1. Pendahuluan
Audit internal adalah jasa yang diberikan kepada klien (dari auditor). Jasa yang berkualitas baik dan tepat sasaran akan memberikan nilai tambah kepada klien. Oleh karena itu, auditor internal harus menjaga prinsip kemitraan dalam hubungannya dengan klien, termasuk dalam pelaksanaan penugasan.
Sejatinya, kedua belah pihak adalah bagian yang seimbang dari organisasi, tidak ada di antara keduanya yang memiliki posisi superior, dengan kewajiban dan tanggung jawab masing-masing. Pelaksanaan penugasan yang sistematis dapat menjamin kualitas audit yang baik. Penting bagi auditor internal untuk memahami bagaimana pelaksanaan penugasan dilaksanakan dengan baik.
Untuk memenuhi tujuan-tujuan yang telah ditetapkan dalam penugasan, langkah kegiatan yang perlu dilakukan oleh auditor internal meliputi: a.Mengadakan pertemuan pendahuluan.
b. Melakukan persiapan untuk pengujian.
c. Melakukan pengujian untuk mengumpulkan informasi.
d. Mengevaluasi informasi yang terkumpul dan menyusun kesimpulan hasil audit.
e. Mengembangkan hasil observasi dan merancang rekomendasi.
f. Mendokumentasikan hasil-hasil pengujian.
2. Pertemuan Pendahuluan (Entry Meeting)
Pertemuan pendahuluan dengan klien merupakan tahap penting dalam pelaksanaan penugasan. Auditor harus mampu mendapatkan perhatian dan dukungan dari klien sebelum dimulainya pekerjaan lapangan, agar penugasan berhasil mencapai tujuan yang telah ditetapkan.
Pihak Yang Harus Hadir
Untuk menekankan pentingnya kegiatan audit yang akan dilakukan, pertemuan pendahuluan sebaiknya dihadiri oleh: a.Tim Audit:
1. Kepala audit internal (chief audit executive) dan/atau manajer senior yang membawahi tim audit.
2. Seluruh auditor yang akan melaksanakan penugasan audit. b.Klien:
1. Direksi/Pimpinan unit yang diaudit.
2. Personel kunci dari klien yang berperan sebagai counterpart atau contact person.
Pertemuan pendahuluan adalah sarana penting bagi auditor untuk menjelaskan hal-hal yang berhubungan dengan kegiatan audit. Oleh karenanya, tim audit harus mempersiapkan segala sesuatu yang berkaitan dengan kegiatan dimaksud dengan seksama.
Manfaat
Bagi auditor, pertemuan pendahuluan merupakan saat yang paling tepat untuk:
1. Membangun saluran komunikasi.
2. Meminta dukungan dari pihak manajemen.
3. Menjelaskan: apa, mengapa, siapa, bagaimana, kapan, dan di mana pekerjaan audit akan dilakukan.
4. Memanfaatkannya sebagai sarana mendalami persoalan klien.
5. Menyampaikan hal-hal lain yang perlu diklarifikasi sebelum dimulainya pekerjaan lapangan.
Sedangkan bagi manajemen, pertemuan pendahuluan berguna untuk:
1. Mengurangi kekhawatiran mereka bahwa aktivitas operasi akan terhenti karena adanya pekerjaan audit ini.
2. Saat yang tepat untuk memberi masukan kepada auditor agar pekerjaan audit menjadi fokus dan bermanfaat. Bagaimanapun, pihak klien lebih memahami seluk beluk praktik operasional yang terjadi di tempatnya.
Klarifikasi Pendahuluan
Materi pokok yang perlu diklarifikasi oleh auditor adalah:
1. Penjelasan tentang tugas pokok dan fungsi audit internal sebagai penyedia jasa evaluasi yang independen kepada manajemen.
2. Tujuan dan lingkup audit internal.
3. Penekanan pada tujuan audit, yaitu untuk meningkatkan kinerja klien dan memberikan nilai tambah bagi organisasi/perusahaan.
4. Konfirmasi tentang hasil observasi audit dan tindak lanjut atas rekomendasi audit sebelumnya (jika ada).
5. Dokumen/catatan/file yang harus dipersiapkan sesuai dengan tujuan dan lingkup audit.
6. Jadwal rencana pekerjaan lapangan, termasuk jadwal kunjungan ke lokasi tertentu.
7. Hal-hal yang perlu disampaikan oleh klien kepada auditor internal, yang sampai saat ini masih merupakan ganjalan bagi pencapaian tujuan klien, dengan harapan auditor bisa memberikan kontribusi solusi terhadap ganjalan tersebut.
