Académique Documents
Professionnel Documents
Culture Documents
menerima fees, gift, atau entertainment dari pegawai, client, atau customer.
B. Kecapakan dan Profesionalitas
Kecakapan adalah pengetahuan, skill, dan kompetensi lainnya yang auditor internal
perlukan untuk menunjukkan tanggung jawab individual mereka.
Due professional care - auditor internal harus mengaplikasikan kepedulian dan
skill yang diharapkan dari kebijaksanaan yang pantas dari auditor internal. Walaupun
begitu auditor internal tidak diharapkan untuk menjadi sempurna.
II. Perencanaan
Rencana Audit Internal - sebuah outline dari penugasan konsultansi dan assurance
yang dijadwalkan untuk suatu periode berdasarkan penilaian dari risiko organisasi.
Standar Perencanaan
Assurance Services - IAA merencanakan penugasan harus berdasarkan dokumentasi risk
assessment, minimal annually. Input dari senior management dan Board harus
dipertimbangkan.
Consulting Services-CAE harus menyetujui penugasan konsultansi dengan berdasarkan
potensi penugasan dalam meningkatkan pengelolaan risiko, memberi nilai tambah dan
meningkatkan operasional organisasi. Penugasan yang disetujui harus dimasukan dalam
perencanaan.
III.
IV.
VIII. Governance
Governance menuntut fungsi Internal Audit untuk mengakses dan menyusun
rekomendasi yang layak untuk meningkatkan proses governance dalam mencapai tujuan
berikut:
Etika yang layak dan nilai-nilai di dalam organisasi.
Memberi keyakinan performa manajemen organisasi efektif dan akuntabel.
Mengkomunikasikan risiko dan kontrol informasi untuk area yang layak dari organisasi.
Mengkordinasikan aktivitas dan mengkomunikasikan informasi diantara dewan, auditor
ekstrnal dan internal dan manajemen.
Internal Audit Charter menjelaskan peran apa yang dimainkan oleh fungsi internal audit
dalam menyediakan assurance yang berhubungan dengan proses governance dan
mencerminkan ekspektasi dewan. Peran tersebut meliputi:
Evaluasi kelayakan manajemen risiko.
Menguji dan mengevaluasi apakah manajemen risiko bekerja seperti rencana.
Menentukan asersi risk owners ke senior management mengenai risk management sudah
sesuai dengan kondisi sekarang.
Menentukan asersi senior manajemen ke Board mencerminkan kondisi sekarang.
Mengevaluasi apakah informasi risk tolerance dikomunikasikan dengan baik.
Menilai risiko lain yang belum tercakup proses governance.
IX.
Risk Management
Manajemen risiko merupakan sebuah proses partisipasi yang didesain untuk
mengidentifikasi, mendokumentasikan, mengevaluasi, mengkomunikasikan, dan memonitor
ketidakjelaskan yang dihadapi organisasi yang mensyaratkan mitigasi risiko atau eksploitasi
kesempatan untuk mencapai tujuan bisnis organisasi.
X. Control
Menurut standar IIA 2130 kontrol merupakan kegiatan audit internal harus
mengawal organisasi dalam menjaga kontrol yang efektif dengan mengevaluasi
keefektifan dan keefisienan dan mendorong peningkatan yang terus menerus.
Standar 2130 A1- Dalam menyediakan kegiatan assurance, informasi mengenai risk
assessment harus mendorong fungsi internal audit dalam mengevaluasi kecukupan dan
keefektifan kontrol dalam merespon risiko didalam tatakelola organisasi, operasional dan
sistem informasi dengan memperhatikan:
Capaian tujuan strategis organisasi.
Pengamanan aset.
Kehandalan dan integritas informasi
Pemenuhan
hukum,
regulasi
dan
keuangan
dan
kontrak.
operasional(nonfinansial).
XI.
Quality Assurance and Improvement Program (Quality Program Assessments)
Quality assurance merupakan proses untuk memberikan jaminan bahwa fungsi internal
audit telah mengikuti kepada standar yang ditetapkan yang menegaskan elemen spesifik
yang harus ada untuk member keyakinan bahwa fungsi tersebut telah berjalan dengan tepat.
Disclosure of Nonconformance
Dalam kondisi fungsi audit internal didapati tidak cukup untuk mempengaruhi
keseluruhan cakupan ataupun pekerjaan dari kegiatan audit internal maka CAE harus
mengungkapkan ketidaksesuaian dan dampaknya ke senior manajemen dan dewan (IIA
Standar 1322: Disclosure of Nonconformance).
Manajemen yang efektif dari fungsi audit penting untuk mendukung senior
manajemen untuk mencapai tujuan organisasi.
Bab 10
Audit Evidence and Working Papers
I Bukti Audit
Kualitas dari kesimpulan dan saran yang dihasilkan auditor internal tergantung dari kemampuan mereka untuk
mengumpulkan dan mengevaluasi bukti yang cukup untuk mendukung kesimpulan dan saran mereka itu.
Bukti adalah informasi apa saja yang dapat digunakan oleh auditor untuk menentukan apakah informasi yang
diaudit telah dinyatakan sesuai dengan standar yang ditetapkan.
A Professional Skepticism
Auditor harus selalu menerapkan level professional skepticism yang sehat ketika mengevaluasi bukti
audit. Professional skepticism adalah ketika auditor tidak mengambil bukti begitu saja, mereka harus selalu
mempertanyakan secara terus menerus apa yang mereka lihat dan dengar. Auditor tidak boleh mengasumsikan
dari awal apakah auditee tersebut telah jujur atau tidak jujur. Professional skepticism perlu agar penilaian auditor
tidak bias dan auditee tetap dapat berpikiran terbuka utuk mengevaluasi bukti yang ada.
B Reasonable Assurance
Auditor tidak pernah benar-benar bisa memberikan absolut assurance atas hasil auditnya. Karena itu
hasil audit hanya dapat memberikan reasonable assurance. Reasonable assurance adalah level assurance yang
didukung oleh prosedur audit dan penilaian yang telah diterima secara umum.
C Persuasiveness of Audit Evidence
Bukti audit yang meyakinkan adalah bukti yang dapat memungkinkan auditor untuk memformulakan
kesimpulan dan saran. Untuk dapat memberi keyakinan, bukti harus:
1 Relevan mendukung observasi dan rekomendasi, serta konsisten deegan tujuan audit.
Apakah bukti relevan dengan tujuan audit, apakah secara logika dapat mendukung kesimpulan dan saran
audit.
2 Reliable informasi terbaik yang dapat dicapai melalui teknis audit yang tepat.
Apakah bukti didapat dari sumber yang terpercaya, apakah internal auditor yang mendapatkan bukti tersebut
secara langsung, informasi yang didokumentasikan, informasi dihasilkan oleh sistem yang spi nya bagus.
