PROSES AUDIT Titien S. Sukamto TAHAPAN AUDIT Proses audit terdiri dari tahapan berikut : 1. Planning (Perencanaan) 2. Fieldwork and documentation (Kunjungan langsung ke lapangan dan Dokumentasi) 3. Issue discovery and validation (Penemuan masalah dan validasi) 4. Solution development (Pengembangan solusi) 5. Report drafting and issuance ( Penyusunan laporan) 6. Issue tracking (Pelacakan masalah) 1. PLANNING (PERENCANAAN) Sebelum memulai audit, tetapkan dulu apa yang direncanakan akan di tinjau. Jika proses perencanaan bisa berjalan efektif, tim Audit akan sukses dalam melaksanakan audit. Sebaliknya, jika Audit dilaksanakan tanpa perencanaan yang matang, Audit akan gagal. Tujuan proses perencanaan adalah untuk menetapkan sasaran dan ruang lingkup dari Audit. Ada serangkaian proses dalam tahapan ini yang perlu dilakukan untuk menentukan sasaran Audit. Proses perencanaan Audit ini membutuhkan research, pemikiran dan konsiderasi yang hati-hati untuk masing-masing Audit. BAGIAN DALAM TAHAP PLANNING (PERENCANAAN) 1. Penyerahan dari Manajer Audit 2. Preliminary survey 3. Permintaan konsumen 4. Penyesuaian standard (Standard checklist) 5. Research (penelitian) 1.1 PENYERAHAN DARI MANAJER AUDIT 1.2 PRELIMINARY SURVEY 1.1. Jika audit dimasukkan ke dalam rencana audit, pasti ada alasannya. Manajer audit harus menyampaikan informasi yang merujuk kepada kegiatan Audit yang dijadwalkan. Termasuk di dalamnya informasi yang didapatkan dari komentar manajemen TI. Manajer audit harus dapat menyediakan kepada tim audit kunci-kunci utama dalam audit. 1.2. Tim audit harus menghabiskan waktu sebelum pelaksanaan audit (formal) untuk melaksanakan preliminary survey di lingkup area yang akan di review, untuk memahami apa yang akan di audit. Preliminary survey juga meliputi wawancara dengan konsumen audit/Auditee untuk memahami fungsi dari sistem atau proses yang ditinjau/review. Tujuannya adalah untuk mendapatkan dasar dan memahami area yang akan di audit. 1.3 PERMINTAAN KONSUMEN 1.4 STANDARD CHECKLIST ; 1.5 RESEARCH 1.3. Proses audit haruslah kolaboratif dan kooperatif. Untuk mencapai hal ini, konsumen audit harus merasa bahwa mereka memiliki ownership dalam proses audit. Tim audit harus menanyakan kepada konsumen apa area yang mereka rasa perlu untuk di tinjau dan area apa yang mereka khawatirkan. Input ini nantinya akan digabungkan dengan hasil sasaran auditor untuk menentukan lingkup audit. 1.4. Departemen audit organisasi biasanya memiliki checklist untuk sistem dan proses standar di perusahaan. 1.5. Terakhir, bahan dari internet, buku dan pelatihan dapat dijadikan referensi dan digunakan untuk mendapatkan informasi atas area yang akan di audit. PENILAIAN ( ASSESSMENT ) Setelah sumber daya siap, auditor harus menjalankan sebuah penilaian atas risiko dari area yang akan di review untuk mengidentifikasi langkah yang harus dilaksanakan selama audit. Auditor harus memahami tujuan bisnis dari area yang akan di audit, mempertimbangkan risiko dari tujuan bisnis tersebut, dan mengidentifikasi jika ada bentuk pengendalian internal untuk mitigasi risiko. Hasil kegiatan ini, akan menetapkan ruang lingkup audit, penyampaian ruang lingkup audit, dan penetapan langkah-langkah yang harus dilakukan dalam ruang lingkup tersebut. Langkah-langkah ini harus didokumentasi dengan rincian yang cukup untuk membantu auditor menjalankan audit dengan mengerti bahaya dan risiko dari setiap langkah. PENJADWALAN DAN KICK-OFF MEETING Penjadwalan merupakan elemen penting dalam proses perencanaan. Penjadwalan audit harus mempertimbangkan kepentingan dan kenyamanan tim audit dan auditee. Diakhir proses perencanaan, kick-off meeting harus dilakukan dengan Auditee sehingga Auditor dapat menyampaikan apa ruang lingkup audit dan menerima masukan final. Selama pertemuan ini, Auditor harus terbuka dan fleksibel terhadap masukan Auditee. 