Pendekatan Audit

8/17/2019 Pendekatan Audit

1/176

INTERNAL AUDITING

“PENDEKATAN AUDIT”

DISUSUN OLEH :

KELOMPOK 7

ELVIA NURHIDAYAH (12030113120012)

DILLA ZHAFARINA (12030113120055)

CHUSWATUL CHASANAH (12030113120097)

SITI AISYAH FITRIA ()12030113120115

FAKULTAS EKONOMIKA DAN BISNIS

UNUVERSITAS DIPONEGOR

2016


2/176

PENDEKATAN AUDIT

Pengantar

Audit internal dapat dilakukan dalam berbagai cara dan ada berbagai model yang dapat

diterapkan untuk pemakaian peran audit.Organisasi akan menentukan kebutuhan audit dan ini akan

membantu untuk menetapkan jenis jasa audit yang disediakan. CAE kemudian didakwa dengan

menyediakan layanan ini dengan standar audit profesional. Bab ini membahas beberapa pendekatan yang

berbeda dan cara yang mereka berhubungan dengan peran audit internal. Perkembangan audit internal,

sebagai profesi, didasarkan pada premis bahwa praktek audit internal adalah subjek disiplin didefinisikan

standar profesional. Pada saat yang sama, jelas bahwa ada banyak variasi dalam cara peran audit habis. Ini

hasil dari pendekatan yang berbeda dan, dalam beberapa kasus, interpretasi yang berbeda dari prinsip-

prinsip yang mendasari, meskipun berbagai hal berdasarkan audit tidak berarti bahwa tidak ada yang jelas

disiplin audit internal. Hal ini tidak hanya masuk akal pekerjaan yang setiap orang terlatih dapat

melakukan. Apa yang terbukti adalah cara bahwa peran audit habis akan bervariasi sesuai dengan

ketentuan yang disepakati acuan (atau audit charter). Ragam menciptakan kekayaan dan derajatfleksibilitas dalam jenis pekerjaan audit yang dilakukan. Dalam banyak kasus departemen audit akan berisi

berbagai jenis auditor yang secara kolektif debit fungsi audit. Audit internal adalah tentang evaluasi

manajemen risiko dan pengendalian internal dan ini harus menjadi tema sentral dalam kebanyakan

pekerjaan audit.

Sistem Audit

Hal ini dipandang oleh beberapa sebagai cara utama di mana peran audit harus dibuang karena

harus melibatkan sistem pengendalian internal mengevaluasi. Idenya adalah bahwa sistem yang dipelajari

untuk menilai apakah mereka cukup dikendalikan sehingga tujuan manajerial dapat dicapai. Sebelum

pendapat dapat ditentukan, maka perlu untuk menguji operasi pengendalian dan sejauh mana kelemahanberdampak pada produk akhir. Tes-tes ini mungkin termasuk vouching, verifikasi dan bermacam-macam

pemeriksaan dan rutinitas konfirmasi, titik adalah bahwa vouching sini digunakan sebagai teknik untuk

membantu evaluasi kontrol, yang bertentangan dengan hasil menjadi tujuan pada dirinya sendiri. Dengan

cara ini, penekanannya bukan pada melakukan rangkaian tanpa akhir tes tapi lebih pada meninjau sistem

dan tujuan utamanya. Kita mulai dengan pendekatan standar dalam kedok audit berbasis sistem

(SBA).Konteks baru adalah untuk mengarahkan sumber daya audit pada sistem tata kelola perusahaan,

manajemen risiko dan pengendalian.Pengendalian risiko self-assessment (CRSA) telah digunakan oleh

banyak auditor internal sebagai cara untuk mendapatkan tim kerja untuk mengidentifikasi dan mengelola

risiko utama mereka dan material di CRSA dilengkapi dengan penjelasan singkat keterampilan fasilitasi,

sebagai prasyarat untuk melakukan lokakarya CRS. Kami juga mencakup penipuan dan investigasi lainnya,

IS (sistem informasi) audit dan pendekatan konsultasi untuk bekerja sebagai pengakuan atas arah baruyang auditor internal mengambil. Teknologi bergerak sangat cepat dan Dan Swanson telah memberikan

beberapa kontribusi yang berguna untuk Internal Audit Handbook dengan maksud untuk memperbarui

cakupan IS audit.


3/176

Perhatikan bahwa semua referensi untuk definisi IIA, kode etik, atribut IIA dan standar kinerja,

nasihat praktek dan panduan praktek berhubungan dengan International Praktek Profesional Framework

(IPPF) disiapkan oleh Institute of Internal Auditor pada tahun 2009. Bagian dibahas di sini adalah sebagai

berikut :

7.1 Pendekatan Sistem

7.2 Pengendalian Risiko dan Self-assessment

7.3 Fasilitas Keterampilan

7.4 Integrated Self-assessment dan Audit

7,5 Investigasi Penipuan

7.6 Audit Sistem Informasi

7.7 Kepatuhan

7.8 Nilai untuk uang (VFM), Sosial dan Audit Keuangan

7.9 Pendekatan Consulting

7.10 Struktur 'Kanan'

7.11 erkembangan Baru Ringkasan dan Kesimpulan Tugas dan Pertanyaan Multi-pilihan

7.1. Pendekatan Sistem

Ada banyak cara yang

berbeda yang audit internal

dapat didekati dan beberapa

penyelidikan / transaksi berbasis

sementara yang lain bergerak

menuju pendekatan sistem. Ada

argumen yang paling efisien

penggunaan sumber daya audit

yang terjadi di mana salah satu

berkonsentrasi pada meninjau

sistem yang bertentangan

dengan pemeriksaan transaksi

sistem individu. Manajemen

mungkin ingin menggunakan


4/176

audit internal untuk satu-off latihan pemecahan masalah terutama di mana ada faktor malu potensial jika

masalah ini tidak diselesaikan. Di sisi lain, di mana ulasan sistem tidak dilakukan, maka kerusakan dan

fungsi optimal dapat terjadi. Hal ini menyebabkan transaksi tunggakan. Hal ini dimungkinkan untuk

menggunakan analisis kekuatan-lapangan untuk menimbang faktor-faktor yang bersama-sama

menentukan pendekatan audit aktual yang diterapkan dalam organisasi apapun. Kekuatan ini telah

ditetapkan dalam Gambar 7.1:

Masing-masing faktor akan menerapkan tekanan dalam mendefinisikan cara bahwa peran audit habis dan

beberapa pengaruh mungkin muncul seperti yang ditunjukkan pada Tabel 7.1.

Standar kinerja 2100 - Sifat pekerjaan segi standar profesional, ada beberapa aspek dari suatu

organisasi yang jelas termasuk dalam ruang lingkup pekerjaan audit. Standar Kinerja 2100 berarti bahwa

aktivitas audit internal harus mengevaluasi dan memberikan kontribusi pada peningkatan tata kelola,

manajemen risiko dan pengendalian proses menggunakan pendekatan sistematis dan disiplin. Dalam hal

sistem kerja, Standar Kinerja 2110 meminta bahwa aktivitas audit internal mengevaluasi dan memberikan

kontribusi terhadap peningkatan tata kelola, manajemen risiko dan proses kontrol menggunakan

pendekatan sistematis dan disiplin, sedangkan Standar Kinerja 2120.A1 membuat jelas bahwa aktivitas

audit internal harus mengevaluasi eksposur risiko yang berkaitan dengan organisasi pemerintahan,

operasi dan sistem informasi mengenai:

keandalan dan integritas informasi keuangan dan operasional;

efektivitas dan efisiensi operasi;

Menjaga aset;

kepatuhan terhadap hukum, peraturan, dan kontrak

Sistem ini harus dinilai oleh audit internal sebagai bagian dari peran jaminan. Ada pilihan dalamcara audit internal dilakukan dan meskipun standar profesional yang menetapkan pedoman onceptual,

mereka tidak mempromosikan metodologi tertentu. Pendekatan akhir akan hasil dari kombinasi faktor

yang mempengaruhi peran audit dan pekerjaan yang dihasilkan dilakukan. Premis yang di atasnya

Handbook yang didirikan menganggap sistem berbasis risiko audit sebagai interpretasi yang valid dari

peran jaminan audit internal, dengan semua hal-hal lain yang jatuh di bawah investigasi istilah generik -

yang sebagian besar merupakan bagian dari layanan konsultasi bersama dengan bantuan langsung dan

saran dalam membangun manajemen risiko bisnis. Sistem pendekatan audit internal telah tersedia teknik


5/176

yang sangat kuat untuk melakukan audit, di masa lalu telah menyebabkan perubahan dalam konsep

audit. Ini membutuhkan kebijakan audit yang menekankan pentingnya membangun sistem yang baik

sehingga risiko seperti kegagalan, kesalahan dan penyalahgunaan dapat dihindari di tempat

pertama. Manajemen dibebankan dengan merancang dan memelihara sistem ini dengan saran dari audit

internal. Langkah ini jauh dari kesalahan bercak, dengan lebih menekankan pada mendapatkan sistem

manajemen risiko yang tepat. Sistem audit didasarkan pada teori sistem dan konsep sistem yang lebih

luas.

Fitur Sistem

Sistem berpikir didasarkan pada melihat operasi dan peristiwa sebagai proses dengan arus seperti

yang ditunjukkan pada Gambar 7.2.

GAMBAR 7.2

Mendefinisikan sistem:

Sebuah set objek bersama-sama dengan hubungan antara benda-benda dan atribut merekaterhubung atau terkait satu sama lain sedemikian rupa untuk membentuk keseluruhan atau keseluruhan.

Ada sejumlah konsep yang mendukung teori sistem dan ini mungkin tercantum:

Komponen terhubung Setiap bagian dari sistem memiliki beberapa hubungan dengan bagian lain,

sehingga bersama-sama mereka terdiri sistem di tangan. Misalnya, link dalam rantai terhubung

dengan dua link yang pasangkan ke rantai serta yang terhubung ke link lain dengan posisi relatif

mereka dalam rantai. Setiap link memiliki kedekatan yang berbeda dengan yang lain, tetapi

mereka masih memiliki beberapa jenis hubungan keseluruhan.

Terpengaruh dengan berada di sistem Komponen harus terpengaruh dengan berada di sistem

yang ada beberapa alasan untuk itu harus didefinisikan dengan cara ini. Akan kembali ke rantai,

link harus menjadi bagian dari proses pembentukan keseluruhan dengan link lainnya untuk sistem

untuk eksis. Sebuah link cadang yang tidak terpasang tidak terpengaruh oleh kegiatan rantai dan

jatuh di luar sistem. Perakitan komponen melakukan sesuatu ini membawa ke dalam bermain

konsep penting dari tujuan sistem yang berarti bahwa sistem harus memiliki beberapa tujuan

yang membenarkan keberadaannya. Sebuah rantai sepeda menggerakkan roda sementara rantai

emas dikenakan di leher akan ada terutama untuk ornamen.


6/176

Majelis diidentifikasi sebagai kepentingan khusus. ini adalah bagian yang paling sulit dari konsep

sistem dalam bahwa harus ada alasan yang mendasari mengapa sesuatu telah didefinisikan

sebagai suatu sistem. Sebuah sistem tergantung pada apa yang didefinisikan bukannya konsep

mutlak. Jika kita melihat rantai sepeda sebagai suatu sistem yang terdiri dari link, ini mungkin

karena kita ingin memeriksa sifat-sifatnya sehingga kekuatannya dapat ditingkatkan. Kami

alternatif dapat menentukan sistem yang terdiri dari rantai dan pedal jika kita ingin

mempertimbangkan energi cara ditransfer dari pedal ke roda melalui rantai. Ini mungkin untuk

mencari untuk meningkatkan efisiensi transfer energi ini. Sistem ini dianggap sistem karena kita

ingin hal itu terjadi, yang membawa gagasan itu memiliki minat khusus. Sesuatu menjadi sistem

karena orang melihatnya sebagai suatu sistem. Hal ini telah dibuat jelas oleh para ahli dalam

berpikir sistem: "Kami akan melihat bahwa sangat sering titik paling penting untuk leverage dalam

sistem apapun adalah kepercayaan dari orang-orang di dalamnya, karena itu adalah keyakinan

bahwa mempertahankan sistem seperti itu.

