Tugas Softskill 2 || Audit Around The Computer dan Audit Through The Computer

1.  Audit Around The Computer

Hanya memeriksa dari sisi user saja. Pada masukan dan keluarannya tidak memeriksa lebih lanjut terhadap sistemnya atau programnya. Dokuman sumber tersedia dalam bentuk kertas (bahasa non-mesin), artinya bentu tersebut masih bisa dilihat secara kasat mata. Dokumen-dokumen tersebut disimpan daam file dengan cara yang mudah ditemukan. Keluaran dari program tersebut dapat diperoleh dari daftar yang terinci dan auditor dapat dengan mudah menelusuri setiap transaksi dari dokumen.

Kelebihan:

1. Proses audit tidak memakan waktu lama karena hanya melakukan audit tidak secara mendalam.

2. Tidak harus mengetahui seuruh proses penanganan sistem.

3. Umumnya database mencangkup jumlah data yang banyak dan sulit untuk ditelusuri secara manual.

4. Tidak membuat auditor memahami sistem komputer dengan lebih baik.

5. Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam sistem.

6. Lebih berkenaan dengan hal yang lalu dari pada dengan audit yang preventif.

7. Kemampuan komputer sebagai fasilitas penunjang audit tidak terpakai.

8. Tidak mencakup keseluruhan maksud dan tujuan auditor.

2.  Audit Through The Computer

Dimana selain auditor memeriksa data masukan dan keluaran, auditor juga melakukan uji coba proses program dan sistemnya, atau yang biasa disebut dengan white box, sehingga auditor dapat merasakan sendiri langkah demi langkah pelaksanaan sistem serta mengetahui bagaimana sistem dapat dijalankan pada proses tertentu.

Kelebihan:

1. Dapat meningkatkan kekuatan pengujian sistem aplikasi secara efektif.

2. Dapat memeriksa secara langsung logika pemprosesan dan sistem aplikasi.

3. Kemampuan sistem yang dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan datang.

4. Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap kebenaran hasil kerjanya.

• Obyek Audit : Entity-Level Auditing Controls

Kontrol tingkat entitas adalah pengendalian internal yang membantu memastikan bahwa arahan manajemen yang berkaitan dengan keseluruhan entitas dilakukan. Mereka adalah tingkat kedua pendekatan top-down untuk memahami risiko organisasi. Umumnya, entitas mengacu pada keseluruhan perusahaan.

Menguji Langkah untuk Auditing Entity Level Control

1. Meninjau struktur organisasi TI secara keseluruhan untuk memastikan bahwa tugas tersebut memberikan tugas dan wewenang yang jelas atas operasi TI dan memastikan pemisahan tugas secara memadai.

            Struktur organisasi TI yang kurang jelas dapat menyebabkan kebingungan mengenai tanggung jawab, sehingga fungsi dukungan TI dapat dilakukan secara tidak efisien atau tidak efektif. Misalnya, fungsi kritis dapat terbengkalai atau dilakukan secara berlebihan. Juga, jika garis wewenang tidak jelas, dapat menyebabkan ketidaksepakatan mengenai siapa yang memiliki kemampuan tertinggi untuk membuat keputusan akhir. Akhirnya, jika tugas TI tidak dipisahkan secara tepat, hal itu dapat menyebabkan kegiatan penipuan dan mempengaruhi integritas informasi dan proses perusahaan

2. Meninjau proses perencanaan strategis TI dan pastikan itu sejalan dengan strategi bisnis. Evaluasi proses organisasi TI untuk memantau kemajuan terhadap rencana strategis.

            Untuk memberikan keefektifan jangka panjang, organisasi TI harus memiliki semacam strategi mengenai tujuannya, berlawanan dengan mode reaktif secara konstan, di mana masalah dan krisis sehari-hari adalah satu-satunya pertimbangan. Organisasi TI harus menyadari kebutuhan bisnis dan perubahan lingkungan yang akan datang sehingga dapat merencanakan dan meresponsnya

3. Tentukan apakah strategi teknologi dan aplikasi dan peta jalan ada, dan evaluasi proses perencanaan teknis jarak jauh.

