Meeting 1 – 310817

Internal audit
Audit - hearing
Agent principle – incongruency of goal – auditor pihak yang melihat
Perkembangan IA early abad 20
Profesi IA baru berkembang, EA sudah mature

Definition:
- The IIA 1978: Independent appraisal within organisation to examine and evaluate activities
- The IIA 1998: value adding, improve
- Current definition: independen, objective, and consulting activity to add value & improve orang
operations.
- Sawyer’s definition: finansial & op info accurate & reliable, risk identified minimize, external
regulation internal proced followed, resource efficient and economical.

Statement of resp IA 1947

Code of ethics 1971
IPPF 2015

IPPF Old framework

Mandatory guidance:
Definition
Int’l standard
Code of ethics
Strongly recomended guidance:
Position papers: buat tulisan orang2 profesi lain agar orang2 bercara pandang sesuai yang kita inginkan
Practices advisory: penerjemahan standard

IPPF New Framework

>> Mission – to enhance and protect organizational value with providing risk-based, objective, reliable
assurance, advice (ada rekomendasi), dan insight (memaparkan fakta).
>> Mandatory Guidance:
Core pricinciple IA :
1. Integrity – menempatkan kebenaran diatas segalanya
2. Competent (kurang ilmu), due professional care
3. Objective (cth. Streotype) n independent (free from condition, ada hal lain yang diluar dia yang
memiliki kuasa utk pengaruhi)
4. Aligns with strategies, objective, risk of orang
5. Appropriately and adequately resourced
 6. Quality & improvement
7. Communicate effectively
8. Provide risk based assurance
9. Insighful, proactive, future focused
10. Promotes org improvement

IA tidak boleh ikut mengambil keputusan atau aktifitas day to day operation.

Assurance vs consulting
Objective examination quality dari governance, rm, fin, compliance
Kapan assurance?
Semakin mature sistem, semakin tinggi user – assurance

Assurance - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Consulting
Fin Ad – Perf Ad – Quick Resp Ad – Ass serv – Facilitation Serv – Remediation Serv

>> Standar IA
1. Standard attribute – yang harus ada pada auditornya
Purpose, authorit, responsibility, indp obj, prof, dpc, QAIP
2. Standard performance – untuk melakukan pekerjaan
>> Code of ethics
Integrity: principle, rule of conduct
Objectivity
Confidential
Competency

Comm
Prob ide
Pursuade important of IA

Technical skill
Understanding business

Knowledge

Rabu depan 7 sept, kumpulkan paper dan ppt email

IIA, IMA, CPA, FE (kumpulan CFO), AAA  COSO framework

Dekom, manajemen, other personil
Other personil  pihak2 lain customer, bank (kirimi bank stat),

Kalau merefer ke standar, A kode assurance, C kode consulting

Defisiensi matrix, Risiko low medium high siapa yang menentukan?? Analisa auditor sendiri?
Action plan hasil kesepakatan atau lebih baik di force?

Control ada dua aspek:

 a. Design – design tidak perlu dites, design tidak beres dinilai dg logika
b. Implementasi – perlu dites, tes of control

Risiko menghalangi goal (pencapaian tujuan)

Risiko pencurian cash oleh kasir – set control -

Fraud (niat + kesempatan)

Niat : pressure & rationalisation
Kesempatan: opportunity
Membenahi control environment
Lebih penting membenahi niat drpd kesempatan

Control activities menghilangkan opportunity: detection, concurent, pervention

SOP ada disini

Risk assesment: kontrolnya terarah maka perlu risk assessment

Inherent risk ditekan oleh kontrol (mitigate) sampai risk apetite, risk yang tersisa residual risk (treated
risk)

Communication & Information: sosialisasi SOP, sosialisasi budget, sisi kanan kubus melibatkan semua
orang di perusahaan

Monitoring

Menurut COSO, control adalah sebuah proses maka dinamis maka berubah

Action plan / rekomendasi didasari oleh temuan

Temuan harus disepakati
Action plan bisa dirundingkan tapi masih dalam line temuan dan rekomendasi auditor internal

Self review boleh

Position paper adalah cara pandang IA agar orang lain memiliki pendapat yang sama

OCEG = Open Compliance Ethics Group

ISO 31000 Risk Management

Diperusahaan yang berukuran medium, masalah risk management itu belum menjadi concern, bahkan
yang dilaporan keuangan saja hanya sekedar narasi.
Internal auditor bekerja berdasarkan planning. Bolehkan Internal Auditor menginisiasi proses risk
management dalam artian masih menjalankan batasan2 peran IA

Konsolidasi risiko
L1 500,000
L2 100,000
L3 10,000
L4 2,000

Jika di L4 kelebihan dari 2,000 maka dilempar ke L3

Semakin tinggi level akan kelihatan masalahnya yang mana

Tone management atas adalah pendukung operasional

Ada tujuan, ada risiko nyasar, ada arah

Likelihood =
Impact = keuangan, reputasi, legal, fatality (nyawa)

Semakin banyak merahnya semakin risk avoider

Semakin hijau risk lover

Risk response
Risk acceptance = nerima saja
Risk avoidance = menghindar, keluar dari bisnis
Risk reduction = menginstal control, menurunkan likelihood, control tidak menurunkan impact
Risk sharing = Asuransi menurunkan impact

Control activities
Tersediakan SOP, Policies, government

Information & Communication

Terdistribusi

Bankrupt 70% sudah tidak ada RE

Risk register kalau udah ada dipakai , kalau belom dibuatkan.

