• Kebijakan Pengawasan
Pengawasan diimplementasikan dengan konsep 3 (tiga) garis
pertahanan/three lines of defense yaitu:
First Line of Defense
Second Line of Defense
Third Line of Defense
Kebijakan Pengawasan SPI
• Kebijakan Pengawasan SPI PLN terdiri dari:
1. Kebijakan pengendalian internal
Kebijakan pengendalian internal disusun dengan memperhatikan ruang lingkup sebagai
berikut:
Lingkungan pengendalian, contoh penerapan konsep three line of defense;
Pengkajian dan pengelolaan risiko usaha, contoh risk assessment terhadap aktivitas bisnis
Perseroan;
Aktivitas pengendalian yang dilaksanakan di setiap unit bisnis Perseroan, contoh kebijakan
pengawasan atasan langsung, dual control dsb;
Sistem informasi dan komunikasi, contoh informasi yang tersedia di dalam Data Ware
House (DWH);
Pemantauan, Evaluasi dan tindak lanjut atas aktivitas pengendalian intern, contoh kebijakan
penerapan perangkat manajemen risiko.
2. Kebijakan pengawasan internal
Kebijakan pengawasan internal antara lain meliputi kebijakan Audit Intern, Strategi Anti
Fraud, Hukum dan Kepatuhan.
3. Kebijakan pengawasan eksternal
Pengawasan eksternal dilakukan oleh auditor eksternal dan BPK/BPKP sesuai dengan
ketentuan yang berlaku.
Road Map SPI dalam 3 tahun ke depan untuk meningkatkan
tingkat kematangan
Implementasi pedoman audit internal secara menyeluruh (penerapan metodologi risk
based audit dalam pelaksanaan pekerjaan audit);
Implementasi sistem manajemen audit (eRBAS) secara menyeluruh;
Program pengembangan kompetensi auditor internal melalui sertifikasi internasional
khususnya CIA dan CISA dan Program rekrutmen/outsourcing auditor profesional;
Kolaborasi dan alignment dengan fungsi manajemen risiko untuk meningkatkan kualitas
informasi risiko dan efektivitas pengendalian oleh risk owner termasuk melaksanakan
review atas efektivitas fungsi manajemen risiko Perusahaan;
Penyusunan rencana audit tahunan berbasis risiko untuk periode 3 tahun dan
dimutakhirkan setiap tahunnya (rolling 3-years annual internal audit plan);
Pelaksanaan penjaminan mutu atas setiap penugasan audit dengan melibatkan fungsi
penjaminan kualitas secara terpusat;
Pengembangan struktur organisasi yang mendukung penguatan kompetensi auditor
internal di setiap proses bisnis utama Perusahaan (Pembangkitan, Transmisi, Distribusi
dan Korporasi);
Penguatan fungsi Audit TI baik melalui pengembangan kompetensi staf melalui
sertifikasi dan outsourcing pihak independen;
Pengembangan jasa konsultasi yang lebih intensif.
Kerangka Kompetensi Auditor Internal
Peningkatan dan Inovasi
Ketrampilan Auditor
Komunikasi Persuasi
Dan Kolaborasi Berpikir Kritis
Keahlian Teknis
Etika Profesional
Ringkasan Eksekutif
5
4
4 4 4 4 4 4
4
3
3 3
2.8
2.6 2.8 2.8
2 2.4
0
Quality Recruiting, On- Risk Execution of IA Use of Reporting and TOTAL
Assurance & Boarding & Staff Assessment & Methodology Information Monitoring
Improvement Development Annual Audit Technology
Program Planning
Angka-angka diatas mencerminkan tingkat kematangan fungsi SPI dibandingkan dengan best practice untuk
fungsi audit internal dalam organisasi pada umumnya.
Metodologi RBIA
Risk Based Internal Auditing (RBIA)
Links internal
auditing to the
Methodology overall risk
management
framework
Provide assurance to
the Board that the
risk management
process are
managing risk
effectively in relation
to the risk appetite
Stages of Implementation RBIA
Langkah dalam mengimplementasikan RBIA
Tahap 1: Menilai kematangan risiko
Memperoleh gambaran sejauh mana dewan dan manajemen menentukan, menilai, mengelola dan
memantau risiko. Ini memberikan indikasi keandalan daftar risiko untuk tujuan perencanaan audit.
