SPI PLN

Pra Jabatan Angkatan 54

 Kebijakan Pengawasan SPI
• Satuan Pengawasan Intern (SPI) merupakan unit kerja yang secara
struktural berada dibawah pengawasan langsung Direktur Utama,
bertanggung jawab langsung kepada Direktur Utama dan memiliki
garis komunikasi dengan Komite Audit. SPI melakukan kegiatan
pemberian keyakinan (assurance) dan konsultasi yang bersifat
independen dan objektif dengan tujuan untuk meningkatkan nilai
tambah dan memperbaiki operasional Perseroan melalui pendekatan
yang sistematis dengan cara mengevaluasi dan meningkatkan
kecukupan dan efektifitas manajemen risiko, pengendalian intern
dan proses tata kelola perusahaan.

• Kebijakan Pengawasan
Pengawasan diimplementasikan dengan konsep 3 (tiga) garis
pertahanan/three lines of defense yaitu:
 First Line of Defense
 Second Line of Defense
 Third Line of Defense
 Kebijakan Pengawasan SPI
• Kebijakan Pengawasan SPI PLN terdiri dari:
1. Kebijakan pengendalian internal
Kebijakan pengendalian internal disusun dengan memperhatikan ruang lingkup sebagai
berikut:
 Lingkungan pengendalian, contoh penerapan konsep three line of defense;
 Pengkajian dan pengelolaan risiko usaha, contoh risk assessment terhadap aktivitas bisnis
Perseroan;
 Aktivitas pengendalian yang dilaksanakan di setiap unit bisnis Perseroan, contoh kebijakan
pengawasan atasan langsung, dual control dsb;
 Sistem informasi dan komunikasi, contoh informasi yang tersedia di dalam Data Ware
House (DWH);
 Pemantauan, Evaluasi dan tindak lanjut atas aktivitas pengendalian intern, contoh kebijakan
penerapan perangkat manajemen risiko.
 2. Kebijakan pengawasan internal
Kebijakan pengawasan internal antara lain meliputi kebijakan Audit Intern, Strategi Anti
Fraud, Hukum dan Kepatuhan.
 3. Kebijakan pengawasan eksternal
Pengawasan eksternal dilakukan oleh auditor eksternal dan BPK/BPKP sesuai dengan
ketentuan yang berlaku.
Road Map SPI dalam 3 tahun ke depan untuk meningkatkan
tingkat kematangan
 Implementasi pedoman audit internal secara menyeluruh (penerapan metodologi risk
based audit dalam pelaksanaan pekerjaan audit);
 Implementasi sistem manajemen audit (eRBAS) secara menyeluruh;
 Program pengembangan kompetensi auditor internal melalui sertifikasi internasional
khususnya CIA dan CISA dan Program rekrutmen/outsourcing auditor profesional;
 Kolaborasi dan alignment dengan fungsi manajemen risiko untuk meningkatkan kualitas
informasi risiko dan efektivitas pengendalian oleh risk owner termasuk melaksanakan
review atas efektivitas fungsi manajemen risiko Perusahaan;
 Penyusunan rencana audit tahunan berbasis risiko untuk periode 3 tahun dan
dimutakhirkan setiap tahunnya (rolling 3-years annual internal audit plan);
 Pelaksanaan penjaminan mutu atas setiap penugasan audit dengan melibatkan fungsi
penjaminan kualitas secara terpusat;
 Pengembangan struktur organisasi yang mendukung penguatan kompetensi auditor
internal di setiap proses bisnis utama Perusahaan (Pembangkitan, Transmisi, Distribusi
dan Korporasi);
 Penguatan fungsi Audit TI baik melalui pengembangan kompetensi staf melalui
sertifikasi dan outsourcing pihak independen;
 Pengembangan jasa konsultasi yang lebih intensif.
Kerangka Kompetensi Auditor Internal
Peningkatan dan Inovasi

Transfer Auditor Internal

Ketrampilan Auditor

Komunikasi Persuasi
Dan Kolaborasi Berpikir Kritis

Keahlian Teknis

IPPF Tata Kelola, Risiko

& Kontrol Ketajaman Bisnis

Manajemen Audit Internal

Etika Profesional

Source: IIA Global

Ringkasan Tingkat Kematangan dari hasil External Assessment

Ringkasan Eksekutif
5

4
4 4 4 4 4 4
4
3
3 3
2.8
2.6 2.8 2.8
2 2.4

0
Quality Recruiting, On- Risk Execution of IA Use of Reporting and TOTAL
Assurance & Boarding & Staff Assessment & Methodology Information Monitoring
Improvement Development Annual Audit Technology
Program Planning

SPI PLN Best Practice

Angka-angka diatas mencerminkan tingkat kematangan fungsi SPI dibandingkan dengan best practice untuk
fungsi audit internal dalam organisasi pada umumnya.
Metodologi RBIA
Risk Based Internal Auditing (RBIA)

What is Risk Based Internal Auditing? (source IIA definition)

Links internal
auditing to the
Methodology overall risk
management
framework

Provide assurance to
the Board that the
risk management
process are
managing risk
effectively in relation
to the risk appetite
Stages of Implementation RBIA
Langkah dalam mengimplementasikan RBIA
Tahap 1: Menilai kematangan risiko

Memperoleh gambaran sejauh mana dewan dan manajemen menentukan, menilai, mengelola dan
memantau risiko. Ini memberikan indikasi keandalan daftar risiko untuk tujuan perencanaan audit.