Prinsip-prinsip universal di balik pemikiran sistem dapat diterapkan dalam berbagai situasi dan ada

beberapa fitur kunci:

Sistem terbuka terkait dengan lingkungan dan harus merespon perubahan faktor eksternal yangrelevan sehingga dapat mengoptimalkan proses sistem. Sebuah sistem tertutup Sebaliknya

adalah tetap dan tidak bereaksi terhadap tekanan eksternal.Jadi sistem pemanas sentral mungkin

tetap selama periode waktu tetap dikendalikan oleh timer dan sekali set tetap dalam modus

operasi. Di mana ada kontrol termostat, sistem ini mampu merespon perubahan suhu dan

memberikan layanan yang lebih interaktif. Kontrol adalah bagian dari proses menyesuaikan

sistem untuk memastikan itu selalu mampu memberikan tujuannya didefinisikan.

Sebuah sistem adalah seperangkat komponen yang saling terkait dan gagasan sinergi datang ke

dalam bermain. Hal ini menunjukkan bahwa jumlah keseluruhan lebih besar daripada jumlah

masing-masing komponen individu, yang dinyatakan sebagai:

2

+ 2 = 5

Sinergi dapat dilihat dalam contoh dari serangkaian bagian yang pergi untuk membuat sepeda

motor. Ketika dipreteli, masing-masing bagian adalah komponen tidak berfungsi. Bila disatukan

untuk membentuk sebuah sepeda motor, menjadi sistem transportasi dengan potensi yang jauh

lebih besar dalam hal kemampuan dan wawasan.

Sistem berpikir didasarkan pada ide melihat proses secara keseluruhan, terdiri dari bagian-bagian

terkait. Pandangan holistik ini memungkinkan seseorang untuk memahami operasi rumit dengan

naik di atas setiap aspek tertentu dan mempertimbangkan keseluruhan. Keuntungan utama dari

sistem pemikiran potensi ini untuk bekerja pada tingkat tertinggi dengan melihat operasi sebagai

layanan yang lengkap. Auditor yang mampu membedakan antara tingkat rendah rinci danmasalah materi adalah auditor besok. Melihat sistem sebagai subsistem yang feed ke

dalam 'gambaran besar' adalah keterampilan yang auditor harus memperoleh.

Komponen kunci adalah bagian penting yang penting bagi keberhasilan proses. Perhatian

diarahkan ini akan menjadi nilai lebih dari bagian-bagian yang kurang bahan. Kemampuan untuk

mengisolasi masalah utama yang dihadapi sistem manajerial memiliki dampak yang mendasar

pada audit internal sebagai pekerjaan kami bergerak menuju tingkat yang lebih tinggi dalam


7/176

organisasi.Sebagai contoh, ada banyak kelemahan kontrol yang berasal dari masalah dengan

sistem manajemen sumber daya manusia.Sebagai auditor berlangsung dalam pekerjaan, faktor

ini memungkinkan sumber daya untuk diarahkan pada daerah ini sebagai yang paling efisien

penggunaan waktu audit. Cara sistem HRM antarmuka dengan operasi baris dapat ditangkap

dengan menerapkan sistem pandangan organisasi sebagai kedua link yang kuat dan lemah yang

terisolasi.

Teori lain berasal dari teori sistem adalah bahwa ada kompensasi pengaruh. Ini dapat membuat

untuk kelemahan di tempat lain dalam sistem atau hanya memberikan kontrol tambahan. Sebagai

contoh, sistem keuangan perusahaan yang seharusnya mendukung kontrol anggaran mungkin

buruk dan hanya melaporkan belanja sebenarnya setelah tertunda beberapa bulan.Manajemen

dapat mempertahankan rekor sendiri menghabiskan untuk mendapatkan up-to-date informasi

dari varians anggaran.Sistem kontrol anggaran harus dilihat mencakup kompensasi ini jika itu

harus sepenuhnya dihargai.

Selain komponen kunci, ada daerah sensitif dalam sistem apapun. Rantai ketergantungan berarti

bahwa seluruh proses mungkin berada pada risiko di mana bagian dari link yang lemah atau

rusak. Hanya dengan memahami seluruh sistem yang satu ini mampu mengetahui pengaruhperubahan dalam satu bidang di daerah terkait lainnya. Ini mungkin manfaat terbesar tunggal

untuk bertambah dari mengadopsi pendekatan sistem berbeda dengan melihat operasi dan

kegiatan individu sebagai item diskrit.Pentingnya kontrol dalam sistem telah diakui oleh banyak

orang sebagai contoh menggambarkan: David Blunkett menghadapi tuntutan segar bagi tindakan

mendesak untuk mengakhiri 'skandal' imigran ilegal menyamar sebagai mahasiswa untuk

mendapatkan visa untuk tinggal di Inggris. Tories menyerukan tindakan keras setelah Evening

Standard menemukan bahwa sekolah bahasa tidak bermoral mengambil pembayaran tunai untuk

menempatkan 'siswa' di buku mereka yang benar-benar di sini untuk bekerja secara

ilegal. . .A Penyelidikan Standard menunjukkan bagaimana empat dari lima sekolah mendekati di

London siap untuk mengeluarkan wartawan Republik menyamar sebagai 'murid' dengan sertifikat

pendaftaran - hampir rute yakin-api untuk visa - bahkan ketika diberitahu secara eksplisit bahwadia tidak akan menghadiri kursus. Penyelidikan Standard 's menimbulkan kekhawatiran tentang

sistem imigrasi kita yang kacau. . Kami perlu semacam sistem kontrol untuk menghentikan

perguruan tinggi swasta mengutak-atik sistem.

Semua sistem harus di kontrol untuk bekerja dan kemampuan untuk mengendalikan secara

implisit dalam mekanisme umpan balik: 'Menyeimbangkan umpan balik mencari gol. Semua

sistem telah menyeimbangkan loop umpan balik untuk tetap stabil, sehingga semua sistem

memiliki tujuan - bahkan jika itu hanya untuk tetap seperti mereka. . . Oleh karena itu Sebuah

sistem membutuhkan cara untuk mengukur, jika tidak maka tidak bisa membedakan antara mana

itu dan di mana seharusnya. "3

Kita beralih ke isu hubungan dan

sistem tua / anak yang antarmuka

dengan kegiatan yang kita

pertimbangkan. Kembali ke contoh kita

dari sepeda motor, sistem terkait telah

diilustrasikan dalam Gambar 7.3


8/176

Pembalap dan sepeda dapat dilihat sebagai sistem utama yang kemudian feed ke dalam sistem

hubungan seperti jalan, bahan bakar dan tujuan. Ada jumlah tak terbatas kombinasi sistem yang dapat

diterapkan tergantung pada persepsi seseorang. Sebuah hal audit referensi harus menyatakan secara jelas

di mana sistem dikaji berhenti dan mulai. Kita perlu menetapkan titik cut-off konseptual sebagai contoh

motor dapat diperluas untuk mencakup pemeliharaan, manufaktur, pembersihan, peta jalan, izin

mengemudi dan VFM.

Sistem Berpikir Umum

Sebuah penyebutan singkat

dari teori sistem dan gambaran dari

metodologi ini muncul pada Gambar

7.4. Beberapa penjelasan yang

disediakan di bawah:

1. Sistematis. Proses menggunakan

metodologi yang jelas diterapkan di

SBA dengan menggunakan

metodologi yang ditetapkan untuk

perencanaan, maju audit, dan

kemudian mengeluarkan laporan

audit

2.

Sistemik. Ini menggunakan teori

sistem diterapkan dengan cara bidang

audit dipandang sebagai serangkaian

sistem dan sistem hubungan.

3.

Sistem subjektif. Berikut

penggunaan batas set sistem untuk menentukan sistem dikaji adalah sesuatuyang auditor harus berlaku untuk memberikan gambaran yang disepakati apa

yang akan dikenakan audit.

4. Sistem induk, sistem utama dan subsistem. Apresiasi hubungan sistem secara hirarkis dan

sebagai bagian dari sistem yang terkait memberikan wawasan ke dalam cara kegiatan saling

melengkapi satu sama lain.

5.

Manajerial, operasional dan fungsional. Terjemahan dari sistem ke tingkat organisasi dan

jenis memberikan awal untuk memutuskan bagaimana untuk memecah organisasi untuk

tujuan audit.

Entropi

Hal ini dapat dilihat sebagai gangguan, disorganisasi, kurangnya pola atau keacakan organisasi

sistem. Sebuah sistem tertutup cenderung meningkat dalam entropi dari waktu ke waktu dalam hal itu

akan bergerak menuju kekacauan yang lebih besar dan keacakan. Entropi memberikan pembenaran untuk

peran audit sistem memecah dan kontrol memburuk dari waktu ke waktu kecuali mereka ditinjau dan

dibuat untuk mengikuti perubahan risiko. Kecenderungan untuk menghapus tingkat manajemen untuk

mencapai pengurangan anggaran mungkin memiliki dampak yang besar pada sistem dikendalikan melalui

ulasan pengawasan oleh garis dan manajemen menengah. Saldo kontrol harus mengubah dengan


9/176

restrukturisasi. Jika tidak, ketidakseimbangan menjadi bagian dari entropi keseluruhan di mana

penurunan kontrol merusak fungsi sukses dari sistem. Sistem ini dirancang untuk memastikan tujuan yang

dicapai dalam cara yang terbaik dan telah dikatakan bahwa 'sistem pemikiran adalah cara kita dapat

membedakan beberapa aturan, beberapa rasa pola dan acara, jadi kita bisa mempersiapkan diri untuk

masa depan dan mendapatkan beberapa pengaruh lebih.

Sistem Audit

Kita dapat menggunakan prinsip-prinsip sistem berpikir untuk melakukan audit sistem. Kami

terutama prihatin tentang pengaturan untuk mempengaruhi empat eksposur risiko utama yang jatuh

dalam lingkup Kinerja audit internal Standard 2110.A1:

Keandalan dan integritas informasi keuangan dan operasional

Efektivitas dan efisiensi operasi

Pengamanan aset

Kepatuhan terhadap hukum, peraturan dan kontrak.

Kami prihatin dengan meninjau dan kemudian menasihati manajemen pada sistem mereka kontrol

internal yang melepaskan empat tujuan tersebut. Jadi kegiatan harus dilakukan dengan memperhatikan

kepatuhan terhadap hukum dan prosedur dan fitur ini harus dibangun ke dalam sistem. Sistem kontrol

akan berlangganan fitur kontrol kunci ini, berbeda dengan orang-orang yang beresiko. Ada satu masalah

yang melekat dalam Standar Kinerja 2060 yang meliputi baris berikut:

Eksekutif Audit Kepala harus melaporkan secara berkala kepada manajemen senior dan dewan

pada tujuan kegiatan audit internal, wewenang, tanggung jawab, dan kinerja relatif terhadap

rencana. Pelaporan juga harus mencakup eksposur risiko signifikan dan masalah pengendalian,

termasuk risiko penipuan, isu-isu pemerintahan, dan hal-hal lain yang diperlukan atau diminta

oleh manajemen senior dan papan.

