Internal Auditor's Corner

How to Audit Penetration Test

2025-03-07T13:31:00.000+07:00

Conducting a penetration test (pen test) is a systematic process of evaluating the security of an organization's IT infrastructure by simulating real-world attacks. The goal is to identify vulnerabilities, assess risks, and provide recommendations to strengthen defenses. Below is a comprehensive guide on how to conduct a penetration test, covering all key phases and considerations.

Introduction to Penetration Testing
A penetration test is a controlled and authorized attempt to exploit vulnerabilities in systems, networks, or applications. It helps organizations:
- Identify security weaknesses.
- Assess the effectiveness of existing security controls.
- Comply with regulatory requirements (e.g., PCI DSS, GDPR).
- Improve incident response capabilities.
- Penetration tests can be categorized into three types:
- Black Box Testing: The tester has no prior knowledge of the system.
- White Box Testing: The tester has full knowledge of the system.
- Gray Box Testing: The tester has partial knowledge of the system.
Planning and Preparation

2.1 Define Objectives and Scope
- Objectives: Determine the goals of the test (e.g., identify vulnerabilities, test incident response).
- Scope: Define the systems, networks, and applications to be tested. Include:
  - IP ranges, domains, and subdomains.
  - Specific applications or services.
  - Physical locations (if applicable).
- Constraints: Specify limitations, such as testing hours, excluded systems, or restricted techniques.
2.2 Obtain Authorization
- Obtain written permission (e.g., a Letter of Authorization) from the organization’s management.
- Define rules of engagement (e.g., no denial-of-service attacks, no social engineering).
2.3 Assemble the Team
Select skilled penetration testers with expertise in:
- Network security.
- Web application security.
- Social engineering.
- Physical security (if applicable).
- Assign roles and responsibilities.
2.4 Gather Information
- Collect documentation about the target environment (e.g., network diagrams, system configurations).
- Identify compliance requirements and industry standards.
Reconnaissance
Reconnaissance involves gathering information about the target to identify potential attack vectors.
3.1 Passive Reconnaissance
- Collect information without directly interacting with the target:
- Use public sources (e.g., company website, social media, WHOIS lookup).
- Analyze DNS records and subdomains.
- Review job postings for technology stack details.
3.2 Active Reconnaissance
Interact with the target to gather information:
- Perform network scanning (e.g., using Nmap) to identify open ports and services.
- Use tools like Shodan or Censys to discover exposed systems.
- Enumerate users, shares, and directories.
Vulnerability Scanning
Use automated tools to identify known vulnerabilities in the target environment.
4.1 Tools
- Network Scanners: Nmap, Nessus, OpenVAS.
- Web Application Scanners: Burp Suite, OWASP ZAP, Acunetix.
- Database Scanners: SQLMap, DbProtect.
4.2 Analyze Results
- Review scan results to identify high-risk vulnerabilities.
- Validate findings to eliminate false positives.
Exploitation
Attempt to exploit identified vulnerabilities to gain unauthorized access or escalate privileges.
5.1 Techniques
- Exploiting Misconfigurations: Leverage weak configurations (e.g., default credentials, open shares).
- Exploiting Software Vulnerabilities: Use exploits for known vulnerabilities (e.g., buffer overflows, SQL injection).
- Social Engineering: Phishing, pretexting, or tailgating (if within scope).
- Physical Attacks: Attempt to bypass physical security controls (e.g., locked doors, badge readers).
5.2 Tools
- Exploitation Frameworks: Metasploit, Cobalt Strike.
- Password Cracking Tools: John the Ripper, Hashcat.
- Post-Exploitation Tools: Mimikatz, PowerShell Empire.
5.3 Document Findings
Record all successful exploits, including:
- Vulnerability details.
- Exploit method.
- Impact on the target.
Post-Exploitation
After gaining access, assess the extent of the compromise and identify additional risks.
6.1 Maintain Access
- Establish persistence (e.g., create backdoors, scheduled tasks).
- Cover tracks (e.g., clear logs, hide files).
6.2 Escalate Privileges
- Attempt to gain administrative or root access.
- Exploit misconfigured permissions or weak access controls.
6.3 Lateral Movement
- Move laterally across the network to access other systems.
- Use tools like PsExec or WMI for remote execution.
6.4 Data Exfiltration
- Test the ability to extract sensitive data (e.g., customer information, intellectual property).
- Identify weaknesses in data protection mechanisms.
Reporting
Document the findings and provide actionable recommendations.
7.1 Executive Summary
Provide a high-level overview of the test, including:
- Objectives and scope.
- Key findings and risks.
- Overall security posture.
7.2 Technical Details
Include detailed information about vulnerabilities, including:
- Description and impact.
- Steps to reproduce.
- Screenshots or logs as evidence.
7.3 Risk Assessment
- Rate vulnerabilities based on severity (e.g., critical, high, medium, low).
- Use a risk matrix to prioritize remediation efforts.
7.4 Recommendations
- Provide actionable recommendations to address vulnerabilities.
- Include short-term and long-term remediation strategies.
Remediation and Retesting

8.1 Remediation
- Work with the organization to fix identified vulnerabilities.
- Provide guidance on implementing security best practices.
8.2 Retesting
- Verify that vulnerabilities have been successfully remediated.
- Perform follow-up tests to ensure no new issues have been introduced.
Tools and Techniques

9.1 Network Penetration Testing Tools
- Nmap: Network scanning and enumeration.
- Wireshark: Packet analysis.
- Metasploit: Exploitation framework.
9.2 Web Application Penetration Testing Tools
- Burp Suite: Web vulnerability scanning and exploitation.
- OWASP ZAP: Open-source web application scanner.
- SQLMap: Automated SQL injection tool.
9.3 Wireless Penetration Testing Tools
- Aircrack-ng: Wireless network auditing.
- Kismet: Wireless network detection and analysis.
9.4 Social Engineering Tools
- SET (Social-Engineer Toolkit): Phishing campaigns.
- GoPhish: Open-source phishing framework.
Best Practices
- Stay Legal: Always obtain proper authorization before conducting a pen test.
- Use a Methodical Approach: Follow a structured methodology (e.g., PTES, OSSTMM).
- Minimize Impact: Avoid disrupting business operations or causing damage.
- Maintain Confidentiality: Protect sensitive information discovered during the test.
- Continuous Learning: Stay updated on the latest vulnerabilities, exploits, and tools.
Common Challenges
- False Positives: Validate findings to avoid wasting time on non-issues.
- Scope Creep: Stick to the defined scope to avoid overstepping boundaries.
- Resource Constraints: Ensure the team has the necessary tools and expertise.
- Resistance from Stakeholders: Communicate the value of the test to gain support.

Semoga Bermanfaat…

Perhitungan Penurunan Nilai Piutang: Simplified Approach

2021-10-20T21:48:00.004+07:00

Dengan berlakunya PSAK 71: Instrumen Keuangan, Perhitungan Penyisihan Piutang Ragu-Ragu (yaitu penurunan nilai aset keuangan) menggunakan Model Kerugian Kredit Ekspektasian (Expected Credit Loss- ECL).

Bagaimana Pernyataan PSAK 71 Mengatur?

PSAK 71 mewajibkan kita untuk mengakui impairment aset keuangan dalam jumlah expected credit loss (ECL). PSAK 71 juga mengatur 2 pendekatan yang digunakan untuk menentukan ECL, yaitu:

1. Pendekatan Umum

Pendekatan Umum banyak diterapkan oleh Industri Keuangan, yang piutang utamanya adalah Piutang dagang dan aset kontrak dengan komponen pendanaan signifikan.

2. Pendekatan Disederhanakan.

Pendekatan Disederhanakan banyak diterapkan oleh Industri non keuangan, yang piutang utamanya adalah piutang dagang dan aset kontrak atau piutang sewa tanpa komponen pendanaan signifikan.

Dalam postingkan kali ini, kita akan membahas mengenai Pendekatan Disederhanakan.

1. Pendekatan Umum (General approach)

Dalam pendekatan umum, terdapat 3 tahap dari aset keuangan dan kita seharusnya mengakui kerugian penurunan tergantung pada tahap dari suatu aset keuangan yang sedang dievaluasi.

Maka, kerugian penurunan adalah baik dalam nilai ECL - 12 bulan ataupun ECL - sepanjang umur. Namun, dalam posting ini kita tidak membahas detail mengenai pendekatan umum, dengan pertimbangan pendekatan umum digunakan oleh industri keuangan dan perhitungannya cukup rumit. Terdapat banyak masalah dan tantangan dalam penerapannya, sebagai contoh:

Bagaimana kita menentukan aset keuangan sedang dalam tahap mana?
Bagaimana kita menentukan kapan risiko kredit dari beberapa aset keuangan meningkat secara signifikan?
Bagaimana kita menghitunga ECL-12 bulan dan ECL-sepanjang umur?
Bagaimana kita mendapatkan dan mengupdate input kita ke dalam perhitungan ECL?

Oleh karena itu, PSAK 71 juga mengijinkan suatu alternatif untuk beberapa tipe aset keuangan:

2. Pendekatan Disederhanakan (Simplified approach)

Dalam pendekatan disederhanakan, kita tidak harus menentukan tahapan dari suatu aset keuangan karena kerugian penurunan diukur pada ECL - sepanjang umur untuk seluruh aset. Hal ini mempermudah kita karena banyak kerumitan teknis yang dihilangkan.

Namun, pendekatan disederhanakan tidaklah untuk semua jenis aset keuangan dan bahkan walaupun disederhanakan, kita tetap perlu membuat perhitungan dan usaha.

Siapa yang dapat menerapkan pendekatan disederhanakan?

Tipe dari aset keuangan menjadi hal penting dalam hal ini. Kita HARUS menerapkan pendekatan disederhanakan untuk:

Piutang dagang TANPA komponen pembiayan signifikan, dan
Aset kontrak berdasar PSAK 72 TANPA komponen pembiayan signifikan.

Untuk kedua tipe aset tersebut, kita harus menerapkan pendekatan disederhanakan. Selanjutnya, kita DAPAT memilih untuk:

Piutang Dagang DENGAN komponen pembiayan signifikan.
Aset Kontrak berdasar PSAK 72 DENGAN komponen pembiayaan signifikan, dan
Piutang Sewa (PSAK 73)

Untuk ketiga tipe aset keuangan tersebut, kita dapat menerapkan baik pendekatan disederhanakan ataupun pendekatan umum.

Dapatkan suatu entitas menerapkan kedua model?

Ya tentu saja – namun tidak untuk aset keuangan dengan tipe yang sama. Sebagai contoh entitas bank. Bisnis utama Bank adalah pemberian pinjaman dan berdasarkan PSAK 71, Bank harus menerapkan pendekatan umum untuk menghitung penurunan kerugian dari pinjaman.

Namun, terkadang, bank juga memilik aset keuangan lainnya. Sebagai contoh, Bank mungkin menyewakan ruang kantor dan memiliki piutang sewa. Atau, Bank dapat menyediakan jasa advis dan mengenakan fee untuk jasa tersebut – maka Bank dapat memiliki semacam piutang dagang. Untuk jenis aset tersebut, Bank dapat menerapkan pendekatan disederhanakan.

Bagaimana Menerapkan Pendekatan Disederhanakan?

Sebagaimana dijelaskan di atas, dalam pendekatan disederhanakan, kita memngukur kerugian penurunan dengan ECL - sepanjang umur. PSAK 71 mengijinkan penggunaan beberapa metode yang praktis dan salah satunya adalah matriks penyisihan (provision matrix).

Apa itu provision matrix?

Secara sederhana, provision matrix merupakan suatu perhitungan kerugian penurunan berdasarkan suatu tarif presentase gagal bayar (default) yang diterapkan pada suatu kelompok aset keuangan. Di sini, kita memiliki 2 elemen penting:

Kelompok aset keuangan
Default rates

Bagaimana mengelompokan aset keuangan?

Ketika kita menggunakan provision matrix untuk penyederhanaan, kita tetap perlu untuk semaksimalkan mungkin sesuai realitas/keadaan sebenarnya. Oleh karena itu, sebelum menerapkan suatu tarif default, kita seharusnya mengelompokan terlebih dahulu aset keuangan kita.

Lakukan segmentasi aset keuangan.

Alasannya adalah bahwa seluruh piutang dagang tidak perlu memiliki karakteristik yang sama dan oleh karena itu, menjadi tidak wajar untuk menempatkan seluruh aset keuangan dalam satu kelompok. Bagaimana pengelompokannya?

Hal ini tergantung pada faktor-faktor yang mempengaruhi pembayaran kembali dari piutang kita. Mungkin kita menyadari bahwa konsumen retail (individu) kita memiliki karakteristik kurang reliabel dan lambat dalam pembayaran dibandingkan konsumen bisnis (perusahaan) kita. Oleh karena itu, pengelompokan kita adalah menjadi konsumen retail dan konsumen bisnis.

Atau, mungkin kita menjual berdasarkan regional geograpi dan kita menyadari bahwa konsumen dari kota besar membayar lebih diandalkan daripada konsumen dari kota kecil (mungkin hal terkait dengan tingkat pengangguran). Maka, segmentasi anda menjadi konsumen dari kota besar dan konsumen dari kota kecil.

Mungkin kita telah mendapatkan maksudnya – kita seharusnya memilih mengelompokan piutang dagang kita (atau aset keuangan lainnya) tergantung pada keadaan kita. Beberapa saran untuk segmentasi:

Berdasarkan tipe produk;
Berdasarkan regional geograpi;
Berdasarkan mata uang;
Berdasarkan rating konsumen;
Berdasarkan tipe dealer atau jalur pemasaran;
dll.

Hal penting di sini adalah bahwa konsumen dalam suatu kelompok memiliki kesamaan atau kemiripan pola kerugian.

Bagaiman menghitung tarif default?

Ingat – JANGAN hanya menaikan tarif ketidaktertagihan (default), seperti umumnya banyak entitas melakukan hal tersebut. Kita seharusnya benar-benar menghitung ketidaktertagihan (default) berdasarkan data kita sendiri.

PSAK 71 mengatur bahwa kita seharusnya:

Menghitung tarif default dari data milik sendiri terkait historis pengalaman kerugian kredit; dan
Menyesuaikan tarif default tersebut dengan informasi pandangan masa depan.

Tarif Default Historis

Pertama, kita perlu untuk menganalisis historis kerugian kredit. Bagaimana caranya?

Kita seharusnya mengambil periode waktu yang layak dan menganalisis bagian mana dari piutang dagang yang terbentuk selama periode default tersebut. Hati-hati ketika menentukan periode yang layak.

Periode tersebut seharusnya tidak terlalu singkat agar menjadi masuk akal dan juga seharusnya tidak terlalu panjang karena pasar cepat berubah dan periode panjang mungkin memasukan dampak pasar yang tidak lagi valid. Kita sebaiknya memilih 1 atau 2 tahun sebagai periode analisis default.

Kemudian kitan akan memilih kelompok umur (time bukcet), atau periode ketika piutang tersebut dibayar. Terakhir, kita akan menghitung tarif default untuk setiap kelompok umur.

Tidak perlu khawatir jika uraian di atas kurang jelas – kita akan mendapatkan contoh ilustratif di bawah.

Informasi Pandangan Masa Depan

Setelah kita telah mendapatkan tarif default historis, kita perlu menyesuaikan tarif tersebut dengan informasi pandangan masa depan. Apakah itu?

Informasi pandangan masa depan merupakan seluruh informasi yang dapat mempengaruhi kerugian kredit di masa dapan, sebagai contoh prakiraan makroekonomi terkait tingkat pengangguran, harga rumah, dll. Kita seharusnya menyesuaikan tarif default dengan informasi yang relavan terkait aset keuangan kita.

Sebagai contoh, suatu perusahaan telekomunikasi memiliki 2 segmen piutang:

Konsumen retail, atau individu: untuk kelompok ini, tingkat pengangguran merupakan faktor penting yang mempengaruhi tingkat pembayaran piutang. Jika tingkat pengangguran meningkat, kualitas kredit dari piutang dagang untuk konsumen retail menjadi memburuk.
Konsumen bisnis: untuk kelompok ini, GDP (gross domestic product) dan tingkat inflasi menjadi faktor penting.

Bagaimana kita menggabungkan informasi pandangan masa depan?

Jika terdapat hubungan linear antara faktor makroekonomi (seperti tingkat pengangguran) dan input (yaitu kenaikan/penurunan kolektibilitas piutang), maka penggabungan menjadi sederhana. Dalam kasus ini, kita perlu mengamati apa dampak perubahan dalam parameter terhadap tarif default kita dan membuat penyesuaian sederhana (lihat ilustrasi di bawah).

Namun, jika hubungan tersebut tidak linear, maka penyesuaian tersebut mungkin memerlukan suatu modeling seperti simulasi Monte Carlo atau metode sejenis lainnya.

Contoh: Penurunan Piutang Dagang berdasarkan PSAK 71

PT ENAK ingin menghitung kerugian penurunan piutang dagang per 31 Desember 20x2. Kebijakan PT ENAK adalah memberikan waktu 30 hari untuk melunasi piutang.

Catatan: Ini menjadi hal penting - 30 hari periode kredit berarti piutang tersebut TIDAK memiliki komponen pembiayaan signifikan dan maka itu, kita tidak perlu khawatir terkait nilai kini (present value)

Kelompok umur piutang dagang per 31 Desember 20x2 adalah sebagai berikut:

Hari Setelah Invoice Terbit	Saldo Sisa
Belum jatuh tempo (0-30 hari	800.000
31 - 60 hari	350.000
61 - 180 hari	280.000
181 - 360 hari	170.000
> 360 hari	100.000
Total	1.700.000

PT ENAK memutuskan untuk menerapkan pendekatan disederhanakan sesuai PSAK 71 dan menghitung kerugian penurunan sebagai ECL sepanjang umur. Sesuai praktik wajar, PT ENAK memutuskan menggunakan provision matrix.

Pertama, PT ENAK perlu untuk menghitung tarif default historis. Untuk mendapatkan data historis yang cukup, PT ENAK memilih periode 1 tahun dari 1 Januari 20x1 sampai dengan 31 Desember 20x1.

Selama periode tersebut, PT ENAK menghasilkan penjualan kredit sebesar Rp20.000.000. Kemudian, kita dapat membagi proses analis keseluruhan ke dalam beberapa langkah.

Langkah 1: Analisis kolektibilitas untuk setiap kelompok umur (time buckets)

Berdasarkan perbandingan data invoice dan data pelunasan invoice tersebut, PT ENAK perlu menganalisis kapan piutang tersebut dibayar dan mengurutkan piutang terbayar tersebut ke dalam tabel berdasarkan jumlah hari dari mulai invoice diterbitkan sampai dengan piutang dilunasi:

Kapan Dibayar	Jumlah Dibayar	Jumlah Dibayar (Kumulatif)	Jumlah Belum Dibayar
Belum jatuh tempo (0-30 hari	7.500.000	7.500.000	12.500.000
31 - 60 hari	6.800.000	14.300.000	5.700.000
61 - 180 hari	3.000.000	17.300.000	2.700.000
181 - 360 hari	2.200.000	19.500.000	500.000
> 360 hari	500.000 = dihapus	19.500.000	500.000 = dihapus
Total	20.000.000	n.a.	n.a.

Catatan:

Nilai Rp500.000 dalam kolom “Jumlah Dibayar” untuk > 360 hari menunjukan fakta ketidaktertagihan, nilai tidak terbayar.
Jumlah dibayar (kumulatif) dihitung dari jumlah dibayar dalam kelompok umur tertentu ditambah jumlah dibayar kumulatif dalam kelompok sebelumnya, contoh: jumlah dibayar kumulatif dalam 31 – 60 hari dihitung dari Rp6.800.000 + Rp.7.500.000 = R14.300.000. Kecuali untuk > 360 hari – disini, kita tidak dapat memasukan Rp500.000 sebagai jumlah dibayar.
Jumlah belum dibayar dalam kolom terakhir = total Rp20.000.000 dikurangi jumlah dibayar kumulatif.

Langkah 2: Hitung tarif kerugian historis

Kemudian, PT ENAK dapat menghitung tarif kerugian default historis dengan cara Rp500.000 nilai tidak dibayar nyata dibagi dengan jumlah belum dibayar (saldo sisa belum lunas) pada akhir setiap kelompok umur:

Kapan Dibayar?	Jumlah Belum Dibayar	Kerugian	Tingkat Default
Belum jatuh tempo (0-30 hari	20.000.000	500.000	2,50%
31 - 60 hari	12.500.000	500.000	4,00%
61 - 180 hari	5.700.000	500.000	8,80%
181 - 360 hari	2.700.000	500.000	18,50%
> 360 hari	500.000	500.000	100,00%

Catatan: Tingkat Default = kerugian nyata dibagi jumlah belum dibayar.

Di sini kita dapat mencatat bahwa data bergeser sedikit. Jumlah belum dibayar untuk baris “belum jatuh tempo” sejumlah Rp12.500.000 sekarang bergeser ke baris “31-60 hari”. Hal ini tidak masalah karena kita sedang menghitung jumlah-jumlah yang masuk ke dalam kelompok umur tertentu – yaitu, di awal kelompok tersebut, bukan diakhir.

Maka, dalam kelompok “sebelum jatuh tempo”, PT ENAK memiliki saldo awal piutang belum terbayar sebesar Rp20.000.000; bucket “31-60 hari”, PT ENAK memiliki saldo awal piutang belum terbayar Rp12.500.000.

Juga, kenapa kita menempatkan rugi Rp500.000 ke dalam setiap kelompok umur? Hal ini karena piutang yang dihapus (yaitu Rp500.000) adalah berasal dari piutang-piutang yang ada dalam setiap kelompok umur, selama umur piutang.

Sebagai contoh, piutang dihapus senilai Rp500.000 ada dalam kelompok “belum jatuh tempo”, atau dalam nilai Rp20.000.000 tersebut dan maka kita dapat mengatakan bahwa kerugian yang terjadi selama tahun 20x1 (periode perhitungan) adalah Rp500.000/Rp20.000.000. Hal sama berlaku juga untuk kelompok umur lainnya.

Sekarang, kita belum selesai. Kita hanya telah menghitung kerugian historis atau tarif default. Kita perlu menggabungkan dengan informasi padangan masa depan.

Langkah 3: Menggabungkan informasi pandangan masa depan

Hal ini lebih sulit, namun kita akan membahas satu pendekatan yang sangat sederhana. Misalkan kerugian kredit PT ENAK menunjukan hubungan linear dengan tingkat pengangguran. Perlu dicatat bahwa “tingkat pengangguran” BELUM tentu relevan dengan kita – kita seharusnya mencari faktor faktor makroekomoni yang relevan dengan kita yang dapat mempengaruhi kerugian kredit kita.

Dan, misalkan bahwa lembaga statistik di negara PT ENAK berada, memperkirakan tingkat pengganguran akan naik dari 5% menjadi 6% dalam tahun 20X3. Pengalaman PT ENAK menunjukan bahwa ketika tingkat pengangguran naik 1%, hal ini memicu kenaikan kerugian default sebesar 10% (catatan – kita seharusnya mampu membuktikan hal tersebut).

Maka, PT ENAK secara wajar memperkirakan bahwa kerugian Rp500.000 dapat naik sebesar 10% karena kenaiakan tingkat pengangguran tersebut – yaitu menjadi Rp550.000. Oleh karena itu, perhitungan tarif kerugian (default) disesuaikan dengan informasi pandangan masa depan sebagai berikut:

Kapan Dibayar?	Jumlah Belum Dibayar	Kerugian	Tarif Default
Belum jatuh tempo (0-30 hari	20.000.000	550.000	2,75%
31 - 60 hari	12.500.000	550.000	4,40%
61 - 180 hari	5.700.000	550.000	9,60%
181 - 360 hari	2.700.000	550.000	20,40%

Langka 4: Terapkan tarif kerugian ke portofolio piurang dagang berjalan

Dan terakhir, kita menerapkan tarif kerugian/default tersebut ke portofolio aktul piutang dagang per 31 Desember 20x2:

Hari Setelah Invoice Terbit	Saldo Sisa	Tarif Default	Estimasi Kerugian Kredit (ECL)
Belum jatuh tempo (0-30 hari	800.000	2,75%	22.000
31 - 60 hari	350.000	4,40%	15.400
61 - 180 hari	280.000	9,60%	26.900
181 - 360 hari	170.000	20,40%	34.700
> 360 hari	100.000	100,00%	100.000
Total	1.700.000	n.a.	199.000.

Selesai.

PT ENAK dapat mengakui kerugian penurunan piutang dagang sebagai berikut:

Debit Kerugian Penurunan Nilai Piutang Dagang: Rp199.000
Kredit Piutang Dagang –penyisihan kerugian kredit ekspektasian: Rp199.000

Semoga Bermanfaat…

Teknik Audit untuk Identifikasi Manipulasi Laporan Keuangan: Modus Meningkatkan Pendapatan

2021-10-15T09:48:00.002+07:00

Manipulasi laporan keuangan umumnya terjadi pada perusahaan yang memiliki ciri: governance kurang baik (bisa diliat dari latar belakang pimilik), target laba yang tidak realistik, mengamankan posisi/promosi, mengejar bonus atau kenaikan gaji. Selain itu, manipulasi laporan keuangan juga ditentukan oleh integritas dan profesionalisme dari Kantor Akuntan Publik. Beberapa kasus membuktikan bahwa manipulasi keuangan melibatkan auditor. Kasus Enron di Amerika dan PT Indosat di Indonesia, membuktikan bahwa beberapa kasus manipulasi laporan keuangan melibatkan KAP.

Jika Perusahaan tempat anda bekerja memiliki ciri tersebut, maka saat melakukan audit, auditor internal perlu mempertimbangkan risiko terjadi fraud berupa manipulasi laporan keuangan. Hal tersebut menjadi salah satu fokus audit, dan mengembangkan prosedur audit untuk identifikasi keberadaan manipulasi laporan keuangan.

Sebelum membahas mengenai teknik audit, auditor internal yang mengaudit keuangan perlu memiliki kualifikasi sebagai berikut:

a. Kompeten audit di bidang keuangan dan menguasai PSAK secara memadai. Untuk dapat identifikasi manipulasi laporan keuangan, auditor internal harus paham mengenai proses bisnis dan keuangan, internal kontrol keuangan, serta teknik audit untuk audit keuangan. Selain itu, auditor juga harus menguasai PSAK agar yakin saat berargumentasi dengan KAP atau manajemen.

b. Berintegritas dan berani. Seringkali, manipulasi laporan keuangan dilakukan oleh manajemen, bahkan oleh Direksi dan juga melibatkan pemilik/komisaris. Oleh karena itu, ketika mengungkapkan kasus manipulasi maka keamanan kerja dari auditor internal menjadi terancam.

Banyak strategi yang dapat dilakukan untuk memanipulasi laporan keuangan. Strategi umum adalah:

1. Meningkatkan pendapatan.

2. Menurunkan beban

3. Meningkatkan aset.

4. Mengurangi liabilitas.

5. Meningkatkan arus kas operasional.

Kita akan membahas masing-masing strategi tersebut dalam beberapa posting. Untuk kali ini, kita fokus pada pembahasan Strategi 1: Meningkatkan Pendapatan, sedangkan strategi lain akan kita bahas pada posting berikutnya. Hal penting adalah auditor internal menguasai pernyataan dalam PSAK 72 Pendapatan dari Kontrak Pelanggan.

Ringkasan PSAK 72 sebagai berikut:

Secara prinsip, suatu pendapatan dapat diakui ketika telah terjadi perpindahan pengendalian/ hak dan risiko atas suatu barang/ jasa. Hal ini bermakna:

Pengendalian/Hak: Pembeli dapat menggunakan barang/ jasa sesuai keinginannya, seperti menjual, menyewakan, menggunakan barang yang dibeli, dan Penjual atau Pembeli tidak dapat menukar dengan barang lainnya.
Risiko: risiko barang tidak laku dijual, barang hilang, barang rusak ditanggung oleh pembeli.

Syarat pengakuan pendapatan:

Jelas hak dan kewajiban, jangka waktu pembayaran, dan ada substansi komersial (yaitu risiko, waktu, atau jumlah arus kas masa depan entitas diperkirakan berubah sebagai akibat dari kontrak); Catatan: perpindahan risiko berarti risiko kerusakan, kehilangan, terbakar atas barang telah beralih kepada Mitra. Perubahan arus kas berarti ada kemungkinan besar kas hasil penjualan diterima secara penuh oleh Penjual.
Ketika (atau selama) kewajiban pelaksanaan diselesaikan, entitas mengakui pendapatan atas sejumlah harga transaksi (yang tidak termasuk estimasi atas imbalan variabel yang dibatasi) yang dialokasikan terhadap kewajiban pelaksanaan. Catatan: nilai pendapatan yang diakui adalah sebesar nilai netto yang dapat direalisasikan. Misalkan jika terdapat opsi diskon dan kemungkinan besar diskon tersebut diambil oleh pelanggan, maka pendapatan yang diakui adalah setelah memperhitungkan diskon tersebut.
Aset dialihkan ketika (atau selama) pelanggan memperoleh pengendalian atas aset. Catatan: Pengendalian atas aset berarti Mitra memiliki hak untuk menjual, menyewakan, menggunakan barang yang dibeli, dan Penjual atau Pembeli tidak dapat menukar dengan barang lainnya.
Tidak terdapat suatu kontrak, jika setiap pihak dalam kontrak memiliki hak yang dapat dipaksakan secara sepihak untuk mengakhiri kontrak yang tidak terlaksana penuh (wholly unperformed contract) tanpa adanya kompensasi kepada pihak lain
Kontrak telah diakhiri, tidak ada sisa kewajiban, dan imbalan yang diterima dari pelanggan tidak dapat dikembalikan. Catatan: jika ada syarat pengembalian uang ketika barang tidak laku terjual, maka hal ini berarti ada sisa kewajiban yang belum selesai, dan bahwa belum ada perubahan posisi arus kas masa depan.

Berikut Modus Peningkatan Pendapatan:

Pengakuan Penjualan Premature.
Penjualan fiktif
Pengakuan Penjualan Konsinyasi
Penjualan dengan Kredit Agresif

Modus lain yang pernah terjadi: mengakui pinjaman sebagai pendapatan, penjualan swap, piutang bunga forex, tidak mengakui penjualan variabel (seperti diskon, rabat), penjualan non operasional diakui sebagai operasional.

Strategi 1: Peningkatan Pendapatan

Teknik Audit Umum:

Indikasi keberadaan manipulasi laporan keuangan dapat diidentifikasi dengan melakukan prosedur analisits.. Jika hasil prosedur analisis menunjukan ada ketidaksesuaian, maka auditor internal perlu waspada dan mengembangkan prosedur audit untuk identifikasi keberadaan manipulasi laporan keuangan. Prosedur analitis tersebut:

Lakukan analisis trend untuk identifikasi pendapatan atau laba tren naik, namun arus kan operasional tren menurun.
Lakukan analisis trend untuk identifikasi ada kenaikan atau penurunan signifikan

Modus 1: Pengakuan Penjualan Premature

Transaksi penjualan benar-benar terjadi, namun, perusahaan mengakui lebih cepat pendapatan sebelum terjadinya perpindahan pengendalian hak dan risiko atas barang/jasa.
Modus umum:

Pengiriman barang/ penyerahan jasa dilakukan secara bertahap, namun pengakuan pendapatan diakui secara sekaligus di awal.
Pengakuan pendapatan saat tanggal perjanjian/kesepakatan jual beli, namun belum ada serah terima barang / jasa. Contoh kasus BUMN Transportasi
Kontrak jangka panjang progress lebih dari 1 tahun, tetapi seluruh nilai kontrak diakui pada awal kontrak. Contoh kasus BUMN Karya.

Modus 2: Penjualan fiktif

Terjadi pengiriman barang, namun Transaksi penjualan tidak terjadi, namun, perusahaan mengakui ada pendapatan.
Modus umum:

Invoice fiktif atas pengiriman barang/jasa fiktif, ke konsumen fiktif.
Invoice real atas transaksif fiktif ke konsumen/mitra real, karena ada kerjasama manipulatif antara perusahaan dan konsumen/mitra.
Pengiriman barang ke divisi lain/gudang lain dalam satu perusahaan, diakui sebagai penjualan.
Pertukaran barang sejenis dengan perusahaan lain, diakui sebagai penjualan.

Teknik Audit Identifikasi Penjualan Prematur dan Fiktif

Dapatkan dan pelajari akun pendapatan, dan telusuri ke jurnal-jurnal pengakuan pendapatannya. Telusuri kesesuaian saldo akun pendapatan di laporan keuangan, buku besar, dan ke jurnal, serta ke bukti invoice. Jika terdapat ketidaksesuaian, lakukan verifikasi lebih lanjut dan wawancara manajemen untuk menentukan akurasi pengakuan pendapatan.
Secara sampling, terutama untuk bulan November, Desember, dan Januari, tentukan invoice/ jurnal yang akan diuji
Atas invoice/jurnal yang terpilih, dapatkan bukti-buti pendukungnya, yaitu tanda terima barang (TTB)/ jasa, bukti pengiriman, bukti barang keluar/ bukti pelaksanaan jasa. Bukti pengiriman (FOB Shipping Point) dan Bukti Tanda Terima (FOB Destination) sebagai titik tanggal pengakuan penjualan. Jika terdapat ketidaksesuaian, lakukan verifikasi lebih lanjut dan wawancara manajemen untuk menentukan validitas pengakuan pendapatan.
Atas invoice/jurnal yang terpilih beserta bukti pendukungnya, dapatkan dan pelajari perjanjian jual beli, atau dokumen lain (fisik atau elektronik) terkait klausul tanggal pengiriman barang/penyerahan jasa/mulai pelaksanaan, tempat serah terima, waktu dan nilai pembayaran, serta syarat lain sebagai bukti serah terima barang/jasa. Jika terdapat ketidaksesuaian antara invoice/jurnal dan bukti pendukung dengan klausul perjanjian/dokumen lain, verifikasi lebih lanjut dan wawancara manajen untuk menentukan
Pelajari dan Evaluasi kontrak jangka panjang, terutama terkait klausul jenis kontrak (lumpsum, satuan, turnkey), syarat kemajuan pekerjaan, syarat pembayaran, syarat serah terima pekerjaan, denda.

a. Evaluasi kesesuaian pengakuan pendapatan dengan kemajuan progress fisik. Dapatkan laporan progress fisik, hitung presentasi fisik dibandingkan dengan pengakuan pendapatan.

Modus 3: Pengakuan Penjualan Konsinyasi/ Titipan

Penyerahan hak dan risiko barang telah real terjadi, dan perusahaan mengakui ada pendapatan, namun belum terjadinya perpindahan pengendalian/ hak dan risiko atas barang/jasa. Umum terjadi di perusahaan koran/majalah, farmasi, otomotif,
Modus umum:

Penitipan barang untuk dijual oleh mitra (transaksi konsinyasi), namun diakui sebagai penjualan oleh perusahaan saat pengiriman. Barang konsinyasi seharusnya diakui ketika barang terjual oleh Mitra kepada Pihak III. Contoh kasus …
Penjualan barang kepada Mitra namun ada klausul perjanjian bahwa barang bisa dikembalikan jika tidak laku terjual oleh Mitra. Pembayaran oleh Mitra dilakukan hanya atas barang yang terjual saja. Contoh kasus …
Penjualan barang kepada Mitra, dengan pembayaran full telah diterima oleh Perusahaan. Namun ada klasul jika ada barang tidak laku terjual oleh Mitra, maka Mitra berhak mengembalikan barang tersebut dan Perusahaan wajib mengembalikan pembayaran ke Mitra atas barang tidak laku tersebut.

Teknik Audit Identifikasi Penjualan Konsinyasi

1. Dapatkan dan pelajari perjanjian jual beli, atau dokumen lain (fisik atau elektronik) terkait klausul hak pembeli untuk mengembalikan barang jika tidak laku atau menerima pengembalian pembayaran yang telah dilakukan.

a) Jika terdapat klausul tersebut, verifikasi lebih lanjut dan wawancara manajen untuk menentukan alasan/ argumentasinya.
b) Telusuri bukti pengiriman ke jurnal pengakuan pendapatan untuk menentukan ada pengakuan pendapatan secara total atas perjanjian yang mengandung klausul barang konsinyasi atau barang/pembayaran yang dapat dikembalikan.

2. Analisis kesesuaian bukti pengiriman barang dengan invoice atau telah diinvoice namun baru sebagian.

a) Jika terdapat barang dikirim namun belum diinvoicekan/ diinvoice sebagian, lakukan konfirmasi kepada Mitra dan wawancara dengan Manajemen terkait alasan belum diinvoice atau baru diinvoice sebagian.
b) Telusuri ke pengakuan pendapatan untuk menentukan kesesuaian pengakuan pendapatan dengan invoice. Pengiriman barang belum diinvoice/ diinvoice sebagian, mengindikasikan ada kesepakatan invoice dikirimkan jika barang terjual oleh Mitra.

3. Dari kartu persediaan/ tanda terima barang, analisis keberadaan pengembalian barang oleh Mitra.

a) Atas barang terkait, lakukan penelusuran ke pengakuan pendapatan awal, untuk identifikasi ada pengakuan pendapatan secara penuh atas barang yang bisa dikembalikan jika tidak laku terjual oleh mitra.
b) Lakukan konfirmasi kepada Mitra dan lakukan wawancara kepada Manajemen terkait pengembalian barang tersebut.

4. Lakukan konfirmasi positif atas piutang , dengan tujuan salah satunya adalah untuk identifikasi ada nya piutang yang tidak diakui oleh Mitra karena adanya barang yang dapat dikembalikan jika tidak laku dijual oleh Mitra.

a) Jika ada konfirmasi positif pertama tidak dijawab, lakukan prosedur konfirmasi positif kedua.
b) Jika konfirmasi positif kedua tidak dijawab, maka lakukan prosedur alternatif untuk meyakinkan keberadaan penjualan dimana telah terjadi perpindahan hak dan risiko.
c) Prosedur alternatif antara lain:

1) Penerimaan kas dari atau pengembalian kas kepada Mitra setelah tanggal konfirmasi sampai selesai audit lapangan.
2) Dokumen pengiriman barang, invoice, atau pengembalian barang oleh Mitra.
3) Surat menyurat antara auditi dengan Mitra, yang mengindikasi adanya penjualan atau pengembalian barang dari / pembayaran kepada Mitra.

5. Berdasarkan rekening koran, jurnal, korespondensi, lakukan analisis keberadaan transfer / pengembalian uang kepada Mitra. Hal ini mengindikasikan ada klausul pengembalian barang jika barang tidak laku dijual oleh Mitra

Modus 4: Penjualan dengan Kredit Agresif

Penyerahan hak dan risiko barang/jasa telah real terjadi, dan perusahaan mengakui ada penjualan. Namun, penjualan tersebut terjadi karena penjual menawarkan fasilitas kredit yang agresif, dimana pembeli diperbolehkan membayar kapan pun tanpa ada batas waktu dan tanpa denda keterlambatan bayar. Bahkan kredit diberikan tanpa mempertimbangkan kemampuan dan kredibilitas kredit dari pembeli. Bagi penjual bahwa yang penting barang/jasa terjual, walaupun hanya berupa piutang di atas kertas.
Padahal, salah satu syarat pengakuan pendapatan yaitu tingkat kolektibilitas pembayaran adalah tinggi.
Hal ini umumnya terjadi pada perusahaan milik negara/ daerah, karena alasan mengejar target RKAP dan perusahaan tersebut mengandalkan suntikan dana dari pemerintah jika memgalami kesulitan keuangan/ kas.

Modus umum:

Penjual menawarkan barang/jasa secara kredit kepada pembeli dengan memberi janji ke pembeli dapat membayar kapan saja tanpa ada batas waktu, dan tidak akan dikenakan denda keterlambatan pembayaran.
Untuk mendukung modus tersebut, penjual tidak atau minum mengakui estimasi piutang tidak dapat tertagih, sehingga penjualan yang diakui tetap senilai penuh, tanpa ada pengurang beban piutang tak tertagih. Hal ini dapat dilakukan dengan beberapa cara antara lain dengan meminta pembeli untuk membuat surat janji melunasi, namun tanpa ada jaminan collateral, sehingga pembeli kembali mengingkari pembayaran dan dibiarkan oleh penjual. Dengan begitu, Piutang diargumenkan sebagai piutang lancar.
Modus ini akan menjadi semakin sukses jika ada kerjasama dengan KAP atau KAP tidak profesional.

Teknik Audit

Dapatkan dan pelajari daftar dan umur piutang berdasarkan nama Mitra, terutama piutang yang telah berumur lebih dari 3 bulan.
Identifikasi keberadaan pemberian penjualan kepada Mitra yang memiliki sejarah sering terlambat/ tidak melunasi piutangnya. Evaluasi alasan Penjual menyetujui penjualan kredit kepada Mitra tersebut.
Dapatkan dan pelajari perhitungan estimasi piutang tak tertagih oleh Penjual. PSAK 71 mengatur untuk piutang harus dilakukan estimasi credit loss. Inti model ECL adalah Piutang diakui sebagai nilai kas yang dapat direalisasikan. Model ECL memperhitungkan: historis kredit dari debitor, kondisi sekarang dari debitor, dan perkiraan makro ekonomi masa depan. Auditor internal harus memahami teknis perhitungan expected credit loss.
Jika debitor terkait memberikan janji membayar dimasa mendatang, maka harus ada collateral/ jaminan, dan nilai jaminan tersebut, dari tanggal janji pembayaran kemudian dipresent value kan ke tanggal laporan.
Lakukan konfirmasi atau wawancara dengan Mitra untuk mengetahui alasan Mitra terlambat/ tidak membayar piutang. Kadang, Mitra memberikan jawaban berupa ancaman akan beralih kepada penjual lain jika dilakukan penagihan secara paksa/ hukum.

Semoga Bermanfaat…

Bahasa Indonesia in Report Writing

2020-03-06T15:10:00.003+07:00

1. Arti Penting Komunikasi dalam Audit:

Sentence is a group of words to express a concept of mind or feeling.

Wikipedia: A sentence can include words grouped meaningfully to express a statement, question, exclamation, request, command or suggestion.

Gambar Komunikasi:

Komunikasi berpotensi mengalami gangguan saat prosesnya. Disturbance/gangguan tersebut antara lain berasal dari kesalahan coding (penyusunan bahasa komunikasi). Jika komunikasi dikaitkan dengan kegiatan internal audit, komunikasi audit bisa gagal jika auditor salah dalam penulisan bahasa dalam laporan audit. Oleh karena itu, hal ini menjadi penting bagi auditor untuk memiliki kompetensi yang cukup dalam Bahasa Indonesia.

Ejaan Bahasa Indonesia Yang Disempurnakan

2. Component of Sentence

1) Clauses A clause consists of a subject (S) and a predicate (P).

There are two types of clauses: independent and subordinate (dependent).

An independent clause demonstrates a complete thought; it is a complete sentence: for example, "I am sad."
A subordinate clause is not a complete sentence: for example, "because I had to move."

2) Complete sentences

A simple complete sentence consists of a single clause (subject and predicate). Other complete sentences consist of two or more clauses. For formal use, at least, a sentence should have subject (S) and predicate (P). This basic structure can be extended by adding object (O) / keterangan (K) or by combining several basic sentences into a wide and complex sentence. If a sentence does not has a subject and a predicat, it is called as phrase.

3. Sentence Structure

According to its structure, sentence in Bahasa Indonesia can be divide into:

Simple sentence is a sentence which only has one structure.
Complex sentence is a sentence which has two or more structures. Every complex sentence has different conjunction, thus the type of complex sentence can be notified from conjunction used. Type of complex are as following:

a. Kalimat Majemuk Setara (equal / coordinative)

b. Kalimat Majemuk Bertingkat (unequal / sub ordinative)

c. Kalimat Majemuk Campuran (mixed / coordinative-sub ordinative)

d. Kalimat Majemuk Rapatan

A single idea is expressed in a single sentence; multi ideas are expressed in complex sentence.

1) Simple Sentence (Kalimat Tunggal)

Basic sentence comprise of one S and one P. Principally, by observing its element, a long sentence can be divided (dikembalikan) to its basic structure.

Example:

The sentence above is formed from a combination of the following sentences:

a. Kami melaksanakan audit (S + P + O).

b. Audit berdasarkan standar audit (S + P + O).

c. Standar audit ditetapkan IAI (S + P + O).

Notes: Kata keterangan (K) follows after a word which is explained by K. Types of K are as follow:

- Keterangan place, such as: at the auditee office.

- Keterangan time, such as: last year.

- Keterangan tool, such as: dengan undang-undang itu.

- Keterangan modal, such as: must, should.

- Keterangan means, such as: carefully, in a hurry.

- Keterangan aspect, such as: will, already.

- Keterangan objective, such as: in order to, for.

- Keterangan cause, such as: karena tekun, sebab berkuasa, dan lantaran panik;

- Frasa yang, such as: pemimpin yang memperhatikan rakyatnya;

- Keterangan a’ position, i.e.: keterangan yang sifatnya saling menggantikan, such as: Gubernur DKI Jakarta, Sutiyoso.

Kata keterangan (K) follows after a word which is explained by K.
Wrong:
Kontrak atas kegiatan tsb terdapat “kegiatan” yg dilaksanakan oleh “sub kontraktor” dgn nilai USDXXX yang output dari kegiatan tersebut belum jelas/tidak jelas tolok ukurnya.
Notes:
Since phrase dgn nilai USDXXX is explaining the word “kegiatan”, not the word “sub kontraktor”, thus the phrase should be placed after “kegiatan”.
Suggested Correction:
Kontrak tsb memasukan “kegiatan” senilai USDXXX. Kegiatan tersebut direncanakan akan dilaksanakan oleh “sub kontraktor”. Namun, kontrak tersebut tidak menyatakan dengan jelas tolok ukur dari output kegiatan tersebut.

Active and Pasive Sentence

In Bahasa Indonesia, there is no structure of PS, eventhough in a passive sentence.

When an active sentence is transformed to be a a passive sentence then, S in active sentence is became O in passive sentence, and vise versa.

Kalimat Aktif a/ kalimat di mana subyeknya melakukan suatu perbuatan atau aktifitas.

Kalimat pasif a/ kalimat yang subyeknya dikenai suatu perbuatan atau aktifitas.

This rule is also applied for "kalimat majemuk".

So, in Bahasa Indonesia there is the rule of S + P, in active or pasive sentence.

Other mistake often found in using conjunction is “sedangkan”.

“Sedangkan” is a conjunction of two equal (setara) clause, such as “dan”, “atau”, and “sementara”. Thus, “sedangkan” must never be placed at the beginning of sentence..

Example from Jawa Pos:

“Sebelumnya disebutkan, dalam pilgub Banten kali ini, 6.208.951 pemilih terdaftar dalam DPT (daftar pemilih tetap). Sedangkan jumlah total TPS se-Banten ada 12.849.”

Suggestion :

“Sebelumnya KPU menyebutkan bahwa dalam pilgub Banten kali ini, ada 6.208.951 pemilih terdaftar dalam DPT, sedangkan jumlah total TPS se-Banten ada 12.849.”

2) Complex Sentence (Kalimat Majemuk)

(1) Equal Complex Sentence (Kalimat Majemuk Setara)

An equal complex sentence has two or more basic sentences. This sentence consists of 5 types, as follow:

- Kalimat Majemuk Setara Penggabungan: using conjuction `dan`

- Kalimat Majemuk Setara Penguatan: using conjuction `bahkan`

- Kalimat Majemuk Setara Pemilihan: using conjuction `atau`.

- Kalimat Majemuk Setara Berlawanan: using conjuction `tetapi`, `sedangkan`, `melainkan`

- Kalimat Majemuk Setara Urutan Waktu: using conjuction `kemudian`, `lalu`, `lantas`

Example:

Saya sedang tidak duduk tetapi berdiri.
Panitia Pengadaan dan Calon Rekanan sedang bernegosiasi.
Manipulasi perpajakan bukan hanya dilakukan oleh oknum fiskus, bahkan melibatkan oknum Biro Hukum.

(2) Unequal Complex Sentence (Kalimat Majemuk Tak Setara) (Bertingkat/Subordinatif)

A subordinate complex sentence at least consists of 2 basic sentences as its elements. One of these basic sentences is become independent / main (red: preferred) clause, and the other is became dependent / sub (red: preferred) clause. Therefore, unequal complex sentence consist of main clause and sub clause. Sub clause is came from the extension of the element of main clause. Conjunctions used in unequal complex sentence, are as follow:

Jika kalau apabila andaikata
Ketika waktu setelah sebelum
Supaya agar sebab karena
Walaupun sekalipun biarpun bagaimanapun

1. Terdapat kekurangan volume dalam pelaksanaan Pekerjaan XXXX, yaitu selisih fisik lebih kecil dibandingkan dengan Berita Acara Penyerahan Fisik yang mengakibatkan kerugian negara sebesar Rp8.600.811,00.
The above sentence is wrong, since:
a. No subject in main clause.
Terdapat = P.
Kekurangan .... Pekerjaan XXXX = O
b. Sub clause is not came after the element which is explained.
.... Pekerjaan XXXX, yaitu selisih ....
.... Fisik yang mengakibatkan ....
Suggested Correction:

Hasil uji fisik Pekerjaan XXXX menemukan bahwa volume fisik lebih kecil dibandingkan dengan Berita Acara Penyerahan Fisik. Kondisi tersebut mengakibatkan kerugian negara sebesar Rp8.600.811,00.

2. Karena PPK lalai dalam memverifikasi tagihan dari Konsultan, sehingga keuangan negara dirugikan sebesar RpXXX.

The above sentence is incorrect since there are two conjunction which have the same function.

Correction:

a. Karena PPK lalai dalam memverifikasi tagihan dari Konsultan, keuangan negara dirugikan sebesar RpXXX.

b. PPK lalai dalam memverifikasi tagihan dari Konsultan, sehingga keuangan negara dirugikan sebesar RpXXX.

3. Untuk mengatur pemenang lelang, dokumen lelang seluruh peserta dibuat oleh Panitia Lelang.

The subject of the main clause and sub clause is not the same.

Correction:

Untuk mengatur pemenang lelang, Panitia Lelang membuat dokumen lelang seluruh peserta.

(3) Mixed Complex Sentence (Kalimat Majemuk Campuran)

(4) Rapatan / Lesapan Complex Sentence

Rapatan / lesapan complex sentence is a complex sentence which is experiencing lesapan (rapatan) of the same elements of clauses. Example:

4. Effective Sentence

1) The definition of effective sentence An effective sentence has to have a capability to transfer the idea from the authors to their readers. An effective sentence is a sentence which fulfills the following requirements:

(1) In accordance with EYD.

(2) Can represent the idea of the author.

(3) Able to transfer the idea from the authors to their readers (Keraf,1980:36).

Thus:
We must not create a sentence which make its reader become confuse or have multi interpretation.

BAHASA INDONESIA DALAM KARYA TULIS ILMIAH: POKOK-POKOK PIKIRAN (Anang Santoso dan Sunaryo H.S) Things should be noted in papers (report) writing are as follows:

First, BI used is BI ragam tulis (writing manner?).

In writing manner, the role of punctuation mark is very important. Consider sentence (1) and (2) as following:

(1) Peninggalan Kerajaan Majapahit, yang ada di Probolinggo, sekarang sudah rusak parah.

(2) Peninggalan Kerajaan Majapahit yang ada di Probolinggo sekarang sudah rusak parah.

In sentence (1), the sub clause “yang ada di Probolinggo”, which is written between two comma, is only apposition (additional information) and do not confine (membatasi) the phrase peninggalan Kerajaan Mahapahit. On contrary, in sentence (2), the same sub clause confines the meaning of peninggalan Kerajaan Mahapahit.

The implication of this difference is that in sentence (1) Kerajaan Majapahit has only one heritage and the heritage is in Probolinggo, while in sentence (2), Kerajaan Majapahit has more than one heritages and one of them is in Probolinggo. This first criterion also means that papers should have structure equivalent (kesepadanan struktur?), i.e. a balance between idea and sentence structure used. Equivalent sentence has characteristics as following:

a. The sentence has clear functions (subject and predicate). A clear subject and predicate can be obtained by avoiding the use of di, dalam, bagi, untuk, pada prior to the subject.

Example (no subject): Dalam exit conference itu dihasilkan sebuah kesepakatan.

b. No double subject.

Example: Peringatan hari Sumpah Pemuda beberapa warga masyarakat menampilkan berbagai kegiatan kesenian.

c. Kata penghubung digunakan secara tepat

Example: Dia datang terlambat. Sehingga tidak dapat mengkuti kuliah pertama. Conjunction sehingga cannot be used at the beginning of sentence because it has a function as conjuction of intra sentence.

d. Predicate is not preceded by conjunction yang.

Example: Semua regulasi yang menghambat iklim.

Second, BI used is the Formal BI.

Formal means official. Formal form is used in a situation of formal language, for an example in paper writing.

Third, academic language comes from idea.

It means that the stand point is directed to ideas or things that are expressed. An idea-oriented active sentence can be seen as in example (3) and (4), as follow:

(3) Badudu (1985) menyatakan bahwa bahasa ilmiah merupakan suatu laras (register) bahasa yang khusus yang memiliki coraknya sendiri.

(4) Perkembangan perekonomian Indonesia pascareformasi berjalan sangat lambat.

Fourth, academic language should be objective.

This criteria is related to the third criteria. By placing idea as starting point, the objective criteria can be fulfilled.

Objective

• Contoh-contoh di atas telah memberikan bukti besar peranan orang tua dalam pembentukan kepribadian anak.

Subjective

• Contoh-contoh di atas telah memberikan bukti betapa besarnya peranan orang tua dalam pembentukan kepribadian anak.

Fifth, BI used should be plain (lugas? / kecermatan).

Plain means “as what it is”. Plain language forms a single meaning, can avoid multi interpretation and misunderstanding. Plain covers aspects as following:

a. The accuracy of sentence structure

Example: Terdapat inventaris yang masih dipegang oleh mantan karyawan yang sampai dengan saat pemeriksaan belum dikembalikan.

The use of words above cause the sentence has double interpretation.

b. The choice of word

Example: Sebagian toko tertutup sehingga para korban gempa mengkonsumsi makanan sesuai dengan ketersediaan yang ada.

The use “tertutup” can make multiple interpretation, open (still operate) or close (not operate), or blocked by something.

c. The use of punctuation mark.

Example: Menurut cerita Ibu Sari adalah orang pandai di desa itu.

The short of comma in the above sentence cause its meaning become vague.

Sixth, sentence used in academic language should be efficient.

An efficient sentence avoids the use of excessive words.

Example:

Efficient:

• Nilai etis tersebut menjadi pedoman hidup bagi setiap warga negara Indonesia.

Not Efficient:

• Nilai etis tersebut di atas menjadi pedoman dan dasar pegangan hidup bagi setiap warganegara Indonesia.

Efficient:

• Pendidikan agama di sekolah dasar tidak akan terlaksana dengan baik tanpa dukungan dari orang tua.

Not Efficient:

• Pendidikan agama di sekolah dasar tidak akan terlaksana dengan baik tanpa adanya dukungan dari orang tua dalam keluarga.

Efficient should not eliminate words which add the sentence clarity.

Example:

Untuk menghindari kebocoran, anggaran pemerintah harus dibuka untuk publik (running text Metro TV).

Instead of being efficient, the above sentence makes the subject of sub clause is not clear. Efficient can be made by:

a. Eliminating the repetition of the same subject. Contoh: Lukisan itu indah. Lukisan itu akan saya beli. Kalimat jika digabungkan menjadi seperti di bawah ini Lukisan indah itu akan saya beli.

b. Avoiding the use of super ordinate in hyponymy. Contoh: Petugas penyidik KPK menggeledah rumah tersangka.

c. Avoiding synonymy in one sentence. Contoh: Tim ini memiliki waktu selama sepekan (terhitung kemarin) untuk menyelesaikan audit.

d. By not pluralizing the plural. Contoh: Beberapa negara-negara Asean mengikuti konfrensi…. Banyak para peninjau yang menyatakan bahwa perang yang sedang berlangsung itu merupakan Perang Dunia Timur Tengah.

Seventh, sentence used should be complete.

A Complete sentence is a sentence which its elements should be exists in that sentence, especially subject and predicate.

Example:

Complete:

• Pendidikan memerlukan bahasa sebagai alat komunikasi antara subjek didik dengan pendidik.

Incomplete:

• Di dalam pendidikan memerlukan bahasa sebagai alat komunikasi antara subjek didik dengan pendidik.

Complete:

• Bahasa Indonesia tidak mengenal perubahan kata kerja karena perubahan kala dan persona.

Incomplete:

• Di dalam bahasa Indonesia tidak mengenal perubahan kata kerja karena perubahan kala dan persona.

Eighth, academic language should be consistent.

A consistent language means ‘comply with standard’ or “ajeg”. Once a sentence’s element, mark, and terms is used in accordance with BI standards, all of it should be used consistently.

For the example:

“Pejabat yang bertugas dan bertanggung jawab untuk melakukan pengawasan/pengarahan pelaksanaan pekerjaan, memeriksa dan meneliti hasil pekerjaan, monitoring dan evaluasi pelaksanaan pekerjaan di daerah, melakukan kajian dan pembahasan terhadap laporan-laporan hasil pekerjaan konsultan dikaitkan dengan kesesuaian isi laporan dengan TOR, memeriksa kehadiran personil konsultan, dan ketepatan waktu pengiriman laporan.”

Sentence (7) is not consistent, while sentence (8) is consistent.

(7) Perlucutan senjata di wilayah Libanon Selatan itu tidak penting bagi pejuang Hisbullah. Untuk mereka, yang penting adalah pencabutan embargo persenjataan.

(8) Perlucutan senjata di wilayah Libanon Selatan itu tidak penting bagi pejuang Hisbullah. Bagi mereka, yang penting adalah pencabutan embargo persenjataan.

The adverb “untuk” is used to deliver an objective / goal and the adverb “bagi” is used to deliver an object.

Example: Sasaran Audit Program BOS KITA:

1) Menilai keberhasilan pelaksanaan Program BOS KITA.

2) Mengidentifikasi hambatan pelaksanaan program (hambatan pencapaian kinerja).

Ninth, academic language should be logic / rational.

A logical sentence means the idea of the sentence can be understood by reader’s mind and is in comply with BI standard. Logical is related to interpretation, i.e. a process of thinking for associating all existing facts to obtain a conclusion.

Example:

Mayat wanita yang ditemukan itu sebelumnya sering mondar-mandir di daerah tersebut.

If we ask “Siapa yang mondar-mandir?”, based on the above sentence, the answer is “mayat wanita”. Obviously, the sentence is not logic.

Semoga Bermanfaat...

Issues in IACM (Internal Audit and Capabilty Model)

2018-10-12T20:15:00.004+07:00

1. Apa itu IACM (Internal Audit Capability Model)

IA-CM merupakan kerangka yang mengidentifikasi kebutuhan fundamental untuk efektifitas audit internal dalam sektor publik. IACM menjelaskan tahapan evolusi yang perlu diikuti oleh organisasi sektor publik dalam mengembangkan efektifitas audit internal agar memenuhi kebutuhan governance organisasi dan ekspektasi profesi.

IA-CM adalah:

Kendaraan komunikasi.
Kerangka untuk penilaian.
Road map untuk perbaikan secara sistematis.

Untuk mempelajari lebih rinci konsep IA-CM, dapat dilihat di posting Internal Audit Capability Model (IA-CM).
IA-CM menyediakan perangkat bagi organsiasi sektor publik untuk:

Menentukan prasyarat audit internal sesuai dengan sifat, kompleksitas, dan risiko terkait dari operasional AAI.
Menilai kapasitas audit internal yang ada dibandingkan dengan prasyarat yang telah ditentukan.
Mengidentifikasi gap signifikan antara prasyarat dan kapasitasn audit internal yang ada, identifikasi pekerjaan-pekerjaan diperlukan untuk mengembangkan audit internal ke level yang memadai.

Prinsip-prinsip yang mendasari IA-CM:

Audit internal merupakan komponen integral dari efektif governance dalam sektor publik dan membantu organisasi mencapai tujuannya dan mempertanggung jawabkan hasil kerjanya.
Tiga variabel yang harus dipertimbangkan ketika menilai level kapabilitas AAI – yaitu AAI, organisasi, dan lingkungan keseluruhan dimana organisasi beroperasi.
Organisasi memiliki kewajiban untuk menentukan tingkat optimum dari aktifitas audit internal untuk mendukung kebutuhan governance-nya dan untuk mencapai kapasitas yang yang diinginkan.
Tidak semua organisasi membutuhkan kapasitas audit internal yang sama atau sangat maju. Tingkat yang memadai akan sepadan dengan sifat dan komplesitas dari organisasi dan risiko yang dihadapi oleh organisasi. “No one size fits all.”
Kapasitas AAI secara langsung terkait dengan tindakan yang diambil oleh CAE untuk mengembangkan proses dan praktik yang dibutuhkan untuk mencapai dan menjaga kapabilitas audit internal dan ukuran yang ditetapkan oleh manajemen organisasi untuk mengembangkan lingkungan yang mendukung bagi audit internal.
Audit internal harus dilaksanakan secara cost effective.

IACM dimaksudkan sebagai model universal dengan perbandingan antara prinsip-prinsip, praktik-praktik, dan proses-proses yang dapat diterapkan secara global untuk memperbaiki audit internal.

2. Apa perbedaan antara IA-CM dan QAIP (Quality Assurance and Improvemen Program)

No	Aspek	IA-CM	QAIP
1	Keharusan berdasar Standar IPPF	Tidak diharuskan dalam IPPF	Diharuskan dalam IPPF
2	Target	AAI Sektor Publik	AAI Sektor Komersil
3	Tujuan	Alat mapping tingkat kapabilitas AI Sektor Publik dan identifikasi area of improvement dengan mempertimbangkan sifat, kompleksi-tas, risiko terkait dari operasional organisasi. IACM tidak secara khusus mengevaluasi kepatuhan dengan Standar, namun mengevaluasi apakah suatu proses kunci repeatable, sustainable, dan institutionalized ke dalam AAI	Menilai kepatuhan umum terhadap Standar IPPF dan Kode Etik, serta Pencapaian Kinerja AAI. Selain itu, QAIP juga menilai efisiensi dan efektifitas AAI, apakah dan bagaimana AAI memberi nilai tambah, dan mengindentifikasi area perbaikan.
4	Elemen Penilaian	Elemen Penilaian: a. Services and Role of Internal Auditing b. People Management c. Professional Practices d. Performance Management and Accountability e. Organizational Relationships and Culture f. Governance Structures	Elemen Penilaian: Pernyataan-pernyataan yang ada dalam Standar IPFF, yaitu Standar 1000 sd Standar 2600.
5	Simpulan	Mapping pada Level 1, 2, 3, 4, 5.	Generally Conform, Partially Conform, Does Not Conform.
6	Output	Rekomendasi perbaikan kapabilitas, efisiensi, dan/ atau efektifitas	Rekomendasi perbaikan dalam rangka patuh pada Standar IPPF, Kode Etik, dan Pencapaian Kinerja AAI.

3. Apakah IA-CM dapat menggantikan QAIP?

Jelas TIDAK, karena IA-CM tidak disyaratkan dalam Standar IPPF, sedangkan QAIP wajib diterapkan oleh AAI. Karena QAIP wajib diterapkan dan IACM tidak wajib maka tidak lah efisien bagi AAI di Perusahaan Komersil untuk menerapkan IA-CM. Walau AAI telah menerapkan IA-CM, namun AAI tetap diwajibkan menerapkan QAIP, sehingga akan timbul dua biaya penilaian yaitu IACM dan QAIP.

4. Apakah IA-CM Model Dapat Diterapkan untuk Sektor Komersial?

Walaupun IA-CM disusun berdasarkan studi di lingkungan sektor publik, namun secara substansi, IACM Model dapat juga digunakan untuk mapping dan pengembangan kapabilitas aktifitas audit internal di sektor komersil.
Namun, Standar IPPF tidak mewajibkan aktifitas audit internal untuk menerapkan IA-CM, melainkan mewajibkan AAI untuk menerapkan QAIP. Selain itu, output dari IA-CM dan QA-IP sama-sama menghasilkan, antara lain, rekomendasi area-area perbaikan untuk peningkatan kapabilitas AAI.

5. Apakah Level 3 Merupakan Level Minimum yang Harus Dimiliki oleh Setiap AAI?

Pada elemen Professional Practices: Level 3 – Integrated, Quality Management framework, salah satu key process areas (KPA) adalah AAI: mengembangkan sistem dan prosedur untuk memonitor dan melaporkan kinerja dan efektifitas dari AAI, termasuk “Kesesuaian dengan Definisi, Kode Etik, dan Standard”. Salah satu sistem dan prosedur tersebut adalah “penerapan QAIP, yang termasuk ongoing internal monitoring dan penilaian periodik internal dan eksternal.
Sebagian praktisi berpendapat bahwa KPA tersebut bermakna bahwa level 3 menuntut AAI untuk patuh pada Standar IPPF, sehingga berdasarkan KPA tersebut maka Level 3 menjadi level minimum yang seharusnya dicapai oleh setiap AAI.
Menurut pendapat penulis, argumen tersebut di atas tidak lah tepat karena:

IA-CM tidak didesain secara khusus untuk mengevaluasi kepatuhan dengan Standar, namun mengevaluasi apakah suatu proses kunci repeatable, sustainable, dan institutionalized ke dalam AAI.
Standar memperbolehkan deviasi kesesuaian terhadap standar karena tuntutan dari peraturan perundang-undangan atau karena standar lain yang wajib dipatuhi oleh AAI. Contoh deviasi yang diperkenankan oleh Standar, adalah AAI sebagai second line of defence.

6. Apakah Peningkatan Level AAI Dilanjutkan Sampai ke Level 5?

Model IACM mencoba untuk menyelaraskan sifat dan kompleksitas suatu organisasi dengan kapabiltas audit internal, yang dibutuhkan untuk mendukung organisasi. Dengan kata lain, jika organisasi menuntut tingkat lebih besar dari kapabilitas dalam praktik audit internal, maka AAI perlu ditingkatkan pada level kapabilitas yang lebih tinggi. Level kapabilitas audit internal sering terkait dengan tingkat maturitas tata kelola dari organisasi.
Tingkat-tingkat kapabilitas dalam model IACM memberikan suatu road map untuk perbaikan berkelanjutan dalam AAI. Namun, AAI dapat memilih untuk tetap berada pada level tertentu dan tetap masih menunjukan praktik terbaik pada level tersebut bagi AAI dalam suatu organisasi dan lingkungan tertentu (hal. 8 Paper IACM).
Sebagai contoh, AAI mungkin ingin untuk tetap pada level tertentu dan memperbaiki efisiensi dan kualitas implementasi dari proses pada level tersebut dengan cara membangun “praktik terbaik” daripada hanya mengejar dan berkembang ke level yang tinggi. Faktor lain untuk dipertimbangkan dalam hal ini adalah “cost to improve” – untuk meningkat dari Level 2 ke Level 3 atau dari Level 3 ke Level 4. Dengan kata lain, AAI dapat memilih untuk tetap berada di Level 2 atau Level 3, dan tidak butuh ke level kapabilitas lebih tinggi karena level saat ini merupakan yang paling cost effective pada saat itu (hal. 8 Paper IACM). AAI tidak dapat melampaui maturitas dari organisasi yang didukungnya (hal. 53 Paper IACM).

Semoga Bermanfaat..................

Internal Audit Manages Risk Management, May or MayNot?

2017-10-02T08:54:00.001+07:00

Model Three Lines of Defence relatif banyak dikenal setelah IIA menerbitkan IIA Position Paper: The Three Lines of Defense in Effective Risk Management and Control, pada Januari 2013. Seiring perkembangannya, model ini banyak diadopsi oleh banyak Perusahaan termasuk di Indonesia.

Dari beberapa kali diskusi, beberapa pihak menafsirkan bahwa berdasarkan model tersebut, maka internal audit “harus” berada di lini ketiga, dengan tugas memberikan assurance/ audit terhadap lini pertama dan kedua. Mereka juga berpendapat bahwa internal audit “tidak boleh terlibat langsung” dalam pengelolaan manajemen risiko dan pengendalian intern. Pendapat tersebut juga merujuk ke “model kipas”, yang menurut mereka, model kipas tersebut juga melarang internal audit terlibat langsung dalam pengelolaan manajemen risiko dan pengendalian intern.
Tulisan ini kami buat karena menurut kami ada miskonsepsi/ misinterprestasi terkait peran internal audit dalam pengelolaan manajemen risiko dan pengendalian intern. Misinterprestasi tersebut tertutama terkait Model Three Lines of Defence dan Internal Auditing’s Role in Enterprise Risk Management.

a. Apa itu tugas Risk Management?

Fungsi manajemen risiko merupakan bagian dari manajemen organisasi. Tanggung jawab dari fungsi manajemen risiko antara lain:

Menyediakan kerangka manajemen risiko bagi organisasi.
Mengidentifikasi isu-isu baru atau perubahan-2 yang signifikan.
Mengkoordinasi dan membantu manajemen dalam mendesain proses dan pengendalian untuk mengelola risiko dan isu-isu, dengan cara antara lain fasilitasi, memberikan panduan, dan pelatihan.
Memfasilitasi, mengkoordinasi, dan memonitor implementasi praktik manajemen risiko yang efektif terhadap para manajer dan personil, termasuk koordinasi pelaporan dan tindakan koreksi yang diperlukan.

Kami perlu menekankan bahwa identifikasi dan analisis risiko, serta pengembangan dan implementasi pengendalian merupakan tanggung jawab pemilik risiko, yaitu unit kerja dan para personil, bukan unit manajemen risiko.

b. Model Three Lines of Defence

Model Three Lines of Defense menggambarkan fungsi dan tanggung jawab yang efektif bagi pengelolaan risiko dan pengendalian, dengan pengelompokan lini sebagai berikut:

Fungsi yang memiliki dan mengelola risiko dan pengendalian. Lini pertama pertahanan adalah manajemen, yang sehari-hari bertanggung jawab terhadap proses desain, implementasi, pelaporan, dan monitoring risiko dan pengendalian intern.
Fungsi yang memonitor dan mengawasi. Lini kedua pertahanan adalah fungsi supporting dan pengawasan terhadap pengelolaan risiko, pengendalian, dan kepatuhan untuk menjamin kecukupan desain dan efektifitas proses manajemen risiko dan pengendalian intern. Sifat dan tipe fungsi ini sangat tergantung pada banyak faktor, termasuk maturitas organisasi. Termasuk dalam fungsi lini kedua adalah: fungsi manajemen risiko, fungsi kepatuhan, dan fungsi quality control.
Fungsi yang memberikan independent assurance. Lini ketiga pertahanan adalah fungsi yang memberikan independent assurance kepada dekom dan direksi terkait kecukupan desain dan efektifitas implementasi manajemen risiko dan pengendalian.

Fungsi Lini 1 dan 2 melapor kepada Direksi/ Senior Management dan Lini 3 melapor ke Direksi dan Dekom. Model tersebut dapat digambarkan sebagai berikut:

The Three Lines of Defence Model

Namun, pemisahan tiga lini fungsi tersebut bukanlah harga mati. Dalam Position Paper: The Three Lines of Defense in Effective Risk Management and Control, IIA menyatakan “all three lines should exist in some form at every organization, regardless of size or complexity. However, in exceptional situations that develop, especially in small organizations, certain lines of defense may be combined. For example, there are instances where internal audit has been requested to establish and/or manage the organization’s risk management or compliance activities. In these situations, internal audit should communicate clearly to the governing body and senior management the impact of the combination.”

c. Internal Auditing’s Role in ERM (Model Kipas)

Peran internal internal audit dalam ERM dapat berupa:

Tidak berperan.
Auditing proses manajemen risiko sebagai bagian dari rencana internal audit.
Memberikan pandangan dan data historis terkait kejadian-kejadian risiko yang diidentifikasi dalam temuan internal audit.
Secara aktif, berkelanjutan mendukung dan terlibat dalam proses manajemen risiko.
Mengelola dan mengkoordinasikan proses manajemen risiko:

Dalam IIA Position Paper: The Role of Internal Auditing in Enterprise-Wide Risk Management, peran internal auditor dalam ERM digambarkan dalam bentuk kipas (ERM Fan).

ERM FAN

Sebagaimana digambarkan dalam Model Kipas di atas, aktifitas yang masuk dalam segitiga merah merupakan peran unit manajemen risiko. Namun, aktifitas manajemen risiko tersebut tersebut dapat diperankan oleh internal audit, dengan safeguards untuk tetap menjaga independensi internal audit dan objektifitas auditor. Rincian safeguard dimaksud dapat dilihat dalam uraian di bawah.

d. Internal Audit’s Role as Second Line of Defence

Banyak organisasi yang meminta CAE untuk juga mengelola fungsi manajemen risiko/ kepatuhan. Hal ini sering karena ukuran atau maturitas organisasi, efisiensi, pertimbangan teknis karena banyak aktifitas overlap antara manajemen risiko dan internal audit. Ada kalanya, peraturan pemerintah atau industri mewajibkan suatu organisasi untuk memiliki fungsi manajemen risiko dan kepatuhan. Namun, untuk organisasi kecil atau baru, membentuk unit tersendiri untuk manajemen risiko dan kepatuhan akan menjadi memberatkan, sehingga beberapa organisasi menggabungkan fungsi manajemen risiko dan kepatuhan dengan fungsi internal audit. Namun, jika penggabungan fungsi tersebut tidak dikelola secara memadai, maka objektif dan independensi internal audit dapat menjadi terganggu.
IIA Supplemental Guidance: Internal Audit and the Second Line of Defense memberikan panduan praktis bagi CAE ketika internal audit berperan juga sebagai second line of defence (misal sebagai kepala unit manajemen risiko dan kepatuhan). CAE seharusnya tetap menjaga independensi dan objektifitas, dan mengkomunikasi risiko-2 yang timbul dengan manajemen dan dekom, serta mengkonfirmasi risiko yang diterima manajemen terkait dengan kemungkinan terganggunya independensi internal audit dan objektifitas auditor.

e. The Safeguards

Safeguards diperlukan untuk mempertahankan objektifitas dan independensi internal audit, ketika fungsi lini kedua pertahanan ditugaskan kepada internal audit. Safeguards tersebut yaitu:

Diskusi risiko penugasan tersebut dengan manajemen dan dekom.
Pernyataan penerimaan dan kepemilikan risiko tersebut oleh manajemen.
Definisi dan peran yang jelas untuk setiap kegiatan dimana aktifitas lini kedua overlap dengan aktifitas lini ketiga, termasuk dokumentasi komponen berikut:
Dampak dan risiko bagi organisasi dan internal audit.

Peran, tanggung jawab, dan pemisahan tugas.
Pengendalian yang dibangun untuk memastikan safeguards yang disepakati dapat beroperasi secara efektif.
Keputusan apakah penugasan tersebut bersifat sementara atau jangka panjang. Jika sementara, rencana transisi menjadi dibutuhkan.
Dokumentasi penerimaan dan persetujuan dari manajemen senior dan dekom.
Aktifitas lini kedua yang dilaksanakan oleh internal audit seharusnya dinyatakan dalam charter dan/ atau dimasukan dalam keputusan dekom, minimal setahun sekali. • Secara periodik (setahun sekali), ada evaluasi terhadap garis pelaporan dan tanggung jawab, oleh manajemen dan dekom.

Sifat dari peran internal audit seharusnya dinyatakan secara jelas dalam audit charter.
Penilaian independen secara periodik terhadap peran lini kedua oleh internal audit dan efektifitas syarat-syarat independensi, objektifitas, dan assurans. CAE seharusnya memasukan reviu peran lini kedua oleh internal audit, dalam program QAIP dengan frekuensi lebih banyak, tergantung tingkat dari risiko.
Ketika safeguards untuk menjaga independensi dan objektifitas menjadi tidak memungkinkan, maka Standar IIA mewajibkan aktifitas lini kedua untuk ditugaskan kepada unit selain internal audit, atau di-outsource-kan kepada pihak III.

Internal audit seharusnya menghindari aktifitas berikut yang dapat mengganggu independensi dan objektifitas, yaitu:

Menentukan risk appetite.
Memiliki atau mengelola risiko (lini pertama).
Memegang tanggung jawab untuk akuntansi, pengembangan bisnis, dan fungsi lini pertama lainnya.
Menetapkan keputusan respon terhadap risiko, dengan mengatasnamakan manajemen.
Menerapkan atau memegang pertanggung jawaban untuk proses manajemen risiko atau tata kelola.
Melaksanakan penugasan asurans terhadap aktifitas lini kedua yang dilaksanakan oleh internal audit.

f. In Practice

Bukan hanya organisasi kecil, beberapa organisasi besar dan sudah mature pun ada yang menggabungkan fungsi internal audit dengan manajemen risiko, dengan berbagai pertimbangan. Sepengetahuan kami, contoh organisasi besar dan mature yang menggabungkan peran internal audit dengan manajemen risiko antara lain:

Garuda Maintenance Facility, Indonesia: Unit Internal Audit dan Manajemen Risiko
PT XL Axiata, Tbk, Indonesia: Audit and Risk Management Division.
PT Adaro, Tbk, Indonesia: Internal Audit and Risk Management Division
Enfield Council, UK.: Internal Audit and Risk Management Division.
Whirlpool Corporation, USA: ERM Process Embeded within Internal Audit System.

g. Simpulan

Idealnya model three lines of defence dapat diterapkan oleh semua jenis organisasi, dengan internal audit berada di lini ketiga. Namun, dengan pertimbangan profesional, internal audit dapat ditugaskan melaksanakan fungsi lini kedua, dengan menerapkan safeguards agar independensi internal audit dan objektifitas auditor tetap terjaga.

Apakah Opini WTP BPK Seharusnya Menjamin Tidak Ada Korupsi?

2017-06-22T12:02:00.001+07:00

Baru-2 ini pada akhir Mei 2017, KPK melakukan OTT auditor BPK dan pejabat Kemendes karena ada indikasi jual beli opini BPK. Selain itu, di tempat lain, beberapa kasus korupsi terjadi di Kementerian yang telah mendapatkan opini WTP untuk Laporan Keuangan terkait korupsi tersebut. Kemudian, publik mempertanyakan bagaimana LK yang mendapat opini WTP ternyata masih ada kasus korupsi didalamnya.
Hal ini membuat Penulis tertarik membuat ulasan mengenai opini WTP BPK dikaitkan dengan jaminan ada tidaknya fraud/ korupsi.

Berdasarkan Penjelasan Pasal 16 ayat (1) UU No. 15 Tahun 2004 tentang Pemeriksaan Pengelolaan dan Tanggung Jawab Keuangan Negara:

Opini merupakan pernyataan profesional pemeriksa mengenai kewajaran informasi keuangan yang disajikan dalam laporan keuangan yang didasarkan pada kriteria (i) kesesuaian dengan standar akuntansi pemerintahan, (ii) kecukupan pengungkapan (adequate disclosures), (iii) kepatuhan terhadap peraturan perundang-undangan, dan (iv) efektivitas sistem pengendalian intern.
Terdapat 4 (empat) jenis opini yang dapat diberikan oleh pemeriksa, yakni:
1. Opini wajar tanpa pengecualian (unqualified opinion),
2. Opini wajar dengan pengecualian (qualified opinion),
3. Opini tidak wajar (adversed opinion), dan
4. Pernyataan menolak memberikan opini (disclaimer of opinion).

Petunjuk Pelaksanaan Pemeriksaan Keuangan oleh BPK

Opini terhadap kewajaran atas Laporan Keuangan yang dapat diberikan adalah salah satu di antara empat opini sebagai berikut.

Wajar tanpa pengecualian (unqualified opinion).
Opini “Wajar Tanpa Pengecualian” menyatakan bahwa laporan keuangan disajikan secara wajar dalam semua hal yang material sesuai dengan Standar Akuntansi. (penulis: tidak sinkron dengan Juknis Pemeriksaan: WTP diberikan jika memenuhi 4 kriteria + 2 kriteria tambahan).
Wajar dengan pengecualian (qualified opinion).
Opini “Wajar Dengan Pengecualian” menyatakan bahwa laporan keuangan disajikan secara wajar dalam semua hal yang material sesuai Standar Akuntansi, kecuali dampak hal-hal yang berhubungan dengan yang dikecualikan. Hal-hal yang dikecualikan dinyatakan dalam LHP yang memuat opini tersebut
Tidak Wajar (adverse opinion).
Opini “Tidak Wajar” menyatakan bahwa laporan keuangan tidak disajikan secara wajar posisi keuangan sesuai dengan Standar Akuntansi.
Menolak Memberikan Pendapat atau Tidak Dapat Menyatakan Pendapat (disclaimer opinion).
Opini “Tidak Dapat Menyatakan” Pendapat menyatakan bahwa laporan keuangan tidak dapat diyakini wajar atau tidak dalam semua hal yang material sesuai dengan Standar Akuntansi. Ketidakyakinan tersebut dapat disebabkan oleh pembatasan lingkup pemeriksaan dan/atau terdapat keraguan atas kelangsungan hidup entitas. Alasan yang menyebabkan menolak atau tidak dapat menyatakan pendapat harus diungkapkan dalam LHP yang memuat opini tersebut.

Pelaporan Kepatuhan terhadap Peraturan Perundang-undangan:

Merancang pemeriksaan untuk memberikan keyakinan memadai guna mendeteksi kesalahan/ kekeliruan yang material dalam laporan keuangan sebagai akibat langsung dari adanya unsur perbuatan melanggar/melawan hukum yang material.
Waspada terhadap kemungkinan telah terjadinya unsur perbuatan melawan hukum baik secara langsung maupun tidak langsung. Jika informasi khusus yang telah diterima oleh pemeriksa memberikan bukti tentang adanya kemungkinan unsur perbuatan melanggar/melawan hukum yang secara tidak langsung berdampak material terhadap laporan keuangan, maka pemeriksa harus menerapkan prosedur audit yang secara khusus ditujukan untuk memastikan apakah suatu unsur perbuatan melanggar/melawan hukum telah terjadi.

Juknis Pemeriksaan BPK atas LK PP dan LK Kementerian / Lembaga

Kriteria yang menjadi pertimbangan dalam penentuan opini:
1. Kesesuaian dengan Standar Akuntansi Pemerintahan
2. Efektivitas pengendalian intern
3. Kepatuhan terhadap ketentuan per-UU
4. Pengungkapan yang memadai

Unqualified opinion (Pendapat Opini Wajar Tanpa Pengecualian) diberikan dengan kondisi:

a. Keempat kriteria yang menjadi kriteria dalam penentuan opini dapat dipenuhi.
b. Semua koreksi yang dapat mempengaruhi kewajaran penyajian LK sudah dilakukan oleh auditee.
c. Dapat melakukan review atas auditor lain yang melaksanakan pemeriksaan atas LK entitas lain yang menjadi bagian LK yang kita periksa. Atau, tidak dapat mereview pekerjaan auditor lain tersebut, tetapi dapat meyakini bahwa bagian tersebut tidak material terhadap LK yang kita diperiksa.

Adverse opinion (Pendapat Tidak Wajar)

Pada dasarnya, Pendapat Tidak Wajar diberikan apabila auditor dapat meyakini bahwa penyajian LK tidak wajar, dengan kondisi-kondisi:
a. Terdapat 2 kriteria yang tidak dipenuhi, yaitu “kesesuaian dengan Standar Akuntansi Pemerintahan” dan “Konsistensi pelaksanaan SAP” (penulis: syarat ini tidak ada dalam 4 kriteria di atas).
b. Terdapat koreksi yang sangat material yang tidak dilaksanakan oleh auditee.
Disclaimer

Pendapat Tidak Memberi Pendapat diberikan pada saat auditor tidak dapat menyimpulkan bahwa penyajian LK wajar atau tidak wajar, dengan kondisi-kondisi:

a. Keempat kriteria tersebut tidak dilaksanakan.
b. Terdapat pembatasan lingkup audit atas akun-akun yang sangat material terhadap penyajian LK.
c. Prosedur alternatif untuk meyakini kewajaran penyajian LK tidak dapat dilaksanakan.
d. Tidak dapat mereview pekerjaan auditor lain yang melakukan pemeriksaan atas LK yang merupakan bagian dari LK yang kita periksa, akan tetapi jumlahnya sangat material.
Lebih lanjut, Juknis tersebut juga memuat flowchart pemberian opini laporan keuangan:

Flowchart Opini BPK

“Siaran Pers BPK - 30 Juni 2011”

Opini WTP diberikan dengan kriteria: sistem pengendalian internal memadai dan tidak ada salah saji yang material atas pos-pos laporan keuangan. Secara keseluruhan laporan keuangan telah menyajikan secara wajar sesuai dengan SAP. (penulis: tidak sesuai dengan Penjelasan UU Pemeriksaan dan Juknis Pemeriksaan).
Dengan demikian, dapat disimpulkan bahwa opini WTP tidak menjamin bahwa pada entitas yang bersangkutan tidak ada korupsi. Karena pemeriksaan laporan keuangan tidak ditujukan secara khusus untuk mendeteksi adanya korupsi. Namun demikian, BPK wajib mengungkapkan apabila menemukan ketidakpatuhan atau ketidakpatutan baik yang berpengaruh atau tidak berpengaruh terhadap opini atas laporan keuangan.

Analisis Penulis:

Terkait dengan Definisi atau Kriteria Opini BPK, terdapat banyak sekali ketidakselarasan antara Juklak Pemeriksaan Keuangan, dengan Juknis Pemeriksaan Keuangan, termasuk dengan Flowchart Opini, serta dengan Siaran Pers BPK.
Juknis Pemeriksaan Keuangan yang diatur oleh BPK, menyatakan bahwa “Opini WTP diberikan jika BPK berkeyakinan bahwa:
- Laporan Keuangan Kementerian / Lembaga telah sesuai dengan Standar Akuntansi Pemerintahan.
- Efektivitas pengendalian intern Kementerian/ Lembaga telah memadai.
- Tidak terdapat ketidakpatuhan yang material terhadap ketentuan per-UU.
- Pengungkapan informasi keuangan telah memadai.
- Semua koreksi yang dapat mempengaruhi kewajaran penyajian LK sudah dilakukan oleh auditee.
- Dapat melakukan review atas auditor lain yang melaksanakan pemeriksaan atas LK entitas lain yang menjadi bagian LK yang kita periksa. Atau, tidak dapat mereview pekerjaan auditor lain tersebut, tetapi dapat meyakini bahwa bagian tersebut tidak material terhadap LK yang kita diperiksa.”
Juklak Pemeriksaan Keuangan menyatakan bahwa:
Dalam melakukan pemeriksaan kepatuhan terhadap perundang-undangan, “Jika adanya kemungkinan unsur perbuatan melanggar/melawan hukum yang secara tidak langsung berdampak material terhadap laporan keuangan, maka pemeriksa harus menerapkan prosedur audit yang secara khusus ditujukan untuk memastikan apakah suatu unsur perbuatan melanggar/melawan hukum telah terjadi.”
Artinya, WTP dapat diberikan setelah BPK yakin tidak ada ketidakpatuhan material terhadap perundang-undangan, termasuk tidak ada unsur perbuatan melanggar / melawan hukum.
Secara umum, KAP menetapkan tingkat materialitas pada range 1% - 3%. Dalam contoh penentuan tingkat materialitas, BPK juga mencontohkan tingkat materialitas pada tingkat 1% - 3%. Jika menggunakan tingkat materialitas tersebut, hal ini berarti bahwa BPK memiliki keyakinan sebesar 99% - 97% terhadap ketepatan opini yang diberikan, dan ada kemungkinan 1% - 3% salah dalam memberikan opini. Artinya, jika BPK memberikan opini WTP, maka BPK memiliki keyakinan 99% - 97% bahwa opini WTP adalah tepat, termasuk BPK yakin tidak ada unsur perbuatan melanggar/melawan hukum.
Oleh karena itu, jika LK Kementerian Keuangan mendapatkan opini WTP, maka dengan kata lain BPK telah berkeyakinan 99% - 97% bahwa:
- Laporan Keuangan Kementerian Keuangan telah sesuai dengan Standar Akuntansi Pemerintahan.
- Efektivitas pengendalian intern Kementerian Keuangan telah memadai. Jika disimpulkan memadai, hal ini berarti BPK yakin tidak ada kelemahan Pengendalian Intern yang material yang dapat berpotensi menimbulkan fraud/ korupsi.
- Tidak terdapat ketidakpatuhan yang material terhadap ketentuan per-UU, termasuk tidak ada unsur perbuatan melanggar / melawan hukum. Hal ini juga berarti juga bahwa tidak ada indikasi pelanggaran peraturan yang mengarah terjadinya korupsi.
- Pengungkapan informasi keuangan telah memadai.
- Semua koreksi yang dapat mempengaruhi kewajaran penyajian LK sudah dilakukan oleh Kementerian Keuangan.
- Dapat melakukan review atas auditor lain yang melaksanakan pemeriksaan atas LK entitas lain yang menjadi bagian LK Kementerian Keuangan. Atau, tidak dapat mereview pekerjaan auditor lain tersebut, tetapi dapat meyakini bahwa bagian tersebut tidak material terhadap LK Kementerian Keuangan.”

Deteksi Fraud: Menggunakan Teknik Data Analisis

2017-02-09T12:16:00.001+07:00

Dengan menggunakan general audit software (GAS) - seperti ACL, TeamMate, dan Idea – internal auditor dapat mendeteksi keberadaan fraud dengan cara melakukan pengujian pola dalam sebaran data.
Rasionalisasi dari analisis ini adalah bahwa suatu pola yang tidak biasa, dapat menjadi simptom dari kemungkinan adanya fraud. Contoh sederhana dari penerapan teknik ini adalah mencari adanya duplikasi transaksi seperti duplikasi pencatatan transaksi pengeluaran untuk nomor invoice dan nomor vendor yang sama:

Duplikasi Transaksi

Nomor Invoice	Nomor Vendor	Nilai
129304	A543891	Rp10.357.100
129304	A543891	Rp10.357.100

Biasanya, kita berpikir bahwa kombinasi dari nomor invoice – nomor vendor, adalah bersifat unik. Oleh karena itu, keberadaan dua transaksi dengan kombinasi nomor invoice – nomor vendor yang sama, menunjukan adanya pola yang tidak biasa dalam data tersebut. Identifikasi kemungkinan adanya duplikasi transaksi akan menjadi simptom dari fraud, yang seharusnya dievaluasi lebih lanjut. Namun, simptom fraud hanyalah simptom dan seharusnya di investigasi secara memadi sebelum mengambil suatu simpulan. Transaksi-transaksi yang kelihatannya duplikasi, bisa jadi hanyalah merupakan pembayaran-pembayaran bertahap atau pembebanan bulanan dengan nilai tagihan yang sama. Akan lebih baik untuk mencari duplikasi transaksi dengan menggunakan lebih dari satu field kunci.

Pembulatan Nilai

Teknik analisis digital lainnya adalah untuk mengidentifikan nilai rupiah, angka yang dibulatkan, seperti Rp200.000 atau Rp5.000.000. Keberadaan angka bulat tersebut mungkin menunjukan simptom kemungkinan fraud, dan seharusnya diperiksa.
Fungsi MOD() dalam ACL dapat secara mudah mengidentifikasi tipe angka bulat tersebut. can easily identify these types of even numbers. Sebagai contoh: MOD(Amount,1000) = 0 akan mengidentifikasi transaksi-2 yang dikalikan 1.000, seperti Rp30.000 dan Rp70.000, dan juga Rp120.000 dan Rp250.000, namun tidak dapat mengidentifikasi transaksi dengan nilai Rp200.230, atau 125.500.

Studi Kasus: Pembulatan Nilai

Beban perjalanan sering menjadi perhatian para auditor, karena biasanya kontrol lemah. Para pegawai memiliki batas maksimal per diem saat perjalanan dinas, namun harus mempertanggungjawabkan kwitansi realisasinya. Batas maksimum juga diterapkan untuk beban makan minum: sarapan Rp100.00, makan siang Rp200.000, dan makan malam Rp300.000, dan untuk hotel Rp1.000.000. Auditor menggunakan fungsi MOD() untuk mengidentifikasi transaksi-2 yang dikalikan Rp10.000 atau Rp100.000. Transaksi-2 tersebut dibandingkan dengan bukti SPJ untuk meyakinkan bahwa nilai yang dibebankan tersebut dapat diterima.
Reviu manual menunjukan bahwa beberapa pegawai telah mengklaim tarif maksimum untuk makan minum dan hotel, meskipun bukti SPJ tidak menunjukan nilai tersebut.

