UNIVERSITAS INDONESIA PENILAIAN ATAS INTERNAL CONTROL OVER FINANCIAL REPORTING SESUAI SARBANES-OXLEY 404 PADA SIKLUS PENDAPATAN PREPAID PT ABC

UNIVERSITAS INDONESIA

PENILAIAN ATAS INTERNAL CONTROL OVER FINANCIAL REPORTING SESUAI SARBANES-OXLEY 404 PADA SIKLUS PENDAPATAN PREPAID PT ABC

LAPORAN MAGANG

AFINA KHAIRANA DJAKMAN 1006695715

FAKULTAS EKONOMI PROGRAM STUDI AKUNTANSI DEPOK JUNI 2014

Penilaian atas..., Afina Khairana Djakman, FE UI, 2014



Scanned by CamScanner



KATA PENGANTAR

Puji syukur saya panjatkan kepada Allah SWT, karena atas berkat dan rahmatNya, saya dapat menyelesaikan laporan magang ini. Penulisan laporan magang ini dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar Sarjana Ekonomi Jurusan Akuntansi pada Fakultas Ekonomi Universitas Indonesia. Saya menyadari bahwa, tanpa bantuan dan bimbingan dari berbagai pihak, dari masa perkuliahan sampai pada penyusunan laporan magang ini, sangatlah sulit bagi saya untuk menyelesaikan laporan magang ini. Oleh karena itu, saya mengucapkan terima kasih kepada: (1) Dr. Sylvia Veronica NPS., SE, Ak., selaku dosen pembimbing yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam penyusunan laporan magang ini;

(2) RSM AAJ Associates divisi White, khususnya Teteh Indria dan Kak Zelda, yang sangat membantu saya dalam memperoleh data dan informasi yang diperlukan, dan siap sedia 24/7 untuk menjawab pertanyaan terkait topik yang diangkat. Mas Syahraki Syahrir dan Mba Angela yang membuat pelaksanaan magang ini terjadi, kakak-kakak associates, khususnya: Agnes, Egi, Kak Cita, Kak Rista, Kak Mis, Kak Tri, Kak Radhi, Kak Bella, Kak Arif dan geng intern sepenanggungan: Rio, Gideon, Felix, Andre, dan Uti.

(3) Dr. Chaerul Djakman, SE, Ak., MBA, selaku dosen pembimbing di rumah dan ayahanda tercinta yang telah memberikan dukungan dan arahan dalam segala bentuk selama empat tahun ini. Thank you, Sir!

(4) Bunda, Mba Aya, Ican, Ageng, Oma dan Eyang Putri yang telah mendukung dan menaruh kepercayaan kepada penulis untuk menulis laporan magang ini dengan optimal.

(5) The loveliest Geng Akoen: Gathrie, Toga, Uti, Ilin, Tata, Alaya. Semoga sukses ya semua! Either in accounting field or whichever :p

iv Universitas Indonesia Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

(6) Teman-teman lain yang telah mengisi 4 tahun kehidupan penulis di FEUI, L’Amitie: Anin, Delia, Nindush, Asti, Brena, Ceryl, Danta, Ucup, Ganesh, Irfan, Raina, Raka, Djaffri, Riri, Chacha, Iky, dan Dinda. MAKASIH YA GUYS..... Sedih banget bakal misah huhuhuhu 

Akhir kata, saya berharap Allah SWT berkenan membalas segala kebaikan semua pihak yang telah membantu. Semoga laporan magang ini membawa manfaat bagi pengembangan ilmu.

Jakarta, 12 Juni 2014 Penulis

v Universitas Indonesia Penilaian atas..., Afina Khairana Djakman, FE UI, 2014



ABSTRAK Nama : Afina Khairana Djakman Program Studi : S1 Akuntansi Judul : Penilaian atas Internal Control over Financial Reporting sesuai Sarbanes-Oxley 404 pada Siklus Pendapatan Prepaid PT ABC. Laporan magang ini membahas tentang penilaian atas Internal Control over Financial Reporting (ICoFR) PT ABC pada siklus pendapatan prepaid untuk periode September hingga Desember 2013. Penilaian tersebut ditujukan untuk memenuhi ketentuan Sarbanes-Oxley 404 untuk memberikan keyakinan yang memadai bahwa laporan keuangan telah disajikan dengan pengendalian internal yang baik. Pengujian dilakukan dengan metode inquiry, inspeksi, observasi, dan reperformance untuk menilai apakah praktik yang dilakukan perusahaan telah sesuai dengan Risk Control Matrix (RCM) yang ada. Hasil penilaian menyimpulkan bahwa pengendalian internal atas pelaporan keuangan untuk siklus pendapatan prepaid PT ABC telah berjalan dengan efektif dan sesuai dengan RCM yang ada. Kata kunci: COSO, pengendalian internal, ICoFR, Sarbanes-Oxley, siklus pendapatan

ABSTRACT Name : Afina Khairana Djakman Study Program: S1 Accounting Title : Assessment of Internal Control over Financial Reporting in accordance to Sarbanes-Oxley 404 on Prepaid Revenue Cycle in PT ABC. This internship report discusses about the assessment of PT ABC’s Internal Control over Financial Reporting (ICoFR) on Prepaid Revenue Cycle for the period of September until December 2013. This assessment is aimed to conform Sarbanes-Oxley 404 to give reasonable assurance that firm’s financial report is presented with adequate internal control. Assessment is done with several methods: inquiry, inspection, observation and reperformance to evaluate whether firm’s practice is in accordance with given Risk Control Matrix (RCM). The result of this assessment concludes that the Internal Control over Financial Reporting on Prepaid Revenue Cycle of PT ABC is effective and complied to the given RCM. Key words: COSO, internal control, ICoFR, Sarbanes-Oxley, revenue cycle

vii Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

DAFTAR ISI HALAMAN JUDUL................................................................................................ i HALAMAN PERNYATAAN ORISINALITAS .................................................... ii HALAMAN PENGESAHAN ................................................................................ iii KATA PENGANTAR ........................................................................................... iv HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI ............................. vi ABSTRAK/ABSTRACT ...................................................................................... vii DAFTAR ISI ........................................................................................................ viii DAFTAR TABEL .................................................................................................. xi DAFTAR GAMBAR ............................................................................................ xii DAFTAR LAMPIRAN ................................................................................... .....xiii 1. PENDAHULUAN ...............................................................................................1 1.1 Latar Belakang Tema ....................................................................................1 1.2 Rumusan Masalah .........................................................................................3 1.3 Tujuan Penulisan Laporan Magang ...............................................................4 1.4 Tempat dan Waktu Pelaksanaan Magang .....................................................4 1.5 Pelaksanaan Kegiatan Magang ......................................................................4 1.6 Ruang Lingkup Penulisan Laporan Magang .................................................6 1.7 Metode Penulisan Laporan Magang ..............................................................6 1.8 Sistematika Penulisan ....................................................................................7 2. LANDASAN TEORI..........................................................................................9 2.1 Pengendalian Internal ....................................................................................9 2.1.1 Pengertian Pengendalian Internal ..........................................................9 2.1.2 Tujuan Pengendalian Internal ..............................................................10 2.1.3 Fungsi Pengendalian Internal ..............................................................11 2.1.4 Kerangka Pengendalian Internal ..........................................................12 2.2 COSO Internal Control – Integrated Framework ........................................13 2.2.1 Guidance on Monitoring Internal Control Systems ............................21 2.3 Sarbanes-Oxley Act .....................................................................................23 2.3.1 Sarbanes-Oxley Section 302 ................................................................24 2.3.2 Sarbanes-Oxley Section 404 ................................................................24 2.3.3 Pedoman PCAOB (Auditing Standard No. 2 dan Auditing Standard No. 5) ...................................................................................................25 2.4 Internal Control over Financial Reporting (ICoFR) ....................................25 2.4.1 Pengertian ICoFR ................................................................................26 2.4.2 Pedoman ICoFR menurut IIA ..............................................................27 2.4.3 Prosedur Audit menurut IIA ................................................................34 2.4.4 Implementasi ICoFR pada Perusahaan ................................................36 2.5 Siklus Pendapatan........................................................................................38 2.5.1 Definisi Pendapatan .............................................................................38 2.5.2 Aktivitas Dasar pada Siklus Pendapatan ..............................................38 3. GAMBARAN UMUM PERUSAHAAN .........................................................42 3.1 RSM AAJ Associates ..................................................................................42

viii Universitas Indonesia Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

3.1.1 Jasa Profesional yang Disediakan RSM AAJ Associates ....................43 3.1.2 Struktur Organisasi RSM AAJ Associates ..........................................45 3.2 Profil Perusahaan Klien: PT ABC ...............................................................46 3.2.1 Visi dan Misi PT ABC .........................................................................47 3.2.2 Jenis-jenis Produk dan Jasa yang Ditawarkan PT ABC ......................47 3.2.3 Overview Performa Perusahaan Tahun 2013 .......................................49 3.2.4 Struktur Organisasi PT ABC ...............................................................50 3.2.5 Internal Audit PT ABC ........................................................................52 3.3 SOA Testing PT ABC Tahun 2013 .............................................................53 3.3.1 Pengujian ICoFR Fase III PT ABC .....................................................55 3.3.1.1 Metodologi ..............................................................................56 3.3.1.2 Cakupan Pengujian Aktivitas Pengendalian Tingkat Transaksi (Transactional Level Control) ...............................58 4. PEMBAHASAN DAN ANALISIS ..................................................................61 4.1 Implementasi Pengendalian Internal atas Pelaporan Keuangan (ICoFR) pada PT ABC ............................................................................................61 4.2 Pemahaman Siklus Pendapatan Prepaid PT ABC ......................................66 4.3 Gambaran Pengujian ICoFR PT ABC .........................................................67 4.3.1 Risk Control Matrix (RCM) PT ABC.................................................68 4.4 Pengujian ICoFR pada Siklus Pendapatan Prepaid PT ABC .....................71 4.4.1 Proses Penjualan Kartu/Voucher/E-voucher/Device prabayar ..........71 4.4.1.1 Penjualan Indirect (Penjualan Kartu/Voucher/e-Voucher kepada Retail Nasional)...........................................................71 4.4.1.2 Penjualan Indirect (Penjualan Kartu/Voucher/e-Voucher kepada Authorized Dealer) ......................................................75 4.4.1.3 Penjualan Indirect (Multibanking) .........................................78 4.4.1.4 Penjualan Direct – Branch/Metro ...........................................82 4.4.2 Proses Recharging .............................................................................86 4.4.2.1 Automatic Recharging (Voucher Fisik) ..................................86 4.4.2.2 Automatic Recharge (E-Voucher) ...........................................90 4.4.2.3 Manual Recharging (Komplain Pelanggan) ............................92 4.4.2.4 Manual Recharge ...................................................................95 4.4.2.5 Recharging (Monitoring) ........................................................97 4.4.2.6 Sistem OCS ..........................................................................102 4.4.3 Proses Prepaid Usage Calculation ..................................................103 4.4.3.1 Rating ....................................................................................103 4.4.3.2 Inject Value Tambahan (Bonus Tambahan) ..........................107 4.4.3.3 Mass Add/Offering ...............................................................112 4.4.4 Month-End .......................................................................................115 4.5 Analisis ......................................................................................................122 4.5.1 Implementasi Monitoring PT ABC berdasarkan COSO Framework dan COSO Monitoring Guidance 2009 .............................................122 4.5.2 Analisis Pengujian ICoFR pada Siklus Pendapatan Prepaid PT ABC .................................................................................................125

ix Universitas Indonesia Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

5. KESIMPULAN DAN SARAN ......................................................................132 5.1 Kesimpulan ...............................................................................................132 5.2 Saran ..........................................................................................................133 5.2.1 PT ABC ............................................................................................133 5.2.2 RSM AAJ Associates .......................................................................134 DAFTAR REFERENSI .....................................................................................135

x Universitas Indonesia Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

DAFTAR TABEL

Tabel 3.1 Tabel 3.2 Tabel 3.3 Tabel 3.4 Tabel 4.1 Tabel 4.2 Tabel 4.3 Tabel 4.4 Tabel 4.5 Tabel 4.6 Tabel 4.7 Tabel 4.8 Tabel 4.9 Tabel 4.10 Tabel 4.11 Tabel 4.12 Tabel 4.13 Tabel 4.14 Tabel 4.15 Tabel 4.16

Line of businesses RSM AAJ Associates ..................................... 43 Divisi-divisi RSM AAJ Associates ............................................. 44 Pengujian Pengendalian Internal PT ABC Tahun 2013................ 55 SOA Sampling PT ABC ............................................................... 56 Project Plan SOA Testing PT ABC & RSM AAJ ....................... 63 RCM penjualan indirect kepada Retail Nasional ......................... 73 RCM penjualan indirect kepada Authorized Dealer..................... 77 RCM penjualan indirect (multibanking) ...................................... 79 RCM penjualan direct melalui Branch/Metro.............................. 83 RCM Automatic Recharging (Voucher Fisik) ...............................87 RCM Automatic Recharging (e-voucher) .................................... 91 RCM Manual Recharging berdasarkan komplain pelanggan ...... 93 RCM Manual Recharging ............................................................ 96 RCM Recharging (Monitoring) ................................................... 98 RCM Perpanjangan Masa Berlaku Kartu.................................... 102 RCM Rating................................................................................ 104 RCM Inject Value Tambahan (Bonus Tambahan) ..................... 108 RCM Mass Add/Offering............................................................ 113 RCM Proses Month-End..............................................................115 Hasil Pengujian ICoFR Fase III pada Siklus Pendapatan Prepaid PT ABC....................................................................................... 130

xi Universitas Indonesia Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

DAFTAR GAMBAR Gambar 2.1 Gambar 2.2 Gambar 2.3 Gambar 3.1 Gambar 3.2 Gambar 4.1 Gambar 4.2 Gambar 4.3

COSO Framework ........................................................................15 Monitoring dalam sistem pengendalian internal........................... 22 Proses Monitoring......................................................................... 22 Struktur Organisasi RSM AAJ Associates.................................... 45 Struktur Organisasi PT ABC......................................................... 51 Struktur Tim SOA Testing PT ABC 2013................................... 62 Siklus Pendapatan Prepaid PT ABC (Kantor Pusat) ................... 67 Pendekatan jasa konsultasi RSM AAJ Associates...................... 123

xii Universitas Indonesia Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

DAFTAR LAMPIRAN Lampiran 1 Lampiran 2 Lampiran 3 Lampiran 4 Lampiran 5 Lampiran 6 Lampiran 7 Lampiran 8 Lampiran 9 Lampiran 10 Lampiran 11 Lampiran 12 Lampiran 13

Kertas Kerja Pengujian................................................................136 Diagram Alir penjualan indirect kepada Retail Nasional ...........145 Diagram Alir penjualan indirect kepada Authorized Dealer...... 146 Diagram Alir penjualan indirect (multibanking) ........................ 147 Diagram Alir penjualan direct melalui Branch/Metro................ 148 Diagram Alir automatic recharge (voucher fisik) ..................... 149 Diagram Alir automatic recharge (e-voucher) .......................... 150 Diagram Alir manual recharging (komplain pelanggan) .......... 151 Diagram Alir manual recharging................................................ 152 Diagram Alir Recharging (Monitoring) ..................................... 153 Diagram Alir Rating.................................................................... 154 Diagram Alir Inject Value Tambahan (Bonus Tambahan) ........ 155 Diagram Alir Mass Add/Offering................................................ 156

xiii Universitas Indonesia Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

1

BAB 1 PENDAHULUAN

1.1.

Latar Belakang Tema Peran teknologi informasi dalam kehidupan manusia sangatlah besar.

Dengan terus berkembangnya teknologi, semakin mudah informasi diperoleh dan disampaikan. Dengan kemudahan tersebut, proses komunikasi antar manusia menjadi lebih cepat, efektif dan efisien. Komunikasi yang baik dengan informasi yang berkualitas ini pada akhirnya meningkatkan kualitas hidup manusia karena setiap informasi dapat disampaikan dengan jelas. Inilah yang menyebabkan teknologi informasi dan komunikasi terus dikembangkan, karena dapat meningkatkan kualitas hidup masyarakat yang mengantarkan kepada peningkatan pembangunan. Tidak mengherankan apabila sudah banyak sekali perusahaanperusahaan, khususnya di Indonesia, yang bergerak dalam bidang teknologi informasi dan komunikasi karena perusahaan-perusahaan itu ada untuk mendukung tujuan tersebut, yaitu membantu meningkatkan kualitas hidup masyarakat dengan meningkatkan efektivitas dan efisiensi proses komunikasi dan penyampaian informasi antar individu. Perusahaan-perusahaan yang bergelut dalam bidang informasi dan komunikasi tentu menghadapi banyak tantangan dalam proses pengembangannya. Salah satunya adalah gejolak dan perkembangan bisnis di dunia dan kompleksitas kegiatan operasional serta perubahan internal perusahaan mereka. Hal ini yang umumnya

dihadapi

oleh

perusahaan-perusahaan,

termasuk

perusahaan

telekomunikasi yang ingin penulis bahas dalam laporan ini. Sebagai perusahaan yang mempunyai induk yang terdaftar di New York Stock Exchange (NYSE), merupakan kewajiban bagi perusahaan ini untuk mematuhi peraturan Securities Exchange Commission (SEC), termasuk Sarbanes-Oxley Act (SOA), khususnya section 302 dan 404 terkait efektivitas pengendalian internal terhadap pelaporan keuangan atau lebih dikenal dengan Internal Control over Financial Reporting (ICoFR).

Universitas Indonesia Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

Pengendalian internal dikatakan dapat membantu memastikan pelaporan keuangan yang wajar dan akurat, mengelola risiko, dan memberikan keyakinan yang memadai tentang pencapaian tujuan perusahaan. Di sisi lain, tujuan SOA secara eksplisit adalah untuk meningkatkan transparansi, ketepatan waktu, dan kualitas pelaporan keuangan. Pengendalian internal berdasarkan SOA 404 mengharuskan manajemen untuk melakukan pengendalian internal atas pelaporan keuangan dengan menilai dan melaporkan keefektifannya kepada publik (Cappelletti, 2009). Untuk

menciptakan

pengendalian

internal

yang

efektif,

banyak

perusahaan, termasuk perusahaan telekomunikasi ini, yang selanjutnya disebut PT ABC, membutuhkan dokumentasi yang memadai guna mendukung kegiatan operasional perusahaan. Di sinilah fungsi Internal Audit diperlukan untuk melakukan dokumentasi dan pengujian serta memberikan saran kepada manajemen terkait disain dan efektivitas pengendalian internal perusahaan yang diperlukan sebagai bukti kepatuhan atas aturan SOA 404. Kerangka pengendalian internal COSO menyatakan bahwa evaluasi terpisah yang dilakukan oleh fungsi audit internal, terutama oleh divisi Audit SOA, adalah sebuah bentuk pengawasan. Dikarenakan terbatasnya sumber daya dalam divisi Audit SOA PT ABC untuk melakukan pengujian efektivitas pengendalian internal untuk tahun 2013, RSM AAJ mendapat penugasan membantu divisi Audit SOA PT ABC secara cosourcing dalam tahap pengujian SOA atau SOA testing guna menentukan apakah fungsi pengendalian internal perusahaan terhadap pelaporan keuangan telah berjalan dengan baik atau tidak. Banyak perubahan yang terjadi dalam struktur organisasi PT ABC pada tahun 2013 menyebabkan SOA testing yang dilakukan oleh RSM AAJ dibagi lagi ke dalam tiga fase periode yang berbeda. Fase pertama adalah pengujian periode Januari - Maret 2013, fase kedua adalah pengujian periode Juni – Agustus 2013, dan fase ketiga adalah pengujian periode September – Desember 2013. Selain itu, RSM AAJ juga berperan mengidentifikasi dan mengkomunikasikan

kepada

manajemen

bila

ditemukan

defisiensi

atau

kekurangan terkait dengan ICoFR. SOA testing ini merupakan elemen dari salah satu komponen dalam kerangka COSO yakni monitoring. Dengan demikian,


laporan magang ini menekankan pada tahap monitoring yang di dalamnya mencakup proses pengujian (testing) ICoFR. Di dalam proposal yang diajukan oleh RSM AAJ kepada PT ABC disebutkan bahwa dengan jasa co-sourcing ini, RSM AAJ memberikan beberapa keuntungan untuk PT ABC. Keuntungan tersebut antara lain perencanaan yang lebih baik dengan sumber daya yang lebih kompeten, penekanan yang lebih besar pada proses pengendalian internal, biaya keseluruhan yang lebih rendah, dan proses internal audit yang berkelanjutan. Selain mematuhi peraturan SOA 404, dengan keyakinan yang memadai bahwa internal control over financial reporting telah dilakukan dengan baik, PT ABC dapat meningkatkan nilai perusahaan secara signifikan yang akan mendorong laju investasi yang berdampak positif baik bagi perusahaan induknya maupun bagi PT ABC itu sendiri.

1.2

Rumusan Masalah Berdasarkan latar belakang tema yang telah diuraikan di atas, beberapa

masalah yang diangkat terkait pelaksanaan assessment ICoFR ini adalah sebagai berikut: 1. Bagaimanakah proses implementasi ICoFR yang dilakukan perusahaan? 2. Bagaimana

implementasi

komponen

monitoring

yang

dilakukan

perusahaan? 3. Bagaimanakah tingkat kepatuhan, efektivitas pengendalian internal, dan efisiensi operasi perusahaan terkait SOA 404 untuk siklus pendapatan prepaid? 4. Bagaimana pemahaman perusahaan atas pedoman pengendalian internal yang telah didisain serta apa faktor penyebab terjadinya ketidakpatuhan (bila ada)?


1.3

Tujuan Penulisan Laporan Magang Berdasarkan masalah yang telah diuraikan di atas, tujuan dari penulisan

laporan magang terkait pelaksanaan assessment ICoFR pada PT ABC antara lain untuk: 1. Menilai implementasi ICoFR yang dilakukan oleh PT ABC. 2. Menilai implementasi komponen monitoring yang dilakukan perusahaan. 3. Menilai tingkat kepatuhan, efektivitas pengendalian internal dan efisiensi operasi perusahaan terkait SOA 404 untuk siklus pendapatan prepaid. 4. Memperoleh gambaran mengenai tingkat pemahaman atas pedoman pengendalian internal yang telah didisain serta faktor penyebab terjadinya ketidakpatuhan (bila ada).

1.4

Tempat dan Waktu Pelaksanaan Magang Penulis melakukan pogram magang ini sebagai Junior Associate (intern)

pada divisi Risk & Internal Audit Advisory di Kantor Akuntan Publik Aryanto, Amir Jusuf, Mawar & Saptoto, yang merupakan afiliasi dari RSM International (selanjutnya disebut sebagai RSM AAJ). RSM AAJ terletak di Plaza Asia Lt. 10, Sudirman, Jakarta. Waktu pelaksanaan program magang berlangsung selama 3 (tiga) bulan, dimulai dari tanggal 2 Januari 2014 sampai dengan tanggal 2 April 2014.

1.5.

Pelaksanaan Kegiatan Magang Selama 3 bulan kegiatan magang berlangsung, penulis memperoleh

kesempatan untuk terlibat langsung dalam proyek co-sourcing testing Internal Control over Financial Reporting (ICoFR) PT ABC untuk periode tahun 2013. Penulis berada di bawah bimbingan para senior dan manajer selama menjalankan tugas pada PT ABC yang bergerak di bidang penyedia (provider) jasa layanan


telekomunikasi seluler. Adapun tugas dan tanggung jawab spesifik yang diberikan kepada penulis adalah sebagai berikut: 1. Berperan sebagai assessor dalam proses pengujian pengendalian internal atas pelaporan keuangan PT ABC untuk Fase III (periode September – Desember 2013) pada area Transactional Level Control (TLC). 2. Menguji setiap atribut pengendalian dengan menginspeksi dokumen, melakukan tanya jawab (inquiry) dengan auditee, dan melakukan perhitungan ulang (reperformance) atas data yang diberikan oleh klien. 3. Menentukan apakah kontrol yang dilakukan beserta atributnya telah patuh (comply) Risk Control Mapping (RCM) PT ABC. 4. Memeriksa kesesuaian format working paper dengan Risk Control Mapping (RCM) yang telah diberikan oleh pihak Internal Audit PT ABC. 5. Membuat Minutes of Meeting bila data yang diperlukan tidak terdapat pada periode tersebut karena tidak terjadinya transaksi, sehingga kontrol terkait

merupakan

not

applicable

atau

N/A,

untuk

selanjutnya

ditandatangani oleh pejabat terkait. Proyek ini dilaksanakan dengan tujuan memberikan jasa co-sourcing untuk membantu pihak internal audit PT ABC melakukan pengujian terkait pengendalian internal perusahaan atas laporan keuangan berlandaskan peraturan Sarbanes-Oxley s. 404. Dengan jasa ini, PT ABC bekerja sama dengan RSM AAJ dapat mengetahui apakah struktur pengendalian internal perusahaan terkait laporan keuangan telah berjalan dengan baik dan efektif dengan memastikan bahwa: 1. Pemeliharaan pencatatan telah dilakukan secara rinci, wajar, akurat serta adil mencerminkan transaksi dan disposisi aset perusahaan. 2. Transaksi telah dicatat sebagaimana diperlukan agar laporan keuangan dapat disusun sesuai dengan GAAP dan segala penerimaan dan pengeluaran perusahaan dibuat hanya melalui otorisasi manajemen dan direksi perusahaan.


3. Terdapat pencegahan dan deteksi yang tepat waktu bila terdapat penggunaan atau pelepasan aset perusahaan yang tidak semestinya yang dapat berdampak secara material terhadap laporan keuangan. Dengan tujuan di atas, maka tujuan utama program pengujian pengendalian internal perusahaan dapat tercapai, yakni memberikan keyakinan yang memadai bahwa laporan keuangan yang diterbitkan PT ABC dapat diandalkan tanpa adanya salah saji yang material.

1.6.

Ruang Lingkup Penulisan Laporan Magang Laporan magang ini akan membahas mengenai proses pengujian

pengendalian internal atas siklus pendapatan pada salah satu perusahaan telekomunikasi di Indonesia. Pengujian pengendalian internal pada laporan ini hanya terbatas pada aktivitas-aktivitas terkait dengan transactional level control yang mempunyai risiko pelaporan keuangan dalam klasifikasi high risk dan moderate risk yang telah ditentukan oleh pihak internal audit PT ABC. Dalam laporan ini akan khusus membahas siklus pendapatan PT ABC dari produk prepaid atau prabayar yang dapat dibagi ke dalam empat proses: penjualan kartu, voucher, e-voucher, dan device pra-bayar; recharging; prepaid usage calculation, dan month-end. Proses pengujian ICoFR yang dilakukan RSM AAJ dibagi ke dalam tiga fase periode pengujian. Dalam laporan magang ini akan lebih ditekankan pada proses pengujian di fase terakhir atau fase III yang menguji ICoFR untuk periode transaksi September sampai dengan Desember 2013.

1.7

Metode Penulisan Laporan Magang Laporan magang ini berisi tentang laporan kegiatan yang dilakukan oleh

penulis selama 3 bulan masa magang berlangsung. Laporan magang ini menggunakan data-data yang berasal dari hasil studi literatur, hasil pelatihan yang


diberikan oleh RSM AAJ, hasil wawancara dengan klien serta para senior dan manajer, dan hasil analisis dan inspeksi dokumen-dokumen pendukung yang didapatkan dari klien. Laporan ini menggunakan kode etik untuk menjaga kerahasiaan data dari pihak RSM AAJ Associates dan data dari pihak klien yang digunakan dalam penulisan laporan.

1.8

Sistematika Penulisan Laporan magang ini terbagi menjadi lima bab disertai dengan lampiran

sebagai penjelas laporan dengan urutan sebagai berikut: Bab 1 Pendahuluan Bab ini menjelaskan tentang latar belakang tema, rumusan masalah, tujuan penulisan laporan magang, tempat dan waktu pelaksanaan magang, pelaksanaan kegiatan magang, ruang lingkup penulisan laporan magang, metode penulisan laporan magang, dan sistematika penulisan laporan magang. Bab 2 Landasan Teori Bab ini menjelaskan landasan teori mengenai pengendalian internal secara umum, pengertian

pengendalian

internal,

tujuan

pengendalian

internal,

fungsi

pengendalian internal, kerangka pengendalian internal berdasarkan COSO, COSO Monitoring Guidance 2009, penjelasan umum mengenai Sarbanes-Oxley Act, termasuk di dalamnya SOA 302, 404, dan pedoman PCAOB, pengertian internal control over financial reporting (ICoFR), pedoman ICoFR menurut IIA, prosedur audit menurut IIA, implementasi ICoFR pada perusahaan, penjelasan secara umum mengenai siklus pendapatan, dan aktivitas dasar pada siklus pendapatan. Bab 3 Profil Perusahaan Bab ini menjelaskan tentang RSM AAJ Associates, jasa profesional yang disediakan RSM AAJ Associates, struktur organisasi RSM AAJ Associates, profil perusahaan klien: PT ABC, visi dan misi PT ABC, jenis-jenis produk dan jasa yang ditawarkan PT ABC, overview performa perusahaan tahun 2013, struktur


organisasi PT ABC, penjelasan tentang Internal Audit PT ABC, dan SOA Testing PT ABC Tahun 2013. Bab 4 Pembahasan dan Analisis Bab ini menjelaskan tentang implementasi prosedur ICoFR PT ABC dan pengendalian internal atas pelaporan keuangan untuk siklus pendapatan prepaid PT ABC pada subproses penjualan kartu, voucher, e-voucher, dan device prabayar; recharging (pengisian pulsa); prepaid usage calculation; dan month-end. Bab ini menjelaskan pula tentang Risk Control Matrix yang menjadi landasan dalam menguji ICoFR mencakup risiko, kontrol, atribut kontrol, objektif audit, beserta dokumen yang diperlukan terkait akun-akun yang signifikan pada siklus pendapatan pre-paid untuk empat subproses tersebut. Hasil pengujian berdasarkan RCM tersebut akan menentukan apakah ICoFR PT ABC telah berjalan dengan efektif atau tidak. Terakhir, bab ini akan mengevaluasi implementasi komponen monitoring berdasarkan kerangka pengendalian internal COSO dan COSO Monitoring Guidance. Bab 5 Kesimpulan dan Saran Bab ini berisi kesimpulan dari penulisan laporan magang ini dan saran kepada PT ABC dan RSM AAJ Associates atas dasar pengetahuan dan pengalaman penulis selama dilaksanakannya kegiatan magang.


BAB 2 LANDASAN TEORI

2.1

Pengendalian Internal Menurut IIA dalam buku Internal Auditing: Assurance & Consulting

Services, risiko dalam perusahaan merupakan suatu hal yang tidak dapat dihindari dalam pencapaian objektif suatu perusahaan. Dengan demikian, perusahaan perlu membentuk suatu pengendalian internal yang baik untuk memitigasi dan mengelola risiko-risiko tersebut. Pengendalian internal yang baik ini tidak hanya diperuntukan untuk kepentingan internal perusahaan saja tetapi juga untuk pihak eksternal seperti investor, pemerintah, regulator, dan konsumen sebagai bukti bahwa perusahaan tersebut telah berjalan sesuai dengan ketentuan yang berlaku baik dari segi operasional, pelaporan keuangan, dan ketaatannya terhadap regulasi. Hal ini merupakan hal yang fundamental bagi keberlangsungan sistem usaha perusahaan karena pengendalian internal merupakan komponen utama yang diperhatikan untuk memastikan bahwa perusahaan telah secara efektif mengelola risikonya dengan baik.

2.1.1

Pengertian Pengendalian Internal Moeller (2009), dalam bukunya Brink’s Modern Internal Auditing,

menyatakan bahwa AICPA melalui Statement on Auditing Standards (SAS No.1) menyatakan secara umum definisi dari pengendalian internal. “Internal control comprises the plan of enterprise and all of the coordinate methods and measures adopted with a business to safeguard its assets, check the accuracy and reliability of its accounting data, provide operational efficiency, and encourage adherence to prescribed managerial policies.”


Pengendalian internal merupakan hal yang penting untuk mendukung seluruh aspek pada perusahaan. Pengendalian internal membantu perusahaan dalam mencapai objektif utamanya serta menopang dan meningkatkan performa perusahaan. Tanpa adanya pengendalian internal yang efektif tujuan perusahaan tidak akan tercapai. Untuk itu, setiap anggota dalam perusahaan perlu memahami pengertian, peran, dan pentingnya pengendalian internal. Committee of Sponsoring Organizations of the Treadway Commission (COSO) (2009) mendefinisikan pengendalian internal sebagai sebuah proses yang melibatkan BOD, manajemen, dan pihak lain dalam perusahaan, yang dirancang untuk memberikan keyakinan yang memadai (reasonable assurance) terkait pencapaian objektif perusahaan. Terdapat tiga objektif yang disebutkan, antara lain: 

Efektivitas dan efisiensi operasional perusahaan.



Keandalan pelaporan keuangan.



Kepatuhan terhadap hukum dan regulasi yang berlaku. Dengan definisi COSO di atas, dapat disimpulkan bahwa pengendalian

internal merupakan sebuah proses yang dilakukan secara berkelanjutan oleh setiap tingkatan dalam perusahaan yang bertujuan untuk memberikan keyakinan yang memadai (reasonable assurance) namun tidak absolut kepada board dan manajemen yang digunakan dalam pencapaian tujuan perusahaan.

2.1.2

Tujuan Pengendalian Internal Menurut Standards for the Professional Practice of Internal Auditing

(standar 300), tujuan pengendalian internal antara lain: 1. Keandalan dan integritas informasi Dengan pengendalian internal yang baik perusahaan mendapatkan informasi yang relevan dan tepat waktu dan dapat digunakan secara efektif untuk mendukung keberlangsungan usaha, pengendalian internal juga


dapat memeriksa ketelitian dan kebenaran data yang akan menghasilkan informasi yang dapat diandalkan. 2. Ketataan dengan kebijakan, perencanaan, prosedur, hukum, regulasi dan kontrak Pengendalian internal dapat menilai apakah sistem dalam perusahaan sudah patuh terhadap regulasi yang berlaku karena ketidakpatuhan akan mempengaruhi keberlangsungan usaha secara signifikan. 3. Pemeliharaan aset Pengendalian internal dapat membantu mengamankan harta dan aset perusahaan, termasuk data yang tersedia. 4. Penggunaan sumber daya yang ekonomis dan efisien Pengendalian internal dapat mengevaluasi efektivitas dan efisiensi dalam operasi, termasuk pengunaan sumber daya yang tersedia. 5. Pencapaian objektif dan tujuan Dengan penggunan sumber daya yang efisien dan sistem perusahaan yang efektif dan optimal, pengendalian internal bertujuan membantu pencapaian objektif dan tujuan perusahaan.

