Professional Documents
Culture Documents
Formulating and Expressing Internal Audit Opinion
Formulating and Expressing Internal Audit Opinion
Bank Indonesia
Peraturan Bank Indonesia (PBI) Group Internal Audit (GIAD)
3
Audit Opinion
To assess
INTERNAL CONTROL
by using 5 interrelated
COSO Components.
Risk exposure
on the failure
of
IC component(s)
and
Goals / Strategic
4
COSO Components
MONITORING
Assessment of a control
system’s performance over
INFORMATION AND time.
COMMUNICATION. Combination of ongoing and
Pertinent information separate evaluations. CONTROL ACTIVITIES
identified, captured and Management and supervisory Policies/procedures that
communicated in a timely activities. ensure management directives
manner. are carried out.
Access to internal and external Range of activities including
generated information approvals, authorizations,
Flow of information (flowing verifications, performance
down, across and up the reviews, asset security and
organization) that allows for segregation of duties.
successful control actions.
RISK ASSESSMENT
CONTROL ENVIRONMENT
Risk assessment is the
Sets tone of organization – identification and analysis of
influencing control relevant risks to achieving the
consciousness of its people organization’s objectives –
Factors include integrity, forming the basis for
ethical, values, competence, determining control activities.
authority, responsibility.
Foundation for all other
components of control.
5
COSO Components
GOAL / STRATEGIC
Setting of Organization’s
Objectives and Goal
Measurement and
reporting of the
accomplishment of
objective and goals.
GOAL / STRATEGIC Control Mechanism to
monitor actual performance
against budget / target.
6
RISK ASSESSMENT
CRITICAL
HIGH
IMPACT
The risk materialise MEDIUM
due to failure of
control LOW
components.
INSIGNIFICANT
CERTAIN
+
GOAL/STRATEGIC LIKELIHOOD HIGH
How likely it is
MEDIUM
perceived that this
risk will materialise
LOW
RARE
7
RISK ASSESSMENT - IMPACT
CRITICAL HIGH MEDIUM LOW INSIGNIFICANT
Would affect badly Would affect the The process could Would affect the Impact would
the process / firm effective function be subject to efficiency or be dealt with
/ business of the firm and significant review effectiveness of by routine
Potential huge require and/or the process but procedures
financial loss management modification would be dealt Potential low
Failure/breach of intervention Potential moderate with internally financial loss
fundamental Potential high financial loss Potential medium Bad publicity or
control financial loss Breach of major to low financial damage to
Bad publicity or Breach of major control but loss reputation to
damage to control with no compensating Failure of an an insignificant
reputation from a other controls exist enhancement audience
national compensating Bad publicity or control but core Little or no
perspective controls in place damage to controls exist impact with
Serious failure to Bad publicity or reputation to a Bad publicity or legal or
comply with legal damage to specific audience damage to regulatory
or regulatory reputation in the Failure to comply reputation to small requirements
requirements that industry with legal or audience Loss of a
may result in fines Serious failure to regulatory Small impact with minimal % of
and/or curbing of comply with legal requirements that legal or regulatory existing
business/suspensi or regulatory may result in requirements customer base
on requirements that warning letters Loss of a small % Minimal or no
Loss of a huge % of may result in fines Medium loss in % of existing loss in
existing customer Loss of a high % of of existing customer base resources i.e.
base existing customer customer base Little loss in staff
Huge loss in base Medium loss in resources i.e. staff (turnover).
resources i.e. staff High loss in resources i.e. staff (turnover). 8
(turnover) resources i.e. staff (turnover)
RISK ASSESSMENT - LIKELIHOOD
9
SUMMARY OF AUDIT OPINION
∑ IMPACT
Individual Rating
Individual Rating
Individual Rating
Control Environment
INDIVIDUAL
Risk Assessment RATING
ABOVE AVERAGE
MODERATE
LOW
10
AUDIT RATING TOOLS
AUDIT RATING TOOLS TOTAL EQUIVALENT
VALUE (TEV)
MEDIUM
AUDIT OPINION ON
LOW RISK LEVEL
HIGH
ABOVE AVERAGE
MODERATE
LOW
12
AUDIT RATING TOOLS – Total Equivalent Value
Impact Insignificant Low Medium High Critical
Likelihood
Likelihood (1) (2) (3) (4) (5)
The risk weightage will be based on the level of accountability and/or size;
and agreed up-front with the auditees.
TEV of the issue will be allocated to the joint responsibilities of units based
on the level of accountability; while maintaining the priority rating of the issue.
