6/8/2012. Perencanaan Audit. Tiga tingkatan perencanaan

Transkripsi

1 LOKAKARYA PROSES DAN TEKNIK INTERNAL AUDIT Perencanaan Audit YAYASAN PENDIDIKAN INTERNAL AUDIT Annual Planning Tiga tingkatan perencanaan Pemilihan auditee Assignment planning Persiapan suatu audit Audit Program Prosedur pengujian 2 1

2 Risk based around the audit cycle Pemilih an auditee Audit Program Reporting Fieldwork & Pengemba ngan Temuan Menggunakan kerangka risiko pada setiap fase audit No Fase Pertimbangan risiko 1 Annual plan Alokasi sumberdaya audit pada proses bisnis yang risiko tinggi 2 Audit program (test) Test efektivitas key controls untuk mengurangi key risks yang mengancam pencapaianya objectives 3 Fieldwork Mengembangkan temuan dalam perspektif manajemen risiko oleh auditee 4 Reporting Menyimpulkan opini audit (rating) dalam konteks risiko 2

3 Business Risks Risk Assessment Enterprise Level Pengembangan Audit Universe Penentuan Risk Factors & Bobotnya Penentuan Scala Risk Factors Assessment atas Audit Unit Penyusunan Risk-Based Annual Audit Plan Micro Risk Assessment: Memahami Tujuan & Proses bisnis Mengidentifikasi, Mengukur, & prioritas risiko Gunakan hasil ERM Identifikasi Pengendalian (existing controls) Pengembangan Prosedur Audit Annual Planning Enterprise Level Risk Assessment 1. Pengembangan Audit Universe 2. Penentuan Risk Factors & Bobotnya 3. Penentuan Scala Risk Factors 4. Assessment atas Audit Unit 5. Penyusunan Risk-Based Annual Audit Plan 3

4 Pengembangan Audit Universe 1 Auditable unit = audit unit Tepat untuk dijadikan auditee tersendiri Kriteria : Mendukung tujuan, program, dan concern pemerintah Memiliki pengaruh yang cukup berarti Audit dan pengendalian layak dikembangkan Dapat berupa: instansi, kegiatan, proyek, aktiva, kebijakan, program, dsb. Audit Universe Area yang dapat menjadi unit audit: Business Units (line of business, etc) Entitas Legal (Badan Hukum) Business Processes Products /Services Information Technology Aktiva 4

5 Contoh Auditable Units Katagori Business Units Entitas Legal Business Processes Products/Services Information Technology UB Pomalaa UB Pongkor Auditable Areas Subsidiaries (pasir besi) CapEx, Procurement Marketing, Post mining Logam Mulia Emas Nikel Switches Systems Network Security Nine Lenses (Canada): tiru 5

6 Audit universe - Sumber Informasi Daftar direktorat/wilayah; Struktur organisasi; Anggaran (RKAP) Statistik; Accounts; Diskusi dengan stakeholders; Brainstorming Audit universe - Validasi o o o Laporan Keuangan; Rencana Stratejik Departemen; Permintaan audit dari auditee atau stakeholders o o Buku telpon internal Benchmarking 6

7 2001 Arthur Andersen. All rights reserved. Nomor 100 LayananPendidikandan Treatment Nama Audit Unit 110 Layanan pendidikan 120 Layanan kesehatan 130 Layanan lainnya 140 Program Volunter 200 Layanan Masyarakat 210 Kantor Propinsi 220 Layanankorban kejahatan 230 Layanan masyarakat lainnya 300 Grantdan Bantuan 110 Administrasi Grant 120 Penggantian klaim 400 Administrasi Kontrak 410 Kondisi dan Syarat-syarat kontrak 420 Administrasi kontrak fasilitas 430 Administrasi kontrak lainnya 500 Fungsi Keuangan 510 Akuntansi 520 Proses Anggaran Pendidikan 530 Anggaran lainnya 600 Fungsi pendukung 610 IT dan telekomunikasi 620 Aktiva tetap 630 Pengadaan 7