2. FIELDWORK DAN DOKUMENTASI Fase sebelumnya telah menetapkan langkah-langkah yang harus dilakukan saat audit, pada fase ini tim Audit mulai mengeksekusi. Sekarang, tim Audit mulai mengumpulkan data dan menjalankan wawancara yang akan membantu untuk analisa risiko potensial dan menetapkan risiko mana yang tidak dimitigasi dengan baik. Dokumentasi juga merupakan bagian yang penting pada fase ini. Auditor harus membuat dokumentasi atas pekerjaan mereka, agar kesimpulan dapat dibuktikan. Setiap pekerjaan audit yang dilakukan harus didokumentasikan secara rinci sehingga penerima informasi dapat mengerti apa yang telah dilakukan dan mencapai kesimpulan yang sama dengan Auditor. Dokumen tersebut akan menceritakan, apa yang telah dilakukan Auditor, apa yang telah ditemukan, apa kesimpulan Auditor, dan mengapa dapat mencapai kesimpulan tersebut. 2. FIELDWORK DAN DOKUMENTASI CONT... Proses dokumentasi memang menjemukan tetapi merupakan hal yang penting. Pertama, hal ini merupakan standar profesional. Kedua, akan ada kemungkinan ke dapannya penemuan Audit akan dipertanyakan atau diragukan, dan Auditor yang melakukan Audit waktu itu tidak lagi bekerja di departemen/perusahaan yang sama, sehingga dengan adanya dokumen dapat menjelaskan kesimpulan Audit. Ketiga, jika akan dilakukan Audit lagi, dokumentasi audit sebelumnya akan membantu tim Audit selanjutnya untuk belajar dari pengalaman tim sebelumnya, dengan begitu akan menciptakan peluang improvement dan efisiensi. 2. FIELDWORK DAN DOKUMENTASI CONT... Pada fase perencanaan, Auditor dan organisasi mengembangkan checklist atas apa yang akan di tinjau saat Audit. Saat fieldwork, pastikan checklist tersebut tidak membuat Tim Audit “kaku” terhadap penilaian mereka. Tim Audit harus tetap fleksibel selama pelaksanaan Audit, dan siap untuk mengembangkan/menemukan sesuatu yang tidak dipersiapkan pada fase perencanaan. Auditor harus objektif dan tidak bergerak hanya berdasarkan “script”. 3. PENEMUAN ISU DAN VALIDASI Fase ini merupakan fase penting dalam proses Audit, dan Auditor harus menganalisa masalah/isu potensial untuk menjamin bahwa isu tersebut valid dan relevan. Auditor lebih baik berdiskusi dengan Auditee secepat mungkin, jangan tunggu sampai proses Audit selesai. Keuntungannya, 1) Auditee tidak akan menerima tumpukan masalah, 2) Auditor dapat memastikan bahwa informasi dan fakta yang mereka temukan valid. Auditor perlu melakukan validasi bahwa risiko yang muncul melalui isu cukup signifikan dan pantas untuk dilaporkan dan dibahas. “Don’t raise issues for the sake of raising issues”. Pertimbangkan juga kendali mitigasi, dan pahami seluruhnya sebelum menetapkan apakah isu tersebut perlu dilaporkan atau tidak. 4. PENGEMBANGAN SOLUSI Setelah mengidentifikasi masalah/isu pada lingkup area yang di Audit dan telah memvalidasi fakta dan risiko, mulailah bersama dengan Auditee mengembangkan action plan untuk menyelesaikan isu. Penemuan masalah saja tidak cukup jika tidak dibahas dan diselesaikan. Terdapat beberapa pendekatan dalam menganalisa dan membahas isu yang muncul: 1. Pendekatan rekomendasi (The Recommendation Approach) 2. Pendekatan respon manajemen (The management-response approach) 3. Pendekatan solusi (The Solution Approach) PENDEKATAN REKOMENDASI Merupakan pendekatan yang paling umum, dimana Auditor menampilkan isu disertai rekomendasi untuk penyelesaian. Kemudian, Auditor