dan MANAJEMEN RISIKO Kelompok 3 Anggota: Aisyah Istiqomah (1306483933) Lia Mustikawati (1306484734) Manna Noverika Lestari (1306484772) Putri Anandayu (1306485062) Fakultas Ekonomi Universitas Indonesia November 2014 1 STATEMENT OF AUTHORSHIP Kami yang bertandatangan di bawah ini menyatakan bahwa makalah/tugas terlampir adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain yang k ami gunakan tanpa menyebutkan sumbernya. Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk makalah/tu gas pada mata ajaran lain kecuali kami menyatakan dengan jelas bahwa kami menyatakan menggunakannya. Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan atau dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme. Mata Ajaran : Tata Kelola Perusahaan Judul Makalah/Tugas : Peran Audit Internal dan Manajemen Risiko Tanggal : 6 November 2014 Dosen : Desi Adhariani S.E., Ak., M.Si. 1. Nama : Aisyah Istiqomah 2. Nama : Lia Mustikawati NPM : 1306483933 NPM : 1306484734 TTD : TTD : 3. Nama : Manna Noverika L. 4. Nama : Putri Anandayu NPM : 1306484772 NPM : 1306485062 TTD : TTD : 2 Peran Audit Internal dan Manajemen Risiko A. Analisis Peran Internal Audit dalam Manajemen Risiko Perusahaan Menurut Ikatan Auditor Internal (Institute of Internal Auditors-IIA), Audit Internal adalah aktivitas independen, keyakinan objektif, dan konsultasi yang di rancang untuk menambah nilai dan meningkatkan operasi organisasi. Audit internal membant u organisasi dalam upayanya mencapai tujuan dengan berbagai cara seperti melakukan pendekatan sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivit as manajemen risiko, pengendalian, dan proses tata kelola oragnisasi. Dari definisi diatas dapat dilihat bila fungsi dari audit internal yang dilakukan perusahaan adalah u ntuk memberikan informasi yang berguna bagi manajemen dalam menjalankan operasi atau aktivitas organisasi. Menurut IIA Enterprise-wide Risk Management (ERM) adalah proses terstruktur, konsisten, dan terus-menerus di seluruh organisasi untuk mengidentifikasi, menil ai, memutuskan tanggapan atau respon terhadap pelaporan tentang peluang dan ancaman yang mempengaruhi pencapaian tujuan organisasi. Manajemen Risiko perusahaan adalah sebuah proses, dipengaruhi oleh dewan entitas direksi, manajemen dan pers onel lainnya, diterapkan dalam peraturan strategis dan di seluruh perusahaan, yang di rancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko untuk berada dalam risk appetite, untuk memberikan keyakinan memadai tentang pencapaian tujuan entitas. Peranan inti dari audit internal dalam ERM adalah untuk memberikan jaminan yang objektif kepada dewan atas efektivitas dari manajemen risiko. Keterlibatan audit internal didalam ERM dapat menambah nilai organisasi tapi juga menimbulkan risik o yang akan mengganggu organisasi tersebut. Risiko yang dihadapinya adalah akan munculnya kompromi terhadap independensi dan objektivitas internal dari auditor tersebut. Untuk menanggapi isu ini IIA mengeluarkan surat pernyataan yang bersik an peran inti audit internal dalam hal ERM serta peran yang tidak seharusnya dilaku kan audit internal, berikut ini merupakan rincian isi pernyataan tersebut: IIA membagi peran Audit Internal dalam ERM menjadi tiga kategori, yaitu: 3 1. Peran audit internal inti dalam ERM a. Pemberian keyakinan pada desain dan efektivitas proses manajemen risko b. Pemberian keyakinan bahwa risiko dievaluasi dengan benar c. Mengevaluasi proses manajemen risiko d. Mengevaluasi pelaporan mengenai status dari risiko-risiko kunci dan pengendaliannya e. Meninjau pengelolaan risiko-risiko kunci, termasuk efektivitas dari pengendal ian dan respon lain terhadap risiko-risiko tersebut 2. Peranan audit internal yang sah dengan pengamanan a. Memulai pembentukan ERM dalam organisasi b. Mengembangkan strategi manajemen risiko bagi persetujuan dewan c. Mempertahankan dan mengembangkan kerangka ERM d. Memfasilitasi identifikasi dan evalusi risiko e. Pelatihan manajemen tentang merespon risiko f. Mengkoordinasikan kegiatan ERM g. Mengonsolidasi laporan mengenai risiko 3. Peranan audit internal dalam ERM yang tidak boleh dilakukan a. Mengatur minat risiko (risiko appetite) b. Menerapkan proses manajemen risiko c. Menjamin manajemen risiko d. Membuat keputusan pada respon risiko e. Menerapkan respon dan manajemen risiko atas nama manajemen f. Akuntabilitas manajemen risiko Menurut Crowe Horwath, peranan internal audit dalam manajemen risiko adalah sebagai berikut: 1. Proaktif mendukung dan berpartisipasi dalam upaya ERM organisasi, termasuk pembentukan ERM. 2. Mempermudah identifikasi daerah berisiko bagi organisasi serta proses yang paling penting bagi organisasi 3. Memastikan strategi bisnis terkait dengan proses ERM 4 4. Mengawasi proses pemahaman, menilai, merancang dan mendokumentasikan kontrol 5. Risiko persedian organisasi dan kepatuhan kegiatan serta usaha untuk mengintegrasikan kedalam metodologi umum 6. Mengevaluasi bisnis dan proses manajeman untuk mengambil tanggung jawab untuk ERM Secara lebih mendetail, beberapa peranan internal audit didalam manajemen risiko yang dapat dijelaskan secara mendetail adalah: 1. Memeriksa kelayakan program manajemen risiko Dalam kaitannya dengan peranan ini adalah, internal audit berperan untuk memeriksa, mengevaluasi, serta memberikan respon terhadap kelayakan administrasi, manajemen risiko, dan proses pengendalian terkait untuk menyediakan jaminan atas kelayakannya. Dengan peranan ini sudah dipastikan proses pemeriksaan yang dilakukan oleh internal audit pasti berkaitan atau berpengaruh terhadap program manajemen risiko. Pada peranan ini internal audit juga dapat memberikan penilaian apa sebenarnya risiko potensial yang akan timbul kapan saja yang dapat menggangu keberlangsungan usaha pencapaian tujuan organisasi, sehingga berbagai program yang dibuat dalam manajemen risiko dapat mengantisipasi berbagai potensial risiko yang ada. 2. Memeriksa dan melaporkan praktik mitigasi risiko utama Dalam peranan ini, internal audit seharusnya juga dapat memeriksa dan melaporkan proses-proses yang dilakukan atau dijalankan oleh bagian manajemen risiko dalam melakukan mitigasi risiko-risiko utama yang terkait dengan operasional perusahaan sehari-hari. Tugas ini dapat berupa: membuat rencana audit berkala terhadap masing-masing risiko yang sebelumnya sudah ada atau yang baru berpotensi ada, dimulai dari rencana pencegahan, tindakan pencegahan, rencanan penanganan, tindakan penanganan, serta pencapaian atas rencana mitigasi risiko yang telah dilaksanakan. 