PLN - RBIA Workshop 9-10 Feb

Metodologi
Risk Based Internal Audit

Surabaya, 9 10 Februari 2015
Agenda Workshop Hari 1
Time Discussion Topic
DiscussionTopic
08.00 08.30 OpeningSpeech
08.30 09.00 RBIAMethodologyOverview
09.00 09.30 InternalAuditInfrastructure
09.30 09.45 Coffeebreak
09.45 10.45 RBIAMethodology:RiskAssessmentandAuditPlanning
10.45 12.00 ProjectExecution EngagementPlanning
12.00 13.00
12.00 Lunch break
Lunchbreak
13.00 14.00 ProjectExecution Walkthrough&TOD
14.00 15.00 ProjectExecution TestofEffectiveness
15.00 15.30 ProjectExecution Reporting,FollowupandMonitoring
15.30 16.00 CoffeeBreak
16.00 16.30 ProjectExecution Reporting,FollowupandMonitoring(Contd)
2 CONFIDENTIAL: This document is for internal use only and may not be copied nor distributed to another third party.
Agenda Workshop Hari 2
Time Discussion Topic
DiscussionTopic
08.00 08.30 Exercise1 Mapping RiskandBusinessProcess
08.30 09.00 Exercise2 ProposeAuditPlan
09.30 10.00 Exercise3 PreliminaryRiskAssessment
10.00 10.15 Coffeebreak
10.15 11.00 Exercise4 PrepareBusinessProcessModel
11.00 11.30 Exercise5 TestofEffectiveness
11 30 12.00
11.30 12 00 Exercise 6 Reporting
Exercise6
12.00 13.00 Lunchbreak
13.00 13.30 Explanation ofProgram Kerja Audit(PKA)Template
13.30 15.30 FillupPLNProgram Kerja Audit(PKA)
15.30 16.00 Lunchbreak
16.00 17.00 FillupPLNProgram Kerja Audit(PKA)Contd
Fasilitator
Munir M. Ali
Munir adalah seorang konsultan senior dengan pengalaman yang luas dalam
pengelolaan keuangan yang mencakup peran pengawasan pada akuntansi, pajak,
perencanaan keuangan publik dan analis pada perusahaan publik. Selama karirnya
di bidang keuangan,
keuangan Munir juga terlibat dalam berbagai tugas manajerial atau
strategis seperti restrukturisasi finansial, pembiayaan proyek, perencanaan pajak
dan pengembangan bisnis. Sebagai konsultan, Munir juga membantu beberapa
Perusahaan BUMN dan Perusahaan Swasta dalam mengembangkan dan
mengimplementasikan Sistem Keuangan dan Akuntansi.
Lebih dari 20 tahun pengalaman di bidang audit internal dan penilaian resiko;
Berpengalaman dalam peningkatan pengembangan fungsi keuangan dan
akuntansi
Sebagai Partner in Charge yang bertanggung jawab pada Sarbanes-Oxley
Testing di berbagai perusahaan selama 4 tahun;
Berpengalaman dalam Proyek Pengembangan Manual Akuntansi dan
Anggaran selama 3 tahun;
Sebagai Partner in Charge dalam Proyek Pengembangan Standar Operasional
Prosedur dan Standar Akuntansi selama 2 tahun;
Sebagai
S Partner in Charge
C dalam Proyek Pembangunan Sistem
S Informasi
f dan
Pengelolaan Keuangan berbasis Web (FMIS).
Jurita Suharto
Jurita adalah seorang konsultan senior dengan pengalaman audit di berbagai
macam proses bisnis dan instritusi finansial, telekomunikasi, manufaktur, dan lain-
lain. Dia memulai karirnya di Prasetio Utomo dan Co Arthur Andersen sebagai
Auditor dengan pengalaman di berbagai macam jenis industri yang luas dan
melanjutkan ke Prasetio Strategic Consulting Andersen Group, dengan fokus di
bidang financial information systems and business process audit
Lebih dari 18 tahun di bidang auditinternal dan penilaian resiko

Project Manager di Finance Function Enhancement Project
Project Manager untuk proyek Sarbanes-Oxley Testing di berbagai perusahaan
Project Manager untuk proyek pengembangan Finance,
Finance Accounting dan
Budgeting Manual
Project Manager untuk proyek pegembangan Financial & Accounting Standard
Operating Procedures
Maria Rosario Tan
Rosario Tan adalah seorang manajer senior dengan pengalaman audit dalam
berbagai proses bisnis dan produk pada lembaga keuangan, telekomunikasi,
perusahaan manufaktur dan lainnya. Dia memulai karirnya sebagai Auditor di
A th
Arthur A d
Andersen/Andersen
/A d M il selama
Manila l 16 tahun
t h sebelum
b l pindah
i d h kek
Perusahaan Telekomunikasi Co terkemuka Manila sebagai Kepala Manajemen
Risiko.
6 tahun sebagai Konsutan pada Proyek Sarbanes Oxley Testing

2 tahun menjadi Kepala Manajemen Risiko Perusahaan Telekomunikasi
Bayantel (sebuah anak perusahaan dari Lopez Group di Filipina)
8 tahun
t h sebagai
b i Audit
A dit Ek
Eksekutif
k tif di Sycip,
S i Gorres,
G Velayo
V l & Co.
C (SGV) Manila
M il
(dikenal sebagai Arthur Andersen worlwide)
RBIA Methodology Overview
The Standards The mandatory element under the
International Professional Practices Framework
Internal Audit is independent and objective assurance designed to add value to improve an
organizations operation. It help organization to accomplished objective by bringing
systematic, discipline approach to evaluate and improve the effectiveness of risk
management controls and governance process
management,
Mandatory
IPPF =
Non mandatory
Strongly
recommended
Organization of The Protiviti Way
Protivitis Internal Audit Methodology
Standard &
Frameworks
IIA Standards & Professional Frameworks
Internal Audit Internal Audit Organization Internal Audit Methodologies

