PROSES AUDIT Titien S. Sukamto

advertisement
PROSES AUDIT
Titien S. Sukamto
TAHAPAN AUDIT
Proses audit terdiri dari tahapan berikut :
1. Planning (Perencanaan)
2. Fieldwork and documentation (Kunjungan langsung ke lapangan dan Dokumentasi)
3. Issue discovery and validation (Penemuan masalah dan validasi)
4. Solution development (Pengembangan solusi)
5. Report drafting and issuance ( Penyusunan laporan)
6. Issue tracking (Pelacakan masalah)
1. PLANNING (PERENCANAAN)
Sebelum memulai audit, tetapkan dulu apa yang direncanakan akan di tinjau. Jika
proses perencanaan bisa berjalan efektif, tim Audit akan sukses dalam
melaksanakan audit. Sebaliknya, jika Audit dilaksanakan tanpa perencanaan yang
matang, Audit akan gagal.
Tujuan proses perencanaan adalah untuk menetapkan sasaran dan ruang lingkup
dari Audit.
Ada serangkaian proses dalam tahapan ini yang perlu dilakukan untuk menentukan
sasaran Audit. Proses perencanaan Audit ini membutuhkan research, pemikiran dan
konsiderasi yang hati-hati untuk masing-masing Audit.
BAGIAN DALAM TAHAP PLANNING
(PERENCANAAN)
1. Penyerahan dari Manajer Audit
2. Preliminary survey
3. Permintaan konsumen
4. Penyesuaian standard (Standard checklist)
5. Research (penelitian)
1.1 PENYERAHAN DARI MANAJER AUDIT
1.2 PRELIMINARY SURVEY
1.1. Jika audit dimasukkan ke dalam rencana audit, pasti ada alasannya. Manajer
audit harus menyampaikan informasi yang merujuk kepada kegiatan Audit yang
dijadwalkan.
Termasuk di dalamnya informasi yang didapatkan dari komentar manajemen TI.
Manajer audit harus dapat menyediakan kepada tim audit kunci-kunci utama dalam
audit.
1.2. Tim audit harus menghabiskan waktu sebelum pelaksanaan audit (formal) untuk
melaksanakan preliminary survey di lingkup area yang akan di review, untuk
memahami apa yang akan di audit.
Preliminary survey juga meliputi wawancara dengan konsumen audit/Auditee untuk
memahami fungsi dari sistem atau proses yang ditinjau/review. Tujuannya adalah
untuk mendapatkan dasar dan memahami area yang akan di audit.
1.3 PERMINTAAN KONSUMEN
1.4 STANDARD CHECKLIST ; 1.5 RESEARCH
1.3. Proses audit haruslah kolaboratif dan kooperatif. Untuk mencapai hal ini,
konsumen audit harus merasa bahwa mereka memiliki ownership dalam proses audit.
Tim audit harus menanyakan kepada konsumen apa area yang mereka rasa perlu
untuk di tinjau dan area apa yang mereka khawatirkan. Input ini nantinya akan
digabungkan dengan hasil sasaran auditor untuk menentukan lingkup audit.
1.4. Departemen audit organisasi biasanya memiliki checklist untuk sistem dan proses
standar di perusahaan.
1.5. Terakhir, bahan dari internet, buku dan pelatihan dapat dijadikan referensi dan
digunakan untuk mendapatkan informasi atas area yang akan di audit.
PENILAIAN ( ASSESSMENT )
Setelah sumber daya siap, auditor harus menjalankan sebuah penilaian atas risiko
dari area yang akan di review untuk mengidentifikasi langkah yang harus
dilaksanakan selama audit.
Auditor harus memahami tujuan bisnis dari area yang akan di audit,
mempertimbangkan risiko dari tujuan bisnis tersebut, dan mengidentifikasi jika ada
bentuk pengendalian internal untuk mitigasi risiko.
Hasil kegiatan ini, akan menetapkan ruang lingkup audit, penyampaian ruang
lingkup audit, dan penetapan langkah-langkah yang harus dilakukan dalam ruang
lingkup tersebut.
Langkah-langkah ini harus didokumentasi dengan rincian yang cukup untuk membantu
auditor menjalankan audit dengan mengerti bahaya dan risiko dari setiap langkah.
PENJADWALAN DAN KICK-OFF MEETING
Penjadwalan merupakan elemen penting dalam proses perencanaan. Penjadwalan
audit harus mempertimbangkan kepentingan dan kenyamanan tim audit dan auditee.