3. Memberikan saran, rekomendasi, dan konsultasi mitigasi risiko Sebagai mana mestinya, dalam proses pemeriksaan (internal audit), pasti akan dihasilkan suatu potensi risiko ataupun risiko yang memang telah dihadapi 5 organisasi, dan semestinya dengan dilakukannya pemeriksaan tersebut selain dapat mengidentifikasi risiko juga dapat memberikan saran dan masukan bagaimana seharusnya manajemen risiko mengimplementasikan programnnya dan menghadapi risiko-risiko yang ada untuk dapat meminimalisasi dampak negatif yang mungkin timbul. Selain itu, internal audit seharusnya dapat menjadi sumber informasi dan juga tempat konsultasi bagi manajemen dalam mengimplementasikan program-programnya. 4. Menjadi pemimpin dalam menyusun dan melakukan uji coba implementasi Standar Operasi dan Prosedur (SOP), terkait dengan manajemen risiko Dalam peranan ini, internal audit menjadi asistensi mengawal dan menggiring risiko menuju garis batas yang masih dapat ditoleransikan oleh organisasi atau perusahaan. Setelah melihat penjabaran mengenai peranan internal audit dalam manajemen risiko diatas kita dapat menyimpulkan bahwa pada saat ini telah terjadi pergeser an pandangan menganai internal auditor disebuah organisasi, yang pada awalnya diang gap sebagai polisi organisasi dengan penilaian-penialain yang diberikannya saat ini pandangan mengenai auditor internal telah bergeser menjadi business partner yang tidak dapat dipisahkan dari proses manajemen organisasi. Auditor initernal saat ini tidak lagi hanya memberikan penilaian saja tetapi juga telah ikut serta dalam mendetek si risiko organisasi, mengevaluasi program-program manajemen, serta turut serta dal am perbaikan dan memberikan konsultasi bagi program yang dijalankan oleh manajemen. B. Peran Internal Audit dalam Pelaksanaan CG yang Efektif Menurut peraturan Bapepam LK No. IX.I.7, Audit Internal adalah kegiatan pemberian keyakinan (assurance) dan konsultasi yang bersifat independen dan obye ktif, dengan tujuan untuk meningkatkan nilai dan memperbaiki operasional perusahaan, melalui pendekatan yang sistematis, dengan cara mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola perusahaan. Para Dewan Sertifikasi Qualified Internal Auditor (DS-QIA) serta Perhimpunan Auditor Internal Indonesia (PAII) berkeyakinan bahwa fungsi audit internal yang efektif mampu menawarkan sumbangan penting dalam meningkatkan proses corporate 6 governance. Internal audit merupakan dukungan penting bagi komisaris, direksi, k omite audit, dan manajemen senior dalam membentuk fondasi bagi pengembangan corporate governance didalam suatu organisasi atau perusahaan. Fungsi audit internal biasa nya dilakukan bukan dengan tujuan menguji kelayakan laporan keuangan, akan tetapi un tuk membantu pihak manajemen dalam mengidentifikasi kelemahan-kelemahan, kegagalanke gagalan, dan inefisiensi dari berbagai program yang telah direncanakan oleh organisasi atau perusahaan yang bersangkutan. Audit internal berpengaruh secara signifikan terhadap implementasi good corporate governance, dimana semakin tinggi peran audit internal maka akan semak in mendukung kinerja implementasi good corporate governance (GCG). Auditor internal berperan untuk memastikan terlaksananya prinsip-prinsip GCG yang telah dibahas p ada pertemuan-pertemuan sebelumnya, yaitu yang meliputi transparansi, akuntabilitas, pertanggungjawaban, independensi, dan kewajaran yang nantinya akan mampu memberian kejelasan mengenai fungsi, hak dan tanggung jawab antara pihak-pihak yang berkepentingan atas perusahaan, proses pengendalian internal dan menciptaka n keseimbangan organ perusahaan dan juga keseimbangan antar stakeholders. Didalam Crowe Horwarth (2011), pada tingkat yang lebih tinggi , tata kelola perusahaan memiliki tujuh komponen yang saling terkait yaitu, dewan direksi deng an komite, hukum dan peraturan, pengungkapan dan transparansi, praktik bisnis dan e tika, manajemen risiko perusahaan, pemantauan, dan komunikasi. Tujuh komponen ini memberikan pandangan yang komprehensif, kompleks, keterkaitan dan variable organisasi harus mengelolanya dengan baik untuk memperkuat tata kelola mereka. Ketika seluruh komponen dapat beroperasi dengan efektif dan terkoordinasi secara efisien, tata kelola perusahaan akan menyediakan platform atau landasan untuk membantu meningkatkan kinerja bisnis dan meningkatkan nilai bagi stakeholders. Peranan internal audit didalam tujuh komponen organisasi tersebut yang dapat membantu implementasi corporate governance yang efektif adalah sebagai berikut: 1. Board of Directors and Committees Membantu dewan direksi dan komite dengan penilaian diri mereka dan praktik terbaik. 7 Menilai efektivitas komite audit dan kepatuhan terhadap peraturan. Ulasan piagam komite audit dengan bantuan penasihat hukum. Interaktif tentang masalah tata kelola, membawa ide-ide terbaik dalam praktik tentang pengendalian internal dan proses manajemen risiko untuk mengaudit anggota komite. Menetapkan keakuratan informasi yang digunakan dalam pengambilan keputusan oleh komite kompensasi, dan Membantu board dengan kuasanya melaporkan pengawasan manajemen risiko. 2. Legal and Regulatory Memverifikasi sesuai hukum bahwa organisasi telah mengidentifikasi persyaratan, tanggung jawab yang diberikan, dan semua persyaratan hukum dan peraturan yang ditujukan Mencari peluang untuk meningkatkan kegiatan kepatuhan dan kemampuan untuk mengurangi biaya jangka panjang dan meningkatkan kinerja 3. Business Practice and Ethics Meninjau kode etik dan kebijakan, memverifikasi bahwa keduanya diperbaharui secara berkala dan disampaikan kepada manajemen dan pegawai Menyelenggarakan ilmu perilaku untuk meninjau dan menilai pemahaman dan persepsi kepatuhan di setiap tingkatan organisasi Membantu manajemen dan komite audit untuk menahan orang dalam setiap tingkatan untuk bertanggung jawab, mendengarkan perkataan mereka tetapi juga melihat tindakan mereka Melayanin dalam peranan pengawasan etika atau membicarakan kepada petugas etika Berpartisipasi dalam whistle-blower dan proses investigasi complain lainnya Melakukan audit tahunan dan proses tindak lanjut (contohnya kepatuhan terhadap kebijakan dan konsistensi tindakan), pelaporan untuk komite audit Menilai hubungan etika dengan penetapan tujuan dan evaluasi proses kinerja 4. Disclosure and Transparency Melakukan pengujian pengungkapan keuangan dan mebicarakan dengan CFO 8 Memahami mengenai pengungkapan dan transparansi, penilaian risiko yang disesuaikan dengan ekspektasi stakeholders Pada rencana audit tahunan, menuju pada tujuan pengungkapan dan transparansi Memahami secara luas dan mendalam, gambaran dari kemungkinan pengungkapan dan transparansi, dan dimana organisasi