You are on page 1of 99

Metodologi

Risk Based Internal Audit


Surabaya, 9 10 Februari 2015
Agenda Workshop Hari 1
Time Discussion Topic
DiscussionTopic
08.00 08.30 OpeningSpeech

08.30 09.00 RBIAMethodologyOverview

09.00 09.30 InternalAuditInfrastructure

09.30 09.45 Coffeebreak

09.45 10.45 RBIAMethodology:RiskAssessmentandAuditPlanning

10.45 12.00 ProjectExecution EngagementPlanning

12.00 13.00
12.00 Lunch break
Lunchbreak

13.00 14.00 ProjectExecution Walkthrough&TOD

14.00 15.00 ProjectExecution TestofEffectiveness

15.00 15.30 ProjectExecution Reporting,FollowupandMonitoring

15.30 16.00 CoffeeBreak

16.00 16.30 ProjectExecution Reporting,FollowupandMonitoring(Contd)

2 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Agenda Workshop Hari 2
Time Discussion Topic
DiscussionTopic
08.00 08.30 Exercise1 Mapping RiskandBusinessProcess

08.30 09.00 Exercise2 ProposeAuditPlan

09.30 10.00 Exercise3 PreliminaryRiskAssessment

10.00 10.15 Coffeebreak

10.15 11.00 Exercise4 PrepareBusinessProcessModel

11.00 11.30 Exercise5 TestofEffectiveness

11 30 12.00
11.30 12 00 Exercise 6 Reporting
Exercise6

12.00 13.00 Lunchbreak

13.00 13.30 Explanation ofProgram Kerja Audit(PKA)Template

13.30 15.30 FillupPLNProgram Kerja Audit(PKA)

15.30 16.00 Lunchbreak

16.00 17.00 FillupPLNProgram Kerja Audit(PKA)Contd

3 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Fasilitator
Munir M. Ali
Munir adalah seorang konsultan senior dengan pengalaman yang luas dalam
pengelolaan keuangan yang mencakup peran pengawasan pada akuntansi, pajak,
perencanaan keuangan publik dan analis pada perusahaan publik. Selama karirnya
di bidang keuangan,
keuangan Munir juga terlibat dalam berbagai tugas manajerial atau
strategis seperti restrukturisasi finansial, pembiayaan proyek, perencanaan pajak
dan pengembangan bisnis. Sebagai konsultan, Munir juga membantu beberapa
Perusahaan BUMN dan Perusahaan Swasta dalam mengembangkan dan
mengimplementasikan Sistem Keuangan dan Akuntansi.
Lebih dari 20 tahun pengalaman di bidang audit internal dan penilaian resiko;
Berpengalaman dalam peningkatan pengembangan fungsi keuangan dan
akuntansi
Sebagai Partner in Charge yang bertanggung jawab pada Sarbanes-Oxley
Testing di berbagai perusahaan selama 4 tahun;
Berpengalaman dalam Proyek Pengembangan Manual Akuntansi dan
Anggaran selama 3 tahun;
Sebagai Partner in Charge dalam Proyek Pengembangan Standar Operasional
Prosedur dan Standar Akuntansi selama 2 tahun;
Sebagai
S Partner in Charge
C dalam Proyek Pembangunan Sistem
S Informasi
f dan
Pengelolaan Keuangan berbasis Web (FMIS).
5 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Jurita Suharto
Jurita adalah seorang konsultan senior dengan pengalaman audit di berbagai
macam proses bisnis dan instritusi finansial, telekomunikasi, manufaktur, dan lain-
lain. Dia memulai karirnya di Prasetio Utomo dan Co Arthur Andersen sebagai
Auditor dengan pengalaman di berbagai macam jenis industri yang luas dan
melanjutkan ke Prasetio Strategic Consulting Andersen Group, dengan fokus di
bidang financial information systems and business process audit

Lebih dari 18 tahun di bidang auditinternal dan penilaian resiko


Project Manager di Finance Function Enhancement Project
Project Manager untuk proyek Sarbanes-Oxley Testing di berbagai perusahaan
Project Manager untuk proyek pengembangan Finance,
Finance Accounting dan
Budgeting Manual
Project Manager untuk proyek pegembangan Financial & Accounting Standard
Operating Procedures

6 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Maria Rosario Tan
Rosario Tan adalah seorang manajer senior dengan pengalaman audit dalam
berbagai proses bisnis dan produk pada lembaga keuangan, telekomunikasi,
perusahaan manufaktur dan lainnya. Dia memulai karirnya sebagai Auditor di
A th
Arthur A d
Andersen/Andersen
/A d M il selama
Manila l 16 tahun
t h sebelum
b l pindah
i d h kek
Perusahaan Telekomunikasi Co terkemuka Manila sebagai Kepala Manajemen
Risiko.

6 tahun sebagai Konsutan pada Proyek Sarbanes Oxley Testing


2 tahun menjadi Kepala Manajemen Risiko Perusahaan Telekomunikasi
Bayantel (sebuah anak perusahaan dari Lopez Group di Filipina)
8 tahun
t h sebagai
b i Audit
A dit Ek
Eksekutif
k tif di Sycip,
S i Gorres,
G Velayo
V l & Co.
C (SGV) Manila
M il
(dikenal sebagai Arthur Andersen worlwide)

7 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
RBIA Methodology Overview
The Standards The mandatory element under the
International Professional Practices Framework
Internal Audit is independent and objective assurance designed to add value to improve an
organizations operation. It help organization to accomplished objective by bringing
systematic, discipline approach to evaluate and improve the effectiveness of risk
management controls and governance process
management,

Mandatory
IPPF =
Non mandatory
Strongly
recommended

9 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Organization of The Protiviti Way
Protivitis Internal Audit Methodology
Standard &
Frameworks
IIA Standards & Professional Frameworks

Internal Audit Internal Audit Organization Internal Audit Methodologies


Methodologies,
Infrastructure Value Drivers Stakeholder
Charter & Policies Structure & People Processes and Technologies Expectations

Strategic Operational Financial Compliance

Risk Identify Map Risks Prioritize Identify


Consider Risk Rank and Determine Consider
Assessment Audit Business Business
Change Audit Units Final Risk Change
& Planning Universe Risks Risks
Assessment

Create Audit Plan

Project Management, Supervision & Review

Understand Perform Plan Understand Evaluate Test


Activities & Design
Validate Report Follow-Up
Project Risk Project & Analyze Operating
Project Objectives Assessment Activity Effectiveness Effectiveness Findings Results on findings
Execution

O
Oversight
i ht I i ht
Insight F
Foresight
i ht

Stakeholder
Periodic Reporting & Issue Tracking to Management and Audit Committee
Reporting

Continuous Continuous Monitoring of Internal Audit Function Quality


Improvement External Qualityy Assessment Internal Qualityy Assessment Internal Audit Performance Measurement

Add Value
Return on Internal Audit Investment

10 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
1. Pemahaman Risiko dan Kontrol
Apa Itu Risiko?