2.1.3

Fungsi Pengendalian Internal Menurut Institute of Internal Auditors (IIA) (2009), pengendalian dalam

perusahaan dapat dibedakan berdasarkan fungsinya. Empat fungsi pengendalian internal antara lain: 1. Preventive Control (Pencegahan) Pengendalian untuk pencegahan dilakukan untuk mencegah suatu peristiwa muncul. Contoh pengendalian preventif antara lain adanya kontrol atas akses fisik dan logistik, seperti pintu yang dikunci atau penggunaan user ID dengan password untuk mengakses aset. 2. Detective Control (Pemeriksaan) Pengendalian dalam bentuk pemeriksaan dilakukan untuk menemukan dan mendeteksi peristiwa tidak diingankan yang telah terjadi. Pengendalian detektif harus dilakukan secara tepat waktu sebelum efek dari


peristiwa/kejadian tersebut berpengaruh negatif terhadap perusahaan. Penggunaan CCTV untuk mengidentifikasi akses terhadap aset yang tidak sesuai merupakan contoh pengendalian detektif. 3. Corrective Control (Perbaikan) Pengendalian secara korektif dilakukan untuk mendeteksi kelalaian dan mengoreksi kesalahan. Penandaan untuk pembayaran yang dilakukan secara duplikat dalam sistem pengeluaran kas merupakan contoh pengendalian korektif. 4. Directive Control (Petunjuk) Pengendalian ini memberikan arahan atau petunjuk terkait aktivitas dan tindakan yang dilakukan untuk mendapatkan hasil dan kejadian yang diinginkan. Sebagai contoh, adanya instruksi perakitan produk yang memberikan arahan kepada individu yang terlibat dalam proses produksi.

2.1.4

Kerangka Pengendalian Internal Kerangka pengendalian internal dibentuk sebagai pedoman perusahaan

dalam mengevaluasi praktik bisnisnya. Pedoman ini terdiri dari berbagai konsep, nilai, asumsi, dan praktik yang memberikan acuan untuk setiap perusahaan dalam menilai dan mengevaluasi struktur, proses, lingkungan, praktik, dan prosedur yang diterapkan dalam perusahaan mereka. Beberapa kerangka pengendalian internal telah digunakan dalam menilai perencanaan dan efektivitas pengendalian perusahaan. Terdapat tiga kerangka pengendalian internal yang dikenal secara global oleh manajemen, akuntan publik/auditor, dan profesional internal audit, antara lain Internal Control – Integrated Framework, yang diterbitkan oleh COSO pada tahun 1992; Guidance on Control (CoCo Framework), diterbitkan pada tahun 1995 oleh Canadian Institute of Chartered Accountants (CICA), dan Internal Control: Revised Guide for Directors on the Combined Code (Turnbull Report) yang diterbitkan oleh Financial Reporting Council pada tahun 1999 dan diperbarui tahun 2005. Dengan ketiga framework ini, dapat dibentuk suatu standar dalam mengukur kualitas laporan pengendalian internal suatu perusahaan serta


meningkatkan

komparibilitas

laporan

pengendalian

pada

masing-masing

perusahaan. SEC menyatakan bahwa kerangka atau framework pengendalian internal yang baik harus bebas dari bias; dapat memberikan pengukuran kualitatif dan kuantitatif yang wajar serta konsisten atas pengendalian internal perusahaan; cukup lengkap sehingga faktor-faktor relevan yang dapat mengubah kesimpulan atau pendapat tentang efektivitas pengendalian internal perusahaan tidak dihilangkan; dan relevan dengan evaluasi ICoFR. Pada dasarnya, tidak terdapat perbedaan konsep yang mendasar pada COSO, CoCo, dan Turnbull karena ketiga kerangka tersebut sama-sama menjelaskan definisi dan proses untuk mendapatkan keyakinan yang memadai terkait pengendalian internal dalam rangka mencapai objektif perusahaan yang mencakup efektivitas dan efisiensi operasional perusahaan, keandalan pelaporan, dan kepatuhan terhadap regulasi. Ketiga kerangka tersebut juga sama-sama menjelaskan bahwa tanggung jawab atas pengendalian internal di sebuah perusahaan tidak hanya jatuh kepada BOD, manajemen senior, dan auditor saja melainkan kepada setiap anggota perusahaan. Walaupun terdapat tiga kerangka pengendalian internal yang berbeda, namun komponen-komponen pada setiap framework tersebut dapat dijelaskan dengan menggunakan kerangka pengendalian COSO (COSO Framework).

2.2

COSO Internal Control - Integrated Framework Committee of Sponsoring Organizations of the Treadway Commission

(COSO) pertama kali mempublikasikan Internal Control – Integrated Framework pada tahun 1992 yang diinisiasikan untuk meningkatkan performa perusahaan dan tatakelolanya menggunakan pengendalian internal, enterprise risk management, dan pencegahan fraud yang efektif. Lima perusahaan nonprofits mensponsori framework ini: AAA (American Accounting Association), AICPA (American Institute

of

Certified

Public

Accountants),

FEI

(Financial

Executives

International), IIA (Insitute of Internal Auditors), dan IMA (Institute of Management Accountants).


Pada tanggal 14 Mei 2013, COSO mempublikasikan Internal Control – Integrated Framework yang telah diperbarui. Pada dasarnya, definisi dan konsep dari kerangka COSO yang baru masih sama namun lebih diperluas. Perubahan yang paling signifikan dalam framework 2013 ini adalah adanya 17 prinsip yang mendukung lima komponen COSO. Selain itu, dijelaskan pula bahwa pengendalian internal yang efektif dapat terjadi ketika (1) masing-masing dari lima komponen dan 17 prinsip selalu hadir (present) dan berfungsi (functioning); dan (2) lima komponen tersebut harus berjalan secara berkesinambungan. Hadir (present) berarti bahwa semua komponen dan prinsip ada dalam perancangan dan pengimplementasian sistem pengendalian internal, dan berfungsi (functioning) berarti semua komponen dan prinsip akan terus hadir/berada dalam sistem pengendalian internal. Namun, PT ABC sendiri dalam pengimplementasian pengendalian internal atas pelaporan keuangan periode tahun 2013 masih memakai kerangka COSO 1992. Pada dasarnya, COSO framework membantu manajemen, BOD, pemangku

kepentingan,

dan

pihak

lainnya

dalam

pengimplementasian

pengendalian internal. Framework ini juga memberikan pemahaman tentang sistem pengendalian internal yang efektif. COSO framework dapat diaplikasikan kepada semua entitas: besar, menengah, kecil, nirlaba dan non-profit, dan badanbadan pemerintah.


Gambar 2.1: COSO Framework Sumber: www.coso.org (diakses tanggal 13 Mei 2014)

COSO Framework dapat dijelaskan dengan menggunakan kubus COSO pada gambar 2.1 di atas. Dari kubus tersebut, dapat dilihat bahwa terdapat tiga objektif pengendalian internal yang ingin dicapai perusahaan sebagai bukti bahwa sistem pengendalian internal perusahaan telah dilakukan dengan efektif, tiga objektif tersebut antara antara lain: a. Operations Objektif ini terkait dengan efektivitas dan efisiensi operasi perusahaan, termasuk di dalamnya untuk tujuan operasional dan finansial, serta penjagaan aset perusahaan. Dalam framework 1992, objektif ini hanya sebatas penggunaan yang efektif dan efisien atas sumber daya perusahaan. b. Reporting Objektif ini terkait dengan pelaporan keuangan internal dan eksternal, serta pelaporan non keuangan yang ditujukan kepada stakeholders secara andal, tepat waktu, dan transparan serta sesuai dengan yang telah ditentukan oleh regulator, standard setter, dan kebijaksanaan perusahaan. Dalam framework 1992 objektif


ini disebut dengan objektif financial reporting yang hanya terbatas pada penyusunan pelaporan keuangan yang dapat diandalkan. c. Compliance Objektif ini terkait dengan kepatuhan terhadap hukum dan regulasi yang mana perusahaan terlibat. COSO framework 2013 memperhatikan perkembangan dan semakin meningkatnya kompleksitas dan permintaan terkait hukum, peraturan, dan standar akuntansi sejak tahun 1992. Dimensi kedua dari COSO framework adalah fokus. Fokus berarti pengendalian internal dapat dikonsentrasikan untuk mengevaluasi dua level dalam perusahaan, yakni pada: 

Level entitas (entity-level) Pengendalian pada level entitas dirancang untuk memitigasi risiko yang ada pada tahap lingkungan perusahaan yang lebih luas. U.S. Public Company Accounting Oversight Board (PCAOB) menyatakan dalam Auditing Standard No. 5 bahwa pengendalian pada level entitas mencakup: pengendalian terkait control environment; pengendalian atas pengambilalihan manajemen; proses penilaian risiko; pengendalian untuk memonitor hasil operasi; dan pengendalian atas proses pelaporan keuangan periode akhir.



Level aktivitas atau proses (activity or process level yang meliputi divisi, unit operasi, dan fungsi) Pengendalian pada level aktivitas dibagi ke dalam pengendalian pada level proses (process-level controls) dan level transaksi (transaction-level controls). Process level control berfokus proses dan pengendalian untuk mengurangi risiko pencapaian objektif proses tersebut. Verifikasi fisik atas aset, supervisi pegawai dan evaluasi kinerja, serta rekonsiliasi akun-akun tertentu merupakan contoh process-level controls. Sedangkan, transactionlevel control lebih mendetik dan berfokus kepada transaksi dan aktivitas tertentu. Sebagai contoh, otorisasi, dokumentasi, dan pemisahan tugas.


Di dalam COSO framework 1992 dan 2013 sama-sama menjelaskan bahwa terdapat lima komponen pengendalian internal namun dengan definisi yang lebih diperluas pada tahun 2013. Lima komponen tersebut antara lain control environment, risk assessment, information & communication, dan monitoring yang akan dijelaskan lebih khusus. a. Lingkungan Pengendalian (Control Environment) Pada dasarnya objektif ini merupakan objektif yang fundamental karena dapat mempengaruhi empat komponen lainnya. Dalam COSO framework 1992 dijelaskan bahwa control environment meliputi integritas, nilai-nilai, dan kompetensi yang dimiliki orang-orang dalam perusahaan; filosofi manajemen dan gaya operasional perusahaan; cara perusahaan dalam memberikan tanggung jawab dan wewenang; pengembangan dan pengelolaan sumber daya manusia; dan arahan dari BOD perusahaan. Dalam COSO Framework 2013, dinyatakan bahwa control environment merupakan sekumpulan standar, proses, dan struktur yang memberikan dasar untuk mendapatkan pengendalian internal yang baik dalam perusahaan. BOD dan manajemen senior dalam perusahaan menentukan “tone at the top” terkait pentingnya pengendalian internal dan standar yang akan digunakan untuk mencapai pengendalian internal yang efektif. Pada akhirnya objektif ini mempunyai pengaruh yang besar kepada sistem pengendalian internal secara keseluruhan. Framework 2013 menyebutkan bahwa terdapat 5 prinsip yang mendukung komponen ini, antara lain: 1. Perusahaan berkomitmen atas integritas dan nilai etik. 2. BOD memiliki independensi dari manajemen dan bertindak mengawasi pengembangan dan performa pengendalian internal. 3. Manajemen, dengan pengawasan dewan, membentuk struktur,

alur

pelaporan, wewenang dan tanggung jawab untuk mendukung pencapaian objektif. 4. Perusahaan memiliki komitmen untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten dengan objektif perusahaan. 5. Perusahaan

memiliki

individu-individu

yang

akuntabel

dengan

pengendalian internal yang ditujukan untuk mencapai objektif perusahaan.


b. Penilaian Risiko (Risk Assessment) Setiap perusahaan akan menghadapi berbagai risiko yang timbul dari internal maupun eksternal perusahaan. Risiko didefinisikan sebagai kemungkinan bahwa suatu hal yang dapat mempengaruhi pencapaian objektif akan terjadi. Komponen risk assessment ini meliputi proses untuk mengidentifikasi dan menganalisis risiko dalam perusahaan dan bagaimana caranya mengelola risiko tersebut. Manajemen juga harus memperhatikan perubahan yang mungkin terjadi pada

lingkungan

eksternal

dan

model

bisnis

perusahaan

yang

dapat

mempengaruhi pencapaian objektif sehingga terlebih dahulu perusahaan harus menentukan objektif yang ingin dicapai menggunakan kubus COSO, yakni operations, reporting, dan compliance, dimulai dengan menentukan objektif entitiy-level diikuti dengan penentuan objektif yang lebih spesifik untuk aktivitas yang berbeda-beda dalam perusahaan. Dalam COSO framework 2013, komponen risk assessment memiliki 4 prinsip khusus, antara lain: 1. Perusahaan menetapkan objektifnya secara jelas untuk memudahkan proses mengidentifikasi dan menilai risiko terkait objektif tersebut. 2. Perusahaan mengidentifikasi risiko usahanya terkait pencapaian objektif seluruh entitas dan menganalisis risiko tersebut untuk menentukan cara yang tepat untuk mengelolanya. 3. Perusahaan harus memperhatikan potensi adanya kecurangan dalam menganalisis risiko pencapaian objektif. 4. Perusahaan mengidentifikasi dan menilai perubahaan-perubahaan dalam organisasi yang dapat mempengaruhi sistem pengendalian internal secara signifikan. c. Aktivitas Pengendalian (Control Activities) Aktivitas pengendalian terdiri dari tindakan-tindakan yang dilakukan berdasarkan prosedur dan ketentuan yang berlaku guna memitigasi risiko yang mempengaruhi pencapaian objektif. Aktivitas pengendalian ini ada dalam setiap level dalam perusahaan, setiap tahap tingkatan dalam proses bisnis, dan dalam lingkungan teknologi. Dikarenakan setiap perusahaan dikelola oleh orang yang


berbeda-beda dengan pertimbangan dan penilaian yang berbeda-beda pula maka antar perusahaan akan selalu memiliki aktivitas pengendalian yang berbeda, walaupun perusahaan tersebut mempunyai strategi bisnis yang serupa. Aktivitas pengendalian dapat bersifat preventif maupun detektif. Umumnya perusahaan menggunakan sistem segregation of duties untuk meminimalisir risiko tindakan yang tidak sesuai yang dapat dilakukan oleh individu. Pada dasarnya, framework 2013 memiliki konsep yang sama terkait komponen control activities, namun general information technology control (GITC) lebih ditekankan pada COSO framework yang telah diperbarui ini. Terdapat 3 prinsip aktivitas pengendalian, antara lain: 1. Perusahaan memilih dan mengembangkan aktivitas pengendalian yang berkontribusi dalam memitigasi risiko terkait pencapaian objektif sampai tingkatan yang dapat diterima (acceptable levels). 2. Perusahaan memilih dan mengembangkan aktivitas pengendalian umum terkait teknologi untuk mendukung pencapaian objektif. 3. Perusahaan menyebarkan aktivitas pengendalian melalui ketentuan yang dibentuk untuk menentukan target dan ekspetasi serta prosedur untuk merealisasikan ketentuan tersebut. d. Informasi dan Komunikasi (Information and Communication) Informasi sangat penting bagi perusahaan untuk mengkomunikasikan tanggung jawab pengendalian dan kontrol terkait pencapaian objektif perusahaan. Selain itu, informasi yang akurat dan tepat waktu dapat memudahkan perusahaan dalam menjalankan bisnis secara efektif. Informasi yang relevan dan berkualitas dapat bersumber dari dalam maupun luar perusahaan dan berfungsi mendukung komponen pengendalian internal yang lain. Komunikasi yang baik dalam perusahaan

penting

dilakukan

untuk

mengkomunikasikan

pentingnya

pengendalian internal kepada seluruh individu dalam perusahaan. Di lain pihak, komunikasi kepada pihak di luar perusahaan dapat bersifat resiprokal karena perusahaan

mendapatkan

informasi

yang

relevan

untuk

mendukung

keberlangsungan perusahaan dan dalam waktu yang bersamaan memberikan informasi sebagai respon atas ekspektasi pihak eksternal perusahaan. Dalam


COSO framework 2013, dijelaskan 3 prinsip komponen Informasi dan Komunikasi, antara lain: 1. Perusahaan menggunakan informasi yang relevan dan berkualitas untuk mendukung fungsi pengendalian internal. 2. Perusahaan mengkomunikasikan informasi tersebut kepada pihak internal perusahaan terkait objektif dan tanggung jawab pengendalian internal untuk mendukung fungsi pengendalian internal perusahaan. 3. Perusahaan berkomunikasi dengan pihak eksternal tentang hal-hal yang berhubungan dan mempengaruhi fungsi pengendalian internal. e. Pengawasan (Monitoring) Komponen pengawasan ini berfungsi untuk memastikan dan mengevaluasi bahwa sistem pengendalian internal secara keseluruhan sudah berjalan dengan efisien dan efektif. Komponen ini merupakan komponen yang mengawasi dan mengevaluasi keempat komponen lainnya. Pengawasan ini dilakukan untuk menumbuhkan keyakinan manajemen bahwa prosedur yang dilakukan perusahaan telah berjalan dengan baik dan dapat mendukung keberlangsungan usaha perusahaan. Dalam COSO framework 1992 dan 2013 dijelaskan bahwa terdapat dua jenis evaluasi yang dapat dilakukan perusahaan, yakni evaluasi berkala (ongoing evaluation) dan evaluasi terpisah (separate evaluation). Ongoing evaluation dilakukan sepanjang berjalannya proses bisnis perusahaan dan diaplikasikan untuk setiap level dalam perusahaan sedangkan separate evaluation dilakukan secara periodik dengan ruang lingkup yang disesuaikan dengan penilaian risiko, efektivitas ongoing evaluations, dan pertimbangan manajemen. Kedua jenis evaluasi ini dapat dilakukan secara terpisah maupun bergabungan dan berfungsi untuk menentukan apakah seluruh komponen pengendalian internal yang ada telah berfungsi secara terus menerus. Bila diidentifikasi bahwa terdapat defisiensi pada proses evaluasi, maka harus dikomunikasikan kepada pihak-pihak bersangkutan seperti manajemen dan BOD untuk ditindaklanjuti. Dua prinsip komponen monitoring antara lain:


1. Perusahaan memilih, mengembangkan, dan melakukan evaluasi berkala (ongoing evaluation) dan/atau evaluasi terpisah (separate evaluation) untuk memastikan bahwa komponen-komponen pengendalian internal hadir (present) dan berfungsi (functioning). 2. Perusahaan

mengevaluasi

dan

mengkomunikasikan

defisiensi

pengendalian internal secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk menindaklanjuti, termasuk manajemen dan BOD.

2.2.1

Guidance on Monitoring Internal Control Systems Pada Januari 2009, COSO mempublikasikan Guidance on Monitoring

Internal Control System yang menekankan pembahasan pada komponen terakhir COSO yaitu monitoring. COSO mengajukan pedoman ini berdasarkan hasil observasi bahwa banyak perusahaan yang tidak menggunakan secara optimal peran komponen monitoring dalam sistem pengendalian internal perusahaan mereka. Banyak perusahaan tidak menggunakan hasil monitoring-nya untuk menyimpulkan

efektivitas

pengendalian

internal

perusahaan,

khususnya

pengendalian internal atas pelaporan keuangan (ICoFR). Terdapat dua objektif COSO Monitoring Guidance, antara lain: 

Membantu perusahaan dalam meningkatkan efektivitas dan efisiensi sistem pengendalian internal perusahaan.



Memberikan

pedoman

praktis

pemantauan

(monitoring)

dapat

yang

mengilustrasikan

digabungkan

ke

bagaimana

dalam

proses

pengendalian internal perusahaan. COSO framework menyatakan bahwa pemantauan (monitoring) dapat memastikan bahwa pengendalian internal terus berjalan secara efektif.


Gambar 2.2 Monitoring dalam sistem pengendalian internal Sumber: COSO’s Monitoring Guidance (2009)

Dari gambar 2.2 di atas dapat disimpulkan bahwa monitoring berhubungan dengan objektif perusahaan secara keseluruhan, tidak hanya untuk objektif pelaporan saja. Selain itu, monitoring berjalan sepanjang sistem pengendalian dan berfungsi sebagai pemantau keseluruhan sistem pengendalian internal dari awal sampai akhir untuk mengevaluasi kemampuan sistem pengendalian dalam memitigasi risiko terhadap objektif perusahaan.

Gambar 2.3: Proses monitoring Sumber: COSO’s Monitoring Guidance (2009)


Menurut COSO, pendekatan monitoring yang efektif melibatkan (1) pembentukan dasar pemantauan, (2) merancang dan mengeksekusi prosedur pemantauan yang diprioritaskan untuk risiko-risiko terkait pencapaian objektif perusahaan, dan (3) menilai dan melaporkan hasilnya, termasuk penindaklanjutan untuk perbaikan. Ketiga hal ini dapat dilihat pada gambar 2.3 di atas.

2.3

Sarbanes-Oxley Act Sarbanes-Oxley Act atau biasa disebut SOX, SOA, maupun Sarbox

muncul sebagai respon atas kasus penyimpangan akuntansi dan kegagalan finansial yang terjadi pada perusahaan-perusahaan besar di Amerika Serikat, yakni Enron dan WorldCom. SOA memiliki nama resmi Public Accounting Reform and Investor Protection Act yang diberlakukan pada tahun 2002 untuk perusahaan publik dan kantor akuntan publik di Amerika Serikat, termasuk di dalamnya perusahaan asing yang sahamnya diperdagangkan di NYSE. Nama Sarbanes-Oxley Act berasal dari nama anggota legislator yang mensponsorinya, yaitu senator Amerika Serikat Paul Sarbanes, dan U.S. Representative Michael G. Oxley. Pada dasarnya, SOA bertujuan “to protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes”. Dari pernyataan tersebut, dapat disimpulkan bahwa SOA ingin melindungi hak-hak pemegang saham dan menumbuhkan kepercayaan investor dengan memberikan arahan kepada perusahaan publik tentang pentingnya pengendalian internal dan tatakelola yang baik sehingga menghasilkan

pengungkapan

laporan

keuangan

perusahaan

yang

dapat

diandalkan. Komponen utama SOA adalah Public Company Accounting Oversight Board (PCAOB), sebuah entitas independen yang menetapkan standard dan regulasi terkait audit eksternal dan akuntan publik. Terkait dengan pengendalian internal terhadap pelaporan keuangan (ICoFR), SOA mengeluarkan ketentuan 302 dan 404 untuk mengaturnya (Brinks, 2009, p. 53-54 & Sonnelitter, 2010, p. 1.01).


2.3.1

Sarbanes-Oxley Section 302 SOA 302 tentang “Corporate Responsibility for Financial Reports”

mengharuskan perusahaan untuk merancang prosedur internal yang baik agar tercipta pengungkapan finansial yang akurat. Ketentuan ini menekankan tanggung jawab pejabat eksekutif perusahaan untuk membangun merancang, dan memelihara pengendalian internal agar dapat terus berjalan dengan efektif agar tercipta pengungkapan yang transparan dan wajar. SOA 302 ini mengharuskan pejabat eksekutif dan pihak-pihak yang setara menyatakan dalam laporan tahunan maupun kuartal bahwa mereka telah meninjau ulang laporan sehingga laporan bebas dari informasi yang secara material tidak akurat dan menyesatkan dan laporan keuangan perusahaan

telah merepresentasikan kondisi

keungan

perusahaan dengan benar. Pejabat eksekutif perusahaan juga bertanggung jawab mengevaluasi pengendalian internal perusahaan 90 hari sebelum laporan diterbitkan. Bila ditemukan defisiensi maupun perubahan atas pengendalian internal perusahaan maka harus diungkapakan kepada eksternal auditor, komite audir, dan pihak-pihak terkait lainnya.

2.3.2

Sarbanes-Oxley Section 404 SOA 404 tentang “Management Assessment of Internal Controls”

mengharuskan perusahaan publik untuk melaporkan pengendalian internal perusahaan khususnya terhadap pelaporan keuangan (ICoFR) pada laporan tahunannya dan memberikan tanggung jawab kepada manajemen untuk membangun dan memelihara sistem pengendalian internal yang memadai serta melakukan penilaian secara berkelanjutan terkait efektivitas ICoFR perusahaan. Internal auditor, konsultan independen, serta manajemen bertanggung jawab untuk meninjau ulang, mendokumentasi, menguji, menilai, dan melaporkan efektivitas pengendalian internal perusahaan, selanjutnya eksternal auditor bertanggung jawab untuk membuktikan/melakukan atestasi hasil evaluasi pengendalian internal yang telah dilakukan manajemen tersebut.


2.3.3

Pedoman PCAOB (Auditing Standard No. 2 dan Auditing Standard No. 5) Pada tahun 2004, PCAOB mengeluarkan Auditing Standard No. 2 (AS-2),

An Audit of Internal Control Over Financial Reporting Performed in Conjunction With an Audit of Financial Statements yang merupakan pedoman untuk auditor eksternal dalam melakukan audit laporan keuangan. AS-2 memiliki pendekatan audit yang sangat detil sehingga pada masa itu biaya atas jasa audit sangat tinggi dan memberatkan banyak perusahaan. Pada tahun 2007, PCAOB mengeluarkan Auditing Standard No. 5, An Audit of Internal Control over Financial Reporting That Is Integrated with An Audit of Financial Statements (AS-5) untuk menggantikan AS-2. AS-5 menekankan kewajiban auditor eksternal perusahaan dalam membuktikan penilaian atas pengendalian internal atas pelaporan keuangan perusahaan yang dilakukan oleh manajemen dan memperhatikan kemampuan manajemen dalam membentuk dan mendokumentasi pengendalian internal tersebut. Standar PCAOB dapat dijadikan pedoman untuk manajemen tentang informasi dan dokumentasi yang dibutuhkan oleh auditor untuk membuktikan (attest) bahwa penilaian ICoFR dilakukan secara benar. Standar ini menggunakan pendekatan risk-based yang memberikan kewenangan pada auditor eksternal untuk memfokuskan atestasi pada efektivitas pengendalian terkait risiko-risiko yang ada pada level enterprise.

2.4

Internal Control over Financial Reporting (ICoFR) Internal Control over Financial Reporting (ICoFR) merupakan suatu

bentuk pengendalian internal pada perusahaan yang ditujukan untuk menyediakan keyakinan yang memadai (reasonable assurance) bahwa laporan keuangan yang akan digunakan oleh pihak eksternal perusahaan telah disajikan secara wajar dan andal. ICoFR yang baik menjadi suatu kewajiban untuk perusahaan publik yang sahamnya terdaftar di bursa efek Amerika (NYSE). ICoFR merupakan komponen utama dalam peraturan Sarbanes-Oxley Act section 404 yang diterbitkan oleh United States Securities and Exchange Commission (U.S. SEC).


2.4.1

Pengertian ICoFR SEC mendefinisikan pengendalian internal atas pelaporan keuangan

(ICoFR) sebagai: “A process designed by, or under the supervision of, the registrant’s principal executive and principal financial officers, or persons performing similar functions, and effected by the registrant’s board of directors, management and other personnel, to provide reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements for external purposes in accordance with generally accepted accounting principles and includes those policies and procedures that: (1) Pertain to the maintenance of records that in reasonable detail accurately and fairly reflect the transactions and dispositions of the assets of the registrant; (2) Provide reasonable assurance that transactions are recorded as necessary to permit preparation of financial statements in accordance with generally accepted accounting principles, and that receipts and expenditures of the registrant are being made only in accordance with authorizations of management and directors of the registrant; and (3) Provide reasonable assurance regarding prevention or timely detection of unauthorized acquisition, use, or disposition of the registrant’s assets that could have a material effect on the financial statements. COSO framework 2013 menyatakan bahwa: “A system of internal control over financial reporting is designed and implemented to prevent or detect, in a timely manner, a material omission from or a misstatement of the financial statements due to error or fraud.”


ICoFR

didefinisikan

sebagai

suatu

proses

yang

dirancang

dan

dilaksanakan oleh manajemen perusahaan untuk memberikan keyakinan yang memadai (reasonable assurance) berkaitan dengan keandalan laporan keuangan. Hal ini mencakup penyusunan laporan keuangan yang andal untuk diterbitkan, termasuk laporan keuangan interim dan ringkasannya, serta data keuangan tertentu yang berasal dari laporan keuangan tersebut. Dalam konteks ini, “keandalan” berarti bebas dari salah saji yang material. Keandalan laporan keuangan secara implisit membutuhkan catatan akuntansi yang akurat, klasifikasi, dan waktu yang tepat, serta seluruh aspek lainnya dari pengendalian pelaporan keuangan yang secara tradisional telah dilaksanakan. Pengujian yang dilakukan bertujuan untuk memastikan efektivitas dan pelaksanaan dari pengendalian internal dalam rangka memberikan keyakinan yang memadai terhadap keandalan pelaporan keuangan.

2.4.2

Pedoman ICoFR menurut IIA Dalam memenuhi SOA 404, perlu dilakukan implementasi ICoFR yang

efektif. Untuk mempermudah perusahaan dalam melakukan ICoFR, IIA menerbitkan Sarbanes-Oxley Section 404: A Guide for Management by Internal Controls Practitioners untuk dijadikan panduan manajemen dalam melakukan ICoFR. Panduan ini memiliki 4 tahapan utama dalam melakukan ICoFR. Tahapan tersebut antara lain: 1. Defining the Detailed Scope for Section 404 Suatu pengendalian internal atas pelaporan keuangan yang efisien adalah ketika manajemen dapat memperhatikan area-area yang paling berisiko dan dianggap material terhadap laporan keuangan perusahaan. Tidak semua proses bisnis tercakup dalam kerangka ICoFR perusahaan karena akan memakan waktu dan berisiko terhadap pencapaian objektif pengendalian yang sebenarnya. Untuk itu, terdapat beberapa tahap dalam menentukan ruang lingkup pengendalian internal terhadap pelaporan keuangan:


(a) Top-Down and Risk-based Approach / Top Down Risk Assessment (TDRA) TDRA dilakukan untuk membantu menentukan ruang lingkup dan bukti yang mendukung pengujian pengendalian internal yang dilakukan manajemen untuk mematuhi ketentuan SOA 404. Pendekatan TDRA dimulai di tingkat laporan keuangan dan memahami keseluruhan atas ICoFR. Pendekatan ini memusatkan

perhatian

pada

akun,

pengungkapan,

dan

asersi

yang

menggambarkan kemungkinan yang wajar atas salah saji yang material pada laporan keuangan dan pengungkapan terkait. Prinsip utama dalam TDRA adalah berfokus pada risiko dan materialitas terhadap keseluruhan proses dan memberikan perhatian yang lebih pada area dengan risiko besar. (b) The Detailed Process for Defining the Scope Setelah TDRA, perlu dilakukan analisis mendalam atas proses dan unit bisnis terkait akun-akun signifikan yang telah ditentukan untuk menentukan ruang lingkup ICoFR. (c) Materiality Pertimbangan atas penentuan materialitas hanya dapat dilakukan oleh pihak yang memiliki semua fakta dan pengetahuan terkait pelaporan keuangan atas masing-masing perusahaan, dan pertimbangan tersebut berdasarkan persetujuan auditor eksternal. Dalam melakukan analisis dan menentukan batasan atau nilai materialitas, pihak manajemen perusahaan dan auditor harus mempertimbangkan baik faktor kuantitatif maupun kualitatif. (d) Significant Accounts and Disclosures Proses identifikasi laporan keuangan perusahaan dapat menghasilkan akun-akun signifikan di mana terdapat kemungkinan terjadinya kesalahan yang material pada pelaporan keuangan. Akun signifikan muncul ketika akun tersebut berada di atas level materialitas yang telah ditentukan. Setelah risiko terkait akun signifikan diidentifikasi, pengendalian harus segera dirancang untuk memitigasi risiko dari akun-akun signifikan tersebut. Tingkat materialitas dan akun signifikan harus dinilai minimal tiga bulan sekali, atau ketika terjadi perubahan yang


material dalam bisnis, untuk memastikan bahwa setiap area yang perlu diperhatikan telah tercakup dalam ruang lingkup. (e) Financial Statement Assertions Profesi eksternal audit telah mengidentifikasi asersi laporan keuangan yang dapat digunakan manajemen untuk akun-akun signifikan yang memiliki kemungkinan salah saji material. Asersi laporan keuangan yang disarankan oleh AS-5 antara lain: Existence/Occurence, Completeness, Valuation/Allocation, Rights and Obligations, dan Presentation and Disclosure. (f) Significant Locations, Business Processes, and Major Classes of Transactions Penentuan cakupan unit bisnis/lokasi yang memiliki pengaruh terhadap laporan keuangan mengacu pada ketentuan PCAOB AS-5 tentang pengambilan keputusan atas penentuan cakupan unit bisnis dengan memperhatikan beberapa faktor (1) apakah unit bisnis terkait merupakan unit bisnis yang signifikan secara individu (single entity); (2) apakah unit bisnis terkait memiliki risiko yang signifikan; (3) apakah suatu unit bisnis merupakan unit bisnis yang signifikan apabila dikonsolidasikan dengan unit bisnis lainnya, dan; (4) apakah terdapat tingkat pengendalian secara entitas pada unit bisnis tersebut. (g) Key Control PCAOB dan SEC menyatakan bahwa pengendalian utama (key control) merupakan pengendalian yang dapat memberikan keyakinan yang memadai (reasonable assurance) bahwa salah saji material dapat dicegah dan dideteksi dengan tepat waktu. Penentuan pengendalian utama merupakan faktor penting yang mempengaruhi efektivitas dan efisiensi pengendalian internal perusahaan. Pengendalian utama harus bersifat preventif dan detektif, dan dapat secara signifikan memitigasi risiko terjadinya salah saji material, dan secara signifikan mengendalikan proses bisnis, baik pada level entitas maupun aktivitas.




Identifying Key Controls Within Business Process Manajemen perlu menentukan pengendalian-pengendalian utama yang dilakukan pada proses bisnis tertentu, untuk memitigasi risiko yang ada sehingga perusahaan secara keseluruhan dapat berjalan dengan efektif.



Identifying Key ITGCs ITGC (Information Technology General Control) memberikan keyakinan bahwa aplikasi yang ada dalam perusahaan telah dikembangkan dan dipelihara dengan baik sehingga berfungsi secara optimal dalam memproses transaksi dan melakukan pengendalian otomatis (automated controls). ITGC juga dapat meyakinkan penggunaan aplikasi yang tepat dan perlindungan terhadap data dan program dari tindakan yang tidak terotorisasi.



Other Entity-Level Controls Manajemen harus memperhatikan pengendalian lain yang secara langsung maupun tidak secara langsung mempengaruhi risiko kemungkinan terjadinya salah saji.



Spreadsheets and Other End-user Computing Issues Risiko salah saji karena kesalahan dalam menggunakan aplikasi dan software tidak dapat dihindari, misalnya pada saat menggunakan Microsoft Access dan software pelaporan lainnya. Karena kesalahan ini memungkinkan terjadinya salah saji yang material, perusahaan harus memperhatikan risiko ini.



Controls Performed by Third-party Organizations Perusahaan seringkali melakukan outsourcing untuk menekan biaya perusahaan secara keseluruhan. Ketika fungsi pengendalian dilakukan oleh pihak ketiga, manajemen harus melakukan penilaian dan menguji apakah pengendalian telah dirancang dengan baik dan apakah pihak ketiga tersebut telah mengoperasikan pengendalian sesuai dengan apa yang telah dirancang.