TI adalah lingkungan yang berubah dengan cepat, dan penting bagi organisasi TI untuk memahami dan merencanakan perubahan. Jika tidak, lingkungan TI perusahaan berisiko mengalami teknologi usang dan / atau tidak sepenuhnya memanfaatkan keuntungan perusahaan.

.

4. Tinjau kembali indikator kinerja dan pengukuran untuk TI. Pastikan proses dan metrik tersedia (dan disetujui oleh pemangku kepentingan utama) untuk mengukur kinerja kegiatan sehari-hari dan untuk melacak kinerja terhadap kesepakatan tingkat layanan, anggaran, dan persyaratan operasional lainnya.

            Organisasi TI ada untuk mendukung bisnis dan operasi sehari-hari. Jika standar kinerja minimum tidak ditetapkan dan diukur, sulit bagi bisnis untuk menentukan apakah layanan organisasi TI dilakukan pada tingkat yang dapat diterima.

5. Tinjau proses organisasi TI untuk menyetujui dan memprioritaskan proyek baru. Tentukan apakah proses ini memadai untuk memastikan bahwa proyek akuisisi dan pengembangan sistem tidak dapat dimulai tanpa persetujuan. Memastikan bahwa manajemen dan pemangku kepentingan utama meninjau status proyek, jadwal, dan anggaran secara berkala selama masa proyek yang signifikan.

            Tanpa proses terstruktur untuk menyetujui dan memprioritaskan proyek TI baru, sumber daya TI mungkin tidak akan digunakan secara efisien. Sebagai gantinya, mereka akan ditugaskan secara ad hoc untuk proyek potensial apa pun yang akan terjadi selanjutnya. Selain itu, proyek-proyek TI dapat dimulai yang tidak memenuhi kebutuhan bisnis dan / atau yang tidak sepenting proyek potensial lainnya dimana sumber daya tersebut dapat digunakan.

6. Meninjau dan mengevaluasi proses untuk mengelola layanan pihak ketiga, memastikan bahwa peran dan tanggung jawab mereka didefinisikan secara jelas dan memantau kinerjanya.

Banyak perusahaan melakukan outsourcing beberapa atau semua proses dukungan TI mereka, termasuk area seperti dukungan PC, server web hosting, dukungan sistem, pemrograman, dan sebagainya. Jika vendor ini tidak dikelola dengan tepat, ini bisa menyebabkan layanan yang buruk dan kualitas yang tidak dapat diterima di lingkungan TI. Bergantung pada bagian lingkungan TI mana yang telah dioutsourcing, masalah ini dapat secara signifikan mempengaruhi operasi perusahaan..

7. Meninjau dan mengevaluasi proses untuk mengendalikan akses logis karyawan.

Sebagian besar perusahaan mempekerjakan beberapa tingkat outsourcing dan tenaga kerja kontrak untuk menambah tenaga kerja internal mereka. Selain itu, beberapa perusahaan mengizinkan vendor pihak ketiga mendapatkan akses logis ke sistem yang dibeli untuk mendapatkan pemecahan masalah dan tujuan dukungan. Karena personil ini bukan pegawai perusahaan, mereka cenderung tidak memiliki investasi perorangan dalam kesuksesan perusahaan atau kesadaran akan kebijakan dan budaya perusahaan.

8. Meninjau dan mengevaluasi proses untuk memastikan bahwa perusahaan mematuhi lisensi perangkat lunak yang berlaku

Menggunakan perangkat lunak secara ilegal dapat mengakibatkan hukuman, denda, dan tuntutan hukum. Semakin mudah bagi karyawan perusahaan mendownload software dari internet. Jika perusahaan tidak mengembangkan proses untuk mencegah atau melacak aktivitas semacam itu (dan juga melacak penggunaan lisensi perusahaan untuk perangkat lunak yang dibeli), mereka dapat menemukan dirinya tunduk pada audit vendor perangkat lunak tanpa kemampuan untuk memperhitungkan dengan benar penggunaan vendor perusahaan perangkat lunak.