Mengidentifikasi tugas dan konsultasi untuk jangka waktu tertentu, dengan mengidentifikasi dan
memprioritaskan semua area di mana manajemen memerlukan keandalan yang obyektif, termasuk di
dalamnya proses manajemen risiko, manajemen risiko utama, dan pencatatan dan pelaporan risiko.
Melaksanakan audit individu berbasis risiko untuk memberikan jaminan kepada bagian struktur
manajemen risiko, termasuk didalanya mitigasi per individu beberapa risiko.
Keuntungan RBIA untuk Pelaporan BOD
Stakeholder
Periodic Reporting & Issue Tracking to Management and Audit Committee
Reporting
Add Value
Return on Internal Audit Investment
1. Engagement Planning
Engagement Planning: Memahami Aktivitas & Tujuan dan Melakukan Penilaian
Risiko Awal
Risiko
o Signifikasi
o Kemungkinan Inherent
Faktor-faktor yang akan mempengaruhi scoping kami
berikutnya:
o Efektivitas kontrol
o Toleransi risiko (kesediaan untuk menerima risiko)
o Sejauh mana risiko dapat dikelola
o Sejauh mana proses dan kontrol yang relevan diaudit
Beberapa pertanyaan untuk Risk Assessment
Apakah sudah mempertimbangkan kesalahan yang signifikan, kecurangan, pelanggaran,
dan eksposur lainnya ketika mengembangkan perencanaan tujuan?
Apakah sudah mempertimbangkan aspek kuantitatif, yaitu eksposur keuangan untuk aset
dan keuangan?
Anggaran Belanja
o Mengidentifikasi tugas pokok dan mengalokasikan sumber daya serta
waktu yang dianggarkan (termasuk review)
o Update secara teratur mencata waktu aktual yang telah digunakan
o Proses alur
o Aktivitas pengendalian
• Narasi:
CA
Process Decision Softcopy
Hardcopy
3
Control
Flow activity
Mendokumentasikan kegiatan pengendalian
• Hanya mendokumentasikan kontrol yang alamat risiko relevan dengan
proses-lingkup
• Dokumentasi kegiatan pengendalian harus mencakup:
Who
Siapa fungsi yang melakukan aktivitas pengendalian?
What
Apa itu aktivitas pengendalian (yang menggambarkan ini adalah orang yang
kompeten dengan proses yang sama di perusahaan dan dapat memahami
bagaimana aktivitas pengendalian bekerja)?
When
Kapan/ seberapa sering aktivitas pengendalian dilakukan?
Evidence
Apa bukti yang akan tersedia untuk review yang akan mengkonfirmasi kontrol
kegiatan operisonal?
Mendokumentasikan kegiatan pengendalian
• Mendokumentasikan proses secara rinci untuk memungkinkan orang
lain memahami dan mengevaluasi desain kontrol utama dan melakukan
Test of Operating Effectiveness.
• Dokumentasikan wawancara sebagai salah satu bukti audit
• Gunakan hasil analisa Segregation of Duties (menggunakan
pendekatan CARS)
• Siapkan Risk Control Matrix
• Pertimbangkan risiko kecurangan dan kontrol untuk mencegahnya, dan
rencanakan limited detection test.
Segregation of Duties
• C - Custody of assets
• A - Authorization of transactions
• R - Recording of transactions
Setiap aspek CAR harus independen dari yang lain
• S - Supervision by management
Libatkan spesialis IT dan spesialis lainnya dengan pengetahuan proses / industri yang lebih baik jika diperlukan
Gunakan tujuan pengendalian umum saat mendokumentasikan dan mengevaluasi proses bisnis keuangan:
Kelengkapan Kejadian
Ketepatan
Alokasi Hak dan kewajiban
Penilaian
Penyajian dan pengungkapan Kepatuhan terhadap kebijakan keuangan
Melaporkan seluruh defisiensi kontrol namun tetap menyerahkan kepada manajemen untuk menentukan tindakan apa atau
langkah-langkah perbaikan yang harus diambil
Penilaian Efektivitas Kontrol
Secara umum, tidak ada gunanya dalam pengujian efektivitas operasi dari
kontrol yang telah dirancang dengan tidak benar.