Masalahnya berasal dari mencoba untuk mengambil pandangan tentang manajemen risiko di seluruh

organisasi ketika kita hanya memiliki hasil audit individu di tangan. Joseph O'Connor dan Ian McDermott

memperingatkan terhadap pendekatan silo untuk melihat sistem: 'Sistem memiliki sifat yang muncul yang

tidak ditemukan di bagian mereka. Anda tidak dapat memprediksi sifat-sifat dari sistem yang lengkap

dengan mengambil itu untuk potong dan menganalisis parts.'5 nya

Transaksi Pendekatan

Sistem ini dirancang untuk memproses transaksi dan audit internal berkaitan dengan kontrol yangmemastikan tujuan sistem terpenuhi.Di mana hal ini tidak terjadi, sistem menghasilkan transaksi

tunggakan yang melanggar salah satu atau lebih dari empat daerah kontrol utama. Sebuah pendekatan

audit yang mengabaikan sistem tetapi berusaha untuk mengidentifikasi transaksi tunggakan dapat dilihat

sebagai audit transaksi berbasis. Kunjungan kejujuran, penyelidikan penipuan, program pengujian

kepatuhan, tempat pemeriksaan dan ulasan VFM efisiensi mungkin didasarkan pada pendekatan

transaksi. Setiap pekerjaan audit yang tidak termasuk penilaian risiko dan evaluasi dan pengujian kontrol


10/176

tidak dapat sistem audit. Sistem audit

bergantung pada beberapa pengujian

meskipun ini secara alami mengalir dari ulasan

kontrol ditunjukkan pada Gambar 7.5.

Sebagai contoh, tim audit dapat

digunakan untuk mengikuti kendaraan

perusahaan untuk melihat apakah mereka

sedang digunakan pada bisnis resmi. Ini

menampilkan kepatuhan terhadap

pendekatan transaksi berbasis, karena

pendekatan sistem akan berusaha untuk mempertimbangkan kontrol yang harus di tempat untuk

memastikan bahwa kendaraan yang digunakan hanya untuk tujuan bisnis. Kita mungkin ingin mengamati

beberapa kendaraan selama audit tetapi ini akan memeriksa cara kontrol ini beroperasi dan bukan sebagai

audit dalam dirinya sendiri. Audit sistem dari sistem pembayaran akan berusaha untuk mengisolasi dan

meninjau kontrol atas proses penyusunan faktur dan membayar pemasok. Pendekatan transaksi

memeriksa sampel dari pembayaran untuk melihat apakah mereka benar dan tepat tanpa mengomentari

kontrol yang mendasari. Prinsip utama adalah bahwa sistem audit dimulai dari atas (kontrol ditetapkanoleh manajemen), berbeda dengan pendekatan transaksi yang dimulai di bagian bawah (hasil akhir

pengolahan transaksi).

Tahapan Sistem berbasis Risiko Audit (RBSA)

Sistem berpikir digunakan dua kali

dalam sistem berbasis risiko audit

(RBSA). Pertama, kita memecah operasi

sebagai sistem, komponen dari suatu

sistem, subsistem, sistem paralel dan

sistem induk. Gambaran dapat diadopsidan hubungan antara operasi dapat

diidentifikasi dan dipahami. Kedua, RBSA

sebenarnya adalah pendekatan audit yang

sistematis dalam dirinya sendiri, dengan

tahapan yang ditetapkan dan link yang jelas

antara langkah-langkah yang

berurutan. Tahapan audit SBA ditunjukkan

pada Gambar 7.6.

RBSA tidak dapat dilakukan tanpa

mengikuti langkah-langkah di atas. Setelahrencana penugasan telah ditentukan

(setelah survei awal) kami memiliki hal yang

jelas dari referensi dan garis besar sistem

yang bersangkutan. Tahap berikutnya adalah untuk menentukan apa risiko dapat mencegah tujuan bisnis

dari yang dicapai dan memastikan risiko ini dipahami, diklasifikasikan dan diprioritaskan. Setelah

menemukan risiko kunci, kita bisa pergi ke menimbang dan mengevaluasi kontrol tertentu yang

membentuk aspek utama dari strategi manajemen risiko dan menilai apakah kontrol yang


11/176

memadai. Kontrol yang memadai (strong) harus dipertimbangkan lebih lanjut untuk menilai apakah

mereka bekerja dengan benar melalui tes kepatuhan. Beberapa auditor berpendapat bahwa bahkan

ketika kontrol berada di tempat dan bekerja, perlu ada sejumlah kecil pengujian lebih lanjut untuk

memastikan hasil yang benar diperoleh (yaitu tujuan sistem sedang dicapai). Kontrol yang lemah berarti

ada tingkat yang tidak dapat diterima risiko residual dan ini dapat dilaporkan langsung. Sekali lagi,

beberapa auditor ingin menguji implikasi dari kelemahan ini dan mencari kesalahan yang sebenarnya,

penyalahgunaan, kegagalan dan eksposur risiko lain seperti untuk menunjukkan implikasi dari kontrol

miskin. Temuan pada keadaan risiko residual mengarah ke jaminan di mana semuanya baik-baik dan

rekomendasi di mana ada perbaikan lebih lanjut diperlukan untuk mengurangi aspek risiko residual yang

perlu terkandung. Hasilnya dilaporkan kembali ke klien dan tindakan apapun yang diperlukan dipantau

selama tindak lanjut audit yang dijadwalkan untuk masa depan. Namun, ada satu kata peringatan. Ketika

auditor mencoba untuk 'memperbaiki' sistem miskin itu jauh lebih baik untuk mendapatkan klien untuk

membantu dalam proses ini. Hal ini disebabkan kompleksitas dinamis dalam sistem di mana mereka

memiliki kekuatan internal yang cenderung untuk menarik hal-hal bersama-sama.Jika kekuatan ini tidak

dipahami, maka diusulkan perubahan tidak akan bekerja. Kekuatan ini telah digambarkan sebagai berikut:

Sebuah sistem akan bertindak seperti jaring elastis yang kuat - ketika Anda menarik salah satu

bagian dari posisi itu akan tinggal di sana selama Anda benar-benar mengerahkan kekuatan diatasnya. Ketika Anda membiarkan pergi, Anda mungkin akan terkejut dan kesal bahwa mata air

kembali ke tempat itu sebelumnya. Namun ketika Anda melihat ketegaran ini sebagai bagian dari

sistem daripada kedengkian terisolasi, perlawanan itu tidak hanya dimengerti tapi inevitable.6

Kembali ke tahapan RBSA, ada sejumlah hal yang harus dipertimbangkan pada setiap tahap:

1.

Tentukan tujuan yang jelas untuk panggung. Apa yang kita bertujuan untuk mencapai harus

dinyatakan dengan jelas pada setiap tahap sehingga output aktual dapat diukur terhadap hal ini.

2.

Rencana kerja dan pendekatan yang akan diadopsi. Perencanaan merupakan proses yang

berkesinambungan yang terjadi sebelum audit dan seluruh berbagai tahapan yang disebutkan di

atas. Hal ini dimungkinkan untuk menetapkan anggaran waktu terpisah untuk panggung dankemudian berusaha untuk memonitor jam dikenakan sebelum menyelesaikan audit. Hal ini juga

memungkinkan untuk melakukan review pekerjaan sebagai panggung selesai untuk memberikan

pengawasan berkelanjutan proyek dengan manajemen audit.

3. Mendapatkan pemahaman yang baik tentang risiko dengan operasi ini dapat dicapai melalui

analisis, diskusi dengan staf klien atau melalui lokakarya terstruktur di mana anggota tim klien

mempertimbangkan risiko mereka dan bagaimana mereka berdampak pada bisnis dan tim tujuan

mereka.

4.

Mendefinisikan strategi pengujian. Pengujian diterapkan pada pemastian (walkthrough),

kepatuhan (setelah evaluasi) dan pengujian substantif (setelah evaluasi dan kepatuhan

tes). Program kerja rinci dapat disusun dan disepakati sebagai tahap yang sesuai tiba di.

5.

Menentukan teknik yang akan digunakan. Teknik Audit seperti wawancara, flowcharting,

interogasi basis data, kontrol self-assessment, negosiasi dan sampling statistik harus disepakati lagi

pada tahap yang relevan dari audit. Hal ini akan membantu waktu kerja dan memungkinkan

tambahan pada keterampilan perlu diidentifikasi.

6. Staf singkat bekerja pada proyek. Dengan pendekatan tim, hal ini berguna untuk memecah setiap

tahap sehingga briefing dapat diadakan untuk membahas masalah daerah, kemajuan dan hal-hal

lain. Tidak hanya akan tindakan ini sebagai perangkat umpan balik tetapi juga akan mempromosikan

tim bekerja di mana ide-ide dipertukarkan.


12/176

7.

Memastikan bahwa pekerjaan secara formal didokumentasikan. Dokumentasi Standar menjamin

semua poin kunci yang dibahas dan bahwa pekerjaan sepenuhnya direkam. Akhir tahap ini adalah

waktu yang tepat untuk mempertimbangkan apakah dokumentasi memenuhi standar kualitas

(sesuai dengan pedoman audit) dan berisi semua detail yang diperlukan. Kesempatan untuk

mendapatkan materi yang hilang adalah lebih mudah tersedia selama dan tidak setelah audit. Ada

link yang jelas antara ini dan manajer audit ulasan prosedur.

8.

Carilah tingkat resiko yang tinggi tak tanggung-tanggung Ini adalah praktik yang baik untuk

melaporkan sebagai audit berlangsung untuk menghemat waktu dan memastikan bahwa laporan

segar dan dinamis. Auditor memiliki kesempatan untuk menilai dampak dari pekerjaan yang

dilakukan sejauh laporan dan strategi pengujian yang harus dikembangkan pada tahap

tertentu. Rincian dari risiko yang berlebihan bisa masuk laporan selama dampak telah diuji. Sejak

evaluasi risiko terjadi sepanjang audit, seluruh paket dari pandangan tentang kemampuan kontrol

kunci untuk mengurangi risiko dikembangkan sebagai pekerjaan berlangsung. Ini adalah bagian

utama dari pekerjaan auditor.

9.

Setuju pada arah kerja untuk tahap berikutnya Hubungan antara tahap datang secara alami dari

pendekatan sistem untuk audit sebagai salah satu bergerak dengan lancar dari satu ke yang

lain. Arah tahap berikutnya harus dipertimbangkan oleh auditor tidak hanya dari sudut pandang

perencanaan pandang, tetapi juga dari perspektif yang lebih luas dari apakah pekerjaan harusdiperluas, dibatasi atau disesuaikan. Ini adalah titik di mana untuk membahas masalah dengan

manajer audit dan juga menyarankan bahwa tahap tersebut selesai.

Masalah Sistem kunci

Dalam RBSA sebuah, auditor akan

mengomentari penentuan spesifik keadaan kontrol

yang demiliki ditinjau, seperti pada Gambar 7.7

menunjukkan:

Rutinitas pengujian rinci dan diskusikomprehensif dengan manajemen semua

berkontribusi untuk kontrol yang lebih baik. Obsesi

dengan mekanisme melakukan audit dan pemeriksaan

dekat dari file dan data seharusnya tidak mengurangi

titik ini. Auditor harus pada akhir hari siap untuk

mengomentari sistem pengendalian internal dan

apakah kontrol ini menjaga terhadap semua risiko

material. Selain itu, sistem untuk mengelola risiko

tergantung pada cara tim kerja klien

beroperasi. Kontrol lunak adalah tentang cara orang

berhubungan satu sama lain dan termotivasi (atau tidak). Ketika sistem dipandang sebagai hubungan yangdinamis, kita dapat lebih memahami cara rutinitas kontrol dikembangkan dan diterapkan. Mengambil

baris ini, telah dikatakan 'Pertimbangkan tim proyek bisnis. Suasana hati setiap orang dapat berubah dari

waktu ke waktu. Ada banyak, banyak cara yang berbeda mereka dapat berhubungan satu sama lain. Jadi

sistem mungkin memiliki beberapa bagian tetapi banyak kompleksitas dinamis. Masalah yang terlihat

sederhana di permukaan dapat mengungkapkan banyak kompleksitas dinamis ketika kita menyelidiki

mereka.


