Presented by :Angga JalutamaDinna Nur Marina S.Farid MubarrakFrans Pangeran S.Natasya Christine B

Peran Audit Internal dan Manajemen Risiko

II A Position Paper: The Role of Internal Auditing in Enterprise-Wide Risk Management

What is Entreprise Risk Wide Risk Management (ERM) ?Entreprise Risk Wide Risk Management (ERM) adalah sebuah proses yang terstruktur, konsisten, dan berkelanjutan di seluruh perusahaan untuk mengidentifikasi, menilai, memutuskan, menanggapi dan melaporkan opportunities dan threats yang dapat mempengaruhi pencapaian dari tujuan perusahaan.

Responsibility for ERMBoard perusahaan memiliki tanggungjawab penuh untuk memastikan resiko - resiko yang dihadapi perusahaan dikelola dengan baik.Board perusahaan akan mendelegasikan operasi dari risk management framework kepada tim manajemen, dimana tim ini yang akan bertanggungjawab untuk menyelesaikan aktivitas-aktivitas di tingkat bawah.

Benefit of ERMDengan adanya ERM besar kemungkinan tujuan perusahaan dapat dicapai.Mengkonsolidasikan pelaporan dari resiko-resiko yang berbeda pada level dewan.Meningkatkan pemahaman dari resiko-resiko kunci dan implikasinya yang lebih luas.Identifikasi dan sharing lintas resiko-resiko yang dihadapi perusahaan.Fokus manajemen yang lebih besar terhadap isu-isu yang benar-benar berarti.Lebih sedikit hal-hal yang mengejutkan perusahaan atau krisis yang dialami.

Fokus yang lebih dari pihak internal dalam melakukan hal yang benar dengan cara yang benar.Meningkatkan kemungkinan inisiatif wujud perubahan dapat tercapai.Kemampuan untuk mengambil resiko yang besar untuk keuntungan yang besar.Memberi informasi yang lebih banyak tentang resiko yang diambil dan keputusan yang diambil.

The activities included in ERM

Mengartikulasikan dan mengkomunikasikan tujuan dari perusahaan.Menentukan resiko yang diinginkan oleh perusahaan.Mendirikan sebuah lingkungan internal yang tepat, termasuk sebuah risk management framework.Mengidentifikasi ancaman potensial yang akan dihadapi dalam mencapai tujuan perusahaan.Menilai resiko, seperti dampak dan kemungkinan ancaman yang terjadi.

Memilih dan mengtimplementasikan respon untuk resiko-resiko.Menjalankan control dan aktivitas-aktivitas respon lainnyaMengkomunikasikan informasi resiko-resiko dengan cara yang konsisten di semua level perusahaan.Monitoring secara terpusat dan mengkoordinasikan proses manajemen resiko dan hasilnyaMenyediakan kepastian atau jaminan dimana resiko-resiko perusahaan dikelola dengan efektif.

Providing assurance of ERM

Auditor internal biasanya menyediakan assurance dalam 3 area :Proses manajemen resiko, dalam hal ini design dan bagaimana proses ini bekerja.Manajemen dari yang mana resiko-resiko diklasifikasikan sebagai kunci, termasuk keefektifan dari control dan respon terhadap resiko-resiko kunci tersebut.Keandalan dan ketepatan penilaian dari resiko dan pelaporan dari resiko dan control status. The role of internal auditing in ERM

audit internal menyediakan value bagi perusahaan adalah dalam menyediakan objective assurance dimana resiko bisnis yang utama dikelola secara tepat dan menyediakan jaminan dimana manajemen resiko dan internal control framework bekerja dengan efektif.

Figure 1. Internal Auditing role in ERM

Pasal 2Perusahaan publik wajib membentuk Unit Audit Internal sebagaimana diatur dalam Peraturan Nomor IX.I.7, paling lambat tanggal 31 Desember 2009.

Bagi Perusahaan Publik yang telah memiliki unit Audit Internal sebelum ditetapkan keputusan ini, wajib menyesuaikan dengan Peraturan Nomor IX.I.7, paling lambat tanggal 31 Desember 2009.