Tahap 2: Perencanaan audit periodik

Mengidentifikasi tugas dan konsultasi untuk jangka waktu tertentu, dengan mengidentifikasi dan
memprioritaskan semua area di mana manajemen memerlukan keandalan yang obyektif, termasuk di
dalamnya proses manajemen risiko, manajemen risiko utama, dan pencatatan dan pelaporan risiko.

Tahap 3: Penugasan audit

Melaksanakan audit individu berbasis risiko untuk memberikan jaminan kepada bagian struktur
manajemen risiko, termasuk didalanya mitigasi per individu beberapa risiko.
Keuntungan RBIA untuk Pelaporan BOD

Audit internal dapat memberikan kewajaran penilaian kepada BOD

Proses manajemen risiko, baik desain maupun aktual aktivitas

Pengelolaan pada risiko utama, termasuk efektivitas

pengendalian dan langkah mitigasi lainnya

Pelaporan dan klasifikasi risiko yang lengkap, akurat dan tepat

Metodologi Audit Internal
Protiviti’s Internal Audit Methodology
Standard &
Frameworks
IIA Standards & Professional Frameworks

Internal Audit Internal Audit Organization Internal Audit Methodologies,

Infrastructure Value Drivers Stakeholder
Charter & Policies Structure & People Processes and Technologies Expectations

Strategic Operational Financial Compliance

Risk Identify Map Risks Prioritize Identify

Consider Risk Rank and Determine Consider
Assessment Audit Business Business
Change Audit Units Final Risk Change
& Planning Universe Risks Risks
Assessment

Create Audit Plan

Project Management, Supervision & Review

Understand Perform Plan Understand Evaluate Test

Activities & Design
Validate Report Follow-Up
Project Risk Project & Analyze Operating
Project Objectives Assessment Activity Effectiveness Effectiveness Findings Results on findings
Execution

Oversight Insight Foresight

Stakeholder
Periodic Reporting & Issue Tracking to Management and Audit Committee
Reporting

Continuous Continuous Monitoring of Internal Audit Function Quality

Improvement External Quality Assessment Internal Quality Assessment Internal Audit Performance Measurement

Add Value
Return on Internal Audit Investment
1. Engagement Planning
Engagement Planning: Memahami Aktivitas & Tujuan dan Melakukan Penilaian
Risiko Awal

Memahami kegiatan dan tujuan penugasan

Menilai apakah telah ada perubahan yang

signifikan di / penambahan pada risiko yang
dipertimbangkan dalam CWRA dan, jika demikian,
mempertimbangkan dampaknya pada penugasan

Melakukan penilaian risiko pada penugasan untuk

mengidentifikasi area risiko yang lebih tinggi untuk
penugasan tersebut, yang melibatkan IT / spesialis
lain, dan kegiatan IA lainnya di bidang terkait.
Cara Memahami Aktivitas & Tujuan?
 Apa tujuan bisnis yang relevan?
 Apa proses / sistem yang digunakan dalam mencapai tujuan
tersebut?
− Process / sub-process input
− Process / sub-process output
− Process / sub-process linkage / order
− Staffing and management of the process / sub-process
 Apa saja risiko utama yang mempengaruhi pencapaian tujuan
tersebut?
 Kontrol apa yang berjalan untk mengurangi risiko tersebut ?
Memprioritaskan Risiko

 Risiko
o Signifikasi
o Kemungkinan Inherent
 Faktor-faktor yang akan mempengaruhi scoping kami
berikutnya:
o Efektivitas kontrol
o Toleransi risiko (kesediaan untuk menerima risiko)
o Sejauh mana risiko dapat dikelola
o Sejauh mana proses dan kontrol yang relevan diaudit
Beberapa pertanyaan untuk Risk Assessment
Apakah sudah mempertimbangkan kesalahan yang signifikan, kecurangan, pelanggaran,
dan eksposur lainnya ketika mengembangkan perencanaan tujuan?

Apakah sudah mempertimbangkan aspek kuantitatif, yaitu eksposur keuangan untuk aset
dan keuangan?