13/176

Manfaat Audit berbasis Sistem (SBA)

Sumur tahu guru audit internal, Keith Wade (dari kursus catatan yang tidak dipublikasikan dari

program gelar Master, City University Business School, 1991) berpendapat bahwa SBA memiliki sejumlahmanfaat:

1. Hal ini positif dan melihat ke depan dan mempertimbangkan kekuatan masa depan sistem kontrol

yang bertentangan dengan mengisolasi dan pelaporan serangkaian kesalahan masa lalu.

2. Mempromosikan partisipasi dengan melibatkan klien dalam menjelaskan sistem dan tujuannya.

3. Mempromosikan profesionalisme sebagai lawan mengaduk-aduk auditor yang ahli di dasar

rutinitas pengujian ekstensif.

4. Ini mencakup segala sesuatu dengan yang berbasis pada sistem dalam operasi.

5. Hal ini konstruktif dalam upaya memperbaiki sistem.

6. Hal ini kesalahan pencegahan dan pandangan dalam hal mencegah mereka di masa depan

daripada daftar mereka bagi manajemen untuk memproses ulang.

7.

Hal ini dapat diarahkan ke pengembangan karir sebagai sistem auditor yang berpengalaman

mampu mengatasi operasi yang sangat rumit.

8. Mempromosikan penghormatan dengan mengharuskan auditor untuk memahami sistem

dan kebutuhan klien.

9. Ini mengembangkan auditor sebagai ahli dalam kontrol daripada catur manajemen.

10. Ada potensi yang tak terbatas untuk memperluas sistem audit ke dalam semua kegiatan

organisasi.

11. Auditor umumnya merasa lebih menarik dengan penekanan dari transaksi pengujian.

12. Hal ini dapat bertindak sebagai bantuan penting untuk manajemen dengan efek jangka panjang

dalam memperkuat kontrol.

13. Hal ini dapat menjadi sangat efisien penggunaan sumber daya audit karena mencari penyebab

masalah dan bukan hanya kesalahan konsekuensial.14. Karena tidak kesalahan berorientasi, tidak karena itu dilihat sebagai negatif oleh manajemen.

15. Hal ini sistematis, dan bidang utama dapat diidentifikasi dan diisolasi untuk perhatian lebih lanjut.

16. Ini memiliki cakupan luas dan aplikasi dan dapat

digunakan untuk mengaudit hampir semua hal.Dimana

audit internal menekankan program pengujian dan

kunjungan kejujuran, penyelidikan penipuan, inspeksi

kepatuhan, ulasan VFM dan kepatuhan kontrak, ini

merupakan indikasi dari pendekatan audit transaksi.

Implikasinya adalah bahwa kriteria keberhasilan audit

yang jatuh di sekitar kesalahan yang dapat ditemukan

sebagai lawan kontrol yang dapat ditingkatkan. Ini'industri error' harus memiliki sistem yang lemah untuk

bertahan hidup dan berkembang secara total konflik

dengan pendekatan sistem berbasis. Seluruh tentara

catur dapat digunakan untuk mencari dan melaporkan

masalah menggunakan staf junior dengan 'mari kita

menangkap mereka' sikap yang menetapkan nada ancaman dan intimidasi. Pendekatan ini

mengarah ke sistem yang kurang terkontrol yang mengalahkan tujuan audit profesional yang


14/176

adalah untuk meninjau dan memastikan manajemen telah memasang kontrol yang memadai atas

sumber daya organisasi. Gambar 7.8 menunjukkan bagaimana kontrol ketika diabaikan cenderung

memecah, memperkuat kebutuhan untuk menguji kesalahan. Sebuah pendekatan tercerahkan

untuk mengatasi audit internal adalah untuk melihat organisasi sebagai kumpulan layanan yang

disediakan secara internal maupun eksternal. Hal ini didasarkan pada sejumlah prinsip:

1. Organisasi ini dipandang sebagai serangkaian unit bisnis di mana manajemen lokal dianggap

bertanggung jawab untuk memberikan tingkat didefinisikan dan kualitas layanan.

2. Sistem pengendalian intern harus di tempat untuk mengurangi risiko yang mempengaruhi tujuan

yang dinyatakan.

3. Berbagai dukungan fungsi fungsional termasuk standar perusahaan keuangan, operasional,

informasi dan lainnya berada di bawah ulasan ini jika mereka berdampak pada tujuan bisnis.

Pendekatan ini dicontohkan

dalam otoritas lokal di mana satu

hanya perlu mendapatkan direktori

layanan seperti perpustakaan,

perawatan anak, sekolah, menolak

koleksi, jalan raya perbaikan,perumahan, pusat olahraga dan

ratusan layanan yang unik. Setiap

layanan kemudian menjadi unit audit

dan tunduk pada penutup audit. Ini

jelas pandangan subjektif organisasi

tapi alamat jelas masalah

mendefinisikan sistem secara tepat

sejalan dengan pendekatan tingkat

tinggi untuk layanan berbasis sistem

audit seperti pada Gambar 7.9.

Pendekatan di atas dapat diterapkan sebagai berikut:

1. Daftar semua layanan (unit bisnis).

2. layanan dukungan Daftar.

3. Terapkan penilaian risiko untuk layanan ini.

4. Buatlah perencanaan audit.

5. Audit setiap layanan dengan menerapkan berbasis risiko pendekatan sistem.

6. Lakukan investigasi khusus ke dalam area masalah menggunakan sumber daya disisihkan untuk

pekerjaan konsultasi.


15/176

Andy Wynne pada Sistem

Andy Wynne dari ACCA telah menyiapkan kertas untuk buku pegangan pada sistem audit:

.Pemeriksaan pra-pembayaran, substantif pengujian atau sistem audit yang -? Apa peran yang paling

efektif untuk audit internal Asal-usul audit internal adalah sebagai pemeriksaan internal pada akurasi danvaliditas semua pembayaran yang dilakukan oleh sebuah organisasi. Tidak ada pembayaran bisa

dibuat tanpa terlebih dahulu diperiksa dan dicap untuk pembayaran oleh staf audit internalbagian. Praktik

audit internal sekarang membentuk spektrum dari peran ini asli dari audit internal untuk sistem

audit. Yang terakhir ini terdiri dari ulasan audit internal dari sistem pengendalian internal dengan

pengujian hanya terbatas kontrol internal untuk memastikan bahwa mereka benar-benar diterapkan

sesuai kebutuhan. Itu Dikombinasikan Kode London Stock Exchange membutuhkan dewan semua

perusahaan yang terdaftar untuk 'mempertahankan sistem pengendalian internal untuk menjaga

pemegang saham investasi' dan bahwa'direksi harus . . . Melakukan peninjauan efektivitas sistem

kelompok internal kontrol '. Dalam kebanyakan perusahaan direksi akan mengandalkan fungsi audit

internal perusahaan untuk secara langsung melakukan ulasan ini pengendalian internal. Banyak orang

akan setuju bahwa tujuan dari audit internal adalah untuk membantu memastikan bahwa sistem

pengendalian internal entitas memadai danefektif. Memadai dapat ditafsirkan sebagai berarti cocok

untuk tujuan, sehingga dalam konteks internal kontrol, bahwa kontrol yang tepat dan bahwa mereka

benar-benar dimanfaatkan secara rutin. Efektivitas jangka tampaknya menuntut lebih dari ini dan

menyiratkan suatu kepentingan yang sebenarnya hasil dari kontrol, misalnya memastikan bahwa

transaksi sebenarnya yang tepat, akurat dan valid.Akibatnya, jika audit internal adalah untuk

menyimpulkan apakah suatu pengendalian internal sistem yang efektif harus melakukan setidaknya

beberapa pengujian substantif untuk mengkonfirmasi apakah atau tidak kontrol internal telah beroperasi

seperti yang diharapkan dan dengan demikian memastikan bahwa transaksi yang akurat dan valid. Selain

itu, audit eksternal akan sering mengandalkan audit internal dan sebagai bagian dari ini ketergantungan,

mungkin berharap audit internal untuk melakukan gelar transaksi substantif yang telah diproses oleh

sistem keuangan utama. Pemeriksaan audit pra-pembayaran (atau pre-audit untuk pendek)adalah

pemeriksaan voucher pembayaran dan dokumen lain sebelum pembayaran terkait dibuat. Tujuan daripra-audit adalah untuk memastikan bahwa pembayaran yang dilakukan adalah:

valid

diperlukan dan akurat dan

pengeluaran ini sejalan dengan anggaran yang disetujui

Keuntungan dari pre-audit dikatakan bahwa hal itu dapat membantu untuk:

memastikan bahwa semua pengeluaran yang diperlukan dan tepat;

memastikan bahwa semua pembayaran telah diotorisasi sebelum dilakukan;

memastikan pengeluaran yang sesuai dengan hukum dan peraturan yang relevan mencegahpenipuan manajemen;

mengurangi timbulnya fraud atau penyimpangan;

mengkonfirmasi keakuratan klasifikasi dan pengkodean pengeluaran; dan

memastikan akurasi hitung dari transaksi yang diperiksa.


16/176

Pendekatan pre-audit untuk audit internal ditemukan dalam banyak pemerintah Afrika, tetapi

juga di Perancis, Portugal, Spanyol dan negara-negara Eropa kontinental lainnya dengan tradisi hukum

berdasarkan Kode Napoleon. Di negara-negara ini, penekanan diletakkan pada kontrol yang dilakukan

oleh organisasi pihak ketiga, di pusat pemerintahan, sering agen dari kementerian keuangan atau

pelayanan itu sendiri. lembaga ini mungkin sering audit internal dan sampai saat ini ini adalah pendekatan

yang diadopsi oleh Komisi Eropa. Setelah kritik oleh Parlemen Eropa dari praktek manajemen keuangan

dalam Komisi Eropa, yang menyebabkan pengunduran diri dari seluruh Komisi pada Maret 1999, Komite

Independen Ahli didirikan. Komite ini menyimpulkan bahwa 'keberadaan prosedur dimana semua

transaksi harus menerima persetujuan terlebih dahulu eksplisit dari layanan kontrol keuangan tersendiri

telah menjadi faktor utama dalam mengurangi manajer Komisi rasa tanggung jawab pribadi untuk operasi

mereka wewenang saat melakukan sedikit atau tidak untuk mencegah penyimpangan serius. '

Ini melanjutkan dengan mengatakan bahwa:

“praktis pilihan ini apa pun (im), Komite terus memiliki keberatan yang kuat tentang mereka pada

dua poin dari prinsip. Pertama,ex ante pengecekan, apakah itu bersifat universal atau atas dasar

sampling, tidak mungkin proses hemat biaya: upaya dimasukkan ke memeriksa semua transaksi

adalah jelas tidak proporsional, sedangkan pengambilan sampel tidak mungkin memiliki efekberalasan cukup. Kedua, dan fundamental, prinsipnya adalah bahwa setiap retensi ex

ante control berjalan melawan keberatan penting bahwa, de facto jika tidak de jure , yang

dipindahkan tanggung jawab untuk keteraturan keuangan dari orang benar-benar mengelola

pengeluaran ke orang menyetujui hal itu. Perpindahan ini tanggung jawab yang berarti berlaku

bahwa tidak ada orang yang bertanggung jawab. "