(h) Fraud Risk Assessment AS-5 menyatakan bahwa auditor harus mengevaluasi apakah pengendalian dalam perusahaan dapat mengidentifikasi salah saji yang disebabkan oleh penipuan (fraud) atau tidak. Manajemen dapat menimbang peluang dan memitigasi terjadi fraud dengan melakukan pemisahan tugas maupun pembatasan akses yang bersifat preventif. (i) Process and Control Documentation Bisnis proses utama, khususnya transaksi-transaksi material dan pengendalian terkait harus didokumentasikan. Manajemen harus membentuk suatu manajemen perubahan (change management) bilamana terdapat perubahan proses dan pengendalian dalam perusahaan sehingga proses dokumentasi dapat disesuaikan dengan perubahan tersebut. 2. Testing Key Controls Evaluasi dalam bentuk pengujian perlu dilakukan manajemen untuk memastikan bahwa pengendalian telah beroperasi sesuai rancangan dan orangorang yang melakukan pengendalian mempunyai kompetensi untuk itu. Untuk itu, agar pengujian berjalan dengan efisien, manajemen harus menekankan evaluasi pada pengendalian terkait risiko-risiko ICoFR yang cenderung tinggi (highest ICoFR risks). Pada umumnya, karena mempunyai sistem manajemen yang kompleks, perusahaan besar menggunakan pengujian langsung (direct testing) dan on-going monitoring untuk mendapatkan keyakinan yang mendukung penilaian mereka terkait pengendalian internal. Terdapat beberapa teknik pengujian yang dapat digunakan perusahaan, namun harus dipastikan bahwa: 

Suatu teknik pengujian harus memberikan keyakinan yang memadai bahwa pengendalian dalam perusahaan telah berjalan dengan efektif.



Bila menggunakan teknik self-assessment, harus terdapat konfirmasi tingkat keyakinan atas independensi dari self-assessment tersebut.



Pengujian harus memberikan keyakinan bahwa pengendalian berjalan dengan efektif pada akhir tahun (tanggal akhir pelaporan). Bila pengujian


dilakukan di awal tahun, harus terdapat tahapan-tahapan. Misalnya, dengan

melakukan

reperformance

pengujian

sebelumnya

dengan

menggunakan transaksi kuartal empat. 

Pengujian harus dilakukan oleh individu-individu berkompeten dan terlatih. Banyak perusahaan yang menggunakan pihak ketiga untuk melakukan pengujian, sehingga manajemen harus melakukan peninjauan ulang untuk meyakinkan bahwa pengujian telah dilakukan sesuai dengan standar kualitas perusahaan dan hasilnya aktual.



Manajemen

harus

mempertimbangkan

biaya

keseluruhan

dalam

melakukan pengujian dan penggunaan sumber daya yang paling efisien untuk dilibatkan dalam proses pengujian. 

Manajemen harus memilih pendekatan yang sesuai dengan perusahaan, dan dengan mempertimbangkan pendapat internal auditor. Beberapa teknik pengujian antara lain: - Testing of Control secara umum, seperti: 

Walkthroughs, yang mengkonfirmasi kecukupan dokumentasi serta disain kontrol untuk memenuhi tujuan pengendalian.



Tanya-jawab (inquiry), pemeriksaan (examination), dan inspeksi (inspection) atas dokumen terkait untuk mengkonfirmasi bahwa kontrol dilakukan secara konsisten seperti yang didokumentasikan.



Perhitungan ulang (reperformance) atas sampel transaksi untuk mengkonfirmasi bahwa pengendalian telah dilakukan dengan efektif.

- Continuous auditing, yang mencakup pengujian transaksi dalam periode yang berkelanjutan. Pada umumnya teknik ini dibantu dengan software khusus untuk memilih transaksi yang akan diperiksa. - Continuous monitoring, teknik ini umumnya menggunakan software untuk memonitor transaksi dan tidak hanya mengidentifikasi transaksi untuk pengujian, namun terutama untuk menguji keseluruhan transaksi yang diproses agar sesuai dengan parameter yang dipilih.


- Management self-assessment. Manajemen perlu berkonsultasi dengan testing

experts

untuk

memastikan

bahwa

hasil

self-assessment

memberikan bukti yang wajar dan objektif bahwa kontrol beroperasi sebagaimana yang dinilai. Untuk mematuhi peraturan SOA 404, perusahaan harus memperhatikan pula biaya keseluruhan yang dikeluarkan untuk melakukan program internal audit terkait SOA 404 ini, khususnya biaya atas jasa auditor eksternal. Manajemen dapat meminimalisir biaya total dengan melakukan proses pengujian ICoFR yang efektif dan efisien agar eksternal auditor dapat mengurangi beban kerja mereka melalui pengujian ICoFR manajemen yang dilakukan dengan baik. (a) Testing Automated Controls Pengujian ini dilakukan terhadap pengendalian yang dilakukan dalam sistem IT. Pengujian dapat dilakukan oleh staf IT perusahaan atau auditor spesialis IT. (b) Testing Indirect Entity-level Controls Indirect Entity-level Controls adalah pengendalian tidak langsung seperti nilai-nilai etika organisasi dan efektivitas pengawasan komite audit, sehingga IIA menyarankan manajemen untuk melakukan pengujian ini karena manajemen merupakan pihak yang memahami secara dalam tentang sifat perusahaan dan pengendalian yang dijalankan dalam perusahaan. 3. Assessing the Adequacy of Controls, Including Assessing Deficiencies Bila kontrol utama telah diidentifikasi dengan baik, dan dinilai telah cukup, dan hasil pengujian mengindikasikan bahwa keseluruhan kontrol telah berjalan dengan efektif maka manajemen dapat menilai bahwa keseluruhan sistem ICoFR perusahaan telah berjalan dengan efektif. Namun ternyata, beberapa kemungkinan dapat teridentifikasi dalam proses pengujian. Sejumlah kontrol utama dapat dikatakan hilang, terdapat kekurangan/defisiensi dalam rancangan, atau sistem pengendalian ternyata tidak beroperasi secara efektif. Terkait hal ini, manajemen perlu memutuskan apakah kekurangan/defisiensi tersebut mengartikan


bahwa sistem pengendalian internal tidak dapat memberikan keyakinan yang memadai bahwa tidak akan terjadi salah saji material dalam pelaporan keuangan yang akan diterbitkan. 4. Management’s Report on Internal Controls – the End Product Manajemen harus menyimpulkan kinerja ICoFR yang sebenarnya dan melaporkan hasil akhirnya pada perusahaan. Bila ditemukan defisiensi harus dikomunikasikan beserta dengan informasi terkait yang disediakan agar investor dapat memahami makna dan risikonya, dan bagaimana manajemen akan memastikan integritas laporan keuangan ke depannya.

2.4.3

Prosedur Audit menurut IIA Berdasarkan buku Internal Auditing: Assurance & Consulting Services

yang dipublikasikan oleh The Institute of Internal Auditors, prosedur audit adalah suatu aktivitas yang dilakukan oleh internal auditor untuk mengumpulkan bukti yang diperlukan dalam mencapai objektif audit. Prosedur audit dilakukan dalam proses audit untuk: 

Mendapatkan pemahaman terkait pihak yang diaudit (auditee), termasuk objektif, risiko, dan pengendalian pada auditee.



Menguji kecukupan disain dan efektivitas operasi pada suatu area dalam sistem pengendalian internal.



Menganalisis hubungan antara elemen-elemen berbeda dalam suatu data.



Secara langsung menguji informasi finansial dan non-finansial dan kemungkinannya terhadap salah saji dan kecurangan.

Mendapatkan bukti yang cukup dalam rangka pencapaian objektif audit dipengaruhi oleh sifat (nature), lingkup (extent), dan waktu (timing) dari prosedur audit yang ingin dilakukan.


1. Nature of audit procedures Nature prosedur audit berkaitan dengan jenis pengujian yang dilakukan internal auditor untuk mencapai objektifnya. Jenis pengujian yang berbeda-beda memberikan tingkat keyakinan dan membutuhkan waktu yang berbeda-beda pula. Namun secara umum, dalam melakukan prosedur audit, auditor dapat menggunakan prosedur audit manual ataupun dengan bantuan komputer (Computer-Assisted Audit Techniques/CAATs). Di dalam Auditing Standard No.5 dinyatakan bahwa, untuk mendapatkan bukti yang memadai dalam pengujian pengendalian internal perusahaan, internal auditor dapat menggunakan empat prosedur pengujian manual, yakni: 

Inquiry. Proses tanya-jawab yang dilakukan antara auditor dan auditee atau pihak terkait lainnya untuk mendapatkan respon secara tertulis maupun oral.



Observation. Observasi yang dilakukan auditor terhadap individu, prosedur, dan proses dalam perusahaan.



Inspection. Auditor mempelajari dokumen, dan arsip perusahaan yang relevan dengan objektif audit.



Reperformance. Melakukan kembali prosedur pengendalian perusahaan untuk memeriksa tingkat efektivitasnya. Reperforming juga dilakukan untuk mendapatkan bukti bahwa perhitungan yang dilakukan dan estimasi yang ditentukan perusahaan sudah benar dan wajar.



Confirmation. Dilakukan untuk mendapatkan verifikasi secara langsung dan tertulis terkait keakuratann informasi dari pihak ketiga yang independen.

2. Extent of audit procedures Lingkup prosedur audit berkenaan dengan berapa banyak bukti audit yang harus diperoleh internal auditor dalam mencapai objektif auditnya, sehingga internal auditor harus menentukan prosedur yang sesuai (misalnya terkait dengan penentuan Audit Sampling).


3. Timing of audit procedures Pemilihan waktu dalam melakukan prosedur audit dilakukan untuk menentukan kapan pengujian dilakukan dan berapa lama periode pengujian tersebut. Pernyataan manajemen (management’s assessment) atas pengendalian internal dalam rangka pelaporan keuangan berisi tentang efektivitas pengendalian internal pada akhir periode. Namun demikian, pengujian atas pengendalian internal, sebagai dasar bagi pernyataan manajemen, menjadi tidak praktis bila dilakukan seluruhnya pada akhir periode. Dengan pertimbangan tersebut, berdasarkan waktu pelaksanaan, secara umum pengujian pengendalian internal dapat dikelompokkan menjadi dua, yaitu:  Pengujian interim Pengujian interim dilakukan untuk mengukur efektivitas pengendalian internal yang dilaksanakan sepanjang tahun. Pengujian ini dapat dilakukan pada suatu waktu tertentu atau beberapa waktu selama tahun buku bersangkutan.  Pengujian yang dilakukan pada akhir tahun (Update Testing) Pengujian akhir tahun dilakukan untuk mendapatkan bukti efektivitas pengendalian internal yang dilaksanakan pada akhir tahun, dan/atau meng-update hasil pengujian interim, untuk memperoleh keyakinan bahwa pengendalian internal masih efektif pada akhir periode/tahun.

2.4.4

Implementasi ICoFR pada Perusahaan Moeller, Robert (2009) menyatakan bahwa perusahaan harus membangun

sistem pengendalian internal atas pelaporan keuangan dengan baik. Terdapat lima langkah pengimplementasian ICoFR yang dapat dilakukan perusahaan sebagai bentuk kepatuhan terhadap SOA 404. Langkah-langkah tersebut antara lain: a. Organize the Section 404 compliance project approach. Tahap pertama adalah membuat tim khusus untuk melakukan proyek kepatuhan terhadap SOA 404. Eksekutif senior, seperti CFO, dapat mengarahkan


tim kepatuhan SOA yang berasal dari internal maupun eksternal perusahaan untuk berpartisipasi dalam proyek. Peran, tanggung jawab, dan kebijakan sumber daya harus direncakan tim SOA bersama dengan eksekutif senior pada tahap ini. b. Develop a project plan. Proyek kepatuhan SOA harus disusun dengan memperhatikan area-area signifikan pada operasi perusahaan dan mencakup seluruh unit bisnis yang signifikan pada perusahaan. c. Identify, document, and test key internal controls. Dengan menggunakan beberapa bentuk analisis, proses pengendalian finansial internal perusahaan utama harus diidentifikasi, kepatuhan terhadap prosedur pengendalian harus diuji, dan hasil pengujian harus didokumentasikan. Proses dokumentasi sangat penting, karena ketika auditor eksternal melakukan peninjauan ulang atas proses pengujian yang dilakukan manajemen, mereka harus memeriksa dokumentasi yang telah dilakukan untuk membuktikan bahwa pengendalian telah berjalan dengan dengan sesuai dan efektif. Pada tahap ini, internal audit memiliki peran sangat penting dalam memberikan masukan kepada tim SOA (project team) perusahaan. d. Review compliance results with key stakeholders. Eksekutif senior perusahaan bertanggung jawab atas pelaporan akhir kepatuhan SOA 404 perusahaan. Tim SOA harus melakukan peninjauan ulang atas perkembangan proyek yang dilakukan dengan manajemen senior secara berkala, termasuk peninjauan ulang terkait pendekatan yang digunakan dan tindakan korektif yang diajukan. Eksternal auditor perusahaan juga harus terus diinformasikan tentang perkembangan dan isu-isu yang terjadi sepanjang proyek yang dilakukan oleh Tim SOA perusahaan. e. Complete report on the effectiveness of the internal control structure. Merupakan tahap terakhir dari proses implementasi SOA 404. Setiap pengerjaan dan pengujian yang dilakukan oleh tim harus didokumentasikan agar


dapat ditinjau ulang. Proses dokumentasi ini serupa dengan proses audit yang hasil ujinya didokumentasikan pada beberapa kertas kerja untuk periode yang berlanjut. Laporan akhir efektivitas ICoFR perusahaan beserta laporan atesti yang dilakukan eksternal auditor akan diajukan kepada SEC sebagai salah satu bagian dari laporan tahunan perusahaan.

2.5

Siklus Pendapatan Siklus pendapatan merupakan suatu aktivitas bisnis dan pengolahan

informasi

terkait

penyediaan barang dan

jasa kepada

konsumen dan

pengumpulan/penerimaan kas sebagai pembayaran atas barang dan jasa yang telah diberikan tersebut. Pertukaran informasi pada siklus ini lebih banyak antara perusahaan dan konsumen. Namun, informasi dalam siklus pendapatan ini juga akan mengalir ke siklus lainnya dalam perusahaan. Objektif utama siklus pendapatan adalah memberikan produk yang tepat di tempat yang sesuai pada waktu yang tepat dengan harga yang sesuai.

2.5.1

Definisi Pendapatan Berdasarkan PSAK 23 revisi 19 Februari 2010, pendapatan adalah

penghasilan yang timbul dari pelaksanaan aktivitas entitas yang normal dan dikenal dengan sebutan berbeda, seperti penjualan, penghasilan jasa, bunga, dividen, royalti, dan sewa. Dengan kata lain, pendapatan adalah arus masuk bruto dari manfaat ekonomi yang timbul dari aktivitas normal entitas selama suatu periode jika arus masuk tersebut mengakibatkan kenaikan ekuitas yang tidak berasal dari kontribusi penanam modal.

2.5.2

Aktivitas Dasar pada Siklus Pendapatan Menurut Romney & Steinbart (2012), terdapat empat aktivitas dasar pada

siklus pendapatan, antara lain:


1. Entry order penjualan (sales order entry) Aktivitas ini dimulai dengan menerima pesanan/order dari konsumen (taking customer orders), pada proses ini terdapat risiko pencatatan order konsumen yang tidak akurat maupun order yang tidak dicatat, sehingga pihak yang menginput data harus secara seksama mencatat order konsumen agar sesuai dengan customer order sebenarnya. Perusahaan kemudian menyetujui pesanan tersebut (credit approval), dan memeriksa ketersediaan barang (checking inventory availability), pada tahap ini perusahaan harus memastikan bahwa terdapat persediaan barang untuk memenuhi permintaan konsumen. Proses terakhir adalah merespon permintaan konsumen tersebut (responding to customer inquiries). 2. Pengiriman/Penyerahan (shipping) Aktivitas ini meliputi pengambilan dan pengepakan barang dari gudang (pick and pack the order). Tahap ini mengharuskan pihak terkait untuk mengidentifikasi jenis dan kuantitas barang yang akan diambil agar sesuai dengan pesanan. Pihak yang mengambil dapat mencatat jumlah barang yang diambil secara manual atau otomatis (melalui suatu sistem). Barang kemudian ditransfer ke bagian pengiriman. Terdapat beberapa risiko dalam proses ini, risiko pertama adalah risiko terjadinya pengambilan barang yang tidak sesuai dengan pesanan, berkaitan dengan jenis maupun kuantitas barang. Risiko kedua adalah terjadinya pencurian barang yang menyebabkan hilangnya aset perusahaan dan pencatatan persediaan yang tidak akurat. Proses selanjutnya adalah pengiriman/penyerahan pesanan (ship the order). Pada proses ini, bagian pengiriman harus membandingkan perhitungan fisik barang dengan kuantitas barang yang terdapat pada laporan status persediaan dalam gudang yang dimiliki perusahaan dan juga kuantitas yang terdapat dalam sales order. 3. Penagihan (billing) Aktivitas ini meliputi pemberian tagihan kepada konsumen (invoice) dan penyesuaian akun piutang (maintain accounts receivable). Kedua aktivitas ini biasanya dilakukan oleh individu yang berbeda agar terciptanya pemisahan tugas


(segregation of duties). Pada proses invoicing, pihak terkait perlu mengetahui informasi dari bagian pengiriman (shipping department) tentang item-item dan kuantitas barang yang dikirim, dan juga informasi tentang harga barang dan ada tidaknya diskon/sales term khusus untuk barang tersebut dari bagian penjualan. Dokumen standar yang ada dalam proses penagihan adalah sales invoice yang melaporkan jumlah total pembayaran dan tujuan pengiriman pembayaran kepada konsumen. Invoice tersebut juga melaporkan kuantitas barang yang dijual beserta harga yang dikenakan atas barang tersebut. Risiko pertama yang ada dalam proses penagihan adalah gagalnya menagih konsumen, yang menyebabkan hilangnya aset perusahaan dan tidak akuratnya data penjualan, persediaan, dan akun piutang. Pemisahan tanggung jawab pada fungsi penyerahan (shipping) dan penagihan (billing) adalah bentuk pengendalian yang penting dilakukan untuk meminimalisir risiko tersebut. Tidak akuratnya jumlah yang ditagihkan karena penetapan harga yang tidak sesuai, dan penagihan barang yang sebenarnya tidak diterima konsumen merupakan risiko kedua dalam proses ini. Kesalahan penetapan harga dapat dihindari dengan penggunaan sistem pricing master file yang dapat mencatat data-data terkait harga barang dan membatasi akses karyawan untuk melakukan perubahan data tersebut. Setelah proses penagihan berhasil, dilanjutkan dengan proses penyesuaian akun piutang (maintain accounts receivable). Untuk memverifikasi bahwa penyesuaian telah dilakukan dengan akurat, pihak terkait dapat melakukan rekonsiliasi pencatatan akun piutang individual dengan total akun piutang pada general ledger. 3. Penerimaan kas (cash collection) Dalam aktivitas ini, pihak yang menerima/meng-collect kas tidak boleh sama dengan pihak yang mengontrol dan merubah akun piutang perusahaan. Sehingga pihak yang bertanggung jawab atas akun piutang perusahaan tidak mempunyai akses fisik terhadap kas maupun checks. Pengendalian dengan segregation of duties ini merupakan prosedur pengendalian yang efektif untuk meminimalisir risiko terjadinya pencurian. Salah satu pengendalian detektif yang dapat dilakukan perusahaan adalah melakukan rekonsiliasi bank account statement dengan saldo pencatatan kas yang ada dalam sistem IT perusahaan.


Dengan rekonsiliasi yang dilakukan oleh pihak yang tidak mempunyai akses terhadap kas, pengendalian ini dapat memberikan hasil pemeriksaan yang independen dan dapat mencegah terjadinya manipulasi bank statements yang dilakukan untuk menutupi pencurian terhadap kas perusahaan.


BAB 3 GAMBARAN UMUM PERUSAHAAN

3.1

RSM AAJ Associates Kantor Akuntan Publik Aryanto, Amir Jusuf, Mawar & Saptoto

merupakan afiliasi dari RSM International yang lebih dikenal dengan sebutan RSM AAJ Associates. RSM AAJ Associates merupakan firma internasional dengan keberadaan lokal yang kuat di Indonesia, menjadikannya sebagai kantor akuntan publik big five di Indonesia dengan RSM International sendiri menempati posisi big six di dunia. KAP ini didirikan di Jakarta pada taun 1985 oleh Amir Abadi Jusuf dengan memberikan jasa auditing dan assurance yang terpercaya untuk perusahaan-perusahaan. Pada tahun 1992, kantor akuntan publik ini berubah nama menjadi AAJ Associates dan mulai berafiliasi dengan RSM International yang merupakan sebuah jaringan organisasi/firma audit dan konsultasi independen keenam peringkat dunia. Terdapat lima jenis jasa yang diberikan oleh RSM AAJ Associates, antara lain, Audit Assurance; Corporate Finance & Transaction Support; Outsourcing; Tax; dan Governance, Risk & Control. Dalam rangka mendukung kegiatan operasionalnya, RSM AAJ Associates memiliki unit pendukung meliputi Finance & Administration Unit, Marketing Unit, Business Relationship Unit, dan Technical & QA Unit. Finance & Administration Unit yang membawahi beberapa fungsi seperti Information Technology, Human Resources, Finance & Accounting, Office Administration, Production, dan Library. RSM AAJ Associates berlokasi di dua kota, Jakarta dan Surabaya, memberikan berbagai jasa profesional di berbagai area. Penulis melaksanakan kegiatan magang di RSM AAJ Associates Jakarta yang beralamat di Plaza Asia lantai 10, Jl. Jenderal Sudirman Kav. 59 Jakarta.


3.1.1

Jasa Profesional yang Disediakan RSM AAJ Associates RSM AAJ Associates menawarkan lima line of business, yaitu Audit

Assurance, Corporate Finance & Transaction Support, Outsourcing, Tax, dan Governance, Risk & Control. Jasa-jasa spesifik dari setiap line of business tersebut dapat dilihat pada tabel 3.1 di bawah ini. Tabel 3.1: Line of businesses RSM AAJ Associates Line of Business

Services 

General Audit on Financial Statements



Financial Information Review



IFRS



Corporate Finance

Support



Transaction Support

Outsourcing



Company Incorporation and

Audit Assurance

Corporate

Finance

&

Transaction

Representative Office Establishment

Tax



Corporate Secretarial



Accounting



Payroll



Executive Search and Recruitment



Tax Litigation and Tax Disputes



Tax Audits



Tax Consulting



International Tax Structuring



Transfer Pricing Reviews and Documentation



Tax Compliance (Corporate and Individual)

Governance, Risk & Control



Governance Advisory and Assurance



Internal Audit



Information Systems Advisory and Assurance



Risk Management and Internal Control Advisory

Sumber: Employee Handbook RSM AAJ Associates (telah diolah kembali)


Selanjutnya RSM AAJ mengklasifikasikan line of business tersebut ke dalam 8 divisi. Divisi Blue, Green, Red, Tosca, dan Brown memberikan jasa audit assurance dengan konsentrasi industri yang berbeda-beda. Divisi White memberikan jasa Risk Advisory. Divisi Orange memberikan jasa Corporate Finance & Transaction Support. Divisi Purple memberikan jasa Tax & Outsourcing. Setiap divisi mempunyai satu Managing Partner dengan didukung oleh Chief Operating Officer, di mana selama kegiatan magang berlangsung penulis ditempatkan sebagai Junior Associate pada divisi White dengan Mbak Angela Indirawati Simatupang sebagai Managing Partner LOB Risk Advisory dan Mas Syahraki Syahrir Musin sebagai White Division Chief Operating Officer. Delapan divisi tersebut dapat dilihat dalam tabel 3.2 di bawah ini. Tabel 3.2: Divisi-divisi RSM AAJ Associates Division

Line of Business

Industry Focus

Blue

Audit Assurance



Trading, Service & Investment

Audit Assurance

Green

Audit Assurance

Red

Audit Assurance

Tosca



Not for Profit



Manufacturing



Mining



Financial Services



Agriculture



Property & Real Estate



Infrastucture, Utilities & Transportation

Brown

Audit Assurance

N/A

White

Risk Advisory

N/A

Orange

Corporate Finance &

N/A

Transaction Support Purple

Tax & Outsourcing

N/A

Sumber: Employee Handbook RSM AAJ Associates (telah diolah kembali)


3.1.2

Struktur Organisasi RSM AAJ RSM AAJ dipimpin oleh Board of Partners (BOP) yang bertanggung

jawab dalam memelihara keberlanjutan perusahaan. Setiap anggota BOP mempunyai satu visi, misi, dan nilai terkait perusahaan. BOP lalu memilih satu anggotanya untuk memenuhi tanggung jawab sebagai Chief Executive Partner (CEP) yang mengatur operasional perusahaan berdasarkan strategi dan arahan yang ditentukan oleh BOP, dan segala hasilnya akan dilaporkan kepada para BOP. Amir Abadi Jusuf dipilih oleh BOP untuk menduduki posisi sebagai Chief of Executive Partner. CEP membawahi RSM Related Function seperti Partner inCharge (PIC), Head of Service, International Contact Partner, dan Anti-Bribery Officer dan juga membawahi Managing Partner dari berbagai line of business seperti audit assurance, tax & outsourcing, corporate finance & transaction support, risk advisory serta operation support. Struktur organisasi RSM AAJ Associates dapat dilihat pada Gambar 3.1 di bawah ini.

Gambar 3.1: Struktur Organisasi RSM AAJ Associates Sumber: Employee Handbook RSM AAJ Associates (telah diolah kembali)


3.2

Profil Perusahaan Klien: PT ABC PT ABC merupakan salah satu operator telekomunikasi seluler terbesar di

Indonesia yang berdiri tahun 1995. Pada tanggal 1 November 1997, PT ABC menjadi operator seluler pertama di Asia yang menawarkan layanan GSM prabayar. Dengan perusahaan induk yang besar, PT ABC dapat dianggap sebagai perusahaan telekomunikasi yang inovatif dan terus menawarkan berbagai servis di seluruh Indonesia dan responsif terhadap perkembangan kebutuhan gaya hidup digital dengan kerap menawarkan produk dan jasa yang berkualitas untuk berbagai segmen pasar. PT ABC memiliki 81,644 juta pelanggan per 31 Desember 2007 dan telah memiliki lebih dari 130 juta pelanggan pada tahun 2013. Jaringan PT ABC telah mencakup 288 jaringan roaming internasional di 155 negara pada akhir tahun 2007. PT ABC menjadi pelopor untuk berbagai teknologi telekomunikasi selular di Indonesia, termasuk yang pertama meluncurkan layanan roaming internasional dan layanan 3G di Indonesia. PT ABC merupakan operator yang pertama kali melakukan ujicoba teknologi jaringan pita lebar LTE. Di kawasan Asia, PT ABC menjadi pelopor penggunaan energi terbarukan untuk menara-menara Base Transceiver Station (BTS). PT ABC merupakan anak perusahaan dari PT XYZ (65% kepemilikan) dan PT X (35% kepemilikan) yang berbasis di Singapura. Saham PT XYZ terdaftar dalam New York Stock Exchange., sehingga PT XYZ diharuskan mengikuti peraturan Securities Exchange Commision (SEC), termasuk SarbanesOxley Act (SOA) khususnya seksi 302 dan 404 terkait efektivitas pengendalian internal atas laporan keuangan (Internal Control over Financial Reporting (IcoFR)). Kini PT ABC mengembangkan jaringan broadband di 100 kota besar di Indonesia. Untuk membantu pelayanan kebutuhan pelanggan, PT ABC kini didukung akses call center 24 jam dan 430 pusat layanan yang tersebar di seluruh Indonesia.


3.2.1

Visi dan Misi PT ABC Visinya menjadi “a world-class, trusted provider of mobile digital lifestyle

services and solutions” membuat PT ABC siap melakukan lompatan besar dalam evolusi telekomunikasi selular yang sejalan dengan perubahan gaya hidup. Jaringan PT ABC menghadirkan dunia dengan konektivitas tanpa batas, ragam aplikasi untuk memfasilitasi gaya hidup modern serta rangkaian produk untuk meningkatkan kualitas hidup manusia. Dengan visi tersebut, PT ABC berusaha memberikan layanan dan solusi mobile digital yang melebihi ekspektasi pelanggan, memberikan nilai tambah kepada para stakeholders, dan mendukung pertumbuhan ekonomi bangsa.

3.2.2

Jenis-jenis Produk dan Jasa yang Ditawarkan PT ABC PT ABC menawarkan berbagai jenis produk dan jasa yang terdiri dari:

1. Main Products & Services Produk dan jasa utama yang ditawarkan PT ABC meliputi layanan postpaid (pascabayar) yang lebih ditujukan untuk segmen pasar dengan pendapatan lebih tinggi serta segmen korporat, dan dua layanan prepaid (prabayar) yang terdiri dari dua jenis, yakni premium prepaid yang dikemas dan ditujukan untuk para konsumen yang lebih muda dan dinamis dan juga prepaid yang ditujukan untuk segmen pasar dengan pendapatan lebih rendah sampai menengah dan bersifat lebih ekonomis dari dua produk yang lain. 2. Mobile Broadband Services Produk ini menawarkan data broadband yang dapat diakses menggunakan USB, ruter Wi-Fi portabel, smartphone, modem, serta tablet untuk layanan internet. Selain itu, PT ABC juga menawarkan berbagai paket layanan internet browsing, instant messaging, e-mail, dan akses social media untuk para konsumen yang menggunakan device tertentu. PT ABC juga memiliki Smartphone Data


Plans yang merupakan hasil kemitraan dengan berbagai perusahaan manufaktur alat komunikasi, menawarkan paket data untuk banyak jenis smartphone. 3. Digital Services Produk digital services ini mencakup 3 jenis layanan: a. Digital Lifestyle Layanan ini menawarkan berbagai produk aplikasi entertainment, social media, dan messaging serta aplikasi yang memudahkan konsumen dalam mengakses informasi yang bersifat ril. b. Digital Payment and Mobile Banking Layanan ini menawarkan 3 produk utama. Pertama adalah produk Mobile Banking yang tersedia agar para konsumen dapat melakukan transaksi perbankan dari telepon genggam mereka. Kedua adalah T-Cash yang memudahkan transaksi pembelian antar dua ponsel, dan Tap Izy yang menjadikan ponsel konsumen sebagai dompet elektronik (electronic wallet). c. Digital Advertising Layanan ini terdiri dari Interactive Services yang merupakan jasa interaktif yang memudahkan para advertisers untuk mengakses para pelanggan PT ABC, Bulk Services di mana iklan ditargetkan sesuai dengan komunitas masing-masing konsumen, dan Location Based Advertising (LBA) di mana iklan-iklan ditargetkan sesuai dengan lokasi di mana konsumen berada. 4. Corporate Business Solution Merupakan layanan pribadi yang ditujukan untuk perusahaan-perusahaan, di mana kontribusi pendapatan terbesar berasal dari sektor manufaktur (18%). Target layanan ini adalah Perusahaan sampai Unit Kecil dan Menengah (UKM). PT ABC dapat memberikan solusi komunikasi yang stabil dan komunikasi end-toend untuk membantu perusahaan meningkatkan efisiensi, produktivitas, dan daya saing.


5. Interconnection and International Roaming Merupakan layanan internasional untuk melayani para pelanggan yang ingin lebih mudah berkomunikasi di luar negeri, menggunakan strategi afiliasi PT ABC dengan operator telekomunikasi di masing-masing negara tersebut.

3.2.3

Overview Performa Perusahaan Tahun 2013 Dilihat dari laporan keuangannya, pendapatan PT ABC meningkat sebesar

10% (sepuluh persen) dari Rp. 54.531 miliar pada tahun 2012 menjadi Rp. 60.031 miliar pada tahun 2013. EBITDA tahun 2013 juga meningkat menjadi Rp. 33.869 miliar dengan laba bersih mencapai Rp. 17.347 miliar di mana kontribusi terbesar berasal dari layanan percakapan dan SMS. Peningkatan pendapatan PT ABC tersebut juga dikarenakan pendapatan produk layanan prabayar yang mengalami pertumbuhan sebesar 9,4% (sembilan koma empat persen) dari Rp. 45.363 triliun pada tahun 2012 menjadi Rp. 49.6 triliun pada tahun 2013. Hal ini terjadi karena peningkatan penggunaan pada layanan percakapan dan SMS serta peningkatan ARPU dan peningkatan pendapatan pada layanan data, sehingga pendapatan produk prabayar ini terus memberikan kontribusi terbesar terhadap peningkatan pendapatan PT ABC sebesar 82,7% (delapan dua koma tujuh persen) dari total pendapatan. Pendaparan dari produk layanan pascabayar juga meningkat sebesar 9,3% (sembilan koma tigas persen) dari Rp. 4.272 triliun menjadi Rp. 4.7 triliun karena didorong oleh pertumbuhan pelanggan kartu pascabayar. Pendapatan international roaming dan interconnection mengalami peningkatan sebesar 9,7% (sembilan koma tujuh persen) dikarenakan dampak dari SMS interconnection tariff yang diberlakukan sepanjang tahun. Pendapatan dari aktivitas bisnis lain mengalami peningkatan sebesar 76.5% menjadi Rp. 0,95 triliun. Kontribusi utama untuk peningkatan pendapatan dari aktivitas bisnis lain adalah network leasing dan pendapatan insentif dari USO. Pertumbuhan pendapatan dari digital business seperti broadband dan digital services pada tahun 2013 melaju pesat dengan tingkat pertumbuhan sebesar 35% (tiga puluh lima persen) menjadi Rp. 11.7 triliun. Hal ini


dikarenakan terdapat peningkatan jumlah pengguna broadband sehingga pendapatan ini memberikan kontribusi sekitar 20% (dua puluh persen) dari total pendapatan pada tahun 2013. Dilihat dari jumlah pelanggannya, pada tahun 2013, PT ABC berhasil menambah 6.4 juta pelanggan baru sehingga meningkat sebesar 5,1% (lima koma satu persen) menjadi 131.5 juta pelanggan dari tahun 2012. Pada akhir tahun 2013, pelanggan layanan pascabayar mencapai 2.5 juta pelanggan dan pelanggan layanan prabayar mencapai 129 juta pelanggan menjadikan PT ABC dapat mendominasi pasar sebesar 60% (enam puluh persen) di antara 3 operator selular terbesar di Indonesia. Khusus untuk layanan kartu pascabayar, PT ABC berfokus kepada segmen korporat dan profesional yang cenderung memiliki tingkat pemakaian yang tinggi. Sedangkan untuk layanan kartu prabayar mempunyai segmen yang lebih luas, khususnya masyarakat kalangan muda. Adanya segmentasi pasar, optimasi harga, zonal marking, dan pendekatan berbasis klaster menyebabkan terjadinya peningkatan ARPU (Average Revenue per User) yang merupakan ukuran yang menunjukkan berapa banyak pendapatan yang diperoleh perusahaan dari rata-rata pengguna layanan. ARPU PT ABC meningkat dari sekitar Rp. 37.000 pada tahun 2012 menjadi Rp. 37.500 pada tahun 2013.

3.2.4

Struktur Organisasi PT ABC PT ABC dipimpin oleh President Director. Terdapat tujuh direktorat yang

dibawahi oleh President Director yaitu Finance, Marketing, Sales, Network, Information Technology, Planning and Transformation, dan Human Capital Management. Selain itu, terdapat tiga unit yang secara langsung berkomunikasi dengan President Director, yakni Corporate Secretary, Internal Audit, dan Program Management Office. Struktur organisasi PT ABC dapat dilihat pada Gambar 3.2.


