Audit Programs and Establishing the Audit Universe Mengingat lingkup yang luas dari operasi perusahaan dan manajemen dan komite audit tuntutan untuk jasa audit atestasi internal sangatbanyak, fungsi audit internal menemukan bahwa ada terlalu banyak daerah untuk dimasukkan ke dalam lingkup mereka, diberikan staf, anggaran, dan kendala waktu. fungsi audit internal harus menentukan wilayah dalam lingkup mereka bahwa mereka dapat mempertimbangkan untuk audit internal. Daftar semua potensi daerah untuk mengaudit sering disebut alam semesta audit. Dengan ulasan dan persetujuan oleh komite audit dan manajemen senior,populasi alam semesta audit didirikan entitas auditable untuk setiap fungsi audit internal. Namun, setelah fungsi audit internal telah membentuk ruang lingkup daerah potensial untuk meninjau, chief executive Audit (CAE) dan anggota lain dari tim audit dapat dikenakan daerah risiko analisis dan sebaliknya mengembangkan rencana kegiatan audit internal secara keseluruhan. Pada Bab ini terlihat konsep membangun dan mempertahankan alam semesta audit, fungsi audit internal perusahaan, serta menggunakan semesta itu sebagai dasar untuk menguraikan prosedur audit internal tingkat tinggi, melakukan penilaian risiko, dan membangun program audit internal yang efektif. Selain itu, semua anggota fungsi audit internal harus melaksanakan prosedur audit internal mereka dengan cara yang konsisten dan teratur. Mereka akan mencapai prosedur audit tersebut melalui dokumen yang disebut program audit. Sementara program audit dapat mengikuti format yang berbeda dari satu perusahaan ke yang lain serta untuk jenis audit internal khusus yang berbeda, mereka harus mengikuti format yang konsisten dalam suatu fungsi audit internal. Semua auditor internal harus memiliki CBOK yang kuat tentang bagaimana menggunakan dan membangun program audit internal. Mendefinisikan Ruang Lingkup dan Tujuan Internal Audit Universe Untuk menentukan semesta audit, audit internal harus meninjau atau memahami jumlah entitas potensial baik dari segi unit usaha atau bidang operasi dalam perusahaan dan jumlah unit yang dapat diaudit atau kegiatan di dalam dan di unit-unit bisnis. Entitas auditable dapat didefinisikan dalam beberapa cara, misalnya dengan fungsi atau kegiatan, dengan unit organisasi atau divisi, atau mungkin dengan proyek atau program. Beberapa contoh kegiatan yang dapat diaudit meliputi: Kebijakan, prosedur, dan praktik baik di tingkat perusahaan dan orangorang khusus untuk lokasi, seperti di unit internasional Unit manufaktur, distribusi, atau rantai pasokan Sistem informasi pada infrastruktur dan tingkat aplikasi spesifik Kontrak atau lini produk utama Fungsi seperti pembelian, akuntansi, keuangan, pemasaran Cara kedua memandang entitas tersebut adalah dengan unit bisnis. Suatu perusahaan mungkin memiliki beberapa lini bisnis dengan operasi di seluruh dunia dan mungkin menunjukkan segudang otoritas/tanggung jawab dan pelaporan struktur. Agar internal auditor tidak tersesat dalam kompleksitas membangun struktur perusahaan, semua unit auditable signifikan harus disusun k terorganisir. Definisi unit entitas auditable tergantung pada karakteristik organisasi dan apakah perusahaan secara fungsional terorganisir. Kita harus mendefinisikan entitas yang dapat diaudit dan dengan biaya yang efektif. Contohnya: Pertimbangkan fasilitas manufaktur pabrik dengan banyak unit produksi kecil. Mungkin masuk akal untuk mendefinisikan semua proses manufaktur di masing-masing unit produksi yang lebih kecil sebagai potensi unit diaudit. audit potensi produksi ini akan mencakup semua kegiatan manufaktur di setiap