Definisi Risiko:
Peristiwa di masa depan yang akan berdampak pada tujuan strategis

Kesalahan umum ?
Kompilasi daftar kejadian risiko pada beberapa proses
Pernyataan negatif dari suatu tujuan perusahaan.

Apa yang menyebabkan risiko dapat terjadi ?


Pertimbangan agen risiko/ penyebab risiko
g
Rencana mitigasi/ kontrol yyang
g tidak akurat mengidentifikasi
g
langkah-langkah yang tepat

12 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Identifikasi insiden

Event adalah insiden atau kejadian yang berasal dari sumber internal atau eksternal
yang mempengaruhi pelaksanaan strategi atau pencapaian tujuan.

Metode identifikasi dapat mencakup :

Brainstorming / diskusi; Sejarah,


j , analisis kegagalan
g g dan p
penciptaan
p
Pengalaman dari dalam maupun luar negeri database insiden yang merugikan
Proses pemetaan atau diagram alur, review Analisis skenario dan / atau stress testing ;
desain sistem, analisis sistem. dan
Analisis SWOT

13 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Definisi Internal Control

Pengendalian internal adalah suatu proses, dipengaruhi oleh dewan


direksi, manajemen & personil lain, yang dirancang untuk
memberikan keyakinan memadai tentang pencapaian tujuan terkait
dengan :

Efektivitas dan efisiensi operasi


p
Keandalan pelaporan keuangan
Kepatuhan terhadap hukum dan regulasi Committee of Sponsoring
Organizations (COSO)"

14 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Internal Control Perubahan Pandangan

Dari Ke

Mengurangi risiko atas pelaporan keuangan Mengurangi risiko bisnis

Merancang kontrol bisnis saat mengidentifikasi


Mengevaluasi kontrol atas akutansi
risiko

Fokus pada efisiensi proses bisnis, kualitas dan


Fokus pada efektivitas bisnis proses & kepatuhan
responsiveness

Mengatakan kepada pemilik proses bisnis apa


Pemberdayaan induvidu & membuat proses bisnis
yang harus dilakukan dan memastikan bahwa
untuk bertanggung jawab kepada hasil.
mereka melakukan hal tersebut

15 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Deskripsi Kontrol Panduan Umum

Narasi harus menjelaskan secara rinci aliran proses bisnis.

Informasi yang memadai untuk pemahaman bagaimana transaksi penting diajukan/


disetujui/dicatat (rincian harus menyajikan infomasi yang cukup bagi auditor independen)

Penggambaran yang cukup mengenai kapan, dimana, siapa, kepada siapa, apa, bagaimana dan
berapa banyak (5W2H)

Jika terdapat kontrol yang mencakup beberapa risiko, tempatkan deskripsi kontrol hanya sekali
pada bagian dari alur proses bisnis di mana kontrol tersebut benar-benar dilakukan.

Jika terdapat kaitan dengan proses bisnis lain, narasi harus dilengkapi dengan referensi yang
jelas.

16 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Deskripsi Kontrol

Who Siapa yang melakukan kontrol?

What Apa deskripsi kontrol tersebut?

Why Mengapa Kontrol harus dilakukan?

Where/When Dimana proses kontrol berlangsung? Seberapa sering?

How Bagaimana kontrol dilakukan? Apakah buktinya?

17 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
2. Apa itu RBIA ?
Risk Based Internal Auditing (RBIA)

What is Risk Based Internal Auditing? (source IIA definition)

Links internal
auditing to the
Methodology overall risk
management
framework

Provide assurance
to the Board that the
risk management
process are
managing risk
effectively in relation
to the risk appetite

19 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Langkah langkah Implementasi RBIA

20 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Langkah langkah Implementasi RBIA
Tahap 1: Menilai kematangan risiko

Memperoleh gambaran sejauh mana dewan direksi dan manajemen menentukan, menilai, mengelola
dan memantau risiko. Ini memberikan indikasi keandalan daftar risiko untuk tujuan perencanaan audit.

Tahap 2: Perencanaan audit periodik

Merencanakan penugasan audit dan konsultasi untuk jangka waktu tertentu, dengan mengidentifikasi
p
dan memprioritaskan semua area di mana manajemen
j memerlukan keandalan yyang
g obyektif,
y , termasuk
di dalamnya proses manajemen risiko, pengelolaan risiko utama, dan pencatatan & pelaporan risiko.

