegiatan yang diperlukan untuk memulihkan layanan TI yang mengalami gangguan. Komponen pertama yang ada dalam proses manajemen insiden adalah deteksi dan dokumentasi insiden berdasarkan sevice desk. Dalam perjanjian tingkat layanan terdapat hal-hal yang harus dipertimbangkan dalam manajemen insiden yaitu: 

Dampak dari insiden terhadap pelaporan entitas



Urgensi dari laporan insiden



Ukuran, skop, dan kompleksitas insiden

Manajemen Masalah Dukungan Layanan Manajamen masalah merupakan langkah selanjutnya dalam mengkritisi beberapa laporan insiden dan ahrus memperimbangkan tiga term dari subproses yakni: pengendalian masalah, pengendalian eror, dan manajemen masalah proaktif. Manajemen Pengaturan Dukungan Layanan Fungsi dari manajemen pengaturan adalah untuk mendukung pengidentifiaksian, pencatatan, dan pelaporan komponen TI dan versinya, komponen konstituen, dan hubungannya.

Manajemen Perubahan Dukungan Layanan Tujuan dari manajemen perubahan dukungan layanan adalah untuk memanfaatkan metode dan prosedur standar untuk efesiensi dan penanganan cepat terhadap semua perubahan, dalam rangka meminimalisir dampak dari kualitas layanan dan operasi hari ke hari. Proses manajemen perubahan ITIL® terdiri dari: 

Perangkat keras TI dan sistem prangkat lunak



Perangkat komunikasi dan perankay lunaknya



Perangkat lunak semua aplikasi



Dokumentasi dan semua prosedur seperti running, support, dan maintance dari live system.

Manajemen Rilis Dukungan Layanan Fungsi Ti memerlukan proses yang efektif untuk memastikan bahwa smeua perubahan dikenali oleh semua dampak dan telah di kendalikan dengan baik. Manajemen rislis mencakup pengenalan autoritas perubahan pada layanan TI. Terdapat 2 jenis rilis, rilis penuh dan rilis parsial. 19.10 Layanan Memberikan Praktik Terbaik Layanan Memberikan Manajemen Tingkat Layanan Manajemen tingkat layanan merupakan nama yang diberikan pada proses ITIL® seperti perencanaan, kordinasi, drafting, penyetujuan, pengawasan, dan pelaporan pada perjanjian formal antara TI dan penyedia serta penerima layanan TI. Perjanjian ini disebut juga dnegan perjanjian tingkat layanan (SLA). Layanan Memberikan Manajemen Keuangan bagi Layanan TI Manajemen keuangan ITIL® membantu mengelola pengenalian keuangan perusahaan dengan menyarankan pedoman untuk mengurus biaya dan manfaat aset dan sumber daya yang digunakan dalam menyediakan layanan TI. Terdapat 3 subproses yang terpisah dari manajemen keuangan ITIL® yaitu: Penganggaran TI, Akuntansi TI, dan Charging. Manajemen keuangan bagi layanan TI menyediakan informasi yang penting terhadap proses manajemen tingkat layanan seperti startegi IT costing, pricing, dan charging. Proses manajemen keuangan tersebut mengijinkan TI dan seluruh manajemen untuk membuat

keputusan dan akurasi analisis biaya manfaat dari penyediaan layanan TI serta mengijinkan perusahaan TI untuk mengatur dan mencapai target keuangan mereka. Layanan Memberikan Manajemen Kapasitas Managemen kapasitas ITIL® memastikan bahwa kapasitas infratruktur TI sejalan dengan kebutuhan bisnis untuk mempertahankan tingkat pemberian layanan yang diperlukan dengan biaya yang dapat diterima melalui tingkat kapasitas yang sesuai. Manajemen kapasitas bertanggungjawab untuk menilai keuntungan potensial dari teknologi baru untuk perusahaan. Layanan Memberikan Manajemen Ketersediaan Ketergantungan perusahaan terhadap ketersediaan layanan TI meningkat menjadi 24/7. Ketidak layanan TI tidak tersedia, banyak hal dalam bisnis yang juga akan berhenti. Untuk menangani hal ini diperlukan manajemen ketersediaan TI. Dengan adanya manajemen ketersediaan TI akan dapat mengatasi downtime layanan sehingga dapat menjaga layanan operasi berjalan normal dan meningkatkan kepuasan konsumen. Layanan Memberikan Manajemen Keberlanjutan Bisnis menjadi lebih tergantung pada TI. Setiap saat ketersediaan atau kinrja layanan menurun, konsumen TI tidak dapat melanjutkan pekerjaannya dengan normal. Tren ini mengarah pada tingkat ketergantungan yang tinggi terhadap dukungan dan layanan TI akan berlanjut dan akan meningkatkan pengaruh secara langsung pada konsumen, manajer, dan pengambil keputusan. Manajemen berkelanjutan ITIL menekankan bahwa dampak dari kerugian total atau bahkan sebagian dari layanan TI harus diperkirakan dan ditetapkan rencana kesinambungan untuk memastikan bahwa bisnis, dan infrastruktur pendukungnya, akan selalu dapat terus berlanjut. Pengunaan ITIL® merupakan strategi yang sesuai untuk mengembangkan yang terdiri dari keseimbangan oprimal dari pengurangan risiko dan startegi pemulihan. Dengan menggunakan ITIL®, Perusahaan TI dapat mengimplementasikan seperangkat proses layanan berkelanjutan yang efektif, dan auditor internal harus memahami lebih baik dan mengevaluasi keberlanjtan dan proses perencanaan pemulihan bencana. 19.11 Pengauditan Manajemen Infrastruktur TI ITIL® diterapkan pada berbagai ukuran fungsi TI. Untuk fungsi Ti yang kecil menetapkan pemisahan

fungsi

manajemen

insiden

dan

manajemen

masalah,

namun

masih

mempertimbangkan hal itu sebagai proses pemisahan dengan prosedur pengendalian yang

unik. Begitu pula dengan fungsi TI yang sangat kecil, tiap area proses ITIL® hatus ditangani sebagai area terpisah untuk memperbaiki proses. 19.12 Auditor Internal Memerlukan CBOK untuk Pengendalian Umum TI Memahami international Standars for the Professional Practice of Internal Auditing, ISO 9000 dan standar sistem kualitas lainnya merupakan pengetahuan yang penting bagi auditor internal. Seorang auditor internal harus memiliki dasar pemahaman CBOK dari area-area tersebut namun tidak memerlukan tingkat pemahaman yang detail. Dunia Pengendalian umum TI terlihat terus berubah dan berkembang yang memungkinkan akan banyak isu teknis yang muncul yang paling sesuai untuk ditangani spesialis audit TI, namun semua auditor internal saat ini harus memiliki tingkat pemahaman CBOK yang kuat terhadap pengendalian umum TI dan infrastruktur pendukung yang memungkinkan pengenalian umum tersebut beroperasi dan berfungsi.