fasilitas, seperti pembelian, penerimaan, jaminan kualitas, pengiriman, dan audit internal individu lain. Tim audit tidak akan meninjau proses individu, seperti menerima, di hanya satu pabrik produksi. audit internal biasanya akan lebih mencakup semua kegiatan manufaktur pabrik. Dalam banyak kasus, mungkin yang paling efisien untuk menunjuk proses umum yang mencakup semua unit yang dapat diaudit secara keseluruhan, terutama jika kebijakan dan prosedur umum mencakup semua unit individu. Dalam membangun deskripsi semesta audit, CAE dan tim audit internal mungkin mulai dengan bagan organisasi yang cukup rinci untuk menggambarkan unit entitas auditable. Ulasan dari unit organisasi ini kadang-kadang bisa menjadi proses yang rumit jika perusahaan memiliki banyak anak perusahaan, unit berdasarkan internasional, usaha patungan, dan sejenisnya serta struktur departemen audit yang kompleks. Namun, penekanan harus ditempatkan pada unit mana CAE memiliki tanggung jawab audit internal. Exhibit 10.1 menunjukkan bagaimana entitas auditable mungkin diidentifikasi dalam perusahaan sampel. Idenya adalah bahwa audit internal harus direncanakan dalam arti up-dan-down di seluruh unit di bagan organisasi. Artinya, audit potensial dapat mencakup semua operasi di sebuah divisi operasi, unit anak perusahaan, fasilitas pabrik, atau unit utama. Tim audit internal juga harus mendefinisikan beberapa pemeriksaan focal point untuk memastikan konsistensi dalam pelaksanaannya semua audit internal potensial. Titik-titik fokus, yang berfungsi sebagai garis besar umum untuk dokumen perencanaan audit dan program kerja audit, membantu menghasilkan tren laporan tentang status kontrol dalam lingkungan kontrol perusahaan. Sebagai contoh, empat Audit khas focal point untuk alam semesta keamanan informasi adalah: 1. 2. 3. 4. IT akses kontrol konfigurasi keamanan sistem Monitoring dan insiden respon manajemen keamanan dan administrasi Demikian pula, empat Audit titik fokus untuk infrastruktur TI elemen alam semesta mungkin: 1. 2. 3. 4. Struktur dan strategi Metodologi dan prosedur Pengukuran dan pelaporan Alat dan teknologi Menilai Kemampuan Internal Audit dan Tujuan Audit internal harus realistis dalam mengembangkan daftar semesta auditnya dan harus mengembangkan pemahaman yang tinggi terhadap risiko kontrol untuk setiap daftar semesta dan menilai apakah ada risiko audit internal dan peluang untuk masing-masing. Berdasarkan daftar awal unit auditable, audit internal harus melangkah lebih jauh untuk mengembangkan dan meningkatkan daftar sumber daya audit. Meskipun mungkin masih ada beberapa ketidakpastian mengenai sifat dari beberapa unit bisnis ini dan masalah pengendalian internal mereka, audit internal harus menganalisis masingmasing calon Audit ini potensi internal dengan cara ini: Menetapkan tujuan pengendalian tingkat tinggi untuk masingmasing semesta audit Idenya adalah untuk menentukan mengapa unit pada daftar tersebut serta potensi tujuan pengendalian audit internal untuk unit tersebut. Menilai risiko tingkat tinggi untuk calon Semesta audit Audit internal harus meninjau setiap calon Semesta audit dan memperkirakan risiko tingkat tinggi untuk perusahaan jika ada kegagalan pengendalian internal utama yang terkait dengan kandidat. Mengkoordinasikan aktivitas audit internal dengan kepentingan audit dan pemerintahan lainnya Sementara audit internal seharusnya resensi perdana pengendalian internal perusahaan, setiap pekerjaan audit yang direncanakan harus dikoordinasikan dengan pihak lain yang berkepentingan. Audit internal harus memiliki peran utama, tapi upaya audit yang direncanakan ini harus