15
Appendices
COSO Components 3. Control Activities
1. Inf/Tranx Processing – Authorization :
2. Inf/Tranx Processing – Completeness :
1. Control Environment 2. Risk Assessment 3. Inf/Tranx Processing – Accuracy Data
1. Strategic Objectives 4. Inf/Tranx Processing – Timeliness
1. Assignment of Authority and Responsibility
5. Inf/Tranx Processing - Continuity
2. Board of Directors / Audit Committee 2. Process Objectives 6. Controls over IS - Data Centre
3. Commitment to Competence 3. Sub-process Objectives 7. Controls over IS - Operating Systems
4. External / Specialist Reviews 4. Business Continuity Planning 8. Controls over IS - Access Security
5. Human Resource Policies and Procedures 5. Change Management 9. Controls over IS - IT Disaster Recover
6. Threat Identification 10. Controls over IS - System Rules
6. Integrity and Ethical Values
11. Controls over IS - Automated File Feed
7. Management Philosophy and Operating 7. Risk Assessment Activities 12. Control over IS – System Log
Style 8. Procedures for identification and 13. Control over IS – System development
8. Organizational Structure quantification of risk 14. Control over IS – Computer networking
9. General Policies and Procedures 9. Limits and other controls 15. Control over IS – Application System
10. Self-Assessment/Quality Assurance Review 10. Reporting to Management 16. Development of Performance Measure
11. Management Supervision 17. Direct Function or Activity Mgt
11. Supervision and Evaluation of Employee
18. Analysis
Performance 12. Calculation and Allocation of Capital 19. Physical Safeguard Controls
12. Training Activities 20. Segregation of Duties :
13. Application of laws/regulation, guidelines, 5. Monitoring 21. Efficiency And Effectiveness :
directives, and requirements 1. Ongoing Monitoring 22. Utilization of Resources :
2. Continuous Improvement Activities
4. Information & Communication 3. Deficiency Reporting Mechanisms
6. Goals/Strategic
1. Management Communication Process 4. Monitoring Corrective Action 1. Setting of Objectives and Goal
2. Information Tranf. and Dissemination 5. Reconciliation 2. Measurement and reporting of the
3. Strategic Communication Process accomplishment of objectives and goals
4. Communication of Objectives to the Org 3. Control Mechanism to monitor actual
performance against budget
5. Periodic Status Meetings
6. Upward Flow of Perf. Information
17
KOMPONEN COSO – CONTROL ENVIRONMENT
1 Assignment of Authority and Tersedianya pelimpahan wewenang dan tanggung jawab
Responsibility yang jelas.
2 Board of Directors / Audit Committee Terdapat komitmen dan kepedulian manajemen dan
komite audit terhadap pelaksanaan pengendalian internal
(internal control).
3 Commitment to Competence Terdapat komitmen terhadap peningkatan kompetensi
secara berkesinambungan.
4 External / Specialist Reviews Manajemen melihat review yang dilakukan oleh pihak
eksternal/specialist sebagai salah satu masukan/bahan
untuk perbaikan fungsi pengendalian internal.
5 Human Resource Policies and Memiliki kebijakan dan prosedur SDM.
Procedures
6 Integrity and Ethical Values Memiliki integritas dan standar etika yang baik.
18
KOMPONEN COSO – CONTROL ENVIRONMENT
8 Organizational Structure Memiliki struktur organisasi formal dan up to date.
9 General Policies and Procedures Memiliki kebijakan dan prosedur yang formal dan up to
date
10 Self-Assessment/Quality Assurance Memiliki mekanisme penilaian internal untuk menilai
Review kecukupan dan pelaksanaan pengemdalian internal
(internal control).
11 Supervision and Evaluation of Memiliki mekanisme supervisi dan evaluasi kinerja
Employee Performance karyawan.
12 Training Activities Memiliki program pelatihan dan melaksanakan kegiatan
pelatihan.
13 Application of laws/regulation, Memiliki pemahanan terhadap hukum/ketentuan, aturan,
guidelines, directives, and pedoman, arahan yang berlaku baik internal maupun
requirements eksternal.
19
KOMPONEN COSO – RISK ASSESSMENT
1 Strategic Objectives Telah dilakukan risk assessment terhadap strategic
objectives perusahaan
2 Process Objectives Telah dilakukan risk assessment terhadap process
objective perusahaan
3 Sub-process Objectives Telah dilakukan risk assessment terhadap sub-process
objectives perusahaan
4 Business Continuity Planning Telah dilakukan risk assessment terhadap business
continuity planning
5 Change Management Telah dilakukan risk assessment jika terdapat rencana
perubahan.
6 Threat Identification Proses risk assessment diawali dengan dilakukan threat
identification.
7 Risk Assessment Activities Aktivitas risk assessment dilakukan berdasarkan
identifikasi & pengukuran risiko (internal & eksternal) yang
relevan dengan pencapaian tujuan.