3 Sufficient faktual, cukup, dan meyakinkan, sehingga orang lain yang membaca informasi yang ada akan
menghasilkan kesimpulan yang sama dengan kesimpulan auditor.
Apakah auditor telah mengumpulkan bukti yang cukup.
Risiko dari mengumpulkan bukti yang tidak valid akan menghasilkan saran yang tidak valid juga.
II Audit Procedures
Langkah-langkah auditor internal untuk mengumpulkan bukti untuk mencapai tujuan audit.
Dilakukan selama proses audit untuk:
a
b
c
d
e
Prosedur audit yang sering dilakukan adalah inquiry, observasi, inspeksi, vouching, tracing,
reperformance, prosedur analitis, dan konfirmasi.
Teknik Audit Berbantuan Komputer didefinisikan sebagai segala bentuk teknik audit yang
bekerja secara otomatis, contohnya software khusus audit (cth. ACL), test data generators, program
audit terkomputerisasi dan alat audit lainnya.
Teknik audit berbantuan komputer, beberapa diantaranya:
1
2
Software khusus audit software multipurpose yang dapat melakukan pekerjaan audit seperti pencocokkan,
pemilihan record, penghitungan ulang, dan pelaporan.
Test data generators simulasi transaksi yang digunakan untuk memproses logika, pengendallian, skema
penghitungan dalam bentuk aplikasi.
3
4
Aplikasi software tracing-mapping alat khusus yang digunakan untuk menganalisa arus data dari suatu
aplikasi berdasarkan dasar logika software tersebut , seperti bahasa pemogramannya, perintah bahasa, dsb.
Audit expert system sistem pengambilan keputusan yang digunakan untuk mendukung kerja sistem
informasi auditor dalam melaksanakan pekerjaannya. Sistem ini secara otomatis dapat melakukan analisis
risiko secara otomatis.
Continues auditing memungkinkan seorang auditor yang bergerak dalam bidang sistem informasi untuk
memantau reliabilitas sistem secara teru menerus dan mengumpulkan bukti audit melalui komputer.
Memungkinkan untuk melakukan prosedur audit pada lingkungan yang memiliki banyak hardware dan
software dengan persyaratan yang sederhana.
Memungkinkan auditor untuk menguji data pegawai dari perusahaan IT secara independen.
Memungkinkan untuk menganalisis jumlah data yang besar.
Beberapa software audit, dapat menguji jumlah populasi data, dibandingkan dengan prosedur audit manual
yang hanya bisa mengambil sampel.
Menghemat waktu auditor dalam melakukan pekerjaan.
IIA Standard 2330 - mendokumentasikan informasi dibutuhkan oleh internal auditor dalam
mengumpulkan bukti yang mendukung hasil penugasan.
Tujuan Kertas Kerja:
1
2
3
4
5
6
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15 Komunikasi final dari penugasan dan tanggapan atas penjelasan auditor pada akhir penugasan.
1
2
3
4
1
2
3
4
5
6
BAB 11
AUDIT SAMPLING
Audit sampling merupakan salah satu prosedur audit yang diterapkan untuk mengurangi item
populasi (kurang dari 100%) tapi dengan tujuan menggambarkan keseluruhan populasi. Populasi dapat
berupa semua laporan penerimaan selama setahun atau semua saldo pelanggan pada buku pembantu piutang.
Sampling ini digunakan untuk pelaksanaan prosedur audit seperti tracing atau vouching yang
digunakan untuk pemeriksaan dokumen audit trail atau digunakan untuk prosedur audit inquiry dan
observation.
A Dua Pendekatan Umum Audit Sampling
Dua pendekatan tersebut adalah statistical dan nonstatistical. Kedua pendekatan ini membutuhkan
professional judgment dalam mendesain rencana sampling, melaksanakan rencana tersebut dan
mengevaluasi hasil sample. Internal audit memiliki kebebasan dalam memilih kedua pendekatan tersebut
sesuai dengan prosedur yang akan dilakukan, evaluasi atas bukti yang diperoleh, dan tindakan yang akan
dilakukan berdasarkan tujuan penerapan sampling.
Untuk memilih, auditor internal harus mempertimbangkan cost and benefit. Statistical sampling
merupakan alat bantu auditor internal untuk mengukur kecukupan bukti yang yang diperoleh dan
mengevaluasi hasil sampling secara kuantitatif. Lebih dari itu audit sampling memungkinkan auditor untuk
menghitung, mengukur, dan mengontrol sampling risk. Namun, statistical sampling juga lebih costly.
B Audit Risk and Sampling Risk
Dalam chapter sebelumnya audit risk diartikan sebagai risiko kesalahan pengambilan kesimpulan
dan/atau menyediakan saran yang keliru berdasarkan pekerjaan audit yang dilakukan. Dalam konteks
tersebut maka audit risk dibagi menjadi 2 yaitu sampling risk dan non-sampling risk.
Sampling risk adalah risiko bahwa kesimpulan internal audit berdasarkan sample yang diuji berbeda
dengan kesimpulan yang diperoleh apabila prosedur audit dilakukan terhadap seluruh item pada populasi.
Dalam melakukan Test of control, internal audit concerned terhadap dua aspek sampling risk yaitu:
The risk of assessing control risk too low (type II risk, beta risk)
Dikenal juga dengan risk of overreliance (risiko ketergantungan lebih) yaitu risiko bahwa internal auditor
salah dalam menyimpulkan bahwa kontrol tertentu lebih efektif dari yang seharusnya.
The risk of assessing control si too High (The I risk, alpa risk)
Dikenal juga dengan risk of under-reliance (risiko ketergantungan kurang) yaitu risiko bahwa internal audit
salah dalam menyimpulkan bahwa kontrol kurang efektif dari yang seharusnya.
Non sampling risk risiko yang terjadi ketika internal auditor gagal dalam menjalankan
pekerjaannya secara benar. Misalnya melakukan prosedur audit yang tidak tepat atau sah dalam
melakukan interpretasi hasil sampling. Nonsampling risk dikontrol menggunakan audit planning,
supervisi, dan quality assurance.
Stratified attribute sampling variasi dari attribute sampling dari populasi yang dapat dibagi-bagi.
Ketika kontrol yang berbeda diterapkan dalam level transaksi yang berbeda maka perbedaan level transaksi
terebut dapat dipertimbangkan sebagai populasi yang berbeda.
Stop-or-go sampling variasi attribute sampling yang digunakan ketika tingkat penyimpangan
diperkirakan rendah karena dapat meminimalkan ukuran sample untuk level sampling risk tertentu.
Discovery sample- variasi attribute sampling yang didesain dengan cukup luas untuk mendeteksi
paling tidak satu penyimpangan apabila tingkat deviasi pada populasi setara atau melebihi tingkat spesifik.