Komite juga merekomendasikan bahwa Layanan Internal Audit profesional dan independen harus

dibentuk melapor langsung kepada Presiden Komisi, bahwa fungsi pra-audit terpusat yang ada harus

ditiadakan, dan bahwa pengendalian internal - sebagai bagian terpadu dari manajemen lini - harus

didesentralisasikan ke Direktorat Jenderal di Komisi. Komisi mengumumkan pada Januari 2000 bahwa itu

akan menerima rekomendasi ini, dan reorganisasi dari layanan Komisi dirilis tahun itu termasukpembentukan layanan audit internal yang independen dari pre-audit atau fungsi kontrol keuangan. Gema

dari pendekatan pra-audit juga dapat ditemukan di beberapa bagian audit internal Inggris, terutama di

pemerintah daerah. Berikut audit internal masih dapat diharapkan untuk meninjau rekening akhir skema

modal utama sebelum pembayaran akhir dapat dilakukan terhadap kontraktor. Sebaliknya, sistem audit

melibatkan auditor internal mengkaji kecukupan sistem pengendalian dan membuat komentar tentang

ini bukan pada akurasi atau validitas output aktual dari sistem. Pendekatan sistem ini tidak berarti bahwa

pengujian substantif langsung transaksi ditinggalkan. Namun, edisi 1996 dari Inggris Pedoman Audit Intern

Pemerintah menyatakan bahwa pengujian substantif adalah 'biasanya tidak ekonomis' dan 'memiliki

peran yang terbatas untuk bermain dalam sistem audit.' Sebagai buntut dari runtuhnya Andersens, yang

dihasilkan dari pekerjaan audit eksternal di Enron, itu mungkin bahwa akan ada peningkatan penekanan

pada peran pekerjaan audit substantif dalam audit eksternal.Demikian pula, telah ada beberapa

pembicaraan tentang peran yang lebih besar untuk audit internal dan mungkin ada tekanan yang

sebanding untuk audit internal untuk kembali ke pengujian lebih langsung transaksi daripada

berkonsentrasi pada upaya pengendalian internal, kecukupan dan kehandalan mereka. Manfaat penuh

dari audit internal hanya dapat dicapai jika manajer dan auditor internal berbagi persepsi yang sama dari

tanggung jawab bersama. Pandangan auditor internal karena hanya auditor kepatuhan mungkin

menunjukkan pemahaman yang terbatas peran audit internal modern dan juga kurangnya pemahaman

dari berbagai tanggung jawab Inggris Pedoman Audit Intern Pemerintah menyatakan bahwa pengujian

substantif adalah 'biasanya tidak ekonomis' dan ' memiliki peran yang terbatas untuk bermain dalam


17/176

sistem audit. ' Sebagai buntut dari runtuhnya Andersens, yang dihasilkan dari pekerjaan audit eksternal di

Enron, itu mungkin bahwa akan ada peningkatan penekanan pada peran pekerjaan audit substantif dalam

audit eksternal.Demikian pula, telah ada beberapa pembicaraan tentang peran yang lebih besar untuk

audit internal dan mungkin ada tekanan yang sebanding untuk audit internal untuk kembali ke pengujian

lebih langsung transaksi daripada berkonsentrasi pada upaya pengendalian internal, kecukupan dan

kehandalan mereka. Manfaat penuh dari audit internal hanya dapat dicapai jika manajer dan auditor

internal berbagi persepsi yang sama dari tanggung jawab bersama. Pandangan auditor internal karena

hanya auditor kepatuhan mungkin menunjukkan pemahaman yang terbatas peran audit internal modern

dan juga kurangnya pemahaman tentang berbagai tanggung jawab yang manajer sendiri harus

memiliki. Auditor internal harus bekerja dengan manajer untuk memfasilitasi pengenalan sistem kontrol

yang efektif. Sistem ini akan mencakup:

orde pertama kontrol untuk mengatasi semua risiko yang signifikan;

orde kedua kontrol untuk memastikan bahwa pemeriksaan secara teratur dilaksanakan untuk

memastikan bahwa semua kontrol dipatuhi; dan

orde ketiga kontrol untuk memastikan bahwa prosedur pengendalian secara berkala untuk

memastikan mereka berubah dan beradaptasi dalam menanggapi lingkungan risiko berubah.

Auditor internal juga harus membantu untuk mendidik para manajer untuk memastikan bahwa

mereka menerima, dan memahami, berbagai tanggung jawab mereka untuk kontrol internal. Tanggung

jawab manajerial harus mencakup

merancang kontrol yang memadai;

memastikan kepatuhan dengan kontrol yang diperlukan; dan

reguler ulasan dan revisi kontrol internal.

Tugas auditor internal kemudian meninjau sistem pengendalian internal untuk memastikan

bahwa manajer telah memadai memenuhi masing-masing tiga set ini tanggung jawab. auditor internal

juga harus memberitahu manajer pada kontrol yang tepat, pemeriksaan kepatuhan dan prosedur reviewyang mereka harus mengadopsi. Ini adalah sistem audit. Sebuah organisasi dengan sistem audit yang

efektif lebih mungkin untuk memiliki sistem kontrol yang efektif; kurang kemungkinan untuk menderita

berbagai risiko itu terkena; dan lebih mungkin untuk menjadi sukses.

Ada beberapa tugas penting bahwa auditor perlu melakukan untuk memastikan pekerjaan

dilakukan dengan perawatan profesional karena. The IIA Atribut Standar 1220.A1 membahas minimum

yang harus diperhatikan selama audit:

Tingkat pekerjaan yang diperlukan untuk mencapai pertunangan ' tujuan s;

kompleksitas relatif, materialitas, atau arti dari hal-hal yang prosedur jaminan yang diterapkan;

Kecukupan dan efektivitas pemerintahan, manajemen risiko, dan proses kontrol; Kemungkinan kesalahan yang signifikan, penipuan, atau ketidakpatuhan; dan

Biaya jaminan dalam kaitannya dengan potensi manfaat.


18/176

Sistem Bisnis

Hal ini dimungkinkan untuk melihat semua

bisnis sebagai serangkaian sistem yang mencakup

operasi, manajemen keuangan, layanan dukungan,

proses, bermitra pengaturan dan sebagainya. Sistembisnis diilustrasikan pada Gambar 7.10. Untuk

mempermudah, kami telah rusak organisasi ke dalam

tiga jenis elemen:

1. Tim - kelompok orang yang ditentukan

disatukan untuk tujuan memberikan tujuan yang

ditetapkan. Sebagai contoh, tim operasional yang

bekerja di produksi. Audit internal juga merupakan

salah satu tim tersebut.

2.

Proses - fungsi yang berjalan di sebuah organisasi seperti prosedur keluhan atau sistem

manajemen kinerja.

3.

Proyek - sumber sementara ditugaskan untuk mengembangkan sistem baru atau produk,

misalnya, sebuah proyek untuk merancang dan menerapkan sistem informasi baru.

Untuk semua bagian organisasi, akan ada

tujuan yang ditetapkan, risiko dan strategi

manajemen risiko untuk mengatasi risiko ini. Oleh

karena itu semua sistem seperti di seluruh

organisasi dapat ditinjau oleh audit internal

sebagaimana tercantum dalam Gambar 7.11.

Fungsi audit internal akan memeriksa

aspek dari sistem untuk mengelola risiko yangtermasuk dalam disepakati kerangka acuan untuk

audit yang bersangkutan. Audit akan memastikan

tujuan dan sistem untuk memberikan tujuan

tersebut, dan mengevaluasi apakah kontrol di

tempat yang mampu menangani risiko secara

signifikan yang mendapatkan di jalan mencapai

tujuan. Pengujian akan menentukan apakah apa

yang harus terjadi yang sebenarnya terjadi dalam praktek dan memberikan bukti untuk mendukung opini

audit.Produk dari audit internal adalah jaminan atas risiko cara sedang dikelola, rekomendasi untuk

perbaikan mana yang sesuai dan validasi objektif praktik saat ini diadopsi oleh manajemen. Audit juga

akan mempertimbangkan umpan balik dalam sistem dan bagaimana manajemen mampu mengukur hasilyang diharapkan terhadap hasil aktual sehingga sistem dapat disesuaikan untuk memastikan

perbaikan. Semua ini feed ke dalam pernyataan di pengendalian internal suatu membantu memastikan

hasil yang diinginkan tercapai.Kami akan melihat self-assessment (CRSA) di bagian depan dan bagaimana

teknik ini dapat digunakan untuk mendapatkan sistem yang lebih baik untuk mengelola risiko. Sistem

audit dimaksudkan untuk memberikan tinjauan objektif dari sistem di tangan tapi di sini kita harus

mengeluarkan kata peringatan tentang betapa auditor internal dapat mencapai, dan di mana batas-batas

berbohong. objektivitas lengkap tidak mungkin, bahkan di mana auditor benar-benar memihak, karena


19/176

proses audit tidak dapat dihapus dan terpisah dari sistem yang diaudit. Keterbatasan ini harus dihargai

oleh auditor dan telah digambarkan rapi oleh Joseph O'Connor dan Ian McDermott:

Dalam analisis akhir tidak akan pernah ada objektivitas akhir, karena Anda tidak pernah bisa

berdiri di luar sistem yang Anda adalah bagian karena Anda tidak akan ada. Total objektivitas ada

artinya karena tidak ada pengamat untuk menggambarkan hal itu. Jadi apakah Anda sedang

subjektif atau objektif tergantung pada bagaimana Anda mendefinisikan batas dari sistem Anda

considering.

Sistem lembut

Beberapa berpendapat bahwa sistem bisnis yang begitu rumit sehingga auditor perlu mengadopsi

cara-cara yang lebih canggih dari menganalisis mereka. Pendekatan standar untuk meninjau sistem toko

adalah untuk mengisolasi sistem tujuan, katakanlah, toko pasokan untuk siklus produksi organisasi dengan

akurat menentukan barang / jasa yang dibutuhkan dan mereka beli dengan biaya minimum dengan

memperhatikan kualitas dan pengiriman persyaratan. Kami kemudian dapat pergi untuk memutuskan

tujuan kontrol yang tepat dari, katakanlah, menjaga saham rendah, memastikan tidak ada saham-out,

hanya pesanan yang valid yang disediakan, mengidentifikasi kebutuhan pengguna dan sebagainya. Risiko

untuk mencapai tujuan pengendalian tersebut akan dipastikan kemudian mekanisme kontrol saat ini

seperti sistem yang kuat informasi, prosedur toko dan persediaan, manajer toko kepala dan sebagainya,

akan dipertimbangkan dalam hal apakah, secara kolektif, mereka mampu benar mengelola risiko

didefinisikan. Pendekatan analisis sistem yang lembut akan menggunakan bentuk logika fuzzy untuk

melihat situasi dengan masalah rekonsiliasi saham rendah memegang dengan risiko saham-out dan

mencoba untuk membangun sebuah model konseptual untuk mengelola risiko bersaing. Model ini akan

membahas akar penyebab masalah dan motivasi dan menyesuaikan praktek saat ini untuk mencari solusi

yang lebih baik yang masuk akal untuk staf yang bekerja di daerah yang bersangkutan. Sistem lembut

pendekatan akan mengatasi asumsi dan posisi yang diambil oleh interpretasi masyarakat terhadap sistem

dan mencoba untuk bekerja melalui perbaikan setuju dengan membawa sudut pandang semua pihak yang

berkepentingan 'lebih dekat bersama-sama. Sebuah sistem review yang bergantung pada interpretasihitam dan putih, yang mengabaikan cara orang melihat kontribusi mereka, akan gagal untuk mengatasi

masalah nyata. kunjungan lagi ke seni berpikir sistem akan berguna di sini sebagai kata akhir pada sistem:

Jadi mencari efek dekat dengan penyebabnya bisa membawa kita ke kesimpulan palsu. Kami juga

dapat disesatkan oleh penjelasan yang masuk akal karena kita cenderung untuk mencari peristiwa

yang menyediakan model ourpre-ada. Ingat bahwa dalam sistem berpikir penjelasan tidak

terletak pada penyebab tunggal yang berbeda, tetapi dalam struktur sistem dan hubungan dalam

it.