Tahap 3: Penugasan audit

Melaksanakan audit individu berbasis risiko untuk memberikan jaminan pemangku kepentingan

21 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Keuntungan RBIA untuk Pelaporan BOD

Audit internal dapat memberikan kewajaran penilaian kepada Dewan


Direksi

Suatu proses manajemen risiko, baik desain maupun aktual aktivitas

Pengelolaan pada risiko utama, termasuk efektivitas pengendalian dan


langkah mitigasi lainnya

Pelaporan dan klasifikasi risiko yang lengkap, akurat dan tepat

22 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Internal Audit Infrastructure
Infrastructure

Protivitis Internal Audit Methodology


Standard &
Frameworks
IIA Standards & Professional Frameworks

Internal Audit Internal Audit Organization Internal Audit Methodologies,


Infrastructure Value Drivers Stakeholder
Charter & Policies Structure & People Processes and Technologies Expectations

Strategic Operational Financial Compliance

Risk Identify Map Risks Prioritize Identify


Consider Risk Rank and Determine Consider
Assessment Audit Business Business
Change Audit Units Final Risk Change
& Planning Universe Risks Risks
Assessment

Create Audit Plan

Project Management, Supervision & Review

Understand Perform Plan Understand Evaluate Test


Activities & Design
Validate Report Follow-Up
Project Risk Project & Analyze Operating
Project Objectives Assessment Activity Effectiveness Effectiveness Findings Results on findings
Execution

Oversight Insight Foresight

Stakeholder
Periodic Reporting & Issue Tracking to Management and Audit Committee
Reporting

Continuous Continuous Monitoring of Internal Audit Function Quality


Improvement E t
External
lQQuality
lit AAssessmentt I t
Internal
l Quality
Q lit A Assessmentt I t
Internal
l Audit
A dit P
Performance
f M
Measurementt

Add Value
Return on Internal Audit Investment

24 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Nilai Tambah dan Ekspektasi Stakeholder

Komite Audit dan Senior Manajemen

Audit Eksternal

Pihak Ketiga (termasuk Regulator)

Fungsi internal assurance lainnya

25 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Internal Audit Charter & Kebijakan

Membaha Internal Audit Charter dengan Komite Audit

Menyusun
y peraturan dan SOP untuk aktivitas Internal
p
Audit yang lebih luas dan kompleks

Mengembangkan penyimpanan dokumentasi audit

26 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Struktur Organisasi dan Sumber Daya Manusia

Tetapkan struktur organisasi :

Peta standar kompetensi anggota tim

Keahlian yang dibutuhkan

Spesialis dengan industri, proses, peraturan dan teknologi

Pelaporan fungsional kepada Komite Audit

27 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Metodologi, Proses dan Teknologi

Menggunakan metodologi internal audit yang mapan

Program kerja yang standar dan penggunaan checklists

28 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Website IIA

www.globaliia.org/standards-guidance

29 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Risk Assessment and Planning
Risk Assessment and Planning

Protivitis Internal Audit Methodology


Standard &
Frameworks
IIA Standards & Professional Frameworks

Internal Audit Internal Audit Organization Internal Audit Methodologies,


Infrastructure Value Drivers Stakeholder
Charter & Policies Structure & People Processes and Technologies Expectations

Strategic Operational Financial Compliance

Risk Identify Map Risks Prioritize Identify


Consider Risk Rank and Determine Consider
Assessment Audit Business Business
Change Audit Units Final Risk Change
& Planning Universe Risks Risks
Assessment

Create Audit Plan

Project Management, Supervision & Review

Understand Perform Plan Understand Evaluate Test


Activities & Design
Validate Report Follow-Up
Project Risk Project & Analyze Operating
Project Objectives Assessment Activity Effectiveness Effectiveness Findings Results on findings
Execution

Oversight Insight Foresight

Stakeholder
Periodic Reporting & Issue Tracking to Management and Audit Committee
Reporting

Continuous Continuous Monitoring of Internal Audit Function Quality


Improvement External Quality Assessment Internal Quality Assessment Internal Audit Performance Measurement

Add Value
Return on Internal Audit Investment

31 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Risk Assessment and Planning (Contd.)
Strategic Operational Financial Compliance

Risk Identify Map Risks Prioritize Identify


Consider Risk Rank and Determine Consider
Assessment Audit Business Business
Change Audit Units Final Risk Change
& Planning Universe Risks Risks
Assessment

Create Audit Plan

32 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Identify Audit Universe
Strategic Operational Financial Compliance

Risk Identify Map Risks Prioritize Identify


Consider Risk Rank and Determine Consider
Assessment Audit Business Business
Change Audit Units Final Risk Change
& Planning Universe Risks Risks
Assessment

Create Audit Plan

Identifikasi dan menghubungkan struktur organisasi, lokasi dan proses

Inventarisasi kegiatan bisnis, proyek IT, dll.

Menghubungkan aplikasi IT kedalam proses

Identifikasi dan pemahaman atas industri dan bisnis

Pemanfaatan Process Classification Schemes (PCS)


33 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Audit Universe : Business Process based on APQC

Ref Unit Bisnis Level 0 Ref Level 1 Ref Level 2 Ref Level 3
Segmen bisnis Kategori bisnis utama Aktivitas kunci Proses inti

DIT KEU (KEU,


1 ANG, BDH, AKT, Manage Financial 1.1 Manage treasury 1.1.1 1.1.1.1 Manage financial intermediary
SIM) Resources operations Manage debt and investment relationships
1.1.1.2 Manage liquidity
1.1.1.3 Manage issuer exposure
Process and oversee debt and
1114
1.1.1.4
investment transactions
Process and oversee foreign
1.1.1.5
currency transactions
Produce debt and investment
1.1.1.6
accounting transaction reports

34 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Audit Universe: Fungsi dan unit dalam PLN

35 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Risk Rank Audit Units Business Process
Strategic Operational Financial Compliance

Risk Identify Map Risks Prioritize Identify


Consider Risk Rank and Determine Consider
Assessment Audit Business Business
Change Audit Units Final Risk Change
& Planning Universe Risks Risks
Assessment

Create Audit Plan

Enam Kriteria untuk Mengevaluasi Unit Bisnis:

Manajemen dan Prioritas Strategis Lingkungan

Ukuran Kompleksitas

Perubahan Historis Hasil Audit

36 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Contoh Parameter Risiko Makro yang digunakan oleh PLN

Rencana Investasi
Anggaran Kontrak
Anggaran Operasi
Sewa Pembangkit
Total Asset
Pendapatan
COP
PRR
Jumlah Pelanggan
Luas area Operasional Auditee
Susut Distribusi
Saidi (menit/pelanggan)
( p gg )
Saifi (kali/pelanggan)
Gangguan Penyulang (kali per 100 kms)
Area yang belum diperiksa di 2014
KWH Salur
Realisasi Pembayaran Kontrak