Pendekatan ini biasa digunakan untuk menguji adanya fraud.
B Designing an Attribute Sampling Plan, Executing The Plan, and Evaluating The Sample Result
Identify a specific internal control objective dan prescribed control(s) aimed at achieving that objective
Tujuan audit yang spesifik merupakan faktor kunci yang menentukan apa yang akan di sample. Sebagai
contoh adalah auditor internal akan menguji, dengan menggunakan sample, apakah order pembelian selama
12 bulan telah didukung oleh daftar permintaan pembelian yang sesuai.
Secara hati-hati mendefinisikan yang dimaksud dengan penyimpangan dari kontrol yang telah ditentukan
sama pentingnya dengan mendefinisikan tujuan kontrol dan prosedur kontrol. Jika internal auditor gagal
melakukan ini, ada risiko tidak dikenalinya penyimpangan yang hal ini merupakan non sampling risk.
Sebagai contoh adalah internal auditor ingin meyakini bahwa order pembelian dukung oleh permintaan
pembelian yang tepat. Penyimpangan dari kontrol yang ditetapkan akan termasuk hal berikut: tidak adanya
daftar permintaan pembelian, tidak adanya bukti dari persetujuan daftar permintaan pembelian, disetujui oleh
orang yang tidak berwenang, adanya perbedaan antara barang yang dipesan dengan barang yang diterima
gudang.
Sesuai contoh sebelumnya maka, populasi yang ditentukan adalah order pembelian prenumber selama 12
bulan. Sampling unit-nya adalah setiap order pembelian yang diuji untuk memastikan apakah order pembelian
telah didukung oleh daftar permintaan pembelian yang sesuai. Untuk mengujinya, internal auditor akan
melakukan vouching terhadap order pembelian dan menghubungkannya dengan daftar permintaan pembelian.
Dalam attribute sampling, internal auditor harus menetapkan, menggunakan audit judgment, nilai yang tepat
dari 3 faktor yang mempengaruhi ukuran sample.
a
Risiko yang dapat diterima dari penilaian kontrol yang terlalu rendah.
Ingat bahwa risiko penilaian control risk terlalu rendah maka internal auditor akan salah
menyimpulkan bahwa kontrol tertentu lebih efektif dari pada seharusnya. Risiko penilaian control risk
yang terlalu rendah akan berkebalikan dengan ukuran sample, dengan kata lain semakin rendah tingkat
acceptable risk, semakin besar ukuran sample.
Setelah auditor menetapkan nilai dari faktor-faktor yang mempengaruhi ukuran sample, cara paling mudah
untuk menentukan ukuran sample yang tepat dapat mengacu pada tabel berikut.
Systematic Sampling
Internal auditor memilih secara random untuk menentukan titik awal data dan memlih sampai urutan
tertentu setetahnya.
Audit sample item yang dipilih dan menghitung jumlah deviasi dari control yang ditentukan.
I am 90% confident that the true, but unknown, population deviation rate is 6,6%.
Aplikasi atribut sampling didesain agar internal auditor akan menyimpulkan bahwa
pengendalian efektif, berdasarkan hasil sampling, jika 90% tingkat keyakinan bisa dicapai bahwa
population rate-nya adalah 5%. Penting untuk diingat, bahwa interpretasi auditor terhadip hasil
sampling kuantitatif hanya menunjukkan efektifitas pengendalian bagi 12 bulan terakhir saja.
Sebagai tambahan dalam mengevaluasi hasil dari attribute sampling, internal auditor harus
mempertimbangkan aspek-aspek kualitatif dari penyimpangan dari pengendalian yang ditemukan.
random dan hasil sampling tersebut harus dievaluasi secara matematis dengan pendekatan teori probabiilitas.
Sampling nonstatistikal membrikan auditor keleluasaan lebih dalam memilih dan mengevaluasi sampel.
Meski begitu, auditor harus tetap memilih sampel yang dipercaya sebagai representasi dari populasi, dengan
mempertimbangkan faktor-faktor yang memengaruhi ukuran sampel. Haphazard sampling adalah teknik
pemilihan non random yang digunakan auditor untuk memilih sampel yang diharapkan dapat
merepresentasikan populasi.
Ketidakmampuan untuk mengkuantifikasi risiko sampling secara statistik merupakan fitur utama dari
sampling non statistik yang membedakannya dengan statistical sampling. Kesimpulan auditor mengenai
populasi (yang direpresentasikan sampel) sangatlah judgemental ketimbang berdasarkan teori probablitas.
Salah satu pendekatan sampling nonstatistik yang paling awam adalah memilih sampel yang relatif
kecil secara haphazard, misalnya 25 item untuk seluruh aplikasi sampling berdasarkan presumsi bahwa
tidak terdapat penyimpangan pengendalian dalam populasi, dan untuk menyimpulkan bahwa pengendalian
tidak cukup efektif jika satu atau lebih deviasi pengendalian ditemukan.
III
Sebagai tambahan untuk penggunaan sampling dalam konteks pengujian pengendalian, internal
auditor juga menerapkan sampling ketikan melakukan pengujian yang didesain untuk mendapatkan bukti
langsung mengenai kebenaran nilai-nilai monetaris-misalnya, nilai dari inventori yang disajikan.
Ketika melakukan pengujian atas nilai moneter, internal auditor harus memperhatikan dua aspek
risiko sampling :
A Probability-Proportional-To-Size Sampling
Juga disebut sebagai monetary-unit sampling atau dollar-unit sampling adalah bentuk modifikasi dari
sampling atribut yang digunakan untuk mencapai kesimpulan terkait jumlah moneter ketimbang tingkat
keterjadian.
Tolerable misstatement.
Anticipated misstatement.
Adalah pendekatan sampling statistikal yang berdasarkan pada teori distribusi normal yang
digunakan untuk memeroleh kesimpulan terkait jumal monetary. Metode ini dianggap lebih sulit dari
PPS, karena melibatkan metode perhitungan yang lebih kompleks dalam menentukan jumlah sampel
yang tepat dan mengevaluasi hasil sampling.
Dua pendekatan pemilihan sampel yang umum digunakan dalam metode ini adalah simple
random sampling dan systematic sampling with random start.
Ukuran populasi.
Tolerable misstatement.
BAB 12
INTRODUCTION TO THE ENGAGEMENT PROCESS
Secara umum, auditor internal menyediakan dua jenis layanan : jasa assurance dan jasa consulting,
baik yang berbentuk control-focused maupun yang sifatnya performance-focused.
Proses penugasan (engagements) kedua jenis layanan tersebut terdiri dari 3 tahap utama yaitu
(1) Perencanaan; (2) Pelaksanaan; (3) Komunikasi (pelaporan).
