Well, beberapa kesempatan kami berdiskusi mengenai isu-isu terkait dengan Internal Audit Program (istilah lain: prosedur audit, langkah-2 kerja audit).
Audit program dimaksud adalah audit program untuk penugasan selain audit khusus/ investigasi. Kami mencoba merangkum isu-isu tersebut, dengan rujukan IPPF IIA.
Berdasar IPPF IIA, elemen audit program adalah:
a. Pernyataan tujuan audit (dengan mempertimbangkan high risk yang teridentifikasi).
b. Perencanaan alokasi sumber daya (biasanya waktu dan PIC).
c. Prosedur/ langkah-2 untuk mengumpulkan, menganalisis, menginteprestasikan, dan mengdokumentasikan informasi selama penugasan audit.
Berikut contoh audit program dengan menggunakan pendekatan Risk Control Martix:
a. Apakah hasil penugasan internal auditor akan dijadikan acuan oleh pihak lainnya (seperti auditor eksternal, regulator, aparat hukum).
b. Apakah penugasan internal audit terkait masalah yang berpotensi masuk ke ranah hukum.
c. Tingkat kompetensi dan pengalaman internal auditor.
Oleh karena ada perubahan tersebut, maka setiap perubahan harus disetujui terlebih dahulu sebelum modifikasi audit program tersebut dilaksanakan. Hal ini diatur dalam Standar 2240:
“The work program must be approved prior to its implementation, and any adjustments approved promptly.”
Untuk efisien dan efektif tersebut, CAE seharusnya berkoordinasi dengan dan men-share audit program kepada internal auditor lainnya dan eksternal auditor. Hal ini diatur dalam Standar 2050:
“The chief audit executive should share information, coordinate activities, and consider relying upon the work of other internal and external assurance and consulting service providers to ensure proper coverage and minimize duplication of efforts.”
Implementation Guide 2050 juga merekomendasikan:
“Access to the internal auditors’ programs and working papers is provided to external auditors in order for external auditors to be satisfied as to the acceptability for external audit purposes of relying on the internal auditors’ work.”
Well lagi, kalo kami berpendapatan boleh sharing audit program ke klien. Argumennya adalah:
a. Tidak ada larangan dalam standar internal audit/IPPF IIA.
b. Audit program yang masih bersifat rencana, tidaklah bersifat rahasia. Dokumen internal audit yang akses nya dibatasi adalah kertas kerja, yang didalamnya termasuk audit program yang sudah dilaksanakan. Akses KKA dibatasi sebagai kontrol agar tidak ada yang bisa merubah, menghapus KKA, di mana KKA merupakan bukti audit.
c. Kalaupun klien segera memperbaiki kekurangan-2 di area yang akan diperiksa, kan malah bagus. Artinya auditor ga perlu cape-2 buat rekomendasi dan kekurangan langsung diindentifikasi sendiri dan di-TL sendiri oleh klien. Pekerjaan auditor malah menjadi lebih efisien.
Jika ada yang berpendapat lain, dengan senang hati kita berdiskusi.
Semoga bermanfaat....
Audit program dimaksud adalah audit program untuk penugasan selain audit khusus/ investigasi. Kami mencoba merangkum isu-isu tersebut, dengan rujukan IPPF IIA.
Berikut isu-isu terkait internal audit program:
1. Apa sih elemen audit program
Sederhananya, audit program merupakan merupakan instruksi/ langkah-langkah audit yang diperlukan untuk mencapai tujuan audit. Karena audit program merupakan instruksi formal, maka audit program merupakan instruksi langkah-2 kepada auditor untuk mencapai tujuan audit.Berdasar IPPF IIA, elemen audit program adalah:
a. Pernyataan tujuan audit (dengan mempertimbangkan high risk yang teridentifikasi).
b. Perencanaan alokasi sumber daya (biasanya waktu dan PIC).
c. Prosedur/ langkah-2 untuk mengumpulkan, menganalisis, menginteprestasikan, dan mengdokumentasikan informasi selama penugasan audit.
Berikut contoh audit program dengan menggunakan pendekatan Risk Control Martix:
Contoh audit program |
2. Bagaimana formalitas, dokumentasi, dan tingkat detail dari audit program?
Formalitas, dokumentasi, dan tingkat detail audit program, tergantung beberapa aspek, antara lain:a. Apakah hasil penugasan internal auditor akan dijadikan acuan oleh pihak lainnya (seperti auditor eksternal, regulator, aparat hukum).
b. Apakah penugasan internal audit terkait masalah yang berpotensi masuk ke ranah hukum.
c. Tingkat kompetensi dan pengalaman internal auditor.