Relative Strength of Controls
Kelemahan Kekuatan
Kontrol manual Kontrol otomatis
Dilakukan oleh personel junior Dilakukan oleh personil senior
Kontrol detektif Kontrol preventif
Satu kontrol Beberapa kontrol
Kompleks: banyak langkah Sederhana: satu langkah
Tingkat Tinggi Tingkat transaksional
Menggunakan Sampling Test 100%
Berlangsung kemudian Dilakukan real time
Karakteristik desain
Kontrol yang efektif harus:
Relevan dengan risiko sedang dikaji
Dilakukan cukup sering
Dilakukan oleh personel dengan pengetahuan dan pengalaman
yang memadai
Dilakukan independen independen sesuai pedoman SOD (Gunakan
pendekatan CARS)
Mampu mengidentifikasi dan memperbaiki kesalahan dalam
kegiatan operasional secara tepat waktu
Berdasarkan informasi yang terpercaya
Efisien
Mengevaluasi Kontrol
Tujuan dari evaluasi adalah untuk menilai apakah risiko yang ada
telah dimitigasi melalui kontrol yang telah di desain serta
dijalankan dengan baik.
Keyakinan memadai berarti kemungkinan terjadinya kecil
Tidak signifikan berarti kerugian atau kesalahan berada pada
tingkat yang dapat diterima dari sudut pandang biaya dan
tidak signifikan terhadap pencapaian tujuan (keuangan,
operasional atau kepatuhan)
Panduan dalam Mengevaluasi Kontrol
Sebuah Risiko dan Kontrol Matrix diperlukan untuk mengevaluasi kontrol
karena:
Seluruh proses harus diperhatikan, karena sedang mengevaluasi
proses.
Banyak proses memiliki banyak kegiatan kontrol dan memerlukan
ringkasan.
Kontrol harus diperiksa untuk setiap jenis risiko atau kontrol kategori;
jika tidak, kontrol yang memadai untuk setiap risiko tidak bisa
dipastikan.
Kompensasi kontrol harus dipertimbangkan ketika kontrol yang
biasanya dilakukan tidak ada.
Sulit untuk dikonsep tanpa matriks.
Gunakan ukuran sampel yang ditentukan dalam SOP untuk kontrol manual
Inquiry Ascertain whether a Who was interviewed, when the Interview key personnel to
control is in place by interview took place and understand the controls
asking specific oral or information they provided surrounding a particular
written questions process
Observation Direct viewing of control Who, when & what was observed Automated: Observe all field
being performed edit check works when
invalid data entered
Manual: Security of blank
check stock
Inspection/ The inspection of records, Who, when & what. Details of Select a sample of contracts
Examination documents, items tested. Level of detail must and verify that key controls
reconciliations, and be sufficient to support conclusion were performed:
reports for evidence that a and allow someone else to re- • Contract was signed
control has been properly perform your test. (Validity)
applied. • All key fields were
completed (Completeness)
Re- The repetition of a control What & how. Details of items • Recalculating a bank
performance performed by an tested. Level of detail must be reconciliation, tracing back
employee or a computer sufficient to support conclusion to bank statements, and
or system. and allow someone else to re- general ledger balance
perform your test.
Mendokumentasikan Hasil Pengujian
Kertas kerja harus :
Mengidentifikasi penugasan dan menggambarkan isi atau tujuan dari
kertas kerja
Diparaf dan diberi tanggal oleh auditor internal yang melakukan
pekerjaan dan mengandung bukti supervisory review
Berisi jumlah indeks atau referensi
Memasukan atribut hasil pengujian (sebaiknya "ya" atau "tidak") dengan
komentar yang diperlukan
Kesimpulan dari pekerjaan yang dilakukan
Sumber data harus diidentifikasi secara jelas.