20/176

7.2. Pengendalian Risiko Self-assessment (CRSA)

CRSA adalah alat yang digunakan oleh perusahaan

untuk mempromosikan manajemen risiko dalam tim,

proyek, melalui proses dan umumnya di seluruh

organisasi. Alat ini dapat digunakan oleh dewan eksekutif,mitra, manajemen menengah, tim kerja dan, tentu saja,

audit internal. Dengan kata lain, CRSA merupakan sebuah

alat manajemen dan teknik audit yang tergantung pada

apa yang CAE ingin berlaku untuk proses audit dan

pandangan dari badan hukum. Dalam bentuk yang paling

murni, CSA mengintegrasikan tujuan bisnis dan risiko dan

proses kontrol. Kembali ke model sistem bisnis, kami

menggambarkan di mana CRSA cocok ke proses

pengelolaan risiko pada Gambar 7.12.

Semua sistem bisnis memiliki tujuan, risiko dancara mengelola risiko ini. CRSA adalah proses untuk

menyetujui tujuan yang ditetapkan, mengidentifikasi risiko

yang melekat yang menghentikan salah satu dari pencapaian tujuan dan kemudian bekerja yang risiko

yang paling signifikan. Bab 3 tentang manajemen risiko memberikan informasi tentang siklus manajemen

risiko dan risiko cara dapat dikategorikan dan dinilai. Bagian ini hanya menjelaskan teknik CRSA di mana

ia digunakan dalam modus lokakarya. Setelah mengisolasi risiko utama, anggota tim akan pergi untuk

memperbaiki strategi mereka untuk mengelola risiko, yang akan cenderung berfokus pada pengendalian

internal sebagai komponen utama dari strategi. Catatan Bab bahwa 4 penawaran dengan pengendalian

internal dalam beberapa detail.Memungkinkan tim kerja (atau tim proyek, atau perwakilan dari proses

cross-organisasi) untuk menilai strategi manajemen risiko mereka mengarah ke pemahaman yang lebih

baik tentang risiko tertentu dan kontrol yang bersangkutan, untuk lebih membeli-in sebagai orang setuju

pada pendekatan mereka dan untuk memastikan rencana aksi yang realistis. The CRSA pendekatanmemperkuat pandangan bahwa tanggung jawab untuk kontrol terletak pada orang-orang yang

mengoperasikannya dan orang-orang yang mengelola operasi.

CRSA dan Pengendalian Intern

Beberapa melihat lokakarya CRSA sebagai cara untuk mengembangkan rencana kontingensi

untuk melindungi kepentingan bisnis dan untuk usaha baru yang sedang dikembangkan. Bahkan, banyak

yang melihat pengendalian internal sebagai terutama berkaitan dengan pemulihan bencana dan

perencanaan kontingensi, terutama dalam menanggapi ancaman ancaman teroris. Banyak lokakarya

risiko fokus pada mempertahankan staf kunci, dan menyediakan pengaturan back-up untuk tokoh senior

atau spesialis atas dalam hal kecelakaan atau alasan lain untuk non-ketersediaan mereka. lokakaryalainnya berkonsentrasi pada proyek-proyek tertentu dan cara mengelola risiko untuk proyek yang lebih

besar dan lebih penting. Pandangan tradisional pengendalian internal berkaitan mereka untuk langkah-

langkah seperti otorisasi dan pemisahan tugas digunakan sebagai contoh dalam sistem akuntansi

dasar. Salah satu cara untuk menganalisis dilema ini adalah untuk menunjukkan bahwa ada empat jenis

utama dari lingkungan yang cenderung tunduk pada penilaian risiko yang terdiri dari proses, proyek, orang

dan kesiapan sebagaimana diatur dalam Gambar 7.13.


21/176

Sementara dalam prakteknya ada

banyak jenis acara CRSA, kami dapat

menyarankan empat pendekatan dasar:

1.

Proses Berikut CRSA digunakan untuk

meninjau kontrol khas ditemukan dalam

proses bisnis dengan maksud untuk

memeriksa apakah kontrol yang kuat dan

memenuhi. Sebuah contoh mungkin

workshop CRSA untuk tim keuangan yang

mempersiapkan kelompok rekening

akhir. Kontrol dasar atas informasi,

penyesuaian, sistem feeder, menutup

rekening, rekonsiliasi dan sebagainya akan

dipertimbangkan dalam terang mengubah risiko (misalnya risiko salah saji keuangan) dan kontrol fine-

tuned di mana diperlukan. Kepatuhan dengan kontrol ini juga menjadi pertimbangan utama. Sistem

pengendalian internal akan cenderung berputar di sekitar prosedur set dan sistem informasi,

yaitu, ' kontrol keras untuk memastikan hal-hal yang dilakukan dengan benar ' .

2.

Proyek CRSA ini acara akan menjadi bagian dari penilaian risiko standar dan persiapan register risiko

yang paling metodologi manajemen proyek merekomendasikan. Risiko proyek akan terdiri dari

kombinasi proyek yang salah dan hasilnya menjadi miskin, terlambat atau melebihi anggaran. Kontrol

akan berputar di sekitar jalan proyek dikelola dan, jika ini melibatkan usaha baru yang besar, seluruh

rangkaian kontrol baru mungkin dirancang dan diterapkan. Fokusnya adalah pada inovasi dan

fleksibilitas dan produksi merek baru kontrol yang sesuai dengan tagihan. Selain itu, risiko juga dapat

dilihat sebagai risiko terbalik itu berarti kita mengambil kontrol berlebihan untuk memastikan peluang

baru dapat dimanfaatkan.

3.

Orang Beberapa lokakarya CRSA mencoba untuk mengatasi masalah orang sebagai pendorongutama. Berikut isu dan masalah yang mempengaruhi cara tim beroperasi dan berhubungan satu sama

lain dalam mengejar tujuan bisnis dianggap. Idenya adalah untuk mengisolasi masalah (risiko) dan

solusi (kontrol) untuk mendorong kinerja yang lebih baik. Fokus pada kontrol lembut dalam hal isu-

isu orang adalah faktor kunci yang mendorong jenis perilaku lokakarya. Mengalami CRSA pendukung

seperti Paul Makosztelah dipromosikan pentingnya kontrol lembut dan menggambarkan mereka

sebagai raksasa tidur. Selain itu, James Roth telah menyarankan bahwa ' Anda benar-benar memiliki

risiko audit kurang bila Anda mencurahkan waktu untuk mengevaluasi kontrol lembut, karena mereka

lebih penting untuk mengendalikan suatu organisasi dari kegiatan pengendalian keras ' .10 Dalam

satu lokakarya berbasis CRSA latar belakang adalah untuk mengidentifikasi mengapa operasi

menderita disfungsi dan untuk:

mengidentifikasi inhibitor saat yang mencegah tim dari melakukan untuk yang terbaik dari

standar kelas;

membayangkan bagaimana layanan dapat meningkatkan dalam jangka pendek, menengah

dan panjang;

menelusuri pada masing-masing inhibitor untuk mengidentifikasi proses dan sistem

kegagalan atau kelemahan yang akan mencegah atau menghambat perbaikan layanan;

mengembangkan rencana aksi rinci diperlukan untuk layanan untuk meningkatkan;


22/176

berbagi praktek terbaik sedapat mungkin untuk membantu perbaikan sistem / proses.

Lokakarya ini berusaha untuk menilai risiko yang dapat mencegah atau mempercepat

pencapaian tujuan bisnis dan dianggap:

1. bagaimana tim melihat dirinya;

2. bagaimana tim ingin melihat sendiri;

3. perubahan apa yang diperlukan untuk sampai ke sana.

Temuan dari acara tersebut termasuk berikut

• risiko signifikan dan ancaman menghadapi operasi.

•

Risiko ini tidak dikelola dengan baik.

•

Kontrol fokus reaktif, bukan proaktif.

• Pengoperasian tidak berkinerja baik sebagai sebuah tim.

• Tidak ada tujuan layanan dipahami dengan jelas.

•

Banyak silo berada di tempat berdasarkan mana staf berdiri dalam hirarki.

• ini telah menimbulkan budaya menyalahkan - tidak ada kepemilikan kolektif dari masalah.

• Semua staf ingin melihat perbaikan.

• Ada persepsi yang berbeda dari masalah dari staf, supervisor dan manajer.

Serangkaian kelompok fokus didirikan untuk mengatasi masalah dan membantu meningkatkan layanan

berdasarkan rencana aksi dan baru menyepakati visi untuk layanan ini.

4. Kesiapan Jenis lokakarya semakin populer dan terdiri dari mempertimbangkan jenis risiko yang dapat

mempengaruhi integritas sumber daya perusahaan, yaitu, bangunan, staf, pengetahuan, sistem

informasi dan produk atau jasa. Konteksnya adalah kesadaran yang tinggi dari kecelakaan, sabotase,

terorisme dan bencana alam yang dapat memusnahkan semalam aset perusahaan. Lokakarya iniberkonsentrasi pada perencanaan skenario dan hasilnya dalam strategi mitigasi risiko, asuransi dan

rencana kontinjensi sepenuhnya dibiayai. Banyak orang sekarang melihat risiko sebagai terutama

terkait dengan bencana skala luas yang dapat menghentikan sebuah organisasi di

jalurnya. Penekanannya adalah pada perlindungan aset dan mengandung kerusakan potensial untuk

operasi lanjutan dari bisnis.

Hal ini penting untuk memahami jenis (atau campuran jenis) dari peristiwa CRSA sedang

ditargetkan. Ada gunanya dalam mendapatkan tim keuangan untuk benar-benar mendesain ulang

kontrol mereka, ketika banyak berkaitan dengan menetapkan standar dan persyaratan regulator

Ada sedikit ruang untuk berbicara tentang rutinitas kontrol standar untuk tim proyek baru yang

membuat up aturan saat mereka pergi bersama, dan perlu pemikiran baru untuk menangani risikobaru. Orang-orang lokakarya tergantung pada 'outing' orang-orang masalah yang perlu ditangani

dan tidak merancang prosedur sementara mengabaikan hambatan yang jelas untuk kinerja

karena hubungan buruk.

Akhirnya, workshop kesiapan mulai dengan premis bahwa risiko menimbulkan ancaman nyata dan

serius untuk bisnis dan seluruh kantor dapat diambil oleh, misalnya, serangan teroris. Keberhasilan

industri CRSA adalah karena cara tujuan kelompok / bisnis digunakan sebagai lensa untuk


23/176

memfokuskan energi yang dibuat selama lokakarya. Banyak kejadian pengembangan kelompok yang

menyenangkan tapi kehilangan titik, dalam bahwa mereka tidak benar-benar berhubungan dengan

tujuan bisnis. CRSA umumnya positif karena apa pun yang membawa orang lebih dekat untuk

memahami dan mencapai tujuan mereka adalah berharga.