8 Illustrative Examples of Auditable Areas Category Business Units (CFUs, LOBs / IBUs) Legal Entities Business Processes Products / Services Information Technology Auditable Areas Call Centre Reviews Account Management NCS TEPL Capex, Procurement Billing International Leased Circuits Local Leased Circuits Postpaid Mobile Subscription Switches Systems Network Security Penentuan Risks Factors (+ bobot) 2 Dana yang dikelola Liquiditas assets Kondisi internal control Kompetensi dan integritas manajemen Tingkat skill karyawan Perputaran pegawai Intervensi Waktu sejak audit yang lalu Risiko spesifik (hasil ERM) angka 8

9 Faktor risiko (IIA) Atmosfir etika dan integritas Kompetensi, integritas dan kecukupan jumlah pegawai Tingkat komputerisasi sistem informasi Ketersebaran lokasi geografis Jumlah aset, tingkat likuiditas dan volume transaksi Kecukupan dan efektivitas struktur pengendalian internal Kondisi ekonomi dan keuangan Tingkat persaingan Kompleksitas dan fluktuasi kegiatan Dampak terhadap pelanggan, pemasok dan peraturan pemerintah Perubahan-perubahan organisasi, operasi, teknologi dan ekonomi Judgment manajemen dan kebijakan akuntansi Respon dan tindak lanjut atas temuan audit Waktu dan hasil audit sebelumnya Faktor risiko (Patton & Lewis) Urutan No. Faktor risiko Urutan No. Faktor risiko I Kualitas Internal Control XI Tingkat komputerisasi II Kompetensi Manajemen XII Waktu sejak audit yang lalu III IntegritasManajemen XIII Tekananuntukmencapai kinerja IV Besarnya unit (Rp.) XIV Peraturan pemerintah V Perubahan dalam sistem XV Tingkat motivasi pegawai VI Kompleksitas operasi XVI Rencana auditinstansiapfp lain VII Liquiditas harta XVII Politik VIII Perubahan dalam personel kunci XVIII Independensi IX Kondisi ekonomi (industri) XIX Jarak dari kantor pusat X Pertumbuhan yang cepat 9

10 Faktor risiko (kelompok) Materialitas Jumlah penerimaan Jumlah pengeluaran (belanja) Output & jasa yang dihasilkan Fasilitas yang digunakan Sensitivitas Sensitivitas secara politis Artipenting misi yang diemban Pengaruh terhadap kesejahteraan Kaitan unit tersebut dengan unit lain Jumlah manajer dan pegawai Perhatian pemerintah dan masyarakat Kegagalan yang pernah terjadi Adanya masalah khusus Permintaan khusus dari eksekutif Pengendalian Penyimpangan yang pernah terjadi Adanya kelemahan pengendalian Kurangnya review di masa lalu Adanya perubahan sistem dan personel Annual Planning: Audit Risk Scoring Model Managerial Elements 10% Management Quality 10% Quality of Supervision 10% Management Judgement Activity Characteristics 15% Product Complexity 10% Volume 10% Asset Safeguarding 8% IS System Complexity Organizational Impact 10% Regulatory 7% Financial Statements 5% Customer Inherent Risk Score Control Assessment +0 to 30% Time Since Last Audit +0 to 30% Overall Risk Score 10

11 Overview of SingTel Risk Framework Environmental Risks Operational Risks Mgmt Decision Making Risks Competition Regulatory / Legal Capital Availability Strategic Investments Technological Innovations Partnering Customer Satisfaction Fraud IT / Network Infrastructure Procurement Inter-Carrier Human Resource / Leadership Product Development Treasury IT / Physical Security Brand Erosion Capital Expenditure Information Integrity Revenue Assurance Credit Management Compliance (Fin. Reporting) Business Interruptions Corporate Governance Business / Capacity Planning Budget Planning / Monitoring Using the above Risk Framework, the applicable risks for each auditable area are identified Risk Assessment Criteria: Non IT Areas Nine risk factors used: Financial Materiality Operational & Business Risk Information Systems Public Impact / Regulations Complexity of Operations / Processes New Products / Services Staff and Management Prior Audits Fraud Potential 11