Analisis Rasio

Teknik deteksi fraud lainnya adalah analisis rasio atas field numerik kunci. Seperti hal nya analisis rasio keuangan yang menjadi indikasi kesehatan suatu perusahaan, analisis rasio data juga menunjukan kemungkinan simptom fraud. Tiga rasio yang umumnya digunakan adalah:

rasio nilai maksimum dibandingkan nilai minimum (Maximum/Minimum);
rasio nilai maksimum pertama dibandingkan nilai maksimum kedua (Maximum/2nd Highest); dan
rasio tahun berjalan dibandingkan tahun sebelumnya,

Sebagai contoh, auditor ingin menilai kewajaran harga dari suatu produk, maka ia dapat menganalisis rasio harga per unit maksimum dibandingkan harga per unit minimum untuk setiap produk. Jika rasio mendekati 1, maka auditor cukup yakin bahwa tidak besar variasi antara harga tertinggi dan terendah, yang dibayar perusahaan. Namun, jika rasio cukup besar, hal ini mengindikasikan perusahaan lebih bayar untuk produk tersebut.

Line Produk	Max	Min	Rasio
Produk 1	235	127	1,85
Produk 2	289	285	1,01

Produk 1 memiliki perbedaan besar dalam harga per unit antara maksimum dan minimum (rasio 1,85); sedangkan Produk 2 memiliki variasi kecil dalam harga per unit (rasio 1,01). Audit seharusnya mereviu transaksi-2 dengan harga per unit Rp235.000 dan Rp127.000 untuk Produk 1, untuk menilai kewajaran pembayaran yang terjadi. Pembayaran tidak normal untuk produk dengan harga per unit tinggi dapat mengindikasikan simptom kickback terkait pembelian produk tersebut.
Rasio maksimum dibandingkan dengan maksimum kedua dapat juga menunjukan kemungkinan fraud. Sebagai contoh, pengujian pola pembayaran kepada para vendor dapat mengungkapkan ketidaknormalan. Dalam kasus ini, rasio besar mengindikasikan suatu anomali dalam data tersebut.

Vendor	Max	Mak ke-2	Rasio
Vendor XYZ	Rp100.080.000	Rp26.068.000	3,84
Vendor ABC	Rp103.429.000	Rp101.210.000	1,02

Rasio besar menunjukan bahwa nilai maksimum berbeda jauh daripada nilai maksimum kedua. Deviasi yang tidak dapat dijelaskan dapat mengindikasikan simptom fraud. Dalam beberapa kasus, rasio besar membuktikan adanya pembayaran tidak benar kepada vendor terkait.

Studi Kasus – Tagihan Dokter

Auditor mereviu sistem billing pasien untuk menentukan apakah tagihan telah cukup diperiksa oleh penyedia jasa kesehatan. Analisis awal terhadap data tersebut dilakukan untuk menghitung rasio tagihan tertinggi dan terendah untuk setiap pelayanan kesehatan.
Standar mensyaratkan bahwa layanan dengan rasio Tertinggi/ Terendah lebih dari 1,30 agar dicatat dan dilakukan prosedur reviu tambahan.
Kuartal ini, tiga layanan memiliki rasio lebih dari 1,30, dengan rasio tertinggi adalah 1,42. Suatu filter dibuat untuk menindentifikasi rekaman-2 yang terkait dengan tiga layanan tersebut, dan prosedur/analisis tambahan dilakukan. Prosedur tambahan tersebut secara cepat mengidentifikasi bahwa satu dokter telah membuat tagihan lebih besar dari dokter-2 lainnya, untuk prosedur yang sama. Perbandingan tagihan dari Sistem Billing dengan pencatatan pembayaran dalam Sistem Piutang, menunjukan bahwa dokter tersebut telah melakukan skimming beberapa pembayaran yang diterima. Nilai pelayanan tersebut tercatat dalam Sistem Piutang sesuai sebesar nilai tagihan yang normalnya untuk layanan terkait. Dokter tersebut tidak mampu menjelaskan alasan tagihan yang lebih tinggi, atau menjelaskan perbedaan antara Sistem Billing dengan Sistem Piutang.

Analisis Trend

Analisis trend beberapa tahun, atau antar departemen, divisi, dll, dapat berguna untuk mendeteksi kemungkinan fraud. Perhitungan berguna lainnya adalah rasio tahun berjalan dengan tahun sebelumnya. Rasio tinggi mengindikasikan perubahan signifikan dalam jumlah total, yang seharusnya dapat dijelaskan.

Studi Kasus – Kickback Pengadaan Kontrak

Johnathan, pejabat pengadaan, telah merancang skema besar yang menguntungkan dirinya dan perusahaan rekanan yang bersedia berbisnis dibawah syarat-syarat ybs. Perusahaan yang tidak bersedia untuk memberikan kickback ke Johnathan, maka tidak akan mendapatkan kontrak.
Auditor memutuskan untuk menggunakan analisis digital sebagai bagian dari reviu terhadap kegiatan pengadaan. Salah satu analisis menghitung nilai kontrak oleh vendor untuk dua tahun terakhir. Rasio tahun berjalan dibandingkan tahun sebelumnya telah dihitung, dan perhitungan statistik digunakan untuk melihat minimum, maksimum, rata-rata, dan tertinggi/ terendah 5 rasio. Walau rata-2 mendekati nilai 1,0, namun nilai tertinggi/ terendah 5 rasio menunjukan bahwa beberapa Rekanan mengalami penurunan signifikan nilai kontrak, sedangkan lainnya mengalami kenaikan signifikan nilai kontrak.
Auditor mereviu detail dari seluruh Rekanan yang memiliki rasio kurang dari 0,7 atau lebih dari 1,30. Catatan detail di ekstrak ke dalam file dan nilai totalnya dihitung. Untuk rekanan yang mendapatkan kenaikan kontrak, hasil ekstrak menunjukan bahwa Johnathan telah menaikan beberapa kontrak. Sebaliknya, Johnathan tidak memberikan tambahan kontrak untuk rekanan yang mengalami penurunan nilai kontrak. Auditor kemudian mengetahui skema kickback Johnathan ketika melakukan interviu dengan Staf Pemasaran dari Rekanan yang memiliki rasio kurang dari 0,7. Interviu dengan Staf Pemasaran dari Rekanan yang mendapatkan kenaikan penjualan lebih dari 1,30, menghasilkan keyakinan adanya sangkaan fraud.

Sumber:
Dave Coderre
Penulis ‘The Fraud Toolkit; ‘Fraud Detection: Using Data Analysis Techniques to Detect Fraud’ dan ‘CAATTs and Other BEASTs for Auditors’

Isu-Isu Seputar Internal Audit Program

2017-02-03T15:15:00.000+07:00

Well, beberapa kesempatan kami berdiskusi mengenai isu-isu terkait dengan Internal Audit Program (istilah lain: prosedur audit, langkah-2 kerja audit).
Audit program dimaksud adalah audit program untuk penugasan selain audit khusus/ investigasi. Kami mencoba merangkum isu-isu tersebut, dengan rujukan IPPF IIA.

Berikut isu-isu terkait internal audit program:

1. Apa sih elemen audit program

Sederhananya, audit program merupakan merupakan instruksi/ langkah-langkah audit yang diperlukan untuk mencapai tujuan audit. Karena audit program merupakan instruksi formal, maka audit program merupakan instruksi langkah-2 kepada auditor untuk mencapai tujuan audit.
Berdasar IPPF IIA, elemen audit program adalah:
a. Pernyataan tujuan audit (dengan mempertimbangkan high risk yang teridentifikasi).
b. Perencanaan alokasi sumber daya (biasanya waktu dan PIC).
c. Prosedur/ langkah-2 untuk mengumpulkan, menganalisis, menginteprestasikan, dan mengdokumentasikan informasi selama penugasan audit.
Berikut contoh audit program dengan menggunakan pendekatan Risk Control Martix:

Contoh audit program

2. Bagaimana formalitas, dokumentasi, dan tingkat detail dari audit program?

Formalitas, dokumentasi, dan tingkat detail audit program, tergantung beberapa aspek, antara lain:
a. Apakah hasil penugasan internal auditor akan dijadikan acuan oleh pihak lainnya (seperti auditor eksternal, regulator, aparat hukum).
b. Apakah penugasan internal audit terkait masalah yang berpotensi masuk ke ranah hukum.
c. Tingkat kompetensi dan pengalaman internal auditor.

3. Siapa yang meng-approve audit program.

Prinsipnya, pencapaian tujuan aktivitas internal audit, termasuk kecukupan dan efektifitas audit program, merupakan tanggung jawab CAE. Jadi, audit program di-approve oleh CAE atau manajemen di bawahnya yang diberikan kewenangan untuk itu, misal Manajer/ Supervisor Audit.

4. Bagaimana jika ada kebutuhan perubahan audit program saat penugasan lapangan berlangsung?

Audit program disusun di saat perencanaan dan berdasarkan hasil penilaian risiko dan pengendalian awal. Nah, setelah di lapangan, sering kali, beberapa audit program tidak bisa dilaksanakan atau ada masalah baru yang tidak masuk dalam audit program, yang perlu didalami lebih lanjut. Kondisi tersebut mengharuskan auditor untuk memodifikasi audit program, untuk menggambarkan realisasi apa yang dilakukan auditor di lapangan. Perubahan tersebut dapat berimplikasi perubahan tujuan, anggaran, waktu, dll, yang telah ditetapkan sebelumnya oleh CAE .
Oleh karena ada perubahan tersebut, maka setiap perubahan harus disetujui terlebih dahulu sebelum modifikasi audit program tersebut dilaksanakan. Hal ini diatur dalam Standar 2240:
“The work program must be approved prior to its implementation, and any adjustments approved promptly.”

5. Boleh ga sharing audit program ke auditor internal lainnya / auditor eksternal?

CAE bertanggung jawab untuk mencapai tujuan audit secara efisien dan efektif. Agar efisien, CAE perlu memastikan tidak ada duplikasi pekerjaan dengan internal auditor lainnya dan eksternal auditor. Agar efektif, CAE juga memastikan bahwa lingkup pekerjaan telah memadai.
Untuk efisien dan efektif tersebut, CAE seharusnya berkoordinasi dengan dan men-share audit program kepada internal auditor lainnya dan eksternal auditor. Hal ini diatur dalam Standar 2050:
“The chief audit executive should share information, coordinate activities, and consider relying upon the work of other internal and external assurance and consulting service providers to ensure proper coverage and minimize duplication of efforts.”
Implementation Guide 2050 juga merekomendasikan:
“Access to the internal auditors’ programs and working papers is provided to external auditors in order for external auditors to be satisfied as to the acceptability for external audit purposes of relying on the internal auditors’ work.”

6. Boleh ga sharing audit program ke klien/ manajemen?

Well, banyak opini terkait isu ini. Ada yang bilang tidak boleh, dan ada yang bilang boleh. Yang tidak boleh, berargumen kalo audit program di-share ke klien maka klien akan mengantisipasi, atau segera memperbaiki area yang akan diperiksa.
Well lagi, kalo kami berpendapatan boleh sharing audit program ke klien. Argumennya adalah:
a. Tidak ada larangan dalam standar internal audit/IPPF IIA.
b. Audit program yang masih bersifat rencana, tidaklah bersifat rahasia. Dokumen internal audit yang akses nya dibatasi adalah kertas kerja, yang didalamnya termasuk audit program yang sudah dilaksanakan. Akses KKA dibatasi sebagai kontrol agar tidak ada yang bisa merubah, menghapus KKA, di mana KKA merupakan bukti audit.
c. Kalaupun klien segera memperbaiki kekurangan-2 di area yang akan diperiksa, kan malah bagus. Artinya auditor ga perlu cape-2 buat rekomendasi dan kekurangan langsung diindentifikasi sendiri dan di-TL sendiri oleh klien. Pekerjaan auditor malah menjadi lebih efisien.

Jika ada yang berpendapat lain, dengan senang hati kita berdiskusi.
Semoga bermanfaat....

Isu-Isu terkait Konfirmasi Audit

2017-01-11T15:49:00.002+07:00

Postingan kali ini kita mencoba membahas beberapa isu yang terkait dengan prosedur konfirmasi. Kadangkala, kita sebagai auditor menemukan beberapa situasi yang tidak banyak diatur di dalam suatu standar. Namun, isu-isu tersebut biasanya diatur dalam suatu Interprestasi Standar.

KONFIRMASI DALAM PERIODE INTERIM

Konfirmasi yang dilakukan mendekati tanggal laporan keuangan akan memberikan bukti yang lebih andal. Namun, sebagai suatu cara penyelesaian suatu audit secara tepat waktu, sering diperlukan untuk melakukan konfirmasi piutang pada tanggal interim. Hal ini diperbolehkan jika pengendalian intern dinilai cukup dan dapat memberikan keyakinan memadai bahwa penjualan, penerimaan kas, dan kredit lainnya telah dicatat secara memadai antara waktu konfirmasi dan akhir periode akuntansi. Auditor cenderung mempertimbangkan faktor lainnya dalam membuat keputusan, termasuk materialitas dari piutang dan risiko auditor mendapatkan tuntutan karena kemungkinan klien mengalami bangkrut atau risiko sejenisnya.
Jika diputuskan untuk melakukan konfirmasi piutang sebelum tanggal akhir tahun, auditor biasanya mempersiapkan schedule roll-forward yang merekonsiliasi saldo piutang pada tanggal konfirmasi ke saldo piutang pada tanggal laporan keuangan. Sebagai tambahan bagi prosedur analitis terhadap aktifitas selama periode antara tersebut, mungkin diperlukan untuk menguji keterjadian transaksi antara tanggal konfirmasi dan tanggal laporan keuangan. Auditor dapat melakukan pengujian tersebut dengan cara menguji dokumen internal, seperti invoice penjualan, dokumen pengiriman, dan bukti penerimaan kas.

TINDAK LANJUT ATAS KONFIRMASI TIDAK DIJAWAB

Tidaklah layak untuk menyimpulkan konfirmasi yg dikirim namun tidak dikembalikan oleh konsumen, dipandang sebagai bukti audit yang signifikan. Sebagai contoh, tidak ada respon terhadap konfirmasi positif tidak dapat menjadi bukti audit. Sama halnya konfirmasi negatif, auditor seharusnya tidak menyimpulkan bahwa konsumen telah menerima surat konfirmasi dan telah memverifikasi informasi yang ditanyakan. Namun, konfirmasi negatif menyediakan suatu bukti asersi keberadaan.
Ketika konfirmasi positif digunakan, standar audit mensyaratkan prosedur tindak lanjut terhadap konfirmasi yang tidak dikembalikan oleh konsumen. Umumnya, auditor akan mengirim surat konfirmasi kedua dan bahkan ketiga. Bahkan setelah dilakukan usaha tersebut, beberapa konsumen tetap tidak menjawab surat konfirmasi, sehingga diperlukan tindak lanjut berupa prosedur alternatif.

Confirmation: Alternative Procedures

Tujuan dari prosedur alternatif adalah menggunakan prosedur lainnya untuk menentukan apakah akun yang tidak terkonfirmasi memang benar ada dan disajikan secara memadai pada tanggal konfirmasi. Untuk konfirmasi positif yang tidak dijawab, auditor dapat memeriksa dokumentasi berikut ini untuk memverifikasi keberadaan dan akurasi transaksi-transaksi penjualan yang membentuk saldo akhir akun piutang:

Penerimaan Kas Setelah tanggal Konfirmasi
Bukti penerimaan kas setelah tanggal konfirmasi, termasuk memeriksa surat pemberitahuan pengiriman uang (remittance advices), jurnal dalam pencatatan penerimaan kas, atau bahkan mungkin jurnal kredit dalam master file piutang. Pada satu sisi, pemeriksaan bukti penerimaan kas setelah tanggal konfirmasi merupakan prosedur alternatif yang sangat berguna karena menjadi logis untuk mengasumsikan bahwa konsumen melakukan pembayaran karena terdapat piutang atas nama konsumen tersebut. Pada sisi lainnya, pembayaran tidak menjamin bahwa piutang tersebut memang ada pada tanggal konfirmasi. Sebagai tambahan, auditor seharusnya berhati-hati untuk mencocokan setiap transaksi penjualan yang belum dibayar, dengan bukti pembayaran setelahnya, karena mungkin nilainya tidak cocok karena ada dispute terkait nilai invoice.

Duplikasi Invoice Penjualan
Pemeriksaan duplikasi invoice, berguna untuk memverifikasi bahwa piutang untuk 1 invoice penjualan. Ada kalanya, suatu penjualan diterbitkan invoice 2 x, sehingga piutang tercatat 2 x.

Dokumen Pengiriman
Pemeriksaan dokumen pengiriman menjadi penting dalam menentukan apakah penjualan/ pengiriman benar-benar aktual dan juga untuk pengujian cutoff/ pisah batas.

Korespondensi dengan Klien
Biasanya, auditor tidak perlu mereviu korespondensi sebagai bagian dari prosedur alternatif, namun korespondensi dapat digunakan untuk mengungkapkan piutang yang dispute atau diragukan, yang tidak terungkap dengan cara lainnya.

KONFIRMASI AUDIT SECARA ELEKTRONIK

Auditor umumnya akan melakukan konfirmasi saldo kas, kecuali risiko salah saji material adalah rendah untuk asersi keberadaan kas. Pada beberapa kasus, auditor dapat membuat wawancara secara online terkait informasi saldo bank klien, meskipun langkah tersebut merupakan prosedur alternatif, bukan prosedur konfirmasi.
Konfirmasi elektronik yang dikendalikan secara memadai, dapat menjadi bukti audit yang andal. Makin banyak auditor menggunakan cara elektronik untuk mengkonfirmasi saldo kas dan pinjaman.
Untuk mengandalkan proses konfirmasi elektronik, auditor perlu yakin terhadap integritas dari proses tersebut.

MANAJEMEN MEMINTA UNTUK TIDAK MELAKUKAN KONFIRMASI

Terkadang, untuk alasan tertentu, manajemen meminta auditor untuk tidak mengkonfirmasi saldo tertentu atau informasi lainnya. Alasan tersebut antara lain karena ada dispute antara manajemen dan konsumen, terkait dengan nilai piutang. Sebagai contoh, konsumen suatu tabungan dan pinjaman mungkin meminta untuk tidak menerima “monthly statements” atau notifikasi sejenisnya. Alasan umum lainnya adalah saldo yang dispute antara klien dan konsumen.
Namun, permintaan tersebut dari manajemen dapat menjadi menipu untuk mengalihkan perhatian auditor dari transaksi yang tidak wajar. Adanya dispute dengan konsumen juga tidak dapat menjadi alasan cukup untuk tidak melakukan konfirmasi. Hanya surat representasi manajemen terkait dengan masalah tersebut juga tidak dapat menjadi bukti audit yang cukup.
Dampak dari permintaan tersebut terhadap risiko audit merupakan faktor penting. Dengan mengasumsikan auditor telah mengumpulkan bukti kolaboratif terkait alasan-alasan untuk tidak melakukan konfirmasi, auditor seharusnya melaksanakan prosedur alternatif, seperti memeriksa penerimaan kas di masa mendatang, untuk menjamin bahwa pembayaran memang berhubungan dengan saldo piutang yang dipertanyakan.
Tergantung pada risiko salah saji material, sifat dari saldo, dan ketersediaan bukti audit, auditor dapat juga menguji dokumen pengiriman (dengan asumsi cukup pemisahan fungsi), bukti eksternal pesanan pembelian dari konsumen, bukti pihak ketiga terkait pengiriman, invoice penjualan, kontrak, atau dokumentasi yang relevan lainnya.
Jika permintaan manajemen bahwa auditor agar tidak mengkonfirmasi saldo tertentu atau informasi lainnya adalah tidak masuk akal atau menyebabkan adanya pembatasan lingkup audit secara signifikan, auditor biasanya akan menolak memberikan pendapatan atau menarik diri dari penugasan. Auditor dapat mencari saran dari bagian hukum.

KONFIRMASI SYARAT-SYARAT DARI PERJANJIAN KOMPLEKS ATAU TIDAK BIASA

Auditor seharusnya mengasumsikan adanya risiko tinggi dari salah saji material karena adanya fraud terkait dengan pengakuan pendapatan. Risiko pengakuan pendapatan dapat bersembunyi dalam perjanjian skema “bill-and-hold” dan skema pisah batas penjualan. Sebagai tambahan, manajemen mungkin saja meng-override kontrol atas suatu kontrak proyek/ penjualan jangka panjang.
Transaksi "round-trip" atau "linked" dapat menjadi perhatian dalam industri dimana para anilis lebih fokus pada pendapatan dari pada pengukuran laba. Transaksi “round-trip” terjadi ketika suatu bisnis atau organisasi mencatat transaksi penjualan yang tampaknya valid ke konsumen, namun mengembalikan hasil penjualan ke konsumen setelah transaksi tersebut, dan pengembalian tersebut sering dalam periode akuntansi yang berbeda.
Sebagai tambahan konfirmasi atas saldo, auditor seharusnya mempertimbangkan meminta konfirmasi atas syarat-syarat dari perjanjian yang kompleks atau tidak biasa dan keberadaan “side agreement”, dimana terdapat risiko signifikan terkait pengakuan pendapatan. Enron menggunakan special-purpose entities (SPEs) untuk menghindari konsolidasi utang, aset usang, dan kerugian. Side agreement yang mengkompensasi para pemodal untuk kerugian yang ditanggung oleh SPE, diduga tidak diungkapkan kepada auditor. Side agreement tersebut sering melibatkan penerbitan saham tambahan Enron.
Pengetahuan atas fakta-fakta tersebut tampaknya akan mendorong auditor untuk menyimpulkan bahwa konsolidasi akan menjadi lebih layak untuk diterapkan. Auditor mungkin dapat mendeteksi “side agreement” tersebut dengan cara konfirmasi keberadaan “side agreement”. Konfirmasi tersebut seharusnya dialamatkan ke personil yang familiar dengan syarat-2 transaksi, seperti pejabat countersign, daripada pegawai level bawah.

KONFIRMASI LIABILITAS USAHA DAN TRANSAKSI PIHAK ISTIMEWA

Banyak auditor memilih untuk mengidentifikasi adanya liabilitas tidak tercatat, seringkali selama masa akhir pekerjaan lapangan, sebagai suatu alternatif untuk konfirmasi liabilitas usaha. Namun, konfirmasi liabilitas usaha dapat menjadi efektif dalam mendeteksi transaksi “round-trip”, khusus dimana “sisi beli” dari transaksi ini belum terselesaikan sampai dengan setelah akhir audit lapangan untuk bagian pembelian.
Saat konfirmasi liabilitas usaha digunakan untuk tujuan tersebut, biasanya auditor akan menggunakan formulir “blank”, yang menanyakan responden untuk mengisi saldo yang dikonfirmasi. Juga, akan dapat efektif untuk meminta responden untuk menjawab daftar saldo liabilitas secara detail, dan juga informasi tentang transaksi pertukaran/ kompensasi, yang melibatkan pertukaran secara seimbang/ sama.
Risiko fraud juga dapat bersembunyi dalam transaksi hubungan istimewa dan transaksi yang melibatkan para pihak yang berkepentingan. Auditor seharusnya memperoleh pemahaman tentang sifat bisnis untuk transaksi tersebut dan mempertimbangkan mengkonfirmasi syarat-2 yang disepakati dengan pihak lain terkait transaksi tersebut. Juga, karena manajemen dapat berada di kedua sisi dari transaksi tersebut, auditor mungkin ingin mencari bukti audit dari pihak intermediator, seperti bank, penjamin, agen, atau pengacara.

PENGHILANGAN PROSEDUR ALTERNATIF KONFIRMASI

Jika auditor puas atas prosedur alternatif yang dilakukan, maka tidak ada batasan ruang lingkup dan laporan auditor tidak perlu membuat referensi penghilangan prosedur konfirmasi atau prosedur alternatif. Prosedur alternatif relevan mungkin dapat diabaikan jika kondisi berikut ada: (1) jumlah agregat konfirmasi yang tidak direspon, yang diproyeksikan 100% salah saji, tidak akan mempengaruhi keputusan auditor terkait apakah laporan keuangan salah saji secara material, dan (2) auditor tidak mengidentifikasi adanya bias atau kesamaan yang tidak biasa diantara para responden yang tidak menjawab.
Identifikasi kesamaan tersebut – sebagai contoh, bahwa konsumen yang tidak merespon berada di wilayah pemasaran tertentu, atau merupakan konsumen baru, atau didominasi sebagai konsinyasi – dapat mengindikasikan adanya bias tersebut. Faktor yang tidak biasa atau karakteristik sistemik belum tentu selalu menjadi bukti.

Audit Confirmation: Positive vs Negative

2016-12-27T23:14:00.002+07:00

I believe many of you guys already familiar with “audit confirmation”, but some of you might still confuse with the differences between positive and negative confirmation. In this post we would like to discuss more about “audit confirmation”.

Definition:

Confirmation—the auditor’ s receipt of a direct written or electronic response from a third party verifying the accuracy of information requested.
Confirmation procedures can be used to confirm the balance of receivable, payable, contigent liabilities, bank account, inventories and securities in custody, or to confirm the transaction of sales invoice, side agreement, purchases.

Objective:

The purpose of accounts / transactions confirmation is to meet the Existence, Accuracy, and Cutoff objectives.

Form of Confirmation: Positive and Negative

Positive Confirmation
A positive confirmation = correct or incorrect, the recipient is requested to reply/ confirm with the stated amount/ information. Included as positive confirmation are:

A blank confirmation.
An invoice confirmation.
Sales involve special terms or side-agreements confirmation.

Negative Confirmation
A negative confirmation = the recipient is requested to reply only when the recipient disagrees with the stated amount.

Difference:

Failure to reply:
- Positive Confirmation
Auditor should perform follow up procedures if the debtor does not reply. See the follow procedures below.
- Negative Confirmation
Regarded as a correct response, even though the debtor may have ignored the confirmation request.

Cost of confirmation:
Negative Confirmation is less expensive than positive confirmation, because there will be no second confirmation request and no follow-up procedures.

Criteria to Use:
For using Negative Confirmation, all of the following circumstances are present:
1. The auditor has assessed the risk of material misstatement as low and has obtained sufficient evidence regarding the design and operating effectiveness of controls.
2. The population of items is made up of a large number of small, homogenous account balances, transactions, or other items.
3. The auditor expects a low exception rate.
4. The auditor reasonably believes that recipients will give the requests adequate consideration. Adequate consideration exist when there are high response rates on audits in previous year or of similar clients.
Typically, when negative confirmations are used, the auditor puts considerable emphasis on the effectiveness of internal controls, substantive tests of transactions, and analytical procedures as evidence of the fairness of accounts receivable, and assumes that the large majority of the recipients will provide a conscientious reading and response to the confirmation request.

Common Pratical Use
Negative Confirmation is common used practically for audits of hospitals, retail stores, banks, and other industries in which the receivables are due from the general public.

Follow-Up on Nonresponses

If a positive confirmations are not returned by the customer, auditing standards require follow-up procedures. Usually, auditors would send second and some times even third requests for confirmations. With these efforts, but some customers do not return the confirmation, so auditors should follow up with alternative procedures. The objective of alternative procedures is to confince the auditor whether the nonconfirmed account existed and was properly stated at the confirmation date. For any positive confirmation not returned, auditors can examine the following documentation to verify the existence and accuracy of individual sales transactions making up the ending balance in accounts receivable:

Subsequent Cash Receipts

Duplicate Sales Invoices

Shipping Documents

Correspondence with the Client

Case: FALSE AUDIT CONFIRMATIONS HIDE FRAUD AT U.S. SUBSIDIARY

Confirmations are normally considered highly reliable evidence because they come from independent third parties. However, in some cases customers have colluded with audit clients and returned false audit confirmations. Such was the case at U.S. Foodservice, Inc., a U.S. subsidi ary of Royal Ahold, a company headquartered in The Netherlands. The SEC complaints charged that U.S. Foodservice inflated promotional allowances from vendors by at least $700 million for fiscal years 2001 and 2002 in order to meet earnings targets. U.S Foodservice personnel contacted vendors and pressured them to return false confirmati on letters to the auditors. In two separate complaints, the SEC charged 16 individuals who were employees of or agents for vendors that supplied U.S. Foodservice.

Penjelasan Pembebasan PPN Jasa Kepelabuhanan untuk Ocean Going

2016-12-11T02:40:00.003+07:00

Postingan kali ini mencoba untuk menyampaikan penjelasan Pemerintah terhadap pertanyaan-pertanyaan terkait dengan implementasi PP 74 Tahun 2015 (Perlakukan

PPN atas Penyerahan Jasa Kepelabuhan Tertentu kepada Perusahaan Angkutan Laut yang Melakukan Kegiatan Angkutan Laut Luar Negeri). Peraturan tersebut memberikan fasilitas pembebasan PPN Jasa Pelayanan Kapal (labuh, tambat, tunda, pandu) dan Jasa Pelayanan Barang (bongkar muat). WP yang diberikan fasilitas adalah Kapal Nasional dan Kapal Asing. Namun, dalam penerapannya, masih terdapat kebingungan di antara para Pengusaha dan Operator Pelabuhan.

Pertanyaan dari para Pengusaha:

Atas syarat "tidak mengangkut penumpang dan/atau barang dari satu pelabuhan ke pelabuhan lainnya di wilayah Indonesia":

Apakah perusahaan angkutan laut diharuskan memberikan bukti/dokumen yang menunjukkan bahwa untuk kapal tertentu yang dilayani Badan Usaha Pelabuhan memenuhi syarat tersebut?

Dalam hal periode bulan November sampai dengan Desember 2015, suatu kapal tidak mengangkut penumpang dan/atau barang dari satu pelabuhan ke pelabuhan lainnya di wilayah Indonesia, akan tetapi pada bulan Januari 2016 kapal tersebut mengangkut penumpang dan/atau barang dari satu pelabuhan ke pelabuhan lain di wilayah Indonesia, bagaimana dengan perlakuan PPN-nya?

Jika suatu perusahaan angkutan laut mengoperasikan kapal-kapal yang sebagian untuk kegiatan angkutan laut luar negeri (tidak mengangkut penumpang dan/atau barang dari satu pelabuhan ke pelabuhan lainnya di wilayah Indonesia) dan sebagian lainnya untuk kegiatan angkutan laut dalam negeri (mengangkut penumpang dan/atau barang dari satu pelabuhan ke pelabuhan lainnya di wilayah Indonesia), apakah perusahaan angkutan laut tersebut berhak mendapatkan fasilitas pembebasan PPN?

Atas syarat "negara tempat kedudukan perusahaan angkutan laut asing tersebut memberikan perlakuan yang sama terhadap kapal angkutan laut Indonesia berdasarkan asas timbal balik":
- Selain sertifikat domisili (certificate of domicile, "COD"), dokumen-dokumen apa yang harus diberikan oleh perusahaan angkutan laut untuk menunjukkan bahwa negara tempat kedudukan perusahaan angkutan laut asing tersebut memberikan perlakuan yang sama terhadap kapal angkutan laut Indonesia berdasarkan asas timbal balik. Apakah harus berupa perjanjian bilateral antara pemerintah Indonesia dengan pemerintah negara asal perusahaan angkutan laut tersebut? Apakah dapat berupa surat keterangan dari otoritas pajak negara asal perusahaan angkutan laut tersebut? Atau ada dokumen khusus yang harus diberikan? Apakah bukti/dokumen tersebut harus disediakan dan hanya berlaku untuk setiap Faktur Pajak yang diterbitkan?
- Jika suatu kapal dioperasikan oleh beberapa perusahaan angkutan laut asing (konsorsium atau vessel sharing agreement), apakah dokumen-dokumen harus disediakan oleh masing-masing angkutan laut asing atau cukup satu set untuk/atas nama perusahaan angkutan laut asing yang menjadi koordinator? Jika tidak semua negara asal angkutan laut asing tersebut memberikan perlakukan yang sama terhadap kapal laut Indonesia, apakah hanya angkutan laut asing yang negara asalnya memberikan perlakuan sama yang mendapatkan fasilitas pembebasan PPN?
Atas implementasi Pasal 4 PP 74 Tahun 2015, bahwa dalam hal persyaratan sebagaimana dimaksud dalam Pasal 2 ayat (2) tidak terpenuhi maka PPN atas penyerahan jasa kepelabuhanan tertentu kepada perusahaan angkutan laut yang melakukan kegiatan angkutan laut luar negeri yang dibebaskan tersebut wajib dibayar paling lambat 1 bulan terhitung sejak tanggal persyaratan tersebut tidak terpenuhi, apakah pembayaran tersebut dilakukan dengan penerbitan Faktur Pajak, dan bagaimana mekanismenya?

Berdasarkan Undang-Undang Nomor 17 Tahun 2008 tentang Pelayaran, Peraturan Pemerintah Nomor 20 Tahun 2010 tentang Angkutan di Perairan (sebagaimana telah diubah dengan Peraturan Pemerintah Nomor 22 Tahun 2011, dan Peraturan Menteri Perhubungan Nomor 93 Tahun 2013 tentang Penyelenggaraan dan Pengusahaan Angkutan Laut, perusahaan angkutan laut asing dalam rangka melakukan kegiatan angkutan laut luar negeri wajib menunjuk perusahaan nasional sebagai agen umum (agen umum adalah perusahaan angkutan laut nasional atau perusahaan nasional yang khusus didirikan untuk melakukan usaha keagenan kapal). Dalam hal invoice/nota jasa kepelabuhanan diterbitkan/ditujukan kepada agen umum. Apakah fasilitas dibebaskan dari pengenanan PPN tetap dapat diberikan?

Atas pertanyaan-pertanyaan tersebut, Pemerintah memberikan penjelasan sebagai berikut:

Berdasarkan ketentuan dan permasalahan sebagaimana dimaksud, disampaikan bahwa:

Atas syarat "tidak mengangkut penumpang dan/atau barang dari satu pelabuhan ke pelabuhan lainnya di wilayah Indonesia", dijelaskan sebagai berikut:
- Peraturan Pemerintah Nomor 74 Tahun 2015 tersebut tidak mengatur mengenai persyaratan dokumen yang harus diserahkan oleh perusahaan angkutan laut yang melakukan kegiatan angkutan laut luar negeri sebagai bukti pemenuhan syarat "tidak mengangkut penumpang dan/atau barang dari satu pelabuhan ke pelabuhan lainnya di wilayah Indonesia". Namun demikian, Badan Usaha Pelabuhan dapat mengetahui bahwa suatu kapal tersebut digunakan untuk kegiatan angkutan laut luar negeri berdasarkan dokumen dari otoritas/instansi yang berwenang berdasarkan ketentuan yang berlaku.
- Selain itu, dalam rangka pelaksanaan asas cabotage, Pasal 8 Undang-Undang Nomor 17 Tahun 2008 tentang Pelayaran mengatur bahwa hanya perusahaan angkutan laut nasional dengan kapal berbendera Indonesia yang dapat melakukan kegiatan angkutan laut dalam negeri (mengangkut penumpang dan/atau barang dari satu pelabuhan ke pelabuhan lainnya di wilayah Indonesia), sedangkan perusahaan angkutan laut luar negeri dan kapal berbendera asing tidak diperbolehkan mengangkut penumpang dan/atau barang dari satu pelabuhan ke pelabuhan lainnya di wilayah Indonesia.
- Fasilitas PPN dibebaskan atas penyerahan jasa kepelabuhanan tertentu untuk kegiatan angkutan laut luar negeri hanya diberikan apabila memenuhi syarat "tidak mengangkut penumpang dan/atau barang dari satu pelabuhan ke pelabuhan lainnya di wilayah Indonesia".
- Perusahaan angkutan laut hanya mendapatkan fasilitas PPN dibebaskan atas jasa kepelabuhanan tertentu yang diberikan kepada kapal yang dioperasikan untuk kegiatan angkutan laut luar negeri yang memenuhi syarat "tidak mengangkut penumpang dan/atau barang dari satu pelabuhan ke pelabuhan lainnya di wilayah Indonesia".
Terkait syarat "negara tempat kedudukan perusahaan angkutan laut asing tersebut memberikan perlakuan yang sama terhadap kapal angkutan laut Indonesia berdasarkan asas timbal balik", disampaikan:
- Berdasarkan surat Kepala Pusat Kebijakan Pendapatan Negara, Badan Kebijakan Fiskal, nomor S-490/KF.2/2015 tanggal 17 Desember 2015 disampaikan daftar negara yang memberikan pembebasan PPN atas jasa bongkar muat peti kemas di sea side area sesuai dengan surat Direktur Jenderal Perhubungan Laut, Kementerian Perhubungan nomor KU202/1/13/DTPL-12 tanggal 27 September 2012.
- Jika suatu kapal dioperasikan oleh beberapa perusahaan angkutan laut asing (konsorsium atau vessel sharing agreement), maka pada prinsipnya jasa kepelabuhanan tertentu diserahkan kepada masing-masing perusahaan angkutan laut asing tersebut. Fasilitas PPN dibebaskan atas penyerahan jasa kepelabuhanan tertentu hanya diberikan kepada perusahaan angkutan laut asing yang negara asalnya juga memberikan fasilitas pembebasan PPN atas jasa kepelabuhanan tertentu.
- Dalam hal persyaratan sebagaimana dimaksud dalam Pasal 2 ayat 2 Peraturan Pemerintah Nomor 74 Tahun 2015 tidak terpenuhi, maka PPN atas penyerahan jasa kepelabuhanan tertentu kepada perusahaan angkutan laut yang melakukan kegiatan angkutan laut luar negeri yang dibebaskan tersebut wajib dibayar paling lambat 1 bulan terhitung sejak tanggal persyaratan tersebut tidak terpenuhi.
- Pembayaran kembali PPN tersebut dapat dilakukan dengan penerbitan Faktur Pajak pengganti sesuai dengan ketentuan peraturan perundang-undangan perpajakan yang berlaku.
- Dalam hal penyerahan jasa kepelabuhanan tertentu kepada perusahaan angkutan laut asing, invoice/ nota jasa kepelabuhanan tertentu diterbitkan/ditujukan kepada perusahaan angkutan laut asing sebagai penerima jasa, bukan kepada agen umum, kecuali agen tersebut merupakan Bentuk Usaha Tetap (BUT) perusahaan angkutan laut asing tersebut. Dengan demikian, fasilitas pembebasan PPN atas jasa kepelabuhanan tertentu diberikan kepada perusahaan angkutan laut asing atau agen sebagai BUT perusahaan angkutan laut asing tersebut.

Whistleblower Reward: Cara Ampuh atasi Pungli

2016-10-17T14:22:00.001+07:00

Untuk mengatasi pungli di Indonesia, Presiden Jokowi membentuk Satgas Saber Pungli, yang kemudian diikuti oleh Kementerian yang juga ikut membentuk Satgas Pungli.
Perhatikan, Satgas tersebut terdiri dari aparat hukum dan pegawai pemerintah. Beberapa pengamat meragukan efektifitas Satgas tersebut dan Satgas tersebut diprediksi hanya memberi efek jera sementara. Lambat laun, ketika Presiden berganti dan perhatian
masyarakat berkurang, maka pungli akan kembali marak.

Ada beberapa pertanyaan yang menimbulkan keraguan efektifitas Satgas Pungli:

Bagaimana mau bersih kalo sapu yang digunakan tidak bersih?
To be honest, apakah masyarakat masih percaya dengan aparat hukum dan pegawai pemerintah yang menjadi anggota Satgas?
Apakah aparat A berani menangkap aparat B, padahal aparat B mengetahui kartu truf/ dosa-dosa masa lalu dari aparat A? Bukankah banyak kasus dimana sesama aparat satu institusi akan cenderung saling melindungi?
Perhatikan aktifitas KPK, apakah operasi OTT yang dilakukan KPK menimbulkan efek jera untuk tidak melakukan korupsi?
Satgas bersifat adhoc, apakah ketika pimpinan pemerintah/ kementerian berganti, maka apakah Satgas tersebut akan dipertahankan?

Sebenarnya, masalah pungli muncul karena berbagai sebab, antara lain:

Kurang komitmen dan integritas dari para pimpinan instansi pemerintah.
Gaji kecil, kompetensi, dan integritas dari aparat pemerintah.
Sistem IT yang belum fully integrated IT (sistem online tapi masih sekedar “online-online-an” cuma buat daftar pengurusan saja dan sistem IT masih silo-2, belum terintegrasi dengan sistem-sistem IT lainnya),
Sistem keseluruhan yang tidak efisien, ribet, banyak meja, dan mempersulit bagi masyarakat.
Sikap masyarakat yang masih suka langgar aturan, ingin cepat beres, tidak ingin repot.

Kami mencoba ikut berpikir bagaimana caranya memberantas pungli secara efektif dan efisien. Berdasarkan beberapa kerangka teori dan bukti empiris, untuk mengawasi kinerja pemerintah, termasuk memberantas korupsi, diperlukan peran pengawasan masyarakat.
Dari teori Manajemen Publik, civil society empowerment merupakan salah cara ampuh untuk memerangi korupsi, memonitor kinerja pemerintah, dan memberantas pungli (Civil Society Empowerment, 2013, theCleanGovBiz-OECD, https://www.oecd.org/cleangovbiz).

Pengawasan oleh masyarakat lebih efektif dan efisien daripada pengawasan oleh pemerintah, dengan beberapa alasan, yaitu:

Masyarakat lebih independen daripada aparat pemerintah dalam mengawasi pungli. Seringkali, hubungan antara aparat pemerintah yang mengawasi dan diawasi seperti lingkaran setan, masing-masing mengetahui kartu truf, keburukan mereka.
Mata dan telinga masyarakat berjumlah banyak, tersebar luas, ada dimana-mana, sedangkan aparat pemerintah mengalami kondisi sebaliknya.
Masyarakat sendiri yang terlibat langsung dalam proses pengurusan yang didalamnya melibatkan pungli.
Secara agregat, biaya pengawasan oleh masyarakat lebih murah dibandingkan biaya pengawasan oleh pemerintah. Tidak ada biaya gaji, biaya operasional, dan biaya peralatan, serta biaya waktu. Biaya yang mungkin timbul adalah biaya reward, yang nilainya disesuaikan dengan nilai total pungli yang diputuskan oleh pengadilan / pemerintah.

Oleh karena itu, untuk memberantas pungli, Pemerintah sebaiknya memberdayakan masyarakat melalui pengembangan whistleblower system, dimana didalamnya ada whistleblower reward, yaitu memberi hadiah kepada masyarakat atas laporan pungli. Reward ditawarkan untuk mendorong masyarakat untuk lebih aktif dalam melakukan pengawasan pungli. Hal ini wajar mengingat masyarakat adalah manusia, yang merupakan mahluk ekonomi. Kalo kita berharap manusia seperti malaikat (tidak ada nafsu), maka kita seperti bermimpi agar surga pindah ke bumi.

Whistleblower tersebut harus didesain dengan baik dan hati-hati.

Laporan pungli tersebut harus didukung oleh bukti yang valid, seperti video / foto dari aktifitas pungli. Hal ini untuk mencegah adanya pengaduan fiktif atau fitnah yang hanya untuk menjatuhkan pihak lain.
Bukti video/ foto bukan dari hasil rekayasa dan menunjukan adanya aktifitas pungli, serta menunjukan adanya visual uang yang diterima oleh aparat pemerintah.
Pungli dilakukan oleh aparat resmi pemerintah.
Ada sanksi tegas berupa pemecatan dan pengenaan denda kepada aparat yang terbukti melakukan pungli.
Besaran reward disesuaikan dengan nilai total pungli dan denda yang dikenakan kepada aparat yang diadukan, berdasarkan keputusan pengadilan/ pemerintah. Nilai total pungli dan denda tersebut bukan nilai pungli yang diadukan, namun nilai total pungli yang selama ini telah terjadi yang dilakukan oleh aparat yang diadukan, ditambah denda sesuai ketentuan. Untuk menghitung nilai total tersebut dibutuhkan aktifitas lanjutan, yaitu berupa audit investigasi.
Whistleblower System dikelola oleh organisasi profesional yang kompeten dan independen, untuk mengolah dan menseleksi setiap pengaduan yang masuk, untuk dapat ditindaklanjuti dengan audit investigasi.
Audit investigasi juga diperlukan memastikan tingkat kesalahan dari aparat teradu, dan pihak-pihak lain yang mungkin turut terlibat (misal atasan ybs).
Organisasi profesional dibutuhkan juga untuk melindungi kerahasian dari dan memberikan perlindungan hukum kepada masyarakat pengadu. Perlindungan sangat penting untuk mendorong masyarakat membuat pengaduan. Selain itu, perlindungan dibutuhkan untuk menjaga keselamatan masyarakat dan mencegah risiko adanya tuntutan balik dari aparat yang diadukan.

Salah satu bukti ampuhnya pengawasan masyarakat adalah beberapa operasi OTT oleh KPK. Banyak operasi OTT KPK didasarkan dari pengaduan masyarakat. Apakah KPK akan melakukan OTT sebanyak saat ini, jika tanpa ada pengaduan masyarakat?

Semoga bermanfaat....

Vouching vs Tracing in Audit

2016-10-03T08:36:00.001+07:00

Back to basic. Hal yang sederhana namun, sering dilupakan.

Dalam audit keuangan, auditor menguji 5 asersi manajemen atas laporan posisi keuangan. Asersi tersebut adalah 1. Keberadaan (atau keterjadian untuk asersi atas
transaksi), 2. kelengkapan, 3. penilaian dan alokasi, 4. hak dan kewajiban, dan 5. penyajian dan pengungkapan. Untuk melakukan pengujian tersebut, auditor menggunakan beberapa teknik audit. Salah satu teknik untuk pengujian asersi “keberadaan/keterjadian” adalah vouching (menelusuri ke sumber bukti), sedangkan untuk pengujian asersi “kelengkapan” adalah tracing (menelusuri ke pencatatan).
Dalam audit, keseragaman penggunaan istilah sangat penting, agar para pengguna memiliki kesamaan pemahaman atas hasil audit. Sering dari kita sebagai auditor kurang dapat membedakan maksud antara istilah vouching dan tracing.
Oleh karena itu, dalam postingan ini kita mencoba mengulas kembali apa itu vouching dan tracing.
Berikut gambar proses vouching dan tracing:

Arah Pengujian Vouching Tracing

Vouching

Vouching digunakan untuk menguji asersi “keberadaan/ keterjadian”, yaitu transaksi/ nilai yang dilaporkan memang benar-benar terjadi/ ada. Misal: Laporan Posisi Keuangan PT A bilang “aset kendaraan senilai Rp10M” dengan rincian kendaraan truk sebanyak 10 unit @Rp1M. LK bilang gitu, maka untuk menguji apakah truk itu “ada”, auditor mentelusuri keberadaan truk dengan cara cek GL, trus cek jurnal, trus cek ke bukti dokumen/ fisik truk. Benar ga tuh fisik truk jumlah 10 unit?

Contoh Vouching

Tracing

Tracing digunakan untuk menguji asersi “kelengkapan”, yaitu semua dokumen transaksi / keuangan yang terjadi/ada telah dicatat dan dilaporkan. Misal: Ada pembelian persediaan 100 unit @Rp1 juta dan sudah terjadi pengalihan hak dan risiko, namun fisiknya masih dititipkan di gudang pihak III, maka untuk menguji apakah persedian tersebut “telah lengkap dicatat dan dilaporkan”, auditor mentelusuri ke pencatatan persediaan tersebut sampai ke pelaporannya. Benar ga tuh persediaan sudah dilaporkan sebanyak 100 unit?

Contoh Tracing

Prosedur vouching dan tracing tersebut seharusnya dikombinasikan dengan prosedur lainnya, untuk meyakinkan auditor dalam memberikan suatu simpulan/ opini.

Penggunaan Prosedur Vouching dan Tracing untuk Audit lainnya

Prosedur vouching dan tracing juga banyak digunakan dalam Audit Perpajakan.

Prosedur vouching: untuk menguji apakah biaya yang dilaporkan benar-2 terjadi dan merupakan deductible expense, sehingga biaya tersebut dapat mengurangi penghasilan kena pajak.

Prosedur tracing: untuk menguji apakah semua penghasilan yang diperoleh oleh WP telah dilaporkan dalam perhitungan penghasilan kena pajak/ SPT.

Mengenal BI 7-day Rate, dan Dampaknya ke Perbankan oleh Teguh Hidayat

2016-09-28T16:52:00.001+07:00

Pada Jumat, tanggal 15 April kemarin, Bank Indonesia (BI) mengumumkan formula baru suku bunga acuan perbankan, yakni BI 7-day Reverse Repo Rate, yang akan menggantikan formula sebelumnya yakni BI Rate.
Ini adalah kali pertama BI sebagai bank sentral melakukan perubahan kebijakan yang tampak radikal, dan itu tentu membuat bingung para investor (jangankan ‘BI 7-day Reverse Repo Rate’, sebagian dari anda mungkin bahkan belum mengerti apa itu ‘BI Rate’), dan alhasil saham-saham perbankan langsung berjatuhan Jumat lalu, karena investor menjadi unsure soal bagaimana dampak dari penetapan formula baru ini terhadap kinerja perbankan.

Anyway, bisa penulis katakan bahwa penggunaan BI 7-day Reverse Repo Rate ini (selanjutnya disebut BI 7-day Rate) tidak akan mengganggu kinerja perusahaan-perusahaan perbankan, malah justru dampaknya akan positif. Okay, kita langsung saja.

Sebelum menggunakan BI 7-day Rate, selama ini BI menggunakan BI Rate sebagai patokan atau acuan bagi suku bunga pinjaman maupun simpanan bagi bank dan atau lembaga-lembaga keuangan di seluruh Indonesia (sehingga BI Rate ini disebut juga ‘suku bunga acuan’). Simpelnya jika BI rate naik dari 6.50% menjadi 6.75%, maka bunga pinjaman maupun simpanan di bank dan lembaga keuangan lainnya juga bisa naik. Patokan ini hanya bersifat rujukan dan bukan merupakan peraturan, sehingga tidak mengikat ataupun memaksa. Jadi para bank boleh saja menaikkan bunga pinjaman kepada orang yang mengajukan kredit dengan alasan BI Rate naik, namun bunga deposito atau tabungan bagi para nasabahnya malah nggak naik sama sekali. Lebih lanjut soal BI Rate, baca lagi artikelnya disini.

Sementara bagi BI sendiri, BI Rate adalah suku bunga bagi Sertifikat Bank Indonesia (SBI) untuk jangka waktu satu tahun, yang disalurkan ke bank-bank. Ketika BI rate naik ke 6.75%, maka para bank bisa menaruh dana mereka di BI dalam bentuk SBI, dan akan menerima bunga 6.75% per tahun. Jadi kalau Bank Mandiri menaruh duit tabungan nasabahnya sebesar Rp10 trilyun di BI, maka setelah satu tahun, mereka akan memperoleh Rp675 milyar tanpa perlu ‘ngapa-ngapain’ sama sekali.

Selama ini BI menggunakan SBI untuk operasi moneter, dalam hal ini menambah atau mengurangi jumlah mata uang Rupiah (money supply) yang beredar di masyarakat. Jadi ketika jumlah uang yang beredar terlalu banyak, dan itu menaikkan inflasi, maka BI akan menaikkan BI Rate, sehingga para bank tentunya akan lebih suka menaruh dana tabungan nasabah mereka di BI (dalam bentuk SBI) daripada menyalurkannya kembali ke masyarakat dalam bentuk kredit. Alhasil, money supply akan turun, dan inflasi juga akan turun.

Lalu jika setelah beberapa waktu, inflasi sudah aman terkendali, maka BI Rate bisa kembali diturunkan, sehingga bank-bank akan kembali menyalurkan kredit ke masyarakat, perusahaan bisa mendirikan pabrik dan membuka lapangan kerja baru, dan itu pada akhirnya akan mendorong pertumbuhan ekonomi. Namun disinilah persoalannya: Meski BI Rate turun, namun dana milik bank yang sudah terlanjur disetor ke BI baru akan bisa ditarik kembali satu tahun kemudian. Sehingga ketika BI Rate turun, maka money supply tidak akan serta merta langsung naik lagi, melainkan harus nunggu dulu selama beberapa bulan hingga satu tahun, sehingga tujuan pertumbuhan ekonomi tadi akan perlu waktu untuk tercapai. Demikian pula ketika BI menaikkan BI Rate, maka tingkat inflasi tidak akan serta merta turun, karena para bank juga akan mikir-mikir kalau dana mereka harus mengendap di BI selama setahun.

Jadi agar operasi moneter yang dilakukan BI kedepannya menjadi lebih efektif dalam menyeimbangkan antara inflasi dan pertumbuhan ekonomi, maka kemudian diberlakukanlah BI 7-day Rate ini, dimana jika BI 7-day Rate ini naik, maka para bank bisa menempatkan dana mereka di BI selama tujuh hari saja (atau 14 hari, 21 hari, dan seterusnya). Jadi jika di bulan berikutnya BI 7-day Rate turun, maka pihak bank akan bisa langsung menarik dananya dan menyalurkannya ke masyarakat. Suku bunga 7-day ini disebut juga ‘reverse repo rate’, karena dalam hal ini BI sebagai ‘bank-nya para bank’ adalah seperti meminjam dana dari bank dengan janji akan dikembalikan 7 hari kemudian, plus bunga sebesar yang sudah ditentukan sebelumnya.

Pendek kata, BI nantinya akan lebih mudah dalam mengendalikan jumlah mata uang Rupiah yang beredar di masyarakat, dan sudah tentu harapannya adalah bahwa inflasi otomatis menjadi lebih terkendali, kurs Rupiah akan lebih stabil, dan pertumbuhan ekonomi akan lebih kencang. Sebenarnya di masa lalu sebelum tahun 2010, penggunaan BI Rate sudah cukup efektif untuk operasi moneter, dimana tingkat inflasi dll relatif bisa dikendalikan dengan baik.

Namun sejak 2010, dana asing mulai masuk dalam jumlah besar ke Indonesia, yang menyebabkan perputaran dana di pasar uang antar bank (PUAB) menjadi lebih cepat, dan alhasil tingkat suku bunga di PUAB ini menjadi sangat rendah karena sebuah bank terkadang memegang sejumlah dana hanya dalam hitungan harian, sebelum ‘dioper’ lagi ke bank lain (ingat bahwa semakin pendek jangka waktu penyimpanan dana, maka semakin rendah bunganya, red: cek liquidity preference theory). Rendahnya suku bunga di PUAB ini pada akhirnya turut mempengaruhi tingkat suku bunga perbankan secara keseluruhan, sementara BI Rate tidak lagi begitu diperhatikan karena jangka waktunya dianggap terlalu lama, yakni 1 tahun (sementara suku bunga di PUAB bahkan bisa berlaku untuk jangka waktu 1 hari, alias overnight). Jadi dengan digunakannya BI 7-day Rate sebagai suku bunga acuan yang baru, dimana bank bisa membeli SBI hanya untuk tenor 7 hari saja, maka bank akan kembali tertarik untuk menempatkan dananya dalam bentuk SBI, karena jangka waktu 7 hari tentunya tidak terlalu lama dibanding jangka waktu di PUAB, dan BI akan kembali memiliki kontrol efektif terhadap tingkat suku bunga perbankan di Indonesia,

Lalu bagaimana dampak perubahan suku bunga acuan ini terhadap kinerja perbankan?

Karena jangka waktunya lebih pendek, maka otomatis BI 7-day Rate akan selalu lebih rendah dibanding BI Rate. Contohnya seperti saat ini dimana BI Rate berada di level 6.75%, sementara BI 7-day Rate 5.50% (tapi 5.50% tersebut tetap dihitung untuk satu tahun, sehingga kalau sebuah bank membeli SBI dan langsung menjualnya 7 hari kemudian, maka dapet bunganya cuma 0.10%). Jadi ketika nanti BI 7-day Rate akan mulai digunakan sebagai suku bunga acuan, maka akan timbul kesan bahwa BI telah menurunkan suku bunga acuan secara drastis, sehingga bank-bank juga akan menurunkan bunga kredit dan deposito, padahal tidak. BI Rate akan tetap di level 6.75%, kecuali BI menaikkan atau menurunkannya, demikian pula halnya dengan BI 7-day Rate akan tetap berada di level 5.50% kecuali BI menaikkan atau menurunkannya.

Tapi untuk menghindari kesalah pahaman itulah, maka mulai April ini hingga Agustus nanti, BI setiap bulannya akan mengumumkan dua suku bunga acuan, yakni BI Rate dan BI 7-day Rate agar pasar bisa beradaptasi dan bisa melihat bahwa tidak ada perubahan drastis terhadap BI Rate. Setelah Agustus, maka barulah BI hanya akan mengumumkan BI 7-day Rate setiap sebulan sekali.

Dengan demikian, maka para bank tidak perlu mengubah tingkat bunga kredit maupun deposito-nya (kecuali jika nanti BI Rate ini diturunkan/dinaikkan, demikian pula dengan BI 7-day Rate). Malah, jika nanti tujuan penggunaan BI 7-day Rate ini tercapai, dimana inflasi menjadi lebih terkendali, nilai tukar Rupiah menguat (kalau inflasi terlalu tinggi, maka itu juga bisa menurunkan kurs Rupiah), dan ekonomi tumbuh lebih kencang, maka tentu perbankan akan diuntungkan. Pada tahun 2010 – 2011, ketika perekonomian Indonesia sedang jaya-jayanya berkat booming batubara dan CPO, kinerja perbankan ketika itu juga sedang bagus-bagusnya, dimana Bank BRI mencatat ROE lebih dari 40% (sementara untuk tahun 2015, ROE BBRI hanya tercatat 29.9%).

Kemudian, karena BI akan kembali memiliki kontrol efektif terhadap tingkat suku bunga perbankan di Indonesia, maka meski kedepannya dana asing masuk lebih banyak lagi ke tanah air, entah itu karena pemberlakuan Masyarakat Ekonomi ASEAN (MEA), berpindahnya investasi dari Bursa Singapura ke Bursa Indonesia, hingga ditariknya aset-aset milik konglomerat dari luar negeri, maka tingkat suku bunga perbankan akan tetap stabil dan tidak terpengaruh, dimana para bank hanya perlu berpatokan pada BI 7-day Rate dalam menentukan bunga kredit dan deposito, tanpa perlu melihat perubahan suku bunga di PUAB. Nah, jika tingkat suku bunga menjadi lebih stabil, maka otomatis proses penyaluran kredit dll juga akan lebih mudah, dan risiko terjadinya kredit macet karena perubahan suku bunga yang tiba-tiba, juga akan menjadi lebih rendah.

However, seluruh perubahan diatas baru akan benar-benar berpengaruh secara positif terhadap kinerja perbankan dalam jangka panjang, atau paling cepat beberapa bulan kedepan, sehingga dalam jangka pendek, saham-saham perbankan mungkin masih akan fluktuatif. Tapi satu hal yang menarik: Ketika Jumat kemarin investor asing ramai-ramai keluar dari saham-saham perbankan blue chip, ternyata mereka langsung masuk lagi ke saham blue chip yang lain (yang bukan bank), dalam hal ini saham Astra International (ASII) dan Telkom (TLKM) dimana keduanya naik signifikan, dan ini menunjukkan bahwa investor asing sejatinya belum mau keluar dari BEI.

Jadi jika kedepannya investor yang besar-besar sudah lebih paham soal BI 7-day Rate ini, maka mereka akan kembali masuk ke saham-saham perbankan, karena memang mereka tidak punya pilihan lain untuk diversifikasi (dari 10 saham dengan market cap terbesar di BEI, 4 diantaranya adalah saham perbankan). Selain itu dalam waktu dekat, para emiten juga akan segera merilis laporan keuangan Kuartal I 2016, dimana emiten perbankan biasanya akan merilis LK-nya paling awal. Dan kabar baiknya, kalau melihat beberapa LK yang sudah keluar seperti milik Bank Jatim (BJTM) dan Bank BNI (BBNI), kedua perusahaan kembali sukses mencetak kenaikan laba (setelah ditahun 2015 kemarin laba mereka turun), dan seharusnya bank-bank lain juga sama, dimana itu akan menjadi sentimen fundamental yang positif bagi sahamnya. We’ll see!

Sumber: www.teguhhidayat.com

Mirrored Database: a Technique to Deal with Super User/ Admin

2016-09-15T14:52:00.002+07:00

Case 1: IT System Managed by External

One day, I had a conversation with a chief financial officer (CFO) of a SOE’s subsidiary (say Property Corp). One of the main revenue sources of his company is parking fee,generated from its huge parking lot in an internatinal airport area. For managing the park lot, Property Corp has a contract with third party (say Motorpark Corp), with a deal that Property Corp will receive a fix percentage (say 20%) of parking admission. As part of the deal, Motorpark Corp will provide all infrastructure and human resources needed to manage the park, including the Parking IT System, IT Management (maintenance and admin), and the operator of computer.
Property Corp will receive its cut based on Motorpark Corp’s monthly parking report, which generated (output) from the Parking IT System. At first place, Property Corp conviced that the monthly parking report was true, simply because its generated from the system. But, a few months later, the CFO suspicious that the report was not true/being manipulated, because he felt that the report did not corresponded with his observations on the traffic of the parking lot.

The larger case similar with above is parking management employed by PEMDA. The PEMDA imposes a tax per parking ticket issued by Private Companies. The PEMDA obtains tax proceeds from the Private and then audit the annual report produced by IT System, which managed by the Private. It is also suspected that the report is manipulated in order to lower the tax proceed paid by the Private.

There is also a case in a theme park company. The entrance fee is managed by external party, including the entrance IT system. In order to control the fee calculation made by the external, the company assigned a counter part from internal posted near the entrance point, to make a manual calculation on the amount of visitors. Every day, there is a dispute between the counter party and the external regarding to the amount of visitors.

Case 2: IT System (off shelf softaware) Managed by Internal

A port company starts utilizing a high technology into its port activities. Every activities at port now is controlled by IT System, including calculating the production, which then used to calculate revenue. Managements believe that company’s revenue is fully controlled and can not be manipulated (once again, that what the IT vendor told). However, in order to avoid service interruption in case of the system can not capture any deviation occured at the field, the company assigned a super user at each of its divisions. The super user has a role as a user and a system admin as well. The risk of this policy is that the super user has ability to change or manipulated the database in order to get money in return from the consumer.

General Problem

When a company is utilizing a high technology system, one of the common attitude expressed by managements is that they presumed that the output of the system can not be manipulated nor compromised. So, when the system says that the last month production was 1,000 units and generated USD1,000,000 income, then the management believe that is the “true fact”. When asked why he/she so confidence with the system, they responded that the IT provider said so. The management never thought that the system database can be compromised by internal party in order to lower the invoice amount.

Solution

The question arise then how should we do to ensure that our database can not be compromised or manipulated?
Before we try answer that question, one thing we should consider is that many officers/ managers (and also auditors) do not have high competencies at IT area. Moreover, it is the management who hold the responsibility to control the integrity of the database.
By considering its cost, I suggest the following solution:

a. Perform IT Audit

In a normal situation, IT audit is absolutely a good solution. IT Audit provide an assurance on the integrity of the IT system, including its database/information. But, IT audit may not be effective if there is a super admin/ super user who can change database without leaving any trace. This super admin/ user might able to turnoff/ remove database log, or even change database from backdoor (not via the application).

b. Utilize database logging.

Database log (transaction log) records all changes made to a database. This log also provide an audit trail to management and auditor. In our case, by analyzing this log, management can identify the activity (who, when, where, and what) occured on a database.
Different softwares have different platforms/ languages, which make it is not realistic for management (auditor) to call a log by creating a coding. So, when a company acquire/ develop a software, make sure that the software include a feature to call transaction/ database log, such the following picture.

Transaction Log

The problem arise when a super admin/ user turnoff / remove the database log.

c. Build a mirrored database

Actualy, mirrored database is a prosedure for backup the database. However, this technique can be used to control the integrity of the database. Database mirroring involves redoing every insert, update, and delete operation that occurs on the principal database onto the mirror database as quickly as possible. Redoing is accomplished by sending a stream of active transaction log records to the mirror server, which applies log records to the mirror database, in sequence, as quickly as possible.
Since the mirror server is located at different place from principal server, then the redo action need an internet connection. Redoing can be set at real time, so the superadmin/ user does not have a chance to manipulate the database. However, realtime mirroring will require a high bandwidth and storage capacity, which means a high cost. To reduce the cost of invesment, a company may set redoing at batch (hourly, or daily). However, this delay increase a risk that the superadmin/user to compromise the database.
The diagram of database mirroring as follows:

Transaction Log

One of SOE has applied this technique (real time mirroring) and found that several staffs in billing division had colluded to manipulate the database, so reduced invoices value billed to customer. The fraud has costed the company at amount of billions rupiah.

Semoga Bermanfaat ...........
PS: Mohon dipersorry kalo english nya ugly, maklum masih belajar, he he ...

Membangun Independensi Internal Audit BUMN/D

2016-07-15T15:53:00.003+07:00

Saya tertarik untuk membuat tulisan ini karena beberapa kali melihat beberapa kasus korupsi yang melibatkan Manajemen Senior/ Direksi yang terjadi di BUMN dan BUMD di Indonesia.
Sebagai internal auditor, saya memiliki dugaan bahwa sebenarnya internal audit actitivity (IAA) / satuan pengawasan internal BUMN/D tersebut mengetahui adanya (setidaknya ada indikasi) kejadian korupsi tersebut. Kalaupun ada kasus korupsi yang diungkapkan IAA, umumnya kasus korupsi tersebut berskala minor dan hanya melibatkan manajemen bawah dan staf, sedangkan kasus korupsi Direksi/ Manajemen Senior cenderung tidak dapat disentuh.

Pertanyaannya: bagaimana mungkin internal auditor BUMN/D tersebut tidak mampu mengungkapkan kasus mega korupsi tersebut.

Jawabannya adalah internal auditor dalam posisi tidak objektif dan tidak independen, yang disebabkan oleh 2 (dua) kemungkinan:
1. Kemungkinan 1: internal auditor sebenarnya mengetahui tetapi pura-pura tidak tahu, karena takut dipecat/ dimutasi/ kehilangan jabatan.
2. Kemungkinan 2: akses internal auditor dibatasi oleh Manajemen, sehingga auditor tidak mampu mengumpulkan bukti yang cukup atas kasus tersebut.
Kondisi di atas merupakan situasi umum yang dihadapi oleh internal auditor BUMN/D di negara berkembang, termasuk di Indonesia.

Pertanyaan selanjutnya: bagaimana bisa IAA di Indonesia tidak independen dan objektif?

Jawabnya adalah karena kurang baiknya tata kelola IAA BUMN/D di Indonesia, sebagaimana yang diatur dalam Peraturan Menteri Negara Badan Usaha Milik Negara Nomor : PER — 01 /MBU/2011 Tentang Penerapan Tata Kelola Perusahaan Yang Baik (Good Corporate Governance) pada Badan Usaha Milik Negara. Peraturan tersebut memposisikan IAA di bawah “kendali” Manajemen, dan kurang berinteraksi dengan Komite Audit.
Berdasarkan Permen tersebut, Manajemen (Direksi - termasuk Manajer Senior sebagai bawahan langsung Direksi) memiliki kendali kuat terhadap aktifitas IAA. Bisa disimpulkan, baik secara administratif (aktifitas sehari-hari) dan secara fungsional (kinerja), IAA bertanggung jawab hanya kepada Direktur Utama, sehingga IAA dalam posisi yang tidak cukup independen untuk melaksanakan tugasnya. Berikut ini analisis kelemahan dari aturan Permen BUMN:

Area	Aturan Permen PER-01/MBU/2011	Kelemahan
Audit Charter	Direksi membentuk Satuan Pengawasan Internal dan membuat Piagam Pengawasan Intern (Charter)	Akibatnya, isi Charter dapat didesain untuk memangkas kewenangan dan tanggung jawab IAA. Akses IAA dibatasi (termasuk jenis audit yang dilakukan). KPI ditentukan sesuai kepetingan Direksi. Charter seharusnya seharusnya berisi tujuan, kewenangan, dan tanggung jawab IAA yang diperlukan untuk mencapai tujuannya, termasuk KPI.
Appointment dan Dismissal	Pasal 28: Satuan Pengawasan Intern dipimpin oleh seorang kepala yang diangkat dan diberhentikan oleh Direktur Utama berdasarkan mekanisme internal perusahaan dengan persetujuan Dewan Komisaris/Dewan Pengawas.	Klausul ini sudah OK, namun klausul ini tidak bisa berdiri sendiri, karena terkait autran lain di Permen. Masalahnya, interaksi IAA dengan Dekom dibatasi oleh aturan lain, sehingga Dekom tidak dapat “mengenal” kinerja Kepala SPI. Akibatnya, Dekom cenderung menerima saja setiap usulan pengangkatan/ pemberhentian Kepala SPI.
Hubungan Tanggung Jawab	SPI bertanggung jawab secara fungsional dan administrasi kepada Direksi, dan jika Komite Audit ingin mendapatkan laporan kerja SPI, harus melalui Direksi.	Klausul inilah menjadi root cause kelemahan SPI sehingga menjadi tidak objektif dan tidak independen. Klausul ini berimplikasi banyak hal, seperti: terbatasnya interaksi antara SPI dan Komite Audit, laporan hasil audit diubah oleh Manajemen, anggaran dan SDM SPI dipangkas, dll.
Sumber daya dan Independensi SPI	Tidak diatur secara spesifik.	Karena tidak diatur, maka RKAP, termasuk PKPT (didalamnya ada anggaran, rencana penugasan, SDM, pelatihan), dikendalikan oleh Manajemen. Banyak terjadi, anggaran dan SDM SPI sangat minim, sehingga SPI tidak dapat melaksanakan tugas, pelatihan, pengadaan peralatan, rekrut SDM.
Remunerasi dan Independensi SPI	Tidak diatur secara spesifik	Karena tidak diatur, maka remenurasi Kepala SPI ditentukan hanya oleh Direktur Utama.
Komunikasi dan Independensi hasil SPI.	Direksi wajib menyampaikan laporan pelaksanaan fungsi pengawasan intern secara periodik kepada Dewan Komisaris/Dewan Pengawas.	Dengan aturan ini, maka Laporan SPI (hasil penugasan dan kinerja SPI) harus melalui Direksi, Ka SPI dibatasi interaksinya dengan Dekom. Efek lainnya, Direksi akan mengsortir dan edit Laporan SPI yang memuat informasi negatif mengenai Direksi/ Manajemen Senior.
...	Tidak ada klausul mengenai komunikasi SPI dengan Dekom mengenai kecukupan independensi SPI.	Karena tidak diatur, maka Dekom tidak mengetahui apakah hasil audit atau capaian kinerja SPI telah didasarkan pada prinsip objektifitas/ independen atau tidak. (ingat: Permen membatasi interaksi langsungg antara SPI dan Dekom).
Tanggung jawab dan pelaporan kualitas aktifitas SPI.	Pasal 28: Direksi wajib menjaga dan mengevaluasi kualitas fungsi pengawasan intern di perusahaan.	Kepala SPI melaporkan kinerja /kualitasnya kepada Direksi, namun penilaian akhir ada di tangan Direksi. Ingat, Charter (didalamnya ada KPI) dibuat oleh Direksi dan capaian KPI merupakan ukuran kinerja. Salah satu ukuran kinerja yang dievaluasi oleh Direksi adalah “kerjasama dan kepatuhan SPI kepada Direksi” pada situasi apapun (positif dan negatif).
...	Permen BUMN No.12/2012, mengatur Komite Audit menilai kinerja dan hasil kegiatan SPI. Namun, Permen tsb tidak mengatur garis hubungan unit Komite Audit dan unit SPI.	Terkait fungsi pengawasan Komite Audit terhadap kinerja SPI, Komite Audit meminta data kinerja dan hasil kegiatan kepada Direktur Utama. Hal ini karena tidak ada hubungan langsung antara Komite Audit dan SPI.
Monitoring Tindak Lanjut Hasil Aktifitas Internal Audit	Permen tidak mengatur secara jelas mengenai kewajiban SPI terkait monitoring tindak lanjut. UU BUMN Pasal 69: Direksi wajib mengambil langkah-2 diperlukan atas masalah yang diungkapkan dalam laporan hasil pemeriksaan SPI.	Karena tidak ada kewajiban pelaporan monitoring tindak lanjut ke Dekom dan juga karena SPI dikendalikan Direksi, maka sering kali: SPI kurang memadai dalam monitoring tindak lanjut. Temuan SPI diabaikan oleh Direksi dan Manajemen. Kalaupun Dekom minta laporan monitoring tindak lanjut, maka ada kecenderungan Direksi akan memanipulasi saldo temuan yang belum ditindaklanjuti.

Lalu, bagaiamana caranya untuk meningkatkan independensi dan objektifitas IAA BUMN/D?

Kalo menggunakan root cause analysis, menurut saya, root cause dari masalah kurangnya objektifias dan independensi SPI adalah peraturan-peraturan yang mengatur tatakelola Pengawasan Intern, termasuk pola hubungan/ interaksi antara SPI dengan Direksi dan Dekom/Komite Audit. Oleh karena itu, peraturan-2 tersebut perlu diubah.
Saran kami, karena sudah ada Standar IPPF dari IIA yang sudah diakui secara internasional, maka baiknya kita merujuk saja tatakelola SPI dalam Standar IPPF tersebut.
Berikut ini saran perbaikan untuk meningkatkan objektifitas dan independensi IAA, sebagai berikut:

Area	Saran Perbaikan dengan referensi IIA’s IPPF	Kekuatan
Audit Charter	Kepala SPI membuat Audit Charter, setelah berdiskusi dengan Direksi, yang kemudian di-approve oleh Dewan Komisaris.	SPI diberi tugas dan tanggung jawab oleh Direksi dan Dekom. Salah satu tugas SPI adalah menilai kinerja Direksi/ Manajemen, dan Komisaris juga memiliki tugas yang sama. Untuk itu, SPI harus didukung kewenangan dan sumber daya yang memadai untuk melaksanakan tanggung jawab tersebut, dan terbebas dari kemungkinan ada intervensi Direksi. Maka, audit charter seharusnya di susun oleh Kepala SPI (pihak perlu kewenangan untuk melaksanakan tugas) dan disetujui oleh Dewan Komisaris (pihak yang menilai kinerja Direksi).
Appointment dan Dismissal	Pengangkatan dan pemberhentian Kepala SPI / CAE oleh Direksi setelah mendapatkan persetujuan Dewan Komisaris/ Board.	Klasul Permen sudah OK sejalan dengan IPPF, namun perlu didukung oleh tatakeloa SPI lainnya. Klausul ini tidak bisa berdiri sendiri, harus ada dukungan dari klausul lainnya. Misalkan terkait kecukupan anggaran dan SDM, kecukupan wewenang, interaksi langsung dengan Dewan Komisaris.
Hubungan Tanggung Jawab	Laporan / Pertangungjawaban Fungsional kepada Board, dan Laporan / Pertangungjawaban Administratif kepada Direksi.	Memperbanyak interaksi langsung antara SPI dan Dekom/ Komite Audit. •Meminimalkan risiko intervensi Direksi terhadap hasil penugasan SPI. •Komite Audit dapat secara langsung menilai kinerja/ kualitas dari SPI. Jika SPI tidak berkinerja atau hasil penugasan tidak berkualitas, Komite Audit bisa sarankan Kepala SPI untuk diganti.
Sumber daya dan Independensi SPI	Board (read: Dekom) menyetujui sumber daya IAA	Untuk meyakinkan bahwa SPI memiliki sumber daya (keuangan, SDM, sistem, peralatan) yang cukup untuk memenuhi tugas dan tanggung jawabnya. Hal ini juga meminimal intervensi Direksi untuk membatasi gerak SPI.
Remunerasi dan Independensi SPI	Board menyetujui remunerasi Kepala SPI	Hal ini juga meminimal intervensi Direksi berupa ancaman penurunan remunerisasi Kepala SPI.
Komunikasi dan Independensi hasil SPI.	SPI mempunyai full akses secara langsung ke Direksi dan Dewan Komisaris/ Board, termasuk komunikasi Laporan / Pertangungjawaban Fungsional kepada Board / Komisaris, sedangkan komunikasi Laporan / Pertangungjawaban Administratif kepada Direksi.	Lihat “Hubungan Tanggung Jawab” Selain itu, hal lain yang penting adalah, pernyataan Kepala SPI kepada Dekom mengenai kecukupan independensi SPI. Hal ini untuk meyakinkan Dekom bahwa capaian kinerja SPI dan hasil penugasan SPI didasarkan pada prinsip Independensi.
Tanggung jawab dan pelaporan kualitas aktifitas SPI.	Kepala SPI bertanggung jawab, menilai, dan melaporkan kualitas fungsi pengawasan intern kepada senior management dan dewan komisaris/board, untuk sebagai bahan evaluasi kinerja Kepala SPI.	Prinsipnya, Kepala SPI lah yang bertanggung jawab atas kualitas / kinerja SPI, yang ditujukan baik kepada Direksi maupun ke Dekom. Untuk menilai atau menguji akurasi laporan kinerja SPI, maka Direksi dapat meminta peer reviu atau external assessment atau self assessement with external validation.
Monitoring Tindak Lanjut Hasil Aktifitas Internal Audit	Kepala SPI memonitor tindak lanjut hasil aktifitas internal audit, dan melaporkan hasil monitoring ke Dewan Komisaris/ Komite Audit.	Kepala SPI tanggung jawab monitoring tindak lanjut. Kepala SPI menyampaikan hasil monitoring TL secara langsung, tidak melalui Direksi, kepada Dekom. Hal ini agar tidak ada intervensi Direksi untuk manipulasi saldo temuan.

Semoga bermanfaat....

Aset Tetap telah didepresiasi penuh, namun masih digunakan! Apa yang harus dilakukan?

2016-06-30T15:42:00.002+07:00

Apakah Perusahaan anda memiliki Aset Tetap? Dan apakah anda menemukan bahwa beberapa aset tetap masih dioperasikan namun nilai perolehannya telah disusutkan secara penuh, BV = 0?

Dalam kasus ini, estimasi awal umur manfaat dari aset tetap tersebut telah terbukti tidak tepat.
Berikut pertanyaan yang sering diajukan:
“Hai auditor, kami merupakan perusahaan manufacturing. Kami menggunakan suatu mesin untuk jangka waktu yang lebih lama daripada umur manfaatnya, dan sehingga mesin tersebut telah disusutkan penuh. Apakah yang harus kami lakukan untuk memperbaiki hal tersebut?

Apa yang salah dengan kondisi tersebut?

Masalahnya adalah bahwa mesin tersebut digunakan lebih lama daripada umur manfaatnya, sehingga mesin tersebut disusutkan secara penuh dan nilai bukunya = 0.
Namun, dalam kasus ini, berapa beban depresiasi yang dapat diakui dalam laporan kinerja keuangan?
Tentu saja jawabnya adalah tidak ada – karena nilai buku dari PPE tidak boleh kurang dari nol.
Maka dalam kenyataanya, anda masih menggunakan mesin tersebut, namun anda tidak dapat mengakui beban depresiasi, karena tidak ada saldo nilai yang tersisa. Anda telah mensusutkan secara penuh nilai aset tersebut dalam laporan periode sebelumnya.
Dan konsekuensinya, prinsip matching tidak dapat berlaku untuk kasus ini. Beban tersebut tidak dapat ditandingkan dengan manfaat yang diperoleh dari mesin tersebut.

Masalah ada pada umur manfaat aset tetap.

Standar IAS 16 Property, plant and equipment mendefinisikan umur manfaat sebagai:

Periode selama suatu aset diharapkan tersedia untuk digunakan oleh suatu entitas, atau
Jumlah unit produksi atau sejenisnya yang diharapkan diperoleh dari suatu aset oleh suatu entitas.

Usefullife

Umur manfaat bukanlah umur ekonomi potensial dari aset tersebut. Kedua hal tersebut seringlah tidak sama!
Sebagai contoh, umur ekonomi normal suatu mobil adalah 4 tahun, namun kebijakan perusahaan adalah memperbaharui mobil setiap dua tahun. Dalam kasus ini, umur manfaat mobil adalah hanya 2 tahun.
Atau, umur ekonomi suatu mesin adalah 6 tahun, namun setelah 3 tahun, ahli dari perusahaan menilai bahwa mesin dapat digunakan untuk waktu tambahan 5 tahun. Dalam kasus ini, umur manfaat adalah 8 tahun.
Hal yang sangat penting: Standard IAS 16 mewajibkan entitas untuk mereviu umur manfaat aset-aset nya paling sedikit setiap akhir tahun akuntansi.
Anda tidak akan percaya berapa banyak entitas yang melupakan pernyataan Standar tersebut!
Mereka hanya membukukan beban depresiasi tahunan berdasarkan tarif yang ditentukan untuk kelompok aset yang sama, dan cukup sampai disitu.
Mereka tidak merevisi umur manfaat aset mereka dan akibatnya, mereka berakhir dengan menggunakan aset yang telah disusutkan penuh dalam proses produksi mereka.

Bagaimana memperbaiki situasi ini?

Mari kita sarankan 2 kemungkinan tindakan perbaikan untuk situasi ini.

Twosolution

Solusi 1: Reviu umur manfaat pada setiap akhir periode akuntansi.

Umum manfaat merupakan suatu estimasi akuntansi dan jika anda menemukan bahwa terdapat perubahan dalam estimasi umur manfaat, anda perlu membukukan perubahan tersebut sesuai dengan IAS 8 Accounting Policies, Changes in Accounting Estimates and Errors.
Hal ini berarti bahwa anda cukup menentukan sisa umur manfaat, ambil saldo buku, dan mengakui beban depresiasi berdasarkan nilai buku dan sisa umur manfaat yang baru.

Usefullife

Tidak ada restatement dari laporan keuangan periode sebelumnya diperbolehkan. IAS 8 mewajibkan pengakuan perubahan dalam estimasi akuntansi secara prospectively (sekarang dan dalam masa datang).
Sekarang anda dapat bilang: OK, saya mengerti, namun apa yang seharusnya saya lakukan ketika saldo buku dari aset adalah nol?

Jawabnya, adalah tergantung situasi.

Jika anda mereviu umur manfaat di masa lalu secara rutin dan selama periode pelaporan berjalan anda menemukan bahwa anda ingin menggunakan aset tersebut untuk waktu yang lebih lama lagi, maka tidak banyak yang dapat dilakukan. Cukup biarkan aset tersebut sebagaimana biasanya dan pastikan anda menghindari situasi yang sama dimasa mendatang.
Namun, jika anda benar-benar lupa untuk merevisi umur manfaat dalam periode pelaporan sebelumnya, maka kegagalan ini akan berlaku IAS 16 terkait kesalahan akuntansi.
Jika kesalahan ini bernilai material, maka anda seharusnya mengkoreksi secara retrospektif sebagaimana yang diatur dalam IAS 8. Hal ini berarti menyajikan kembali laporan periode sebelumnya dengan menggunakan estimasi umur manfaat yang telah direvisi. Akan ada banyak pekerjaan!

Solusi 2: Menilai kembali aset ke nilai wajarnya.

Standard IAS 16 memperbolehkan 2 model untuk pengukuran PPE: cost model dan revaluation model.
Dan memang benar bahwa jika anda masih berencana untuk menggunakan mesin yang ada dalam periode mendatang, maka nilai wajar aset tersebut tentu saja lebih besar dari nol.
Menilai kembali aset dengan nilai buku nol, akan secara efektif berarti bahwa anda merubah kebijakan akuntansi dan maka standar IAS 8 menjadi berlaku.
Sesuai dengan IA8 8, anda seharusnya merubah kebijakan akuntansi hanya jika:

Perubahan tersebut disyaratkan oleh IFRS. Tentu saja syarat ini tidak berlaku untuk kasus kita.
Perubahan yang menghasilkan informasi laporan keuangan yang lebih reliabel dan relevan tentang dampak transaksi, kejadian/ kondisi lainnya dalam laporan posisi keuangan, kinerja keuangan, dan arus kas.

Anda (dan auditor anda) dapat berargumen bahwa poin 2 sangat tepat menggambarkan kondisi yang anda hadapi. Tapi, benarkah?
Tentu saja poin 2 memecahkan masalah sisa nilai buku nol pada akhir periode laporan berjalan. Hal ini seperti pil yang segera memberikan efek sembuh dari sakit kepala.
Namun, kebijakan akuntansi menyajikan beberapa aturan dan standar mengenai bagaimana anda melaporkan beberapa transaksi tertentu dalam laporan keuangan – tidak hanya sekarang, namun juga dalam masa mendatang.
Standar tersebut bukanlah seperti pil yang segera memberikan penyembuhan. Standar seperti suatu remedial yang mengatasi sebab utama dan membuat anda menjadi sehat untuk jangka panjang, sehingga anda tidak perlu lagi minum pil. Namun, bagaimana seandainya anda menggunakan pil yang salah?

Twosolution

Maka, apakah anda berpikir bahwa merubah kebijakan akuntansi anda dari cost model ke revaluation model, akan memberikan anda informasi yang lebih baik terkait mesin anda, tidak hanya sekarang, namun juga dalam masa mendatang?
Sebelum anda menjawab pertanyaan tersebut, mohon pertimbangkan hal berikut:

Anda perlu untuk menerapkan standar IFRS 13 Fair Value Measurement untuk menentukan nilai wajar dari mesin anda. Hal ini sangat sulit dan tidak praktis.
Bagaimana anda dapat menetapkan nilai pasar dari mesin produksi bekas (apalagi jika mesin tersebut spesifik bagi perusahaan anda)?
Revaluation model umumnya (99,9%) digunakan untuk bangunan dan tanah, karena mudah untuk menentukan nilai pasar dari bangunan dan tanah, secara rutin.
Apakah hal ini cocok untuk kasus mesin produksi bekas, dengan beberapa sifat khusus yang hanya beberapa perusahaan sejenis yang dapat menggunakan mesin tersebut?
Anda perlu merevaluasi mesin anda dengan cukup rutin. Dapatkah anda menentukan fair value mesin tersebut secara tahunan?
Anda perlu merevaluasi seluruh aset yang sejenis/ kelompok, bukan berdasarkan basis individu mesin. Dapatkah anda menentukan nilai wajar seluruh mesin? Seberapa praktis hal tersebut dilakukan?

Jika setelah mempertimbangkan seluruh aspek tersebut anda masih ingin merubah dari model cost ke revaluation model, maka IAS 8 lebih mempermudah bagi anda. Anda tidak perlu menerapkan kebijakan baru secara retrospektif, cukup secara prospektif – sehingga tidak ada penyajian laporan keuangan periode sebelumnya.

Solusi apa yang seharusnya dipilih?

Jawabnya tergantung.
Dalam opini kami, akan lebih baik untuk mereviu estimasi umur manfaat setiap akhir tahun akuntansi dan mengakui perubahan estimasi akutansi, daripada alternatif untuk merubah kebijakan akuntansi hanya untuk tujuan segera menyembuhkan sakit kepala.
Dari sudut pandang jangka panjang, revaluation model tidak lah cocok untuk mesin yang digunakan dalam proses produksi, khususnya ketika mesin tersebut memiliki sifat khusus dan recovery utama mesin tergantung pada produksi dari aset lainnya dan tidak tergantung pada capital gain yang dihasilkan dari pergerakan harga pasar mesin tersebut.
Ya, kami paham bahwa potensi koreksi dari kesalahan yang dihasilkan dari kegagalan untuk mereviu umur manfaat di masa lalu dapat menjadi proses yang menyulitkan, karena anda perlu membuat banyak perhitungan. Namun, proses tersebut cukup anda lakukan SATU KALI.

Sumber: ifrs.com

Kasus Audit IT: Deteksi Pembayaran Double

2016-05-27T17:23:00.002+07:00

Kami pernah mendapatkan beberapa pertanyaan atau keluhan terkait kesulitan internal auditor dalam lingkungan sistem berbasis IT untuk mendeteksi adanya pembayaran ganda kepada vendor / pegawai yang sama.
Diskusi terbaru adalah terkait dengan fasiltias bantuan dana dari PEMDA kepada para siswa SD dan SMP dengan kontrol menggunakan Kartu PEMDA Pintar. Sistem Pendidikan dan Sistem Kartu sudah berbasis IT, namun merupakan sistem terpisah.
Dari diskusi, ada beberapa temuan penyimpangan, diantaranya:

Satu orang siswa bisa mendapatkan dua kartu PEMDA Pintar (artinya 2 X bantuan dana).
Ada kartu yang bisa terbit dan data siswa tercatat dalam database sistem Kartu, namun ternyata siswa terkait tidak ada atau sudah pindah dari wilayah PEMDA.

Kondisi diatas hasil temuan kawan Internal Audit PEMDA. Apresiasi bagi mereka yang mampu menemukan fakta teresebut. Hanya saja masalah terkait hasil audit tersebut adalah:

Temuan berdasarkan hasil pengujian manual atas dokumen kertas, dengan cara membandingkan nama siswa dan orang tua antara data Kartu yang terbit dengan konfirmasi fisik ke sekolah-sekolah. Padahal, sistem pendidikan dan sistem Kartu sudah menggunakan Sistem High IT. Konsekuensinya dari pengujian manual, proses audit menjadi melelahkan dan banyak makan waktu.
Konsekuensi lain, jumlah data yang diuji menjadi terbatas, sehingga auditor hanya mampu mengungkapan sedikit sekali nilai penyimpangan.

Kami berkeyakinan, bahwa fakta di atas merupakan contoh fenomena gunung es, masih ada banyak penyimpangan yang belum terungkap. Informasi tambahan, total siswa SD dan SMP di PEMDA tsb untuk tahun 2012 adalah sebanyak 837.875 SD 343.594 siswa SMP, dengan nilai rata-2 bantuan per kartu sebesar Rp250.000/ bulan.
...
Berikut ini solusi sederhana yang kami coba tawarkan untuk meningkatkan kualitas hasil audit terhadap penerbitan dan pembayaran Kartu PEMDA Pintar tersebut:

Gunakan CAAT (misalkan ACL atau TeamMate). Dalam lingkungan berbasis IT, audit seharusnya menggunakan CAAT. Disini, kami menggunakan ACL. Dalam kasus kita, ada dua sistem IT terpisah yang keduanya merekam data siswa, yaitu:
- Sistem Pendidikan di Dinas Pendidikan, memiliki data Nama Siswa, Nomor Induk Siswa, dan Nama Sekolah. Sumber data untuk database siswa berasal dari input masing-masing sekolah ke dalam Sistem
- Sistem Kartu PEMDA Pintar, memiliki data Nomor Kartu PEMDA Pintar, Nama Siswa, Nomor Induk Siswa, dan Nama Sekolah, Nilai Bantuan.
Kedua sistem tersebut seharusnya memiliki field unik/kunci yang sama, yaitu nomor induk siswa.

Dapatkan Database dari kedua sistem tersebut. Misalkan kita dapatkan database simulasi (menggunakan format excel) sebagai berikut:
a. Database Sistem Pendidikan

Database Pendidikan

b. Database Sistem Kartu PEMDA Pintar

Database Kartu

Bayangkan jika database berisi 1 juta record, tentu auditor akan merasa pusing untuk mengecek satu per satu apakah ada double pemberian kartu kepada satu siswa atau tidak.