dikoordinasikan. Mengembangkan tujuan pengendalian tingkat tinggi untuk audit yang ditunjuk oleh alam semesta audi Tujuan audit tingkat tinggi harus diidentifikasi untuk setiap item yang termasuk dalam alam semesta audit. Ini harus menjadi pernyataan sederhana dari tujuan audit yang direncanakan untuk setiap item di alam semesta audit untuk membantu memastikan bahwa strategi, tujuan, dan ruang lingkup untuk setiap audit meliputi tujuan pengendalian yang relevan (yaitu, cek kelengkapan untuk mengidentifikasi kesenjangan). Mengembangkan kuesioner penilaian kontrol awal untuk setiap audit Dalam banyak kasus, item yang terdaftar di alam semesta audit mengulangi audit internal dari periode sebelumnya. Dalam situasi itu, pedoman audit ini harus diperbarui sebagai proses perubahan dan dievaluasi kembali untuk audit masa depan di daerah masing-masing. Audit Universe Waktu dan Sumber Daya Keterbatasan Data yang dikumpulkan dan asumsi perencanaan akan membantu audit internal untuk membangun dan mempublikasikan alam semesta audit pendahuluan. Dokumen ini menunjukkan daerah di mana audit internal berencana untuk melakukan audit selama periode yang akan datang, tujuan tingkat tinggi. Jadwal juga harus mendokumentasikan asumsi: misalnya, listing audit yang akan dilakukan, ulasan berisiko rendah yang belum dipertimbangkan, audit yang telah dieliminasi karena kesulitan logistik, atau audit yang akan dilakukan oleh badan-badan lainnya. Kesulitan logistik sering berhubungan dengan entitas di beberapa lokasi yang cukup jauhi dari audit tersebut, dan risiko relatif. Audit internal harus mempersiapkan dokumen Semesta audit untuk periode saat ini. Dokumen ini harus ditinjau dengan anggota manajemen senior, kemudian dipresentasikan kepada komite audit untuk persetujuan. Pameran 10.3 adalah bagian dari jadwal semesta audit sampel Global Computer Products. Mirip dengan jadwal anggaran tahunan atau permintaan pendanaan modal, dokumen ini biasanya adalah jauh lebih besar, dokumen analisis yang lebih luas. pameran ini adalah contoh dari apa audit jadwal semesta internal yang mungkin terlihat seperti. “Jual” Semesta Audit kepada Komite Audit dan Manajemen Audit Jadwal semesta harus disiapkan dan diperbarui secara tahunan untuk diperiksa komite audit dan persetujuan, CAE harus memulai perubahan Audit direncanakan intern ini dan membuat penyesuaian sesuai dengan audit rencana tahunan internal dan jadwal. Selain itu, hal ini sering kali untuk audit internal untuk mencari otorisasi untuk perubahan anggaran audit internal ini, tenaga kerja, atau perubahan fungsi lainnya. audit internal akan beroperasi di bawah anggaran perusahaan tahunan, tetapi komite audit yang dapat membuat midstream perubahan-misalnya, untuk menambahkan spesialis staf audit TI baru untuk kelompok audit internal. CAE harus menjaga alam semesta audit dan rencana tahunan pendukung di depan komite audit dan juga meyakinkan, atau “menjual,” konsep permintaan persetujuan kepada komite audit untuk persetujuan yang sedang berlangsung. Semesta audit adalah dasar untuk rencana audit tahunan, dan membantu untuk menyajikan kegiatan audit internal yang sedang berlangsung dan kinerja. Merakit Program Audit: Audit Universe Key Komponen Audit internal harus diatur dan dilakukan dengan cara yang konsisten dengan tujuan meminimalkan prosedur sewenang-wenang atau tidak perlu. Untuk memberikan bantuan dan bimbingan, auditor internal menggunakan program audit untuk melaksanakan prosedur audit internal mereka dengan cara yang konsisten dan efektif untuk jenis yang sama dari audit. Demikian pula, program audit adalah alat untuk