Pasal 3Audit Internal adalah suatu kegiatan pemberian keyakinan (assurance) dan konsultasi yang bersifat independen dan obyektif, dengan tujuan untuk meningkatkan nilai dan memperbaiki operasional perusahaan, melalui pendekatan yang sistematis, dengan cara mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola perusahaan.

Unit Audit Internal adalah unit kerja dalam Emiten atau Perusahaan Publik yang menjalankan fungsi Audit Internal. Penggunaan nama atau istilah untuk Unit Audit Internal tersebut dapat ditetapkan oleh masing-masing Emiten atau Perusahaan Publik.

(3) Jumlah auditor internal dalam Unit Audit Internal disesuaikan dengan besaran dan tingkat kompleksitas kegiatan usaha Emiten atau Perusahaan Publik dan paling kurang terdiri dari satu orang auditor internal. Dalam hal Unit Audit Internal terdiri dari satu orang auditor internal, maka auditor internal tersebut bertindak pula sebagai kepala Unit Audit Internal.

(4)Emiten atau Perusahaan Publik wajib memiliki piagam Audit Internal (internal audit charter), yang paling kurang meliputi: a. struktur dan kedudukan Unit Audit Internal; b. tugas dan tanggung jawab Unit Audit Internal; c. wewenang Unit Audit Internal; d. kode etik Unit Audit Internal yang mengacu pada kode etik yang ditetapkan oleh asosiasi Audit Internal yang ada di Indonesia atau kode etik Audit Internal yang lazim berlaku secara internasional; e. persyaratan auditor yang duduk dalam Unit Audit Internal; f. pertanggungjawaban Unit Audit Internal; dan g. larangan perangkapan tugas dan jabatan auditor dan pelaksana yang duduk dalam Unit Audit Internal dari pelaksanaan kegiatan operasional perusahaan baik di Emiten atau Perusahaan Publik maupun anak perusahaannya.

(5) Piagam Unit Audit Internal ditetapkan oleh direksi setelah mendapat persetujuan dewan komisaris.

(6) Struktur dan kedudukan Unit Audit Internal sebagaimana dimaksud dalam angka 4 huruf a adalah sebagai berikut: a. Unit Audit Internal dipimpin oleh seorang kepala Unit Audit Internal. b. Kepala Unit Audit Internal diangkat dan diberhentikan oleh direktur utama atas persetujuan dewan komisaris. c. Direktur utama dapat memberhentikan kepala Unit Audit Internal, setelah mendapat persetujuan dewan komisaris, jika kepala Unit Audit Internal tidak memenuhi persyaratan sebagai auditor Unit Audit Internal sebagaimana diatur dalam peraturan ini dan atau gagal atau tidak cakap menjalankan tugas. d. Kepala Unit Audit Internal bertanggung jawab kepada direktur utama. e. Auditor yang duduk dalam Unit Audit Internal bertanggung jawab secara langsung kepada kepala Unit Audit Internal.

(7) Persyaratan auditor internal yang duduk dalam Unit Audit Internal sebagaimana dimaksud dalam angka 4 huruf e paling kurang meliputi:

a. memiliki integritas dan perilaku yang profesional, independen, jujur, dan obyektif dalam pelaksanaan tugasnya; b. memiliki pengetahuan dan pengalaman mengenai teknis audit dan disiplin ilmu lain yang relevan dengan bidang tugasnya; c. memiliki pengetahuan tentang peraturan perundang-undangan di bidang pasar modal dan peraturan perundang-undangan terkait lainnya; d. memiliki kecakapan untuk berinteraksi dan berkomunikasi baik lisan maupun tertulis secara efektif; e. wajib mematuhi standar profesi yang dikeluarkan oleh asosiasi Audit Internal;f. wajib mematuhi kode etik Audit Internal; g. wajib menjaga kerahasiaan informasi dan/atau data perusahaan terkait dengan pelaksanaan tugas dan tanggung jawab Audit Internal kecuali diwajibkan berdasarkan peraturan perundang-undangan atau penetapan/putusan pengadilan; h. memahami prinsip-prinsip tata kelola perusahaan yang baik dan manajemen risiko; dan i. bersedia meningkatkan pengetahuan, keahlian dan kemampuan profesionalismenya secara terus-menerus.