Examination
a. Analisis Duplikat untuk menguji duplikasi kartu.
Dari tabel Kartu (dari database Sistem Kartu Pemda Pintar), dengan menggunakan fungsi “Look for Duplicates” on field “Nomor Induk Siswa”, maka ACL akan menghasilkan tabel dibawah ini:

Siswa Dapat Dua Kartu

Dari tabel “Double Kartu” terlihat bahwa:
- Siswa dengan nomor induk “111111” memiliki dua kartu dengan nomor kartu AA5551 dan AA5559.
- Siswa dengan nomor induk “111113” memiliki dua kartu dengan nomor kartu AA5553 dan AA5560.
b. Analisis “Joint Tables” untuk menguji siswa fiktif atau pindah.
Dengan menggunakan fungsi “Join Tables”, dimana:
- Primary table = “Kartu”, primary key = “Nomor Induk Siswa”, primary fields = “all”, dan.
- Secondary table = “Pendidikan”, primary key = “Nomor Induk Siswa”, primary fields = “all”, dan
- Join categories = “Unmatched Primary Records”
maka ACL akan menghasilkan tabel dibawah ini:

Siswa Fiktif atau Pindah

Dari tabel “Siswa Fiktif Pindah” terlihat bahwa kartu atas nama Otong, NIS = 111121 tidak terdaftar dalam database Sistem Pendidikan.

c. Analisis “Joint Tables” untuk menguji siswa belum dapat kartu PEMDA Pintar.
Dengan menggunakan fungsi “Join Tables”, dimana:
- Primary table = “Pendidikan”, primary key = “Nomor Induk Siswa”, primary fields = “all”, dan
- Secondary table = “Kartu”, primary key = “Nomor Induk Siswa”, primary fields = “all”, dan
- Join categories = “Unmatched Primary Records”
maka ACL akan menghasilkan tabel dibawah ini:

Siswa Tidak Dapat Kartu

Dari table “Siswa Tidak Ada Kartu” terlihat bahwa siswa atas Nama Fitra J, Gilang M, dan Jono M belum mendapatkan kartu PEMDA Pintar.

Coba bayangkan jika jumlah siswa atau kartu yang diolah mencapai 1 Juta siswa, dengan menggunakan CAAT, maka semua pekerjaan analisis oleh auditor dalam audit IT akan menjadi lebih mudah.

Hal penting yang perlu menjadi perhatian auditor adalah adanya kelemahan dalam sistem, dimana tidak ada koneksi database antara Sistem Pendidikan dan Sistem PEMDA Pintar. Kedua sistem tersebut seharusnya terintegrasi, dimana:
- Sistem Pendidikan share database siswa ke Sistem PEMDA Pintar, sehingga:
  - Kartu terbit didasarkan database siswa di Sistem Pendidikan
  - Jika ada mutasi siswa pindah daerah, maka otomatis Sistem Kartu PEMDA Pintar akan memblok penggunaan kartu oleh siswa tersebut.
- Sistem PEMDA Pintar share database kartu terbit ke Sistem Pendidikan, sehingga Dinas Pendidikan bisa memonitor jika ada siswa yang tidak mendapatkan Kartu.

Saran:

Semua auditor seharusnya menggunakan CAAT dalam audit di lingkungan berbasis IT
Sistem Kartu PEMDA Pintar seharusnya terkoneksi dengan dan mengambil data siswa dari database Sistem Pendidikan dan tidak bisa input, ubah, dan hapus data siswa.
Bahkan jika Sistem Kartu PEMDA Pintar juga terintegrasi dengan semua sistem lainnya, seperti Sistem BPN, Sistem Dinas Pendapatan, Sistem Samsat, maka auditor juga dengan mudah mendeteksi Siswa Pemegang Kartu yang tidak memenuhi syarat (misal orang tua nya punya rumah, mobil/ motor).

Contoh Laporan Internal Audit - Opini Keseluruhan (Overall Opinion)

2016-05-23T17:47:00.000+07:00

Overall Opinion:
Rating atau simpulan oleh CAE, terkait, pada level keseluruhan, proses tatakelola, manajemen risiko, dan/atau pengendalian dari organisasi. Suatu overall opinion merupakan pendapat profesional dari CAE berdasarkan hasil-hasil dari beberapa penugasan individu internal ataupun eksternal, dan aktivitas lainnya, untuk periode waktu tertentu. Lihat gambar 1 di bawah.

Laporan Overall Opinion biasanya diterbitkan untuk suatu periode yang tercakup dalam Rencana Audit. Dalam prakteknya, penerbitan laporan overall opinion tergantung kebutuhan dari Manajemen atau Komisaris. Di USA, hanya sedikit CAE yang menerbitkan Laporan Overall Opinion dengan pertimbangan kesulitan dalam menentukan dasar dan mengukur overall opinion.
Posting kali ini mencoba untuk menyajikan template laporan overall opinion oleh CAE, sebagaimana yang ada di dalam IIA Practical Guide. Untuk contoh praktik riil laporan overall opinion dapat lihat Laporan Internal Audit Canadian Internal Development Agency dan Laporan Internal Audit Manchester City Council

Gambar 1: Overall Opinion

Contoh: Opini Tingkat Makro

Catatan: Adalah perlu untuk memiliki metodologi dan proses untuk evaluasi hasil kumulatif dari beberapa penugasan audit dan temuan audit di tingkat mikro, untuk menyimpulkan opini tingkat makro tersebut.

Judul Laporan

Kepada    : Pimpinan, Komite Audit
Dari        : Kepala Audit Internal
Judul        : Internal audit atas (sebutkan objek atau entitas audit klien)
Untuk Periode yang Berakhir ___

Tujuan Audit

Kami telah menyelesaikan Rencana Audit Internal (sebutkan objek atau entitas klien). Tujuan dari penugasan ini adalah untuk (sebutkan tujuan umum audit).

Lingkup Audit

Rencana Audit Internal disusun dengan mempertimbangkan (sebutkan faktor utama pendorong disusunnya Rencana). Audit internal dilaksanakan berdasarkan International Standards for the Professional Practice of Internal Auditing.
Audit internal telah melakukan pengujian (uraikan apa yang telah diuji; misalkan kerangka pengendalian manajemen, strategi penilaian risiko, kebijakan dan praktik, informasi yang digunakan dalam pengambilan keputusan, pelaporan yang masuk lingkup pengujian, dll). Lingkup audit termasuk (sebutkan lingkup audit):
a. ...
b. ...
Lebih lanjut, pengujian mencakup aktifitas yang telah terjadi selama periode audit (periode yang dicakup dalam pengujian). Kriteria yang digunakan untuk menilai entitas adalah (sebutkan kriteria dan sumbernya). Kriteria telah didiskusikan dan disepakati bersama dengan manajemen (sebutkan siapa) sebelum pelaksanaan prosedur detail audit.

Simpulan Audit

Kami menyimpulkan bahwa (masukan opini positif / grade untuk setiap tujuan). Opini keseluruhan kami terhadap XXX adalah memuaskan atau tidak memuaskan (berdasarkan opini keseluruhan terhadap entitas melalui evaluasi opini-opini hasil audit-audit individu/ tingkat mikro).

Pernyataan Penjaminan/Assurans

Dalam penilaian profesional saya sebagai (jabatan), prosedur audit yang cukup dan memadai telah dilakukan dan bukti telah diperoleh untuk mendukung akurasi dari simpulan yang diperoleh dan disajikan dalam laporan ini. Simpulan berdasarkan pada suatu perbandingan dari situasi yang ada pada saat audit, terhadap kriteria audit. Simpulan hanya berlaku untuk entitas yang diuji. Bukti yang dikumpulkan telah memenuhi standar audit profesional dan memadai untuk memberikan manajemen senior suatu simpulan yang kuat yang dihasilkan dari audit internal.

Jabatan
Tanda Tangan

Nama

Sumber:
IPPF - Practice Guide
Formulating and Expressing Internal Audit Opinions
The IIA
March, 2009

CISA CIA CPA Exam - Information Technology - Network

2016-02-18T13:49:00.004+07:00

Kali ini kita coba exercise soal-soal terkait information technology - network. Latihan ini cocok buat ujian CIA dan CPA, serta CISA. Untuk edisi web, tidak ada pembahasan, namun jika kawan-2 tertarik untuk mempelajari pembahasan jawaban, maka silakan kunjungi file pembahasan.

Silakan mencoba....
Exersice - Information Technology Audit - Network

1. Which type of network device directs packets through the Internet?
A. Hubs
B. Routers
C. Repeaters
D. Modems
Jawaban (B) benar.Router merupakan perangkat yang mem-forward data packets ke dalam networks. Fungsi routers network adalah untuk mengarahkan rute IP packets melalui network atau internet. Router menghubungkan setidaknya 2 network, umumnya dua LAN/ WAN atau suatu LAN dan ISP network-nya Router ditempatkan di gateway, dimana dua atau lebih network dihubungkan. Router menggunakan header dari paket dan mem-forward table-nya untuk menentukan to jalur terbait untuk mem-forward paket tersebut.

2. Which of the following is a list of OSI model levels from the top down?
A. Application, Physical, Session, Transport, Network, Data-Link, Presentation
B. Presentation, Data-Link, Network, Transport, Session, Physical, Application
C. Application, Presentation, Session, Transport, Network, Data-Link, Physical
D. Presentation, Data-Link, Network, Transport, Session, Physical, Application
Jawaban (C) benar.

3.What is one of the first priorities for an auditor reviewing security of the client’s network?
A. Checking firewall configuration settings.
B. Understanding details of network architecture and implementation .
C. Verifying the use of strong passwords .
D. Reviewing records to indicate systems are monitored and IDPS systems are working properly .
Jawaban (B) benar.

4. Which of the following network topologies provides a redundant path for communication?
A. Fiber-optic
B. Star
C. Ring
D. Bus
Jawaban (C) benar.

5. What is the security issue regarding packet analyzers?
A. Viewing passwords
B. Special training
C. Purchase cost
D. Only for auditor’s use
Jawaban (A) benar.

6.Which of the following is not a function of the operating system?
A. Filing system for storage and retrieval
B. Detection of system penetration
C. User interface (shell)
D. Security functions with event logging.
Jawaban (B) benar.

7.What is the difference between a router and a switch?
A. Both operate at layer 2; the router routes traffic, and the switch connects various users to the network.
B. Both operate at layer 3; the router routes traffic, and the switch connects various users to the network.
C. They operate at OSI layer 3 and layer 2, respectively.
D. They operate at OSI layer 2 and layer 3, respectively.
Jawaban (C) benar.

8.Which type of network cabling is relatively immune to interference, difficult to tap, and can run extended distances?
A. Coaxial
B. Shielded twisted-pair
C. Unshielded twisted-pair
D. Fiber-optic
Jawaban (D) benar.

9. Which type of memory is used to permanently record programs on solid-state chips and retains the data even after power is turned off?
A. Random access memory
B. Read-only memory
C. Flash memory
D. Optical memory
Jawaban (B) benar.

10.Network switches have frequently replaced the use of network hubs. What is the issue in regard to monitoring when using a network switch?
A. Hubs will pass all traffic across ports.
B. SNMP must be configured properly.
C. Switches operate at OSI layer 2.
D. Switches filter traffic between ports.
Jawaban (D) benar.

11.A client communicates sensitive data across the Internet. Which of the following controls would be most effective to prevent the use of the information if it were intercepted by an unauthorized party?
A. A firewall.
B. An access log.
C. Passwords.
D. Encryption.
Jawaban (D) benar.

12. The Internet Protocol (IP) contains a special feature for separating different types of communication between network addresses. What is this feature called?
A. Software port
B. Hardware port
C. Dynamic Host Configuration Protocol
D. Virtual Communication Protocol
Jawban (A) benar.

13. Default settings are used by vendors to help users get the system up and running. What is the auditor’s primary area of interest regarding default settings?
A. Save time and money for the user.
B. Represent the manufacturer’s recommended settings.
C. Indicate well-known settings published by the vendor.
D. Reduce support headaches, which increases operational uptime.
Jawaban (C) benar.

14.Which of the following are essential elements of the audit trail in an electronic data interchange (EDI) system?
A. Network and sender/recipient acknowledgments.
B. Message directories and header segments.
C. Contingency and disaster recovery plans.
D. Trading partner security and mailbox codes.
Jawaban (A) benar.

15.Which of the following statements is true concerning internal control in an electronic data interchange (EDI) system?
A.Preventive controls generally are more important than detective controls in EDI systems.
B.Control objectives for EDI systems generally are different from the objectives for other information systems.
C.Internal controls in EDI systems rarely permit control risk to be assessed at below the maximum.
D.Internal controls related to the segregation of duties generally are the most important controls in EDI systems.
Jawaban (A) benar.

16.Which of the following networks provides the least secure means of data transmission?
A. Value-added.
B. Public-switched.
C. Local area.
D. Private.
Jawaban (B) benar.

17.Which of the following is false with respect to client-server networks?
A.A client-server network divides processing of an application between a client machine on a network and a server.
B.In a client-server network, many applications reside on the client computer.
C.The server customarily manages peripheral hardware and controls access to shared databases.
D.A client-server network can cope with only 12 or fewer clients at a time.
Jawaban (D) benar.

18.Which of the following is considered to be a server in a local area network (LAN)?
A. The cabling that physically interconnects the nodes of the LAN.
B. A device that stores program and data files for users of the LAN.
C. A device that connects the LAN to other networks.
D. A workstation that is dedicated to a single user on the LAN.
Jawaban (B) benar.

19. Response time on a local area network (LAN) was so slow that programmers working on applications kept their code on their own workstations rather than on the server. As a result, daily backups of the server did not contain the current source code. The best approach to detect deteriorating response time is
A. Parallel testing.
B. Integrated test facility.
C. Performance monitoring.
D. Program code comparison software.
Jawaban (C) benar.

20.A device used to connect dissimilar networks is a
A. Gateway.
B. Bridge.
C. Router.
D. Wiring concentrator.
Jawaban (A) benar.

Untuk pembahasan jawaban, silakan kunjungi file pembahasan.

Test of Control: How?

2015-11-26T16:41:00.003+07:00

Continuing our previous posting, “assessing the adequacy of internal control”, in this posting we will try to share how to assess the functioning of internal control (test of
control), including a simple example. In the actual practice, the process of assessment on controls is not easy, complex, and require a lot of professional judgement and of works. These complexity makes our colleagues have a difficulty to understand and to perform test of control.
So we try to explain the assessment process in a very simple way. We believe that this process is good for unexperienced auditors to practice how to assess the functioning of internal control.
To simplify our discussion, we will skip some of the processes. Example: we will skip the procedures for assessing whether:

the control is designed to mitigate the identified significance risk,

there are compensating controls in the absence of key controls.

For our illustration, we will use attribute testing approach, which can be used in either statistical or judgemental method and widely used in assessing control. Attribute testing approach is also applicable for assessing the internal control over financial reporting (ICoFR).
By definition, attribute is the characteristic being tested for in the population. Attributes of interest and exception conditions for audit sampling are taken directly from the auditor’s audit procedures. It means, what attributes should be exist in our sampling, and whether there are exceptions in the sampling, are resulted from the the design and the implementation of our audit procedures.
This an example of attributes of voucher, if one or more attributes is (are) not exist than there is (are) exceptions:

CASE:
To conclude the functioning of internal control, we should take the following step (note: simplified):
Client: PT DEWA ARJUNA Year-end: 12/31/14
Audit Area: Test of controls and substantive test of transactions – billing functions: Pop-size: 5.764

Define the objectives:
Example: to test the operating effectiveness of controls, related to sales process.
Define the population precisely (including stratification, if any).
Example: sales invoices for the period 1/1/14 to 10/31/14. First invoice number 3689 and last invoice number: 9452, so population size is 5.764 invoices.
Define the sampling unit, organization of population items, and random selection procedures.
Example: sales invoice number: recorded in the sales journal sequentially, computer generation of random numbers.
Specify the tolerable exception rate (TER).
TER = the highest exception rate the auditor will permit in the control being tested and still be willing to conclude the control is operating effectively. Example, TER = 9%, means that even if 9% of the duplicate sales invoices are not approved for credit, the credit approval control is still effective.
Lower TER = larger sample size. Example, a larger sample size is needed for the test of credit approval if the TER is decreased from 9% to 6%.
Specify acceptable risk of assessing control risk too low (ARACR).
Auditors using attributes sampling assign a specific amount, such as 10% or 5% risk.
ARACR = the risk the auditor is wrong for concluding that a control is effective. For statistical sampling, it is common to use a percent, such as 5% or 10%. A low ARACR = the tests of controls are important and will correspond to a low assessed control risk and reduced substantive tests of details of balances. A larger sample size is required to lower this risk.
Estimate the population exception rate (EPER).
Auditors often use the preceding year’s audit results to estimate EPER. If prior-year results are not available, the auditor can take a small preliminary sample of the current year’s population for this purpose.
Determine the initial sample size.
Four factors determine the initial sample size: population size, TER, ARACR, and EPER. In attributes sampling, auditors determine sample size by using computer programs or tables developed from statistical formulas.
Develop audit procedure

Accounts for a sequence of sales invoices in the sales journal.
Trace selected sales invoices numbers from the sales journal to:

Accounts receivable master file and test for amount, date, and invoice number.
Duplicate sales invoice and check for the total amount recorded in the journal, date, customer name, and account classification. Check the pricing, extensions, and footings. Examine underlying documents for indication of internal verification.
Bill of lading and test for customer name, product, description, quantity, and date.
Duplicate sales order and test for customer name, product description, quantity, date and indication of internal verification.
Customer order and test for customer name, product description, quantity, date, and credit approval.

By skipping the detail process how to calculate EPER, TER, ARACR, and initial sample, then we can summarize the above steps, as follows.

Attribute No

Description of Attributes

Planned Audit

Exception Conditions

Attribute No	Description of Attributes	EPER (%)	TER (%)	ARACR (%)	Initial sample size (IS)	Exception Conditions
1	Existence of the sales invoice number in the sales journal (completeness)	0	4.0	5	74	No record of sales invoice number in the sales journal
2	Amount and other data in the master file agree with sales journal entry (posting and summarization)	1	5.0	5	93	The amount recorded in the master file differs from the amount recorded in the sales journal
3	Amount and other data on the sales invoice agree with the sales journal entry (posting and summarization)	1	5.0	5	93	Customer name and account number on the invoice differ from the information recorded in the sales journal
4	Evidence that pricing, extensions, and footing are cheked (initials and correct amounts) (accuracy)	1	5.0	5	93	Lack of initials indicating verifikation of pricing, extensions, and footings
5	Quantity and other data on the customer order agree with the sales invoice (occurance)	1.5	9.0	5	51	Quantity on the sales order differs from the quantity on the duplicate sales invoice
6	Credit is approved (occurance, valuation)	1.5	9.0	5	51	Lack of initials indicating credit approval

Using an approptiate sampling method (example random or purposive), and base on sampling size determined eralier, then we take sampling data from avalaible population. For attribute 1, we take 74 invoices as our sampling.

Then, we conduct our audit procedures. For example: invoice no. 3787, after perfor audit procedures on invoice no.3787, we found that, all attributes are exist, except for attribute no.4 and no.6.

Identity of item selected

Test of Control on Attributes

No	Identity of item selected	1	2	3	4 = 1 exception	5	6 = 1 exception
1	3787	Invoice number is EXIST in journal	Data in master file AGREE with journal	Data in invoice AGREE with journal	Pricing, extensions, and footing are NOT cheked	Data on customer order AGREE with invoice	Credit is NOT approved

After testing all sampling invoices, then we get the result as follows:

Identity of item selected

Attributes
X = exception

No	Identity of item selected	1	2	3	4	5	6	...
1	3787	OK	OK	OK	X	OK	X	OK
2	3924	OK	OK	OK	OK	OK	OK	OK
3	3990	OK	OK	OK	X	OK	X	OK
4	4058	OK	OK	OK	OK	OK	OK	OK
5	4117	OK	OK	OK	OK	OK	OK	OK
6	4222	OK	OK	OK	X	OK	X	OK
7	4488	OK	OK	OK	OK	OK	OK	OK
8	4635	OK	OK	OK	OK	OK	OK	OK
9	4955	OK	OK	OK	X	OK	X	OK
10	4969	OK	OK	OK	X	OK	X	OK
11	5101	OK	OK	OK	X	OK	X	OK
12	5166	OK	OK	OK	OK	OK	OK	OK
13	5419	OK	OK	OK	OK	OK	OK	OK
14	5832	OK	OK	OK	OK	OK	X	OK
15	5890	OK	OK	OK	OK	OK	OK	OK
16	6157	OK	OK	OK	OK	OK	OK	OK
17	6229	OK	X	OK	X	OK	X	OK
18	6376	OK	OK	OK	OK	OK	X	OK
19	6635	OK	OK	OK	X	OK	X	OK
20	7127	OK	OK	OK	OK	OK	OK	OK
21	8338	OK	OK	OK	OK	OK	OK	OK
22	8871	OK	X	OK	X	OK	X	OK
23	9174	OK	OK	OK	OK	OK	OK	OK
...	9371	OK	OK	OK	X	OK	X	OK
...	Number of exceptions	0	2	0	10	0	12	0
...	Sample size	75	100	100	100	50	50	...

Calculate CUER
From the result of the test, then we can determine CUER for each attribute. CUER is calculated from statistic table, by looking number of exception founds and number of sampel, with ARACR 5%.
The CUER can be shown as follows:

Attribute No

Description of Attributes

Planned Audit

Actual Results

Attribute No	Description of Attributes	EPER (%)	TER (%)	ARACR (%)	Initial sample size (IS)	Actual sample size (AS)	Number of except ion	Sample except ion rate (SER)	CUER
1	Existence of the sales invoice number in the sales journal (completeness)	0	4.0	5	74	75	0	0	4.0
2	Amount and other data in the master file agree with sales journal entry (posting and summarization)	1	5.0	5	93	100	2	2	6.2
3	Amount and other data on the duplicate sales invoice agree with the sales journal entry (posting and summarization)	1	5.0	5	93	100	0	0	3.0
4	Evidence that pricing, extensions, and footing are cheked (initials and correct amounts) (accuracy)	1	5.0	5	93	100	10	10	16.4
5	Quantity and other data on the customer order agree with the duplicate sales invoice (occurance)	1.5	9.0	5	51	50	0	0	5.9
6	Credit is approved (occurance)	1.5	9.0	5	51	50	12	24	> 20

Use of sampling result
- As we can see from the above table, attributes 1, 3, dan 5 has CUER < TER, and attributes 2, 4, and 6 has CUER > TER.
- Effect on audit plan: controls tested through attributes 1, 3, and 5 can be viewed as operating effectively, given that TER equals or exceed CUER. Additional emphasis is needed in confirmation, allowance for uncollectibne accounts, cutoff tests, and price test for the financial statement audit due to results of tests attributes 2, 4, and 6.
- Effect on Report on Internal Control: CUER exceeds TER for attributes 2, 4, and 6 These findings should be communicated to management to allow an opportunity for correction of the control deficiency to made before year-end. If timely correction is made by management, the corrected controls will be tested before year-end for purpose of reporting on internal control over financial reporting.
- The overall result of test of control will effect the auditor conlusion on the adequacy and the effectiveness/function of internal control over financial reporting.
- Recommendations to Management: each of exceptions should be discussed with management. Specific recommendations are needed to correct the internal verification of sales invoice to improve the approach to credit approvals.

IIA Forum Disccusion: Risk Based Internal Audit Plan

2015-06-21T23:14:00.001+07:00

In this posting, I would like to share my thought / discussion in Linkedin forum discussion of The Institute of Internal Auditors (Official Global Group),75,410 members. The topic of discussion is Risk Based Audit Annual Plan, proposed by Laura Rea. From this discussion, I hope we can learn something, and I believe that some of readers may agree with, disagree with, or have opinions other than opinions presented below. I have posted a simple practical guide risk based internal audit - for auditing application control. In next posting I would like to share more about what is RBIA? How if there is no risk management process performed by management?

Laura Rea, CIA Senior Manager

Assurance Services at University Federal Credit Union, Top Contributor
I have a couple of questions regarding annual risk assessments:
1.Who conducts the annual risk assessment used for establishing a risk-based plan to determine priorities of the internal audit activity?
2.Is this a risk assessment the Internal Audit Department develops, or do you use a risk assessment developed by Risk Management or Enterprise Risk Management or another business unit in your organization?
3.Does it impair independence or violate auditing standards to use a risk assessment developed by another party to determine your risk-based audit work plan? Why or why not?

Rudzani Thagwana CIA

Audit Specialist(Likelihood Change Agent)
My comment is based entirely on the my experience.
1. Risk Assesment is conducted by Enterprise Risk Department involving representatives from all business units Annually
2 The risk register is used to develop the audit plan. Furthermore internal audit considers previous years audit
Assessments, knowledge of the business as well as emerging risks which may have been omitted during the assessment
3 I would advice that u still evaluate what is contained in the Risk assessment to ensure that all relevant risks were considered. I hope I have assisted

Venkata S. Akella, MMS; CFE

Certified Fraud Examiner
I fully agree with Mr.Rudzani

Leonard Tan CPA, CIA, CRMA, CCSA, CA, MBA

Head,Internal Audit at China Yuchai International Ltd
Hi Laura, pertaining to the questions on risk assessment, please see below:
1. Head of Internal Audit (or Audit Director) will conduct the annual risk assessment for the preparation of risk based audit plan.The annual audit plan will then be submitted to the Audit Committee Chairman for his/her comment and review and eventually to the Board of Directors for approval.
2. The risk assessment will be developed by the Internal Audit ("IA"). If an organisation has an ERM department which has a risk register, IA may use it as a reference for its preparation of annual audit plan. While IA conducts the risk analysis and assessment, IA should take into consideration of the following areas prior grading the risks in the risk scoring system developed by IA:
a) assessment of internal and external environment (using PEST and SWOT analysis)
b) annual group business strategy and objective
c) past and pesent (or recurring) major audit issues highlighted by external audit, internal audit and SOX team (if any).
d) financial data (balance sheet and P&L)
e) understanding of control of individual core business processes as well as analysing the risk of individual process
3. If you refer to statement 1 and 2, the answer is there. IA reports functionally to Audit Committee. Hence IA should perform the risk assessment independently.

Arnold Schanfield, CIA, CPA

Principal, Schanfield Risk Management Advisors LLC
Top Contributor
Risk assessment is the responsibility of management to do and it is not a static thing done yearly. It should be done on an ongoing basis. Risk assessment is a critical piece of the entire risk management system.
Internal audit is responsible for providing assurance to the company on the risks and after making sure that the risk assessment is "sound" , should identify the critical risks which will form basis for the annual audit plan

Kaya Kwinana, CIA

Certified Internal Auditor
Top Contributor
An organisation which implements adequate governance, risk management and control processes will have:
1. Risk assessments conducted by management throughout the organisation and consolidated for the organisation.
2. Risk assessments which are always up to date (changes in elements of the risk assessment - objectives, criteria, risks, risk appetite, risk significance, risk strategy, controls etc - are made immediately)
3. Risk assessments never to be conducted by internal auditing for any reason - who only provide advice on and assess how they are done.
4. The utility of risk assessments for development of the internal audit plan is in the information provided by the monitoring component, which should conclude whether the governance, risk management and control processes are adequate and effective. If the answer is negative, a consulting engagement is indicated, if positive, an assurance engagement. The final decision on type of engagement is to be made during engagement planning.
5. An appropriate internal audit plan is one which seeks firstly to provide to extend advice on the implementation of governance, risk management and control processes to as much of the organisation as soon as possible, secondly to provide independent assessments of the same where appropriate and, increasingly rarely, provide the appropriate consulting or assurance services regarding particular organisational objectives senior management is concerned with.
In time there should be no need for management to want to be assured by internal auditing that the processes are in place to provide reasonable assurance that particular organisational objectives will be achieved. Such assurance should be available directly from the organisation on an ongoing basis. such management requests are an indication of gaps still to be filled in the service provided b internal auditing.

Sharafuddin Modhawi

Head of Internal Audit at Raysut Cement Company
Risk assessment is conducted by steering committee representing all processes within the organization. Whilst, risk management is the responsibility of senior management, the role of internal audit is to assure established control is adequate to mitigate such risks. However, risks assessment or risk register will help development of internal audit plan that shall consider strategic and operational risks, governance , management concerns and results of previous audits.
Therefore, I think independence is not impaired by using such documents and other as long as audit function is performed by independent auditors based on records and reports made by management,

Rob Jones

--
Hi Laura,
Interesting questions and some equally interesting responses.
Firstly, I would suggest that an Annual Risk Assessment is no longer good enough, as we have to be conscious of 'emerging risk' and therefore an Annual Audit Plan should not be cast in stone. I tend to build in 'ad hoc' (uncommitted time) in the Plan to cater for 'emerging risk' without effecting the Planned Assignments if possible, but should priorities changes, we need to be in a position to identify the emerging requirements and go back to our stakeholders (principally the Audit Committee but Executive Management as well) and advise of the need to change the plan due to a higher risk becoming apparent.
Secondly, if you consider the 'three lines of defence' model put forward by the Basel Committee; then Risk Management is clearly a 'second line' with IAD being the 'third line' (and independent), therefore, why would I rely on the 'second line' of defence to perform my risk assessment? After all they themselves will be subject to audit. I would foolish to ignore their risk assessment, but I would still prefer to perform my own. I'm not sure about your Audit Department, but most I've worked for, the annual hours required for coverage of the whole Audit Universe exceeds the hours available, and whilst there is the option of insourcing resources, this can only really be applied to High Risk areas, or areas where specialist skills are required which are not immediately available within the department. So we need to determine our own priorities i.e. High, Medium and Low Risks.
Lastly, does reliance on a third party risk assessment impair objectivity? I would say yes, as we have a responsibility to be Objective and 'Independent'.
So I suggest, meeting with Stakeholders (Audit Committee / Executive and Senior Business Managers) getting an understanding of their concerns (Audit Committee / Executive Mgt), and for the business managers the direction in which they are heading (i.e. new products, new business lines, new processes, new or changes to systems, organisational / staffing changes, regulatory changes etc.). Reviewing the Risk Assessment performed by Risk Management. Considering past audit ratings / findings and knowledge of the Audit Team; and use the information gathered to conduct our own Risk Assessment and prepare the Audit Plan for Audit Committee approval.
These are purely my personal thoughts based on my previous experience - hope they provide food for thought.

Yulias Sihombing, Ak, MAk, CIA, CPA

Senior Auditor at Badan Pengawasan Keuangan dan Pembangunan
I would like to share my understanding regarding to risk assessment approach used in establishing risk based annual audit plan.
First, the term used in Standard No. 2010 or Practice Advisories, is "risk assessment approach/ technique". In my understanding, IA does not perform risk management processes, but rather use the similar risk assessment technique or approach, like the technique used in risk management processes.
So, IA is the one who conduct the risk assessment techniques when establishing the risk bases audit plan.
Second, as required by Standard No. 2010, IA must "consider (not must use)" the input from Senor Management and Board, in the process of Risk Based Audit Plan. Further Practice Advisories state that "IA make 'An Assessment of the Organization’s RM Process' and determine what parts can be used in developing the internal audit activity’s plan and what parts can be used for planning individual internal audit assignments." It means that IA consider to use risks identified by management in their risk register/ risk map, as one of risk factors when we develop our risk based audit plan. Other risk factors would be, such as, monetary exposure, internal control assessment from previous audit, management integrity, current change in environment, initial or repeated audit, etc.
Before we use the management risk register/ map as an input, we first should assess the adequacy and the effectiveness of the organizations RM process. If appropriate, we can use the risk register/map, otherwise, CAE should use his own judgment of risk, after considering the input from SM / Board.
So, considering those steps when IA perform risk assessment approach for establishing risk based audit plan, I believe that IA is comply with the standards and the independence of IA would not impaired because IA "just considering the input from Mgt/Board, and after assessing the appropriateness of the input"
Please correct me if I am wrong.
I hope it would answer your questions.

Venkata S. Akella, MMS; CFE

Certified Fraud Examiner
I sincerely appreciate the comment made by Mr.Rob Jones. This is almost in line with the practice prevalent in the internal audit practices of the Indian banking industry. The internal audit can not plan for audits based on only the risks mapped by the Risk Management dept. based on merely the historical perspective. We need to invariably take into account the emerging risks not only the same enterprise but also emerging in the total environment to review the adequacy and or efficacy of the existing controls and suggest measures to strengthen the same further or even introduce new checks and controls.
Further, internal audit can not and should not ignore their responsibility of providing adequate assurance to all stake-holders. In my experience for over three decades, Audit Committee as well as the regulator questioned the bank's adequacy and ability of identifying and assessing the internal controls as well as checks whenever a major fraud surfaced in the organization. They ( the audit committee and regulator ) always tend to question the internal audit and not the risk management dept or the executive management.
Thanks and regards.

Juan Carlos Corrales Corrales
Consultor en riesgos, finanzas, economía y contaduría pública.
I agree with Mr. Rudzani Thagwana. Why? In order to better use of the resources in the compañy, it is as best practice to be aligned with the organization and deliver more added value, and exist organizations that have processes of identification and analysis of risks very robust, so inclusive of the AI work could never be replicated by themselves, so you should always consider the information generated by these processes.

Darrell Lee

Vice President - Internal Audit at American Century Investments
Hi Laura,
In our organization, Internal Audit performs an annual risk assessment used for establishing our risk based internal audit plan. The risk assessment model that we use is one provided by the Institute of Internal Auditors decades ago (maybe in the 1980's) that we have modified over the years. Actually, we evaluate our risk assessment questionnaire each year and may modifiy or add questions, or change the weightings as needed. Our risk assessment includes a section that addresses the risk assessments performed by management. In this way we do consider managment's own risk assessment. The internal audit risk assessment consists of both a scored section and section of open ended questions. From the internal audit risk assessment, a quantitative score to determine relative risk rankings for each audit area is achieved and the open ended questions provide subjective information that can be considered beyond the relative risk ranking when developing the risk based internal audit plan. The philosophy on how we develop our risk based plan is a discussion for another day.
I agree with Rob Jones that internal audit's objectivity could be impaired if internal audit relied on a risk assessment performed by management or any other third party and thus would compromise the internal audit function's conformance with professional standards.

Robert Cochrane

Principal Consultant at Pt UNICO NUSANTARA
Top Contributor
Bapak Yulias Sihombing, Ak, MAk, CIA makes the key point here I believe ie the the IIA International standards highlight the need for IA to be independent, and given that Risk Management / Assurance / Insurance are line management functions, IA cannot rely on the adequacy of a line function but must exercise its independence in evaluating managements ability to protect the entity from risk and threats.

Kaya Kwinana, CIA

Certified Internal Auditor
Top Contributor
I find the suggestion that internal auditing should be conducting risk assessments very interesting but misguided, in my opinion.
Let us say new risks (not identified by the engagement clients) have been identified, what then?
Let us further say that an engagement is schedule for six months hence, to “address” that risk. What engagement type will that be, an assurance or consulting engagement? If it is an assurance engagement, what alternative opinions are anticipated? If a consulting engagement, on what will it be said consulting was provided on?
Will internal auditing share the risk with the engagement clients? When? If not immediately, why not? If not at all, why?
What happens should the risk be “addressed” before the scheduled engagement?
IT IS INTERNAL AUDITING’S JOB TO ADVISE ENGAGEMENT CLIENTS ON HOW TO CONDUCT RISK ASSESSMENTS, NOT FOR INTERNAL AUDIT PLANNING, BUT AS PART OF THE GOVERNANCE, RISK MANAGEMENT AND CONTROL PROCESSES WHICH PROVIDE REASONABLE ASSURANCE, IF ADEQUATE AND EFFECTIVE, THAT ORGANISATIONAL OBJECTIVES WILL BE ACHIEVED.
It is a mistake to look at internal auditing, or whoever, to provide this assurance.
For reasons articulated in the “Internal Audit Plan” discussion, I consider the 2010 group of standards to be populist and contrary to the rest of the mandatory IPPF guidance, for example, standard 2100, 2110, 2120 (interpretation), 2201, the definitions of internal auditing, added value, assurance and consulting services, all of which focus internal auditing on governance, risk management and control PROCESSES as opposed to the risks espoused by the 2010 group of standards.
Risk assessments are not an internal audit plan development tool.
I suggest that one should rather look at the periodical assessments of engagement clients as a basis for developing an internal audit plan which aims firstly, to get the whole organisation to understand how to implement adequate and effective governance, risk management and control processes and, secondly, as reliable engagement client periodic assessments return positive results, to provide independent assessments thereof.
So, how much of your organisation knows how to implement adequate and effective governance, risk management and control processes?
How much of your organisation currently has 2 or more quarters of reliable periodic assessments affirming the implementation of adequate and effective governance, risk management and control processes?
How much of the organisation, with 2 or more quarters of reliable periodic assessments affirming the implementation of adequate and effective governance, risk management and control processes, have you provided independent assessments on?
How much of the organisation on which you have provided independent assessments on, has not had an independent assessment in the last 12 months?
Your internal audit plan should be focused on improving your answers to the above. I bet you’ll know intuitively in which direction the improvements are to be found for each of the questions!

Dom Tallerico

Financial Services
Going back to Laura's specific questions:
For 1, typically Internal Audit.
For 2, again, Internal Audit,though in most organizations I have been in or know of there is another dept. (usually some sort of risk management area) that also does it.
For 3, independence impairment if done by another party should not occur because, after all, there should logically be only one risk assessment for any organization.
Now the reality is that many risk management areas in an organization do not have, or fail to maintain, a risk assessment suitable for internal audit purposes, such as scheduling audits and related activities. I always strive to move toward one organizational risk assessment. Ways of achieving this include sharing an internal audit prepared risk assessment with management, particularly risk management areas; fostering management involvement in the risk assessment process (e.g., solicit feedback, interviews, attend meetings, review minutes of meetings not attended, etc.); conforming internal audit risk assessments with others in the organization (e.g., use same risk categories, match big picture items, etc.); and continuously updating the risk assessment during the year.

Robert Cochrane

Principal Consultant at Pt UNICO NUSANTARA
Top Contributor
Kaya's comments support my statement of yesterday that the IIA International Standards require IA not to be the providers of risk analysis services for an entity, but to audit that management process. Yes to do an audit properly IA should review risks and risk management, and part of that process is to review line managements risk management functionality etc.
Kaya some of the worst examples of IA hopelessness I have seen or read about have been where corporations, and other entities use contractors to carry out IA's. I am new to this Linked in group, but I am sure other truly internal, FT employed IA execs would support my view. If you know IA as I do (after ten years of senior executive roles in IA), contract IA is a contradiction in terms, as the contractors invariably do not get the inside oil about issues and people in the audit client.

Yulias Sihombing, Ak, MAk, CIA, CPA

Senior Auditor at Badan Pengawasan Keuangan dan Pembangunan
I would like to clarify my previous comments.
First, I am not saying that IA do the risk management function, but in establishing a "risk-based annual audit plan", IA should do a risk assessment approach (steps similar with risk management process). That is why it is called as "a risk based annual audit plan", so IA would allocate its limited resources to focus to audit on areas which have significant risks. IIA has issued GTAG 8 Auditing Application Controls and GTAG 11 Developing the IT Audit Plan, which use a risk assessment approach. Perhaps GTAG 8 and 11 would be a good material for us, as a guidance how to establish a risk-based annual audit plan.
Second, our discussion topic is about risk-based annual audit plan. Regarding to what type of engagement IA should perform, IPPF (specifically in Position Paper: the role of Internal Auditing in ERM) suggest that if there is no or weak risk management process, than IA should plan and perform a consulting engagement, and may conduct assurance engagement if applying safeguarding criteria. If there is a sound risk management process, than IA should plan and perform an assurance engagement.

Arnold Schanfield, CIA, CPA

Principal, Schanfield Risk Management Advisors LLC
Top Contributor
Robert:
I agree with your first paragraph of above and this is quite a sore subject in the internal audit world as the reason, most internal audit departments do not specifically comply with what you are stating because they truly do not grasp essence of the specifics of the risk management framework and the risk management process. It is unacceptable in any situation for internal audit to be performing the risk assessment, or modifying, or tweaking it or doing a million different things to it. Yet most of the internal audit departments you speak to especially in the United States are actually doing bits and pieces of the risk assessment. That is management's job and if management has not done their job, they to be told about it. Unfortunately, internal audit is missing some of the training needed to describe the kinds of things needed to improve the end product
In your second paragraph, I too have seen awful t hings from contractors. On the other hand, I have also seen awful things from the internal auditors. There is a rationale on whether something should be outsourced and I am not saying this because I in fact am a contractor. I spend most of my professional time advising clients whether they should outsource internal audit or not. I use many materials to help clients through this process. In some cases, after reviewing the materials, I come to the conclusion that it should be management that is outsourced and internal audit kept

Robert Cochrane

Principal Consultant at Pt UNICO NUSANTARA
Top Contributor
Well said Arnold !
I agree with you, and clearly you have great experience.
Perhaps if CFO's who signed the accounts had to sign a declaration that their entities' IA function met the IIA's international standards things might improve on the independence front.
I guess my outsourcing conceptual problem is due to seeing the big 6 firms carry out "IA's" by sending out junior staff, in short bursts to do the task, and in many years of seeing them do that I have never been asked about systems soundness from a risk assessment perspective - the best I have seen is for these junior staff to look at internal controls on expenditure transactions / order generation. I am sure that in the US their are specialist highly skilled firms like yours that do not fit this mould, but I have yet to see this in Australia.
I guess the main argument for outsourcing IA is that it avoids the sycophant syndrome - where chief executives often hire older finance staff who are very sensitive to being fired, or very junior staff who may be very easily intimidated, to the role, and they rarely stand up and be counted when the CEO perpetrates a massively risky strategy.

Kaya Kwinana, CIA

Certified Internal Auditor
Top Contributor
Yulius, I welcome these comments you make, "Regarding to what type of engagement IA should perform, IPPF (specifically in Position Paper: the role of Internal Auditing in ERM) suggest that if there is no or weak risk management process, than IA should plan and perform a consulting engagement, and may conduct assurance engagement if applying safeguarding criteria. If there is a sound risk management process, than IA should plan and perform an assurance engagement".
My point is that one obtains knowledge of whether or not organisational units are implementing adequate and effective governance, risk management and control processes form the respective units' periodic assessments, rather than from risk assessments.
One then schedules engagements to respond to the reliability and results of those periodic assessments. If reliability and/or results are negative, consulting engagements are provisionally scheduled. If both reliability and results are positive, assurance engagements are provisionally scheduled.
I say "provisionally scheduled" because the situation may have changed by the time internal auditing is ready to conduct the engagement. At that time, internal auditing should reconfirm the previous information. Standard 2201 and the 2210 group of standards, are there to specifically help in this regard - of deciding which of assurance or consulting engagement must be conducted.
It is irresponsible of any internal auditor in charge of an engagement to blindly follow instructions from whoever as to what engagement type to conduct, be it management, audit committee or CAE. That decision is made on the basis of specific information obtainable from the engagement planning stages mentioned above.
Back to the internal audit plan. As internal auditors we need to respect the hierarchy of the authoritative guidance. In other words, strongly recommended guidance may support mandatory guidance but may not be contrary to it. By the same token, strongly recommended guidance needs to be internally consistent, that is, any mandatory guidance must be consistent with the mandatory guidance taken as a whole. This is important!
Any guidance, (strongly recommended or mandatory or neither), supporting risk based internal audit plans or risk based internal auditing is not consistent with the mandatory IPPF guidance taken as a whole.
This is because standard 2100, the definitions of internal auditing, added value, assurance and consulting services, all require internal auditing to provide advice or independent assessments on governance, risk management and control PROCESSES, not risks or controls.
It is these PROCESSES, when adequate and effective, rather than internal auditing or the process owners or whoever, that provides the organisation with TIMELY reasonable assurance that organisational objectives will be achieved.
Internal auditing is grossly unequipped to provide this reasonable assurance, which is the life blood of organisations. Even less likely will it do so with a risk based approach, which is in reality a populist approach which only provides a feel good factor to organisations - that something is done to address the PROBLEMS.

Information System Audit: Revenue Cycle

2015-05-31T23:29:00.003+07:00

REVENUE CYCLE AUDIT OBJECTIVES, CONTROLS, AND TESTS OF CONTROLS

The discussion in this section presumes that the reader is familiar with general control and application control in IT environment, and the objectives of audit. Recall that computer application controls fall into three broad categories: input controls, process controls, and output controls. Within this framework, we examine application controls, tests of controls, and the audit objectives to which they relate. Substantive tests and their relationship to audit objectives are considered later in next posting.

1. Input Controls

Input controls are designed to ensure that transactions are valid, accurate, and complete. Control techniques vary considerably between batch and real-time systems. The following input controls relate to revenue cycle operations.

Credit Authorization Procedures
The purpose of the credit check is to establish the creditworthiness of the customer. Only customer transactions that meet the organization’s credit standards are valid and should be processed further.
- In POS systems, the authorization process involves validating credit card charges and establishing that the customer is the valid user of the card. After receiving online approval from the credit card company, the clerk should match the customer’s signature on the sales voucher with the one on the credit card.
- When credit checks are computerized, the organization’s credit policy is implemented through decision rules that have been programmed into the system. For routine transactions, this typically involves determining if the current transaction plus the customer’s current AR balance exceeds a pre-established credit limit. If the credit limit is exceeded by the transaction, it should be rejected by the program and passed to an exception file, where it can be reviewed by management. The credit manager will decide either to disapprove the sale or to extend the credit limit consistent with the manager’s authority.
Testing Credit Procedures
Failure to apply credit policy correctly and consistently has implications for the adequacy of the organization’s allowance for uncollectible accounts. The following tests provide evidence pertaining to the valuation/allocation audit objectives and, to a lesser extent, the accuracy objective.
- The auditor needs, therefore, to determine that effective procedures exist to establish appropriate customer credit limits; communicate this information adequately to the credit policy decision makers; review credit policy periodically; and monitor adherence to current credit policy.
- The auditor can verify the correctness of programmed decision rules by using either the test data or integrated test facility (ITF) approaches to directly test their functionality. This testing is easily accomplished by creating several dummy customer accounts with various lines of credit and then processing test transactions that will exceed some of the credit limits. The auditor can then analyze the rejected transactions to determine if the computer application correctly applied the credit policy.

Data Validation Controls

Input validation controls are intended to detect transcription errors in transaction data before they are processed. Since errors detected early are less likely to infiltrate the accounting records, validation procedures are most effective when they are performed as close to the source of the transaction as possible.
In the batch system, data validation occurs only after the goods have been shipped. Extensive error logs, error correction, and transaction resubmission procedures characterize such systems.
By contrast, validity tests performed in real time and POS systems can deal with most errors as they occur. This approach also minimizes human data entry and thus reduces the risk of data entry errors. For example, when the clerk enters the customer’s account number, the system automatically retrieves his or her name and mailing address. When the clerk enters the product number and quantity sold, the data entry system automatically retrieves the product description and price, and then calculates the extended price plus tax and shipping charges.

Missing data checks are used to examine the contents of a field for the presence of blank spaces. Missing product numbers, missing customer account numbers, or incomplete mailing or billing addresses will cause the transaction to be rejected. When the validation program detects a blank where it expects to see a data value, this will be interpreted as an error.
Numeric-alphabetic data checks determine whether the correct form of data is in a field. For example, an invoice total should not contain alphabetic data. As with blanks, alphabetic data in a numeric field may cause serious processing errors.
Limit checks determine if the value in the field exceeds an authorized limit. For example, an organization may allow its sales personnel to negotiate prices with customers up to a maximum discount percentage. The order entry validation program can interrogate the discount field in the sales order records for values that exceed the threshold.
Range checks assign upper and lower limits to acceptable data values. For example, the actual sales price charged for a product can be compared to a range of acceptable prices. The purpose of this control is to detect keystroke errors that shift the decimal point one or more places.
Validity checks compare actual values in a field against known acceptable values. This control is used to verify such things as product codes, shipping company codes, and state abbreviations in customer addresses. If the value in the field does not match one of the acceptable values, the record is determined to be in error.
Check digit controls identify keystroke errors in key fields by testing their internal validity. This check is often used to control data entry errors that would otherwise cause the wrong customer’s account to be charged for a transaction.

Testing Validation Controls

Data entry errors that slip through edit programs undetected can cause recorded accounts receivable and revenue amounts to be materially misstated. The audit procedures described here provide evidence about the accuracy assertion.
Performing substantive tests of detail to identify customers with excessive credit limits can do this. Substantive tests traditionally follow tests of controls because the results of tests of controls are used to determine the nature, timing, and extent of the substantive tests. In this case, however, the central audit issue is whether the validation programs in the data editing system are functioning correctly and have continued to function as intended throughout the period. Testing the logic of a validation program, however, represents a significant undertaking.
The auditor may decide to rely on the quality of other controls to provide the assurance needed to reduce substantive testing. For example, after reviewing systems development and maintenance controls, the auditor may determine that controls over original program design and testing and subsequent changes to programs are effective. This evidence permits the auditor to assess the risk of material program errors at a low level and thus reduce the substantive tests related to the audit objective of accuracy.
If controls over systems development and maintenance are weak, however, the auditor may decide that testing the data editing controls would be more efficient than performing extensive substantive tests of details. In such a case, ITF or the test data approach would enable the auditor to perform explicit tests of the logic. This type of testing would require the auditor to gain a familiarity with all of the validation procedures in place. The auditor would need to create a comprehensive set of test transactions that include both valid and erroneous data values that fall within and outside of the test parameters. An analysis of the test results will show the auditor which types of errors, if any, can pass undetected by the validation program. This evidence will help the auditor determine the nature, timing, and extent of subsequent substantive tests.
In addition to direct testing of program logic, the auditor can achieve some degree of assurance by reviewing error listings and error logs. These documents provide evidence of the effectiveness of the data entry process, the types and volume of errors encountered, and the manner in which the errors are corrected and reentered into the system.
Error listings and logs do not, however, provide evidence of undetected errors. An analysis of error conditions not present in the listing can be used to guide the auditor in designing substantive tests to perform. For example, assume that the error listing of the sales invoice file contains no price limit errors. On the one hand, this situation might simply mean that sales personnel strictly adhere to pricing guidelines. On the other hand, it may mean that the validation program does not test for this type of error. To determine whether material price discrepancies exist in the sales invoice file, the auditor can perform substantive tests that compare the actual price charged with the suggested retail price.

Batch Controls

Batch controls are used to manage high volumes of transaction data through a system. The objective of batch control is to reconcile output produced by the system with the input originally entered into the system. While initiated at the data input stage, batch control continues through all phases of data processing. For example, in the revenue cycle sales invoices are gathered together and enter the system at data entry. After each subsequent processing stage in the system, the batch is reviewed for completeness.
An important element of batch control is the batch transmittal sheet, which captures relevant information about the batch, such as the following:
- A unique batch number.
- A batch date.
- A transaction code (indicating the type of transactions, such as a sales order or cash receipt).
- The number of records in the batch (record count).
- The total dollar value of a financial field (batch control total).
- The total of a unique nonfinancial field (hash total)

Batch Transmittal Sheet

The information contained in the transmittal sheet is entered as a separate control record that the system uses to verify the integrity of the batch. The task of reconciling processing with the control record provides assurance that:
- All sales invoices and cash receipts records that were entered into the system were processed.
- No invoices or cash receipts were processed more than once.
- All invoices and cash receipts entered into the system are accounted for as either successfully processed or rejected because of errors.

Testing Batch Controls.

The failure of batch controls to function properly can result in records being lost or processed multiple times. Tests of batch controls provide the auditor with evidence relating to the management assertions of completeness and accuracy.
Testing batch controls involves reviewing transmittal records of batches processed throughout the period and reconciling them to the batch control log. The auditor needs to investigate out-of-balance conditions to determine the cause. For example, assume that a batch’s transmittal record shows 100 sales invoices with a total dollar value of $182,674.87 were entered into the system, but the completed batch log shows that only 96 records were processed with a batch total of $172,834.60. What caused this? Is the problem due to lost or changed invoices? Did the data entry clerk incorrectly calculate the batch control totals? Were error records rejected in processing and removed from the batch? Were rejected records corrected and resubmitted for processing?
The auditor should be able to obtain answers to these questions by reviewing and reconciling transaction listings, error logs, and logs of resubmitted records. Gathering such evidence, however, could involve scanning literally thousands of transactions. In modern systems, batch control logs are stored online in text files that can be read by word processing and spreadsheet programs. Modern audit software such as ACL is capable of searching log files for out-of-balance conditions.
Batch control totals, such as those on the batch transmittal sheet, are also a valuable tool in doing IT audits and fraud audits. For example, it is typical in IT audits to download a copy of the database or sets of data files from a real-time, online system to a microcomputer for analysis and audit procedures by the auditor. One technique for assuring that the data being downloaded are the same data as those being analyzed and tested is to perform batch controls on the live system, which will then be used as control totals for the data loaded on a separate system. Thus, throughout the audit processes, the auditor can be assured that the data are the same (i.e., they have integrity) by checking totals of the test data against the control totals obtained from the live system. This process is particularly helpful to auditors who use generalized audit software, such as ACL.

2. Process Controls

Process controls include computerized procedures for file updating and restricting access to data. Depending on the level of computer technology in place, process controls may also include physical manual tasks. We begin by examining three control techniques related to file updating. Access and physical controls are then examined.

File Update Controls
Run-to-run controls use batch control data discussed in the previous section to monitor the batch as it moves from one programmed procedure (run) to another. These controls ensure that each run in the system processes the batch correctly and completely. After each major operation in the process, key fields such as invoice amount and record counts are accumulated and compared to the corresponding values stored in the control record.
A discrepancy may indicate that a record was lost in processing, a record in the batch went unprocessed, or a record was processed more than once.
- Transaction Code Controls. Revenue cycle systems are often designed to process multiple record types. For example, the order entry application may process both sales orders and returns and allowances transactions. The actual tasks performed by the application are determined by a transaction code assigned to each record. Errors in transaction codes, or in the program logic that interprets them, can cause incorrect processing of transactions and may result in materially misstated sales and accounts receivable balances.
- Sequence Check Control. In systems that use sequential master files, the order of the transaction records in the batch is critical to correct and complete processing. As the batch moves through the process, it must be re-sorted in the order of the master file used in each run. An out-of-sequence sales order record in a batch may prevent the remaining downstream records from being processed. A more serious problem can occur when the sequencing error is not detected and the downstream records are processed against the wrong customer accounts. A sequence check control should be in place to compare the sequence of each record in the batch with the previous record to ensure that proper sorting took place. Out-of-sequence records should be rejected and resubmitted for subsequent processing to allow the other records in the batch to be properly processed.
- Testing File Update Controls. The failure of file update controls to function properly can result in records going unprocessed, being processed incorrectly (i.e., returns are treated as sales), or being posted to the wrong customer’s account. Tests of file update controls provide the auditor with evidence relating to the assertions of existence, completeness, and accuracy.
- We examined the audit procedures for reviewing batch controls previously as part of the discussion of input controls. Testing run-to-run controls is a logical extension of these procedures and needs no further explanation. Tests of transaction codes and sequence checks can be performed using ITF or the tests–data approach. The auditor should create test data that contain records with incorrect transaction codes and records that are out of sequence in the batch and verify that each was handled correctly.
- Implicit in this test is verifying the mathematical correctness of the computer operation. For example, consider a sales order for five units of product valued at $100. Assume that before the transaction is processed, the current value of the customer’s account is $1,000 and the inventory in question shows 250 units on hand. After processing, this transaction should increase the customer balance to $1,100 and reduce the inventory to 245 units.
- The efficient use of logic-testing CAATTs like ITF requires careful planning. By determining in advance the input and process controls to be tested, a single audit procedure can be devised that performs all tests in one operation. For example, a single test designed to examine credit authorization controls, transaction code controls, and the mathematical accuracy of the update program can provide evidence that supports multiple audit objectives.

Access Controls
Access controls prevent and detect unauthorized and illegal access to the firm’s assets. Inventories and cash are the physical assets of the revenue cycle. Traditional techniques used to limit access to these assets include the following:
- Using warehouse security, such as fences, alarms, and guards
- Depositing cash daily in the bank
- Using a safe or night deposit box for cash
- Locking cash drawers and safes in the cash receipts department
Controlling access to accounting records is no less important. An individual with unrestricted access to data can manipulate the physical assets of the firm and cause financial statements to be materially misstated. Accounting files stored on magnetic media are particularly vulnerable to unauthorized access, whether its cause is accidental, an act of malice by a disgruntled employee, or an attempt at fraud. The following are examples of risks specific to the revenue cycle:
1. An individual with access to the AR subsidiary ledger could remove his or her account (or someone else’s) from the books. With no record of the account, the firm would not send the customer monthly statements.
2. Access to blank sales orders may enable an unauthorized individual to trigger the shipment of a product.
3. An individual with access to both cash and accounting records could remove cash from the firm and cover the act by adjusting the cash account.
4. An individual with access to physical inventory and inventory records could steal products and adjust the records to cover the theft.
Remote Access Configuration

Testing Access Controls.
Access control is at the heart of accounting information integrity. In the absence of controls, invoices can be deleted, added, or falsified. Individual account balances can be erased, or the entire AR file can be destroyed. Evidence gathered about the effectiveness of access controls tests the management assertions of existence, completeness, accuracy, valuation and allocation, right and obligations, and presentation and disclosure.
Computer access controls are both system-wide and application-specific. Access control over revenue cycle applications depends on effectively controlling access to the operating systems, the networks, and the databases with which they interact. The control techniques —including passwords, data encryption, firewalls, and user views—apply also in preventing unauthorized access to revenue cycle processes. The auditors will typically test these controls as part of their review of general controls.

Physical Controls
- Segregation of Duties.
  Proper segregation of duties ensures that no single individual or department processes a transaction in its entirety. The number of employees in the organization and the volume of transactions being processed will influence how tasks are divided. In general, the following three rules apply:
  1. Rule 1.
    Transaction authorization should be separate from transaction processing. For example, within the revenue cycle, the credit department is segregated from the rest of the process, so that the formal authorization of material transactions is an independent event. The importance of this separation is clear when one considers the potential conflict in objectives between the individual salesperson and the organization. Often, sales staff compensation is based on their sales levels. To achieve their personal objective of maximizing sales volume, sales personnel may not always consider the creditworthiness of the prospective customer. The credit department, acting as an independent authorization group, detects risky customers and discourages poor and irresponsible sales decisions.
  2. Rule 2.
    Asset custody should be separate from the record-keeping task. In the salesorder processing system, the inventory warehouse clerk with custody of the physical assets should not also maintain the inventory records. Similarly, the cash receipts clerk (with custody of cash) should not record accounts receivable.
  3. Rule 3.
    The organization should be so structured that the perpetration of a fraud requires collusion between two or more individuals. The record-keeping functions must be carefully divided. Specifically, the subsidiary ledgers (AR and inventory), the journals (sales and cash receipts), and the general ledger should be separately maintained. An individual with total record-keeping responsibility, in collusion with someone with asset custody, is in a position to perpetrate fraud. By separating these tasks, collusion must involve more people, which increases the risk of detection and is, therefore, less likely to occur.
- Supervision.
  Some firms have too few employees to achieve an adequate separation of functions and must rely on supervision as a compensating control. By closely supervising employees who perform potentially incompatible functions, a firm can compensate for the exposure inherent in a system.
  Supervision can also provide control in systems that are properly segregated. For example, the mailroom is a point of exposure for any firm. The individual who opens the mail has access both to cash (the asset) and to the remittance advice (the record of the transaction). A dishonest employee may use this opportunity to steal the check, cash it, and destroy the remittance advice, thus leaving no evidence of the transaction. Ultimately, this sort of fraud will come to light when the customer receives another bill and, in response, produces the canceled check. However, by the time the firm gets to the bottom of this problem, the perpetrator may have committed the crime many times over and left the organization. Detecting crimes after the fact accomplishes little. Prevention is the best solution. The deterrent effect of supervision can provide an effective preventive control.
- Independent Verification.
  The purpose of independent verification is to review the work performed by others at key junctures in the process to identify and correct errors. Following are two examples in the revenue cycle:
  1. The shipping department verifies that the goods sent from the warehouse are correct in type and quantity. Before the goods are sent to the customer, the stock release document and the packing slip are reconciled to identify discrepancies.
  2. The billing department reconciles the shipping notice with the sales invoice to ensure that customers are billed only for the items and quantities that were actually shipped.
Testing Physical Controls.
- Inadequate segregation of duties and the lack of effective supervision and independent verification can result in fraud and material errors. Inappropriate access privileges are often associated with incompatible duties. Similarly, the purpose of collusion is to achieve unauthorized access to assets as well as the information needed to conceal the crime. In the absence of supervision and independent verification activities, errors and fraud may go undetected.
- The auditor’s review of job descriptions and organizational charts, and by observing physical processes, should disclose the more egregious examples of incompatible tasks, such as one individual opening the mail, depositing the check, and recording receipts in the customer accounts. Covert relationships that lead to collusion may not be apparent from an organizational chart. For example, married employees (or those otherwise related) who work in incompatible areas go unnoticed. The auditor should verify that the organization has rules for appropriately dealing with nepotism issues.
- Many tasks that are normally segregated in manual systems are consolidated in the data-processing function of computer-based systems. Computer programs in the revenue cycle perform inventory control, accounts receivable, billing, and general ledger tasks. In this situation, the auditor’s concern should focus on the integrity of the computer programs that perform these tasks. The following questions need answers: Is the logic of the computer program correct? Has anyone tampered with the application since it was last tested? Have changes been made to the program that could have caused an undisclosed error? Answers to these questions come from the auditor’s review of systems development and maintenance controls and by reviewing organizational structure. Duties pertaining to the design, maintenance, and operation of computer programs need to be separated. Programmers who write the original computer programs should not be responsible for making program changes. Also, individuals who operate the computer system should not be involved in systems design, programming, or maintenance activities. Personal relationships (i.e., marriage) between individuals in these incompatible areas may require further investigation.

3. Output Controls

Output controls are designed to ensure that information is not lost, misdirected, or corrupted and that system processes function as intended. For example, managers receive daily summaries of sales orders placed by customers, goods shipped, and cash received, and use such data to monitor the status of their operations. Output control can be designed to identify potential problems. For example, an exception report derived from the customer open order file listing end-of-day open sales orders can identify orders placed but not shipped.

Reconciling the general ledger is an output control that can detect certain types of transaction processing errors. For example, the total of all credit sales recorded by billing should equal the total increases posted to the AR subsidiary accounts. A sales transaction that is entered in the journal but not posted to the customer’s account would be detected by an imbalance in the general ledger. Finding the error may require examining all the transactions processed during the period. This could be time consuming. For this reason, rather than summarizing an entire day’s transactions in a single batch, entities often group transactions into small batches of 50 to 100 items. This facilitates reconciling balances by isolating a problem to a specific batch.
Another important element of output control is the maintenance of an audit trail. It is not sufficient to know that 100 transactions entered the system and only 99 came out. Details of transaction processing produced at intermediate points can provide an audit trail that reflects activity through every stage of operations.
The following are examples of audit trail output controls:

Accounts Receivable Change Report
This is a summary report that shows the overall change to accounts receivable from sales orders and cash receipts. These numbers should reconcile with total sales, total cash receipts (on account), and the general ledger.

Transaction Logs
Every transaction successfully processed by the system should be recorded on a transaction log, which serves as a journal. A transaction log serves two purposes:
1. The transaction log is a permanent record of valid transactions.
2. Not all of the records in the temporary transaction file will always be successfully processed. Some of these records may fail validity tests and will be rejected. A transaction log should contain only successful transactions. Rejected transactions should be placed in an error file. The transaction log and error files combined should account for all the transactions in the batch.

Transaction Listings
The system should produce a (hard copy) transaction listing of all successful transactions. These listings should go to the appropriate users to facilitate reconciliation with input. For example, a listing of cash receipts processed will go to the controller to be used for a bank reconciliation.

Log of Automatic Transactions
Some transactions are triggered internally by the system. For example, EDI sales orders are accepted and processed without human authorization. To maintain an audit trail of these activities, all internally generated transactions must be placed in a transaction log, and a listing of these transactions should be sent to the appropriate manager.

Unique Transaction Identifiers
Each transaction processed by the system must be uniquely identified with a transaction number. This control is the only practical means of tracing a particular transaction through a database of thousands or even millions of records. In systems that use physical source documents, the unique number printed on the document can be transcribed during data input and used for this purpose. In real-time systems, which do not use source documents, each transaction should be assigned a unique number by the system.

Error Listing
A listing of all error records should go to the appropriate user to support error correction and resubmission.

Testing Output Controls
The absence of adequate output controls has adverse implications for operational efficiency and financial reporting. Evidence gathered through tests of output controls relates to the completeness and accuracy assertions.
- Testing output controls involves reviewing summary reports for accuracy, completeness, timeliness, and relevance to the decisions that they are intended to support. In addition, the auditor should trace sample transactions through audit trail reports, including transaction listings, error logs, and logs of resubmitted records. Gathering such evidence, however, may involve sorting through thousands of transactions.
- In modern systems, audit trails are usually stored online in text files. Data extraction software such as ACL can be used to search log files for specific records to verify the completeness and accuracy of output reports. Alternatively, the auditor can test output controls directly using ITF.

Reference:

James A. Hall, Assurance, Third Edition, 2011, South-Western, Cengage Learning

Internal Audit Capability Model (IACM)

2015-05-27T12:31:00.003+07:00

I.1 Introduction Internal Audit Capability Model (IA-CM) For Public Sector

Background for IACM

The importance of IAA in public sector governance and accountability, in enhancing the economy, efficiency, and effectiveness of all levels of public sector administration.
Internal Audit could vary from country to country.
The need for a universal model that public sector IA activities could use as a self-assessment and development tool.

The Research

Purpose: to develop an IA-CM to use globally as a basis for implementing and institutionalizing effective internal auditing in the public sector.

The primary lines of inquiry were intended to explore and identify.
The characteristics at each capability level for the IA activity and the org.
The elements of IA activity and the KPA at capability level and within element.
The activities and practices of each KPA that need to function effectively.

I.2 Internal Auditing and The Environment Internal Audit

“IA is independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.”

Environment

IA is performed in various environments and within organizations that differ in purpose, size, and structure.

Laws and customs vary around the world.
The receptiveness of a particular country to financial management reforms.

I.3 IACM in Summary.

What is the IA-CM for the Public Sector

The IA-CM is a framework that:

identifies the fundamentals needed for effective internal auditing in the public sector.
describes an evolutionary path for a public sector organization to follow in developing effective internal auditing to meet the organization's governance needs and professional expectations.
shows the steps in progressing from a level of internal auditing typical of a less established organization to the strong, effective, internal auditing capabilities, generally associated with a more mature and complex organization.

The IA-CM is:

a communication vehicle
for communicating what is meant by effective internal auditing and how it serves an organization and its stakeholders, and for advocating the importance of IA to decision makers.

a framework for assessment
a framework for assessing the capabilities of an IA activity against professional IA standards and practices, either as a self-assessment or an external assessment.

a road map for orderly improvement
for building capability that sets out the steps an organization can follow to establish and strengthen its IA activity.

The IA-CM provides a tool that a public sector organization can use to:

Determine its internal audit requirements according to the nature, complexity, and associated risks.
Assess its existing internal audit capabilities against the requirements it has determined.
Identify any significant gaps between those requirements and its existing IA capabilities and work toward developing the appropriate level of internal audit capability.

A number of principles underlie the IA-CM:

Internal auditing is an integral component of effective governance in the public sector and helps organizations achieve their objectives and account for their results.
Three variables must be considered when assessing the level of capability of an IA activity — the activity itself, the organization, and the environment in which the organization operates.

An organization has an obligation to determine the optimum level of IA capability to support its governance needs and to achieve and maintain the desired capability.
Not every organization requires the same IA capability or sophistication. The appropriate level will be commensurate the nature and complexity of the organization and the risks to which the organization may be exposed. “No one size fits all.”
The capability of the IA activity is directly related to the actions taken by the CAE to establish the processes and practices needed to achieve and maintain the internal audit capabilities and the measures taken by the organization’s management to establish a supportive environment for IA.
Internal auditing must be delivered in a cost-effective manner.

The Structure of the IA-CM

Steps for strengthening IA have been organized into 5 progressive capability levels.The model illustrates the stages through which an IA activity can evolve as it defines, implements, measures, controls, and improves its processes and practices.
Improvements in processes and practices at each stage provide the foundation on which to progress to the next capability level. It is “building block”.
A fundamental premise underlying the IA-CM is that a process or practice cannot be improved if it cannot be repeated
The five levels of the IA-CM are:
1. Initial.
2. Infrastructure.
3. Integrated.
4. Managed.
5. Optimizing.

IACM Level

Organization v.s. IA Capabilities

Each capability level describes the characteristics and capabilities of an IA activity at that level. As either the size or complexity of an organization or the risks associated with its operations increases, so does the need for more sophisticated internal audit capabilities. The IA-CM attempts to match the nature and complexity of the organization with the IA capabilities needed to support it. In other words, if the organization requires a greater degree of sophistication in internal audit practices, the IA activity will typically be at a higher capability level. The internal audit capability level is often tied to the governance structure of the organization within which it is situated.

Consideration to remain at certain level:

IA activity may choose to remain at any level and still represent a best practice at that level for that IA activity in that particular organization and environment.
For example, an IA activity may wish to remain at a particular level and improve the efficiency and quality of implementation at that level by establishing “better practices”, rather than necessarily striving for and evolving to a higher capability level.
Another factor to consider is the “cost to improve” — to move from one level to above level (2 to 3) or (3 to 4). An IA activity may choose to remain at Level 2 or Level 3, and not aspire to a higher capability level because the current level is the most cost effective at that particular time.

Six essential elements were identified for an IA activity:

1. Services and Role of Internal Auditing.
2. People Management.
3. Professional Practices.
4. Performance Management and Accountability.
5. Organizational Relationships and Culture.
6. Governance Structures.
The element than assessed in each levels (5) of the IA-CM

1. Services and Role of IA

The role: to provide independent and objective assessments to assist the org. in accomplishing its objectives and improve operations — is found to some degree in IA activities in the public sector.

The means or services provided vary among different jurisdictions and environments.
Services provided based on the organization’s needs and the IA activity’s authority, scope, and capacity.
Services include the provision of assurance and advice.
Services can be performed by the IA activity itself, co-sourced, or outsourced.

2. People Management

The process of creating a work environment that enables people to perform to the best of their abilities. The process begins when a job is defined as needed.
People management includes:

Identifying specific attributes and developing clear job descriptions.
Recruiting appropriate people through an appropriate selection process.
Identifying job requirements and work obj. based on perf. standards, outcomes, and measures.
Providing effective orientation, continuing education, professional development, and training.
Providing ongoing coaching and continuous feedback.
Designing effective compensation and recognition systems.
Providing appropriate promotional and career development opportunities.

3. Professional Practices

Reflects the full backdrop of policies, processes, and practices that enables the IA activity to be performed effectively and with proficiency and due professional care.
Refers to the capacity of the IA activity to align itself with the organization’s priorities and RM strategies and contribute to continuous improvement of the IA activity and the organization.
Includes the development and maintenance of a QAIP.

Performance Management and Accountability

Refers to the information needed to manage, conduct, and control the operations of the IA activity and account for its performance and results.
Refers to the identification and communication of sufficient and relevant information to enable people to perform their assigned responsibilities.
Includes the management of relevant information systems and financial and non-financial (operational and program) performance information.
Includes the procedures to manage and protect the integrity of data and to produce and present the appropriate information and results when needed.
Refers to reporting on the effectiveness of the IA activity to relevant stakeholders and the public.

Organization Relationship and Culture

Refers to the organization structure and the internal management and relationships within the IAA itself.
Includes the CAE’s relationships with Senior Manager , and as part of the management team.
Refers to the IAA relationships with other units in the organization, both within the administrative infrastructure and as part of the management regime.
Includes how the organization's policies, processes, and practices are interpreted and may impact on the IAA capacity to access the information and people needed in the conduct of its work.
Refers to the internal relationships and the organization’s internal culture and environment, and how these relationships and the org culture may impact on key stakeholders and others outside the org.
Refers to relationships with other review groups, including the external auditor or the legislative auditor, if applicable.

Governance Structure

Includes the reporting relationship (administrative and functional) of the CAE, and how the IA activity fits within the organizational and governance structure of the entity.
Includes the means by which the independence and objectivity of the IAA is assured; for example:, through its mandate, legislated authority, and/or oversight body such as an Audit Committee.
Refers to the policies and processes established to support and resource the IA activity and thus contribute to its effectiveness and independence.

IACM Matrix

The shading the matrix depict the extent/influence the IA activity has over the elements.
Moving from left to right, the ability of the IA activity itself to independently create and institutionalize the KPAs decreases. For example, the IA activity will likely have greater control over its role and services than over its governance structure.
The IA activity has potentially less ability to independently institutionalize the KPAs as the capability levels move upward. This shift occurs because the organization and the environment will tend to increase their influence over whether the IA activity is able to institutionalize the KPAs at the higher capability levels.
To move from Level 1 to Level 2 requires certain prerequisites in the environment, such as maturing governance structures and financial management, control, and accountability frameworks, along with goverance stability, a receptive organization culture, and central drivers for IA

In summary, the IA activity will likely have more control in creating and institutionalizing the KPAs found in the elements and levels that are darker green.

IACM Matrix

What is a Key Process Area (KPA)?

KPAs identify what must be in place and sustained. Each capability level consists of one or more KPAs. These are associated with the six elements of internal auditing.
KPAs are the main building blocks that determine the capability of an IA activity. They identify what must be in place and sustained before the IA activity can advance to the next level. All of the KPAs in each element up to and including that level must be mastered and institutionalized into the culture of the IA activity for IA to achieve a particular level.
By definition, KPAs are expressed within an element at a single capability level. There are relationships among KPAs that stretch across the elements and through the capability levels.
Purpose, essential activities, outputs, outcomes, and institutionalizing practices
Purpose: summarizes the intended outcome or state that must exist for that KPA.
The state must be implemented in an effective and lasting way. The extent to which the purpose has been accomplished is an indicator of how much capability the IA activity has established at that capability level. The purpose signifies the scope and intent of each KPA.
Essential activities: Each KPA identifies a group of related activities that, when performed collectively, achieve the purpose. In turn, these activities produce outputs and outcomes.
Outputs and outcomes: Certain immediate outputs and longer-term outcomes are associated with every KPA.
Institutionalizing practices: Certain practices must be mastered and institutionalized into the IA activity to achieve a particular KPA. The model is not intended to be prescriptive in terms of how a process should be carried out, but rather what should be done.
Institutionalizing practices for a particular IAA will vary depending on the external environment, the organization’s nature and complexity, and the attributes of the IA activity.

IACM Mastering KPA

Achieving a Capability Level

Achieving a given capability level involves mastering all of the KPAs found in the elements included in that level and ensuring that these KPAs are institutionalized within the IA activity.
Institutionalizing KPAs at one level establishes the basis for practices and capabilities at the next level.
Mastering KPAs: once an IAA has done the necessary work to realize the outputs and outcomes associated with a KPA, it has mastered that KPA.
Institutionalizing KPAs: the IAA must institutionalize the KPA by incorporating the essential activities associated with it into the culture of the IAA. In this way, the KPA will be sustainable and repeatable and become a basic building block to reac a particular capability level.

Common Features

Common features: The five types of common features include: commitment to perform, ability to perform, activities performed, measurement, and verification.

IACM Common Features

Five features describe means to institutionalize and ensure the sustainability of the KPA.

Commitment to perform: commitment to master the KPAs, include developing policies — for supporting the essential activities of a particular KPA. Clearly, Senior Manager support is an important in developing strong internal audit capabilities.
Ability to perform: ability to carry out the essential activities competently. It could reflect the need for appropriate resouces (for example: human resouces, dollars, time, and access to specialized skills and appropriate toos, including technology based tools). It may also address haveing a plan in place to carry out activity, assigning reponsibility to carry out the plan, and appropriate training and development.
The activities performed: describes implementation activities. the IA-CM identifies them separately for each KPA as “essential activities.”
Measurement: refers to ongoing measurement and analysis of activities and progress.
Verification includes continuous verification to ensure that activities have been carried out in accordance with established policies and procedures.

Key process areas by Internal Audit element

Once the IAA has institutionalized Compliance Auditing, that KPA will continue to be performed even as other KPAs at higher capability levels (Performance/Value-for-Money Audits and Advisory Services) are also performed.

Purposes of KPAs by Element

Services and Role of Internal Auditing

5 –Optimizing
Internal Auditing Recognized as Key Agent of Change
Purpose: To have sufficiently developed the professional and leadership capacity of the IA activity to provide foresight and serve as a catalyst to achieve positive change in the organization.
4 -Managed
Overall Assurance on Governance, Risk Management, and Control
Purpose: To conduct sufficient work to provide an opinion on the overall adequacy and effectiveness of the org’s gov, RM, and control processes (see BPKP). The IAA has coordinated its audit services to be sufficiently comprehensive that it can provide reasonable assurance at a corporate level that these processes are adequate and functioning as intended to meet the org.’s objectives.
3 –Integrated
Advisory Services
Purpose : To analyze a situation/ provide guidance and advice to mgt. Advisory services add value w/o the IA assuming mgt responsibility. Advisory services are those that are directed toward facilitation, not assurance
Performance/Value-for-Money Audits
Purpose : To assess and report on the 3 E of operations, activities, or programs; or conduct engagements on governance, RM, and control.
2 -Infrastructure
Compliance Auditing
Purpose To carry out an audit of conformity and adherence of a particular area, process, or system to policies, plans, procedures, laws, regulations, contracts, or other requirements.
1 -Initial
No KPAs, Isolated single audits or reviews of documents and transactions for accuracy and compliance.

People Management

5 –Optimizing
Leadership Involvement with Professional Bodies
Purpose: To facilitate and support top leaders of the IAA becoming key leaders within relevant prof. bodies. In addition to making contributions to the prof through their volunteer work, the CAE and other IA will become thought leaders and influence the growth and evolution of the profession.
Workforce Projection
Purpose: To coordinate long-term workforce devp actv to meet future business needs of the IAA. WF projection involves developing a strategic WF plan that sets out the IAA’s obj. for competency devp and WF actv in conjunction with the org’s projected strategic needs, and developing plans to guide WF devp actv for the IAA
4 -Managed
Internal Auditing Contributes to Management Development
Purpose : To integrate the devp of the org’s mgt with the training and experiences of the IAA and vice versa. The org and the IAA pursue a strategy to encourage people with a good understanding of governance, RM, and controls to work and contribute throughout the org..
IA Activity Supports Professional Bodies
Purpose : To provide leadership and prof. development opportunities for the internal audit staff by supporting their involvement and participation in professional bodies.
Workforce Planning
Purpose: To coordinate WF activities to achieve current business needs of the IAA. WF planning involves developing a WF plan that sets out the resources, skills, training, and tools required to conduct the audits that have been identified (or are proposed) in the periodic audit and services plan.
3 –Integrated
Team Building and Competency
Purpose: To develop staff members’ capacity to function effectively in a team environment, beginning with focus on the individual project team. Because many audits cover scopes that require the concerted effort of a team of auditors to conduct, and because the skills needed to conduct an audit are not necessarily the same skills to work effectively in a group environment, additional team competencies are required.
Professionally Qualified Staff
Purpose: To staff the IA activity with professionally qualified staff and retain the individuals who have demonstrated a minimum level of competence.
Workforce Coordination
Purpose: To coordinate the devp of the periodic audit and services plan to the HR levels authorized to the IAA. Because resources are often constrained, the IAA needs to use appropriate methods to set priorities on planned projects and services to limit its commitments to a “doable” quantity and type of projects/ services.
2 -Infrastructure
Individual Professional Development
Purpose: To ensure that internal auditors continuously maintain and enhance their prof. capabilities.
Skilled People Identified and Recruited
Purpose : To identify and attract people with the necessary competencies and relevant skills to carry out the work of IAA. Appropriately qualified and recruited IA are more likely to provide credibility to the IA results
1 -Initial
No KPAs, Outputs are dependent upon the skills of specific individuals holding the position.

Professional Practices

5 –Optimizing
Continuous Improvement in Professional Practices, Purpose: To integrate the performance data, global leading practices, and feedback received from ongoing QA & IP processes to continuously strengthen and develop the IAA’s capacity to deliver world-class IA.
Strategic Internal Audit Planning, Purpose: To understand the organization’s strategic directions and emerging issues and risks, and change the IAA’s skill sets and audit services to meet potential future needs.
4 -Managed
Audit Strategy Leverages Organization’s Management of Risk, Purpose: To link the IAA’s periodic audit and services plan w/ the org’s enterprise RM strategies/practices
3 –Integrated
Quality Management Framework, Purpose: To establish and maintain processes to continuously monitor, assess, and improve the effectiveness of the IAA. Processes include ongoing internal monitoring, periodic internal and external quality assessments.
Risk-based Audit Plans, Purpose: To systematically assess risks and focus the priorities of the IAA’s periodic audit and services plan on risk exposures throughout the organization
2 -Infrastructure
Professional Practices and Processes Framework , Purpose: To help facilitate the perf. of audit engagements w/ the independence and obj., and proficiency and due prof care envisaged in the IA charter and The IIA’s Definition, the Code of Ethics, and the Standards. The PPFA includes the policies, processes, and procedures that guide in managing; developing its IA WP; and planning, performing, and reporting.
Audit Plan Based on Management/Stakeholder Priorities, Purpose: To develop periodic plans for which audits/other services will be provided, based on consultations with mgt / stakeholders.
1 -Initial
No KPAs, No specific prof practices established other than those provided by prof associations

Performance Management and Accountability

5 –Optimizing
Public Reporting of Internal Audit Effectiveness , Purpose: To report publicly on the effectiveness of the IAA to demonstrate transparency and accountability to the stakeholders and the public, and identify the contribution and impact made with the resources provided.
4 -Managed
Integration of Qualitative and Quantitative Performance Measures, Purpose: To enable the IAA to use inf. on performance to measure and monitor fluctuations that affect its results. The activity has balanced its use of quantitative and qualitative data to help it achieve its strategic objectives.
3 –Integrated
Performance Measures, Purpose: to develop indicators and measures that enable the IAA to measure and report on its perf. and monitor its progress against targets to ensure results achieved econ. and efficiently. These will be primarily process and input measures, and some output or qualitative outcome measures.
Cost Information , Purpose: To provide sufficient inf. so that the IA activity understands the cost inf sufficiently to use it to manage its services econ and efficiently. Goes slightly beyond budget variances and integrates the relationship of outputs to inputs.
Internal Audit Management Reports , Purpose: To receive and use information to manage the IA activity’s day-to-day operations, support decision-making, and demonstrate accountability.
2 -Infrastructure
Internal Audit Operating Budget , Purpose: To be allocated and use its own operating budget to plan the services of the IA activity.
Internal Audit Business Plan, Purpose: To establish a periodic plan for delivering the services of the IA activity, including administrative and support services, and the expected results.
1 -Initial
No KPAs, Ad hoc and unstructured; funding approved by management, as needed.

Organizational Relationships and Culture

5 –Optimizing
Effective and Ongoing Relationships,
Purpose: To use strong relationship mgt skills of the CAE for maintaining appropriate visibility and alignment with key stakeholders, mgt, and AC needs and expectations.
4 -Managed
CAE Advises and Influences Top-level Management,
Purpose : To facilitate the org.’s understanding and appreciation of the vision, leadership, and foresight of the CAE, and to develop a relationship with top-level mgt that fosters frank exchanges. SM values the CAE for advice on strategic issues.
3 –Integrated
Coordination with Other Review Groups,
Purpose: To share inf. and coordinate activities with other internal and external providers of assurance and advisory services to ensure appropriate org. coverage and minimize duplication of effort.
Integral Component of Management Team ,
Purpose: To participate in the org. mgt activities in some form as a valued member of the mgt team. Although the CAE does not carry out mgt’s responsibilities, CAE is included in communications and forums of the mgt team, and as an observer, is able to maintain a channel of communication with SM.
2 -Infrastructure
Managing within the IA Activity ,
Purpose: To focus the mgt effort of the IAA on its own operations and relationships within the activity itself, such as org. structure, people mgt, budget preparation, annual planning, providing audit tools, and performing audits. Interactions with org. managers are focused on carrying out the business of the IA activity.
1 –Initial
No KPAs, Absence of IA activity infrastructure

Governance Structures

5 –Optimizing
Independence, Power, and Authority of the IA Activity, Purpose: To fully actualize the IA activity’s independence, power, and authority.
4 -Managed
Independent Oversight of the IA Activity, Purpose: To establish an oversight body, including members independent of the org’s mgt, to assure the indp of the IAA, broaden the IIA scope of input and influence, and help strengthen the org’s accountability.
CAE Reports to Top-level Authority , Purpose : To strengthen the CAE’s independence by establishing a direct functional reporting relationship to the governing body and a direct adm. reporting relationship to either the CEO or governing body.
3 –Integrated
Management Oversight of the IA Activity, Purpose: To establish a mechanism/process within the org. to provide oversight and advice, and review the results of the IAA to strengthen its independence and ensure appropriate action is taken. Involvement of a variety of mgt in the decisions related to IAA helps to extend the activity’s support and scope beyond a single individual.
Funding Mechanisms , Purpose: To establish a robust and transparent funding process that ensures adequate resources to allow the IA activity to discharge its obligations.
2 -Infrastructure
Full Access to the Organization’s Information, Assets, and People , Purpose: To provide the authority for the IA activity to obtain access to all the information, assets, and people that it requires to carry out its duties.
Reporting Relationships Established, Purpose: To establish formal reporting relationships (administrative and functional) for the IA activity.
1 -Initial
No KPAs, Auditors are likely part of a larger organizational unit.

IFRS: Account Receivables Allowances

2015-05-10T21:55:00.002+07:00

In this posting, we would like to share about the accounting treatment for account receivables provision/ allowance, under IFRS. I am interested to share the treatment, because some of us does not know that there are some changes and some misinterpret how to assess the impairment of significance receivables. The misinterpretation for example: some of my friends thought that, under IFRS for assessing the collectability of AR, company should send a confirmation letter, to confirm the ability of their creditors to repay the receivables.
The basic accounting and reporting issues related to recognition and measurement of receivables, such as the use of allowance accounts, how to record discounts, use of the allowance method to account for bad debts, and factoring, are similar for both IFRS and GAAP.

RELEVANT FACTS: IFRS Account Receivables

IFRS requires that loans and receivables be accounted for at amortized cost, adjusted for allowances for doubtful accounts. IFRS sometimes refers to these allowances as provisions. The entry to record the allowance would be:

-	Bad Debt Expense	xxxxxxx
-	Provision for Doubtful Accounts	xxxxxxx

Although IFRS implies that receivables with different characteristics should be reported separately, there is no standard that mandates this segregation.

Impairment Evaluation Process

IFRS provides detailed guidelines to assess whether receivables should be considered uncollectible (often referred to as impaired). Under IFRS, companies assess their receivables for impairment each reporting period and start the impairment assessment by considering whether objective evidence indicates that one or more loss events have occurred. Examples of possible loss events are:

Significant financial problems of the customer.
Payment defaults.
Renegotiation of terms of the receivable due to financial difficulty of the customer.
Measurable decrease in estimated future cash flows from a group of receivables since initial recognition, although the decrease cannot yet be identified with individual assets in the group.

A receivable is considered impaired when a loss event indicates a negative impact on the estimated future cash flows to be received from the customer (IAS 39, paragraphs 58–70). The IASB requires that the impairment assessment should be performed as follows.

Receivables that are individually significant are considered for impairment separately, if impaired, the company recognizes it. Receivables that are not individually significant may also be assessed individually, but it is not necessary to do so.
Any receivable individually assessed that is not considered impaired is included with a group of assets with similar credit-risk characteristics and collectively assessed for impairment.
Any receivables not individually assessed are collectively assessed for impairment.

To illustrate, assume that Hector Company has the following receivables classified into individually signifi cant and all other receivables.
Individually significant receivables

Yaan Company	$ 40,000
Randon Inc.	100,000
Fernando Co.	60,000
Randon Inc.	50,000	$250,000
All other receivables		500,000
TOTAL		$750,000

Hector determines that Yaan’s receivable is impaired by $15,000, and Blanchard’s receivable is totally impaired. Both Randon’s and Fernando’s receivables are not considered impaired. Hector also determines a composite rate of 2% is appropriate to measure impairment on all other receivables. The total impairment is computed as follows.
Accounts Receivable Impairments
Individually assessed receivables

Yaan Company		$15,000
Blanchard Ltd.		50,000
Collectively assessed receivables	$500,000
Add: Randon Co.	100,000
Add: Fernando Co.	60,000
Total collectively assessed AR	$660,000
Collectively assessed impairments	($660,00 x 2%)	13,200
Total impairment		$78,200

Hector therefore has an impairment related to its receivables of $78,200. The most controversial part of this computation is that Hector must include in the collective assessment the receivables from Randon and Fernando that were individually assessed and not considered impaired. The rationale for including Randon and Fernando in the collective assessment is that companies often do not have all the information at hand to make an informed decision for individual assessment.

Recovery of Impairment Loss

Subsequent to recording an impairment, events or economic conditions may change such that the extent of the impairment loss decreases (e.g., due to an impairment in the debtor’s credit rating). Under IFRS, some or all of the previously recognized impairment loss shall be reversed either directly, with a debit to Accounts Receivable, or by debiting the allowance account and crediting Bad Debt Expense.
To illustrate, Ogden Bank (the creditor) recognized an impairment loss of $12,434 by debiting Bad Debt Expense for the expected loss. At the same time, it reduced the overall value of the receivable by crediting Allowance for Doubtful Accounts. Ogden made the following entry to record the loss.

-	Bad Debt Expense	12,434
-	Allowance for Doubtful Accounts	12,434

Now, assume that in the year following the impairment recorded by Ogden, Carl King (the borrower) has worked his way out of fi nancial difficulty. Ogden now expects to receive all payments on the loan according to the original loan terms. Based on this new information, the present value of the expected payments is $100,000. Thus, Ogden makes the following entry to reverse the previously recorded impairment.

-	Allowance for Doubtful Accounts	12,434
-	Bad Debt Expense	12,434

Note that the reversal of impairment losses shall not result in carrying amount of the receivable that exceeds the amortized cost that would have been reported had the impairment not been recognized.
Sumber: Kieso, Weygandt, Warfield, Intermediate Accounting, 2012.

CISA CIA CPA Exam - IT Database

2015-05-03T20:38:00.003+07:00

Melanjuti posting exercise terkait information system sebelumnya, kali ini kita coba latihan materi terkait system information examination, dengan fokus pembahasan mengenai database. Soal latihan ini cocok buat persiapan CISA Exam, CIA Exam, ataupun CPA Exam. Silakan mencoba.....

1. Users making database queries often need to combine several tables to get the information they want. One approach to combining tables is
A. Joining.
B. Merging.
C. Projecting.
D. Pointing.
Jawaban (A) Benar.
Joining merupakan kombinasi 2 atau lebih relasi table yang memiliki struktur yang berbeda, dengan relasi berdasarkan data elemen yang sama diantara tabel tersebut, dan menghasilkan tabel yang baru. Contoh, jika tabel supplier berisi informasi tentang nama suppliers, alamat, dan nomor ID suplier dan tabel spareparts berisi informasi tentang spareparts, ID spareparts, dan nomor ID supliernya, maka kedua tabel tersebut dapat di-join dengan menggunakan nomor suplier (kedua tabel meiliki data elemen / atribut yang sama) untuk mendapatkan informasi tentang nama suplier untuk spareparts tertentu.
Berikut gambar joining tables:

Join Table Example

Jawaban (B) Salah.
Merging merupakan menggabungkan 2 fields dari 2 table yang berbeda ke dalam satu table yang baru.
Jawaban (C) Salah.
Projecting merupakan operasi basic dalam relasi database, yang menghasilkan suatu subset yang terdiri dari beberapa kolom (field) dalam suatu tabel. Operasi ini menghasilkan table baru, berisi hanya informasi yang dibutuhkan.
Jawaban (D) Salah.
Pointer merupakan suatu data element, yang di-attach ke suatu record yang memberikan rujukan/alamat pada record lainnya.