Apakah sudah mempertimbangkan aspek kualitatif, yaitu fokus manajemen;

materialitas keuangan; persyaratan peraturan; temuan audit tahun sebelumnya dan profil
risiko ERM?

Apakah sudah menilai auditable area (unit bisnis, proses,

lokasi) menggunakan kriteria sebagai berikut

Tingkat perputaran karyawan Kompleksitas sistem

Laporan keuangan Aset / operasi yang berada di multilokasi

Komentar auditor eksternal Historis penilaian kinerja

Engagement Planning: Planning Project

• Lengkapi Perencanaan Pelaksanaan penugasan

Internal Audit dan harus dapat persetujuan sebelum
pekerjaan dimulai
• Siapkan perencanaan dan memo scoping
• Tentukan sumber daya untuk penugasan audit
• Libatkan IT dan spesialis lain dalam perencanaan
• Pertimbangkan audit berbasis teknologi dan teknik
analisis data
• Mengembangkan program kerja sesuai dengan
dokumentasi perencanaan dan dapatkan
persetujuan
• Melakukan entry dan exit meeting serta mengirim
surat pemberitahuan pemeriksaan
Plan Project
Manajemen Proyek, Pengawasan dan Review
o Mengidentifikasi dan menjadwalkan sumber daya (termasuk spesialis)

o Orientasi anggota tim baru

o Mereview dan menyetujui perubahan lingkup dan mempersiapkan

Memo Perubahan Lingkup atau merevisi Memo Perencanaan

Anggaran Belanja
o Mengidentifikasi tugas pokok dan mengalokasikan sumber daya serta
waktu yang dianggarkan (termasuk review)
o Update secara teratur mencata waktu aktual yang telah digunakan

o Mengidentifikasi dan menjelaskan selisih anggaran dan aktual

2. Walkthrough - Understand &
Analyze Activity
Understand & Analyze Activity

• Mendokumentasikan kegiatan yang sedang diperiksa

• Validasi dokumentasi dengan pemilik proses sebelum mengevaluasi efektivitas desain
• Mendokumentasikan proses secara rinci untuk memungkinkan orang lain memahami, mengevaluasi
serta melakukan tes desain untuk efektivitas operasional
• Dokumentasikan wawancara jika merupakan salah satu bukti audit
• Gunakan SOD Matrix
• Siapkan Risk Control Matrix
• Pertimbangkan risiko kecurangan dan kontrol apa untuk mencegahnya, dan membuat rencana
analisis dan test deteksi terbatas
• Bukti dalam kertas :
a. Perencanaan dan pengawasan
b. Proses dan kontrol terkait (jika ada) yang telah dievaluasi
c. Sifat, waktu, aktivitas evaluasi yang dilakukan (dan bukti yang diperoleh), dan hasil evaluasi
serta kesimpulan yang ditarik
d. Identifikasi orang yang melakukan evaluasi
Memahami proses / sub-proses: FAQs
Pertanyaan Sumber
 Apa langkah-langkah utama?  Wawancara
 Siapa personil utama?  Peta proses
 Sistem apa yang digunakan?  Peta sistem
 Apa saja indikator kinerja  Kebijakan dan prosedur
utama?  Penelitian industri
 Apa keluaran pekerjaan utama?  Laporan audit tahun
 Laporan apa yang dihasilkan? sebelumnya
Kapan?  Industri dan ahli subjek
 Bagaimana hubungan proses ini
dengan tujuan entitas (strategis,
operasi, pelaporan keuangan
dan kepatuhan)?
Konfirmasi & dokumentasi proses / sub-proses
• Diskusikan ruang ligkup dengan manajemen yang relevan dan staf
utama.

• Perhatikan kelompok kegiatan tersebut dan dokumentasikan, bedakan

antara:

o Proses alur

o Aktivitas pengendalian

• Dokumentasi proses biasanya kombinasi dari narasi dan diagram

proses bisnis.

• Konfirmasi pemahaman Anda dengan melakukan ‘walkthrough’ dari

satu aktifitas, membandingkan kegiatan / dokumen terhadap narasi
dan diagram yang telah Anda siapkan.
Konfirmasi & dokumentasi proses / sub-proses

• Narasi:

o Catatan kegiatan utama saja (yaitu, abaikan kegiatan yang

tidak relevan untuk memahami proses).

o Pastikan bahwa narasi mudah diikuti dan dipahami.