37 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Identify Business Risks
Strategic Operational Financial Compliance

Risk Identify Map Risks Prioritize Identify


Consider Risk Rank and Determine Consider
Assessment Audit Business Business
Change Audit Units Final Risk Change
& Planning Universe Risks Risks
Assessment

Create Audit Plan

Memahami strategi bisnis, tujuan dan sasaran yang ada dalam rencana
strategis organisasi

Menentukan luas dan kedalaman dari Corporate Risk Wide Assessment


(CWRA)

Penelahaan risiko yang melekat yang dihadapi perusahaan dan / atau


industri

Memanfaatkan sumber informasi eksternal

Tentukan dan konfirmasi model risiko

38 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Risks Universe PLN 2014

39 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Prioritize Business Risks
Strategic Operational Financial Compliance

Risk Identify Map Risks Prioritize Identify


Consider Risk Rank and Determine Consider
Assessment Audit Business Business
Change Audit Units Final Risk Change
& Planning Universe Risks Risks
Assessment

Create Audit Plan

Peringkat risiko didasarkan pada penilaian dampak risiko dan


kemungkinan. Hal ini harus dilakukan pada risiko inherent dan residual

Melakukan CWRA setidaknya setiap tahun

Siapkan Audit Planning Memorandum

40 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Understand Entity Level Control Environment
Strategic Operational Financial Compliance

Risk Identify Map Risks Prioritize Identify


Consider Risk Rank and Determine Consider
Assessment Audit Business Business
Change Audit Units Final Risk Change
& Planning Universe Risks Risks
Assessment

Create Audit Plan

Memahami lingkungan dan kebijakan regulator

Memahami
M h i Pengendalian
P d li IT

Mengevaluasi risiko kecurangan dan pengelolaan risikonya

Pertimbangkan etika dan tata kelola IT

41 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Risks Profile by MRO

42 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Map Risks, Determine Final Risk Assessment and Create the Audit Plan

Strategic Operational Financial Compliance

Risk Identify Map Risks Prioritize Identify


Consider Risk Rank and Determine Consider
Assessment Audit Business Business
Change Audit Units Final Risk Change
& Planning Universe Risks Risks
Assessment

Create Audit Plan

Menghubungkan risiko bisnis ke unit yang dapat di audit

Agregasikan risiko unit dengan auditable unit

Buat rencana Audit Internal dengan melakukan scoping dan minta otorisasi

Memantau perubahan bisnis dan dampak potensial terhadap rencana audit yang disetujui

Penilaian risiko harus dilakukan setiap tahun dengan update kuartalan

Mendokumentasikan penilaian risiko


43 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Peta Risiko ke Unit Bisnis & Fungsi
TingkatResiko Unit Fungsi
No Resiko Keuangan
Pengadaan Operasidan Perbekalan/ SDMdan
Ekstrim Tinggi Moderat Rendah dan Niaga
Brg/jasa Pemeliharaan Logistik Organisasi
KDIVKITJB KDIVKITSUM KDIVKITIT KDIVBAT KDIVGBM KDIVKONKIT KDIVKONJAR KDIVPNK KDIVIPP KDIVEBT KDIVBTL KDIVRKO KDIVKEU KDIVSIM KDIVAGA KDIVDIS KDIVMRO KDIVTRS KDIVSDM KDIVMUM KDIVBDH KDIVANG KDIVTLN KDIVORG Akuntansi
1 Ketidakselarasan penyelesaian proyek pembangkit & transmisi x x x x x x
2 Kebijakan kenaikan Tarif Tenaga Listrik oleh pemerintah tidak terlaksana x x x x x x
3 Tidak optimalnya komitmen stakeholder atas penerapan SLA x x
4 Keterbatasan pasokan energi primer (batubara/ gas) x x x x
5 Tidak tercapainya kinerja operasional pembangkit (derating, CF, Heat rate, EAF) x x x x x x x
6 Kendala kapasitas handling system pada pembangkit PLTU x x x x x x x
7 Kekurangan jumlah, kualitas, dan komposisi sumber daya manusia yang produktif dan sesuai dengan
kebutuhan organisasi yang makin berkembang (sistem regenerasi) x x x x
8 Ketidakmampuan pemulihan kegiatan pada kondisi force majeur dalam jangka waktu yang memadai (billing x x x x x x
t )
9 Keterlambatan penyelesaian proyek pembangkit dan transmisi (PLN) x x x x
10 Keterlambatan penyelesaian proyek pembangkit (IPP) x x x x x
11 Peningkatan biaya langsung non-bahan bakar per kWh yang tidak dapat diimbangi dengan peningkatan x x x x x x x x
d t
12 Ketidaktersediaan likuiditas dalam melakukan kewajiban x x
13 Tidak diperolehnya pendanaan yang memadai (termasuk Subsidiary Loan Agreement) x x
14 Peningkatan nilai tukar mata uang asing terhadap IDR x x x x x
15 Peningkatan biaya bahan bakar x x x x x x x
16 Terjadi pelampauan debt covenant x x x x
17 Kualitas energi primer tidak sesuai dengan spesifikasi x x
18 Tidak tercapai-nya kinerja operasional transmisi x x
19 Tingkat mutu pelayanan pelanggan terutama untuk sambungan baru (5/10/15/40/100/500) x x
20 Terganggunya operasional akibat permasalahan outsourcing x
21 Terjadi penggunaan data rahasia oleh pihak lain yang tidak berwenang x x
22 Keterlambatan
K t l b t iimplementasi
l t i sistemi t TI tterintegrasi
i t i (Implementasi
(I l t i ERP,
ERP EAM,
EAM PMO x
23 Ketidaksesuaian pengadaan dengan kebutuhan x
24 Terjadi kecelakaan kerja
x
25 Kegagalan perbaikan atas temuan auditor secara jangka panjang
x
26 Terjadi pencemaran lingkungan yang melebihi ambang batas yang telah ditentukan oleh KLH
x x
27 Peningkatan suku bunga pinjaman x
28 Keterlambatan/ kesalahan dalam pelaporan keuangan x
29 Tidak tercapainya kinerja pembangkit IPP x x
30 Tidak tercapainya kinerja operasional distribusi (susut teknis) x x
31 Tidak optimalnya pengamanan pendapatan (sisir tarif, susut non teknis) x x
32 Ketidakpuasan karyawan terhadap sistem SDM yang berjalan x
33 Terjadi kesalahan perhitungan perpajakan
x
34 Terjadi fraud yang melibatkan pihak internal (implementasi PLN Bersih)
x
35 Piutang tidak dapat tertagih (credit risk) x
36 Konflik dengan masyarakat sekitar fasilitas PLN yang sudah operasional x
37 Tidak selarasnya sistem penilaian kinerja unit & individu x