2. All of the following are methods for distributing a relational database across multiple servers except
A. Snapshot (making a copy of the database for distribution).
B. Replication (creating and maintaining replica copies at multiple locations).
C. Normalization (separating the database into logical tables for easier user processing).
D. Fragmentation (separating the database into parts and distributing where they are needed).
Jawaban (A) Salah.
Teknik snapshot membuat beberapa duplikasi database, yang disimpan dalam beberapa lokasi berbeda, untuk tujuan distribusi.
Jawaban (B) Salah.
Teknik replikasi membuat dan memelihara beberapa duplikasi untuk disimpan di beberapa lokasi berbeda. Perubahan secara periodik dicopy dan dikirim ke masing-masing lokasi. Jika database berukuran kecil, penyimpanan dalam beberapa copy mungkin akan lebih murah daripada menarik (retrieve) records dari pusat data.
Jawaban (C) Benar.
Database yang didistribusi, disimpan dalam dua atau lebih lokasi fisik. Dua metode basic untuk distribusi database adalah partitioning dan replication. Namun, normalisasi merupakan suatu proses desain database, bukan distribusi. Normalisasi merupakan istilah untuk menentukan bagaimana suatu grup item data dalam struktur relasi, di-arrange dalam records dalam suatu database. Normalisasi dimaksudkan untuk mencegah inkonsistensi updating dari item-item data.
Normalisasi merupakan suatu proses membagi-bagi suatu struktur data yang kompleks, menjadi berbagai beberapa data yang lebih kecil, namun dihubungkan dengan relasi yang efisien, sehingga meminimalkan atau menghapus adanya pengulangan beberapa grup dalam masing-masing relasi.
Jawaban (D) Salah.
Fragmentation atau partitioning menyimpan records tertentu, ditempa records tersebut paling banyak dibutuhkan. Contoh: institusi financial akan menyimpan data konsumen tertentu di kantor cabang, dimana komunsumen tersebut biasanya bertransaksi bisnis. Jika konsumen tersebut melakukan transaksi di kantor cabang lainnya, data terkait akan ditarik melalui sambungan komunikasi.

3. In a database system, locking of data helps preserve data integrity by permitting transactions to have control of all the data needed to complete the transactions. However, implementing a locking procedure could lead to
A. Inconsistent processing.
B. Rollback failures.
C. Unrecoverable transactions.
D. Deadly embraces (retrieval contention).
Jawaban (A) Salah.
Inkonsistensi proses terjadi ketika suatu traksaksi memiliki beberapa dampak yang berbeda, tergantung kapan transaksi tersebut diproses. Data locking menjamin konsistensi dari suatu proses.
Jawaban (B) Salah.
Kegagalan Rollback merupakan ketidakmampuan software untuk meng-undo effects dari transaction yang tidak dapat di-run sampai selesai. Kegagalan Rollback tidak disebabkan oleh locking, namun data locking dapat mengakibatkan situasi dimana suatu tindakan rollback perlu dilakukan.
Jawaban (C) Salah.
Unrecoverable transactions bukan merupakan symptom tipikal dari locking procedures.
Jawaban (D) Benar.
Dalam sistem proses terdistribusi, data dan sumberdaya suatu transaksi dapat di-update atau penggunaannya dipertahankan dalam status current nya, sampai dengan proses transaksi selesai. Masalah krusial terjadi ketika dua transaksi menggunakan resource yang sama pada waktu bersamaan. Jika sistem tidake memiliki suatu metode untuk menangani masalah tersebut secara efisien, maka waktu respon menjadi lebih lambat atau sistem tersebut akhirnya gagal. Sistem tersebut seharusnya memiliki algorithm untuk undo dampak dari satu transaksi dan melepaskan resources yang dikontrol sistem tersebut, sehingga transaksi lainnya dapat beroperasi sampai dengan selesai.

4. One advantage of a database management system (DBMS) is
A. That each organizational unit takes responsibility and control for its own data.
B. The cost of the data processing department decreases as users are now responsible for establishing their own data handling techniques.
C. A decreased vulnerability as the database management system has numerous security controls to prevent disasters.
D. The independence of the data from the application programs, which allows the programs to be developed for the user’s specific needs without concern for data capture problems.

Jawaban (A) Salah.
Setiap unit dalam organisasi mengembangkan programs untuk memanfaatkan berbagai element dari database yang beasar.
Jawaban (B) Salah.
Teknik data handling masih merupakan tanggung jawab dari departemen data processing; tanggung jawab yang diserahkan ke departement user adalah penggunaan dari data tersebut.
Answer (C) Salah.
DBMS sama rentan nya dengan sistem database lainnya.
Jawaban (D) Benar.
Karakteristik fundamental dari databases adalah bahwa sistem aplikasi terpisah dari struktur database; ketika menulis program atau mendesain aplikasi untuk menggunakan database tersebut, hanya nama dari item yang dibutuhkan yang dipanggil oleh aplikasi/program. Program dapat dikembangkan bagi kebutuhan spesifik user tanpa memperhatikan masalah data capture. Referensi dapat dibuat untuk beberapa item menggunakan data manipulation language (DML), setelah DBMS menentukan lokasi dan menarik item/data yang dibutuhkan. Struktur fisik atau logik dari database dapat dirubah secara sepenuhnya tanpa perlu merubah program/aplikasi yang menggunakan item-2 data tersebut; hanya skema yang membutuhkan perubahan.

5. Which of the following is a false statement about a database management system application environment?
A. Data are used concurrently by multiple users.
B. Data are shared by passing files between programs or systems.
C. The physical structure of the data is independent of user needs.
D. Data definition is independent of any one program.

Jawaban (B) Benar.
Dalam sistem semacam ini, beberapa aplikasi menggunakan database yang sama. Tidak perlu untuk membagi files diantara aplikasi-2.
Jawaban (A) Salah.
Keuntungan DBMS adalah bahwa data dapat digunakan secara bersamaan oleh beberapa user.
Jawaban (C) Salah.
Ketika DBMS digunakan, maka struktur fisik dari data menjadi independen terhadap kebutuhan user.
Jawaban (D) Salah.
Ketika DBMS digunakan, maka data terseut didefinisikan secara indepenen dari kebutuhan untuk program yang manapun.

6. Which of the following should not be the responsibility of a database administrator?
A. Design the content and organization of the database.
B. Develop applications to access the database.
C. Protect the database and its software.
D. Monitor and improve the efficiency of the database.
Jawaban (A) Salah.
Mendesain konten dan pengorganisasian dari database merupakan tanggung jawa dari database administrator.
Jawaban (B) Benar.
Database administrator (DBA) merupakan staf yang bertanggung jawab secara keseluruhan untuk:
• Pengembangan dan pemeliharaan database.
• Mendesain konten dari database.
• Melindungi dan mengendalikan database
• Monitor dan memperbaiki efisiensi dari database.
Pengembangan aplikasi menjadi tanggung jawab systems analysts dan programmers.
Jawaban (C) Salah.
Melindungi database dan softwarenya merupakan tanggung jawab database administrator.
Jawaban (D) Salah.
Monitor dan memperbaiki efisiensi dari database merupakan tanggung jawab dari database administrator.

7. The responsibilities of a data administrator (DA) include monitoring
A. The database industry.
B. The performance of the database.
C. Database security.
D. Backup of the system.
Jawaban (A) Benar.
Data administrator (DA) menangani isu administratif yang muncul terkait dengan database. DA berperan sebagai advocate yang memberi menyarankan new applications dan standards. Salah satu tanggung jawab DA adalah untuk memonitor industri database untuk kebutuhan pengembangan baru. Sebagai perbandingan, database administrator (DBA) berhubungan dengan aspek teknis dari database.
Jawaban (B) Salah.
Monitoring kinerja database merupakan tanggung jawab DBA.
Jawaban (C) Salah.
Monitoring keamanan database merupakan tanggung jawab DBA.
Jawaban (D) Salah.
Monitoring backup database / sistem merupakan tanggung jawab DBA.

8. To trace data through several application programs, an auditor needs to know what programs use the data, which files contain the data, and which printed reports display the data. If data exist only in a database system, the auditor could probably find all of this information in a
A. Data dictionary.
B. Database schema.
C. Data encryptor.
D. Decision table.
Jawaban (A) Benar.
Data dictionary merupakan file (bisa berupa manual, namun umumnya computerized) dimana didalamnya terdapat records yang berhubungan dengan item data tertentu. Data dictionary berisi daftar dari seluruh item data yang ada didalam database, dan panjangnya, kegunaannya, dan kepemilikannya. Hanya orang /entitas tertentu yang diijinkan untuk menarik data atau memodifikasi item data. Maka, pembatasan akses tersebut juga ditemukan dalam data dictionary.
Jawaban (B) Salah.
Database schema menggambarkan struktur dari database.
Jawaban (C) Salah.
Data encryptor mengkode bahasa sandi data.
Jawaban (D) Salah.
Decision table merupakan tipe diagram logik yang muncul dalam matrix, membentuk titik keputusan dan tindakan-2 terkait, yang direfleksikan dalam program komputer.

9. Image processing systems have the potential to reduce the volume of paper circulated throughout an organization. To reduce the likelihood of users relying on the wrong images, management should ensure that appropriate controls exist to maintain the
A. Legibility of image data.
B. Accessibility of image data.
C. Integrity of index data.
D. Initial sequence of index data.
Jawaban (A) Salah.
Legabilitas dari image data memang penting dalam penggunaanya, namun tidak terkait dengan penggunaan image yang salah.
Jawaban (B) Salah.
Akurasi dari image data memang penting dalam penggunaannya, namun tidak terkait dengan penggunaan image yang salah.
Jawaban (C) Benar.
Integritas data bertujuan memlindungi data. Jika indeks data untuk sistem image processing menjadi rusak, maka para user akan cenderung mengandalkan pada image yang salah.
Jawaban (D) Salah.
Memelihara urutan inisial dari index data tidaklah mungkin, karena image data mengalami modifikasi dan images ditambahkan / dibuang.

10. What language interface would a database administrator use to establish the structure of database tables?
A. Data definition language.
B. Data control language.
C. Data manipulation language.
D. Data query language.
Jawaban (A) Benar.
Schema merupakan deskripsi dari keseluruahan struktur logik dari database dengan menggunakan data-definition language (DDL), yaitu koneksi antara struktur logik dan fisik dari database. DDL digunakan untuk mendefinisikan, atau menentukan, database.
Jawaban (B) Salah.
Data control language (DCL) digunakan untuk menspesifikasikan aturan privileges dan security.
Jawaban (C) Salah.
Data manipulation language (DML) menyediakan para programmer berupa fasilitas untuk meng-update database.
Jawaban (D) Salah.
Data query language (DQL) digunakan untuk query bersifat ad hoc.

11. Query facilities for a database system would most likely include all of the following except
A. Graphical output capability.
B. Data dictionary access.
C. A data validity checker.
D. A query-by-example interface.
Jawaban (A) Salah.
Sebagian besar perangkat query termasuk berkemampuan untuk menyajikan hasl query secara grapikal.
Jawaban (B) Salah.
Perangkat query termasuk akses data dictionary karena hal tersebut merupakan bagaimana query mengetahui atribut-2 dari table untuk disajikan kepada para user.
Jawaban (C) Benar.
Kemampuan perangkat query tidak termasuk pengecekan validitas data karena sistem database telah menerapkan fungsi pengecekan batasan validitas pada saat data tersebut dimasukan kedalam database. Pengecekan lebih lanjut atas validitas data akan menjadi fungsi dari aplikasi di tingkat user, bukan fungsi dari query.
Jawaban (D) Salah.
Perangkat query umumnya memiliki interface query-by-example.

12. An organization uses a database management system (DBMS) as a repository of data. The DBMS in turn supports a number of end-user-developed applications. Some of the applications update the database. In evaluating the control procedures over access and use of the database, the auditor will be most concerned that
A. End users have their read-only applications approved by data processing before accessing the database.
B. Concurrency update controls are in place.
C. End-user applications are developed and tested on personal computers before being ported to the mainframe.
D. A relational database model is adopted so that multiple users can be served at the same time.
Jawaban (A) Salah.
End-user computing membebaskan user akhir dari kebutuhan untuk memperoleh permohonannya disetujui oleh data processing, termasuk end-user applications yang menggunakan mainframe databases yang besar.
Jawaban (B) Benar.
Concurrency controls mengelola situasi dimana dua atau lebih user berusaha akses secara bersamaan ke suatu Maka, tujuan concurrency controls adalah untuk melindungi integritas data.
Jawaban (C) Salah.
Perbedaan antara testing di mainframe versus personal computers tidak lah hal yang penting
Jawaban (D) Salah.
Model relational data memang popular, namun tidak dibutuhkan untuk mendukung multiple users atau end-user computing.

13. An internal auditor encounters a batch-processed payroll in which each record contains the same type of data elements, in the same order, with each data element needing the same number of storage spaces. Which file structure most appropriately supports this set of records?
A. Single flat file structure.
B. Hierarchical structure.
C. Network structure.
D. Relational structure.
Jawaban (A) Benar.
Dalam single flat file structure, seluruh attribute dan panjang field dalam suatu record menjadi identik dengan attribute dan panjang field dalam record lainnya. Struktur tersebut merupakan suatu table atau spreadsheet dengan records pada rows dan attributes pada columns.
Jawaban (B) Salah.
Struktur hirarki atau pohon digunakan untuk mengekspresikan hubungan dimana satu atribut atau item dihubungkan ke banyak atribut lainnya dalam layer-2 dari suatu subordinate records. (one to many)
Jawaban (C) Salah.
Struktur network mengekspresikan hubungan kompleks dimana banyak atribut dihubungkan dengan banyak atribut lainnya (many to many)
Jawaban (D) Salah.
Sturktur relasional tidak seperti flat structure, dan sangat sophisticated. Struktur tersebut memberikan sistem kemampuan untuk menangani banyak hubungan data yang tidak diantisipasi oleh pihak pengembang. Struktur relasional menggunakan seperangkat tabel dimana setiap tabel memiliki hubungan dengan tabel lainnya.

14. A flat file structure is used in database management systems (DBMS) when a
A. Complex network structure is employed.
B. Network-based structure is used and a complex database schema is developed.
C. Simple network structure is employed.
D. Relational database model is selected for use.
Jawaban (A) Salah.
Stukrutr network complex membutuhkan sesuatu yang lebih rumit daripada flat file structure.
Jawaban (B) Salah.
Struktur database network mengurangi redundancy dengan cara mengelola data melalui pengembangan hubungan many-to-many; yaitu, setiap item dapat memiliki multiple hubungan antecedent dan juga hubungan successive, yang akan tidak ditemukan dalam simple flat file structure.
Jawaban (C) Salah.
“Simple network structure” merupakan oxymoronic. Sifat dari hubungan multiple dalam suatu database network tidaklah bersifat simple.
Jawaban (D) Benar.
Flat file structure digunakan dengan model relational database. Struktur relational mengorganisasi data dalam tabel konseptual. Satu hubungan (tabel atau file) dapat di-joined bersama atau dihubungkan ke tabel atau file lainya tanpa daftar pointers atau link jika setiap tabel berisi satu atau lebih field yang sama (juga dikenal sebagai kolom atau attribute). Struktur relational telah menjadi popular karena struktur tsb relatif lebih mudah dalam pengembangan dan sangan powerful.

15. Which of the following database models is considered to be the most versatile?
A. The tree model.
B. The hierarchical model.
C. The network model.
D. The relational model.
Jawaban (A) Salah.
Model pohon (tree) mengorganisasi data melalui pengembangan hubungan satu ke banyak (one to many). Konstruksi model ini menjadi sulit karena data sulit dikode-kan. Ketika data ditambahkan ke database, indeknya harus diredefinisi secara lengkap. Namun, dalam model relational, hubungan yang baru dapat dikembangkan dengan menggunakan joining tables.
Jawaban (B) Salah.
Model hirarki mengorganisasi data melalui pengembangan hubungan one-to-many. Konstruksi dari model ini menjadi sulit karena data sulit dikode-kan. Ketika data ditambahkan ke database, indeknya harus diredefinisi secara lengkap. Namun, dalam model relational, hubungan yang baru dapat dikembangkan dengan menggunakan joining tables.
Jawaban (C) Salah.
Model network mengorganisasi data melalui pengembangan hubungan many-to-many. Oleh karena itu, pengembangan nya menjadi sulit.
Jawaban (D) Benar.
Karena data diorganisasikan dalam two-dimensional tables, model relational database menjadi lebih mudah dalam pengembangannya daripada arsitektur complex seperti yang digunakan dalam model hirarki atau model network. Relasi tabel-tabel menyediakan flesibilitas karena tabel-2 dapat digabungkan (joined) dalam banyak cara sehingga mampu menjawab banyak kebutuhan/ permintaan. Tabel-tabel tersebut memperbolehkan data untuk lebih siap / mudah ditambahkan atau dihilangkan dari struktur data.

Assessing the Adequacy of Control

2015-04-26T22:18:00.000+07:00

Continuing our last posting Internal Control Deficiencies Examples, we would like to share how to assess the adequacy / existence of internal control. Next posting we will try to discuss how to assess the effectiveness/ functioning of internal control. Just keep visiting our blog.

Aspect of Internal Control Assessment

Basically, the assessment of internal control consist of two aspects:
a. The adequacy of the design of internal control.
b. The operating effectiveness of controls.

Approach in Assessing Internal Control

There are some approaches in assessing internal control. Each approach is used in different situation:

Overall assessment of internal control, concluded from a single engagement. See COSO: Illustrative Tools for Assessing Effectiveness of a System of Internal Controls, September 2012.
Overall assessment of internal control, concluded from multiple individual engagements. See IIA Practice Advisories 2130-1: Assessing the Adequacy of Control Processes.
Assessment of control related objectives/ activities/ financial statements, concluded from individual engagements / financial audit. See related standards, e.g.: International Auditing Standards 530: Audit Sampling and Other Means of Testing, published by IFAC.
Assessment of internal control over financial reporting, concluded from engagement as required by SOX 404. See IIA Professional Guidance: Sarbanes-Oxley Section 404: A Guide for Management by Internal Controls Practitioners The Institute of Internal Auditors, 2nd Edition, January 2008.

Which approach is used will much depend on the objective of the internal control assessment engagement and the objective will affect the assessor how to develop procedures to assess the adequacy and the effectiveness of the internal control. For example:

If the objective of assessment is to assess the adequacy and the effectiveness of control over operational activities, the procedures developed is start with the identifed significant risks, then asses controls related to those risks.
If the objective of assessment is to provide opinion over financial statement or ICoFR, the procedures developed is start with management assertions, then asses controls related to those assertions.

To be focus, this posting is trying to share how to assess the adequacy of control over operational activities. For those who want to learn about assessing internal control over financial statement, please review other reference such as Arens’s Auditing and Assurance Services: an Integrated Approach.

The Process of an Adequate and Effective Internal Control.

IC Assess Process

In order to have an adequate and effective internal control, a company needs to:

identify its business objectives;
identify and assess the risks which threaten the achievement of those objectives;
design internal controls to manage those risks;
operate the internal controls in accordance with their design specification; and
monitor the controls to ensure they are operating correctly.

The Process of Assessing the Adequacy of Internal Control

A six-step approach can be used to identify deficiencies, significant deficiencies, and material weaknesses in the design of internal control:

1. Understand the identified significance risks.

One basic principle to understand is control is developed to mitigate the organizations significant risks. So one thing that must be understood by auditor is the organization risk register. Therefore, which control is important (key controls) is highly depend on the significant of the risks mitigated. So, in assessing the adequacy and the effectiveness of IC, NEVER try to weighting (scoring) the component of internal controls.
In practice, what first I usually do to assess the adequacy of internal control over operational activities is simply by reviewing the risk management process and the risk register or risk mapping, developed by management. Of course with an assumption that the risk management of the organization is at mature level. Here is an example of risk register.

Risk Register Example

Assessment When No Risk Management

Many questions come arise, how to assess the adequacy of internal control when there is no risk management process in an organization? I will respond that I believe that every ordinary person have a risk management in his daily life activities, so does business person. However, their risk management is not formal and not documented. In that situation, I will simply asking the management to fill the following table:

No	Identify Division’s / Your Objectives	KPI Description	KPI Formula	KPI Target	KPI Achieve	Identified Risks	Control to Mitigate the Risks	Person Assigned
1	...	...	...	...	...	...	...	...

The purpose of this procedures is to test whether the management/ personnel know :

Their objectives, KPI, and their achievement.
Their significance risks (even though, no formal risk management).
Their control to mitigate those risks.
Effectiveness of their risk management and control

2. Identify existing controls

Because deficiencies and material weaknesses are the absence of adequate controls, the auditor must first know which controls exist. One way for the auditor to do this is to identify controls to mitigate each risk. For example, the auditor can use knowledge of the client’s system to identify controls that are likely to prevent errors or fraud.

Use the five control activities (separation of duties, proper authorization, adequate documents and records, physical control over assets and records, and independent checks on performance) as reminders of controls.
For example:
- Is there adequate separation of duties and how is it achieved?
- Are transactions properly authorized?
- Are prenumbered documents properly accounted for?
- Are key master files properly restricted from unauthorized access?

The auditor should identify and include only those controls that are expected to have the greatest effect on meeting the activities objectives. These are often called key controls. Examples of identifying key controls:

Flowchart - Control Example

NOTE: Which control is important (key controls) is highly depend on the significant of the risks mitigated. So, in assessing the adequacy and the effectiveness of IC, NEVER try to give a weight / score to the component of internal controls. I have seen an institution use IC questionnaires, in which each IC components/ elements are weighted, and given a score and use the score of the questionnaire to assess the level of IC effectiveness. Remember, IC questionnaire is used for understanding the IC, to assess the adequacy of the design of IC, and NEVER used for assessing the effectiveness of IC.

3. Identify the absence of key controls

Internal control questionnaires, flowcharts, and walkthroughs are useful tools to identify where controls are lacking and the likelihood of not meeting operational objectives / KPIs are therefore increased. NEVER use IC questionnaires/flowchart as a tools to assess the effectiveness of internal control. I have seen an institution use IC questionnaires to score the effectiveness of IC. Remember, IC questionnaire is used for understanding the IC, to assess the adequacy of the design of IC.
It is also useful to examine the control risk matrix, to look for objectives where there are no or only a few controls, that adversely affects the likelihood that the entity will achieve its objectives.

Observe Entity Activities and Operations
When auditors observe client personnel carrying out their control activities, including their preparation of documents and records, it further improves their understanding and knowledge that controls have been implemented. Example: auditor observe the process of quality control check performed in production site, to gain understanding how the quality control procedures is implemented in the site.
Perform Walkthroughs Test
In a walkthrough, the auditor selects one or a few documents of a operation and traces them from initiation through the entire operation process. At each stage of processing, the auditor makes inquiries, observes activities, and examines completed documents and records.

Walkthroughs conveniently combine observation, documentation, and inquiry to assure that the controls designed by management have been implemented.
Example of risk control matrix:

Control Risk Matrix Example

4. Consider the possibility of compensating controls.

A compensating control is one else-where in the system that offsets the absence of a key control. A common example in a small business is the active involvement of the owner. Remember: using COSO, all 17 principle must be exist, but what must be exist is the 17 principles, not the component of COSO IC. So, it is OK some components are not exist, as long as there is compensating controls to offset the absence of those controls, so although the component is not exist but the principles are still there.
When a compensating control exists, there is no longer a significant deficiency or material weakness.

Example: there is no segregation of function at bank teller. Bank teller is the one who receive cash deposit, authorize the deposit slip, record it into the bank system, and kept the cash in the teller box.
The lack of segregation of function (and other internal control principles) does not mean there must be a significant weakness. We must assess whether there is compensating control to offset the absence of key controls.
In bank teller case, the compensating controls exist are: 2 CCTV monitors the teller activities, cash counting at the end of the day, daily reconciliation by supervision between bank system, cash, and deposit slip approved. Cash counting and reconciliation is recorded by CCTV.

Example of COSO Illustrative Component Evaluation of Control Activities, with considering compensating controls:

COSO Illustrative IC Evaluation

5. Decide whether there is a significant deficiency or material weakness.

Our conclusion about the adequacy of the internal control design is a result from:

Understanding risk management and identify significant risks (study risk register).
Understanding and reviewing internal control design. (use the combination of tools: IC questionnaire, flowchart, narrative, process mapping, observations, walkthrough tests, risk control matrix).
Identifying key controls, compensating controls, and the absence of required controls (the result of reviewing IC, using the combination of the tools, as stated above).
Deciding the existence of deficiency in internal control's design. (use likelihood and impact matrix, see below).

As stated in our previous posting, control deficiency = a shortcoming in some aspects (principle, attribute, components) of the system of internal control, and no compensating controls. Classification of control deficiencies is assessed by two dimension = likelihood and impact.

Dimension of weaknesses = (likelihood of impact x impact). Use risk analysis approach for determining the level of likelihood and impact.
There are some methods in determining the likelihood and the impact, and which method used is depend on the complexity of business and the risks affected. One of method widely used is focus group discussion (FGD), because of the method simplicity.
Likelihood = the possibility of the impact will occur. Example: if there is no quality control, then there is a high probability that the products will not meet customer expectations.
Impact = its magnitude effect on the achievement of organization objectives. Example: if there is no quality control, then the impact is the product will not meet quality requirement and customer expectations. This impact is considered major.

Table Weaknesses Type

Weaknesses classification:

1. Minor/ Deficiency (No. 4).
2. Major/ Significant deficiency (No. 2 or 3).
3. Major/ Material weakness (No. 1).
Based on our assessment, then we summarize any material and significant deficiencies found. The example of summary is as follows:

Deficiency Summary Example

For assessing ICoFR, a guideline for differentiating material weaknesses and significant weaknesses, please see our previous posting.

Root Cause Analysis

2015-04-19T19:54:00.000+07:00

Requirement

IPPF Standard 2320 – Analysis and Evaluation, requires that “internal auditors must base conclusions and engagement results on appropriate analyses and evaluations”.

In delivering add value for improving the effectiveness and efficiency of business process, internal auditor should provide recommendations that fix the underlying reason that caused an issue. Thus, internal auditor is required to have a core competency necessary to facilitate, review, and/or conduct a root cause(s) analysis.

Definition

Root cause analysis = the identification of why an issue occurred (versus only identifying or reporting on the issue itself). In this context, an issue is defined as a problem, error, instance of noncompliance, or missed opportunity.

Process of audit finding development

Without implementing an effective root cause analysis and an appropriate remediation activities, an issue may have a higher probability to re-occur. Root cause analysis helps prevent additional rework and proactively addresses future recurrences of the issue(s). It is important to recognize that there are often multiple related or unrelated causes of an issue.
In Indonesia cases, procurement fraud and tax fraud cases are still re-occurred, even though many corruptors have been sent to jail. It simply because Indonesia government does not remedy the root cause. The government only focus on the issue, and on detective and corrective control, and not on its root causes and on preventive control. The required remediation activities are become more complicated since there are multiple related or unrelated causes of the issue, such as lack of law enforcement, weak design of regulation/control/ governance, high unemployment, low quality of human resources, missallocation of government budget, and low remuneration.

Symptom v.s. Issue/Problem

Often, the nonconformity recorded/reported is not the true problem, but it is a symptom of the problem. Moreover, as auditors, we often make mistakes by providing a recommendation to fix the symptom, not the problem. For example, when we found an overpayment, auditor just recommended the management to give a punishment to the person in charge and to return back the overpayment. This recommendation will not prevent the same issue will not reoccur, in fact, the issue definitely will re-occur sometime in the future, if we do not fix its root cause.
Here is some rules to identify a problem.

The problem must be expressed as an issue with the system.
If the problem is expressed in terms of a person or incident, it is at the symptom stage. Example of poor finding, which focus on person/ accident: There is a shortage in “cash on bank”.
It is important to get to the true problem, i.e. the system issue, or the problem-solving efforts will not be effective.
Fixing symptoms will not stop the issue from recurring.
A well-written nonconformity should stand the test of time. Your organization should be able to look back at nonconformity written years ago and understand exactly what the problem was.

A good root cause analysis answers this question:

“What in the system failed such that the problem occurred?” Example better finding, which focus on the system: the procedure of a periodic bank reconciliation has not been performed.
The focus is on the system, not the incident.
1. Some problems may have multiple root causes. The root cause is: there is no procedure for monitoring the implementation of bank reconciliation.
2. Some problems may have several possible root causes.
3. If the root cause cannot be discovered, all require corrective action.

Root cause = a light switch

If the root cause has been found, the problem can be “turned on” and “turned off.”
Like a light switch. If the root cause (the switch) is turn on, than the problem would be arise (turning on), but if the root cause (the switch) is turn off, than the problem would be suppressed (turning off).
If the problem cannot be turned on and off at will, then the root cause has probably not been found.

In certain circumstances, root cause analysis may be as simple as asking “five whys.” For example:

The worker fell. Why? Because of oil on the floor. Why? Because of a broken part. Why? Because the part keeps failing. Why? Because of changes in procurement practices
By the fifth “why,” the internal auditor should have identified or be close to identifying the root cause.

More complex issues, however, may require a greater investment of resources (e.g.: time, technology), more rigorous analysis, and a set of skills. Tools considered the simple one is “five whys” technique, and the complex one is “statistical correlation”. The use of those techniques would depend on the risk and the complexity of the problem. For example: in auditing banking industry, the auditor should use more professional techniques, such as fishbone diagram or statistical correlation”.

Examples of a few such tools, include:

a. “Five whys.”

Five whys example

b. Failure mode and effects analysis.

Failure mode and effects analysis

c. SIPOC (suppliers, inputs, processes, outputs, customers) diagram.

SIPOC example

d. Fishbone diagrams.

Fishbone example

e. Critical to quality metrics.

Critical to quality metrics example

f. Pareto chart.

Pareto chart example

g. Statistical correlation.

Statistical correlation example

Summary of Accounting Change and Error

2015-04-08T23:00:00.004+07:00

This posting try to summarize the accounting treatment and reporting for accounting change and error, including their illustration. We hope this summary would help us to understand the principle of accounting change and error.

Type: Change in accounting principle

change in accounting

Example: Change its inventory valuation method from FIFO to average cost.
Definition: Change from the use of one generally accepted accounting principle to another generally accepted accounting principle. Notes: change of accounting principle to correct the error of applying accounting principles is treated “errors in financials statement”, not as “change in accounting principles”
Financial Treatment: Retrospective application:

Report cummulative effect of change in the carrying amounts of the beginning of the first period presented, with an offsetting adjustment to the opening balance of retained earnings for that periode.
Financial statements for each period are adjusted to reflect period-spesific effects of the change for direct effects.

Financial Statement Disclosure: Disclose the nature and reason for the change; method of applying the change; description of prior period information that is retrospectively adjusted; effect of the change on income from continuing operations, net income, and any other financial statement line item; per share amounts for current period and adjusted periods; and a description of the indirect effect of the change and related amounts

Type: Change in Estimate.

Example: Change its estimate of the useful lives of machines from 10 years to 6 years.
Definition: Change of estimated financial statements amount based on new information or experience.
Financial Treatment: Prospective:

Report in the period of the change and future periods.
Do not adjust financial statements of previous periods.

Financial Statement Disclosure: Disclose the effect on income from continuing operations, net income, and related per share amounts if the change affects severa future periods.

Type: Change in reporting entity

Example:Change the subsidiaries for which it prepares consolidated financial statements.
Definition: Change that results in the financial statements representing a different entity
Financial Treatment: Retrospective application:

Report financial statement of all periods to show financial information for the new reporting entity for those periods

Financial Statement Disclosure: Disclose the type of change and the reasons for the change; the related effects on income before extraordinary items. net income, other comprehensive income, and related per share effects on EPS for all periods presented.

Type: Errors in financial statements.

Example: Incorrectly apply the retail inventory method for determining its final inventory value.
Definition: Errors result from mathematical mistakes, mistakes in applying accounting principles, or oversight or misuse of facts that existed when preparing the financial statements.
Financial Treatment: Restatement approach (also apply for counterbalancing errors):

Correcting all prior period statements presented.
Restating the beginning balance of retained earnings for the fi rst period presented when the error effects occur in a period prior to the first period presented.

Financial Statement Disclosure: Disclose that the previously issued financial statements were restated, along with a description of the error; the line item effects of the error and any per share amounts; the gross effects and net effects from applicable income taxes on the net income of the prior period; the effects on retained earnings and net income.

ILLUSTRATION

Illustrative Reporting a Change in Principle.

Lancer Company will prepare comparative financial statements for 2011 and 2012 using FIFO (the new inventory method). Illustration 22-10 indicates how Lancer might present this information.

Change in Accounting Principle

Illustrative Change in Estimate: Disclosures

Illustration below shows disclosure of a change in estimated useful lives, which appeared in the annual report of Ampco–Pittsburgh Corporation.

Change in Estimate: Disclosure

Illustrative Change in Reporting Entity

Using consolidated financial statements of Tallgrass Energy GP, LP., year 2014, 2013, 2012:
To learn more about the TEP financial statement please visit www.sec.gov.

Change in Reporting Entity

Fraud Red Flags

2015-04-04T20:31:00.001+07:00

Standar IIA 2120.A2 (untuk internal audit) dan SPAP SAS 316 (untuk eksternal audit) menyatakan bahwa auditor harus mengevaluasi potensi/risiko keterjadian fraud danbagaimana organisasi mengelola risiko fraud tersebut. Oleh karena itu, setiap auditor (internal dan eksternal) wajib memiliki pengetahuan yang cukup untuk mampu mengidentifikasi indikasi/ keberadaan fraud (fraud red flags).

Fraud Red Flags

Definisi Fraud

“any illegal act characterized by deceit, concealment, or violation of trust. These acts are not dependent upon the threat of violence or physical force. Frauds are perpetrated by parties and organizations to obtain money, property, or services; to avoid payment or loss of services; or to secure personal or business advantage”.
Menurut the Association of Certified Fraud Examiners (www.acfe.com), perusahaan mengalami kerugian sekitar 5% dari pendapatan tahunan akibat fraud. Fraud meliputi area pelanggaran atau tindakan ilegal, yang memiliki ciri adanya kecurangan intensional. Element fraud adalah:

Suatu representasi tentang fakta material,
Yang salah.
Dan dilakukan secara intensional, sadar, atau kecerobohan,
Yang diyakini,
Dan dilakukan terhadap korban
Untuk merugikan korban.

Kenapa orang melakukan Fraud?

Pegawai yang melakukan fraud umumnya mampu untuk melakukannya karena adanya kesempatan, tekanan, dan rasionalisasi. Tahapan fraud diilustrasikan dengan Segitiga Fraud berikut ini:

Fraud Triangle

Kesempatan: umumnya diakibatkan adanya kelemahan dalam pengendalian internal, seperti kelemahan/ ketiadaan:

Supervisi dan reviu

Pemisahan tugas.

Ketidaklayakan otoritas/ persetujuan
Prosedur pengendalian.

Tekanan dapat diakibatkan:

Masalah keuangan personal.
Kelakuan buruk personal, seperti judi, narkoba, atau hutang besar, dll.
Tidak realistisnya waktu deadlines dan target kinerja.

Rasionalisasi terjadi ketika individu membangun justifikasi untuk tindakan fraud mereka. Rasionalisasi beragam untuk setiap kasus dan individu. Contoh:

“Saya sedang sangat butuh uang dan saya akan mengembalikan uang ini ketika saya gajian”
“Saya lebih baik bekerjsama perusahaan saya daripada bekerja dengan Dinas Pajak”
“Saya tidak mampu kehilangan segalanya – rumah, mobil, dan segalanya”

Bagaiamana Fraud berdampak kepada Organisasi?

Fraud menyakitkan bagi semua orang. Fraud merupakan risiko yang umum yang tidak boleh diabaikan. Kegagalan untuk mengatasi fraud, akan menurunkan moral, merusak reputasi organisasi, dan menimbulkan ketidakpercayaan atas akuntabilitas organisasi. Fraud menimbulkan biaya bagi semua orang, melalui pengaruh langsung atau tidak langsung, melalui kenaikan pajak dan biaya produk/ jasa.
Sekma fraud yang umum, yang terjadi, termasuk penyalahgunaan kartu procurement / pembelian (“p-cards”), daftar vendor fiktif, listing fictitious vendors, kolusi dalam proses pengadaan, menerima suap/ kickback dan pemalsuan pembayaran gaji dan lembur dengan cara pemalsuan laporan waktu kerja.

Antisipasi dan Pencegahan Fraud

Kunci mengantisipasi fraud adalah kewaspadaan dan pencegahan. Proses yang paling dianggap paling efektif unuk mencegah fraud adalah meminimalkan kesempatan, kepemimpinan yang efektif, auditing, dan seleksi ketat pegawai. Minimalkan kesempatan dapat dilakukan dengan cara perbaikan desain pengendalian internal, dan patuh terhadap prosedur pengendalian internal yang ditetapkan.

Siapa yang Bertanggung jawab Mendeteksi Fraud?

Fraud harus dicegah dan dideteksi oleh setiap personil / manajemen dalam prosedur normal pelaksanaan tugas mereka, jika terdapat pengendalian yang kuat. Internal auditor mendukung tanggung jawab manajemen untuk mencegah dan mendeteksi fraud. Maka, internal auditor seharusnya memiliki pengetahuan yang cukup mengenai fraud, untuk menjamin bahwa mereka mampu mengeidentifikasi fraud yang akan / telah terjadi.
Jika kelemahan signifikan dalam pengendalian dideteksi, pengujian tambahan yang dilakukan oleh internal auditor, seharusnya termasuk pengujian keberadaan indikasi fraud. Internal auditor tidak diwajibkan untuk memiliki pengentahuan yang sama dengan pihak yang memiliki tanggung jawab untuk melakukan investigasi fraud (investigator). Hanya mengandalkan audit procedures saja, bahkan ketika prosedur tersebut dilaksanakan secara due professional care, tidak akan menjamin bahwa fraud akan terdeteksi.

Identifying the “Red Flags” of fraud

Berikut contoh identifikasi redflags dan prosedur audit untuk identifikasi fraud, di lingkungan bisnis yang menggunakan sistem informasi teknologi. Gunakan CAAT, seperti ACL dan IDEA.
1. Vendor fiktif, prosedur audit untuk identifikasi:

Run checks: untuk mengidentifikasi kotak pos kantor yang digunakan sebagai alamat (karena tidak lazim menggunakan kotak pos sebagai alamat) dan untuk mencari informasi/ data kemiripan alamat / nomor telepon/ informasi lainnya antara vendor dengan pegawai perusahaan.
Waspada terhadap vendor yang memiliki kemiripan nama atau lebih dari satu vendor memiliki kemiripan alamat atau nomor telepon.

2. Invoice yang Dirubah, prosedur audit untuk identifikasi:

Lakukan test duplikasi
Periksa adanya nilai invoice yang tidak sesuai (melebihi) dengan nilai kontrak atau nilai purchase order (PO).

3. Pengaturan Bidding, prosedur audit untuk identifikasi:

Buat ringkasan kontrak dan nilainya per vendor, dan bandingkan ringkasan tersebut ke beberapa tahun sebelumnya untuk mengidentifikasi apakah vendor tertentu telah terlalu sering memenangi bidding.
Hitung lama hari antara hari penutupan bidding dan tanggal penyerahan kontrak per vendor untuk mengidentifikasi apakah bidder terakhir secara konsisten memenangi bidding kontrak.

4. Barang/ jasa tidak diterima, prosedur audit untuk identifikasi:

Identifikasi adanya jumlah barang pembelian yang tidak sama (lebih sedikit) dengan jumlah dalam kontrak.
Periksa apakah tingkat saldo persediaan berubah seiring dengan adanya penerimaan barang.

5. Duplikasi faktur, prosedur audit untuk identifikasi:

Reviu adanya duplikasi nomor invoice, duplikasi tanggal, dan duplikasi nilai invoice.

Identifiy Invoice Duplicate using ACL

6. Kemahalan harga, prosedur audit untuk identifikasi:

Bandingkan harga barang sejenis diantara para vendor, untuk melihat apakah harga dari vendor tertentu terlalu tinggi secara tidak rasional.

7. Kelebihan jumalh pembelian, prosedur audit untuk identifikasi:

Review adanya kenaikan inventory yang tidak dapat dijelaskan.
Tentukan apakah jumlah pembelian inventory, sesuai dengan tingkat produksi. Misal tingkat produksi mingguan = 1.000 unit, namun tingkat pembelian mingguan = 1.200 unit.
Identifikasi apakah ada kenaikan jumlah barang dipesan, dibandingkan dengan kontrak / tahun sebelumnya atau dibandingkan dengan pabrik lainnya.

Purchase when Balance morethan ROP - Using ACL

8. Duplicate payments, prosedur audit untuk identifikasi:

Identifikasi adanya nomor invoice yang sama, namun dibayar beberapa kali (duplikasi).
Identifikasi adanya permintaan berulang untuk refunds atas inovice yang telah dibayar dua kali (double).

9. Carbon copies, prosedur audit untuk identifikasi:

Identifikasi adanya duplikasi pencairan atas cek yang sama.
Lakukan identifikasi adanya gaps dalam nomor urut check.

Identify Cheque Gap - Using ACL

10. Duplikasi nomor seri urut, prosedur audit untuk identifikasi:

Tentukan apakah peralatan bernilai tinggi yang telah dimiliki oleh perusahaan, namun dibeli kembali, dengan cara identifikasi adanya duplikasi nomor seri urut dan adanya keterlibatan personeh yang sama dalam proses pembelian dan pengiriman peralatan tersebut.

11. Payroll fraud, prosedur audit untuk identifikasi:

Identifikasi apakah terdapat pegawai yang telah pensiun, namun masih terdaftar di daftar gaji, dengan cara bandingkan tanggal terminasi dengan periode pembayaran gaji, dan ekstak seluruh transaksi pembayaran untuk tanggal terminasi < tanggal pembayaran periode berjalan
Cek adanya pembayaran ganda kepada pegawai yang sama untuk periode pembayaran yang sama.

Identify Payroll Double Payment - Using ACL

12. Accounts payable, prosedur audit untuk identifikasi:

Identifikasi adanya transaksi yang tidak sesuai dengan nilai kontrak, dengan menghubungkan file accounts payable dengan file kontrak dan persediaan, dan dengan cara memeriksa tanggal kontrak, harga, jumlah dipesan, jumlah diterima, jumlah ditagihkan, dan nillai yang bayar per kontrak.

Faktor yang Mendorong Terjadinya Fraud:

Ketiadaan atau tidak effektifnya pengendalian internal.
Manajemen yang tidak efektif.
Management atau kontrol overrides
Kolusi antara pegawai terhadap area yang kurang mendapat supervisi.
Ketiadaan rekonsiliasi reviu rekening.
Ketika kebijakan signifikan tidak atau usang (seperti kode etik, transparansi monitoring periodik terhadap indikator kinerja, aktifitas internal audit, dan eksternal audit keuangan).
Keberadaan perilaku tidak etis, yang memiliki risiko singinifikan terhadap organisasi.

“Red Flags” Penggelapan:

Peminjaman uang dari sesama pegawai.
Kreditor atau kolektor sering muncul di tempat kerja.
Judi yang melampui kemampuan untuk menanggung kekalahan.
Kebiasan minmuman keras berlebihan atau perilaku negatif lainnya.
Mudah tersinggung secara tidak rasional.
Memberikan respon yang tidak berdasar terhadap suatu pertanyaan.
Menolak libur atau promosi karena takut terdeteksi fraud-nya.
Membual mengenai prestasi, misal pembelian baru signifikan.
Mengantongi sejumlah uang yang bernilai besar.
Menulis ulang catatan, dengan alasan untuk menjaga kebersihan dari laporan.

Bentuk Umum dari Fraud:

Pembelian personal/ pribadi menggunakan kartu procurement/ pembelian.
Biaya tidak layak dibebankan pada akun perjalanan atau akun hutang.
Pencurian item-item persediaan.
Pencurian kas dari deposit atau properti lainnya
Penyalahgunaan aset, misal kendaraan dinas digunakan untuk kepentingan pribadi istri/ anak-anak untuk urusan pribadi.
Konflik kepentingan.
Perubahan sistem yang tidak terotorisasi.
Pemalsuan.
Kickback / penyuapan.
Pemalsuan penyajian / laporan / penyembunyian fakta material.
Penggunaan invoice duplikat untuk membayar ke vendor/ supplier.

Tanda-2 Bahaya dari Fraud

Tingginya perputaran pegawai, yaitu tingginya tingkat pegawai yang resign dari organisasi, dan pegawai yang apply ke organisasi hanya lah pelamar second class.
Rendahnya moral pegawai, dimana pegawai yang bertahan hanyalah pegawai second class, yang hanya bertahan kerja karena tidak mampu mencari pekerjaan di tempat lain, sehingga mereka bekerja hanya untuk menghindari hukuman saja.
Ketiadaan dokumen pendukung untuk tindakan atau jurnal penyesuaian.
Rekonsiliasi bank yang tidak lengkap atau tidak tepat waktu.
Peningkatan komplain dari konsumen.
Penghapusan ketekoran persediaan, dengan tanpa usaha untuk menentukan penyebab ketekoran.
Target kinerja yang tidak realisatik, misal target kinerja tidak didukung dengan sumber daya yang memadai.
Rumor adanya konflik kepentingan.
Seringnya penggunaan kontrak penunjukan langsung.
Saldo akun yang tidak saling cocok / tidak terekonsiliasi.
Rekening-rekening yang disembunyikan.
Kegagalan untuk menghapuskan akses pegawai setelah pegawai tersebut dimutasikan / dipindahkan ke unit lainnya.

Yang lebih berbahaya lagi, jika organisasi mengetahui tanda-tanda fraud di atas, namun tidak mau mengakui bahwa tanda tersebut sebagai suatu indikasi adanya kelemahan/ fraud.

Contoh Kasus Fraud 1:

MADOFF CONVICTED IN LARGEST INVESTOR FRAUD
On March 12, 2009, Bernie Madoff pled guilty to the largest investor fraud ever, in a Ponzi scheme with losses estimated at almost $21 billion. By way of comparison, the massive fraud at WorldCom was approximately $11 billion. Madoff was sentenced to a prison term of 150 years.
In a Ponzi scheme, people are enticed to invest by above-market returns that are paid from the investments of additional investors, rather than actual profits on investments. The scheme usually collapses under its own weight because it depends on a continuing supply of new investors. The scheme is named after Charles Ponzi, who used the scheme in the early 1920s. Although he did not invent the Ponzi scheme, it has become associated with his name because of the scale of his operation. Madoff’s scandal lasted a long time, particularly for such a large scheme. Investigators believe the fraud may have begun in the 1970s, although Madoff maintains that his fraudulent activities began in the 1990s. Madoff mainly managed money for charities, many of them private foundations. Private foundations are required by IRS regulations to pay out 5% of their funds each year, and Madoff could easily meet these required payouts out of investments into the fund.
Madoff was secretive about his trading practices, and marketed his funds to an exclusive clientele. Although concerns were raised over the years about the consistency of the returns generated, and the SEC investigated Madoff several times, his scheme was not revealed until the market plunge in 2008 triggered investor withdrawals from the firm. The market downturn revealed what several critics had alleged, that Madoff was running an elaborate Ponzi scheme.

Contoh Kasus Fraud 2:

POCKETING PARKING CASH

Fraud Red Flags

Sam Ralston was in charge of a university parking lot. He was supposed to place a parking receipt on the dash of the car when he received cash from the driver, but he would often collect the cash and wave the driver in without a receipt, particularly for sporting events. The university considered it too expensive to have two employees handle parking, and it was difficult to count the paid vehicles in a lot because some cars were parked by university employees with passes.
After several years, the university rotated Sam to another lot. An astute employee in the accounting office noticed that revenues collected from the lot seemed to increase after Sam’s departure. Further investigation revealed that average revenues declined at the new lot to which Sam had been assigned. Confronted with the evidence, Sam confessed and was terminated from employment.

Perpajakan Re-Import atas Retur Eksport

2015-03-25T08:59:00.004+07:00

Apa yang dimaksud Impor Kembali Barang Yang Telah Diekspor ?

Impor Kembali Barang yang telah diekspor adalah meliputi :

barang eks impor yang dikirim kembali ke luar negeri kemudian diimpor kembali ke dalam negeri, atau;
barang eks dalam negeri yang dikirim ke luar negeri kemudian diimpor kembali ke dalam negeri.

Apakah Bisa Mendapatkan Pembebasan Bea Masuk ?

BISA, sepanjang dipenuhi ketentuan bahwa impor kembali barang yang telah diekspor adalah:

dalam kualitas yang sama tidak mengalami proses pengerjaan atau penyempurnaan apapun, seperti :

barang yang dibawa oleh penumpang ke LN;
barang keperluan pameran;
barang untuk pertunjukan;
barang untuk perlombaan;
barang untuk pengerjaan proyek di luar negeri;
barang ekspor yang ditolak di luar negeri (retur), atau
barang yang karena sesuatu hal diimpor kembali;

KECUALI

untuk keperluan perbaikan:
penanganan barang yang rusak, usang, atau tua dengan mengem-balikannya pada keadaan semula tanpa mengubah sifat hakikinya dikenakan bea masuk dan/atau cukai hanya terhadap:
parts pengganti + penambahannya + biaya perbaikan + ongkos angkut + asuransi
untuk keperluan pengerjaan:
penanganan barang yang selain mengalami perbaikan, juga mengakibatkan peningkatan harga barang dari segi ekonomis tanpa mengubah sifat hakikinya, dikenakan bea masuk dan/atau cukai hanya terhadap :
parts pengganti + penambahannya + biaya perbaikan + ongkos angkut + asuransi
untuk keperluan pengujian:
penanganan barang untuk dilakukan pemeriksaan dari segi teknik dan menyangkut mutu serta kapasitasnya sesuai dengan standar yang ditetapkan.

diberikan pembebasan bea masuk

Bagaimana Pengenaan Bea Masuknya, jika tidak memenuhi syarat?

Pada dasarnya, pengenaan BM untuk re-import = BM import biasa. Pengenaan BM re-import berdasarkan:
a. Tarif = barang ybs dalam keadaan jadi;
b. Nilai pabean = penghitungan BM sesuai dengan ketentuan penetapan nilai pabean.

Bagaimana Pengenaan Pajak Dalam Rangka Impor ?

PPN (Pajak Pertambahan Nilai Impor) tetap dikenakan
PPh Pasal 22 (Pajak Penghasilan Pasal 22 Impor) tidak dipungut

Persyaratan Permohonan Ijin Barang Reimpor

Untuk mendapatkan pembebasan bea masuk atas impor barang yang telah diekspor, Importir harus mengajukan surat permohonan kepada Kantor Bea Cukai, dilengkapi :

rincian jumlah dan jenis barang, dan
nilai pabean yang dimintakan pembebasan bea masuk dan/atau cukai.

Alur Proses Proses Persetujuan Re-Impor

Alur Proses Re-impor

Lampiran Permohonan Ijin Barang Reimpor:

Surat Permohonan
Asli Surat permohonan ijin re-impor yang ditandatangani oleh pengurus perusahaan yang namanya tertera di API perusahaan atau Akta pendirian perusahaan (dalam hal perusahaan memiliki API)
Copy API / APIT, bagi perusahaan yang memiliki API/APIT
Persetujuan / Ijin impor kembali barang tanpa API dari Direktorat Perdagangan Luar Negeri / DAGLU (dalam hal perusahaan tidak memiliki API / APIT)
Copy NPWP
Copy SPR
Copy Surat Pengukuhan Pengusaha Kena Pajak
Dokumen Ekspor yang terdiri dari:
• Copy PEB
• Copy Persejuan Ekspor / NPE
• Copy Invoice
• Copy P/L
• Copy B/L atau Copy AWB
Dokumen impor yang terdiri dari:
• Copy B/L atau Copy AWB
• Copy Invoice
• Copy P/L
• Asli Bukti Reject atau Claim Letter
Surat Kuasa (Apabila dikuasakan ke PPPJK)
Surat Tugas (dari Pimpinan PPJK ke petugas Operasional yang tertera pada BPJ)

Waktu Penyelesaian :
5 hari kerja

Kalkulator Bea Masuk Kiriman PJT/ Pos dari Luar Negeri

Tarif Impor

Kantor Bea Cukai memberikan alat kalkulator untuk perhitungan bea masuk dan pajak impor, yang melalui kiriman PJT/Pos. Silakan kunjungi kalkulator BM dan pajak impor di http://bctemas.beacukai.go.id/kalkulator.

Skema Perpajakan Re-Impor

Secara umum, berdasarkan penjelasan di atas dan peraturan yang berlaku, maka skema perpajakan untuk re-impor/ retur ekspor, dapat digambarkan sebagai berikut:

Skema Perpajakan Re-impor

Contoh Kasus 1:

Perusahaan AAA melakukan penjualan ekspor dalam bulan Januari 2013 dan penjualan tersebut sudah dilaporkan di e-SPT Masa Januari. Kemudian, sebagian penjualan eksport tersebut di-retur oleh Konsumen dan terbit nota retur dalam bulan Desember 2013. Apakah Perusahaan AAA harus membetulkan SPT Masa Januari atau transaksi retur (re-impor) tersebut di-input di masa Desember?
Jawab:
Dengan memperhatikan ketentuan dalam PMK Nomor: 65/PMK.03/2010, maka:

Faktur Pajak & SPT Masa Januari 2013-nya tidak perlu dibetulkan.
Kuncinya: cukup lihat tanggal yang tertera di Nota Retur itu.
Kalo tanggalnya masuk di bulan Desember 2013, cukup input di SPT Masa Desember 2013 Normal sebagai Nota Retur di Data Pajak Keluaran.
Kalo SPT Desember 2013 Normal-nya sudah dilaporin, maka input di SPT Desember 2010 Pembetulan.

Contoh Kasus 2:

Perusahaan BBB adalah perusahaan penanaman modal dalam negeri yang bergerak di bidang industri kerajinan, yang seluruh produksinya dipasarkan ke luar negeri (ekspor). Salah satu konsumen luar negeri-nya me-reject BKP milik Perusahaan BBB karena barang tersebut rusak/cacat, sehingga BKP tersebut di-retur dan di-impor kembali ke Perusahaan BBB.
Apakah atas retur BKP tersebut terutang pajak berupa PPh Pasal 22 impor, Bea Masuk, PPN impor dan PPnBM?
Jawab:

Sesuai ketentuan Pasal 4 huruf b dan Pasal 5 ayat (1) huruf b UU PPN dan PPn BM, PPN dikenakan atas impor BKP dan apabila barang yang diimpor tersebut termasuk BKP yang tergolong mewah, maka atas impor tersebut selain dikenakan PPN juga dikenakan PPnBM.
PMK Nomor: 106/PMK.04/2007 tentang Pembebasan Bea Masuk dan/atau Cukai atas Impor Kembali Barang yang Telah Diekspor, re-impor BISA dibebaskan bea masuk, dengan syarat tertentu (lihat uraian di atas).
PMK Nomor: 154/PMK.03/2010 tentang Pemungutan PPh Pasal 22 Sehubungan dengan Pembayaran atas Penyerahan Barang dan Kegiatan di Bidang Impor atau Kegiatan Usaha di Bidang Lain, Pasal 3 (1): dikecualikan dari pemungutan PPh Pasal 22 atas re-impor barang-barang dalam kualitas yang sama atau untuk keperluan perbaikan, pengerjaan dan pengujian, yang telah memenuhi syarat yang ditentukan oleh Dirjen BC. Pengecualian tersebut dilakukan secara otomatis tanpa Surat Keterangan Bebas (SKB).

CONTOH PERHITUNGAN BM dan PAJAK ATAS IMPOR

Contoh Perhitungan:

Re-Impor (memenuhi syarat bebas BM), perhitungan Bea Masuk dan PPN, serta PPh 22 yang harus di bayar:

Harga barang / cost (C)	=	$2,000
Dikurangkan nilai barang bebas BM (jika tidak melalui PJT, maka tidak dikurangkan nilai bebas BM)	=	$0
Harga barang / cost (C)	=	$2,000
Biaya angkut / freight (F)	=	$1,000
Cost and Freight (C&F)	=	$3,000
Biaya asuransi / insurance (I = 0,5% x C&F)	=	$15
Nilai Pabean dalam CIF	=	$3,015
Nilai pabean (NP) = USD3,015 x Rp10.000	=	Rp30.150.000,00
Bea Masuk (BM) = dibebaskan	=	Rp0,00	(a)
Nilai Impor (NI) = NP + BM	=	Rp30.150.000,00
PPN = 10% x NI	=	Rp3.015.000,00	(b)
PPh Impor = dibebaskan (jika tidak melalui PJT, maka 2,5% tuk API, 7,5% tuk non API, 15% tuk non NPWP)	=	Rp0,00	(c)
Total BM dan Pajak dalam rangka Impor yang harus dibayar (a+b+c)	=	Rp3.015.000,00

CONTOH NILAI PABEAN PERHITUNGAN BM ATAS IMPOR KEMBALI BARANG YANG TELAH DI-IMPOR UNTUK KEPERLUAN PERBAIKAN DAN PENGERJAAN

Perhitungan Bea masuk dari NILAI TOTAL RE-IMPOR atas impor kembali barang yang telah diimpor untuk keperluan perbaikan atau pengerjaan menggunakan Rumus :
I. Pembayaran BM Barang Re-Impor, untuk Perbaikan / Pengerjaan = A x NT,
II. A = % BM (1 - NE) / NT
Keterangan :

A	=	Faktor Pengali
NT (Nilai Total)	=	Nilai total barang yang diimpor
	=	NE + Nilai barang pengganti/yang ditambahkan + Biaya perbaikan + Freight dari luar negeri ke pelabuhan tujuan + Asuransi.
NE (Nilai Ekspor)	=	Nilai ekspor yang tercantum dalam PEB.

Perusahaan A di Jakarta telah mengimpor kembali barang untuk keperluan perbaikan ke Perusahaan B di Tokyo berupa TV Flattron Sony 56 inch. TV tersebut harus dilakukan perbaikan berupa penggantian Tabung/CRT-nya. Harga barang ekspor TV tersebut FOB USD 400.00. Harga TV dalam keadaan jadi (CBU) yang tertera dalam Invoice yang dikeluarkan Perusahaan B di Tokyo FOB USD 460.00 (termasuk komponen harga barang pengganti berupa Tabung/CRT USD 50 dan biaya perbaikan USD 10). Freight dari Tokyo ke Jakarta USD 35.00. Asuransi USD 5.00. Tarif Bea Masuk TV 5% (misalnya). NDPBM 1 USD = Rp. 9.000,00.
Perhitungan :

- NE	=	USD 400.00 X Rp9.000,00
	=	Rp3.600.000,00
- NT	=	(USD 400.00 + USD 50.00 + USD 10.00 + USD 35.00 + USD 5.00) X Rp9.000,00
	=	Rp4.500.000,00
- A	=	5% X (1-3.600.000) / 4.500.000
	=	1%

Pembayaran BM Barang Re-impor untuk Perbaikan / Pengerjaan =
1% X Rp4.500.000,00 = Rp45.000,00

Perhitungan bea masuk dari NILAI PERBAIKAN RE-IMPOR atas impor kembali barang yang telah diimpor untuk keperluan perbaikan atau pengerjaan menggunakan Rumus:

Bea masuk	=	tarif BM x (NB +Biaya perbaikan ± Ongkos angkut + Asuransi.) x NDP BM
Keterangan:
NB	=	Nilai barang pengganti/yang ditambahkan
Ongkos angkut	=	Biaya pengangkutan barang dari luar negeri ke pelabuhan tujuan
NDPBM	=	Nilai Dasar Perhitungan Bea masuk (yaitu, nilai kurs)

Contoh perhitungan:

Perusahaan A di Jakarta telah mengimpor kembali barang yang telah diperbaiki di Perusahaan B di Tokyo berupa Gas Chromatography (GC). GC tersebut harus dilakukan perbaikan berupa. penggantian Tabung/coloum-nya.
Harga tabung/coloum dari Perusahaan B di Tokyo FOB USD 2.000,00, biaya perbaikan USD 1.000,00, ongkos angkut dari Tokyo ke Jakarta. USD 500.00, asuransi USD 300.00. Tarif Bea Masuk GC 5% NDPBM, dengan 1 USD = Rp9.000,00.
Bea masuk = 5 % x (FOB USD 2.000,00 + USD 1.000,00 + USD 500.00 + USD 300.00) x Rp9.000,00
= Rp1.710.000,00.

Contoh Perhitungan PPh Pasal 23/26 Part 2

2015-03-24T09:52:00.001+07:00

Melanjuti posting kita sebelumnya Contoh Perhitungan PPh Pasal 23/26, pada kali ini kita coba sajikan contoh lainnya untuk perhitungan PPh Pasal 23/ 26.

ROYALTI

NOMOR LICENSE PADA PRODUK SOFTWARE

PT Bikin Aplikasi sebagai distributor software berlisensi pada bulan Mei 2013 menjual sejumlah software berlisensi kepada:

PT Wow System (reseller) sebesar Rp225.000.000,00 atas software AutoCad yang dibayar pada tanggal 10 Mei 2013;
PT Bento (end user) sebesar Rp50.000.000,00 atas harga software Microsoft Windows Server sekaligus melakukan instalasi software dengan biaya Rp2.000.000,00 yang dibayar pada tanggal 16 Mei 2013;
PT Bangun Teknik (end user) sebesar Rp75.000.000,00 atas upgrade software AutoCad dan jasa maintenance. Di dalam invoice yang diterbitkan PT Bikin Aplikasi tidak dipisahkan antara biaya upgrade software dan biaya maintenance software yang dibayar pada tanggal 24 Mei 2013.

Bagaimana kewajiban pemotongan atau pemungutan PPh terkait transaksi tersebut?

Jawab:

Mengingat nomor/ kode licence pada produk software hanya berfungsi untuk mengaktifkan software agar dapat dioperasikan, maka licence number/licence code pada produk software tidak dimaksudkan sebagai izin yang diberikan oleh Pemegang Hak Cipta atau Pemegang Hak Terkait kepada pihak lain untuk mengumumkan dan/atau memperbanyak ciptaannya atau produk hak terkaitnya dengan persyaratan tertentu sebagaimana dimaksud dalam Pasal 1 angka 14 Undang-Undang Nomor 19 Tahun 2002 tentang Hak Cipta.
Dengan demikian atas penghasilan yang diterima oleh PT Bikin Aplikasi dari:

penjualan produk software berlisensi yang terdapat licence number/licence code kepada PT Wow System dan PT Bento tidak dilakukan pemotongan atau pemungutan PPh;
pemberian jasa instalasi software kepada PT Bento dikenakan pemotongan PPh Pasal 23 sebesar: 2% x Rp2.000.000,00 = Rp40.000,00;
pemberian jasa maintenance software kepada PT Bangun Teknik dikenakan pemotongan PPh Pasal 23 sebesar: 2% x Rp75.000.000,00 = Rp1.500.000,00.

Yang wajib dilakukan pemotongan oleh PT Bangun Teknik:
Karena antara biaya upgrade software dan biaya maintenance tidak dipisahkan dalam invoice, maka penghasilan yang dikenai pemotongan PPh Pasal 23 adalah sebesar Rp75.000.000,00 (jumlah total).
Kewajiban PT Bento sebagai Pemotong PPh Pasal 23 adalah:

melakukan pemotongan PPh Pasal 23 sebesar Rp40.000,00 dan memberikan Bukti Pemotongan PPh Pasal 23 kepada PT Bikin Aplikasi;
melakukan penyetoran atas pemotongan PPh Pasal 23 tersebut paling lambat tanggal 10 Juni 2013;
melaporkan pemotongan PPh Pasal 23 atas transaksi tersebut dalam SPT Masa PPh Pasal 23 masa pajak Mei 2013 paling lambat tanggal 20 Juni 2013.

Kewajiban PT Bangun Teknik sebagai Pemotong PPh Pasal 23 adalah:

melakukan pemotongan PPh Pasal 23 sebesar Rp1.500.000,00 dan memberikan Bukti Pemotongan PPh Pasal 23 kepada PT Bikin Aplikasi;
melakukan penyetoran atas pemotongan PPh Pasal 23 tersebut paling lambat tanggal 10 Juni 2013;
melaporkan pemotongan PPh Pasal 23 atas transaksi tersebut dalam SPT Masa PPh Pasal 23 masa pajak Mei 2013 paling lambat tanggal 20 Juni 2013.

BUNGA

BUNGA PINJAMAN

PT Toy Bergetar yang bergerak di bidang produksi mainan anak-anak pada tanggal 1 November 2012 melakukan pinjaman kepada PT Berlian Adje, yang bergerak di bidang usaha pengolahan limbah plastik (Wajib Pajak badan usaha bukan bank dan bukan penyalur pinjaman), sebesar Rp200.000.000,00 dan kepada Sdr. Tarno Sutarno sebesar Rp100.000.000,00. Pinjaman tersebut direncanakan akan digunakan untuk melakukan ekspansi usaha. Berdasarkan perjanjian antara PT Toy Bergetar dengan kreditor disepakati bahwa bunga pinjaman masing-masing adalah sebesar Rp3.000.000,00 dan Rp1.500.000,00 perbulan (suku bunga 18%) dan harus dilunasi dalam jangka waktu 2 (dua) tahun. Pembayaran angsuran dilakukan mulai tanggal 1 Desember 2012 dan pembayaran selanjutnya dilakukan setiap tanggal 1 bulan berikutnya.
Bagaimana kewajiban pemotongan atau pemungutan PPh terkait transaksi tersebut?

Jawab:

Atas penghasilan berupa bunga pinjaman yang dibayarkan setiap bulan oleh PT Toy Bergetar kepada PT Berlian Adje dan Sdr. Tarno Sutarno merupakan objek pemotongan PPh Pasal 23 yang wajib dilakukan pemotongan PPh Pasal 23 oleh PT Toy Bergetar.
Besarnya pemotongan PPh Pasal 23 untuk:

PT Berlian Adje adalah sebesar: 15% x Rp3.000.000,00 = Rp450.000,00
Sdr. Tarno Sutarno adalah sebesar: 15% x Rp1.500.000,00 = Rp225.000,00

Kewajiban PT Toy Bergetar sebagai Pemotong PPh Pasal 23 adalah:

melakukan pemotongan PPh Pasal 23 sebesar Rp450.000,00 atas pembayaran bunga kepada PT Berlian Adje dan Rp225.000,00 atas pembayaran bunga kepada Sdr. Tarno Sutarno dan memberikan Bukti Pemotongan PPh Pasal 23 kepada PT Berlian Adje dan Sdr. Tarno Sutarno;
melakukan penyetoran atas pemotongan PPh Pasal 23 tersebut paling lambat tanggal 10 bulan berikutnya setelah bulan dilakukannya pemotongan;
melaporkan pemotongan PPh Pasal 23 atas transaksi tersebut dalam SPT Masa PPh Pasal 23 masa pajak dilakukannya pemotongan paling lama 20 hari setelah Masa Pajak berakhir.

DIVIDEN

DIVIDEN YANG DITERIMA OLEH BADAN

PT Inyong Bae, Tbk. mempunyai 100.000 lembar saham yang beredar dengan nilai nominal Rp5.000,00 per lembar saham. Pada tanggal 15 Nopember 2012, berdasarkan Rapat Umum Pemegang Saham, Direksi perusahaan mengumumkan pembagian dividen dengan mekanisme sebagai berikut:

Pembagian dividen kas untuk pemegang saham dengan kepemilikan sampai dengan 10% sebesar @Rp50,00 per saham;
Pembagian dividen saham sebesar 1% untuk pemegang saham dengan kepemilikan sampai dengan 20%;
Pembagian dividen dialokasikan dari cadangan laba yang ditahan yang dibentuk dari tahun-tahun sebelumnya;
Pembagian dividen akan didistribusikan pada tanggal 15 Januari 2013, kepada para pemegang saham yang tercatat pada tanggal 14 Desember 2012.

Komposisi pemegang saham yang tercatat pada tanggal 14 Desember 2012 adalah sebagai berikut:

PT Adja Kelalen dengan kepemilikan 70%;
PT Ricca Kepribhen dengan kepemilikan 20%;
PT Medhang Jahe dengan kepemilikan 10%.

Berikut adalah ikhtisar hak-hak para pemegang saham atau ekuitas perusahaan pada tanggal 15 Nopember 2012:
Saham Biasa, nominal @ Rp5.000,00 (100.000 lembar beredar) Rp500.000.000,00
Agio Saham Biasa Rp100.000.000,00
Laba Ditahan Rp650.000.000,00
Bagaimana kewajiban pemotongan atau pemungutan PPh terkait transaksi tersebut?

Jawab:

Sesuai dengan ketentuan dalam Pasal 4 ayat (1) huruf g dan Pasal 4 ayat (3) huruf f, pada dasarnya dividen yang diterima oleh Wajib Pajak Badan terutang PPh Pasal 23, namun demikian dalam hal dividen tersebut diterima atau diperoleh perseroan terbatas sebagai Wajib Pajak dalam negeri, koperasi, badan usaha milik negara, atau badan usaha milik daerah, dari penyertaan modal pada badan usaha yang didirikan dan bertempat kedudukan di Indonesia dengan syarat:

dividen berasal dari cadangan laba yang ditahan; dan
bagi perseroan terbatas, badan usaha milik negara dan badan usaha milik daerah yang menerima dividen, kepemilikan saham pada badan yang memberikan dividen paling rendah 25% (dua puluh lima persen) dari jumlah modal yang disetor;

maka atas pembayaran dividen tersebut dikecualikan dari objek pajak. PPh Pasal 23 atas dividen PT Inyong Bae, Tbk. terutang pada tanggal penentuan kepemilikan pemegang saham yang berhak atas dividen (recording date) yaitu pada tanggal 14 Desember 2012.
Besarnya pemotongan PPh Pasal 23 adalah sebesar:

PT Adja Kelalen yang mempunyai kepemilikan saham sebesar 70% tidak dipotong PPh Pasal 23 karena kepemilikan sahamnya di PT Inyong Bae Tbk. diatas 25% dan dividen berasal dari cadangan laba yang ditahan;
PT Ricca Kepribhen dengan kepemilikan saham sebesar 20% dipotong PPh Pasal 23 walaupun dividen tersebut diberikan dalam bentuk saham. Total kepemilikan saham PT Ricca Kepribhen adalah 20% x 100.000 lbr = 20.000 lbr
Nilai dividen saham:
1% x 20.000 lbr x Rp5.000,00 = Rp1.000.000,00.
PPh Pasal 23 yang dipotong = 15% x Rp1.000.000,00 = Rp150.000,00
PT Medhang Jahe dengan kepemilikan saham sebesar 10% dipotong PPh Pasal 23 sebagai berikut:
Total kepemilikan saham = 10% x 100.000 lbr = 10.000 lembar
Nilai dividen = Rp50,00 x 10.000 lembar = Rp500.000,00
PPh Pasal 23 yang dipotong = 15% x Rp500.000,00 = Rp75.000,00

Kewajiban PT Inyong Bae Tbk. sebagai Pemotong PPh Pasal 23 adalah:

melakukan pemotongan PPh Pasal 23 sebesar Rp150.000,00 dan Rp75.000,00 dan memberikan Bukti Pemotongan PPh Pasal 23 kepada PT Ricca Kepribhen dan PT Medhang Jahe;
melakukan penyetoran atas pemotongan PPh Pasal 23 tersebut paling lambat tanggal 10 Januari 2014;
melaporkan pemotongan PPh Pasal 23 atas transaksi tersebut dalam SPT Masa PPh Pasal 23 masa pajak Desember 2012 paling lambat tanggal 21 Januari 2014.

KOMISI PENJUALAN

PT Cell Indonesia Distributor merupakan perusahaan yang bergerak di bidang usaha perdagangan, pemasaran dan distribusi handphone dengan merk “Celli” melalui distributor yang meliputi wilayah pemasaran seluruh Indonesia.
Dalam bulan September 2013, PT Cell Indonesia Distributor memberikan diskon sebesar Rp20.000.000,00 kepada PT Bagusphone atas pembelian pada bulan September 2013 sebesar Rp200.000.000,00 dimana diskon dimaksud dicantumkan sebagai pengurang harga penjualan baik pada invoice penjualan maupun Faktur Pajak Keluaran.
Dalam rangka meningkatkan volume penjualan, berdasarkan perjanjian kerjasama antara pihak PT Cell Indonesia Distributor dan PT Bagusphone, disepakati bahwa PT Cell Indonesia Distributor memberikan komisi penjualan berupa tambahan diskon/rabat kepada PT Bagusphone berdasarkan pencapaian target tertentu yang telah ditetapkan.
Penjualan handphone PT Bagusphone bulan September 2013 telah memenuhi target, sehingga pada tanggal 25 Oktober 2013 PT Cell Indonesia Distributor memberikan komisi penjualan berupa tambahan diskon sebesar Rp25.000.000,00.
Bagaimana kewajiban pemotongan atau pemungutan PPh terkait transaksi tersebut?

Jawab:

Mengingat komisi penjualan berupa tambahan diskon/rabat tersebut:

diterima oleh Wajib Pajak Badan (PT Bagusphone);
merupakan penghargaan atas pencapaian target penjualan;

maka atas pembayaran komisi penjualan tersebut termasuk dalam pengertian penghargaan yang merupakan objek pemotongan PPh Pasal 23 yang wajib dilakukan pemotongan oleh PT Cell Indonesia Distributor.
Besarnya pemotongan PPh Pasal 23 adalah sebesar:
15% x Rp25.000.000,00 = Rp3.750.000,00.
Kewajiban PT Cell Indonesia Distributor sebagai Pemotong PPh Pasal 23 adalah:

melakukan pemotongan PPh Pasal 23 sebesar Rp3.750.000,00 dan memberikan Bukti Pemotongan PPh Pasal 23 kepada PT Bagusphone;
melakukan penyetoran atas pemotongan PPh Pasal 23 tersebut paling lambat tanggal 11 November 2013;
melaporkan pemotongan PPh Pasal 23 atas transaksi tersebut dalam SPT Masa PPh Pasal 23 masa pajak Oktober 2013 paling lambat tanggal 20 November 2013.

Listing Fee

PT Ringin Ageng Tbk. merupakan perusahaan industri makanan ringan. Dalam rangka memasarkan produk, PT Ringin Ageng Tbk. melakukan kerjasama dengan outlet-outlet yang salah satunya adalah PT Lucky Mart. Dalam transaksi yang dilakukan terdapat biaya listing fee yaitu biaya pendaftaran atas produk yang akan dipasarkan dalam outlet-outlet tersebut.
Pada tanggal 10 Juni 2013, PT Ringin Ageng Tbk. melakukan pembayaran listing fee kepada PT Lucky Mart sebesar Rp14.000.000,00.
Bagaimana kewajiban pemotongan atau pemungutan PPh terkait transaksi tersebut?

Jawab:

Penghasilan listing fee berupa biaya pendaftaran atas produk baru sebesar Rp14.000.000,00 yang diterima oleh PT Lucky Mart bukan merupakan objek pemotongan dan pemungutan PPh Pasal 23. PT Ringin Ageng Tbk. tidak mempunyai kewajiban untuk melakukan pemotongan PPh Pasal 23 atas transaksi tersebut.

PEMBAYARAN DIVIDEN KE LUAR NEGERI DAN PENJUALAN HARTA

PEMBAYARAN DIVIDEN KE LUAR INDONESIA

PT Flip Light Indonesia sebuah perusahaan penanaman modal asing, pada tanggal 10 Mei 2013 mengumumkan pembagian dividen dari keuntungannya di tahun 2012, antara lain kepada:

Mr. Sneijder, Subjek Pajak Luar Negeri yang berdomisili di Belanda (dibuktikan dengan Surat Keterangan Domisili sesuai dengan format yang telah ditentukan yang diserahkan kepada PT Flip Light Indonesia), sebesar Rp300.000.000,00;
perusahaan Spurs Vehicle Co., perusahaan yang berkedudukan di Mauritius, sebesar Rp5.000.000.000,00.

Bagaimana kewajiban pemotongan atau pemungutan PPh terkait transaksi tersebut?

Jawab:

Dividen, dengan nama dan dalam bentuk apapun, termasuk dividen dari perusahaan asuransi kepada pemegang polis, dan pembagian sisa hasil usaha koperasi merupakan objek PPh. Apabila penerima dividen tersebut adalah:

Wajib Pajak badan dalam negeri (kecuali Wajib Pajak badan tertentu sebagaimana dijelaskan dalam halaman 49) dan Bentuk Usaha Tetap maka dipotong PPh Pasal 23 sebesar 15% dari jumlah bruto dividen;
Wajib Pajak orang pribadi dalam negeri maka dipotong PPh bersifat final sebesar 10% dari jumlah bruto dividen;
Wajib Pajak luar negeri selain Bentuk Usaha Tetap

maka dipotong PPh Pasal 26 dengan tarif 20% atau sesuai dengan tarif dalam Persetujuan Penghindaran Pajak Berganda (P3B) terkait. Untuk dapat dipotong PPh Pasal 26 menggunakan tarif sesuai dengan P3B maka Wajib Pajak luar negeri penerima penghasilan harus dapat menyerahkan Surat Keterangan Domisili (SKD) sesuai dengan format yang telah ditentukan kepada pemotong PPh.
Kewajiban PT Flip Light Indonesia sebagai pemotong PPh Pasal 26 adalah:

PT Flip Light Indonesia memotong PPh Pasal 26 sebesar: a. 10% x Rp300.000.000,00 = Rp30.000.000,00 atas pembayaran dividen kepada Mr. Sneijder. Berdasarkan P3B Indonesia-Belanda atas dividen tersebut dapat dikenakan pajak di Indonesia dengan tarif tidak lebih dari 10%;
b. 20% x Rp5.000.000.000,00 = Rp1.000.000.000,00 atas pembayaran dividen kepada Spurs Vehicle Co. Tarif yang digunakan sesuai dengan Pasal 26 yaitu 20% karena tidak ada P3B antara Indonesia-Mauritius;
menyetor PPh Pasal 26 yang telah dipotong atas pembayaran dividen tersebut paling lambat tanggal 10 Juni 2013;
melaporkan PPh Pasal 26 menggunakan SPT Masa PPh Pasal 23/26 masa pajak Mei 2013 paling lambat tanggal 20 Juni 2013.

PENJUALAN SAHAM YANG DIMILIKI WAJIB PAJAK LUAR NEGERI

Wow Way Co. (perusahaan di Cina) adalah salah satu pemegang saham PT Indonat. Wow Way Co. di bulan Januari 20113 menjual saham yang dimilikinya di PT Indonat kepada PT Holdindo (perusahaan di Indonesia) senilai Rp5.000.000.000,00 dan kepada Tematek Co. (perusahaan di Malaysia) senilai Rp20.000.000.000,00.
Bagaimana kewajiban pemotongan atau pemungutan PPh terkait transaksi tersebut?

Jawab:

Penghasilan dari penjualan saham Perseroan Terbatas dalam negeri yang diperoleh Wajib Pajak luar negeri selain Bentuk Usaha Tetap (BUT) dipotong pajak sebesar 20 % x 25 % atau 5 % (lima persen) dari harga jual.
Perseroan Terbatas dalam negeri tersebut adalah Perseroan Terbatas yang:

sahamnya diperjualbelikan oleh pemegang saham yang berstatus Wajib Pajak luar negeri; dan
tidak berstatus sebagai Emiten atau Perusahaan Publik.

Pemotong PPh Pasal 26 ini adalah pembeli yang ditunjuk sebagai pemotong pajak. Dalam hal pembelinya adalah WPLN, maka yang ditunjuk sebagai pemungut pajak adalah Perseroan.
Bagi pemegang saham Wajib Pajak luar negeri yang berkedudukan di negara-negara yang telah mempunyai P3B dengan Indonesia, maka pemotongan PPh Pasal 26 hanya dilakukan apabila berdasarkan P3B yang berlaku, hak pemajakannya ada di Indonesia.
Kewajiban Pemotongan PPh Pasal 26 PT Holdindo adalah:

PT Holdindo memotong PPh Pasal 26 sebesar Rp250.000.000,00 (20% x 25% x Rp5.000.000.000,00) atas penghasilan dari penjualan saham yang dibayarkan kepada Wow Way Co;
menyetor PPh Pasal 26 yang telah dipotong atas pengalihan saham tersebut paling lambat tanggal 11 Februari 2013;
melaporkan PPh Pasal 26 menggunakan SPT Masa PPh Pasal 23/26 masa pajak Januari 2013 paling lambat tanggal 20 Februari 2013.

Kewajiban Pemungutan PPh Pasal 26 oleh PT Indonat adalah sebagai berikut:

PT Indonat memungut PPh Pasal 26 sebesar Rp1.000.000.000,00 (20% x 25% x Rp20.000.000.000,00) atas penghasilan dari penjualan saham yang dibayar oleh Tematek Co. kepada Wow Way Co;
menyetor PPh Pasal 26 yang telah dipungut atas pengalihan saham tersebut paling lambat tanggal 11 Februari 2013;
melaporkan PPh Pasal 26 menggunakan SPT Masa PPh Pasal 23/26 masa pajak Januari 2013 paling lambat tanggal 20 Februari 2013.

PEMBAYARAN JASA KE LUAR NEGERI

PT Sistama Indonesia melakukan pembayaran kepada System International Co. atas jasa manajemen senilai Rp500.000.000,00. System International Co. berkedudukan di Inggris yang dibuktikan dengan Surat Keterangan Domisili (SKD). Penyerahan jasa oleh System International Co. tersebut dilakukan langsung tanpa melalui Bentuk Usaha Tetap (BUT) di Indonesia.
Bagaimana kewajiban pemotongan atau pemungutan PPh terkait transaksi tersebut?

Jawab:

Inggris adalah salah satu negara mitra P3B Indonesia, sehingga perlakuan PPh bagi Wajib Pajak luar negeri (resident) Inggris harus memperhatikan ketentuan dalam P3B. Salah satu syarat yang harus dipenuhi oleh System International Co. untuk dapat menggunakan P3B dalam rangka pemotongan PPh adalah Surat Keterangan Domisili. Jenis penghasilan yang dibayarkan oleh PT Sistama Indonesia kepada System International Co. adalah penghasilan dari jasa. Dalam kasus ini, berdasarkan P3B Indonesia-Inggris maka penghasilan dari jasa hanya dapat dikenai pajak di Inggris karena System International Co. tidak mempunyai BUT di Indonesia.

Penetration Testing - An Introduction

2015-03-22T23:06:00.000+07:00

Apa itu Penetration Testing?

Penetration testing = proses identifikasi kelemahan security dalam infrastruktur IT, dilakukan oleh penyerang imitasi, dengan cara mencoba mengambil alih kendali atas sistem dan
memperoleh data. Bahasa simple-nya: ge-test security IT, dengan cara test serangan. Pengujian tersebut menjamin bahwa sistem program kita cukup aman.
Analogi: penetration testing seperti mencoba membobol rumah, dengan cara membuka kunci yang paling lemah, dan menghancurkan jendela.

Penetration Test

Penetration Testing - An Introduction

Bagaimana Cara Melakukan Security Assessment: Langkah-2 Umum.

Grafik berikut mengilustrasikan langkah-2 umum security assessment:

Langkah Umum Penetration Test

Penetration test umumnya memiliki tahapan sebagai berikut:

Tujuan: penetapan tujuan dari security assessment.
Reconnaissance: memahami sebanyak mungkin tentang perusahaan dan sistem yang menjadi target. Hal ini dilakukan secara online dan offline.

Reconnaissance
Discovery: scanning port atau kerentanan dari rentang IP untuk lebih mempelajari tentang lingkungan system. Ada beberapa macam jenis scan. Port scan mengidentifikasi port dengan status open.

Discovery - Portscan
Eksploitasi: menggunakan pemahaman terkait kerentanan dan system untuk mengeksploitasi sistem agar memperoleh akses, baik pada level sistem operasi ataupun aplikasi.

Exploitation
Brute forcing: menguji seluruh sistem untuk identifikasi password yang lemah dan memperoleh akses jika password tersebut lemah.

Brute Forcing
Social engineering: mengeksploitasi orang/ staf melalui email phishing, USB mengandung malware, pembicaraan telepon, dan metode lain untuk memperoleh akses ke informasi dan sistem.

Social Engineering
Ambil Alih Kontrol: akses data dalam mesin, misal passwords, hash password, screenshots, files, installing keyloggers, dan mengambil alih kendali screen. Hal ini sering dapat membuka pintu untuk eksploitasi lebih lanjut, brute forcing, dan social engineering.
Contoh: akses ke direktori D: , tanpa diketahui pemilik / user sebenarnya.

Taking Control Dir D

Contoh: Keylogging, untuk mengidentifikasi password.

Keylogging
Pivoting: menggunakan satu mesin network (yang sudah di-compromise, sehingga teridentifikasi sebagai network host), untuk akses /serang ke multiple network, untuk menghindari deteksi / pembatasan oleh firewall.

Pivoting
Pengumpulan Bukti: mengumpulkan screenshots, passwords hashes, files, sebagai bukti bahwa anda telah berhasil masuk ke dalam network/ database.
Pelaporan: melaporkan bagaimana pelaku penetration telah mampu menyusup ke dalam network dan informasi apa yang pelaku berhasil akses.

Reporting
Remediasi: mengatasi/ menyelesaikan masalah/ isu yang membuat pelaku penetration mampu masuk ke dalam network. Hal sebenarnya dilakukan bukan oleh pelaku penetration, melainkan oleh bagian IT department.

Penentuan Lingkup Penetration Test

Sebelum mulai melakukan test, tanyakan diri anda: apa aset digital yang penting yang perlu dilindungi?

Jika organisasi adalah bisnis retail, aset penting nya database yang menyimpan informasi seluruh nomor credit card konsumen anda.
Jika organisasi adalah vendor software, maka aset penting nya adalah source code.
Jika organisasi adalah bank, maka aset pentingnya adalah aplikasi online banking.

Jika aset IT yang paling berharga telah diidentifikasi, maka lakukan penetration testing untuk mencoba akses ke sistem tersebut.
Jika tujuan dari penetration test adalah untuk compliance, maka penetration test mencakup area yang dipersyaratkan dalam ketentuan terkait.

External dan Internal Security Assessments

Security assessments dapat dilakukan dari perspektif outsider yang mencoba menyerang organisasi melalui internet, atau dari perspektif pihak insider yang jahat. Kedua pendekatan ini disebut external dan internal security assessments.

External security assessment dilakukan jika organisasi khawatir adanya serangan pihak luar melalui internet. Kebanyakan organisasi mulai dengan external penetration test.
Internal penetration test dilakukan ketika terdapat akses internal ke dalam network. Organisasi khawatir adanya akses internal yang unauthorized. Selain itu, internal penetration tests juga dapat memberi tahu organisasi, seberapa besar kerusakan yang dapat dilakukan oleh intruder, jika ada pegawai yang secara tidak sengaja membuka attachment dari suatu email phishing, atau seberapa jauh instrusi visitor ke site organisasi, jika visitor tersebut plugging laptop nya ke dalam local network.

In-House dan Outsourced Security Assessments

Penggunaan security assessments in-house atau outsource, tergantung beberapa faktor:

Ukuran organisasi. Apakah organisasi mempekerjakan full time penetration tester? Jika tidak, apakah organisasi memiliki security professional yang melakukan tugas tersebut secara paruh waktu?
Outsourcing mungkin menjadi keputusan yang tepat jika organisasi hanya melakukan penetration test sekali dalam setahun, atau jika organisasi ingin mendapatkan hasil dari independent assessment.
Beberapa perusahaan menggunakan hybrid model.
Kepatuhan terhadap Peraturan juga mempengaruhi keputusan pemilihan assessor. Industri perbankan diwajibkan untuk melakukan security testing dalam periode tertentu.

Bagaimana Memilih Penetration Tester

Siapa pun Pengujinya, hal yang harus dipastikan adalah bahwa orang tersebut telah terlatih/ ahli dan sangat dapat dipercaya. Sebagai bagian dari penugasan, penguji penetration dapat memperoleh akses ke data yang mereka biasanya tidak diijinkan untuk melihat, termasuk properti intelektual, nomor credit cards, dan catatan SDM. Itu sebabnya mengapa trustworthiness menjadi hal yang sangat penting.
Jika anda tidak mengidentifikasi dan memperbaiki masalah security dalam network anda, dengan cara menyewa ahli IT untuk berada di pihak anda, maka data sensitif anda akan sangat mungkin diakses oleh pihak yang tidak berada di pihak anda.

Credit to:
http://backtracktutorials.com
www.rapid7.com

Contoh Perhitungan PPh Pasal 23/26 Part 1

2015-03-15T19:24:00.003+07:00

Posting kali ini, kita coba sajikan contoh perhitungan PPh Pasal 23/26. Postingan akan kita bagi 2 bagian, dan posting ini merupakan bagian 1, dan nanti pada kesempatan lain akan kita
posting bagian 2.

JASA KEPELABUHANAN

PT Indonesia Raya adalah company dalam negeri, dengan bisnis bidang shipping . Tanggal 9 Agustus 2014, PT IR tanda tangan agreement dengan PT World Port yang bergerak di penyelenggara pelabuhan dengan bisnis jasa bongkar muat goods, terminal peti kemas, dan penimbunan goods, dengan total nilai agreement = Rp20.000.000.000,00. Realsasi agreement tersebut dibayar pada tanggal 12 Agustus 2014.
Bagaimana kewajiban pemotongan atau pemungutan PPh terkait transaksi tersebut?

Jawab:

Jasa bongkar muat goods, terminal peti kemas, dan penimbunan goods merupakan bagian dari jasa kepelabuhanan. Peraturan Menteri Keuangan Nomor 244/PMK.03/2008, Pasal 1 ayat (2) menyatakan bahwa Jasa Kepelabuhanan tidak termasuk dalam jenis jasa lain yang merupakan objek pemotongan PPh Pasal 23. Maka, terhadap jasa tersebut tidak dilakukan pemotongan PPh Pasal 23 oleh PT Indonesia Raya.

Contoh Perhitungan PPh Pasal 23/26

JASA ANGKUTAN

PT Properti sebagai manufacture company, memproduksi dan memasarkan barang-barang kebutuhan rumah tangga. Dalam kegiatan pendistribusian barang ke gudang depo/ distributor di luar kota, PT Properti mengadakan perjanjian kerja dengan PT Cepat yang bergerak dibidang pengangkutan barang. Adapun cara pembayaran yang disepakati adalah dengan memperhitungkan volume barang, atau berat barang dengan tarif per tonase/per volume dan memperhitungkan jarak tempuh dari gudang ke tempat tujuan.
Bagaimana kewajiban pemotongan atau pemungutan PPh terkait transaksi tersebut?

Jawab:

Jasa angkutan yang dilakukan oleh PT Cepat dengan cara sebagaimana dimaksud di atas tidak termasuk dalam kelompok jenis jasa lain dalam PMK 244/PMK.03/2008. Transaksi tersebut di atas juga tidak memenuhi pengertian sewa yakni kesepakatan untuk memberikan hak menggunakan harta selama jangka waktu tertentu baik dengan perjanjian tertulis maupun tidak tertulis sehingga harta tersebut hanya dapat digunakan oleh penerima hak selama jangka waktu yang telah disepakati. Sehingga atas pembayaran sehubungan transaksi tersebut bukan merupakan objek pemotongan PPh Pasal 23.

JASA PERHOTELAN

Dalam rangka peningkatan pemahaman para pegawai tentang filosofi dan budaya perusahaan, PT Gajah Makmur mengadakan pelatihan tentang budaya perusahaan yang diikuti oleh 50 orang pegawai dari bagian produksi selama satu hari dengan menyewa meeting room Hotel Menara Jaya yang dimiliki oleh PT Tegal Arum dengan pola paket full board seharga Rp300.000,00 per paket. Paket full board di Hotel Menara Jaya tersebut terdiri dari:
• Room for 1 night
• Meeting room
• Overhead & Screen
• Flip Chart
• White Board & Marker Board
• Note Book & Ballpoint
• Sound System
• Candies
• 1 x Breakfast
• 2 x Coffe Break
• 1 x Lunch
• 1 x Dinner
Bagaimana kewajiban pemotongan atau pemungutan PPh terkait transaksi tersebut?

Jawab:

Jasa perhotelan meliputi:

jasa persewaan kamar termasuk tambahannya di hotel, rumah penginapan, motel, losmen, hostel, serta fasilitas yang terkait dengan kegiatan perhotelan untuk tamu yang menginap; dan
jasa persewaan ruangan untuk kegiatan acara atau pertemuan di hotel, rumah penginapan, motel, losmen, dan hostel;

sehingga penyewaan ruangan hotel dengan pola paket full board sebagaimana tersebut diatas termasuk dalam pengertian jasa perhotelan.
Berdasarkan Pasal 1 ayat (2) Peraturan Menteri Keuangan Nomor 244/PMK.03/2008, jasa perhotelan tidak termasuk sebagai jenis jasa yang dikenai pemotongan PPh Pasal 23, sehingga atas pembayaran sebesar Rp15.000.000,00 (50 orang x Rp300.000,00) kepada PT Tegal Arum tidak dilakukan pemotongan PPh Pasal 23.