8 Procedures for identification and Memiliki prosedur untuk mengidentifikasi dan mengukur
quantification of risk tingkat risiko.
20
KOMPONEN COSO – RISK ASSESSMENT
9 Limits and other controls : Memiliki pengaturan / ketentuan limit dan fungsi kontrol
lainnya.
10 Reporting to Management : Melakukan pelaporan hasil risk assessment (risk profile)
kepada manajemen.
11 Management Supervision : Memiliki mekanisme risk assessment terhadap tingkat
fungsi supervisi manajemen atas setiap proses yg
dilakukan.
12 Calculation and Allocation of Capital : Memiliki proses perhitungan kecukupan modal dan
alokasinya untuk menutupi risk exposure
21
KOMPONEN COSO – CONTROL ACTIVITIES
1 Inf/Tranx Processing – Terdapat pengaturan proses otorisasi transaksi dan pelaksanaannya sudah sesuai dengan
Authorization aturan.
2 Inf/Tranx Processing – Terdapat ketentuan yang mengatur mengenai proses evaluasi dalam penanganan transaksi
Completeness secara lengkap dan pelaksanaannya telah sesuai dengan aturan.
3 Inf/Tranx Processing - Terdapat pengaturan mengenai evaluasi atas akurasi data transaksi dan pelaksanaannya
Accuracy of Data sudah sesuai dengan aturan.
4 Inf/Tranx Processing – Terdapat pengaturan mengenai evaluasi atas ketepatan waktu dalam penanganan transaksi
Timeliness : dan pelaksanaannya sudah sesuai dengan aturan.
5 Inf/Tranx Processing - Terdapat ketentuan yang mengatur bahwa proses penanganan transaksi harus dilakukan
Continuity secara kontinyu (berkesinambungan) dan pelaksanaannya sudah sesuai dengan aturan
6 Controls over IS - Data Terdapat mekanisme kontrol dalam penanganan operasional data centre dan
Centre pelaksanaannya sudah sesuai dengan aturan.
7 Controls over IS - Terdapat mekanisme kontrol dalam penanganan sistem operasi dan pelaksanaannya sudah
Operating Systems sesuai dengan aturan.
8 Controls over IS - Access Terdapat mekanisme kontrol dalam penanganan akses terhadap sumberdaya system (access
Security security) dan pelaksanaannya sudah sesuai dengan aturan
9 Controls over IS - IT Terdapat mekanisme kontrol dalam penanganan disaster recovery dan pelaksanaannya
Disaster Recovery sudah sesuai dengan aturan.
1 Controls over IS - System Terdapat mekanisme kontrol dalam perubahan sistem parameter (system rules) dan
0 Rules pelaksanaannya sudah sesuai dengan aturan.
1 Controls over IS - Terdapat mekanisme kontrol terhadap pengiriman/perpindahan data secara otomatis antar
1 Automated File Feed aplikasi atau konputer. Pelaksanaan mekanisme kontrol sudah sesuai dengan aturan
22
KOMPONEN COSO – INFORMATION & COMMUNICATION
1 Management Communication Proses komunikasi pada tingkat manajemen telah
Process : dijalankan dengan baik.
2 Information Tranf. and Dissemination Informasi yang relevan telah diindentifikasi dan
dikomunikasikan dengan baik, sehingga dapat
memudahkan pihak yang berkepentingan melaksanakan
tugas-tugas yang menjadi tanggung-jawabnya
3 Strategic Communication Process : Proses komunikasi yang bersifat strategis telah dijalankan
dengan baik.
4 Communication of Objectives to the Tujuan organisasi pada setiap tingkatan (level) organisasi
Organization telah dikomunikasikan dengan baik.
5 Periodic Status Meetings Diskusi secara berkala telah dilakukan untuk meyampaikan
informasi atas hal-hal penting dan statusnya.
6 Upward Flow of Performance Informasi mengenai pencapaian kinerja telah disampaikan
Information kepada next higer authority.
23
KOMPONEN COSO – INFORMATION & COMMUNICATION
1 Management Communication Proses komunikasi pada tingkat manajemen telah
Process dijalankan dengan baik.
2 Information Tranf. and Dissemination Informasi yang relevan telah diindentifikasi dan
dikomunikasikan dengan baik, sehingga dapat
memudahkan pihak yang berkepentingan melaksanakan
tugas-tugas yang menjadi tanggung-jawabnya
3 Strategic Communication Process Proses komunikasi yang bersifat strategis telah dijalankan
dengan baik.
4 Communication of Objectives to the Tujuan organisasi pada setiap tingkatan (level) organisasi
Organization telah dikomunikasikan dengan baik.
5 Periodic Status Meetings Diskusi secara berkala telah dilakukan untuk meyampaikan
informasi atas hal-hal penting dan statusnya.