• Diagram proses bisnis:

o Gunakan simbol standar secara konsisten.

o Untuk proses yang kompleks, pertimbangkan

mempersiapkan diagram ini dengan tiga tingkat ...
Konfirmasi & dokumentasi proses / sub-proses

• Diagram proses bisnis...

o Level 1 - Proses ini ditampilkan sebagai rangkaian balok,

satu balok per sub-proses.

o Level 2 - Setiap sub-proses ditampilkan sebagai rangkaian

terkait blok, satu blok per bidang kegiatan.

o Level 3 - Setiap daerah kegiatan ditampilkan sebagai

rangkaian simbol:

CA
Process Decision Softcopy
Hardcopy
3
Control
Flow activity
Mendokumentasikan kegiatan pengendalian
• Hanya mendokumentasikan kontrol yang alamat risiko relevan dengan
proses-lingkup
• Dokumentasi kegiatan pengendalian harus mencakup:
 Who
Siapa fungsi yang melakukan aktivitas pengendalian?

 What
Apa itu aktivitas pengendalian (yang menggambarkan ini adalah orang yang
kompeten dengan proses yang sama di perusahaan dan dapat memahami
bagaimana aktivitas pengendalian bekerja)?

 When
Kapan/ seberapa sering aktivitas pengendalian dilakukan?

 Evidence
Apa bukti yang akan tersedia untuk review yang akan mengkonfirmasi kontrol
kegiatan operisonal?
Mendokumentasikan kegiatan pengendalian
• Mendokumentasikan proses secara rinci untuk memungkinkan orang
lain memahami dan mengevaluasi desain kontrol utama dan melakukan
Test of Operating Effectiveness.
• Dokumentasikan wawancara sebagai salah satu bukti audit
• Gunakan hasil analisa Segregation of Duties (menggunakan
pendekatan CARS)
• Siapkan Risk Control Matrix
• Pertimbangkan risiko kecurangan dan kontrol untuk mencegahnya, dan
rencanakan limited detection test.
Segregation of Duties
• C - Custody of assets
• A - Authorization of transactions
• R - Recording of transactions
Setiap aspek CAR harus independen dari yang lain
• S - Supervision by management

Supaya SoD memadai, semua poin di atas harus ditangani secara

memadai.
Catatan: Kolusi antara orang-orang yang bertanggung jawab atas
apapun di atas akan menghancurkan kerangka SoD
Risiko dan Kontrol Matrix
 Tujuan proses
 Nomor risiko dan deskripsi
 Nomor kontrol dan deskripsi
 Pemilik kontrol
 Sifat kontrol
− Frekuensi
− Manual atau Otomatis
− Preventif atau Detektif
− Primer atau Sekunder
 Penilaian efektivitas pengendalian: Awal & Akhir
3. Walkthrough -
Evaluate Design
Effectiveness
Evaluate Design Effectiveness

Tentukan apakah kontrol sudah efektif menggunakan RCM

Libatkan spesialis IT dan spesialis lainnya dengan pengetahuan proses / industri yang lebih baik jika diperlukan

Perkaya informasi tentang kontrol melalui kegiatan konsultasi

Gunakan tujuan pengendalian umum saat mendokumentasikan dan mengevaluasi proses bisnis keuangan:

Kelengkapan Kejadian
Ketepatan
Alokasi Hak dan kewajiban
Penilaian
Penyajian dan pengungkapan Kepatuhan terhadap kebijakan keuangan

Melaporkan seluruh defisiensi kontrol namun tetap menyerahkan kepada manajemen untuk menentukan tindakan apa atau
langkah-langkah perbaikan yang harus diambil
Penilaian Efektivitas Kontrol

Kontrol yang efektif memberikan jaminan bahwa risiko bisnis

dapat dikurangi ke tingkat yang dapat diterima.
Agar efektif, kontrol harus:
• Benar (efektif) dirancang untuk mengurangi risiko tertentu dan
• Berjalan sesuai dengan rancangan
Auditor internal mengevaluasi desain dan efektivitas operasi
pengendalian.

Secara umum, tidak ada gunanya dalam pengujian efektivitas operasi dari
kontrol yang telah dirancang dengan tidak benar.
Relative Strength of Controls