Methodologies,
Infrastructure Value Drivers Stakeholder
Charter & Policies Structure & People Processes and Technologies Expectations
Strategic Operational Financial Compliance
Risk Identify Map Risks Prioritize Identify

Consider Risk Rank and Determine Consider
Assessment Audit Business Business
Change Audit Units Final Risk Change
& Planning Universe Risks Risks
Assessment
Create Audit Plan
Project Management, Supervision & Review
Understand Perform Plan Understand Evaluate Test

Activities & Design
Validate Report Follow-Up
Project Risk Project & Analyze Operating
Project Objectives Assessment Activity Effectiveness Effectiveness Findings Results on findings
Execution
O
Oversight
i ht I i ht
Insight F
Foresight
i ht
Stakeholder
Periodic Reporting & Issue Tracking to Management and Audit Committee
Reporting
Continuous Continuous Monitoring of Internal Audit Function Quality

Improvement External Qualityy Assessment Internal Qualityy Assessment Internal Audit Performance Measurement
Add Value
Return on Internal Audit Investment
1. Pemahaman Risiko dan Kontrol
Apa Itu Risiko?
Definisi Risiko:
Peristiwa di masa depan yang akan berdampak pada tujuan strategis
Kesalahan umum ?
Kompilasi daftar kejadian risiko pada beberapa proses
Pernyataan negatif dari suatu tujuan perusahaan.
Apa yang menyebabkan risiko dapat terjadi ?

Pertimbangan agen risiko/ penyebab risiko
g
Rencana mitigasi/ kontrol yyang
g tidak akurat mengidentifikasi
g
langkah-langkah yang tepat
Identifikasi insiden
Event adalah insiden atau kejadian yang berasal dari sumber internal atau eksternal
yang mempengaruhi pelaksanaan strategi atau pencapaian tujuan.
Metode identifikasi dapat mencakup :
Brainstorming / diskusi; Sejarah,

j , analisis kegagalan
g g dan p
penciptaan
p
Pengalaman dari dalam maupun luar negeri database insiden yang merugikan
Proses pemetaan atau diagram alur, review Analisis skenario dan / atau stress testing ;
desain sistem, analisis sistem. dan
Analisis SWOT
Definisi Internal Control
Pengendalian internal adalah suatu proses, dipengaruhi oleh dewan

direksi, manajemen & personil lain, yang dirancang untuk
memberikan keyakinan memadai tentang pencapaian tujuan terkait
dengan :
Efektivitas dan efisiensi operasi

p
Keandalan pelaporan keuangan
Kepatuhan terhadap hukum dan regulasi Committee of Sponsoring
Organizations (COSO)"
Internal Control Perubahan Pandangan
Dari Ke
Mengurangi risiko atas pelaporan keuangan Mengurangi risiko bisnis
Merancang kontrol bisnis saat mengidentifikasi

Mengevaluasi kontrol atas akutansi
risiko
Fokus pada efisiensi proses bisnis, kualitas dan

Fokus pada efektivitas bisnis proses & kepatuhan
responsiveness
Mengatakan kepada pemilik proses bisnis apa

Pemberdayaan induvidu & membuat proses bisnis
yang harus dilakukan dan memastikan bahwa
untuk bertanggung jawab kepada hasil.
mereka melakukan hal tersebut
Deskripsi Kontrol Panduan Umum
Narasi harus menjelaskan secara rinci aliran proses bisnis.
Informasi yang memadai untuk pemahaman bagaimana transaksi penting diajukan/

disetujui/dicatat (rincian harus menyajikan infomasi yang cukup bagi auditor independen)
Penggambaran yang cukup mengenai kapan, dimana, siapa, kepada siapa, apa, bagaimana dan
berapa banyak (5W2H)
Jika terdapat kontrol yang mencakup beberapa risiko, tempatkan deskripsi kontrol hanya sekali
pada bagian dari alur proses bisnis di mana kontrol tersebut benar-benar dilakukan.
Jika terdapat kaitan dengan proses bisnis lain, narasi harus dilengkapi dengan referensi yang
jelas.
Deskripsi Kontrol
Who Siapa yang melakukan kontrol?
What Apa deskripsi kontrol tersebut?
Why Mengapa Kontrol harus dilakukan?
Where/When Dimana proses kontrol berlangsung? Seberapa sering?
How Bagaimana kontrol dilakukan? Apakah buktinya?
2. Apa itu RBIA ?
Risk Based Internal Auditing (RBIA)
What is Risk Based Internal Auditing? (source IIA definition)
Links internal
auditing to the
Methodology overall risk
management
framework
Provide assurance
to the Board that the
risk management
process are
managing risk
effectively in relation
to the risk appetite
Langkah langkah Implementasi RBIA
Langkah langkah Implementasi RBIA
Tahap 1: Menilai kematangan risiko
Memperoleh gambaran sejauh mana dewan direksi dan manajemen menentukan, menilai, mengelola
dan memantau risiko. Ini memberikan indikasi keandalan daftar risiko untuk tujuan perencanaan audit.
Tahap 2: Perencanaan audit periodik
Merencanakan penugasan audit dan konsultasi untuk jangka waktu tertentu, dengan mengidentifikasi
p
dan memprioritaskan semua area di mana manajemen
j memerlukan keandalan yyang
g obyektif,
y , termasuk
di dalamnya proses manajemen risiko, pengelolaan risiko utama, dan pencatatan & pelaporan risiko.
Tahap 3: Penugasan audit
Melaksanakan audit individu berbasis risiko untuk memberikan jaminan pemangku kepentingan
Keuntungan RBIA untuk Pelaporan BOD
Audit internal dapat memberikan kewajaran penilaian kepada Dewan

Direksi
Suatu proses manajemen risiko, baik desain maupun aktual aktivitas
Pengelolaan pada risiko utama, termasuk efektivitas pengendalian dan

langkah mitigasi lainnya
Pelaporan dan klasifikasi risiko yang lengkap, akurat dan tepat
Internal Audit Infrastructure
Infrastructure

