Internal Audit - Sururi Halaman 1 • • Keseluruhan perangkat yang digunakan oleh organisasi untuk menjalankan kegiatan operasionalnya secara efektif dan efisien disebut dengan corporate governance, yang secara umum disebut dengan governance. Governance dapat pula didefinisikan sebagai proses yang dijalankan oleh dewan komisaris untuk mengotorisasi, mengarahkan, dan mengawasi manajemen dalam mencapai tujuan organisasi. Internal Audit - Sururi Halaman 2 • Definisi governance menurut the Paris-Based forum of democratic markets, melalui wadah organisasinya OECD (the Organisation for Economic Co-operation and Development) Corporate governance mencakup kerjasama antara manajemen, dewan komisaris, pemegang saham, dan stakeholder lain (dalam upaya mencapai tujuan organisasi). Corporate governance juga memberikan struktur terhadap perumusan tujuan organisasi, termasuk perangkat untuk mencapai tujuan organisasi dan monitoring kinerja organisasi. Internal Audit - Sururi Halaman 3 • Elemen umum yang ada di hampir definisi governance: kebijakan, proses, dan struktur yang digunakan oleh organisasi untuk mengarahkan dan mengendalikan aktivitas, untuk mencapai tujuan, dan melindungi organisasi dari berbagai macam kepentingan kelompok stakeholder, melalui cara-cara yang sesuai dengan standard etika yang tepat. Internal Audit - Sururi Halaman 4 Governance Risk Management Internal Control Internal Audit - Sururi Halaman 5 Governance Umbrella Board of Directors Strategic Direction Internal Audit - Sururi Governance Oversight Halaman 6 Stakeholders Governance Umbrella Board of Directors Risk Management Senior Management Risk Owners Internal Audit - Sururi Assurance Internal eksternal Halaman 7 • Tanggungjawab senior management adalah: Memastikan pemahaman secara penuh terhadap arahan dan otoritas yang didelegasikan dewan komisaris, dalam rangka memenuhi harapan dewan. Mengidentifikasi proses dan aktivitas yang penting untuk dijalankan dalam rangka melaksanakan arahan dewan komisaris, misalnya melalui identifikasi: Internal Audit - Sururi Halaman 8 • Berbagai risiko khusus yang dapat mengganggu outcome. Penanggungjawab atas manajemen masing-masing kategori risiko. Cara-cara yang dipandang efektif untuk manajemen risiko. Memastikan kecukupan informasi dari risk owner. Risk owners, adalah staf yang bertanggungjawab terhadap manajemen risiko dalam aktivitas harian organisasi. Internal Audit - Sururi Halaman 9 • • Governance dimulai dari dewan komisaris dan komite-komitenya. Dewan berfungsi sebagai payung dari tanggungjawab governance (governance oversight) untuk keseluruhan organisasi. Dewan memberikan arahan kepada manajemen, memberi otoritas untuk membuat keputusan dan tindakan, dan mengawasi hasil dari kegiatan operasional. Dewan harus memahami dan fokus pada kebutuhan stakeholder kunci. Stakeholders adalah satu-satunya pihak yang berhak menerima pertanggungjawaban dewan. Internal Audit - Sururi Halaman 10 • • Secara harian, governance dilaksanakan oleh manajemen. Manajer puncak sampai manajer pelaksana memiliki peran penting dalam governance melalui aktivitas manajemen risiko. Auditor internal dan auditor independen berperan untuk memberikan jaminan kepada manajemen dan dewan komisaris tentang efektifitas dari aktivitas governance. Internal Audit - Sururi Halaman 11 • • Stakeholder adalah semua fihak yang berkepentingan dengan aktivitas dan keluaran (outcome) dari organisasi, baik langsung maupun tidak langsung. Pengelompokan stakeholders: Stakeholder langsung (direct stakeholders). Semua pihak yang terlibat langsung dalam aktivitas organisasi. Stakeholder tidak langsung (indirect stakeholders). Semua pihak yang tidak terlibat langsung dalam organisasi tetapi terpengaruh oleh sukses dan outcome dari organisasi. Internal Audit - Sururi Halaman 12 • Stakeholder berpengaruh (influencing stakeholders). Semua pihak yang tidak terlibat langsung dalam organisasi dan terpengaruh oleh organisasi, tetapi berpengaruh terhadap aspekaspek bisnis serta sukses organisasi. Contoh stakeholders Pegawai Pelanggan Pemasok Pemegang saham/investor Internal Audit - Sururi Halaman 13 • Contoh stakeholders Regulatory agencies (lembaga-lembaga pembuat aturan), baik sebagai indirect stakeholders mupun sebagai influencing stakeholders, seperti: Bapepam, the Environmental Protection Agency (EPA), dan seterusnya. Lembaga keuangan (financial institutions). Influencing stakeholders lain, seperti lembaga pemeringkat (rating agency), asosiasi industri, dan kompetitor. Internal Audit - Sururi Halaman 14 • Masing-masing stakeholder memiliki kepentingan yang berbeda-beda terhadap outcome organisasi. Dewan harus mempertimbangkan beberapa kategori outcome sebagai berikut: Finansial, misalnya pendapatan per lembar saham. Kepatuhan (compliance), misalnya kepatuhan terhadap peraturan, ketentuan pelanggaran (code of conduct violations), restraining orders (perintah penghentian – terhadap praktik bisnis tertentu), investigasi pemerintah, dan seterusnya. Internal Audit - Sururi Halaman 15 Operation, misalnya tentang pencapaian tujuan, efisiensi penggunaan sumber daya, dan seterusnya. Strategic, misalnya tentang reputasi, keberlangsungan perusahaan, moral karyawan, dan kepuasan pelanggan. Internal Audit - Sururi Halaman 16 Luas aktivitas penjaminan yang harus dilakukan oleh auditor internal tergantung pada: 1. Ketentuan tentang fungsi dan peran auditor internal dalam penjaminan governance. 2. Arahan khusus dari dewan komisaris. Terlepas dari dua faktor di atas, fungsi internal auditor mencakup: • Evaluasi kecukupan desain manajemen risiko. • Pengujian efektifitas desain menajemen risiko. • Mengevaluasi validitas pelaporan efektifitas manajemen risiko dari risk owners ke senior management. Internal Audit - Sururi Halaman 17 • • • Mengevaluasi validitas pelaporan efektifitas manajemen risiko dari senior management ke dewan komisaris. Mengevaluasi ketepatan waktu dan efektifitas penyampaian informasi toleransi risiko (risk tolerance) dari dewan komisaris ke senior management, dan dari senior management ke risk owners. Toleransi risiko adalah batasan tingkat risiko yang bisa diterima untuk memastikan kemampuan organisasi dalam mencapai tujuan. Mengevaluasi kemungkinan adanya area risiko yang harus dikelola dengan tepat tetapi belum dimasukkan dalam proses governance. Internal Audit - Sururi Halaman 18 Peran penting aditor internal dalam governance: • Memahami secara penuh arahan dan harapan dewan komisaris. • Mendukung program manajemen risiko yang dirancang oleh manajemen. • Mengembangkan rencana audit secara tepat, mencakup keseluruhan aktivitas penjaminan governance dan menjembatani komunikasi dari risk owners ke senior manajemen serta dari senior manajemen ke dewan komisaris. Internal Audit - Sururi Halaman 19 COSO (Committee of Sponsoring Organizations) mendefinisikan risiko sebagai kemungkinan terjadinya peristiwa yang mengganggu pencapaian tujuan organisasi. Poin-poin penting yang perlu difahami: • Risiko