mengusahakan akan hal tersebut Berpartisipasi secara aktif dalam komite pengungkapan, termasuk mengevaluasi efektivitas Meninjau proses sub-certification 5. Enterprise Risk Management Proaktif mendukung dan berpartisipasi dalam upaya ERM organisasi, termasuk pembentukan ERM. Mempermudah identifikasi daerah berisiko bagi organisasi serta proses yang paling penting bagi organisasi Memastikan strategi bisnis terkait dengan proses ERM Mengawasi proses pemahaman, menilai, merancang dan mendokumentasikan kontrol Risiko persedian organisasi dan kepatuhan kegiatan serta usaha untuk mengintegrasikan kedalam metodologi umum Mengevaluasi bisnis dan proses manajeman untuk mengambil tanggung jawab untuk ERM 6. Monitoring Memahami aktivitas monitoring dalam organisasi pada masing-masing komponen dalam kerangka kelola organisai Memfasilitasi pelaksanaan metodologi pemantauan risiko umum di semua fungsi tata kelola perusahaan, sehingga sistem pelaporan terintegrasi Melakukan pemeriksaan tata kelola perusahaan pada tingkat perencanaan strategi Menggabungkan aspek tata kelola perusahaan ke dalam tingkat perencanaan audit Mengembangkan jaminan penilaian (scorecard) dan laporan per-triwulan 7. Communication 9 Berpartisipasi dalam dialog yang berkelanjutan dengan penasihat umum, kepala keuangan, dan pejabat manajemen senior lainnya Menjaga komunikasi yang stabil dengan komite audit dan eksekutif pengawas Mencakup informasi tentang tata kelola perusahaan dalam laporan audit Membantu dalam membangun komunikasi penjadwalan tata kelola dan mengumpulkan sejumlah masukan tentang kebutuhan seluruh organisasi C. Perbandingan Peraturan Bapepapm-LK terkait Internal Audit dengan Peran Internal Audit menurut IIA (2009) dan Crowe Horwarth (2011) Menurut peraturan No. IX.I.7 Bapepam LK, Audit Internal adalah suatu kegiatan pemberian keyakinan (assurance) dan konsultasi yang bersifat independen dan obye ktif, dengan tujuan untuk meningkatkan nilai dan memperbaiki operasional perusahaan, melalui pendekatan yang sistematis, dengan cara mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola perusahaan. Peraturan ini juga membahas Struktur dan Kedudukan Unit Audit Internal dalam perusahaan, antara lain bahwa Unit Audit Internal dipimpin oleh kepala Unit Audi t Internal yang diangkat dan diberhentikan (jika tidak memenuhi persyaratan sesuai peraturan ini dan atau gagal atau tidak cakap menjalankan tugas) oleh direktur u tama atas persetujuan dewan komisaris. Auditor yang duduk dalam Unit Audit Internal bertanggung jawab secara langsung kepada kepala Unit Audit Internal, sementara kepala Unit Audit Internal bertanggung jawab kepada direktur utama. Persyaratan auditor internal yang disebutkan diatas menurut peraturan No IX.I.7 yaitu memiliki integritas dan perilaku yang profesional, independen, jujur, dan obyektif dalam pelaksanaan tugasnya, serta memiliki pengetahuan dan pengalaman mengenai teknis audit dan disiplin ilmu lain yang relevan dengan bidang tugasnya. Auditor Internal juga harus mengetahui peraturan perundang-undangan di bidang pasar moda l dan peraturan perundang-undangan terkait lainnya, cakap dalam berinteraksi dan berkomunikasi baik lisan maupun tertulis secara efektif, dan wajib mematuhi stan dar profesi yang dikeluarkan oleh asosiasi Audit Internal. Auditor Internal wajib me njaga kerahasiaan informasi dan/atau data perusahaan terkait dengan pelaksanaan tugas dan tanggung jawab Audit Internal kecuali diwajibkan berdasarkan peraturan perundang - 10 undangan atau penetapan/putusan pengadilan, memahami prinsip-prinsip tata kelola perusahaan yang baik dan manajemen risiko, dan bersedia meningkatkan pengetahuan , keahlian dan kemampuan profesionalismenya secara terus-menerus. Sementara tugas dan tanggung jawab Unit Audit Internal berdasarkan peraturan tersebut adalah menyusun dan melaksanakan rencana Audit Internal tahunan, menguj i dan mengevaluasi pelaksanaan pengendalian interen dan sistem manajemen risiko sesuai dengan kebijakan perusahaan, melakukan pemeriksaan dan penilaian atas efisiensi dan efektivitas di bidang keuangan, akuntansi, operasional, sumber day a manusia, pemasaran, teknologi informasi dan kegiatan lainnya, memberikan saran perbaikan dan informasi yang obyektif tentang kegiatan yang diperiksa pada semua tingkat manajemen, membuat laporan hasil audit dan menyampaikan laporan tersebut kepada direktur utama dan dewan komisaris, memantau, menganalisis dan melaporkan pelaksanaan tindak lanjut perbaikan yang telah disarankan, bekerja sama dengan Komite Audit, menyusun program untuk mengevaluasi mutu kegiatan audit internal yang dilakukannya, dan melakukan pemeriksaan khusus apabila diperlukan. Dalam melakukan tugas dan tanggung jawab tersebut, Unit Audit Internal diberikan kewenangan untuk mengakses seluruh informasi yang relevan tentang perusahaan terkait dengan tugas dan fungsinya, melakukan komunikasi secara langs ung dengan direksi, dewan komisaris, dan/atau Komite Audit serta anggota dari direks i, dewan komisaris, dan/atau Komite Audit, mengadakan rapat secara berkala dan insidentil dengan direksi, dewan komisaris, dan/atau Komite Audit, dan melakukan koordinasi kegiatannya dengan kegiatan auditor eksternal. Seperti dinyatakan dalam peraturan ini, perusahaan publik wajib memiliki piagam Audit Internal yang meliputi hal-hal diatas, seperti struktur dan kedudukan Unit Audit Internal, tugas dan tanggung jawab Unit Audit Internal, wewenang Unit Audit Inte rnal, kode etik Unit Audit Internal, persyaratan auditor yang duduk dalam Unit Audit Internal, pertanggungjawaban Unit Audit Internal, dan larangan perangkapan tugas dan jabatan auditor dan pelaksana yang duduk dalam Unit Audit Internal dari pelaksan aan kegiatan operasional perusahaan. Dapat kita lihat diatas, bahwa Bapepam-LK lebih mengacu kepada ketentuan dan peraturan mengenai Audit Internal. Sedangkan dalam naskah berjudul IIA Posit ion 11 Paper: the Role of Internal Auditing in Enterprise-Wide Risk Management yang dib uat oleh Institute of Internal Auditor (IIA) lebih membahas mengenai peran auditor d alam pengelolaan resiko perusahaan. Dalam naskahnya, IIA lebih menekankan kepada konsep ERM (Enterprise-Wide Risk Management), yaitu suatu proses yang terstruktur, konsisten, dan terus mene rus dalam suatu organisasi secara keseluruhan, yang dilakukan untuk mengidentifikasi , menilai, memutuskantanggapan terhadapdan pelaporantentang peluangdan ancamanyang mempengaruhipencapaiantujuannya. Prinsip-prinsip yang dijelaskan ole h IIA dapat digunakan untuk memanduketerlibatanaudit internaldalam segala bentukmanajemen risiko. Peran utama dari audit internal dalam ERM adalah memberikan jaminan/keyakinan (assurance) yang obyektif mengenai efektivitas manajemen resik o perusahaan kepada dewan. Gambar dibawah menunjukan cakupan aktivitas dalam ERM yang memperlihatkan batasan atas hal-hal yang seharusnya dilakukan oleh audit in ternal dan hal-hal yang tidak boleh dijalankan oleh anggota audit internal. Hal ini dit entukan berdasarkan pertimbangan mengenai seberapa jauh pekerjaan tersebut mengancam independensi dan obyektivitas dari auditor internal, dengan seberapa banyak peke rjaan tersebut meningkatkan kontrol dan manajemen resiko serta tatakelola perusahaan. 