Audit Planning
Risk based planning – annual plan
Persiapa audit – audit program

Presentasi
Eksekusi
Reporting

Risk Based IA
IA – RM framework

Risk enabled & risk managed baru bisa RBIA

Risk naive = ada dipikiran

Risk aware= ada tapi poor
Risk defined =
-------------------------
Risk managed =
Risk enabled

Stage 1
Ada risk register
Stage 2
Buat audit plan

Mulai dari
1. Goals:
2. Struktur kerja – obstacle – Likelihood – Impact – IR – Control - RR
Produksi – kayu jati mahal – 3 – 2 – 6 – TIDAK ADA - 6
SDA – tenaga kerja tidak ada – 3 – 1 – 3 – TIDAK ADA - 3
Marketing – tim marketing tidak handal – 2 – 5 – 10 – REVIEW (2) - 8
Modal – kekurangan modal – 4 – 3 – 12 – TIDAK ADA - 12
Gudang – tempat penyimpan – 5 – 3 -15 – TIDAK ADA - 15
Pabrik – safety – 1 – 3 – 3 – TIDAK ADA – 3

BIKIN MATRIX
Lalu lihat yang 5:5 maka ada diwilayah mana? Pengadaan, SDM, Produksi???
Diurutkan

Punya 3 orang
365 – 104 wiken – 15 cuti – 5 training – 20 libur – 10 sakit = 642 jam dalam setahun
LONG TERM PLAN
SEMUA AUDIT UNIVERSE DICOVER (5 TAHUN)
KALAU SIGNIFIKAN RISK – 1 TAHUN 1X KETEMU
HIGH RISK – 2 TH SEKALI
MED – 4 TH SEKALI
LOW – 5 TH SEKALI

SEMUA
AUDIT RISIKO MATRIX
UNIVERSE NYA APA 1 2 3 4 5
PENGADAAN SIG 100 100 100 100 100
PRODUKSI SIG 100 100 100 100 100
SDM HI 100 100
KEUANGAN HI 100 100
LEGAL MED 100 100
MKT LOW 100
TOTAL 600 200 400 200 300
CUMA PUNYA
RSC 642 642 642 642 642

Lalu buat audit program

Auditee selection:
Annual plan
Ad hoc manajemen
Auditee request

Tipe preliminary
ON DESK = document study
ON SITE =

Preliminary = tujuaannya buat pemahaman saja, formal, & informal

PRELIMINARY
ANALISIS
ARTO X 365 DIBANDINGIN SAMA N/30
COST LEADERSHIP = JUALAN BUAH
PROD DIFF = JUAL RUMAH

PROSEDUR AUDIT UMUM – UNTUK AUDITOR SENIOR

PROSEDUR AUDIT UMUM RINCI – AUDITOR PEMULA
CHEKLIST KEPATUHAN

STRATEGI AUDIT SKOP BANYAK RESOURCE KURANG

1. STOP AND GO =
DATANG KE AUDITEE BIKIN PRELIM DAPAT GAMBARAN, RISIKO KECIL MAKA DIA GO KETEMPAT
LAIN, MAKA DIANGGAP SELESAI
 DATANG LAGI KETEMPAT LAIN, RISIKO BESAR, MAKA AUDIT DISITU
2. SMART AUDIT
INSTAL INDIKATOR2 DI SETIAP DAERAH/ CABANG
MISAL = ADA TRANSAKSI DI HARI MINGGU, JUMLAH BDE MELEBIHI 10%, LSG ADAKAN
PEMERIKSAAN
DIDUKUNG DENGAN IT YANG BAGUS, SUPAYA CEPAT DAPAT

AUDIT PLAN PERLU DIREVIEW DISAHKAN OLEH SIAPA? DEKOM AC?

KALAU ADA PENAMBAHAN SKOP SIAPA YANG OTORISASI?
Annual – audit committee
Request komite audit
Audit plan penugasan – diketahui sampai chief audit saja

DESIGN NYA LEMAH – REMEDIASI – TINDAK LANJUT PERAN AUDITOR APA?

MENGINGAT IA NGGA BOLEH IKUT