Kelemahan Kekuatan
Kontrol manual Kontrol otomatis
Dilakukan oleh personel junior Dilakukan oleh personil senior
Kontrol detektif Kontrol preventif
Satu kontrol Beberapa kontrol
Kompleks: banyak langkah Sederhana: satu langkah
Tingkat Tinggi Tingkat transaksional
Menggunakan Sampling Test 100%
Berlangsung kemudian Dilakukan real time
Karakteristik desain
 Kontrol yang efektif harus:
 Relevan dengan risiko sedang dikaji
 Dilakukan cukup sering
 Dilakukan oleh personel dengan pengetahuan dan pengalaman
yang memadai
 Dilakukan independen independen sesuai pedoman SOD (Gunakan
pendekatan CARS)
 Mampu mengidentifikasi dan memperbaiki kesalahan dalam
kegiatan operasional secara tepat waktu
 Berdasarkan informasi yang terpercaya
 Efisien
Mengevaluasi Kontrol
Tujuan dari evaluasi adalah untuk menilai apakah risiko yang ada
telah dimitigasi melalui kontrol yang telah di desain serta
dijalankan dengan baik.
 Keyakinan memadai berarti kemungkinan terjadinya kecil
 Tidak signifikan berarti kerugian atau kesalahan berada pada
tingkat yang dapat diterima dari sudut pandang biaya dan
tidak signifikan terhadap pencapaian tujuan (keuangan,
operasional atau kepatuhan)
Panduan dalam Mengevaluasi Kontrol
Sebuah Risiko dan Kontrol Matrix diperlukan untuk mengevaluasi kontrol
karena:
 Seluruh proses harus diperhatikan, karena sedang mengevaluasi
proses.
 Banyak proses memiliki banyak kegiatan kontrol dan memerlukan
ringkasan.
 Kontrol harus diperiksa untuk setiap jenis risiko atau kontrol kategori;
jika tidak, kontrol yang memadai untuk setiap risiko tidak bisa
dipastikan.
 Kompensasi kontrol harus dipertimbangkan ketika kontrol yang
biasanya dilakukan tidak ada.
 Sulit untuk dikonsep tanpa matriks.

 Memberikan dasar untuk menentukan masalah.

4. Test of Operating
Effectiveness
Test of Operating Effectiveness

Siapkan rencana untuk pengujian di kertas kerja

Menguji semua kontrol dalam RCM, kecuali terdapat kesepakatan lain

Gunakan ukuran sampel yang ditentukan dalam SOP untuk kontrol manual

Masukan inspection dan reperformance dalam pengujian, dan libatkan spesialis IT di

saat pengujian

Konsultasikan sebelum menggunakan sampling statistik

Rencana Pengujian

 Pengujian rencana yang baik:

 Dapat menguji berbagai kontrol
 Mengidentifikasi populasi untuk pengujian
 Menentukan metode pemilihan sampel, dan bila perlu, menentukan
sumber laporan / data yang akan digunakan sehingga data sampel
diambil dari sumber-sumber yang valid
 Menentukan ukuran sampel
 Menjelaskan setiap langkah yang auditor harus lakukan
Jenis Pengujian
Nature Explanation
Inquiry Ascertain whether a
control is in place by
asking specific oral or
written questions
Observation Direct viewing of control
being performed
Inspection/ The inspection of records,
Examination documents,
reconciliations, and
reports for evidence that a
control has been properly
applied.
Re- The repetition of a control
performance performed by an
employee or a computer
or system.
Documentation Requirements
Who was interviewed, when the
interview took place and
information they provided
Who, when & what was observed
Who, when & what. Details of
items tested. Level of detail must
be sufficient to support conclusion
and allow someone else to re-
perform your test.
What & how. Details of items
tested. Level of detail must be
sufficient to support conclusion
and allow someone else to re-
perform your test.
Examples
Interview key personnel to
understand the controls
surrounding a particular
process
Automated: Observe all field
edit check works when
invalid data entered
Manual: Security of blank
check stock
Select a sample of contracts
and verify that key controls
were performed:
• Contract was signed
(Validity)
• All key fields were
completed (Completeness)
• Recalculating a bank
reconciliation, tracing back
to bank statements, and
general ledger balance
Mendokumentasikan Hasil Pengujian
 Kertas kerja harus :
 Mengidentifikasi penugasan dan menggambarkan isi atau tujuan dari
kertas kerja
 Diparaf dan diberi tanggal oleh auditor internal yang melakukan
pekerjaan dan mengandung bukti supervisory review
 Berisi jumlah indeks atau referensi
 Memasukan atribut hasil pengujian (sebaiknya "ya" atau "tidak") dengan
komentar yang diperlukan
 Kesimpulan dari pekerjaan yang dilakukan
 Sumber data harus diidentifikasi secara jelas.
Memahami Hasil Pengujian

 Apa yang kita temukan? Kondisi

 Apa yang kita harapkan untuk temukan? Kriteria
 Mengapa terjadi / apa penyebabnya ? Penyebab
 Mengapa yang kami temukan penting? Konsekuensi
 Bagaimana manajemen dapat
Tindakan Perbaikan
memperbaikinya?
Menganalisis Risiko dan Pengendalian
Tujuan Analisis
• Temuan yang didukung bukti yang memadai
• Temuan rinci yang sesuai dengan tujuan penugasan
• Sebagai pendukung untuk rekomendasi

Bahan Pertimbangan
Untuk setiap risiko yang kita menganalisa, kita harus mempertimbangkan:
• Kontrol yang ada
• Apakah kontrol dirancang secara memadai
• Apakah kontrol berjalan dengan efektif
• Kesenjangan yang ada
Implementasi RBIA
pada PLN
 SPA Audit Internal
SPA Penyusunan PKPT
SPA Utilisasi Waktu Kerja