JASA PERANTARA/KEAGENAN

PT Indonesia Raya menerima pesanan dari PT Garuda Dunia, dengan pekerjaan mencari perusahaan pengangkutan laut untuk pengiriman bahan baku obat dari Jakarta dengan tujuan Aceh. Pada tanggal 9 Agusutus 2014 PT Indonesia Raya menerbitkan invoice ke PT Garuda Dunia, senilai Rp22.000.000.000,00. Terhadap jasa tersebut dan dibayar pada tanggal 12 Agustus 2014.
Bagaimana kewajiban pemotongan atau pemungutan PPh terkait transaksi tersebut?

Jawab:

Mengingat penghasilan yang diterima PT Yesoa Indonesia dalam transaksi tersebut berkenaan dengan kegiatan PT Yesoa Indonesia untuk mencarikan perusahaan pengangkutan laut maka penghasilan tersebut termasuk penghasilan dari jasa perantara/ keagenan yang penghasilannya dipotong PPh Pasal 23 oleh PT Ang Lion International sebagai pihak yang membayarkan penghasilan.
Besarnya pemotongan PPh Pasal 23 adalah sebesar:
2% x Rp22.000.000,00 = Rp440.000,00.
Kewajiban PT Ang Lion International sebagai Pemotong PPh Pasal 23 adalah:

melakukan pemotongan PPh Pasal 23 sebesar Rp440.000,00 dan memberikan Bukti Pemotongan PPh Pasal 23 kepada PT Yesoa Indonesia;
melakukan penyetoran atas pemotongan PPh Pasal 23 tersebut paling lambat tanggal 10 Oktober 2013;
melaporkan pemotongan PPh Pasal 23 atas transaksi tersebut dalam SPT Masa PPh Pasal 23 masa pajak September 2013 paling lambat tanggal 21 Oktober 2013.

JASA PENUNJANG BIDANG PERTAMBANGAN SELAIN MIGAS

PT Karya Tambang merupakan perusahaan pertambangan batubara. Pengangkutan batubara dilakukan PT Karya Tambang dengan menggunakan truk, kereta api dan belt conveyor. Truk untuk mengangkut batubara dari areal tambang ke tempat pemurnian tersebut merupakan milik PT Truckportation Indonesia yang sekaligus dikontrak untuk melakukan pengangkutan batubara menggunakan truk yang mereka miliki tersebut. Kereta api milik PT Kereta Api Indah dipakai PT Karya Tambang untuk mengangkut batubara dari tempat pemurnian sampai dengan pelabuhan.
Untuk menaikkan batubara ke atas kereta api PT Karya Tambang menyewa belt conveyor milik PT Konek Manipoin dalam jangka waktu satu tahun dan akan diperbaharui setiap tahun sebelum kontrak berakhir.
PT Karya Tambang membayar PT Truckportation Indonesia sesuai dengan perhitungan tiap ton hasil tambang yang berhasil diangkut. Tanggal 4 Oktober 2013 PT Truckportation Indonesia menerima pembayaran atas jasa yang dilakukannya di bulan September 2013 sebesar Rp2.500.000.000,00. PT Truckportation Indonesia telah memiliki sertifikat klasifikasi dan kualifikasi Usaha Jasa Pertambangan serta Izin Usaha Jasa Pertambangan.
PT Karya Tambang membayar sewa belt conveyor selama setahun kepada PT Konek Manipoin sebesar Rp5.000.000.000,00 pada tanggal 4 Oktober 2013.
PT Karya Tambang membayar PT Kereta Api Indah sesuai dengan perhitungan tiap ton hasil tambang yang berhasil diangkut.
Tanggal 8 Oktober 2013 PT Kereta Api Indah menerima pembayaran atas jasa yang dilakukannya di bulan September 2013 sebesar Rp2.000.000.000,00. PT Kereta Api Indah telah memiliki sertifikat klasifikasi dan kualifikasi Usaha Jasa Pertambangan serta Izin Usaha Jasa Pertambangan.
Bagaimana kewajiban pemotongan atau pemungutan PPh terkait transaksi tersebut?

Jawab:

Kegiatan pengangkutan batubara yang termasuk dalam pengertian jasa penunjang dibidang pertambangan selain migas sebagaimana dimaksud dalam Peraturan Menteri Energi dan Sumber Daya Mineral yang mengatur tentang Penyelenggaraan Usaha Jasa Pertambangan Mineral dan Batubara adalah kegiatan pengangkutan batubara:

kegiatan usaha untuk memindahkan batubara dari daerah tambang dan/atau tempat pengolahan dan pemurnian sampai tempat penyerahan;
perusahaan jasa angkutan batubara tersebut telah memiliki sertifikat klasifikasi dan kualifikasi Usaha Jasa Pertambangan serta Izin Usaha Jasa Pertambangan;
menggunakan alat pengangkutan berupa truk, lori, belt conveyor, tongkang, dan pipa.

Memperhatikan hal tersebut maka kegiatan yang dilakukan oleh PT Truckportation Indonesia memenuhi pengertian sebagai jasa penunjang dibidang pertambangan selain migas, sedangkan kegiatan yang dilakukan oleh PT Kereta Api Indah tidak memenuhi pengertian jasa penunjang dibidang pertambangan selain migas disebabkan Kereta Api tidak termasuk dalam alat pengangkutan yang termasuk dalam pengertian jasa penunjang dibidang pertambangan selain migas.
Sewa belt conveyor dari PT Konek Manipoin yang dilakukan PT Karya Tambang memenuhi pengertian sewa yakni kesepakatan untuk memberikan hak menggunakan harta selama jangka waktu tertentu baik dengan perjanjian tertulis maupun tidak tertulis sehingga harta tersebut hanya dapat digunakan oleh penerima hak selama jangka waktu yang telah disepakati.
Dari transaksi tersebut terdapat kewajiban perpajakan sebagai berikut:
a. Pembayaran jasa pengangkutan batubara yang dilakukan oleh PT Truckportation Indonesia yang memenuhi pengertian jasa penunjang dibidang pertambangan selain migas tersebut dipotong PPh Pasal 23 dengan tarif 2% (dua persen) dari jumlah bruto pembayaran karena jasa penunjang dibidang pertambangan selain migas termasuk dalam kelompok jenis jasa lain sesuai dengan Peraturan Menteri Keuangan Nomor 244/PMK.03/2008.
Besarnya pemotongan PPh Pasal 23 atas pembayaran yang dilakukan PT Karya Tambang kepada PT Truckportation Indonesia sehubungan jasa pengangkutan batubara pada tanggal 4 Oktober 2013 adalah:
2% x Rp2.500.000.000,00 = Rp50.000.000,00
b. Mengingat kegiatan pengangkutan yang dilakukan oleh PT Kereta Api Indah tidak memenuhi pengertian jasa penunjang dibidang pertambangan selain migas dan tidak memenuhi pengertian sewa, maka atas pembayaran yang dilakukan PT Karya Tambang kepada PT Kereta Api Indah bukan merupakan objek pemotongan PPh Pasal 23.
c. Sewa belt conveyor yang dilakukan PT Karya Tambang memenuhi pengertian sewa sehingga atas pembayaran yang dilakukan PT Karya Tambang kepada PT Konek Manipoin pada tanggal 4 Oktober 2013 wajib dilakukan pemotongan PPh Pasal 23.
Besarnya pemotongan PPh Pasal 23 adalah:
2% x Rp2.000.000.000,00 = Rp40.000.000,00
Kewajiban PT Karya Tambang sebagai pemotong PPh Pasal 23 adalah:

Melakukan pemotongan PPh Pasal 23 sebesar Rp50.000.000,00 dan memberikan Bukti Pemotongan PPh Pasal 23 kepada PT Truckportation Indonesia.
Melakukan pemotongan PPh Pasal 23 sebesar Rp40.000.000,00 dan memberikan Bukti Pemotongan PPh Pasal 23 kepada PT Konek Manipoin.
Melakukan penyetoran PPh Pasal 23 paling lambat tanggal 11 November 2013.
Melaporkan pemotongan PPh Pasal 23 atas transaksi tersebut dalam SPT Masa PPh Pasal 23 Masa Pajak Oktober 2013 paling lambat tanggal 20 November 2013.

SEWA TANGKI TIMBUN BBM

PT Oil Trade menyewa 5 buah tangki timbun BBM milik PT Tong Universal selama satu tahun dengan biaya Rp3.000.000.000,00. Selain membayar sewa tangki timbun BBM tersebut PT Oil Trade juga membayar PT Tong Universal atas jasa pengelolaan tangki timbun BBM selama disewa sebesar Rp300.000.000,00. Pembayaran tersebut dilakukan pada tanggal 8 Oktober 2013.
Bagaimana kewajiban pemotongan atau pemungutan PPh terkait transaksi tersebut?

Jawab:

a. Tangki timbun BBM tidak termasuk dalam pengertian bangunan yang atas sewanya termasuk dalam sewa tanah dan/atau bangunan yang dikenakan PPh Pasal 4 ayat (2) sebesar 10% dari jumlah bruto nilai persewaan tanah dan/atau bangunan dan bersifat final, namun atas sewa tangki timbun BBM merupakan sewa dan penggunaan harta yang dikenai PPh Pasal 23 sebesar 2% (dua persen) dari jumlah bruto pembayaran.
Besarnya pemotongan PPh Pasal 23 adalah:
2% x Rp3.000.000.000,00 = Rp60.000.000,00
b. Kegiatan bongkar muat minyak ke tangki timbun BBM yang dilakukan PT Tong Universal termasuk dalam pengertian jasa manajemen yang atas pembayarannya dikenai pemotongan PPh Pasal 23 sebesar 2% (dua persen) dari jumlah bruto pembayaran.
Besarnya pemotongan PPh Pasal 23 adalah:
2% x Rp300.000.000,00 = Rp6.000.000,00
Kewajiban PT Oil Trade sebagai pemotong PPh Pasal 23 adalah:

Melakukan pemotongan PPh Pasal 23 sebesar Rp.60.000.000,00 dan Rp6.000.000,00 serta memberikan Bukti Pemotongan PPh Pasal 23 kepada PT Tong Universal.
Melakukan penyetoran PPh Pasal 23 paling lambat tanggal 11 November 2013.
Melaporkan pemotongan PPh Pasal 23 atas transaksi tersebut dalam SPT Masa PPh Pasal 23 Masa Pajak Oktober 2013 paling lambat tanggal 20 November 2013.

PEMOTONGAN PPH TERKAIT KONTRAK KARYA

PT Karya Putra Coal merupakan perusahaan kontrak karya pertambangan batubara (PKP2B), meminta jasa konsultasi hukum dari kantor pengacara Sodiq Nugroho Rizki & Partner. Atas jasa konsultasi tersebut PT Karya Putra Coal membayar sebesar Rp45.000.000,00 dibayar pada tanggal 2 Oktober 2013.
Bagaimana kewajiban pemotongan atau pemungutan PPh terkait transaksi tersebut?

Jawab:

Meskipun PT Karya Putra Coal merupakan perusahaan kontrak karya pertambangan batubara (PKP2B) yang dalam kontraknya mengatur juga mengenai kewajiban perpajakan yang bersifat khusus / lex specialis termasuk kewajiban pemotongan PPh terkait kegiatan pemberian jasa, namun semenjak berlakunya Peraturan Menteri Keuangan Nomor PMK 39/PMK.011/2013 tentang Kewajiban Pemotongan dan/atau Pemungutan Pajak Penghasilan Yang Terutang Kepada Pihak Lain Oleh Perusahaan Yang Terikat Dengan Kontrak Bagi Hasil, Kontrak Karya, atau Perjanjian Kerjasama Pengusahaan Pertambangan pemotongan PPh terkait kegiatan pemberian jasa dilakukan sesuai dengan ketentuan peraturan perundang-undangan di bidang perpajakan yang berlaku pada saat kewajiban pemotongan dan/atau pemungutan Pajak Penghasilan harus dilakukan.
Oleh karena itu, atas pembayaran sehubungan dengan jasa konsultasi tersebut merupakan objek pemotongan PPh Pasal 23 yang wajib dilakukan pemotongan PPh Pasal 23 oleh PT Karya Putra Coal sebesar 2% (dua persen) dari jumlah bruto pembayaran.
Besarnya pemotongan PPh Pasal 23 adalah:
2% x Rp45.000.000,00 = Rp900.000,00
Kewajiban PT Karya Putra Coal sebagai pemotong PPh Pasal 23 adalah:

Melakukan pemotongan PPh Pasal 23 sebesar Rp900.000,00 serta memberikan Bukti Pemotongan PPh Pasal 23 kepada kantor pengacara Sodiq Nugroho Rizki & Partner.
Melakukan penyetoran PPh Pasal 23 paling lambat tanggal 11 November 2013.
Melaporkan pemotongan PPh Pasal 23 atas transaksi tersebut dalam SPT Masa PPh Pasal 23 Masa Pajak Oktober 2013 paling lambat tanggal 20 November 2013.

SEWA DAN PENGHASILAN LAIN SEHUBUNGAN DENGAN PENGGUNAAN HARTA

SEWA KENDARAAN UMUM

PT Bangun Pagi dalam rangka acara family gathering karyawannya di Malang, menyewa 3 (tiga) buah bus dari PT Rahmat Lancar sebuah perusahaan jasa transportasi darat untuk jangka waktu 3 hari mulai tanggal 16 Juli s.d. 18 Juli 2013. PT Bangun Pagi membayar biaya sewa tiga bus selama tiga hari sebesar Rp20.000.000,00 pada tanggal 18 Juli 2013.
Bagaimana kewajiban pemotongan atau pemungutan PPh terkait transaksi tersebut?

Jawab

Transaksi sewa bus yang dilakukan PT Bangun Pagi memenuhi pengertian sewa yakni kesepakatan untuk memberikan hak menggunakan harta selama jangka waktu tertentu baik dengan perjanjian tertulis maupun tidak tertulis sehingga harta tersebut hanya dapat digunakan oleh penerima hak selama jangka waktu yang telah disepakati, sehingga atas pembayaran sewa bus tersebut merupakan objek pemotongan PPh Pasal 23 yang wajib dilakukan pemotongan oleh PT Bangun Pagi.
Besarnya pemotongan PPh Pasal 23 sebesar:
2% x Rp20.000.000 = Rp400.000,00
Kewajiban PT Bangun Pagi sebagai Pemotong PPh Pasal 23 adalah:

melakukan pemotongan PPh Pasal 23 sebesar Rp400.000,00 dan memberikan Bukti Pemotongan PPh Pasal 23 kepada PT Rahmat Lancar;
melakukan penyetoran PPh Pasal 23 tersebut paling lambat tanggal 12 Agustus 2013;
melaporkan pemotongan PPh Pasal 23 atas transaksi tersebut dalam SPT Masa PPh Pasal 23 masa pajak Juli 2013 paling lambat tanggal 20 Agustus 2013.

SEWA TOWER/MENARA KOMUNIKASI

PT Yana Scholastika Permana merupakan perusahaan yang bergerak dalam bidang persewaan tower/menara komunikasi. Pada tanggal 04 April 2013 PT Yana Scholastika Permana mengadakan perjanjian sewa tower/menara komunikasi dengan PT Mobile Nine Telecom sebesar Rp60.000.000,00 selama 2 tahun. Pembayaran sewa tower/ menara komunikasi dilakukan sekaligus pada tanggal 5 April 2013.
Bagaimana kewajiban pemotongan atau pemungutan PPh terkait transaksi tersebut?

Jawab:

Persewaan tower/menara komunikasi tidak termasuk dalam objek persewaan tanah dan/atau bangunan sesuai ketentuan Peraturan Pemerintah Nomor 29 Tahun 1996 tentang Pembayaran Pajak atas Penghasilan dari Persewaan Tanah dan/atau Bangunan sebagaimana telah diubah dengan Peraturan Pemerintah Nomor 5 Tahun 2002. Namun demikian atas sewa tower/menara tersebut termasuk dalam pengertian sewa dan penghasilan lain sehubungan dengan penggunaan harta yang atas penghasilannya dipotong PPh Pasal 23 oleh pihak yang membayarkan penghasilan yaitu PT Mobile Nine Telecom.
Besarnya pemotongan PPh Pasal 23 sebesar:
2% x Rp60.000.000,00 = Rp1.200.000,00.
Kewajiban PT Mobile Nine Telecom sebagai Pemotong PPh Pasal 23 adalah:

melakukan pemotongan PPh Pasal 23 sebesar Rp1.200.000,00 dan memberikan Bukti Pemotongan PPh Pasal 23 kepada PT Yana Scholastika Permana;
melakukan penyetoran atas pemotongan PPh Pasal 23 tersebut paling lambat tanggal 10 Mei 2013;
melaporkan pemotongan PPh Pasal 23 atas transaksi tersebut dalam SPT Masa PPh Pasal 23 masa pajak April 2013 paling lambat tanggal 20 Mei 2013.

Internal Control Deficiencies Examples

2015-03-10T13:59:00.001+07:00

As auditors (internal and external), we are required by standards or by law or by client’s request to assess the adequacy and the effectiveness of internal controls. For example, in
companion with independent auditor report of SEC listed company’s financial statement, SOX required external auditor to provide an opinion on the adequacy and the effectiveness of internal control over financial reporting (ICoFR) of the company. However, principally, the management, not the auditor, who has ultimate responsibility to assess the adequacy and effectiveness of internal controls.
Basically, the assessment of internal control consist of two aspects:

The adequacy of the design of internal control.
Internal control is designed to provide reasonable assurance of the achievement of objectives, by mitigating significance general and specific risks. Or, in financial audit engagement, internal control is designed to prevent or detect material misstatement in the financial statement.
The operating effectiveness of controls.
Controls are operating as designed and whether the person performing the control possesses the necessary authority and qualifications.

Notes:
We will discuss about how to assess the adequacy and the effectiveness of internal control in a simple way (simple practice guide), in our next postings, labeling control and risk. Just keep visiting our blog.
The determination of the adequacy and the effectiveness of internal control would be based on the identification of control deficiencies and its magnitude effect on the achievement of organization objectives.

Internal Control Deficiencies Examples

Control Deficiency definition:
"A shortcoming in some aspects (principle, attribute, components) of the system of internal control, and no compensating controls, and has the potential to adversely affect the ability of the entity to achieve its objectives." When a deficiency is exist, management needs to assess the impact of deficiency on the effectiveness of the internal control. Control deficiencies can be categories by its reporting purpose:

Deficiencies in Internal Control over Operations, Compliance, and Reporting other than External Financial Reporting:
- Major non-conformities.
- Minor non-conformities.
Deficiencies in Internal Control over Financial Reporting (ICoFR)
- Material Weaknesses
- Significant Weaknesses.

All categories of deficiencies above include the result of the assessment of control’s design (adequacy/ existence) and control’s effectiveness (functioning). For assessing ICoFR, a guideline for differentiating material weaknesses and significant weaknesses, is as follows:

Classification Material and Significant

Remember ...., the above matrix is classifying control deficiencies in assessing ICoFR. Deficiency Matrix for assessing internal control over operation and compliance will be differ from above, although the basic principle is still the same. For example, in the operation of airplane transportation business, just ONE EXCEPTION found in safety procedures, will result a conclusion that internal control contains a material weaknesses.
The example of the above deficiencies are as follows (not limited to):
1. Deficiencies in Internal Control over Operations, Compliance, and Reporting other than External Financial Reporting:

Major Non-conformities:
Any deficiencies in internal control that relates to compliance, operation, and non-financial reporting activities that adversely affects the likelihood that the entity will achieve its objectives.
Example of MAJOR non-conformity:

Shipping a nonconforming product – e.g. a product that does not meet quality requirements.
Making unauthorized significant changes to product design and manufacturing specifications.
Not completing routing maintenance of assets, especially those relate to public safety (e.g.: aircraft, railsways, or public transit).
Administering improper medicine doses to hospitals patients.
Recurring misreporting of incidences of non-compliance to regulators.
Omitting important information supporting budgeting and forecasting activities.
Improperly treating, storing, or disposing of hazardous wastes.
Improperly reporting child labod found to occurring at own or supplier’s factories.
Improperly reporting CO2 emissions to customers and investors.
Acquiring incomplete or inaccurate data for use in actuarial valuations.
Using product which violated intellectual right – e.g. installing unlicensed program/ application to a company’s computer.

Minor Non-conformities:
Any deficiency relating to compliance, operation, and non-financial reporting activities that does not adversely affect the likelihood that the entity will achieve its objectives. Multiple minor non-conformities when considered collectively may result in a determination that a major non-conformity exists. Example: 6% incidences of failing to keep in maintenance schedule, which exceed 4% tolerable exceptions, would result a conclusion of major non-conformity.
Example of MINOR non-conformities:

Failing to document a part of the quality systems.
Not inspecting an instrument past its calibration date.
Failing to conduct routine maintenance of an assets needed to keep a warranty in effect.
Filing a compliance statement with a regulator one day after the required filing date.
Not retaining a training record for future reference.
Using in accurate data to prepare management information for internal analysis.

2. Deficiencies in Internal Control over Financial Reporting (ICoFR):

Material Weaknesses:

A condition in which there is a deficiency or combination of deficiencies, in internal control such there is a reasonable possibility that a material misstatement of the entity’s financial statements will not be prevented, detected, or corrected on a timely basis. The existence of a material weakness precludes an organization from asserting that the entity’s system of internal control over external financial reporting is effective.
Example of material weaknesses:
Each of the following is an indicator of a control deficiency that should be regarded as at least a significant deficiency and a strong indicator of a material weakness in internal control:

Ineffective oversight of the entity’s financial reporting and internal control by those charged with governance.
Restatement of previously issued financial statements to reflect the correction of a material misstatement. (The correction of a misstatement includes misstatements due to error or fraud; it does not include restatements to reflect a change in accounting principle to comply with a new accounting principle or a voluntary change from one generally accepted accounting principle to another generally accepted accounting principle.)
Identification by the auditor of a material misstatement in the financial statements for the period under audit that was not initially identified by the entity’s internal control. This includes misstatements involving estimation and judgment for which the auditor identifies likely material adjustments and corrections of the recorded amounts. (This is a strong indicator of a material weakness even if management subsequently corrects the misstatement.).
An ineffective internal audit function or risk assessment function at an entity for which such functions are important to the monitoring or risk assessment component of internal control, such as for very large or highly complex entities.
For complex entities in highly regulated industries, an ineffective regulatory compliance function. This relates solely to those aspects of the ineffective regulatory compliance function for which associated violations of laws and regulations could have a material effect on the reliability of financial reporting.
Identification of fraud of any magnitude on the part of senior management. (The auditor has a responsibility to plan and perform procedures to obtain reasonable assurance about whether the financial statements are free of material misstatement caused by error or fraud. However, for the purposes of evaluating and communicating deficiencies in internal control, the auditor should evaluate fraud of any magnitude— including fraud resulting in immaterial misstatements—on the part of senior management, of which he or she is aware.)
Failure by management or those charged with governance to assess the effect of a significant deficiency previously communicated to them and either correct it or conclude that it will not be corrected.
An ineffective control environment. Control deficiencies in various other components of internal control could lead the auditor to conclude that a significant deficiency or material weakness exists in the control environment.

Significant Deficiency:
A deficiency or combination of deficiencies less severe than a material weakness, yet may be important enough to merit attention by the board of directors. Multiple significant deficiencies when considered collectively may result in a determination that a material weakness exists.
Example of significant weaknesses:
Deficiencies in the following areas ordinarily are at least significant deficiencies in internal control:

Controls over the selection and application of accounting principles that are in conformity with generally accepted accounting principles. Having sufficient expertise in selecting and applying accounting principles is an aspect of such controls.
Antifraud programs and controls.
Controls over nonroutine and nonsystematic transactions.
Controls over the period-end financial reporting process, including controls over procedures used to enter transaction totals into the general ledger; initiate, authorize, record, and process journal entries into the general ledger; and record recurring and nonrecurring adjustments to the financial statements.

Others Examples of Deficiencies of ICoFR

(Depending on severity could also be significant deficiencies and material weaknesses)
1. Deficiencies in the Design of Controls:

Inadequate design of internal control over the preparation of the financial statements being audited.
Inadequate design of internal control over a significant account or process.
Inadequate documentation of the components of internal control.
Insufficient control consciousness within the organization, for example, the tone at the top and the control environment.
Absent or inadequate segregation of duties within a significant account or process.
Absent or inadequate controls over the safeguarding of assets (this applies to controls that the auditor determines would be necessary for effective internal control over financial reporting).
Inadequate design of information technology (IT) general and application controls that prevent the information system from providing complete and accurate information consistent with financial reporting objectives and current needs.
Employees or management who lack the qualifications and training to fulfill their assigned functions. For example, in an entity that prepares financial statements in accordance with generally accepted accounting principles, the person responsible for the accounting and reporting function lacks the skills and knowledge to apply generally accepted accounting principles in recording the entity’s financial transactions or preparing its financial statements.
Inadequate design of monitoring controls used to assess the design and operating effectiveness of the entity’s internal control over time.
The absence of an internal process to report deficiencies in internal control to management on a timely basis.

2. Failures in the Operation of Internal Control:

Failure in the operation of effectively designed controls over a significant account or process, for example, the failure of a control such as dual authorization for significant disbursements within the purchasing process.
Failure of the information and communication component of internal control to provide complete and accurate output because of deficiencies in timeliness, completeness, or accuracy, for example, the failure to obtain timely and accurate consolidating information from remote locations that is needed to prepare the financial statements.
Failure of controls designed to safeguard assets from loss, damage, or misappropriation. This circumstance may need careful consideration before it is evaluated as a significant deficiency or material weakness. For example, assume that a company uses security devices to safeguard its inventory (preventive controls) and also performs periodic physical inventory counts (detective control) timely in relation to its financial reporting. Although the physical inventory count does not safeguard the inventory from theft or loss, it prevents a material misstatement of the financial statements if performed effectively and timely. Therefore, given that the definitions of material weakness and significant deficiency relate to likelihood of misstatement of the financial statements, the failure of a preventive control such as inventory tags will not result in a significant deficiency or material weakness if the detective control (physical inventory) prevents a misstatement of the financial statements. Material weaknesses relating to controls over the safeguarding of assets would only exist if the company does not have effective controls (considering both safeguarding and other controls) to prevent or detect a material misstatement of the financial statements.
Failure to perform reconciliations of significant accounts. For example, accounts receivable subsidiary ledgers are not reconciled to the general ledger account in a timely or accurate manner.
Undue bias or lack of objectivity by those responsible for accounting decisions, for example, consistent understatement of expenses or overstatement of allowances at the direction of management.
Misrepresentation by client personnel to the auditor (an indicator of fraud).
Management override of controls.
Failure of an application control caused by a deficiency in the design or operation of an IT general control.

Based on our assessment, then we summarize any material and significant deficiencies found. The example of summary is as follows:

Deficiency Summary

We will discuss about simple practical guide how to assess the adequacy of internal control in our next posting....

Subsequent Events

2015-03-04T03:24:00.003+07:00

Accounting Treatment untuk Subsequent events:

“those occurring after the balance sheet date but before the financial statements are issued or available to be issued”
(event yang terjadi setelah tanggal Laporan Posisi Keuangan, namun sebelum Laporan Keuangan diterbitkan atau siap untuk diterbitkan)”

Financial statements di-issued ketika FS didistribusikan ke shareholders dan users lainnya.

Financial statements “available to be issued” ketika FS dalam form dan format yang complete dan complies dengan GAAP dan seluruh necessary approvals untuk issuance telah di-obtained.

Entity perusahaan yang listed di Security Exchange atau Bond/Debt-nya di- traded dalam public market, harus meng-evaluate subsequent events sampai dengan tanggal financial statements di-issued. Seluruh entities lainnya harus evaluate subsequent events sampai dengan tanggal financial statements di-available to be issued.

Subsequent Event

Terdapat 2 (dua) types subsequent events:

Recognized subsequent event: event (misal kerugian) dimana condition (misal kerusakan)-nya exist PADA tanggal Financial Statements dan ber-effect terhadap value estimasi-nya (misal estimasi kerugian), dan oleh karena itu, di-recognized dalam Financial Statements.
Recognized events termasuk: estimate for warranty liability, estimate a contingent liability dari lawsuit, atau estimate allowance for uncollectible accounts. Jika, recognized subsequent event di-settled setelah tanggal Financial Statements, namun sebelum financial statements di-issued atau available to be issued, maka nilai settlement tersebut seharusnya recognized as liability di Financial Statements.
- Peristiwa perubahan harga pasar surat berharga yang sudah ditetapkan (quoted market prices) biasanya TIDAK memerlukan penyesuaian laporan keuangan, karena peristiwa seperti itu mencerminkan evaluasi atas kondisi-kondisi baru, bukan condition-nya exist pada tanggal Financial Statements.
- Bila laporan keuangan diterbitkan kembali, yang ditujukan kepada OJK, IDX, badan berwenang lainnya, peristiwa penting yang terjadi sesudah penerbitan pertama laporan keuangan, perlu diungkapkan dalam laporan keuangan yang diterbitkan kembali, namun TIDAK mengakibatkan penyesuaian laporan keuangan.
- Example:
  - Kerugian sebagai akibat piutang tidak tertagih yang disebabkan oleh adanya pelanggan yang mengalami kesulitan keuangan dan menuju ke kebangkrutan sesudah tanggal neraca merupakan indikasi keadaan yang ada pada tanggal neraca, oleh karena itu membutuhkan penyesuaian terhadap laporan keuangan sebelum diterbitkan.
  - Di lain pihak, kerugian yang sama namun sebagai akibat adanya pelanggan yang mengalami kebangkrutan karena kebakaran atau banjir sesudah tanggal neraca, bukan merupakan indikasi kondisi yang ada pada tanggal neraca, sehingga penyesuaian laporan keuangan bukan merupakan tindakan yang semestinya dilakukan.
  - Penyelesaian tuntutan hukum yang jumlahnya berbeda dengan jumlah utang yang sudah dicatat membutuhkan penyesuaian laporan keuangan jika peristiwa yang menyebabkan timbulnya tuntutan tersebut (seperti pelanggaran hak paten) telah terjadi atau ada sebelum tanggal neraca.
Nonrecognized subsequent event: event dimana condition-nya NOT exist pada tanggal Financial Statement, namun timbul AFTER tanggal Financial Statement. Dalam cases tersebut, the event NOT recognized dalam Financial Statements.
- Namun, jika the event akan membuat financial statements jadi misleading, maka footnote disclosure seharusnya dibuat meng-indicating nature dari the event dan estimate effect terhadap financial statement. Jika nonrecognized event tersebut bernilai sangat significance,
- Example:
- Terjadinya tuntutan hukum yang disebabkan oleh peristiwa yang terjadi sesudah tanggal neraca.
- Kerugian aktiva tetap atau sediaan yang diakibatkan oleh kebakaran, atau
- Kerugian piutang yang diakibatkan oleh kondisi (seperti penyebab utama kebangkrutan pelanggan) yang terjadi sesudah tanggal neraca.
Entity listed di security excange, tidak di-required untuk disclose tanggal terakhir evaluate subsequent events. Namun, non-SEC filer harus juga disclose tanggal terakhir evaluasi subsequent events, dan apakah tanggal tersebut merupakan tanggal financial statements di-issued atau di-available to be issued.

Case Study 1:

Swift Corp. menyusun financial statements untuk fiscal year, ending December 31, year 1. Swift meng-estimates bahwa product warranty liability = $28,000 pada December 31, year 1. Pada February 12, year 2, sebelum financial statements di-issued, Swift terima information tentang product defect yang akan require a recall seluruh all units sold dalam year 1. Product recall di-estimasi menimbulkan cost tambahan $40,000 dalam warranty repairs. Apa seharusnya Swift sajikan pada December 31, year 1 financial statements?
a. Footnote disclosure meng-explaining the product recall.
b. Footnote disclosure me-listing estimasi amount $40,000 nilai warranty repairs dan explanation dari recall tersebut.
c. Estimated warranty liability = $68,000.
d. No disclosure di-necessary.
Correct Answer: C
Event tersebut merupakan recognized subsequent event, dan disajikan dalam financial statement, karena Swift me-record estimate for warranty liability. Sebelum issuing financial statements, Swift harus membuat adjustment untuk warranty liability bagi recall product. Maka, warranty liability seharusnya disajikan pada $68,000 dalam year-1 financial statement.

Case Study 2:

Colter Corp. memiliki fiscal year berakhir December 31, year 1. Pada tanggal tersebut, Colter report total assets = $600,000. Pada February 1, year 2, sebelum year-1 financial statements di-issued, Colter lost = $250,000 dari inventory karena kebakaran. Inventory loss tersebut = total loss dan tidak insured. Bagaimana Colter seharusnya present information ini dalam Financial Statement per December 31, year 1?
a. Colter should disclose the loss in a footnote to its year 1 financial statements.
b. Colter should report an extraordinary loss in its year 1 income statement.
c. Colter should report an allowance for lost inventory in its year 1 balance sheet.
d. Colter should not report the loss.
Correct Answer: A
Case ini merupakan contoh unrecognized subsequent event, yang tidak exist per tanggal Financial Statements per December 31, year 1. Maka, no adjustment terhadap year-1 financial statements. Namun, karena inventory loss bernilai material dan loss tidak insured, untuk prevent financial statements menjadi misleading, Colter seharusnya disclose loss tersebut dalam footnote year-1 financial statements.

Case Study 3:

Yang mana following berikut merupakan true statement terkait dengan pengungkapan subsequent events?
a. Recognize a loss for all recognized and unrecognized subsequent events in the current year financial statements.
b. Recognize a gain or loss for any recognized subsequent event in the current year financial statements.
c. Recognize a loss for a recognized subsequent event in the financial statements in the year when the subsequent event occurs.
d. Recognize a loss for a recognized subsequent event in the current year financial statements.
Correct Answer: D
Loss dari recognized subsequent event seharusnya di- reported dalam current-year financial statements (choice D). Answer (A) incorrect karena loss dari unrecognized subsequent event, tidak akan diakui, namun perlu diungkapkan dalam footnote FS, jika event tersebut material dan financial statements akan menjadi misleading jika event tersebut not disclosed. Answer (b) incorrect karena gains tidak di-recognized kecuali di-realized. Answer (c) incorrect karena recognized subsequent events yang mengakibatkan loss, di-recognized dalam current-year dan adjustment terkait dilakukan untuk me-record liability.

Audit Procedures related to Subsequent Event

Generally, tanggal Financial Statements = tanggal Independent Audit Report. Maka, auditor meng-evaluate subsequet event sampai dengan tanggal Audit Report di-issued.

Procedure ini harus dilaksanakan pada saat atau mendekati saat penyelesaian field work. Secara umum, audit procedures related to subsequent event:
Procedure Analytic: membandingkan laporan keuangan interim dengan laporan keuangan yang akan dilaporkan; dan membuat berbagai perbandingan lainnya.
Inquiry, tentang:
Apakah ada utang bersyarat yang cukup besar atau komitmen yang terjadi pada tanggal financial statements yang dilaporkan atau pada tanggal pertanyaan diajukan.
Apakah ada perubahan yang cukup signifikan dalam modal saham, utang jangka panjang, atau modal kerja sampai pada tanggal pertanyaan diajukan.
Status sekarang mengenai unsur, dalam financial statements yang dilaporkan, yang dipertanggungjawabkan berdasarkan data sementara, awal, atau data yang tidak konklusif.
Apakah penyesuaian (adjustment) yang tidak biasanya terjadi telah dibuat selama periode dari tanggal financial statements sampai dengan tanggal pertanyaan diajukan.
Document: notulen rapat para pemegang saham, direktur, komite resmi lainnya.
Inquiry, tentang keterangan kepada konsultan hukum klien tentang adanya tuntutan hukum, klaim, dan keputusan pengadilan.
Management Representative Letter, tentang apakah setiap peristiwa yang terjadi setelah tanggal financial statements, menurut pandangan para eksekutif akan memerlukan penyesuaian atau pengungkapan dalam financial statements.

Kadang-kadang tipe kedua peristiwa kemudian berdampak material terhadap entitas, sehingga auditor mempertimbangkan menambahkan paragraf penjelasan dalam laporannya dengan tujuan untuk mengarahkan perhatian pemakai laporan keuangan terhadap peristiwa tersebut beserta akibat yang ditimbulkan.

CGAP Syllabus and Study

2015-02-21T18:59:00.000+07:00

Certified Government Auditing Professional® (CGAP®) Exam Syllabus — Domain I

CGAP

Standards, Governance, and Risk/Control Frameworks (10-20%)
(P) = Candidates must exhibit proficiency (thorough understanding; ability to apply concepts) in these topic areas.
(A) = Candidates must exhibit awareness (knowledge of terminology and fundamentals) in these topic areas.

A. Standards

Role of a comprehensive set of auditing/evaluation standards (A)
Application of appropriate standards in all assignments (P)
Role and impact of other auditing standards (standards of public accounting bodies, quality assurance bodies, etc.) and their relationship with the above standards (A)

B. Governance

Governance in the public sector (e.g., audit committee, code of conduct, open government, public scrutiny, equity, accountability) (P).
Role of audit within the governance structure (P)

C. Risk/Control Frameworks (e.g., COSO, CoCo)

Role of frameworks (A)
Elements of a risk/control framework (P)
Application of frameworks (P)

D. IIA Code of Ethics (P)

Certified Government Auditing Professional® (CGAP®) Exam Syllabus — Domain II

Government Auditing Practice (35-45%)

A. Management of the Audit Function

Need for a formal document of purpose, authority, and responsibility (P)
Policies and procedures (A)
Quality assurance (A).
Planning (A).
Staffing (A).
Marketing the audit function (A).
Mission/role/outcome of audit function within government (A)

B. Types of Audit Services

Audits of compliance (P)
Audits of performance/value-for-money/operations (e.g., economy, efficiency, effectiveness) (P).
Audits of financial statements (A).
Audits of financial systems (P).
Audits of information and related technology (P).
Consulting/assistance services (e.g., non-audit advisory services) (A).
Integrity services (e.g., Fraud, Waste, and Abuse) (P)

C. Processes for Delivery of Audit Services

Management of individual projects (P).
Planning (The role of laws, regulations, rules, and ordinances in your planning process should be considered in the planning process) (P).
Risk and control assessment practices (P).
Performing the engagement (P).
Communicating results (P).
Monitoring results (follow-up) (P)

Certified Government Auditing Professional® (CGAP®) Exam Syllabus — Domain III

Government Auditing Skills and Techniques (20-25%)

A. Management Concepts and Techniques (A)
B. Performance Measurement (P)
C. Program Evaluation (A)
D. Quantitative Methods (e.g., statistical methods and analytical review) (P)
E. Qualitative Methods (e.g., questionnaires, interviews, and flow charts) (P)
F. Methods for the Identification and Investigation of Integrity Violations (P)
G. Research/Data Collection Techniques (P)
H. Analytical Skills (e.g., distinguish between significant and insignificant information) (P)

Certified Government Auditing Professional® (CGAP®) Exam Syllabus — Domain IV

Government Auditing Environment (20-25%)

A. Performance Management (P)
B. Financial Management

Unique requirements in accounting for and reporting on government financial operations (P).
Principles of taxation and revenue generation (P).
Unique aspects of governmental budgeting (e.g., encumbrances, earmarking) (P).
Government accounting (e.g., fund accounting, resource accounting) (P).
Legal restrictions on sources and uses of funds (e.g., voted funds, conditional grants, revenues) (A).
Investment restrictions for public funds (A).
Activity-based costing/cost-allocation (A)

C. Implications of Various Service Delivery Methods

Direct delivery by government employees (P)
Grants (P).
Contracts (P).
Joint Ventures/ Partnerships/ Authorities/ Special Operating Agencies/ Quasi-governmental (A).
Privatization (A)

D. Implications of Delivering Services to Citizens

Due process rights of clients/citizens (P).
Confidentiality/privacy/rights of clients/citizens (P).
Issues arising from the methods of funding/delivering services (condition that client receiving service may not be party paying for the services; ability-to-pay principle; user pay; eligibility requirements; limitations on services available; entitlements; etc.) (A).
Reality of conflicting missions (e.g., satisfy both developers and environmentalists, keep families together and kids safe) (A).
Issues associated with at-risk populations (e.g., multiple, interacting causes and conditions; difficulty of measuring prevention) (A)

E. Unique Characteristics of Human Resources Management (A)
F. Unique Purchasing and Procurement Requirements (P)

Certified Government Auditing Professional® (CGAP®) Exam Preparation Resources

The CGAP exam is a self-study exam and does not require a prescribed curriculum. Candidates may choose their own method of preparing for the exam.

CGAP Study Guide

The IIA publishes a CGAP study guide to assist candidates in preparing for the exam. It is available for order through The IIA Research Foundation Bookstore. The guide provides a general overview of the topics that will be covered in the exam. However, it is critical that candidates perform additional study in areas where their experience or background dictates the need for review. We also recommend that candidates supplement their studying by reviewing the IFAC's International Standards on Auditing and the International Organization of Supreme Audit Institutions (INTOSAI) Code of Ethics and Auditing Standards. Candidates taking the US version of the CGAP exam should also study the U.S. Generally Accepted Government Auditing Standards (GAGAS/Yellow Book) in preparation for the exam.

Other CGAP Study Materials

The Bookstore offers the following books on government auditing. While these books are not written as CGAP study guides, they may assist candidates in preparing for the exam.

Auditor Roles in Government Performance Measurement: A Guide to Exemplary Practices at the Local, State, and Provincial Levels by Paul D. Epstein, Stuart Griefel, and Stephen L. Morgan

Performance Auditing: A Measurement Approach by Ronell B. Raaum and Stephen L. Morgan.

Certified Government Auditing Professional® (CGAP®) Sample Exam Questions

Sample CGAP Exam Questions
The IIA provides a limited number of sample CGAP exam questions (with answers) to give candidates an understanding of the types of questions that typically appear on the CGAP exam.

In a financial statement audit, Government Auditing Standards (Yellow Book) require that the scope of the review of compliance and internal control over financial reporting be specifically communicated to all of the following except the:

A. Audit client.
B. Audit committee.
C. Requestor of audit services.
D. Funding agency.

Answer
A. Incorrect. Specific communication with the audit client is one of the required communications.
B. Incorrect. Specific communication with the audit committee is one of the required communications.
C. Incorrect. Specific communication with the individuals contracting for or requesting the audit services is one of the required communications.
D. Correct. Specific communication with the funding agency is not a Government Auditing Standards requirement.

It is important that an internal audit department's statement of purpose, authority, and responsibility detail:

A. The delineation of responsibilities between the internal and external auditors.
B. The organizational status of the internal audit function.
C. Whether the agency head will present audit findings to the oversight committee.
D. Under what circumstances the internal audit director may have confidential access to the oversight committee.

Answer
A. Incorrect. Proper planning and coordination between internal and external auditors should provide efficient audit coverage of the entity, but this can change from year to year and is not addressed in a more nearly permanent document such as a charter.
B. Correct. Independence is a key aspect of the internal audit charter.
C. Incorrect. The director of internal audit should share audit results directly with the audit committee.
D. Incorrect. The internal audit director's access to the audit committee should not be restricted.

An internal auditor plans an audit of a city's highway maintenance. The audit objective is to determine if fixed assets employed are properly reflected in the accounting records. Which of the following approaches is most effective?

A. Inspecting fixed assets used in the road maintenance process and tracing to the asset subsidiary ledger.
B. Scanning the asset subsidiary ledger for credit entries.
C. Selecting items from the asset subsidiary ledger and recalculating depreciation.
D. Examining documentation concerning the cost of fixed assets used in the road maintenance process.
Answer
A. Correct. This objective is likely to be effective because it requires sampling from the population of existing assets and tracing to the accounting records.
B. Incorrect. The issue is completeness of financial records (that is, whether existing assets are recorded in the accounting records). The write-down or removal of recorded assets is not relevant.
C. Incorrect. The issue is completeness, not valuation, so this approach would not be relevant.
D. Incorrect. The issue is not valuation, but rather the appropriate inclusion of assets in the records.

Which of the following analysis techniques would be most useful to determine if the time to process disability claims has increased?

A. Run chart.
B. Aging schedule.
C. Histogram.
D. Pareto analysis.

Answer
A. Correct. A run chart displays changes in a particular event over a given period of time.
B. Incorrect. An aging schedule is used to show the distribution of time to complete a given task (for example, collection of receivables) relative to a desired time period. It would not be most useful in determining whether a change has occurred.
C. Incorrect. A histogram is used to show the frequency distribution around an average. This would not particularly determine whether a change has occurred.
D. Incorrect. Pareto analysis involves the ranking of data to focus on the few things (or people) that make the biggest impact on a situation. It cannot be applied to display changes of a particular event over time.

An internal control that may be useful in the detection of integrity violations is:

A. Segregation of incompatible duties.
B. Periodic surprise cash counts.
C. Regularly scheduled site visits.
D. Properly designed forms.

Answer
A. Incorrect. Segregation of incompatible duties is a deterrent to wrongdoing, not a detective control.
B. Correct. Periodic surprise cash counts can act as a deterrent and can actually detect integrity violations.
C. Incorrect. Regularly scheduled site visits will not necessarily detect problems because the individual who is perpetrating a fraud can prepare for the visit.
D. Incorrect. Properly designed forms can act as a deterrent, but they do not constitute a detective control.

Which contract type should be used for acquiring a commodity?

A. Firm-fixed-price.
B. Cost-sharing.
C. Cost-plus-incentive-fee.
D. Cost-plus-award-fee.

Answer
A. Correct. Firm-fixed-price contracts are suitable for acquiring commercial items.
B. Incorrect. Cost-sharing is a cost-reimbursable contract, which is prohibited for acquiring commercial items.
C. Incorrect. Cost-plus-incentive-fee is a cost-reimbursable contract, which is prohibited for acquiring commercial items.
D. Incorrect. Cost-plus-award-fee is a cost-reimbursable contract, which is prohibited for acquiring commercial items.

For further information please visit IIA website.

Segregation of Functions in IT System

2015-02-16T08:22:00.001+07:00

In manual system, one of control principles is segregation of functions/duties. This controls is to mitigate the risk of collusion among functions, control override, and fraudulent actions. This segregation of functions generally entail dividing the responsibility for recording (accounting), approving transactions (authorizing), and handling asset (custody), as well as access control to data.
If the segregation of duties/ functions is not practical and not cost effective, than management must develop alternative control activities (compensating controls). The same principle is also applied in IT System, but with different implementation due to different process. (see below: Compensating Controls for Lack if Segregation of Duties).

Segregation of Functions in IT System

The IT environment tends to consolidate activities. A single application may authorize, process, and record all aspects of a transaction. Thus, the focus of segregation control shifts from the operational level (transaction processing tasks that computers now perform) to higher-level organizational relationships within the computer services function. Segregation of functions in applications is less visible and to be consolidated, meanwhile segregation of functions in IT unit is manageable.
If management fails to develop a segregation of functions, then company will face the risk of:

Hardware/ applications is not compatible with business requirements.

The failure of hardware / applications, which then will cause the business operations to stop.

The deterioration of the integrity of programs and database. Programs and database can be manipulated for fraudulent practices, either by personal or by organizations.

Deteriorating organization’s reputations and loss of clients.

Misappropriation of assets

Misstated financial statements.

Inaccurate financial documentation (i.e. errors of irregularities)

Improper use of funds or modification of data could go undetected.

Unauthorized or erroneous changes or modification of data and programs may not be detected.

The cost of the improper general controls will be huge. So, it is important for management to establish a appropriate segregation of funtions in IT System.

Segregation of Functions	Related Risk
Systems Development / Programmer, from: Computer Operations/ User (and software admin)	With detailed knowledge of the application’s logic and control parameters and access to the computer’s operating system and utilities, an individual could make unauthorized changes to the application during its execution. Such changes may be temporary (“on the fly”) and will disappear without a trace when the application terminates.
Database Administration, from: Other Functions (example: operations, system develop-ment, and maintenance)	DBA function is responsible for a number of critical tasks pertaining to database security, including creating the database schema and user views, assigning database access authority to users, monitoring database usage, and planning for future expansion. Delegating these responsibilities to others who perform incompatible tasks threatens database integrity.
Progammer from: Testing Unit	Manipulation of testing results. Inappropiarte testing documentations.
New Systems Development/ Programmer, from: Maintenance (for in-house system development)	The programming group codes the programs. Under this approach, the programmer who codes the original programs also maintains the system during the maintenance phase of the systems development life cycle. Although a common arrangement, this approach is associated with two types of control problems: inadequate documentation and the potential for program fraud.
Segregation in Networks: Segregate: groups of information services, users, and information systems.	• Unauthorized / inappropriate access to data/ system, • System failure, malware. • Data manipulation/ stolen.
Authorization of transactions, from Data processing	• Manipulation of data before entry. • Data/ material transactions processed by the information system are not valid and not in accordance with management’s objectives.

Access Controls:
1. Users’ direct access capability should be restricted by the operating system and database.
2. Users’ access rights should be approved and documented by management.
3. User master records should be assigned for each user to prevent sharing of IDs and passwords.
4. Passwords should be kept confidential and should be difficult to divulge.
5. Passwords should be changed regularly.
6. Management should regularly review and follow up on any access violations.
7. Access to the SAP system during nonworking hours should be minimized and adequately controlled.

Example of Segregation of Functions in IT Unit

Here is the example of segregation of functions in IT Unit. Keep in mind that the organization structure of IT Unit should be based on the complexity and the identified risks of organization, as well as related rules/ laws.

Segregation of Function IT Unit

Compensating Controls for Lack of Segregation of Duties

In a small business where the IS department may only consist of four to five people, compensating control measures must exist to mitigate the risk resulting from a lack of segregation of duties. Before relying on system generated reports or functions as compensating controls, the IS auditor should carefully evaluate the reports. applications and related processes for appropriate controls, including testing and access controls to make changes to the reports or functions. Compensating controls include:
a. Audit trails.

Audit trails help the IS, user department, and IS auditor, by providing a map to retrace the flow of a transaction. Audit trails able to determine who initiated the transaction, time of day and date of entry, type of entry, what fields of information it contained, and what files it updated.
b. Reconciliation.
In some organizations limited reconciliation of applications may be performed by the data control group with the use of control totals and balance sheets. This type of independent verification increases the level of confidence that the application processed successfully and the data in proper balance.
c. Exception reporting.
Exception reporting should be •handled• at the supervisory level and should require evidence, such as initials on a report, noting that the exception has been hand led properly.
d. Transaction logs.
A transaction log may be manual or automated. An example of a manual log is a record of transactions (grouped or batched) before they are submitted for processing. An automated transaction log or journal provides a record of all transactions processed and is maintained by the computer system.
Example of transaction logs:

Segregation of Function Transaction Log

e. Supervisory reviews.
Supervisory reviews may be performed through observation and inquiry or remotely.
f. Independent reviews.
Independent reviews are carried out to compensate for mistakes or intentional failures. Such reviews will help detect errors or irregularities.

Misconception of Financial Audit Practices - Part 1

2015-02-04T18:12:00.001+07:00

Agak sedikit bergaya, postigan kali ini kita coba sajikan dalam Bahasa Inggris. Itung-2 latihan menulis dalam Bahasa Inggris. Maaf kate kalo ada kate-kate yang seleh ye....

In this posting, we would like to discuss about some misconception in financial audit practices. Our discussion focus on misconception which often found in financial audit engagements or in some articles. Here are some misconception that we have found, especially in Indonesia:

Misconception of Financial Audit Practices - Part 1

1. Risk-Based Audit = Audit Risk Model

Some auditors argue that risk-based audit is similar with audit risk model. This misconception caused those auditors took the same methodology/ approach in conducting any type of audit engagement. Moreover, some auditors can not differentiate between risk assessment approach applied in risk based audit and risk assessment applied in risk management.
Clarification:

In brief, we can distinguish RBA and ARM as follows:

Risk-Based Audit = audit engagement focus on the high risk areas of client’s business process, applied by internal auditor, by considering risk input from management.

Audit Risk Model = procedures to obtain audit evidences, by efficiently and effectively, applied by external auditor in financial audit engagement, by assessing IR, CR, and DR from external auditor’s perspective, and not considering risk input from management.

2. No different between Preliminary Assessment of Control and Test of Control.

When performing financial audit, we often just perform test the implementation of control, but not test of control (test control’s functioning), and without assessing the adequacy of the control design. Some of us thought that test of controls include test of control's design.
Clarification:
We should obtain understanding and perform Preliminary Assessment of Control at plan phase. The result of the understanding and assessment of control design and limited test on control's function is used to determine the level of control risk (CR). While test of control is performed only if auditor want to reduce the determined CR. It test the function/ effectiveness of control. If the auditor decide not to reduce the determined CR, then auditor does not perform ToC and move to next phase, i.e. substantive test of transactions.

3. If the result of preliminary assessment of control concluded that the control is so weak/ poor, then no need to perform test of control (ToC).

Some of us argue that if the result of an assessment of control’s design concludes that the control’s design is so weak, than audit engagement just jumps to substantive tests phase, without performing test of control. This procedures is based on argument that if the control’s design is so weak than it MUST be that there are no control which is functioning.
This misconception is caused by two misperceptions:
a. The main objective of test of control (ToC) in financial audit is the same with other ToC in other audits engagements, i.e.: to assess the control’s functioning/ effectiveness.
Clarification:
In financial audit, auditor determine control risk (ex: CR= 40%, control is strong) in preliminary phase, i.e. after understanding/ assessing client’s control. Then, (even in a strong control system) if auditor does not want to reduce CR, then auditor does not need to perform ToC. But, if auditor want to reduce CR (ex: from control so weak, CR = 100%, need be reduced to CR = 90%, in order to increase DR and TE, means reduce audit cost), then auditor need to perform ToC.
So the main objective of ToC in Financial Audit is to reduce CR, not to assess the control’s functioning/ effectiveness (even though in performing ToC, auditor will test the operating or effectiveness of control).
To provide more understanding about the above process, we provide the financial audit process, as follows:
Diagram 1:

Audit Process Summary by Yulias C Sihombing

Diagram 2:

Dual Purpose Test by Yulias C Sihombing

b. Non existence of control design, then it must be no control’s functions/ operations.
Some auditors and articles argue that if control design is not present or so poor, then there must be no control’s functions or operations. So they argue that auditor does need to perform an assessment of control’s function if there is no present of control design.
Clarification:
According to me, those argument is not appropriate. The control system is very correlated with the complexity, risk, size, and maturity of an organization. The system must be developed by considering its cost and benefit.

For small organizations, we often found that the control design would be simple and often no formal documentation. Tend to be simple to make it efficient. But, they have control functioning.

For mature organizations, we also often found that the control design is simple, but utilizing sophisticated technology. Documentation of control design is less visible. The functioning of the system is relied on the integrity and the quality of management and all of members. That is why they still have control functioning.

So in both cases, even though the control system is simple or poor, we still should perform test of control (test the control’s function) if we want to reduce the determined control risk (CR).

4. Dual purpose test = test of control + substantive test.

Some modules (and some auditors) defines dual purpose test as a test designed to accomplish two audit objectives, i.e. to test of control and to test the existence of misstatement. Further, the module states that if the auditor found a weakness in control, then to be efficient, auditor will perform test of details to detect misstatement caused by the weakness.
There are two misconception regarding to dual purpose test:a. We often do not aware that there are two types of substantive test: (1) test of transactions and (2) test of details of balance, (+) analytical procedures. All of those tests are to detect material misstatement at the assertion level. Some of us perceive that in dual-purpose test we may perform test of transactions and/or test of details of balance.
b. In dual purpose test, the ToC and substantive test is performed in chronological order (in sequence), first perform ToC then perform substantive test.

Clarification:
However, if we explore some references (such as ISA, issued by IAASB), the dual purpose test is a test designed to perform a test of controls, concurrently (not in sequence) with a test of details on the same transaction. Although the purpose of a test of controls is different from the purpose of a test of details, both may be accomplished concurrently by performing a test of controls and a test of details on the same transaction. For example, the auditor may design, and evaluate the results of, a test to examine an invoice to determine whether it has been approved and to provide substantive audit evidence of a transaction. A dual-purpose test is designed and evaluated by considering each purpose of the test separately.
So, the test of controls and test of details is performed:
• Concurrently, not in sequence.
• Substantive test (test of details) is test of transaction, not test of details of balance.
• On the same transaction.

PPh atas WP dengan Peredaran Bruto Rp4,8 M

2015-01-28T16:32:00.002+07:00

Pointer PMK No.107/PMK.011/2013:
Tata Cara Perhitungan, Penyetoran, dan Pelaporan PPh atas Penghasilan dari Usaha yang Diterima atau Diperoleh WP yang Memiliki Peredaran Bruto Tertentu.

PPh WP UKM

Dikenakan terhadap peredaran bruto < Rp4.800.000.000 setahun pajak, dari usaha seluruhnya, termasuk yang berasal dari seluruh cabang, dan merupakan PPh bersifat final.
Peredaran bruto tidak termasuk: penghasilan dari jasa pekerjaan bebas, penghasilan LN, penghasilan telah dikenakan PPh Final berdasarkan peraturan lainnya, dan penghasilan bukan objek pajak.
Bagi WP Orang Pribadi atau WP Badan, kecuali BUT.
Penentuan WP tertentu berdasarkan peradaran bruto tahun sebelumnya (misal: peredaran bruto tahun 2014 < Rp4,8 M) dan penentuan perhitungan PPh Final berdasarkan penghasilan bruto bulan berjalan (misal: peredaran bruto bulan Februari 2015 x 1%).
Penyetoran PPh Final dilakukan ≤ tanggal 15 pada bulan berikutnya, ke Kantor Pos atau Bank yang ditunjuk, menggunakan SSP atau yang dipersamakan, lalu sampaikan SPT Masa ≤ 20 hari setelah berakhir masa pajak.
Atas penghasilan tidak bersifat final, WP tertentu dapat memperoleh fasilitas pembebasan pemotongan/ pemungutan PPh oleh pihak lain, dengan mendapatkan Surat Keterangan Bebas (SKB). Atas penghasilan PPh nonfinal tersebut, WP melakukan perhitungan, penyetoran, dan pelaporan sendiri, berdasarkan ketentuan UU Perpajakan.
Jika dalam satu tahun pajak (misal: 2015), WP tertentu memiliki peredaran bruto kumulatif > Rp4,8 M, maka WP tetap dikenai tarif 1% s.d. akhir tahun pajak ybs. Pada tahun berikutnya (misal: 2016), WP ybs akan dikenai PPh berdasar pasal 17 UU Pajak Penghasilan.
WP tertentu yang menyelenggarakan pembukan dapat melakukan kompensasi kerugian dengan penghasilan yang tidak dikenai PPh yang bersifat final. Kompensasi kerugian dilakukan mulai tahun pajak berikutnya s.d. 5 tahun pajak.
WP tertentu hanya peroleh penghasilan yang dikenai PPh Final, tidak melakukan pembayaran angsuran pajak (PPh 25). Namun, kalo memperoleh penghasilan lainnya yang tidak dikenai PPh Final, tetap melakukan angsuran pajak (PPh 25).
Perhitungan, Penyetoran, dan Pelaporan berlaku mulai bulan PMK diundangkan, yaitu 6 Agustus 2013, sehingga berlaku untuk perhitungan PPh Final untuk peredaran bruto bulan Juli 2013, yang akan dilaporkan pada bulan Agustus 2013.

PPh atas WP dengan Peredaran Bruto Rp4,8 M

Contoh Penghitungan PPh atas Penghasilan dari Usaha yang Diterima atau Diperoleh WP yang Memiliki Peredaran Bruto Tertentu:

1. Agus Hidayat menjalankan usaha bengkel reparasi motor sekaligus menjual suku cadangnya. Agus Hidayat yang telah terdaftar sebagai WP sejak tahun 2009 memiliki 2 (dua) buah bengkel yang berada di wilayah yang berbeda, yakni bengkel A terdaftar di KPP X dan bengkel B terdaftar di KPP Y. Berdasarkan pencatatannya selama tahun 2013 masing-masing bengkel tersebut memiliki peredaran bruto sebagai berikut:

Tempat Usaha	Peredaran bruto tahun 2013	Penghasilan Tahun 2014	Tarif	PPh Final 1%
Bengkel A	Rp100.000.000	Rp10.000.000	1%	Rp100.000
Bengkel B	Rp150.000.000	Rp15.000.000	1%	Rp150.000

Bruto total

Rp250.000.000,00

Rp250.000.000,00 kurang dari Rp4.800.000.000, maka atas penghasilan Pak Agus di tahun 2014, dikenakan PPh Final 1% x peredaran bruto.

Misal: Bulan Januari 2014, Agus Hidayat memperoleh peredaran bruto dari bengkel A = Rp10.00.000,00 dan dari bengkel B = Rp15.000.000,00, maka paling lambat pada tanggal 17 Februari 2014 (karena tanggal 15 Februari jatuh pada hari Sabtu), Agus Hidayat wajib menyetorkan PPh yang bersifat final sebesar:
a. Bengkel A
PPh Final= 1% x Rp10.000.000,00 = Rp100.000,00    (dilaporkan ke KPP X)
b. Bengkel B
PPh Final = 1% x Rp15.000.000,00 = Rp 150.000,00    (dilaporkan ke KPP Y)
Misal:
Bulan Maret 2013 sebuah perusahaan swasta bernama PT Amira Ekspedisi melakukan perawatan dan reparasi 5 motor milik perusahaan tersebut di bengkel A milik Agus Hidayat. Tagihan yang dibuat kepada PT Amira Ekspedisi atas jasa perawatan dan reparasi tersebut adalah sebesar Rp1.500.000,00. Atas tagihan tersebut PT Amira Ekspedisi melakukan pemotongan PPh Pasal 23 sebesar 2% x Rpl.500.000,00 = Rp30.000,00.
Namun demikian, jika Agus Hidayat telah mendapatkan Surat Keterangan Bebas dari pemotongan / pemungutan PPh yang dikeluarkan oleh KPP X, atas pembayaran tagihan tersebut tidak, dilakukan pemotongan PPh Pasal 23 oleh PT Amira Ekspedisi.

2. Irine menjalankan usaha butik pakaian, memiliki butik pakaian di kota Batam dan di Singapura. Irine telah terdaftar sebagai Wajib Pajak sejak tahun 2009 di KPP X. Berdasarkan pencatatannya selama tahun 2013, masing-masing butik memiliki peredaran bruto sebagai berikut:
Peredaran bruto butik di Batam    = Rp3.000.000.000,00
Peredaran bruto butik di Singapura    = Rp5.000.000.000,00
Dari peredaran bruto butik di Batam sebesar Rp3.000.000.000,00 salah satunya merupakan hasil penjualan sebesar Rp50.000.000,00 kepada Mr. X seorang pengusaha dari Singapura. Selain dari penghasilan usaha butik, Irine juga memperoleh penghasilan dari sewa apartemen di Singapura sebesar Rp100.000.000,00.

Peredaran bruto yang dijadikan dasar pengenaan PPh yang bersifat final adalah jumlah peredaran bruto butik di Batam saja= Rp3.000.000.000,00.

Penghasilan yang diterima Trine dari sewa apartemen dan butik di Singapura, tidak diperhitungkan dalam menghitung batasan peredaran bruto untuk dapat dikenai PPh bersifat final.

3. Hari Nugroho yang berstatus kawin dengan 2 (dua) tanggungan adalah orang pribadi pengusaha konstruksi yang juga memiliki toko material "Cakar Beton". Selain usaha tersebut, Hari Nugroho juga aktif memberikan jasa konsultansi kepada klien yang membutuhkan sarannya. Jumlah seluruh penghasilan yang diterima oleh Hari Nugroho pada tahun 2013 diketahui sebagai berikut:

Penjualan bruto dari toko material "Cakar Beton" Rp3.500.000.000,00.

Nilai kontrak jasa pelaksanaan konstruksi (termasuk pemakaian material dari toko "Cakar Beton") Rp900.000.000,00.

Jasa konsultansi sebesar Rp500.000.000,00.

Total peredaran bruto Hari Nugroho pada tahun 2013 = Rp4.900.000.000,00 (Rp3.500.000.000,00 + Rp900.000.000,00 +Rp500.000.000,00).

Untuk menentukan PPh dari usaha toko material "Cakar Beton" di tahun 2014 dikenai tarif umum atau tarif yang bersifat final, adalah berdasarkan peredaran bruto dari usaha toko material "Cakar Beton" saja = Rp3.500.000.000,00.

Peredaran bruto dari jasa pelaksanaan konstruksi dan jasa konsultansi tidak diperhitungkan, karena:

jasa pelaksanaan konstruksi dikenai PPh yang bersifat final dengan ketentuan PP tersendiri, dan
jasa konsultansi termasuk dalam lingkup jasa sehubungan dengan pekerjaan bebas (107/PMK.11/2013, Pasal 2 ayat 2 (b)).

Kewajiban pembayaran PPh Hari Nugroho di tahun 2014 adalah sebagai berikut:

PPh sebessar 1% bersifat final dari peredaran bruto usaha toko material "Cakar Beton", untuk setiap bulannya;

PPh dari usaha jasa konstruksi, yang dikenai PPh bersifat final berdasarkan Peraturan Pemerintah tersendiri; dan

Angsuran PPh Pasal 25 (Januari s.d. Desember), atas penghasilan dari jasa konsultasi. Misal: biaya dari jasa konsultasi di tahun 2013 = Rp169.625.000,00 dan PPh telah dipotong/dipungut pihak lain tahun 2013 = Rp14.750.000,00, maka kewajiban angsuran PPh Pasal 25 di tahun 2014 sebagai berikut:

Penghasilan bruto jasa konsultasi tahun 2013	Rp500.000.000,00
Biaya kegiatan jasa konsultasi tahun 2013	Rp169.625.000,00
PTKP (K/2)	Rp30.375.000,00
Penghasilan Kena Pajak jasa konsultasi	Rp300.000.000,00
PPh terutang jasa konsultasi	Rp38.750.000,00
Pajak yang dipotong/dipungut pihak lain	Rp14.750.000,00
PPh terutang	Rp24.000.000,00
Angsuran PPh Pasal 25 atas jasa konsultasi Rp2.000.000 (1/12 x Rp24.000.000)	--

4. CV Abadi Mebelindo bergerak di bidang usaha industri furnitur terdaftar sebagai WP Badan di KPP C sejak tahun 2011. Berdasarkan pembukuan tahun 2012, CV Abadi Mebelindo memiliki peredaran bruto = Rp390.000.000,00. Dengan demikian, tarif PPh bersifat final yang dikenakan terhadap penghasilan dari usaha yang diterima oleh CV Abadi Mebelindo mulai bulan Juli 2013 (saat belakunya PMK) adalah sebesar 1%.
Pada Juli 2013, CV Abadi Mebelindo peroleh peredaran bruto = Rp20.000.000,00, maka paling lambat pada 15 Agustus 2013, CV Abadi Mebelindo wajib menyetorkan PPh yang bersifat final sebesar:
PPh Final = 1% x Rp20.000.000,00 = Rp200.000,00
Berdasarkan Peraturan Menteri Keuangan yang mengatur mengenai penentuan tanggal jatuh tempo penyetoran, dan pelaporan pajak:

dalam hal CV Abadi Mebelindo menyetorkan PPh bersifat final sebesar Rp200.000,00 pada tanggal 15 Agustus 2013 dan Surat Setoran Pajaknya telah mendapat validasi dengan Nomor Transaksi Penerimaan Negara, maka CV Abadi Mebelindo menyetor sebelurn tanggal jatuh tempo pembayaran dan telah menyampaikan Surat Pemberitahuan Masa Pajak Penghasilan tanggal 15 Agustus 2013.

dalam hal CV Abadi Mebelindo menyetorkan PPh bersifat final sebesar Rp200.000,00 pada tanggal 22 Agustus 2013 dan Surat Setoran Pajaknya telah mendapat validasi dengan Nomor Transaksi Penerimaan Negara, maka CV Abadi Mebelindo menyetor setelah tanggal jatuh tempo penyetoran (terlambat melakukan penyetoran) dan menyampaikan Surat Pemberitahuan Masa Pajak Penghasilan tanggal 22 Agustus 2013.

Penyetoran tanggal 22 Agustus yang dilakukan oleh CV Abadi Mebelindo yang sekaligus merupakan tanggal pelaporan Surat Pemberitahuan Masa Pajak Penghasilan tidak termasuk sebagai Surat Pemberitahuan Masa yang terlambat disampaikan karena kewajiban pelaporan Surat Pemberitahuan Masa Pajak Penghasilan diberlakukan mulai masa pajak Januari 2014 sebagaimana dimaksud dalam Pasal 16 ayat (2).

Pada bulan November 2013 SD Negeri 03 Jakarta membeli kursi dan meja dari CV Abadi Mebelindo sebesar Rp10.000.000,00. Atas pembelian tersebut Bendahara SD Negeri 03 Jakarta melakukan pemungutan PPh Pasal 22 sebesar 1,5% x Rp10.000.000,00 = Rp150.000,00. Namun demikian, jika CV Abadi Mebelindo telah mendapatkan Surat Keterangan Bebas dari pemotongan dan/atau pemungutan PPh dari KPP C, atas pembelian tersebut Bendahara SD Negeri 03 Jakarta tidak melakukan pemungutan PPh Pasal 22.

5. PT Andalan yang bergerak di bidang usaha industri pengolahan gula didirikan pada tahun 2012 dan pada tahun yang sama mendaftarkan diri sebagai Wajib Pajak badan di KPP Z. PT Andalan menggunakan tahun buku Januari-Desember. Sampai dengan bulan Oktober 2013 PT Andalan masih terus melakukan kegiatan investasi dalam bentuk pembangunan pabrik dan instalasi mesin-mesin industri dan belum melakukan kegiatan operasi secara komersial.

Pada tanggal 1 November 2013, PT Andalan mulai melakukan kegiatan operasi secara komersial berupa produksi gula dalam kemasan. Sesuai ketentuan Pasal 7 PMK, maka untuk Tahun Pajak 2013, PT Andalan dikenai PPh berdasarkan tarif umum UU Pajak Penghasilan.

Mengingat bahwa 1 tahun sejak beroperasi secara komersial melewati Tahun Pajak yang bersangkutan, maka sesuai ketentuan Pasal 7 ayat 1 (2) PMK, s.d. akhir Tahun Pajak 2014, WP masih dikenai PPh berdasarkan tarif umum UU Pajak Penghasilan.

Dalam hal peredaran bruto usaha PT Andalan s.d. tanggal 31 Oktober 2014 (satu tahun sejak mulai beroperasi komersial) > Rp4.800.000.000,00, maka mulai Tahun Pajak 2015 PT Anzdalan dikenai PPh berdasarkan tarif umum UU Pajak Penghasilan.

Dalam hal peredaran bruto usaha PT Andalan s.d. tanggal 31 Oktober 2014 < Rp4.800.000.000,00, maka pengenaan PPh untuk Tahun Pajak 2015 memperhatikan peredaran bruto Januari s.d. Desember 2014.

6. Heri Kurnia merupakan Wajib Pajak orang pribadi yang melakukan usaha perdagangan mobil bekas yang memiliki 1 (satu) tempat kegiatan usaha sehingga Heri Kurnia termasuk Wajib Pajak orang pribadi pengusaha tertentu. Peredaran bruto usaha Tahun Pajak 2013 adalah sebesar Rp4.000.000.000,00 (empat miliar rupiah) sehingga pada Tahun Pajak 2014 Heri Kurnia dikenai PPh yang bersifat final.

Berdasarkan pembukuan yang dilakukan diketahui bahwa peredaran bruto usaha sampai dengan akhir Tahun Pajak 2014 berjumlah Rp5.000.000.000,00 (lima miliar rupiah). Dengan demikian pada Tahun Pajak 2015 Heri Kurnia dikenai PPh berdasarkan tarif umum Undang-Undang Pajak Penghasilan, clan Heri Kurnia wajib menyetorkan angsuran Pajak Penghasilan Pasal 25, sesuai ketentuan angsuran bagi orang pribadi pengusaha tertentu.

Pada bulan Januari 2015 peredaran bruto dari usaha Heri Kurnia adalah sebesar Rp400.000.000,00. Dengan demikian, penghitungan angsuran PPh Pasal 25 untuk bulan Januari 2015 adalah sebagai berikut:

PPh Pasal 25 = 0,75% x Rp400.000.000,00 = Rp3.000.000,00.
Angsuran PPh Pasal 25 untuk bulan selanjutnya s.d. bulan Desember 2015 = 0,75% X peredaran bruto pada bulan yang bersangkutan.

7. Pada Tahun Pajak 2014, WP PT Pandiro Anugerah dikenai PPh yang bersifat final berdasarkan PMK ini. Berdasarkan pembukuan yang dilakukan, diketahui bahwa peredaran bruto usaha s.d. akhir Tahun Pajak 2014 =Rp5.000.000.000,00. Dengan demikian pada Tahun Pajak 2015, PT Pandiro Anugerah dikenai PPh berdasarkan tarif umum UU Pajak Penghasilan.

Pada bulan Januari 2015 seluruh peredaran bruto PT Pandiro Anugerah = Rp200.000.000,00, dan PPh yang. dipotong/ dipungut pihak lain (bukan PPh final) = Rp51.000.000,00. Penghitungan angsuran PPh Pasal 25 untuk Tahun Pajak 2015, sebagai berikut:

+ Penghasilan bruto sebulan	Rp200.000.000,00
- Biaya-biaya	Rp150.000.000,00
Penghasilan neto sebulan	Rp50.000.000,00
Penghasilan neto sebulan disetahunkan	Rp600.000.000,00
PPh terutang (12,5% x Rp600.000.000,00) (Pasal 31E UU PPh untuk peredaran WP Badan kurang dari Rp50 M)	Rp75.000.000,00
Pajak yang dipotong/dipungut pihak lain	Rp51.000.000,00
PPh kurang bayar	Rp24.000.000,00
Angsuran PPh Pasal 25 (1/ 12 x Rp24.000.000,00)	Rp2.000.000,00

Angsuran PPh Pasal 25 untuk bulan selanjutnya s.d. bulan Desember 2015 adalah Rp2.000.000,00.

8. CV Karya Serasi bergerak di bidang usaha penjualan alat tulis. Berdasarkan pembukuan yang dilakukan diketahui hal-hal sebagai berikut:

Tahun	Peredaran Bruto	Laba Rugi Fiskal	Perhitungan PPh
2012	Rp4.000.000.000	(Rp300.000.000)	Rugi dikompesansi 2013 s.d. 2017
2013	Rp5.000.000.000	(Rp200.000.000)*	PPh Final 1% x Rp5 M
2014	Rp8.000.000.000	Rp500.000.000	Tarif Pasal 17, UU PPh, PKP = Rp500juta-Rp200juta = Rp300juta

*) rugi Juli-Desember 2013

Berdasarkan data tersebut, maka:

CV Karya Serasi dapat melakukan kompensasi kerugian tahun 2012 sebesar Rp300.000.000,00 mulai tahun 2013 s.d. tahun 2017.

Pada tahun 2013 CV Karya Serasi dikenai PPh yang bersifat final sebesar 1%, sehingga kerugian pada tahun tersebut yakni sebesar Rp200.000.000,00 tidak dapat dikompensasikan pada Tahun Pajak berikutnya.

Pada tahun 2014, CV Karya Serasi tidak lagi dikenai PPh yang bersifat final sebesar 1% tetapi dikenai PPh sesuai tarif umum UU Pajak Penghasilan. Penghasilan Kena Pajak 2014 = Rp200.000.000,00, yaitu laba fiskal tahun 2014 = Rp500.000.000,00 dikurangi kompensasi kerugian tahun 2012 sebesar Rp300.000.000,00.

CIA CPA Exam: Financial Accounting - Error Correction, Accounting Change

2015-01-08T09:02:00.005+07:00

Melanjuti latihan kita sebelumnya, untuk postingan ini, kita coba latihan CIA CPA Exam untuk materi Financial Accounting and Reporting.
Kali ini kita fokus untuk latihan materi Error Correction and Accounting Change.Sama dengan postingan sebelumnya, dengan pertimbangan untuk meringankan loading blog ini, maka pembahasan jawaban akan kami sediakan dalam bentuk soft copy terpisah.

Bagi kawan-kawan yang tertarik untuk mempelajari pembahasan jawaban exam, silakan tulis alamat email di kolom comment, nanti kami akan kirim file pembahasan tersebut ke alamat email tersebut, free of charge.
Silakan mencoba......

CIA CPA Exam: Financial Accounting - Error Correction, Accounting Change

Accounting Error

1. Bren Co.’s beginning inventory at January 1, year 1, was understated by $26,000, and its ending inventory was overstated by $52,000. As a result, Bren’s cost of goods sold for year 1 was
A. Understated by $26,000.
B. Overstated by $26,000.
C. Understated by $78,000.
D. Overstated by $78,000.
Jawaban: C
Pembahasan:

A	Incorrect, understated $26,000, hanya memperhitungkan understated beginning inventory, belum memperhitungkan overstated ending inventory $54,000.
B	Incorrect, understated beginning inventory $26,000 mengakibatkan COGS understated, bukan overstated.
C	Correct, soal menanyakan pengaruh dari salah catat inventory terhadap cost of goods sold (COGS) pada tahun I. Pengaruh kesalahan tersebut pada COGS tahun I, sbb: + Beginning Inventory - $26,000 , maka COGS understated $26,000 + Purchase (-) (Ending Inventory + $52,000) , maka COGS understated $52,000. COGS - $78,000 , total COGS understated = $78,000.
D	Incorrect, understated beginning inventory $26,000 dan overstated ending inventory $54,000 mengakibatkan COGS understated $78,000, bukan overstated.

2. At the end of year 1, Ritzcar Co. failed to accrue sales commissions earned during year 1 but paid in year 2. The error was not repeated in year 2. What was the effect of this error on year 1 ending working capital and on the year 2 ending retained earnings balance?

	Year 1 ending working capital	Year 2 ending retained earnings
A	Overstated	Overstated
B	No effect	Overstated
C	No effect	No effect
D	Overstated	No effect

Jawaban: D

3. Justin Corporation discovered an error in their year 1 financial statements after the statements were issued. This requires that
A. The cumulative effect of the error is reported on the year 2 income statement as a cumulative effect of change in accounting principle.
B. The cumulative effect of the error is reported in the year 2 beginning balance of each related account.
C. The financial statements are restated to reflect the correction of period-specific effects of the error.
D. An adjustment to beginning retained earnings in year 2 with a footnote disclosure describing the error.
Jawaban: C.

4. Jackson Company uses IFRS to report its financial results. During the current year, the company discovered it had overstated sales in the prior year. How should the company handle this issue?
A. Adjust sales for the current period.
B. Spread the adjustment over the current and future periods.
C. Present the cumulative effect of the overstatement as an item in the current period income statement.
D. Restate the prior year financial statements presented for comparative purposes.
Jawaban: D

5. On January 2, year 3, to better reflect the variable use of its only machine, Holly, Inc. elected to change its method of depreciation from the straight-line method to the units of production method. The original cost of the machine on January 2, year 1, was $50,000, and its estimated life was ten years. Holly estimates that the machine’s total life is 50,000 machine hours.
Machine hours usage was 8,500 during year 1 and 3,500 during year 2.
Holly’s income tax rate is 30%. Holly should report the accounting change in its year 3 financial statements as a(n)
A. Cumulative effect of a change in accounting principle of $2,000 in its income statement.
B. Entry for current year depreciation expense on the income statement and treated on a prospective basis.
C. Cumulative effect of a change in accounting principle of $1,400 in its income statement.
D. Adjustment to beginning retained earnings of $1,400.
Jawaban: B

6. On January 1, year 3, Poe Construction, Inc. changed to the percentage-of-completion method of income recognition for financial statement reporting but not for income tax reporting. Poe can justify this change in accounting principle. As of December 31, year 2, Poe compiled data showing that income under the completed-contract method aggregated $700,000. If the percentage-of-completion method had been used, the accumulated income through December 31, year 2, would have been $880,000. Assuming an income tax rate of 40% for all years, the cumulative effect of this accounting change should be reported by Poe as
A. An increase in construction-in-progress for $180,000 in the year 2 balance sheet.
B. A decrease in the beginning balance of retained earnings for $108,000 in year 3.
C. A cumulative effect adjustment of $108,000 on the year 3 income statement.
D. An increase in ending retained earnings of $180,000 in year 2.
Jawaban: A

7. Which of the following is considered a direct effect of a change in accounting principle?
A. Deferred taxes.
B. Profit sharing.
C. Royalty payments.
D. None of the above.
Jawaban: A.

8. On January 1, year 1, Flax Co. purchased a machine for $528,000 and depreciated it by the straight-line method using an estimated useful life of eight years with no salvage value. On January 1, year 4, Flax determined that the machine had a useful life of six years from the date of acquisition and will have a salvage value of $48,000. An accounting change was made in year 4 to reflect these additional data. The accumulated depreciation for this machine should have a balance at December 31, year 4, of
A. $292,000 .
B. $308,000 .
C. $320,000.
D. $352,000.
Jawaban: A.

9. A company has included in its consolidated financial statements this year a subsidiary acquired several years ago that was appropriately excluded from consolidation last year. This should be reported as
A. An accounting change that should be reported prospectively.
B. An accounting change that should be reported retrospectively.
C. A correction of an error.
D. Neither an accounting change nor a correction of an error.
Jawaban: B

10. IFRS requires changes in accounting principles to be reported
A. On a prospective basis.
B. On a retrospective basis.
C. By restating the financial statements.
D. By a cumulative adjustment on the income statement.
Jawaban: B

11. Under IFRS, changes in accounting policies are
A. Permitted if the change will result in a more reliable and more relevant presentation of the financial statements.
B. Permitted if the entity encounters new transactions, events, or conditions that are substantively different from existing or previous transactions.
C. Required for material transactions, if the entity had previously accounted for similar, though immaterial, transactions under an unacceptable accounting method.
D. Required if an alternate accounting policy gives rise to a material change in assets, liabilities, or the current year net income.
Jawaban: A.

12. Under IFRS, a voluntary change in accounting method may only be made by a company if
A. A new standard mandates the change in method.
B. Management prefers the new method.
C. The new method provides reliable and more relevant information.
D. There is no prohibition of the method in the standards.
Jawaban: C

13. Manakah dari peristiwa setelah tanggal neraca di bawah ini yang memerlukan penyesuaian?
A. Pendeklarasian dividen di antara tanggal neraca dan tanggal penyelesaian laporan keuangan
B. Penurunan nilai pasar suatu investasi di antara tanggal neraca dan tanggal penyelesaian laporan keuangan.
C. Kebangkrutan pelanggan setelah tanggal neraca sebelum tanggal selesai laporan keuangan.
D. Kerusakan fasilitas produksi utama akibat kebakaran setelah tanggal neraca.
Jawaban: C

14. Manakah dari kondisi berikut yang harus diperlakukan sebagai perubahan kebijakan akuntansi?
A. Memperpanjang masa manfaat aset tetap.
B. Perusahaan yang untuk pertama kalinya terlibat dalam kontrak konstruksi memerlukan kebijakan akuntansi untuk mencatat transaksi tersebut.
C. Untuk memberikan informasi yang lebih relevan, aset tetap sekarang dinilai menggunakan nilai wajar, sedangkan sebelumnya menggunakan biaya historis
D. Kebijakan akuntansi baru untuk mengkapitalisasi biaya pengembangan dari suatu proyek yang memenuhi syarat untuk kapitalisasi untuk pertama kalinya
Jawaban: C

15. Sebagai akibat dari ketidakpastian aktivitas usaha, banyak unsur laporan keuangan yang tidak dapat diukur dengan tepat tetapi hanya dapat diestimasi. Pernyataan yang tepat mengenai pelaporan dampak perubahan estimasi akuntansi:
A. Perubahan estimasi akuntansi dilaporkan pada periode terjadinya tanpa mempertimbangkan dampaknya terhadap periode-periode mendatang
B. Perubahan estimasi akuntansi dilaporkan dengan menyajikan informasi pro-forma.
C. Perubahan estimasi akuntansi dilaporkan dengan menyajikan kembali laporan keuangan komparatif
D. Perubahan estimasi akuntansi dilaporkan pada periode terjadinya dan periode-periode yang akan datang jika perubahan tersebut mempengaruhi keduanya
Jawaban: D

16. PT. Sinar menemukan kesalahan dalam laporan keuangan mereka tahun 2009 setelah laporan keuangan diterbitkan. Kondisi ini memerlukan bahwa,
A. Efek kumulatif dari kesalahan dilaporkan pada laporan laba rugi tahun 2009 sebagai efek kumulatif dari perubahan dalam prinsip akuntansi.
B. Efek kumulatif dari kesalahan dilaporkan dalam saldo awal tahun 2009 dari setiap akun yang terkait.
C. Laporan keuangan dinyatakan kembali untuk mencerminkan koreksi dari pengaruh kesalahan dari periode tertentu.
D. Penyesuaian terhadap saldo laba awal dalam tahun 2009 dengan catatan kaki yang mengungkapkan kesalahan yang terjadi
Jawaban: C

17. PT. Bona melaporkan saldo laba sebesar Rp400.000.000 pada tanggal 31 Desember 2009. Dalam bulan Agustus 2010, Bona memutuskan bahwa premi asuransi sebesar Rp60.000.000 untuk periode tiga tahun, dan dimulai pada tahun 2009. Premi tersebut telah dibayarkan, dan diakui seluruhnya sebagai beban dalam tahun 2009. Diasumsikan Bona memiliki tarif pajak penghasilan 30%. Berapa jumlah yang harus dilaporkan Bona sebagai saldo laba awal yang telah disesuaikan dalam laporan perubahan ekuitas tahun 2010?
A. Rp 420.000.000
B. Rp 428.000.000
C. Rp 440.000.000
D. Rp 442.000.000
Jawaban: B

Independensi Akuntan di Pasar Modal

2014-12-17T14:35:00.001+07:00

Keputusan Ketua Badan Pengawas Pasar Modal dan Lembaga Keuangan Nomor: KEP- 86/BL/2011 tentang Indenpendensi Akuntan yang Memberikan Jasa di Pasar Modal

LAMPIRAN:

Akuntan di Pasar Modal

1. Dalam Peraturan ini yang dimaksud dengan:

Periode Audit adalah periode yang mencakup periode laporan keuangan yang menjadi objek audit, review, atau atestasi lainnya.
Periode Penugasan Profesional adalah periode penugasan untuk melakukan pekerjaan atestasi termasuk menyiapkan laporan kepada Bapepam dan LK.
Anggota Keluarga Dekat adalah istri atau suami, orang tua, anak baik di dalam maupun di luar tanggungan, dan saudara kandung.
Fee Kontinjen adalah fee yang ditetapkan untuk pelaksanaan suatu jasa profesional yang hanya akan dibebankan apabila ada temuan atau hasil tertentu dimana jumlah fee tergantung pada temuan atau hasil tertentu tersebut.
Orang Dalam Kantor Akuntan Publik adalah:
1) orang yang termasuk dalam penugasan audit, review, atestasi lainnya, dan/atau non atestasi yaitu:
a) rekan;
b) pimpinan;
c) karyawan profesional; dan/atau
d) penelaah,yang terlibat dalam penugasan.
2) orang yang termasuk dalam rantai pelaksana/perintah yaitu pimpinan Kantor Akuntan Publik dan semua orang yang:
a) mengawasi atau mempunyai tanggung jawab manajemen secara langsung terhadap audit;
b) mengevaluasi kinerja atau merekomendasikan kompensasi bagi rekan dalam penugasan audit; atau
c) menyediakan pengendalian mutu atau pengawasan lain atas audit.
3) setiap rekan lainnya, pimpinan, atau karyawan profesional lainnya dari Kantor Akuntan Publik dan afiliasi dari Kantor Akuntan Publik yang telah memberikan jasa-jasa audit, review, atestasi lainnya, dan/atau non atestasi kepada klien.
Karyawan Kunci adalah orang perseorangan yang mempunyai wewenang dan tanggung jawab untuk merencanakan, memimpin, dan mengendalikan kegiatan perusahaan pelapor yang meliputi anggota Dewan Komisaris, anggota Direksi, dan manajer dari perusahaan.

2. Jangka waktu Periode Penugasan Profesional

Periode Penugasan Profesional dimulai sejak dimulainya pekerjaan lapangan atau penandatanganan penugasan, mana yang lebih dahulu.
Periode Penugasan Profesional berakhir pada saat tanggal laporan Akuntan atau pemberitahuan secara tertulis oleh Akuntan atau klien kepada Bapepam dan LK bahwa penugasan telah selesai, mana yang lebih dahulu.

3. Dalam memberikan jasa profesional, khususnya dalam memberikan opini, Akuntan wajib mempertahankan sikap independen.

Akuntan tidak independen apabila selama Periode Audit dan selama Periode Penugasan Profesionalnya, baik Akuntan, Kantor Akuntan Publik, maupun Orang Dalam Kantor Akuntan Publik:

mempunyai kepentingan keuangan langsung atau tidak langsung yang material pada klien, seperti:
1) investasi pada klien; atau
2) kepentingan keuangan lain pada klien yang dapat menimbulkan benturan kepentingan.
mempunyai hubungan pekerjaan dengan klien, seperti:
1) merangkap sebagai Karyawan Kunci pada klien;
2) memiliki Anggota Keluarga Dekat yang bekerja pada klien sebagai Karyawan Kunci dalam bidang akuntansi atau keuangan;
3) mempunyai mantan rekan atau karyawan profesional dari Kantor Akuntan Publik yang bekerja pada klien sebagai Karyawan Kunci dalam bidang akuntansi atau keuangan, kecuali setelah lebih dari satu tahun tidak bekerja lagi pada Kantor Akuntan Publik yang bersangkutan; atau
4) mempunyai rekan atau karyawan profesional dari Kantor Akuntan Publik yang sebelumnya pernah bekerja pada klien sebagai Karyawan Kunci dalam bidang akuntansi atau keuangan, kecuali yang bersangkutan tidak ikut melaksanakan audit terhadap klien tersebut dalam Periode Audit.
mempunyai hubungan usaha secara langsung atau tidak langsung yang material dengan klien, atau dengan Karyawan Kunci yang bekerja pada klien, atau dengan pemegang saham utama klien. Hubungan usaha dalam butir ini tidak termasuk hubungan usaha dalam hal Akuntan, Kantor Akuntan Publik, atau Orang Dalam Kantor Akuntan Publik memberikan jasa audit, review, atestasi lainnya, dan/atau non atestasi kepada klien, atau merupakan konsumen dari produk barang atau jasa klien dalam rangka menunjang kegiatan rutin.
memberikan jasa non atestasi kepada klien seperti:
1) pembukuan atau jasa lain yang berhubungan dengan catatan akuntansi klien atau laporan keuangan;
2) desain sistem informasi keuangan dan implementasi;
3) audit internal;
4) konsultasi manajemen;
5) konsultasi sumber daya manusia;
6) penasihat keuangan;
7) jasa perpajakan, kecuali telah memperoleh persetujuan terlebih dahulu dari Komite Audit.
Persetujuan Komite Audit tersebut tidak termasuk jasa perpajakan untuk mewakili klien di dalam maupun di luar pengadilan perpajakan dan/atau bertindak untuk dan atas nama klien dalam perhitungan dan pelaporan perpajakan; atau
8) jasa-jasa lain yang dapat menimbulkan benturan kepentingan.
memberikan jasa atau produk kepada klien dengan dasar Fee Kontinjen atau komisi, atau menerima Fee Kontinjen atau komisi dari klien, kecuali Fee Kontinjen ditetapkan oleh pengadilan sebagai hasil penyelesaian hukum, temuan badan pengatur dan/atau perpajakan.
memiliki sengketa hukum dengan klien.

4. Persetujuan atas jasa non atestasi sebagaimana yang dimaksud dalam angka 3 huruf d butir 7) wajib diungkapkan pada laporan berkala kegiatan Akuntan sebagaimana diatur dalam Peraturan Nomor X.J.2.