8. Izin untuk melakukan kunjungan di beberapa lokasi yang sudah ditentukan.
Dukungan Pimpinan Klien
Pada pertemuan pendahuluan, auditor harus mendapatkan dukungan dari pimpinan klien dan menghilangkan kesan kegiatan audit merintangi operasi unit yang diaudit. Dukungan pimpinan klien berkontribusi besar pada efektivitas audit. Tanpa dukungan pimpinan unit yang diaudit, pelaksanaan audit akan membutuhkan waktu yang lebih lama dibandingkan dengan penugasan yang didukung oleh pimpinan unit.
Untuk itu, auditor internal perlu mengusahakan sebelum pertemuan pendahuluan dimulai, pihak auditor telah mendapat keyakinan bahwa pimpinan unit yang diaudit akan memberi arahan kepada para personilnya, dengan memberikan pernyataan bahwa ia dan personilnya akan mendukung dan memberi bantuan agar audit terselenggara dengan efektif.
Selanjutnya, dalam pertemuan pendahuluan auditor perlu menjelaskan dengan gamblang mengenai penugasan audit – antara lain apa tujuan audit, apa sasarannya, proses audit apa yang akan dilakukan - sehingga pihak klien tidak salah persepsi. Tidak kalah penting adalah penjelasan bahwa hasil observasi audit akan didiskusikan terlebih dahulu dengan pimpinan unit untuk mendapat tanggapan dan komentar, sebelum dituangkan dalam laporan audit.
Dukungan dari pihak klien bisa lebih besar apabila audito memberikan tambahan penjelasan kepada mereka tentang peran dan tanggung jawab (tugas pokok dan fungsi) auditor internal, yang bukan sebagai pencari kesalahan, namun cenderung seperti konsultan dan mitra kerja strategis bagi pihak manajemen.
Rincian Pertemuan
Aktivitas audit berpotensi menimbulkan ketidaknyamanan dan mengganggu aktivitas rutin klien. Untuk itu, pertemuan harus dipersiapkan terlebih dahulu sampai kepada hal yang detail, agar audit berjalan mulus dan tidak membuat jengkel klien. Hal tersebut di antaranya adalah kepastian tentang:
1. Ruangan kerja auditor, mesin fotocopy atau printer yang dapat dipakai dan pengaturan makan siang (kalau diperkenankan).
2. Dokumen, file, berkas, atau catatan-catatan yang diperlukan, dan berapa lama dokumen tersebut akan dipinjam oleh pihak auditor.
3. Personil dari klien yang akan menjadi counterpart auditor.
4. Prosedur audit yang akan dilaksanakan, termasuk rencana mengunjungi kantor cabang tertentu, beserta waktu dan durasinya.
5. Pengaturan mengenai kerja lembur yang mungkin dilakukan tim audit, misalnya kepada siapa harus minta izin.
Persiapan Menjelang Entry Meeting
Agar pertemuan pendahuluan berjalan lancar maka diperlukan persiapan yang matang, di antaranya meliputi:
1. Jadwal pertemuan pendahuluan. Jadwal harus ditetapkan dengan jelas, terkait dengan hari, tanggal, jam, serta tempat pertemuan.
2. Peserta pertemuan. Pertemuan pendahuluan sebaiknya dihadiri oleh pegawai terkait hingga pimpinan unit klien. Namun apabila jumlahnya terlalu banyak, auditor dapat memberikan saran siapa saja yang perlu hadir dalam pertemuan tersebut.
3. Meminta dukungan dari pimpinan unit yang diaudit. Auditor perlu mengingatkan pimpinan klien untuk memberi pernyataan dukungan bagi kegiatan audit kepada para staf klien.
4. Mempersiapkan perlengkapan yang diperlukan seperti buku, file, dokumen, serta sarana kerja (misal ruangan, meja, whiteboard, dll).