Gambar 3.2: Struktur Organisasi PT ABC Sumber: Laporan Tahunan 2013 PT ABC


3.2.5

Internal Audit PT ABC Internal Audit (IA) PT ABC berperan sangat penting dalam mendukung

operasional perusahaan. IA bertanggung jawab untuk memantau dan menilai bisnis proses perusahaan serta implementasi tatakelola perusahaan untuk memastikan keberlangsungan usaha terus berjalan. Internal Audit PT ABC melakukan fungsinya berdasarkan Internal Audit Charter yang menentukan visi, objektif, dan lingkup pekerjaan IA serta mendefinisikan akuntabilitas, independensi, tanggung jawab, wewenang, dan ketentuan pelaporan. Secara spesifik, IA PT ABC bertanggung jawab untuk: a. Memberikan keyakinan yang independen dan objektif serta aktivitas konsulasi yang dapat meningkatkan nilai dan performa perusahaan; b. Membantu perusahaan mencapai objektif bisnis dengan menggunakan pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko serta proses pengendalian dan tatakelola perusahaan; c. Memberikan analisis, rekomendasi, masukan, dan informasi terkait aktivitas yang sedang ditinjau dan melaporkannya kepada manajemen dan Dewan Komisaris, melalui Komite Audit. d. Membangun hubungan dengan institusi audit yang relevan, pada level nasional maupun internasional, untuk meningkatkan profesionalisme Internal Audit Group (IAG). Pada tahun 2013, IA telah melakukan aktivitas internal audit yang bertujuan untuk mendukung pencapaian objektif strategis perusahaan yakni memperkuat infrastruktur broadband pada era gaya hidup digital. Beberapa objek audit yang dilakukan antara lain: 

Mobile Broadband dan Revenue Assurance,



Broadband Network Performance, dan



ISO 27001 Surveillance Audit Expanded


Selain itu, IA secara aktif mendukung manajemen dalam pengendalian defisiensi terkait kepatuhan (compliance). IA melakukan peninjauan ulang secara kuartal dengan auditor eksternal dan komite audit untuk meninjau ulang laporan IA. Terdapat pula proyek audit tambahan yakni operational audit; financial audit (yang bertujuan untuk melakukan analytical review atas pergerakan laporan keuangan); dan SOA Audit yang salah satu fungsinya adalah menguji apakah financial audit perusahaan telah dilakukan dengan efektif. Proyek audit tambahan tersebut termasuk di dalamnya adalah Billing & Collection CAM, Quarterly Limited Review, external audit assistance, dan pengendalian general IT serta beberapa jasa konsultasi lainnya dan whistleblower channel. Pada tahun 2013, IA PT ABC melakukan beberapa perbaikan internal seperti pembentukan struktur Internal Audit Group untuk mendukung proses audit dan implementasi atas Audit Management System (AMS) yang dibentuk untuk mengakomodasi konsep audit berbasis risiko (risk-based audit concept). Dalam struktur organisasi PT ABC, fungsi internal audit berada di bawah Direktorat CEO Office dan di bawah langsung Dewan Komisaris dan Presiden Direktur. Jumlah anggota keseluruhan Internal Audit PT ABC adalah sebanyak 28 orang, 5 pegawai di antaranya merupakan SOA Audit. Karena keterbatasan sumber daya inilah menyebabkan PT ABC menggunakan jasa co-sourcing RSM AAJ untuk melakukan SOA testing.

3.3

SOA Testing PT ABC Tahun 2013 SOA Testing (Test of Control) yang dilaksanakan di Kantor Pusat PT ABC

tahun 2013 dilakukan berdasarkan Program Kerja Internal Audit Tahun 2013 yang telah

disetujui

oleh

Komite

Audit

PT

ABC

melalui

surat

No.

144/K.AUDIT/I/2013 tanggal 30 Januari 2013 perihal Persetujuan Program Kerja Audit Tahunan (PKAT) 2013. Tujuan dari pelaksanaan assessment ini antara lain untuk:




Menilai tingkat kepatuhan, efektivitas pengendalian internal dan efisiensi operasi terkait dengan SOA 404 pada Fungsi Sub Direktorat Kantor Pusat.



Menilai keandalan pelaporan keuangan.



Menilai kepatuhan terhadap hukum dan peraturan yang berlaku.



Memperoleh gambaran mengenai tingkat pemahaman atas pedoman pengendalian internal yang telah didisain serta faktor penyebab terjadinya ketidakpatuhan.



Mengkomunikasikan hasil TOC pengendalian internal di Fungsi Sub Direktorat di Kantor Pusat kepada seluruh jajaran manajemen terkait sehubungan dengan butir a dan butir b di atas.



Mendapatkan komitmen dari seluruh jajaran dalam perusahaan dalam meningkatkan

tingkat

kepatuhan

dalam

mengimplementasikan

pengendalian internal yang berkaitan dengan SOA 404. Cakupan test of control Kantor Pusat tahun 2013 ini adalah aktivitas-aktivitas terkait dengan transactional level control, application control, end user computing, dan IT general control yang mempunyai risiko pelaporan keuangan dalam klasifikasi high risk dan moderate risk. Perkembangan bisnis dan organisasi yang pesat menyebabkan PT ABC kerap menyesuaikan struktur organisasinya dengan perkembangan dan perubahan bisnis yang terjadi. Sehingga, ketika evaluasi pengendalian internal perusahaan dilakukan, proses pengujian disesuaikan dengan struktur organisasi PT ABC yang cenderung berubah-ubah. Untuk itu, proses pengujian pengendalian internal dalam rangka memenuhi ketentuan SOA 404 (SOA Testing) PT ABC tahun 2013 dibagi ke dalam tiga fase (dapat dilihat di tabel 3.3).


Tabel 3.3: Pengujian Pengendalian Internal PT ABC Tahun 2013 Fase I Period

to

be Januari

Tested

2013

Testing Schedule

Akhir

Scope

Deliverables

–

Fase II Mei Juni

–

Fase III

2013

Desember 2013

– Pertengahan

Juli

–

Agustus September

Desember 2013 –

Pertengahan

September – Akhir Februari 2014

September 2013

November 2013

TLC, ITGC, dan TLC dan ITGC

TLC, ITGC, dan

IT ELC

updated IT ELC

Kertas kerja, draft Kertas kerja, draft Kertas kerja, draft fakta/temuan, scoring,

fakta/temuan, dan scoring,

laporan pengujian

fakta/temuan, dan scoring,

laporan pengujian

dan

laporan pengujian konsolidasi

Sumber: RSM AAJ Associates (telah diolah kembali)

Dalam melakukan jasa co-sourcing, tim Internal Audit RSM AAJ bekerja sama dengan Tim IA PT ABC untuk memastikan terjalinnya komunikasi yang tepat waktu serta untuk memastikan bahwa seluruh pekerjaan terfasilitasi dengan baik.

3.3.1

Pengujian ICoFR Fase III PT ABC ICoFR Fase III memiliki pembahasan khusus dikarenakan penulis

melaksanakan magang pada pertengahan pengujian ICoFR Fase III yang telah dilaksanakan dari periode Desember 2013 hingga Februari 2014. Adapun perbedaan Fase III dengan fase lainnya terletak pada Risk Control Matrix perusahaan, karena RCM pada setiap fase disesuaikan dengan perubahan proses bisnis yang terjadi sehingga risiko dan pengendalian setiap fase akan disesuaikan pula dengan perubahan tersebut. Hal-hal terkait ICoFR Fase III PT ABC dapat dijelaskan berdasarkan metode dan cakupan pengujiannya.


3.3.1.1 Metodologi Test of control atau pengujian pengendalian internal dilaksanakan dengan menggunakan metodologi: a. Berdasarkan Standar PCAOB, yaitu standar pengujian yang umum digunakan oleh auditor eksternal dalam melaksanakan pengujian pengendalian internal. b.

Menggunakan Statistical dan Non Statistical Sampling, yang dilakukan dengan ketentuan: Tabel 3.4: SOA Sampling PT ABC Panel A: Risiko Pelaporan Keuangan Risiko Pelaporan Keuangan Frekuensi Pengendalian

Asumsi Populasi dari Pengendalian*

High Risk Non Key

Key

Medium Risk Non Key

Key

Tahunan

1

1

1

Triwulanan

4

2

2

Bulanan

12

3

2

3

2

Mingguan

52

10

5

10

5

Harian Multiple Times per Day

250

30

20

30

20

> 250

45

30

45

30

Sumber: Internal Audit PT ABC

Panel B: Periode Frekuensi Pengendalian Multiple times per day

Periode September – November 2013: Proportionate 40 sampel untuk 3 bulan Desember 2013: 5 sampel

Daily

September – Desember 2013

Weekly


Monthly

September, Oktober, dan November 2013

Quarterly

September dan Desember 2013

Yearly

Tahun 2013 Sumber: Internal Audit PT ABC (telah diolah kembali)


Keterangan: 

*Populasi dari jumlah pengendalian yang disetahunkan.



Jika jumlah populasi dalam periode yang diuji tidak memenuhi jumlah sampel, maka seluruh populasi transaksi tersebut akan diambil sebagai sampel pengujian.



Untuk transaksi Event-based, pengambilan sampel mengikuti transaksi Multiple Times Per Day.



Pengujian dilakukan untuk kontrol ”Financial Reporting Reliability” dengan tingkat risiko “High” dan selected “Moderate”.



Penggunaan Statistical/Non Statistical Sampling ditentukan berdasarkan professional judgment dari divisi Internal Audit PT ABC yang disesuaikan dengan best practice yang berlaku umum, yaitu untuk frekuensi pengendalian

Tahunan

(Yearly/Annually),

Triwulanan

(Quarterly),

Bulanan (Monthly), dan Mingguan (Weekly) metode yang digunakan adalah Non Statistical Sampling, sedangkan untuk frekuensi pengendalian Harian (Daily), Transaksional (Multiple times per day), dan Event-based menggunakan metode Statistical Sampling. 

Key: Aktivitas Pengendalian Utama (Key Controls); Non Key: Aktivitas Pengendalian Non-Utama (Non Key Controls).

c. Pendekatan dalam menentukan ketaatan auditee dalam melaksanakan pengendalian internal yang berkaitan dengan SOA 404, adalah: 

Expected Error Rate 0%, yaitu apabila satu saja dari seluruh sampel yang diambil ditemukan tidak sesuai dengan disain pengendalian internal, maka implementasi pengendalian internal dinyatakan tidak patuh (not comply).



Kelengkapan dokumentasi dan bukti pelaksanaan, yaitu jika tidak ditemukan dokumentasi sebagai bukti pelaksanaan pengendalian internal yang dipersyaratkan, maka implementasi pengendalian internal dinyatakan tidak patuh (not comply).


e. Strategi Pengujian: Untuk pengujian pengendalian internal Fase III tahun 2013, strategi pengujian adalah Full Testing, di mana prosedur pengujian dilakukan dengan menggunakan jumlah sampel yang penuh sesuai dengan ketentuan pada Tabel 3.4, dan prosedur pengujian mencakup prosedur reperformance, inspeksi, tanya jawab, dan observasi. Tidak ada penambahan sampel jika ditemukan ketidakpatuhan, dan pengendalian disimpulkan not comply.

3.3.1.2 Cakupan Pengujian Aktivitas Pengendalian Tingkat Transaksi (Transactional Level Control) a. Siklus yang Diuji Aktivitas pengendalian yang diuji adalah aktivitas-aktivitas pengendalian manual yang mempunyai risiko pelaporan keuangan dalam klasifikasi high risk dan moderate risk, yang dilaksanakan oleh fungsi-fungsi di Kantor Pusat, yang mencakup siklus sebagai berikut: 1) Siklus Inventory 2) Siklus Postpaid Revenue 3) Siklus Prepaid Revenue 4) Siklus Interconnection Revenue 5) Siklus International Roaming Revenue 6) Siklus Fixed Asset 7) Siklus Operational Expenses 8) Siklus Taxation 9) Siklus Financial Reporting 10) Siklus Funding and Investment b. Lokasi Pengujian Pengujian Fase III Tahun 2013 di Kantor Pusat mencakup Departemen, Divisi dan Sub Direktorat di:


1) Direktorat Finance 2) Direktorat Marketing 3) Direktorat Sales 4) Direktorat Planning & Transformation 5) Direktorat Network 6) Direktorat Information Technology 7) Direktorat CEO Office 8) Direktorat Human Capital Management

c. Periode Pengujian Periode transaksi yang diambil sebagai populasi yang diuji adalah transaksi tanggal 1 September 2013 sampai dengan 31 Desember 2013. d. Pemeringkatan Hasil Pengujian Hasil pengujian dapat disajikan dengan peringkat dan kriteria sebagai berikut: a. Sangat Baik jika kondisi atas hasil pengujian mempunyai kriteria sebagai berikut: 1) Tidak terdapat temuan signifikan, disertai dengan sedikitnya pelanggaran teknis maupun catatan pelanggaran 2) Temuan dalam laporan tidak membutuhkan tanggapan maupun saran untuk memperbaiki tingkat efisiensi

b. Baik jika kondisi atas hasil pengujian mempunyai kriteria sebagai berikut: 1) Sedikit temuan dengan risiko sedang dan pada hakekatnya tidak signifikan 2) Terdapat satu atau mungkin dua temuan dengan risiko tinggi (high), di mana

telah

dikoreksi

selama

berlangsungnya

audit

dan

tidak

mengakibatkan kewajiban atau kerugian bagi perseroan 3) Relatif terdapat sedikit temuan terkait pelanggaran teknis dimana temuan tersebut dengan mudah dapat dikoreksi dengan waktu singkat, serta adanya sedikit temuan dengan risiko sedang (medium)


c. Cukup Baik jika kondisi atas hasil pengujian mempunyai kriteria sebagai berikut: 1) Terdapat beberapa temuan dengan risiko sedang (medium) 2) Terdapat temuan dalam jumlah yang relatif normal terkait dengan pelanggaran teknis 3) Kombinasi angka 1 dan 2 diatas 4) Terdapat maksimal dua temuan dengan risiko tinggi 5) Terdapat temuan yang membutuhkan upaya rutin (reorganisasi, waktu dan sumberdaya) untuk melakukan koreksi pada kegiatan usaha normal

d. Kurang jika kondisi atas hasil pengujian mempunyai kriteria sebagai berikut: 1) Terdapat tiga atau lebih temuan dengan risiko tinggi (high) 2) Terdapat pelanggaran teknis dalam jumlah relatif diatas normal disertai dengan beberapa catatan temuan 3) Terdapat kelemahan pengendalian internal yang menimbulkan eksposur diatas normal 4) Terdapat temuan yang membutuhkan upaya substansial (reorganisasi, waktu atau sumberdaya) untuk koreksinya 5) Terdapat beberapa temuan yang dampaknya luas pada perseroan 6) Terdapat sejumlah pelanggaran teknis dan/atau temuan audit yang tidak dapat diterima 7) Terdapat temuan yang tidak terselesaikan dalam laporan audit terdahulu 8) Terdapat pelanggaran signifikan terhadap hukum, peraturan atau kebujakan yang berlaku 9) Terdapat kelemahan pengendalian internal atau kondisi lain yang menimbulkan kerugian atau kewajiban bagi perseroan 10) Terdapat

temuan

signifikan

seperti

kecurangan,

penyalahgunaan keuangan


pencurian,

BAB 4 PEMBAHASAN DAN ANALISIS

Bab ini berisi pembahasan mengenai implementasi ICoFR pada PT ABC, pemahaman siklus pendapatan prepaid PT ABC, gambaran pengujian ICoFR PT ABC yang mencakup Risk Control Matrix yang telah dibentuk divisi Internal Audit PT ABC, pengujian ICoFR pada Siklus Pendapatan Prepaid PT ABC, analisis implementasi monitoring PT ABC berdasarkan COSO Framework dan COSO Monitoring Guidance 2009, dan analisis pengujian ICoFR pada Siklus Pendapatan Prepaid PT ABC.

4.1

Implementasi

Pengendalian

Internal

atas

Pelaporan

Keuangan

(ICoFR) pada PT ABC Pendekatan yang dilakukan pihak Internal Audit perusahaan dan RSM AAJ dalam memenuhi ketentuan Sarbanes-Oxley Act 404 terkait keefektifan pengendalian internal atas pelaporan keuangan PT ABC telah sesuai dengan langkah-langkah yang dikemukakan Moeller (2009) pada bukunya SarbanesOxley and the New Internal Auditing Rules, yakni: -

Organize the Section 404 compliance project approach

-

Develop a project plan

-

Identify, document, and test key internal controls

-

Review compliance results with key stakeholders

-

Complete report on the effectiveness of the internal control structure

Organize the Section 404 compliance project approach Pihak Internal Audit PT ABC membentuk divisi SOA khusus (Tim SOA Testing) yang bekerja sama dengan RSM AAJ Associates untuk menilai pengendalian internal atas pelaporan keuangan dalam perusahaan. Kerja sama antara Tim RSM AAJ dan Tim PT ABC diperlukan untuk memastikan terjalinnya


komunikasi yang tepat waktu serta memastikan bahwa seluruh pekerjaan terfasilitasi dengan baik. Dalam tim ini terdapat Steering Commitee khusus dari PT ABC yang berfungsi sebagai Project Sponsor. Struktur tim SOA Sampling dapat dilihat pada Gambar 4.1 di bawah ini.

Gambar 4.1: Struktur Tim SOA Testing PT ABC 2013 Sumber: RSM AAJ Associates (telah diolah kembali)

Develop a project plan Sebelum proses pengujian ICoFR PT ABC dilakukan, IA PT ABC menentukan timeline pengujian dan metodologi pengujian yang dijadikan pedoman pelaksanaan pengujian ICoFR yang dilakukan oleh RSM AAJ. RSM AAJ sebagai pihak yang melakukan pengujian ICoFR juga memiliki tahapan perencanaan. Tahapan perencanaan yang dimiliki kedua pihak dirangkum dalam Tabel 4.1 di bawah ini.


Tabel 4.1: Project Plan SOA Testing PT ABC & RSM AAJ PT ABC • Periode Pengujian Periode transaksi yang diambil sebagai populasi yang diuji adalah transaksi tanggal 1 September 2013 s.d 31 Desember 2013 • Testing Schedule Desember 2013 - Februari 2014 • Scope TLC, ITGC, dan IT ELC • Deliverables Kertas kerja, draft fakta/temuan, scoring, dan laporan pengujian konsolidasi • Cakupan Test of Control Risiko pelaporan keuangan dalam klasifikasi high risk dan moderate risk. • Prosedur Pengujian Reperformance, inspeksi, tanya jawab, observasi, konfirmasi • COSO Objective Financial Reporting Reliability • Review Team Team Leader RSM AAJ (Reviewer 1), Project Director RSM AAJ (Reviewer 2), IA PT ABC (Final Reviewer).

RSM AAJ • Memahami sifat transaksi, proses bisnis, jenis kontrol, dan lokasi pengujian serta pemilik proses bisnis. • Memperoleh dan memahami metodologi pengujian PT ABC termasuk kertas kerja audit, Format Pelaporan, untuk memastikan pendekatan standar dengan PT ABC serta untuk memperoleh pemahaman yang jelas tentang ekspektasi perusahaan terhadap pengujian ICoFR ini. • Mendapatkan versi RCM terbaru yang akan digunakan sebagai dasar untuk memahami kontrol yang akan diuji dan sebagai dasar untuk pengujian. • Mengembangkan dan menyelesaikan strategi dan rencana untuk pengujian SOA. • Melakukan komunikasi dan koordinasi dengan Counterpart Team. • Menyepakati jadwal dan mengalokasikan sumber daya untuk keterlibatan. • Mengirimkan permintaan data awal dan memperoleh data yang diminta.

Sumber: Diolah oleh Penulis

Terdapat standar format kertas kerja yang bertujuan untuk membantu pemeriksa dalam melakukan pengujian dan mendokumentasikan

pengujian.

Format kertas kerja terdiri dari: 

Kertas Kerja A, merupakan panduan pengerjaan kertas kerja, penentuan sampel, dan menggambarkan pengujian secara keseluruhan.



Kertas Kerja B, merupakan kertas kerja utama yang menampilkan kesimpulan pengujian.



Kertas Kerja C, merupakan hasil konfirmasi temuan dengan auditee.



Kertas Kerja D, merupakan paparan hasil inspeksi/observasi/tanya jawab untuk pengujian yang telah dilakukan.



Kertas Kerja E, merupakan rincian hasil pengujian atas sampel transaksi.




Kertas Kerja F, merupakan pencatatan hasil diskusi dan pertemuan dengan auditee (Minutes of Meeting).

Format kertas kerja ini dapat dilihat pada lampiran 1. Identify, document, and test key internal controls RSM AAJ melakukan proses pengumpulan dan evaluasi pengendalian internal perusahaan. Evaluasi pengendalian internal ditekankan pada risiko-risiko yang cenderung tinggi (Moderate to High Risks) berdasarkan ketentuan yang diterbitkan IIA. Teknik Evaluasi/Pengujian Pengendalian Internal yang digunakan mencakup: 1. Tanya jawab/inquiry, pengujian dengan memberikan pertanyaan atas kegiatan pengendalian yang dilakukan oleh pemilik proses pengendalian. 2. Observasi, pengujian dengan melakukan physical sighting atas efektivitas atau progress pengendalian. 3. Inspeksi dokumen, pengujian terhadap dokumentasi dan otorisasi. 4. Reperformance,

perhitungan

ulang

atas

sampel

transaksi

untuk

mengkonfirmasi bahwa pengendalian telah dilakukan dengan efektif. Setiap pengujian aktivitas pengendalian internal didokumentasikan dalam sebuah Kertas Kerja Audit. Format kertas kerja audit telah dijelaskan pada bagian sebelumnya.

Review compliance results with key stakeholders Bila terjadi ketidaksesuaian antara atribut pengendalian dalam RCM dengan praktik sebenarnya, terdapat langkah-langkah yang dapat dilakukan assessor: 1. Mendokumentasikan bukti ketidaksesuaian yang terjadi. 2. Melakukan tanya jawab dengan pejabat yang berwenang untuk mengidentifikasi penyebab terjadinya ketidaksesuaian.


3. Menentukan upaya perbaikan yang disarankan. 4. Mendapatkan tanggapan auditee terhadap ketidaksesuaian yang terjadi, penyebab, upaya perbaikan, target penyelesaian, dan PIC untuk melakukan perbaikan yang disarankan. 5. Menyiapkan tanggapan auditor terhadap tanggapan auditee. 6. Melakukan analisis lebih lanjut terhadap penyebab dan tanggapan auditee atas terjadinya ketidaksesuaian aktivitas pengendalian intern dan membuat kesimpulan atas efektivitas pengendalian intern pada keseluruhan proses yang diuji. 7. Mengidentifikasi adanya compensating control dan melakukan pengujian atas compensating control tersebut untuk memperoleh keyakinan bahwa compensating control telah beroperasi secara efektif. 8. Mengidentifikasi akun-akun yang terpengaruh oleh ketidaksesuaian tersebut berikut dengan saldonya.

Complete report on the effectiveness of the internal control structure Setiap penilaian pada satu aktivitas pengendalian yang dilakukan oleh assessor dilaporkan dalam bentuk Kertas Kerja dan di-review oleh pihak Internal Audit PT ABC. Dari hasil pengujian yang dilakukan assessor dari konsultan RSM AAJ, Tim SOA Audit PT ABC membuat Laporan Hasil Test of Control (TOC) Head Office untuk setiap fase pada Tahun 2013 yang ditandatangani oleh General Manager Financial Audit PT ABC yang berisi kesimpulan terkait tingkat kepatuhan antara kebijakan pengendalian internal di Kantor Pusat untuk Fase 1, 2, dan 3 Tahun 2013 dengan kriteria yang ada pada KD Standar Pemeringkatan Hasil Audit (dapat dilihat pada Bab 3). Laporan akhir ini menyimpulkan tingkat efektivitas struktur pengendalian internal atas pelaporan keuangan yang dilakukan oleh perusahaan pada periode September – Desember 2013 dan dilaporkan kepada Komite Audit PT ABC.


4.2

Pemahaman Siklus Pendapatan Prepaid PT ABC Siklus pendapatan PT ABC pada dasarnya dapat dibagi berdasarkan

empat sumber: prabayar, pascabayar, interkoneksi, dan international roaming. Pembahasan hanya dibatasi pada siklus pendapatan prabayar. Dari empat sumber pendapatan tersebut, pendapatan dari produk prabayar memberikan kontribusi terbesar, yakni sebesar 82,7% terhadap keseluruhan pendapatan PT ABC. Dalam siklus pendapatan prabayar ini terdapat empat proses penting yang dapat dilihat pada Gambar 4.2 di bawah, antara lain: 1. Penjualan Kartu/Voucher/E-voucher/Device prabayar Penjualan Kartu/Voucher/E-voucher/Device prabayar dapat dilakukan secara langsung (direct) maupun tidak langsung (indirect). Penjualan prabayar secara indirect merupakan penjualan ke pelanggan yang bukan end-user langsung melainkan melalui perantara, yakni Ritel Nasional, Authorized Dealer, Gerai dan Multibanking. Penjualan ke Ritel Nasional, Authorized Dealer dan Gerai akan dilakukan setelah mitra tersebut telah menyelesaikan pembayaran ke Perseroan. Penjualan indirect dapat dikoordinasikan oleh Channel Management Kantor Pusat dan Kantor Area. Penjualan prabayar secara direct merupakan penjualan ke pelanggan yang merupakan end-user langsung, melalui cabang-cabang resmi (Branch/Metro) di seluruh Indonesia. 2. Recharging Recharging adalah proses penambahan atau pengurangan pulsa pelanggan. Recharging dapat bersifat otomatis (automatic recharging), yang umumnya berhubungan dengan pengisian pulsa pelanggan (Top Up) yang dapat dilakukan melalui voucher fisik maupun e-voucher, dan juga bersifat manual (manual recharging) yang merupakan pengesekusian penambahan/pengurangan pulsa pelanggan prabayar yang diakibatkan oleh pengaduan pelanggan dan juga diakibatkan oleh masalah yang berpengaruh pada pelanggan secara massal.


3. Prepaid Usage Calculation Prepaid Usage Calculation merupakan proses penghitungan pemakaian produk prabayar, serta memonitor penggunaan tarif agar sesuai dengan yang telah ditetapkan. Prepaid Usage Calculation terdiri dari rating dan pemrosesan file extract untuk pemakaian (usage), penambahan/pengurangan pulsa (recharge), dan saldo (balance); Inject Value Tambahan (Bonus Tambahan); Point (setting parameter, create point, dan penukaran poin), serta Mass Add/Offering yang merupakan permintaan perubahan konfigurasi tarif dan penambahan parameter (bonus spesial untuk nomor-nomor tertentu). 4. Month-End Proses ini merupakan proses terakhir dalam siklus pendapatan prabayar yang biasanya dilakukan pada akhir bulan dan mencakup pencatatan jurnal dan analisis kewajaran jurnal yang tercatat.

Gambar 4.2: Siklus Pendapatan Prepaid PT ABC (Kantor Pusat) Sumber: PT ABC (telah diolah kembali)

4.3

Gambaran Pengujian ICoFR PT ABC Sebagai suatu bentuk pengawasan (monitoring), yang merupakan

komponen penting dalam kerangka pengendalian internal suatu perusahaan, divisi


SOA PT ABC yang terletak di bawah naungan Unit Internal Audit melakukan pengujian kepatuhan atas SOA 404 untuk memeriksa efektivitas pengendalian internal perusahaan terhadap pelaporan keuangan. Pengujian dilakukan untuk mencapai

objektif

keandalan

pelaporan

keuangan

(Financial

Reporting

Reliability). Adapun aktivitas pengendalian yang diuji adalah aktivitas-aktvitas pengendalian manual yang mempunyai risiko pelaporan keuangan dalam klasifikasi high risk dan moderate risk, yang dilaksanakan oleh fungsi-fungsi di Kantor Pusat, yang salah satunya mencakup siklus pendapatan prepaid (prabayar). Pengawasan yang dilakukan oleh PT ABC untuk tahun 2013 terkait pelaporan

keuangan

meliputi

evaluasi

dan

prosedur

pengujian

yang

diimplementasikan secara ongoing ke dalam tiga fase dalam satu tahun dalam rangka mengikuti perkembangan proses bisnis dan perubahan struktur organisasi. Evaluasi kepatuhan terhadap peraturan SOA 404 dilakukan berlandaskan Risk Control Matrix (RCM) yang telah disusun oleh Internal Audit dan manajemen PT ABC dan dilakukan sepanjang berjalannya proses bisnis perusahaan dan diaplikasikan

untuk

setiap

level

dalam

perusahaan.

Evaluasi/pengujian

pengendalian internal atas pelaporan keuangan perusahaan dilakukan oleh divisi SOA PT ABC bekerjasama (co-sourcing) dengan RSM AAJ. Dalam proses pengujian ICoFR, terdapat satu assessor (penguji), dan tiga orang yang bertugas melakukan review atas pekerjaan yang telah dilakukan assessor. Dua di antaranya adalah dari pihak RSM AAJ (Team Leader sebagai reviewer 1 & Project Director sebagai reviewer 2) dan satu di antaranya dari pihak IA PT ABC yakni Pj. Manajer Financial Compliance Audit (sebagai reviewer akhir). IA melakukan peninjauan ulang akhir untuk meyakinkan bahwa pengujian telah dilakukan sesuai dengan standar kualitas perusahaan dengan hasil yang aktual.

4.3.1

Risk Control Matrix (RCM) PT ABC Setelah memahami struktur, standar, dan proses bisnis perusahaan secara

keseluruhan, Internal Audit PT ABC meninjau kemungkinan risiko yang terjadi pada setiap aktivitas yang dilakukan dalam proses bisnis tersebut. Untuk menilai risiko

yang

mungkin

terjadi,

Internal

Audit

PT

ABC


pertama-tama

mengidentifikasi akun-akun signifikan yang terdapat dalam laporan keuangan perusahaan dan melakukan pemetaan proses bisnis utama dalam perusahaan. Dari akun-akun signifikan yang berhubungan dengan proses bisnis utama tersebut, pihak IA PT ABC menganalisis risiko yang mungkin terjadi untuk selanjutnya digunakan dalam membangun disain pengendalian internal. Risiko-risiko yang menjadi fokus utama PT ABC dalam menguji pengendalian internal terhadap laporan keuangan adalah risiko-risiko menengah (moderate risk) dan tinggi (high risk). Penilaian risiko perusahaan beserta aktivitas pengendaliannya dijabarkan oleh Internal Control Design & Monitoring Division (di bawah divisi Internal Audit) dalam sebuah Risk Control Matrix (RCM). RCM merupakan dokumen yang memuat seluruh aktivitas pengendalian di setiap unit operasi yang teridentifikasi selama proses pemetaan, dokumentasi-dokumentasi terkait yang menunjang aktivitas pengendalian, asersi laporan keuangan, pihak-pihak yang bertanggung jawab pada setiap aktivitas pengendalian, frekuensi aktivitas pengendalian, sistem IT penunjang dan risiko-risiko atas setiap aktivitas pengendalian. RCM PT ABC dibuat dan disusun oleh pihak Internal Audit PT ABC dengan bantuan konsultan dari luar, dan telah disetujui oleh manajemen termasuk Business Process Owner dalam perusahaan. Pada dasarnya, RCM merupakan sebuah tabel yang terdiri dari 3 elemen utama, yaitu Risiko (Risk), Aktivitas Pengendalian (Control Activities), dan Atribut Pengendalian (Control Attributes). Elemen risiko meliputi i) risk description yang merupakan penjelasan atau deskripsi atas risiko pada aktivitas bisnis, ii) risk caused yang merupakan kondisi atau aktivitas pada suatu proses bisnis sebagai penyebab risiko, iii) risk level yang merupakan tingkat keterjadian risiko dan dampaknya pada laporan keuangan, dalam kasus ini risiko yang diuji adalah risiko High dan Moderate, iv) fraud risk yang merupakan identifikasi atas risiko fraud dari sebuah risiko atau aktivitas, untuk siklus pendapatan prepaid, seluruh risiko yang diidentifikasi memiliki risiko fraud, dan v) COSO objectives yang merupakan dampak dari risiko terhadap pencapaian COSO objectives.


Perusahaan kemudian menyusun disain pengendalian internal terkait pelaporan keuangan dengan tujuan memitigasi risiko-risiko tersebut yang mungkin terjadi pada saat pelaporan keuangan, khususnya risiko-risiko pada level moderate to high. Elemen Aktivitas Pengendalian, terdiri dari i) description of control activities yang merupakan penjelasan atau deskripsi atas aktivitas pengendalian, ii) related financial statement assertions yang merupakan asersiasersi

laporan

keuangan

terkait

setiap

aktivitas

pengendalian:

Existence/Occurence (E/O), Completeness (C), Valuation/Allocation (V/A), Rights & Obligation (RO), Presentation & Disclosure (PD), iii) type of control yang merupakan jenis aktivitas pengendalian terkait: Manual, Automatic, dan IT Dependent Manual, iv) nature of control yang merupakan sifat aktivitas pengendalian terkait: Preventive, Detective, v) fraud control yang merupakan identifikasi apakah aktivitas pengendalian terkait dapat memitigasi risiko fraud, dan vi) key control yang merupakan identifikasi apakah aktivitas pengendalian terkait merupakan aktivitas pengendalian inti atau tidak. Sedangkan elemen Atribut Pengendalian terdiri dari i) description of control attributes yang merupakan atribut-atribut pengendalian yang terdapat dalam aktivitas pengendalian dan frekuensi aktivitas pengendalian dilakukan: harian; mingguan; bulanan; tahunan; dst., ii) person in-charge yang merupakan pemilik/penanggung jawab aktivitas pengendalian, iii) IT supporting application yang merupakan sistem aplikasi yang digunakan untuk menunjang aktivitas pengendalian terkait, dan iv) identification of compensating control yang merupakan aktivitas pengendalian lainnya yang dapat memitigasi aktivitas pengendalian. Hal-hal yang perlu diketahui terkait aktivitas-aktivitas pengendalian pada RCM Fase III untuk pengujian Siklus Pendapatan Prepaid PT ABC antara lain: 1. Objektif COSO yang ingin dicapai adalah Financial Reporting Reliability (keandalan pelaporan keuangan). 2. Tipe pengendalian adalah IT Dependent Manual, yaitu pengendalian yang membutuhkan beberapa tingkat keterlibatan sistem. Pengendalian ini


dilakukan secara manual oleh manusia dengan menggunakan informasi yang dihasilkan oleh teknologi informasi. 3. Seluruh aktivitas pengendalian merupakan

key control (aktivitas

pengendalian inti). 4. Tidak ada compensating control (aktivitas pengendalian lainnya yang dapat mendukung aktivitas pengendalian utama). Hal ini terjadi karena seluruh aktivitas pengendalian yang ada pada siklus pendapatan prepaid merupakan aktivitas pengendalian utama (key controls), sehingga tidak dibutuhkan aktivitas pengendalian pendukung. 5. Pemilik/penanggung jawab aktivitas pengendalian adalah Manager dari masing-masing Departemen terkait.