6 Upward Flow of Performance Informasi mengenai pencapaian kinerja telah disampaikan
Information kepada next higer authority.
24
KOMPONEN COSO – MONITORING
1 Ongoing Monitoring Terdapat proses monitoring secara terus-menerus
(ongoing) terhadap kualitas kerja melalui fungsi supervisi
dan aturan yang jelas.
2 Continuous Improvement Activities Upaya perbaikan dalam proses operasional dilakukan
secara terus-menerus.
3 Deficiency Reporting Mechanisms Memiliki mekanisme pelaporan atas terjadinya
kekurangan, seperti laporan penyimpangan. Hal ini telah
dilakukan secara konsisten sesuai ketentuan
4 Monitoring Corrective Action Memiliki sistem monitoring atas perbaikan proses
operasional yang telah dilakukan.
5 Reconciliation Melaksanakan proses rekonsiliasi untuk meyakinkan
akurasi data keuangan dan non-keuangan
25
KOMPONEN COSO – GOAL / STRATEGIC
1 Setting of Objectives and Goal Terdapat tujuan dan target kerja yang jelas dan terukur.
2 Measurement and reporting of the Terdapat pengukuran terhadap pemenuhan/pencapaian
accomplishment of objectives and target dan telah dilaporkan kepada pihak yang berwenang
goals
3 Control Mechanism to monitor actual Terdapat mekanisme kontrol untuk mengukur kinerja
performance against budget dibandingkan dengan budget dalam periode tertentu.
26
IMPACT
IMPACT DEFINISI
27
IMPACT
IMPACT DEFINISI
Medium (3) Proses yang ada memerlukan upaya peninjauan ulang yang signifikan
dan/atau adanya modifikasi
Berpotensi mengalami kerugian finansial dengan skala sedang
Pelanggaran fungsi kontrol utama, tetapi memiliki fungsi kontrol pengganti
Publikasi yang buruk atau rusaknya reputasi dalam lingkup terbatas.
Pelanggaran terhadap hukum atau ketentuan pemerintah yang berakibat
pada diberikannya surat peringatan/teguran.
Kehilangan nasabah dalam persentase yang sedang (medium)
Kehilangan sumber daya dalam jumlah sedang (Staff turn over).
Low (2) Berpengaruh pada efisiensi & efektivitas dari proses, tetapi dapat ditangani
secara internal
Berpotensi kerugian finansial dalam skala sedang sampai rendah.
Kegagalan dalam peningkatan fungsi kontrol, namun fungsi kontrol utama
berjalan.
Publikasi yang buruk atau merusak reputasi dalam lingkungan yang tidak
signifikan.
Berpengaruh kecil terhadap hukum atau ketentuan pemerintah.
Kehilangan nasabah dalam persentase yang kecil.
Kehilangan sumber daya dalam jumlah kecil (Staff turn over). 28
IMPACT
IMPACT DEFINISI
29
LIKELIHOOD
LIKELIHOOD DEFINISI
30
Individual Rating - TEV
RATING DEFINISI
Low Tindakan perbaikan harus dilakukan segera bila memungkinkan sesuai dengan
waktu & resources yang tersedia.
31
Overall Rating - GTEV
RATING DEFINISI
Low Risk Baik dalam semua hal
Kinerja, pengendalian intern & manajemen risiko dinilai kuat
Tidak memiliki hal-hal yang harus diperhatikan.
Kekurangan yang dideteksi hanya memiliki dampak kecil dan dapat dikoreksi dengan mudah.
Manajemen mengetahui kekurangannya & bersikap proaktif untuk menyelesaikan temuan
audit.
Moderate Risk Pengendalian intern secara umum cukup.
Terdapat beberapa kekurangan kecil yang masih dapat diatasi Manajemen.
Secara umum patuh terhadap kebijakan, prosedur, hukum dan ketentuan yang berlaku.
Pelaksanaan pengendalian intern & manajemen risiko secara umum cukup
Above Average Risk Ada kelemahan dari skala sedang ke parah,
Rentan terhadap kondisi bisnis/operasional yang buruk & akan menjadi serius bila tidak
segera ditangani .
Sering tidak mematuhi kebijakan, prosedur, hukum dan ketentuan.
Pengendalian intern & manajemen risiko kurang mencukupi
High Risk Kinerja, pengendalian intern & manajemen risiko buruk, dalam hal :
Banyak kelemahan finansial yang serius,
Tidak patuh terhadap kebijakan, prosedur, hukum, & ketentuan
Kelemahan pengendalian intern yang sangat lemah.
Memiliki risiko signifikan bagi perusahaan dan kemungkinan terjadinya kegagalan sangat
tinggi.
32