(8) Tugas dan tanggung jawab Unit Audit Internal sebagaimana dimaksud dalam angka 4 huruf b paling kurang meliputi: a. menyusun dan melaksanakan rencana Audit Internal tahunan; b. menguji dan mengevaluasi pelaksanaan pengendalian interen dan sistem manajemen risiko sesuai dengan kebijakan perusahaan; c. melakukan pemeriksaan dan penilaian atas efisiensi dan efektivitas di bidang keuangan, akuntansi, operasional, sumber daya manusia, pemasaran, teknologi informasi dan kegiatan lainnya; d. memberikan saran perbaikan dan informasi yang obyektif tentang kegiatan yang diperiksa pada semua tingkat manajemen; e. membuat laporan hasil audit dan menyampaikan laporan tersebut kepada direktur utama dan dewan komisaris; f. memantau, menganalisis dan melaporkan pelaksanaan tindak lanjut perbaikan yang telah disarankan; g. bekerja sama dengan Komite Audit; h. menyusun program untuk mengevaluasi mutu kegiatan audit internal yang dilakukannya; dan i. melakukan pemeriksaan khusus apabila diperlukan.

(9) Wewenang Unit Audit Internal sebagaimana dimaksud dalam angka 4 huruf c meliputi antara lain:a. mengakses seluruh informasi yang relevan tentang perusahaan terkait dengan tugas dan fungsinya; b. melakukan komunikasi secara langsung dengan direksi, dewan komisaris, dan/atau Komite Audit serta anggota dari direksi, dewan komisaris, dan/atau Komite Audit; c. mengadakan rapat secara berkala dan insidentil dengan direksi, dewan komisaris, dan/atau Komite Audit; dan d. melakukan koordinasi kegiatannya dengan kegiatan auditor eksternal.

Crowe HowarthStrengthening Corporate GovernanceWithInternal Audit

Tanggung jawab audit internal bertambah karena meningkatnya pengawasan peraturan serta arahan dari para eksekutif untuk meningkatkan kontrol dan mengembangkan manajemen resiko.Peraturan terbaru termasuk ketentuan penekanan anti korupsi dan whistle-blower dan dampak yang mungkin terjadi terhadap harga saham.

Governance Framework

Dewan Direksi dan AuditMembantu dewan direksi dan komite audit dalam menjalankan tugasnya.

Memberikan ide mengenai pengelolaan resiko dan internal kontrol.

Memastikan keakuratan informasi yang dijadikan dasar pengambilan keputusan.

Hukum dan PeraturanMemastikan bahwa perusahaan telah mengetahui dan memenuhi semua persyaratan sesuai peraturan yang berlaku.

Mengidentifikasi peluang yang mempengaruhi pemenuhan aktivitas yang dapat mengurangi biaya jangka panjang dan meningkatkan kinerja

Praktek dan Etika BisnisMemeriksa kebijakan terkait kode etik perusahaan dan memastikan kebijakan tersebut diperbarui sesuai kebutuhan perusahaan dari waktu ke waktu dan menyampaikan perubahan yang ada kepada pegawai.

Menjalankan tugasnya dengan mengikuti kode etik perusahaan.

Berpartisipasi dalam proses invetigasi mengenai whistle-blower dan keluhan lainnya mengenai etika bisnis perusahaan.

Pengungkapan dan TransparansiMelakukan pemeriksaan terhadap pengungkapan laporan keuangan perusahaan.

Memahami resiko terkait pelaporan keuangan yang dapat terjadi sesuai karakteristik perusahaan.

Menyatakan tujuan atas pengungkapan dan transparansi dengan jelas dan mengkomunikasikannya kepada pegawai.