Standard &
Frameworks
Internal Audit Internal Audit Organization Internal Audit Methodologies,


Assessment
Create Audit Plan

Activities & Design
Execution
Oversight Insight Foresight
Stakeholder
Reporting

Improvement E t
External
lQQuality
lit AAssessmentt I t
Internal
l Quality
Q lit A Assessmentt I t
Internal
l Audit
A dit P
Performance
f M
Measurementt
Add Value
Nilai Tambah dan Ekspektasi Stakeholder
Komite Audit dan Senior Manajemen
Audit Eksternal
Pihak Ketiga (termasuk Regulator)
Fungsi internal assurance lainnya
Internal Audit Charter & Kebijakan
Membaha Internal Audit Charter dengan Komite Audit
Menyusun
y peraturan dan SOP untuk aktivitas Internal
p
Audit yang lebih luas dan kompleks
Mengembangkan penyimpanan dokumentasi audit
Struktur Organisasi dan Sumber Daya Manusia
Tetapkan struktur organisasi :
Peta standar kompetensi anggota tim
Keahlian yang dibutuhkan
Spesialis dengan industri, proses, peraturan dan teknologi
Pelaporan fungsional kepada Komite Audit
Metodologi, Proses dan Teknologi
Menggunakan metodologi internal audit yang mapan
Program kerja yang standar dan penggunaan checklists
Website IIA
www.globaliia.org/standards-guidance
Risk Assessment and Planning
Risk Assessment and Planning

Standard &
Frameworks


Assessment
Create Audit Plan

Activities & Design
Execution
Stakeholder
Reporting

Improvement External Quality Assessment Internal Quality Assessment Internal Audit Performance Measurement
Add Value
Risk Assessment and Planning (Contd.)

Assessment
Create Audit Plan
Identify Audit Universe

Assessment
Create Audit Plan
Identifikasi dan menghubungkan struktur organisasi, lokasi dan proses
Inventarisasi kegiatan bisnis, proyek IT, dll.
Menghubungkan aplikasi IT kedalam proses
Identifikasi dan pemahaman atas industri dan bisnis
Pemanfaatan Process Classification Schemes (PCS)

Audit Universe : Business Process based on APQC
Ref Unit Bisnis Level 0 Ref Level 1 Ref Level 2 Ref Level 3
Segmen bisnis Kategori bisnis utama Aktivitas kunci Proses inti
DIT KEU (KEU,

1 ANG, BDH, AKT, Manage Financial 1.1 Manage treasury 1.1.1 1.1.1.1 Manage financial intermediary
SIM) Resources operations Manage debt and investment relationships
1.1.1.2 Manage liquidity
1.1.1.3 Manage issuer exposure
Process and oversee debt and
1114
1.1.1.4
investment transactions
Process and oversee foreign
1.1.1.5
currency transactions
Produce debt and investment
1.1.1.6
accounting transaction reports
Audit Universe: Fungsi dan unit dalam PLN
Risk Rank Audit Units Business Process

Assessment
Create Audit Plan
Enam Kriteria untuk Mengevaluasi Unit Bisnis:
Manajemen dan Prioritas Strategis Lingkungan
Ukuran Kompleksitas
Perubahan Historis Hasil Audit
Contoh Parameter Risiko Makro yang digunakan oleh PLN
Rencana Investasi
Anggaran Kontrak
Anggaran Operasi
Sewa Pembangkit
Total Asset
Pendapatan
COP
PRR
Jumlah Pelanggan
Luas area Operasional Auditee
Susut Distribusi
Saidi (menit/pelanggan)
( p gg )
Saifi (kali/pelanggan)
Gangguan Penyulang (kali per 100 kms)
Area yang belum diperiksa di 2014
KWH Salur
Realisasi Pembayaran Kontrak
Identify Business Risks

Assessment
Create Audit Plan
Memahami strategi bisnis, tujuan dan sasaran yang ada dalam rencana
strategis organisasi
Menentukan luas dan kedalaman dari Corporate Risk Wide Assessment

(CWRA)
Penelahaan risiko yang melekat yang dihadapi perusahaan dan / atau

industri
Memanfaatkan sumber informasi eksternal
Tentukan dan konfirmasi model risiko
Risks Universe PLN 2014
Prioritize Business Risks

Assessment
Create Audit Plan
Peringkat risiko didasarkan pada penilaian dampak risiko dan

kemungkinan. Hal ini harus dilakukan pada risiko inherent dan residual
Melakukan CWRA setidaknya setiap tahun
Siapkan Audit Planning Memorandum
Understand Entity Level Control Environment

Assessment
Create Audit Plan
Memahami lingkungan dan kebijakan regulator
Memahami
M h i Pengendalian
P d li IT
Mengevaluasi risiko kecurangan dan pengelolaan risikonya
Pertimbangkan etika dan tata kelola IT
Risks Profile by MRO
Map Risks, Determine Final Risk Assessment and Create the Audit Plan

Assessment
Create Audit Plan
Menghubungkan risiko bisnis ke unit yang dapat di audit
Agregasikan risiko unit dengan auditable unit
Buat rencana Audit Internal dengan melakukan scoping dan minta otorisasi
Memantau perubahan bisnis dan dampak potensial terhadap rencana audit yang disetujui
Penilaian risiko harus dilakukan setiap tahun dengan update kuartalan
Mendokumentasikan penilaian risiko