9. Mengkaji dan mengevaluasi kontrol atas akses jarak jauh ke dalam jaringan perusahaan (seperti dial-up, VPN, koneksi eksternal khusus).

Mengizinkan akses jarak jauh ke jaringan pada dasarnya menghasilkan jaringan yang diperpanjang melampaui batas normalnya, melewati kontrol perimeter normal seperti firewall. Kurangnya kontrol yang kuat mengenai akses ini dapat mengakibatkan akses yang tidak tepat ke jaringan dan jaringan yang dikompromikan.

10. Pastikan prosedur perekrutan dan pemutusan hubungan kerja jelas dan komprehensif.

Prosedur perekrutan memastikan bahwa karyawan diserahkan ke layar  dan pemeriksaan latar belakang, di mana undang-undang setempat mengizinkan, sebelum mulai bekerja dalam organisasi. Prosedur Termi-nation memastikan bahwa akses terhadap sistem dan fasilitas perusahaan dicabut sebelumnya

11. Meninjau dan mengevaluasi kebijakan dan prosedur pengendalian pengadaan dan pergerakan perangkat keras.

Manajemen aset adalah pengendalian, pelacakan, dan pelaporan aset organisasi untuk memudahkan akuntansi atas aset. Tanpa pengelolaan aset yang efektif, perusahaan akan dikenai peningkatan biaya peralatan duplikat dalam situasi di mana peralatan tersedia namun belum diketahui. Perusahaan juga akan dikenai biaya sewa yang tidak perlu jika peralatan sewa tidak dilacak secara memadai dan dikembalikan tepat waktu. Demikian pula, tanpa pengelolaan aset yang memadai, kondisi peralatan akhir kehidupan mungkin tidak diperhatikan, sehingga meningkatkan risiko kegagalan perangkat keras.

12. Pastikan bahwa sistem konfigurasi dikendalikan denga perubahan manajemen untuk menghindari pemadaman sistem yang tidak perlu.

            Manajemen perubahan konfigurasi memastikan bahwa perubahan sistem dikendalikan dan dilacak untuk mengurangi risiko pemadaman sistem. Ini mencakup perencanaan, penjadwalan, penerapan, dan perubahan pelacakan terhadap sistem untuk mengurangi risiko perubahan lingkungan tersebut.

13. Pastikan media transportasi, penyimpanan, penggunaan kembali, dan pembuangan ditangani secara memadai oleh kebijakan dan prosedur perusahaan

Media kontrol  memastikan bahwa informasi yang tersimpan di media penyimpan data tetap confi-dential dan terlindungi dari kerusakan atau kerusakan dini. Kebijakan, prosedur penyimpanan, penggunaan kembali, dan pembuangan limbah yang tidak memadai, mengekspos organisasi terhadap kemungkinan pengungkapan atau penghancuran informasi penting yang tidak sah.

14. Verifikasi bahwa kebijakan dan prosedur perusahaan secara memadai menangani pengawasan dan perencanaan kapasitas.

Mengantisipasi dan memantau kapasitas pusat data, sistem komputer dan aplikasi merupakan kunci untuk memastikan ketersediaan sistem. Ketika perusahaan mengabaikan kontrol ini, mereka sering mengalami gangguan sistem dan kehilangan data.

15. Berdasarkan struktur proses dan proses TI organisasi anda, identifikasi dan audit proses TI lainnya di tingkat entitas.

Dengan mengidentifikasi kontrol TI dasar, anda harus dapat mengurangi pengujian selama audit lain dan menghindari pengulangan. Misalnya, jika perusahaan anda hanya memiliki satu pusat data produksi, anda dapat menguji keamanan fisik dan kontrol lingkungan dari pusat data itu satu kali. Kemudian, dengan mengaudit sistem individual yang ada di pusat data tersebut, alih-alih mengaudit kontrol keamanan fisik dan lingkungan dari setiap sistem tersebut (yang akan sangat berulang karena semuanya ada di tempat yang sama), anda dapat lihat saja audit tingkat entitas anda terhadap isu-isu tersebut dan lanjutkan.