PLAN
PERFORM
COMMUNICATE
pengendalian
- Menyusun rencana pengujian
- Mengembangkan Program Kerja
- Mengalokasikan sumber daya pada
engagement
- Mengembangkan komunikasi
engagement final
- Mendistribusikan komunikasi final
formal & informal
- Melakukan prosedur monitoring &
tindak lanjut
Terdapat sebuah ungkapan 7P :Proper Prior Planning Prevents Poor Performance dan ungkapan
lain Failing to plan means planning to fail menunjukkan betapa pentingnya perencanaan. Dalam assurance
engagement, tahapanyang dilalui antara lain:
1 Menentukan tujuan dan lingkup engagement
Pertimbangan penting ;
Apakah fokusnya pada efektivitas operasi dan efisiensi auditee, aspek pelaporan keuangan
auditee, atau keduanya.
b Hasil yang diharapkan dari Tim Audit Internal.
Tim audit internal harus mem-bobot level risiko yang diukur dibandingkan dengan batas
toleransi risiko manajemen yang dapat diterima.
4
Pilihan/respon risiko menerima (accept), menghindari (avoid) dan membagi (sharing) risiko.
Mengidentifikasi pengendalian kunci (key control)
Tim audit internal juga harus mengidentifikasi pengendalian mana yang paling kritis untuk
mengurangi risiko bisnis ke level yang dapat diterima serta menyediakan jaminan bahwa tujuan
yang ditetapkan akan tercapai.
Dibahas lengkap di Ch. 3 Internal Control dan Ch. 13 Conducting Assurance
Engagement
5
Tim audit internal harus memutuskan apakah pengendalian kunci yang teridentifikasi
diidentifikasi secara memadai untuk mengurangi risiko, baik secara individual maupun kolektif ke
level yang dapat diterima diasumsikan bahwa pengendalian telah dijalankan sesuai rencana.
6
Membuat pengujian perencanaan terdiri dari menentukan sifat, waktu, dan perluasan prosedur
yang diperlukan untuk mengumpulkan bukti audit. Pengujian perencanaan berupa pengujian
langsung atas pengendalian dan atau test kinerja untuk menghasilkan bukti tak langsung berkaitan
dengan efektivitas pengendalian.
7
Selama proses penugasan, internal auditor menandai prosedur dalam audit program yang menandakan
pekerjaan telah selesai dilaksanakan. Supervisor harus mereviu pekerjaan tim audit atas pekerjaan yang
telah dilaksanakan dan pekerjaan yang belum selesai atau yang masih harus dikerjakan, yang bisa saja
diluar dari program kerja.
8 Alokasi sumber daya untuk penugasan
Step terakhir dalam perencanaan penugasan, antara lain menentukan keahlian audit yang diperlukan,
estimasi waktu, menugaskan internal auditor, dan membuat skedul pekerjaan supaya dapat dikontrol
realisasi tepat waktu.
Pertama, melakukan prosedur untuk mengumpulkan bukti, misalnya making inquiry, observing
operations, inspecting document, dan analyzing reasonableness of information. Kemudian
mendokumentasikan prosedur yang telah dikerjakan beserta hasilnya.
2 Evaluasi bukti audit yang dikumpulkan dan membuat kesimpulan
Evaluasi bukti misalnya untuk menentukan apakah kegiatan pengendalian telah didesain memadai dan
efektivitas operasi telah tercapai. Internal auditor harus membuat kesimpulan logis berdasarkan bukti.
3 Mengembangkan observations (atau findings/temuan) and merumuskan rekomendasi
Temuan yang baik memuat empat elemen : kriteria (what should be), kondisi (what is), akibat (effect),
dan sebab (reason the gap).
Rekomendasi berdasarkan temuan dan kesimpulan internal auditor, untuk menutup gap antara kriteria
dan kondisi, kontennya perbaikan atas masalah utama (root cause not sympton) berupa solusi yang jangka
panjang dan secara ekonomi dapat dikerjakan.
Proses komunikasi hasil adalah komponen kritis dalam semua kegiatan internal audit,
komunikasi hasil internal audit harus accurate, objective, clear, concise, constructive, complete, and
timely (IIA Standard 2420 : Quality of Communications).
Tahapan kegiatan komunikasi kegiatan assurance sebagai berikut:
1
Temuan harus di assess melalui proses evaluasi dan eskalasi, selanjutnya menentukan implikasi
temuan dalam komunikasi hasil pada area yang direviu.
Melakukan komunikasi interim dan awal penugasan
Komunikasi oleh internal audit terjadi selama proses penugasan dan tidak hanya terjadi di akhir.
Komunikasi di awal atas permasalahan yang muncul memperkenankan manajemen untuk menyelesaikan
masalah secepatnya sebelum penugasan selesai, yang akan mempengaruhi ruang lingkup dan progress.
Komunikasi memberikan manajemen kesempatan untuk melakukan klarifikasi dan menyampaikan
pemikiran dari sudut pandangnya atas kesimpulan dan rekomendasi tim audit. Komunikasi juga untuk
menghindari multi tafsir karena kata yang tertulis kadang berbeda dengan yang diucapkan.
Mengembangkan komunikasi penugasan akhir
Internal auditor telah siap untuk mengkonsolidasi dan mensintesis semua bukti yang dikumpulkan
selama penugasan. Pengembangan komunikasi akhir termasuk:
Membuat list dan prioritas pengendalian atas temuan dengan mempertimbangkan efektivitas
pengendalian auditee.
Komunikasi penugasan final mengandung tanggapan auditee terhadap kesimpulan, pendapat, dan
rekomendasi tim audit internal. Temuan yang harus dimasukkan dalam formal, komunikasi penugasan akhir
adalah apa-apa yang harus dilaporkan untuk mendukung, atau mencegah kesalahpahaman, atas kesimpulan
tim audit internal dan rekomendasi. Temuan kurang signifikan dapat disampaikan secara informal.
Rekomendasi, yang didasarkan pada temuan dan kesimpulan, adalah tindakan yang diajukan untuk
memperbaiki kondisi yang ada atau meningkatkan operasi yang diusulkan.
5 Melakukan monitoring dan prosedur tindak lanjut (follow up).
IIA Standard 2500: Monioring Progress menyatakan bahwa "Kepala eksekutif Audit harus membangun
dan memelihara sistem untuk memonitor [huruf miring ditambahkan] disposisi hasil dikomunikasikan
kepada manajemen."
Standar 2500.A1 melanjutkan dengan mengatakan bahwa "Kepala eksekutif Audit harus menetapkan
proses tindak lanjut [huruf miring ditambahkan] untuk memantau dan memastikan bahwa tindakan
manajemen telah dilaksanakan secara efektif atau bahwa manajemen senior telah menerima risiko tidak
mengambil tindakan."