meminta persetujuan Auditee untuk rekomendasi yang diusulkan, jika iya maka akan dilakukan. Jenis pendekatan ini dapat dijalankan dengan baik oleh tim Audit yang knowledgeable. Sayagnya, Auditee menjadi merasa kurang dilibatkan dalam action plan, karena mereka hanya menjalankan apa yang diinformasikan oleh Auditor. Padahal sebenarnya yang paling mengenali area yang diaudit adalah Auditee, maka dari itu mereka punya hak untuk menentukan solusi atas masalah yang ada. Jika pendekatan ini digunakan, penting untuk meminta Auditee ikut melaksanakan brainstorming untuk memutuskan bagaimana penyelesaian masalah sebelum Auditor mendokumentasikan rekomendasinya. Bukan berarti Auditor tida bisa mengemukakan ide, mereka harus, tetapi pointnya adalah melibatkan Auditee. PENDEKATAN RESPON MANAJEMEN Dengan pendekatan ini, Auditor mengembangkan serangkaian daftar isu dan kemudian memberikannya kepada Auditee untuk mendapatkan respon/tanggapan mereka dan action plan. Terkadang Auditor memberikan daftar isu bersamaan dengan rekomendasi, terkadang juga tidak. Melalui pendekatan ini, respon/tanggapan dari Auditee akan dimasukkan ke dalam laporan Audit. Cara kerja pendekatan ini adalah, Auditor melaporkan apa yang mereka temukan kepada Auditee, Auditee diharapkan memberikan tanggapan, entah berupa rekomendasi penyelesaian atau hanya mengakui adanya isu dan tidak memberikan langkah selanjutnya. Kemudian, apapun itu, dituliskan oleh Auditor ke dalam laporannya. PENDEKATAN RESPON MANAJEMEN CONT... Jika ingin menggunakan pendekatan ini, usahakan sebelum mengirimkan daftar isu dan rekomendasi Auditor kepada Auditee, pikirkan solusi dimana akan membuat semua pihak yang terlibat nyaman. Minimal, minta persetujuan mereka. PENDEKATAN SOLUSI Dengan pendekatan ini, Auditor bersama dengan Auditee mengembangkan sebuah solusi yang merupakan persetujuan atas action plan. Pendekatan ini merupakan kombinasi dari kedua pendekatan yang lain. Auditor mengemukakan rekomendasi berdasarkan pengetahuan mereka, dan Auditee mengemukakan ide rekomendasi berdasarkan pada pengalaman mereka di lapangan. Hasilnya berupa rekomendasi yang dimiliki oleh Auditee dan memuaskan Auditor. Karena merasa dilibatkan, Auditee akan lebih ingin untuk mengikuti rekomendasi yang ada. Pada pendekatan ini, pengembangan solusi harus benar-benar kolaboratif. PANDUAN DALAM PENGEMBANGAN SOLUSI Apapun jenis pendekatan yang digunakan untuk mengembangkan solusi, hal yang perlu diperhatikan adalah menentukan siapa yang bertanggungjawab untuk eksekusi action plan dan penentuan deadline penyelesaiannya. Hal ini akan menjadi dasar follow-up activity. Penting bagi Auditor untuk bekerja sama dengan Auditee agar dapat fleksibel dalam menetapkan deadline penyelesaian masalah. Buatlah deadline yang realistis, dimana Auditee merasa nyaman. Tugas Auditor adalah mengidentifikasi risiko dan memastikan bahwa manajemen paham tentang risiko tersebut, sehingga keputusan dapat dibuat. Auditor harus dapat menentukan analisa risiko dilakukan oleh manajemen di level apa. 5. PENYUSUNAN DAN PENERBITAN LAPORAN Setelah penemuan isu, validasi isu, kembangkan solusi, kemudian Auditor mulai dapat menyusun laporan Audit. Fungsi laporan Audit : 1) bagi Auditor dan Auditee, merupakan catatan atas audit, hasilnya, dan action plan; 2) bagi manajemen senior dan komite aduit, sebagai “report card” dari area yang di audit. Elemen penting dalam Laporan Audit : Pernyataan ruang lingkup Audit : jelaskan dalam laporan apa yang termasuk dalam proses audit, bahkan bila perlu apa yang tidak, agar tidak terjadi kesalahpahaman. Executive Summary Daftar isu/masalah