SPA Survei Kepuasan Auditee

SPA Perencanaan,

SPA Survei Kepuasan Auditor

Pelaksanaan, SPA IT Audit SPA Audit Khusus
Pelaporan Audit

SPA Penentuan Sampel Audit

SPA Layanan
SPA Pemantauan Tindak Lanjut & Konsultasi
Rekomendasi Hasil Audit

SPA Quality Assurance & Improvement Program

SPA Pelaporan Kegiatan Fungsi IA dengan Manajemen

SPA Kegiatan Marketing IA

SPA Knowledge Management

SPA Audit Internal - PO

Perencanaan Audit

Pelaksanaan Audit

Pelaporan Audit

Monitoring Pelaksanaan
Tindak Lanjut Audit
 Monitoring
Perencanaan Audit Pelaksanaan Audit Pelaporan Audit Pelaksanaan Tindak
Lanjut Audit

Aktivitas Utama Aktivitas Utama Aktivitas Utama Aktivitas Utama

• Surat Tugas * • Dokumentasi • LHA * • Tindak lanjut LHA oleh

• PKA * Walkthrough (NWD, • Tanggapan LHA dari Auditee *
• Expose PKA BPM, SOD) Auditee • Monitoring dan
• Permintaan dokumen • Identifikasi Risiko & • Finalisasi LHA * persetujuan atas tindak
kepada Auditee Kontrol Utama * • Final Meeting lanjut LHA *
• Pengumpulan dokumen • Revisi Audit Program * • Expose Summary LHA
dari Auditee • Test of Design (ToD) * Dirut dan Komite Audit
• Entry Meeting • Test of Effectiveness • Surat Pengantar dari
(ToE) * Dirut agar Auditee
• KKA (Area of menindaklanjuti LHA
Improvement dan
Rekomendasi) *

* Dilakukan pada sistem eRBAS

 Perencanaan Audit

Pelaksanaan Audit

Pelaporan Audit

Perencanaan Audit Monitoring Pelaksanaan

Tindak Lanjut Audit

Dalam proses perencanaan audit yang berbasis risiko, beberapa

perubahan dari proses sebelumnya, adalah sbb:
1. Surat Tugas
Pada surat tugas, ruang lingkup audit sudah dijabarkan per proses
bisnis. Proses bisnis ini didasarkan pada risk profile yang telah
disusun oleh MRO dan professional judgement SPI.
2. Permintaan Dokumen untuk analisa awal
Dokumen yang diminta menjadi lebih terarah dan didasarkan pada
proses bisnis yang menjadi cakupan audit.
3. Entry Meeting
Bersamaan dengan Entry Meeting akan dilakukan walkthrough yang
harus dilakukan oleh level setingkat manager senior yang melakukan
proses bisnis yang menjadi cakupan audit.
 Perencanaan Audit

Pelaksanaan Audit

Pelaksanaan Audit Pelaporan Audit

Monitoring Pelaksanaan
Tindak Lanjut Audit

Dalam proses pelaksanaan audit yang berbasis risiko, beberapa

perubahan dari proses sebelumnya, adalah sbb:
1. Walkthrough
Auditor akan menyiapkan dokumentasi walkthrough (NWD, BPM &
SoD) yang membutuhkan konfirmasi tertulis dari auditee setingkat
manager senior. Dokumentasi tersebut akan dipergunakan kembali
dan disesuaikan jika terdapat perubahan pada saat melakukan audit
pada unit kerja yang sama tahun berikutnya.
2. Test of Design
Auditor akan memastikan terdapat kontrol yang telah didesain untuk
memitigasi risiko yang terdapat pada proses bisnis. Risiko dan
kontrol utama ini (RCM) membutuhkan konfirmasi tertulis dari
auditee setingkat manager senior.
 Perencanaan Audit

Pelaksanaan Audit

Pelaksanaan Audit Pelaporan Audit

Monitoring Pelaksanaan
Tindak Lanjut Audit

2. Test of Design (ToD)

Pengujian atas kontrol dilakukan terhadap 1 sampel dokumen
lengkap dari keseluruhan proses bisnis (end to end) yang dimiliki
auditee yang berkaitan dengan kontrol yang diuji. Berdasarkan hasil
pengujian ToD, Auditor akan menarik kesimpulan atas design kontrol
yang selama ini telah dijalankan oleh auditee.
 Perencanaan Audit