merencanakan, memimpin, dan mengendalikan pekerjaan audit dan menentukan langkah-langkah yang akan dilakukan untuk memenuhi tujuan audit. Ini merupakan pemilihan auditor metode terbaik untuk mendapatkan pekerjaan yang dilakukan dan berfungsi sebagai dasar untuk merekam langkah-langkah pekerjaan yang dilakukan. Departemen audit internal yang efektif harus memiliki serangkaian program audit umum yang disiapkan untuk kegiatan audit berulang. Banyak dari program-program ini, seperti salah satu yang meliputi pengamatan pengambilan persediaan fisik, digunakan dari tahun ke tahun dan entitas untuk entitas dengan sedikit perubahan. Dalam situasi lain, auditor internal mungkin harus mengubah program standar untuk aspek-aspek unik dari audit tertentu. Dalam beberapa situasi, sebuah program audit standar tidak akan berlaku. Sebagai contoh, auditor internal mungkin ingin meninjau kontrol dalam badan usaha baru dengan beberapa karakteristik kontrol yang unik, atau audit manajemen mungkin ingin mengambil pendekatan yang berbeda karena masalah yang dihadapi dengan ulasan sebelumnya yang serupa. Dalam rangka mempersiapkan program ini, auditor internal pertama harus memiliki pemahaman tentang karakteristik apa yang merupakan program audit yang memadai. (a) Audit Program Format dan Persiapan mereka Program audit adalah prosedur yang menjelaskan langkah-langkah dan tes yang akan dilakukan oleh auditor ketika benar-benar melakukan kerja lapangan. Program ini harus diselesaikan setelah selesainya survei pendahuluan dan lapangan dan sebelum memulai kerja lapangan audit yang sebenarnya. Ini harus dibangun dengan beberapa kriteria, yang paling penting adalah bahwa program ini harus mengidentifikasi aspek daerah yang akan diperiksa lebih lanjut dan daerah sensitif yang memerlukan penekanan audit. Sebuah tujuan penting kedua program audit adalah bahwa hal itu harus membimbing keduanya kurang dan lebih berpengalaman auditor internal. Sebagai contoh, manajemen dapat meminta departemen audit internal mengamati persediaan fisik tahunan. jenis ulasan ini terdiri dari prosedur yang cukup standar untuk memastikan, antara lain, bahwa pengiriman dan penerimaan cutoff prosedur yang tepat. Sebuah internal auditor yang kurang berpengalaman mungkin tidak menyadari langkah-langkah prosedur ini, dan bahkan auditor internal yang berpengalaman mungkin lupa satu atau yang lain. Program audit menguraikan langkah-langkah audit yang diperlukan. Departemen audit internal didirikan mungkin akan telah membangun sebuah perpustakaan program, didirikan dari waktu ke waktu, untuk tugas-tugas seperti pengamatan fisik persediaan atau ulasan aktiva tetap. Ketika merencanakan review di mana program-program yang ditetapkan tersebut ada, manajemen audit hanya perlu menggunakan program ini sementara mempertimbangkan kondisi berubah yang telah ditemukan melalui survei pendahuluan atau lapangan. Program audit direvisi seperlunya, dengan perubahan disetujui oleh manajemen Audit sebelum dimulainya pemeriksaan. Pameran 10.4 adalah program audit untuk review kontrol kas kecil di unit cabang. Ini terdiri dari prosedur audit umum untuk meninjau uang tunai di setiap unit organisasi multifacility. Kontrol petty kas adalah salah satu yang lebih kecil, kekhawatiran pengendalian internal yang kurang penting dalam banyak organisasi. Namun, auditor internal secara teratur melakukan langkah ini. Program ini menunjukkan langkah-langkah yang agak sederhana yang harus dimasukkan dalam setiap pemeriksaan tersebut dan menggambarkan contoh program audit. Program audit ini ditampilkan sebagai dokumen kertas tradisional. Namun, dengan dunia sekarang ini