bersama dengan rencana penyelesaian 5. PENYUSUNAN DAN PENERBITAN LAPORAN CONT... Executive Summary : berisi sinopsis dari laporan audit, agar orang yang tidak memiliki waktu untuk membaca semua laporan sudah dapat memahami isi laporan melalui Executive Summary. Merupakan stand-alone dokumen informatif. Executive summary harus berisi informasi aktual, sehingga manajemen dapat mengerti fakta yang paling penting dan relevan Daftar Isu dan Action Plans : berisi perincian isu signifikan yang ditemukan selama proses audit dan apa yang harus dilakukan untuk memperbaiki isu tersebut. Bagian ini menunjukkan: 1) jenis isu, 2) risiko, 3) solusi, 4) orang/individu yang bertanggug jawab menyelesaikan, 5) deadline penyelesaian. 5. PENYUSUNAN DAN PENERBITAN LAPORAN CONT... Penambahan elemen lain dalam Laporan : pertimbangkan unuk menambahkan elemen lain ke dalam laporan Audit di luar ketiga elemen penting yang telah disebutkan Pengendalian utama : informasi mengenai adanya bentuk pengendalian yang baik, yang telah ditetrapkan dan dilakukan oleh Auditee di lingkup audit. Closed item : jika saat pelaksanaan audit, Auditee berhasil menyelesaikan masalah yang ada. Berisi daftar isu yang ditemukan dan telah diselesaikan. Minor issues : isu-isu kecil yang tidak berisiko tinggi. 5. PENYUSUNAN DAN PENERBITAN LAPORAN CONT... Distribusi Laporan Audit Setelah laporan disusun, biarkan Auditee me-review dan berkomentar sebelum disahkan. Auditor harus mau menerima perubahan kecil yang berasal dari masukan Auditee, selama tidak merubah intinya. Yang penting Auditee merasa nyaman dengan laporan Audit. Distribusikan laporan Audit kepada manajemen senior, komite audit, level manajemen lain dan Auditee lainnya yang perlu. 6. ISSUE TRACKING Hal yang biasa bagi Auditor untuk merasa bahwa audit telah selesai setelah penyerahan laporan. Namun, laporan audit saja tanpa adanya follow-up activity, tidak bernilai bagi oganisasi. Audit belum benar-benar selesai jika masalah yang ditemukan saat audit belum diselesaikan, diperbaiki atau dimengerti oleh level manajemen. Departemen audit organisasi harus mengembangkan proses dimana anggotanya dapat mengecek dan melanjutkan penyelesaian masalah sampai selesai. Akan lebih baik jika Auditor yang melaksanakan audit lah yang bertanggung jawab untuk mengikuti perkembangan aksi/tindakan yang dilakukan oleh Auditee setelah proses auditnya selesai. Auditor jangan menunggu deadline baru menghubungi Auditee, tapi secara teratur mencoba menghubungi dan menanyakan sejauh mana progress tindakan yang telah dilakukan. 6. ISSUE TRACKING CONT... Tujuannya : memudahkan Auditor untuk berkonsultasi dengan Auditee untuk langkah pengambilan keputusan Auditor dapat mengetahui jika solusi yang diterapkan tidak sesuai dengan yang diharapkan jika masalah/isu tidak terselesaikan, departemen audit dapat mencoba menganalisa masalah sebelum terlambat. Jika masalah tidak ditangani sesuai dengan yang disepakati, Auditor bertanggung hawab untuk meningkatkan prosedur yang dibutuhkan, tetapi tidak semua jenis masalah perlu untuk di-eskalasi sampai ke tingkat komite Audit. Auditor harus bisa menetapkan terlebih dahulu tingkat risiko dan tingkat manajemen apa yang perlu waspada terhadap risikonya. Proses eskalasi merupakan jalan terakhir, dan seharusnya bukan masalah teknis/mekanis. Jalan pertama adalah Auditor menemui Auditee yang berkepentingan dan mencari tahu apa alasan dari kegagalan solusi. Kedua, jika perlu pikirkan pemberian perpanjangan waktu deadline penyelesaian. REFERENSI Chris Davis et.al. IT Auditing: Using Controls to protect Information Assets. 2nd Edition. 2011.