Peta Risiko ke Unit Bisnis & Fungsi
TingkatResiko Unit Fungsi
No Resiko Keuangan
Pengadaan Operasidan Perbekalan/ SDMdan
Ekstrim Tinggi Moderat Rendah dan Niaga
Brg/jasa Pemeliharaan Logistik Organisasi
KDIVKITJB KDIVKITSUM KDIVKITIT KDIVBAT KDIVGBM KDIVKONKIT KDIVKONJAR KDIVPNK KDIVIPP KDIVEBT KDIVBTL KDIVRKO KDIVKEU KDIVSIM KDIVAGA KDIVDIS KDIVMRO KDIVTRS KDIVSDM KDIVMUM KDIVBDH KDIVANG KDIVTLN KDIVORG Akuntansi
1 Ketidakselarasan penyelesaian proyek pembangkit & transmisi x x x x x x
2 Kebijakan kenaikan Tarif Tenaga Listrik oleh pemerintah tidak terlaksana x x x x x x
3 Tidak optimalnya komitmen stakeholder atas penerapan SLA x x
4 Keterbatasan pasokan energi primer (batubara/ gas) x x x x
5 Tidak tercapainya kinerja operasional pembangkit (derating, CF, Heat rate, EAF) x x x x x x x
6 Kendala kapasitas handling system pada pembangkit PLTU x x x x x x x
7 Kekurangan jumlah, kualitas, dan komposisi sumber daya manusia yang produktif dan sesuai dengan
kebutuhan organisasi yang makin berkembang (sistem regenerasi) x x x x
8 Ketidakmampuan pemulihan kegiatan pada kondisi force majeur dalam jangka waktu yang memadai (billing x x x x x x
t )
9 Keterlambatan penyelesaian proyek pembangkit dan transmisi (PLN) x x x x
10 Keterlambatan penyelesaian proyek pembangkit (IPP) x x x x x
11 Peningkatan biaya langsung non-bahan bakar per kWh yang tidak dapat diimbangi dengan peningkatan x x x x x x x x
d t
12 Ketidaktersediaan likuiditas dalam melakukan kewajiban x x
13 Tidak diperolehnya pendanaan yang memadai (termasuk Subsidiary Loan Agreement) x x
14 Peningkatan nilai tukar mata uang asing terhadap IDR x x x x x
15 Peningkatan biaya bahan bakar x x x x x x x
16 Terjadi pelampauan debt covenant x x x x
17 Kualitas energi primer tidak sesuai dengan spesifikasi x x
18 Tidak tercapai-nya kinerja operasional transmisi x x
19 Tingkat mutu pelayanan pelanggan terutama untuk sambungan baru (5/10/15/40/100/500) x x
20 Terganggunya operasional akibat permasalahan outsourcing x
21 Terjadi penggunaan data rahasia oleh pihak lain yang tidak berwenang x x
22 Keterlambatan
K t l b t iimplementasi
l t i sistemi t TI tterintegrasi
i t i (Implementasi
(I l t i ERP,
ERP EAM,
EAM PMO x
23 Ketidaksesuaian pengadaan dengan kebutuhan x
24 Terjadi kecelakaan kerja
x
25 Kegagalan perbaikan atas temuan auditor secara jangka panjang
x
26 Terjadi pencemaran lingkungan yang melebihi ambang batas yang telah ditentukan oleh KLH
x x
27 Peningkatan suku bunga pinjaman x
28 Keterlambatan/ kesalahan dalam pelaporan keuangan x
29 Tidak tercapainya kinerja pembangkit IPP x x
30 Tidak tercapainya kinerja operasional distribusi (susut teknis) x x
31 Tidak optimalnya pengamanan pendapatan (sisir tarif, susut non teknis) x x
32 Ketidakpuasan karyawan terhadap sistem SDM yang berjalan x
33 Terjadi kesalahan perhitungan perpajakan
x
34 Terjadi fraud yang melibatkan pihak internal (implementasi PLN Bersih)
x
35 Piutang tidak dapat tertagih (credit risk) x
36 Konflik dengan masyarakat sekitar fasilitas PLN yang sudah operasional x
37 Tidak selarasnya sistem penilaian kinerja unit & individu x
Catatan: Tingkat Risiko tinggi, moderate dan rendah belum dimapping ke bisnis unitnya oleh MRO (block warna coklat)
Audit Universe: Proses Bisnis berdasarkan APQC
Ref Unit Bisnis Level 0 Ref Level 1 Ref Level 2 Ref Level 3 Ref
Segmen bisnis Kategori bisnis utama Aktivitas kunci Proses inti Resiko
DIT KEU (KEU

(KEU,
1 ANG, BDH, AKT, Manage Financial 1.1 Manage treasury 1.1.1 1.1.1.1 Manage financial intermediary
SIM) Resources operations Manage debt and investment relationships
1.1.1.2 Manage liquidity 1.1.1.2.1 Tingkat likuiditas saat ini yang rendah
1.1.1.2.2 Debt covenant yang mungkin terlampaui
1.1.1.2.3 Kurangnya komunikasi dengan stakeholder
11124
1.1.1.2.4 Proses verifikasi pencairan subsidi yang
berlarut-larut
1.1.1.3 Manage issuer exposure
Process and oversee debt and
1.1.1.4
investment transactions
Process and oversee foreign
1.1.1.5
currencyy transactions
Produce debt and investment
1.1.1.6
accounting transaction reports
Project Execution
Pelaksanaan Proyek
Standard &
Frameworks

Methodologies

Assessment
Create Audit Plan

Activities & Design
Execution
Stakeholder
Reporting

Improvement External Quality Assessment Internal Quality Assessment Internal Audit Performance Measurement
Add V
Value
l
1. Engagement Planning
Engagement Planning:
Memahami Aktivitas & Tujuan dan Melakukan Penilaian Risiko Awal
Memahami kegiatan dan tujuan penugasan
Menilai apakah telah ada perubahan yang

signifikan pada risiko yang dipertimbangkan
dalam CWRA dan jika demikian,
pertimbangkan dampaknya pada penugasan
Melakukan penilaian risiko pada penugasan