Diakhir proses perencanaan, kick-off meeting harus dilakukan dengan Auditee
sehingga Auditor dapat menyampaikan apa ruang lingkup audit dan menerima
masukan final.
Selama pertemuan ini, Auditor harus terbuka dan fleksibel terhadap masukan
Auditee.
2. FIELDWORK DAN DOKUMENTASI
Fase sebelumnya telah menetapkan langkah-langkah yang harus dilakukan saat audit, pada
fase ini tim Audit mulai mengeksekusi.
Sekarang, tim Audit mulai mengumpulkan data dan menjalankan wawancara yang akan
membantu untuk analisa risiko potensial dan menetapkan risiko mana yang tidak dimitigasi
dengan baik.
Dokumentasi juga merupakan bagian yang penting pada fase ini. Auditor harus membuat
dokumentasi atas pekerjaan mereka, agar kesimpulan dapat dibuktikan.
Setiap pekerjaan audit yang dilakukan harus didokumentasikan secara rinci sehingga
penerima informasi dapat mengerti apa yang telah dilakukan dan mencapai kesimpulan yang
sama dengan Auditor.
Dokumen tersebut akan menceritakan, apa yang telah dilakukan Auditor, apa yang telah
ditemukan, apa kesimpulan Auditor, dan mengapa dapat mencapai kesimpulan tersebut.
2. FIELDWORK DAN DOKUMENTASI CONT...
Proses dokumentasi memang menjemukan tetapi merupakan hal yang penting.
Pertama, hal ini merupakan standar profesional.
Kedua, akan ada kemungkinan ke dapannya penemuan Audit akan dipertanyakan
atau diragukan, dan Auditor yang melakukan Audit waktu itu tidak lagi bekerja di
departemen/perusahaan yang sama, sehingga dengan adanya dokumen dapat
menjelaskan kesimpulan Audit.
Ketiga, jika akan dilakukan Audit lagi, dokumentasi audit sebelumnya akan
membantu tim Audit selanjutnya untuk belajar dari pengalaman tim sebelumnya,
dengan begitu akan menciptakan peluang improvement dan efisiensi.
2. FIELDWORK DAN DOKUMENTASI CONT...
Pada fase perencanaan, Auditor dan organisasi mengembangkan checklist atas apa
yang akan di tinjau saat Audit. Saat fieldwork, pastikan checklist tersebut tidak
membuat Tim Audit “kaku” terhadap penilaian mereka. Tim Audit harus tetap
fleksibel selama pelaksanaan Audit, dan siap untuk mengembangkan/menemukan
sesuatu yang tidak dipersiapkan pada fase perencanaan.
Auditor harus objektif dan tidak bergerak hanya berdasarkan “script”.
3. PENEMUAN ISU DAN VALIDASI
Fase ini merupakan fase penting dalam proses Audit, dan Auditor harus menganalisa
masalah/isu potensial untuk menjamin bahwa isu tersebut valid dan relevan.
Auditor lebih baik berdiskusi dengan Auditee secepat mungkin, jangan tunggu
sampai proses Audit selesai. Keuntungannya, 1) Auditee tidak akan menerima
tumpukan masalah, 2) Auditor dapat memastikan bahwa informasi dan fakta yang
mereka temukan valid.
Auditor perlu melakukan validasi bahwa risiko yang muncul melalui isu cukup
signifikan dan pantas untuk dilaporkan dan dibahas. “Don’t raise issues for the sake
of raising issues”. Pertimbangkan juga kendali mitigasi, dan pahami seluruhnya
sebelum menetapkan apakah isu tersebut perlu dilaporkan atau tidak.
4. PENGEMBANGAN SOLUSI
Setelah mengidentifikasi masalah/isu pada lingkup area yang di Audit dan telah
memvalidasi fakta dan risiko, mulailah bersama dengan Auditee mengembangkan
action plan untuk menyelesaikan isu.
Penemuan masalah saja tidak cukup jika tidak dibahas dan diselesaikan.
Terdapat beberapa pendekatan dalam menganalisa dan membahas isu yang
muncul:
1. Pendekatan rekomendasi (The Recommendation Approach)
2. Pendekatan respon manajemen (The management-response approach)
3. Pendekatan solusi (The Solution Approach)
PENDEKATAN REKOMENDASI
Merupakan pendekatan yang paling umum, dimana Auditor menampilkan isu disertai
rekomendasi untuk penyelesaian. Kemudian, Auditor meminta persetujuan Auditee
untuk rekomendasi yang diusulkan, jika iya maka akan dilakukan.