12 Risk Assessment Criteria: IT Areas Hardware Inherent Risks Control Environment 1. Device Type 2. Service / Maintenance 3. Device Back-up 4. Device Security 5. Data Storage / Back-up 6. Remote / External Access 7. Technical Environment 13. Operating Environment 14. Regulatory Uncertainty 15. New Products / Services 16. Remoteness of Operation 17. Fraud Potential 18. Stability of Activity 23. Prior Audits 24. Staff and Management Application / Software Non-Financial Impacts Financial Impact 8. Documentation 9. Complexity 10. Criticality 11. Age 12. System Development 19. Technology Life 20. Third Party Liability 21. Public Impact 22. Future Significance 25. Financial Materiality Penentuan Skala (pedoman assessment) Risk factor & Nilai Score Risk factor & Nilai Score 3 Dana yang dikelola Pergantian Pimpinan Unit (turnover atau mutasi) Diatas Rp. 50 Milyar 5 Sedang (4-6 tahun sekali) 1 25 milyar 50 milyar rp. 4 Sedang-jarang (7-8 tahun sekali) 3 5 milyar 25 milyar rp 3 Sedang-sering (2-3 tahun sekali) 3 1 milyar 5 milyar rp 2 Jarang (diatas 8 tahun sekali) 5 Dibawah 1 milyar 1 Sering (dibawah satu tahun sekali) 5 Audit sebelumnya Kondisi Internal Control Kurang dari 12 bulan yang lalu 1 Baik sekali (tidak ada catatan penting) 1 1 tahun 2 tahun yang lalu 2 Baik (kurang dari 2 catatan penting) 2 2 tahun 3 tahun yang lalu 3 Sedang (3-5 catatan penting) 3 3 tahun 4 tahun yang lalu 4 Jelek (5-7 catatan penting) 4 Lebih dari 4 tahun yang lalu 5 Jelek sekali (lebih dari 7 catatan penting) 5 protect 12

13 4 Assessment atas Audit Unit Melakukan Scoring (assessment) thd faktor risiko Auditee Internal Control Dana yang Dikelola Kompetensi Pimpinan Respon thd Temuan Jumlah Balai B Kulit Puslitbang IUI Bina Pasar PPEI Biro Keuangan

14 # AUDIT AUDIT UNIVERSE FACTORS F1 F2 F3 F4 F5 F6 F7 F8 F9 F10 TOTAL Bobot ,00 2Env & Post Mining Procurement Unit Geomin UB Pongkor UB Pomalaa Marketing UBP Nikel UBP Emas Logam Mulia Post Mining Cilacap Penyusunan Risk-Based Audit Plan a. Cut-off b. Risk untuk menetukan Frekuensi c. Risk utk menentukan durasi 14

15 Risk = Frekuensi Audit Schedulling FACTORS TOTAL Kuartal Bobot 10,00 I II III IV # AUDIT UNIVERSE 2 Env & Post Mining 39 v v v v 4 Procurement 38 v v v v 9 Unit Geomin 37 v v v v 5 UB Pongkor 34 v v 1 UB Pomalaa 34 v v 6 Marketing 34 v v 10 UBP Nikel 33 v v 7 UBP Emas 28 v v 3 Logam Mulia 28 v 8 Post Mining Cilacap 27 v Jumlah Audit Risk = durasi Auditee Score risiko % score risiko Hari pemeriksaan (% x 100 hari) Bina Pasar 15 24% (15/62) 24 Balai B Kulit 14 23% (14/62) 22 Biro Keuangan 13 20% (13/62) 20 PPEI 11 18% (11/62) 18 Puslitbang Iklim Usaha 9 15% (9/62) 16 Jumlah