4.4

Pengujian ICoFR pada Siklus Pendapatan Prepaid PT ABC Pengujian

ICoFR

pengendalian internal

ini

merupakan

pengujian

kepatuhan

yang dilakukan oleh manajemen dengan

aktivitas atribut

pengendalian yang tertera dalam RCM yang telah disesuaikan dengan risiko bisnis yang dinilai dapat mempengaruhi pelaporan keuangan perusahaan secara signifikan. Pengujian ICoFR pada Siklus Pendapatan Prabayar PT ABC mencakup empat proses, penjualan Kartu/Voucher/E-voucher/Device prabayar, Recharging, Prepaid Usage Calculation, dan Month-End, Recharging, Prepaid Usage Calculation, dan Month-End. Pada siklus ini, terdapat sebanyak 29 kontrol yang akan diuji kesesuaiannya berdasarkan RCM Fase III PT ABC.

4.4.1

Proses Penjualan Kartu/Voucher/E-voucher/Device prabayar

4.4.1.1 Penjualan Indirect (Penjualan Kartu/Voucher/e-Voucher kepada Retail Nasional) Dept. Retail Distribution Management di Kantor Pusat menerima perencanaan (forecast) dan menghitung kuota penjualan ke Mitra. Dari proses


perhitungan tersebut, Dept. Retail Distribution Management bertanggung jawab membuat Nota Dinas Quota Distribusi yang berisikan informasi mengenai jumlah alokasi produk yang kemudian digunakan untuk membuat Surat Alokasi Produk yang akan dikirimkan kepada Mitra Retail Nasional. Nota Dinas adalah alat komunikasi tertulis internal antar pejabat satuan unit bisnis dalam suatu perusahaan yang memuat pemberitahuan, permintaan, penjelasan, laporan dan sebagainya mengenai hal-hal yang berhubungan dengan proses penggarisan atau pematangan suatu kebijaksanaan atau proses penyesuaian persoalan/masalah. Setelah Mitra Retail Nasional menerima Surat Alokasi Produk tersebut, Mitra melakukan pembayaran ke rekening masing-masing regional dan menyerahkan bukti pembayaran kepada Dept. Retail Distribution Management. Bukti transfer tersebut kemudian digunakan untuk membuat Nota Dinas Alokasi Produk. Dept. Cash Collection Control di Kantor Pusat menerima Nota Dinas Alokasi Produk tersebut beserta bukti transfer untuk dibuat Nota Dinas Persetujuan Pengeluaran E-Voucher. Kemudian Dept. Cash Collection Control melakukan verifikasi kesesuaian antara Rekening Koran, bukti transfer, data penjualan dari Paradise, dan Nota Dinas Persetujuan Pengeluaran e-voucher. Setelah proses verifikasi dilakukan, Dept. Cash Collection Control membuat Nota Dinas Info Pembayaran dan mendistribusikannya kepada Dept. Finance Regional. Berdasarkan Nota Dinas Quota Distribusi, Sales Order dibuat dalam sistem Paradise. Paradise merupakan sistem yang digunakan dalam end-to-end Management SIM Card dan Voucher yang meliputi perencanaan, pengadaan, produksi, distribusi, dan penjualan ke end user dan dealer yang dikelola oleh Dept. Supply & Resource Management sebagai penanggung jawab dan application developer serta Dept. Channel Capacity & Distribution Management sebagai application owner. Setelah dibuat dalam sistem Paradise, dilakukan release SO berdasarkan Nota Dinas Quota Distribusi kemudian Formulir Permintaan Produk PT ABC yang disetujui didistribusikan kepada Dept. Finance Regional. Proses ini dapat dilihat pada flowchart Lampiran 2. Dalam melakukan verifikasi kesesuaian antara Rekening Koran, bukti transfer, data penjualan dari Paradise, dan Nota Dinas Persetujuan Pengeluaran evoucher, terdapat risiko ketidaksesuaian yang mungkin terjadi dan berdampak


signifikan pada pelaporan keuangan. Pada sistem Paradise juga terdapat risiko yang berdampak pada pelaporan keuangan perusahaan. Risiko beserta aktivitas pengendaliannya dirangkum dalam Tabel 4.2 di bawah. Tabel 4.2: RCM penjualan indirect kepada Retail Nasional Panel A: Risiko pada subproses penjualan indirect kepada Retail Nasional Risiko Pelaporan Keuangan [PRE-01] Penerimaan tunai dan proses transfer rekening atas penjualan kartu/voucher/evoucher/device (termasuk PSB (Pemasangan Sambungan Baru) kartu postpaid) serta penerimaan piutang kartu postpaid (tunai dan nonH2H) dan pencatatannya tidak lengkap/tidak akurat.

Risk Level

Fraud Risk

Moderate

Yes

Penyebab Risiko A. Jumlah penerimaan atas penjualan kartu/voucher/evoucher dan device yang didistribusikan (input stock) kepada Retail Nasional tidak sesuai dengan pencatatan dan pembayaran yang diterima. B. Penetapan harga dan diskon penjualan kartu/voucher/evoucher/device tidak sesuai dengan penetapan harga/diskon yang dikeluarkan oleh perusahaan dan PKS (Perjanjian Kerja Sama) yang telah disetujui sebelumnya.

Panel B: Aktivitas pengendalian pada subproses penjualan indirect kepada Retail Nasional No. Kontrol PRE-01A-01

Kontrol

Atribut Kontrol

A1. Melakukan verifikasi atas jumlah penerimaan penjualan e-voucher serta jumlah e-voucher yang akan didistribusikan kepada Retail Nasional dengan pencatatan transaksi penjualannya dalam sistem Paradise.

1. Terdapat Nota Dinas Persetujuan Pengeluaran EVoucher dari Dept. Cash Collection Control kepada Dept. Card and Voucher Inventory and Distribution untuk melakukan distribusi. 2. Terdapat tanda tangan pejabat berwenang pada Nota Dinas Persetujuan Pengeluaran EVoucher.

Asersi: C, E/O, A Nature of Control: Detective


Status

Comply

Comply

No. Kontrol

Kontrol Frequency: Transactional/Multiple Times per Day Fraud Control: Yes IT Supporting Application: Paradise

PRE-01A-09

B1.Memeriksa kesesuaian harga dan diskon untuk penjualan kartu/voucher/evoucher/device yang disetting dalam Sistem Paradise terhadap Nota Dinas atau Justifikasi setiap terjadinya perubahan kebijakan. Asersi: C, E/O, A Nature of Control: Preventive Frequency: Transactional/Multiple Times per Day Fraud Control: Yes IT Supporting Application: Paradise

PRE-01A-10

B2. Memeriksa kesesuaian harga dan diskon atas penjualan kartu/voucher/evoucher/device yang ditetapkan dalam sistem Paradise terhadap Nota Dinas atau Justifikasi yang berlaku secara periodik. Asersi: C, E/O, A Nature of Control: Detective Frequency: Monthly Fraud Control: Yes IT Supporting Application: Paradise

Atribut Kontrol 3. Nilai dan jumlah penjualan eVoucher pada Sales Order dari Paradise sesuai dengan: - jumlah penerimaan uang pada rekening koran dan bukti setornya. - jumlah e-voucher yang didistribusikan pada Nota Dinas Persetujuan Pengeluaran EVoucher. 4. Terdapat tanda tangan pejabat berwenang pada Sales Order. 1. Terdapat Nota Dinas atau Justifikasi untuk penetapan harga dan diskon penjualan kartu/voucher/e-voucher. 2. Parameter Sales Price, parameter Sales Component dan tabel Price & Discount List diset sesuai dengan Nota Dinas atau Justifikasi perubahan/ penambahan/ pengurangan harga/diskon. 3. Terdapat tanda tangan pejabat berwenang sebagai bukti review bahwa harga dan diskon yang di-setting dalam Paradise telah sesuai dengan kebijakan yang berlaku. Note: Proses ini meliputi seluruh aktivitas di siklus Postpaid dan Prepaid. 1. Terdapat Nota Dinas atau Justifikasi untuk penetapan harga dan diskon atas penjualan kartu/voucher/e-voucher/device. 2. Parameter Sales Price, parameter Sales Component dan tabel Price & Discount List diset sesuai dengan Nota Dinas atau Justifikasi perubahan/ penambahan/ pengurangan harga/diskon. 3. Terdapat tanda tangan Pejabat berwenang sebagai bukti review atas pemeriksaan yang dilakukan. Note: Proses ini meliputi seluruh kegiatan di siklus Postpaid dan Prepaid.

Sumber: PT ABC (diolah kembali)


Status

Comply

Comply

Comply

Comply

Comply

Comply

Comply

Comply

Untuk kontrol PRE-01-A-01, dari 162 populasi yang merupakan seluruh transaksi penjualan e-voucher ke Retail Nasional oleh Kantor Pusat selama periode September – Desember 2013, hanya diambil 45 sampel berdasarkan ketentuan sampling untuk frekuensi transaksional yang ditentukan oleh divisi SOA PT ABC (dapat dilihat pada Tabel 3.4). Adapun dokumen pendukung yang diinspeksi adalah Nota Dinas Pengiriman e-voucher, rekening koran, dan bukti setor/giro. Untuk kontrol PRE-01-A-09, dari 32 populasi yang merupakan seluruh Nota Dinas Justifikasi Harga & Diskon Periode September – Desember 2013, diambil seluruh 32 menjadi sampel. Adapun dokumen pendukung yang diinspeksi adalah Nota Dinas Justifikasi Harga & Diskon, Tabel Harga Penjualan & Diskon, dan Nota Dinas yang menyatakan setting harga dan diskon telah sesuai Nota Dinas Justifikasi Harga & Diskon. Untuk kontrol PRE-01-A-10, dari 4 populasi yang merupakan seluruh Nota Dinas Justifikasi Harga & Diskon selama periode September – Desember 2013, hanya diambil 3 sampel dari periode September, Oktober, dan November 2013 berdasarkan ketentuan sampling untuk frekuensi transaksi bulanan (dapat dilihat pada Tabel 3.4). Adapun unit sampling yang digunakan antara lain Nota Dinas Justifikasi Harga & Diskon, Tabel Harga Penjualan & Diskon, Nota Dinas yang menyatakan setting harga dan diskon telah sesuai Nota Dinas Justifikasi Harga & Diskon, dan Kertas Kerja Pemeriksaan Setting Harga/Diskon di Sistem Paradise. Berdasarkan hasil pengujian, aktivitas pengendalian beserta atributnya untuk proses penjualan indirect kepada Retail Nasional telah dijalankan dengan baik dan sesuai dengan Risk Control Matrix PT ABC untuk periode September – Desember 2013.

4.4.1.2 Penjualan Indirect (Penjualan Kartu/Voucher/e-Voucher kepada Authorized Dealer) Dept. Distributor Management melakukan perencanaan (forecast) untuk penjualan kartu/voucher/e-voucher yang merupakan salah satu proses dalam siklus persediaan. Proses perencanaan tersebut menghasilkan Nota Dinas Quota


Distribusi yang merupakan kuota penjualan ke Authorized Dealer. Nota Dinas ini kemudian disampaikan kepada dua pihak, yakni Dept. General Affair Area untuk tujuan proses distribusi dan kepada masing-masing Authorized Dealer (AD). Setelah Nota Dinas Quota Distribusi disampaikan kepada masing-masing AD, pejabat berwenang membuat Sales Order untuk Dealer dan menginput jumlah penjualan dalam sistem Paradise. Setelah diinput, pejabat berwenang mencetak SO Released (rekap) berdasarkan Nodin Quota Distribusi kepada Dept. Treasury Area/ Dept. Finance Regional. Setelah Dept. Treasury Area menerima Nodin Quota Distribusi & SO Released Report dari Channel Management Area, dilakukan pembandingan kecukupan dana pada Saldo Rekening Koran Dealer dengan Rekap SO Released. Bila dana tidak cukup, dilakukan konfirmasi Channel Management Area bahwa dana tidak cukup untuk auto collection (autodebit pendapatan dari setiap Bank yang digunakan Dealer). Bila dana mencukupi, dilakukan approval 1 pada sistem e-Bank (pendebitan) sesuai Nodin SO Released dari Rekening Dealer ke Rekening Koran PT ABC, dan selanjutnya membuat dan mengirimkan Daftar Persetujuan Pendebitan Auto Collection ke Dept. Cash Management untuk dilakukan approval 2 (final). Approval 2 (final) dilakukan dengan melihat kecukupan dana pada Rekening Koran Dealer dengan Daftar Persetujuan Auto Collection dari Area dan menginformasikan ke Area bahwa telah di-approve. Setelah Approval 2, Dept. Treasury Area di Kantor Area membuat dan mengirimkan Daftar Persetujuan Auto Collection yang telah didisain oleh pejabat berwenang ke Cash Collection Control. Dept. Cash Collection Control di Kantor Pusat kemudian melakukan verifikasi atas kesesuaian jumlah uang yang masuk lewat autocollection dengan pencatatan di Paradise dan melakukan SO ‘Paid’. Selanjutnya Nodin SO Paid dibuat untuk disampaikan ke Dept. Treasury Area/Dept. Finance Regional untuk mencetak kuitansi. Aktivitas ini dapat dilihat pada flowchart Lampiran 3. Risiko tidak sesuainya jumlah uang yang masuk lewat autocollection dengan pencatatan di Paradise dan aktivitas pengenadalian yang telah ditetapkan dapat diuji berdasarkan Tabel 4.3 di bawah ini.


Tabel 4.3: RCM penjualan indirect kepada Authorized Dealer Panel A: Risiko pada subproses penjualan indirect kepada Authorized Dealer Risiko Pelaporan Keuangan [PRE-01] Penerimaan tunai dan proses transfer rekening atas penjualan kartu/voucher/evoucher/device (termasuk PSB kartu postpaid) serta penerimaan piutang kartu postpaid (tunai dan non-H2H) dan pencatatannya tidak lengkap/tidak akurat.

Penyebab Risiko

-*

Risk Level

Fraud Risk

Moderate

Yes

*PT ABC tidak memaparkan penyebab risiko pada RCM-nya.

Panel B: Aktivitas pengendalian pada subproses penjualan indirect kepada Authorized Dealer No. Kontrol Kontrol PREMelakukan verifikasi 01-A-07 kesesuaian atas kesesuaian jumlah uang yang masuk rekening PT ABC berdasarkan proses autocollection dengan pencatatan di Paradise.

Asersi: V/M Nature of Control: Detective Frequency: Transactional/Multiple Times per Day Fraud Control: Yes IT Supporting Application: Paradise

Atribut Kontrol 1. Terdapat Laporan Status Autocollection Mitra AD (berisi informasi terkait dengan nama Mitra AD, Data Bank, Jumlah Collection dan Status Autocollection. 2. Jumlah penerimaan uang yang masuk ke rekening perusahaan telah sesuai dengan: - Jumlah Sales Order "Released" - Jumlah uang dari rekening Authorized Dealer yang terpotong dalam proses autocollection. 3. SO "Paid" dilakukan setelah pembayaran/uang Autocollection efektif berada pada rekening perusahaan. 4. Nota Dinas Autocollection dibuat setelah proses SO "Paid" dilakukan. 5. Terdapat bukti review pejabat berwenang pada SO "Paid" dan Laporan Status Collection Mitra AD.


Status

Comply

Comply

Comply

Comply

Comply

No. Kontrol

Kontrol

Atribut Kontrol 6. Terdapat bukti penyampaian Nota Dinas Autocollection kepada regional sebagai instruksi bahwa uang telah masuk ke rekening perusahaan dan proses distribusi dapat dilakukan.

Status

Comply


Dari jumlah total 64 populasi yang merupakan seluruh transaksi penjualan e-voucher ke Authorized Dealer oleh Kantor Pusat selama periode September – Desember 2013, diambil 45 sampel untuk diuji berdasarkan ketentuan sampling untuk frekuensi Transaksional (dapat dilihat pada Tabel 3.4). Adapun dokumen pendukung yang dijadikan unit sampling adalah Laporan Status AutoCollection Mitra AD, Sales Order, dan Rekening Koran. Berdasarkan hasil pengujian kontrol PRE-01-A-07 terkait verifikasi kesesuaian jumlah uang yang masuk lewat autocollection dengan pencatatan di Paradise, aktivitas pengendalian beserta atributnya telah sesuai dengan Risk Control Matrix PT ABC.

4.4.1.3 Penjualan Indirect (Multibanking) Setelah Dept. Workflow, Provisioning & Dept. Product Management melakukan distribusi e-Voucher dan proses penambahan stok untuk multibanking pada siklus persediaan, dilakukanlah penjualan dan pencatatan transaksi penjualan e-voucher secara otomatis yang akan dimasukkan ke dalam database bank/ switching provider. Dari database bank/switching provider tersebut, terdapat dua aktivitas yang harus dilakukan: (1) menerbitkan rekening koran atas penerimaan penjualan e-voucher, dan (2) menghasilkan data detail dan summary transaksi penjualan harian e-voucher. Dari aktivitas (2), Dept. Collection Assurance di Kantor Pusat melakukan rekonsiliasi penjualan secara harian antara data penjualan e-voucher dari bank dengan data recharging di URP yang merupakan aplikasi penjualan voucher isi ulang PT ABC menggunakan kartu fisik dan yang melalui bank; dan OCS yang merupakan Billing System yang dimiliki


PT ABC. Selanjutnya, rekonsiliasi penjualan antara URP dan data bank tersebut beserta Rekening Koran yang diterbitkan dari aktivitas (1) digunakan Dept. Cash Collection Control di Kantor Pusat untuk melakukan rekonsiliasi antara data transaksi penjualan e-voucher dengan penerimaan di Bank (rekening koran). Proses ini dapat dilihat pada flowchart Lampiran 4. Risiko pada proses ini beserta aktivitas pengendaliannya dirangkum pada Tabel 4.4 di bawah. Tabel 4.4: RCM penjualan indirect (multibanking) Panel A: Risiko pada subproses penjualan indirect (multibanking) Risiko Pelaporan Keuangan [PRE-01] Penerimaan tunai dan proses transfer rekening atas penjualan kartu/voucher/evoucher/device (termasuk PSB kartu postpaid) serta penerimaan piutang kartu postpaid (tunai dan non-H2H) dan pencatatannya tidak lengkap/tidak akurat.

Penyebab Risiko A. Pencatatan penerimaan atas transaksi penjualan e-voucher dari Multibanking tidak sesuai dengan pencatatan penggunaan e-voucher (dengan status "used") pada URP-Elektronik. B. Terdapat perbedaan antara data penjualan e-voucher (multibanking) dengan nilai penerimaannya pada rekening koran.

Risk Level

Fraud Risk

Moderate

Yes

Panel B: Aktivitas pengendalian pada subproses penjualan indirect (multibanking) No. Kontrol Kontrol PREA1. Melakukan verifikasi 01-A-02 atas jumlah transaksi penjualan e-voucher multibanking (dari Switching Provider*) dalam satu periode dengan jumlah e-voucher yang telah digunakan (dengan status "used") di URPElektronik

Atribut Kontrol

Status

1. Jumlah serial number e-voucher yang telah digunakan (status \'used\') di URP-Elektronik sama dengan jumlah e-voucher yang terjual berdasarkan data dari switching provider. Selisih yang terjadi harus diidentifikasi, didokumentasikan secara memadai dan diinformasikan kepada Dept. Payment System Management, ERP Management, Cash Collection Control untuk ditindaklanjuti.

Comply dengan MoM


No. Kontrol

Kontrol Asersi: C, E/O, A Nature of Control: Detective Frequency: Daily Fraud Control: Yes IT Supporting Application: URP Elektronik

PREB1. Melakukan verifikasi 01-A-03 atas data penerimaan penjualan e-voucher multibanking dengan rekening koran. Selisih yang terjadi telah ditindaklanjuti.

Asersi: C, E/O, A Nature of Control: Detective Frequency: Daily Fraud Control: Yes IT Supporting Application: -

Atribut Kontrol 2. Terdapat tanda tangan pejabat berwenang sebagai bukti persetujuan pada Laporan Rekonsiliasi (secara bulanan). 1. Jumlah penerimaan di rekening koran sesuai dengan hasil rekonsiliasi recharging multibanking dari Dept. Collection Assurance setelah mempertimbangkan faktor komisi penjualan/fee yang telah disepakati oleh pejabat yang berwenang. Selisih yang terjadi telah diidentifikasi, ditindaklanjuti dan didokumentasikan secara memadai.

Status

Comply

Comply

Sumber: PT ABC (diolah kembali) Keterangan: *PT ABC telah bekerjasama dengan swtiching provider (Artajasa) yang telah memiliki jaringan ATM Bersama yang bekerjasama dengan lebih dari 67 Bank.

Untuk kontrol PRE-01-A-02, dari total 122 populasi yang merupakan seluruh Kertas Kerja Rekonsiliasi Transaksi e-voucher selama periode September – Desember 2013, hanya diambil 30 sampel berdasarkan ketentuan sampling untuk frekuensi harian yang ditentukan oleh divisi SOA PT ABC (dapat dilihat pada Tabel 3.4). Adapun dokumen pendukung yang menjadi unit sampling adalah Kertas Kerja Rekonsiliasi Transaksi e-voucher. Begitu juga dengan kontrol PRE01-A-03, dari total 122 populasi yang merupakan seluruh Kertas Kerja Rekonsiliasi transaksi penjualan e-voucher multibanking selama periode September – Desember 2013, hanya diambil 30 sampel (berdasarkan Tabel 3.4). Dokumen pendukung yang menjadi unit sampling pengujian pengendalian ini adalah Laporan Penjualan e-voucher (dari Switching Provider), Laporan Rekapitulasi Penjualan e-voucher Autorefill, dan Rekening Koran.


Setelah pengujian atribut kontrol nomor 1 dilakukan melalui inspeksi dokumen untuk pengendalian PRE-01-A-02 terkait proses rekonsiliasi penjualan secara harian antara data penjualan e-voucher dari bank dengan data recharging di URP dan OCS, ditemukan bahwa terdapat ketidaksesuaian antara deskripsi atribut pengendalian pada RCM dengan praktik yang dilakukan selama periode pengujian September hingga Desember 2013. Berdasarkan RCM di atas, atribut pengendalian nomor 1, selisih yang terjadi harus diidentifikasi, didokumentasikan secara memadai dan diinformasikan kepada: Dept. Payment System Management, Dept.

ERP

Management

dan

Dept.

Cash

Collection

Control;

untuk

ditindaklanjuti. Namun, berdasarkan hasil pengujian pada periode September – Desember 2013, tidak terdapat bukti selisih yang diinformasikan kepada Dept. ERP Management. Menindaklanjuti hal tersebut, penguji melakukan tanya jawab (inquiry) kepada pihak terkait. Berdasarkan hasil wawancara dengan Head of Non Subscriber AR Control and Collection Assurance Section, penyebabnya adalah Dept. ERP Mgt. tidak terlibat dalam proses verifikasi maupun tindak lanjut atas jumlah transaksi recharge e-voucher untuk channel bank dan non-bank melalui URP. Fungsi Departemen ERP Management adalah sebagai penanggung jawab untuk aplikasi Redbrick, yaitu sistem aplikasi yang digunakan untuk proses rekonsiliasi transaksi recharge. Sampai dengan tanggal pengujian, pihak yang perlu diinformasikan terkait selisih adalah: GM Accounting Controller & Reporting Treasury Division, GM. Channel Partnership Management Division, GM. Corporate and Community Service & Operation Division, GM. Digital Business Marketing Communications Division, GM. IT Mission Critical VAS Aplication Mgt. Division (Divisi dari Dept. Payment System Management), GM. IT Charging and Billing Application Mgt. Division, GM. Remote Payment and Banking Division, GM. Service and Customer Care Operation Division, GM. Treasury Division (Divisi dari Dept. Cash Collection Control). Berdasarkan hasil pengujian, nama Departemen Fraud Monitoring & Collection Assurance juga belum disesuaikan dengan nama pada struktur organisasi terbaru dan RCM untuk Fase III yaitu Departemen Collection Assurance selama periode pengujian September – Oktober 2013. Klarifikasi dan


keterangan dari Head of Non Subscriber AR Control and Collection Assurance Section ini untuk kontrol PRE-01-A-02 didokumentasikan dalam Minutes of Meeting pada Kertas Kerja F dan ditandatangani oleh pihak yang diwawancara dan pihak yang mengetahui, Manager Collection Assurance Department, dan dilaporkan kepada Pj. Manajer Financial Compliance Audit PT ABC. Sedangkan, untuk kontrol PRE-01-A-03, jumlah penerimaan di rekening koran telah sesuai dengan hasil rekonsiliasi recharging multibanking dari Dept. Collection Assurance, dan tidak terdapat selisih yang perlu ditindaklanjuti selama periode September – Desember 2013, sehingga atribut pengendalian pada kontrol ini terpenuhi.

4.4.1.4 Penjualan Direct – Branch/Metro Proses ini mencakup siklus Postpaid. Pelanggan melakukan pembelian dan pembayaran kartu/voucher/e-voucher/device secara tunai/debit card/credit card. Selanjutnya, cabang/branch tersebut mencatat penjualan, melakukan “paid” dan mencetak kuitansi dalam/dari Paradise serta melakukan verifikasi yang sebagian masuk ke dalam Siklus Postpaid sebagai penerimaan penjualan kartu/device (termasuk PSB kartupostpaid, fitur, atau layanan postpaid) serta penerimaan piutang kartu postpaid. Branch tersebut kemudian menyiapkan kartu/voucher/e-voucher/device atau melakukan eksekusi penjualan e-voucher. Pada akhir hari, branch mencetak Selling Report dari Sistem Paradise dan membandingkannya dengan kuitansi dan fisik uang yang diterima. Dari Selling Report, kuitansi, dan uang yang diterima, cabang lalu mencetak Daily Cashier Report dari Sistem Paradise. Kasir melakukan serah terima dan perhitungan uang hasil penjualan dengan Supervisor Shop ditandai dengan adanya Berita Acara Perhitungan Uang (BAPU). Pejabat berwenang kemudian memeriksa kesesuaian jumlah penjualan antara Daily Cashier Report Paradise, BAPU yang ditandatangani, dan jumlah uang yang diterima. Setelah sesuai, Branch/Metro menyiapkan slip setoran dan menyetorkan uang hasil penjualan kartu/voucher/e-voucher/device ke bank regional. Dept. Finance


Regional kemudian menarik data transaksi setoran Branch/Metro dan memonitor setoran atas penerimaan prepaid dari Branch/Metro ke rekening bank kantor regional secara harian. Dept. Treasury Area selanjutnya melakukan transfer otomatis atas penerimaan penjualan direct Branch/Metro ke rekening bank kantor pusat. Pejabat berwenang kemudian membuat Laporan Pengendali Rekening Koran secara harian berdasarkan data dari Rekening Koran. Lalu Dept. Cash Collection Control di Kantor Pusat melakukan monitoring atas pemindahan dana otomatis dari Regional ke rekening bank pooling Kantor Pusat. Aktivitas ini dapat dilihat pada flowchart Lampiran 5. Risiko pada proses ini beserta aktivitas pengendaliannya dirangkum dalam Tabel 4.5 di bawah ini. Tabel 4.5: RCM penjualan direct melalui Branch/Metro Panel A: Risiko pada subproses penjualan direct melalui Branch/Metro Risiko Pelaporan Keuangan [PRE-01] Penerimaan tunai dan proses transfer rekening atas penjualan kartu/voucher/evoucher/device (termasuk PSB kartu postpaid) serta penerimaan piutang kartu postpaid (tunai dan nonH2H) dan pencatatannya tidak lengkap/tidak akurat.

Penyebab Risiko Terdapat kesalahan jumlah transfer atau nomer rekening pada proses pemindahan dana otomatis dari rekening bank kantor Regional ke rekening bank Kantor Pusat .

Risk Level

Fraud Risk

Moderate

Yes


Panel B: Aktivitas pengendalian pada subproses penjualan direct melalui Branch/Metro No. Kontrol PRE-01A-06

Kontrol

Atribut Kontrol

Melakukan rekonsiliasi atas penerimaan Piutang Kartu Postpaid (H2H) di rekening Collection Kantor Pusat serta memonitor pemindahan dana dari rekening Collection Kantor Regional (Prepaid dan Postpaid) ke rekening Pooling Kantor Pusat.

1. Jumlah penerimaan piutang Kartu Postpaid (H2H) yang masuk ke rekening Collection Kantor Pusat sesuai dengan: - Cash Book Report (OCS) - Rekening Koran Collection Kantor Pusat - Data penerimaan piutang Cookies (OCS) H2H hasil validasi Dept. Collection Assurance. Selisih yang terjadi telah diidentifikasi, ditindaklanjuti dan didokumentasikan secara memadai. Terdapat bukti review dan tanda tangan Pejabat Berwenang atas Dokumen Rekonsiliasi Penerimaan Piutang H2H. 2. Jumlah pemindahan dana ke rekening Pooling Kantor Pusat sesuai dengan dana yang diterima dari rekening Kantor Regional dan rekening Collection Kantor Pusat atas seluruh penerimaan Postpaid dan Prepaid. Selisih yang terjadi telah diidentifikasi, ditindaklanjuti dan didokumentasikan secara memadai. Terdapat bukti review dan tanda tangan Pejabat Berwenang atas Dokumen Validasi Bank Pooling Kantor Pusat. 3. Mengirimkan Dokumen Rekonsiliasi Penerimaan Piutang H2H dan Dokumen Validasi Bank Pooling Kantor Pusat ke Dept. Prepaid Revenue Accounting dan Dept Postpaid & Other Revenue Accounting serta Dept. Financial Reporting. Note: Proses ini meliputi seluruh kegiatan di siklus Postpaid dan Prepaid.

Asersi: V/M Nature of Control: Detective Frequency: Monthly Fraud Control: Yes IT Supporting Application: -



Status

Comply dengan MoM

Comply

Comply

Dikarenakan populasi

yang merupakan seluruh daftar dokumen

rekonsiliasi penerimaan piutang H2H (host to host) selama periode September – Desember 2013 berjumlah tiga, keseluruhan populasi dijadikan unit sampel untuk diuji (berdasarkan Tabel 3.4). Adapun dokumen pendukung yang diinspeksi antara lain Dokumen Rekonsiliasi Penerimaan Piutang H2H, Cash Book Report Cookies (OCS), Rekening Koran Collection Kantor Pusat, Rekening Koran Collection Kantor Regional, Rekening Koran Pooling Kantor Pusat, Data penerimaan piutang Cookies (OCS) H2H hasil validasi Dept. Fraud Monitoring & Collection Assurance, dan Dokumen Validasi Bank Pooling Kantor Pusat. Setelah pengujian pengendalian nomor PRE-01-A-06 melalui inspeksi dokumen terkait monitoring atas pemindahan dana otomatis dari Regional ke rekening bank pooling Kantor Pusat, ditemukan bahwa terdapat ketidaksesuaian antara deskripsi pada atribut 1 pada RCM dengan praktik yang dilakukan selama periode pengujian September – Desember 2013. Berdasarkan RCM Fase III PT ABC, atribut nomor 1 menyebutkan bahwa jumlah penerimaan piutang kartu Postpaid (H2H) yang masuk ke rekening Collection Kantor Pusat sesuai dengan: a.

Cash Book Report (OCS)

b.

Rekening Koran Collection Kantor Pusat

c.

Data penerimaan piutang Cookies (OCS) H2H hasil validasi Dept. Fraud Monitoring & Collection Assurance Namun, berdasarkan praktik yang dilakukan, tidak terdapat Cash Book Report

sehingga atribut pengendalian nomor 1 tidak bisa dilakukan oleh penguji. Menindaklanjuti hal tersebut, penguji melakukan tanya jawab (inquiry) kepada pejabat berwenang. Berdasarkan hasil wawancara dengan Head of Cash Collection Control Dept., dan Head of Postpaid and Others Cash Collection Control Section, diperoleh informasi bahwa: 1. Nama dokumen pada (i) seharusnya adalah “Log data enter payment OCS” bukan “Cash Book Report”. 2. Data penerimaan piutang hasil validasi Dept. Collection Assurance tidak dapat dibandingkan dengan data penerimaan piutang pada Log data enter payment OCS dikarenakan data penerimaan piutang yang diterima dari Dept.


Collection Assurance bukan merupakan data yang dibutuhkan oleh Dept. Cash Colletion untuk melakukan rekonsiliasi rekening koran. Akan tetapi, jumlah penerimaan piutang kartu Postpaid (H2H) yang masuk ke rekening Collection Kantor Pusat telah sesuai dengan data penerimaan piutang Log data enter payment OCS untuk 3 sampel pengujian selama periode September – Desember 2013. Kondisi di atas telah didiskusikan dengan Tim Internal Audit PT ABC. Penguji (assessor) kemudian mendokumentasikan ketidaksesuaian antara deskripsi atribut pengendalian pada RCM tersebut dengan praktik yang dilakukan selama periode pengujian September – Desember 2013 pada MoM, untuk selanjutnya ditandatangani oleh Head of Postpaid and Others Cash Collection Control Section dan Head of Cash Collection Control Department, dan dilaporkan kepada Pj. Manajer Financial Compliance Audit PT ABC.

4.4.2

Proses Recharging

4.4.2.1 Automatic Recharging (Voucher Fisik) Saat dilakukan recharging atau pengisian ulang pulsa dengan memasukkan nomor HRN dari voucher, sistem IVR pada Dept. Channel System Management di Kantor Pusat akan menerima informasi dari pelanggan atas recharging yang dilakukan. IVR kemudian menyampaikan informasi HRN ke URP melalui ORECS. ORECS adalah aplikasi yang digunakan sebagai gateway recharge dari channel internal PT ABC dan juga dari kerjasama recharge dengan operator luar negeri. URP kemudian melakukan verifikasi otomatis nomor HRN dan update otomatis status nomor HRN dari active menjadi used. Bagi transaksi recharging yang berhasil divalidasi oleh sistem URP, maka informasi terkait transaksi recharging yang telah berhasil divalidasi tersebut akan dikirimkan ke sistem Online Charging System (OCS) untuk dilakukan penambahan pulsa prepaid ke nomor yang bersangkutan sesuai dengan nilai voucher. Proses ini dapat dilihat pada flowchart Lampiran 6.


Dalam sistem ORECS, terdapat risiko-risiko yang berdampak signifikan terdapat pelaporan keuangan. Risiko beserta aktivitas pengendaliannya terangkum dalam Tabel 4.6 di bawah ini.

Tabel 4.6: RCM Automatic Recharging (Voucher Fisik) Panel A: Risiko pada subproses Automatic Recharging Voucher Fisik Risiko Pelaporan Keuangan [PRE-03] Pengakuan unearned revenue* dan usage tidak lengkap dan tidak akurat akibat penyalahgunaan recharging atau kesalahan setting parameter.

Penyebab Risiko Terdapat proses recharging yang dilakukan oleh pihak yang tidak berwenang akibat kesalahan parameter/konfigurasi di ORECS

Risk Level

Fraud Risk

Moderate

Yes

Panel B: Aktivitas pengendalian pada subproses Automatic Recharging Voucher Fisik No. Kontrol PRE-03B-10

Kontrol

Atribut Kontrol

Status

Melakukan proses UAT**/testing proses serta verifikasi atas kesesuaian parameter/konfigurasi di ORECS dan URP (termasuk pembuatan dan/atau Penghapusan Bucket Recharge URP, jika ada) serta pengajuan loading data inject discount tambahan berdasarkan kebijakan berlaku dengan yang diupdate di sistem.