3. Siapa yang meng-approve audit program.
Prinsipnya, pencapaian tujuan aktivitas internal audit, termasuk kecukupan dan efektifitas audit program, merupakan tanggung jawab CAE. Jadi, audit program di-approve oleh CAE atau manajemen di bawahnya yang diberikan kewenangan untuk itu, misal Manajer/ Supervisor Audit.4. Bagaimana jika ada kebutuhan perubahan audit program saat penugasan lapangan berlangsung?
Audit program disusun di saat perencanaan dan berdasarkan hasil penilaian risiko dan pengendalian awal. Nah, setelah di lapangan, sering kali, beberapa audit program tidak bisa dilaksanakan atau ada masalah baru yang tidak masuk dalam audit program, yang perlu didalami lebih lanjut. Kondisi tersebut mengharuskan auditor untuk memodifikasi audit program, untuk menggambarkan realisasi apa yang dilakukan auditor di lapangan. Perubahan tersebut dapat berimplikasi perubahan tujuan, anggaran, waktu, dll, yang telah ditetapkan sebelumnya oleh CAE .Oleh karena ada perubahan tersebut, maka setiap perubahan harus disetujui terlebih dahulu sebelum modifikasi audit program tersebut dilaksanakan. Hal ini diatur dalam Standar 2240:
“The work program must be approved prior to its implementation, and any adjustments approved promptly.”
5. Boleh ga sharing audit program ke auditor internal lainnya / auditor eksternal?
CAE bertanggung jawab untuk mencapai tujuan audit secara efisien dan efektif. Agar efisien, CAE perlu memastikan tidak ada duplikasi pekerjaan dengan internal auditor lainnya dan eksternal auditor. Agar efektif, CAE juga memastikan bahwa lingkup pekerjaan telah memadai.Untuk efisien dan efektif tersebut, CAE seharusnya berkoordinasi dengan dan men-share audit program kepada internal auditor lainnya dan eksternal auditor. Hal ini diatur dalam Standar 2050:
“The chief audit executive should share information, coordinate activities, and consider relying upon the work of other internal and external assurance and consulting service providers to ensure proper coverage and minimize duplication of efforts.”
Implementation Guide 2050 juga merekomendasikan:
“Access to the internal auditors’ programs and working papers is provided to external auditors in order for external auditors to be satisfied as to the acceptability for external audit purposes of relying on the internal auditors’ work.”
6. Boleh ga sharing audit program ke klien/ manajemen?
Well, banyak opini terkait isu ini. Ada yang bilang tidak boleh, dan ada yang bilang boleh. Yang tidak boleh, berargumen kalo audit program di-share ke klien maka klien akan mengantisipasi, atau segera memperbaiki area yang akan diperiksa.Well lagi, kalo kami berpendapatan boleh sharing audit program ke klien. Argumennya adalah:
a. Tidak ada larangan dalam standar internal audit/IPPF IIA.
b. Audit program yang masih bersifat rencana, tidaklah bersifat rahasia. Dokumen internal audit yang akses nya dibatasi adalah kertas kerja, yang didalamnya termasuk audit program yang sudah dilaksanakan. Akses KKA dibatasi sebagai kontrol agar tidak ada yang bisa merubah, menghapus KKA, di mana KKA merupakan bukti audit.
c. Kalaupun klien segera memperbaiki kekurangan-2 di area yang akan diperiksa, kan malah bagus. Artinya auditor ga perlu cape-2 buat rekomendasi dan kekurangan langsung diindentifikasi sendiri dan di-TL sendiri oleh klien. Pekerjaan auditor malah menjadi lebih efisien.
Jika ada yang berpendapat lain, dengan senang hati kita berdiskusi.
Semoga bermanfaat....
mantabs bro....btw, terkait no 6 kira2 buat apa ya klien/mgt minta audit program kita...dlm konteks apa gitu, praktiknya kan auditor yg akan meminta/menanyakan data/dok/info sesuai audit program nya..tx ya, keep writing n sharing...
ReplyDeleteTrims pak atas kunjungannya. Ya..., kalo alasan manajemen sih ada macem-macem pak. Ada yang minta audit program dengan alasan untuk melihat apakah data yang diminta sesuai audit program atau tidak (artinya auditor tidak minta data diluar tujuan auditnya), atau ada juga indikasi manajemen mau membereskan area-area yang mau diaudit.
Deletekeren pak ..sambil materi buat di shaer ke group pak.
ReplyDeleteHe he, trims pak Dede atas kunjungannya.. Belum banyak update lagi pak, masih banyak urusin kantor
Delete