Catatan: Tingkat Risiko tinggi, moderate dan rendah belum dimapping ke bisnis unitnya oleh MRO (block warna coklat)

44 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Audit Universe: Proses Bisnis berdasarkan APQC

Ref Unit Bisnis Level 0 Ref Level 1 Ref Level 2 Ref Level 3 Ref
Segmen bisnis Kategori bisnis utama Aktivitas kunci Proses inti Resiko

DIT KEU (KEU


(KEU,
1 ANG, BDH, AKT, Manage Financial 1.1 Manage treasury 1.1.1 1.1.1.1 Manage financial intermediary
SIM) Resources operations Manage debt and investment relationships
1.1.1.2 Manage liquidity 1.1.1.2.1 Tingkat likuiditas saat ini yang rendah
1.1.1.2.2 Debt covenant yang mungkin terlampaui
1.1.1.2.3 Kurangnya komunikasi dengan stakeholder
11124
1.1.1.2.4 Proses verifikasi pencairan subsidi yang
berlarut-larut
1.1.1.3 Manage issuer exposure
Process and oversee debt and
1.1.1.4
investment transactions
Process and oversee foreign
1.1.1.5
currencyy transactions
Produce debt and investment
1.1.1.6
accounting transaction reports

45 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Project Execution
Pelaksanaan Proyek
Protivitis Internal Audit Methodology
Standard &
Frameworks
IIA Standards & Professional Frameworks

Internal Audit Internal Audit Organization Internal Audit Methodologies,


Methodologies
Infrastructure Value Drivers Stakeholder
Charter & Policies Structure & People Processes and Technologies Expectations

Strategic Operational Financial Compliance

Risk Identify Map Risks Prioritize Identify


Consider Risk Rank and Determine Consider
Assessment Audit Business Business
Change Audit Units Final Risk Change
& Planning Universe Risks Risks
Assessment

Create Audit Plan

Project Management, Supervision & Review

Understand Perform Plan Understand Evaluate Test


Activities & Design
Validate Report Follow-Up
Project Risk Project & Analyze Operating
Project Objectives Assessment Activity Effectiveness Effectiveness Findings Results on findings
Execution

Oversight Insight Foresight

Stakeholder
Periodic Reporting & Issue Tracking to Management and Audit Committee
Reporting

Continuous Continuous Monitoring of Internal Audit Function Quality


Improvement External Quality Assessment Internal Quality Assessment Internal Audit Performance Measurement

Add V
Value
l
Return on Internal Audit Investment

47 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
1. Engagement Planning
Engagement Planning:
Memahami Aktivitas & Tujuan dan Melakukan Penilaian Risiko Awal

Memahami kegiatan dan tujuan penugasan

Menilai apakah telah ada perubahan yang


signifikan pada risiko yang dipertimbangkan
dalam CWRA dan jika demikian,
pertimbangkan dampaknya pada penugasan

Melakukan penilaian risiko pada penugasan


untuk mengidentifikasi area risiko yang tinggi
dalam penugasan tersebut, yang melibatkan
IT / spesialis lain, dan kegiatan asesmen lain
di bidang terkait

49 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Melakukan Preliminaryy Risk Assessment

IIA Standard
S 2210 1 Internal Auditor must conduct
2210.A1
a preliminary asessment of the risks relevant to the
activityy under review

50 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Memprioritaskan Risiko
Risiko
Signifikasi
Inherent
I h t Likelihood
Lik lih d

Faktor
Faktor-faktor
faktor yang akan mempengaruhi scoping
Efektivitas kontrol
Toleransi risiko (kesediaan untuk menerima risiko)
Sejauh mana risiko dapat dikelola
Sejauh mana proses dan kontrol yang relevan diaudit

51 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Beberapa pertanyaan untuk Risk Assessment
Apakah sudah mempertimbangkan kesalahan yang signifikan, kecurangan,
pelanggaran, dan eksposur lainnya ketika mengembangkan perencanaan tujuan?

Apakah sudah mempertimbangkan aspek kuantitatif, yaitu eksposur keuangan


untuk aset dan keuangan?

Apakah sudah mempertimbangkan aspek kualitatif, yaitu fokus manajemen;


materialitas keuangan; persyaratan peraturan; temuan audit tahun sebelumnya dan
profil risiko ERM?

Apakah sudah menilai auditable area (unit bisnis, proses, lokasi) menggunakan
kriteria sebagai berikut

Ti k t perputaran
Tingkat t k
karyawan K
Kompleksitas
l k it sistem
i t

Aset / operasi yang berada di


Laporan keuangan
multilokasi

Komentar auditor eksternal Historis penilaian kinerja

52 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Example of Preliminary Risk Assessment

RISK (based on Risk Profil)


Procurement process conducted not in timely manner

R t Cause
Root C d i Preliminary
dari P li i A
Assessmentt

Vendor bid price greater than OE There are complait from lost vendor

Ruang Lingkup Audit dan Tujuan

- Check OE calculation process


- Ensure OE prepared based on relevant market price
- Ensure OE prepared by compentent employee
- Ensure bidding process conducted fairly and transparant
- Check winner vendor selection methodology policy and its actual process
- Ensure vendor selected is most profitable for PLN

53 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Example Effect of Preliminary Risk Assessment 2

RISK (based on Annual Audit Plan)