• Rencana Audit

Audit kontrol tingkat entitas

Daftar periksa audit untuk kontrol tingkat entitas

1. Tinjau keseluruhan struktur organisasi TI untuk memastikan bahwa proyek tersebut memberikan tugas dan tanggung jawab yang jelas terhadap operasi TI dan memberikan pemisahan peran yang memadai.

2. Tinjau proses perencanaan TI strategis untuk memastikan keselarasan dengan strategi bisnis. Evaluasi proses organisasi TI untuk memantau kemajuan terhadap rencana strategis.

3. Tentukan apakah strategi dan teknologi dan peta jalan implementasi ada dan evaluasi proses perencanaan teknis jangka panjang.

4. Tinjau kembali indikator kinerja dan ukuran TI. Pastikan proses dan metrik diterapkan (dan disetujui oleh pemangku kepentingan utama) untuk mengukur kinerja kegiatan sehari-hari dan untuk melacak kinerja terkait dengan perjanjian tingkat layanan, anggaran dan persyaratan operasional lainnya.

5. Kaji ulang proses organisasi TI untuk menyetujui dan memprioritaskan proyek baru. Tentukan apakah proses ini memadai untuk memastikan bahwa proyek akuisisi dan pengembangan sistem tidak dapat dimulai tanpa persetujuan. Memastikan manajemen kunci dan pemangku kepentingan meninjau status proyek, jadwal, dan anggaran secara berkala selama masa proyek yang signifikan.

6. Evaluasi peraturan yang mengatur pelaksanaan proyek TI dan memastikan kualitas produk yang dikembangkan atau diakuisisi oleh organisasi TI. Tentukan bagaimana standar ini dikomunikasikan dan ditegakkan.

7. Pastikan bahwa kebijakan keamanan TI ada dan berikan persyaratan yang memadai untuk keselamatan lingkungan. Tentukan bagaimana kebijakan ini dikomunikasikan dan bagaimana kepatuhan dipantau dan ditegakkan.

8.   Mengkaji dan mengevaluasi proses penilaian risiko yang diterapkan untuk organisasi TI.

9. Mengkaji dan mengevaluasi proses untuk memastikan bahwa karyawan perusahaan memiliki keterampilan dan pengetahuan untuk melakukan pekerjaan mereka.

Daftar periksa audit untuk kontrol tingkat entitas (lanjutan)

10. Meninjau dan mengevaluasi kebijakan dan proses untuk menetapkan kepemilikan data perusahaan, mengklasifikasikan data, melindungi data sesuai dengan klasifikasi, dan menentukan siklus hidup data.

11.  Pastikan ada proses yang efektif untuk mematuhi undang-undang dan peraturan yang berlaku yang mempengaruhi TI (seperti HIPAA, Sarbanes-Oxley) dan untuk menjaga kesadaran akan perubahan di lingkungan peraturan.

12. Mengkaji dan mengevaluasi proses untuk memastikan bahwa pengguna akhir lingkungan TI memiliki kemampuan untuk melaporkan masalah, berpartisipasi secara benar dalam keputusan TI, dan merasa puas dengan layanan yang diberikan oleh TI.

13. Tinjau dan evaluasi proses manajemen layanan pihak ketiga, pastikan peran dan tanggung jawab mereka didefinisikan secara jelas dan pantau kinerjanya.

14.   Meninjau dan mengevaluasi proses untuk mengendalikan akses logis non-karyawan.

15. Mengkaji dan mengevaluasi proses untuk memastikan bahwa perusahaan mematuhi perangkat lunak yang berlaku.

• Susunan Instrumen Audit

Regulasi :

• Sarbanes-Oxley Act of 2002

            Sebagai hasil dari beberapa skandal akuntansi dan auditing, kongres mengeluarkan Sarbenes-Oxley Act of 2002. Bagian 404 dari tindakan tersebut mengharuskan manajemen perusahaan untuk menilai dan melaporkan efektivitas pengendalian internal perusahaan. Ini juga mengharuskan auditor independen perusahaan untuk membuktikan pengungkapan manajemen mengenai efektivitas pengendalian internal. Tindakan tersebut juga menciptakan Public Company Accounting Oversight Board (PCAOB).