5. Sistem Pengendalian Mutu

Kantor Akuntan Publik wajib mempunyai sistem pengendalian mutu dengan tingkat keyakinan yang memadai bahwa Kantor Akuntan Publik atau karyawannya dapat menjaga sikap independen dengan mempertimbangkan ukuran dan sifat praktik dari Kantor Akuntan Publik tersebut.

6. Pembatasan Penugasan Audit

Pemberian jasa audit umum atas laporan keuangan klien hanya dapat dilakukan oleh Kantor Akuntan Publik paling lama untuk 6 (enam) tahun buku berturut-turut dan oleh seorang Akuntan paling lama untuk 3 (tiga) tahun buku berturut-turut.
Kantor Akuntan Publik dan Akuntan dapat menerima penugasan audit kembali untuk klien tersebut setelah satu tahun buku tidak mengaudit klien tersebut.
Ketentuan sebagaimana dimaksud dalam huruf a dan huruf b tidak berlaku bagi laporan keuangan interim yang diaudit untuk kepentingan Penawaran Umum.
Kantor Akuntan Publik yang memberikan jasa di Pasar Modal yang melakukan perubahan komposisi Akuntan sehingga jumlah Akuntannya 50% (lima puluh perseratus) atau lebih berasal dari Kantor Akuntan Publik yang telah memberikan jasa di Pasar Modal, diberlakukan sebagai kelanjutan Kantor Akuntan Publik asal Akuntan yang bersangkutan dan tetap diberlakukan pembatasan penyelenggaraan audit atas laporan keuangan sebagaimana dimaksud dalam huruf a.

7. Dalam penerimaan penugasan profesional, Akuntan wajib mempertimbangkan secara profesional dan memiliki independensi yang dapat dipertanggungjawabkan sebagaimana diatur dalam Standar Profesional Akuntan Publik (SPAP).

8. Dengan tidak mengurangi berlakunya ketentuan pidana di bidang Pasar Modal, Bapepam dan LK dapat mengenakan sanksi terhadap setiap pelanggaran ketentuan Peraturan ini, termasuk kepada Pihak yang menyebabkan terjadinya pelanggaran tersebut.

Ditetapkan di: Jakarta
pada tanggal: 28 Februari 2011

Ringkasan Title 4 SOX 2002

2014-12-16T10:44:00.000+07:00

Title 1 – Public Company Accounting Oversight Board

Pembentukan Public Company Accounting Oversight Board (PCAOB), untuk mengawasi aktifitas audit terhadap perusahaan publik yang tunduk pada peraturan pasar modal, dan peraturan terkait lainnya.

Title 2 – Independensi Auditor

Melarang kantor akuntan publik untuk yang melakukan segala jenis audit, yang diminta oleh ketentuan/peraturan, untuk memberikan jasa non audit service ke klien tersebut.

Title 3 – Tanggung Jawab Perusahaan

Mengatur antara lain tentang audit committees, tanggung jawab perusahaan terhadap laporan keuangan, pinalti buat manajer dan direktur, dan insider trading.

Ringkasan Title 4 SOX 2002

Title 4 SOX 2002

Title 4 – Enhanced Financial Disclosures

Section 401: Disclosures in Periodic Reports

Mewajibkan bahwa Laporan Keuangan GAAP yang diserahkan ke SEC, telah mengungkapkan seluruh penyesuaian material yang dibuat, dan mengungkapkan seluruh transaksi material off-balance-sheet.

Section 402: Enhanced Conflict of Interest Provisions

Melarang segala bentuk pinjaman pribadi, secara langsung maupun tidak langsung, kepada eksekutif atau ekuivalennya.

Section 403: Disclosures of Transactions Involving Management and Principal Stockholders

Mewajibkan direktur, manajer, dan pemilik (yang secara langsung maupun tidak langsung menguasai > 10% sekuritas ekuitas (selain dari ekuitas yang dikecualikan), untuk melaporkan transaksi-transaksi sekuritas tersebut, dalam waktu 2 hari kerja.

Section 404: Management Assessment of Internal Controls

Mewajibkan adanya hasil penilaian manajemen terhadap internal control over financial reporting, yang diterbitkan bersamaan dengan laporan auditor independen.
Dalam amandemen final implementasi Section 404, SEC telah mengadopsi amandemen Section 302 pernyataan manajemen atas laporan periodik yang diwajibkan SEC, sebagai berikut:

Sebagai tambahan terhadap pengungkapan pengendalian, manajemen yang memberi pernyataan, harus menyatakan bahwa mereka bertanggung jawab terhadap desain dan pelaksanaan internal control over financial reporting, untuk memberikan jaminan yang memadai atas reliabilitas laporan tahunan dan penyusunan laporan keuangan sesuai dengan GAAP.
Manajemen yang memberi pernyataan, harus mengungkapkan setiap perubahan signifikan dalam internal control over financial reporting, selama kuartal terakhir, yang secara material mempengaruhi atau secara logis akan mempengaruhi signifikan terhadap internal control over financial reporting.

Contoh:
a. Auditor’s Report on Management’s Assessment of ICoFR

Internal Control Evaluation and Reporting — Terkait dengan penilaian manajemen atas ICOFC, setiap kantor akuntan publik yang menyiapkan atau menerbitkan laporan audit bagi issuer, harus menguji dan melaporkan hasilnya atas penilaian yang dilaksanakan oleh manajemen issuer. Atestasi harus dilakukan sesuai dengan standards penugasan atestasi.
Setiap penugasan atestasi tersebut merupakan bagian yang tidak terpisahkan dari penugasan audit-nya. Seksi 404 sangat terkait dengan Section 302. Corporate Responsibility For Financial Reports.

Section 405: Exemption

Mengecualikan perusahaan investasi terdaftar dari ketentuan Sections 401, 402, and 404.

Section 406: Code of Ethics for Senior Financial Officers

Mewajibkan perusahaan untuk mengungkapkan apakah mereka memiliki kode etik bagi Senior Financial Officers, Comptroller atau Principal Accounting Officer, dan juga setiap perubahan kode etik tersebut.

Section 407: Disclosure of Audit Committee Financial Expert

Mewajibkan issuers untuk mengungkapkan salah satu anggota komite audit memiliki kapasitas “financial expert” (orang yang memiliki, melalui pendidikan dan pengalaman sebagai akuntan publik atau auditor, atau pernah sebagai principal financial officer, comptroller, atau principal accounting officer dar issuer).

Section 408: Enhanced Review of Periodic Disclosures by Issuers

Memberi wewenang kepada SEC untuk review setiap Forms 10-K perusahaan publik, minimal sekali dalam setiap 3 tahun.

Section 409: Real Time Issuer Disclosures

Mewajibkan issuers untuk mengungkapkan informasi mengenai perubahan material dalam kondisi keuangan atau operasional dari issuer, dengan secara cepat dan terkini.

Title 5 – Analyst Conflicts of Interest

Title 5 mewajibkan SEC dan asosiasi sekuritas untuk mengadopsi aturan conflict-of-interest dalam melakukan analisis, yang merekomendasikan ekutias dalam laporan research.

Title 6 – Commission Resources and Authority

Title 6 memperbesar alokasi anggaran bagi SEC untuk tahun 2003 dan memperbesar kewenangan SEC terhadap aturan praktek profesional.

Title 7 – Studies and Reports

Title 7 meminta Government Accountability Office (GAO) untuk melakukan kajian/ study terhadap konsolidasi kantor-kantor akuntan publik, sejak tahun 1989, dan dampak dari konsolidasi tersebut.

Title 8 – Corporate and Criminal Fraud Accountability

Title 8 melarang bagi perusahaan untuk melakukan serangan kepada whistleblowers dan memperluas aturan batasan bagi litigasi / tuntutan kepada sekuritas swasta yang diduga melakukan fraud.

Title 9 – White-Collar Crime Penalty Enhancements

Title 9 meningkatkan berbagai pinalti bagi kejahatan white-collar, termasuk mail, wire, dan securities fraud.
Section 906 mewajibkan adanya sertifikasi manajemen bahwa laporan keuangan yang terdaftar di SEC, telah disajikan secara wajar dan patuh secara penuh dengan ketentuan Securities Exchange Act tahun 1934. Sebagai tambahan, Section 906 mengenakan hukuman kriminal bagi manajemen yang memberikan sertifikasi pernyataan yang tidak benar.

Title 10 – Corporate Tax Returns

Title 10 mengekspresikan sikap U.S. Senate bahwa corporate tax returns seharusnya ditandatangani oleh chief executive officer (CEO).

Title 11 – Corporate Fraud and Accountability

Title 11 mengenakan hukuman kriminal untuk tindakan merubah atau menghancurkan dokumen atau aktifitas yang mempengaruhi tindakan hukum.

SPT PPh WP Orang Pribadi

2014-12-15T15:57:00.001+07:00

Hal-Hal Yang Perlu Anda Ketahui Terkait SPT Tahunan Pajak Penghasilan Wajib Pajak Orang Pribadi (WPOP)

Mengingat sekarang sudah bulan Desember 2014, maka kita sebagai WP kudu siap-siap nih buat bikin SPT. Sebagai WPOP maka aturan yang berlaku buat kita ada ketentuan mengenai perpajakan WPOP. Petunjuk lebih lanjut mengenai cara pengisian SPT Tahunan PPh bagi WP Orang Pribadi dan WP Badan dapat dilihat di Peraturan Dirjen Pajak Nomor PER-19/PJ/2014.

SPT PPh WP Orang Pribadi

Apakah pajak itu?

Pajak adalah kontribusi wajib kepada negara yang terutang oleh orang pribadi (OP) atau badan yang bersifat memaksa berdasarkan Undang-Undang, dengan tidak mendapatkan imbalan secara langsung dan digunakan untuk keperluan negara bagi sebesar-besarnya kemakmuran rakyat. Dalam kaitannya dengan perpajakan, Wajib Pajak (WP) memiliki 2 kewajiban perpajakan yang utama, yaitu menyetor dan melaporkan pajak yang terutang. Sebagai sarana pelaporan pajak yang terutang, Wajib Pajak menggunakan Surat Pemberitahuan (SPT). SPT terbagi menjadi 2 macam, yaitu SPT Masa dan SPT Tahunan.

Lalu, apakah yang dimaksud dengan SPT Tahunan?

SPT Tahunan adalah surat yang oleh Wajib Pajak digunakan untuk melaporkan penghitungan dan/atau pembayaran Pajak Penghasilan (PPh), objek PPh dan/atau bukan objek PPh, dan/ atau harta dan kewajiban sesuai dengan ketentuan peraturan perundang-undangan perpajakan untuk suatu Tahun Pajak atau Bagian Tahun Pajak.

Apakah Tahun Pajak itu?

Tahun Pajak adalah jangka waktu 1 (satu) kalender kecuali bila Wajib Pajak menggunakan tahun buku yang tidak sama dengan tahun kalender.

Apakah Bagian Tahun Pajak itu?

Bagian Tahun Pajak adalah bagian dari jangka waktu 1 (satu) Tahun Pajak.

Apa sajakah jenis SPT Tahunan PPh WP OP tersebut?

SPT Tahunan PPh WP OP terdiri dari 3 jenis formulir, yaitu:

a. SPT Tahunan PPh WP OP 1770 (lihat format SPT 1770)
Digunakan bagi orang pribadi yang sumber penghasilannya antara lain dari usaha dan/atau pekerjaan bebas, seperti dokter yang melakukan praktek, pengacara, pedagang, pengusaha, konsultan dan lain-lain yang pekerjaannya tidak terikat, termasuk PNS/TNI/POLRI yang memiliki kegiatan usaha lainnya.
Petunjuk pengisian SPT WPOP 1770.

b. SPT Tahunan PPh WP OP 1770S (lihat format SPT 1770S)
Digunakan bagi orang pribadi yang sumber penghasilannya diperoleh dari satu atau lebih pemberi kerja dan memiliki penghasilan lainnya yang bukan dari kegiatan usaha dan/ atau pekerjaan bebas. Contohnya karyawan, PNS, TNI, POLRI, Pejabat Negara, yang memiliki penghasilan lainnya antara lain sewa rumah, honor pembicara/pengajar/pelatih dan sebagainya.
Petunjuk pengisian SPT WPOP 1770S.

c. SPT Tahunan PPh WP OP 1770SS (lihat format SPT 1770SS)
Digunakan bagi orang pribadi yang sumber penghasilannya dari satu pemberi kerja (sebagai karyawan) dan jumlah penghasilan brutonya tidak melebihi Rp60.000.000 (enam puluh juta rupiah) setahun serta tidak terdapat penghasilan lainnya kecuali penghasilan dari bunga bank dan bunga koperasi.

Berapakah Penghasilan Tidak Kena Pajak (PTKP) per tahun yang diperkenankan sebagai pengurang penghasilan Anda?

Keterangan	1 Jan 2009 s.d. 31 Des 2012	Mulai 1 Jan 2013
Untuk diri WPOP	Rp15.840.000	Rp24.300.000
Tambahan untuk WPOP Kawin	Rp1.320.000	Rp2.025.000
Tambahan untuk Istri yang Penghasilannya Digabung dengan Penghasilan Suami	Rp15.840.000	Rp24.300.000
Tambahan untuk setiap anggota keluarga sedarah dan keluarga semenda dalam garis lurus, serta anak angkat yang menjadi tanggungan sepenuhnya, paling banyak 3 orang untuk setiap keluarga	Rp1.320.000	Rp2.025.000

Kemudian berapa sajakah tarif yang digunakan dalam penghitungan pajak bagi WP OP?

Lapisan Penghasilan Kena Pajak	Tarif Pajak
Sampai dengan Rp50.000.000	5%
Rp50.000.000 < PKP <= Rp250.000.000	15%
Rp250.000.000 < PKP <= Rp500.000.000	25%
Rp500.000.000 < PKP	30%

Bagaimana cara menghitung pajak?

Adit adalah pegawai tetap di PT Insan Bahagia sejak 1 Januari 2009. Ia memperoleh penghasilan neto selama setahun pada tahun 2014 sebesar Rp185.500.000 sebagaimana tercantum pada bukti potong PPh Pasal 21 formulir 1721 A1 yang diperoleh dari pemberi kerja (khusus untuk PNS/Polri/TNI menggunakan formulir 1721 A2). Adit menikah dan mempunyai 1 (satu) anak (status K/1).

Penghasilan neto setahun pada tahun 2014		Rp185.500.000
PTKP setahun
WP sendiri	Rp24.300.000
WP kawin	Rp2.025.000
1 Tanggungan Anak	Rp2.025.000
Total PTKP		Rp28.350.000
Penghasilan Kena Pajak		Rp157.150.000
PPh terutang setahun
= 5% x Rp50.000.000	Rp2.500.000
= 15% x (Rp157.150.000 - Rp50.000.000)	Rp16.072.500
		Rp18.572.500

Bagaimana cara menyetor pajak yang terutang?

Sarana Penyetoran Pajak
Pajak yang terutang disetorkan ke Kas Negara dengan menggunakan formulir Surat Setoran Pajak (SSP) dengan Mata Anggaran Penerimaan (MAP) 411125 dan Kode Jenis Setoran (KJS) 200.

Tempat Penyetoran Pajak
Pajak yang telah dihitung, disetorkan ke Kas Negara melalui bank tempat pembayaran pajak atau Kantor Pos.

Di manakah Wajib Pajak dapat mengambil SPT Tahunan PPh Wajib Pajak Orang Pribadi?

SPT Tahunan PPh WP OP dapat diperoleh di tempat-tempat yang telah ditentukan, yaitu:
a.Kantor Pelayanan Pajak terdekat;
b.Pojok Pajak atau Mobil Pajak keliling yang dapat Anda temui di tempat-tempat keramaian;
c.Diunduh melalui situs www.pajak.go.id

Setelah diisi dengan benar, lengkap, dan jelas, ke manakah Wajib Pajak menyampaikan SPT Tahunan PPh WP OP?

Untuk SPT Nihil/Kurang Bayar (KB):
a. Tempat Pelayanan Terpadu (TPT) di KPP;
b. Drop Box;
c. Pos/Jasa Ekspedisi yang disertai Bukti Pengiriman Surat ke KPP tempat WP terdaftar;
d. e-Filing (Formulir 1770S & 1770SS).

Untuk SPT Lebih Bayar (LB)/Pembetulan/SPT Tahunan yang disampaikan setelah batas waktu penyampaian SPT :
a. Tempat Pelayanan Terpadu (TPT) di KPP tempat WP terdaftar;
b. Pos/Jasa Ekspedisi yang disertai Bukti Pengiriman Surat ke KPP tempat WP terdaftar;
c. e-Filing (Formulir 1770S & 1770SS).

Kapankah batas akhir penyampaian SPT Tahunan PPh Wajib Pajak Orang Pribadi?

Batas waktu penyampaian SPT Tahunan PPh WP OP adalah 3 (tiga) bulan setelah akhir Tahun Pajak (31 Maret).

Sudah lengkapkah SPT Tahunan PPh WP OP Anda?

Pastikan SPT Tahunan PPh WP OP Anda telah memenuhi beberapa hal berikut:
1.Mencantumkan Identitas Diri (NPWP, Nama, dan Alamat lengkap dan jelas);
2.Membubuhkan Tanda Tangan pada SPT Induk (atau kuasa yang ditunjuk dengan melampirkan Surat Kuasa Khusus);
3.Mengisi SPT Tahunan lengkap dan jelas (SPT Induk, Lampiran Umum, dan Lampiran Khusus).

Agar SPT Tahunan PPh WP OP memenuhi kriteria SPT lengkap, dokumen apa sajakah yang harus disertakan pada SPT Tahunan?

Tabel Kelengkapan SPT by Internal Audit Corner

Apabila pajak terutang disetorkan atau SPT Tahunan PPh WP OP terlambat/tidak disampaikan, apa sanksinya?

Dikenai sanksi administrasi berupa bunga 2% per bulan dari pajak yang terlambat disetorkan.

Dikenai sanksi administrasi berupa denda Rp100.000 (seratus ribu rupiah) untuk SPT Tahunan yang terlambat/tidak disampaikan.

CIA CPA Exam - Finance - 1

2014-12-13T15:25:00.000+07:00

Pada kesempatan ini, kita coba latihan soal-soal dan pembahasan Exam Finance. Soal-soal ini dapat dapat digunakan untuk persiapan CIA Exam ataupun CPA Exam. Latihan akan kita bagi dalam beberapa bagian, dan saat ini merupakan bagian -1 Finance Exam. Soal ini kami kutip dari soal latihan yang diupload di website IAPI.
Namun, IAPI tidak menyediakan pembahasan jawaban, sehingga kami coba bantu untuk sediakan pembahasan jawaban, yang kami susun dalam bentuk soft copy. Dengan pertimbangan bahwa dalam pembahasan yang kami susun, terdapat beberapa gambar / grafik, yang mana gambar / grafik tersebut akan membuat berat loading blog ini, maka pembahasan jawaban akan kami sediakan dalam bentuk soft copy terpisah.
Bagi kawan-kawan yang tertarik untuk mempelajari pembahasan jawaban exam, silakan tulis alamat email di kolom comment, nanti kami akan kirim file pembahasan tersebut ke alamat email tersebut, free of charge.
Silakan mencoba......

CIA CPA Exam - Finance - 1

CIA CPA Exam Finance

1. PT. Lima memiliki data sebagai berikut :
- Tingkat operating leverage ……………………......... 2.1
- Marjin keamanan (margin of safety)……................ Rp 250.000.000
- Rasio contribution margin…………………………........ 80%
- Net operating income …………………….……… Rp 400.000.000
Hitung breakeven dalam Rupiah.
A. Rp 55.000.000
B. Rp 440.000.000
C. Rp 550.000.000
D. Rp 840.000.000
Jawab: C.
Pembahasan:
Yang ditanya adalah BEP. Rumus BEP (Rp) = Fixed Cost / Rasio Marjin Kontribusi.
Dari data yang ada, kita belum tahu berapa nilai Fixed Cost, maka kita cari dulu Fixed Cost-nya.

Fixed Cost berhubungan dengan Laba bersih Operasional, dan

Laba Operasional berhubungan dengan Marjin Kontribusi, sehingga: Marjin Kontribusi = 2,1 x Rp400.000.000 = Rp840.000.000, maka:

Laba bersih operasional = Marjin Kontribusi – Fixed Cost,
Fixed Cost = Rp840.000.000 – Rp 400.000.000 = Rp440.000.000, maka:
BEP = Fixed Cost / Rasio Marjin Kontribusi
BEP = Rp440.000.000 / 80% = Rp550.000.000.

A. Incorrect, Rp55.000.000 merupakan 1/10 dari BEP (jawaban kalau peserta kurang menulis satu angka 0 dalam perhitungan).
B. Incorrect, Rp440.000.000 merupakan nilai Fixed Cost.
D. Incorrect, Rp840.000.000 merupakan nilai contribution margin (2,1 x Rp400.000.000).

2. Berapakah tingkat kerugian (risiko) maksimum yang dapat dialami penjual kontrak Call Option?
A. Terbatas premi ketika saham naik
B. Tidak terbatas seiring pergerakan saham ketika saham naik
C. Terbatas premi ketika saham turun
D. Tidak terbatas seiring pergerakan saham ketika saham turun
Jawab: B.

3. Diketahui free-risk return sebesar 4% dan expected return pasar sebesar 11%. Saham Q, dengan beta 0.8 menawarkan tingkat return sebesar 12%. Apakah yang sebaiknya dilakukan pada saham Q?
A. Membeli saham Q karena saham tersebut overpriced
B. Membeli saham Q karena saham tersebut underpriced
C. Sell short saham Q karena saham tersebut overpriced
D. Sell short saham Q karena saham tersebut underpriced
Jawab: B.

4. PT. Hidup Sehat mengumumkan bahwa perusahaan akan membagikan dividen tahun depan dan tahun-tahun berikutnya. Dividen yang dibagikan sebesar Rp120 per saham (tahun pertama), Rp150 per saham (tahun ke-2), Rp200 per saham (tahun ke-3), Rp500 per saham (tahun ke-4) dan Rp600 (tahun ke-5). Setelah tahun ke-5, dividen akan tumbuh pada tingkat pertumbuhan konstan 4% per tahun. Berapakah nilai wajar dari saham PT. Hidup Sehat sekarang, jika imbal hasil yang diminta sebesar 8.5%?
A. Rp 9.670
B. Rp 9.940
C. Rp10.376
D. Rp10.586
Jawab: C.

5. Seorang investor menginvestasikan 70% dari dana yang dimilikinya pada aset berisiko dengan expected return rate sebesar 15% dan varians sebesar 5%; sementara 30% sisanya diinvestasikan pada free-risk asset dengan expected return sebesar 5%. Berapakah imbal hasil ekspektasi dan standard deviation portfolio secara berturut-turut?
A. 10.0%, 6.7%
B. 12.0%, 22.4%
C. 12.0%, 15.7%
D. 10.0%, 35.0%
Jawab: C.

6. Berikut ini adalah karakteristik obligasi yang diterbitkan oleh 2 (dua) penerbit obligasi yang berbeda.
a. Obligasi A, membayarkan bunga setiap 6 (enam) bulan, jatuh tempo 5 (lima) tahun, dan memiliki call provision.
b. Obligasi B, membayarkan bunga setiap 6 (enam) bulan, jatuh tempo 5 (lima) tahun, dan tidak memiliki call provision.
Yield obligasi yang diharapkan oleh investor atas obligasi A akan dibandingkan dengan yield obligasi yang ditawarkan oleh Obligasi B.
A. Sama
B. Lebih rendah
C. Lebih tinggi
D. Semua jawaban benar
Jawab: C.

7. Hipotesis preferensi likuiditas (liquidity preference theory) menerangkan bahwa tingkat bunga forward tahun kedua ditetapkan lebih tinggi dari ekspektasi tingkat bunga spot tahun kedua karena
A. Kurve imbal hasil yang semakin menurun.
B. Tingkat bunga untuk jangka lama lebih tinggi dari tingkat bunga untuk jangka pendek.
C. Obligasi berdurasi dua tahun kurang berisiko dibanding satu tahun pada kondisi tingkat bunga sedang menaik.
D. Investor haruslah dirangsang untuk membeli obligasi berdurasi dua tahun yang berisiko lebih tinggi.
Jawab: D.

8. Keputusan untuk menerbitkan beberapa kategori saham biasanya dimaksudkan untuk
A. Membayar dividen lebih efisien di antara kategori tersebut.
B. Menjaga tingkat pengendalian yang diperlukan dalam pengambilan suara.
C. Membuat struktur permodalan canggih.
D. Menarik minat investor publik.
Jawab: B.

9. Sekuritas X memiliki expected return sebesar 13% dan beta sebesar 1.15. Diketahui free-risk return sebesar 5% dan ekspektasi imbal hasil pasar sebesar 15%. Berdasarkan CAPM, Sekuritas X:
A. Fairly priced
B. Overpriced
C. Underpriced
D. Tidak dapat ditentukan
Jawab: B.

10. Apabila diketahui tingkat bunga riil adalah 9% dan inflasi adalah 10%, berdasarkan Fisher Effect, berapakah ekspektasi tingkat bunga nominal?
A. 9%
B. 10%
C. 19.9%
D. 19%
Jawab: C.

11. Perusahaan yang menggunakan maturity hedging sebagai pedoman untuk kebijakan keuangannya, akan melakukan tindakan:
A. Mencoba lindung nilai dengan kontrak berjangka (futures contracts)
B. Memegang kelebihan saldo kas untuk mengurangi risiko
C. Akan mendanai aset jangka panjang dengan utang jangka panjang
D. Menyandarkan diri pada kebijakan pemerintah untuk menjaga suku bunga rendah

Jawab: C.

IFRS Financial Report Framework

2014-12-05T08:49:00.003+07:00

IFRS Conceptual Framework

Kerangka Konseptual membentuk konsep yang mendasari financial reporting. Kerangka Konseptual merupakan sistem yang koheren, yang dikembangkan dari suatu tujuan.

Overview of the Conceptual Framework

IFRS Conceptual Framework by Internal Auditor Corner

Kerangka Koseptual dapat digambarkan ke dalam 3 (tiga) tingkatan:

First Level	=	Basic objective.
Second Level	=	Qualitative characteristics and elements of financial statements.
Third Level	=	Recognition, measurement, and disclosure concepts.

IFRS Framework Level by Yulias C Sihombing

First Level: Basic Objective

Objective of Financial Reporting:

“To provide financial information about the reporting entity that is useful to present and potential equity investors, lenders, and other creditors in making decisions in their capacity as capital providers.”

Tujuan tersebut dicapai dengan cara menerbitkan general-purpose financial statements.
Users diasumsikan memiliki pengetahuan bisnis dan masalah akuntansi, yang cukup untuk memahami informasi dalam financial statements.

Contoh Keputusan Ekonomi:
Keputusan terkait beli, jual, atau menahan instrumen ekuitas dan hutang, keputusan memberi atau melunasi suatu pinjaman dan bentuk kredit lainnya.

Second Level: Fundamental Concepts

Qualitative Characteristics of Accounting Information

Suatu informasi memiliki karakteristik kualitatif decision usefullness, jika informasi tersebut relevance dan faithfull representation.
a. Fundamental Quality - Relevance
Informasi disebut relevan, jika informasi keuangan tersebut mampu membuat perbedaan dalam proses pengambilan keputusan. Financial information mampu membuat perbedaan jika informasi tersebut memiliki predictive value, confirmatory value, atau keduanya.

Predictive value: jika informasi tersebut memiliki nilai sebagai input bagi proses prediktif, untuk membentuk ekspektasi user terkait masa depan.
Contoh:
Jika investor potensial tertarik untuk membeli saham biasa dari PT Indonesia, maka mereka akan menganalisis aset dan klaim atas aset tersebut, pembayaran dividen, dan kinerja pendapatan tahun-tahun sebelumnya, untuk memprediksi nilai, waktu, dan tidak kepastian dari arus kas PT Indonesia di masa mendatang.

Confirmatory value: informasi relevan juga membantu para user untuk menkonfirmasi atau mengkoreksi ekspektasinya.
Contoh:
Ketika PT Indonesia menerbitkan laporan keuangan akhir tahun, maka informasi keuangan tersebut mengkonfirmasi atau merubah ekspektasi masa lalu (atau masa kini), yang berdasarkan evaluasi sebelumnya.
Predictive value dan confirmatory value saling berkaitan. Contoh: informasi tentang ukuran dan struktur aset dan liabilitas PT Indonesia membantu users untuk memperkirakan kemampuannya untuk mengambil keuntungan atau untuk menghindari kerugian. Informasi yang sama membantu untuk mengkonfirmasi atau mengkoreksi prediksi masa lalu terkait kemampuan tersebut.

Materiality.
Informasi menjadi material, ketika tidak disajikan atau salah saji informasi tersebut akan mempengaruhi keputusan user. Masing-masing individu perusahaan menentukan apakah suatu informasi adalah material, dengan mempertimbangkan sifat dan ukuran dari item-item tersebut. Singkatnya, informasi tersebut harus membuat perubahan, jika tidak maka perusahaan tidak perlu mengungkapkannya.
Suatu item menjadi material ketika pengungkapan atau tidak disajikan item tersebut, akan mempengaruhi atau merubah keputusan dari orang yang reasonable.
Contoh:
Pengeluaran peralatan Rp50 juta akan tidak material bagi perusahaan dengan aset Rp50 milyard (0,1%), sehingga diperlakukan sebagai beban (expense), tapi akan material bagi perusahaan dengan aset Rp1 milyard (5%), sehingga diperlakukan sebagai aktiva tetap.
Perusahaan dan auditors umumnya menerapkan rule of thumb bahwa item yang bernilai < 5% dari net income, dipertimbangkan immaterial. Namun, perusahaan tidak boleh menggunakan alasan materiality dalam rangka mempertahankan positive earnings trend, mengkonversi kerugian menjadi keuntungan, meningkatkan kompensasi manajemen, atau menyembunyikan transasksi ilegal seperti suap. Dengan kata lain, perusahaan harus mempertimbangkan baik faktor quantitative dan qualitative dalam penentuan apakah suatu item material atau tidak.

b. Fundamental Quality – Faithful Representation

Faithful representation berarti bahwa angka-angka dan deskripsi-nya sesuai dengan apa yang sebenarnya ada atau terjadi. Contoh: ketika PT Indonesia melaporkan penjualan $60,510 million, ketika penjualan sebenarnya $40,510 million, maka Laporan Keuangan PT Indonesia tidak jujur dalam menyajikan nilai penjualan sebenarnya.
Agar faithful representation, informasi harus lengkap, neutral, dan bebas dari kesalahan material.

Completeness.

Completeness berarti bahwa seluruh informasi yang diperlukan untuk faithful representation, disajikan. Contoh, ketika PT Indonesia gagal menyediakan informasi yang dibutuhkan untuk menilai value allowance dari receivables, informasi tersebut tidak lengkap, dan maka tidak faithful representation.

Neutrality.

Neutrality berarti bahwa perusahaan tidak memilih informasi tertentu yang hanya menguntungkan pihak tertentu, tetapi tidak menguntungkan bagi yang lain. Contoh: dalam notes to financial statements, perusahaan rokok seharusnya tidak menyembunyikan informasi terkait beberapa tuntutan hukum yang dihadapi karena masalah kesehatan,—meskipun pengungkapan tersebut dapat merusak perusahaan.

Free from Error.

Item informasi yang bebas dari error akan lebih akurat (faithful) representation. Contoh, jika PT Indonesia salah saji kerugian atas pinjamannya, laporan keuangannya akan misleading dan tidak faithful representation. Contoh, management harus mengestimasi nilai uncollectible accounts untuk menentukan bad debt expense.

Enhancing Qualities

Membedakan antara more-useful information dari less-useful information.
Enhancing qualitative characteristics merupakan pelengkap dari fundamental qualitative characteristics. Karakteristik ini membedakan antara more-useful information dari less-useful information. Enhancing characteristics: comparability, verifiability, timeliness, and understandability.

Comparability.

Agar dapat dibandingkan maka informasi perlu diukur dan dilaporkan dengan cara yang similar oleh perusahaan-perusahaan berbeda dalam industri yang sama. Contoh, agar dapat dibandingkan, informasi aset PT Indonesia dan PT Singapura, maka informasi tersebut perlu diukur dan dilaporkan dengan perlakuan akuntansi yang simiar.
Tipe lainnya dari comparability adalah consistency, dimana perusahaan menerapkan perlakuan akuntansi yang sama untuk kejadian yang similar, dari periode ke periode. Contoh, ketika perusahaan menggunakan metode FIFO untuk menilai inventoriesnya, maka perlakuan tersebut seharusnya diterapkan seterusnya dari periode ke periode, kecuali terjadi perubahan yang justified.

Verifiability.

Verifiability terjadi pihak independen yang mengukur, dengan menggunakan metode yang sama, akan mendapatkan hasil yang sama. Verifiability terjadi dalam situasi sbb:

Dua auditor independen yang berbeda menghitung persediaan PT Indonesia dan mendapatkan hasil yang sama terkait perhitungan fisik persediaan. Verifikasi nilai dari suatu aset dapat terjadi dengan menghitung persediaan (disebut sebagai direct verification).
Dua auditor independen yang berbeda menghitung nilai persediaan PT Indonesia pada akhir tahun dengan menggunakan metode FIFO. Verifikasi dapat terjadi dengan menguji input (kuantitas dan biaya) dan menghitung ulang output (nilai persediaan akhir) dengan menggunakan konvesi atau metodologi akuntansi yang sama (disebut sebagai indirect verification).

Timeliness.

Timeliness berarti menyediakan informasi kepada decision-makers sebelum informasi tersebut kehilangan kapasitasnya untuk mempengaruhi keputusan. Contoh, jika PT Indonesia menunggu untuk melaporkan hasil interim-nya setelah 9 bulan dari akhir periode, informasi tesebut akan kurang bernilai bagi tujuan decision making.

Understandability.

Decision-makers sangat bervariasi terkait tipe keputusan yang mereka buat, bagaimana mereka membuat keputusan, informasi yang telah mereka miliki atau informasi yang dapat mereka peroleh dari sumber lainnya, dan kemampuan mereka untuk memproses informasi tersebut. Agar informasi menjadi berguna, perlu ada hubungan (linkage) antar user dan keputusan yang mereka buat. Hubungan ini, understandability, merupakan kualitas dari informasi yang membuat informed user melihat signifikansi informasi tersebut. Understandability meningkat ketika informasi diklasifikasikan, dikarakteristikan, disajikan secara jelas dan padat.
Contoh, asumsikan PT Indonesia menerbitkan laporan triwulan yang menunjukan pendapatan interim telah turun secara signifikan. Laporan interim ini memberikan informasi yang relevant dan faithfully represented untuk tujuan decision-making. Bagi yang paham informasi keuangan, mereka akan menjual saham PT Indonesia, namun bagi yang tidak paham, mereka akan mengabaikan informasi tersebut. Maka, meskipun PT Indonesia telah menyajikan informasi relevant dan faithful representation, informasi tersebut kurang berguna bagi mereka yang tidak paham informasi keuangan.

Third Level: Recognition, Measurement, and Disclosure Concepts

Konsep ini menjelaskan bagaimana perusahaan seharusnya mengakui, mengukur, dan melaporkan elemen dan kejadian keuangan.

Third Level: Assumptions

Asumsi Dasar

Economic Entity.

Aktifitas Perusahaan terpisah dari dan berbeda dengan aktifitas pemilik dan unit usaha lainnya. Maka, PT Indonesia mencatat aktifitas keuangannya terpisah dari para pemilik dan manajernya, serta unit usaha lainnya.

Going Concern

Perusahaan diasumsikan beroperasi cukup lama untuk memenuhi tujuan dan komitmennya. Asumsi ini memiliki implikasi:

Dengan pendekatan likuidasi, Perusahaan seharusnya mencatat nilai assetnya pada net realizable value (sales price less costs of disposal), dan bukan pada acquisition cost. Jika perusahaan mengadopsi pengekatan likuidasi, klasifikasi current/noncurrent assets dan liabilities menjadi kehilangan maknanya. Justru, penyajian aset dan liabilities berdasarkan prioritas likuidasinya akan menjadi lebih masuk akal.
Kebijakan depresiasi dan amortisasi dapat diterapkan dan layak hanya jika kita mengasumsikan beberapa sifat permanen pada perusahaan.

Monetary Unit

Asumsi monetary unit berarti bahwa uang merupakan denominator umum dari aktifitas ekonomi dan memberikan basis untuk pengukuran dan analisis akuntansi. Maka itu, monetary unit merupakan alat yang paling efektif untuk mengekspresikan kepada pihak yang berkepentingan terhadap modal dan pertukaran barang dan jasa. Akuntansi mengabaikan perubahan tingkat harga (inflation dan deflation) dan mengasumsikan bahwa ukuran unit Rupiah tetap stabil.

Periodicity

Perusahaan dapat membagi aktifitas ekonominya ke dalam beberapa periode. Users perlu mengetahui kinerja dan status ekonomi perusahaan, secara regular dan tepat waktu, sehingga users dapat mengevaluasi dan membandingkan antar perusahaan, dan mengambil tindakan yang tepat. Oleh karena itu, perusahaan harus melaporkan informasi secara periodik.
Pertimbangan periodesitas melibatkan trade-off antara relevance dan faithful representation. Semakin pendek periode pelaporan, maka semakin kurang verified informasinya (faithful representation), namun semakin real-time informasi yang disajikan (relevance). Dengan teknologi informasi saat ini, maka masalah trade-off dapat diminimalkan.

Third Level: Principles

Measurement

Cost / biaya dipertimbangkan sebagai nilai yang faithful representation atas jumlah yang dibayar untuk item tertentu.
Fair value merupakan “nilai untuk suatu aset dapat dipertukarkan, liabilitas dapat diselesaikan, atau instrument ekuitas dapat dipertukarkan, antara pihak yang memiliki pengetahuan, dalam suatu transaksi yang suka rela (the amount for which an asset could be exchanged, a liability settled, or an equity instrument granted could be exchanged, between knowledgeable, willing parties in an arm’s length transaction).”
IASB memperkenankan perusahaan untuk menggunakan fair value sebagai basis untuk pengukuran financial assets dan financial liabilities.

Third Level: Principles

Revenue Recognition

Revenue diakui ketika terdapat probable bahwa manfaat ekonomi masa depan akan mengalir ke perusahaan dan nilai revenue dimungkinkan untuk diukur secara reliable.

Expense Recognition

Arus keluar atau penggunaan assets atau timbulnya liabilities (atau kombinasi dari keduanya) selama suatu periode, sebagai konsekuensi dari penyerahan atau produksi goods dan/atau services.

Full Disclosure

Menyajikan informasi yang cukup penting untuk mempengaruhi pertimbangan dan keputusan dari informed user. Full disclosure disediakan melalui:
Financial Statements
Notes to the Financial Statements
Supplementary information.

Third Level: Constraints

Cost

Biaya untuk menyajikan informasi harus seimbang dengan manfaat yang diperoleh dari pemanfaatan informasi tersebut.
Contoh:
Biaya penyajian termasuk: biaya pengumpulan dan pemrosesan, penyebarluasan, audit, potential litigation, pengungkapan ke pihak competitors, dan analisis dan interprestasi. Manfaat yang diperoleh: kontrol management yang lebih baik dan akses ke sumber modal, yang menawarkan biaya modal yang rendah.

Industry Practices – Sifat khusus dari beberapa industri dan bisnis kadang-kadang memerlukan perlakuan khusus dan perlu menyimpang dari teori dasar.
Contoh:
Perusahaan public-utility melaporkan noncurrent assets diurutan atas dalam Financial Position Report untuk meng-highlight sifat industry yang capital-intensive. Perusahaan agricultural sering melaporkan panen/crop-nya pada fair value karena akan terlalu mahal untuk mengukur biaya yang akurat, terkait individual crops.

Sumber:
D. E. Kieso, J. J. Weygandt, T. D. Warfield, Intermediate Accounting, 14th, 2012 John Wiley & Sons, Inc.

CIA 3-Parts Exam Syllabus

2014-11-21T19:50:00.001+07:00

CIA 3-Parts Exam Syllabus: Part 1 – Internal Audit Basics

125 questions | 2.5 Hours (150 minutes)

The new CIA exam Part 1 topics tested include aspects of mandatory guidance from the IPPF; internal control and risk concepts; as well as tools and techniques for conducting internal audit engagements.
Note:
All items in this section of the syllabus will be tested at the Proficiency knowledge level unless otherwise indicated below.

CIA 3 Part Syllabus

I. Mandatory Guidance (35-45%)

A. Definition of Internal Auditing

1. Define purpose, authority, and responsibility of the internal audit activity

B. Code of Ethics

1. Abide by and promote compliance with The IIA Code of Ethics

C. International Standards

1. Comply with The IIA's Attribute Standards

a. Determine if the purpose, authority, and responsibility of the internal audit activity are documented in audit charter, approved by the Board and communicated to the engagement clients.
b. Demonstrate an understanding of the purpose, authority, and responsibility of the internal audit activity.

2. Maintain independence and objectivity

a. Foster independence

1) Understand organizational independence
2) Recognize the importance of organizational independence
3) Determine if the internal audit activity is properly aligned to achieve organizational independence

b. Foster objectivity

1) Establish policies to promote objectivity
2) Assess individual objectivity
3) Maintain individual objectivity
4) Recognize and mitigate impairments to independence and objectivity

3. Determine if the required knowledge, skills, and competencies are available

a. Understand the knowledge, skills, and competencies that an internal auditor needs to possess
b. Identify the knowledge, skills, and competencies required to fulfill the responsibilities of the internal audit activity

4. Develop and/or procure necessary knowledge, skills and competencies collectively required by the internal audit activity
5. Exercise due professional care
6. Promote continuing professional development

a. Develop and implement a plan for continuing professional development for internal audit staff
b. Enhance individual competency through continuing professional development

7. Promote quality assurance and improvement of the internal audit activity

a. Monitor the effectiveness of the quality assurance and improvement program
b. Report the results of the quality assurance and improvement program to the board or other governing body
c. Conduct quality assurance procedures and recommend improvements to the performance of the internal audit activity

II. Internal Control / Risk (25-35%) – Awareness Level (A)

A. Types of Controls (e.g., preventive, detective, input, output, etc.)

B. Management Control Techniques

C. Internal Control Framework Characteristics and Use (e.g., COSO, Cadbury)

1. Develop and implement an organization-wide risk and control framework

D. Alternative Control Frameworks

E. Risk Vocabulary and Concepts

F. Fraud Risk Awareness

1. Types of fraud
2. Fraud red flags

III. Conducting Internal Audit Engagements – Audit Tools and Techniques (25-35%)

A. Data Gathering (Collect and analyze data on proposed engagements):

1. Review previous audit reports and other relevant documentation as part of a preliminary survey of the engagement area
2. Develop checklists/internal control questionnaires as part of a preliminary survey of the engagement area
3. Conduct interviews as part of a preliminary survey of the engagement area
4. Use observation to gather data
5. Conduct engagement to assure identification of key risks and controls
6. Sampling (non-statistical [judgmental] sampling method, statistical sampling, discovery sampling, and statistical analyses techniques)

B. Data Analysis and Interpretation:

1. Use computerized audit tools and techniques (e.g., data mining and extraction, continuous monitoring, automated work papers, embedded audit modules)
2. Conduct spreadsheet analysis
3. Use analytical review techniques (e.g., ratio estimation, variance analysis, budget vs. actual, trend analysis, other reasonableness tests)
4. Conduct benchmarking
5. Draw conclusions

C. Data Reporting

1. Report test results to auditor in charge
2. Develop preliminary conclusions regarding controls

D. Documentation / Work Papers

1. Develop work papers

E. Process Mapping, Including Flowcharting

F. Evaluate Relevance, Sufficiency, and Competence of Evidence

1. Identify potential sources of evidence

Part 2 – Internal Audit Practice

100 questions | 2.0 Hours (120 minutes)
The new CIA exam Part 2 topics tested include managing the internal audit function via the strategic and operational role of internal audit and establishing a risk-based plan; the steps to manage individual engagements (planning, supervision, communicating results, and monitoring outcomes); as well as fraud risks and controls.
Note:
All items in this section of the syllabus will be tested at the Proficiency knowledge level unless otherwise indicated below.

I. Managing the Internal Audit Function (40-50%)

A. Strategic Role of Internal Audit

1. Initiate, manage, be a change catalyst, and cope with change
2. Build and maintain networking with other organization executives and the audit committee
3. Organize and lead a team in mapping, analysis, and business process improvement
4. Assess and foster the ethical climate of the board and management

a. Investigate and recommend resolution for ethics/compliance complaints, and determine disposition of ethics violations
b. Maintain and administer business conduct policy (e.g., conflict of interest), and report on compliance

5. Educate senior management and the board on best practices in governance, risk management, control, and compliance
6. Communicate internal audit key performance indicators to senior management and the board on a regular basis
7. Coordinate IA efforts with external auditor, regulatory oversight bodies and other internal assurance functions
8. Assess the adequacy of the performance measurement system, achievement of corporate objective – Awareness Level (A)

B. Operational Role of IA

1. Formulate policies and procedures for the planning, organizing, directing, and monitoring of internal audit operations
2. Review the role of the internal audit function within the risk management framework
3. Direct administrative activities (e.g., budgeting, human resources) of the internal audit department
4. Interview candidates for internal audit positions
5. Report on the effectiveness of corporate risk management processes to senior management and the board
6. Report on the effectiveness of the internal control and risk management frameworks
7. Maintain effective Quality Assurance Improvement Program

C. Establish Risk-Based IA Plan

1. Use market, product, and industry knowledge to identify new internal audit engagement opportunities
2. Use a risk framework to identify sources of potential engagements (e.g., audit universe, audit cycle requirements, management requests, regulatory mandates)
3. Establish a framework for assessing risk
4. Rank and validate risk priorities to prioritize engagements in the audit plan
5. Identify internal audit resource requirements for annual IA plan
6. Communicate areas of significant risk and obtain approval from the board for the annual engagement plan
7. Types of engagements

a. Conduct assurance engagements

a.1 Risk and control self-assessments

a) Facilitated approach
(1) Client-facilitated
(2) Audit-facilitated
b) Questionnaire approach
c) Self-certification approach

a.2 Audits of third parties and contract auditing
a.3 Quality audit engagements
a.4 Due diligence audit engagements
a.5 Security audit engagements
a.6 Privacy audit engagements
a.7 Performance audit engagements (key performance indicators)
a.8 Operational audit engagements (efficiency and effectiveness)
a.9 Financial audit engagements

b. Compliance audit engagements
c. Consulting engagements

c.1 Internal control training
c.2 Business process mapping
c.3 Benchmarking
c.4 System development reviews
c.5 Design of performance measurement systems

II. Managing Individual Engagements (40-50%)

A. Plan Engagements

1. Establish engagement objectives/criteria and finalize the scope of the engagement
2. Plan engagement to assure identification of key risks and controls
3. Complete a detailed risk assessment of each audit area (prioritize or evaluate risk/control factors)
4. Determine engagement procedures and prepare engagement work program
5. Determine the level of staff and resources needed for the engagement
6. Construct audit staff schedule for effective use of time

B. Supervise Engagement

1. Direct / supervise individual engagements
2. Nurture instrumental relations, build bonds, and work with others toward shared goals
3. Coordinate work assignments among audit team members when serving as the auditor-in-charge of a project
4. Review work papers
5. Conduct exit conference
6. Complete performance appraisals of engagement staff

C. Communicate Engagement Results

1. Initiate preliminary communication with engagement clients
2. Communicate interim progress
3. Develop recommendations when appropriate
4. Prepare report or other communication
5. Approve engagement report
6. Determine distribution of the report
7. Obtain management response to the report
8. Report outcomes to appropriate parties

D. Monitor Engagement Outcomes

1. Identify appropriate method to monitor engagement outcomes
2. Monitor engagement outcomes and conduct appropriate follow-up by the internal audit activity
3. Conduct follow-up and report on management's response to internal audit recommendations
4. Report significant audit issues to senior management and the board periodically

III. Fraud Risks and Controls (5-15%)

A. Consider the potential for fraud risks and identify common types of fraud associated with the engagement area during the engagement planning process.

B. Determine if fraud risks require special consideration when conducting an engagement.

C. Determine if any suspected fraud merits investigation.

D. Complete a process review to improve controls to prevent fraud and recommend changes.

E. Employ audit tests to detect fraud

F. Support a culture of fraud awareness, and encourage the reporting of improprieties.

G. Interrogation/investigative techniques – Awareness Level (A).

H. Forensic auditing – Awareness Level (A)

Part 3 – Internal Audit Knowledge Elements

100 questions | 2.0 Hours (120 minutes)
The new CIA exam Part 3 topics tested include governance and business ethics; risk management; organizational structure, including business processes and risks; communication; management and leadership principles; information technology and business continuity; financial management; and the global business environment.
Note:
All items in this section of the syllabus will be tested at the Awareness knowledge level unless otherwise indicated below.

I. Governance / Business Ethics (5-15%)

A. Corporate/Organizational Governance Principles – Proficiency Level (P)

B. Environmental and Social Safeguards

C. Corporate Social Responsibility

II. Risk Management (10-20%)- Proficiency Level (P)

A. Risk Management Techniques

B. Organizational Use of Risk Frameworks

III. Organizational Structure/Business Processes and Risks (15-25%)

A. Risk/Control Implications of Different Organizational Structures

B. Structure (e.g., centralized/decentralized)

C. Typical Schemes in Various Business Cycles (e.g., procurement, sales, knowledge, supply-chain management).

D. Business Process Analysis (e.g., workflow analysis and bottleneck management, theory of constraints).

E. Inventory Management Techniques and Concepts.

F. Electronic Funds Transfer (EFT)/Electronic Data Interchange (EDI)/E-commerce.

G. Business Development Life Cycles.

H. The International Organization for Standardization (ISO) Framework.

I. Outsourcing Business Processes.

IV. Communication (5-10%)

A. Communication (e.g., the process, organizational dynamics, impact of computerization).

B. Stakeholder Relationships

V. Management / Leadership Principles (10-20%)

A. Strategic Management

1. Global analytical techniques

a. Structural analysis of industries
b. Competitive strategies (e.g., Porter's model)
c. Competitive analysis
d. Market signals
e. Industry evolution

2. Industry environments

a. Competitive strategies related to:

1) Fragmented industries
2) Emerging industries
3) Declining industries

b. Competition in global industries

1) Sources/impediments
2) Evolution of global markets
3) Strategic alternatives
4) Trends affecting competition

3. Strategic decisions

a. Analysis of integration strategies
b. Capacity expansion
c. Entry into new businesses

4. Forecasting
5. Quality management (e.g., TQM, Six Sigma)
6. Decision analysis

B. Organizational Behavior

1. Organizational theory (structures and configurations)
2. Organizational behavior (e.g., motivation, impact of job design, rewards, schedules)
3. Group dynamics (e.g., traits, development stages, organizational politics, effectiveness)
4. Knowledge of human resource processes (e.g., individual performance management, supervision, personnel sourcing/staffing, staff development)
5. Risk/control implications of different leadership styles
6. Performance (productivity, effectiveness, etc.)

C. Management Skills/Leadership Styles

1. Lead, inspire, mentor, and guide people, building organizational commitment and entrepreneurial orientation
2. Create group synergy in pursuing collective goals
3. Team-building and assessing team performance

D. Conflict Management

1. Conflict resolution (e.g., competitive, cooperative, and compromise)
2. Negotiation skills
3. Conflict management
4. Added-value negotiating

E. Project Management / Change Management

1. Change management
2. Project management techniques

VI. IT / Business Continuity (15-25%)

A. Security

1. Physical/system security (e.g., firewalls, access control)
2. Information protection (e.g., viruses, privacy)
3. Application authentication
4. Encryption

B. Application Development

1. End-user computing
2. Change control (Proficiency Level)
3. Systems development methodology (Proficiency Level)
4. Application development (Proficiency Level)
5. Information systems development

C. System Infrastructure

1. Workstations
2. Databases
3. IT control frameworks (e.g., eSAC, COBIT)
4. Functional areas of IT operations (e.g., data center operations)
5. Enterprise-wide resource planning (ERP) software (e.g., SAP R/3)
6. Data, voice, and network communications/connections (e.g., LAN, VAN, and WAN)
7. Server
8. Software licensing
9. Mainframe
10. Operating systems
11. Web infrastructure

D. Business Continuity

1. IT contingency planning

VII. Financial Management (10-20%)

A. Financial Accounting and Finance

1. Basic concepts and underlying principles of financial accounting (e.g., statements, terminology, relationships)
2. Intermediate concepts of financial accounting (e.g., bonds, leases, pensions, intangible assets, RandD)
3. Advanced concepts of financial accounting (e.g., consolidation, partnerships, foreign currency transactions)
4. Financial statement analysis (e.g., ratios)
5. Types of debt and equity
6. Financial instruments (e.g., derivatives)
7. Cash management (e.g., treasury functions)
8. Valuation models
9. Business valuation
10. Inventory valuation
11. Capital budgeting (e.g., cost of capital evaluation)
12. Taxation schemes (e.g., tax shelters, VAT)

B. Managerial Accounting

1. General concepts
2. Costing systems (e.g., activity-based, standard)
3. Cost concepts (e.g., absorption, variable, fixed)
4. Relevant cost
5. Cost-volume-profit analysis
6. Transfer pricing
7. Responsibility accounting
8. Operating budget

VIII. Global Business Environment (0-10%)

A. Economic / Financial Environments.

1. Global, multinational, international, and multi-local compared and contrasted
2. Requirements for entering the global marketplace
3. Creating organizational adaptability
4. Managing training and development

B. Cultural / Political Environments.

1. Balancing global requirements and local imperatives
2. Global mindsets (personal characteristics/competencies)
3. Sources and methods for managing complexities and contradictions.
4. Managing multicultural teams

C. Legal and Economics — General Concepts (e.g., contracts).

D. Impact of Government Legislation and Regulation on Business (e.g., trade legislation).

Belajar Rekonsiliasi Pajak

2014-11-17T16:54:00.001+07:00

Yuk, belajar rekonsiliasi pajak. Penting nih buat auditor internal dan eksternal, untuk menilai akurasi perhitungan pajak terhutang dan angsuran pajak menurut manajemen.

Belajar Rekonsiliasi Pajak

PT Corner mempunyai bisnis usaha di bidang penjualan grosir dan eceran bagi segmen konsumen bisnis maupun segmen konsumen akhir. Dari modal yang disetor, 45% saham PT Corner dimiliki oleh publik dan diperdagangkan di Bursa Efek Indonesia. Perusahaan melaksanakan pembukuan terkait kegiatan akuntansinya. Data berikut diperoleh dari laporan keuangan PT Corner untuk tahun 2012.

Akun	Nominal Akuntansi
Penjualan bruto	72.850.000.000
Retur Penjualan	(1.975.000.000)
Diskon Penjualan	(976.500.000)
Penjualan Netto	69.898.500.000
Harga Pokok Penjualan
Inventory merchandise awal	(15.932.500.000)
Pembelian inventory	(57.484.500.000)
Inventory merchandise akhir	36.857.500.000
	(36.559.500.000)
Laba Bruto	33.339.000.000
Biaya Marketing
Salary dan bonus pegawai tetap	(1.764.000.000)
Tunjangan pajak penghasilan	(92.740.000)
Sumbangan bahan pokok (sembako)	(364.835.000)
Training Pegawai	(1.086.320.000)
Promosi dan iklan	(3.776.500.000)
Jamuan makan/ entertainment	(284.250.000)
Telepon, air, dan listrik	(734.250.000)
Depresiasi	(50.625.000)
Biaya bahan bakar dan tol	(54.320.000)
Total biaya marketing	(8.207.840.000)
Biaya umum dan administrasi (G & A)
Salary dan bonus pegawai tetap	(2.315.000.000)
PPh 21 ditanggung perusahaan	(143.400.000)
Honorarium/komisi pegawai tidak tetap	(1.386.542.000)
Baju seragam satpam gudang	(84.560.000)
Telepon, air, dan listrik	(1.055.600.000)
Biaya sewa kantor	(1.633.500.000)
Depresiasi	(1.254.000.000)
Royalti	(660.000.000)
Biaya pembangunan pabrik baru	(4.365.000.000)
Penghapusan piutang	(4.763.480.000)
Pemeliharaan kendaraan	(87.200.000)
Alat tulis kantor	(164.380.000)
Biaya bahan bakar dan tol	(328.600.000)
Asuransi kendaraan	(364.700.000)
PBB gudang	(692.300.000)
Riset	(3.860.000.000)
Pendidikan pegawai	(1.340.000.000)
Family gathering	(154.700.000)
Total biaya umum dan administrasi (G&A)	(24.652.962.000)
Laba operasional	478.198.000
Pendapatan non operasi
Dividen dari PT Arjuna	382.500.000
Dividen dari PT Sentosa	134.900.000
Sewa mesin	67.400.000
Bunga deposito (setelah pajak)	34.280.000
Dividen dari Japan Co.	276.500.000
Total pendapatan non operasi	895.580.000
Biaya non operasi
Dividen bagi PT Internal	(28.700.000)
Dividen bagi PT Dewa	(16.300.000)
Dividen bagi umum lainnya	(60.000.000)
Bunga pinjaman	(76.275.000)
Sumbangan	(764.820.000)
Denda pajak	(452.300.000)
Rugi selisih kurs	(124.890.000)
Biaya lain - lain	(742.950.000)
Total biaya non operasi	(2.266.235.000)
Laba (Rugi) sebelum pajak	(892.457.000)

Berikut merupakan keterangan yang menjelaskan perincian berbagai elemen yang terdapat di laporan keuangan PT Corner.

Perusahaan mencatat penjualan berdasar prinsip akrual. Atas jumlah tercantum, terdapat nilai pendapatan sebesar Rp650.000.000,00 atas penjualan merchandise Olimpiade 2012 yang diharapkan hanya akan terjadi di tahun penyelenggaraan event olahraga tersebut.
Retur dan diskon penjualan dicatat ketika serah terima barang telah dilakukan.
Inventory merchandise dicatat menggunakan metode FIFO.
Salary dan bonus pegawai tetap bidang martketing, sebesar Rp1.250.000.000,00 diberikan dalam bentuk salary bulanan dan sisanya dalam bentuk bonus tahunan.
Atas tunjangan pajak penghasilan, Rp34.500.000,00 diberikan bagi pegawai dengan level supervisor, sedangkan sisanya diberikan bagi pegawai dengan level manajer dan direktur.
Atas biaya pendidikan pegawai bidang marketing, Rp175.000.000,00 diberikan sebagai tunjangan cuti pengganti salary bulanan.
Atas biaya promosi dan iklan, 25% di antaranya diwujudkan melalui sampling produk secara cuma – cuma kepada konsumen akhir.
Atas biaya jamuan makan/entertainment, Rp180.000.000 telah dilengkapi daftar nominatif penerima secara lengkap.
Atas biaya telepon, air, dan listrik bidang martketing, meliputi Rp334.250.000,00 untuk biaya air dan listrik. Seperempat dari biaya telepon dianggarkan dalam bentuk penyediaan pulsa bagi Direktur martketing, seperempat lain dianggarkan atas pembelian perangkat PDA baru bagi salesperson.
Atas biaya depresiasi bidang martketing, meliputi Depresiasi dengan metode garis lurus atas:
a. Handphone direktur, dibeli tahun 2011 dengan nilai tercatat Rp25.000.000, disusutkan selama 5 tahun. Sesuai peraturan pajak termasuk aset kelompok 1.
b. Smartphone bagi salesperson yang berdinas di luar lapangan, dibeli tahun 2009 dan disusutkan selama 4 tahun dan sesuai peraturan pajak termasuk aset kelompok 1.
c. PDA baru bagi salesperson yang dibeli di akhir Juni tahun 2012, disusutkan dengan masa manfaat 2 tahun, dan sesuai peraturan pajak termasuk aset kelompok 1.
Atas biaya bahan bakar dan tol bidang martketing, separuh di antaranya dialokasikan bagi Direktur martketing.
Atas honorarium dan komisi pegawai tidak tetap, termasuk pembayaran senilai Rp786.542.000,00 kepada mantan pegawai yang masih dimanfaatkan jasanya secara lepas.
Atas biaya sewa kantor, meliputi pembayaran bagi kurun 30 bulan dan dibayarkan di bulan Januari 2012.
Biaya Depresiasi bidang G&A meliputi Depresiasi dengan metode garis lurus atas:
a. Gedung pabrik lama dengan nilai kapitalisasi awal Rp13.850.000.000,00 yang diperoleh tahun 1990 dan disusutkan dengan masa manfaat 25 tahun.
b. Kendaraan niaga bagi keperluan distribusi dengan nilai kapitalisasi awal Rp6.000.000.000,00 yang diperoleh tahun 2008 dan disusutkan dengan masa manfaat 10 tahun. Peraturan perpajakan menggolongkan aset ke dalam kelompok 2.
c. Kendaraan dinas bagi Direktur Utama dengan nilai kapitalisasi awal Rp2.400.000.000,00 yang diperoleh akhir September 2012 dan disusutkan dengan masa manfaat 6 tahun. Peraturan perpajakan menggolongkan aset ke dalam kelompok 2.
Atas royalti, merupakan pembayaran bagi suatu perusahaan di luar negeri. Di dalamnya termasuk beban PPh 26 yang ditanggung PT Corner.
Atas biaya penghapusan piutang, senilai Rp3.763.480.000,00 telah diberitahukan kepada Ditjen Pajak, namun Rp500.000.000,00 di antara jumlah terlapor tersebut belum didaftarkan ke BUPLN.
Atas biaya pemeliharaan kendaraan, Rp10.000.000,00 merupakan biaya pemasangan sistem keamanan di kendaraan Direktur Utama.
Atas biaya bahan bakar dan tol bidang G&A, 15% di antaranya dialokasikan bagi Direktur Utama.
Atas biaya riset, 50% di antaranya ditenderkan dan dilaksanakan di luar Indonesia.
Atas dividen PT Arjuna, separuhnya berasal dari laba ditahan. PT Corner memiliki proporsi kepemilikan 35%.
Atas dividen PT Sentosa, seluruhnya diberikan dalam bentuk instrumen investasi. PT Corner memiliki proporsi kepemilikan 15%.
Atas dividen dari Japan Co., PT Corner telah mencatatnya secara netto terhadap pajak di luar negeri dengan tarif 30%.
Bunga sebesar 8% p.a. atas deposito PT Corner dibayarkan di akhir tahun. Pokok deposito bernilai tetap sepanjang tahun.
Bunga pinjaman sebesar 12% p.a. dibayarkan di akhir tahun, dengan nilai pokok pinjaman bernilai tetap sepanjang tahun.
Sumbangan diberikan untuk pembangunan panti asuhan rubuh di sekitar perusahaan dan pengadaan sarana bermain di dalamnya.
Biaya lain – lain tidak memenuhi ketentuan perpajakan sebagai deductible expense.
Kredit pajak yang telah dipotong pihak lain meliputi:
a. PPh 22 dikenakan atas impor senilai DPP PPN Rp19.250.000.000,00. PT Corner memiliki API.
b. PPh 23 telah dipotong pihak lain, senilai Rp481.250.000,00.
c. Angsuran PPh 25 telah dibayar, senilai Rp710.750.000,00.
d. STP PPh 25 senilai Rp401.500.000,00 termasuk denda Rp55.500.000,00.

Pertanyaan:
a. Bagaimanakah rekonsiliasi fiskal ditetapkan atas PT Corner?
b. Berapakah besar PPh terutang dan kredit pajak di periode berjalan?
c. Berapakah pajak kurang (lebih) bayar di periode berjalan?
d. Berapakah angsuran PPh 25 per bulan yang seharusnya dibayarkan di periode mendatang?

Analisis Kasus:

Perusahaan mencatat penjualan berdasar prinsip akrual. Atas jumlah tercantum, terdapat nilai pendapatan sebesar Rp650.000.000,00 atas penjualan merchandise Olimpiade 2012 yang diharapkan hanya akan terjadi di tahun penyelenggaraan event olahraga tersebut.
Analisis:
Pendapatan sebesar Rp650.000.000,00 atas penjualan merchandise Olimpiade 2012 = taxable income dan pendapatan tidak berkesinambungan, dan akan dikeluarkan dalam perhitungan angsuran PPh 25 periode mendatang (Keputusan Dirjen Pajak Nomor KEP-537/PJ/2000 tentang Penghitungan Besarnya Angsuran Pajak Dalam Tahun Pajak Berjalan dalam Hal-Hal Tertentu). Tidak ada koreksi.
Retur dan diskon penjualan dicatat ketika serah terima barang telah dilakukan.
Analisis:
Retur dan diskon penjualan diakui ketika terjadi realisasi serah terima barang, Tidak ada koreksi.
Inventory merchandise dicatat dengan metode FIFO.
Analisis:
Sesuai UU Pajak Penghasilan Pasal 10 (6), metode perhitungan persediaan dan HPP menggunakan metode rata-rata atau FIFO. Tidak ada koreksi.
Atas salary dan bonus pegawai tetap bidang martketing, Rp1.300.000.000,00 diberikan dalam bentuk salary bulanan dan sisanya dalam bentuk bonus tahunan.
Analisis:
Deductible expense. Tidak ada koreksi.
Atas tunjangan pajak penghasilan, Rp32.500.000,00 diberikan bagi pegawai dengan level supervisor, sedangkan sisanya diberikan bagi pegawai dengan level manajer dan direktur. Analisis:
Tunjangan pajak penghasilan yang dibayarkan kepada pegawai, merupakan deductible expense. Tidak ada koreksi.

>>> informasi lainnya dari laporan keuangan:
A. Koreksi positif biaya sumbangan bukan untuk bencana atau penelitian:
Sumbangan bahan pokok (sembako), non deductible expense.
= Rp364.835.000.
Atas biaya pendidikan pegawai bidang martketing, Rp175.000.000,00 diberikan sebagai tunjangan cuti pengganti salary bulanan.
Analisis:
Deductible expense. Tidak ada koreksi.

Atas biaya promosi dan iklan, 25% di antaranya diwujudkan melalui sampling produk secara cuma – cuma kepada konsumen akhir. Analisis:
Berdasarkan PMK No. 02/PMK.03/2010 tentang Biaya Promosi yang Dapat Dikurangkan dari Penghasilan Bruto, pasal 4, biaya promosi dan iklan, dengan daftar nominatif, serta sampling produk merupakan deductible expense. Tidak ada koreksi.

Atas biaya jamuan makan, Rp180.000.000 telah dilengkapi daftar nominatif penerima secara lengkap.
Analisis:
SE-27/PJ.22/1986 tentang Biaya "entertainment" dan sejenisnya (Seri PPh Umum 18), angka 1: Biaya "entertainment", representasi, jamuan dan sejenisnya untuk mendapatkan, menagih dan memelihara penghasilan pada dasarnya dapat dikurangkan dari penghasilan bruto sebagaimana dimaksud dalam Pasal 6 ayat (1) huruf a UU PPh.
B. Koreksi positif = jamuan makan tidak didukung dengan daftar nominatif
=Rp284.250.000 - Rp180.000.000 = Rp104.250.000.
Atas biaya telepon, air, dan listrik bidang martketing, meliputi Rp334.250.000,00 untuk biaya air dan listrik. Seperempat dari biaya telepon dianggarkan dalam bentuk penyediaan pulsa bagi Direktur marketing, seperempat lain dianggarkan atas pembelian perangkat PDA baru bagi salesperson. Analisis:
Keputusan Dirjen Pajak KEP-220/PJ/2002 tentang Perlakuan Pajak Penghasilan Atas Biaya Pemakaian Telepon Seluler Dan Kendaraan Perusahaan, pasal 1: atas biaya perolehan telepon seluler, pulsa dan kendaraan yang digunakan manajemen dapat dibebankan 50% sebagai deductible expense.
C. Koreksi positif atas biaya telepon, air, dan listrik bidang marketing:
Biaya telepon = Rp334.250.000,00 - Rp334.250.000,00 = Rp400.000.000,00
Perhitungan koreksi:
= 50% Biaya pulsa direktur    + Pembelian PDA yang seharusnya dikapitalisasi
= 50% * ¼ * 400.000.000    + ¼ * 400.000.000
= 50.000.000         + 100.000.000
= 150.000.000
Atas biaya Depresiasi bidang martketing, meliputi Depresiasi dengan metode garis lurus atas:
a. Handphone direktur, dibeli tahun 2011 dengan nilai tercatat Rp25.000.000, disusutkan selama 5 tahun (20%). Sesuai peraturan pajak termasuk aset kelompok 1 (4 tahun, 25%).
b. Smartphone bagi salesperson yang berdinas di luar lapangan, dibeli tahun 2009 dan disusutkan selama 4 tahun dan sesuai peraturan pajak termasuk aset kelompok 1 (4 tahun, 25%).
c. PDA baru bagi salesperson yang dibeli di akhir Juni tahun 2012, disusutkan dengan masa manfaat 2 tahun (50%), dan sesuai peraturan pajak termasuk aset kelompok 1 (4 tahun, 25%).
Analisis:
Keputusan Dirjen Pajak KEP-220/PJ/2002 tentang Perlakuan Pajak Penghasilan Atas Biaya Pemakaian Telepon Seluler Dan Kendaraan Perusahaan, pasal 1: atas biaya perolehan telepon seluler, pulsa dan kendaraan yang digunakan manajemen dapat dibebankan 50% sebagai deductible expense.
D. Koreksi positif Depresiasi bidang martketing.
Depresiasi bidang martketing menurut akuntansi
= 20% * 25.000.000    + Depresiasi smartphone    + 6/12 * 50% * 100.000.000
= 5.000.000        + Depresiasi smartphone    + 25.000.000
= 30.000.000         + Depresiasi smartphone

Depresiasi bidang martketing menurut fiskal
= 50% * 25% * 25.000.000    + Depresiasi smartphone    + 6/12 * 25% * 100.000.000
= 3.125.000        + Depresiasi smartphone    + 12.500.000
= 15.625.000        + Depresiasi smartphone

Koreksi positif atas Depresiasi bidang martketing
= Depresiasi menurut akuntansi        - Depresiasi menurut fiskal
= (30.000.000 + depresiasi smartphone)     - (15.625.000 + depresiasi smartphone)
= Rp14.375.000.

Atas biaya bahan bakar dan tol bidang martketing, separuh di antaranya dialokasikan bagi Direktur marketing. Analisis:
E. Koreksi positif biaya bahan bakar buat Direktur marketing
= 50% x ½ x 54.320.000 = Rp13.580.000.

Akun	Nominal Akuntansi	Ref	Koreksi Positif	Koreksi Negatif	Nominal Fiskal
Penjualan bruto	72.850.000.000		0	0	72.850.000.000
Retur penjualan	(1.975.000.000)		0	0	(1.975.000.000)
Diskon penjualan	(976.500.000)		0	0	(976.500.000)
Penjualan netto	69.898.500.000		0	0	69.898.500.000
Harga Pokok Penjualan
Inventory merchandise awal	(15.932.500.000)		0	0	(15.932.500.000)
Pembelian Inventory	(57.484.500.000)		0	0	(57.484.500.000)
Inventory merchandise akhir	36.857.500.000		0	0	36.857.500.000
	(36.559.500.000)		0	0	(36.559.500.000)
Laba bruto	33.339.000.000		0	0	33.339.000.000
Biaya Marketing
Salary dan bonus pegawai tetap	(1.764.000.000)		0	0	(1.764.000.000)
Tunjangan pajak penghasilan	(92.740.000)		0	0	(92.740.000)
Pembagian sembako	(364.835.000)	A	364.835.000	0	0
Pendidikan pegawai	(1.086.320.000)		0	0	(1.086.320.000)
Promosi dan iklan	(3.776.500.000)		0	0	(3.776.500.000)
Jamuan makan	(284.250.000)	B	104.250.000	0	(180.000.000)
Telepon, air, dan listrik	(734.250.000)	C	150.000.000	0	(584.250.000)
Depresiasi	(50.625.000)	D	14.375.000	0	(36.250.000)
Biaya bahan bakar dan tol	(54.320.000)	E	13.580.000	0	(40.740.000)
Jumlah Biaya Marketing	(8.207.840.000)		647.040.000	0	(7.560.800.000)

Penjelasan:

Atas honorarium dan komisi pegawai tidak tetap, termasuk pembayaran senilai Rp786.542.000,00 kepada mantan pegawai yang masih dimanfaatkan jasanya secara lepas. Analisis:
Deductible expense. Tidak ada koreksi.

>>> informasi lainnya dari laporan keuangan:
F. Koreksi Positif PPh 21 Ditanggung Perusahaan.
PPh 21 ditanggung perusahaan, bukan tunjangan PPh 21, merupakan non deductible expense, sehingga koreksi positif Rp143.400.000.
Atas biaya sewa kantor, meliputi pembayaran bagi kurun 30 bulan dan dibayarkan di bulan Januari 2012. (sudah terealisasi 12 bulan)
Analisis:
G.   Koreksi positif atas biaya sewa kantor
= Proporsi Biaya sewa dibayar di muka
= (30 bulan - 12 bulan) / 30 * 1.633.500.000 = Rp980.100.000
Biaya Depresiasi bidang G&A meliputi Depresiasi dengan metode garis lurus atas: a. Gedung pabrik lama dengan nilai kapitalisasi awal Rp13.850.000.000,00 yang diperoleh tahun 1990 dan disusutkan dengan masa manfaat 25 tahun. (Kelompok Bangunan Permanen, 20 tahun, 1990 + 20 = 2010, sudah habis disusutkan di fiskal.)
b. Kendaraan niaga bagi keperluan distribusi dengan nilai kapitalisasi awal Rp6.000.000.000,00 yang diperoleh tahun 2008 dan disusutkan dengan masa manfaat 10 tahun. Peraturan perpajakan menggolongkan aset ke dalam kelompok 2 (8 tahun, 12,5%).
c. Kendaraan dinas bagi Direktur Utama dengan nilai kapitalisasi awal Rp2.400.000.000,00 yang diperoleh akhir September 2012 dan disusutkan dengan masa manfaat 6 tahun. Peraturan perpajakan menggolongkan aset ke dalam kelompok 2 (8 tahun, 12,5%).
Analisis:
Gedung pabrik lama tidak disusutkan menurut fiskal, sebab telah melewati batas masa manfaat fiskal selama 20 tahun.
H.   Koreksi positif atas Depresiasi bidang G&A
Depresiasi bidang G&A menurut fiskal
= Depresiasi kendaraan niaga    + Depresiasi kendaraan direktur
= 12,5% *6.000.000.000        + 50% * 3/12 * 12,5% * 2.400.000.000
= 750.000.000            + 37.500.000     = 787.500.000

Perhitungan Koreksi:
= Depresiasi menurut akuntansi    - Depresiasi menurut fiskal
= 1.254.000.000            - 787.500.000     = Rp466.500.000.
Atas royalti, merupakan pembayaran bagi suatu perusahaan di luar negeri. Di dalamnya termasuk beban PPh 26 yang ditanggung PT Corner. Analisis:
UU PPh Pasal 6 ayat 1 (a), deductible expense: pajak kecuali pajak penghasilan.
I. Koreksi positif atas biaya royalti
Beban PPh 26 yang tidak boleh dibebankan. Nilah PPh 26 yang ditanggung oleh PT Corner:
= 20% / 120% * 660.000.000 = Rp110.000.000

>>> informasi lainnya dari laporan keuangan:
J. Koreksi positif biaya pembangunan gedung baru.
Analisis:
Biaya pembangunan gedung baru seharusnya tidak dibiayakan namun, dikapitalisasi dan disusutkan.
= Rp4.365.000.000.
Atas biaya penghapusan piutang, senilai Rp3.763.480.000,00 telah diberitahukan kepada Ditjen Pajak, namun Rp500.000.000,00 di antara jumlah terlapor tersebut belum didaftarkan ke BUPLN. Analisis:
Piutang yang nyata-nyata tidak dapat ditagih dengan syarat:
1. Telah dibebankan sebagai biaya dalam laporan laba rugi komersial;
2. Wajib Pajak harus menyerahkan daftar piutang yang tidak dapat ditagih kepada Direktorat Jenderal Pajak; dan
3. Telah diserahkan perkara penagihannya kepada Pengadilan Negeri atau instansi pemerintah yang menangani piutang negara; atau adanya perjanjian tertulis mengenai penghapusan piutang/pembebasan utang antara kreditur dan debitur yang bersangkutan; atau telah dipublikasikan dalam penerbitan umum atau khusus; atau adanya pengakuan dari debitur bahwa utangnya telah dihapuskan untuk jumlah utang tertentu;

K.   Koreksi positif atas piutang.
Penghapusan piutang belum diberitahukan ke Ditjen Pajak     =      1.000.000.000
Penghapusan piutang belum didaftarkan ke BUPLN               =         500.000.000
Jumlah koreksi                                                                    = Rp1.500.000.000.

Atas biaya pemeliharaan kendaraan, Rp10.000.000,00 merupakan biaya pemasangan sistem keamanan di kendaraan Direktur Utama. Analisis:
Keputusan Dirjen Pajak KEP-220/PJ/2002 tentang Perlakuan Pajak Penghasilan Atas Biaya Pemakaian Telepon Seluler Dan Kendaraan Perusahaan.
L.    Koreksi positif atas biaya sistem keamanan kendaraan Direktur Utama.
Deductible expense 50% dari biaya fasilitas manajemen.
= 50% x 10.000.000     = Rp5.000.000.
Atas biaya bahan bakar dan tol bidang G&A, 15% di antaranya dialokasikan bagi Direktur Utama. Analisis:
Keputusan Dirjen Pajak KEP-220/PJ/2002 tentang Perlakuan Pajak Penghasilan Atas Biaya Pemakaian Telepon Seluler Dan Kendaraan Perusahaan.
M. Koreksi Positif biaya bahan bakar dan tol Direktur Utama.
Deductible expense 50% dari biaya fasilitas manajemen.
= 50% x 15% x Rp328.600.000 = Rp24.645.000.

Atas biaya riset, 50% di antaranya ditenderkan dan dilaksanakan di luar Indonesia. Analisis:
UU PPh Pasal 6 ayat 1 (f), deductible expense: biaya penelitian dan pengembangan perusahaan yang dilakukan di Indonesia;
N. Koreksi Positif biaya riset.
Biaya riset yang ditenderkan dan dilaksanakan diluar Indonesia, merupakan nondeductible expense.
= 50% x Rp3.860.000.000 = Rp1.930.000.000,00

Akun	Nominal Akuntansi	Ref	Koreksi Positif	Koreksi Negatif	Nilai Fiskal
Biaya umum dan administrasi (G&A)
Salary dan bonus pegawai tetap	(2.315.000.000)	Ref	0	0	(2.315.000.000)
PPh 21 ditanggung perusahaan	(143.400.000)	F	143.400.000	0	0
Honorarium dan komisi pegawai tidak tetap	(1.386.542.000)		0	0	(1.386.542.000)
Seragam satpam gudang	(84.560.000)		0	0	(84.560.000)
Telepon, air, dan listrik	(1.055.600.000)		0	0	(1.055.600.000)
Biaya sewa kantor	(1.633.500.000)	G	980.100.000	0	(653.400.000)
Depresiasi	(1.254.000.000)	H	466.500.000	0	(787.500.000)
Royalti	(660.000.000)	I	110.000.000	0	(550.000.000)
Biaya pembangunan pabrik baru	(4.365.000.000)	J	4.365.000.000	0	0
Penghapusan piutang	(4.763.480.000)	K	1.500.000.000	0	(3.263.480.000)
Pemeliharaan kendaraan	(87.200.000)	L	5.000.000	0	(82.200.000)
Alat tulis kantor	(164.380.000)		0	0	(164.380.000)
Biaya bahan bakar dan tol	(328.600.000)	M	24.645.000	0	(303.955.000)
Asuransi kendaraan	(364.700.000)		0	0	(364.700.000)
PBB gudang	(692.300.000)		0	0	(692.300.000)
Riset	(3.860.000.000)	N	1.930.000.000	0	(1.930.000.000)
Pendidikan pegawai	(1.340.000.000)		0	0	(1.340.000.000)
Family gathering	(154.700.000)		0	0	(154.700.000)
Total biaya umum dan administrasi (G&A)	(24.652.962.000)		9.524.645.000	0	(15.128.317.000)

Penjelasan:

Atas dividen PT Arjuna, separuhnya berasal dari laba ditahan. PT Corner memiliki proporsi kepemilikan 35%. Analisis:
UU PPh Pasal 4 ayat 3 (f), dikecualikan dari objek pajak, dividen diperoleh PT sebagai WPDN dari PT yang berkedudukan di Indonesia, dengan syarat: berasal dari laba ditahan dan kepemilikan > 25% dari modal disetor.
O. Koreksi negatif atas dividen bukan objek pajak
50% dividen yang dibayar berasal dari laba ditahan dan porsi kepemilikan 35%, dikecualikan dari objek pajak.
Koreksi negatif = 50% x 382.500.000 = Rp191.250.000.
Atas dividen PT Sentosa, seluruhnya diberikan dalam bentuk instrumen investasi. PT Corner memiliki proporsi kepemilikan 15%.
Analisis:
UU PPh Pasal 4 ayat 1 (g), termasuk objek pajak “dividen, dengan nama dan dalam bentuk apapun”, termasuk dividen dalam bentuk instrumen investasi. Tidak ada koreksi.
Atas dividen dari Japan Co., PT Corner telah mencatatnya secara netto terhadap pajak di luar negeri dengan tarif 30%.
Analisis:
Penghasilan dari luar negeri tidak boleh di nettokan, karena pajak yang dipungut di luar negeri dapat dikreditkan (PPh Pasal 24)
P. Koreksi positif atas dividen dari Japan Co.
= Beban pajak luar negeri yang seharusnya tidak di-netto-kan
= 30% / 70% * 276.500.000 = Rp118.500.000.
Bunga sebesar 8% p.a. atas deposito PT Corner dibayarkan di akhir tahun. Pokok deposito bernilai tetap sepanjang tahun. Analisis:
Peraturan Pemerintah Nomor 131 Tahun 2000 tentang Pajak Penghasilan atas Bunga Deposito dan Tabungan Serta Diskonto Sertifikat Bank Indonesia, Pasal 1 ayat (1): Atas penghasilan berupa bunga deposito dan tabungan serta diskonto Sertifikat Bank Indonesia dipotong Pajak Penghasilan yang bersifat final.
Q. Koreksi negatif bunga deposito
Bunga deposito dikenakan PPh Final, dan oleh karena itu, tidak dimasukan dalam perhitungan pajak penghasilan.
Koreksi Negatif = (Rp34.280.000)

>>> informasi lainnya dari laporan keuangan:
R. Koreksi positif beban dividen
Analisis:
UU PPh Pasal 9 ayat 1 (a): pembagian laba dengan nama dan dalam bentuk apapun seperti dividen, merupakan non deductible expense.
Koreksi Positif =
Dividen bagi PT Internal       28.700.000
Dividen bagi PT Dewa           16.300.000
Dividen bagi umum lainnya    60.000.000.
Bunga pinjaman sebesar 12% p.a. dibayarkan di akhir tahun, dengan nilai pokok pinjaman bernilai tetap sepanjang tahun. Analisis:
Surat edaran SE-46/PJ.4/1995 tentang Perlakuan Biaya Bunga yang Dibayar atau Terutang dalam Hal Wajib Pajak Menerima atau Memperoleh Penghasilan Berupa Bunga Deposito atau Tabungan Lainnya, angka 4 (b).
S. Koreksi positif biaya bunga yang dapat dibebankan
Perhitungan Pokok deposito:
= 100% / 80% * 34.280.000 / 8%     = 535.625.000
Perhitungan Pokok pinjaman
= 100% / 12% * 76.275.000         = 635.625.000
Bunga pinjaman yang boleh dibebankan
= Selisih pokok pinjaman dan pokok deposito    * Tingkat bunga pinjaman
= (635.625.000 - 535.625.000)        * 12%         = 12.000.000
Koreksi positif atas bunga pinjaman
= Bunga pinjaman menurut akuntansi    - Bunga pinjaman menurut fiskal
= 76.275.000                 – 12.000.000     = 64.275.000
Sumbangan diberikan untuk pembangunan panti asuhan rubuh di sekitar perusahaan dan pengadaan sarana bermain di dalamnya.
Analisis:
UU PPh Pasal 9 Ayat 1 (g): sumbangan, kecuali yang ditetapkan pemerintah, merupaka nondeductible expense.
T. Koreksi positif biaya sumbangan bukan untuk bencana atau penelitian:
Sumbangan diberikan untuk pembangunan panti asuhan, non deductible = Rp764.820.000

>>> informasi lainnya dari laporan keuangan:
Denda Pajak
Analisis:
UU PPh Pasal 9 Ayat 1 (k): sanksi administrasi berupa bunga, denda, dan kenaikan serta sanksi pidana berupa denda yang berkenaan dengan pelaksanaan perundangundangan di bidang perpajakan.
U. Koreksi positif denda pajak
Denda pajak merupakan non deductible expense, jadi koreksi positif = Rp452.300.000.
Biaya lain – lain tidak memenuhi ketentuan perpajakan sebagai deductible expense.

V. Koreksi positif biaya lain-lain, non deductible expense:

Akun	Nominal Akuntansi	Ref	Koreksi Positif	Koreksi Negatif	Nilai Fiskal
Pendapatan non operasi
Dividen dari PT Arjuna	382.500.000	O	0	(191.250.000)	191.250.000
Dividen dari PT Sentosa	134.900.000		0	0	134.900.000
Sewa mesin	67.400.000		0	0	67.400.000
Bunga deposito (setelah pajak)	34.280.000	Q	0	(34.280.000)	0
Dividen dari Japan Co.	276.500.000	P	118.500.000	0	395.000.000
Total pendapatan non operasi	895.580.000		118.500.000	(225.530.000)	788.550.000
Biaya non operasi
Dividen bagi PT Internal	(28.700.000)	R	28.700.000	0	0
Dividen bagi PT Dewa	(16.300.000)	R	16.300.000	0	0
Dividen bagi umum lainnya	(60.000.000)	R	60.000.000	0	0
Bunga pinjaman	(76.275.000)	S	64.275.000	0	12.000.000
Sumbangan	(764.820.000)	T	764.820.000	0	0
Denda pajak	(452.300.000)	U	452.300.000	0	0
Rugi selisih kurs	(124.890.000)		0	0	(124.890.000)
Biaya lain - lain	(742.950.000)	V	742.950.000	0	0
Total biaya non operasi	(2.266.235.000)		2.129.345.000	0	(136.890.000)
Laba sebelum pajak	(892.457.000)		12.419.530.000	(225.530.000)	11.301.543.000

Pajak yang dibayar di luar negeri (dividen dari Japan Co.)	118.500.000
: 0.3/ 0.7 * 276.500.000
Penghasilan Luar Negeri = 276.500.000/ 0.7	395.000.000
Laba Sebelum Pajak	11.301.543.000
= (892.457.000) + 12.419.530.000 + (225.530.000)
Pajak Penghasilan terutang (20%)	2.260.308.600
Tarif 20% berlaku bagi perusahaan yang minimal 40% sahamnya dikuasai publik dan diperdagangkan di bursa efek, sesuai ketentuan Pasal 17 Ayat (2b).	0
Batas maksimum Kredit PPh 24	79.000.000
= (395.000.000/ 11.301.543.000) x 2.260.308.600
Kredit PPh 24	79.000.000

Laba sebelum pajak		11.301.543.000
PPh terutang (20%)		2.260.308.600
Kredit pajak
Kredit PPh 22	(481.250.000)
= 2,5% * 19.250.000.000
Kredit PPh 23	(481.250.000)
Kredit PPh 24	(79.000.000)
Kredit PPh 25	(710.750.000)
STP PPh 25	(346.000.000)	(2.098.250.000)
= 401.500.000 – 55.500.000 = Rp346.000.000
Pajak kurang (lebih) bayar		162.058.600

Laba sebelum pajak		11.301.543.000
Pendapatan tidak berkesinambungan		(650.000.000)
Estimasi pendapatan tahun mendatang		10.651.543.000
PPh terutang (20%)		2.130.308.600
Kredit pajak
Kredit PPh 22 (sudah punya API; 2,5%)	(481.250.000)
= 2,5% * 19.250.000.000
Kredit PPh 23	(481.250.000)
Kredit PPh 24	(79.000.000)	(1.041.500.000)
Total PPh 25		1.088.808.600
Angsuran PPh 25 per bulan		90.734.050

CIA CPA CISA Exam: The IS Audit Process - 2

2014-11-11T15:04:00.002+07:00

Latihan lagi yuk, materi IS Audit Process-2. Selain buat CISA, latihan ini bisa digunakan untuk CIA dan CPA Exam . Postingan ini melanjutkan latihan materi ujian IS Audit Process -1.

CIA CPA CISA Exam: The IS Audit Process - 2

1. The decisions and actions of an IS auditor are most likely to affect which of the following risks?
A. Inherent.
B. Detection.
C. Control
D. Business

Correct Answer: B.
Detection risks secara langsung dipengaruhi oleh pemilihan prosedur dan teknik oleh auditor. Ingat bahwa DR = AR / (IR x CR).
Detection risk: risiko dimana audit evidence yang diuji, gagal mendeteksi adanya material misstatement > tolerable misstatment, padahal, in fact, material errors tersebut ada. Detection risk berkaitan dengan jumlah substantive evidence yang direncanakan diakumulasi oleh auditor. Semakin rendah DR maka semakin banyak evidence yang harus diuji oleh auditor. Contoh: detection risk (DR) ditetapkan rendah (2%) untuk aktivitas inventory dan warehousing, maka jumlah planned evidence akan semakin banyak, begitu juga sebaliknya.

A. Incorrect,
Karena inherent risks tidak dipengaruhi oleh IS auditor. Risiko ini melekat pada suatu akun atau aktifitas tertentu, ketika diasumsikan tidak ada kontrol.
Inherent risk: risiko dimana signifikan error terjadi, ketika dikombinasikan dengan error lainnya yang ditemukan selama audit, dengan asumsi bahwa tidak ada compensating controls. Inherent risk juga dikategorikan sebagai risiko material misstatement, ketika tidak adanya related controls. Contoh: kas berisiko lebih mudah dicuri daripada persediaan berupa batubara.
C. Incorrect,
karena control risk dipengaruhi oleh tindakan dari manajemen perusahaan.
Control risk: risiko dimana material error terjadi, namun tidak dapat dicegah atau dideteksi secara tepat waktu, oleh system internal control yang ada. Contoh: control risk terkait dengan review manual atas computer logs, dapat menjadi tinggi, karena aktifitas review manual membutuhkan kerja investigasi dengan volume kerja yang banyak, sehingga potensi human error menjadi tinggi.
D. Incorrect,
karena business risk tidak diperngaruhi oleh IS auditor.
Business risks merupakan ancaman yang berdampak negatif terhadap assets, processes atau tujuan dari bisnis atau organisasi. Contoh business risk: kemampuan keuangan customer, credit worthiness, dan market factors.

2. Which of the following is the most critical step to perform when planning all IS audit
A. Review findings from prior audits.
B. Develop plans to conduct a physical security review of the data center facility.
C. Review IS security policies and procedures.
D. Perform a risk assessment.

Correct Answer: D.
Dari semua daftar pilihan, melakukan risk assessment merupakan langkah yang paling kritis dalam perencanaan audit. Risk assessment diwajibkan dalam ISACA audit perforamnce standard: 1202 (Risk Assessment in Planning) dan Guidelines 2202: Risk Assessment in Audit Planning (G13). Dengan melakukan risk assessment, maka IS auditor akan mengidentifikasi area-area bisnis yang memiliki tingkat risiko yang tinggi, dan kemudian sumber daya auditor (waktu, dana
Sebagai tambahan atas persyaratan standards tersebut, jika risk assessment tidak dilakukan, maka area high-risk dalam sistem atau operasional klien dapat tidak teridentifikasi untuk dievaluasi. Implikasi lainnya, detection risk (risiko bahwa material error tidak terdeteksi oleh auditor) akan meningkat bagi auditor jika risk assessment tidak dilakukan.