Latar Belakang CRSA

The IIA mengeluarkan perspektif tentang perkembangan CSA kembali pada tahun 1998 yang

menceritakan tentang sejarah teknik ini:

Kontrol self-assessment, metodologi dimulai pada Teluk Kanada pada tahun 1987, adalah alat

yang ampuh yang dapat digunakan untuk menilai efektivitas pengendalian serta proses bisnis

dalam organisasi. Pendekatan yang Teluk Kanada dikembangkan disebut pendekatan self-

assessment pertemuan difasilitasi. Konsep ini melibatkan manajemen pengumpulan dan staf

untuk wawancara yang berkaitan dengan, dan diskusi, masalah atau proses tertentu. Hal ini

digunakan sebagai mekanisme untuk menilai kontrol informal atau lembut, serta kontrol keras

tradisional. Gulf Kanada melihat pendekatan ini lebih efektif untuk tujuan CSA dari interviews.11

satu-ke-satu Audit

David McNamee juga terkait latar belakang untuk CSA:

Control Self Assessment biasanya didefinisikan hanya sebagai keterlibatan manajemen dan staf

dalam penilaian pengendalian internal dalam kelompok kerja mereka. Ada sejumlah cara untuk

mencapai tujuan ini, dari lokakarya yang sangat interaktif berbasis pada model perilaku di salah

satu ujung spektrum audit diri kuesioner pengendalian internal dikemas di ujung, dan sejumlah

teknik di antara . . . Ada enam metode untuk CSA digunakan saat ini. Metode berkisar dari yang

paling mekanik (kontak manusia mungkin setidaknya) Audit dikelola sendiri oleh Control

Kuesioner Intern (ICQ) untuk paling perilaku (kontak yang paling manusia) lokakarya

kelompok. Banyak publisitas telah diberikan ke sisi perilaku CSA, tetapi ada praktisi CSAmendapatkan hasil yang baik dari metode selain processes.12 kelompok

perspektif IIA pada CSA menunjukkan bahwa pendekatan yang dipilih harus berhubungan dengan

budaya dalam organisasi: 'jika budaya mendukung, IIA merekomendasikan difasilitasi pertemuan

tim. Dalam acara budaya perusahaan tidak mendukung pendekatan CSA partisipatif, tanggapan kuesioner

dan analisis pengendalian internal dapat meningkatkan lingkungan pengendalian. audit internal harus

siap untuk memvalidasi pernyataan apapun pengendalian internal received.'13 Kembali pada tahun 1993,

orang-orang seperti Tom Oxley sudah berbicara tentang teknik baru:

Apa yang begitu baik tentang pengendalian dan penilaian risiko diri? Hal ini memaksa manajer

dan staf mereka untuk berpikir sangat hati-hati tentang tujuan mereka dan orang-orang dariorganisasi. Hal ini membutuhkan secara sistematis untuk mengidentifikasi, membahas dan menilai semua

risiko yang mereka hadapi, untuk memutuskan apakah akan menerima risiko ini atau apakah akan

mengambil tindakan untuk mengurangi tingkat risiko dengan mengubah pendekatan mereka atau

mencari cara baru untuk mengendalikan risiko. Akibatnya CRSA menempatkan tanggung jawab yang jelas

untuk kontrol dengan manajer lini, tempatnya; dan prosedur yang digunakan memastikan bahwa manajer

dan staf mereka sepenuhnya terlibat dalam, serta bertanggung jawab, kontrol dan penilaian risiko. Ini

menyediakan cara yang sangat efektif untuk mengidentifikasi dan menilai risiko bisnis utama, dan


24/176

memastikan komitmen yang lebih besar untuk bertindak dengan manajemen karena ide-ide yang tidak

sedang dikenakan pada mereka. Paling penting dari semua, prosedur memastikan bahwa perhatian

difokuskan secara teratur pada tujuan sebenarnya dari organisasi. Sangat proses identifikasi risiko

memberikan manajer dan staf kesadaran yang lebih jelas tentang apa yang mereka dan organisasi

berusaha untuk mencapai, sesuatu yang kurang dalam banyak organisations.14

Peran Internal Audit

The IIA telah menerima aspek konsultasi membantu untuk membangun CRSA dalam organisasi

dengan latar belakang keahlian auditor internal di daerah ini. Profesional Praktek Pamflet 98-2 membuat

jelas bahwa 'The IIA merekomendasikan menggunakan sinergi yang diciptakan oleh interaksi auditor-

fasilitator dan CSA peserta untuk menambah nilai meningkat menjadi organisasi melalui function.'15 audit

internal

Beberapa auditor internal merasa perlu untuk berdiri kembali dari drive CRSA dan memungkinkan

manajemen untuk bertanggung jawab penuh untuk mengelola risiko operasional. Lain telah dilemparkan

sendiri ke dalam pengembangan dan memimpin dari depan di bawah 'nilai tambah' banner. Yang lain

memulai CRSA dalam organisasi mereka kemudian berdiri kembali dan memvalidasi sistem ketika telah

menetap sampai batas tertentu. Tidak ada solusi yang terbatas dan banyak tergantung pada pendekatan

yang diadopsi. Apapun format akhir, auditor internal harus dilengkapi dengan keterampilan yang tepat

untuk melakukan peran Audit Perhatikan bahwa bagian berikutnya memiliki rekening singkat

keterampilan fasilitasi. Ada saran lebih lanjut tersedia dari IIA dalam bentuk Praktek Penasehat 2.120,1

dan ekstrak yang bersangkutan pada tempat audit internal cocok ke dalam persamaan keseluruhan

berikut:

Menentukan efektivitas proses self-assessment manajemen melalui pengamatan, tes langsung

kontrol dan monitoring prosedur, pengujian akurasi informasi yang digunakan dalam kegiatan

monitoring, dan teknik lain yang sesuai.

Aspek positif dari CRSA untuk audit internal di masa lalu telah dikonfirmasi oleh IIA.UK & Irlandia:

•

Secara keseluruhan, kami percaya bahwa Internal Audit memiliki peran untuk bermain dalam

setiap CRSA Program tetapi peran ini perlu didefinisikan secara jelas dan harus sama sekali tidak

mengurangi independensi dan peran penting yang sudah memainkan dalam organisasi . ( Para .

5.12)

• Sebagai manajemen lini menjadi lebih mahir dalam penerapan CRSA dan hasilnya diterima oleh

manajemen dan audit yang komite senior, Audit Internal ' peran dan kontribusi s

ke organisasi dapat ditempatkan di bawah beberapa pengawasan.Penggantian fungsi Internal

Audit oleh CRSA didirikan dan komprehensif Program bisa dilihat dangkal sebagai menghemat

biaya latihan yang menarik. Ini adalah pandangan keliru, karena manajemen dan pemangku

kepentingan lainnya yang kemungkinan akan terus membutuhkan tingkat jaminanindependen. Ini dapat dicapai melalui fungsi Internal Audit yang efektif. ( Para . 5.13) 16


25/176

Apakah Ada Proses CRSA?

Tidak jelas ada salah satu cara untuk melakukan lokakarya CRSA. Dalam prakteknya, banyak

organisasi telah menafsirkan proses agar sesuai dengan cara orang yang bekerja. Beberapa menyebutnya

workshop manajemen risiko bisnis; beberapa menggambarkan mereka sebagai acara membangun tim

berbasis di sekitar mengklarifikasi tujuan tim. Salah satu organisasi besar menggunakan proses CRSAuntuk melaksanakan program perubahan besar yang melihat tim regional benar-benar ditata ulang dalam

waktu yang singkat dari beberapa enam bulan. Risiko terbesar yang mereka hadapi tidak mencapai

reorganisasi benar. organisasi lain tidak bisa mendapatkan orang-orang mereka bersama-sama dalam

lokakarya dan hanya bisa menggunakan pendekatan berbasis kuesioner dengan waktu ekstra

ditambahkan ke pertemuan kelompok untuk membahas area risiko. Mereka kemudian mendirikan

sejumlah kecil kelompok perwakilan untuk menganalisis risiko di proses organisasi-lebar, dan termasuk

beberapa stakeholder untuk memastikan semua pandangan dianggap.Satu otokratis, organisasi berbasis

kantor pusat hanya mengirimkan hasil dari penilaian risiko perusahaan mereka dan mengatakan kepada

orang-orang mereka untuk melakukan sesuatu yang serupa di kantor lokal mereka. Di sisi lain, badan lebih

ke depan harus orang-orang mereka untuk memeluk proses CRSA dan menerbitkan pedoman untuk tim

lengkap dari fasilitator yang dipimpin oleh petugas risiko kepala; semua dilengkapi dengan sistem

informasi basis data yang canggih untuk setiap daftar risiko dan profil risiko kode warna, bersama dengan

teknologi suara mahal untuk lokakarya. Dalam prakteknya sering lebih baik untuk memungkinkan setiap

organisasi untuk mengembangkan solusi mereka sendiri daripada mendatangkan konsultan dengan paket

standar industri. Hasil dari pendekatan yang dilakukan ini sedang dikembangkan dalam budaya yang

merupakan bagian dari cara organisasi bekerja. konsultan eksternal harus benar-benar bekerja bersama

orang pemberi pekerjaan dan melewati keterampilan kepada karyawan. Ketika orang didakwa dengan

menyiapkan CRSA berasal dari departemen keuangan, akan cenderung menjadi fokus yang sempit pada

konsep penilaian risiko. Salah satu pendekatan terbaik adalah untuk mencari tanggung jawab awal untuk

menyiapkan proses dengan petugas perencanaan perusahaan, sehingga hubungan antara manajemen

risiko, perencanaan dan manajemen kinerja ditetapkan secara jelas. Jika ada sponsor papan formal,

pemantauan ketat oleh komite audit dan seorang petugas risiko kepala dicalonkan (misalnya dari

perencanaan perusahaan), maka kita baik pada cara untuk keberhasilan pelaksanaan manajemen risiko.

satu Pendekatan

Hal ini dimungkinkan untuk menyebutkan satu pendekatan untuk mengembangkan CRSA dalam

sebuah organisasi, meskipun ini harus tercantum secara umum saja (perhatikan bahwa lokakarya CRSA

rinci harus dilakukan setelah menyelesaikan staf risiko dan pengendalian seminar kesadaran seperti

diuraikan dalam Bab 2 dan 3:

1. Pastikan petugas risiko yang ditunjuk sepenuhnya berkenalan dengan teori tata kelola

perusahaan, manajemen risiko dan pengendalian.

2.

Berbicara dengan perusahaan lain, dan orang-orang yang memiliki pengalaman dalammengembangkan CRSA dalam organisasi mereka; atau menyewa konsultan untuk melakukan

seminar tentang topik.

3. Pastikan ada beberapa keahlian yang tersedia di fasilitasi dan keterampilan terkait.

4. Memperkenalkan konsep CRSA - memberitahu dewan dan komite audit tentang hal itu dan di

mana ia cocok menjadi aspek yang lebih luas dari manajemen risiko perusahaan-lebar. Jika

organisasi memiliki sebuah konferensi tahunan maka ini akan menjadi kesempatan yang baik

untuk memulai inisiatif.


26/176

5. Dapatkan papan untuk mendukung kerangka kontrol yang sesuai yang untuk engsel sistem

pengembangan manajemen risiko. Skor risiko dapat diukur terhadap model kontrol seperti COSO

atau CoCo menggunakan kategori yang disarankan dalam setiap model.Perlu ada cara mencetak

gol atau menyajikan risiko seperti tindakan Hijau, Amber dan Red yang menggunakan beberapa

organisasi. Bab 3 penawaran dengan topik ini. Beberapa organisasi mengembangkan serangkaian

standar kontrol dalam hal apa yang harus terjadi, meliputi bidang-bidang seperti etika staf, misi

dan visi, kompetensi staf, target kinerja, informasi manajemen, pelaporan keuangan, penipuan,

prosedur operasional, pengawasan dan sebagainya (katakanlah 10 sampai 20 standar) dan

kemudian mengukur eksposur risiko terhadap standar-standar ini. Organisasi lain overlay risiko

ke dalam unsur-unsur dari sistem manajemen kinerja seperti balanced scorecard atau komponen

dari model kualitas diadopsi seperti Yayasan Eropa untuk Manajemen Mutu (EFQM). Organisasi

budaya kontrol cenderung ingin papan bawah risiko ke dalam standar kontrol diatur sehingga

mereka mungkin terkandung. Organisasi dengan budaya risiko yang berfokus cenderung lebih

menggunakan risiko untuk mendorong model pengembangan strategis mereka dengan cara yang

lebih inovatif.

6. Dapatkan komite dewan dan audit untuk melakukan lokakarya CRSA mereka sendiri pada akhir

pertemuan formal dan menggunakan pengalaman dan hasil untuk mendorong inisiatif.

7.

Jika audit internal memimpin bergerak, kemudian melakukan workshop dalam toko auditinternal. Ingat piagam audit harus mengacu pada layanan yang disediakan dan jika ini harus

mencakup fasilitasi CRSA, kemudian mengubah piagam yang sesuai.

