-->
Home » , » Risk Based Internal Audit Plan: A Simple Practical Guide

Risk Based Internal Audit Plan: A Simple Practical Guide

Written By YCS on Thursday, August 28, 2014 | 5:37 PM

Simple Practical Guide Risk Based Audit Plan – Review Application Control

Sumber: IIA’s Global Technology Audit Guide (GTAG) 8: Auditing Application Controls

1. Umum

Sebelumnya sori neh kalo bahasa yang digunakan campur-2, maklum lagi sekalian latihan Bahasa Inggris. Ga masbuloh kan....
Requirement to develop risk based plan bagi internal auditor dipersayaratkan dalam Standar Internal Audit, issued by Institute of Internal Auditors (IIA). The implementation of the “risk based audit plan” covers annual engagement at IAA level and individual level.CAE must manage internal audit activities IAA) to ensure that IAA will provide add value for organization (Standard 2000: Managing the Internal Audit Activity). Agar dapat memberi nilai tambah, maka IAA wajib disusun dengan menggunakan pendekatan risk-based audit plan, untuk menentukan prioritas IAA, guna mendukung pencapaian tujuan organisasi (Standar 2010: Planning).

Risk Based Internal Audit Plan: A Simple Practical Guide

Posting ini fokus membahas contoh sederhana panduan praktis bagaimana menyusun risk based internal audit plan untuk penugasan tahunan level IAA, untuk penugasan audit IT. Panduan untuk RBIA pada untuk level individu akan dibahas pada posting berikutnya.

2.   Assess Risk – Kasus Reviu Application Control 

When developing review plan of application control, auditor should utilize techniques for identifying critical vulnerabilities, terhadap tujuan (operasional, pelaporan, dan kepatuhan). The techniques include:
  • Sifat, waktu, dan tingkat reviu.
  • Fungsi bisnis yang kritis, yang didukung oleh application controls. Semakin besar dukungan aplikasi kepada suatu fungsi binis kritis, maka semakin besar nilai risiko-nya.
  • Kebutuhan waktu dan sumber daya yang diperlukan untuk melakukan reviu. Dengan menggunakan RBIA, maka sumber daya yang tersedia (SDM, waktu, dan uang, serta aset pendukung) dialokasikan habis/ maksimal untuk melaksanakan penugasan-penugasan yang beresiko tinggi. 
Moreover, auditor should propose 4 (four) critical questions, when deciding the scope of the review, i.e.:
  1. Apa risiko terbesar bagi perusahaan dan perhatian utama komite audit, yang perlu untuk dinilai dan dikelola, dengan mempertimbangkan masukan/ pandangan dari manamengent?
  2. Proses bisnis yang mana, yang dipengaruhi oleh risiko-risiko tersebut?
  3. Sistem aplikasi yang mana, yang digunakan untuk melaksanakan proses-proses tersebut?
  4. Dimana proses tersebut dilaksanakan?
When identfying risks, auditor mungkin menyadari bahwa akan berguna untuk menggunakan top-down risk assessment approach, untuk menentukan aplikasi mana yang masuk sebagai bagian dari control review dan pengujian/ test apa yang perlu dilakukan. Risk assessment tersebut bukan bagian dari manajemen risiko, namun suatu penilaian risiko yang menggunakan pendekatan manajemen risiko. Oleh karena itu, dalam melakukan risk assessment, auditor melakukan langkah yang similar dengan langkah risk assessment dalam manajemen risiko.

As an example: the following diagram depicts an effective methodology to identify risks related to financial reporting and review scope. For notes: this illustration is not the only method to perform all type of risk assessment.

RBIA Yulias Sihombing
RBIA Auditor Corner

3. Application Control: Risk Assessment Approach

To provide add value for application control risk assessment activities, internal auditor:
  • a. Mendefinisikan aplikasi (audit/ reviu) universe, database, dan teknologi pendukung, yang memanfaatkan application controls, dan juga meringkas risiko-risiko dan pengendalian dengan menggunakan matrik risk dan control yang didokumentasikan selama proses risk assessment tersebut.
  • b. Mendefinisikan faktor-faktor resiko, yang berhubungan dengan masing-masing application control, termasuk:
    a) Primary (key) application controls.
    b).Desain efektifitas dari application controls.
    c).Pre-packaged atau developed applications / databases. Unconfigured pre-packaged atau developed applications, yang berlawanan dengan aplikasi yang highly configured in-house atau purchased applications.
    d).Apakah aplikasi tersebut mendukung lebih dari satu proses bisnis penting.
    e).Klasifikasi data yang diproses oleh aplikasi tersebut (e.g., financial, private, or confidential).
    f).Frekuensi perubahan pada aplikasi atau databases.
    g).Kompleksitas perubahan (contoh: perubahan table versus perubahan code).
    h).Dampak keuangan dari application controls.
    i).Efektifitas IT General Controlss, yang berkaitan dengan aplikasi (e.g., change management, logical security, dan operational controls).
    j).Catatan audit atas masalah controls.
  • c. Tetapkan bobot seluruh faktor risiko untuk menentukan risiko-risiko mana yang perlu diberi bobot lebih besar dari lainnya.
  • d. Tentukan skala untuk me-ranking masing-masing risiko application control dengan mempertimbangkan skala kualitatif dan kuantitatif, seperti:
    a) Low, medium, atau high control risk.
    b) Skala numeric berdasarkan informasi kualitatif (contoh, 1 = low-impact risk, 5 = high-impact risk, 1 = strong control, dan 5 = inadequate control).
    c) Skala numerik berdasarkan informasi kuantitatif (contoh: 1 = < US$50,000 dan 5 = > US $1,000,000).
  • e. Lakukan risk assessment dan ranking seluruh area risiko.
  • f. Evaluasi hasil risk assessment .
  • g. Buat rencana risk review, yang didasarkan pada hasil risk assessment dan ranked risk areas.
Example: 
  1. Tabel di bawah menggambarkan contoh application control risk assessment, yang menggunakan skala ranking kualitatif (1 = low impact / risk and 5 = high impact / risk).
  2. Composite score untuk masing-masing aplikasi dihitung dengan cara: Σ (bobot faktor risiko X rating aplikasi).
  3. Contoh: composite score 375 pada baris pertama dihitung dengan cara: [(20 x 5) + (10 x 1) + (10 x 5 ) + … + (15 x 2)].
  4. Misal: auditor dapat menetapkan bahwa lingkup reviu application control akan memasukan semua aplikasi dengan composite score 200 atau lebih, jadi yang akan masuk lingkup reviu adalah Applikasi D, A, C, dan E.
  5. Dari hasil risk assessment tersebut, maka lingkup penugasan mencakup reviu atas Aplikasi D, A, C, dan E.
  6. Dengan asumsi, IAA telah memperhitungkan:
    a) Sifat, waktu, serta tingkat reviu,
    b) Hasil Assurance Map
    c) Kecukupan sumber daya (waktu, dana dan SDM), yang tersedia untuk dialokasi penugasan lainnya (assurance dan consulting).
RBIA Risk Factor Yulias Sihombing
RBIA Risk Factor Auditor Corner

Therefore, engagement review of application D, A, C, and E, will be included in Annual Internal Audit Plan (maka, penugasan reviu D, A, C, dan E masuk dalam Perencanaan Audit Tahunan).
Share this article :

0 comments:

Post a Comment

Total Pageviews

  • Posts
  • Comments
  • Pageviews



 
Support : IIA Website | CPA Room | Your Link
Copyright © 2015. Internal Auditor's Corner - All Rights Reserved
Template Created by Creating Website Modified by CaraGampang.Com
Proudly powered by Blogger