1. Terdapat Nota Dinas: - permintaan update parameter/konfigurasi program di ORECS dan URP (termasuk permintaan pembuatan dan/atau perubahan dan/atau penghapusan Bucket Recharge URP, jika ada) - Pengajuan loading data inject discount tambahan (bagi pelanggan tertentu) di URP Fisik-Elektronik oleh pejabat berwenang Dept. Channel System Management sesuai kebijakan perusahaan.

Comply dengan MoM


No. Kontrol

Kontrol

Atribut Kontrol

Asersi: C, E/O, A Nature of Control: Preventive Frequency: Event-based Fraud Control: Yes IT Supporting Control: ORECS, URP (Fisik & Elektronik)

2. Eksekusi: - setting perubahan parameter di ORECS dan URP (termasuk pembuatan dan/atau perubahan dan/atau penghapusan Bucket Recharge) telah diset up unit terkait sesuai NODIN permintaan update Parameter dari Dept. Channel System Management. - Jumlah Data loading Inject discount tambahan bagi pelanggan tertentu di URP Fisik-Elektronik sesuai pengajuan dari Dept. Channel System Management. Apabila terdapat ketidaksesuaian maka harus didokumentasikan dan ditindaklanjuti kepada pihak terkait. 3. Terdapat tanda tangan pejabat berwenang Dept. Channel System Management, Dept. Payment System Management dan Dept. Customer Profile & Inventory Assurance serta Dept terkait lainnya pada dokumentasi hasil perubahan/penambahan parameter, pembuatan dan/atau penghapusan Bucket Recharge URP serta BA loading data inject discount tambahan (jika ada). 4. Mengirimkan dokumen terkait disertai lampiran Nodin request dari business user kepada Dept. Customer Profile & Inventory Assurance.

Status

Comply

Comply dengan MoM

Comply

Sumber PT ABC (telah diolah kembali) Keterangan: *Pendapatan diterima dimuka (unearned revenue) adalah penerimaan kas atau bentuk penerimaan lainnya yang menyebabkan bertambahnya kekayaan Perseroan dan atas penerimaan tersebut Perseroan mempunyai kewajiban untuk memberikan layanan jasa telekomunikasi kepada pemakai. **UAT (User Acceptance Test) adalah aktivitas pengujian yang dilakukan untuk memastikan bahwa perubahan atau modifikasi yang dilakukan telah sesuai dengan kebutuhan dan spesifikasi yang ditentukan (Proses testing perubahan parameter/tarif sebelum dilempar ke pasar).


Dari total 5 populasi yang merupakan seluruh Nota Dinas permintaan perubahan dan/atau penambahan parameter ORECS atau URP dan/atau pembuatan dan/atau penghapusan Bucket Recharge URP selama periode September – Desember 2013, diambil keseluruhan lima sampel untuk diuji. Adapun dokumen pendukung yang menjadi unit sampling adalah Nota Dinas permintaan perubahan dan/atau penambahan parameter ORECS atau URP dan/atau

pembuatan

dan/atau

penghapusan

bucket

recharge

URP,

dokumentasi/Berita Acara Perubahan Parameter ORECS/URP, dokumentasi hasil pembuatan/update/penghapusan bucket recharge URP, dan dokumen konfirmasi ke Customer Profile & Inventory Assurance. Setelah pengujian atribut kontrol nomor 1 dan 2 dilakukan melalui inspeksi dokumen untuk pengendalian PRE-03-B-10, ditemukan bahwa terdapat ketidaksesuaian antara deskripsi atribut pengendalian pada RCM dengan praktik yang dilakukan selama periode pengujian September hingga Desember 2013. Ditemukan bahwa tidak terdapat Nota Dinas Pengajuan loading data inject discount tambahan (bagi pelanggan tertentu) di URP Fisik - Elektronik oleh pejabat berwenang Dept. Channel System Management sesuai kebijakan perusahaan (terkait atribut 1) dan tidak terdapat tanda tangan pejabat berwenang Dept. Channel System Management, Dept. Payment System Management dan Dept. Customer Profile & Inventory Assurance serta departemen terkait lainnya pada dokumentasi hasil perubahan/penambahan parameter, pembuatan dan/atau penghapusan Bucket Recharge URP serta BA loading data inject discount tambahan (jika ada). Menindaklanjuti hal ini, penguji melakukan wawancara dengan Pj. Manager Channel System Management Departement. Berdasarkan wawancara tersebut diperoleh keterangan sebagai berikut: 1. Tidak terdapat pengajuan loading data inject discount tambahan (bagi pelanggan tertentu) di URP Fisik - Elektronik oleh pejabat berwenang Dept. Channel System Management sesuai kebijakan perusahaan selama periode. 2. Tidak diperlukan tanda tangan pejabat berwenang dari Departemen Customer Profile

&

Inventory

Assurance

untuk

dokumentasi


hasil

perubahan/penambahan parameter, pembuatan bucket URP. Bukti persetujuan pejabat berwenang tersebut hanya diperlukan pada saat dilakukan validasi terhadap sisa stock/saldo pada bucket yang akan ditutup. Loading data inject discount tambahan dilakukan bila ada perubahan parameter program bonus untuk pelanggan tertentu. Untuk periode ini tidak ada perubahan parameter program bonus, sehingga tidak terdapat Nota Dinas Pengajuan loading data inject discount tambahan (bagi pelanggan tertentu) di URP Fisik - Elektronik oleh pejabat berwenang Dept. Channel System Management yang diminta pada atribut 1. Dari hasil wawancara pada poin 2 juga diketahui bahwa terdapat perubahan prosedur dari fase sebelumnya, sehingga atribut pengendalian pada RCM berbeda dengan praktik yang dilakukan selama periode pengujian fase III. Kedua kondisi di atas telah didiskusikan dengan Tim Internal Audit PT ABC dan assessor mendokumentasikan ketidaksesuaian antara deskripsi atribut pengendalian pada RCM dengan praktik yang dilakukan selama periode pengujian September – Desember 2013 ini pada MoM (Kertas Kerja F).

4.4.2.2 Automatic Recharge (E-Voucher) Recharging e-voucher dapat dilakukan melalui dua aplikasi, aplikasi distribusi e-voucher dealer dan Aplikasi X. Aplikasi X merupakan aplikasi penjualan voucher isi ulang PT ABC menggunakan USSD (Unstructured Supplementary Service Data), fungsinya adalah melayani dan mengatur seluruh aktivitas voucher isi ulang secara elektronik yang menggunakan USSD. Bila proses recharge e-voucher dilakukan melalui aplikasi distribusi e-voucher dealer, Dept. Payment System Management bertanggung jawab memeriksa kecukupan persediaan e-voucher yang telah dialokasikan ke dalam URP. Bila persediaan evoucher cukup, Dept. Channel System Management di Kantor Pusat mengubah status e-voucher di URP dari pending menjadi used dan menambah saldo prepaid pelanggan di OCS. Proses ini dapat dilihat pada flowchart Lampiran 7. Dalam sistem URP, khususnya URP Elektronik untuk penjualan evoucher, terdapat risiko-risiko yang dapat terjadi dan berpengaruh terhadap


pelaporan keuangan perusahaan. Risiko beserta aktivitas pengendaliannya dapat dilihat pada Tabel 4.7 di bawah ini. Tabel 4.7: RCM Automatic Recharging (e-voucher) Panel A: Risiko pada subproses Automatic Recharge (e-voucher) Risiko Pelaporan Penyebab Risiko Keuangan [PRE-03] Terdapat penggunaan bucket Pengakuan unearned revenue recharge URP oleh pihak yang dan usage tidak lengkap dan tidak berwenang. tidak akurat akibat penyalahgunaan recharging atau kesalahan setting parameter.

Risk Level

Fraud Risk

Moderate

Yes

Panel B: Aktivitas pengendalian pada subproses Automatic Recharge (e-voucher) No. Kontrol PRE-03B-11

Kontrol

Atribut Kontrol

Melakukan monitoring secara periodik atas bucket recharge URP yang telah berjalan agar sesuai dengan kebijakan perusahaan dan menginformasikan ketidaksesuaian yang terjadi (jika ada) ke departmen terkait untuk ditindaklanjuti.

1. Terdapat kertas kerja review atas Bucket Owner dan Stok Recharge URP terhadap kebijakan perusahaan.

Asersi: C, E/O, A Nature of Control: Detective Frequency: Quarterly Fraud Control: Yes IT Supporting Control: URP

2. Penambahan dan/atau perubahan Bucket owner maupun stok Recharge sesuai dengan Nota Dinas permintaan, Jika terdapat ketidaksesuaian harus ditindaklanjuti dan didokumentasikan secara memadai. 3. Terdapat bukti review yang ditandatangani oleh pejabat berwenang Dept. Channel System Management dan Dept. Payment System Mgt. serta departemen terkait lainnya pada kertas kerja selama 1 kuartal.


Status

Comply

Comply

Comply

No. Kontrol

Kontrol

Atribut Kontrol 4. Mengirimkan dokumen review disertai lampiran Nodin request Dept. Channel System Management, kepada Dept. Customer Profile & Inventory Assurance.

Status

Comply


Dari total 2 populasi yang merupakan seluruh dokumen kertas kerja review bucket owner dan stock recharge URP selama periode September – Desember 2013, diambil keseluruhan 2 sampel dari periode September dan Desember 2013 berdasarkan ketentuan Tabel 3.4 untuk frekuensi quarterly. Dokumen pendukung yang menjadi unit sampling pengujian pengendalian ini adalah Nota Dinas permintaan pembuatan bucket recharge URP dan Kertas Kerja Review bucket owner dan stock recharge URP. Berdasarkan hasil pengujian, aktivitas pengendalian beserta atributnya untuk proses recharging untuk e-voucher telah dijalankan dengan baik dan sesuai dengan Risk Control Matrix PT ABC untuk periode September – Desember 2013.

4.4.2.3 Manual Recharging (Komplain Pelanggan) Komplain/pengaduan pelanggan diajukan kepada customer service bila terjadi “drop pulsa” atau kegagalan proses recharging. Komplain tersebut lalu diterima dan dicatat ke dalam log book oleh Customer Service Staff. Logbook tersebut langsung disambungkan kepada Dept. Call Center Operation Bandung yang merupakan pusat pengaduan pelanggan PT ABC. Dept. Call Center Operation Bandung dan Dept. Self Care lalu melakukan proses filtering atas nomor MSISDN pelanggan yang lolos untuk dilakukan recharge. Selanjutnya, nomor MSISDN yang telah divalidasi diberikan status approve atau reject yang akan diserahkan kepada departemen eksekutor terkait. Dept. Call Center Management kemudian menerima seluruh data nomor MSISDN dari requestor yang telah di-approve untuk dilakukan manual recharging. Namun sebelumnya, dilakukan verifikasi kembali apakah memang


benar nomor MSISDN tersebut layak untuk dilakukan manual recharging. Setelah proses verifikasi dilakukan, Dept. Call Center Management membuat dan mencetak Berita Acara Eksekusi Manual Recharging dan melakukan eksekusi manual recharging di sistem OCS. Proses ini dapat dilihat pada Lampiran 8. Dalam melakukan eksekusi manual recharging tersebut, terdapat risikorisiko yang berdampak signifikan terdapat pelaporan keuangan. Risiko beserta aktivitas pengendaliannya terangkum dalam Tabel 4.8 di bawah ini.

Tabel 4.8: RCM Manual Recharging berdasarkan komplain pelanggan Panel A: Risiko pada subproses Manual Recharging berdasarkan komplain pelanggan Risiko Pelaporan Keuangan [PRE-03] Pengakuan unearned revenue dan usage tidak lengkap dan tidak akurat akibat penyalahgunaan recharging atau kesalahan setting parameter.

Penyebab Risiko Jumlah manual recharging yang dilakukan tidak sesuai dengan complaint pelanggan atau terdapat manual recharging yang tidak diotorisasi oleh pihak yang berwenang.

Risk Level

Fraud Risk

Moderate

Yes

Panel B: Aktivitas pengendalian pada subproses Manual Recharging berdasarkan komplain pelanggan No. Kontrol Kontrol PREMemeriksa validitas data 03-B-05 atas seluruh permintaan manual recharge (manual refund) dari unit berwenang sebelum dieksekusi di OCS. Asersi: C, E/O, A Nature of Control: Preventive Frequency: Transactional/Multiple Times per Day Fraud Control: Yes IT Supporting Control: OCS,

Atribut Kontrol 1. Melakukan pemeriksaan terhadap Log Book Info Complaint beserta dokumen pendukungnya atas komplain kegagalan recharge yang berasal dari Dept. Call Center Operation Bandung dan Dept. Self Care sebelum melakukan manual recharge (manual refund) di OCS. 2. Tidak terdapat duplikasi record atas pengajuan manual Recharge (manual refund).


Status

Comply

Comply

No. Kontrol

Kontrol INDIRA, Tool RUBI

Atribut Kontrol 3. Jika terdapat hasil investigasi yang membutuhkan tindak lanjut, ditujukan kepada Dept. Rating & Charging Mgmt. dan harus didokumentasikan secara memadai. 4. Terdapat bukti review dan tandatangan pejabat berwenang atas Laporan Eksekusi Manual Recharge (manual refund) secara bulanan.

Status

Comply

Comply


Dari total 56.306 populasi yang merupakan seluruh kegagalan recharge pada Logbook Info Complaint selama periode September – Desember 2013, diambil keseluruhan 45 sampel untuk diuji mengkuti ketentuan SOA Sampling frekuensi Transaksional pada Tabel 3.4. Adapun dokumen pendukung yang menjadi unit sampling antara lain Logbook Info Complaint (yang berisi screenshot aplikasi Rubi meliputi nomor transaksi, deskripsi permasalahan, nomor komplain, tanggal eksekusi, dan tanggal deadline.), Laporan Eksekusi Manual Recharging di OCS, dan Dokumen Pendukung atas kegagalan recharging. Berdasarkan hasil observasi, inspeksi dokumen, dan wawancara dengan Manager Call Center Management Department, diperoleh informasi bahwa: 1.

Laporan Eksekusi Manual Recharging dibuat secara harian, yaitu pada atribut 4 bukti review dan tandatangan pejabat berwenang yang diminta atas dokumen tersebut adalah secara bulanan.

2.

Mekanisme untuk memastikan tidak terdapatnya duplikasi record atas pengajuan manual recharge (atribut 2) adalah sebagai berikut: o Departemen Call Center Operation Bandung dan Departemen Self Care melakukan input data Komplain Pelanggan pada sistem aplikasi Ruby, jika terdapat data Komplain pelanggan yang sama, maka akan dilakukan reject secara otomatis oleh sistem aplikasi tersebut. Dengan demikian tidak


terdapat duplikasi data komplain pelanggan sebelum data tersebut dikirimkan kepada Call Center Management melalui sistem Aplikasi Ruby. o Departemen Call Center Management menerima log-book info complaint pelanggan dari Departemen Call Center Operation Bandung dan Departemen Self Care melalui sistem aplikasi Ruby dan mengunduh informasi komplain pelanggan tersebut ke dalam bentuk file excel. o Untuk memastikan kembali tidak terdapat duplikasi record dari informasi komplain pelanggan tersebut, eksekutor dari Departemen Call Center Management akan melakukan sortir secara manual pada file excel. Berdasarkan hasil pengujian tersebut, aktivitas pengendalian beserta atribut untuk proses manual recharging berdasarkan komplain pelanggan telah dijalankan dengan baik dan sesuai dengan Risk Control Matrix PT ABC untuk periode September – Desember 2013.

4.4.2.4 Manual Recharge Dept. Prepaid, Postpaid, dan Broadband Internet Development menyeleksi dan mendokumentasikan progam bonus atau promosi yang akan diimplementasikan.

Selanjutnya

Dept.

Analytical

and

Micro

Segment

Development di Kantor Pusat melakukan feasibility analysis yaitu business assessment dan secara bersamaan Dept. Rating and Charging Management juga melakukan feasibility analysis yang mencakup market analysis dan technical assessment. Bersama marketing dan tim teknis, detil spesifikasi disusun dalam Nota Dinas implementasi program bonus/promosi. Dept. Collection Assurance menerima Nota Dinas Mass Manual Recharging di OCS untuk implementasi program bonus/promosi dari product owner terkait. Selanjutnya Dept. Collection Assurance melakukan verifikasi kesesuaian manual recharging (dimulai dari modul channel penjualan sampai ke OCS) yang akan menghasilkan sebuah data rekonsiliasi recharge. Proses tersebut dapat dilihat pada Lampiran 9. Dalam melakukan verifikasi kesesuaian manual recharging, terdapat risiko-risiko yang berdampak signifikan terdapat pelaporan keuangan. Risiko


beserta aktivitas pengendaliannya terangkum dalam RCM pada Tabel 4.9 di di bawah ini. Tabel 4.9: RCM Manual Recharging Panel A: Risiko pada subproses Manual Recharging Risiko Pelaporan Keuangan [PRE-03] Pengakuan unearned revenue dan usage tidak lengkap dan tidak akurat akibat penyalahgunaan recharging atau kesalahan setting parameter.

Penyebab Risiko Terdapat penambahan saldo kredit pelanggan di OCS yang tidak sesuai dengan yang seharusnya.

Risk Level

Fraud Risk

Moderate

Yes

Panel B: Aktivitas pengendalian pada subproses Manual Recharging No. Kontrol Kontrol PREMelakukan verifikasi atas 03-B-02 manual recharging serta menginformasikan ke departemen terkait untuk ditindaklanjuti. Asersi: A, V/M Nature of Control: Detective Frequency: Monthly Fraud Control: Yes IT Supporting Control: OCS

Atribut Kontrol 1. Terdapat dokumentasi hasil verifikasi kesesuaian manual recharging berdasarkan data log OCS. 2. Jumlah manual recharging OCS sesuai dengan: - Permintaan manual recharging karena delay recharge dan kesalahan pengurangan saldo pelanggan berdasarkan komplain pelanggan yang terdapat dalam Berita Acara Manual Recharging dari Dept. Problem and Mass Escalation Solution. -Top up pulsa prepaid yang akan ditagihkan dalam Billing postpaid pelanggan corporate, berdasarkan Berita Acara Dept. Corporate and Community Operation Support. -Jumlah yang harus direcharge ke OCS berdasarkan Nota Dinas Program Manual Recharging (program bonus, dll) dari pejabat yang berwenang (jika ada). Selisih yang terjadi harus diidentifikasi, didokumentasikan secara memadai dan


Status

Comply

Comply

No. Kontrol

Kontrol

Atribut Kontrol ditindaklanjuti ke Dept. Rating & Charging, Dept. Problem and Mass Escalation Solution serta unit terkait lainnya. 3. Terdapat tanda tangan pejabat berwenang sebagai bukti review pada dokumentasi hasil verifikasi kesesuaian manual recharging dengan data log OCS dan mengirimkan ke departemen terkait untuk ditindaklanjuti.

Status

Comply


Dari total 3 populasi yang merupakan seluruh Berita Acara Manual Recharge (Manual Recharge karena Delay Recharge dan Manual Recharge Top Up Pulsa Pelanggan Corporate) selama periode September – Desember 2013, diambil keseluruhan 3 sampel untuk diuji mengikuti ketentuan SOA Sampling PT ABC pada Tabel 3.4. Adapun dokumen pendukung yang menjadi unit sampling antara lain Log Manual Recharging OCS, Laporan Manual Recharging OCS (Dept. IT Rating & Charging), Berita Acara Manual Recharge (Dept. Problem Escalation), Berita Acara Top Up Pulsa pelanggan corporate (Dept. Operational Support), Nota Dinas Program Manual Recharging (Program Bonus, dll.), dan Dokumentasi Hasil Verifikasi kesesuaian manual recharging. Berdasarkan wawancara dengan Head of Non Subscriber AR Control and Collection Assurance Section, tidak terdapat Nota Dinas Program Manual Recharging (program bonus, dll.) dari pejabat yang berwenang selama periode September - Desember 2013. Namun secara umum, aktivitas pengendalian beserta atribut untuk proses manual recharging telah dijalankan dengan baik dan sesuai dengan Risk Control Matrix PT ABC untuk periode September – Desember 2013.

4.4.2.5 Recharging (Monitoring) Setelah proses recharging sukses dilakukan, proses monitoring atas manual recharging telah dilakukan, dan data rekonsiliasi recharge telah dibuat, Dept. Collection Assurance

melakukan verifikasi kesesuaian seluruh


recharging secara end-to-end dan melakukan validasi komplain pelanggan. Dari proses verifikasi tersebut dibuat sebuah Kertas Kerja Verifikasi OCS, URP, dan Aplikasi X (aplikasi penjualan voucher isi ulang PT ABC menggunakan USSD. Fungsinya adalah melayani dan mengatur seluruh aktivitas voucher isi ulang secara elektronik yang menggunakan USSD). Kertas Kerja ini kemudian disampaikan kepada departemen terkait untuk dilakukan perbaikan. Dept. Collection Assurance wajib membuat Summary Hasil Laporan Kinerja Bulanan sebagai hasil akhir dari verifikasi bulanan kepada Divisi Revenue Assurance. Kertas Kerja ini juga digunakan oleh Dept. Payment System Management, Dept. Billing & Customer Management, dan Dept. Rating & Charging Management untuk

menindaklanjuti

temuan

Dept.

Collection

Assurance

atas

ketidaksesuaian jumlah recharging antara OCS, URP, dan Aplikasi X. Proses ini dapat dilihat pada Lampiran 10. Dalam melakukan verifikasi kesesuaian seluruh recharging secara endto-end dan melakukan validasi komplain pelanggan dan menindaklanjuti temuan Dept. Collection Assurance atas ketidaksesuaian jumlah recharging antara OCS, URP, dan Aplikasi X, terdapat risiko-risiko yang berdampak signifikan terdapat pelaporan keuangan. Risiko beserta aktivitas pengendaliannya terangkum dalam RCM pada Tabel 4.10 di bawah ini. Tabel 4.10: RCM Recharging (Monitoring) Panel A: Risiko pada subproses Recharging (Monitoring) Risiko Pelaporan Keuangan [PRE-03] Pengakuan unearned revenue dan usage tidak lengkap dan tidak akurat akibat penyalahgunaan recharging atau kesalahan setting parameter.

Penyebab Risiko A. Terdapat ketidaksesuaian antara jumlah recharging OCS dengan jumlah voucher dan evoucher yang menjadi used pada modul channel penjualan.

Risk Level

Fraud Risk

Moderate

Yes


Risiko Pelaporan Keuangan

Penyebab Risiko

Risk Level

Fraud Risk

B. Terdapat proses recharging yang dilakukan oleh pihak yang tidak berwenang. Panel B: Aktivitas pengendalian pada subproses Recharging (Monitoring) No. Kontrol PRE-03B-03

Kontrol A1. Melakukan verifikasi kesesuaian seluruh recharging secara end to end (dimulai dari modul channel penjualan sampai ke OCS)

Asersi: A, V/M Nature of Control: Detective Frequency: Monthly Fraud Control: Yes IT Supporting Control: URP Fisik, URP Elektronik, Aplikasi X, OCS INDIRA

Atribut Kontrol 1. Melakukan verifikasi kesesuaian data Recharging INDIRA, yang bersumber dari OCS, URP, dan Aplikasi X secara End to End. Selisih yang terjadi harus ditindaklanjuti dan didokumentasikan secara memadai. 2. Jumlah transaksi recharging dari OCS telah dibandingkan dengan: - transaksi recharging voucher dan e-voucher dari URP(Fisik &Elektronik) - transaksi recharging e-voucher dari aplikasi X. Apabila terdapat transaksi recharging OCS, yang tidak teridentifikasi, maka harus didokumentasikan secara memadai dan ditindaklanjuti kepada departemen terkait. 3. Terdapat bukti review oleh pejabat berwenang terhadap Kertas Kerja Verifikasi Recharging End to End. 4. Terdapat bukti tindak lanjut (dalam bentuk NODIN konfirmasi) atas selisih yang terjadi di: - OCS: dikirimkan ke Dept. Rating & Charging Management dan Dept. Billing & Customer Mgmt. - URP (Fisik & Elektronik) dan Aplikasi X: dikirimkan ke Dept. Payment System Management


Status

Comply

Comply

Comply

Comply

No. Kontrol PRE-03B-04

Kontrol B1. Menindaklanjuti temuan Dept. Collection Assurance atas ketidaksesuaian jumlah recharging di modul channel penjualan.

Asersi: A, V/M Nature of Control: Detective Frequency: Monthly Fraud Control: Yes IT Supporting Control: OCS, URP (Fisik & Elektronik), Aplikasi X

PRE-03B-07

A2. Menindaklanjuti temuan Dept. Collection Assurance atas ketidaksesuaian jumlah recharging secara end to end (dimulai dari modul channel penjualan sampai ke OCS). Asersi: E/O, V/M Nature of Control: Detective Frequency: Event-based Fraud Control: No IT Supporting Control: URP Fisik, URP Elektronik, Aplikasi X, OCS

Atribut Kontrol 1. Terdapat nota dinas dari Collection Assurance mengenai ketidaksesuaian jumlah recharging secara end to end (dimulai dari modul channel penjualan sampai ke OCS) terkait Recharging di aplikasi URP (Fisik & Elektronik) dan Aplikasi X. 2. Terdapat dokumentasi atas tindak-lanjut mengenai ketidaksesuaian jumlah recharging di URP (Fisik & Elektronik) & Aplikasi X. 3. Terdapat bukti review pejabat berwenang atas hasil investigasi/tindak lanjut yang dilakukan.

Status

Comply

Comply

Comply

4. Mengirimkan Nota dinas sebagai bukti tindak-lanjut temuan ke Dept. Collection Assurance.

Comply

1. Terdapat nota dinas dari Collection Assurance mengenai ketidaksesuaian jumlah recharging secara end to end (dimulai dari modul channel penjualan sampai ke OCS).

Not Applica ble (N/A)

2. Terdapat dokumentasi atas tindak-lanjut mengenai ketidaksesuaian jumlah recharging.


3. Terdapat bukti review pejabat berwenang atas hasil investigasi/tindak lanjut yang dilakukan.


4. Terdapat nota dinas sebagai bukti tindak lanjut temuan ke Dept. Collection Assurance.




Untuk kontrol PRE-03-B-03, dari total 4 populasi yang merupakan seluruh Kertas Kerja Rekonsiliasi Recharging End-to-End selama periode September – Desember 2013, diambil 3 sampel dari periode September, Oktober, dan November 2013 untuk diuji mengikuti ketentuan SOA Sampling PT ABC pada Tabel 3.4. Adapun dokumen pendukung yang menjadi unit sampling antara lain Log Recharging OCS (dari INDIRA), Log Recharging URP Fisik & Elektronik (dari INDIRA), Log Recharging Aplikasi X (dari INDIRA), Kertas Kerja Verifikasi Recharging End to End, dan Nota Dinas Konfirmasi atas Selisih. Untuk kontrol PRE-03-B-04, dari total 4 populasi yang merupakan seluruh Nota Dinas tindak lanjut atas hasil ketidaksesuaian jumlah recharging dari Fraud Monitoring & Collection Assurance selama periode September – Desember 2013, diambil 3 sampel dari periode September, Oktober, dan November untuk diuji mengikuti ketentuan SOA Sampling PT ABC pada Tabel 3.4. Adapun dokumen pendukung yang menjadi unit sampling antara lain Nota Dinas tindak lanjut atas hasil ketidaksesuaian jumlah recharging dari Fraud Monitoring & Collection Assurance dan dokumentasi tindak lanjut temuan (Berita Acara Tindak Lanjut Ketidaksesuaian Recharge). Untuk kontrol PRE-03-B-07, tidak terdapat temuan Dept. Collection Assurance atas ketidaksesuaian jumlah recharging secara end to end (dimulai dari modul channel penjualan sampai ke OCS) pada periode pengujian September - Desember 2013, sehingga kontrol ini tidak dapat diuji karena tidak adanya populasi, hal ini telah dikonfirmasi oleh Manager Rating & Charging Management Dept. dan Manager Billing & Customer Management Dept. dan telah dicatat dalam MoM oleh penguji. Atas dasar ini, kedua pengendalian ini dinyatakan N/A atau Not Applicable. Berdasarkan hasil pengujian tersebut, aktivitas pengendalian beserta atribut untuk proses manual recharging (monitoring) telah dijalankan dengan baik dan sesuai dengan Risk Control Matrix PT ABC untuk periode September – Desember 2013.


4.4.2.6 Sistem OCS Selain risiko-risiko di atas, terdapat risiko khusus terkait ketidakakuratan saldo unused dan outpayment dari produk prepaid yang disebabkan oleh ketidaksesuaian eksekusi perpanjangan masa berlaku kartu dalam sistem OCS. Pengakuan pendapatan unused (outpayment) adalah pengakuan pendapatan Perseroan yang disebabkan telah berakhirnya masa berlaku penggunaan voucher atau voucherless sesuai dengan informasi yang telah diketahui oleh pemakai. Risiko beserta aktivitas pengendaliannya dapat dilihat pada RCM Tabel 4.11 di bawah ini. Tabel 4.11: RCM Perpanjangan Masa Berlaku Kartu Panel A: Risiko pada proses perpanjangan masa berlaku kartu Risiko Pelaporan Keuangan [PRE-06] Saldo unused dan outpayment dari produk prepaid tidak akurat.

Penyebab Risiko Terdapat perpanjangan masa berlaku kartu yang tidak sesuai dengan permintaan dari pihak yang berwenang.

Risk Level

Fraud Risk

Moderate

Yes

Panel B: Aktivitas pengendalian pada proses perpanjangan masa berlaku kartu No. Kontrol PRE-06B-19

Kontrol

Atribut Kontrol

Status

Melakukan verifikasi atas kesesuaian eksekusi perpanjangan masa berlaku kartu di Sistem OCS.

1. Terdapat Berita Acara Hasil Eksekusi Perpanjangan Masa Berlaku Kartu di sistem OCS sebagai bukti bahwa verifikasi atas kesesuaian eksekusi perpanjangan masa berlaku kartu sesuai dengan Nota Dinas permintaan dari pejabat yang berwenang telah dilakukan.

Comply

Asersi: E/O Nature of Control: Detective


No. Kontrol

Kontrol Frequency: Event-based Fraud Control: Yes IT Supporting Control: OCS

Atribut Kontrol 2. Terdapat tanda tangan pejabat berwenang dari Dept.Cust.Profile & Inventory Assurance dan Dept.Rating & Charging pada Berita Acara Hasil Eksekusi Perpanjangan Masa Berlaku Kartu di OCS.

Status

Comply


Dari total 50 populasi yang merupakan seluruh Nota Dinas Permintaan Perpanjangan Masa Berlaku Kartu dari pejabat berwenang selama periode September – Desember 2013, diambil sejumlah 45 untuk diuji (sesuai Tabel 3.4). Untuk kontrol ini, dokumen pendukung yang menjadi unit sampling antara lain Berita Acara Hasil Eksekusi Perpanjangan Masa Berlaku Kartu di sistem OCS dan Nota Dinas Permintaan Perpanjangan Masa Berlaku Kartu dari pejabat berwenang. Berdasarkan hasil pengujian tersebut, aktivitas pengendalian beserta atribut untuk eksekusi perpanjangan masa berlaku kartu di sistem OCS telah dijalankan dengan baik dan sesuai dengan Risk Control Matrix PT ABC untuk periode September – Desember 2013.

4.4.3

Proses Prepaid Usage Calculation

4.4.3.1 Rating Untuk menginiasikan produk atau nomor baru yang akan dijual, Dept. Prepaid Development membuat Nota Dinas Peluncuran Produk Baru/pengeluaran nomor baru. Nota Dinas tersebut kemudian disampaikan kepada tim tarif dan Dept. Service Control and Recharging System Operation Support untuk proses loading. Selanjutnya Dept. Service Control and Recharging System Operation Support dan tim tarif melakukan test call untuk setiap peluncuran produk baru maupun pengeluaran nomor baru. Dept. Billing Assurance dan Prepaid


Development akan memeriksa kesesuaian paramater tarif dari sistem dengan kebijakan untuk setiap peluncuran produk baru. Sedangkan untuk produk yang sudah ada, Dept. Billing Assurance dan Prepaid Development memeriksa kesesuaian parameter rating lainnya (cell ID, prefix, IDN) dengan kebijakan Perusahaan dan menginformasikan ketidaksesuaian yang terjadi (jika ada) ke departemen terkait untuk ditindaklanjuti. Proses ini dapat dilihat pada flowchart Lampiran 11. Dalam melakukan pemeriksaan kesesuaian parameter tarif untuk produk baru dan parameter rating lainnya untuk produk yang ada, terdapat risiko-risiko yang berdampak pada pelaporan keuangan PT ABC. Risiko beserta aktivitas pengendaliannya dapat dilihat pada Tabel 4.12. Tabel 4.12: RCM Rating Panel A: Risiko pada subproses rating Risiko Pelaporan Keuangan [PRE-03] Pengakuan unearned revenue dan usage tidak lengkap dan tidak akurat akibat penyalahgunaan recharging atau kesalahan setting parameter.

Risk Level

Fraud Risk

Moderate

Yes

Penyebab Risiko A. Terdapat kesalahan pengurangan saldo kredit pelanggan prepaid di OCS maupun kesalahan rating dan/atau reject call pelanggan postpaid karena kesalahan parameter tarif. B. Terdapat kesalahan pengurangan saldo kredit pelanggan di OCS maupun kesalahan rating dan/atau reject call karena kesalahan parameter atau konfigurasi Program atau inject discount tambahan (bonus).

Panel B: Aktivitas pengendalian pada subproses rating No. Kontrol PRE-03-C04

Kontrol A1. Melakukan verifikasi atas kesesuaian parameter tarif di OCS dengan kebijakan Perusahaan secara periodik dan

Atribut Kontrol 1. Terdapat kertas kerja verifikasi tabel parameter tarif prepaid maupun postpaid di OCS terhadap kebijakan Perusahaan.


Status

Comply

No. Kontrol

Kontrol menginformasikan ketidaksesuaian yang terjadi (jika ada) ke departemen terkait untuk ditindaklanjuti. Asersi: C, E/O, A Nature of Control: Detective Frequency: Quarterly Fraud Control: No IT Supporting Control: OCS, Tools MORISA

PRE-03-C08

B1. Melakukan monitoring secara periodik atas parameter tarif produk atau program yang telah berjalan agar sesuai dengan kebijakan perusahaan dan menginformasikan ketidaksesuaian yang terjadi (jika ada) ke departmen terkait untuk ditindaklanjuti. Asersi: C, A Nature of Control: Detective Frequency: Quarterly Fraud Control: No IT Supporting Control: OCS, REFLEX, Charging Gateway, Content Gateway, I-Charming, FLASH, dan sistem terkait lainnya untuk mendukung proses bonus

Atribut Kontrol 2. Setting tarif pada OCS sesuai dengan kebijakan perusahaan yang berlaku. Apabila terdapat perbedaan setting parameter antara Sistem dengan kebijakan maka harus terdapat dokumentasi tertulis atas tindak lanjut yang dilakukan. 3. Terdapat bukti review pejabat berwenang pada Kertas Kerja Verifikasi Parameter Tarif. NOTE: Proses ini meliputi seluruh kegiatan di Siklus Postpaid dan Prepaid. 1. Terdapat kertas kerja verifikasi tabel parameter tarif terhadap kebijakan perusahaan. 2. Penambahan dan/atau perubahan parameter tarif sesuai dengan kebijakan perusahaan atau Nota Dinas permintaan penambahan/perubahan parameter. Jika terdapat ketidaksesuaian harus ditindaklanjuti dan didokumentasikan secara memadai. 3. Terdapat bukti review yang ditandatangani oleh pejabat berwenang Dept. Prepaid Development, Dept. Rating & Charging Mgmt., Dept. VAS Data Service Mgmt. dan Dept. ESB Mgmt. serta departemen terkait lainnya pada kertas kerja parameter tarif produk atau program selama 1 kuartal.