untuk mengidentifikasi area risiko yang tinggi
dalam penugasan tersebut, yang melibatkan
IT / spesialis lain, dan kegiatan asesmen lain
di bidang terkait
Melakukan Preliminaryy Risk Assessment
IIA Standard
S 2210 1 Internal Auditor must conduct
2210.A1
a preliminary asessment of the risks relevant to the
activityy under review
Memprioritaskan Risiko
Risiko
Signifikasi
Inherent
I h t Likelihood
Lik lih d
Faktor
Faktor-faktor
faktor yang akan mempengaruhi scoping
Efektivitas kontrol
Toleransi risiko (kesediaan untuk menerima risiko)
Sejauh mana risiko dapat dikelola
Sejauh mana proses dan kontrol yang relevan diaudit
Beberapa pertanyaan untuk Risk Assessment
Apakah sudah mempertimbangkan kesalahan yang signifikan, kecurangan,
pelanggaran, dan eksposur lainnya ketika mengembangkan perencanaan tujuan?
Apakah sudah mempertimbangkan aspek kuantitatif, yaitu eksposur keuangan

untuk aset dan keuangan?
Apakah sudah mempertimbangkan aspek kualitatif, yaitu fokus manajemen;

materialitas keuangan; persyaratan peraturan; temuan audit tahun sebelumnya dan
profil risiko ERM?
Apakah sudah menilai auditable area (unit bisnis, proses, lokasi) menggunakan
kriteria sebagai berikut
Ti k t perputaran
Tingkat t k
karyawan K
Kompleksitas
l k it sistem
i t
Aset / operasi yang berada di

Laporan keuangan
multilokasi
Komentar auditor eksternal Historis penilaian kinerja
Example of Preliminary Risk Assessment
RISK (based on Risk Profil)

Procurement process conducted not in timely manner
R t Cause
Root C d i Preliminary
dari P li i A
Assessmentt
Vendor bid price greater than OE There are complait from lost vendor
Ruang Lingkup Audit dan Tujuan
- Check OE calculation process

- Ensure OE prepared based on relevant market price
- Ensure OE prepared by compentent employee
- Ensure bidding process conducted fairly and transparant
- Check winner vendor selection methodology policy and its actual process
- Ensure vendor selected is most profitable for PLN
Example Effect of Preliminary Risk Assessment 2
RISK (based on Annual Audit Plan)

Overpayment Corporate Income Tax
R t Cause
Root C F
From Preliminary
P li i Assessment
A t
Significant payment prepaid tax art 22 Tax penalties from tax assessment
Audit Scoping/Objective
E i ti Audit
Existing A dit Scoping
S i Suggested Audit Scoping
planning, calculation, reporting and compliance to tax 1. Ensure the tax planning of prepaid tax art 22 is properly managed
regulation but did not specify the audit objective
2. Ensure the tax assessment is properly managed
3. Ensure the completeness and accuracy of income tax calculation
4. Ensure compliance with existing tax regulation
Engagement Planning:
Merencanakan Penugasan
Lengkapi rencana penugasan dan minta

persetujuan sesuai kewenangan
Siapkan audit planning memorandum
Tentukan sumber daya untuk penugasan audit
p
Libatkan IT dan spesialis lain dalam p
perencanaan
Pertimbangkan audit berbasis teknologi dan teknik
analisis data
Mengembangkan program kerja sesuai dengan
dokumentasi perencanaan dan dapatkan
persetujuan
Melakukan entry dan exit meeting serta mengirim
surat pemberitahuan pemeriksaan
Plan Project
j
St d d 2200 Internal
IIA Standard I t l Auditors
A dit mustt develop
d l and
d
documant a plan for each engagement. Including the
engagements objectives, scope, timing and resource allocation
2. Walkthrough - Understand &
Analyze Activity
Understand & Analyze Activity
Mendokumentasikan kegiatan yang sedang diperiksa

Validasi dokumentasi dengan pemilik proses sebelum mengevaluasi efektivitas desain
Mendokumentasikan proses secara rinci untuk memungkinkan orang lain memahami, mengevaluasi
serta melakukan tes desain untuk efektivitas operasional
Dokumentasikan wawancara jika merupakan salah satu bukti audit
Gunakan SOD Matrix
Siapkan
Si k Risk
Ri k C
Control
t lM Matrix
ti
Pertimbangkan risiko kecurangan dan kontrol apa untuk mencegahnya, dan membuat rencana
analisis dan test deteksi terbatas
Bukti dalam kertas :
a. Perencanaan dan pengawasan
b. Proses dan kontrol terkait (jika ada) yang telah dievaluasi
c. Sifat, waktu, aktivitas evaluasi yang dilakukan (dan bukti yang diperoleh), dan hasil evaluasi
serta kesimpulan yang ditarik
d. Identifikasi orang yang melakukan evaluasi
Understand & Analyze Activity
IIA Standard 2220 A1 The

St d d 2220.A1 Th scope off the
th engagementt
must include consideration of relevant systems. Records,
personnel, and physical properties, including those under
the control of third parties
Konfirmasi & dokumentasi p
proses / sub-proses
p
Diagram proses bisnis...
o Level 1 - Proses ini ditampilkan sebagai rangkaian balok
o Level 2 - Setiap sub-proses ditampilkan sebagai rangkaian

terkait blok,
blok satu blok per bidang kegiatan.
kegiatan
o Level 3 - Setiap daerah kegiatan ditampilkan sebagai

rangkaian simbol:
CA
Process Decision Softcopy
Hardcopy
3
Control
Flow activity
Process/ sub-processes
p documentation ((Contd))
Level 1 Level 2 Level 3

Procurement process PR process PR Process
Bidding process Preparation OE/HPS
PO preparation Preparation and

approval of PR
AP Process (request for
procurement)
Process/ sub-processes
p documentation ((Contd))
Level 1 Level 2 Level 3 Level 3