12 Aktivitas pada bagian kiri gambar menunjukan kegiatan minimal dalam pekerjaan assuranceyang dilakukan oleh audit internal. Namun, unit audit internal juga dap at memberikan saran dan konsultansi untuk meningkatkan kontrol dan manajemen resiko serta tatakelola perusahaan, seperti yang digambarkan pada aktivitas-aktivitas d ibagian tengah. Meskipun begitu, seiring perkembangan manajemen resiko dalam kegiatan operasional perusahaan, tanggung jawab audit internal dalam ERM juga akan berkurang. Dapat dilihat pada gambar diatas, semakin ke kanan ruang lingkup kegi atan audit internal, akan semakin besar pula resiko untuk menjaga independensi dan objektifitas mereka. Faktor kunci yang menentukan apakah kegiatan konsultasi yang dilakukan seimbang dan tidak melebihi kegiatan assurance yang memang merupakan tugas audit internal adalah bahwa unit audit internal tidak menanggung tanggung jawab manaje rial. Dalam ERM, internal audit dapat menyediakan selama tidak benar-benar berperan dalam pengelolaan resiko (yang merupakan tanggung jawab manajemen) dan selama manajemen juga mengaplikasikan dan mendukung berlangsungnya ERM. Selain peraturan Bapepam-LK dan IIA, Crowe Howart LLP sebagai salah satu kantor akuntan publik dan konsultan akuntansi, perpajakan dan keuangan terbesar di Amerika juga menerbitkan tulisan berjudul Strengthening Corporate Governance with Internal Audit mengenai peran audit internal dalam memenuhi peningkatan ekspektas i terkait persamaan kemampuan internal audit dengan peningkatan penilaian dan pengawasan terhadap kualitas tata kelola perusahaan. Crowe Horwath menyebutkan bahwa tanggung jawab audit internal semakin berkembang seiring dengan meningkatnya pengawasan dari berbagai pihak, mulai dar i dewan direksi hingga investor. Mereka juga mengungkapkan adanya perubahan peran audit internal, dimana pada sekitar tahun 1990 minat dan kepercayaan masyarakat pada kegiatan bisnis sedang tinggi-tingginya, sesuai dengan naiknya harga saham. Mesk ipun telah ada audit internal yang berfungsi untuk mengalokasikan sumberdaya perusaha an berdasarkan resiko, pegawainya terbatas dan audit yang dilakukan lebih fokus ter hadap pengawasan dan penilaian kinerja. Namun peraturan terkini, maraknya gerakan anti penipuan/korupsi dalam perusahaan serta banyaknya kasus whistle-blower yang terj adi mendorong auditor untuk berperan lebih aktif dalam perusahaan. 13 Berdasarkan perkembangan tersebut, terdapat tujuh komponen dalam kerangka tata kelola perusahaan menurut Crowe Horwath. Pada masing-masing komponen, telah dikembangkan tugas dan tanggung jawab bagi peran audit internal dalam perusahaan . Komponen dan tanggung jawab tersebut antara lain: Dewan Direksi dan Komite Audit Tanggung jawab audit internal terhadap dewan direksi dan komite audit antara lain: - Membantu dewan direksi dan komite audit dalam menjalankan tugasnya. - Memberikan ide mengenai pengelolaan resiko dan internal kontrol. - Memastikan keakuratan informasi yang dijadikan dasar pengambilan keputusan. Hukum dan Peraturan Tanggung jawab audit internal terkait hukum dan peraturan antara lain: - Memastikan bahwa perusahaan telah mengetahui dan memenuhi semua persyaratan sesuai peraturan yang berlaku. - Mengidentifikasi peluang yang mempengaruhi pemenuhan aktivitas yang dapat mengurangi biaya jangka panjang dan meningkatkan kinerja. Praktek dan Etika Bisnis Tanggung jawab audit internal terkait praktek dan etika bisnis antara lain: - Memeriksa kebijakan terkait kode etik perusahaan dan memastikan kebijakan tersebut diperbarui sesuai kebutuhan perusahaan dari waktu ke waktu dan menyampaikan perubahan yang ada kepada pegawai. - Menjalankan tugasnya dengan mengikuti kode etik perusahaan. - Berpartisipasi dalam proses invetigasi mengenai whistle-blowerdan keluhan lainnya mengenai etika bisnis perusahaan. Pengungkapan dan Transparansi Tanggung jawab audit internal terkait pengungkapan dan transparansi antara lain: - Melakukan pemeriksaan terhadap pengungkapan laporan keuangan perusahaan. - Memahami resiko terkait pelaporan keuangan yang dapat terjadi sesuai karakteristik perusahaan. 14 - Menyatakan tujuan atas pengungkapan dan transparansi dengan jelas dan mengkomunikasikannya kepada pegawai. Enterprise Risk Management (ERM) Tanggung jawab audit internal terkait ERM antara lain: - Memastikan strategi bisnis berjalan sesuai proses ERM - Secara aktif berperan sebagai penasehat maupun partisipan dalam kegiatan ERM perusahaan. Pengawasan Tanggung jawab audit internal terkait pengawasan antara lain: - Memahami dimana saja aktivitas pengawasan diperlukan dalam perusahaan. - Memfasilitasi implementasi metobe pengawasan terhadap resiko umum di seluruh bagian perusahaan. Komunikasi Tanggung jawab audit internal terkait komunikasi dalam organisasi antara lain: - Menyatakan semua informasi mengenai tata kelola perusahaan dalam laporan audit. - Menjaga kelancaran komunikasi dengan masing-masing anggota unit audit internal, kepala keuangan, dewan direksi, dll. D. Manajemen Risiko menurut Draft Pedoman Penerapan Manajemen Risiko Berbasis Governance KNKG 2011 Suatu organisasi dalam menyusun strategi untuk melaksanakan proses utama organisasinya, perlu memperhatikan risiko-risiko yang mungkin muncul, antisipasi terhadap risiko, dan menentukan hal yang akan dilakukan jika risiko tersebut ben arbenar terjadi. Hal inilah yang mendasari pentingnya manajemen risiko bagi suat u organisasi. Menurut KNKG dalam Draft Pedoman Penerapan Manajemen Risiko Berbasis Governance (2011), manajemen risiko adalah upaya organisasi yang terkoordinasi untuk mengarahkan dan mengendalikan risiko. Menurut KNKG (2011), penerapan manajemen risiko yang baik dapat memberikan beberapa keuntungan bagi perusahaan, yakni: 15 Mengurangi terjadinya peristiwa yang kurang menyenangkan, risiko yang mungkin muncul telah diantisipasi sebelumnya. Meningkatkan hubungan baik dengan para pemangku kepentingan, manajemen risiko memerlukan komunikasi timbal balik yang intens yang dapat membangun kesamaan persepsi dan kepentingan. Meningkatkan efektivitas dan efisiensi manajemen, organisasi lebih siap dalam menghadapi dan menangani risiko yang mungkin muncul karena telah diidentifikasi sebelumnya. Lebih memberikan jaminan yang wajar atas pencapaian sasaran perusahaan, karena ketiga hal di atas dapat tercapai. KNKG menyarankan bahwa dalam proses penerapan manajemen risiko terdapat tiga aspek yang perlu diperhatikan, yaitu aspek struktural, aspek operasional, d an aspek perawatan. 