16 Cut-off Auditee Score risiko HP HP Kumulatif Bina Pasar Balai B Kulit Biro Keuangan PPEI Puslitbang Iklim Usaha Jumlah 62 No pork Risk Assessment Summary - Illustration Auditable Areas* Under Overall Risk High Medium Low Total Financial & Operational 50 (42%) 50 (42%) 20 (16%) 120 Information Technology 170 (37%) 140 (30%) 160 (33%) 470 Revenue Assurance 30 (33%) 30 (33%) 30 (34%) 90 16

17 Audit Cycle Guidelines - SingTel Auditable Areas under Risk Assessment Audit Cycle Financial & Operational / Revenue Assurance High Medium Low 2 years 3 years Not audited Information Technology High 5 years # Medium 5 years # Low Not audited # New systems are planned to be audited within 18 months from implementation Audit Resource Planning - Illustration Auditable Areas * Risk Assessment No. Average Budget (Hrs) Resources (Hrs) Required Resources (Headcount)* Audit Cycle Assumption High , years Financial & Operational Medium , years Low Total , High , years Information Technology Medium , years Low Total High , years Revenue Assurance Medium , years Low Total 90 42, *Assumed 1680 manhours per staff per year 17

18 Audit Program Micro Risk Assessment KERANGKA PENYUSUNAN AUDIT PROGRAM TUJUAN RISIKO CONTROL LANGKAH PENGUJIAN 18

19 Pengembangan Program Audit Process dan critical risks Controls yang terkait dengan critical risks Level of Control Dokumen Bukti Langkah (prosedur) Audit Process: Pengadaan Critical Risks: Harga pembelian terlalu mahal (Pemborosan) HPS Tender Review oleh Panitia Pengadaan Audit I I II III HPS, Kontrak Prosedur Audit Risk Controls (level) Dokumen/bukti Prosedur Pendingin bocor Pengecekan berkala (1) Kalibrasi (1) Monitoring (2) SOP (1) Personel (1) Lap pengecekan Hasil kalibrasi Observasi SOP Interview Bahan baku tidak sesuai spesifikasi Aproval PR Daftar vendor bonafide Verifikasi Sanksi TT/interview Daftar vendor/track Observasi/dok Dokumen 19

20 TEKNIK SURVEY PENDAHULUAN On Desk Audit Kuisioner Wawancara Observasi Lapangan 39 ON DESK AUDIT Data dari Berkas Audit a. Audit analysis Sheet b. Laporan Hasil Audit dan Tanggapan c. Struktur Organisasi, Prosedure, Kebijakan, Ketentuan yang Berlaku Pada Auditee d. Laporan Monitoring Tindak Lanjut Hasil Audit Data Berasal/ Diakses dari Auditee a. Perubahan Manajemen dan Personil Kunci b. Laporan Manajemen c. Perubahan Proses Kegiatan d. Pemutakhiran Kebijakan, Prosedure dan Ketentuan. Data dari Sumber Lain a. Kondisi Ekonomi dan Pasar b. Perkembangan Teknologi c. Perkembangan Literatur Auditing d. Peraturan 40 20

21 MAKSUD AUDIT PROGRAM o Membantu Auditor Menentukan ; a. Apa yang Perlu Dilakukan b. Apa yang telah dilakukan c. Kapan Dilakukan d. Bagaimana Dilakukan e. Siapa yang Melakukan f. Berapa Lama Dilakukan o Bukan Pengganti Inisiatif Dan Kreativitas Auditor o Penghubung Antara Survey Pendahuluan Dengan Pengujian Lapangan o Bersifat Tentatif 41 KRITERIA AUDIT PROGRAM Spesifik, Sesuai dengan Penugasan Permintaan Khusus Didasarkan pada kerangka Tujuan Risiko Kontrol Instruksi Positif Menunjukkan Prioritas Fleksibel & Adjustable Mendapatkan Persetujuan 42 21