5. Mempersiapkan agenda rapat dan paparan/preentasi (jika dibutuhkan)
6. Menjelaskan kepada anggota tim audit tentang peran mereka pada pertemuan pendahuluan.
7. Menunjuk salah satu anggota tim untuk menjadi notulis dan mengarahkan hal-hal yang perlu dicatat.
Contoh agenda pertemuan pendahuluan dapat dilihat pada Tabel 4
Tabel 4. Contoh Agenda Entry Meeting
• Pembukaan, kemudian perkenalan seluruh anggota tim audit, serta peran mereka dalam tim. Hal ini disampaikan oleh Ketua Tim.
• Ucapan selamat datang oleh pimpinan unit yang diaudit, kemudian dilanjutkan dengan pernyataan dukungan dari pimpinan klien bahwa tujuan audit semata-mata untuk meningkatkan kinerja dari unit kerja dan organisasi.
• Penjelasan substansi audit (seperti tujuan audit dan hal-hal apa yang akan didahulukan,dll) oleh Ketua Tim.
• Tanya-jawab mengenai hal-hal yang berkaitan dengan substansi audit.
• Kesimpulan pertemuan pendahuluan.
Rapat Sesudah Pertemuan Pendahuluan (Debriefing)
Setelah pertemuan pendahuluan selesai, Ketua Tim audit sebaiknya melakukan rapat terbatas dengan seluruh anggota tim yang terlibat dalam pertemuan pendahuluan. Rapat terbatas ini disebut dengan debriefing. Ada dua tujuan debriefing. Pertama, untuk mengevaluasi kekurangan dalam pertemuan pendahuluan, agar kesalahan tersebut tidak terulang di masa mendatang. Kedua, mencocokkan kesimpulan yang didapat oleh masing-masing auditor dalam pertemuan, sehingga diperoleh kesimpulan yang utuh atau kesepakatan di antara seluruhpersonel tim audit.
3. Persiapan Pengujian
Agar efektif dan efisien, pengujian audit harus didahului dengan persiapan yang memadai. Dalam tahap persiapan pengujian, auditor internal harus mendokumentasikan secara memadai hal-hal akan tercakup dalam pengujian, meliputi:
1. Perumusan tujuan pengujian. Tanpa penentuan tujuan audit yang jelas, penugasan dapat berjalan dengan tidak efisien. Setelah menerapkan berbagai teknik pengujian, auditor akan menyusun kesimpulan untuk menjawab tujuan pengujian yang telah ditetapkan di awal. Misalnya, auditor internal menetapkan terlebih dahulu bahwa ia ingin memastikan bahwa keamanan di gudang efektif. Berbagai pengujian yang dilakukan akan menghasilkan simpulan bahwa keamanan di gudang efektif atau sebaliknya tidak efektif.
2. Identifikasi jenis pengujian untuk memenuhi tujuan pengujian audit. Auditor internal mempertimbangkan berbagai teknik yang dapat digunakan untuk menghasilkan informasi yang meyakinkan, guna memenuhi tujuan pengujian. Salah satu pertimbangan auditor dalam menentukan teknik audit adalah jenis informasi yang ingin diperoleh, serta biaya versus manfaat (cost against benefit).
3. Identifikasi kebutuhan personel. Keberhasilan penugasan tergantung pada ‘the man behind the gun’. Oleh karena itu, dalam setiap penugasan perlu dipertimbangkan keahlian, pengalaman, dan jumlah auditor yang sesuai untuk melaksanakan penugasan.
4. Penentuan urutan proses pengujian. Proses pengujian harus dilaksanakan secara logis dan tertib. Suatu pengujian akan efektif apabila prasyarat pengujian (informasi dan pengujian sebelumnya) terpenuhi. Sebagai contoh, inspeksi barang akan efektif jika sebelumnya auditor telah memperoleh informasi dalam kontrak pengadaan barang.
5. Perumusan kriteria audit, untuk dibandingkan dengan informasi faktual yang diperoleh di lapangan.
6. Perumusan populasi pengujian. Dengan mengetahui populasi yang akan diuji, auditor internal dapat menentukan secara statistik jumlah sampel yang representatif untuk diuji.
7. Penetapan cara atau metode sampling yang digunakan. Auditor harus memilih metode sampling yang paling efektif dan efisien, misalnya stratified random sampling atau discovery sampling.