berawal dari perumusan strategi dan tujuan. • Risiko tidak hanya merepresentasikan satu titik estimasi risiko, melainkan merepresentasikan sebuah kisaran risiko untuk sebuah kisaran outcome. Internal Audit - Sururi Halaman 20 • • Risiko berhubungan dengan pencegahan terhadap kejadian yang tidak diinginkan (risk may relate to preventing bad things from happening) Risiko ada dalam seluruh aspek kehidupan/aktivitas (risks are inherent in all aspect of life). Internal Audit - Sururi Halaman 21 • COSO mendefinisikan ERM (Enterprise Risk Management) sebagai: Proses yang dipengaruhi oleh dewan komisaris, manajemen, dan staf organisasi, dalam keseluruhan aktivitas organisasi, dalam rangka mengelola risiko proses bisnis agar berada dalam kisaran harapan manajemen, untuk menjamin pencapaian tujuan organisasi secara efektif dan efisien. Internal Audit - Sururi Halaman 22 • • • • Tujuan stratejik, adalah berhubungan dengan tujuan utama organisasi, sesuai dengan misi organisasi. Tujuan operasional, adalah berhubungan dengan tujuan pemanfaatan sumberdaya secara efektif dan efisien. Tujuan pelaporan, adalah berhubungan dengan tujuan penyajian laporan yang terpercaya, baik untuk kepentingan internal maupun eksternal. Tujuan kepatuhan, adalah berhubungan dengan tujuan kepatuhan terhadap pertaruran dan hukum yang berlaku. Internal Audit - Sururi Halaman 23 • • • • • • • • Lingkungan Internal (Internal Environment) Ketetapan tujuan (Objective Setting) Identifikasi kejadian (Event Identification) Asesmen risiko (Risk Assessment) Respon risiko (Risk Response) Aktivitas pengawasan (Control Activities) Informasi dan komunikasi (Information and Communication) Monitoring (Monitoring) Internal Audit - Sururi Halaman 24 • Lingkungan internal Risk management philosophy, adalah pedoman untuk mempertimbangkan risio dalam setiap aktivitas organisasi. Risk appetite, yaitu tingkat risiko secara umum yang bisa diterima organisasi. Board of directors, yaitu struktur, pengalaman, independensi, pemanfaatan hak pengawasan oleh dewan komisaris. Integrity and ethical values, yaitu kententuan tentang standard perilaku dan gaya bertindak. Internal Audit - Sururi Halaman 25 • Lingkungan internal Commitment to competence, yaitu ketentuan persyaratan pengetahuan dan keterampilan untuk menjalankan tugas. Organizational structure, yaitu rerangka garis otoritas dan tanggungjawab untuk perencanaan, pelaksanaan, dan monitoring aktivitas. Assignment of authority and responsibility, yaitu aturan untuk pemberian otoritas dan tanggungjawab. Human resource standards, yaitu kebijakan dan praktik yang sehat untuk manajemen sumber daya manusia. Internal Audit - Sururi Halaman 26 • • Objective setting, adalah tujuan yang bersifat strategis, sebagai pedoman untuk pencapaian tujuan operasional, pelaporan, dan kepatuhan. Event identification, adalah identifikasi atas berbagai kejadian yang berpotensi mengganggu pencapaian tujuan organisasi, seperti: Internal Audit - Sururi Halaman 27 Faktor Eksternal (External factors): Peristiwa Ekonomi/Bencana Alam/Peristiwa Politik/Peristiwa Sosial/Perubahan Teknologi. Faktor Internal (Internal factors): Kebutuhan dukungan infrastruktur/kejadiankejadian di bidang SDM)/perubahan proses, mencakup: modifikasi, kesalahan pelaksanaan, atau keputusan outsourcing/problem technology, seperti: kebutuhan peningkatan investasi teknologi, kerusakan sistem pengamanan, atau gangguan sistem yang lain. Internal Audit - Sururi Halaman 28 • • Asesment Risiko, yaitu