Memahami Hasil Pengujian
Bahan Pertimbangan
Untuk setiap risiko yang kita menganalisa, kita harus mempertimbangkan:
• Kontrol yang ada
• Apakah kontrol dirancang secara memadai
• Apakah kontrol berjalan dengan efektif
• Kesenjangan yang ada
Implementasi RBIA
pada PLN
SPA Audit Internal
SPA Penyusunan PKPT
SPA Utilisasi Waktu Kerja
Perencanaan Audit
Pelaksanaan Audit
Pelaporan Audit
Monitoring Pelaksanaan
Tindak Lanjut Audit
Monitoring
Perencanaan Audit Pelaksanaan Audit Pelaporan Audit Pelaksanaan Tindak
Lanjut Audit
Pelaksanaan Audit
Pelaporan Audit
Pelaksanaan Audit
Monitoring Pelaksanaan
Tindak Lanjut Audit
Pelaksanaan Audit
Monitoring Pelaksanaan
Tindak Lanjut Audit
Pelaksanaan Audit
Monitoring Pelaksanaan
Tindak Lanjut Audit
Pelaksanaan Audit
Monitoring Pelaksanaan
Tindak Lanjut Audit
Pelaksanaan Audit
Monitoring Pelaksanaan
Tindak Lanjut Audit
Dalam proses tindak lanjut audit yang berbasis risiko, beberapa perubahan dari
proses sebelumnya, adalah sbb:
1. Setiap rekomendasi yang diberikan oleh auditor memiliki batas waktu untuk
ditindaklanjuti;
2. Auditee akan menerima notifikasi email yang berfungsi sebagai reminder
jika auditee belum menyelesaikan tindak lanjut atas rekomendasi yang
diberikan auditor dalam batas waktu yang telah ditentukan;
3. Monitoring status penyelesaian rekomendasi dari setiap area of
improvement oleh auditor dilakukan melalui sistem eRBAS. Setiap respon
yang dilakukan auditee dalam eRBAS akan memberikan notifikasi kepada
auditor untuk memonitor status tindak lanjut (Started -> Implemented ->
Implemented - Partial Client Approval -> Implemented Final Client Approval
-> Implemented Audit Approved);
4. Konfirmasi atas tindak lanjut yang dilakukan oleh auditee juga dilakukan
melalui sistem eRBAS;
5. Status penyelesaian tindak lanjut dapat dimonitor setiap waktu dalam
eRBAS oleh Dirut, Komite Audit & KSPI
Laporan Pelaksanaan
Joint Audit
Pelaksanaan Joint Audit
SPI telah melaksanakan Joint Audit bersama dengan Konsultan untuk melakukan audit
internal berbasis risiko berdasarkan Standar Prosedur Audit (SPA) Perencanaan, Pelaksanaan
dan Pelaporan Audit dan menggunakan aplikasi electronic Risk Based Audit System (eRBAS).
Skedul dan Sampel Joint Audit yang telah ditetapkan bersama mencakup:
1. BPM
• Bisnis proses yang digambarkan dalam BPM tidak sesuai
dengan bisnis proses yang telah ditentukan dalam PKA;
• Penggunaan simbol yang tidak standar;
• Penggambaran aktivitas pada bisnis proses yang tidak
“start to end” (input dari proses lain/mulai – aktivitas –
output ke proses lain/selesai);
• Tidak mencantumkan PIC yang mengerjakan aktivitas;
• Konfirmasi BPM tidak dilakukan dengan PIC yang tepat
sehingga BPM yang tergambarkan tidak sesuai dengan
kondisi yang sebenarnya terjadi (as is);
• Sebagian besar BPM belum ditandatangani oleh auditee
sebagai bukti persetujuan atas bisnis proses yang
sedang berjalan saat ini.
Point Perbaikan – Walkthrough (lanjutan)
2. NWD
• Nama PIC dan bagian yang dilakukan wawancara tidak
dimasukkan dalam NWD;
• Narasi yang dijabarkan dalam NWD tidak
sejalan/konsisten dengan aktivitas pada BPM.
3. SoD
• Pengisian SOD terkait PIC yang melakukan inisiasi,
otorisasi, pengolahan, pencatatan, dan pelaporan
tidak standard;
• Kesimpulan dari hasil analisa SOD tidak diisi.
Point Perbaikan – Walkthrough (lanjutan)
4. RCM