Jenis pendekatan ini dapat dijalankan dengan baik oleh tim Audit yang
knowledgeable. Sayagnya, Auditee menjadi merasa kurang dilibatkan dalam action
plan, karena mereka hanya menjalankan apa yang diinformasikan oleh Auditor.
Padahal sebenarnya yang paling mengenali area yang diaudit adalah Auditee,
maka dari itu mereka punya hak untuk menentukan solusi atas masalah yang ada.
Jika pendekatan ini digunakan, penting untuk meminta Auditee ikut melaksanakan
brainstorming untuk memutuskan bagaimana penyelesaian masalah sebelum Auditor
mendokumentasikan rekomendasinya. Bukan berarti Auditor tida bisa mengemukakan
ide, mereka harus, tetapi pointnya adalah melibatkan Auditee.
PENDEKATAN RESPON MANAJEMEN
Dengan pendekatan ini, Auditor mengembangkan serangkaian daftar isu dan
kemudian memberikannya kepada Auditee untuk mendapatkan respon/tanggapan
mereka dan action plan.
Terkadang Auditor memberikan daftar isu bersamaan dengan rekomendasi,
terkadang juga tidak.
Melalui pendekatan ini, respon/tanggapan dari Auditee akan dimasukkan ke dalam
laporan Audit.
Cara kerja pendekatan ini adalah, Auditor melaporkan apa yang mereka temukan
kepada Auditee, Auditee diharapkan memberikan tanggapan, entah berupa
rekomendasi penyelesaian atau hanya mengakui adanya isu dan tidak memberikan
langkah selanjutnya. Kemudian, apapun itu, dituliskan oleh Auditor ke dalam
laporannya.
PENDEKATAN RESPON MANAJEMEN CONT...
Jika ingin menggunakan pendekatan ini, usahakan sebelum mengirimkan daftar isu
dan rekomendasi Auditor kepada Auditee, pikirkan solusi dimana akan membuat
semua pihak yang terlibat nyaman.
Minimal, minta persetujuan mereka.
PENDEKATAN SOLUSI
Dengan pendekatan ini, Auditor bersama dengan Auditee mengembangkan sebuah
solusi yang merupakan persetujuan atas action plan. Pendekatan ini merupakan
kombinasi dari kedua pendekatan yang lain.
Auditor mengemukakan rekomendasi berdasarkan pengetahuan mereka, dan
Auditee mengemukakan ide rekomendasi berdasarkan pada pengalaman mereka di
lapangan. Hasilnya berupa rekomendasi yang dimiliki oleh Auditee dan memuaskan
Auditor. Karena merasa dilibatkan, Auditee akan lebih ingin untuk mengikuti
rekomendasi yang ada.
Pada pendekatan ini, pengembangan solusi harus benar-benar kolaboratif.
PANDUAN DALAM PENGEMBANGAN SOLUSI
Apapun jenis pendekatan yang digunakan untuk mengembangkan solusi, hal yang
perlu diperhatikan adalah menentukan siapa yang bertanggungjawab untuk eksekusi
action plan dan penentuan deadline penyelesaiannya. Hal ini akan menjadi dasar
follow-up activity.
Penting bagi Auditor untuk bekerja sama dengan Auditee agar dapat fleksibel
dalam menetapkan deadline penyelesaian masalah. Buatlah deadline yang realistis,
dimana Auditee merasa nyaman.
Tugas Auditor adalah mengidentifikasi risiko dan memastikan bahwa manajemen
paham tentang risiko tersebut, sehingga keputusan dapat dibuat. Auditor harus
dapat menentukan analisa risiko dilakukan oleh manajemen di level apa.
5. PENYUSUNAN DAN PENERBITAN LAPORAN
Setelah penemuan isu, validasi isu, kembangkan solusi, kemudian Auditor mulai dapat
menyusun laporan Audit.
Fungsi laporan Audit : 1) bagi Auditor dan Auditee, merupakan catatan atas audit,
hasilnya, dan action plan; 2) bagi manajemen senior dan komite aduit, sebagai
“report card” dari area yang di audit.
Elemen penting dalam Laporan Audit :
 Pernyataan ruang lingkup Audit : jelaskan dalam laporan apa yang termasuk dalam proses audit,
bahkan bila perlu apa yang tidak, agar tidak terjadi kesalahpahaman.