Audit internal charter harus mendefinisikan tanggung jawab fungsi audit internal untuk tindak lanjut, dan
CAE harus menentukan sifat, saat, dan lingkup prosedur tindak lanjut yang tepat untuk penugasan
tertentu.
Jika sifat dan ruang lingkup penugasan assurance ditentukan berdasarkan fungsi dari internal audit, maka sifat
dan ruang lingkup penugasan consulting berdasarkan persetujuan dengan pengguna layanan (customer).
Penugasan consulting dalam sifatnya lebih bersifat discretionary (bebas dalam memilih jenis jasa) dibandingkan
penugasan assurance. Jasa consulting termasuk consul, advise, facilitation, and training.
Proses dan tahapan penugasan consultingsama dengan assurance, yang membedakan adalah tidak
semua tahapan assurance diperlukan, dan tahapan dalam consulting dilakukan secara berbeda
dikarenakan tergantung dari sifat penugasannya (consul, advise, facilitation, and training).
Tiga fase utama penugasan yang diatur dalam Standar (Internal Audit) sebagai berikut:
A Planning
IIA Standard 2200 Engagement Planning Internalauditors must develop and document a plan for each
(consulting) engagement, including the engagements objective, scope, timing, and resource allocation.
IIA Standard 2201.C1 Internal auditor must establish an understanding with consulting engagement
(customer) about objective, scope, respective, responsibilies, and other (customer) expectation.
IIA Standard 2220.C1 Internal auditor must ensure that the scope of engagement is sufficien to address
the agreed-upon objectives.
IIA Standard 2240.C1 Work program for consulting engagement may vary in form and content
depending upon the nature of the engagement.
B Performing
IIA Standard 2300 Performing The Engagement Internal auditor must identify, analyze,
evaluate, and document sufficient information to achieve the (consulting) engagements objective.
C Communicating
IIA Standard 2400 Communicating Result Internal Auditor must communicate the result of
(consulting) engegement.
IIA Standard 2410 Criteria for Communicating Communications must include the engagements
objective and scope as well as applicable conclusion, recommendations, and action plans.
IIA Standard 2410.C1 Communication of the progress and result of consulting engagement will vary in
form and content depending upon the nature of the engagement and the needs of the (customer).
BAB 13
Conducting the Assurance Engagement
Engagement terdapat dalam internal audit plan karena risiko inheren ditemukan saat prosessbusiness
riskassessment , dideteksinya risiko pada area yang diaudit terakhir kali, dan faktor lain yang relevan.
Permintaan / compliance requirement
Untuk mengevaluasi sistem internal kontrol organisasi untuk tujuan pelaporan eksternal. Internal
auditor harus memastikan bahnwa engagement didesain untuk menguji area yang tercakup dalam underlying
regulations.
Post mortem / pasca kejadian
Menentukan apakah suatu proses efektif atau tidak. Internal auditor harus menyesuaikan pengujian
dan evaluasi pada suatu event spesifik yang terjadi.
Perubahan yang signifikan
Perubahan bisnis atau industri memerlukan modifikasi proses yang cepat dan manajemen
menginginkan validasi yang cepat bahwa modifikasi tersebut didesain secara tepat menyesuaiakn perubahan.
Fungsi Internal auditor dapat melakukan audit conrtrol-focused secara penuh atau fokus hanya pada kontrol
yang berubah.
Segera setelah suatu alasan engagement disepakati, tujuan engagement formal harus disusun :
- Biasanya diinyatakan dalam laporan final assurance engagement.
- Apabila dinyatakan dalam cara lain, harus jelas menyebutkan assurance apa yang disediakan dalam
engagement.
C Lingkup Engagement
Merupakan apa yang termasuk atau yang tidak termasuk dalam engagement). Segera setelah tujuan
engagement disusun, lingkup engagement harus ditentukan.
Lingkup engagement :
II MEMAHAMI AUDITEE
A Menentukan Tujuan-Tujuan dari Auditee
Memahami suatu proses dimulai dengan menentukan tujuan dari proses utama. Tujuan pada level
proses (prosses level) dapat dijelaskan sbb :
1
Tujuan operasi
- Tipe tujuan yang paling umum tujuan pada proses level.
- Bisanya menentukan latar belakang mengapa proses itu ada.
- Biasanya merupakan tata kelola atau task-oriented.
- Sebagai hasil, kebanyakan fokus pada keakuratan, ketepatan waktu, kelengkapan, ataau atribut kontrol.
- Tambahan, biasanya fokus pada menjamin efektifitas dan efisiensi operasi dan pengamanan aset.
Didesain untuk memenuhi kebutuhan pelaporan organisasi, baik internal maupun eksternal.
Tujuan kepatuhan (Compliance objectives) pada level proses
Berhubungan dengan kepatuhan terhadap undang-undang dan peraturan eksternal, kebijakan internal,
atau kontrak.
Tujuan strategis pada level proses
4
5
B Mengumpulkan Informasi
1 Jenis dan sumber informasi yang relevan.
Titik awal untuk memahami suatu proses adalah mereview dokumentasi yang ada. Contoh :
assessment kontrol level entitas ketika merencanakan individual engagement untuk menjamin
pendekatan penguianya relevan dan efisien
Proses map berguna pada level bisnis, seddangkan flowchart dan hybrid documentation pada detail
proses.
2 Flowchart mencakup tambahan informasi, biasanya menggambarkan sistem komputer dan aplikasi, alur
dokumen, detail risiko dan pengendalian, langkah manual atau otomatis, waktu yang dibutuhkan daalam
proses, pelaksana langkah kunci, dan informasi tambahan lain yang dibutuhkan untuk membantu pereviu
memahami proses dan alurnya.
High-level flowchart :
Menggambarkan luasnya input, tugas, alur kerja, dan output.
Membantu pereviu memahami keseluruhan proses, sistem, laporan, dan hubunganya dengan proses dan
subproses lain.
Biasanya digambarkan seperti process map, dengan informasi yang ditambahkan.
Detailed Flowchart :
Mendokumentasikan secara lebih spesifik input, tugas, actions, sistem, keputusan, dan output.
Contoh, dapat memasukan semua atau beberapa informasi berikut :Key risk, key control,
indiviudal/position performing, timing, elapsed time.
Narrative memoranda Memberikan informasi tentang alur proses hanya menggunakan kata tulis. Biasanya
digabungkan dengan flowchart untuk membuat dokumentasi bentuk hybrid.
Sebelum memulai proses risk assessment formal, penting untuk mengevaluasi potensi skenario fraud
dalam proses, yang meliputi 3 langkah :
1
2
3
III
IDENTIFY AND ASSESS RISKS
A Mengidentifikasi Skenario Risiko Pada Level Proses
Tujuan: menjawab pertanyaan What can happen that would prevent the achievement of each
process-level objective?