A. Incorrect,
walau review findings dari hasill audit sebelumnya merupakan bagian dari penugasan, namun langkah ini tidak se-kritis prosedur risk assessment.
Review follow up atas finding hasil audit sebelumnya merupakan salah satu prosedur perencanaan untuk untuk memonitor follow up manajemen atas audit finding, menilai prelimanary control risk (terkait integritas / komitmen manajemen terhadap internal control),
B. Incorrect,
walau review physical security dari fasilitas data center merupakan hal penting dalam perencanaan, namun langkah ini tidak se-kritis prosedur risk assessment.
Review physical security dari fasilitas data center merupakan salah satu prosedur mendapatan pemahaman awal dan pengujian awal internal control, untuk mendapatkan prelimary control risk. Prosedur lainnya misal review flowchart security data center.
C. Incorrect,
walau review policies dan procedures IS security merupakan hal penting dalam perencanaan, namun langkah ini tidak se-kritis prosedur risk assessment.
Review policies dan procedures IS security merupakan salah satu prosedur mendapatan pemahaman awal dan pengujian awal internal control, untuk mendapatkan prelimary control risk. Prosedur lainnya misal review flowchart security data center.

3. An IS auditor conducting a review of software usage and licensing discovers that numerous PC's contain unauthorized software. Which of the following actions should the IS auditor take'?
A. Delete all copies of the unauthorized software.
B. Inform the auditee of the unauthorized software, and follow up to confirm deletion.
C. Report the use of the unauthorized software and the need to prevent recurrence to auditee management.
D. Warn the end users about the risk of using illegal software.

Correct Answer: C.
Penggunaan software illegal atau unauthorized harus dilarang oleh perusahaan. Pembajakan software mengakibatkan adanya inherent exposure dan dapat menimbulkan adanya denda yang besar. Contoh: militer USA dikenakan denda USD 50 million, karena ketahuan menggunakan software bajakan. Maka, IS auditor harus meyakinkan para user dan management mengenai risiko tersebut dan perlunya mengeliminasi risiko tersebut.
Adanya software unauthorized merupakan symptom bahwa ada yang salah dalam pengelolaan risiko dan control IT. Oleh karena itu, IS auditor seharusnya menkomunikasikan kepada manajemen mengenai risiko dari software unauthorized dan merekomendasikan perbaikan proses manajemen risiko dan proses internal kontrol untuk mencegah terulangnya kembali adanya software unauthorized

A. Incorrect,
karena IS auditor tidak boleh mengambil alih tanggung jawab peran manajemen dan tidak boleh memerintah kan personil tertentu untuk terlibat dalam me-remove atau men-delete software unauthorized.
B. Incorrect,
karena hanya menginformasikan ke klien dan merekomendasikan men-delete software unauthorized tidak akan menyelesaikan masalah. Adanya software unauthorized merupakan symptom, the real problem-nya adalah kelemahan di sistem control IT.
D. Incorrect,
karena hanya mengingatkan user mengenai risiko software unauthorized tidak akan menyelesaikan masalah. Adanya software unauthorized merupakan symptom, the real problem-nya adalah kelemahan di sistem control IT.

4. When auditing the provisioning procedures of the identity management (IDM) system of a large organization, an IS auditor immediately finds a small number of access requests that had not been authorized by managers through the normal predefined workflow steps and escalation rules. The IS auditor should:
A. perform an additional analysis.
B. report the problem to the audit committee.
C. conduct a security risk assessment.
D. recommend that the owner of the IDM system fix the workflow issues.

Correct Answer: A.
IS auditor perlu melakukan substantive testing dan analysis tambahan untuk menentukan mengapa proses approval dan workflow tidak berjalan sebagaimana yang diharapkan. Sebelum membuat suatu rekomendasi, auditor seharusnya memperoleh pemahaman yang baik terkait lingkup masalah dan faktor penyebab terjadinya incident. IS auditor seharusnya mengidentifikasi apakah isu-isu disebabkan oleh manajer yang tidak mematuhi prosedur, oleh kesalahan workflow dalam automated system atau oleh kombinasi keduanya.

B. Incorrect,
karena opsi pilihan lainnya tidak benar karena auditor tidak memiliki informasi yang cukup untuk melaporkan masalah, melakukan risk assessment atau menyusun rekomendasi perbaikan workflow issues.
C. Incorrect,
karena opsi pilihan lainnya tidak benar karena auditor tidak memiliki informasi yang cukup untuk melaporkan masalah, melakukan risk assessment atau menyusun rekomendasi perbaikan workflow issues.
D. Incorrect,
karena opsi pilihan lainnya tidak benar karena auditor tidak memiliki informasi yang cukup untuk melaporkan masalah, melakukan risk assessment atau menyusun rekomendasi perbaikan workflow issues.

5. When testing program change requests, an IS auditor found that the population of changes was too small to provide a reasonable level of assurance. What is the most appropriate action for the auditor to take?
A. Develop an alternate testing procedure.
B. Report the finding to management as a deficiency.
C. Perform a walk-through of the change management process.
D. Create additional sample changes to programs.

Correct Answer: A.
Jika ukuran sample yang ditentukan tidak dapat dipenuhi oleh data yang ada, maka auditor tidak akan mampu untuk memberikan assurance terkait dengan tujuan pengujian. Dalam situasi ini, IS auditor seharusnya mengembangkan (with audit management approval) prosedur pengujian alternatif.
Dalam situasi tersebut, prosedur alternatif yang bisa dilakukan oleh IS Auditor adalah:

B. Incorrect,
karena IS Auditor tidak memiliki bukti yang cukup untuk melaporkan finding tersebut sebagai deficiency.
C. Incorrect,
karena teknik walk-through seharusnya tidak dilakukan, sebelum prosedur analisis dilaksanakan untuk mengkonfirmasi bahwa teknik walk-through dapat memberikan tingkat assurance yang diperlukan.
D. Incorrect,
karena tidak IS auditor tidak boleh menciptakan sendiri data sampel untuk tujuan audit.

6. The primary advantage of a continuous audit approach is that it:
A. Does not require an IS auditor to collect evidence on system reliability while processing is taking place.
B. Requires the IS auditor to review and follow up immediately on all information collected.
C. Can improve system security when used in time-sharing environments that process a large number of transactions.
D. Does not depend on the complexity of an organization's computer systems.

Correct Answer: C.
Penggunaan teknik continuous auditing dapat memperbaiki system security ketika digunakan dalam lingkungan time-sharing yang memproses banyak transaksi, namun sedikit meninggalkan paper trail.
Continuous auditing merupakan methodology audit yang menghasilkan laporan audit secara simultan dengan kejadian yang mendasari subjek laporan. Dengan metode ini, sistem membandingkan secara kontinu antara suatu kondisi dengan kriteria yang ditetapkan. Continuous auditing harus dikombinasikan dengan continuous monitoring, dan jika kedua metodologi berjalan efektif, maka continuous assurance dapat diberikan.

A. Incorrect
karena pendekatan continuous audit sering mensyaratkan IS Auditor untuk mengumpulkan bukti terkait reliabilitas sistem, yang dikumpulkan ketika prosessing sedang berjalan.
B. Incorrect,
karena tidak seluruh informasi direview dan ditindaklanjuti. IS Auditor biasanya akan me-review dan menguji lebih lanjut, hanya pada kelemahaman material atau kesalahan material yang terdeteksi.
D. Incorrect
karena penggunaan teknis continuous audit tergantung pada kompleksitas dari sistem komputer yang digunakan perusahaan. Semakin kompleks dan berisiko suatu bisnis perusahaan, maka semakin diperlukan penggunaan pendekatan continuous auditing.

7. An IS auditor is evaluating management's risk assessment of information systems. The IS auditor should first review:
A. the controls already in place.
B. the effectiveness of the controls in place.
C. the mechanism for monitoring the risks related to the assets.
D. the threats/vulnerabilities affecting the assets.

Correct Answer: D.
Salah satu faktor kunci yang dipertimbangkan ketika menilai risiko terkait dengan penggunaan berbagai macam sistem informasi adalah threats dan vulnerabilities yang mempengaruhi sistem informasi tersebut.
Dalam menilai IT risk management, tahapan yang dilakukan oleh IS auditor adalah:
1) Identifikasi dan menilai kesesuaian desain risk management dibandingkan dengan framework yang digunakan. Misal: framework COBIT.
2) Menilai efektifitas proses indentifkasi dan klasifikasi informasi dan sistem yang menghasilkan informasi tersebut, yang membutuhkan proteksi karena informasi dan sistem bersifat kritis atau sensitif atau benilai material, terkait dengan pencapaian tujuan sistem informasi/ perusahaan.
3) Menilai efektifitas proses penilaian threats dan vulnerabilities (kombinasinya menghasilkan = impact), yang terkait dengan aset informasi dan sistem, serta tingkat kemungkinan keterjadian (likelihood) dari impact tersebut. Tingkat resiko dihitung = impact x likelihood.
4) Menilai kecukupan dan efektifitas existing control atau kontrol yang dibangun untuk memitigasi risk / residual risk yang di atas risk appetite perusahaan.
Dari alternatif pilihan yang ada, hal yang lebih dulu dilakukan dari ke-4 pilihan A, B, C, dan D, maka IS Auditor lebih dulu melakukan review terkait proses penilaian threats dan vulnerabilities, sebelum melakukan review atas kecukupan dan efektifitas control untuk memitigasi risks dan review proses montoring risk management.

A. Incorrect,
karena review atas sistem kontrol yang terpasang, dilakukan setelah proses penilaian risk assessment. Kontrol didesain untuk mengendalikan risiko signifikan yang melebihi risk appetite perusahaan, jadi review kontrol setelah proses risk assessment.
B. Incorrect,
karena review atas sistem kontrol yang terpasang, dilakukan setelah proses penilaian risk assessment. Kontrol didesain untuk mengendalikan risiko signifikan yang melebihi risk appetite perusahaan, jadi review kontrol setelah proses risk assessment.
C. Incorrect,
karena mekanisme untuk secara kontinu memonitor risiko yang terkait dengan sistem informasi, seharusnya dilaksanakan dalam fungsi risk monitoring, yang dilakukan setelah tahap risk assessment.

8. Primary benefit derived from an organization employing control self-assessment (CSA) techniques is that it:
A. can identify high-risk areas that might need a detailed review later.
B. allows IS auditors to independently assess risk.
C. can be used as a replacement for traditional audits.
D. allows management to relinquish responsibility for control.

Correct Answer: A.
Control self-assessment (CSA) merupakan proses manajemen risiko dan pengembangan kontrol untuk mitigasi risiko yang dilakukan sendiri oleh setiap personel dan manejemen perusahaan, dengan memperhatikan risk appetite perusahaan. Personel / pemilik proses, mempergunakan pengetahuan dan pemahamannya terkait fungsi bisnis, untuk membangun kontrol dan kinerja dari kontrol tersebut.
Dalam CSA, manajemen dan personil sendiri yang melakukan penilaian atas efektifitas manajemen risiko dan kontrol. Umumnya, CSA dengan difasilitasi oleh internal auditor.
Oleh karena itu, manfaat dari CSA bagi perusahaan, antara lain:
1) Deteksi / identifikasi lebih awal terkait area-area yang berisiko
2) Internal kontrol yang lebih efektif dan terus diperbaiki.
3) Menciptakan tim yang solid melalui pelibatan personil dalam membangun internal kontrol.
4) Membangun rasa memiliki personil dan pemiliki proses atas internal kontrol, dan mengurangi resistensi mereka terhadap perbaikan Developing a sense of ownership of the controls in the employees and process owners, and reducing their resistance to control improvement initiatives.

B. Incorrect,
karena CSA justru mensyaratkan keterlibatan aktif personil line management dalam menilai sendiri efektifitas manajemen risiko dan kontrol. Dalam CSA, internal auditor lebih berperan sebagai konsultan/ fasilitator, sehingga ada pergeseran peran internal auditor dari yang bertanggung jawab menilai efektifitas manajemen risiko, menjadi fasilitator bagi personil/ manajemen dalam menilai efeketifitas manajemn risiko.
C. Incorrect,
karena CSA tidak menggantikan tradisional audit. CSA tidak dimaksudkan untuk menggantikan tanggung jawab audit, namun justru untuk meningkatkan efisien dan efektititas audit. Dengan penerapan CSA, internal auditor berperan sebagai fasilitator, dan menilai efektifitas atau memvalidasi proses CSA itu sendiri.
D. Incorrect,
karena CSA justru memperbaiki proses pertanggungjawaban manajemen terkait dengan internal kontrol. Manajemen, dan personil, identifikasi sendiri risiko, membangun sendiri kontrol, dan menilai sendiri efektifitas manajemen risiko dan sistem kontrol. Oleh karena itu, CSA tidak mengijinkan management untuk melepaskan tanggung jawabnya terhadap internal kontrol.

9. While planning an audit, an assessment of risk should be made to provide:
A. Reasonable assurance that the audit will cover material items.
B. Definite assurance that material items will be covered during the audit work.
C. Reasonable assurance that all items will be covered by the audit.
D. Sufficient assurance that all items will be covered during the audit work.

Correct Answer: A.
The ISACA IS Auditing Guideline G 15 (engagement planning) menyatakan “Perform a risk assessment to provide reasonable assurance that all material items will be adequately covered during the engagement. Audit strategies, materiality levels and resource requirements can then be developed.”
Penilaian risiko dilakukan untuk memberikan assurance bahwa item-item material akan masuk dalam lingkup pekerjaan audit. Penilaian ini seharusnya mengidentifikasi area-area yang secara relatif memiliki risiko tinggi terkait keberadaan masalah-2 material. Dengan mengetahui area-2 yang berisiko tinggi, maka strategi audit, tingkat materialitas, sumber daya yang dibutuhkan dapat disusun.

B. Incorrect,
karena keyakinan pasti (definite assurance) bahwa item material akan masuk dalam lingkup pekerjaan audit, merupakan pernyataan yang tidak praktis. Dalam audit selalu ada resiko audit (audit risk) dan risiko deteksi (detection risk), juga sampling risk.
C. Incorrect,
tahap penilaian risiko tidak dimaksudkan untuk memberi keyakinan yang memadai bahwa seluruh item akan masuk dalam lingkup pekerjaan audit, namun untuk memberikan keyakinan yang memadai bahwa material item yang berisiko tinggi akan masuk dalam lingkup audit.
D. Incorrect,
tahap penilaian risiko tidak dimaksudkan untuk memberi keyakinan yang cukup bahwa seluruh item akan masuk dalam lingkup pekerjaan audit, namun untuk memberikan keyakinan yang memadai bahwa material item yang berisiko tinggi akan masuk dalam lingkup audit.

10. Which of the following is the most important to ensure that effective application controls are maintained?
A. Exception reporting
B. Manager involvement
C. Control self-assessment (CSA)
D. Peer review

Correct Answer: C
Control self-assessment (CSA) merupakan proses manajemen risiko dan pengembangan kontrol untuk mitigasi risiko yang dilakukan sendiri oleh setiap personel dan manejemen perusahaan, dengan memperhatikan risk appetite perusahaan. Dalam CSA, manajemen dan personil sendiri yang melakukan penilaian atas efektifitas manajemen risiko dan kontrol. Umumnya, CSA dengan difasilitasi oleh internal auditor.
Process owners berada dalam posisi ideal untuk mendefinisikan kelayakan controls, karena mereka memiliki pengetahuan lebih mendalam terkait tujuan proses tersebut. IS auditor membantu process owners untuk memahami kebutuhan untuk controls, berdasarkan risiko-risiko teridentifikasi atas business processes. Personel / pemilik proses, mempergunakan pengetahuan dan pemahamannya terkait fungsi bisnis, untuk membangun kontrol dan kinerja dari kontrol tersebut.

A. Incorrect,
karena exception reporting hanya menganalisis kondisi yang tidak sesuai kriteria (ada deviasi) atau target apa yang belum tercapai. Exception report tidak memberikan informasi adanya kondisi yang salah, kalau tidak ada kriteria yang dibangun dalam aplikasinya. Oleh karena itu, exception report tidak memberikan informasi mengenai efektifitas suatu application control.
Exception report dihasilkan dari suatu program, yang menidentifikasi transaksi atau data yang tampaknya tidak benar/ mencurigakan. Selain identifikasi capaian target, transaksi/ data tersebut termasuk yang di luar predetermined range atau tidak sesuai dengan kriteria yang ditetapkan.
Contoh lain: rentang nomor invoice hari ini mulai dari 12001 s.d. 15045. Jika ada invoice > 15045 teridentifkasi dalam proses pengujian sequencial check, maka invoice tersebut akan ditolak atau diberi catatatan dan lalu dilaporkan dalam exception report..
B. Incorrect,
karena walau dalam CSA keterlibatan manager memang penting, namun keterlibatan manajemen bukan merupakan proses yang konsisten atau tidak well-defined, dibandingkan dengan CSA.
Keterlibatan manejemen dalam kontrol akan sangat tergantung pada integritas dan kapabilitas manajemen, sehingga kalau manajemen berganti, atau siatuasi berubah, maka keterlibatan manajemen bisa menjadi tidak kosisten atau tidak well-defined.
D. Incorrect,
Peer review melibatkan teman sejawat auditor, dan bertujuan untuk menilai mutu pekerjaan dengan cara menguji kesesuaian pekerjaan terhadap suatu standar. Selain itu, peer review kurang melibatkan secara langsung audit specialists dan management.

11. Which of the following is the primary advantage of using computer forensic software for investigation?
A. The preservation of the chain of custody for electronic evidence.
B. Time and cost savings.
C. Efficiency and effectiveness.
D. Ability to search for violations of intellectual property rights.

Correct Answer: A.
Computer forensics merupakan proses identifikasi, mempertahankan (preserve) rantai kepemilikan (custody), dan menyajikan bukti digital, dengan cara yang dapat diterima secara legal dalam tata acara hukum. Computer forensics termasuk aktifitas yang melibatkan eksplorasi dan penerapan metode untuk mengumpulkan, memproses, menginterprestasikan, dan menggunakan bukti digital, untuk membantu pembuktian apakah suatu tindakan melawan hukum telah terjadi.
Untuk dapat dijadikan bukti didepan hukum, rantai kepemilikan (custody) perlu dijaga secara profesional. Rantai bukti berisi informasi sbb:
1) Siapa yang memiliki akses ke bukti (chronological manner);
2) Prosedur yang ditempuh untuk mengelola bukti (seperti disk duplication, virtual memory dump);
3) Pembuktian bahwa analisis telah didasarkan pada seluruh copies yang identical dengan bukti original (dapat berupa documentation, checksums, timestamps).

B. Incorrect,
karena time dan cost saving merupakan salah satu faktor yang dipertimbangkan dalam memilih dan mengoperasikan paket forensic software, namun hal ini bukanlah manfaat utama dari penggunaan forensic software.
C. Incorrect,
efisiensi dan efektifitas merupakan salah satu faktor yang dipertimbangkan dalam memilih dan mengoperasikan paket forensic software, namun hal ini bukanlah manfaat utama dari penggunaan forensic software.
D. Incorrect,
karena kemampuan untuk mengidentifikasi pelanggaran intellectual property right's merupakan salah satu contoh penggunaan dari forensic software, bukan merupakan manfaat dari forensic software itu sendiri.

12. An IS auditor has imported data from the client's database. The next step - confirming whether the imported data are complete- - is performed by:
A. matching control totals of the imported data to control totals of the original data
B. sorting the data to confirm whether the data are in the same order as the original data.
C. reviewing the printout of the first 100 records of original data with the first 100 records of imported data.
D. filtering data for different categories and matching them to the original data.

Correct Answer: A.
Membandingkan control total dari data yang diimpor dengan control total dari data original, merupakan langkah berikutnya yang logis, karena prosedur ini memkonfirmasi kelengkapan dari data yang diimpor. Control total merupakan prosedur pengendalian input dalam proses batch, terdiri dari 3 control yaitu: record count (total item atau total dokumen), batch contol total (total monetary amount), dan hash total.
Record count – imported data = 112 data; Record count – original data = 112 data.
Kalau tidak control total – imported data = 107 maka, hal ini mengindikasikan ada 5 data yang tidak/ gagal di-impor.

B. Incorrect,
prosedur sorting lebih tepat digunakan untuk sequence check, bukan completeness check. Sequence check yaitu prosedur untuk menguji apakah ada data yang hilang atau kurang diinput. Misal: output = 1, 2, 3, 5, maka data 4 belum diinput, tetapi tidak menguji apakah ada data 6, 7, 8 yang seharusnya diinput.
C. Incorrect,
prosedur review printout 100 record pertama dari data original dengan 100 record pertama dari data import merupakan proses verifikasi fisik dan hanya mengkonfirmasi akurasi atas ke-100 data tersebut saja. Lebih mirip proses rekonsiliasi 100 data pertama, dan tidak menguji kelengkapan.
D. Incorrect,
prosedur penyaringan data ke dalam berbagai kelompok kategori dan membandingkan hasilnya dengan data original, tidak lah cukup. Prosedur ini perlu dilanjutkan dengan prosedur batch control total untuk menguji kelengkapan data.

13. The vice president of human resources has requested an audit to identify payroll overpayments for the previous year. Which would be the best audit technique to use in this situation?
A. Test data
B. Generalized audit software
C. Integrated test facility
D. Embedded audit module

Correct Answer: B.
Untuk identifikasi overpayment payroll, maka audit sebaiknya menggunakan generalized audit software (GAS). GAS memiliki banyak menu, termasuk perhitungan matematika, stratification, statistical analysis, sequence checking, duplicate checking, dan recomputation. Dengan menggunakan GAS, IS auditor dapat mendesain pengujian untuk menghitung ulang kalkulasi payroll, oleh karena itu IS auditor dapat menentukan apakah ada overpayment dan kepada siapa overpayment tersebut diberikan. Contoh GAS adalah ACL dan TeamMate.
Misal: dengan GAS, auditor dapat mengidentifkasi:
a. Adanya pembayaran ganda dengan menggunakan menu duplicate checking.
b. Mengidentifikasi adanya jumlah OT yang tidak wajar dengan menggunakan menu stratification atau statistical analysis.
c. Menguji akurasi perhitungan dengan menu recomputation.

A. Incorrect,
test data digunakan untuk menguji integritas program logic dari aplikasi dan efektifitas kontrol aplikasi untuk mencegah terjadinya overpayment. Caranya dengan menggunakan valid dan invalid data yang diinput dalam aplikasi, kemudian hasilnya dibandingkan dengan predetermined expectation.
Misal program logic gaji = (Reg Hrs + (OT Hrs x 1.5) ) x Hourly Rate.
Namun, test data tidak akan mendeteksi perhitungan overpayment yang disengaja, misal OT diinput = 5 hours, padahal seharusnya 3 hours.
C. Incorrect,
pendekatan ITF merupakan teknik otomatis yang membantu auditor untuk menguji program logic dan kontrol dari applikasi, selama proses operasional normal. ITF menggunakan dummy data dan dummy masterfile yang menyatu ke dalam applikasi riil. Hasilnya kemudian dibandingkan dengan predetermined expected result..
Oleh karena itu, integrated test facility (ITF) tidak akan mendeteksi adanya error / overpayment di periode sebelumnya.
D. Incorrect,
embedded audit module (EAM) (dikenal juga sebagai continuous auditing) digunakan untuk mengidentifikasi transaksi-2 penting ketika transaksi tersebut diproses dan kemudian secara riil time, transaksi tersebut di-ekstrak file copy-nya. EAM merupakan modul program yang melekat pada aplikasi aslinya untuk meng-ekstrak transaksi tertentu yang memenuhi parameter tertentu, yang kemudian akan digunakan untuk analisis / pengujian lebih lanjut.
Oleh karena itu, embedded audit module (EAM) tidak akan mendeteksi adanya error / overpayment di periode sebelumnya.

14. During a security audit of IT processes, an IS auditor found that there were no documented security procedures. The IS auditor should:
A. create the procedures document.
B. terminate the audit.
C. conduct compliance testing.
D. identify and evaluate existing practices.

Correct Answer: D.
Salah satu tujuan utama suatu audit adalah untuk mengidentifikasi risiko potensial, yang timbul akibat adanya control deficiency. Oleh karena itu, dalam situasi tersebut, langkah yang paling proaktif adalah IS auditor mengidentifikasi dan mengevaluasi praktek security yang sedang diimplementasikan dalam perusahaan.
Evaluasi yang dilakukan lebih bertujuan untuk menilai efektifitas praktek security yang diterapkan, kemudian auditor mengidentifikasi kelemahan-2 yang ada dalam praktek tersebut, lalu mengidentifikasi potensial risk yang mungkin timbul dari adanya kelemahan tersebut.

A. Incorrect,
membuat dokumentasi prosedur merupakan tanggung jawab manajemen da IS auditor tidak boleh menyiapkan dokumentasi prosedur sekuriti karena hal ini akan mengganggu independensi IS auditor.
B. Incorrect,
menghentikan audit akan membuat tidak tercapainya salah satu tujuan utama dari audit, yaitu identifikasi risiko potensial yang diakibatkan dari adanya control deficiency.
C. Incorrect,
karena tidak ada dokumentasi prosedur security, maka tidak ada basis kriteria bagi IS Auditor untuk melakukan pengujian kepatuhan.

15. In the course of performing a risk analysis, an IS auditor has identified threats and potential impacts. Next, the IS auditor should:
A. identify and assess the risk assessment process used by management.
B. identify information assets and the underlying systems.
C. disclose the threats and impacts to management.
D. identify and evaluate the existing controls.

Correct Answer: D.
Dalam menilai IT risk management, tahapan yang dilakukan oleh IS auditor adalah:
1) Identifikasi dan menilai kesesuaian desain risk management dibandingkan dengan framework yang digunakan. Misal: framework COBIT.
2) Menilai efektifitas proses indentifkasi dan klasifikasi informasi dan sistem yang menghasilkan informasi tersebut, yang membutuhkan proteksi karena informasi dan sistem bersifat kritis atau sensitif atau benilai material, terkait dengan pencapaian tujuan sistem informasi/ perusahaan.
3) Menilai efektifitas proses penilaian threats dan vulnerabilities (kombinasinya menghasilkan = impact), yang terkait dengan aset informasi dan sistem, serta tingkat kemungkinan keterjadian (likelihood) dari impact tersebut. Tingkat resiko dihitung = impact x likelihood.
4) Menilai kecukupan dan efektifitas existing control atau kontrol yang dibangun untuk memitigasi risk / residual risk yang di atas risk appetite perusahaan.
Oleh karena itu, setelah menilai efektifitas penilaian threats dan impact, kemudian IS auditor menilai kecukupan dan efektifitas existing control untuk memitigasi risk/ residual risk yang diatas risk appetite perusahaan.

A. Incorrect,
identifikasi dan menilai kesesuaian desain risk management dibandingkan dengan framework yang digunakan, merupakan langkah pertama.
B. Incorrect,
identifikasi aset informasi dan sistem terkait, merupakan langkah kedua sebelum proses penilaian efektifitas proses penilaian threats dan vulnerabilities.
C. Incorrect,
diskusi mengenai kecukupan dan efektifitas penilaian threats dan impact dengan manajemen, dilakukan saat proses audit atau saat exit meeting, tergantung tingkat urgensinya.

16. Which of the following should be of most concern to an IS auditor?
A. Lack of reporting of a successful attack on the network.
B. Failure to notify police of an attempted intrusion.
C. Lack of periodic examination of access rights.
D. Lack of notification to the public of an intrusion..

Correct Answer: A.
Ketika perusahaan mengetahui adanya successfull attack ke dalam network perusahaan, namun perusahaan sengaja tidak melaporkan serangan tersebut, maka hal ini dipandang sebagai kesalahan profesional yang disengaja.

B. Incorrect,
prosedur notifikasi kepada pihak polisi terkait percobaan intrusion, tergantung pada kebijakan perusahaan dan peraturan/ketentuan yang berlaku. Selain itu, masukan dari divisi hukum perlu diperoleh sebelum memutuskan untuk membuat laporan ke polisi.
C. Incorrect,
ketiadaan pengujian periodik atas hak akses merupakan bentuk control deficiency yang signifikan (ketiadaan kontrol atau ketidakefektifan kontrol). Kondisi ini belum tentu menunjukan memang ada pelanggaran hak akses, sehingga belum tentu ada kesalahan profesional.
Namun jika ternyata ada pelanggaran riil hak akses, dan perusahaan tidak melaporkan, maka hal ini juga merupakan kesalahan profesional yang disengaja.
D. Incorrect,
pelaporan ke publik tergantung kepada kebijakan perusahaan dan peraturan/ ketentuan yang berlaku. Untuk perusahaan sosial media yang menyangkut publik seperti Facebook atau Yahoo dipersyaratkan untuk mempublikasikan adanya percobaan intrusion ke dalam sistem mereka.

17. Which of the following would normally be the most reliable evidence for an IS auditor:
A. A confirmation letter received from a third party verifying an account balance.
B. Assurance from line management that an application is working as designed.
C. Trend data obtained from World Wide Web (internet) sources.
D. Ratio analysis developed by the IS auditor from reports supplied by line management.

Correct Answer: A.
Bukti yang diperoleh langsung oleh auditor dari pihak ketiga independen dipandang sebagai bukti yang paling reliable. Contohnya: surat respon konfirmasi piutang dan rekening koran yang diberikan oleh bank klien langsung kepada auditor.
Simpulan auditor harus didukung oleh bukti yang persuasif, yaitu bukti yang relevan, reliable, dan cukup. Bukti yang reliable adalah bukti yang memiliki tingkat kepercayaan yang tinggi. Tingkat kepercayaan tersebut ditentukan oleh:
1) Independensi dari penyedia bukti. Bukti yang diprodusksi dan diperoleh dari pihak III lebih reliable daripada bukti yang diproduksi dan diperoleh dari pihak manajemen.
2) Efektifitas internal control klien. Semakin efektif internal kontrol klien, maka semakin reliable bukti yang diperoleh.
3) Pengetahuan langsung oleh auditor. Bukti yang diperoleh secara langsung oleh auditor melalui physical examination, observation, recalculation, and inspection, lebih reliabel daripada bukti yang tidak diperoleh langsung oleh auditor.
4) Kualifikasi pihak penyedia informasi. Semakin qualified penyedia informasi maka semakin reliabel bukti yang diperoleh. Misal bukti pengetahuan langsung oleh auditor yang kompeten lebih reliable daripada dengan bukti pengetahuan langsung oleh auditor yang tidak kompeten.
5) Tingkat objektifitas. Bukti yang objektif adalah bukti yang tidak didasarkan pada pertimbangan individu. Contoh bukti objektif: perhitungan kas opname, sedangkan contoh bukti subjektif: jawaban tertulis dari pengacara klien.
6) Timeliness. Timeliness bisa bermakna: kapan bukti tersebut diakumulasi atau lingkup periode dari bukti. Misal 1: perhitungan marketable securities pada tanggal Laporan Posisi Keuangan lebih reliable daripada perhitungan 2 bulan sebelumnya. Misal 2: untuk menguji kelengkapan, bukti transasksi yang diuji menyangkut seluruh bulan dalam periode audit, lebih reliable dari bukti transaksi dari bulan tertentu saja.

B. Incorrect,
assurance dari line management merupakan bukti yang diperoleh dari pihak internal, sehingga kurang reliable.
C. Incorrect,
trend data yang diperoleh dari sumber World Wide Web (internet) merupakan bukti prosedur analitis yang memerlukan interprestasi individu (subjektif) dan perlu dikolaborasi dengan bukti lainnya, serta kualifikasi penyedia data masih perlu diuji lagi, sehingga bukti tersebut kurang reliable.
D. Incorrect,
ratio analysis yang dikembangkan oleh IS auditor dari laporan yang diperoleh dari line management, merupakan bukti prosedur analitis yang memerlukan interprestasi individu (subjektif) dan perlu dikolaborasi dengan bukti lainnya, serta datanya diperoleh dari pihak internal, sehingga bukti tersebut kurang reliable.

18. When evaluating the collective effect of preventive, detective, or corrective controls within a process, an IS auditor should be aware of which of the following:
A. The point at which controls are exercised as data flow through the system.
B. Only preventive and detective controls are relevant.
C. Corrective controls can only be regarded as compensating.
D. Classification allows an IS auditor to determine which controls are missing.

Correct Answer: A.
IS Auditor seharusnya fokus pada saat kapan kontrol-kontrol tersebut diterapkan ketika data mengalir masuk ke dalam sistem komputer.
Preventive control: pengendalian yang berfungsi untuk mencegah terjadinya suatu error, omission atau tindakan curang/fraud (belum terjadi). Contoh: validasi data input dan segregation of functions.
Detective control: pengendalian yang berfungsi untuk mendeteksi dan melaporkan kejadian suatu error, omission atau tindakan curang/fraud (telah terjadi). Contoh: reviu atas activity logs untuk mendeteksi adanya percobaan unauthorized access.
Corrective control: pengendalian yang berfungsi untuk memodifikasi atau menciptakan suatu sistem/prosedur untuk meminimalkan terulangnya kembali error, omission atau tindakan curang/fraud di masa mendatang. Contoh: contingency planning yang diterapkan, ketika kontrol utama tidak berjalan.

B. Incorrect,
karena ketika evaluasi efek kumulatif dari kontrol, maka baik preventif, detektif, dan corrective control, semuanya menjadi relevan.
C. Incorrect,
karena corrective control menghilangkan atau mengurangi dampak dari error atau irregularities dan dapat dikategorikan sebagai compensating controls
Compensating controls merupakan internal controls yang dimaksudkan untuk meminimalkan risiko dari kelemahan yang ada atau potensial dari sistem kontrol, ketika fungsi-2 tidak dapat dipisahkan secara memadai. Ketika ada kelemahan segregation of duties, maka buat compensating control dengan cara membuat detective control. Contoh: rekonsiliasi dan transactions log.
D. Incorrect,
karena dalam evaluasi efek kumulatif dari kontrol, yang penting adalah keberadaan dan fungsi dari kontrol, bukan klasifikasi dari kontrol itu.

19. Which audit technique provides the best evidence of the segregation of duties in an IS department?
A. Discussion with management.
B. Review of the organization chart
C. Observation and interviews
D. Testing of user access rights

Correct Answer: C.
Dengan melakukan observasi atas pelaksanaan fungsi/tugas IS staff, maka IS Auditor dapat mengidentifikasi apakah IS staff telah melaksanakan fungsi yang incompatible, dan dengan melakukan interview IS staff, maka IS Auditor dapat memperoleh pemahaman mengenai fungsi/ tugas IS staff. Berdasarkan observasi dan interview tersebut, IS auditor dapat mengevaluasi kelayakan suatu segregation of duties.
Observasi merupakan prosedur audit dengan cara melakukan pengamatan atas kegiatan riil, lalu hasil pengamatan tersebut dibandingkan dengan SOP kegiatan tersebut. Interview IS staff merupakan prosedur audit dengan cara mengajukan pertanyaan lisan atau verbal, dengan tujuan untuk memperoleh informasi suatu fakta atau penjelasan detail atas suatu data/informasi.
Segregation of duties merupakan salah satu prinsip sistem kontrol, dimana beberapa fungsi tidak boleh dikerjakan oleh satu orang. Fungsi yang harus dikerjakan oleh orang terpisah adalah:
1) Pengelolaan fisik aset (custody of the assets)
2) Otorisasi transaksi/ dokumen (authorization)
3) Pencatatan transaksi (recording transactions).
Segregation of duties mencegah terjadinya praktek fraudulent /malicious. Walaupun secara prinsip ada kesamaan, pemisahan fungsi dalam sistem manual berbeda dengan sistem informasi, dimana pemisahan fungsi di IS akan kurang terlihat dibandingkan dengan di manual sistem. Contoh: Sistem ERP bisa melakukan fungsi otorisasi permintaan pembelian (otorisasi), mencatat inventory masuk (recording), dan mengelola database (fisik informasi)
Contoh pemisahan fungsi dalam lingkungan sistem informasi, adalah:
a) Pemisahan systems development dari sistem testing dan computer operations.
b) Pemisahan database administration dari other functions.
c) Pemisahan programmer dan pemeliharaan dengan operator komputer.

A. Incorrect,
karena management biasanya tidak paham secara detail mengenai fungsi dari setiap pegawainya dalam IS departement. Maka, diskusi dengan manajemen hanya akan memberikan informasi terbatas, terkait dengan segregation of duties.
B. Incorrect,
organization chart tidak menyediakan informasi yang cukup detail untuk penilaian kecukupan pemisahan fungsi.
D. Incorrect,
pengujian hak akses user akan memberikan informasi mengenai hak yang dimiliki user di dalam suatu IS System, namun tidak memberikan informasi yang cukup mengenai fungsi yang mereka laksanakan.

20. After reviewing the disaster recovery plan (DRP) of an organization, an IS auditor requests a meeting with company management to discuss the findings. Which of the following best describes the main goal of this meeting?
A. Obtaining management approval of the corrective actions
B. Confirming factual accuracy of the findings
C. Assisting management in the implementation of corrective actions
D. Clarifying the scope and limitations of the audit

Correct Answer: B.
Tujuan dari pertemuan tersebut adalah untuk mengkonfirmasi akurasi fatual dari audit finding dan memberikan kesempatan bagi management untuk menanggapi dengan usulan tindakan koreksi dari IS auditor.
Tujuan dari suatu exit meeting adalah:
a. Mengkonfirmasi bahwa fakta-fakta yang dikumpulkan dan disajkan telah benar.
b. Meyakinkan bahwa rekomendasi dipertimbangkan realistik dan cost-effective, dan jika tidak, maka dicari alternatifnya dengan cara negosiasi dengan manajemen klien.
c. Mempresentasikan rekomendasi dan tanggal implementasi atas rekomendasi yang disepakati.

A. Incorrect,
karena memang suatu finding dan corrective action-nya sebaiknya disepakati bersama antara IS auditor dan manajemen, agar rekomendasi dapat ditindaklanjuti dan hubungan baik dengan manajemen tetap terjaga. Namun, persetujuan manajemen atas suatu corrective action bukan suatu keharusan, dan jika terdapat ketidaksepakatan, maka baik pernyataan posisi IS auditor dan manajemen diuraikan dalam laporan hasil audit.
C. Incorrect,
implementasi tindakan koreksi seharusnya dilakukan setelah exit meeting, di mana akurasi atas finding telah dikonfirmasi, dan manajemen telah memberikan tanggapan atas usulan tindakan koreksi dari IS Auditor. Selain itu, IS auditor tidak boleh mengimplementasi tindakan koreksi, karena hal ini akan mengganggu independensi auditor.
D. Incorrect,
pembahasan dan klarifikasi lingkup dan pembatasan penugasan audit seharusnya dibahas dan disepakati dengan manajemen saat entry meeting, bukan pada saat exit meeting.

Tips for CPA Exam

2014-11-03T23:31:00.000+07:00

Tips CPA Exam - Yulias Sihombing

Sekali lagi, postingan ini saya buat karena ada beberapa kawan nanya tips gimana saya bisa lulus CPA Exam on first attempt. Beberapa kawan minta bahan materi belajar saya, dan karena yang minta kawan maka saya kasih pinjam materi yang saya gunakan. Tampaknya beberapa kawan berpikir saya bisa lulus langsung karena buku yang saya baca.

Tips for CPA Exam

Dugaan kawan-2 benar tapi salah. Benar karena memang saya baca buku materi, Salah karena saya bukan hanya baca buku, tetapi saya juga banyak diskusi, baca dan latihan dari banyak referensi. Jadi kalo mau pinjam buku ke saya, ya saya ga mungkinlah kasih semua, bisa-bisa buku saya dirumah nanti jadi kosong.

Bukan hanya materi review yang saya pelajari, banyak referensi lain yang saya pelajari, termasuk hasil diskusi dengan kawan-kawan dan praktek dalam penugasan audit. Misal untuk praktek penugasan, setiap melakukan prosedur audit, saya berusaha membaca kembali ke SPAP untuk memastikan bahwa langkah audit saya benar. Setiap buat laporan audit, saya liat lagi SPAP.

Ok, sebelum masuk ke tips gimana lulus CPA Exam, saya ingin sedikit cerita dulu gimana proses saya daftar, ujian, ampe dinyatakan lulus. Kronologi ini saya ceritakan untuk menunjukan bahwa metode belajar saya cukup efektif, untuk ukuran auditor berkelas rata-rata seperti saya. Kronologis:

1. Daftar ujian CPA tanggal 14 Juli 2014, dengan masa berlaku voucher s.d. 8 Agustus 2014, dengan diskon Lebaran 50% , jadi saya bayar total Rp4,5 juta saja. Saya ambil periode diskon karena saya PNS, dengan biaya sendiri, jadi maklum lah.
2. Ujian tanggal 5, 6, 7, dan 8 Agustus 2014, jadi waktu antara daftar ke ujian = hanya 3 minggu.
3. Pengumuman kelulusan 31 Oktober 2014.
Loh koq bisa cepat sekali masa belajar persiapan ujian, hanya 3 minggu? Nah disinilah tipsnya.

Tips 1: persiapakan diri anda sejauh mungkin.

Saya memang niat sudah dari bulan Mei 2014 untuk ikut ujian CPA, jadi dari bulan Mei 2014 saya sudah mencari informasi referensi buku, materi review, diskusi dengan kawan. Saya sih ga ikut review, tetapi saya pinjam buku review dari teman kantor yang baru saja ikut review. Buat kawan yang memiliki kemampuan rata-rata seperti saya, siapkan waktu anda minimal 3 jam sehari untuk belajar materi ujian selama minimal 20 minggu. Daftarlah ujian ketika anda merasa yakin siap atau saat ada periode diskon (bagi yang biaya sendiri). Tips yang sama sudah saya dapat dilihat dalam posting Tips and Trick for CIA Exam .

Tips 2: perbanyak referensi materi belajar.

Gunakan materi review sebagai referensi silabus. Terus terang, saya kurang begitu paham silabus yang diuji di CPA Exam, namun saya menggunakan buku review sebagai patokan silabus. Apa yang ada dibuku review, saya perdalam lagi dari referensi lain. Artinya...., belajar jangan hanya dari buku review, tetapi di explore, diperdalam, diperlebar, didiskusikan, dan dilatih dengan referensi lainnya.

Misal perdalam materi dari hasil googling, belajar buku Kieso, Wiley, aturan Bappepam, kerjakan latihan USKP, dll, dll, dll.

Misal: akuntansi manajemen: coba baca materi akuntansi manajemen yang umumnya keluar, latihan soal dari sumber manapun.

Tips 3: Belajar, Kerja, Belajar, Kerja, Belajar, Kerja (Kabinet Belajar Kerja)

Kebanyakan dari kita adalah pegawai. Jadi kita sedikit punya waktu tersedia untuk belajar. Pagi ampe sore = kerja, malem = jatah anak, tengah malem = jatah bini, dah ga ada lagi waktu belajar. Nah disinilah tantangannya, CPA Exam butuh komitmen kita untuk belajar. Sediakan waktu disela-sela jam kerja untuk belajar, setidaknya 1,5 jam, dan sediakan waktu dirumah saat malam setidaknya 1,5 jam tuk belajar lagi. Yah..., anak dan bini berkorban dikitlah selama 20 minggu ga dicolek-colek. Apalagi sabtu minggu, perbanyak jam belajar.

Untuk tips lainnya sebenarnya sama dengan apa yang pernah saya sampaikan dalam posting Tips and Trick for CIA Exam , karena menurut saya apapun ujiannya hal yang utama adalah Tips 1, 2, 3 tersebut. Selain itu, yang terpenting dari terpenting adalah berdoa, minta kemudahan dari Tuhan, minta restu dari istri, anak, orang tua, mertua 1, mertua 2, dan mertua 3.

Sebenarnya bisa aja sih belajar santai, namun besar kemungkinan anda akan lulus dalam waktu yang lama dan akan ujian ulang beberapa kali. Tips ini berlaku kalo kawan-kawan ingin cepat lulus.

Demikian tips for CPA Exam dari saya, semoga bermanfaat.

Akuntansi dan Pelaporan Keuangan - 1

2014-10-28T08:33:00.000+07:00

Yuk kita latihan soal ujian materi Akuntansi dan Pelaporan Keuangan (Financial Accounting and Reporting). Soal latihan ini bisa digunakan baik untuk CIA Exam maupun untuk CPA Exam. Untuk postingan kali ini, kami coba sajikan 10 soal latihan beserta pembahasannya.

Mangga......, silakan dicoba......, semoga bermanfaat....

Financial Accounting and Reporting - 1

1. To calculate net sales, <List A> must be <List B> cash receipts from customers.
       List A                                                                 List B

A.   An increase in accounts receivable                      Added to

B.   An increase in accounts receivable                     Subtracted from

C.   An increase in accounts payable                         Added to

D.   An increase in accounts payable                        Subtracted from

Pembahasan:
A. Pilihan (A) correct.
Untuk menkonversi dari cash basis (penerimaan kas) ke accrual basis (penjualan bersih), kenaikan piutang bersih harus ditambahkan ke penerimaan kas dari konsumen.

Total penjualan = penjualan kredit + penjualan tunai
Saldo akhir piutang = saldo awal piutang + penjualan kredit – pelunasan piutang.

Jadi,
Penjualan kredit = (Saldo akhir piutang – saldo awal piutang) + pelunasan piutang
Penjualan kredit = (kenaikan saldo piutang) + pelunasan piutang.
Penerimaan Kas dari Konsumen = pelunasan piutang + penjualan tunai

Jadi untuk menghitung net sales:
Total penjualan = {(kenaikan saldo piutang) + pelunasan piutang} + penjualan tunai)
Total penjualan = (kenaikan saldo piutang) + (pelunasan piutang + penjualan tunai)
Total penjualan = (kenaikan saldo piutang) + (Penerimaan Kas dari Konsumen)

B. Pilihan (B) incorrect.
Ketika terjadi penurunan saldo piutang, maka:
Penjualan bersih = (Penerimaan Kas dari Konsumen) – (penurunan saldo piutang).

C. Pilihan (C) incorrect.
Perubahan dalam accounts payable tidak akan dimasukan ke dalam perhitungan penjualan bersih.

D. Pilihan (D) incorrect.
Perubahan dalam accounts payable tidak akan dimasukan ke dalam perhitungan penjualan bersih.

2. On January 1, a new landscaping firm, Bandit28 Co., acquired a fleet of vehicles, all the necessary tools and equipment, and a parking and storage facility. It began operations immediately. It is now the end of the first year of operations, and the first set of year-end financial statements is being prepared. On April 1, the company arranged a US $100,000, 10% bank loan. Interest payments of US $5,000 are due on October 1 and April 1 of each year during the 5-year term of the loan. If Bandit28 Co. reports expenses on an accrual basis, interest expense for the first year of operations is

A. US $5,000
B. US $7,500
C. US $10,000
D. US $12,500

Pembahasan:
A. Pilihan (A) incorrect.
Interest expense dengan cash basis = US $5,000 = pembayaran bunga pada tanggal 1 Oktober Y1.

B. Pilihan (B) correct.
Interest expense untuk tahun pertama = (pembayaran US $5,000 pada tanggal 1 Oktober) + (bunga akrual selama 3 bulan pada periode berjalan) = ($5,000 + $2,500) = US $7,500.

1 April = mendapat Loan 100,000, 10%/ per tahun = 10,000/ tahun.
1 Oktober Y1 = interest dibayar, 1 April – 1 Oktober = 6 bulan = 5,000
31 Desember Y1 = interest akrual, 1 Oktober – 31 Desember = 3 bulan = 2,500.

C. Pilihan (C) incorrect.
US $10,000 = interest expense selama 12 bulan.

D. Pilihan (D) incorrect.
US $12,500 = interest expense selama 15 bulan.

3. Pada tanggal 1 Desember 2008, PT. Hirasa memutuskan untuk merencanakan melepaskan komponen aset pada bisnis Dani. Pelepasan aset tersebut memenuhi syarat untuk digolongkan sebagai operasi dalam penghentian. Pada tanggal tersebut, Hirasa mengestimasikan bahwa kerugian dari pelepasan aset adalah Rp700 juta, dan kerugian operasi Dani tahun 2008 adalah Rp200 juta. Dengan mengabaikan pengaruh pajak penghasilan, berapa keuntungan (kerugian) neto yang harus dilaporkan untuk operasi dalam penghentian pada laporan laba komprehensif PT Hirasa tahun 2008?

A. Rp0
B. Rp(200 juta)
C. Rp(700 juta)
D. Rp(900 juta)

Pembahasan
A. Pilihan (A) incorrect.
Dalam laporan keuangan, perusahaan menyajikan pengaruh dari Discontinuing Operations pada nilai bersih setelah pajak, disajikan setelah bagian Continuing Operations, namun sebelum bagian Extraordinary Items.

B. Pilihan (B) incorrect.
Rugi Rp200 juta, hanya menyajikan laba/rugi dari operasional Divisi yang Dihentikan, belum termasuk laba/rugi dari pelepasan aset /kewajiban Divisi yang Dihentikan (Rugi Rp700 juta)

C. Pilihan (C) incorrect.
Rugi Rp700 juta, hanya menyajikan laba/rugi dari pelepasan aset /kewajiban Divisi yang Dihentikan, belum termasuk laba/rugi dari operasional Divisi yang Dihentikan (Rugi Rp200 juta)

D. Pilihan (D) correct.
Keuntungan/ kerugian operasi dalam penghentian (Discontinuing Operation) harus dilaporkan terpisah dari keuntungan/ kerugian dari operasi berjalan. Dalam laporan keuangan, perusahaan menyajikan pengaruh dari Discontinuing Operations pada nilai bersih setelah pajak, disajikan setelah bagian Continuing Operations, namun sebelum bagian Extraordinary Items.

Item yang disajikan dalam bagian Discontinuing Operations adalah laba/rugi dari operasional Divisi yang Dihentikan (yaitu rugi Rp200 juta) dan laba/rugi dari pelepasan aset /kewajiban Divisi yang Dihentikan (yaitu rugi Rp700 juta), sehingga laba/ rugi dari Discontinuing Operations = Rp200 juta + Rp700 juta = Rp900 juta.

4. Dalam keadaan apakah kapitalisasi biaya pinjaman harus dihentikan apabila ada penundaan aktivitas untuk membangun suatu aset?

A. Penundaan disebabkan karena menunggu penyelesaian dari pekerjaan teknik yang sedang berlangsung
B. Penundaan disebabkan karena menunggu penyelesaian dari pekerjaan administrasi yang sedang berlangsung.
C. Adanya kondisi alam tertentu seperti adanya permukaan air sungai yang sedang pasang.
D. Penundaan aktivitas berlangsung cukup lama dan bukan disebabkan oleh alasan teknis, administratif, ataupun kondisi alam.

Pembahasan
A. Pilihan (A) incorrect.
Kapitalisasi biaya pinjaman harus dihentikan jika pembangunan aset kualifikasian tersebut ditunda dalam waktu yang cukup lama dan dan bukan disebabkan oleh alasan teknis, administratif, ataupun kondisi alam.

Oleh karena itu, kapitalisasi biaya pinjaman tetap dilakukan selama periode penundaan yang disebabkan untuk menunggu penyelesaian dari pekerjaan teknik yang sedang berlangsung.

B. Pilihan (B) incorrect.
Kapitalisasi biaya pinjaman harus dihentikan jika pembangunan aset kualifikasian tersebut ditunda dalam waktu yang cukup lama dan dan bukan disebabkan oleh alasan teknis, administratif, ataupun kondisi alam.

Oleh karena itu, kapitalisasi biaya pinjaman tetap dilakukan selama periode penundaan yang disebabkan untuk menunggu penyelesaian dari pekerjaan administrasi yang sedang berlangsung.

C. Pilihan (C) incorrect.
Kapitalisasi biaya pinjaman harus dihentikan jika pembangunan aset kualifikasian tersebut ditunda dalam waktu yang cukup lama dan dan bukan disebabkan oleh alasan teknis, administratif, ataupun kondisi alam.

Oleh karena itu, kapitalisasi biaya pinjaman tetap dilakukan selama periode penundaan yang disebabkan adanya kondisi alam tertentu seperti adanya permukaan air sungai yang sedang pasang..

D. Pilihan (D) correct.
Berdasarkan PSAK 26: Biaya Pinjaman, kapitalisasi biaya pinjaman harus dihentikan jika:
1) konstruksi aset tersebut telah diselesaikan.
2) pembangunan aset kualifikasian tersebut ditunda dalam waktu yang cukup lama dan dan bukan disebabkan oleh alasan teknis, administratif, ataupun kondisi alam.

5.On December 31, year 1, Brooks Co. decided to end operations and dispose of its assets within three months. At December 31, year 1, the net realizable value of the equipment was below historical cost. What is the appropriate measurement basis for equipment included in Brooks’ December 31, year 1 balance sheet?

A. Historical cost.
B. Current reproduction cost.
C. Net realizable value.
D. Current replacement cost.

Pembahasan
A. Pilihan (A) incorrect.
Historical cost lebih tepat digunakan sebagai dasar pengukuran untuk aset-aset dari entitas yang masih beroperasi karena nilai tersebut menggambarkan kemungkinan manfaat masa depan, yang menjadi karakteristik SFAC 6: Elements of Financial Statements.

B. Pilihan (B) incorrect.
Current reproduction costs lebih tepat digunakan sebagai dasar pengukuran untuk aset-aset dari entitas yang masih beroperasin karena nilai tersebut menggambarkan kemungkinan manfaat masa depan, yang menjadi karakteristik SFAC 6: Elements of Financial Statements.

C. Pilihan (C) correct.
FASB Codification memberikan panduan bagaimana penentuan gain atau loss dari disposal komponen business. Menurut panduan tersebut, penentuan tersebut (untuk disposal komponen bisnis) seharusnya didasarkan pada estimasi nilai net realizable value dari komponen tersebut. Karena Brooks Co. berencana untuk menghentikan seluruh operasinya, maka basis pengukuran yang layak untuk equipment-nya adalah net realizable value.

D. Pilihan (D) incorrect.
Current replacement costs lebih tepat digunkan sebagai dasar pengukuran untuk aset-aset dari entitas yang masih beroperasi karena nilai tersebut menggambarkan kemungkinan manfaat masa depan, yang menjadi karakteristik SFAC 6: Elements of Financial Statements.

6. Lin Co., a distributor of machinery, bought a machine from the manufacturer in November year 1 for $10,000. On December 30, year 1, Lin sold this machine to Zee Hardware for $15,000, under the following terms: 2% discount if paid within thirty days, 1% discount if paid after thirty days but within sixty days, or payable in full within ninety days if not paid within the discount periods. However, Zee had the right to return this machine to Lin if Zee was unable to resell the machine before expiration of the ninety-day payment period, in which case Zee’s obligation to Lin would be canceled. In Lin’s net sales for the year ended December 31, year 1, how much should be included for the sale of this machine to Zee?

A. $0
B. $14,700
C. $14,850
D. $15,000

Pembahasan
A. Pilihan (A) correct.
Pendapat dari penjualan produk yang mengandung hak return, dapat diakui pada saat terjadi penjualan ketika seluruh kondisi berikut terpenuhi:
1. Harga secara substansial tetap atau dapat ditentukan pada tanggal penjualan.
2. Pembeli telah bayar atau berkewajiban tanpa syarat (tidak contigent) untuk membayar.
3. Kewajiban tidak berubah karena kejadian pencurian, kehancuran, atau kerusakan dari produk tersebut.
4. Pembeli memiliki “substansi ekonomi” terpisah dari penjual (yakni: penjualan tidak dilakukan dengan pihak yang dibentuk terutama bertujuan untuk dalam rangka pengakuan pendapatan penjualan).
5. Penjual tidak memiliki kewajiban signifikan untuk bertanggung jawab secara langsung menyebabkan terjadinya resale produk tersebut.
6. Jumlah return di masa depan dapat diestimasi secara layak.

Karena pembeli, Zee, memiliki hak untuk mengembalikan mesin kepada seler, Lin, jika Zee tidak dapat menjual kembali produk tersebut dalam waktu kurang dari 90 hari, maka kondisi (2) di atas tidak terpenuhi. Oleh karena itu, terhadap transaksi tersebut, Lin belum boleh mengakui pendapatan penjualan dan harga pokok penjualan.

B. Pilihan (B) incorrect.
Traksaksi tidak memenuhi syarat kondisi (2) untuk pengakuan penjulan, sehingga tidak ada pengakuan pendapatan penjualan dan harga pokok penjualan.

C. Pilihan (C) incorrect.
Traksaksi tidak memenuhi syarat kondisi (2) untuk pengakuan penjulan, sehingga tidak ada pengakuan pendapatan penjualan dan harga pokok penjualan.

D. Pilihan (D) incorrect.
Traksaksi tidak memenuhi syarat kondisi (2) untuk pengakuan penjulan, sehingga tidak ada pengakuan pendapatan penjualan dan harga pokok penjualan.

7. Which of the following is not one of the criteria for revenue recognition for sales of goods under IFRS?

A. The significant risks and rewards of ownership of goods are transferred.
B. Payment has been received.
C. The entity does not retain either a continuing managerial involvement or control over the goods.
D. The costs incurred can be measured reliably.

Pembahasan
A. Pilihan (A) incorrect.
Pilihan A merupakan kriteria (1) pengakuan pendapatan di bawah IFRS.

B. Pilihan (B) correct.
Substansi pertanyaan adalah untuk identifikasi item-item yang bukan sebagai kriteria pengakuan pendapatan untuk penjualan barang under IFRS. Pilihan (B) tidak benar karena syarat tersebut (pembayaran telah diterima) tidak termasuk 5 kriteria pengakuan pendapat di bawah IFRS.

Di bawah IFRS, pendapatn diakui pada fair value dari konsideran yang diterima atau piutang, sebesar nilai net trade discounts atau rebates. Pendapatan diakui dari trasaksi penjualan barang, jika seluruh 5 kriteria berikut terpenuhi:
(1) Risiko signifikan dan manfaat kepemilikan dari barang tersebut telah beralih ke pembeli;
(2) Entitas penjual tidak menguasai keterlibatan manajemen berkelanjutan atau kontrol atas barang tersebut.
(3) Nilai pendapatan dapat diukur secara andal.
(4) Kemungkinan besar manfaat ekonomi akan mengalir ke entitas penjual dari transaksi tersebut, dan
(5) Biaya yang terjadi dapat diukur secara andal.

C. Pilihan (C) incorrect.
Pilihan C merupakan kriteria (2) pengakuan pendapatan di bawah IFRS.

D. Pilihan (D) incorrect.
Pilihan D merupakan kriteria (5) pengakuan pendapatan di bawah IFRS.

8. A newly acquired plant asset is to be depreciated over its useful life. The rationale for this process is the:

A. Economic entity assumption.
B. Monetary unit assumption.
C. Materiality assumption.
D. Going concern assumption.

Pembahasan
A. Pilihan (A) incorrect.
Asumsi entitas ekonomi menyatakan bahwa aktifitas ekonomi dapat diidentifikasikan pada akuntabilitas unit tertentu.

B. Pilihan (B) incorrect.
Asumsi unit monetary menyatakan bahwa seluruh transaksi dan kejadian dapat diukur pada denominator yang umum, misal: rupiah.

C. Pilihan (C) incorrect.
Materialitas merupakan bagian aspek dari relevance, suatu fundamental qualitative characteristic. Informasi dinyatakan material jika informasi tersebut mampu mempengaruhi keputusan user. Maka, dalam kasus aset pabrik, item-item tertentu dapat dibebankan daripada dikapitalisasi dan didepresiasi, karena item tersebut tidak bernilai material. Perbedaan dalam perlakuan tidak banyak mempengaruhi user jika item-item tersebut tidak material.

D. Pilihan (D) correct.
Ciri dasar dari financial accounting adalah bahwa entitas diasumsikan terus beroperasi (going concern), ketika tidak ada indikasi yang menunjukan keadaan sebaliknya. Konsep going concern didasarkan pada pengamatan empiris bahwa banyak entitas yang memiliki umur tidak terbatas. Entitas pelaporan diasumsikan memiliki umur panjang yang cukup untuk mencapai tujuan dan komitmennya, dan mendepresiasi aset-asetnya selama masa umur manfaat nya.

9.An entity has appropriately used the installment method of accounting since it began operations at the beginning of the current year. The following information pertains to its operations for this year:
Installment sales                                          US $ 1,200,000
Cost of installment sales                                         840,000
Collections on installment sales                              480,000
General and administrative expenses                     120,000

The amount of gross profit deferred at the end of the current year should be:

A. US $720,000
B. US $288,000
C. US $216,000
D. US $144,000

Pembahasan:
A. Answer (A) is incorrect.
US $720,000 = saldo akhir tahun Akun Piutang Cicilan = ($1,200,000 installment sales - $480,000 collections)

B. Answer (B) is incorrect.
Gross profit ditangguhkan = US $288,000, jika persentase gross profit = 40%, dihitung dari = ($480,000 collections : $1,200,000 installment sales).

C. Answer (C) is correct.
Jumlah laba kotor installment sales = US $360,000 ($1,200,000 installment sales - $840,000 cost of installment sales).

Persentase laba kotor = 30% (US $360,000 gross profit ÷ $1,200,000 installment sales),
Saldo gross profit ditangguhkan pada akhir tahun berjalan = US $216,000 [($1,200,000 installment sales - $480,000 collections) × 30%].

General and administrative expenses tidak mempengaruhi perhitungan of realized gross profit or deferred gross profit. They are to be classified as operating expenses on the income statement in the period in which they are incurred.

D. Answer (D) is incorrect.
Gross profit ditangguhkan = US $144,000, jika dengan menambahkan beban general and administrative sebagai biaya installment sales (termasuk cost of installment sales US $840,000) maka persentase margin = 20%,

10. A physical inventory count showed an entity had inventory costing US $1,000,000 on hand at December 31, Year 1. Excluded from this amount were the following:
a. Goods costing US $82,000, shipped to a customer free on board (FOB) shipping point on December 28, Year 1. They were expected to be received by the customer on January 4, Year 2.
b. Goods costing US $122,000, shipped to a customer free on board (FOB) destination December 30, Year 1. They were expected to be received by the customer on January 5, Year 2.

Compute the correct ending inventory to be reported on the shipper’s statement of financial position at December 31, Year 1.

A. US $1,000,000
B. US $1,082,000
C. US $1,122,000
D. US $1,204,000

Pembahasan:
A. Pilihan (A) incorrect.
US $1,000,000 = tidak termasuk barang yang dikirim dengan FOB Shipping Point (a) US $82,000 dan FOB Destination (b) US $122,000.

B. Pilihan (B) incorrect.
US $1,082,000 = termasuk barang yang dikirim dengan FOB Shipping Point (a) US $82,000, namun tidak termasuk FOB Destination (b) US $122,000.

C. Pilihan (C) correct.
Barang persediaan yang keluar gudang penjual untuk dikirim dengan syarat FOB shipping point yang seharusnya diakui sebagai aset pembeli, bukan penjual, karena dengan metode tersebut, hak dan risiko telah beralih ke pembeli saat terjadi pengiriman. Maka, persediaan ini telah benar untuk tidak dimasukan dalam perhitungan saldo persediaan akhir dari Penjual.

Barang yang dikirim dengan FOB destination secara tidak layak tidak dimasukan dalam perhitungan saldo akhir penjual. Hak dan risiko kerugian tidak beralih ke pembeli, sampai dengan saat barang tersebut tiba di tempat tujuan dan telah sepantasnya diterima oleh Pembeli.

Oleh karena itu, saldo akhir yang benar adalah US $1,122,000 ($1,000,000 saldo awal + $122,000 barang dikirim dengan FOB destination).

D. Pilihan (D) incorrect. US $1,204,000 = termasuk barang yang dikirim dengan FOB Shipping Point (a) US $82,000 dan FOB Destination (b) US $122,000.

Use of Conforms with the IIA IPPF

2014-10-24T16:41:00.001+07:00

Penggunaan Standar Profesi

Dalam melaksanakan penugasan, setiap praktisi profesional seharusnya menyatakan dalam laporan hasil penugasan mengenai acuan standar yang melandasi proses pelaksanaan penugasan tersebut.
Contoh:
Akuntan dalam menyusun Laporan Keuangan Perusahaan Indonesia, akan mengacu ke Standar Akuntansi Keuangan yang berlaku di Indonesia, sedangkan Akuntan dalam menyusun Laporan Keuangan Perusahaan Belanda, akan mengacu ke Standar Akuntansi Keuangan yang berlaku di Belanda.
Perusahaan ketika menyatakan asersi kecukupan dan efektifitas Sistem Informasinya, mengacu ke kerangka Sistem Informasi yang diacunya, misal COBIT, ITIL, atau ISO 27002.
Auditor Eksternal Indonesia ketika melakukan audit atas Laporan Keuangan Perusahaan Indonesia akan mengacu ke Standar Profesional Akuntan Publik yang berlaku di Indonesia, sedangkan Auditor Eksternal Amerika ketika melakukan audit atas Laporan Keuangan Perusahaan Indonesia akan mengacu ke Standar Profesional Akuntan Publik yang berlaku di Amerika.

Begitu juga dengan internal auditor, ketika menyusun laporan hasil penugasan, internal auditor seharusnya menyatakan standar yang diacu. Standar internal audit yang berlaku dan diakui secara internasional adalah the International Standards for the Professional Practice of Internal Auditing (IPPF) yang diterbitkan oleh Institute of Internal Auditors (IIA).

Use of Conforms with the IIA IPPF

Apa sih pentingnya pernyataan acuan standar?

Sebagaimana kita ketahui, suatu laporan/ informasi disajikan dalam rangka pengambilan keputusan bagi user. User perlu tahu kerangka apa yang digunakan untuk menyusun dan menyajikan laporan/ informasi tersebut. Dengan mengetahui kerangka apa yang diacu, maka user akan dapat memutuskan apakah laporan/ informasi tersebut handal/ berguna untuk dimanfaatkan sebagai input dalam pengambilan keputusan user.
Seandainya anda seorang investor, ingin menanamkan dana anda dalam suatu perusahaan publik Indonesia yang laporan keuangan disusun berdasar SAK Indonesia. Laporan keuangan tersebut telah diaudit oleh auditor, namun laporan audit tidak menyebutkan standar audit yang diacu.

Pertanyaannya, apakah selaku investor anda akan percaya dengan laporan hasil audit tersebut?
Pengacuan ke suatu standar audit juga akan memberikan jaminan kepada user, mengenai kualitas suatu penugasan audit/ konsultasi. Ketika suatu laporan audit menyatakan mengacu kepada standar, maka auditor berkewajiban memenuhi pernyataan-pernyataan standar yang applicable terkait penugasan audit tersebut.
Kewajiban untuk membuat pernyataan standar apa yang diacu, berlaku juga bagi penugasan internal audit.

Kapan Suatu Penugasan Internal Audit Dapat Menyatakan Sesuai dengan Standar IPPF?

IPPF menyatakan bahwa CAE dapat menyatakan bahwa aktifitas internal audit telah sesuai IPPF hanya jika hasil quality assurance and improvement program (internal dan external assessment) mendukung pernyataan CAE tersebut. Hal ini dinyatakan dalam Standar 1321 – Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing”
The chief audit executive may state that the internal audit activity conforms with the International Standards for the Professional Practice of Internal Auditing only if the results of the quality assurance and improvement program support this statement.

Interprestasi:

Aktifitas internal audit (IAA) menyatakan sesuai (conforms) dengan Standards ketika hasil quality assurance and improvement program (QAIP) telah menyimpulkan bahwa IAA telah sesuai dengan Definition of Internal Auditing, Code of Ethics, dan Standards. Hasil dari QAIP termasuk internal dan external assessments. Seluruh IAA harus dinilai dalam internal assessments. Minimal sekali dalam tiap 5 tahun, IAA harus mendapatkan penilaian dari external assessments.

Phrase yang digunakan dapat: “in conformance with the Standards,” atau “in conformity to the Standards.” Untuk menggunakan phrase tersebut, external assessment wajib dilakukan minimal sekali dalam periode 5 tahun, bersama dengan ongoing monitoring dan periodic internal assessments dan IAA mendapatkan simpulan penilaian bahwa IAA telah sesuai (in conformance) dengan the Definition of Internal Auditing, the Code of Ethics, dan the Standards.
Penggunaan lebih dulu phrase “conformance” tidak layak, sampai dengan suatu external review telah menunjukan bahwa IAA telah sesuai dengan the Definition of Internal Auditing, the Code of Ethics, dan the Standards.

Contoh: Laporan IAA dengan Phrase Conformance

Format laporan IAA bisa bervariasi, karena IAA tidak mengatur format laporan. Namun IAA mengatur substansi minimal yang harus diungkapkan dalam komuninkasi penugasan/ laporan (Lihat Standar 2410: Communication Criteria). Berikut ini contoh Laporan IAA yang memuat phrase Conformance dengan Standard IPPF.
1. Internal Audit Report - Employees Retirement System of Texas
2. Laporan Audit of UNDP Country Office In Angola.

CISA Exam: The IS Audit Process-1

2014-10-14T22:50:00.002+07:00

Pada postingan kali ini, kami coba sharing contoh soal ujian Certified Information Systems Auditor (CISA), beserta dengan pembahasannya. Sharing akan kami lakukan secara bertahap.
Untuk kesempatan ini, kami share 10 soal ujian CISA dan pembahasan untuk materi Proses IS Audit. Postingan berikutnya akan terkait dengan materi lainnya.

1. An IS auditor is reviewing access to an application to determine whether the 10 most recent new accounts were appropriately authorized. This is an example of:
A. variable sampling.
B. substantive testing.
C. compliance testing.
D. stop-or-go sampling.

Correct Answer: C
Compliance testing menilai apakah suatu pengendalian diterapkan sesuai dengan kebijakan kontrol yang telah ditetapkan. Testing tersebut termasuk pengujian apakan suatu akun log-in baru telah diotorisasi secara memadai.

A. Incorrect,
karena variable sampling digunakan untuk mengestimasi nilai numerik (nilai rata-rata atau total) dari suatu populasi berdasarkan data sample dengan menggunakan nilai kuantitatif, seperti nilai rupiah dan digunakan dalam pengujian substantive.
B. Incorrect,
karena substantive testing menguji integritas actual processing atau untuk menguji keberadaan misstatement dalam sistem IT, seperti pengujian keberadaan saldo financial statements. Pengembangan substantive tests sering tergantung pada hasil dari compliance tests (test of control). Jika hasil compliance tests mengindikasikan bahwa internal controls telah memadai, maka substantive tests dapat diminimalkan.
D. Incorrect,
karena stop-or-go sampling mengijinkan suatu pengujian untuk selesai secepatnya, ketika auditor telah puas dengan hasil sampling yang telah dilakukan. Stop-or-go sampling merupakan sampling model yang digunakan untuk mencegah pengambilan jumlah sampling berlebihan dan digunakan oleh auditor ketiaka auditor percaya bahwa hanya terdapat sedikit errors dalam suatu populasi.

2. Overall business risk for a particular threat can be expressed as:
A. A product of the probability and magnitude of the impact if a threat successfully exploits a vulnerability.
B. The magnitude of the impact should a threat source successfully exploit the vulnerability.
C. The likelihood of a given threat source exploiting a given vulnerability
D. The collective judgment of the risk assessment team.

Correct Answer: A.
Risiko diukur dari hasil pengukuran (Probability x Impact) = tingkat probabilitas suatu event terjadi, dan tingkat signifikansi dampak dari kejadian tersebut terhadap pencapaian tujuan business. Referensi lain memasukan tingkat kecepatan dampak suatu kejadian dalam pengukuran suatu risiko. Choice A memasukan unsur probabilitas dan signifikansi dari dampak.

B. Incorrect,
karena choice B hanya mempertimbangkan signifikansi dari dampak dan tidak memasukan unsur probabilitas keterjadian ancaman.
C. Incorrect,
karena choice C hanya mempertimbangkan probabilitas keterjadian dari ancaman, namun tidak mempertimbangkan signifikansi dampak dari ancaman.
D. Incorrect,
karena choice D bukan definisi risiko, namun merupakan salah metode penentuan tingkat risiko, yaitu Focus Group Discussion (FGD).

3. An IS auditor is reviewing a software application that is built on the principles of service oriented architecture (SOA). What is the best first step?
A. Understanding services and their allocation to business processes by reviewing the service repository documentation.
B. Sampling the use of service security standards as represented by the Security Assertions Markup Language (SAML).
C. Reviewing the service level agreements (SLAs).
D. Auditing any single service and its dependencies with others.

Correct Answer: A.
Secara umum, hal pertama yang perlu dilakukan oleh seorang auditor dalam melaksanakan suatu penugasan, adalah mendapatkan pemahaman yang cukup mengenai proses bisnis objek audit. SOA bersandar pada prinsip lingkungan yang terdistribusi, dimana services encapsulate (merangkum) business logic as a black box and might be deliberately (dengan sengaja) combined to depict real-world business processes. Sebelum reviu terhadap services secara detail, penting bagi IS auditor untuk memahami peta business processes menjadi services.

B. Incorrect,
karena sampling atas penggunaan standar service security, sebagaimana yang disajikan dalam SAML, merupakan langkah lanjutan yang penting untuk memahami services dan alokasi service ke business, namun bukan sebagai langkah pertama.
SAML (Security Assertion Markup Language) merupakan Extensible Markup Language (XML) standard, yang mengijinkan user untuk log on sekali ke afiliasi, namun dalam Web sites yang terpisah. SAML didesain untuk transaksi business-to-business (B2B) dan business-to-consumer (B2C). SAML terdiri dari 3 komponen: assersi, protocol, dan binding (mengikat). Terdapat 3 assertions: authentication, attribute, and authorization. Authentication assertion memvalidasi identitas user. Attribute assertion berisi informasi khusus tentang user. Authorization assertion mengidentifikasi apa yang otorisasi / kewenangan dari user.
C. Incorrect,
karena review atas SLAs, merupakan langkah lanjutan yang penting untuk memahami services dan alokasi service ke business, namun bukan sebagai langkah pertama.
SLA merupakan contractual agreement antara user dan IT service provider, yang mengatur kesepakatan tingkat layanan dari dukungan IT kepada proses bisnis. Misal: waktu respond time atas user complaint.
D. Incorrect,
karena audit terhadap suatu single service dan review ketergantungannya dengan porses lainnya, akan memakan waktu banyak, dan juga bukan merupakan cara yang baku untuk memulai suatu audit terhadap SOA.

4. An audit charter should:
A. Be dynamic and change often to coincide with the changing nature of technology and the audit profession.
B. Clearly state audit objectives for and the delegation of authority to the maintenance and review of internal controls.
C. Document the audit procedures designed to achieve the planned audit objectives.
D. Outline the overall authority, scope, and responsibilities of the audit function.

Correct Answer: D.
Fungsi assurance dan IS audit seharusnya:
1) Menyusun audit charter untuk mendefinisikan aktivitas dari fungsi assurance dan IS audit, dengan detail secukupnya, untuk mengkomunikasikan:

Otorisas, tujuan, tanggung jawab, dan pembatasan dari fungsi assurance dan IS audit.
Independensi dan akuntabilitas dari fungsi assurance dan IS audit.
Peranan dan tanggung jawab dari auditee selama penugasan IS audit atau penugasan assurance.
Standar Professional yang dirujuk oleh profesional IS audit dan assurance professional dan akan diikuti dalam penugasan IS audit dan assurance.

2) Reviu audit charter setidaknya setahun sekali, atau lebih jika ada perubahan tanggung jawab fungsi assurance dan IS audit.
3) Update audit charter saat diperlukan, untuk menjamin bahwa tujuan dan tanggng jawab telah dan tetap didokumentasikan secara memadai.
4) Secara formal, komunikasikan audit charter kepada auditee setiap penugasan IS audit atau assurance.

A. Incorrect,
reviu terhadap audit charter setidaknya setahun sekali, atau lebih jika ada perubahan tanggung jawab fungsi assurance dan IS audit. namun but idealnya audit charter seharusnya tidak berubah signifikan secara sering. Salah satu tujuan reviu audit charter setiap tahun adalah untuk analisis allignment materi audit charter dengan perubahan lingkungan internal dan eksternal, termasuk perubahan teknologi dan standar profesi.
B. Incorrect,
Audit charter menyatakan secara jelas tujuan dari ... should state management's objectives for and delegation of authority to IS audit. Audit charter seharusnya disetujui oleh governance body (misal dewan komisaris) dan tidak terlalu sering berubah.
C. Incorrect,
karena audit charter tidak akan mengatur secara detail dan, oleh karena itu, tidak akan termasuk specific audit objectives.

5. Which of the following sampling methods is most useful when testing for compliance:
A. . Attribute sampling
B. Variable sampling
C. Stratified mean per uni
D. Difference estimation

Correct Answer: A.
Attribute sampling merupakan metode utama sampling yang digunakan untuk compliance testing. Attribute sampling merupakan sampling model yang digunakan untuk mengestimasi tingkat kejadian dari suatu specific quality (attribute) dalam suatu populasi dan digunakan daam compliance testing, untuk menguji keberadaan suatu quality.

B. Incorrect,
karena variable sampling digunakan untuk mengestimasi nilai numerik (nilai rata-rata atau total) dari suatu populasi berdasarkan data sample dengan menggunakan nilai kuantitatif, seperti nilai rupiah dan digunakan dalam pengujian substantive.
C. Incorrect,
karena stratified mean per unit merupakan salah satu tipe dari variable sampling, yang digunakan dalam substantive testing. Stratified mean per unit: suatu model statistik di mana populasi dibagi menjadi grup dan data sample diambil dari berbagai grup tersebut.
D. Incorrect,
karena difference estimation merupakan salah satu tipe dari variable sampling, yang digunakan dalam substantive testing. Difference estimation: model statistik yang digunakan untuk mengestimasi nilai total perbedaan antara nilai audit and nilai buku (unaudited), berdasarkan pada perbedaan yang diperoleh dari pengamatan terhadap data sample.

6. An IS auditor is assigned to perform a post-implementation review of an application system. Which of the following situations may have impaired the independence of the IS auditor? The IS auditor:
A. Implemented a specific functionality during the development of the application system.
B. Designed an embedded audit module exclusively for auditing the application system.
C. Participated as a member of the application system project team, but did not have operational responsibilities.
D. Provided consulting advice concerning application system best practices.

Correct Answer: A.
Independence dapat terganggu ketika IS auditor pernah atau sedang terlibat secara aktif dalam development, acquisition, dan implementation dari application system.
Salah satu jasa non audit yang dapat mengganggu independensi dan objektifitas adalah keterlibatan signifikan tindakan professionals dalam supervisi atau pelaksanaan designing, developing, testing, installing, configuring atau operating information systems, yang secara material atau signifikan menjadi objek audit.
Independence terjadi ketika auditor bebas dari kondisi yang mengancam objektifitas atau penampilan dari objektifitas. Independen termasuk independence of mind dan independence in appearance. Keterlibatan signifikan dalam suatu proyek yang menjadi objek audit, merupakan salah satu bentuk gangguan independence in appearance.

B. Incorrect,
pilihan B merupakan situasi yang tidak mengganggu independensi IS auditors. Aktifitas yang besifat rutin dan administratif atau aktifitas yang tidak signifikan, dan dianggap tidak bukan tanggung jawab manajemen, maka tidak akan mengganggu independensi.
C. Incorrect,
pilihan C merupakan situasi yang tidak mengganggu independensi IS auditors, karena auditor diperkenankan untuk menjadi partisipan dalam project tim, tidak boleh menjadi leader tim, dan tidak mengambil tanggung jawab manajemen.
D. Incorrect,
independensi IS auditor tidak terganggu dengan memberikan saran dari pengetahuan auditor terkait suatu best practice. Jika safeguards memadai diterapkan, maka memberikan advice rutin terkait risiko dan kontrol IT bukan merupakan bentuk gangguan independensi atau objektifitas.

7. The primary purpose of audit trails is to:
A. improve response time for users
B. establish accountability and responsibility for processed transactions.
C. improve the operational efficiency of the system.
D. provide useful information to auditors who may wish to track transactions.

Correct Answer: B.
Penggunaan audit trail bertujuan utama untuk alat kendali sistem IT. Oleh karena sebagai alat kontrol, maka pemanfaatan audit trails membantu dalam membangun akuntabiltias dan tanggung jawab atas transaksi yang diproses, dengan cara tracing transaksi tersebut dalam proses system. Tracing transaksi merupakan bentuk proses audit trail, namun bukan tujuan utama.

A. Incorrect,
tujuan dari pemanfaatan software untuk menyediakan audit trails, tidak memperbaiki system efficiency, karena penambahan audit trails justru akan melibatkan penambahan proses, yang akan, secara nyata, mengurangi waktu response bagi users.
C. Incorrect,
tujuan dari pemanfaatan software untuk menyediakan audit trails, tidak memperbaiki system efficiency, karena penambahan audit trails justru akan melibatkan penambahan proses. Penggunaan audit trails justru membutuhkan storage dan, oleh karena itu, akan menggunakan disk space dan meningkatkan biaya.
D. Incorrect,
pilihan D (provide useful information to auditors who may wish to track transactions) merupakan alasan valid, namun hal tersebut bukanlah alasan utama.

8. In planning an audit, the most critical step is the identification of the:
A. areas of high risk.
B. skill sets of the audit staff.
C. test steps in the audit.
D. time allotted for the audit.

Correct Answer: A.
Ketika mendesain perencanaan audit, IS Audit seharusnya menggunakan risk-based audit plan. Dengan pendekatan risk-based, penugasan audit dan non audit difokuskan pada area-area yang berisiko tinggi bagi perusahaan. Oleh karena itu, dengan pendekatan risk based, langkap kritis adalah identifikasi area yang berisiko.
Setelah area berisiko teridentifikasi, lalu sumber daya yang ada dialokasikan secara efisien untuk melakukan penugasan audit dan non audit pada area-area tersebut.

B. Incorrect,
karena analisis kombinasi keterampilan dari para audit staff, bukan langkah kritis dalam pendekatan risk-based audit, dan seharusnya dipertimbangkan sebelum memutuskan dan memilih area audit.
C. Incorrect,
karena test steps merupakan prosedur pengujian audit untuk mencapai tujuan audit dan langkah ini tidak se-kritis dibandingkan dengan identifikasi area-area berisiko.
D. Incorrect,
waktu yang dialokasikan untuk audit, ditentukan oleh area-area yang diaudit, yang mana area audit terutama ditentukan berdasarkan hasil risk assessment.

9. The extent to which data will be collected during an IS audit should be determined based on the:
A. Availability of critical and required information.
B. Auditor's familiarity with the circumstances.
C. Auditee's ability to find relevant evidence.
D. Purpose and scope of the audit being done.

Correct Answer: D.
Tingkat dimana data akan diuji selama IS audit, selain dipengaruhi oleh haril audit risk model (DR = AR / (IR x CR), juga dipengaruhi oleh lingkup dan tujuan dari audit. Audit dengan tujuan dan lingkup yang sempit, akan menguji bukti lebih sedikit daripada audit dengan tujuan dan lingkup yang luas.

A. Incorrect,
lingkup pengumpulan bukti dari IS audit, seharusnya tidak dibatasi oleh seberapa mudah suatu informasi diperoleh atau oleh familiarity auditor terhadap area audit.
B. Incorrect,
lingkup pengumpulan bukti dari IS audit, seharusnya tidak dibatasi oleh seberapa mudah suatu informasi diperoleh atau oleh familiarity auditor terhadap area audit.
C. Incorrect,
pengumpulan bukti yang diperlukan merupakan elemen penting dalam IS audit, dan lingkup pengumpulan bukti dari IS audit seharusnya tidak dibatasi oleh kemampuan auditee untuk mencari bukti yang relevan.

10. An IS auditor is reviewing testing procedures and has conluded that material errors were not identified. Which type of risk does this represent?
A. Detection
B. Audit
C. Control.
D. lnherent

Correct Answer: A.

Hal ini merupakan salah satu contoh dari detection risk, yang diakibatkan oleh penggunaan prosedur tidak layak untuk pengujian, sehingga tidak dapat mendeteksi semua material errors. Detection risk: risiko dimana audit evidence yang diuji, gagal mendeteksi adanya material misstatement > tolerable misstatment, padahal, in fact, material errors tersebut ada.
Detection risk berkaitan dengan jumlah substantive evidence yang direncanakan diakumulasi oleh auditor. Semakin rendah DR maka semakin banyak evidence yang harus diuji oleh auditor. Contoh: detection risk (DR) ditetapkan rendah (2%) untuk aktivitas inventory dan warehousing, maka jumlah planned evidence akan semakin banyak, begitu juga sebaliknya.

B. Incorrect,
overall audit risk: merupakan ukuran seberapa besar risiko yang ingin diterima oleh auditor, bahwa financial statements / area audit mengandung salah saji material, setelah audit selesai dan memberikan simpulan/ opini unqualified. Audit risk berkorelasi positif dengan detection risk, dimana semakin rendah risiko audit yang ditetapkan, maka akan semakin rendah detection risk, sehingga akan semakin banyak bukti audit yang harus diuji.
C. Incorrect,
control risk: risiko dimana material error terjadi, namuntidak dapat dicegah atau dideteksi secara tepat waktu, oleh system internal control yang ada. Contoh: control risk terkait dengan review manual atas computer logs, dapat menjadi tinggi, karena aktifitas review manual membutuhkan kerja investigasi dengan volume kerja yang banyak, sehingga potensi human error menjadi tinggi.
D. Incorrect,
inherent risk: risiko dimana signifikan error terjadi, ketika dikombinasikan dengan error lainnya yang ditemukan selama audit, dengan asumsi bahwa tidak ada compensating controls. Inherent risk juga dikategorikan sebagai risiko material misstatement, ketika tidak adanya related controls. Contoh: kas berisiko lebih mudah dicuri daripada persediaan berupa batubara.

Management Agreement on Audit Report

2014-10-06T00:09:00.001+07:00

Persetujuan Manajemen atas LHA

Dalam suatu diskusi internal auditor, ada kawan yang pernah menanyakan pendapat atas situasi yang dialaminya. Situasinya adalah sbb:

disagreement

“Board (dewan komisaris) perusahaannya, meminta agar setiap laporan internal audit untuk mendapat persetujuan terlebih dahulu dari manajemen, sebelum CAE menyampaikan laporan hasil audit kepada Board”.
Lebih lanjut, kawan ini juga menjelaskan bahwa maksud “mendapat persetujuan dari manajemen” adalah terkait dengan finding/ masalah hasil audit. Board ingin agar setiap finding yang diungkapkan dalam audit report, seharusnya mendapatkan persetujuan oleh manajemen. Informasi tambahan: situasi tersebut terjadi di perusahaan dimana, IAA bertanggung jawab secara fungsional kepada Board, dan secara administratif kepada Manajemen.

Pertanyaannya:

Bagaimana sikap kepala SPI (CAE) atas permintaan dewan komisaris tersebut? Saya mencoba memberi pendapat terhadap situasi tersebut.

Point of View: Standard.

Practice Advisory 2410-1: Communication Criteria
"As part of the internal auditor’s discussions with the engagement client, the internal auditor obtains agreement on the results of the engagement and on any necessary plan of action to improve operations. If the internal auditor and engagement client disagree about the engagement results, the engagement communications state both positions and the reasons for the disagreement. The engagement client’s written comments may be included as an appendix to the engagement report, in the body of the report, or in a cover letter."
Practice Advisory 2410-1 tersebut menyatakan bahwa:

Sebelum dimasukan dalam audit report, setiap hasil penugasan seharusnya dibahas bersama manajemen/klien.
Hasil pembahasan tersebut berupa agreement dan/ atau disagreement dengan klien, mengenai hasil penugasan IAA.
By standard, tidak ada keharusan suatu hasil penugasan untuk mendapatkan persetujuan dari manajemen. Hasil penugasan dapat disepakati atau tidak disepakati bersama antara internal auditor dan klien. Baik hasil penugasan yang disepakati maupun yang tidak disepakati, tetap disajikan dalam audit report. Namun, setiap permasalahan seharusnya ada solusinya dan internal auditor tetap harus menjaga relationship yang baik dengan manejemen. Ketika terdapat ketidaksepakatan antara manajemen dan internal auditor, maka ketidaksepakatan tersebut sebaiknya dibawa ke tingkat yang lebih tinggi, misal ke Komite Audit/ Board, untuk mendapatkan resolusi-nya. Keputusan yang ditetapkan oleh Komite Audit/ Board menjadi keputusan bersama antara Board, manajemen, dan CAE, yang harus dipatuhi oleh semua pihak.
Namun, jika hasil pembahasan dengan Komite Audit/ Board tidak menemukan resolusi, maka masalah yang tidak disepakati tetap diungkapkan dalam audit report dan tetap memuat unsur-unsur temuan audit (kondisi, kriteria, sebab, akibat, dan rekomendasi) ditambah dengan pengungkapan posisi manajemen dan internal auditor, serta alasan ketidak sepakatan.
CAE perlu menyampaikan ke Board mengenai pernyataan yang ada dalam Practice Advisory 2410-1, bahwa permasalahan audit yang diungkapkan di audit report, mencakup baik permasalahan yang disepakati maupun yang tidak disepakati oleh manajemen.

Pernyataan Practice Advisory 2410-1 tersebut di atas didasarkan pada prasyarat bahwa IAA memiliki kompetensi yang cukup untuk melakukan suatu penugasan dengan efisien dan efektif. Atau dengan kata lain, dengan kompetensi yang cukup, maka apa yang dihasilkan dari penugasan IAA, diharapkan sudah tepat dan IAA yakin atas simpulan/ opini yang dihasilkan. Oleh karena itu, ketika terjadi ketidaksepakatan antara IAA dan manajemen, maka Board, sebagai pengawas, akan menggunakan ketidaksepakatan tersebut untuk menilai kinerja dari IAA dan manajemen.
Walaupun tidak dinyatakan secara jelas dalam P.A., kesepakatan/ ketidaksepakatan tersebut sebaiknya dibuat dalam bentuk tertulis, bisa berupa Berita Acara atau Memorandum atau bentuk lainnya yang menunjukan hasil pembahasan dan kesepakatan yang diperoleh.
Contoh bentuk kesepakatan:

Bentuk Tabel:

Kondisi	Kriteria	Sebab	Akibat	Tanggapan Manajemen	Tanggapan Auditor	Rekomendasi
...	...	...	...	...	...	...
...	...	...	...	...	...	...

Bentuk Narasi:

Internal Auditor dan Manajemen telah melakukan pembahasan mengenai permasalahan Hasil Audit ....., dengan pokok-pokok permasalahan sebagai berikut:
1) Masalah 1
2) Masalah 2
Terhadap permasalahan tersebut, Manajemen sepakat/ tidak sepakat terhadap temuan hasil audit yang disampaikan Internal Auditor, sebagaimana terlampir, dan sepakat/ tidak sepakat untuk menyelesaikan tindak lanjut dari rekomendasi sebagai berikut:
1) Rekomendasi 1
2) Rekomendasi 2

Point of View: Governance.

IAA bertanggung jawab secara fungsional kepada Board. Board berfungsi sebagai kepanjangan tangan dari stakeholders dan sebagai dewan pengawas atas pelaksanaan governance organisasi. Oleh karena itu, mandat / perintah dari Board seharusnya dilaksanakan oleh IAA. Namun, jika terdapat ketidaksepakatan atas suatu masalah, maka IAA tetap menyampaikan masalah tersebut beserta risiko/ dampak yang akan terjadi jika masalah tersebut tidak ditangani secara memadai.
Oleh karena itu, dengan catatan bahwa IAA yakin atas masalah yang ditemukan dan dampaknya bagi tujuan pencapaian organisasi, maka alternatif lain tindakan CAE atas situasi di atas, CAE bisa melakukan hal sebagai berikut:

Audit report hanya menyajikan permasalahan yang telah disepakati bersama dengan manajemen, termasuk action plan yang disepakati juga.
Permasalahan yang tidak disepakati tetap disajikan dan disampaikan dalam bagian terpisah dari audit report. Bisa dalam bentuk management letter terpisah, yang khusus menyajikan permasalahan yang tidak disepakati.
Dalam manajemen letter tersebut, CAE tetap menyampaikan permasalahan yang ada, berserta posisi dari Internal Auditor dan Manajemen, termasuk alasan ketidaksepakatan
Selain itu, manajemen letter juga mengungkapkan risiko/ dampak yang akan terjadi jika permasalahan yang ada tidak ditangani/ ditindaklanjuti secara memadai oleh manajemen.

Monitoring atas Hasil Penugasan.

