Menggunakan Pendekatan Berbasis Risiko secara Top-down untuk Mengidentifikasi Pengendalian yang Akan Dinilai dalam Penugasan Audit Internal

Dalam Standar butir 2200 tentang Perencanaan Penugasan disebutkan bahwa auditor internal harus mengembangkan dan mendokumentasikan rencana untuk setiap penugasan; yang meliputi tujuan, ruang lingkup, dan waktu penugasan, serta alokasi sumber daya yang dibutuhkan.

Selanjutnya IIA memberikan panduan lebih lanjut sebagai berikut:

  1. Panduan berikut ini digunakan bersama-sama dengan PA 2010-2: Menggunakan Manajemen Proses Risiko dalam Perencanaan Audit Internal, PA 2210-1: Tujuan Penugasan, dan PA 2210.A1-1: Penilaian Risiko dalam Perencanaan Penugasan, serta PG GAIT-R.
  2. Pastikan bahwa tujuan penugasan audit internal telah ditentukan dan risiko telah diidentifikasi dalam proses perencanaan audit internal.
  3. Istilah “Top-down” mengacu pada dasar penetapan ruang lingkup pada risiko yang signifikan bagi organisasi secara keseluruhan. Hal ini untuk membedakan pengembangan lingkup berdasarkan risiko pada segmen atau lokasi audit tertentu, yang mungkin bagi organisasi secara keseluruhan tidak signifikan. Jadi, pendekatan top-down ini untuk memastikan bahwa audit internal difokuskan, sebagaimana disebutkan dalam PA 2010-2, pada “memberikan assurance pada manajemen atas risiko-risiko yang signifikan.”
  4. Sebuah sistem pengendalian internal biasanya mencakup baik pengendalian secara manual ataupun secara terotomasi. (Perlu diingat bahwa ini berlaku untuk pengendalian di setiap tingkatan – entitas, proses bisnis, dan pengendalian umum teknologi informasi (TI) – serta di setiap komponen kerangka pengendalian, seperti kegiatan-kegiatan pada lingkungan pengendalian, penilaian risiko, monitoring, yang mungkin juga terotomasi). Kedua jenis pengendalian ini harus dinilai untuk menentukan apakah risiko bisnis telah dikelola secara efektif. Lebih khusus lagi, auditor internal harus menilai apakah telah terdapat kombinasi yang tepat di antara pengendalian-pengendalian tersebut, termasuk yang terkait dengan TI, untuk memitigasi risiko bisnis hingga batas yang ditoleransi oleh organisasi. Auditor internal juga perlu menilai dan mengonfirmasi bahwa toleransi risiko yang ditetapkan oleh organisasi masih sesuai dengan kondisi terkini.
  5. Ruang lingkup audit internal perlu menyertakan semua pengendalian yang diperlukan untuk memberikan jaminan yang wajar (reasonable assurance) bahwa risiko dapat dikelola secara efektif (lihat komentar pada butir 10 di bawah). Pengendalian-pengendalian ini disebut sebagai pengendalian kunci yang diperlukan untuk mengelola risiko-risiko dalam pencapaian tujuan bisnis yang penting. Hanya pengendalian-pengendalian kunci inilah yang perlu dinilai. Meskipun, auditor internal tetap dapat memilih untuk menilai pengendalian-pengendalian non-kunci (misalnya, pegendalian yang berlebihan atau duplikasi) sepanjang ada nilai bisnis yang diberikan. Auditor internal dapat mendiskusikan perlu-tidaknya penilaian pengendalian non-kunci tersebut dengan manajemen.
  6. Perlu dicatat bahwa di dalam organisasi yang telah memiliki program manajemen risiko yang matang dan efektif, pengendalian kunci yang diandalkan untuk mengelola risiko terkait biasanya telah diidentifikasi. Dalam hal seperti ini, auditor internal perlu untuk menilai apakah identifikasi manajemen dan penilaian pengendalian kunci yang mereka lakukan telah memadai.
  7. Pengendalian kunci dimaksud di atas dapat berupa:
    • Pengendalian pada tingkat entitas (misalnya, karyawan telah menerima pelatihan dan memahami kode etik perilaku). Pengendalian pada tingkat entitas ini bisa dilakukan secara manual, terotomasi sebagian, atau terotomasi sepenuhnya.
    • Pengendalian manual dalam proses bisnis (misalnya, pengendalian persediaan secara fisik).
    • Pengendalian yang terotomasi sepenuhnya dalam proses bisnis (misalnya, pencocokan atau update akun dalam general ledger).
    • Pengendalian yang terotomasi sebagian dalam proses bisnis (disebut juga “hybrid” atau pengendalian tergantung-TI), dimana pengendalian-pengendalian selain manual bergantung pada fungsionalitas sistem aplikasi. Jika kesalahan dalam fungsionalitas TI tersebut tidak terdeteksi, seluruh pengendalian bisa menjadi tidak efektif. Sebagai contoh, pengendalian kunci untuk mendeteksi pembayaran ganda dilakukan dengan cara mereview secara manual laporan yang dihasilkan oleh sistem. Bagian pengendalian secara manual dalam kasus tersebut tidak dapat memastikan bahwa laporan telah komplet memuat seluruh pembayaran. Oleh karena itu, fungsionalitas aplikasi yang menghasilkan laporan tersebut juga harus masuk dalam ruang lingkup pengendalian kunci yang dinilai.
      Auditor internal dapat menggunakan metode atau kerangka selain di atas, asalkan semua pengendalian kunci yang diandalkan untuk mengelola risiko dapat diidentifikasi dan dinilai, termasuk pengendalian manual, pengendalian terotomasi, serta pengendalian umum TI.
  8. Pengendalian yang terotomasi sepenuhnya atau sebagian – baik pada tingkat entitas atau dalam proses bisnis – biasanya mengandalkan pada desain yang tepat dan berjalannya pengendalian umum TI secara efektif. GAIT-R membahas proses-proses yang disarankan untuk mengidentifikasi pengendalian umum kunci dalam bidang TI.
  9. Penilaian pengendalian-pengendalian kunci dapat dilakukan dalam satu penugasan audit yang terintegrasi atau kombinasi beberapa penugasan audit internal. Sebagai contoh, satu penugasan audit ditujukan pada pengendalian kunci yang dilakukan oleh satu pengguna proses bisnis, penugasan yang lain ditujukan pada pengendalian umum kunci TI, dan penugasan ketiga ditujukan pada pengendalian terkait yang berjalan pada tingkat entitas. Penugasan seperti ini lazim pada kondisi di mana terdapat pengendalian bersama/common controls (terutama yang ada di tingkat entitas atau dalam pengendalian umum TI) yang diandalkan untuk lebih dari satu area risiko.
  10. Sebagaimana disebutkan pada butir 5 di atas, sebelum memberikan opini efektivitas manajemen risiko yang dicakup dalam ruang lingkup audit internal, perlu untuk menilai efektivitas kombinasi semua pengendalian kunci. Bahkan jika dilakukan beberapa penugasan audit internal khusus untuk masing-masing pengendalian kunci, auditor internal tetap perlu untuk memasukkan dalam lingkup (setidaknya di salah satu penugasan audit internal tersebut) desain pengendalian-pengendalian kunci secara keseluruhan dan apakah kombinasi tersebut cukup efektif untuk mengelola risiko organisasi tetap dalam batas toleransi.
  11. Jika lingkup audit internal (setelah mempertimbangkan seluruh penugasan audit internal seperti dibahas dalam butir 9) hanya dapat mencakup beberapa, bukan semua, pengendalian kunci yang diperlukan untuk mengelola risiko yang ditargetkan, pembatasan ruang lingkup harus dipertimbangkan dan dikomunikasikan dengan jelas dalam notifikasi dan laporan final penugasan.

Referensi:

  • Practice Advisory  2200-2: Using a Top-down, Risk-based Approach to Identify the Controls to Be Assessed in an Internal Audit Engagement (April 2010)

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s