Procurement PR preparation Bidding Process Bidding
process Process
Bidding Announcement of
process bidding to Assessment
vendors of qualified
PO preparation vendor
AP Process Submission of Announceme

required nt of
documentation qualified
from vendors vendor
Contoh Business Process Model (Flowchart)
Mendokumentasikan kontrol
Hanya mendokumentasikan kontrol yang relevan dengan risiko sesuai
lingkup proses
Dokumentasi kegiatan pengendalian harus mencakup:
Who
Siapa fungsi yang melakukan aktivitas pengendalian?
What
Apa itu aktivitas pengendalian (yang menggambarkan ini adalah orang yang
kompeten dengan proses yang sama di perusahaan dan dapat memahami
bagaimana aktivitas pengendalian bekerja)?
When
K
Kapan/
/ seberapa
b sering
i aktivitas
kti it pengendalian
d li dilakukan?
dil k k ?
Evidence
Apa bukti yang akan tersedia untuk mengkonfirmasi kontrol tersebut ?
Segregation of Duties
C - Custody of assets
A - Authorization of transactions
R - Recording of transactions
p aspek
Setiap p CAR harus independen
p dari y
yang
g lain
S - Supervision by management
Supaya SoD memadai, semua poin di atas harus ditangani secara

memadai.
Catatan: Kolusi antara orang-orang yang bertanggung jawab atas
apapun di atas akan menghancurkan kerangka SoD
Contoh Segregation of Duty Matrix Analisis
Skenario I
Aktivitas Pemilik Proses Persetujuan Pencatatan Pengawasan
Pembuatan PO Staff Bagian Pejabat sesuai Accounting Staff Accounting

Pengadaan dengan Approval Supervisor
Matrix
Accounting
Manager
Skenario II
Aktivitas Pemilik Proses Persetujuan Pencatatan Pengawasan
Pembuatan PO Accounting Staff Pejabat sesuai Accounting Staff Accounting

dengan Approval Supervisor
Matrix
Acco
Accounting
nting
Manager
Contoh Segregation
g g of Duty
y Matrix Analisis
(lanjutan)
Sk
Skenario
i III
Aktivitas
Pemilik Proses Persetujuan Pencatatan Pengawasan
Pembuatan PO Accounting Staff Accounting Accounting Staff Accounting

Manager Supervisor
Accounting
Manager
Siapkan Risiko dan Kontrol Matrix
Tujuan proses
Nomor risiko dan deskripsi
Nomor kontrol dan deskripsi
Pemilik kontrol
Sifat
Sif kontrol
k l
Frekuensi
Manual atau Otomatis
Preventif atau Detektif
Primer atau Sekunder
Penilaian efektivitas pengendalian: Awal & Akhir
3. Walkthrough - Evaluate Design
Effectiveness
Evaluate Design Effectiveness
Tentukan apakah kontrol sudah efektif menggunakan RCM
Libatkan spesialis IT dan spesialis lainnya dengan pengetahuan proses / industri yang lebih baik jika diperlukan
Perkaya informasi tentang kontrol melalui kegiatan konsultasi
Gunakan tujuan pengendalian umum saat mendokumentasikan dan mengevaluasi proses bisnis keuangan:
Kelengkapan Kejadian
Ketepatan
Alokasi Hak dan kewajiban
Penilaian
Penyajian dan pengungkapan Kepatuhan terhadap kebijakan keuangan
M l
Melaporkan
k seluruh
l h defisiensi
d fi i i kontrol
k t l namun tetap
t t menyerahkan
hk kepada
k d manajemen
j untuk
t k menentukan
t k tindakan
ti d k
apa atau langkah-langkah perbaikan yang harus diambil
Evaluate Design Effectiveness
The Protiviti Way y - determine whether the controls within the

process are designed to achieve, for each control objective,
reasonable assurance that any errors or omissions that might
arise would be insignificant
Penilaian Efektivitas Kontrol
Kontrol yang efektif memberikan jaminan bahwa risiko bisnis

dapat d
dikurangi
u a g kee ttingkat
g at ya
yang
g dapat d
diterima.
te a
Agar efektif, kontrol harus:
Benar ((efektif)) dirancang
g untuk mengurangi
g g risiko tertentu dan
Berjalan sesuai dengan rancangan
Auditor internal mengevaluasi
g desain dan efektivitas operasi
p
pengendalian.
Secara umum, tidak ada gunanya dalam pengujian efektivitas operasi

d i kontrol
dari k t l yang telah
t l h dirancang
di d
dengan tid k benar.
tidak b
Assessment
ssess e o of Co
Control
o Effectiveness
ec e ess
Test of Control
Effectiveness
Operating
Design
Effectiveness
Test of Design
Test of
(TOD)
Eff ti
Effectiveness (TOE)
Assessment
ssess e o of Co
Control
o Effectiveness
ec e ess
TOD
effectiveness
Yes No
TOE not
Perform TOE
performed
Karakteristik desain
Kontrol yang efektif harus:
Relevan dengan risiko sedang dikaji
Dilakukan cukup sering
Dilakukan oleh personel dengan pengetahuan dan pengalaman yang
memadai
Dilakukan independen independen sesuai pedoman SOD (Gunakan
pendekatan CARS)
Mampu mengidentifikasi dan memperbaiki kesalahan dalam kegiatan
operasional secara tepat waktu
e dasa a informasi
Berdasarkan o as yayang
g te
terpercaya
pe caya
Efisien
4. Test of Operating Effectiveness
Test of Operating Effectiveness
Siapkan rencana untuk pengujian di kertas kerja
Menguji semua kontrol dalam RCM, kecuali terdapat pertimbangan lain
Gunakan ukuran sampel yang ditentukan dalam SOP untuk kontrol manual
Masukan inspection dan reperformance dalam pengujian, dan libatkan spesialis IT di