8. Pengujian berbagai transaksi atau proses kegiatan yang dipilih.
4. Pengujian untuk Mengumpulkan Informasi
Pelaksanaan Pengujian
Pengujian bertujuan untuk mengumpulkan dan menilai informasi dalam rangka pencapaian tujuan audit. Pengujian meliputi evaluasi berbagai aktivitas, transaksi, catatan dan dokumen, fungsi, dan asersi dengan cara menguji pengendalian yang digunakan untuk memitigasi risiko pada klien.
Keputusan untuk mengembangkan pengujian, tergantung pada tingkat risiko yang telah diidentifikasi sebelumnya, atau kesepakatan antara auditor dengan manajemen. Auditor dapat menguji:
1. Seluruh risiko klien, atau;
2. Control score - yaitu selisih antara risiko bawaan (inherent risk) dan risiko sisa (residual risk)- yang tinggi, atau;
3. Hanya yang risiko tinggi saja.
Kriteria Pengujian
Beberapa kriteria yang perlu diperhatikan dalam melakukan pengujian adalah:
1. Langsung (direct), yaitu pengujian berkaitan langsung dengan risiko yang diuji.
2. Efisien, yaitu pengujian mempertimbangkan biaya dan waktu yang diperlukan.
3. Dapat dilaksanakan (feasible), yaitu pengujian mempertimbangkan kemampuan dan kapabilitas auditor untuk melaksanakan teknik pengujian audit yang tepat.
Pendekatan pengujian yang dikembangkan di tahap perencanaan penugasan (misalnya dengan Matrik Evaluasi Risiko – Pengendalian) harus diimplementasikan pada tahap pelaksanaan penugasan. Pengujian dilaksanakan untuk menentukan apakah pengendalian yang telah dirancang untuk memitigasi suatu risiko telah dilaksanakan atau berjalan secara memadai atau efektif.
Untuk setiap pengujian yang dilaksanakan, auditor harus mengumpulkan informasi untuk mendukung kesimpulan audit, yaitu menentukan apakah pengendalian yang dirancang telah berjalan dengan memadai. Hasil pengujian harus didokumentasikan, misalnya dalam Matriks Risiko-Pengendalian, sebagaimana ditampilkan pada bagian selanjutnya.
Hal-hal yang Perlu Diperhatikan Auditor dalam Melakukan Pengujian
Agar pengujian yang dilakukan memenuhi persyaratan dalam standar dan kualitas yang diharapkan, berikut adalah beberapa hal yang perlu diperhatikan oleh auditor dalam melakukan pengujian:
1. Auditor harus menerapkan kecakapan profesional (due professional care). Dalam melaksanakan penugasan, auditor akan menggunakan keterampilan dan sikap kehati-hatian yang diperlukan, sesuai dengan kompleksitas dan kondisi penugasan audit.
2. Auditor harus selalu waspada terhadap kesalahan, kecurangan, inefisiensi, pemborosan dan/atau ketidakefektifan pada kegiatan atau proses operasi yang diaudit.
3. Auditor harus melakukan pengujian sampai batas kewajaran yang diperlukan (reasonableness).
4. Auditor tidak perlu melakukan pengujian terhadap seluruh populasi kegiatan, proses, atau transaksi yang diaudit.
5. Apabila auditor menemukan adanya kecurangan, hal tersebut harus segera diinformasikan kepada manajemen yang berwenang dan merekomendasikan adanya investigasi lebih lanjut apabila diperlukan.
Hal lain yang juga perlu dipertimbangkan dalam melakukan pengujian adalah
1. Tujuan dan cakupan kegiatan audit.
2. Tingkat materialitas atau signifikansi masalah yang diuji.
3. Kecukupan dan efektivitas pengendalian internal.
4. Perbandingan antara biaya dan manfaat dalam setiap proses dan langkah pengujian.
5. Pemahaman terhadap standar operasi yang berlaku dan menilai kepatuhan terhadap standar.
6. Apabila standar operasi atau kriteria yang ada dinilai tidak memadai atau tidak jelas, auditor perlu berdiskusi dengan klienuntuk mencari alternatif atau menentukan standar yang disepakati bersama.
7. Proses pengujian tidak akan menghasilkan keyakinan absolut melainkan keyakinan yang wajar (reasonable assurance)
Berdasarkan pengujian-pengujian yang dilaksanakan, auditor mengumpulkan informasi atau bukti audit yang objektif dan faktual. Dalam mengumpulan informasi, auditor internal harus mengacu pada standar audit yang terkait. Beberapa pertimbangan dalam pengumpulan bukti audit adalah:
1. Bukti yang dikumpulkan, dianalisis, diinterpretasikan, dan didokumentasikan oleh auditor dimaksudkan untuk mendukung kesimpulan dan hasil audit.