• PCAOB Auditing Standard No. 5

The Public Company Accounting Oversight Board (PCAOB) menjadi regulator utama audit perusahaan publik. Pada bulan Juni 2007, PCAOB mengadopsi Standar Audit No. 5 (AS5).Standar ini berisi standar untuk melakukan audit pengendalian internal atas pelaporan keuangan yang terintegrasi dengan audit atas laporan keuangan.Auditor harus menguji kontrol tingkat entitas yang penting bagi kesimpulan auditor tentang apakah perusahaan memiliki pengendalian internal yang efektif atas pelaporan      keuangan.

Bergantung pada evaluasi auditor terhadap efektivitas pengendalian tingkat entitas,auditor dapatmeningkatkan atau mengurangi jumlah pengujian yang akan mereka lakukan. Kontrol tingkat badan sangat bervariasi di alam dan presisi. Efeknya terhadap rencana audit bervariasi sesuai dengan seberapa tepatnya mereka.

• Penggunaan Instrumen Audit yang akan digunakan

Definisi kontrol tingkat entitas terpilih yang diatur dalam kerangka COSO

Lingkungan kontrol

Kode etik

Norma yang disetujui oleh organisasi secara sukarela untuk dipatuhi. Misalnya, kode etik perusahaan mungkin termasuk kebijakan untuk melarang karyawan menerima hadiah dari vendor.

Pemerintahan

Mekanisme untuk memantau bagaimana sumber daya suatu organisasi dimanfaatkan secara efisien oleh manajemen, dengan penekanan pada transparansi dan akuntabilitas.

Penugasan Kewenangan dan Tanggung Jawab

Istilah “kewenangan” mengacu pada hak untuk melakukan aktivitas organisasi. Istilah “tanggung jawab” mengacu pada kewajiban untuk melakukan kegiatan yang ditugaskan. Hal ini penting untuk pencapaian tujuan pengendalian bahwa otoritas dan tanggung jawab konsisten dengan tujuan kegiatan bisnisnya dan ditugaskan kepada personil yang tepat.

Praktek rekrutmen dan penyimpanan

Perekrutan dan penyimpanan sumber daya khusus sangat penting bagi keberhasilan sebuah organisasi. Kebijakan dan prosedur yang berkaitan dengan definisi pekerjaan, perekrutan, pelatihan, evaluasi kinerja, program retensi karyawan dan pengelolaan keluar karyawan merupakan komponen penting dalam pengelolaan sumber daya manusia.

Pencegahan kecurangan Pencegahan / Deteksi pengendalian dan prosedur analitik

Ini mengacu pada pengendalian dan prosedur anti-kecurangan yang digunakan oleh manajemen untuk mencegah, mendeteksi dan mengurangi kecurangan. Contohnya mungkin mencakup pemisahan tugas, pembuatan garis etika langsung dan rotasi kerja berkala.

Penilaian Risiko

Metodology Penilaian Risiko

Pendekatan sistematis untuk mengidentifikasi, mengevaluasi dan memprioritaskan risiko.

Teknik Analitik untuk Penilaian Risiko

Teknik analisis, jika digunakan dengan benar, dapat berfungsi sebagai alat dalam proses penilaian risiko. Karena risiko adalah hasil persepsi, teknik analisis membantu menghilangkan subjektivitas, sampai batas tertentu dengan mengumpulkan dan menyajikan data secara sistematis untuk evaluasi dampak potensial dan kemungkinan terjadinya atau risiko.

Informasi dan Komunikasi

Komunikasi Internal dan Pelaporan Kinerja

Ini mengacu pada jalur komunikasi yang berjalan melalui struktur organisasi, baik top-down dan bottom-up, termasuk komunikasi antar rekan. Pelaporan kinerja adalah bagian dari komunikasi internal, dan biasanya melibatkan proses dua arah untuk menetapkan harapan dan memantau kinerja terhadap ekspektasi yang disepakati.