saat pengujian
p g j
Konsultasikan sebelum menggunakan sampling statistik
Test of Operating Effectiveness
St d d 2300 - Internal
IIA Standard I t l auditors
dit mustt identify,
id tif analyze,
l
evaluate, and document sufficient information to achieve the
engagements objectives.
Rencana Pengujian
Pengujian rencana yang baik:
Dapat menguji berbagai kontrol
Mengidentifikasi populasi untuk pengujian
Menentukan metode pemilihan sampel, dan bila perlu, menentukan
sumber laporan / data yang akan digunakan sehingga data sampel
diambil dari sumber-sumber yang valid
p
Menentukan ukuran sampel
Menjelaskan setiap langkah yang auditor harus lakukan
Jenis Pengujian
Nature Explanation Documentation Requirements Examples
Inquiry Ascertain whether a Who was interviewed, when the Interview key personnel to
control is in place by interview took place and understand the controls
asking specific oral or information they provided surrounding a particular
written questions process
Observation Direct viewing of control Who, when & what was observed Automated: Observe all field
being performed edit check works when
invalid data entered
Manual: Security of blank
check stock
Inspection/ The inspection of records, Who, when & what. Details of Select a sample of contracts
Examination documents, items tested. Level of detail must and verify that key controls
reconciliations, and be sufficient to support conclusion were performed:
reports for evidence that a and allow someone else to re- Contract was signed
control has been properly perform your test. (Validity)
applied. All key fields were
completed (Completeness)
Re- The repetition of a control What & how. Details of items Recalculating a bank
performance performed by an tested. Level of detail must be reconciliation, tracing back
employee or a computer sufficient to support conclusion to bank statements, and
or system. and allow someone else to re- general ledger balance
perform your test.
Mendokumentasikan Hasil Pengujian
Kertas kerja harus :
Mengidentifikasi penugasan dan menggambarkan isi atau tujuan dari
kertas kerja
Diparaf dan diberi tanggal oleh auditor yang melakukan pekerjaan
dan mengandung bukti supervisory review
Berisi jumlah indeks atau referensi
Memasukan atribut hasil pengujian (sebaiknya "ya" atau "tidak")
dengan komentar yang diperlukan
Kesimpulan dari pekerjaan yang dilakukan
Sumber data harus diidentifikasi secara jelas.
Example Test of Control Template
Dokumen PR
DokumenPR Supporting Document
SupportingDocument Testing Atribut
TestingAtribut
Approvingofficer
No. diPR Kesimpulan DocumentReference
Jenis (b) b.PRdiapproveolehpejabatberwenang.
Deskripsi TanggalPR No.PR NilaiPR Deskripsi Nilai a.InformasididalamPRlengkapdansesuaidenganOE
Dokumen
1 Pembuatandetailengineering 21Jan13 300060256 542,750,000 OE/HPS Pembuatandetail 542,750,000 ManagerDiv

Failed WPProc.PR.C1.1PurchaseRequisition
designcafetariadiPlasaTimur engineeringdesign Pendayagunaan WPProc.PR.C1.2OE
GedungUtama cafetaria,fitnessdan Asset
bankdiplazatimur
gedungutama
2 Pengadaankursikantordengan 10Jun13 300060409 95,000,000 OE/HPS Pengadaankursi 95,000,000 ManagerDiv

Failed WPProc.PR.C1.3PurchaseRequisition
Gaslift,Tiltingcontrol,Armrest, kantor Pendayagunaan WPProc.PR.C1.4OE
Nylonbase Asset
5. Validate Findings
Validate Findings
Mendokumentasikan semua temuan awal dan

menunjukkan status akhir dari masing-masing
temuan
Pastikan bahwa kertas kerja telah ditinjau dan bahwa

semua komentar (jika ada) akan dihapus
Validate Findings
dit mustt base
b conclusions
l i and
d
engagement results on appropriate analyses and evaluations.
Drafting the Preliminary Finding
Condition Statement of the issue

Criterion Description of what should be
C
Consequence E l
Explanation
ti off th
the significance
i ifi
or impact
Cause Explanation of what allowed the
condition to occurred
Corrective Description of action necessary
Action to correct the condition
Pernyataan Kondisi
What is (what we found)
Nyata
y
Spesifik
Obyektif
Pernyataan Kondisi yang Lemah :

Pengguna akses dicatat. Banyak staf memiliki akses pada sistem yang
lebih luas daripada yang mereka butuhkan.
Pernyataan Kondisi yang Kuat :

Akses untuk memproses faktur tidak terbatas pada karyawan yang
membutuhkan. Lima user dapat membaca dan mengedit informasi,
akses ini sebenarnya tidak diperlukan untuk melakukan pekerjaan
mereka.
k
Pernyataan Kriteria
What should be
Positif
Terukur
Kriteria Pernyataan
y yang
y g Lemah :
Pengguna tidak perlu memiliki akses yang luas pada sistem
untuk melakukan pekerjaan mereka.
Pernyataan
P t K it i yang Kuat
Kriteria K t:
Akses pengguna pada sistem harus dibatasi sesuai dengan
pekerjaan masing-masing
Pernyataan Konsekuensi
What may be the result (i.e., so what; why should

management
a age e t be interested)?
te ested)
Dampak
g
Signifikansi
Pernyataan Konsekuensi yang Lemah :

Orang-orang tanpa otoritas dapat memasukan / menghapus data.
Pernyataan Konsekuensi yang Kuat :

Data dapat diubah atau dimasukkan oleh karyawan tanpa otoritas
tertentu, berisiko tinggi terjadi kecurangan dan kerugian finansial
Pernyataan Penyebab
Why does this condition exist?

Sebab utama
Spesifik
Deskriptif
Pernyataan Penyebab yang Lemah:

Akses pada sistem diberikan tanpa ada proses review
Pernyataan Penyebab yang Kuat :

IT tidak menerima panduan dari Manajer Akuntansi mengenai
penggunaan akses yang tepat sehingga memberikan akses
tanpa instruksi dari Manager Akuntansi.
Pernyataan Tindakan Perbaikan
What should be done to correct it?