Pelaksanaan Audit

Pelaksanaan Audit Pelaporan Audit

Monitoring Pelaksanaan
Tindak Lanjut Audit

3. Test of Effectiveness (ToE)

Auditor akan melakukan pengujian atas kontrol utama dengan
mempertimbangkan:
 Kelengkapan dan keakurasian populasi dari dokumen/data sesuai
dengan kontrol yang diuji;
 Kebutuhan akan Stratifikasi atas ukuran populasi;
 Periode pengujian;
 Penentuan ukuran sampel berdasarkan frekuensi aktivitas
kontrol;
 Materialitas dan Toleransi Kesalahan.
Berdasarkan hasil pengujian ToE, Auditor akan menarik kesimpulan
atas efektivitas kontrol yang selama ini telah dijalankan oleh auditee
(istilah “Issue” akan diganti menjadi “Area of Improvement”).
 Perencanaan Audit

Pelaksanaan Audit

Pelaporan Audit Pelaporan Audit

Monitoring Pelaksanaan
Tindak Lanjut Audit

Dalam proses pelaporan audit yang berbasis risiko, beberapa perubahan

dari proses sebelumnya, adalah sbb:
1. Seluruh area of improvement dicatat pada sistem eRBAS oleh
masing-masing Anggota Tim, namun belum tentu seluruh area of
improvement tersebut masuk dalam LHA.
2. Untuk area of improvement Unit Pelaksana dan atau Unit Induk yang
harus ditindaklanjuti oleh unit yang lebih tinggi (contoh: Divisi di
Kantor Pusat untuk Unit Induk dan atau Unit Induk untuk unit
pelaksana), Koordinator Tim dan atau KSPI akan mengirimkan
tembusannya kepada Direksi/Kepala Divisi/GM terkait.
3. Final LHA akan disampaikan kepada auditee pada saat Exit Meeting
dan dibuat 5 rangkap (Auditee, KSPI, Div MRO, Dirut, & Komite
Audit)
4. Dirut akan menyampaikan surat pengantar untuk menindaklanjuti
final LHA kepada auditee dengan tembusan Direksi terkait.
 Perencanaan Audit

Pelaksanaan Audit

Monitoring Pelaksanaan Tindak Lanjut Audit Pelaporan Audit

Monitoring Pelaksanaan
Tindak Lanjut Audit

Dalam proses tindak lanjut audit yang berbasis risiko, beberapa perubahan dari
proses sebelumnya, adalah sbb:
1. Setiap rekomendasi yang diberikan oleh auditor memiliki batas waktu untuk
ditindaklanjuti;
2. Auditee akan menerima notifikasi email yang berfungsi sebagai reminder
jika auditee belum menyelesaikan tindak lanjut atas rekomendasi yang
diberikan auditor dalam batas waktu yang telah ditentukan;
3. Monitoring status penyelesaian rekomendasi dari setiap area of
improvement oleh auditor dilakukan melalui sistem eRBAS. Setiap respon
yang dilakukan auditee dalam eRBAS akan memberikan notifikasi kepada
auditor untuk memonitor status tindak lanjut (Started -> Implemented ->
Implemented - Partial Client Approval -> Implemented Final Client Approval
-> Implemented Audit Approved);
4. Konfirmasi atas tindak lanjut yang dilakukan oleh auditee juga dilakukan
melalui sistem eRBAS;
5. Status penyelesaian tindak lanjut dapat dimonitor setiap waktu dalam
eRBAS oleh Dirut, Komite Audit & KSPI
Laporan Pelaksanaan
Joint Audit
Pelaksanaan Joint Audit
SPI telah melaksanakan Joint Audit bersama dengan Konsultan untuk melakukan audit
internal berbasis risiko berdasarkan Standar Prosedur Audit (SPA) Perencanaan, Pelaksanaan
dan Pelaporan Audit dan menggunakan aplikasi electronic Risk Based Audit System (eRBAS).

Skedul dan Sampel Joint Audit yang telah ditetapkan bersama mencakup:

No. Tim Audit Unit Unit Kerja/ Skedul Pelaksanaan

Regional Pelaksana/Area Proses Bisnis
1. Makasar Gorontalo Proyek 25 Februari – 17 April 2015
Kendari
Wangi-wangi
2. Bali Bali Selatan Distribusi 25 Februari – 17 April 2015
Denpasar
3. Bandung Majalaya Niaga 25 Februari – 17 April 2015
Karawang
Bekasi
Cianjur
4. Medan Belawan Pembangkitan 30 Maret – 22 Mei 2015

5. Pekanbaru Pekanbaru Transmisi 30 Maret – 22 Mei 2015

Medan
Point Perbaikan - Perencanaan

Hal-hal yang perlu diperhatikan:

• Kesulitan dalam melakukan mapping risiko

utama ke bisnis proses Bisprof serta
mendefinisikan aktivitas (bisnis proses level 5)
yang terdapat pada unit bisnis PLN;

• Expose meeting dengan KSPI dan atau Expert

untuk Unit Induk harus dilakukan untuk
mengidentifikasi apakah adanya tambahan
risiko utama/bisnis proses yang perlu dijadikan
scope audit;