1. Aspek Stuktural Aspek struktural merupakan aspek yang memastikan arah penerapan, struktur organisasi penerapan, akuntabilitas pelaksanaan manajemen risiko dalam organisas i, dan penyediaan sumber daya. Dengan kata lain, aspek struktural menjadi dasar ata u fondasi bagi penerapan manajemen risiko pada suatu organisasi. Penerapan manajem en risiko awalnya berfokus pada bagaimana menangani risiko secara parsial, tetapi s aat ini fokusnya telah berkembang menjadi terintegrasi untuk keseluruhan organisasi yang disebut sebagai ERM (enterprise risk management). a. Prinsip-prinsip manajemen risiko yang efektif: 1) Manajemen risiko melindungi dan menciptakan nilai tambah 2) Manajemen risiko adalah bagian terpadu dari proses organisasi 3) Manajemen risiko adalah bagian dari proses pengambilan keputusan 4) Manajemen risiko secara khusus menangani aspek ketidakpastian 5) Manajemen risiko bersifat sistematik, terstruktur, dan tepat waktu 6) Manajemen risiko berdasarkan pada informasi terbaik yang tersedia 7) Manajemen risiko adalah khas untuk penggunanya (tailored) 8) Manajemen risiko mempertimbangkan faktor manusia dan budaya 9) Manajemen risiko harus transparan dan inklusif 16 10) Manajemen risiko bersifat dinamis, berulang, dan tanggap terhadap perubahan 11) Manajemen risiko harus memfasilitasi terjadinya perbaikan dan peningkatan organisasi secara berlanjut. b. Kerangka Kerja Manajemen Risiko Kerangka kerja akan memastikan berjalannya pelaporan dari proses manajemen risiko mengenai informasi risiko yang lengkap dan memadai serta akan digunakan sebagai landasan dalam pengambilan keputusan. Mandat & Komitmen Perencanaan Kerangka Kerja Manajemen Risiko Perbaikan Sinambung Kerangka Kerja MR Penerapan Manajemen Risiko Monitoring & Review Penerapan Kerangka Kerja MR Gambar 1: Kerangka Kerja Manajemen Risiko c. Mandat dan Komitmen Dalam kerangka kerja manajemen risiko, mandat dan komitmen merupakan sentral, sesuai dengan peraturan perundang-undangan, yang menjadi sumber dasar hukum entitas. Alter ego perusahaan dalam UU PT adalah Dewan Direksi dan Dewan Komisaris. Direksi merupakan penanggung jawab utama penerapan manajemen risiko perusahaan, sedangkan Komisaris merupakan pengawas tertinggi dalam pelaksanaan pengawasan penerapan manajemen risiko perusahaan. 17 d. Proses Manajemen Risiko Secara singkat, proses manajemen risiko merupakan penerapan kerangka kerja manajemen risiko pada tiap-tiap jenis risiko yang secara spesifik mempunyai kara kter yang berbeda-beda sesuai dengan konteksnya (tailored). Gambar berikut merupakan proses manajemen risiko dalam KNKG (2011). Gambar 2: Proses Manajemen Risiko e. Tata Kelola Risiko Tata kelola risiko meliputi unsur-unsur sebagai berikut: 1) Kebijakan manajemen risiko, pernyataan komitmen secara tertulis oleh Dewan Direksi dan Dewan Komisaris untuk menerapkan manajemen risiko. 2) Akuntabilitas penerapan manajemen risiko, akuntabilitas tertinggi berada pada Direksi, secara lebih khusus pada Direktur Utama atau yang ditunjuk. Selain itu perlu diperhatikan mengenai: Penunjukan champion, bertanggung jawab sebagai fasilitator penerapan manajemen risiko ke seluruh organisasi (ERM) Penunjukan risk owner, pemangku risiko dan penanggung jawab pengelolaan risiko pada divisi yang dipimpinnya Penyusunan infrastruktur organisasi sebagai unit untuk mendorong penerapan ERM Penyusunan mekanisme organisasi untuk penerapan manajemen risiko Proses untuk menimbulkan budaya sadar risiko ke seluruh organisasi 18 3) Infrastuktur manajemen risiko, setiap organisasi harus menyusun infrastruktur manajemen risiko sesuai dengan kebutuhan dan jenis-jenis risiko yang dihadapinya. 4) Tata laksana, komunikasi, dan pelaporan, metode yang sering digunakan adalah RACI Matrix yakni: Responsible, siapa yang mengerjakan kegiatan Accountable, siapa yang memiliki hak membuat keputusan akhir serta menjawab pertanyaan pihak lain Consulted, siapa yang harus dilibatkan atau diajak berkonsultasi sebelum atau saat pelaksanaan kegiatan Informed, siapa yang harus diberi informasi mengenai apa yang sedang terjadi tanpa harus menghentikan kegiatan tersebut. f. Sumber Daya Penerapan Manajemen Risiko Beberapa pengalokasian sumber daya memadai yang harus dilakukan untuk pelaksanaan manajemen risiko: Personalia dengan pengalaman, keterampilan dan keahlian yang memadai serta jumlah yang sesuai dengan kebutuhan Sumber dana dan sumber daya yang diperlukan untuk setiap tahapan penerapan manajemen risiko Proses dan prosedur yang terdokumentasi dengan baik Sistem informasi dan manajemen pengetahuan 1. Aspek Operasional Aspek operasional merupakan aspek operasionalisasi bagi manajemen risiko di seluruh organisasi tetapi juga spesifik bagi masing-masing bagian atau bahkan ba gi masing-masing pemilik risiko.Proses manajemen risiko dan penanganan manajemen perubahan merupakan bagian dari aspek operasional sedangkan, aspek spesifik adal ah penerapan proses manajemen risiko itu sendiri pada tiap-tiap risiko. Dalam aspek operasionalisasi, perlu lingkup tugas mana yang menjadi bagian level organisasi keseluruhan (perusahaan) dan wilayah mana yang menjadi bagian risk owner (divisi , departemen, dll). 19 Gambar 3: Operasionalisasi Kerangka Kerja dan Proses Manajemen Risiko Proses manajemen risiko yang berada di tengah pada gambar di atas merupakan domain kegiatan risk owner sedangkan kegiatan lainnya merupakan domain kegiatan organisasi, yang merupakan tugas khusus fungsi manajemen risiko organisasi yaitu untuk menyediakan dasar bagi kegiatan para risk owner dalam menerapkan manajemen risiko. a. Manajemen Perubahan Organisasi akan mengalami beberapa tahapan dalam melakukan setiap pengenalan program baru kepada seluruh anggotanya, yakni: Penolakan, semua orang karena sudah nyaman dengan kondisi yang ada akan mempertanyakan kegunaan dari program baru tersebut. Perlawanan, orang mulai melihat manfaatnya tetapi masih melaksanakannya. 