Ditindaklanjuti
Tanggung Jawab Individu yang spesifik
Tenggat waktu
Pernyataan Tindakan Perbaikan yang Lemah :

Persetujuan harus diminta.
Pernyataan Tindakan Perbaikan yang Kuat :

Manajer Akuntansi harus merevisi prosedur untuk: (1) mengisi
Formulir Persetujuan Akses (termasuk tingkatan akses) dan
mengirimkannya ke IT dan (2) IT harus melihat bukti persetujuan dari
Manajer sebelum memberikan hak akses.
6. Report Results
Report Results
Ikuti SOP Audit Internal dan menentukan apakah ada konflik kepentingan di saat menyiapkan
Laporan Audit.
Periksa
P ik ulang
l l
laporan k kertas
ke k t kerja
k j
Memastikan hanya hasil akhir yang didokumentasi di kertas kerja audit
Diskusikan semua laporan dengan manajemen yang terkena dampak sebelum melaporkan kepada
Komite Audit Manajemen Senior
Mengkomunikasikan revisi informasi jika laporan akhir mengandung kesalahan atau kelalaian yang
signifikan
Report Results
dit mustt communicate
i t ththe
engagement results.
Format Laporan
Sampul Memo (termasuk distribusi laporan)
Sampul (termasuk restriction yang diperlukan)
Daftar isi
Ringkasan eksekutif
Latar Belakang
Ringkasan Masalah
Rincian Masalah
Lampiran dan informasi pendukung lainnya
Ruang Lingkup
Tata Cara
Tujuan
Saran Pelaporan
HARUS mengandung restriction yang diperlukan ?

For
For Internal Use Only"
Only
HINDARI menggunakan kata "memastikan"
JANGAN mengandung frase "Menurut
Menurut opini kami ..."
Jika terdapat disclaimer dari Auditee harus ditampilkan
secara jelas dalam :
Sampul laporan
Ringkasan eksekutif
Area prosedur yang telah dilakukan
7. Follow Up and Monitoring
Follow-Up on Findings and Oversight / Insight / Foresight
Menggunakan sistem monitoring untuk memantau

status pelaksanaan rencana aksi
Tentukan dengan manajemen senior tindakan apa yang

harus kita ambil untuk menguji apakah tindakan korektif
dan rencana perbaikan telah dirancang secara efektif
dan beroperasi secara efektif
Template yang berguna harus didokumentasikan pada

setiap proyek untuk memastikan bahwa kegiatan audit
internal menambah nilai bagi organisasi
Thank You

PLN - RBIA Workshop 9-10 Feb

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

PLN - RBIA Workshop 9-10 Feb

Hochgeladen von

Copyright:

Verfügbare Formate

Metodologi

Risk Based Internal Audit

08.30 09.00 RBIAMethodologyOverview

09.00 09.30 InternalAuditInfrastructure

09.30 09.45 Coffeebreak

09.45 10.45 RBIAMethodology:RiskAssessmentandAuditPlanning

10.45 12.00 ProjectExecution EngagementPlanning

13.00 14.00 ProjectExecution Walkthrough&TOD

14.00 15.00 ProjectExecution TestofEffectiveness

15.00 15.30 ProjectExecution Reporting,FollowupandMonitoring

15.30 16.00 CoffeeBreak

16.00 16.30 ProjectExecution Reporting,FollowupandMonitoring(Contd)

08.30 09.00 Exercise2 ProposeAuditPlan

09.30 10.00 Exercise3 PreliminaryRiskAssessment

10.00 10.15 Coffeebreak

10.15 11.00 Exercise4 PrepareBusinessProcessModel

11.00 11.30 Exercise5 TestofEffectiveness

12.00 13.00 Lunchbreak

13.00 13.30 Explanation ofProgram Kerja Audit(PKA)Template

13.30 15.30 FillupPLNProgram Kerja Audit(PKA)

15.30 16.00 Lunchbreak

16.00 17.00 FillupPLNProgram Kerja Audit(PKA)Contd

Lebih dari 18 tahun di bidang auditinternal dan penilaian resiko

6 tahun sebagai Konsutan pada Proyek Sarbanes Oxley Testing

Internal Audit Internal Audit Organization Internal Audit Methodologies

Strategic Operational Financial Compliance

Risk Identify Map Risks Prioritize Identify

Create Audit Plan

Project Management, Supervision & Review

Understand Perform Plan Understand Evaluate Test

Continuous Continuous Monitoring of Internal Audit Function Quality

Apa yang menyebabkan risiko dapat terjadi ?

Metode identifikasi dapat mencakup :

Brainstorming / diskusi; Sejarah,

Pengendalian internal adalah suatu proses, dipengaruhi oleh dewan

Efektivitas dan efisiensi operasi

Mengurangi risiko atas pelaporan keuangan Mengurangi risiko bisnis

Merancang kontrol bisnis saat mengidentifikasi

Fokus pada efisiensi proses bisnis, kualitas dan

Mengatakan kepada pemilik proses bisnis apa

Narasi harus menjelaskan secara rinci aliran proses bisnis.

Informasi yang memadai untuk pemahaman bagaimana transaksi penting diajukan/

Who Siapa yang melakukan kontrol?

What Apa deskripsi kontrol tersebut?

Why Mengapa Kontrol harus dilakukan?

Where/When Dimana proses kontrol berlangsung? Seberapa sering?

How Bagaimana kontrol dilakukan? Apakah buktinya?

What is Risk Based Internal Auditing? (source IIA definition)

Tahap 2: Perencanaan audit periodik

Tahap 3: Penugasan audit

Audit internal dapat memberikan kewajaran penilaian kepada Dewan

Suatu proses manajemen risiko, baik desain maupun aktual aktivitas

Pengelolaan pada risiko utama, termasuk efektivitas pengendalian dan

Pelaporan dan klasifikasi risiko yang lengkap, akurat dan tepat

Protivitis Internal Audit Methodology

Internal Audit Internal Audit Organization Internal Audit Methodologies,

Strategic Operational Financial Compliance

Risk Identify Map Risks Prioritize Identify

Create Audit Plan

Project Management, Supervision & Review

Understand Perform Plan Understand Evaluate Test

Oversight Insight Foresight

Continuous Continuous Monitoring of Internal Audit Function Quality

Komite Audit dan Senior Manajemen