Enterprise Risk ManagementMemastikan strategi bisnis berjalan sesuai proses ERM

Secara aktif berperan sebagai penasehat maupun partisipan dalam kegiatan ERM perusahaan.

Membantu mengidentifikasi area-area yang memiliki resiko penting dan juga proses yang terjadi pada area tersebut.

PengawasanMemahami dimana saja aktivitas pengawasan diperlukan dalam perusahaan.

Memfasilitasi implementasi metobe pengawasan terhadap resiko umum di seluruh bagian perusahaan.

KomunikasiMenyatakan semua informasi mengenai tata kelola perusahaan dalam laporan audit.

Menjaga kelancaran komunikasi dengan masing-masing anggota unit audit internal, kepala keuangan, dewan direksi, dll.

Draft Pedoman Penerapan Manajemen Risiko berbasis Governance, KNKG (2011)

Pendahuluan

PendahuluanRuang Lingkup, Maksud dan Tujuan

PendahuluanRuang Lingkup, Maksud dan Tujuan

PendahuluanRuang Lingkup, Maksud dan Tujuan

PendahuluanPeraturan dan Pedoman Terkait dan Aspek Penerapan Manajemen Risiko

Aspek StrukturalPengantarAspek struktural adalah aspek yang memastikan arah penerapan, struktur organisasi penerapan, akuntabilitas pelaksanaan manajemen risiko dalam organisasi, dan penyediaan sumber daya. Ini berarti bahwa aspek ini akan menjadi fondasi bagi penerapan manajemen risiko pada suatu organisasi. Dalam aspek ini akan diatur bagaimana tata kelola risiko (risk governance) termasuk di dalamnya kejelasan akuntabilitas para pemangku risiko (risk owner). Juga akan dibahas pedoman penerapan manajemen risiko yang berupa prinsip-prinsip yang harus diacu untuk memastikan dan sekaligus memfasilitasi terjadinya budaya sadar risiko, sehingga meningkatkan daya tahan dan keliatan (resilience) organisasi dalam menghadapi tantangan perubahan yang mengandung risiko.

Aspek StrukturalPrinsip, Kerangka Kerja, Mandat dan Komitmen, dan Proses Manajemen RisikoManajemen risiko melindungi dan menciptakan nilai tambah.

Manajemen risiko adalah bagian terpadu dari proses organisasi.Manajemen risiko adalah bagian dari proses pengambilan keputusan.Manajemen risiko secara khusus menangani aspek ketidakpastian.Manajemen risiko bersifat sistematik, terstruktur, dan tepat waktu.Manajemen risiko berdasarkan pada informasi terbaik yang tersedia.Prinsip-prinsip manajemen risiko:

Aspek StrukturalPrinsip, Kerangka Kerja, Mandat dan Komitmen, dan Proses Manajemen RisikoManajemen risiko adalah khas untuk penggunanya (tailored).Manajemen risiko mempertimbangkan faktor manusia dan budaya.Manajemen risiko harus transparan dan inklusif.Manajemen risiko bersifat dinamis, berulang, dan tanggap terhadap perubahan.Manajemen risiko harus memfasilitasi terjadinya perbaikan dan peningkatan organisasi secara berlanjut.Prinsip-prinsip manajemen risiko:

Aspek StrukturalPrinsip, Kerangka Kerja, Mandat dan Komitmen, dan Proses Manajemen RisikoKerangka kerja manajemen risikoAgar dapat berhasil dengan baik, manajemen risiko harus diletakkan dalam suatu kerangka manajemen risiko. Kerangka kerja ini akan menjadi dasar dan penataan yang mencakup seluruh kegiatan manajemen risiko di segala tingkatan organisasi. Kerangka kerja ini akan membantu organisasi mengelola risiko secara efektif melalui penerapan proses manajemen risiko dalam berbagai tingkatan organisasi dan dalam konteks spesifik organisasi tersebut. Kerangka kerja ini akan memastikan bahwa informasi risiko yang lengkap dan memadai yang diperoleh dari proses manajemen risiko akan dilaporkan serta digunakan sebagai landasan untuk pengambilan keputusan.Mandat dan komitmenMandat dan komitmen dalam kerangka kerja manajemen risiko mempunyai arti sentral, artinya dari sanalah segala sesuatunya berasal sesuai dengan peraturan yang menjadi dasar hukum entitas atau organisasi tersebut. Dalam peraturan perundangan terkait, akan terlihat secara jelas siapa yang memperoleh mandat dan apa jenis mandat yang diterima dan komitmen apakah yang akan terkait secara langsung dengan penerapan manajemen risiko pada organisasi tersebut.