Status

Comply

Comply

Comply

Comply

Comply dengan MoM


Kontrol nomor PRE-03-C-04 memiliki 2 sampel yang merupakan seluruh verifikasi atas kesesuaian parameter tarif di OCS dengan kebijakan Perusahaan selama periode September dan Desember 2013 (sesuai ketentuan sampling pada Tabel 3.4, dokumen pendukung yang digunakan dalam pengujian adalah Kebijakan Perusahaan terkait dengan Perubahan Parameter Tarif (postpaid


maupun prepaid). Kontrol PRE-03-C-08 juga memiliki 2 sampel yang merupakan seluruh kertas kerja penambahan/perubahan parameter tarif produk atau program selama periode September dan Desember 2013. Dokumen pendukung yang digunakan dalam pengujian antara lain Kertas Kerja Verifikasi Project Perubahan Standard Reflex & Regression Test OCS dan Nota Dinas permintaan penambahan/perubahan parameter. Dari hasil pengujian untuk kontrol PRE-03-C-04, diketahui bahwa atribut pengendalian telah dilakukan dengan baik dan sesuai dengan RCM PT ABC tanpa adanya temuan untuk periode September – Desember 2013. Namun untuk kontrol nomor PRE-03-C-08, ditemukan ketidaksesuaian terkait atribut pengendalian nomor 3. Pada atribut ke-3 tersebut dinyatakan bahwa harus terdapat bukti review yang ditandatangani oleh pejabat berwenang berikut pada kertas kerja parameter tarif produk atau program selama 1 kuartal: 1. Dept. Prepaid Development, 2. Dept. Rating & Charging Mgmt., 3. Dept. VAS Data Service Mgmt., 4. Dept. ESB Mgmt. dan 5. Departemen terkait lainnya. Namun berdasarkan hasil pengujian selama periode pengujian September - Desember 2013, tidak terdapat tanda tangan pejabat berwenang dari Departemen berikut VAS Data Service Mgmt pada kertas kerja parameter tarif produk atau program selama 1 kuartal. Penguji lalu melakukan wawancara dengan Manager Departemen Prepaid Development, dan diperoleh keterangan bahwa Departemen VAS Data Service Mgmt tidak terlibat dalam proses perubahan/penambahan parameter produk atau program sehingga bukan merupakan pihak yang melakukan review pada kertas kerja parameter tarif produk atau program selama 1 kuartal. Keterangan tersebut menandakan bahwa terdapat perbedaan prosedur antara RCM dan praktik yang dilakukan pada periode ini sehingga menyebabkan ketidaksesuaian. Keterangan tersebut telah didiskusikan dengan Tim Internal Audit PT ABC, penguji lalu mendokumentasikan kondisi ini pada MoM.


4.4.3.2 Inject Value Tambahan (Bonus Tambahan) Business User (requestor) mengusulkan untuk program retention kepada pelanggan dengan kriteria tertentu dalam bentuk proposal atau Nodin ke Dept. Marketing Analytics & Campaign Support. Program retention merupakan program PT ABC di mana para pelanggan mendapatkan poin atas pengisian pulsa yang dilakukan, dan poin tersebut dapat ditukarkan dengan hadiah langsung. Program retention juga terdiri dari bonus tambahan pulsa Rp 5 ribu bila pelanggan mengisi pulsa sebanyak Rp 50 ribu untuk periode tertentu. Dari proposal/Nodin tersebut, Dept. Marketing Analytics & Campaign Support. Melakukan review dan analisis atas usulan dari business user tersebut. Bila usulan diterima, mereka mulai menyiapkan program campaign

untuk retention kepada pelanggan.

Sebelum eksekusi, Departemen terkait harus memastikan bahwa parameter pada CDDS sesuai dengan program campaign yang disiapkan. CDDS adalah aplikasi yang digunakan sebagai single gateway untuk melakukan inject bonus produk kepada pelanggan. Jika parameter telah sesuai, Dept. Marketing Analytics & Campaign Support dapat meng-create campaign dengan memberi value (bonus) tambahan kepada konsumen sesuai dengan kriteria pada CDDS. CDDS kemudian akan menambahkan nilai (inject bonus) sesuai dengan parameter yang ada pada Charging Gateway (sistem yang berfungsi melakukan charging ke OCS, termasuk inject bucket bonus). Proses ini dapat dilihat pada flowchart Lampiran 12. Dalam aplikasi CDDS dan sistem Charging Gateway, terdapat risiko yang

dapat

mempengaruhi

keandalan

pelaporan

keuangan

perusahaan.

Pengendalian beserta atributnya dapat dilihat pada Tabel 4.13 di bawah ini.


Tabel 4.13: RCM Inject Value Tambahan (Bonus Tambahan) Panel A: Risiko pada subproses Inject Value Tambahan (Bonus Tambahan) Risiko Pelaporan Keuangan [PRE-04] Pengakuan discount usage tidak sesuai dengan keadaan yang sebenarnya.

Penyebab Risiko A. Perhitungan discount tambahan tidak akurat karena kesalahan parameter/ konfigurasi Program dan/atau kesalahan nomor yang di-loading inject discount tambahan.

Risk Level

Fraud Risk

High

Yes

B. Terdapat proses inject discount tambahan USO* yang dilakukan tidak sesuai dengan dokumen pendukungnya.

Panel B: Aktivitas pengendalian pada subproses Inject Value Tambahan (Bonus Tambahan) No. Kontrol PRE-04C-15

Kontrol

Atribut Kontrol

A1. Melakukan proses UAT/testing proses serta verifikasi atas kesesuaian parameter program dan/atau pengajuan loading data inject discount tambahan berdasarkan kebijakan berlaku dengan yang diupdate di aplikasi oleh unit terkait, serta mengirimkan konfirmasi kepada Billing Assurance.

1. Terdapat: - Nota Dinas dari Div.Marketing Analytics & Campaign Support mengenai permintaan update parameter/konfigurasi program, dan/atau - Pengajuan loading data inject discount tambahan (bagi pelanggan tertentu) di CDDS/REFLEX** oleh pejabat berwenang sesuai kebijakan perusahaan. 2. Eksekusi: - Setting Parameter program inject discount tambahan telah di-set up unit terkait sesuai NODIN permintaan update parameter. - Jumlah Data loading Inject discount tambahan bagi pelanggan tertentu sesuai dengan pengajuan dari Divisi Marketing Analytics and Campaign Support. Apabila terdapat ketidaksesuaian maka harus didokumentasikan dan ditindaklanjuti kepada pihak terkait. 3. Terdapat tanda tangan pejabat berwenang dari Divisi Marketing Analytics and Campaign Support, Dept. Analytical and Micro Segment Development serta Dept. Billing Assurance, pada dokumentasi hasil perubahan/penambahan parameter dan/atau BA loading data inject discount tambahan.

Asersi: C, E/O, A, V/M Nature of Control: Preventive Frequency: Event Based Fraud Control: Yes IT Supporting Control: CDDS, REFLEX


Status

Comply

Comply

Comply

No. Kontrol

PRE-04C-12

Kontrol

A2. Melakukan monitoring secara periodik atas parameter program dan/atau pengajuan loading data inject discount tambahan yang telah berjalan agar sesuai dengan kebijakan perusahaan dan menginformasikan ketidaksesuaian yang terjadi (jika ada) ke departemen terkait untuk ditindaklanjuti. Asersi: C, A, V/M Nature of Control: Detective Frequency: Quarterly Fraud Control: Yes IT Supporting Control: URP Fisik, URP Elektronik

PRE-04C-13

B1. Melakukan Monitoring atas inject discount tambahan USO sesuai dengan kebijakan perusahaan. Asersi: C, A, V/M Nature of Control:

Atribut Kontrol 4. Mengirimkan dokumen hasil perubahan/penambahan parameter dan/atau BA loading data inject discount tambahan yang disertai lampiran Nodin request/ Dokumen pengajuan loading data inject discount tambahan dari business user kepada Dept. Billing Assurance. Note: Proses ini meliputi seluruh kegiatan di siklus Postpaid dan Prepaid. 1. Terdapat kertas kerja verifikasi tabel parameter program inject discount tambahan dan/atau pengajuan loading data inject discount tambahan (bagi pelanggan tertentu) di URP FisikElektronik terhadap kebijakan Perusahaan. 2. Penambahan/perubahan parameter program dan/atau pengajuan loading data inject discount tambahan sesuai dengan kebijakan perusahaan. Jika terdapat ketidaksesuaian harus ditindaklanjuti dan didokumentasikan secara memadai kepada pihak terkait. 3. Terdapat bukti review yang ditandatangani oleh pejabat berwenang Dept. Channel System Management dan Dept. Payment System Management serta departemen terkait lainnya pada kertas kerja parameter program inject discount tambahan dan/atau pengajuan loading data inject discount tambahan di URP Fisik-Elektronik. Note: Proses ini meliputi seluruh kegiatan di siklus Postpaid dan Prepaid.

Status

Comply




1. Terdapat Nota Dinas mengenai permintaan Inject Diskon Tambahan terkait dengan program USO di OCS dan mengirimkan kepada bagian terkait.

Comply

2. Terdapat bukti review dan tanda tangan pejabat berwenang dari Dept. Business Control & Assurance of STS dan Dept Rating & Charging Mgmt. pada dokumentasi Berita Acara Inject Diskon Tambahan USO.

Comply dengan MoM


No. Kontrol

Kontrol

Atribut Kontrol

Status

Detective Frequency: Monthly Fraud Control: Yes IT Supporting Control: OCS

3. Mengirimkan Dokumen Berita Acara Inject Diskon Tambahan USO yang disertai lampiran NODIN Request kepada Dept. Billing Assurance. NOTE: Proses ini meliputi seluruh kegiatan di siklus Postpaid dan Prepaid.

Comply

Sumber: PT ABC (diolah kembali) Keterangan: * Proyek USO (Universal Service Obligation) Desa Dering merupakan Program Pemerintah untuk penggelaran layanan akses telekomunikasi dan informatika dengan layanan dasar (basic service) yaitu suara dan teks di lebih dari 25.000 desa pada tahun 2009 dengan masa kontrak hingga 2014. Wilayah layanan USO PT ABC meliputi Sumatera, Jawa, Bali, Nusa Tenggara, dan Kalimantan. ** REFLEX: Aplikasi yang digunakan sebagai gateway provisioning service VAS dan paket produk.

Untuk kontrol PRE-04-C-15, total sampel yang uji adalah sebanyak 2 sampel yang merupakan seluruh permintaan update parameter/konfigurasi program dan/atau pengajuan loading data inject discount tambahan (bagi pelanggan tertentu) di CDDS/REFLEX selama periode September – Desember 2013. Dokumen pendukung yang menjadi unit sampling antara lain Nota Dinas Program Inject Tambahan (setiap perubahan parameter), dokumentasi Hasil Perubahan Parameter Inject Discount Tambahan (UAT), dan dokumen Konfirmasi ke Billing Assurance. Berdasarkan hasil pengujian untuk pengendalian PRE-04-C-15, tidak terdapat temuan dan aktivitas pengendalian beserta atributnya telah sesuai dengan RCM PT ABC untuk periode September – Desember 2013. Namun untuk kontrol PRE-04-C-12, berdasarkan wawancara dengan Pj. Channel System Management Dept. diperoleh keterangan bahwa setting mekanisme bonus tidak boleh dieksekusi di sistem aplikasi URP/Mkios, melainkan di sistem aplikasi lain seperti: OMS atau CDDS, dengan demikian yang seharusnya melakukan monitoring secara periodik atas parameter program dan/atau pengajuan loading data inject discount tambahan adalah Departemen yang menangani sistem aplikasi CDDS yaitu Analytical and Segment


Development Department. Sehingga pengendalian ini tidak dapat diuji (not applicable). Kontrol PRE-04-C-13, dari sejumlah 4 populasi yang merupakan seluruh aktivitas monitoring atas inject discount tambahan USO pada periode September – Desember 2013, diambil 3 sampel dari bulan September, Oktober, dan November 2013 berdasarkan ketentuan SOA Sampling pada Tabel 3.4. Adapun unit sampling yang digunakan dalam pengujian adalah Nota Dinas Inject Diskon Tambahan USO dan Berita Acara Inject Diskon Tambahan USO. Berdasarkan RCM pada Tabel 4.13, atribut pengendalian nomor 2 untuk kontrol PRE-04-C-13, terdapat bukti review dan tanda tangan pejabat berwenang dari Dept. Business Control & Assurance STS dan Dept. Rating & Charging Mgmt. pada dokumentasi Berita Acara Inject Diskon Tambahan USO. Namun berdasarkan hasil pengujian melalui inspeksi dokumen, Berita Acara Inject Diskon Tambahan USO tidak ditandatangani oleh pejabat berwenang dari Dept. Rating & Charging Mgt. Untuk menindaklanjuti hal ini, penguji melakukan wawancara dengan Staf dari Dept. Business Control & Assurance STS, Manager Business Control & Assurance STS Dept., Manager Sales, Campaign, and Marketing Mgt. Dept., dan Staf dari Department Analytical & Micro Segment Dev. Dept. Dari wawancara tersebut diperoleh informasi bahwa: 1.

Penyebabnya adalah Dept. Rating & Charging Mgt. tidak terlibat dalam proses inject discount tambahan USO.

2.

Sistem aplikasi OCS tidak dapat menerbitkan Berita Acara Inject Pulsa sehingga dibentuklah sistem aplikasi khusus yang melakukan trigger inject pulsa, yakni sistem aplikasi CDDS. Dept. Analytical & Micro Segment Dev. akan mengirimkan Nota Dinas kepada Dept. Sales, Campaign, and Marketing Mgt untuk melakukan eksekusi trigger inject pulsa USO. Setelah itu, Dept. Sales, Campaign, and Marketing Mgt. akan melakukan trigger inject pulsa berdasarkan Nota Dinas tersebut.

3.

Setelah melakukan trigger inject pulsa, Dept. Sales, Campaign, and Marketing Mgt. akan menerbitkan Berita Acara Eksekusi Batch Provisioning Inject Pulsa USO Bulanan yang berisi informasi terkait pelaksanaan Eksekusi


Batch Provisioning Inject Pulsa USO Bulanan menggunakan sistem aplikasi CDDS dan menampilkan summary hasil eksekusi yang telah dilaksanakan, berupa jumlah eksekusi yang failed dan jumlah eksekusi yang success. Berita acara ini akan diinformasikan kepada Dept. Analytical & Micro Segment Dev. dan Dept. Business Control & Assurance of STS sebagai pihak yang melakukan inisiasi agar dapat melakukan pengecekan apakah proses Eksekusi Batch Provisioning Inject Pulsa USO Bulanan telah dilaksanakan sesuai dengan summary yang terdapat pada Berita Acara Eksekusi yang dikirimkan oleh Dept. Sales, Campaign, and Marketing Mgt. Selanjutnya, jika telah sesuai, Dept. Analytical & Micro Segment Dev. dan Dept. Business Control & Assurance of STS akan menandatangani Berita Acara tersebut sebagai bukti bahwa Dept. Analytical & Micro Segment Dev. dan Dept. Business Control & Assurance of STS telah melakukan review atas pelaksanaan proses eksekusi tersebut.

4.4.3.3 Mass Add/Offering Dept. Core Billing & Broadband Strategic Projects Development menyiapkan Nota Dinas permintaan Mass Add/Offering OCS. Sesuai Nota Dinas tersebut, Dept. Rating & Charging Management melakukan eksekusi Mass Add/Offering OCS dan membuat dokumen Eksekusi Mass Add/Offering dan mengirimkannya kepada requestor dan Dept. Billing Assurance. Dept. Problem Escalation Management kemudian memeriksa dan menandatangani Dokumen Eksekusi Mass Add/Offering OCS dan mengirimkan konfirmasi kepada Dept. Billing Assurance. Proses ini dapat dilihat pada flowchart Lampiran 13. Dalam

melakukan

pemeriksaan

dan

penandatanganan

Dokumen

Eksekusi Mass Add/Offering OCS terdapat risiko yang dapat menyebabkan pengakuan pemakaian diskon (discount usage) tidak sesuai dengan yang sebenarnya. Penyebab risiko beserta aktivitas pengendaliannya dapat dilihat pada RCM Tabel 4.14 di bawah ini.


Tabel 4.14: RCM Mass Add/Offering Panel A: Risiko pada subproses Mass Add/Offering Risiko Pelaporan Keuangan [PRE-04] Pengakuan discount usage tidak sesuai dengan keadaan yang sebenarnya.

Penyebab Risiko Terdapat proses pemberian Add/offering di OCS yang dilakukan oleh unit tidak berwenang dan/atau tidak sesuai dengan dokumen pendukungnya.

Risk Level

Fraud Risk

High

Yes

Panel B: Aktivitas pengendalian pada subproses Mass Add/Offering No. Kontrol PRE-04C-18

Kontrol Melakukan verifikasi atas kesesuaian eksekusi Mass Add/offering OCS terhadap kebijakan perusahaan serta mengirimkan konfirmasi ke Dep. Billing Assurance. Asersi: C, A, V/M Nature of Control: Preventive Frequency: Event Based Fraud Control: Yes IT Supporting Control: OCS

Atribut Kontrol 1. Terdapat Nodin permintaan mass add/offering OCS yang diajukan kepada Dept. Rating & Charging Management oleh pejabat berwenang sesuai kebijakan perusahaan. 2. Eksekusi Mass Add/Offering OCS oleh Dept. Rating & Charging Management sesuai Nodin permintaan dari Dept. Problem Escalation Management serta lampiran daftar pelanggan yang diberikan Add/Offering OCS. 3. Terdapat tanda tangan pejabat dari Dept. Problem Escalation Management dan Dept. Rating & Charging Mgmt. serta unit terkait lainnya pada Dokumen Eksekusi Mass Add/Offering OCS. 4. Dokumen Eksekusi Mass Add/Offering OCS serta dokumen pendukungnya dikirimkan kepada Departemen Billing Assurance secara bulanan Note: Proses ini meliputi seluruh kegiatan di siklus Postpaid dan Prepaid.

Sumber: PT ABC Sumber: PT ABC (telah(diolah diolahkembali) kembali)


Status

Comply

Comply

Comply

Comply dengan MoM

Dari total tiga populasi yang merupakan seluruh Nodin Permintaan Mass Add/Offering OCS dari pejabat berwenang selama periode September – Desember 2013, diambil keseluruhan tiga populasi dari bulan untuk dijadikan sampel yang diuji. Adapun dokumen pendukung yang menjadi unit sampling adalah Nodin Permintaan Mass Add/Offering OCS dari pejabat berwenang, daftar pelanggan yang diberikan Mass Add/Offering OCS, dokumen/BA Eksekusi Mass Add/Offering OCS, dan dokumen konfirmasi ke Billing Assurance. Berdasarkan atribut pengendalian nomor 4 untuk kontrol PRE-04-C-18 dijelaskan bahwa “Dokumen Eksekusi Mass/Add Offering OCS serta dokumen pendukungnya dikirimkan kepada Departemen Billing Assurance secara bulanan.” Namun berdasarkan pengujian yang dilakukan, tidak semua dokumen eksekusi dikirimkan kepada Dept. Billing Assurance. Untuk menindaklanjuti hal ini, penguji melakukan wawancara dengan Officer bidang Problem Escalation. Berdasarkan wawancara tersebut, diperoleh keterangan bahwa Dokumen Eksekusi Mass Add/Offering OCS serta dokumen pendukungnya dikirimkan kepada pihak yang terkait untuk ditindaklanjuti. Pihak yang akan menindaklanjuti Eksekusi Mass Add/Offering OCS disesuaikan dengan setiap kasus yang terjadi. Dengan demikian, Dokumen Eksekusi Mass Add/Offering OCS serta dokumen pendukungnya tidak selalu dikirimkan kepada Dept. Billing Assurance setiap bulannya. Berdasarkan hasil pengujian selama periode September - Desember 2013, Dokumen Eksekusi Mass Add/Offering OCS serta dokumen pendukungnya dikirimkan kepada Manager Rating and Charging Management, Head of Fraud Monitoring and Collection Assurance Department, Manager Broadband and Loyalty Service Quality Management, Head of Analytical and Micro Segment Development Department, Manager Kartu A Regional Pricing, Manager Area SMS Campaign Planning and Performance, Manager Internet Package Application, Head of ESB Management Department, dan Manager Area SMS Campaign Planning and Performance, dan tidak hanya kepada Dept. Billing Assurance.


Kondisi ini telah didiskusikan dengan Tim Internal Audit PT ABC. Assessor telah mendokumentasikan ketidaksesuaian antara deskripsi atribut pengendalian pada RCM dengan praktik yang dilakukan selama periode pengujian September – Desember 2013 ini pada MoM.

4.4.4

Month-End Setiap akhir bulan, terdapat aktivitas pengendalian yang dilakukan dalam

mendeteksi adanya kecurangan dan penyimpangan yang dapat berdampak signifikan terhadap pelaporan keuangan perusahaan. Tiga risiko pelaporan keuangan beserta penyebab risikonya dan aktivitas pengendaliannya dalam subproses Month-End dapat dilihat pada Tabel 4.15 di bawah. Tabel 4.15: RCM Proses Month-End Panel A: Risiko pada subproses Month End Risiko Pelaporan Keuangan

Penyebab Risiko

[PRE-01] Penerimaan tunai dan proses transfer rekening atas penjualan kartu/voucher/e-voucher/device (termasuk PSB kartu postpaid) serta penerimaan piutang kartu postpaid (tunai dan non-H2H) dan pencatatannya tidak lengkap/tidak akurat.

A. Terdapat kesalahan/keterlambatan pencatatan transaksi penjualan dan penerimaan kas. B. Pencatatan penerimaan penjualan ke GL Oracle tidak lengkap dan tidak akurat. C. Pencatatan atas penerimaan penjualan kartu/voucher tidak sesuai dengan penerimaannya di rekening koran. A. Hasil interface data unearned revenue used ke GL Oracle (melalui BEA Middleware*) tidak lengkap dan tidak akurat.

[PRE-03] Pengakuan unearned revenue dan usage tidak lengkap dan tidak akurat akibat penyalahgunaan recharging atau kesalahan setting parameter.

Risk Level

Fraud Risk

Moderate

Yes


Risiko Pelaporan Keuangan

B. Adanya ketidakwajaran jumlah usage (pemakaian) atas produk prabayar dibandingkan dengan jumlah penjualan yang dilakukan. C. Adanya perbedaan antara data dari INDIRA** dengan data yg masuk dalam proses interface ke GL Oracle melalui BEA Middleware. [PRE-06] Saldo unused dan outpayment dari produk prepaid tidak akurat.

Risk Level

Fraud Risk

Moderate

Yes

Moderate

Yes

Penyebab Risiko

A. Data yang di-upload dari sistem OCS dan URP-Fisik untuk perhitungan Unused prepaid tidak lengkap. B. Data yang di-upload dari OCS ke GL Oracle untuk perhitungan Outpayment prepaid tidak lengkap.

Panel B: Aktivitas pengendalian pada subproses Month End No. Kontrol PRE-01D-03

Kontrol A1. Melakukan verifikasi nilai pendapatan penjualan, penerimaannya dan saldo advance from dealer serta menindaklanjuti selisih yang terjadi.

Atribut Kontrol

Status

1. Jumlah penerimaan penjualan kartu/voucher/e-voucher pada akun bank di GL Oracle selama satu bulan sesuai dengan jumlah penerimaan pada Validasi Bank dari Treasury Area/Finance Regional dan Cash Collection Control. Selisih yang terjadi harus diidentifikasi, ditindaklanjuti dan didokumentasikan secara memadai.

Comply


No. Kontrol

Kontrol Asersi: C, E/O, A Nature of Control: Detective Frequency: Monthly Fraud Control: No IT Supporting Control: Paradise, GL Oracle

PRE-01D-05

B1. Memeriksa rekonsiliasi bank penerimaan penjualan dan menindaklanjuti bila terdapat kesalahan. Asersi: C, E/O, A Nature of Control: Detective Frequency: Monthly Fraud Control: No IT Supporting Control: GL Oracle

PRE-01D-04

C1. Melakukan rekonsiliasi atas pencatatan penjualan kartu/voucher/evoucher kepada

Atribut Kontrol 2. Jumlah pendapatan penjualan kartu/voucher/e-voucher di GL Oracle selama satu bulan sesuai dengan jumlah penjualan dan penerimaannya pada data hasil interface ke GL Oracle dan jumlah penjualan e-voucher (yang bersifat konsinyasi) pada Laporan Penjualan dari Cash Collection Control. Selisih yang terjadi harus diidentifikasi, ditindaklanjuti dan didokumentasikan secara memadai. 3. Saldo Advance from Dealer di GL Oracle sesuai dengan daftar advance from Dealer (SO yang belum ada DO nya) ditambah penerimaan yang belum tercatat di Paradise (SO yang belum di paid, namun uang sudah diterima) dari seluruh Treasury Area/Finance Regional dan Cash Collection Control Kantor Pusat. Selisih yang terjadi harus diidentifikasi, ditindaklanjuti dan didokumentasikan secara memadai. 4. Terdapat tanda tangan pejabat berwenang sebagai bukti review pada Daftar Advance from Dealer dan Laporan Hasil Interface data Penjualan. 1. Saldo bank yang telah direkonsiliasi (reconciled balance) pada rekonsiliasi bank sesuai dengan saldo bank penerimaan di GL Oracle. Selisih yang terjadi harus diidentifikasi, ditindaklanjuti dan didokumentasikan secara memadai. 2. Terdapat tanda tangan pejabat berwenang sebagai bukti review pada Rekonsiliasi Bank.

1. Terdapat kertas kerja rekonsiliasi penjualan kartu/voucher/e-voucher kepada Authorized Dealer berdasarkan Paradise dengan penerimaan uang pada rekening koran.


Status

Comply

Comply

Comply

Comply

Comply

Comply

No. Kontrol

Kontrol Authorized Dealer dengan penerimaan uang pada rekening koran. Asersi: C, E/O, A Nature of Control: Detective Frequency: Monthly Fraud Control: Yes IT Supporting Control: Paradise

PRE-03D-08

A1. Memeriksa akurasi pencatatan unearned revenue used di GL Oracle. Asersi: C, E/O, A, V/M Nature of Control: Detective Frequency: Monthly Fraud Control: No IT Supporting Control: GL Oracle, INDIRA, OCS

PRE-03D-09

B1. Melakukan pengujian atas kewajaran saldo unearned revenue (net) di GL pada akhir periode terhadap saldo pelanggan OCS ditambah nilai voucher aktif di modul recharging. Asersi: C, E/O, V/M Nature of Control: Detective Frequency: Monthly Fraud Control: Yes IT Supporting Control: URP Fisik, URP Elektronik, Aplikasi X, OCS

Atribut Kontrol 2. Jumlah penjualan kartu/voucher/evoucher kepada Authorized Dealer berdasarkan pencatatan di Paradise sesuai dengan jumlah penerimaan uang pada rekening koran. Selisih yang terjadi harus diidentifikasi, ditindaklanjuti dan didokumentasikan secara memadai. 3. Terdapat bukti review pejabat berwenang pada Kertas Kerja Rekonsiliasi. 1. Jumlah mutasi tambahan unearned revenue used yang tercatat pada GL Oracle sesuai dengan jumlah usage revenue yang terdapat pada Berita Acara Interface Data Summary Usage Prepaid - GL Oracle, yang ditandatangani oleh pejabat berwenang dari Dept. FSOM, dan Dept. Prepaid Revenue Accounting. Selisih yang terjadi telah diidentifikasi, ditindaklanjuti dan didokumentasikan secara memadai. 1. Pengujian atas kewajaran saldo unearned revenue (net) dilakukan secara bulanan dan didokumentasikan di dalam Kertas Kerja Pengujian Saldo Unearned Revenue. 2. Saldo Unearned Revenue (net) di GL telah diuji kewajarannya dengan data saldo pelanggan OCS, nilai voucher dan e-voucher yang telah terjual serta faktor-faktor lainnya. 3. Terdapat kesimpulan atas kewajaran saldo unearned revenue (net) dan justifikasi yang memadai atas selisih yang terjadi pada Kertas Kerja Pengujian Saldo Unearned Revenue (net). Catatan: Selisih dikatakan wajar apabila tidak melebihi batas yaitu sebesar 5% dari net unearned revenue di GL Oracle. 4. Terdapat bukti persetujuan pejabat berwenang atas selisih yang terjadi.


Status

Comply

Comply

Comply

Comply

Comply

Not Applicable (N/A)

Not Applicable (N/A)

No. Kontrol

PRE-03D-13

Kontrol

C1. Memeriksa kelengkapan dan kebenaran data summary usage prepaid dan data outpayment hasil proses transfer dari INDIRA ke GL Oracle melalui BEA Middleware serta menindaklanjuti kesalahan-kesalahan yang ditemukan. Asersi: C, E/O, A Nature of Control: Detective Frequency: Monthly Fraud Control: No IT Supporting Control: INDIRA, BEA Middleware, GL Oracle

PRE-06D-16

A1. Melakukan verifikasi kelengkapan data Voucher Expired untuk pencatatan Unused Prepaid. Asersi: C, A Nature of Control: Detective Frequency: Monthly Fraud Control: No IT Supporting Control: URP Fisik

PRE-06D-15

B1. Melakukan verifikasi kelengkapan data outpayment untuk pencatatan Outpayment Prepaid.

Atribut Kontrol 5. Terdapat tanda tangan pejabat berwenang sebagai bukti review atas Kertas Kerja Pengujian Saldo Unearned Revenue (net). 1. Terdapat dokumentasi Berita Acara Interface Data Prepaid - GL Oracle yang menyatakan Summary Usage Prepaid dan Outpayment sesuai dengan: - Berita Acara Report Revenue Prepaid dan Berita Acara Report Outpayment Prepaid yang ditandatangani oleh pejabat berwenang dari Dept Billing & Cust.Mgmt, Dept Billing Assurance dan Dept FSOM. - Journal Interface Report yang ditandatangani oleh pejabat berwenang dari Dept FSOM dan Dept Prepaid Revenue Accounting. Selisih Interface dari INDIRA ke GL Oracle melalui BEA Middleware telah diidentifikasi, ditindaklanjuti dan didokumentasi secara memadai.

Status

Comply

Comply

1. Terdapat verifikasi atas jumlah voucher dengan status expired di URP-Fisik tetapi sudah terjual.

Comply

2. Hasil verifikasi atas nilai Unused Voucher sesuai dengan jumlah voucher yang statusnya berubah dari enable menjadi expired di URP-Fisik.

Comply

3. Terdapat bukti review pejabat berwenang pada Laporan Unused Prepaid - Voucher expired sebagai bukti bahwa nilai unused voucher telah sesuai dengan yang seharusnya. 4. Terdapat bukti pelaporan nilai Unused Voucher kepada Dept. PrePaid Revenue Accounting. 1. Terdapat verifikasi atas nilai outpayment dari OCS. 2. Hasil verifikasi atas nilai outpayment sesuai dengan saldo pelanggan yang sudah 'expired' di OCS.


Comply

Comply Comply

Comply

No. Kontrol

Kontrol Asersi: C, A Nature of Control: Detective Frequency: Monthly Fraud Control: No IT Supporting Control: INDIRA, OCS

Atribut Kontrol 3. Data hasil verifikasi Outpayment OCS di-interface ke GL Oracle, dan terdapat tanda tangan pejabat berwenang dari Dept.Billing Assurance, Dept. Billing & Customer Management dan Dept. FSOM atas Berita Acara Report Outpayment Prepaid. Selisih yang terjadi telah diidentifikasi, ditindaklanjuti dan didokumentasikan secara memadai.

Status

Comply

Sumber: PT ABC (diolah kembali) Keterangan: *BEA Middleware adalah aplikasi middleware antara aplikasi penyedia data subledger dan aplikasi OASIS (aplikasi berbasis database Oracle yang menyediakan data Finance & Accounting dan memproses data untuk modul-modul di dalamnya, seperti modul finance, modul purchasing, modul project dll.). Aplikasi ini berfungsi untuk reformat dan mapping field data dari aplikasi data provider ke dalam format data di aplikasi OASIS. **INDIRA adalah aplikasi yang berfungsi untuk reporting revenue prepaid dan complain handling pelanggan prepaid.

Seluruh aktivitas pengendalian yang terdapat pada siklus Month End memiliki frekuensi pengendalian bulanan (monthly), sehingga sampel yang digunakan adalah sebanyak 3 (tiga) yang merupakan sampel transaksi dari periode bulan September, Oktober, dan November 2013 sesuai ketentuan SOA Sampling pada Tabel 3.4. Kontrol PRE-01-D-03 memiliki populasi yang merupakan semua transaksi yang berkaitan dengan penjualan kartu/voucher/e-voucher dan penerimaan kantor regional di GL Oracle selama periode September – Desember 2013. Dokumen pendukung yang dijadikan unit sampling antara lain Rekonsiliasi Bank Penerimaan Penjualan Prepaid untuk Regional & Kantor Pusat (validasi Bank) selama periode September - Desember 2013, Daftar Advance from Dealer selama periode September - Desember 2013, Laporan Hasil Interface Data Penjualan selama periode September - Desember 2013, dan Kertas Kerja Validasi Data Sales selama periode September - Desember 2013. Kontrol PRE-01-D-05, memiliki populasi yang merupakan seluruh Rekonsiliasi bank penerimaan atas penjualan kartu/voucher prabayar selama periode September - Desember 2013. Dokumen pendukung yang dijadikan unit sampling adalah Rekonsiliasi Bank


Penerimaan Penjualan BNI, BCA, BRI, dan Mandiri. Untuk kontrol PRE-D-04, populasinya adalah seluruh Kertas Kerja Rekonsiliasi Penjualan Kartu/Voucher/eVoucher Kepada Authorized Dealer (Paradise) vs Rekening Koran selama periode September - Desember 2013. Adapun dokumen pendukung yang dijadikan unit sampling adalah Kertas Kerja Rekonsiliasi Penjualan Kartu/Voucher/e-Voucher Kepada Authorized Dealer (Paradise) vs Rekening Koran, Rekening Koran, dan Laporan Penjualan AD (Paradise). Kontrol PRE-03-D-08 memiliki populasi yang merupakan seluruh Berita Acara Interface Data Summary Usage Prepaid selama periode September Desember 2013. Dokumen pendukung yang digunakan dalam pengujian antara lain Berita Acara Interface Data Prepaid - GL Oracle, Kertas Kerja Unearned Used, dan Trial Balance. Sedangkan, kontrol PRE-03-D-09 memiliki populasi yang merupakan semua kertas kerja pengujian saldo unearned revenue selama periode September - Desember 2013. Dokumen pendukung yang digunakan adalah Kertas kerja pengujian saldo unearned revenue dan Trial balance. Untuk kontrol PRE-03-D-13, populasi yang dimiliki adalah seluruh Berita Acara Report Revenue Prepaid secara bulanan selama bulan September - Desember 2013 dengan dokumen pendukung Berita Acara Report Revenue Prepaid, Berita Acara Report Outpayment Prepaid, Journal Interface Report, dan Berita Acara Interface Data Prepaid-GL Oracle. Kontrol PRE-06-D-16 memiliki populasi yang merupakan seluruh Kertas Kerja Rekonsiliasi Expired dengan DO Paradise selama periode September Desember 2013 dengan dokumen pendukung Log Unused Voucher dan Kertas Kerja Rekonsiliasi Expired dengan DO Paradise. Sedangkan untuk kontrol PRE06-D-15, terdapat populasi yang merupakan seluruh Berita Acara Report Outpayment Prepaid (interface) selama periode September - Desember 2013, di mana dokumen pendukung yang digunakan dalam pengujian adalah Log atas Outpayment, dan Berita Acara Report Outpayment Prepaid (interface). Dari pengujian yang telah dilakukan melalui inspeksi dokumen dan wawancara dengan pejabat terkait, tidak ditemukan ketidaksesuaian antara praktik yang dilakukan oleh manajemen dengan RCM yang ada pada Tabel 4.14,


sehingga disimpulkan bahwa aktivitas pengendalian pada subproses Month End telah berjalan efektif dan patuh (comply) dengan RCM ICoFR Fase III PT ABC untuk periode September – Desember 2013.