Baik jika ketidaksepakatan disajikan dalam audit report atau dalam management letter tersendiri, maka IAA tetap memonitor tindak lanjut atas rekomendasi yang sampaikan dalam masalah yang tidak disepakati tersebut.
Jika manajemen tetap bersedia menanggung risiko/ dampak dari masalah (baik yang disepakati maupun yang tidak disepakati) yang dikemukan oleh IAA, maka:

IAA menyampaikan hal tersebut kepada Board, dan
Mendokumentasikan hal tersebut sebagai bagian dari Monitoring Follow-up Progress (Practice Advisory 2500.A1-1: Follow-up Process).

Coordination b/w Internal and External Auditor

2014-09-30T17:32:00.000+07:00

IPPF Standard 2050: Coordination, menyatakan bahwa:

“The chief audit executive should share information and coordinate activities with other internal and external providers of assurance and consulting services to ensure proper coverage and minimize duplication of efforts”.

Coordination b/w Internal and External Auditor

Standar 2050 clearly states that the objective of coordination with other external provider (assurance and consulting) is to ensure the adequacy of engagement's scope and to minimize adanya duplikasi pekerjaan/ aktifitas. Kecukupan lingkup penugasan menjadi penting dalam rangka efektifitas pencapaian tujuan IAA, sedangkan meminimalkan duplikasi pekerjaan menjadi penting dalam rangka efisiensi IAA. Postingan ini mencoba fokus untuk membahas mengenai koordinasi antara internal auditor dan eksternal auditor. Dengan koordinasi yang efektif, maka biaya yang dikeluarkan perusahaan untuk kegiatan audit internal dan untuk audit eksternal, dapat diminimalkan.
Coordination between internal and external auditor become important karena, generally, there are kesamaan antara between internal and external auditor, yaitu antara lain:

Memiliki fungsi yang sama yaitu memberikan assurance dan consulting services.
Menggunakan metodologi dan teknik/ prosedur audit yang similar.
Lingkup pekerjaan beririsan.

Example:

Internal auditor provides add value to organization by performing evaluation and providing recommendations terkait efisiensi dan efektifitas governance, risk management, dan internal control.

External auditor also evaluate the adequacy and the effectiveness of internal control, dalam rangka penetapan detection risk dan misstatement tolerance. The evaluation of internal control performed by external auditor, selalu dikaitkan dengan the objective of external audit, yaitu assessing 5 (five ) management's assertions.

Dalam melakukan penilaian kecukupan dan efektifitas governance, risk management, dan internal control, internal auditor perlu memperhatikan tujuan dan teknik / prosedur audit yang digunakan juga oleh eksternal auditor.

Terkait implemetasi standar tersebut, timbul beberapa pertanyaan dari para praktisi internal auditor. Pertanyaan yang timbul antara lain:

a. How is the form of coordination activities with external auditor?

Jika pekerjaan auditor intern diharapkan mempunyai dampak terhadap prosedur yang dilaksanakan oleh auditor eksternal, hal ini akan efisien jika auditor eksternal dan auditor intern mengkoordinasikan pekerjaan mereka dengan cara:

Menyelenggarakan rapat berkala, dengan eksternal auditor, setidaknya 1 x dalam setahun. Termasuk ikut serta internal auditor dalam rapat antara Eksternal Auditor dengan Board/ Senior Management.
Internal auditor dan eksternal auditor saling bertukar informasi penting dan membahas masalah-masalah yang signifikan. Informasi yang dishare ke eksternal auditor diantaranyaa tujuan audit, audit program, dan teknik/ prosedur audit yang digunakan.
Menjadwalkan pekerjaan audit.
Memberikan kesempatan akses ke kertas kerja auditor intern dan kertas kerja eksternal auditor.
Me-review laporan auditor internal dan laporan auditor eksternal. Untuk itu, Internal Auditor perlu mengirim Executive Summary kepada Eksternal Auditor (tentu saja setelah berkonsultasi dengan senior management dan Board) dan Eksternal Auditor mengirim management letter kepada Internal Auditor.
Membicarakan kemungkinan adanya masalah akuntansi dan auditing yang ditemukan.

b. How coordination is performed dalam rangka pelaksaaan audit eksternal?

Untuk lingkup pengujian yang sama, IAA perlu meyakinkan external auditor untuk menggunakan dan mengandalkan hasil pekerjaan IAA.

Agar lebih efisien, CAE juga perlu mendesain techniques, methods, dan terminology yang similar dengan yang digunakan oleh eksternal auditor. Sebaliknya, hal ini juga bermanfaat bagi internal auditor untuk dapat mengandalkan hasil pekerjaan eksternal auditor untuk tujuan efisiensi aktifitas internal audit.

Penggunaan hasil pekerjaan auditor internal oleh auditor eksternal, diperbolehkan sebagaimana diatur dalam Standar Audit Keuangan IAPI, SA Seksi 322: Pertimbangan Auditor atas Fungsi Audit Intern dalam Audit Laporan Keuangan. Example penggunaan hasil pekerjaan internal auditor oleh eksternal auditor:

Pemahaman atas pengendalian Intern.
Auditor intern membuat bagan alir (flowchart) sistem penjualan dan piutang yang dikomputersasi. Auditor eksternal dapat melakukan review terhadap bagan alur tersebut untuk memperoleh informasi mengenai rancangan kebijakan dan prosedur yang bersangkutan. Di samping itu, auditor eksternal dapat mempertimbangkan hasil prosedur yang dilaksanakan oleh auditor intern atas kebijakan dan prosedur tersebut untuk memperoleh informasi mengenai apakah kebijakan dan prosedur tersebut telah dilaksanakan.

Tingkat Saldo Akun atau Golongan Transaksi.
Lingkup auditor intern mungkin mencakup pengujian pengendalian untuk kelengkapan utang usaha. Hasil pengujian auditor intern tersebut dapat memberikan informasi memadai tentang efektivitas pengendalian dan dapat mengubah sifat, saat, dan lingkup pengujian yang dilaksanakan oleh auditor eksternal.

Prosedur Substantif.
Auditor intern, sebagai bagian pekerjaannya, dapat melakukan konfirmasi piutang usaha tertentu dan melakukan pengamatan sediaan fisik tertentu. Hasil prosedur ini dapat memberikan bukti yang dapat dipertimbangkan oleh auditor eksternal dalam membatasi risiko deteksi bagi asersi yang bersangkutan. Sebagai akibatnya, auditor eksternal dapat mengubah saat prosedur konfirmasi, jumlah piutang yang dikonfirmasi, atau jumlah lokasi sediaan fisik yang diamati.

c. How coordination is performed dalam rangka penyusunan perencanaan audit tahunan?

Koordinasi dengan eksternal auditor merupakan elemen kunci bagi Perusahaan. Beberapa kasus menunjukan bahwa eksternal auditor mengandalkan hasil pekerjaan internal auditor. Hal ini membantu untuk mengetahui apa yang eksternal auditor rencanakan, sehigga internal auditor dapat menyusun jadwal audit lebih baik untuk meminimalkan intrusi / benturan dan waktu yang terbuang. Selain itu, hal ini juga berguna untuk meminimalkan duplikasi pekerjaan antara internal dan eksternal auditor.

CAE perlu secara rutin memanfaatkan laporan auditor eksternal, dan juga komentar/ konsultasi dari external auditor ketika menyusun internal audit plan. Konsultasi perlu dilakukan setidaknya seminggu sebelum internal audit plan disampaikan ke Board untuk mendapatkan reviu dan persetujuan.

Internal auditors perlu mengakses ke bahan presentasi dan management letters dari external auditors. Masalah-masalah yang didiskusikan dalam material presentasi dan yang dimasukan dalam management letters dapat digunakan sebagai input bagi internal auditors dalam perencanaan areas/lingkup yang perlu mendapat perhatian dalam pekerjaan internal audit di masa mendatang.

Example: Kelemahan signifikan application control pada suatu sistem aplikasi yang diidentifikasi oleh eksternal auditor dapat menjadi input bagi internal audit untuk merencanakan audit teknologi informasi atas sistem aplikasi tersebut.

Simple Example of Coordination:

Phase	Internal Audit	External Audit	Form of Coordination
Planning (annual/ strategic)	Pendekatan: Risk Assessment	Pendekatan: Risk Audit Model	Menyepakati area-area mana saja yang high risks. Menyepakati lingkup audit internal dan audit eksternal.
Execution	Prosedur: Identifikasi dan menilai desain control dan efisiensi untuk seluruh proses (termasuk proses financial reporting).	Prosedur: Evaluasi proses financial reporting, efisiensi control, dan keandalan kontrol.	Menggunakan angka yang sama terkait dengan proses financial, untuk memudahkan komunikasi selama internal audit terhadap control utama. *Fungsi risk management/ compliance dapat dilibatkan dalam pekerjaan identifikasi control.
Reporting: 1. Regular 2. Annual	1. Reporting kepada mgt. 2. a. Reporting kepada external audit, terkait dengan controls yang diaudit dan efektifitas-nya. 2. b. Dewan pengawas/ audit committee terhadap keseluruhan control environment dan risiko/ tindakan utama.	1. Reporting kepada mgt, CEO, dan internal audit. 2. Reporting kepada mgt, CEO, Board, internal audit, dan shareholders.	Menyepakati deadlines pelaporan merupakan hal penting bagi external audit untuk dapat menggunakan informasi dari hasil pekerjaan internal audit. Juga, internal audit seharusnya menerima data dari external audit, untuk pertimbangan area-area berisiko yang teridentifikasi dalam proses financial reporting process dan dalam area lainnya, seperti IT.

Salah satu tools yang digunakan dalam rangka meminimalkan duplikasi penugasan adalah Assurance Map. Tools ini membantu internal auditors untuk mengidentifikasi provider assurance (financial, compliance, control) untuk area-area/ fungsi-fungsi dalam organisasi.
Berikut contoh sederhana assurance map.

A Simple Assurance Map: PwC

Audit Coordination

Assurance map tersebut digambarkan dengan table berkolom yang memiliki variasi warna, yang mempresentasikan kode tertentu. Pada satu sisi menggambarkan area-2 atau risiko-2 binis, dan pada sisi lain menggambarkan berbagai macam bentuk atau provider assurance.

Quality Assurance and Improvement Program (QAIP)

2014-09-19T19:18:00.000+07:00

Apa itu Kualitas dalam Intenal Audit

Kualitas dalam Internal Audit mencakup pemenuhan ekspektasi konsumen/ klien dan juga pemenuhan kewajiban/ tanggung jawab profesional, sesuai dengan Standards.

Embedding Quality in Systems and Processes

Kualitas dalam Internal Audit dimulai dengan struktur dan organisasi aktivitas audit. Kualitas harus dibangun ke dalam cara/ proses aktivitas audit – melalui metodologi, kebijakan, prosedur, dan praktek SDM dari internal audit. Hal yang terpenting adalah QAIP harus dapat mengukur apakah internal audit telah mencapai tujuannya.

Quality Assurance and Improvement Program (QAIP)

Lingkup QAIP

Kepala SPI wajib menerapkan Quality Assurance and Improve Program (QAIP). Hal ini diatur dalam IIA’s Internal Audit Standards.

1300 – Quality Assurance and Improvement Program

The chief audit executive must develop and maintain a quality assurance and improvement program that covers all aspects of the internal audit activity. QAIP wajib dilakukan untuk evaluasi:

Kesesuaian aktivitas internal audit (IAA) dengan Definisi dan Standards Internal Audit.
Apakah internal auditor berperilaku sesuai dengan Kode Etik.
Menilai efisiensi dan efektifitas pencapaian tujuan IAA dan identifikasi program untuk perbaikan
Selain itu, QAIP juga menilai:
Kecukupan IAA’s charter, goals, objectives, policies, dan procedures.
Kontribusi IAA terhadap perbaikan proses governance, risk management, dan control organisasi/ klien.
Kelengkapan dari lingkup keseluruhan audit universe.
Kepatuhan terhadap hukum, peraturan, dan standar pemerintah dan industri, yang berlaku bagi IAA.
Risiko-risiko yang mempangaruhi operasional IAA.
Efektifitas dari aktifitas continuous improvement dan adopsi best practices.
Apakah IAA telah memberi nilai tambah dalam perbaikan operasional organisasi/ klien, dan berkontribusi dalam pencapaian tujuan organisasi/ klien.

Untuk dapat mencakup seluruh lingkup aspek dari IAA, QAIP harus di terapkan secara efektif pada 3 (tiga) level fundamental, yaitu:
1. Engagement Level (termasuk dalam lingkup Internal Assessment),
2. Internall Audit Activity Level (termasuk dalam lingkup Internal Assessment), dan
3. External Perspective (meliputi: Engagement Level dan Internall Audit Activity Level).
Gambar lingkup level dari QAIP seperti di bawah ini:

IIA QAIP Framework

Sedangkan, gambar lingkup LEVEL dari QAIP seperti di bawah ini:

IIA QAIP Level

Sedangkan dari sisi prosesnya, QAIP terdiri dari internal assessment dan external assessment. Lingkup QAIP dari sisi PROSES tersebut dapat digambarkan sebagai berikut:

IIA QAIP Proses

Perbedaan antara Ongoing Monitoring, Periodik Self Assessment, dan External Assessment:
Ongoing Monitoring

IIA QAIP Difference

Pelaporan Hasil QAIP

1320 – Reporting on the Quality Assurance and Improvement Program

"The chief audit executive must communicate the results of the quality assurance and improvement program to senior management and the board."

Bentuk, isi, dan frekuensi komunikasi hasil QAIP didiskusikan dan disepakati bersama dengan senior management dan dewan komisaris, dan dituangkan dalam Internal Audit Charter.

Assesment Scale

Simpulan hasil QAIP menunjukan skala rating tingkat kesesuaian IAA terhadap IPPF. Umumnya, skala yang digunakan adalah

Generally Conforms: ada niat/usaha untuk sesuai dan IAA telah sesuai IPPF.
Partially Conforms: ada niat/usaha untuk sesuai, namun sebagian IAA belum sesuai IPPF.
Not Conforms: tidak ada niat/usaha untuk sesuai dan IAA belum sesuai IPPF.

Frase “Sesuai dengan IIA’s IPPF”

1321 – Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing”

"The chief audit executive may state that the internal audit activity conforms with the International Standards for the Professional Practice of Internal Auditing only if the results of the quality assurance and improvement program support this statement."
Suatu laporan internal audit dapat menyatakan “... sesuai dengan IIA’s IPPF ...” hanya jika hasil QAIP (internal and external assessment) menyatakan demikian.

Pengungkapan Ketidaksesuaian dengan IIA’s IPPF

1322 – Disclosure of Nonconformance

"When nonconformance with the Definition of Internal Auditing, the Code of Ethics, or the Standards impacts the overall scope or operation of the internal audit activity, the chief audit executive must disclose the nonconformance and the impact to senior management and the board."
Ketika terdapat ketidaksesuaian dengan Definisi dan Stadard Internal Audit, serta Kode Etik memiliki dampak terhadap keseluruhan lingkup atau operasional IAA, maka Kepala SPI wajib mengungkapkan ketidaksesuaian tersebut dan dampaknya kepada Senior Management dan Dewan Komisaris.

Qualitty Assessment Manual

Untuk memberikan panduan lebih lanjut mengenai bagaiamana menerapakan QAIP, IIA telah mengeluarkan Quality Assessment Manual. Manual tersebut secara rinci dan lengkap menjelaskan step-by-step bagaiamana melakukan suatu assessment. Untuk lebih mempermudah para user, sistematika Manual didesain mirip dengan dokumentasi audit (KKA).
Panduan Manual mulai dari bagaimana Persiapan dan Perencanaan, Pelaksanaan (Internal dan Eksternal), Survei Stakeholders, dan Kesimpulan, serta Pelaporan.

Pemindahbukuan Karena Salah Setor Pajak

2014-09-18T14:59:00.000+07:00

Suatu hari, ada kawan yang bekerja di perusahaan swasta, kebingungan karena dia salah melakukan pengisian ssp untuk PPh 21 namun kode MAP yang beliau cantumkan untuk PPN, sehingga terinput oleh bank sebagai "setoran PPN".
Kawan ini khawatir gajinya dipotong perusahaan karena kesalahan yang dia lakukan.

Pemindahbukuan Karena Salah Setor Pajak

Contoh Kasus I:
WP bermaksud membayar PPh Pasal 21 masa Desember 2013 dengan kode jenis setoran 4111121-100, namun diisi dalam SSP untuk pembayaran PPN Masa dengan kode jenis setoran 411211-100 untuk masa pajak Desember 2013.

Contoh Kasus II:
PT ABC potong PPh Pasal 23 bulan Agustus 2013 sebesar Rp45.000.000, atas transaksi jasa. Namun, ketika melakukan pembayaran melalui SSP, staff PT ABC salah menulis nominal menjadi Rp54.00.000. Jadi, ada kelebihan pembayaran PPh 23 sebesar Rp19.000.000.

Salah Setor Pajak

Kasus seperti ini memang sering terjadi, umumnya karena faktor kekhilafan saja. Pertanyaannya, apa yang harus kita lakukan untuk memperbaiki kesalahan tersebut. Untuk mengatasi masalah tersebut, maka kita perlu mengacu ke Keputusan Menteri Keuangan No. 88/KMK.04/1991 tentang Tata Cara Pembayaran Pajak Melalui Pemindahbukuan dan KEP-965/PJ.9/1991 tentang Pelaksanaan Teknis Tata Cara Pembayaran Pajak Melalui Pemindahbukuan.

Untuk mengatasi masalah tersebut, WP melakukan tindakan berikut:

Untuk Kasus I:

WP boleh tetap menggunakan SPP Masa PPN tersebut sebagai bukti setoran untuk SPT Masa PPN Desember 2013, dan kemudian dapat setor lagi PPh Pasal 21 masa Desember 2013; atau
WP dapat memperbaiki kesalahan dengan cara mengajukan permohonan pemindahbukuan ke Kantor Pajak untuk mengubah setoran atas PPN Masa Desember 2013 tersebut menjadi setoran PPh Pasal 21 untuk masa Desember 2013.
a) Apabila Bukti Pemindahbukuan (PBK) diterima sebelum tanggal 20 Januari 2014 maka Pelaporan SPT masa PPh Pasal 21 kurang bayar masa Desember 2013 dilampiri PBK tersebut.
b) Apabila PBK diterima setelah tanggal 20 Januari 2014 maka Pelaporan SPT PPh Pasal 21 dilaporkan terlebih dahulu dengan status nihil, kemudian apabila telah diterima PBK maka dilakukan pembetulan SPT Masa PPh Pasal 21 masa Desember 2013.

Untuk Kasus II
- WP harus mengajukan surat permohonan pemindahbukuan PPh Pasal 23 yang lebih bayar untuk dikompensasikan ke masa pajak berikutnya. Lebih bayar tersebut tidak akan secara otomatis mengurangi PPh Pasal 23 masa pajak bulan berikutnya, apabila tidak dilakukan PBK (Pemindahbukuan).
  KPP akan terbitkan Surat Pemindahbukuan dari KPP (WP lalu input di masa pajak bulan September). Nomor PBK-nya dijadikan pengganti nomor SSP jika PBK ke PPh Pasal 23.
- Apabila WP tidak yakin bahwa dibulan depan PPh 23-nya sebesar Rp.18.000.000 atau lebih besar dari PBK yang diajukan, WP bisa mengalihkan kelebihan pembayaran tersebut untuk PPh selain Pasal 23, misalnya: dialihkan sebagai penyetoran PPh 21.
  Kalau PBK-nya selain ke PPh 23, misalnya PPh 21, untuk mengisi NTPN kita tinggal mengisi NTPN yang sudah ada, yaitu yang bulan Agustus.
Dalam membuat Surat Pemindahbukuan terdapat 2 (dua) surat yang harus di buat yaitu:
1) Surat Permohonan Pemindahbukuan
2) Surat Pernyataan bahwa SSP tersebut belum dikreditkan
Contoh kedua surat tersebut disajikan di bagian bawah.

Kalau surat kita sudah diterima, biasanya KPP akan memproses kira-kira 2 (dua) minggu atau paling lama sebulan (harus giat tanya ke AR). Lamanya waktu tersebut karena KPP terlebih dahulu membuat surat konfirmasi kepada bank terkait, mengenai keabsahan transaksi pembayaran melalui SSP yang diajukan.

Sebagai bukti telah dilakukan pemindahbukuan, Kepala Kantor Pelayanan Pajak akan menerbitkan Bukti Pemindahbukuan (Bukti PBK). Nomor PBK tersebut digunakan sebagai pengganti nomor SSP.

Berikut contoh surat permohonan pemindahbukuan dan surat peryataan, karena kesalahan dalam penulisan Kode Setor dalam SSP (Kasus I):

Jakarta,

Nomor	:	...
Lampiran	:	SSP Lembar 1
Perihal	:	Permohonan Pemindahbukuan

Kepada Yth,
Kepala Kantor
KPP Pratama Jakarta
Jl.

Dengan hormat,

Bersama ini, kami atas nama:

Nama WP	:	...
NPWP	:	...
Alamat	:	...

Mengajukan Permohonan Pemindahbukuan karena kekeliruan penyetoran Pajak Pasal 21 untuk masa pajak Desember 2013 dengan penjelasan sebagai berikut:

Pasal 3 (4) Keputusan Menteri Keuangan No. 88/KMK.04/1991, menyatakan bahwa pemindahbukuan dapat dilakukan atas kesalahan pengisian Surat Setoran Pajak (SSP).
Pada tanggal 10 Januari 2014, kami telah melakukan pembayaran sebesar Rp100.000.000 (terlampir) atas PPh Pasal 21 Masa Desember 2014.
Alasan kami mengajukan pemindahbukuan adalah dikarenakan terdapat kesalahan dalam menuliskan kode jenis setoran pajak atas SSP yang dibayar pada tanggal 10 Januari 2014 untuk pembayaran PPh 21 Masa Desember. Kode jenis setor yang tercantumkan dalam SSP adalah 411211-100 (PPN Masa), seharusnya adalah 411121-100 (Masa PPh Pasal 21).
Berdasarkan pasal 3 (4) Keputusan Menteri Keuangan No. 88 / KMK.04 / 1991, pemindahbukuan dapat karena salah mengisi Surat Setoran Pajak (SSP) baik menyangkut Wajib Pajak sendiri maupun Wajib Pajak lain
Mengacu kepada peraturan tersebut di atas, kami mohon untuk dilakukannya pemindahbukuan untuk membetulkan kesalahan pengisian SSP tersebut untuk Jenis Pajak PPh Pasal 21 Masa Desember 2013. Kami mohon SSP tersebut dipindahbukukan dengan perincian di bawah ini:

Semula:

Nama WP	:	...
NPWP	:	...
Alamat	:	...
Jenis Pajak	:	PPN
Masa Pajak	:	Desember 2013
MAP Kode Jenis Pajak	:	411211
Kode Jenis Setoran	:	100
Tanggal SSP	:	10 Januari 2014
Jumlah Setoran	:	Rp100.000.000
NTPN	:	(16 digit)

Menjadi:

Nama WP	:	...
NPWP	:	...
Alamat	:	...
Jenis Pajak	:	PPh Pasal 21
Masa Pajak	:	Desember 2013
MAP Kode Jenis Pajak	:	411121
Kode Jenis Setoran	:	100
Tanggal SSP	:	10 Januari 2014
Jumlah Setoran	:	Rp100.000.000
NTPN	:	(16 digit)

Jumlah Pemindahbukuan: Rp100.000.000 (seratus juta rupiah)

Besar harapan kami, permohonan ini dapat dikabulkan dalam waktu yang tidak terlalu lama. Atas perhatian dan kerjasamanya kami ucapkan terima kasih.

Hormat Kami,

xxxxxxxxxxxxx

Direktur

Lampiran:
1. SSP lembar ke-1 atas PPN Masa Desember 2013 sejumlah Rp100.000.000.

Surat Pernyataan

No.

Saya yang bertanda tangan di bawah ini :

Nama	:	...
Jabatan	:	...
Perusahaan	:	...

menyatakan dengan ini bahwa Surat Setoran Pajak (SSP) dengan rincian :

Nama WP	:	...
NPWP	:	...
Alamat	:	...
Jenis Pajak	:	PPN
Masa Pajak	:	Desember 2013
MAP Kode Jenis Pajak	:	411211
Kode Jenis Setoran	:	100
Tanggal SSP	:	10 Januari 2014
Jumlah Setoran	:	Rp100.000.000
NTPN	:	(16 digit)

Adalah merupakan kesalahan setoran pajak kami, dan belum pernah di kreditkan, maka kami bermaksud untuk melakukan pemindahbukuan kepada setoran pajak atas:

Jenis Pajak	:	PPh Pasal 21
Masa Pajak	:	Desember 2013
MAP Kode Jenis Pajak	:	411121
Kode Jenis Setoran	:	100
Jumlah Pemindahbukuan	:	Rp100.000.000 (seratus juta rupiah)

Demikian surat pernyataan ini kami buat untuk kelengkapan permohonan pemindahbukuan yang diajukan oleh ……………………………………………. karena terjadi kekeliruan pengisian kode jenis setoran pajak pada SSP yang telah disetor.

Jakarta,

xxxxxxxxxxxx

Direktur

Risk Based Internal Audit Plan: A Simple Practical Guide

2014-08-28T17:37:00.002+07:00

Simple Practical Guide Risk Based Audit Plan – Review Application Control

Sumber: IIA’s Global Technology Audit Guide (GTAG) 8: Auditing Application Controls

1. Umum

Sebelumnya sori neh kalo bahasa yang digunakan campur-2, maklum lagi sekalian latihan Bahasa Inggris. Ga masbuloh kan....
Requirement to develop risk based plan bagi internal auditor dipersayaratkan dalam Standar Internal Audit, issued by Institute of Internal Auditors (IIA). The implementation of the “risk based audit plan” covers annual engagement at IAA level and individual level.CAE must manage internal audit activities IAA) to ensure that IAA will provide add value for organization (Standard 2000: Managing the Internal Audit Activity). Agar dapat memberi nilai tambah, maka IAA wajib disusun dengan menggunakan pendekatan risk-based audit plan, untuk menentukan prioritas IAA, guna mendukung pencapaian tujuan organisasi (Standar 2010: Planning).

Risk Based Internal Audit Plan: A Simple Practical Guide

Posting ini fokus membahas contoh sederhana panduan praktis bagaimana menyusun risk based internal audit plan untuk penugasan tahunan level IAA, untuk penugasan audit IT. Panduan untuk RBIA pada untuk level individu akan dibahas pada posting berikutnya.

2. Assess Risk – Kasus Reviu Application Control

When developing review plan of application control, auditor should utilize techniques for identifying critical vulnerabilities, terhadap tujuan (operasional, pelaporan, dan kepatuhan). The techniques include:

Sifat, waktu, dan tingkat reviu.

Fungsi bisnis yang kritis, yang didukung oleh application controls. Semakin besar dukungan aplikasi kepada suatu fungsi binis kritis, maka semakin besar nilai risiko-nya.

Kebutuhan waktu dan sumber daya yang diperlukan untuk melakukan reviu. Dengan menggunakan RBIA, maka sumber daya yang tersedia (SDM, waktu, dan uang, serta aset pendukung) dialokasikan habis/ maksimal untuk melaksanakan penugasan-penugasan yang beresiko tinggi.

Moreover, auditor should propose 4 (four) critical questions, when deciding the scope of the review, i.e.:

Apa risiko terbesar bagi perusahaan dan perhatian utama komite audit, yang perlu untuk dinilai dan dikelola, dengan mempertimbangkan masukan/ pandangan dari manamengent?
Proses bisnis yang mana, yang dipengaruhi oleh risiko-risiko tersebut?
Sistem aplikasi yang mana, yang digunakan untuk melaksanakan proses-proses tersebut?
Dimana proses tersebut dilaksanakan?

When identfying risks, auditor mungkin menyadari bahwa akan berguna untuk menggunakan top-down risk assessment approach, untuk menentukan aplikasi mana yang masuk sebagai bagian dari control review dan pengujian/ test apa yang perlu dilakukan. Risk assessment tersebut bukan bagian dari manajemen risiko, namun suatu penilaian risiko yang menggunakan pendekatan manajemen risiko. Oleh karena itu, dalam melakukan risk assessment, auditor melakukan langkah yang similar dengan langkah risk assessment dalam manajemen risiko.

As an example: the following diagram depicts an effective methodology to identify risks related to financial reporting and review scope. For notes: this illustration is not the only method to perform all type of risk assessment.

RBIA Auditor Corner

3. Application Control: Risk Assessment Approach

To provide add value for application control risk assessment activities, internal auditor:

a. Mendefinisikan aplikasi (audit/ reviu) universe, database, dan teknologi pendukung, yang memanfaatkan application controls, dan juga meringkas risiko-risiko dan pengendalian dengan menggunakan matrik risk dan control yang didokumentasikan selama proses risk assessment tersebut.

b. Mendefinisikan faktor-faktor resiko, yang berhubungan dengan masing-masing application control, termasuk:
a) Primary (key) application controls.
b).Desain efektifitas dari application controls.
c).Pre-packaged atau developed applications / databases. Unconfigured pre-packaged atau developed applications, yang berlawanan dengan aplikasi yang highly configured in-house atau purchased applications.
d).Apakah aplikasi tersebut mendukung lebih dari satu proses bisnis penting.
e).Klasifikasi data yang diproses oleh aplikasi tersebut (e.g., financial, private, or confidential).
f).Frekuensi perubahan pada aplikasi atau databases.
g).Kompleksitas perubahan (contoh: perubahan table versus perubahan code).
h).Dampak keuangan dari application controls.
i).Efektifitas IT General Controlss, yang berkaitan dengan aplikasi (e.g., change management, logical security, dan operational controls).
j).Catatan audit atas masalah controls.

c. Tetapkan bobot seluruh faktor risiko untuk menentukan risiko-risiko mana yang perlu diberi bobot lebih besar dari lainnya.

d. Tentukan skala untuk me-ranking masing-masing risiko application control dengan mempertimbangkan skala kualitatif dan kuantitatif, seperti:
a) Low, medium, atau high control risk.
b) Skala numeric berdasarkan informasi kualitatif (contoh, 1 = low-impact risk, 5 = high-impact risk, 1 = strong control, dan 5 = inadequate control).
c) Skala numerik berdasarkan informasi kuantitatif (contoh: 1 = < US$50,000 dan 5 = > US $1,000,000).

e. Lakukan risk assessment dan ranking seluruh area risiko.

f. Evaluasi hasil risk assessment .

g. Buat rencana risk review, yang didasarkan pada hasil risk assessment dan ranked risk areas.

Example:

Tabel di bawah menggambarkan contoh application control risk assessment, yang menggunakan skala ranking kualitatif (1 = low impact / risk and 5 = high impact / risk).
Composite score untuk masing-masing aplikasi dihitung dengan cara: Σ (bobot faktor risiko X rating aplikasi).
Contoh: composite score 375 pada baris pertama dihitung dengan cara: [(20 x 5) + (10 x 1) + (10 x 5 ) + … + (15 x 2)].
Misal: auditor dapat menetapkan bahwa lingkup reviu application control akan memasukan semua aplikasi dengan composite score 200 atau lebih, jadi yang akan masuk lingkup reviu adalah Applikasi D, A, C, dan E.
Dari hasil risk assessment tersebut, maka lingkup penugasan mencakup reviu atas Aplikasi D, A, C, dan E.
Dengan asumsi, IAA telah memperhitungkan:
a) Sifat, waktu, serta tingkat reviu,
b) Hasil Assurance Map
c) Kecukupan sumber daya (waktu, dana dan SDM), yang tersedia untuk dialokasi penugasan lainnya (assurance dan consulting).

RBIA Risk Factor Auditor Corner

Therefore, engagement review of application D, A, C, and E, will be included in Annual Internal Audit Plan (maka, penugasan reviu D, A, C, dan E masuk dalam Perencanaan Audit Tahunan).

Measuring the Efficiency and the Effectiveness of IAA

2014-08-26T00:22:00.002+07:00

Sumber: IPPF Practice Guide: Measuiring Internal Audit Effectiveness and Efficiency

Definisi Efektifitas dan Efisiensi Internal Audit

Deskripsi umum dari efektifitas dan efisiensi adalah “tingkat (termasuk kualitas) dimana tujuan-tujuan yang ditetapkan, tercapai”. Deskripsi yang sama dapat digunakan untuk efektifitias dan efisiensi internal audit. Internal audit seharusnya membangun ukuran kinerja dan kriteria pengukuran bagi lingkungan/ aktivitasnya, untuk mengukur tingkat (termasuk kualitas) pencapaian tujuan-tujuan yang ditetapkan bagi aktivitas internal audit (IAA).
Efektifitas dan efisiensi internal audit seharusnya dimonitor dan dievaluasi secara periodik, sebagai bagian dari proses internal audit.

Measuring the Efficiency and the Effectiveness of IAA

Metriks/Ukuran Efektifitas dan Efisiensi Kinerja Internal Audit.

Internal Audit harus secara efektif menunjukan nilainya, sebagai komponen penting dari kerangka governance organisasi. Aktivitas audit dapat memimpin dengan memberi contoh bagaimana ukuran kinerja yang tepat, relevan, dan reliabel.
Proses Pengukuran Kinerja
Untuk menciptakan ukuran kinerja, Kepala SPI (CAE) perlu membangun suatu proses untuk:

Identifikasi kategori kinerja utama, seperti kepuasan stakeholder, proses internal audit, dan inovasi dan kapabilitas.

Identifikasi kategori strategi dan ukuran kinerja. Strategi seharusnya mempertimbangkan kepatuhan terhadap Standar IIA, standar profesional terkait, dan aturan dan hukum terkait, serta menjamin kepuasan stakeholder. Penggunaan ukuran kinerja dapat berupa suatu elemen dari proses internal assessment atas IAA, terkait kepatuhan terhadap Standard IIA.

Secara rutin memonitor, menganalisis, dan melaporkan ukuran kinerja.

Proses tersebut dapat mengikuti langkah-langkah, sebagai berikut:
1. Mendefinisikan Efektifitas Internal Audit.

Review IPPF guidance yang relevan, termasuk Standards.
Review rencana strategis IAA dan organisasi.
Review piagam/ charter dewan komisaris /pengawas, komite audit, dan IAA.
Menilai dasar, ekspektasi, dan target/harapan dari hasil/produk IAA.
Formulasikan definisi awal dari efektifitas dan efisiensi internal audit.
Definisikan kesepakatan dari stakeholder utama, terkait definisi efektifitas dan efisiensi.

2. Identifikasi Stakeholder Utama dari Internal dan Eksternal

Tentukan stakeholder internal dan eksternal bagi IAA dan organisasi.
Tentukan pihak-2 yang secara langsung atau tidak langsung, mengandalkan kepada hasil kerja IAA.
Tentukan pihak-2 yang mendapatkan manfaat, secara langsung atau tidak langsung, dari hasil kerja IAA.
Pertimbangkan pihak-2 yang mendukung IAA.

3. Membangun Ukuran Efektifitas Internal Audit

Pahami ekspektasi stakeholder terhadap IAA.
Pahami atribut, hasil/produk, dan Understand what internal audit attributes, deliverables, and capabilities key stakeholders value and related shortcomings or advancements in these areas.
Kembangkan alat ukur seperti BSC (balanced scorecard) to document relevant attributes of effectiveness and effi ciency and related performance against these.
Sepakati dengan stakeholder, terkait dengan metrik efektifitas dan efisiensi.

4. Monitor dan Melaporkan Hasil Kinerja

Buat kesepakatan format dan frekuensi untuk pelaporan, yang mempertimbangkan ukuran, sifat, dan struktur governance dari organisasi.
Buat reviu periodik terhadap kegiatan monitoring dan pelaporan, untuk menjamin relevansi, efisiensi, dan efektifitas.
Gunakan hasil pelaporan untuk memperkuat dan memandu IAA.
Align-kan aktivitas internal audit ke ukuran-ukuran yang ditetapkan untuk efektifitas dan efisiensi.

Categories of Performance Information for Internal Auditing

IAA seharusnya mengidentifikasi kategori ukuran kinerja kunci, seperti kepuasan stakeholder, proses audit, dan inovasi dan kapabilitas internal audit. Proses audit dapat termasuk penilaian risiko, perencanaan, metodologi audit. Inovasi dan kapabilitas dapat termasuk efektifitas pemanfaatan teknologi, pelatihan, dan pengetahuan tentang industri.
Ketika membangun ukuran kinerja, IAA seharusnya mempertimbangkan:

Seberapa efektif ukuran kinerja dikaitrkan dengan strategi IAA?
Apakah ukuran kinerja termasuk indikator leading dan lagging?
Apakah ukuran kinerja menggambarkan mandat dan peranan IAA?
Seberapa efektif ukuran kinerja digunkan untuk perbaikan berkelanjutan?

Metrik kinerja dapat dibangun sejalan dengan dimensi, kepentingan, dan perspektif dari berbagai stakeholder. Setiap perspektif akan termasuk ukuran-ukuran.

IAA Effectiveness Perspective

Characteristics of Performance Measures:

Quantitative vs. Qualitative

Metrik kuantitatif dan kualitatif keduanya penting dalam menunjukan kinerja IAA kepada stakeholder, dan keduanya dapat di-benchmark terhadap standar yang diacu, kinerja sebelumnya, dan/ atau ekspektasi yang disetujui.

Quantitative performance metrics sering berdasarkan data yang ada atau yang dapat diperoleh, dan mudah dimengerti (seperti persentase realisasi v.s. rencana audit). Metrik kuantitatif membutuhkan usaha sedikit untuk mengumpulkan datanya dan dapat dibanding dengan metrik yang sama dengan organisasi lainnya.

Qualitative metrics sering berdasarkan pengumpulan informasi yang unik, dengan are often based on the collection of unique information through more time intensive methods such as survey research or interviews. They offer a broad view of performance on a range of topics that can provide depth to quantitative metrics

Specific Measures

In addition to compliance with the Standards, internal auditing’s performance measurement objectives may include:
level of contribution to the improvement of risk management and control and governance processes; achievement of key goals and objectives assigned; evaluation of progress against audit plan; staff productivity; costefficiency of the audit process, number of action plans for process improvements; effectiveness in meeting the needs of stakeholders; and the sufficiency of quality assurance reviews.

Monitoring and reporting results

Internal auditing’s effectiveness and efficiency should be reported to its stakeholders periodically. The CAE should obtain feedback from key stakeholders on internal auditing’s effectiveness and efficiency in reporting (e.g., format, timing, metrics) and make efforts to align reporting to their needs.

Contents: What should be reported varies based on stakeholder requirements and the organization’s specific needs.

A good practice is to survey key stakeholders to determine their needs and expectations, which then helps defi ne the criteria upon which internal auditing should be measured.

Type of reporting: The CAE should evaluate stakeholders to whom reporting is required and customize the reporting package to their individual needs.

Frequency: The frequency of reporting should be based on stakeholder needs. Quarterly reporting on internal audit effectiveness and efficiency could be a good starting point.

Format: Standards for reporting internal audit effectiveness and efficiency should be similar to standards followed for reporting other audit-related information. There are many formats for reporting, including Word, PowerPoint, dashboards based on automated tools, and e-mail. The chosen format should be tailored to meet stakeholders’ specific needs. For example, reporting to the board might be less frequent and in less detail to meet its needs in overseeing the activities of internal auditing. Reporting to management would likely be much more detailed.

Consistent processes are needed for gathering, summarizing, and analyzing measurement data. Responsibility for performing and validating measurement data should be established similar to any other audit engagement.
The CAE may consider periodic benchmarking of its current metrics and criteria with those being used by peer organizations. This can help ensure current and appropriate criteria are in place for measuring internal auditing’s effectiveness and efficiency.

Questions that Should be Answered to Adequately Gauge and Provide to Varied Stakeholders Reasonable Assurance of Internal Audit Quality

Source: www.theiia.org/guidance/quality. Under Advocacy, click on The Audit Committee: Internal Audit Oversight

Does the internal audit activity have a quality assurance and improvement program?
Has the activity performed its work in accordance with its charter?
Do the internal auditors adhere to The IIA’s Code of Ethics?
Are internal audits conducted in conformance with The International Standards for the Professional Practice of Internal Auditing?
Does the activity operate effectively and efficiently?
Is the staff size adequate?
Are the existing skill sets appropriate?
Does the activity contribute to the improvement of organizational operations, and is it perceived by stakeholders to add value?
Does the activity have the tools and other resources it needs?
Does the activity engage in ongoing internal reviews and analysis of supervision, documentation, policies, and procedures?
Does the activity engage in periodic reviews that include customer surveys, risk assessments, workpaper reviews, analysis of performance metrics, and best-practice benchmarking?
Do members of the team participate in professional development training?
Have team members acquired professional designations that demonstrate their competency.
Has the internal audit activity obtained an independent external quality assessment within the past fi ve years?

Examples of Internal Audit Effectiveness and Efficiency Metrics

IAA Effectiveness Metrics 1

IAA Effectiveness Metrics 2

Example of Reporting Internal Audit Effectiveness and Efficiency Dashboard

IAA Effectiveness Dashboard

Question and Answer - Type Tip Trick

2014-08-25T23:18:00.000+07:00

I. Umum

In general, the content of CIA examination comprises of the examinations material, related to:

a. Internal Audit Basics.

Duration: 2.5 hours, Question Count: 125
Topical focus areas include:

IIA Mandatory Guidance
Internal Control and Risk.
Tools and Techniques for Conducting the Audit Engagement

b. Internal Audit Practice.

Duration: 2.0 hours, Question Count: 100
Topical focus areas include:

Managing the Internal Audit Function
Managing Individual Engagements
Fraud Risks and Controls

c. Internal Audit Knowledge.

Duration: 2.0 hours
Question Count: 100
Topical focus areas include:

Governance
Risk Management
Organizational Structure and Business Processes
Communication
Leadership
IT/Business Continuity
Financial Management
Global Business Environment

II.Tingkat Knowledge yang Diuji

Ada 2 (dua) tingkat knowledge yang diuji:

1. Awareness (A)

An awareness/ appreciation means the ability to recognize the existence of problems or potential problems and to identify the additional research to be undertaken or the assistance to be obtained.
Bahasa sederhananya, soal yang menguji awareness berarti soal hanya menguji kemampuan untuk mengidentifkasi suatu masalah.

2. Proficiency (P)

Proficiency means the ability to apply knowledge to situations likely to be encountered and to deal with them appropriately without extensive recourse to technical research and assistance.
Bahasa sederhananya, soal yang menguji profesiensi berarti soal menguji kemampuan kita untuk menerapkan pengetahuan ke dalam praktek atau untuk mengatasi suatu masalah.
Example:
Auditor yang melaksanakan penugasan yang banyak mengandung pekerjaan yang berhubungan dengan pencatatan dan pelaporan akuntansi/ keuangan, maka tim audit harus memiliki proficiency terkait general accepted accounting standar (GAAP).
Namun, jika penugasan sedikit bersinggungan dengan pekerjaan pencatatan dan pelaporan akuntansi/ keuangan, maka tim audit cukup memiliki awareness terkait GAAP.

III.Tipe Soal.

Secara umum, tipe soal CIA examination menguji tingkat kemampuan sbb:
1. Ujian kemampuan teknis/ aplikasi.
2. Ujian kemampuan penguasaan/ profesiensi materi.

3. Ujian hapalan pemahaman/ understanding materi.

IV. Tips and Trick

Secara umum, peserta ujian harus melakukan:

Analisis pertanyaan, untuk memahami dengan benar apa maksud dari pertanyaan.

Analisis jawaban, untuk mencari jawaban yang benar atau untuk mencari pilihan jawaban yang pasti salah. Dalam melakukan analisis jawaban, ada beberapa alternatif trick yang bisa dilakukan, yaitu:

1. Eliminasi anwser yang kemungkinan besar salah.

1) Anda yakin answer tertentu merupakan jawaban yang salah.
Contoh: Pertanyaan (Sumber: Gleim):
An example of an internal nonfinancial benchmark is
Analisis pertanyaan:

terkait benchmark: berarti cari jawaban yang mengandung perbandingan / analytical procedure.
benchmark internal, berarti perbandingan data dari internal perusahaan.
benchmark yang bersifat nonfinancial, tidak mengandung nilai uang.

Pilihan Jawaban
Analisis Jawaban
a. The labor rate of comparably skilled employees at a major competitor’s plant.
Jawaban pasti salah, karena labor rate (tarif upah) = mengandung nilai uang (bukan nonfinancial measure).

b.The average actual cost per pound of a specific product at the company’s most efficient plant.
Jawaban pasti salah, karena actual cost per pound (biaya per pound) = mengandung nilai uang (bukan nonfinancial measure).

c. A US $50,000 limit on the cost of employee training programs at each of the company’s plants.
Jawaban pasti salah, karena $50,000 limitation = mengandung nilai uang (bukan nonfinancial measure).

d.The percentage of customer orders delivered on time at the company’s most efficient plant.
Jawaban Benar:

% customer order delivered on time = nonfinancial measure,
mengandung perbandingan (dengan company’s most efficient plant)
perbandingan secara internal (dengan company’s most efficient plant)

2) Answer yang mengadung frase “memastikan/ assure/ exact”, “semua/ all”, ...., “guarantees”, “the best”, cenderung (dengan kemungkinan sekitar 80%) jawaban salah. Hal ini karena dalam audit:

Audit tidak memberikan/ mengandung kepastian 100% / absolute/ guarantees, assurance yang diberikan pada tingkat reasonableness.
Opini / simpulan audit berdasarkan pengujian sample (beberapa bagian dari populasi).
Pengujian dilakukan pada tingkat yang cukup untuk memberikan simpulan, bukan pada level yang terbaik.

Contoh: Pertanyaan (Sumber: Gleim):
Which of the following statements is true with respect to due professional care?
Analisis pertanyaan:

Terkait dengan “due professional care”. Dari frasa –nya (profesional care), maka kita bisa menduga bahwa yang ditanyakan terkait dengan pelaksanaan aktivitas audit.

Pilhan Jawaban
Analisis Jawaban
a. An internal auditor should perform detailed tests of all transactions before communicating results.
Auditor memberikan reasonable assurance atas simpulan/ opini audit. Standar tidak pernah pensyaratkan pengujian atas seluruh transaksi. Maka, kita pastikan jawaban (A) salah.

b. An item should not be mentioned in an engagement communication unless the internal auditor is absolutely certain of the item.
Audit tidak boleh memberikan absolute assurance, namun reasonable assurance. Maka, kita pastikan jawaban (B) salah.

c. An engagement communication should never be viewed as providing an infallible truth about a subject.
Karena jawaban (A), (B), dan (D) bisa kita pastikan salah, maka sisa 1 (satu) pilihan jawaban, yaitu (C). Maka, kita bisa menduga bahwa jawaban (C) benar.
Penjelasan profesionalnya adalah: Due professional care tidak mengandung kebenaran mutlak (infallible truth).

d. An internal auditor has no responsibility to recommend improvements.
Berdasar definisi Internal Audit, memberikan rekomendasi perbaikan kepada klien merupakan tanggung jawab internal auditor. Maka, kita pastikan jawaban (D) salah.

3) Eliminasi jawaban yang secara substansi merupakan “tanggung jawab manajemen”. Secara prinsip, auditor tidak boleh melakukan aktivitas yang merupakan tanggung jawab manajemen.
Contoh: Pertanyaan (Sumber: Gleim):
The internal auditors’ responsibility regarding fraud includes all of the following, except:
Analisis pertanyaan:

Hati-hati, pertanyaan menanyakan “kecuali”.
Terkait tanggung jawab internal auditor, kita piliah pilihan jawaban mana yang kita merupakan tanggung jawab auditor dan tanggung jawab manajemen.
Secara umum, tanggung jawab manajemen adalah desain, implementasi, dan monitor internal kontrol, risk management, dan governance, sedangkan tanggung jawab internal auditor adalah evaluasi / assess efisiensi dan efektifitas internal kontrol, risk management, dan governance.

Pilhan Jawaban
Analisis Jawaban
a. Determining whether the control environment sets the appropriate tone at top.
Jawaban pasti salah, karena menilai kelayakan tone of the top (governance) merupakan tanggung jawab auditor.

b. Ensuring that fraud will not occur.
Alternatif jawaban dari 4 (empat) piliham, menjadi sisa 2 (dua) pilihan, yaitu (B) atau (C), sehingga kita telah meningkatkan chance dari 25% menjadi 50% untuk menjawab benar. Kalau tidak pasti mana pilhan (B) atau (C), jangan langsung guessing, tetapi lalkukan analisis lebih lanjut.
Analisis:
Baik manajemen maupun internal auditor harus aware terhadap kemungkinan terjadinya fraud. Bedanya, manajemen bertanggung jawab untuk mendesain internal kontrol untuk meminimalkan kemungkinan terjadinya fraud, sedangkan internal auditor harus menyusun prosedur audit untuk dapat mengidentifikasi adanya fraud indicators.
Maka dari pilihan (B) ensuring = merupakan tanggung jawab manajemen, bukan tanggung jawab auditor. Jadi, jawaban yang benar adalah (B).

c. Being aware of activities in which fraud is likely to occur.

d. Evaluating the effectiveness of control activities.
Jawaban pasti salah, karena evaluasi efektifitas suatu kegiatan merupakan tanggung jawab intrernal auditor.

4) Untuk pertanyaan “terkait kondisi/ situasi tsb, mana/ apa yang auditor terlebih dahulu lakukan”, maka secara umum, jawaban cenderung adalah auditor melakukan evaluasi/ analisis terlebih dahulu atas kondisi / situasi terkait.
Hal ini karena secara prinsip, setiap masalah/ kondisi/ situasi, yang dihadapi oleh auditor, seharusnya dievaluasi/ dianalisis terlebih dahulu oleh auditor. Biasanya, analisis untuk menilai dampak kondisi/ situasi tehadap tujuan / aspek lainnya atau untuk mendapatkan bukti lebih meyakinkan (conlusive evidence).
Contoh:Pertanyaan (Sumber: Gleim):
While testing the effectiveness of inventory controls, the internal auditor makes a note in the working papers that most of the cycle count adjustments for the facility involved transactions of the machining department. The machining department also had generated an extraordinary number of cycle count adjustments in comparison with other departments last year. The internal auditor should:
Analisis pertanyaan:

Dalam proses pengujian ToC, secara bersamaan, internal auditor menemukan banyak adjustment di department machine. Kemudian, internal auditor melakukan prosedur analitis, dengan cara bandingkan jumlah adjustement tersebut dengan jumlah adjustment di departement lainnya.
Kondisi di atas berpotensi adanya misstatement dan/atau ada indikasi fraud.
Umumnya, untuk menghasilkan simpulan audit, suatu hasil prosedur analitis harus dikolaborasi dengan bukti audit lainnya.

Pilhan Jawaban
Analisis Jawaban
a. Interview management and apply other engagement procedures to determine whether transaction controls and procedures within the machining department are adequate.
Ketika hasil prosedur analitis menunjukan adanya potensi misstatement/ indikasi fraud, maka auditor perlu mengkolaborasi hasil tersebut dengan bukti audit lainnya. Jadi, auditor harus melakukan prosedur audit tambahan untuk mengevaluasi lebih lanjut hasil prosedur analitis. Salah satu cara evaluasi lebih lanjut adalah dengan melakukan inquiry kepada manajemen, untuk mendapatkan penjelasan mengenai adanya deviasi tersebut. Maka, jawaban (A) benar.

b. Do no further work because the concern was not identified by the analytical procedures included in the engagement work program.
Audit program bersifat fleksibel, dapat tidak dilaksanakan (namun dengan alasan dan analisis dampak), serta dapat ditambahkan (jika dibutuhkan). Auditor dapat menambah prosedur dalam audit program untuk mendapatkan bukti lanjutan atas suatu informasi tertentu, yang tidak diantisipasi sebelumnya di audit program awal. Maka, jawaban (B) salah.

c. Notify internal auditing management that fraud is suspected.
Fraud dikomunikasikan kepada manajemen hanya jika auditor telah mengumpulkan bukti yang cukup bahwa fraud telah terjadi. Dari soal ujian, fakta yang diperoleh hanya berasal dari prosedur analitis, yang perlu dikolaborasi dengan bukti lain. Maka, jawaban (C) salah.

d. Place a note in the working papers to review this matter in detail during the next engagement.
Hasil prosedur analitis menunjukan adanya risiko misstatement / indikasi fraud, sehingga auditor harus menyelesaikan masalah tersebut segera, tidak boleh ditunda. Maka, jawaban (D) salah.

2. Anda tahu all answer is correct, tapi anda diminta pilih answer yang “paling” benar.

Untuk pertanyaan “terkait kondisi/ situasi tsb, mana/ apa yang auditor terlebih dahulu lakukan”, biasanya semua pilihan answer yang ada, betul semua, namun yang ditanya adalah apa yang pertama/ utama harus dilakukan oleh auditor. Secara umum, jawaban cenderung adalah auditor melakukan evaluasi/ analisis terlebih dahulu atas kondisi / situasi terkait.
Hal ini karena secara prinsip, setiap masalah/ kondisi/ situasi, yang dihadapi oleh auditor, seharusnya dievaluasi/ dianalisis terlebih dahulu oleh auditor. Biasanya, evaluasi untuk menilai dampak kondisi/ situasi tehadap tujuan / aspek lainnya.

3. Guessing, but not recommended.

Ada kalanya kita menghadapi soal ujian yang kita tidak tahu sama sekali apa jawaban yang benar. Hal terbaik yang dapat kita lakukan adalah dengan cara mengeliminasi semua answer yang tidak benar. Dengan begitu kita dapat meningkatkan chance/ probability kita dalam menebak suatu jawaban. Misal: jika kita mampu mengeliminasi 2 (dua) pilihan (misal A dan C), maka kita menyisakan 2 (dua) pilihan (B dan D) untuk ditebak, sehingga kita meningkatkan probabilitas benar dari 25% (1/4) menjadi 50% (1/2).

Contoh: Pertanyaan (Sumber: Gleim):
An unexpected decrease in which of the following ratios could indicate that fictitious inventory has been recorded?
Analisis pertanyaan:

Terkait penurunan / decrease ratio.
Oleh karena itu, untuk menjawab pertanyaan ini dibutuhkan pemahaman mengenai rasio keuangan. Kalau tidak hapal rumus rasio-nya, setidaknya peserta wajib tahu arti rasio sehingga kita bisa memperkirakan data-2 terkait rasio tersebut.
Rasio terkait dengan inventory, yang diduga ada fictitious inventory dicatat (ada overstated inventory).

Pilhan Jawaban
Analisis Jawaban
a. Average collection period.
Arti rasio: Periode koleksi rata-2 = lama waktu hari rata-2 piutang dikonversi menjadi kas. Rumus = (Rata-rata AR) / (Net sales per day). Dari arti rasio, maka kita bisa memperkirakan bahwa rasio tidak berkaitan dengan, maka kita simpulkan jawaban (A) salah.

b. Total asset turnover.
Arti rasio: mengukur nilai pendapatan yang dihasilkan dari setiap rata rupiah investasi dalam total aset.
Rumus = Net sales / Average total asset.
Investasi dalam total asset termasuk didalamnya adalah nilai inventory, sehingga kalau inventory overstated, maka total asset juga overstated. Karena pembagi (total aset) meningkat, dan penyebut (net sales) tetap, maka rasio menurun. Dari arti rasio, maka kita bisa memperkirakan bahwa rasio berkaitan dengan inventory, maka kita simpulkan jawaban (B) benar.

c. Price-earnings.
Arti rasio: menunjukan rasio nilai harga saham untuk setiap Rp1,00. Untuk mengukur kinerja, rasio ini tidak digunakan sendirian, namun PER perusahaan dibandingkan dengan PER industri.
Rumus = (price per share ÷ EPS).
Dari arti rasio, maka kita bisa memperkirakan bahwa rasio tidak berkaitan dengan inventory, maka kita simpulkan jawaban (C) salah.

d. Current.
Arti rasio: mengukur kemampuan perusahaan untuk membayar current liabilities-nya dengan menggunakan current asset (termasuk inventory).
Rumus = (current assets ÷ current liabilities).
Dari arti rasio, maka kita bisa memperkirakan bahwa rasio berkaitan dengan inventory, namun ficititious inventory menyebabkan inventory overstated, bukan understated, sehingga rasio current menjadi meningkat, bukan menurun. Oleh karena itu, kita simpulkan jawaban (D) salah.

4. Jebakan / Trap Soal

Beberapa soal ujian mengandung sedikit jebakan. Soal jebakan biasanya memberikan alternatif jawaban yang semua-nya mengandung kebenaran, tetapi bukan pilihan jawaban yang benar. Jawaban yang benar tergantung kepada substansi dari pertanyaannya.
1) Membedakan prevention, detective, corrective.

Apa sih itu IIA's IPPF (International Professional Practices Framework)

2014-07-27T01:35:00.001+07:00

Download IPPF Overview

1. What is the IIA?

What is IIA's IPPF (International Professional Practices Framework)

IIA IPPF

Established in 1941, the Institute of Internal Auditors (IIA) is an international association for internal auditors profession. Its headquarter is in Altamonte Springs, Florida, USA. Member IIA umumnya berprofesi dibidang intenal auditing, risk management, governance, internal control, information technology audit, pendidikan dan IT security. Pengurus IIA terdiri dari beberapa expert dari beberapa negara, yang semuanya memiliki minimal 2 (dua) sertifikasi internasional, seperti CIA, CPA, CRMA, CMA, CFE, CISA.

Globally, IIA has more than 180.000 members.
IIA Chapter Indonesia beralamat di:
Patra Jasa Office Tower, 21st Floor, Suite 2141
Jl, Jendral Gatot Subroto Kav. 32 - 34,

Jakarta 12950 , Indonesia.
Tel: +6221 5290-0238
Fax: +6221 5290-0239
e-mail address: info@iia-indonesia.com
Website: http://iia-indonesia.com

Apa sih itu IIA's IPPF (International Professional Practices Framework)

2. What is the IIA's IPPF?

IIA IPPF

IIA's International Professional Practices Framework (IPPF) dijadikan panduan wajib bagi profesi internal audit. IPPF merupakan kerangka konseptual yang mengatur panduan wajib, yang diformulasikan oleh IIA. Secara prinsip, IPPF diformulasikan dari hasil study/ survey best practice internal audit dari around the world. Oleh karena itu, IIA Standards berisi statements yang sifatnya minimum requirement, sedangkan untuk panduan praktisnya bersifat recommendation.

IPPF terdiri dari Mandatory Guidance dan Strongly Recommended Guidance.

Mandatory Guidance:

Mandatory guidance merupakan standar wajib yang harus dipatuhi oleh setiap internal auditor dan IAA. Karena wajib, maka terms yang digunakan adalah "must". Mandatory Guidance consists of:

Definition of Internal Auditing

Code of Ethics

International Standards for the Professional Practice of Internal Auditing (Standards)

Mandatory Guidance dapat didownload gratis di https://global.theiia.org

Strongly Recommended Guidance:

Strongly recommended guidance merupakan panduan yang disarankan untuk menerapkan IIA Standards. Karena panduan, maka terms yang digunakan adalah "should". Recommended guidance consits of:

Practice Advisories

Practice Guides

Position Papers

Strongly recommended guidance dapat di-download khusus untuk Member IIA, di https://global.theiia.org

3. Explanations

A. Mandatory Guidance

1) Definition of Internal Auditing, for further explanation, see "Makna definisi Internal Audit menurut IIA"
2) Code of Ethics
3) Standards, The Standards consist of Statements and Interpretations:
Secara umum, sistematika Standard adalah sebagai berikut:

Pokok Sub 1 Sub 2
1000–Purpose, Authority, and Responsibility

1010–Recognition of the Definition of IA, the Code of Ethics, and the Standards in the IA Charter

1100 –Independence and Objectivity

1110 –Organizational Independence

1111 –Direct Interaction with the Board

1120 –Individual Objectivity

1130 –Impairment to Independence or Objectivity

1200 –Proficiency and Due Professional Care

1210 –Proficiency

1220 –Due Professional Care

1230 –Continuing Professional Development

1300 –Quality Assurance and Improvement Program

1310 –Requirements of the Quality Assurance and Improvement Program

1311 –Internal Assessments

1312 -External Assessments

1320 –Reporting on the Quality Assurance and Improvement Program

1321 –Use of “Conforms with the International Standards for the Professional Practice of IA”

1322 –Disclosure of Nonconformance

2000 –Managing the Internal Audit Activity.

2010 –Planning

2020 –Communication and Approval

2030 –Resource Management

2040 –Policies and Procedures

2050 –Coordination

2060 –Reporting to Senior Management and the Board

2070 –External Service Provider and Organizational Responsibility for Internal Auditing.

2100 –Nature of Work

2110 –Governance

2120 –Risk Management.

2130 –Control

2200 –Engagement Planning

2201 –Planning Considerations

2210 –Engagement Objectives

2220 –Engagement Scope

2230 –Engagement Resource Allocation

2240 –Engagement Work Program

2300 –Performing the Engagement

2310 –Identifying Information

2320 –Analysis and Evaluation

2330 –Documenting Information

2340 –Engagement Supervision

2400 –Communicating Results

2410 –Criteria for Communicating

2420 –Quality of Communication.

2421 –Errors and Omissions

2430 –Use of “Conducted in Conformance with the International Standards for the Professional Practice of IA”

2431 –Engagement Disclosure of Nonconformance

2440 –Disseminating Results

2450 –Overall Opinion

2500 –Monitoring Progress
2600 –Communicating the Acceptance of Risks

B. Strongly Recommended Guidance

1. Practice Advisories

IIA Practice Advisories

2. Practice Guides

IIA Practice Guides

3. Position Papers

IIA Position Papers

The Institute of Internal Auditors' (IIA's) International Professional Practices Framework (IPPF) is the authoritative guidance on the internal audit profession. The IPPF presents current, relevant, internationally consistent information that is required by internal audit professionals worldwide.

The International Professional Practices Framework (IPPF) is the conceptual framework that organizes authoritative guidance promulgated by The Institute of Internal Auditors (IIA). The IPPF presents current and relevant information that is required by internal audit professionals worldwide. The IPPF includes Mandatory Guidance and Strongly Recommended Guidance.

- See more at: http://www.theiia.org/bookstore/product/international-professional-practice-framework-2011-1533.cfm?#sthash.sSsVF742.dpuf

Makna Definisi Internal Audit menurut Institute of Internal Auditors (IIA)

2014-07-01T22:32:00.000+07:00

IA definition

Institute of Internal Auditors (IIA) mendefinisikan internal auditing sebagai:
"An independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes."

The Meaning of the Definition of Internal Audit, According to Institute of Internal Auditors (IIA)

The above definition comprises of the following elements:

IA activities are conducted by an independent organization and objectives personnel.

IA activities include: assurance and consulting activities. Secara umum, semakin mature/ mapan suatu klien maka, peran IA lebih banyak melakukan kegiatan assurance, dan semakin tidak mapan suatu klien, maka peran IA lebih banyak melakukan kegaitan konsultatif.

The assurance and consulting activities are designed to add value to and improve the client's organization operations, by evaluating to and providing recommendations for the improvement of effectiveness of the process of risk management, control, and governance.

The contributions by providing add value and improvement recommendations help client's organization in achieving its objectives. Kegiatan IA memberi kontribusi bagi pencapaian tujuan, dan IA tidak boleh mengambil alih tanggung jawab manajemen terkait pencapaian tujuan organisasi klien. Oleh karena itu, KPI IA berupa nilai-nilai kontribusi/ pemberian nilai tambah.

IA activities is conducted in an systematic and disciple/ ethical.

Lebih detail, definisi tersebut di atas memiliki makna sebagai berikut:

1. Independent dan Objektifitas (Standard 1100: Independence and Objectivity.

Internal audit performed by an independent unit/organization and objective personnel. Independen merupakan sikap mental bebas dari kondisi yang mengancam IAA untuk melaksanakan tanggung jawab internal audit dalam sikap tidak bias.
Untuk dapat independen dan objektif, internal audit harus:
a. Secara organisasi independence (Practice Advisories 1110-1: Organizational Independence, Practice Advisory 1111-1: Board Interaction, Practice Advisory 1130-1: Impairment to Independence or Objectivity)

CAE melaporkan, minimal setahun sekali, ke dewan komisaris, terkait dengan independensi organisasi internal audit activity (IAA) (lihat Practice Guide: Interaction with the Board).
CAE memiliki akses langsung dan tak terbatas kepada senior management dan dewan komisaris/ pengawas. Hal ini dapat dicapai melalui hubungan dual-reporting, yaitu:
(a) Fungsional reporting (IAA bertanggung jawab secara fungsional) kepada Dewan Komisaris/ Pengawas. Agar independen secara fungsional, maka Dewan Komisaris/ Pengawas harus:
- Menyetujui internal audit charter (lihat Practice Guide: Model Internal Audit Activity Charter);
- Menyetujui risk based internal audit plan (lihat Practice Advisory 2010-1: Linking the Audit Plan to Risk and Exposures, Practice Advisory 2010-2: Using the Risk Management Process in Internal Audit Planning, Practice Advisory 2050-2: Assurance Maps, GTAG 11 Practice Guide: Developing the IT Audit Plan, GTAG 8 Practice Guide: Auditing Application Controls, dan Practice Guide: Developing the Internal Audit Strategic Plan);
- Menyetujui rencana sumber daya dan anggaran internal audit (lihat Practice Advisory 2030-1: Resource Management, GTAG 11 Practice Guide: Developing the IT Audit Plan dan Practice Guide: Interaction with the Board);
- Menerima komunikasi dari CAE terkait dengan kinerja IAA terhadap rencana IAA dan masalah lainnya (lihat Practice Advisory 2020-1: Communication and Approval, Practice Guide: CAE – Appointment, Performance Evaluation, and Termination);
- Menyetujui keputusan terkait dengan penunjukan dan pemberhentian CAE (lihat Practice Guide: CAE – Appointment, Performance Evaluation, and Termination);
- Menyetujui remunerasi CAE (lihat Practice Guide: Auditing Executive Compensation and Benefits); dan
- Mengajukan pertanyaan kepada manajemen dan CAE untuk menentukan apakah ada pembatasan lingkup atau sumber daya yang tidak memadai (lihat Practice Guide: Interaction with the Board).
Apa itu tanggung jawab fungsional? CAE bertanggung jawab atas pencapaian KPI fungsional untuk mencapai tujuan IAA secara efisien dan efektif. Contoh KPI fungsional IAA adalah jumlah rekomendasi yang disepakati dengan manajemen, terkait perbaikan proses governance, proses risk management, dan proses control. (Lebih lanjut lihat Practice Guide: Measuring Internal Audit Effectiveness and Efficiency)

(b) Administrative Reporting (IAA bertanggung jawab secara administratif) kepada Senior Management, termasuk:
- Akuntansi anggaran dan akuntansi manajemen.
- Administrasi SDM, termasuk evaluasi dan kompensasi personil;
- Komunikasi internal dan arus informasi;
- Administrasi kebijakan dan prosedur IAA.
Apa itu tanggung jawab administratif? CAE bertanggung jawab atas pencapaian KPI administratif untuk mencapai tujuan IAA secara efisien dan efektif. Contoh KPI administratif IAA adalah jumlah jam pelatihan per auditor dan jumlah utilisasi waktu per auditor (Lebih lanjut lihat Practice Guide: Measuring Internal Audit Effectiveness and Efficiency).

b. Secara individu objektif (Practice Advisories 1120 – 1: Individual Objectivity, Practice Advisory 1130-1: Impairment to Independence or Objectivity, Practice Advisory 1130.A1-1: Assessing Operations for Which Internal Auditors Were Previously Responsible).

Internal auditor harus memiliki sikap impartial, tidak bias, dan menghindari konflik kepentingan.

Apa itu objective?
Merupakan sikap mental tidak bias yang dapat membuat internal auditor untuk melakukan penugasannya sedemikian rupa, sehingga mereka percaya dengan hasil kerja mereka dan tidak ada kompromi yang dibuat.
Interprestasi

Konflik kepentingan merupakan situasi dimana internal auditor, yang sebagai pihak dipercaya, memiliki kompetisi profesional (misal kompetisi untuk promosi di divisi tertentu) atau kepentingan personal (misal hubungan keuangan).

Konflik kepentingan tersebut mengakibatkan internal auditor sulit untuk memenuhi kewajibannya untuk impartial (tidak berpihak).

Reviu hasil kerja penugasan sebelum hasil tersebut dikomunikasikan ke klien, memberikan jaminan yang memadai bahwa penugasan telah dilaksanakan secara objektif.

2. Aktivitas Assurance dan Konsultasi

Jasa Assurance melibatkan penilaian objektif dari internal auditor terhadap bukti untuk memberikan opini atau simpulan yang independen terhadap suatu entitas, operasi, fungsi, proses, sistem, atau masalah subjektif lainnya. Sifat dan lingkup dari penugasan assurance ditentukan oleh internal auditor. Ada 3 (tiga) pihak yang terlibat dalam jasa assurance:
1. orang atau grup yang secara langsung terlibat dengan entitas, operasi, fungsi, proses, sistem, atau masalah subjektif lainnya – sebagai pemilik proses,
2. orang atau grup yang melakukan penilaian — yaitu internal auditor, dan
3. orang atau grup yang menggunakan hasil penillaian — pengguna / user.
Example of assurance engagement: penugasan audit/ reviu keuangan, kinerja, kepatuhan, keamanan sistem, dan due diligence.

Jasa konsultasi memiliki sifat penasehat, dan umumnya dilksanakan atas permintaan penugasan dari klien. Sifat dan lingkup penugasan konsultasi menjadi subjek kesepakatan dengan klien. Jasa konsultasi melibatkan 2 (dua) pihak:
1. orang atau grup yang menawarkan saran — yaitu internal auditor, dan
2. orang atau grup yang mencari dan menerima saran — yaitu client. Ketika melaksanakan jasa konsultasi, internal auditor seharusnya menjaga objektifitas dan tidak mengambil tanggung jawab manajemen.
Example of consulting engagement: konseling, advisor, fasilitasi, dan pelatihan.
Catatan:
Kegiatan konsultasi menghasilkan rekomendasi /saran. Namun, hasil penugasan assurance juga dapat menghasilkan rekomendasi/ saran, jika hasil penugasan assurance menyimpulkan ada area-area yang memerlukan perbaikan.

3. IAA Memberi Nilai Tambah dan Memperbaiki Operasional Organisasi Klien, dalam rangka membantu Organisasi Klien Mencapai Tujuannya.

IIA memberi nilai tambah ke organisasi klien (dan stakeholder-nya) ketika IAA memberikan penjaminan yang objektif dan relevan, dan berkotribusi kepada efektifitas dan efisiensi dari proses governance, proses risk management, dan proses control.
Ringkasnya IIA memberi nilai tambah dan memperbaiki operasional organisasi klien dengan cara:

Memberikan jasa assurance dan jasa konsultasi kepada organisasi klien, dengan fokus IAA pada area-area kunci yang memiliki risiko yang signifikan. Oleh karena itu, IAA harus membuat risk-based audit plan.

Memberikan simpulan dan saran dalam rangka perbaikan proses governance, proses manajemen risiko, dan proses kontrol. Dalam pemberian saran/ rekomendasi tersebut, IAA memperhatikan cost-effectiveness dari rekomendasi.

Melakukan monitoring atas kualitas penugasan IAA dan kepuasan klien atas IAA. Kualitas IAA diukur dari kesesuaian dengan Definisi, Standar, dan Kode Etik, serta pencapaian KPI IAA, sedangkan kepuasan klien diukur dari persepsi klien atas kontribusi IAA.

4. IAA Menggunakan Pendekatan Sistematis dan Disiplin/Beretika.

IIA Process

Pendekatan sistematis mensyaratkan IAA untuk mendesain dan menerapkan metodologi dan teknik penugasan, baik pada level IAA maupun pada level penugasan individu. Secara umum, metodologi dan teknik penugasan tersebut mencakup manajemen IAA, prosedur penugasan, perencanaan, pelaksanaan, pelaporan/ komunikasi hasil, supervisi, dokumentasi, dan monitoring tindak lanjut.

Berikut contoh pendekatan IAA:

Untuk dapat melakukan penugasan secara sistematis dan disiplin/ beretika, maka suatu penugasan harus dilaksanakan dengan profesiensi dan due profesional care.

CAE harus menjamin bahwa personil/tim yang ditugaskan untuk setiap penugasan, secara kolektif memiliki pengetahuan, keterampilan, dan kompetensi yang cukup untuk melaksanakan penguasan secara memadai (lihat Practice Advisory 1200-1: Proficiency and Due Professional Care).
Contoh: untuk penugasan audit keuangan di lingkungan IT, maka salah satu personil Tim harus memiliki pengetahuan yang cukup terkait dengan resiko dan kontrol IT dan teknik audit IT.
Proficiency berarti kemampuan untuk menerapkan pengetahuan ke situasi yang dihadapi dan diselesaikan secara memadai, tanpa memerlukan bantuan yang ekstensif. Kompetensi internal auditor dapat ditunjukan dengan kepemilikan sertifikasi dan kualifikasi seperti Certified Internal Auditor (CIA), Certified Information System Auditor (CISA), Certified Public Accountant (CPA), dan lainnya, yang dikeluarkan oleh institusi terpercaya (lihat Practice Advisory 1210-1: Proficiency).
Due professional care mensyaratkan penerapan kehati-hatian dan keterampilan, pada tingkat yang dibutuhkan sesuai dengan kompleksitas dan risiko penugasan (lihat Practice Advisory 1220-1: Due Professional Care).

5. IAA Mengevaluasi dan Memperbaiki Efektifitas Proses Risk Management, Proses Control, dan Proses Governance.

IAA fokus pada evaluasi dan perbaikan efektifitas dari proses risk management, proses control, dan proses governance.

Proses risk management, proses kontrol, dan proses governance merupakan proses-proses yang saling terkait (PA 2110-2: Governance: Relationship With Risk and Control). Oleh karena itu, suatu penugasan IAA biasanya melakukan evaluasi / konsultasi terhadap ketiga proses tersebut, namun, suatu penugasan juga dapat fokus pada salah satu proses (misal proses risk management saja) atau kombinasi dari proses-proses tersebut.

GRC Process

Simpulan atas kecukupan dan efektifitas, serta rekomendasi perbaikan governance, manajemen risiko, dan pengendalian, diberikan pada saat komunikasi penugasan individu maupun pada level organisasi (keseluruhan/ overall). Opini overall diperoleh dari simpulan / hasil penugasan-penugasan individu, terkait dengan kecukupan dan efektifitas governance, manajemen risiko, dan pengendalian (Practice Advisory 2120-1: Assessing the Adequacy of Risk Management Processes dan Practice Advisory 2130-1: Assessing the Adequacy of Control Processes).

Berikut definisi dari masing – masing proses:

Governance:
Kombinasi dari proses dan struktur yang diimplementasikan oleh dewan komisaris/ pengawas untuk menginfomasikan, mengelola, dan memonitor aktivitas organisasi dalam mencapai tujuannya.
Risk Management:
Suatu proses untuk mengidentifikasi, menilai, mengelola, dan mengendalikan kejadian atau situasi potensial, untuk memberikan keyakinan memadai, terkait dengan pencapaian tujuan organisasi.
Control:
Setiap tindakan oleh manajemen, dewan komisaris/ pengawas, dan pihak lainnya, untuk mengelola risiko dan meningkatkan tingkat kemungkinan bahwa tujuan dan sasaran yang ditetapkan, dapat tercapai.

Lebih lanjut, setiap organisasi internal audit yang menyatakan bahwa aktivitas internal audit (IAA) mengacu kepada IPPF / Standar Audit yang diterbitkan oleh IIA, maka pernyataan tersebut harus dinilai untuk menentukan apakah IAA telah patuh terhadap Definisi, Standard, dan Kode Etik (Practice Advisory 1321-1: Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing”). Proses penilaian tersebut melalui penugasan Quality Assurance and Improvement Program (lihat Practice Guide: Quality Assurance and Improvement Program / QAIP).

Tips and Trick for CIA Exam

2014-06-17T17:20:00.000+07:00

I was motivated to make this posting after considering and answering some questions from my friends related to tips and trick how to pass CIA Exam, quickly. Based on data and my observation, the rate of being pass in CIA Exam, from examinees which came from my office and from internal audit of state owned enterprises (SOE) is around +/- 10% - 20%. The low rate indicates how difficult to pass CIA Exam.
I will try to share tips and triks to be able to pass CIA Exam, in 4 months after registration. This tips and triks which I want to share, is came from my own experiences. What materials should we study? How to study those material?

Tips and Trick for CIA Exam

1. General

Secara umum, materi yang diuji dalam ujian CIA adalah pemahaman kita terkait konsep dan penerapan Governance, Risk, dan Control. Jadi, saat belajar materi silabus CIA, jangan hanya dibaca, tapi juga pahami apa maksud dari materi tersebut secara umum, dan kaitkan dengan materi lain. Sebagian pertanyaan ujian ada yang bersifat teknis (misal pertanyaan: metode sampling apa yang diterapkan saat melakukan pengujian efektifitas internal kontrol) dan ada yang menguji pemahaman (misal: saat ada permintaan bantuan konsultasi di pertengahan tahun oleh Manajemen kepada Internal Audit, apa yang CAE harus lakukan pertama kali atas permitaan tersebut).

Tips umum lainnya, materi -materi untuk silabus CIA sebagian besar berbahasa Inggris (maklum karena IIA kan untuk level international), jadi kawan-2 juga mesti memiliki kemampuan berbahasa Inggris yang baik. Setidaknya kita punya TOEFL minimal 500, supaya mampu dengan cepat memahami materi. Tapi saat daftar ujian nanti kita bisa milih mau ujian pake Bahasa Indonesia atau Bahasa Inggris. Saya sih rekomendasikan pake Bahasa Indonesia aja, karena kalo pilih opsi Bahasa Indonesia, kita tetap diberikan versi soal yang Bahasa Inggris juga dalam jendela terpisah.

Ujian dengan format Computer Based Testing, dan ada kamera CCTV di tiap meja ujian, jadi jangan pernah berpikir bisa nyontek. Seluruh bawaan kita (dompet, kunci, pulpen, kalkulator, semuanya ditinggal, hanya tersisa celana dan baju saja) disimpan dalam locker. Untuk lokasi ujian di Jakarta ada di Lab Komputer UI, Salemba, tepatnya di Pearson Vue. Ada juga lokasi lain seperti di Surabaya, tapi detail kota dan tempatnya bisa di tanya ke IIA Chapter Indonesia.Jawab semua soal, kalo ga tau ya... nembak aja, karena tidak ada pengurangan nilai kalo salah. Selain itu, manajemen waktu sangat penting. Mengerjakan soal Latihan Gleim juga melatih kita dalam manajemen waktu. Kalo dah selesai menjawab semua soal ujian, dan masih ada waktu, cek kembali jawaban kita. Jangan keluar sebelum waktu habis, gunakan waktu yang ada semaksimal mungkin.

Berdasarkan pengalaman saya, dan berdasarkan saran-2 dari IAPI (untuk ujian CPA), calon peserta sebaiknya menggunakan waktu +/- 3 jam per hari untuk yang belajar materi ujian, selama minimal 20 minggu. Kalo saya dulu, sediakan waktu 4 jam sehari, yaitu 30 menit mulai mulai 09.00, terus 1 jam saat 12.00 - 13.00, dan terus 30 menit mulai jam 15.00, dan 2 jam saat malem hari di rumah. Hal ini saya lakukan selama 4 bulan (16 minggu). Materi yang dipelajari pun diatur sedemikian rupa sesuai dengan jadwal terdekat materi yang akan diuji. Misal Pagi belajar Part 1, Siang Part 2, Sore Part 3, dan Malem Part 4. Khusus hari sabtu - minggu, perbanyak jumlah waktu belajarnya, kurangi piknik di hari sabtu - minggu. Kalaupun terpaksa menemani keluarga untuk piknik, coba tetap bawa Buku saat piknik, saat keluarga senang-2, ya... kita baca buku.

Tips dan trik ini direkomendasikan bagi kita yang tingkat kompetensinya rata-2 dan tidak berlaku bagi yang jenius. Asumsikan diri anda ga tau apa-2, karena kalo anda anggap udah tau, maka minat / semangat belajar anda akan berkurang. Jangan overconfidence atas kemampuan diri anda dan juga jangan underestimate tingkat kesulitan soal ujian. Hal lain yang perlu diketahui, Standar IIA diformulasikan dari hasil kajian beberapa best practice around the world. Nah ada cukup banyak practice internal audit yang umum berlaku di Indonesia, tapi tidak sesuai dengan standar IIA. Jadi, walaupun anda adalah praktisi berpengalaman dan diakui expert menurut versi Indonesia, jangan menganggap apa yang anda ketahui sudah sesuai standar IIA. Misal: di Indonesia, Kepala SPI bertanggung jawab kepada Direktur Utama, tapi menurut Standar IIA, untuk membentuk tata kelola yang baik dan untuk menjaga independensi fungsi Internal Audit, auditor bertanggung jawab secara fungsional ke Board/ Komite Audit dan secara administratif kepada CEO (update 19/9/2014).

Ikut Review CIA. Manfaat yang diperoleh dari Review CIA: selain untuk memperdalam materi ujian, kita juga peroleh tips dan trik dari pengajar yang telah berpengalaman, kita punya lingkungan yang memiliki tujuan yang sama dan kita juga dapat teman-teman yang bisa untuk sharing beban/ biaya.

Jadi member IIA sebelum daftar ujian atau membeli materi, karena akan lebih hemat dari charge non-member.

Biaya:
Certification Fee Structure, Effective Jan-1-2014


	Member	Non-member	Student/
			Professor
Application Fee (Per Program)	US $100	US $200	US $50
CIA® Exam Part Fee, Four-part Exam****	US $150	US $200	US $105
CIA® Exam Part Fee, Three-part Exam, Part 1 only	US $250	US $350	US $200
CIA® Exam Part Fee, Three-part Exam, Parts 2 and 3 only	US $200	US $300	US $150
Specialty Exam Part Fee	US $350	US $450	N/A
(CGAP®, CFSA®, CCSA®, CRMA®)
Exam Part Registration Extension Fee
30 days**	US $50	US $50	US $50
60 days**	US $75	US $75	US $75
90 days**	US $100	US $100	US $100
Exam Reschedule/Cancel Fee***	US $75	US $75	US $75
CPE Reporting Fee*	N/A	US $100	N/A
CPE Reporting Fee* (Specialty, per designation)	N/A	US $100	N/A

* Members of North America enjoy the member benefit of CPE reporting fees included in their membership fees. CPE reporting fees may vary globally and if you report CPE directly to The IIA through CCMS or through your local institute. If you are not a North American member please check with your local institute for pricing.
** These fees are due when an exam part is rescheduled after an initial appointment is made. Note: This is for the three-part exam only and you may only extend one time per exam part during your entire eligibility period.
*** This fee is paid directly to Pearson VUE.
**** The four-part exam will only be available in select languages.

2. Apa Sih yang Mesti Dipelajari

Mulai tahun 2013, ujian CIA berubah dari 4-part menjadi 3-part, dengan syllabus sbb:

Part 1: Internal Audit Basics

Mandatory Guidance (porsi soal: 35% - 45%)

Internal Control and Risk (porsi soal: 25% - 35%)

Conducting Internal Audit Engagements—Audit Tools and Techniques (porsi soal: 28% - 38%)

Part 2: Internal Audit Practice

Managing the Internal Audit Function (porsi soal: 40% - 50%)

Managing Individual Engagements (porsi soal: 40% - 50%)

Fraud Risks and Controls (porsi soal: 5% -15%)

Part 3: Internal Audit Knowledge Elements

Governance/Business Ethics (porsi soal: 5% - 15%)

Risk Management (porsi soal: 10% - 20%)

Organizational Structure/Business Process and Risks (porsi soal: 15% - 25%)

Communication (porsi soal: 5% to 10%)

Management/Leadership Principles (porsi soal: 10% - 20%)

IT/Business Continuity (porsi soal: 15% to 25%)

Global Business Environment (porsi soal: 0% - 10%)

3. Buku Apa Saja yang Kudu Dipelajari

Referensi utama saya saat persiapan ujian adalah
a. IPPF (Standard, Kode Etik, dan Practice Advisories)
b. Buku CIA Learning System.
c. Paket Gleim (Book, Audio, Latihan Soal)
d. Buku dan Referensi lain yang terkait dengan sylabus.

IPPF dan CIA Learning System saya pelajari secara bersamaan. Saya baca dulu CIA Learning System untuk satu Seksi, kemudian saya baca Standard dan Practice Advisories terkait Seksi itu. Lalu, latihan soal Gleim, Baca Buku Gleim, dan baca referensi lainnya.
Pembahasan dalam Buku CIA Learning System bersifat uraian materi. Saat kita kesulitan memahami maksud dari suatu materi di Buku tersebut, coba browsing internet untuk mencari dan baca artikel-artikel terkait materi tersebut, sampai dengan kita benar-benar paham.
Contoh sederhana, misal terkait materi IT, di Buku dijelaskan apa itu router. Kalo kita sangat awam IT, kita akan kesulitan memahami apa itu router, nah supaya menambah pemahaman, kita sebaiknya browsing ke internet mencari artikel terkait router dan juga cari foto fisik router (saya biasanya prefer merujuk ke wikipedia, selain karena penjelasan sederhana, juga di wiki sering dilengkapi dengan gambar untuk mempermudah pemahaman).
Selain itu, ada juga materi yang membahas suatu proses (misal materi IT terkait proses encryption), karena pembahasan di Buku CIA berbentuk uraian maka biasanya kita agak kesulitan memahaminya. Nah, untuk memudahkan pemahaman kita terkait, misal, proses encryption, ada bagusnya kita; coba browsing gambar-gambar terkait proses encryption.

a. IPPF (Minimal baca Standard, Kode Etik, dan Practice Advisories)

Banyak soal ujian yang menguji pemahaman (bukan hapalan ya....) kita terkait pernyataan dalam Standard, Kode Etik, dan juga Practice Advisories. Nah, jadi ..., ketiga bahan tersebut penting banget untuk dipahami. Standards, Kode Etik, dan Definisi Internal Audit dapat di download gratis dari http://www.theiia.org.
Practice Advisories, Practice Guides, dan Position Papers hanya dapat didownload oleh member IIA dari http://www.theiia.org.

How to understand IPPF?

Saya mencoba membuat ringkasan apa sih isi Standard, kemudian buat juga ringkasan interprestasi dari masing-masing Standard. Lalu, bagaimana practice advisories-nya terkait Standard tersebut. Untuk kode etik, saya mencoba memahami konsep-nya aja. Uraian kode etik IIA tidak banyak, dan cenderung fleksibel. Jadi, kita cukup paham saja arah dan tujuan dari Kode Etik itu sendiri.
Selain itu, coba pahami standar-standar secara utuh/ keseluruhan, karena setiap standar itu terkait dengan standar lainnya. Contoh pertanyaan ujian, apa yang pertama kali Kepala SPI harus lakukan ketika di pertengahan tahun, mendapatkan permintaan bantuan penugasan konsultasi dari Manajemen? bagaimana juga jika permintaan penugasan tersebut bukan konsultasi, tapi investigasi? Jawaban atas pertanyaan ini menguji pemahaman kita terkait Perencanaan Audit, konsep Risk-Based Internal Audit, dan juga governance.

b. CIA Learning System.

Buku CIA Learning System berisi ringkasan materi-materi yang akan diujikan. Karena disusun oleh IIA, maka Buku ini bagus banget buat referensi utama. Sama dengan cara pahami IPPF, saya juga membuat ringkasan/ semacam footnote dalam tiap paragrap dan tiap lembar halaman Buku CIA Learning System.
Yang perlu diingat, Buku CIA Learning System ini sudah berupa ringkasan, jadi kawan-2 perlu memperdalam dan memperluas pemahaman materi dari referensi lain. Gampangnya, ya ... baca lagi IPPF, googling, atau baca buku lainnya.

http://www.theiia.org/bookstore.

http://www.learncia.com
Harganya? (belum biaya transfer ya.....)
Komplit: IIA CIA Learning System: Self-Study Full Kit (3-Part Exam) = $895.00.
Part per Part: IIA CIA Learning System: Self-Study Part 1, 2, 3 (3-Part Exam) = $325.00 / per Part.
IIA Member save up to $100
Saran saya sih beli yang komplit. Koq mahal ya....? Gimana caranya biar bisa dapet Buku tapi ga mahal....? Nah itulah salah satu gunanya kalo kawan-2 ikut Kelas Reviu, bisa ketemu kawan-2 lain yang juga akan ikut ujian, jadi bisa sharing beban/ biaya.

c. Paket Gleim (Book, Audio Review, Soal Latihan)

Paket Gleim yang saya dapat dulu terdiri dari Buku Materi Gleim dan Soal Latihan Gleim. Buku Materi Gleim lebih ringkas (bahkan sangat ringkas) dari materi di Buku CIA Learning System. Ada materi yang ada di CIA Learning System tapi di Buku Gleim ga ada, atau sebaliknya. Untuk soal latiham, ada lebih dari 3000 soal latihan (dulu untuk 4 Parts Exam, lebih dari 4000 soal) dan pembahasan jawaban. Soal latihan Gleim berasal dari soal ujian CIA, CPA, dan CMA tahun-tahun sebelumnya, dan ada juga soal yang di-create oleh publiher (Gleim) sendiri.
Setelah pelajari Seksi tertentu dari Buku CIA Learning System, saya coba latihan Soal Latihan Gleim terkait materi tersebut, yang ada di Paket Gleim Book. Selain untuk menguji hasil belajar Seksi tersebut dari Buku CIA Learning System dan untuk memperkirakan materi / arah ujian, latihan juga melatih kita untuk mengelola manajemen waktu dan bermanfaat untuk menghindari rasa bosan baca buku.
Untuk latihan soal Gleim dan pembahasan jawaban urutan latihannya disesuaikan dengan materi yang telah kita pelajari. Seluruh soal latihan mesti kita selesaikan ya..., kalo bisa kita ulang lagi. Cara latihannya, baca soal, coba jawab sambil kita tutup bagian pembahasan jawaban. Setiap bahasan jawaban, kita baca dan pahami semua pembahasan jawaban A, B, C, dan D (misal kenapa jawaban A benar, kenapa jawaban B, C, D salah). Lalu kita cari referensi / rujukan pembahasan semua jawaban A, B, C, dan D, di Buku CIA Learning System, Buku Materi Gleim, Mencari referensi tambahan (misal dari artikel di internet) jadi wajib terutama kalo jawaban kita salah atau benar tapi hasil nembak.
Selelah selesai semua Baca CIA Learning System dan Latihan Soal Gleim, lalu baca Buku Materi Gleim. Ulang lagi latihan-latihan soal di Buku Gleim dan di Latihan Gleim.
Paket Gleim juga highly recommended, dan kalo tertarik dapat diperoleh di:

http://www.gleim.com/
GLEIM CIA Parts 1, 2, 3 Review System: Books, Test Prep, Audio Review, Gleim Online, & Exam Rehearsals, Read full description.

Over 3,000 unique multiple-choice questions
Retail $1,199.50
Package Price $724.95
CIA Parts 1, 2, 3 (Books Test Prep) - New 3-Part Exam
Also Available per Part, $359.85.

Part 1,

Part 2

Part 3

d. Materi Tambahan Lainnya yang perlu dipahami:

COSO ERM

Referensi Buku-Buku yang terkait dengan silabus ujian.

Diskusi dengan kawan yang ahli di bidang terkait.

Browsing materi terkait. Baik anda sudah paham atau belum paham atas suatu materi, ada baiknya jika ada tetap memperkaya pemahaman anda dengan cara mempelajari artikel terkait lainnya di internet. Agar dapat mudah dalam memahamai suatu materi, browsing visual gambar/ video terkait materi akan sangat membantu.

4. Setelah semua materi dibaca dan dipahami, sebelum ujian jangan lupa untuk banya berdoa dan minta restu dari keluarga (ortu, bini, anak, dan juga tetangga). Juga jaga kesehatan, karena kalo mundurkan waktu ujian karena alasan sakit atau lainnya, akan dikenakan biaya.

Semoga Bermanfaat dan Good Luck.