 Executive Summary
 Daftar isu/masalah bersama dengan rencana penyelesaian
5. PENYUSUNAN DAN PENERBITAN LAPORAN
CONT...
 Executive Summary : berisi sinopsis dari laporan audit, agar orang yang tidak memiliki waktu untuk
membaca semua laporan sudah dapat memahami isi laporan melalui Executive Summary. Merupakan
stand-alone dokumen informatif. Executive summary harus berisi informasi aktual, sehingga manajemen
dapat mengerti fakta yang paling penting dan relevan
 Daftar Isu dan Action Plans : berisi perincian isu signifikan yang ditemukan selama proses audit dan
apa yang harus dilakukan untuk memperbaiki isu tersebut. Bagian ini menunjukkan: 1) jenis isu, 2)
risiko, 3) solusi, 4) orang/individu yang bertanggug jawab menyelesaikan, 5) deadline penyelesaian.
5. PENYUSUNAN DAN PENERBITAN LAPORAN
CONT...
Penambahan elemen lain dalam Laporan : pertimbangkan unuk menambahkan elemen lain ke dalam
laporan Audit di luar ketiga elemen penting yang telah disebutkan
 Pengendalian utama : informasi mengenai adanya bentuk pengendalian yang baik, yang telah
ditetrapkan dan dilakukan oleh Auditee di lingkup audit.
 Closed item : jika saat pelaksanaan audit, Auditee berhasil menyelesaikan masalah yang ada. Berisi
daftar isu yang ditemukan dan telah diselesaikan.
 Minor issues : isu-isu kecil yang tidak berisiko tinggi.
5. PENYUSUNAN DAN PENERBITAN LAPORAN
CONT...
Distribusi Laporan Audit
Setelah laporan disusun, biarkan Auditee me-review dan berkomentar sebelum
disahkan.
Auditor harus mau menerima perubahan kecil yang berasal dari masukan Auditee,
selama tidak merubah intinya. Yang penting Auditee merasa nyaman dengan
laporan Audit.
Distribusikan laporan Audit kepada manajemen senior, komite audit, level manajemen
lain dan Auditee lainnya yang perlu.
6. ISSUE TRACKING
Hal yang biasa bagi Auditor untuk merasa bahwa audit telah selesai setelah
penyerahan laporan. Namun, laporan audit saja tanpa adanya follow-up activity,
tidak bernilai bagi oganisasi.
Audit belum benar-benar selesai jika masalah yang ditemukan saat audit belum
diselesaikan, diperbaiki atau dimengerti oleh level manajemen. Departemen audit
organisasi harus mengembangkan proses dimana anggotanya dapat mengecek dan
melanjutkan penyelesaian masalah sampai selesai.
Akan lebih baik jika Auditor yang melaksanakan audit lah yang bertanggung jawab
untuk mengikuti perkembangan aksi/tindakan yang dilakukan oleh Auditee setelah
proses auditnya selesai. Auditor jangan menunggu deadline baru menghubungi
Auditee, tapi secara teratur mencoba menghubungi dan menanyakan sejauh mana
progress tindakan yang telah dilakukan.
6. ISSUE TRACKING CONT...
Tujuannya :
 memudahkan Auditor untuk berkonsultasi dengan Auditee untuk langkah pengambilan keputusan
 Auditor dapat mengetahui jika solusi yang diterapkan tidak sesuai dengan yang diharapkan
 jika masalah/isu tidak terselesaikan, departemen audit dapat mencoba menganalisa masalah
sebelum terlambat.
Jika masalah tidak ditangani sesuai dengan yang disepakati, Auditor bertanggung hawab
untuk meningkatkan prosedur yang dibutuhkan, tetapi tidak semua jenis masalah perlu untuk
di-eskalasi sampai ke tingkat komite Audit. Auditor harus bisa menetapkan terlebih dahulu
tingkat risiko dan tingkat manajemen apa yang perlu waspada terhadap risikonya.
Proses eskalasi merupakan jalan terakhir, dan seharusnya bukan masalah teknis/mekanis.
Jalan pertama adalah Auditor menemui Auditee yang berkepentingan dan mencari tahu apa
alasan dari kegagalan solusi. Kedua, jika perlu pikirkan pemberian perpanjangan waktu
deadline penyelesaian.
REFERENSI
Chris Davis et.al. IT Auditing: Using Controls to protect Information Assets. 2nd Edition.
2011.
Download