20 ragu untuk Eksplorasi, mulai timbul keinginan untuk memahami dan mengeksplorasi lebih jauh karena sudah melihat manfaatnya dengan jelas. Komitmen, melakukan perubahan tersebut dan proses perubahan akan berlangsung dengan baik. Proses manajemen perubahan meliputi peluncuran, sosialisasi dan pelatihan hingga penerapan manajemen risiko dan pada akhirnya akan tumbuh budaya sadar risiko. Oleh karena itu, perubahan harus dimulai dari tup management terlebih da hulu sehingga akan menjadi change leader yang akan diikuti oleh middle management, da n begitu seterusnya sampai ke tahap line management dan seluruh karyawan. Selain i tu, proses penerapan manajemen risiko harus direncanakan dan disusun sedemikian rupa sehingga penolakan dan perlawanan dapat diatasi dengan baik. b. Panduan Manajemen Risiko Alat utama dalam operasionalisasi manajemen risiko ke seluruh organisasi adalah berupa Manual Manajemen Risiko atau buku panduan manajemen risiko. Melalui manual ini, istilah dan definisi diseragamkan untuk menghindari multi interpreta si dan penerapan serta proses manajemen risiko dilaksanakna sesuai dengan standar yang ditentukan oleh Direksi. Setiap perusahaan memiliki panduan manajemen risiko yan g berbeda atau unik namun, secara umum terdapat beberapa sttruktur yang sama yaitu menjelaskan latar belakang dan alasan diterapkannya ERM, menguraikan prinsipprin sip manajemen risiko, menguraikan kerangka kerja manajemen risiko, menguraikan proses manajemen risiko di setiap tahapan, menguraikan konteks manajemen risiko, dan memberikan panduan untuk implementasi manajemen risiko secara menyeluruh di perusahaan. c. Implementasi Manajemen Risiko Pada dasarnya merupakan implementasi kerangka kerja manajemen risiko dan implementasi proses manajemen risiko. Dalam sebuah perusahaan hanya ada satu kerangka kerja manajemen risiko yang berlaku secara menyeluruh. Namun, dalam proses mananjemen risiko konteks dan isinya, terutama alat dan metodenya dapat berbeda-beda untuk tiap risiko yang ditangani. Berikut merupakan tahapan-tahapan dalam proses manajemen risiko. 1) Komunikasi dan Konsultasi 21 Pada setiap tahapan proses manajemen risiko harus dilakukan komunikasi dan konsultasi se-ekstensif mungkin dengan para risk owner baik internal maupun ekst ernal. Rencana komunikasi dan konsultasi harus disusun dan merujuk pada risiko yang mungkin terjadi, dampak, dan tindakan yang perlu dilakukan untuk mengatasinya, s erta hal lain yang terkait. Risk owner memberikan pertimbangan dan penilaian terhadap risiko yang didasarkan pada persepsi mereka atas risiko tersebut. Penting untuk mengidentifikasi persepsi para risk owner terutama ketika pandangan mereka dapat memengaruhi dan menentukan dalam pengambilan keputusan. 2) Penentuan Konteks Penentuan konteks artinya menentukan batasan atau parameter internal dan eksternal yang akan dijadikan pertimbangan dalam pengelolaan risiko, menentukan lingkup kerja, dan kriteria risiko untuk proses-proses selanjutnya. a) Konteks Internal, segala sesuatu di dalam organisasi yang dapat memengaruhi c ara organisasi dalam mengelola risiko. Proses manajemen risiko harus dijalankan deng an selaras dengan budaya, proses, dan kultur organisasi. b) Konteks Eksternal, lingkungan eksternal di mana organisasi mengupayakan pencapaian sasaran yang ditetapkannya. Konteks internal meliputi lingkungan politik, budaya, sosial, ekonomi, hukum dan lainnya; faktor-faktor pendorong yan g mempunyai dampak terhadapa pencapaian sasaran organisasi; dan persepsi dan nilai nilai para stakeholders eksternal. c) Konteks Proses Manajemen Risiko, merupakan konteks di mana proses manajemen risiko diterapkan. Penerapan manajemen risiko dilaksanakan dengan mempertimbangkan biaya dan manfaat dalam pelaksanaannya. Kontek proses manajemen risiko akan berubah sesuai dengan kebutuhan organisasi. d) Mengembangkan Kriteria Risiko, kriteria dapat merupakan gambaran nilai-nilai dan sasaran organisasi, dampak terhadap sumber daya organisasi, serta aspek huku m yang terkait dengan kegiatan organisasi. Kriteria harus konsisten dengan kebijak an manajemen risiko yang telah ditetapkan. Kriteria disusun pada awal penerapan proses manajemen risiko dan ditinjau ulang secara berkala. Penyusunan kriteria risiko terutama penting untuk melakukan asesmen risiko. Kriteria yang perlu dikembangkan antara lain: kriteria dampak, cara mengukur kemungkinan terjadinya 22 risiko, cara menyusun kriteria tingkatan risiko, serta kriteria keberhasilan pen erapan proses manajemen risiko. 3) Asesmen Risiko Asesmen risiko merupakan proses pengidentifikasian risiko-risiko yang mungkin terjadi kemudian masing-masing risiko diberi atribut berdasarkan analisis dengan menggunakan kriteria risiko yang telah ditentukan. Setelah itu, dilakukan evalua si pemeringkatan risiko sehingga dapat ditentukan tingkat prioritas risiko yang aka n memerlukan perlakuan risiko. a) Identifikasi Risiko, proses ini sangat penting karena risiko yang tidak terid entifikasi tidak akan ditangani pada proses-proses selanjutnya. Risiko tidak hanya sekedar suatu peristiwa tetapi juga mencakup informasi yang berkaitan dengan peristiwa tersebut. Beberapa elemen dalam informasi tersebut: sumber risiko, kejadian, konsekuensi, pengendalian (faktor pemicu risiko), serta perkiraan waktu dan temp at terjaidnya risiko. Ketgori teknik yang secara umum digunakan untuk mengidentifikasi risiko: Teknik Brainstorming, antara lain Brainstorming, Delphi Method, RSCA (Risk Control Self-Assesment), focus group discussion. Persepsi pihak terkait, antara lain document review, stakeholders analysis, expert judgement. Proses bisnis, misalnya FMEA (Failure Mode & Effect Analysis, fish bone diagram). Struktur organisasi atau pekerjaan (workbreakdown structure), misalnya RBS (Risk Breakdown Structure). Contoh model risiko bisnis perusahaan sejenis (Bussiness Risk Model). Dalam prakteknya dapat dilakukan kombinasi dari berbagai macam teknik di atas. Proses identifikasi risiko akan menghasilkan daftar risiko (rekaman data mengena i riwayat risiko dan perkembangan perlakuannya) dan tabel risiko (tabel kumpulan risiko yang sudah dibuat daftar risikonya). b) Analisis Risiko, upaya untuk memahami risiko lebih dalam termasuk cara dan strategi yang tepat dalam memperlakukan risiko tersebut. Analisis dapat dilakuka n secara kualitatif, kuantitatif, semi kuantitatif, atau kombinasi dari cara-cara ini, 23 tergantung dari kondisinya. Biasanya dalam praktik, untuk mendapatkan indikasi umum tingkat kegawatan risiko, terlebih dahulu dilakukan analisis kualitatif. Langkah berikutnya, sesuai dengan keperluan, dilakukan analisis yang lebih spesi fik dan secara kuantitatif. Tujuannya untuk menganalisis dampak dan kemungkinan terjadinya risiko yang dapat menghambat pencapaian sasaran