sistem laptop auditor, dan pada dasarnya semua program tersebut akan menjadi sumber daya perpustakaan pada sistem laptop. Program dasar akan dibangun sebagai bentuk aman, sehingga auditor internal dapat menggunakan langkah-langkah untuk melakukan review tetapi tidak memiliki wewenang untuk melakukan perubahan pada prosedur terdokumentasi. program audit checklist pameran ini pernah format yang paling umum audit internal ini. auditor akan diberi program audit terdiri dari daftar panjang pertanyaan yang membutuhkan ya, tidak, atau tidak respon yang berlaku dan akan menyelesaikan langkah-langkah Program ini baik melalui pemeriksaan dokumen atau wawancara. Format program audit checklist ini memiliki dua kelemahan. Pertama, sementara serangkaian tanggapan wawancara auditee ya-atau-tidak-jenis dapat menyebabkan auditor yang berpengalaman untuk melihat masalah daerah atau untuk mengajukan pertanyaan lain, titik-titik yang sama mungkin akan terjawab ketika auditor kurang berpengalaman hanya menyelesaikan kuesioner dan tidak melampaui yeses dan nos untuk melihat di mana mereka mungkin memimpin. Sebuah program audit yang berorientasi prosedur-baik mendorong tindak lanjut penyelidikan di daerah lain di mana informasi yang dikumpulkan dapat menimbulkan pertanyaan. Kedua, program audit kuesioner-format ini juga cenderung menyebabkan auditor untuk mengabaikan masalah bukti yang diperlukan. auditor berpengalaman dapat terlalu mudah memeriksa ya pada kuesioner tanpa menentukan, misalnya, apakah respon yang benar didukung oleh bukti audit. Pertimbangkan pertanyaan mengenai apakah beberapa dokumen penting secara teratur disetujui. Sangat mudah untuk mengajukan pertanyaan, menerima jawaban ya, dan tidak pernah menindaklanjuti untuk melihat apakah dokumen-dokumen sebenarnya telah disetujui. Setiap format program audit ini akan bekerja untuk berbagai jenis ulasan yang diberikan auditor internal memberikan beberapa pemikiran untuk pertanyaan. Program audit dengan instruksi atau prosedur rinci mengasumsikan bahwa auditor menggunakan beberapa kekurangan dari pengetahuan teknis yang diperlukan untuk melakukan review. Program-program tersebut sering dikembangkan untuk ulasan satu kali dari daerah yang cukup khusus dan disiapkan oleh manajemen audit atau spesialis audit yang berpengetahuan dengan pengetahuan yang memadai untuk merencanakan semua prosedur audit yang diperlukan. Format ini langkah-demi-langkah berguna ketika sekelompok audit manajemen terpusat dengan auditor terpencil di lapangan ingin memiliki semua auditor lapangan melaksanakan prosedur audit yang sama. Tidak ada format terbaik atau ditetapkan untuk program audit; Namun, program ini harus menjadi dokumen yang auditor dapat digunakan untuk memandu upaya mereka serta untuk merekam aktivitas. (a) Jenis Program Bukti Audit Auditor internal harus memeriksa dan mengevaluasi informasi tentang segala hal yang berkaitan dengan tujuan audit yang direncanakan. Auditor internal harus mengumpulkan bukti audit untuk mendukung evaluasi, apa standar audit internal sebut cukup, kompeten, relevan, dan berguna. Program audit, benar dibangun, harus membimbing auditor dalam proses bukti-pengumpulan ini. Internal auditor akan menemukan beberapa jenis bukti yang dapat berguna dalam mengembangkan kesimpulan audit. auditor internal akan menghadapi berbagai tingkat bukti audit dan harus berusaha untuk merancang prosedur audit mereka untuk mencari dan bergantung pada bukti audit terbaik yang tersedia. Pameran 10,6 menyediakan beberapa rentang bukti terbaik untuk klasifikasi yang berbeda dari bahan. Langkah-langkah audit yang sebenarnya dilakukan