Aspek StrukturalPrinsip, Kerangka Kerja, Mandat dan Komitmen, dan Proses Manajemen RisikoProses manajemen risikoProses manajemen risiko adalah penerapan secara sistematik kebijakan manajemen, prosedur dan praktik manajemen dalam pelaksanaan tugas untuk melakukan komunikasi dan konsultasi, menetapkan konteks, melakukan asesmen risiko yang meliputi identifikasi, analisa dan evaluasi risiko, kemudian perlakuan risiko, dan diakhiri dengan pemantauan dan pengkajian risiko. Proses manajemen risiko secara singkat adalah penerapan kerangka kerja manajemen risiko pada tiap-tiap jenis risiko yang secara spesifik mempunyai karakter yang berbeda-beda sesuai dengan konteksnya. Ini sesuai dengan prinsip ketujuh manajemen risiko yang mneyatakan bahwa manajemen risiko adalah khas bagi penggunanya (tailored).

Aspek StrukturalTata Kelola Risiko

Aspek StrukturalSumber Daya Penerapan Manajemen RisikoPenyediaan sumber daya yang memadai adalah indikator lain dari komitmen Direksi dalam menerapkan manajemen risiko dalam organisasi yang dipimpinnya. Tanpa adanya sumber daya yang memadai, hal ini serupa dengan penolakan diam-diam terhadap penerapan manajemen risiko. Manajemen organisasi harus mengalokasikan sumber daya yang memadai untuk pelaksanaan manajemen risiko antara lain terhadap hal-hal berikut:

ASPEK OPERASIONALAspek operasionalisasi bagi manajemen risiko di seluruh organisasi tetapi juga spesifik bagi masing-masing bagian atau bahkan bagi masing-masing pemilik risiko.

Proses Penerapan Resiko

PenolakanPerlawananEksplorasiKomitmen

Panduan Manajemen Risiko

Menghindari multi interpretasi dan penerapan serta proses manajemen risiko dilaksanakan sesuai dengan standar yang telah ditentukan oleh Direksi.Prinsip-prinsip manajemen risikoKerangka kerja manajemen risikoProses manajemen risiko di setiap tahapanKonteks manajemen risikoMemberikan panduan untuk implementasi manajemen risiko secara menyeluruh

Implementasi Manajemen RisikoTahapan tahapan-tahapan dalam proses manajemen risiko:Komunikasi dan KonsultasiPencatatan Konteks (internal, eksternal, konteks para manajemen risiko, mengembangkan kriteria risiko)Asesmen Risiko (identifikasi risiko, analisis risiko,evaluasi risiko)Perlakuan Risiko (menghidari, berbagi, mitigasi, menerima)Monitoring dan Review (Siapa yang melakukan? Apa yang perlu dipantau? Informasi apa yang harus dievaluasi? Prosedur yang bagaimana? Bagaimana proses pelaporan & siapa yang berhak? dokumentasi

Analisis risiko

Aspek KeperawatanUnsur-unsur yang mempengaruhi pelaksanaan aspek perawatan dalam manajemen risiko terdiri :

Profile

OverviewCabang GSK di China dilaporkan telah melakukan suap kepada para dokter dan manajer rumah sakit di China.Sejak 2007 nilai transaksi perusahaan ke lebih dari 700 agen perjalanan dan konsultan mencapai 3 Milliar Yuan.Penyuapan kepada manajer rumah sakit agar rumah sakit tersebut memprioritaskan produk GSK dibanding produk kompetitor lain.