Pengaturan nada

Pengaturan nada mengacu pada berbagai komponen “nada di bagian atas,” yaitu blok bangunan karakter organisasi. Setelah menetapkan nada yang tepat, sama pentingnya memiliki saluran komunikasi terbuka sehingga orang-orang di dalam dan di luar organisasi memahami dan bertindak atasnya. Contoh komponen nada seperti itu mencakup kode etik dan praktik tata kelola perusahaan.

Pelaporan Dewan Komisaris / Komite Audit

Anggota dewan, termasuk direksi independen, mengambil tanggung jawab fidusia yang meminta mereka untuk memiliki akses terhadap informasi yang akurat dan relevan. Meskipun sebagian besar negara telah memberlakukan undang-undang mengenai pelaporan formal kepada Dewan Direksi dan Komite Audit Dewan, hal ini biasanya merupakan prosedur dan persyaratan awal. Perusahaan bebas untuk menerapkan langkah-langkah yang lebih ketat mengenai Pelaporan Dewan / Komite Audit, seperti mengadakan Rapat Komite Audit formal yang lebih sering daripada yang dipersyaratkan oleh undang-undang.

Komunikasi Eksternal

Ini mengacu pada komunikasi kepada pemegang saham, pasar saham, pelanggan, regulator, vendor, dan entitas lain di luar batas formal perusahaan. Laporan tahunan ini merupakan contoh komunikasi eksternal seputar kinerja perusahaan, laporan keuangan, visi, sasaran dan sasaran.

Aktivitas pengendalian

Kebijakan dan prosedur

Kebijakan adalah peraturan bisnis dan praktik formal yang harus diperhatikan oleh organisasi dan karyawannya. Kebijakan dan prosedur ini diatur oleh persyaratan hukum / peraturan, dan filosofi manajemen. Misalnya, kebijakan akuntansi biasanya disesuaikan dengan standar akuntansi yang berlaku, sedangkan kebijakan kredit bergantung pada risk appetite manajemen.

Tinjauan Audit Internal

Audit internal berfungsi sebagai alat untuk Komite Audit dan manajemen untuk menyelami lebih dalam ke area berisiko tinggi yang diidentifikasi untuk mengidentifikasi masalah dan rekomendasi mengenai remediasi mereka. Audit internal sering dilaporkan ke Komite Audit, dan dapat dikelola secara internal maupun eksternal.

Pemisahan tugas

Konsep ini memerlukan tinjauan independen terhadap pekerjaan yang dilakukan oleh individu, mencegah seseorang untuk tidak dapat memulai – dan menyelesaikan – transaksi kritis. Pemisahan tugas adalah kontrol anti-kecurangan utama.

Rekonsiliasi Akun

Rekonsiliasi akun secara periodik membantu identifikasi kesalahan, kelalaian dan bahkan kecurangan. Misalnya, rekonsiliasi akun pelanggan dapat mengidentifikasi pembayaran yang diterima, namun tidak diterapkan, ke akun pelanggan yang benar.

Sistem Balancing dan Exception Reporting

Penyeimbangan sistem mengacu pada pemeriksaan sistem internal untuk memverifikasi integritas data yang ditransfer dari aplikasi lain. Contohnya termasuk mekanisme untuk membandingkan jumlah total antara sumber data asli dan data yang ditransfer ke aplikasi baru. Pelaporan pengecualian berkaitan dengan pelaporan item pengecualian kepada manajemen sehingga penggunaan waktu pengelolaan yang lebih efektif dapat dicapai. Misalnya, Manajer Penjualan berpotensi meninjau semua transaksi penjualan selama sehari. Tetapi lebih efisien waktu jika proses review dan persetujuan difokuskan pada transaksi yang tidak terjual pada harga daftar, atau dijual di atas persentase diskon tertentu yang telah ditentukan sebelumnya.

Manajemen Perubahan

Ini mengacu pada pengelolaan perubahan pada proses, orang, struktur organisasi, dan sebagainya, dengan cara meminimalkan gangguan bisnis yang dapat membahayakan keseluruhan kinerja bisnis.

Monitoring

Memantau Kegiatan Yang Sedang Berlangsung

Peninjauan ulang proses dan control menggunakan alat pelaporan manajemen yang relevan. Sebagai contoh, kegiatan memantau kegiatan yang sedang berlangsung ini termasuk tinjauan akun bulanan untuk menentukan tingkat simpanan yang harus dibayar untuk hutang hutang.