organisasi. Dampak tidak hanya merupakan ancaman belaka namun dapat pula diartikan sebagai peluang bagi organisasi. Gambar berikut merupakan hasil analisis risiko berdasarkan formulasi hubungan dampak dan kemungkinan yang dapat djadikan ukuran pemeringkatan kegawatan risiko. Gambar 4: Peringkat Risiko Hasil analisis risiko ini akan menjadi masukan bagi evaluasi risiko dan untuk pr oses pengambilan keputusan mengenai perlakuan terhadap risiko tersebut. c) Evaluasi Risiko, menentukan risiko-risiko mana yang memerlukan perlakuan dan bagaimana prioritas perlakuan atas risiko-risiko tersebut. Risiko menurut banyak pihak dikelompokkan menjadi: Kelompok risiko tinggi (high risk), terdapat risiko-risiko yang berbahaya dan tidak dapat ditolerir, apapun manfaat yang terkandung dalam kegiatan tersebut. Langkah-langkah mitigasi risiko (risk reduction) hasil diambil, berapapun biayanya. Contohnya, terkait dengan keselamatan dan kesehatan. Kelompok risiko rendah (medium risk), risiko yang memerlukan analisis manfaat-biaya guna mengukur perbandingan antara peluang serta dampak buruknya. Contohnya, risiko bisnis. 24 Kelompok risiko rendah (low risk), risiko yang memiliki aspek positif dan negatif terlalu kecil sehingga tidak memerlukan penanganan risiko secara khusus dan kesalahan dari risiko ini tidak menimbulkan dampak besar yang tidak diinginkan. Contohnya, salah tulis. Dalam menentukan kriteria risiko di atas, pengertian pengendalian risiko perlu diperhatikan. Sebagai contoh, suatu risiko masuk dalam kelompok risiko tinggi te tapi karena pengendalian risiko yang efektif, risiko tersisa menjadi kecil, sehingga masuk dalam kategori risiko rendah. Hasil evaluai risiko menunjukkan peringkat risiko yang memerlukan penanganan lebih lanjut berdasarkan risiko yang tersisa dan efektivit as pengendalian risiko yang ada. 4) Perlakuan Risiko Setiap risiko memerlukan bentuk perlakuan yang khas untuk tiap risiko itu sendir i. Pemeriksaan ulang yang cukup komprehensif perlu dilakukan untuk setiap risiko ya ng memerlukan perlakuan risiko. Perlakuan suatu risiko dapat bermanfaat untuk risik orisiko lainnya (satu perlakuan untuk beberapa risiko), tetapi mungkin juga dipe rlukan beberapa perlakuan untuk satu risiko. Beberapa perlakuan terhadap suatu risiko: Menghindari risiko (risk avoidance), tidak melaksanakan atau melanjutkan kegiatan yang menimbulkan risiko tersebut. Berbagi risiko (risk sharing/transfer), suatu tindakan untuk mengurangi kemungkinan timbulnya risiko atau dampak risiko. Misalnya melalui asuransi, outsourcing, subcontracting, tindak lindung mata uang asing, dll. Mitigasi (mitigation), melakukan perlakuan risiko untuk mengurangi kemungkinan timbulnya risiko, atau mengurangi dampak risiko bila terjadi, atau mengurangi keduanya (kemungkinan dan dampak). Mitigasi merupakan bagian dari kegiatan organisasi sehari-hari. Menerima risiko (risk acceptance), tidak melakukan perlakuan apapun terhadap risiko tersebut. 5) Monitoring dan Review Proses monitoring dan review harus mencakup semua aspek dari proses manajemen risiko. Proses ini dapat berupa pemeriksaan biasa atau pengamatan terh adap apa yang sudah ada secara berkala maupun khusus dan dilakukan secara terencana. 25 Hasilnya harus didokumentasikan serta dilaporkan baik internal maupun eksternal. Beberapa pertanyaan dasar yang disusun dalam proses monitoring dan review yaitu: a) Siapa yang melakukan monitoring dan review? Dewan Komisaris dan Direksi wajib melakukan proses monitoring dan review. Dewan Komisaris bertanggung jawab dalam pelaksanaan monitoring dan review terhadap keseluruhan operasi perusahaan. Direksi bertanggung jawab mengarahkan dan mengendalikan operasi perusahaan. Dua macam pelaksanaan monitoring: Pemantauan berkelanjutan (ongoing monitoring), dilaksanakan oleh pelaksana pekerjaan (self review atau continous monitoring) dan atasan pekerja (line management monitoring) Pemantauan terpisah (separate monitoring), dilakukan oleh pihak ketiga baik internal maupun eksternal auditor dan hasilnya dilaporkan kepada Direksi dan Dewan Komisaris. b) Apa yang perlu dipantau dan ditinjau? Pemantauan terhadap perubahan, sehingga dinamika pemantauan risiko akan mengikuti dinamika perubahan yang terjadi pada proses organisasi dan lingkungan organisasi tersebut. Pemantauan kinerja manajemen risiko, khususnya ditunjukan pada risikorisiko yang tinggi dan kritis. Pemantauan difokuskan pada efektivitas pengendalian risikonya. Kemungkinan timbulnya risiko-risiko baru akibat dilakukannya suatu tindakan perlakuan risiko yang baru. c) Informasi yang bagaimana yang harus dievaluasi? Informasi yang dapat digunakan adalah informasi yang: Sesuai, informasi yang relevan, dapat dipercaya, dan tepat waktu. Kesesuaian informasi merupakan ukuran kualitas informasi. Berkecukupan, ukuran dari jumlah informasi yang dibutuhkan harus cukup untuk mengambil keputusan. Kecukupan dapat ditentukan secara statistik melalui smapling dan ditentukan dengan selera risiko atau toleransi risiko yang ditetapk an. d) Prosedur yang bagaimana yang harus digunakan dan seberapa sering? Pengembangan dari pertanyaan pertama, yaitu: 26 Pemantauan berkelanjutan, dilakukan oleh pelaksana proses dengan menggunakan indikator kinerja proses dan kinerja hasil. Untuk memudahkannya dibuat prosedur terkait hal yang harus dipantau dan frekuensi pemantauannya, agar produktivitas kerja tidak terganggu dan efektivitas pengendalian risiko tet ap terjaga. Pemantauan oleh atasan, menekankan pada hasil proses dan ditetapkan jangka waktu serta pelaporannya secara berjenjang hingga ke tingkat Direksi dan Dewan Komisaris. Pemantauan oleh pihak ketiga, meninjau keseluruhan prosedur pemantauan berkelanjutan dan pemantauan oleh atasan untuk memastikan kepatuhan terhadap standar, peraturan perundangan, dan peraturan internal yang digunakan, sekaligus memeriksa efektivitas penerapan sistem manajemen risiko. e) Bagaimana proses pelaporan dan siapa yang berhak membacanya? Bentuk laporan hasil monitoring dan review, bila terdapat kelemahan sistem manajemen risiko: Laporan hasil temuan audit, laporan kelemahan pengendalian risiko yang akan disampaikan pertama kepada risk owner dan atasan risk owner dan/atau atasan unit tersebut. Laporan kelemahan sistem, laporan kelemahan sistem pengendalian risiko yang kritis untuk dikomunikasikan kepada Direksi dan Komite Pemantau Risiko dari Dewan Komisaris. Laporan tindak lanjut masalah, laporan tindak lanjut bila diperoleh laporan adanya kelemahan pengendalian risiko baik dari internal maupun eksternal. Perbaikan atas kelemahan ini harus segera dilaksanakan. d. Dokumentasi Manajemen Risiko 1) Fungsi dokumentasi manajemen risiko Sumber informasi atas proses yang terjadi atas pelaksanaan kegiatan dan dapat menjadi dasar pengambilan keputusan atas permasalahan yang sama di masa depan. Bukti hukum atas apa yang telah diputuskan dan dilaksanakan, khususnya bila terjadi sengketa hukum. 