2. Informasi yang dikumpulkan harus berkaitan dengan tujuan dan ruang lingkup audit.
3. Informasi yang dikumpulkan harus memenuhi persyaratan cukup, relevan, kompeten dan bermanfaat.
4. Proses pengumpulan, analisis, penafsiran dan pendokumentasian informasi harus disupervisi dengan semestinya.
5. Dalam mengumpulkan informasi, auditor dapat menggunakan teknik sampling, yakni pengujian atas suatu populasi transaksi atau kegiatan tanpa harus menguji seluruh populasi tersebut.
Penjelasan mengenai sampling disajikan pada bagian lain dari modul ini.
5.Evaluasi Informasi dan Penyusunan Kesimpulan Audit
Setelah mengumpulkan informasi dan melaksanakan pengujian, auditor mengevaluasi informasi atau bukti tersebut. Evaluasi atas informasi ini merupakan dasar bagi penyusunan hasil observasi dan kesimpulan audit. Berdasarkan evaluasi yang dilakukan, auditor menilai dan menyimpulkan kecukupan desain dan efektivitas implementasi pengendalian atas suatu kegiatan. Beberapa pertanyaan yang dapat memandu auditor dalam menyusun kesimpulan audit adalah:
1. Apakah pengendalian utama telah didesain dengan memadai?
2. Apakah pengendalian utama berjalan dengan efektif?
3. Apakah risiko-risiko telah dimitigasi sampai pada level yang dapat diterima?
4. Secara keseluruhan, apakah pengendalian yang didesain mendukung pencapaian tujuan dari area yang di-review?
Jika hasil pengujian menunjukkan indikasi yang mengarah pada kecurangan atau penyimpangan, maka daftar pertanyaan tambahan sebagaimana pada Tabel 3 dapat membantu auditor untuk menetapkan kesimpulan dan mengambil keputusan yang tepat:
.
Tabel 5. Pertanyaan untuk Membantu Merespon Indikasi Kecurangan dan Penyimpangan
1. Bagaimana tingkat signifikansi penyimpangan yang terjadi?
2. Siapa atau apa yang kemungkinan akan terganggu dengan terjadinya penyimpangan tersebut?
3. Seberapa besar kerugian yang ditimbulkan?
4. Apakah penyimpangan-penyimpangan yang terjadi menghambat organisasi atau suatu fungsi dalam mencapai tujuan atau sasaran yang telah ditetapkan?
5. Jika tindakan perbaikan tidak dilakukan, apakah kesalahan kemungkinan akan terjadi kembali?
6. Mengapa dan bagaimana penyimpangan terjadi?
7. Kejadian atau kombinasi kejadian apa yang telah menyebabkan suatu proses keluar dari jalurnya?
8. Apakah penyebab penyimpangan yang terjadi telah dipastikan dan digambarkan dengan akurat?
9. Apa tindakan-tindakan praktis yang dapat dilakukan untuk mengatasi kelemahan, penyimpangan, atau ketidaksesuaian yang terjadi?
10. Apa yang ingin dicapai oleh manajemen dalam pelaksanaan tindakan perbaikan?
11. Apa alternatif tindakan yang dapat dipilih dan apa dampak/efek sampingnya?
12. Pilihan terbaik apa yang bisa dipilih, dengan efek samping yang paling kecil?
13. Mekanisme apa yang dapat dilakukan untuk mengendalikan tindakan perbaikan yang telah dipilih?
14. Bagaimana orang dapat meyakini bahwa tindakan perbaikan sudah dilakukan?
Berdasarkan hasil evaluasi informasi tersebut, auditor menarik kesimpulan hasil audit. Kesimpulankesimpulan tersebut dapat didokumentasikan dalam Matriks Risiko-Pengendalian, dengan contoh seperti ditunjukkan pada bagian selanjutnya.