Langkahnya:
1
2
3
Pendekatan optimal dalam menentukan risiko tergantung pada budaya dan risk language
organisasi. Suatu pendekatan yang umum dan efektif untuk menentukan risiko adalah menggunakan
cause and effecttprotocol. Dengan pendekatan ini, risiko dimulai dengan cause dan dilanjutkan ke
efffect.
Setelah risiko ditentukan, risiko tersebut harus dihubungkan dengan tujuan pada level proses
untuk menjamin terdapat hubungan antara tiap risiko dan tujuan tersebut.
Tugas terakhir adalah memvalidasi definisi speak the leanguge pegawai pada level proses.
Internal auditor harus mensharing dan mendiskusikan definisi risiko dengan managemen pada level
proses dan pegawai untuk memvalidasi bahwa daftar risiko tersebut telah lengkap dan definisinya
sesuai.
Ketika risiko telah diidentifikasi dan ditetapkan, auditor kemudian siap untuk melakukan risk
assessment. Tujuan melakukan evaluasi ini adalah untuk membantu mengidentifikasi risiko yang
mempunyai efek paling besar pada pencapaian tujuan.
Langkah yang dilakukan dalam melakukan risk assessment
1
2
3
Menetapkan impact dari berbagai outcome yang terkait dengan masing-masing risiko.
Memperkirakan keterjadian bahwa setiap dampak risiko akan terjadi.
Menggabungkan penilaian dari impactdan tingkat keterjadian menjadi penilaian risiko tunggal.
Nomer 9 dan 8 menunjukkan risiko tinggi, nomor 5,6,7, menunjukkan risiko sedang, nomor 1,2,3,4
menunjukkan risiko rendah.
Risk tolerance Tingkatan atas ukuran dan jenis risiko yang dapat diterima manajemen dalam usaha
pencapaian tujuan, yang harus sejalan dengan risk apetite organisasi.
Langkah-langkah untuk memahami tingkatan risk tolerance suatu manajemen :
1
Risiko menggambarkan jarak atas kemungkinan hasil. Sedangkan hasil biasanya diukur secara
financial, mungkin ada juga risiko lainnya yang tidak terungkap dengan pengukuran keuangan.
Memahami tingkat toleransi yang ditetapkan.
Setiap tingkatan toleransi terlihat dari pengukuran pada dokumentasi KPI, capaian kinerja individu,
dan komunikasi lainnya.
Menilai level toleransi atas hasil yang belum ditetapkan.
Key control sebuah aktifitas yang dirancang untuk mengurangi risiko terkait dengan tujuan bisnis
yang penting. Untuk melakukan hal ini, sangat penting untuk memahami berbagai macam tipe control yang
mungkin saja merupakan key control pada tingkatan proses yang dijalankan. Beberapa contoh control yang
telah dijalankan :
1
2
3
4
5
6
7
8
9
1
2
3
4
5
6
Internal auditor harus memiliki pemahama yang jelas mengenai proses pencapaian tujuan.
Konsekuensi dari kurangnya control harus dievaluasi.
Control tambahan harus dilakukan apabila ada indikasi kegiatan tidak dijalankan sesuai key control.
Efek dari suatu control terhadap control lainnya harus dipertimbangkan.
Dampak dari control entitas juga harus dipertimbangkan.
Control yang berlebihan,atau sesuatu yang tidak efektif harus diubah atau dihilangkan.
Menetapkan apakah key control dirancang dengan cukup untuk mengurangi risiko individual dari
sebuah proses menjadi risiko yang diterima. Gap yang teridentifikasi harus didiskusikan dengan
manajemen.
Evaluasi kecukupan rencana pengendalian :
1
2
3
Digunakan untuk mengumpulkan kecukupan bukti yang sesuai untuk mendukung evaluasi dari
VII
1
2
3
4
Work program sebuah dokumen yang berisi rincian prosedur yang arus diikuti selama
pemeriksaan, didesain untuk mencapai tujuan pemeriksaan.
Work program ini dapat memiliki bentuk yang berbeda, antara lain :
Standar template atau checklist yang menuntun internal auditor mempersiapkan untuk mendokumentasikan
pelaksanaan langkah yang sesuai rencana.
Sebuah memorandum yang berisi ringkasan penyelesaian tugas.
Kolom tambahan pada matriks risiko dan control bila auditor ingin semua hal yang ditemukan dalam dokumen
akan disajikan.
Kombinasi dari ketiganya.
Format tersebut akan bervariasi dari fungsi internal audit yang satu dengan fungsi internal audit
lainnya. Hal ini berarti ada beberapa cara untuk :
1
2
3
4
VIII
Memastikan seluruh tim pemeriksa memahami apa yang telah dilakukan dan apa yang masih harus dilakukan.
Melakukan komunikasi mengenai siaoa yang bertanggungjawab melaksanakan setiap tugas pemeriksaan.
Mendapatkan catatan dari tugas yang telah diselesaikan.
Memfasilitasi reviu oleh manajer pemeriksaan atau direktur yang melakukan pengawasan datau direktur selama
proses rencana pemeriksaan.
1
2
3
Sumber daya pemeriksaan antara lain : auditor internal, orang lain (internal/eksternal), alat
transportasi, teknologi, dan lain lain.
Langkah terakhir dalam merencanakan pemeriksaan adalah menetapkan sumber daya yang
dibutuhkan dengan benar untuk melaksanakan tugas yang direncanakan. Langkah tersebut adalah :
Pada bagian ini adalah transisi dari tahap perencanaa kepada tahap pelaksanaan.
Langkah yang dilakukan auditor : menerapkan prosedur audit khusus untuk mendapatkan bukti; dan
mendokumentasikan prosedur yang dilaksanakan dan hasilnya dari pelaksanaan prosedur tersebut
2
3
4
BAB 14
I COMMUNICATION
1 Mengapa mengkomunikasikan assurance engagement outcomes itu penting?
2 Mengidentifikasikan perbedaan bentuk-bentuk dari assurance engagement communication.
3 Mengidentifikasikan langkan-langkah yang dilakukan untuk membuat suatu assurance engagement
communication yang efektif.
4 Memahami proses distribusi untuk secara efektif mengkomunikasikan hasil assurance engagement.
5 Memahamiapa yang dibutuhkan untukmelakukan monitoringyang efektifdan tindak lanjutpada hasil assurance
engagement.
6 Internal Audit (IA) independent = objective assurance + consulting add value + improve org. operation.
7 IA membantu organisasi untuk mencapai tujuan-tujuannya dengan melakukan suatu pendekatan yang sistematis
dan berdisiplin untuk mengevaluasi dan meningkatkan efektivitas dari risk management, control, dan governance
process.