OverviewPenyuapan yang dilakukan oleh GSK ini dilakukan melalui travel agencies.Bentuk dari penyuapan dikemas dengan sistem reimbursement, yakni sebagai biaya transportasi para dokter untuk melakukan konferensi atau simposium. Reimbursement ini jumlahnya tidak terlalu material sehingga terlewatkan oleh pengawasan internal kontrol dan pengawasan dari kantor pusat di Inggris.Penyuapan ini mengatasnamakan Countinuing Medical Education (CME) yang selama ini merupakan area investasi dari perusahaan-perusahaan obat untuk mendorong para dokter untuk menggunakan produk dari perusahaan dengan melakukan pertemuan dengan para dokter. Program ini memfasilitasi para dokter untuk menghadiri simposioum atau medical conferences. Setelah melalui beberapa proses hukum akhirnya pada tanggal 23 Juli 2013 kementrian Cina menjelaskan bahwa terdapat keterlibatan senior eksekutif manajer GSK di bagian investasi dan senior eksekutif dari travel agencies dalam kasus suap dan pelanggaran pajak. Selain itu juga disampaikan oleh kementrian Cina bahwa beberapa eksekutif dari GSK selama ini banyak menggungunakan fake value added tax receipts, fake receipts dari travel agencies, dan fake generail receipts.

Skema

AnalisisManajemen Risiko GlaxoSmithKline (GSK) tidak berbasis Governance.Audit Internal tidak menjalankan perannya sebagaimana mestinya.Ada beberapa kemungkinan hal ini dapat terjadi :Unit auditor internal perusahaan tidak menjalankan tugasnya sesuai peraturan yang berlaku;Unit auditor internal tidak independen;Pihak auditor internal bekerja sama dengan direksi dalam kasus penyuapan sehingga adanya transaksi penyuapan dalam perusahaan sengaja ditutupi.

*Penyuapan yang dilakukan oleh GSK ini dilakukan melalui travel agencies. Dalam hal ini, travel agencies berlaku sebagai perantara perusahaan dengan dokter dan manajer rumah sakit. Bentuk dari penyuapan ini dikemas dengan sistem reimbursement, yakni sebagai biaya transportasi para dokter untuk melakukan konferensi atau symposium. Reimbursement ini jumlahnya tidak terlalu material sehingga terlewatkan oleh pengawasan internal control dan pengawasan dari kantor pusat di Inggris. Penyuapan ini mengatasnamakan Countinuing Medical Education (CME) yang selama ini merupakan area investasi dari perusahaan-perusahaan obat untuk mendorong para dokter untuk menggunakan produk dari perusahaan dengan melakukan pertemuan dengan para dokter. Program ini memfasilitasi para dokter untuk menghadiri symposium atau medical conferences. Disinilah peran dari travel agencies sebagai perantara penyaluran suap seakan-akan ada biaya untuk transportasi para dokter untuk konferensi, padahal kenyataannya banyak konferensi yang fiktif.*Penyuapan yang dilakukan oleh GSK ini dilakukan melalui travel agencies. Dalam hal ini, travel agencies berlaku sebagai perantara perusahaan dengan dokter dan manajer rumah sakit. Bentuk dari penyuapan ini dikemas dengan sistem reimbursement, yakni sebagai biaya transportasi para dokter untuk melakukan konferensi atau symposium. Reimbursement ini jumlahnya tidak terlalu material sehingga terlewatkan oleh pengawasan internal control dan pengawasan dari kantor pusat di Inggris. Penyuapan ini mengatasnamakan Countinuing Medical Education (CME) yang selama ini merupakan area investasi dari perusahaan-perusahaan obat untuk mendorong para dokter untuk menggunakan produk dari perusahaan dengan melakukan pertemuan dengan para dokter. Program ini memfasilitasi para dokter untuk menghadiri symposium atau medical conferences. Disinilah peran dari travel agencies sebagai perantara penyaluran suap seakan-akan ada biaya untuk transportasi para dokter untuk konferensi, padahal kenyataannya banyak konferensi yang fiktif.*