4.5

Analisis

4.5.1

Implementasi Monitoring PT ABC berdasarkan COSO Framework dan COSO Monitoring Guidance 2009 Untuk memenuhi komponen terakhir COSO, PT ABC melakukan

pengawasan atas ICoFR dengan melakukan evaluasi berkala (ongoing evaluation) yang

dilakukan

sepanjang

berjalannya

proses

bisnis

perusahaan.

Evaluasi/pengujian ini dilakukan dalam tiga fase, mengikuti perkembangan bisnis dan perubahan struktur organisasi perusahaan. Ongoing evaluation ini dilakukan untuk memastikan bahwa komponen-komponen pengendalian internal yang telah ditentukan dalam RCM PT ABC kerap hadir (present) dan berfungsi (functioning) selama berjalannya proses bisnis perusahaan. Bila ditemukan defisiensi pengendalian atau ketidaksesuaian antara Risk Control Matrix dan praktik yang dijalankan, RSM AAJ sebagai assessor langsung mengkomunikasikan hal tersebut kepada pihak-pihak yang bertanggung jawab untuk dilakukan proses penindaklanjutan, dalam hal ini pihak yang bertanggung jawab adalah Manajemen. Proses komunikasi tersebut lalu didokumentasikan ke dalam sebuah Minutes of Meeting yang ditandantangani oleh Manajer dan Officer departemen terkait. Mengacu pada pendekatan monitoring berdasarkan COSO’s Monitoring Guidance pada Gambar 2.3, PT ABC telah: 1. Membentuk dasar pemantauan (Establish a Foundation), dengan memahami struktur, lingkungan, dan budaya organisasi, serta memahami efektivitas pengendalian internal secara keseluruhan sebagai landasan dalam melakukan penilaian risiko dan mendisain aktivitas pengendalian internal perusahaan. Tahap ini dilakukan oleh pihak Internal Audit dan berdasarkan persetujuan manajemen PT ABC.


2. Merancang dan mengeksekusi prosedur pemantauan yang diprioritaskan untuk risiko-risiko terkait pencapaian objektif perusahaan (Design & Execute) di mana objektif yang ingin dicapai perusahaan untuk pengujian ICoFR ini adalah Keandalan Pelaporan Keuangan (Financial Reporting Reliability). Perancangan dilakukan oleh pihak Internal Audit PT ABC dan konsultan luar perusahaan dan setujui oleh Manajemen dan disampaikan dalam bentuk Risk Control Matrix, sedangkan pengeksekusian prosedur pemantauan dilakukan oleh RSM AAJ. 3. Menilai keefektifan pengendalian internal

atas pelaporan keuangan

perusahaan dan melaporkan hasilnya (Assess & Report). Tahap ini dilakukan oleh RSM AAJ berdasarkan RCM yang telah dibentuk dan untuk pengujian ICoFR ini, RSM AAJ memiliki tiga langkah pendekatan dalam melakukan jasa konsultasi kepada PT ABC. Pendekatan ini dapat dilihat pada Gambar 4.3 di bawah ini.

Communicate

Plan

•

Lihat Tabel 4.1 • •

•

Perform

•

Mengumpulkan dan mengevaluasi bukti audit

Menentukan sifat dan bentuk komunikasi dengan klien Memberikan saran kepada klien Menentukan bentuk komunikasi akhir kepada klien Mengkomunikasikan laporan final kepada klien Melakukan monitoring dan follow-up (bila ada, sesuai dengan ruang lingkup keterlibatan)

Gambar 4.3: Pendekatan jasa konsultasi RSM AAJ Associates Sumber: RSM AAJ Associates (diolah kembali)


Perform Berdasarkan Tabel 4.1 Project Plan SOA Testing PT ABC, disebutkan bahwa periode pengujian (Testing Schedule) untuk pengujian Fase III ini adalah dari bulan Desember 2013 hingga Februari 2014. Namun pada praktik sebenarnya, proses mengumpulkan dan mengevaluasi bukti audit dilakukan RSM AAJ hingga awal Maret 2014. Hal ini disebabkan oleh kurang responsifnya pihakpihak terkait pada departemen yang sedang diuji sehingga pada saat proses implementasi pengujian, banyak dokumen-dokumen dan data yang masih pending pada akhir Februari 2014, sehingga tim penguji tidak dapat mengikuti timeline pengujian dengan tepat waktu.

Communicate Setiap penilaian pada setiap pengendalian yang diuji didokumentasikan pada sebuah Kertas Kerja. Kertas Kerja Hasil Pengujian harus ditandatangani oleh penguji dan reviewer sebagai bukti bahwa kertas kerja pengujian telah diperiksa keakuratannya. Reviewer harus memastikan bahwa informasi kertas kerja hasil pengujian telah mencakup informasi/kondisi di lapangan sehingga dapat dilakukan pengujian ulang apabila diperlukan oleh Auditor Eksternal. Kertas Kerja tersebut selanjutnya dikomunikasikan oleh manajer terkait, dan Pj. Manager Financial Compliance Audit. Pada akhir periode pengujian, RSM AAJ melaporkan kepada pihak Internal Audit terkait jumlah aktivitas pengendalian yang terpenuhi, terpenuhi dengan catatan (MoM), tidak terpenuhi, dan non applicable. Dari informasi ini, pihak SOA Audit PT ABC membuat Laporan Akhir Test of Control untuk menyimpulkan efektivitas pengendalian internal atas pelaporan keuangan tahun 2013

yang ditandatangani oleh General Manager

Financial Audit PT ABC dan dilaporkan kepada Komite Audit PT ABC.


4.5.2

Analisis Pengujian ICoFR pada Siklus Pendapatan Prepaid PT ABC Dari keseluruhan empat proses dalam siklus pendapatan prepaid, yaitu

Penjualan Kartu/Voucher/E-voucher/Device prabayar, Recharging, Prepaid Usage Calculation, dan Month-End, terdapat 29 (dua puluh sembilan) aktivitas pengendalian internal atas pelaporan keuangan yang diuji. Dari 29 aktivitas pengendalian tersebut, 2 di antaranya tidak dapat diuji (Not Applicable) karena tidak adanya transaksi/kejadian yang diminta untuk periode September – Desember 2013. Aktivitas pengendalian yang diklasifikasikan N/A antara lain: a. PRE-03-B-07 (dari subproses Monitoring pada Proses Recharging) Tidak terdapat temuan Dept. Collection Assurance atas ketidaksesuaian jumlah recharging secara end to end (dimulai dari modul channel penjualan sampai ke OCS), sedangkan pengendalian internal yang diminta adalah “Menindaklanjuti temuan Dept. Collection Assurance atas ketidaksesuaian jumlah recharging secara end to end (dimulai dari modul channel penjualan sampai ke OCS)”. b. PRE-04-C-12 (dari subproses Inject Value Tambahan pada Proses Prepaid Usage Calculation) Setting mekanisme bonus tidak boleh dieksekusi di sistem aplikasi URP/Aplikasi X, melainkan di sistem aplikasi lain seperti: OMS atau CDDS,

sedangkan

salah

satu

atribut

pengendalian

kontrol

ini

menyebutkan “Terdapat kertas kerja verifikasi tabel parameter program inject discount tambahan dan/atau pengajuan loading data inject discount tambahan (bagi pelanggan tertentu) di URP Fisik-Elektronik terhadap kebijakan Perusahaan.” Selain itu, terdapat 6 aktivitas pengendalian yang memiliki atribut pengendalian yang diklasifikasikan sebagai Comply dengan MoM, karena terdapat ketidaksesuaian antara aplikasi dan atribut dengan RCM. Keenam aktivitas pengendalian tersebut antara lain: Dari Proses Penjualan Kartu/Voucher/E-voucher/Device prabayar (2 kontrol) a. PRE-01-A-02 (subproses Penjualan indirect melalui multibanking)


Tidak ada bukti selisih yang diinformasikan kepada Dept. ERP Management yang seharusnya dilakukan menurut atribut nomor 1 “selisih yang terjadi harus diidentifikasi, didokumentasikan secara memadai dan diinformasikan kepada Dept. Payment System Management, Dept. ERP Management, Dept. Cash Collection Control untuk ditindaklanjuti”. Penyebab: Dept. ERP Mgt. memang tidak terlibat dalam proses verifikasi maupun tindak lanjut atas jumlah transaksi recharge e-voucher untuk channel bank dan non-bank melalui URP. Fungsi Departemen ERP Management adalah sebagai penanggung jawab untuk aplikasi Redbrick, yaitu sistem aplikasi yang digunakan untuk proses rekonsiliasi transaksi recharge. b. PRE-01-A-06 (dari subproses penjualan direct melalui Branch/Metro) Pada saat dilakukan pengujian untuk kontrol ini, tidak ditemukan Cash Book Report (OCS) untuk memenuhi atribut 1 yang menyebutkan bahwa “Jumlah penerimaan piutang KartuPostpaid (H2H) yang masuk ke rekening Collection Kantor Pusat sesuai dengan (i) Cash Book Report (OCS), (ii) Rekening Koran Collection Kantor Pusat, dan (iii) Data penerimaan piutang Cookies (OCS) H2H hasil validasi Dept. Fraud Monitoring & Collection Assurance”. Penyebab: nama dokumen pada poin (i) seharusnya adalah "Log data enter payment OCS" bukan "Cash Book Report". Dari Proses Recharging (1 kontrol) a. PRE-03-B-10 (subproses Automatic Recharge Voucher Fisik) Tidak terdapat Nota Dinas Pengajuan loading data inject discount tambahan untuk memenuhi atribut 1 yang menyebutkan “Terdapat Nota Dinas Pengajuan loading data inject discount tambahan (bagi pelanggan tertentu) di URP Fisik - Elektronik oleh pejabat berwenang Dept. Channel System Management sesuai kebijakan perusahaan”. Penyebab: Memang tidak terdapat pengajuan loading data inject discount tambahan (bagi pelanggan tertentu) di URP Fisik - Elektronik oleh pejabat


berwenang Dept. Channel System Management selama periode pengujian September - Desember 2013. Tidak terdapat tanda tangan pejabat berwenang dari Departemen Customer Profile & Inventory Assurance untuk memenuji atribut 3 yang menyebutkan bahwa "Terdapat tanda tangan pejabat berwenang Dept. Channel System Management, Dept. Payment System Management dan Dept. Customer Profile & Inventory Assurance serta Dept terkait lainnya pada dokumentasi hasil perubahan/penambahan parameter, pembuatan dan/atau penghapusan Bucket Recharge URP serta BA loading data inject discount tambahan (jika ada)." Penyebab: Tidak diperlukan tanda tangan pejabat berwenang dari Departemen Customer Profile & Inventory Assurance untuk dokumentasi hasil perubahan/penambahan parameter, pembuatan bucket URP. Bukti persetujuan pejabat berwenang tersebut hanya diperlukan pada saat dilakukan validasi terhadap sisa stock/saldo pada bucket yang akan ditutup. Dari Proses Prepaid Usage Calculation (3 kontrol) a. PRE-03-C-08 (dari subproses Rating) Tidak terdapat tandatangan pejabat berwenang dari Dept. VAS Data Service Management, di mana dalam atribut 3 disebutkan bahwa “Terdapat bukti review yang ditandatangani oleh pejabat berwenang berikut pada kertas kerja parameter tarif produk atau program selama 1 kuartal: Dept. Prepaid Development, Dept. Rating & Charging Mgmt., Dept. VAS Data Service Mgmt., Dept. ESB Mgmt. dan Departemen terkait lainnya.” Penyebab: Departemen VAS Data Service Management memang tidak terlibat dalam proses perubahan/penambahan parameter produk atau program sehingga bukan merupakan pihak yang melakukan review pada kertas kerja parameter tarif produk atau program selama 1 kuartal. b. PRE-04-C-13 (dari subproses Inject Value Tambahan)


Berita Acara Inject Diskon Tambahan USO tidak ditandatangani oleh pejabat berwenang dari Dept. Rating & Charging Mgt, di mana pada atribut nomor disebutkan bahwa “Terdapat bukti review dan tanda tangan pejabat berwenang dari Dept. Business Control & Assurance of STS dan Dept Rating & Charging Mgmt. pada dokumentasi Berita Acara Inject Diskon Tambahan USO.” Penyebab: Dept. Rating & Charging Management memang tidak terlibat dalam proses inject discount tambahan USO. c. PRE-04-C-18 (dari subproses Mass Add/Offering) Terdapat Dokumen Eksekusi Mass Add/Offering OCS yang tidak dikirimkan kepada Dept. Billing Assurance. Hal ini tidak memenuhi atribut

4

yang

menyebutkan

bahwa

"Dokumen

Eksekusi

Mass

Add/Offering OCS serta dokumen pendukungnya dikirimkan kepada Departemen Billing Assurance secara bulanan." Penyebab: Dokumen Eksekusi Mass Add/Offering OCS serta dokumen pendukungnya dikirimkan kepada pihak yang terkait untuk ditindaklanjuti. Pihak yang akan menindaklanjuti Eksekusi Mass Add/Offering OCS disesuaikan dengan setiap kasus yang terjadi. Sehingga, Dokumen Eksekusi Mass Add/Offering OCS serta dokumen pendukungnya tidak selalu dikirimkan kepada Dept. Billing Assurance setiap bulannya. Dari hasil pengujian yang dilakukan oleh RSM AAJ Associates, kondisi di atas dianggap sebagai temuan yang tidak signifikan oleh pihak SOA Audit PT ABC. Yang termasuk temuan signifikan berdasarkan kriteria IA PT ABC adalah: 1. Temuan yang tidak dapat dikoreksi dalam waktu singkat, mengakibatkan kewajiban atau kerugian bagi perseroan 2. Membutuhkan upaya rutin (reorganisasi, waktu, dan sumberdaya) untuk melakukan koreksi terhadap temuan tersebut 3. Pelanggaran signifikan terhadap hukum, peraturan, atau kebijakan yang berlaku 4. Kecurangan, pencurian, dan penyalahgunaan keuangan


Dikarenakan ketidaksesuaian pada beberapa aktivitas pengendalian di atas disebabkan oleh perbedaan penggunaan nama departemen, fungsi departemen, dan prosedur yang dilakukan antara RCM yang dibuat oleh pihak Internal Audit dengan kondisi pada proses bisnis terkini, temuan tersebut tidak dianggap sebagai sebuah pelanggaran dan tidak memenuhi kriteria temuan signifikan yang ada. Dalam hal ini, permasalahan/ketidaksesuaian muncul karena RCM yang dirancang oleh Internal Control Design and Monitoring Division belum diperbarui sesuai dengan proses bisnis yang berjalan pada periode yang diuji. Hal ini terjadi karena perubahan proses bisnis perusahaan yang kerap berganti selama tahun 2013, sehingga terdapat kemungkinan bahwa perubahan proses bisnis terbaru belum sepenuhnya dikomunikasikan kepada seluruh pihak (termasuk Internal Audit) dalam perusahaan. Setiap ketidaksesuaian antara praktik yang ada dan aktivitas pengendalian dalam RCM yang ditemukan oleh assessor telah diklarifikasi oleh pejabat berwenang terkait dan didokumentasikan oleh RSM AAJ Associates pada Minutes of Meeting. MoM tersebut dijadikan sebagai catatan untuk pihak internal perusahaan agar mengkomunikasikan proses bisnis terbaru sehingga Internal Audit dapat merancang RCM sesuai dengan proses bisnis terkini. Meskipun begitu, aktivitas-aktivitas pengendalian yang bersangkutan tetap berjalan dengan efektif sehingga diklasifikasikan sesuai dan comply dengan RCM PT ABC untuk periode September – Desember 2013. Rangkuman hasil pengujian ICoFR Fase III untuk pengendalian pada Siklus Pendapatan Prepaid PT ABC dapat dilihat pada Tabel 4.16 di bawah ini.


Tabel 4.16: Hasil Pengujian ICoFR Fase III untuk Siklus Pendapatan Prepaid PT ABC

Keterangan

Prepaid

Σ Pengendalian Intern

29

Comply

27

Not Comply

0

Not Applicable

2

Σ Pengendalian Intern Diuji % Tingkat Kepatuhan Fase 3 Tahun 2013

29 100%

Sumber: Laporan TOC Fase III PT ABC (telah diolah kembali)

Dari hasil di atas, dapat disimpulkan bahwa pengendalian internal untuk Siklus Pendapatan Prepaid di perusahaan PT ABC telah berjalan dengan efektif untuk periode September hingga Desember tahun 2013 ini. Bila dikaitkan dengan prinsip komponen monitoring pada kerangka pengendalian COSO, maka komponen pengendalian internal perusahaan untuk siklus pendapatan prepaid, telah secara efektif telah hadir (present), dan berfungsi (functioning) dengan baik. Kelengkapan dokumentasi sebagai bukti pelaksanaan pengendalian internal yang dipersyaratkan juga dilakukan dengan baik oleh manajemen PT ABC. Dari hasil pengujian ICoFR yang telah dilakukan AAJ tersebut, SOA Audit PT ABC menyimpulkan bahwa tingkat kepatuhan terhadap kebijakan pengendalian internal Siklus Pendapatan Prepaid di Kantor Pusat untuk Fase III (periode September – Desember) Tahun 2013 sesuai dengan kriteria Sangat Baik berdasarkan KD No. 020/IA.01/PD-00/VII/2011 tentang Standar Pemeringkatan Hasil Audit PT ABC. Menurut KD No. 020/IA.01/PD-00/VII/2011, kriteria Sangat Baik ini dipenuhi jika kondisi atas hasil pengujian mempunyai kriteria sebagai berikut:


1) Tidak terdapat temuan signifikan, disertai dengan sedikitnya pelanggaran teknis maupun catatan pelanggaran 2) Temuan dalam laporan tidak membutuhkan tanggapan maupun saran untuk memperbaiki tingkat efisiensi.

Terkait dengan poin (2) di atas, tanggapan dan saran yang dimaksud adalah saran untuk memperbaiki temuan yang bersifat signifikan. Dalam hal ini, rekomendasi yang disarankan oleh RSM AAJ dalam Minutes of Meeting merupakan saran yang ditujukan kepada Internal Control Design & Monitoring Division dan manajemen PT ABC untuk memperbaiki perbedaan pemahaman prosedur dan alur proses bisnis antara kedua belah pihak yang menyebabkan adanya ketidaksesuaian yang tidak signifikan. Perbedaan yang ditemukan pada pengendalian internal tidak bersifat signifikan (tidak terkait pencapaian objektif pengendalian). Perbedaan tersebut merupakan area untuk perbaikan (opportunity for improvement) dan bukan merupakan kelemahan pengendalian internal perusahaan, sehingga, kondisi pada poin (1) dan (2) untuk kriteria ini tetap terpenuhi.


BAB 5 KESIMPULAN DAN SARAN

5.1

Kesimpulan Berdasarkan pembahasan dan analisis yang dikemukakan pada Bab 4,

dapat ditarik beberapa kesimpulan, antara lain: 1. Secara umum, implementasi ICoFR perusahaan telah dilakukan dengan baik dan sejalan dengan pendekatan ICoFR yang dikemukakan oleh Robert Moeller (2009): Organize the Section 404 compliance project approach, develop a project plan, identify, document, and test key internal controls, review compliance results with key stakeholders, dan complete report on the effectiveness of the internal control structure. Dengan implementasi ICoFR yang baik ini, pengendalian internal atas pelaporan keuangan PT ABC telah berhasil memitigasi risiko yang ada. 2. RSM AAJ sebagai pihak yang melakukan fungsi pengawasan (monitoring) dalam bentuk pengujian ICoFR telah melakukan fungsinya sesuai dengan COSO Monitoring Guidance. Dalam melakukan pengujian, RSM AAJ memiliki 3 pendekatan yakni plan, perform, dan communicate. Pengujian yang dilakukan RSM AAJ memberikan perusahaan keyakinan yang memadai (reasonable assurance) bahwa pengendalian berjalan dengan efektif pada akhir tahun (tanggal akhir pelaporan) sehingga tidak akan terjadi salah saji material dalam pelaporan keuangan yang akan diterbitkan. Dengan jasa co-sourcing ini, perusahaan mendapatkan keyakinan yang mendukung penilaian mereka tentang efektivitas pengendalian internal atas pelaporan keuangan dalam perusahaan dan mendukung pencapaian objektif perusahaan terkait keandalan pelaporan keuangan. 3. PT ABC memiliki siklus pendapatan prepaid yang terdiri dari empat proses,

yaitu

Recharging,

Penjualan Prepaid

Kartu/Voucher/E-voucher/Device

Usage

Calculation,

dan

prabayar,

Month-End.

Dari

keseluruhan proses tersebut, terdapat 29 kontrol yang diuji. Dari 29 kontrol, 2 di antaranya merupakan kontrol yang Not Applicable (tidak


dapat diuji) karena tidak adanya kejadian/transaksi yang diminta untuk periode September – Desember 2013 (Fase III). 6 di antara kontrol tersebut ditemukan ketidaksesuaian namun tidak signifikan, sehingga 6 kontrol tersebut tetap diklasifikasikan sebagai comply. Dengan demikian, SOA Audit PT ABC menyimpulkan bahwa berdasarkan hasil pengujian yang dilakukan kepada 29 kontrol, pengendalian internal pada siklus pendapatan prepaid PT ABC telah berjalan dengan efektif dan beroperasi sesuai dengan rancangan pada Risk Control Matrix PT ABC sehingga memenuhi ketentuan Sarbanes-Oxley Act 404 dan tingkat kepatuhannya memenuhi kriteria Sangat Baik. 4. Terdapat perbedaan pemahaman atas pedoman pengendalian internal yang telah didisain pihak Internal Audit dan pemahaman manajemen berdasarkan praktik yang dilakukan. Perbedaan pemahaman inilah yang menjadi faktor penyebab terjadinya ketidaksesuaian antara RCM dan praktik yang dilakukan walaupun bersifat tidak signifikan. Mengetahui fakta bahwa Risk Control Matrix PT ABC dirancang oleh pihak Internal Audit PT ABC dengan persetujuan dari Manajemen, dapat disimpulkan bahwa pihak manajemen kurang teliti dalam menyetujui RCM yang dirancang oleh pihak Internal Audit PT ABC untuk periode September – Desember 2013 ini dan masih kurangnya komunikasi yang dilakukan antar kedua belah pihak. Sehingga, masih banyak prosedur dalam RCM Fase III ini yang belum disesuaikan dengan prosedur terbaru.

5.2

Saran

5.2.1

PT ABC Berdasarkan pengalaman selama melaksanakan fieldwork di PT ABC,

penulis memiliki beberapa saran untuk perusahaan, yaitu: 1. Manajemen departemen terkait seharusnya menyampaikan perubahan proses bisnis pengendalian terkait kepada Internal Audit secepatnya sehingga dapat dilakukan perubahan/pemutakhiran RCM sesuai kondisi terkini.


2. PT ABC sebaiknya lebih memperhatikan aspek komunikasi agar informasi yang ada dalam perusahaan dapat dikomunikasikan secara penuh pada seluruh pihak dalam perusahaan, karena pada saat pengujian dilakukan beberapa karyawan merasa tidak pernah disosialisasikan tentang pengujian ICoFR yang akan dilakukan dalam tiga fase oleh Tim RSM AAJ. 3. Pada saat proses awal perancangan Risk Control Matrix untuk Fase III ini, manajemen PT ABC seharusnya lebih teliti dalam menyetujui RCM, agar menghindari ketidaksesuaian yang disebabkan oleh perbedaan aspek fungsional dan prosedur yang dilakukan antara yang dirancang dalam RCM dengan kondisi proses bisnis yang terbaru. 4. Pihak-pihak pada departemen-departemen dan divisi terkait yang diuji sebaiknya dapat bersikap lebih responsif dan bertindak lebih cepat untuk membantu pihak AAJ dalam menyelesaikan pengujian ICoFR dengan tepat waktu. 5. PT ABC seharusnya memperbarui SOP Keuangan untuk siklus pendapatan (dan siklus lainnya) sehingga memudahkan Internal Audit dalam menyusun RCM dengan tepat dan sesuai dengan kondisi terkini.

5.2.2 RSM AAJ Associates Berdasarkan pengalaman selama melaksanakan fieldwork di PT ABC, penulis memiliki beberapa saran untuk RSM AAJ Associates, yaitu: 1. Dengan banyaknya atribut pengendalian yang harus diuji kembali dan kertas kerja yang harus ditinjau ulang, RSM AAJ seharusnya mendelegasikan posisi Team Leader (yang merangkap menjadi reviewer pertama) kepada dua orang, sehingga proses review menjadi lebih efisien dan efektif. 2. Terkait kontrol nomor PRE-01-A-07 dalam subproses penjualan indirect melalui Authorized Dealer, RSM AAJ seharusnya mengklarifikasi penyebab risiko yang tidak dijabarkan perusahaan dalam Risk Control Mapping pada saat melakukan assessment.


DAFTAR REFERENSI

Arryman, Arif, et al. (2010). Mengurai Benang Kusut, Merajut Masa Depan: Transformasi Tata Kelola Pelaporan Keuangan PT X Pasca SarbanesOxley Act. Jakarta: PT X Indonesia. Committee of Sponsoring Organization of the Treadway Commision. (June, 2006). Internal Control over Financial Reporting – Guidance for Smaller Public Companies. United States: COSO. Committee of Sponsoring Organization of the Treadway Commision. (January, 2009). Internal Control – Integrated Framework: Guidance on Monitoring Internal Control Systems. United States: COSO. Committee of Sponsoring Organization of the Treadway Commision. (May, 2013). Internal Control – Integrated Framework: Executive Summary. United States: COSO. KPMG. (2013). COSO Internal Control – Integrated Framework (2013). https://www.kpmg.com/Ca/en/External%20Documents/Final-New-COSO2013-Framework-WHITEPAPER-web.pdf. Moeller, Robert. (2004). Sarbanes-Oxley and the New Internal Auditing Rules. New Jersey: John Wiley & Sons, Inc. Moeller, Robert. (2009). Brink’s Modern Internal Auditing: a Common Body of Knowledge. New Jersey: John Wiley & Sons, Inc. Romney, M.B., & Steinbart, P.J. (2012). Accounting Information Systems (12th ed.). England: Pearson Education Limited. RSM AAJ Associates. (2013). Draft Technical Proposal Jasa Co-Source Testing Internal Control Tahun 2013 PT ABC. Jakarta: RSM AAJ Associates. Sonnelitter, Robert. (2010). SOX 404 For Small, Publicly Held Companies. Chicago: CCH. The Institute of Internal Auditors. (2008). Sarbanes-Oxley Section 404: A Guide for Management by Internal Controls Practitioners, 2nd edition. United States: The Institute of Internal Auditors. The Institute of Internal Auditors. (2009). Internal Auditing: Assurance & Consulting Services. Florida: The Institute of Internal Auditors. Laporan Tahunan 2013 PT ABC.


Lampiran 1: Kertas Kerja Pengujian PT ABC

Kertas Kerja A

PROGRAM AUDIT PENGUJIAN PENGENDALIAN INTERN No. Ref. Audit Program A-PRE-01-A-01HO.Cash Collect Error! Unknown document property name. Error! Unknown document property name.

No. Ref. Matriks

PRE-01-A-01-HO.Cash Collect

Matriks Versi

Siklus

PENDAPATAN PREPAID

Proses

Pusat Pertanggungjawaban

Kantor Pusat – Cash Collection Control Dept.

Lokasi Pengujian

Error! Unknown document property name.

2013.2

Asersi / Control Objective: Akun: Risiko

1.

Penyebab Risiko

Control Reff PRE-01-A Control Respon Reff

1.

PRE-01 Jumlah penerimaan atas penjualan kartu/voucher/e-voucher dan e-voucher yang di-distribusikan (input stock) kepada Retail Nasional tidak sesuai dengan pencatatan dan pembayaran yang diterima.

No

1.

PRE-01-A-01-HO.Cash Collect

Aktivitas Pengendalian Intern

Penanggungjawab

Melakukan verifikasi atas jumlah penerimaan penjualan e-Voucher serta jumlah e-voucher yang akan didistribusikan kepada Retail Nasional dengan pencatatan transaksi penjualannya dalam sistem Paradise.

Manager

COSO Objective

Risk Level

Control Key/ Non Key

Type of Control

Anti Fraud Flag

Control Frequency

Financial Reporting Reliability

Moderate

Key Control

IT Dependent Manual

Yes

Transactional / Multiple Times per

136


(lanjutan) Day PROGRAM AUDIT Tujuan Pengujian

Memperoleh bukti pengujian bahwa telah dilakukan verifikasi atas jumlah penerimaan penjualan e-Voucher serta jumlah e-voucher yang akan didistribusikan kepada Retail Nasional dengan pencatatan transaksi penjualannya dalam sistem Paradise.

Pendekatan Pengujian



Jenis Pengujian

Direct Testing (Inquiry, Inspeksi dokumen)

Periode Pengujian


Metode Sampling

Statistical Sampling



Full Testing

Update Testing

Dokumen Pendukung: 1. Nota Dinas Persetujuan Pengeluaran EVoucher 2. Sales Order

3. Rekening Koran

Diselesaikan Atribut Kontrol

Prosedur Audit

1. Terdapat Nota Dinas Persetujuan Pengeluaran EVoucher dari Dept. Cash Collection Control kepada Dept. Card and Voucher Inventory and Distribution untuk melakukan distribusi.

1. Melakukan inspeksi terhadap Nota Dinas Persetujuan Pengeluaran E-Voucher dari Dept. Cash Collection Control kepada Dept. Card and Voucher Inventory and Distribution untuk melakukan distribusi.

2. Terdapat tanda tangan pejabat berwenang pada Nota Dinas Persetujuan Pengeluaran E-Voucher.

1. Melakukan inspeksi terhadap bukti tanda tangan pejabat berwenang pada Nota Dinas Persetujuan Pengeluaran EVoucher.

3. Nilai dan jumlah penjualan eVoucher pada Sales Order dari Paradise sesuai dengan: - jumlah penerimaan uang pada rekening koran dan

1. Melakukan inspeksi terhadap kesesuaian atas nilai dan jumlah penjualan e-Voucher pada Sales Order dari Paradise dengan: - jumlah penerimaan uang pada rekening koran dan bukti setornya - jumlah e-voucher yang didistribusikan pada Nota Dinas Persetujuan Pengeluaran E-Voucher.

Oleh

Tgl

WP Ref.

137


(lanjutan) Diselesaikan Atribut Kontrol

Prosedur Audit

Oleh

Tgl

WP Ref.

bukti setornya - jumlah e-voucher yang didistribusikan pada Nota Dinas Persetujuan Pengeluaran E-Voucher. 4. Terdapat tanda tangan pejabat berwenang pada Sales Order.

1. Melakukan inspeksi terhadap bukti tanda tangan pejabat berwenang pada Sales Order.

Disiapkan oleh:

Disetujui oleh:

Tanggal: 1 November 2013

Tanggal:

XXX

XXX

Assessor

Head of Financial Audit Division

138


(lanjutan)

139


(lanjutan)

140


(lanjutan)

141


(lanjutan)

PT. ABC Data Sampel : E-PRE-13-C-17-HO.Area 3 Segment : : : : : PRE-13-C-17-HO.Area 3 Segment :

Ref. No Pusat Pertanggungjawaban Lokasi Siklus Proses Control Respon Reff Atribut

Gambar 1 (1.b.1) Accounting period yang dibuka di dalam sistem sesuai dengan accounting period yang sedang berjalan

142


(lanjutan)

PT ABC MINUTES OF MEETING WP Ref Pusat Pertanggungjawaban Hari/Tanggal Tempat Topik

: F-PRE-01-A-06-HO.Cash Collect : Kantor Pusat - Cash Collection Control Dept. : Kamis/30 Januari 2013 : Kantor Pusat PT ABC - Cash Collection Control Dept. : Terdapat ketidaksesuaian antara deskripsi atribut pengendalian pada RCM 2013.1 dengan praktik yang dilakukan selama periode pengujian September - Desember 2013. AUDITEE

XXX Head of Postpaid and Others Cash Collection Control Section

XXX Head of Cash Collection Control Department

No. Control:

TEAM ASSESSMENT XXX Assessor

Reference:

Control Description: Terdapat ketidaksesuaian antara deskripsi atribut pengendalian pada RCM 2013.2 dengan praktik yang dilakukan selama periode pengujian September - Desember 2013. Issue:

Proposed Action/ Recommendation:

143


(lanjutan) Dibuat Oleh : XXX Assessor Tanggal : 30 Januari 2014

Mengetahui: XXX Head of Postpaid and Others Cash Collection Control Section Tanggal : 30 Januari 2014

XXX Head of Cash Collection Control Department

144


145

Lampiran 2: Diagram Alir penjualan indirect kepada Retail Nasional


146

Lampiran 3: Diagram Alir penjualan indirect kepada Authorized Dealer


147


148

Lampiran 5: Diagram Alir penjualan direct melalui Branch/Metro


149


150


151

Lampiran 8: Diagram Alir manual recharging (komplain pelanggan)


152


153

Lampiran 10: Diagram Alir Recharging (Monitoring)


154


155

Lampiran 12: Diagram Alir Inject Value Tambahan (Bonus Tambahan)


156


UNIVERSITAS INDONESIA PENILAIAN ATAS INTERNAL CONTROL OVER FINANCIAL REPORTING SESUAI SARBANES-OXLEY 404 PADA SIKLUS PENDAPATAN PREPAID PT ABC

Recommend Documents