8 Tipe engagement: Assurance dan consulting services.
9 Apa itu assurance services?
Assurance suatu pemeriksaan yang objektif dari bukti-bukti dengan tujuan untuk menyediakan suatu
penilaian yang independen pada proses governance, risk management, dan control untuk organisasi. Misalnya:
assurance pada kinerja keuangan, ketaatan pada aturan, sistem keamanan, atau uji kelayakan suatu engagement.
10 Assurance services objective bukti2 penilaian independen gov, RM, control organisasi.
11 Fase-fase yang fundamental dalam proses assurance engagement.
12 Plan perform communicate
II MENGAPA DIKOMUNIKASIKAN?
A Standard 2060 Pelaporan kepada Senior Management (SM) dan Board
CAE puya kewajiban untuk melapor secara periodik kepada SM dan board mengenai tujuan, otoritas,
tanggung jawab, dan kinerja aktivitas internal audit jika dibandingkan dengan perencanaannya.
B Pelaporan di atas harus juga termasuk memaparkan risiko-risiko yang signifikan dan permasalahan-permasalahan
dalam control, termasuk risiko fraud, permasalahan pada governance, dan hal-hal penting lain yang dibutuhkan
atau memang diminta oleh SM dan Board.
ation
ss
tiality
ty
Authoriz
Validity
Accuracy
Timeline
Confiden
Integrity
Availabili
B Pelaksanaan
1 Lakukan tes untuk mengumpulkan bukti.
2 Evaluasi bukti yang terkumpul & peroleh simpulan.
3 Kembangkan observasi & rumuskan rekomendasi.
C Komunikasi
1 Lakukan evaluasi observasi & proses eskalasi.
2 Lakukan interim &preliminary engagement communication.
3 Kembangkan final engagement communication.
4 Distribusikan formal & informal final communications.
5 Lakukan prosedur monitoring & tindak lanjut.
Material observation
Significant observation
Insignificant observation
Mengidentifikasikan bahwa sebuah kontrol jauh dari likelihood/kemungkinan untuk gagal dan impact
kegagalannya sepele.
Mengidentifikasikan bahwa sebuah kontrol cukup dekat (more than remote) dari
likelihood/kemungkinan untuk gagal dan impact kegagalannya juga cukup berpengaruh pada organisasi
(more than trivial).
Mengidentifikasikan bahwa sebuah kontrol cukup dekat (more than remote) dari
likelihood/kemungkinan untuk gagal dan impact kegagalannya melebihi ambang pintu materialitas.
Pendokumentasian
Elemen yang diobservasi :
a Kriteria what should exist?
b Conditionwhat does exist?
c
d
G Komunikasi
IA communication dilakukan selama engagement berlangsung. Komunikasi yang tepat waktu membuat
permasalahan/hambatan/penyimpangan/dll bisa ditemukan dan diselesaikan lebih cepat.
Tim
IA
harus
memberikan
kesempatan
pada
manajemen
untuk
menjelaskan
permasalahan/hambatan/penyimpangan/dll. yang terjadi dan curhat serta mengkomunikasikan apa yang ada di
pikiran mereka mengenai simpulan dan rekomendasi tim audit.
Final assurance engagement communications memastikan fungsi internal audit memenuhi kewajibab sbb:
1 Komunikasi tepat waktu
2 Dokumentasikan ruang lingkup, simpulan, observasi, rekomendasi, dan hasil dari management action plans
of an engagement.
3 Simpan permanent record dari pekerjaan yang telah IA lakukan.
Fungsi Internal Audit akan menggunakan informasi yang dikumpulkan selama proses komunikasi
interim untuk memfinalisasi pengamatan/observasi dan pada akhirnya akan menuju ke komunikasi final
serta untuk memformalkan action plan dari manajemen ke dalam simpulan komunikasi final.
Fungsi Internal Audit juga harus memberikan penegasan pada preliminary fact dan
konklusi/simpulan dengan perwakilan manajemen yang tepat pada area yang telah dicakup dalam
engagement sebelum didistribusikan ke dalam bentuk finalnya. Hal ini dapat dilakukan dengan berbagai
cara, tetapi secara umum dilakukan melalui formal meeting dengan manajemen yang selanjutnya disebut
dengan exit interview atau closing conference, diikuti dengan penyusunan draft final communication seperti
apapun bentuknya.
VI FINAL COMMUNICATION
Merupakan sarana dengan mana fungsi internal audit menginformasikan interested parties atau hasil
engagements.
Assurance Engagement
Consulting Engagement
Melibatkan 3 pihak:
Melibatkan 2 pihak:
1 Orang/kelompok yang terlibat langsung dengan
1 Orang/kelompok yang mencari dan menerima
proses, sistem, atau subjek penting lain (auditee)
advice (customer)
2 Orang/kelompok yang membuat independent
2 Orang/kelompok yang menawarkan jasa
assessment (fungsi Internal Audit)
advice/saran (fungsi Internal Audit)
3 Orang/kelompok yang bergantung pada independent
assessment (user)
A Final assurance engagement communication memastikan fungsi Internal Audit memenuhi kewajiban
berikut ini:
1 Berkomunikasi tepat pada waktunya berkaitan dengan informasi kepada manajemen mengenai defisiensi
dalam pengendalian (lack of design adequacy atau efektifitas operasi), kekuatan dalam pengendalian,
kesempatan untuk maximize penggunaan sumber daya atau mengurangi costs dan area dalam peningkatan
produktivitas atau efisiensi.
2 Mendokumentasikan ruang lingkup, kesimpulan, observasi, rekomendasi, dan menghasilkan action plan
manajemen ke dalam sebuah engagement.
3 Menyimpan permanent record dari pekerjaan yang dilakukan selama engagement dan hasil dari engagement
yang disusun.
B Well-designed final communication harus meliputi:
1 Purpose and scope of engagement
Merupakan tujuan dan ruang lingkup dari engagement (apa saja yang dimasukkan dan tidak
dimasukkan ke dalam sebuah engagement).
2 Time frame covered by the engagement
Periode operasi yang dilingkupi dalam engagement scope
1 Observasi sesuai kebutuhan evaluasi dan eskalasi proses
2 Engagement conclusion dan rating (jika aplikabel)
Conclusion merupakan internal audit function dalam kecukupan desain dan pengoperasian efektivitas subjek
pengendalian dalam audit.
Rating system ada 2 yaitu positive assurance (rating atau konklusi dari internal auditor yang menghasilkan
spesifik assurance tentang engagement) dan negatice assurance (nothing negative has come to the internal
auditors attention).
3 Managements action plan to appropriately address reported observations (jika aplikabel)
4 Jenis laporan dari tim audit:
1 Laporan dengan kritikan yang tinggi, banyak tindakan remedial & signifikan yang direkomendasikan oleh
tim.