8. Mendapatkan sponsor tingkat papan untuk Program dan mulai perencanaan. Bekerja melalui

cara-cara menghindari inisiatif yang berlebihan dengan menanamkan CRSA ke dalam cara bisnis

beroperasi melalui perencanaan, komunikasi, keputusan -membuat dan manajemen kinerja

sistem.

9. Melakukan roadshow perusahaan dan memperkenalkan konsep pelaporan tata kelola

perusahaan dan kebutuhan untuk manajemen risiko didokumentasikan. Pastikan semua manajer

kunci memahami proses CRSA.

10. Dapatkan fasilitas yang tepat untuk melakukan lokakarya CRSA. Ini akan mencakup sistem

pelaporan risiko (berdasarkan daftar risiko), software pemungutan suara elektronik (jika inidianggap penting - beberapa hanya menggunakan ' Post-it notes ' untuk efek yang baik),

akomodasi yang sesuai dan paling penting dari semua - waktu yang tersedia untuk tim sehingga

mereka dapat menghadiri acara.

11. Menyediakan bahan untuk semua orang di intranet perusahaan - dengan informasi yang berguna,

latihan online singkat dan kontak untuk informasi lebih lanjut. Ini mungkin ide untuk memasukkan

panduan singkat untuk lokakarya CRSA ke intranet, atau memilikinya dikirim ke staf kunci.

12. Berbicara dengan manajer untuk tim lokakarya tersebut dan melakukan beberapa persiapan

dalam hal yang harus hadir dan logistik dasar. Kita mungkin ingin antara, katakanlah, 10 dan 15

orang per lokakarya. Tentukan fokus, mengingat pendekatan yang berbeda dan jenis lokakarya

CRSA menggunakan proses, proyek, orang atau kategori kesiapan jika sesuai.

13. Seluruh sistem penilaian risiko harus menjadi bagian dari drive manajemen risiko perusahaan-

lebar dan ditempa di sekitar bagian atas papan-level 10 risiko dan kebijakan risiko yang

diterbitkan. Isu briefing papan reguler pada kemajuan sampai saat ini.

14. Ini mungkin ide untuk melakukan lokakarya percontohan di daerah yang dapat

menghasilkan ' quick wins ' , tanpa mengambil bagian yang sangat sulit dari bisnis dengan

masalah bercokol bahwa akan sulit untuk berbalik dengan cepat.

15. Mengevaluasi hasil pilot dengan sponsor papan dan menyesuaikan pendekatan yang sesuai.

16. Mengkompilasi beberapa materi pre-event untuk setiap peserta (misalnya kebijakan risiko - lihat

Bab 3 - dan pertanyaan menantang beberapa) dan mengirimkannya di muka. Pastikan ada hotline


27/176

untuk masing-masing peserta untuk setiap pertanyaan.Atau hubungi masing-masing peserta

untuk pembicaraan singkat melalui telepon dan membahas acara yang direncanakan.Kebanyakan

orang khawatir tentang peristiwa tim dan merasa ada beberapa agenda tersembunyi yang sedang

dikembangkan di tingkat senior.

17. Periksa tempat ini cocok untuk para peserta dan bahwa perjalanan, akomodasi dan hal-hal praktis

telah ditangani. Seluruh proses harus menimbulkan positif semua bulat.

18.

Bertemu dan menyapa para peserta dan mengenal mereka sebelum dimulainya resmi

lokakarya. Tindak lanjut atas apa yang telah dibahas dengan mereka di pra-kursus tahap

kontak. Fasilitator dan juru tulis harus memperkenalkan diri kepada kelompok dan membuat jelas

apa yang mereka ketahui tentang tim dan apa yang mereka tidak tahu. Fasilitator hanya

perlu menjadi ahli dalam mendapatkan yang terbaik dari orang-orang dan memastikan bahwa

tujuan lokakarya yang baik dicapai dan diraih. Beritahu kelompok apa yang akan terjadi dan

bagaimana mereka harus berkontribusi.

19. Beberapa percaya bahwa aturan lokakarya harus dirancang oleh para peserta pada topik-topik

seperti semua orang harus memberikan kontribusi, tidak ada dominasi dari manajer lini,

melangkah di luar kotak melalui dorongan dari orang lain hadir, mendengarkan, menghormati

pandangan dan tidak melanggar kebijakan perusahaan tentang perilaku dan keragaman, dan

seterusnya.20. Mungkin ide untuk mendapatkan pembicara utama untuk memperkenalkan bengkel, mengatakan

seorang manajer senior (atau petugas risiko kepala) atau, idealnya, papan sponsor (meskipun

orang ini akan sangat sering tidak tersedia). Dapatkan peserta untuk memperkenalkan diri

mereka secara individual dan memastikan ada sesi tanya jawab di awal.

21. Memulai acara dengan tujuan yang jelas. Ini mungkin membaca sesuatu seperti ini: untuk

mendapatkan peserta untuk mempersiapkan saling mengerti (dan setuju) tujuan,

mengidentifikasi dan menilai risiko dan kemudian mengembangkan strategi manajemen risiko

ditentukan dalam hubungannya dengan sistem yang ada kontrol dan setiap perbaikan yang

diperlukan; dan bahwa hasilnya akan membentuk bagian dari risiko yang formal sistem pelaporan

manajemen untuk mendukung diterbitkan pandangan perusahaan pada pengendalian

internal. Gunakan tujuan bisnis utama dan, katakanlah, lima atau lebih mendukungtujuan. Kelompok ini dapat dibagi menjadi sub kelompok berurusan dengan sub-tujuan, meskipun

ada kemungkinan hanya untuk meminta kelompok bagaimana mereka ingin bermain (asalkan

tujuan lokakarya keseluruhan tercapai).

22. Ini mungkin ide untuk melakukan presentasi singkat tentang tata kelola perusahaan, manajemen

risiko dan pengendalian di awal.Idealnya, ini akan telah dilakukan pada staf kesadaran seminar

tentang manajemen risiko dan pengendalian internal.Memperkenalkan konsep risiko mendaftar.

23. Pergi melalui tahapan standar proses CRSA termasuk menyetujui tujuan, menetapkan konteks

dengan mendapatkan kelompok untuk membahas manajemen kinerja mereka, perencanaan

dan pengambilan keputusan dan isu perubahan yang dihadapi daerah yang bersangkutan. Waktu

dapat dihabiskan membahas tahapan siklus pengambilan keputusan di area kerja dan

jugamenganalisis eksternal stakeholder dan internal dan membahas bagaimana pandangan

mereka dicatat oleh tim.

24. Dapatkan kelompok untuk melakukan brainstorming risiko operasional secara acak dan kemudian

mereka dapat mengklasifikasikan mereka dan memberikan suara pada kepentingan relatif

mereka - dalam hal dampak dan kemungkinan.Berakhir dengan 10 atau lebih risiko untuk

mencapai tujuan bisnis atau tidak melakukan lebih dengan memanfaatkan barupeluang.

25. Mungkin perlu melakukan presentasi singkat tentang pengendalian internal dan apa artinya ini

dalam praktek, dan perbedaan antara kontrol keras dan lembut. Bahan yang cocok dapat diambil

dari staf seminar kesadaran ditemukan dalam Bab 4.


28/176

26. Mulai tahap pemecahan masalah - ini dapat dilakukan pada acara yang terpisah (atau setelah

makan siang istirahat) sehingga dapat memperkuat pindah dari identifikasi masalah (penilaian

risiko) untuk masalah solusi (manajemen risiko).

27. Membuat hubungan antara tujuan, risiko, sebab dan akibat yang jelas. Pemecahan masalah

adalah tentang melihat penyebab masalah dan tidak hanya efek. Sebuah cerita sederhana dapat

digunakan untuk menggambarkan ide ini:

Osteopati kita tahu memberitahu kami tentang salah satu pasiennya dengan nyeri leher

yang parah. Mengobati leher langsung tidak berpengaruh dan butuh beberapa minggu

untuk sampai ke bawah kesulitan. Pasien telah menyakiti ibu jari kaki kanannya.Hal ini

menyebabkan dia berjalan sedikit canggung, menggeser berat badannya dari kaki

menyakitkan, dan ini meletakkan beban yang sedikit berbeda pada pinggulnya. Kelompok

otot di punggung dan leher diperketat untuk mengkompensasi, dan otot ini pengetatan

menyebabkan pain.

28. Pastikan lokakarya sepenuhnya didokumentasikan dan disepakati dengan rencana aksi yang

dihasilkan memberikan rincian dari pemilik risiko, khusus dari tindakan yang diperlukan, tanggal

dan langkah-langkah untuk memastikan tindakan yang diambil memiliki hasil yangdibutuhkan. rencana aksi ini harus dimasukkan ke dalam perencanaan dan pengambilan

keputusan mekanisme untuk mempromosikan integrasi CRSA ke dalam budaya bisnis.

29. Menutup sesi dengan ' orang check ' - yang memerlukan terjadi di sekitar ruangan dan meminta

setiap orang untuk meringkas pengalaman mereka dan apa yang mereka dapatkan dari acara

tersebut dan apakah mereka memiliki poin lebih lanjut untuk menambahkan.

30. Penilaian risiko harus menjadi agenda sama sekali pertemuan kelompok, konferensi dan acara

staf - setiap kali ada masalah atau perubahan yang diajukan, acuan harus dibuat ke daftar risiko

saat ini dan perubahan memutuskan.

31.

Menggelar program yang melalui dan seluruh organisasi dan pastikan sistem pelaporan masuk

akal dan risiko dikelola secara dipercepat, yang memungkinkan papan untuk tahu tentang risiko

tak tanggung-tanggung serius dan yang dapat dipantau mendesak atau dengan laporan sering.32. Pastikan daftar risiko adalah dokumen hidup yang ditinjau setiap kali risiko material berubah dan

setidaknya beberapa kali selama tahun.

33. Membuat setiap lokakarya proses pembelajaran yang menghasilkan tidak hanya dalam rencana

aksi untuk pemilik risiko / proses tetapi juga lebih baik menggunakan format lokakarya dan cara

itu difasilitasi.

34. Proses CRSA terbaik membuat risiko pendorong utama untuk keputusan bisnis dan pertemuan

penilaian kinerja karyawan harus mulai dengan mengacu pada daftar risiko yang paling dekat

hubungannya dengan karyawan yang bersangkutan.

Prosedur sederhana di atas tidak selalu bekerja dan Mike Pidzamecky telah memperingatkan tentang

beberapa alasan mengapa CSA telah gagal dari perspektif audit yang

•

. Kurangnya tubuh umum pengetahuan dan proses cetak biru dasar untuk semua untuk

menggunakan.

•

Kurangnya pengembangan pelatihan dan keterampilan yang baik.

• Kegagalan untuk mengintegrasikan model kontrol ke dalam semua pekerjaan audit.

• audit manajemen Stubborn yang tidak bisa melihat melampaui approaches.18 audit tradisional


29/176

Sementara itu, Andrew Chambers telah meminta auditor internal untuk bangkit untuk menantang:

CRSA, seperti lingkaran kualitas mungkin satu dekade yang lalu, telah menangkap mood kali. Jika

kita membedah kita menemukan campuran dari praktek-praktek tradisional sering dilapis dengan

teknologi modern. Ini mungkin tidak berlangsung selamanya. Sangat mungkin untuk mengubah

dirinya - mungkin sekarang dalam bentuk manajemen risiko perusahaan-lebar. Meskipun pro dan

kontra, lebih mudah untuk mendukung CRSA pada prinsipnya daripada memberikan memastikan

substansi dalam praktek. Tapi kemudian, pemantauan pengendalian intern yang efektif tidak

pernah straightforward.

7.3. Keterampilan Fasilitasi

Proses CRSA tergantung pada lingkungan pengendal

Documents

Pendekatan Audit