asesmen terhadap potensi risiko, baik dari perspektif kemungkinan maupun dampaknya bagi organisasi. Risk Response, yaitu cara merespon risiko, misalnya: menghindar (avoidence), menurunkan (reduction), membagi (sharing) misalnya melalui program asuransi, dan menerima risiko (acceptance). Internal Audit - Sururi Halaman 29 • Control Activities, yaitu kebijakan dan prosedur untuk memastikan ketepatan tindakan untuk merespon risiko, yang bisa mencakup: Top-level review, yaitu pengendalian yang dijalankan langsung oleh top manajemen. Direct management or activity management, yaitu pengendalian yang dijalankan oleh manajer pelaksana. Internal Audit - Sururi Halaman 30 Information processing, yaitu pengendalian untuk menjamin keakuratan informasi. Physical controls, yaitu pengendalian atas fisik sumberdaya. Performance indicators, yaitu pengendalian melalui analisis indikator kinerja. Segregation of duties, yaitu pengendalian melalui pemisahan fungsi. Internal Audit - Sururi Halaman 31 • Information and Communication, yaitu pengendalian untuk memastikan bahwa data diidentifikasi, direkam, dan dikomunikasikan dalam bentuk dan waktu yang tepat, untuk memungkinkan pengguna informasi mampu menjalankan tugasnya dengan baik. Kriteria kualitas informasi antara lain: Isi dan detil informasi sesuai dengan kebutuhan. Informasi disajikan tepat waktu, dan tersedia pada saat dibutuhkan. Informasi merefleksikan keadaan keuangan dan aktivitas operasional yang terbaru (mutakhir) Informasi adalah akurat dan terpercaya. Informasi mudah diakses oleh penggunanya. Internal Audit - Sururi Halaman 32 • Monitoring. ERM harus dimonitor sepanjang waktu untuk dinilai tingkat efektifitas dan efisiensinya. ERM menyediakan garis besar untuk menjawab sejumlah pertanyaan umum sbb.: • Apa yang akan dicapai oleh organisasi? • Apa yang dapat menghentikan upaya pencapaian tujuan? • Apa yang dapat dilakukan untuk mengatasi risiko? • Apakah perusahaan memiliki kemampuan untuk menjalankan kegiatan dalam rangka mewujudkan tujuan? • Bagaimana cara mengetahui pencapaian tujuan? Internal Audit - Sururi Halaman 33 • • • • • • • • • Dewan komisaris Manajemen Risk officer Pelaksana bidang keuangan Auditor internal Personalia organisasi yang lain Auditor eksternal (independen) Pemerintah (legislators and regulators) Pihak luar yang lain: konsumen, kreditor, analis keuangan, penyedia jasa outsourcing. Internal Audit - Sururi Halaman 34 • • • • • • Menyelaraskan akseptabilitas risiko dengan perencanaan strategis. Meningkatkan kualitas keputusan untuk merespon risiko. Menurunkan potensi kegiatan operasional mendadak dan juga potensi kerugian. Meningkatkan kemampuan identifikasi dan manajemen risko untuk organisasi secara keseluruhan. Memfasilitasi respon terhadap beragam risiko secara terintegerasi. Meningkatkan kemampuan pemanfaatan modal secara efektif. Internal Audit - Sururi Halaman 35 Peran Utama Internal Auditor: • Memberikan jaminan atas proses manajemen risiko. • Memberikan jaminan atas ketepatan evaluasi risiko. • Mengevaluasi proses manajemen risiko. • Mengevaluasi pelaporan risiko-risiko signifikan. • Melakukan review atas manajemen risiko signifikan. Peran Konsultatif Internal Auditor: • Memfasilitasi identifikasi dan evaluasi risiko. • Memberikan pelatihan respon risiko kepada manajemen. • Mengkoordinasi aktivitas ERM • Mengkonsolidasi pelaporan risiko • Menjaga dan mengambangkan rerangka ERM. Internal Audit - Sururi Halaman 36 Internal Audit - Sururi Halaman 37