Overpayment Corporate Income Tax

R t Cause
Root C F
From Preliminary
P li i Assessment
A t

Significant payment prepaid tax art 22 Tax penalties from tax assessment

Audit Scoping/Objective
E i ti Audit
Existing A dit Scoping
S i Suggested Audit Scoping
planning, calculation, reporting and compliance to tax 1. Ensure the tax planning of prepaid tax art 22 is properly managed
regulation but did not specify the audit objective
2. Ensure the tax assessment is properly managed
3. Ensure the completeness and accuracy of income tax calculation
4. Ensure compliance with existing tax regulation

54 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Engagement Planning:
Merencanakan Penugasan

Lengkapi rencana penugasan dan minta


persetujuan sesuai kewenangan
Siapkan audit planning memorandum
Tentukan sumber daya untuk penugasan audit
p
Libatkan IT dan spesialis lain dalam p
perencanaan
Pertimbangkan audit berbasis teknologi dan teknik
analisis data
Mengembangkan program kerja sesuai dengan
dokumentasi perencanaan dan dapatkan
persetujuan
Melakukan entry dan exit meeting serta mengirim
surat pemberitahuan pemeriksaan

55 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Plan Project
j

St d d 2200 Internal
IIA Standard I t l Auditors
A dit mustt develop
d l and
d
documant a plan for each engagement. Including the
engagements objectives, scope, timing and resource allocation

56 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
2. Walkthrough - Understand &
Analyze Activity
Understand & Analyze Activity

Mendokumentasikan kegiatan yang sedang diperiksa


Validasi dokumentasi dengan pemilik proses sebelum mengevaluasi efektivitas desain
Mendokumentasikan proses secara rinci untuk memungkinkan orang lain memahami, mengevaluasi
serta melakukan tes desain untuk efektivitas operasional
Dokumentasikan wawancara jika merupakan salah satu bukti audit
Gunakan SOD Matrix
Siapkan
Si k Risk
Ri k C
Control
t lM Matrix
ti
Pertimbangkan risiko kecurangan dan kontrol apa untuk mencegahnya, dan membuat rencana
analisis dan test deteksi terbatas
Bukti dalam kertas :
a. Perencanaan dan pengawasan
b. Proses dan kontrol terkait (jika ada) yang telah dievaluasi
c. Sifat, waktu, aktivitas evaluasi yang dilakukan (dan bukti yang diperoleh), dan hasil evaluasi
serta kesimpulan yang ditarik
d. Identifikasi orang yang melakukan evaluasi

58 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Understand & Analyze Activity

IIA Standard 2220 A1 The


St d d 2220.A1 Th scope off the
th engagementt
must include consideration of relevant systems. Records,
personnel, and physical properties, including those under
the control of third parties
59 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Konfirmasi & dokumentasi p
proses / sub-proses
p
Diagram proses bisnis...

o Level 1 - Proses ini ditampilkan sebagai rangkaian balok

o Level 2 - Setiap sub-proses ditampilkan sebagai rangkaian


terkait blok,
blok satu blok per bidang kegiatan.
kegiatan

o Level 3 - Setiap daerah kegiatan ditampilkan sebagai


rangkaian simbol:

CA
Process Decision Softcopy
Hardcopy
3
Control
Flow activity

60 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Process/ sub-processes
p documentation ((Contd))

Level 1 Level 2 Level 3


Procurement process PR process PR Process

Bidding process Preparation OE/HPS

PO preparation Preparation and


approval of PR
AP Process (request for
procurement)

61 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Process/ sub-processes
p documentation ((Contd))

Level 1 Level 2 Level 3 Level 3


Procurement PR preparation Bidding Process Bidding
process Process
Bidding Announcement of
process bidding to Assessment
vendors of qualified
PO preparation vendor

AP Process Submission of Announceme


required nt of
documentation qualified
from vendors vendor

62 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Contoh Business Process Model (Flowchart)

63 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Mendokumentasikan kontrol
Hanya mendokumentasikan kontrol yang relevan dengan risiko sesuai
lingkup proses
Dokumentasi kegiatan pengendalian harus mencakup:
Who
Siapa fungsi yang melakukan aktivitas pengendalian?

What
Apa itu aktivitas pengendalian (yang menggambarkan ini adalah orang yang
kompeten dengan proses yang sama di perusahaan dan dapat memahami
bagaimana aktivitas pengendalian bekerja)?

When
K
Kapan/
/ seberapa
b sering
i aktivitas
kti it pengendalian
d li dilakukan?
dil k k ?

Evidence
Apa bukti yang akan tersedia untuk mengkonfirmasi kontrol tersebut ?

64 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Segregation of Duties
C - Custody of assets
A - Authorization of transactions
R - Recording of transactions
p aspek
Setiap p CAR harus independen
p dari y
yang
g lain
S - Supervision by management

Supaya SoD memadai, semua poin di atas harus ditangani secara


memadai.
Catatan: Kolusi antara orang-orang yang bertanggung jawab atas
apapun di atas akan menghancurkan kerangka SoD

65 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Contoh Segregation of Duty Matrix Analisis
Skenario I

Aktivitas Pemilik Proses Persetujuan Pencatatan Pengawasan

Pembuatan PO Staff Bagian Pejabat sesuai Accounting Staff Accounting


Pengadaan dengan Approval Supervisor
Matrix
Accounting
Manager

Skenario II

Aktivitas Pemilik Proses Persetujuan Pencatatan Pengawasan

Pembuatan PO Accounting Staff Pejabat sesuai Accounting Staff Accounting


dengan Approval Supervisor
Matrix
Acco
Accounting
nting
Manager

66 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Contoh Segregation
g g of Duty
y Matrix Analisis
(lanjutan)
Sk
Skenario
i III
Aktivitas
Pemilik Proses Persetujuan Pencatatan Pengawasan

Pembuatan PO Accounting Staff Accounting Accounting Staff Accounting


Manager Supervisor

Accounting
Manager

67 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Siapkan Risiko dan Kontrol Matrix
Tujuan proses
Nomor risiko dan deskripsi
Nomor kontrol dan deskripsi
Pemilik kontrol
Sifat
Sif kontrol
k l
Frekuensi
Manual atau Otomatis
Preventif atau Detektif
Primer atau Sekunder
Penilaian efektivitas pengendalian: Awal & Akhir