akan tergantung pada karakteristik entitas yang diaudit. Audit berorientasi finansial dari kredit dan koleksi fungsi akan sangat berbeda dari kajian operasional dari departemen teknik desain. Audit keuangan mungkin termasuk konfirmasi independen dari saldo rekening; audit operasional mungkin termasuk wawancara ekstensif dengan manajemen dan dokumentasi pendukung untuk menilai pengendalian internal kunci. Meskipun perbedaan ini, semua audit internal harus dilakukan dan diawasi mengikuti seperangkat umum prinsip-prinsip atau standar. Hal ini akan menjamin bahwa audit internal benar diarahkan dan dikendalikan. Universe Audit dan Pemeliharaan Program Dokumen Audit semesta adalah gambaran umum dari semua unit audit yang internal fungsi audit perusahaan dapat meninjau. Ini adalah rencana yang mendefinisikan luas dan ruang lingkup kegiatan audit internal. Untuk batas tertentu, jika dipertanyakan setelah fakta mengapa kelompok audit internal tidak pernah dijadwalkan review di beberapa daerah, audit internal dapat menunjukkan bahwa daerah itu tidak termasuk dalam rencana audit internal tahunan tetapi, yang lebih penting, tidak pernah didefinisikan sebagai bagian dari internal deskripsi semesta audit. alam semesta adalah peta-gambaran besar yang meliputi wilayah audit internal dan batas-batas. Ini harus digunakan sebagai dasar untuk berkomunikasi dengan komite audit dan untuk perencanaan kegiatan audit internal yang sedang berlangsung. Dokumen Audit alam semesta bukanlah sesuatu yang harus diubah secara teratur setiap kali ada beberapa perubahan usaha kecil. Namun, audit internal harus memiliki proses di tempat untuk menjaga audit alam semesta saat ini dan diperbarui dengan ulasan mungkin biasa kuartalan. ulasan ini sering baik kali untuk CAE untuk menjelaskan kepada komite audit perubahan dalam lingkup dan operasi audit internal ini. Alam semesta audit yang efektif mendefinisikan perencanaan tahunan audit internal dan menjadi kendaraan untuk menggambarkan kegiatan fungsi audit internal. Bab ini telah memperkenalkan beberapa format dan membahas pentingnya program audit yang efektif. Fungsi audit internal yang efektif perlu membentuk serangkaian program audit standar yang mencakup semua kegiatan audit rutin. Sementara beberapa audit internal yang dilakukan secara khusus, hampir satu kali, banyak orang lain menutup kegiatan audit internal yang teratur yang dapat diulang setiap tahun atau bahkan tiga bulan. audit internal perlu mengembangkan format program audit standar untuk semua ulasan serta prosedur standar untuk beberapa rutin audit internal, berulang-ulang. program audit dulunya dokumen kertas yang kadang-kadang hilang atau tidak benar dimodifikasi. Hari ini, bagaimanapun, mereka terorganisir sebagai dokumen elektronik yang terpusat dikendalikan dan terletak di laptop auditor. Mereka dapat menjadi alat pembelajaran bagi auditor internal masuk dan mekanisme yang digunakan untuk mempersiapkan audit internal yang konsisten dan lebih efektif. Pemahaman tentang bagaimana membangun dan menggunakan semesta audit fungsi audit internal serta mendukung program audit merupakan persyaratan audit yang CBOK intern kunci. anggota senior tim audit internal harus memiliki pemahaman keseluruhan bagaimana membangun dan menggunakan alat ini. anggota staf audit internal harus memahami penggunaan mereka dan bagaimana mereka cocok dalam proses audit internal secara keseluruhan. Mungkin bahkan lebih penting, auditor internal di semua tingkatan harus memiliki pemahaman CBOK yang kuat membangun dan menggunakan program audit yang konsisten dengan standar departemen audit mereka didirikan.