6.Contoh Pelaksanaan Penugasan
Pengujian bukti yang dilakukan oleh auditor dapat dituangkan dalam Matrik Evaluasi Risiko dan Pengendalian. Matrik ini bermanfaat untuk menilai apakah pengendalian berjalan sebagaimana yang telah dirancang. Atas setiap kesimpulan hasil pengujian, dilakukan referensi silang kepada kertas kerja audit yang merupakan dokumentasinya. Jika auditor internal menemukan adanya kelemahan/defisiensi, referensi silang juga dilakukan ke kertas kerja yang mendokumentasikan observasi tersebut. Contoh Matrik Evaluasi Risiko dan Pengendalian ditampilkan pada Tabel 6.
Tabel 6. Contoh Matrik Evaluasi Risiko dan Pengendalian
|
No |
Risiko Tingkat Proses |
Pengendalian Utama |
Pendekatan/Teknik Pengujian |
Hasil Pengujian |
Kesimpulan Pengujian |
|
1. |
Risiko Ekspektasi • Kurang baiknya pengembangan dan penyusunan kebijakan dan prosedur • Komunikasi dari manajemen dapat menyebabkan para pegawai menjalankan tanggung awabnya secara tidak konsisten atau tidak sesuai dengan ekspektasi manajemen dan kualitas yang diinginkan (akurasi, ketepatan waktu, dan ketaatan)
|
• Terdapat kebijakan pendelegasian wewenang yang menetapkan level persetujuan dalam pengambilan keputusan pengadaan barang dan pembayaran. • Terdapat prosedur yang rinci mengenai pembayaran |
• Review dan evaluasi kebijakan pendelegasian wewenang apakah tepat, dengan mempertimbangka n tanggung jawab pegawai saat ini. • Pilih 80 sampel pembayaran (dengan TDR 5%, ERR 1% dan Risiko 10%) dan uji proses persetujuan apakah sesuai dengan kebijakan. • Review dan diskusikan dengan personel kunci hutang untuk menentukan apakah prosedur secara akurat menggambarkan tugas yang harus dilakukan dan dapat dipahami oleh pegawai terkait |
• Kebijakan pendelegasian wewenang mencantumkan tujuh pejabat yang sudah tidak bekerja lagi pada organisasi. Sembilan pegawai dalam posisi baru. Belum tercantum dalam daftar pejabat yang mengotorisasi tersebut (Z-3). Tanggung jawab yang lain telah sesuai (WP-X1). • Seluruh persetujuan telah sesuai dengan kebijakan pendelegasian wewenang, setelah mempertimbangka n perubahan SOP yang dianggap perlu. Disampaikan pada WPX-2. • Berdasarkan diskusi dan pengamatan, seluruh prosedur diyakini telah tepat, terkini, dan dipahami (WPX-3) |
Berdasarkan pengujian atas sampel yang dipilih, kami menyimpulkan dengan tingkat keyakinan 90% bahwa tingkat deviasi atas kebijakan manajemen terkait pendelegasian wewenang tidak melebihi 2,9%. Hal ini lebih kecil dari tingkat deviasi yang dapat diterima yakni 5%. Namun demikian, ekspektasi berkenaan dengan wewenang persetujuan tidak terpenuhi karena daftar otorisasi tidak diperbarui secara konsisten dengan mempertimbangkan perubahan. Pada status kepegawaian staf (lihat WP Z-3). Oleh karenanya, risiko tidak sepenuhnya termitigasi secara efektif. |
|
2. |
Risiko Duplikasi / Pembayaran Ganda Kegagalan untuk mengidentifikasi serangkaian input invoice dapat menyebabkan tidak terdeteksinya duplikasi pembayaran kepada vendor, atau terjadi kesulitanpenagihan (terkait dengan ketepatan waktu dan arus kas). |
• Sistem memperingat kan petugas jika nomor vendor, nomor invoice dan jumlah tagihan sama dengan pada invoice sebelumnya yang dimasukkan ke dalam sistem. • Sistem akan mengeluarkan peringatan (flag) setiap pembayaran dengan jumlah yang sama dari vendor yang sama sebelum disetujui untuk dibayar
|
• Menguji keandalan sistem dalam hal penolakan duplikasi pembayaran, dengan cara memasukkan duplikat invoice Juga, uji apa yang terjadi jika ditambahkan satu digit atau simbol di akhir nomor duplikat invoice • Ambil seluruh pembayaran pada periode audit dan uji kemungkinan terjadi duplikasi pembayaran. • Uji apakah fungsi flag berjalan sebagaimana dimaksudkan. |
