Senin, 03 Januari 2011

Resiko Audit

Audit Risk


Jenis-jenis resiko dalam audit:
1.    Inherent risk: resiko yang dari sono-nye memang ada, karena nature (sifat) dari bisnis yang bersangkutan. Misalnya
-          kalkulasi 10.000 posting lebih bisa error ketimbang kalkulas 10 posting
-          uang kas lebih mudah tercuri ketimbang mobil di inventory
2.    Control risk: resiko yang baru bisa dideteksi pada kontrol internal. Jadi bisa jadi kejadiannya sudah terjadi sebelumnya.
3.    Detection risk: resiko karena suatu ancaman tidak dideteksi karena auditor menggunakan teknik/prosedur yang kurang memadai.

Testing

Compliance Testing

Yakni test untuk menguji apakah kontrol diterapkan sesuai kebijakan dan prosedur organsasi. Tujuan utamanya adalah untuk menguji apakah kontrol-kontrol bekerja seperti yang diperkirakan dalam preliminary evaluation.

Misalnya kontrol bahwa source code sama dengan executeables trakhir.

Substantive Testing

Menguji pengolahan sebenarnya. Substantive testing dapat dilakukan untuk mengecek apakah memang ada kesalahan dalam laporan keuangan (yang digenerate oleh komputer) atau kesalahan-kesalahaan lainnya. Auditor bisa melakukan substantive testing dengan cara mengambil sampel data, dan mengolahnya. Lalu memeriksa apakah valid.

Korelasinya: kalau compliance testing menunjukkan banyak kesalahan, maka substantive testing hanya sedikit perlu dilakukan (vice versa)

Cara memahami kontrol:

1.    Review system to identify controls
2.    Test compliance, apakah kontrol benar-benar bekerja
3.    Evaluasi kontrol, sebagai dasar perlu tidaknya substantive test


Evidence


Yakni informasi yang dipergunakan untuk menentukan apakah objek yang diaudit sesuai dengan kriteria atau control objectives tertentu.

Contoh evidence:
1.    Hasil observasi / pengamatan auditor: harus non-obtrusive. Misalnya:
  1. pola kerja pegawai
  2. struktur organisasi (bisa dengan melihat dokumen & interview)
2.    Catatan interview: auditor harus tahu teknik interview
3.    Hasil korespondensi organisasi
4.    Dokumen-dokumen internal organisasi:
  1. feasibility study docs
  2. test plans & reports
  3. requirement docs
  4. operations manual
  5. quality assurance report
  6. risk management document
  7. logs
5.    Hasil pengujian auditor

Kehandalan (reliability) dari bukti mencakup:
1.    Keindependensian dari yang menyediakan bukti:
bukti dari luar organisasi sering lebih kuat, itulah sebabnya surat balasan bisa jadi dipergunakan untuk memeriksa account receivables.
2.    Kualifikasi orang yang memberikan bukti:
Kalau interview harus pada orang yang tepat. Jangan tanya soal firewall ke janitor! Tetapi kecakapan auditor-pun juga dapat
3.    Objektifitas dari sebuah bukti

Auditor harus cari bukti-bukti yang relevan dan valid, sehingga bukti itu dapat dianggap ‘competent’.

Sampling


Sampling dipergunakan kalau waktu dan biaya tidak memungkinkan untuk memeriksa seluruh transaksi / kejadian dalam suatu populasi. Populasi adalah seluruh item yang harus diperiksa. Subset dar populasi disebut dengan istilah sampel. Sampling dipergunakan untuk menginferensi karakteristik dari populasi.

Ada 2 pendekatan utama terhadap sampling:
1.    Statistical sampling: sampel ditentukan secara objektif dengan kritera-kriteria yang khusus.
2.    Non-statistical sampling: (judgemental sampling) menggunakan pertimbangan auditor dalam memilih sampel secar subjektif, sehingga cara ini sebenarnya mengandung resiko.

Beberapa jenis sampling lainnya:
1.    Stop-or-go sampling: mencegah sampling yang terlalu banyak. Kalau terasa bahwa tidak akan ada error lagi (atau justru kebanyakan!) maka kegiatan audit boleh dihentikan.
2.    Discovery sampling: metode sampling yang bisa dipergunakan untuk menemukan “jarum dalam tumpukan jerami”. Biasanya dipergunakan untuk mencari jejak korupsi, pemalsuan, penipuan dan tindakan melawan hukum lainnya.

Evaluasi data-data yg didapatkan


Dalam memberikan evaluasi terhadap bukti-bukti audit yang terkumpul, sangat tergantung dari pertimbangan auditor, terutama jenis-jenis bukti yang intangible (keterukurannya rendah). Semakin berpengalaman, maka akan semakin bijak.

Biasanya dibuat juga control matrix, yang akan dilengkapi oleh auditor (bisa dengan skala lalu me-ranking), sehingga tahu di mana titik rawan dari organisasi/hal yang sedang di audit.

Auditor juga bisa menemukan kontrol yang kuat atau lemah. Bisa jadi untuk mengamankan suatu ATM, ternyata kunci pintu-nya tidak bisa dikunci dari dalam. Ini bisa jadi weak control. Tetapi dikompensasi oleh adanya satpam yang menunggu di samping ATM dan adanya video camera yang selalu on.

Catatan: biasanya 1 control objectives tidak terdiri dari 1 kontrol saja, tetapi lebih dari 1 kontrol yang saling mendukung.

Penting-tidaknya temuan

Sebuah temuan/evidence bisa penting untuk manager pada lapisan operasi, tetapi tidak penting bagi direksi.

Struktur dan Isi laporan Audit


Tidak ada yang baku, tetapi pada umumnya mencakup:
1.    Pendahuluan: tujuan, ruang lingkup, lamanya audit, dan prosedur audit
2.    Kesimpulan umum dari auditor
3.    Hasil audit: apa yang ditemukan dalam audit, apakah prosedur dan kontrol layak atau tidak.
4.    Rekomendasi
5.    Tanggapan dari manajemen (kalau perlu)
6.    dsb

Exit interview: interview terakhir antara auditor dengan pihak manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih.

www.cs.ui.ac.id




Diposting oleh di
Label:

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)