• Revisi PKA harus dilakukan jika terdapat

tambahan risiko utama/bisnis proses setelah
expose meeting.
Point Perbaikan - Walkthrough
Hal-hal yang perlu diperhatikan:

1. BPM
• Bisnis proses yang digambarkan dalam BPM tidak sesuai
dengan bisnis proses yang telah ditentukan dalam PKA;
• Penggunaan simbol yang tidak standar;
• Penggambaran aktivitas pada bisnis proses yang tidak
“start to end” (input dari proses lain/mulai – aktivitas –
output ke proses lain/selesai);
• Tidak mencantumkan PIC yang mengerjakan aktivitas;
• Konfirmasi BPM tidak dilakukan dengan PIC yang tepat
sehingga BPM yang tergambarkan tidak sesuai dengan
kondisi yang sebenarnya terjadi (as is);
• Sebagian besar BPM belum ditandatangani oleh auditee
sebagai bukti persetujuan atas bisnis proses yang
sedang berjalan saat ini.
Point Perbaikan – Walkthrough (lanjutan)

2. NWD
• Nama PIC dan bagian yang dilakukan wawancara tidak
dimasukkan dalam NWD;
• Narasi yang dijabarkan dalam NWD tidak
sejalan/konsisten dengan aktivitas pada BPM.

3. SoD
• Pengisian SOD terkait PIC yang melakukan inisiasi,
otorisasi, pengolahan, pencatatan, dan pelaporan
tidak standard;
• Kesimpulan dari hasil analisa SOD tidak diisi.
Point Perbaikan – Walkthrough (lanjutan)
4. RCM

• Deskripsi risiko yang masih belum jelas;

• Identifikasi risiko utama dan kontrol utama masih
belum tepat;
• Definisi kontrol yang masih belum menjelaskan:
a. Siapa fungsi yang melakukan aktivitas
pengendalian?
b. Apa aktivitas pengendalian (yang
menggambarkan ini adalah orang yang
kompeten dengan proses yang sama di
perusahaan dan dapat memahami bagaimana
aktivitas pengendalian bekerja)?
c. Kapan/ seberapa sering aktivitas
pengendalian dilakukan?
d. Apa bukti yang akan tersedia untuk review
yang akan mengkonfirmasi kontrol kegiatan
operasional?
Point Perbaikan – Walkthrough (lanjutan)
4. RCM
• Pengisian atribut risiko dan kontrol pada eRBAS tidak
standar dan sesuai dengan RCM.
a. Tingkat dampak risiko (Tidak signifikan/minor/
medium/signifikan/malapetaka);
b. Tingkat kemungkinan risiko (Sangat
besar/besar/sedang/kecil/sangat kecil);
c. Frekuensi kontrol (Lebih dari sekali per
hari/harian/mingguan/bulanan/triwulanan/
semesteran/tahunan/setiap ada transaksi)
d. Metode kontrol (Otomatis/Semi
Otomatis/Manual);
5. Penomoran dan penamaan dokumentasi
walkthrough tidak standar
Point Perbaikan – Test of Design (ToD)
Hal-hal yang perlu diperhatikan:
1. ToD
• Sample dokumen yang diminta oleh auditor
tidak lengkap dan ‘end to end’;
• Pengisian atribut Area of Improvement ToD
masih belum lengkap
a. Penomoran kode AOI;
b. Pengkategorian AOI apakah akan menjadi
“Catatan untuk Auditee” atau “Area of
Improvement”.
• Area of Improvement ToD tidak didukung
dengan bukti/evidence.
Point Perbaikan – Test of Effectiveness (ToE)
2. ToE
• Pengisian atribut pada Template ToE tidak
lengkap:
a. Justifikasi kelengkapan jumlah populasi tidak
ada;
b. Justikasi pengambilan sampel tidak ada;
c. Referensi atas Sampel dokumen belum ada
dan standar;
d. Kesimpulan atas hasil evaluasi
operasionalisasi kontrol belum diisi.
• Informasi terkait area of improvement ToE belum
dijabarkan secara detail;
• KKA ToE masih belum menggunakan standar
template yang terdapat pada SOP.
Poin Perbaikan – LHA

Hal-hal yang perlu diperhatikan:

• Definisi area of improvement tidak secara jelas

menggambarkan penyebab kelemahan kontrol utama
yang dievaluasi;

• Penjabaran kondisi, sebab, kriteria dan dampak masih

belum terstruktur dan sejalan dengan area of
improvement-nya;

• Area of improvement harus dikonfirmasikan ke auditee

sebelum final meeting;

• Rekomendasi kontrol desain yang diusulkan harus dapat

diimplementasikan oleh manajemen auditee;

• Informasi terkait jumlah kontrol yang dilakukan evaluasi

harus disampaikan kepada manajemen auditee termasuk
hasil pengujiannya.