Mekanis Penilaian Secara Indenpenden

Penggunaan spesialis eksternal atau profesional untuk meninjau dan menilai pengendalian internal. Misalnya, ini mungkin termasuk penggunaan profesional pajak eksternaluntuk meninjau kontrol seputar posisi pajak yang dikembangkan oleh tim pajak internal.

Perbedaan analisa pelaporan

Perbandingan dan pelaporan kinerja aktual terhadap tolok ukur yang telah ditentukan sebelumnya, jika digunakan dengan tepat, dapat berfungsi sebagai peringatan awal. Misalnya, peningkatan omset debitur yang stabil dapat mengindikasikan berbagai tingkat masalah terkait koleksi.

Mekanis Remediasi

Ini mengacu pada pendekatan sistematis untuk menyelesaikan masalah pengendalian internal yang teridentifikasi. Meskipun sebuah isu dapat diidentifikasi dengan mekanisme pemantauan internal atau eksternal, mekanisme remediasi biasanya hanya dimiliki manajemen.

Pemicu Manajemen Tertanam dalam sistem TI

Sebagian besar aplikasi perusahaan mengonfigurasi aturan bisnis dengan cara mencegah, memerlukan persetujuan, atau memberi peringatan kepada manajemen terkait jika ambang batas yang ditentukan sebelumnya tidak diperhatikan. Misalnya, aplikasi penjualan dapat menerapkan kontrol yang mencegah transaksi penjualan melebihi batas kredit pelanggan yang ditentukan.

Pedoman Pemantauan Sistem Pengendalian Internal

Perusahaan telah banyak berinvestasi dalam meningkatkan kualitas pengendalian internal mereka; Namun, COSO mencatat bahwa banyak organisasi tidak sepenuhnya memahami pentingnya komponen pemantauan kerangka kerja COSO dan peran yang dimainkannya dalam merampingkan proses penilaian. Pada bulan Januari 2009, COSO menerbitkan Pedoman Pengawasan Sistem Pengendalian Intern untuk mengklarifikasi komponen pemantauan pengendalian internal.

Pemantauan waktu yang efektif dapat menyebabkan efisiensi organisasi dan mengurangi biaya yang terkait dengan pelaporan publik mengenai pengendalian internal karena masalah diidentifikasi dan ditangani secara proaktif, bukan reaktif.

Panduan Monitoring COSO dibangun berdasarkan dua prinsip dasar yang ditetapkan dalam COSO’s 2006 Guidance:

• Evaluasi berkelanjutan dan / atau terpisah memungkinkan manajemen untuk menentukan apakah komponen lain dari pengendalian internal terus berfungsi dari waktu ke waktu, dan
• Kekurangan pengendalian internal diidentifikasi dan dikomunikasikan secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk melakukan tindakan korektif dan manajemen serta dewan direksi sebagaimana mestinya.

Panduan pemantauan lebih lanjut menunjukkan bahwa prinsip-prinsip ini paling baik dicapai melalui pemantauan yang didasarkan pada tiga elemen luas:

• Menetapkan landasan untuk pemantauan, termasuk (a) nada yang tepat di bagian atas; (b) struktur organisasi yang efektif yang memberikan peran pemantauan kepada orang-orang dengan kemampuan, objektivitas dan kewenangan yang sesuai; dan (c) titik awal atau “dasar” pengendalian internal efektif yang diketahui dari mana pemantauan dan evaluasi terpisah dapat dilaksanakan;
• Merancang dan melaksanakan prosedur pemantauan yang berfokus pada informasi persuasif tentang pengoperasian kontrol kunci yang menangani risiko yang berarti terhadap tujuan organisasi; dan
• Menilai dan melaporkan hasil, yang mencakup evaluasi tingkat keparahan kekurangan yang teridentifikasi dan melaporkan hasil pemantauan kepada personil dan dewan terkait untuk tindakan dan tindak lanjut yang tepat waktu jika diperlukan.