• Sistem menolak seluruh invoice yang terduplikasi. Namun, sistem ternyata menerima duplikat invoice yang nomornya ditambahi digit atau simbol, sehingga menimbulkan risiko adanya duplikasi pembayaran (Z-4) (WX-4) • Teridentifikasi 14 potensi duplikasi pembayaran dengan nilai $ 357,782. Manajemen utang (A/P) telah melakukan tindak lanjut atas hal tersebut, yang ditimbulkan oleh kelemahan sistem, sebagaimana dicatat dalam W X-4 dan WX-5. • Pengujian menunjukkan flag hanya berjalan/ berlaku pada pembayaran kas. 14 transaksi yang terindikasi duplikasi berasal dari berbagai batch yang berbeda, sehingga |
Sistem terlihat berjalan dengan baik, namun demikian dimungkinkan untuk “ditembus” dengan menginput nomor invoice yang berbeda atau dengan cara menambahkan karakter dibelakang nomor invoice yang ada. (lihat WP Z-4). Hal ini menandakan adanya ketidakcukupan desain pengendalian terhadap risiko ini, yang bersama informasi dalam WP Z-2 mengindikasikan bahwa risiko ini tidak cukup dimitigasi. |
|
|
|
|
|
pengendalian ini tidak berjalan. |
|
|
3. |
Risiko Ketepatan Waktu Ketidakmampuan memroses pembayaran tepat waktu dapat berakibat denda, atau penalti, atau kehilangan kesempatan diskon (terkait dengan ketepatan waktu dan arus kas) |
• Sistem mensyaratkan bahwa tanggal pembayaran diinput selama proses entri data. • Laporan tersendiri diterbitkan apabila pembayaran dilakukan lebih dari 30 hari setelah tanggal invoice • Terdapat fasilitas pada tampilan invoice yang dapat ditandai jika invoice layak untuk pembayaran sebelum jatuh tempo, untuk memperoleh diskon. |
• Uji fungsi ketiga sistem pengendalian tsb. • Dengan menggunakan software analisis data, hitung perbedaan tanggal pembayaran dengan tanggal invoice untuk seluruh (100%) pembayaran pada periode yang diaudit. • Telusuri pemanfaatan diskon. |
• Hasil pengujian menunjukkkan ketiga pengendalian berjalan. Sebagaimana yang telah dirancang (WP X-7, X-8 dan X- 9) • Terdapat 172 pembayaran (1,1% dari total pembayaran) yang terlambat. 21 di antaranya dikenakan denda keterlambatan, 9 dibatalkan dendanya. Total denda keterlambatan tersebut adalah $24,489 (Z-3). • Seluruh diskon telah dimanfaatkan, tidak ada yang terlewatkan (WPX10 dan X-11). |
Seluruh pengendalian beroperasi secara efektif. Namun, keterlambatan awal dalamproses menghasilkan adanya sejumlah kecil keterlambatan pembayaran.. Keterlambatan pembayaran ini berdampak finansial yang tidak signifikan (denda keterlambatan). Risiko ini hanya sebagian yang dimitigasi. |
|
4. |
Risiko Akses kepada Sistem Praktik- pengamanan logic yang tidak efektif dapat memberi peluang petugas |
• Pengamanan logical dikelola oleh departemen TI, seragam untuk seluruh aplikasi. • Manajer Hutang |
IT logical security dievaluasi oleh para spesialis audit IT. Uji. Menilai apakah terdapat defisiensi terkait pembayaran. |
• Tidak ada defisiensi mengenai IT Logical Security yang menjadi hasil observasiuditor spesialis IT. • Berdasarkan hasil |
Pengendalian didesain secara memadai dan dilaksanakan secara efektif untuk mampu memitigasi risiko. |
|
|
yang tidak berhak untuk mengakses, memanipulasi, atau menghapus data pokok pembayaran (terkait akurasi, pencatatan, dan arus kas) |
Dagang (A/P) harus mereviu dan memberikan konfirmasi akses ke dalam sistem cash disbursement 2 kali setahun
|
• Diskusi dengan A/P manager mengenai proses konfirmasi akses. • Uji dokumendokumen pendukung proses ini
|
diskusi dan reviu dokumen, pemberian akses telah direviu secara berkala dengan tepat. |
|
Tidak ada komentar:
Posting Komentar