2 Laporan yang menyebutkan defisiensi yang perlu dikoreksi, tetapi perubahannya tidak terlalu signifikan.
3 Laporan yang secara efektif yang mengidentifikasikan beberapa kesempatan untuk upaya improvement.
VII
Penerima formal assurance engagement communication adalah senior management, komite audit,
auditor eksternal independen, dan/atau auditee management. Formal communications ini
mengindikasikan bahwa pengendalian yang dievaluasi selama assurance engagement di-assess to be
insignificantly compromised tapi key controls affected, significantly compromised, dan materially
compromised.
Informal communications merupakan komunikasi mengenai insignificant observations
berhubungan dengan secondary control yang mungkin dikompromisasikan.
A Kualitas Komunikasi
3
4
5
6
7
Jika final communications mengandung error atau omission, chief audit executive harus
mengkomunikasikan informasi yang telah dikoreksi kepada seluruh pihak terkait yang menerima
informasi tersebut. Error merupakan pernyataan salah yang tidak disengaja (unintentionally
misstatement) atau kelalaian atas informasi signifikan dalam final engagement communication.
VIII
Monitoring dan follow-up procedur didesain untuk memastikan observasi telah ditujukan dan
diputuskan dalam cara yang konsisten dengan respon manajemen yang telah dimuat dalam final engagement
communication. Proses Follow-up dibangun untuk memonitor dan memastikan bahwa aksi manajemen telah
secara efektif diimplementasikan atau senior manajemen telah menerima risiko untuk tidak melakukan aksi.
Timing dalam follow-up tergantung pada pentingnya observasi (Insignificant, significant, atau material)
yang ditentukan selama evaluasi dan eskalasi observasi.
Consulting Engagement mempunyai potensi besar dalam memberikan nilai tambah dalam sistem
pengendalian internal organisasi. Juga dapat memberi pandangan ke depan daripada hanya menilai
sesuatu yang sudah lewat. Kebijakan, prosedur, dan proses yang baru harus terus dikembangkan
untuk pengendalian organisasi dengan tetap mempertimbangkan efisiensi.
Internal auditor dengan kapasitas konsultan mengetahui nilai dari organisasi dan memberikan
pandangan pada tahap awal proyek/kegiatan. contohnya sikap due diligence dari internal auditor
yang memberikan pandangan yang sangat berharga pada saat akuisisi perusahaan. Fungsi internal
audit dapat melihat organisasi secara mendalam dan dapat memberikan pandangan pada seluruh
sistem pengendalian internal organisasi.
Pada beberapa organisasi, fungsi internal audit merupakan bagian dari proses
internal
whistleblower. Ini merupakan peluang dalam menyediakan jasa konsultasi. Contohnya, ada telpon
yang menyatakan bahwa ada fraud terjadi pada bagian utang, kemudian internal audit dapat
mengerahkan sumber daya untuk melakukan investigasi. Di beberapa organisasi bagian utang
dianggap bagian yang berisiko rendah, jadi setelah investigasi selesai internal audit dapat merubah
peringkat risiko dari bagian utang.
David Richard, mantan Presiden The IIA, telah lama sebagai pengacara dari jasa konsultasi internal
audit. Saat beliau sebagai CAE di First Energy, beliau berkata:
Bagi beberapa internal auditor konsep dari konsultasi dan audit merupakan hal yang bertentangan
karena mereka melihat bahwa konsultasi membuat auditor terlalu dekat dengan customer dan
berpotensi untuk berkompromi dengan keindepenannya sebagai auditor. Sebenarnya konsultasi
merupakan bagian dari internal auditor saat tahun... Definisi internal audit memiliki fokus yaitu jasa
assurance dan consulting. Jadi sudah jelas bahwa internal auditor dapat menambah nilai organisasi
dari jasa konsultasi dengan menyediakan metodologi, fasilitasi, fokus, pengetahuan, teknologi, best
practice, dan independensi yang dapat membantu memecahkan masalah customer.
Dalam penomoran pada standar, assurance engagement dapat diidentifikasi dengan huruf A
setelah nomor (contoh : Standard 1130.A1) dan konsultasi dengan huruf C (contoh: Standar
1130.C1)
Dari segi tujuan assurance engagement bertujuan untuk menyediakan penilaian independen,
consulting engagement bertujuan memberikan saran, pendidikan, jasa fasilitasi dan memberiakn
pandangan dalam melihat peluang.
Dari segi pelaporan, assurance engagement formatnya relatif standar dan terstruktur sedangkan
consulting engagement lebih bervariasi (bisa formal dan informal).
Jenis Jasa Konsultasi:
Advisory
Kebanyakan jasa konsultasi adalah untuk memberikan saran. Saat organisasi ingin melakukan perubahan,
seperti pengurangan staf atau perubahan proses bisnis, biasanya fungsi internal audit dipanggil untuk memberikan
pandangan. contoh advisory:
- Saran tentang rancangan pengendalian
- Saran dalam pengembangan kebijakan dan prosedur
- Berartisipasi dan memberikan saran dalam proyek yang berisiko tinggi
Educational
Internal audit memiliki pengetahuan yang spesifik tentang area2 yang penting di organisasi. Karena jasa
assurance, internal auditor memiliki pemahaman yang spesifik mengenai peraturan, risk assesment, mitigasi risiko,
desain pengendalian, best practice, dll.
Contoh educational:
- Training manajemen risikod dan pengendalian internal
- Benchmarking
- Analisis postmortem (mempelajari proyek/kegiatan yang sudah selesai)
Facilitative
Fasilitasi mengharuskan fungsi internal audit lebih terlibat dalam aktivitas organisasi darpada sekedar
memberikan pengetahuan. contohnya adalah memfasiilitasi control self assesment (CSA). Contoh fasilitasi:
- Fasilitasi proses risk assement
Blended Engagement
Merupakan kontrak campuran antara consulting dan assurance. Internal auditor harus lebih hati-hati
karena ada kemungkinan lebih berkompromi dengan independensi. Namun meskipun kontraknya satu,
hasil atau outcomenya terpisah karena tujuan dan lingkupnya beda.
Contoh blended engagement:
Fungsi internal audit memiliki sumber daya yang terbatas, jadi tidak semua permintaan jasa
konsultasi dapat terlayani, dipilih berdasarkan besarnya risiko atau peluang.
Jenis-jenis permintaan jasa konsultasi yang potensial:
1. Kontrak yang diajukan saat proses penilaian risiko dan apabila teridentifikasi merupakan prioritas
maka akan dimasukkan dalam rencana audit tahunan
2. Kontrak yang spesifik dari manajemen (contoh: investigasi fraud, proyek, komite ad hoc, reviu
prosedur baru)
3. Kondisi baru atau ada perubahan yang memerlukan perhatian internal audit>> merupakan peluang
bagi internal audit untuk menambah nilai dengan memberikan pandangan pada organisasi tentang area
yang akan mengalami perubahan secara signifikan