68 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
3. Walkthrough - Evaluate Design
Effectiveness
Evaluate Design Effectiveness

Tentukan apakah kontrol sudah efektif menggunakan RCM

Libatkan spesialis IT dan spesialis lainnya dengan pengetahuan proses / industri yang lebih baik jika diperlukan

Perkaya informasi tentang kontrol melalui kegiatan konsultasi

Gunakan tujuan pengendalian umum saat mendokumentasikan dan mengevaluasi proses bisnis keuangan:

Kelengkapan Kejadian
Ketepatan
Alokasi Hak dan kewajiban
Penilaian
Penyajian dan pengungkapan Kepatuhan terhadap kebijakan keuangan

M l
Melaporkan
k seluruh
l h defisiensi
d fi i i kontrol
k t l namun tetap
t t menyerahkan
hk kepada
k d manajemen
j untuk
t k menentukan
t k tindakan
ti d k
apa atau langkah-langkah perbaikan yang harus diambil

70 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Evaluate Design Effectiveness

The Protiviti Way y - determine whether the controls within the


process are designed to achieve, for each control objective,
reasonable assurance that any errors or omissions that might
arise would be insignificant

71 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Penilaian Efektivitas Kontrol

Kontrol yang efektif memberikan jaminan bahwa risiko bisnis


dapat d
dikurangi
u a g kee ttingkat
g at ya
yang
g dapat d
diterima.
te a
Agar efektif, kontrol harus:
Benar ((efektif)) dirancang
g untuk mengurangi
g g risiko tertentu dan
Berjalan sesuai dengan rancangan
Auditor internal mengevaluasi
g desain dan efektivitas operasi
p
pengendalian.

Secara umum, tidak ada gunanya dalam pengujian efektivitas operasi


d i kontrol
dari k t l yang telah
t l h dirancang
di d
dengan tid k benar.
tidak b

72 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Assessment
ssess e o of Co
Control
o Effectiveness
ec e ess

Test of Control
Effectiveness

Operating
Design
Effectiveness
Test of Design
Test of
(TOD)
Eff ti
Effectiveness (TOE)
73 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Assessment
ssess e o of Co
Control
o Effectiveness
ec e ess

TOD
effectiveness

Yes No

TOE not
Perform TOE
performed
74 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Karakteristik desain
Kontrol yang efektif harus:
Relevan dengan risiko sedang dikaji
Dilakukan cukup sering
Dilakukan oleh personel dengan pengetahuan dan pengalaman yang
memadai
Dilakukan independen independen sesuai pedoman SOD (Gunakan
pendekatan CARS)
Mampu mengidentifikasi dan memperbaiki kesalahan dalam kegiatan
operasional secara tepat waktu
e dasa a informasi
Berdasarkan o as yayang
g te
terpercaya
pe caya
Efisien

75 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
4. Test of Operating Effectiveness
Test of Operating Effectiveness

Siapkan rencana untuk pengujian di kertas kerja

Menguji semua kontrol dalam RCM, kecuali terdapat pertimbangan lain

Gunakan ukuran sampel yang ditentukan dalam SOP untuk kontrol manual

Masukan inspection dan reperformance dalam pengujian, dan libatkan spesialis IT di


saat pengujian
p g j

Konsultasikan sebelum menggunakan sampling statistik

77 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Test of Operating Effectiveness

St d d 2300 - Internal
IIA Standard I t l auditors
dit mustt identify,
id tif analyze,
l
evaluate, and document sufficient information to achieve the
engagements objectives.

78 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Rencana Pengujian
Pengujian rencana yang baik:
Dapat menguji berbagai kontrol
Mengidentifikasi populasi untuk pengujian
Menentukan metode pemilihan sampel, dan bila perlu, menentukan
sumber laporan / data yang akan digunakan sehingga data sampel
diambil dari sumber-sumber yang valid
p
Menentukan ukuran sampel
Menjelaskan setiap langkah yang auditor harus lakukan

79 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Jenis Pengujian
Nature Explanation Documentation Requirements Examples

Inquiry Ascertain whether a Who was interviewed, when the Interview key personnel to
control is in place by interview took place and understand the controls
asking specific oral or information they provided surrounding a particular
written questions process
Observation Direct viewing of control Who, when & what was observed Automated: Observe all field
being performed edit check works when
invalid data entered
Manual: Security of blank
check stock
Inspection/ The inspection of records, Who, when & what. Details of Select a sample of contracts
Examination documents, items tested. Level of detail must and verify that key controls
reconciliations, and be sufficient to support conclusion were performed:
reports for evidence that a and allow someone else to re- Contract was signed
control has been properly perform your test. (Validity)
applied. All key fields were
completed (Completeness)
Re- The repetition of a control What & how. Details of items Recalculating a bank
performance performed by an tested. Level of detail must be reconciliation, tracing back
employee or a computer sufficient to support conclusion to bank statements, and
or system. and allow someone else to re- general ledger balance
perform your test.

80 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Mendokumentasikan Hasil Pengujian
Kertas kerja harus :
Mengidentifikasi penugasan dan menggambarkan isi atau tujuan dari
kertas kerja
Diparaf dan diberi tanggal oleh auditor yang melakukan pekerjaan
dan mengandung bukti supervisory review
Berisi jumlah indeks atau referensi
Memasukan atribut hasil pengujian (sebaiknya "ya" atau "tidak")
dengan komentar yang diperlukan
Kesimpulan dari pekerjaan yang dilakukan
Sumber data harus diidentifikasi secara jelas.

81 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Example Test of Control Template
Dokumen PR
DokumenPR Supporting Document
SupportingDocument Testing Atribut
TestingAtribut

Approvingofficer
No. diPR Kesimpulan DocumentReference
Jenis (b) b.PRdiapproveolehpejabatberwenang.
Deskripsi TanggalPR No.PR NilaiPR Deskripsi Nilai a.InformasididalamPRlengkapdansesuaidenganOE
Dokumen

1 Pembuatandetailengineering 21Jan13 300060256 542,750,000 OE/HPS Pembuatandetail 542,750,000 ManagerDiv


Failed WPProc.PR.C1.1PurchaseRequisition
designcafetariadiPlasaTimur engineeringdesign Pendayagunaan WPProc.PR.C1.2OE
GedungUtama cafetaria,fitnessdan Asset
bankdiplazatimur
gedungutama

2 Pengadaankursikantordengan 10Jun13 300060409 95,000,000 OE/HPS Pengadaankursi 95,000,000 ManagerDiv


Failed WPProc.PR.C1.3PurchaseRequisition
Gaslift,Tiltingcontrol,Armrest, kantor Pendayagunaan WPProc.PR.C1.4OE
Nylonbase Asset

82 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
5. Validate Findings
Validate Findings

Mendokumentasikan semua temuan awal dan


menunjukkan status akhir dari masing-masing
temuan

Pastikan bahwa kertas kerja telah ditinjau dan bahwa


semua komentar (jika ada) akan dihapus

84 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Validate Findings

St d d 2320 - Internal
IIA Standard I t l auditors
dit mustt base
b conclusions
l i and
d
engagement results on appropriate analyses and evaluations.

85 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Drafting the Preliminary Finding

Condition Statement of the issue


Criterion Description of what should be
C
Consequence E l
Explanation
ti off th
the significance
i ifi
or impact
Cause Explanation of what allowed the
condition to occurred
Corrective Description of action necessary
Action to correct the condition

86 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Pernyataan Kondisi
What is (what we found)
Nyata
y
Spesifik
Obyektif

Pernyataan Kondisi yang Lemah :


Pengguna akses dicatat. Banyak staf memiliki akses pada sistem yang
lebih luas daripada yang mereka butuhkan.

Pernyataan Kondisi yang Kuat :


Akses untuk memproses faktur tidak terbatas pada karyawan yang
membutuhkan. Lima user dapat membaca dan mengedit informasi,
akses ini sebenarnya tidak diperlukan untuk melakukan pekerjaan
mereka.
k

87 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Pernyataan Kriteria

What should be
Positif
Terukur

Kriteria Pernyataan
y yang
y g Lemah :
Pengguna tidak perlu memiliki akses yang luas pada sistem
untuk melakukan pekerjaan mereka.

Pernyataan
P t K it i yang Kuat
Kriteria K t:
Akses pengguna pada sistem harus dibatasi sesuai dengan
pekerjaan masing-masing

88 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Pernyataan Konsekuensi

What may be the result (i.e., so what; why should


management
a age e t be interested)?
te ested)
Dampak
g
Signifikansi

Pernyataan Konsekuensi yang Lemah :


Orang-orang tanpa otoritas dapat memasukan / menghapus data.

Pernyataan Konsekuensi yang Kuat :


Data dapat diubah atau dimasukkan oleh karyawan tanpa otoritas
tertentu, berisiko tinggi terjadi kecurangan dan kerugian finansial

89 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Pernyataan Penyebab

Why does this condition exist?


Sebab utama
Spesifik
Deskriptif

Pernyataan Penyebab yang Lemah:


Akses pada sistem diberikan tanpa ada proses review

Pernyataan Penyebab yang Kuat :


IT tidak menerima panduan dari Manajer Akuntansi mengenai
penggunaan akses yang tepat sehingga memberikan akses
tanpa instruksi dari Manager Akuntansi.
90 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Pernyataan Tindakan Perbaikan

What should be done to correct it?


Ditindaklanjuti
Tanggung Jawab Individu yang spesifik
Tenggat waktu

Pernyataan Tindakan Perbaikan yang Lemah :


Persetujuan harus diminta.

Pernyataan Tindakan Perbaikan yang Kuat :


Manajer Akuntansi harus merevisi prosedur untuk: (1) mengisi
Formulir Persetujuan Akses (termasuk tingkatan akses) dan
mengirimkannya ke IT dan (2) IT harus melihat bukti persetujuan dari
Manajer sebelum memberikan hak akses.

91 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
6. Report Results
Report Results

Ikuti SOP Audit Internal dan menentukan apakah ada konflik kepentingan di saat menyiapkan
Laporan Audit.

Periksa
P ik ulang
l l
laporan k kertas
ke k t kerja
k j

Memastikan hanya hasil akhir yang didokumentasi di kertas kerja audit

Diskusikan semua laporan dengan manajemen yang terkena dampak sebelum melaporkan kepada
Komite Audit Manajemen Senior

Mengkomunikasikan revisi informasi jika laporan akhir mengandung kesalahan atau kelalaian yang
signifikan

93 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Report Results

St d d 2400 - Internal
IIA Standard I t l auditors
dit mustt communicate
i t ththe
engagement results.

94 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Format Laporan
Sampul Memo (termasuk distribusi laporan)
Sampul (termasuk restriction yang diperlukan)
Daftar isi
Ringkasan eksekutif
Latar Belakang
Ringkasan Masalah
Rincian Masalah
Lampiran dan informasi pendukung lainnya
Ruang Lingkup
Tata Cara
Tujuan

95 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Saran Pelaporan

HARUS mengandung restriction yang diperlukan ?


For
For Internal Use Only"
Only
HINDARI menggunakan kata "memastikan"
JANGAN mengandung frase "Menurut
Menurut opini kami ..."
Jika terdapat disclaimer dari Auditee harus ditampilkan
secara jelas dalam :
Sampul laporan
Ringkasan eksekutif
Area prosedur yang telah dilakukan

96 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
7. Follow Up and Monitoring
Follow-Up on Findings and Oversight / Insight / Foresight

Menggunakan sistem monitoring untuk memantau


status pelaksanaan rencana aksi

Tentukan dengan manajemen senior tindakan apa yang


harus kita ambil untuk menguji apakah tindakan korektif
dan rencana perbaikan telah dirancang secara efektif
dan beroperasi secara efektif

Template yang berguna harus didokumentasikan pada


setiap proyek untuk memastikan bahwa kegiatan audit
internal menambah nilai bagi organisasi

98 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Thank You