27 Sarana untuk preservasi pengetahuan sebagai bagian dari proses pengembangan knowledge management dalam suatu organisasi. 2) Struktur dokumentasi manajemen risiko Dokumentasi rencana manajemen risiko (risk management plan), dasar untuk pelaksanaan manajemen risiko dan disusun oleh fungsi manajemen risiko. Dokumentasi manajemen risiko (risk management documentation), dokumendokumen yan g diperlukan untuk mengelola proses penerapan manajemen risiko, baik oleh fungsi manajemen risiko ataupun para risk owner. 2. Aspek Perawatan Aspek perawatan merupakan aspek yang memastikan adanya upaya menjaga efektivitas penerapan dan perbaikan yang berkesinambungan melalui monitoring dan review serta audit manajemen risiko. Unsur-unsur yang mempengaruhi pelaksanaan aspek perawatan dalam manajemen risiko adalah (1) risk governnace, (2) budaya ri siko, dan (3) pengembangan manajemen risiko. a. Risk Governance 1) Akuntabilitas Dewan Komisaris merupakan penanggung jawab tertinggi dalam memastikan bahwa manajemen risiko perusahaan telah dilaksanakan dengan baik serta efektif d an efisien. Untuk itu, Dewan Komisaris harus membentuk Komite Pemantau Risiko, atau apabila dianggap berlebihan, maka dapat diserahkan kepada Komite Audit yang tercantum dalam Piagam Audit. Direksi harus melakukan pemantauan secara berkala terhadap kinerja manajemen risiko. Akuntabilitas Direksi dilakukan dalam dua hal, yaitu: Pembentukan Fungsi Manajemen yang mandiri, merupakan kepanjangan tangan Direksi dalam memastikan bahwa manajemen risiko diterapkan dengan efektif dan efisien serta memberikan nilai tambah melalui jaminan yang wajar dalam pencapaia n sasaran perusahaan. Menghadiri dan melakukan review atas kinerja penerapan manajemen risiko perusahaan secara berkala, minimal setiap tiga bulan sekali. 28 2) Jenis monitoring dan review a) Evaluasi penerapan manajemen risiko harus dilaksanakan minimal satu kali dalam satu tahun. b) Laporan fungsi manajemen risiko setiap triwulan terhadap Direksi dengan tembusan ke Dewan Komisaris atas: Status profil risiko perusahaan terkini dan trend Efektivitas pengendalian risiko-risiko besar dan risiko-risiko kritis Hasil mitigasi-mitigasi risiko yang dilakukan dalam periode laporan tersebut Perubahan lingkungan eksternal dan internal yang berpotensi risiko bagi perusahaan Observasi kemampuan risk owner perusahaan dalam menangani risiko-risiko yang menjadi tanggung jawabnya. b. Budaya Risiko Pengembangan budaya sadar risiko bertujuan agar dalam setiap pengambilan keputusan baik keputusan strategis hingga keputusan dalam operasi sehari-hari dilakukan dengan hati-hati dan penuh pertimbangan (informed decision making). 1) Strategi pengembangan budaya risiko Tone from the top, Direksi sebagai pimpinan puncak perusahaan harus dapat menciptakan perilaku keteladanan (tone from the top) sehingga seluruh jajaran perusahaan yakin bahwa penerapan manajemen risiko, terutama budaya sadar risiko, dapat menciptakan nilai tambah dan berguna dalam memberikan jaminan yang wajar atas pencapaian sasaran perusahaan. Penciptaan crtitical mass, perlu dilakukan sosialisasi dan pelatihan yang ekstensif ke seluruh jajaran perusahaan sehingga seluruh karyawan mengetahui mengenai risiko dan sadar akan pentingnya penerapan manajemen risiko dalam kegiatan operasional sehari-hari. Pencapaian critical mass penting untuk penciptaan bahasa yang sama dan pemahaman yang serupa mengenai risiko serta membuat proses perubahan berjalan mandiri dan berkelanjutan (sustainable). Penyelarasan dengan insentif dan sanksi, upaya untuk mendorong dan mendukung perilaku budaya risiko yang diinginkan dan mencegah serta mempersulit perilaku budaya risiko yang tidak diinginkan. 29 Gambar 5: Strategi Pengembangan Budaya Risiko c. Pengembangan Manajemen Risiko 1) Pengembangan sistem, metoda dan teknik Pengembangan teknologi, metoda dan alat perlu dilakukan secara terus-menerus untuk mengikuti dinamika perkembangan bisnis dan perubahan situasi eksternal yan g penuh dengan ketidakpastian guna meningkatkan daya tahan dan keliatan (resilienc e) perusahaan. Penerapan teknologi informasi sebagai enabler, harus diikuti dengan pemahaman yang memadai terhadap apa yang ingin dicapai dengan penggunaan teknologi tersebu t serta penggunaan informasi yang tepat dan akurat sebagai landasan untuk penerapannya. Dalam penggunaan teknik-teknik kuantitatif harus dipahami persyara tan 30 yang dituntut oleh teknik tersebut dan harus sesuai dengan tujuan penciptaan tek nik tersebut serta perlu dikaji ulang apabila ingin diterapkan pada bidang yang lain . Untuk meningkatkan penerapan manajemen risiko, setiap perusahaan harus mengkaji dan mencari teknik yang paling cocok dengan mengacu pada proses bisnis utamanya. Kemampuan perusahaan dalam mengembangkan kapabilitas manajemen risikonya ditentukan oleh risk governance dan budaya risiko. 2) Benchmarking Benchmarking merupakan upaya untuk membandingkan kapabilitas dan efektivitas penerapan manajemen risiko yang telah dilaksanakan oleh perusahaan dengan penerapan di perusahaan yang lain. Melalui benchmarking, perusahaan dapat saling belajar dan bertukar pengalaman, baik dengan perusahaan dalam industri se jenis maupun dari sektor lainnya. Selain itu, perusahaan dapat memperbaiki dan mungkin menentukan suatu teknik yang lebih cocok atau memodifikasi suatu teknik yang ung gul untuk disesuaikan dengan kondisi perusahaan. 3) Forum Manajemen Risiko Pembentukan forum manajemen risiko atau bergabung dengan asosiasi profesional manajemen risiko dapat membantu perusahaan untuk dapat mengikuti perkembangan manajemen risiko yang terkini. Informasi yang diperoleh dapat dipel ajari lebih lanjut dan dikaji kesesuaiannya untuk diterapkan di perusahaan. E. GlaxoSmihKline 1. Profil Perusahaan GlaxoSmithKline (GSK) adalah sebuah perusahaan multinasional Inggris yang bergerak di bidang kesehatan. Perusahaan ini resmi memulai memulai kegiatan operasionalnya dengan nama GlaxoSmithKline pada tahun 2001, setelah terjadinya merger antara GlaxoWelcome plc dan SmithKline Beecham plc. Saat ini perusahaan bergerak dalam pengembangan vaksin, obat-obatan, dan produk layanan kesehatan lainnya dengan jumlah pabrik mencapai 86 pabrik di 36 negara. GlaxoSmithKline mempekerjakan lebih dari 12.500 orang pegawai di bidang R&D dengan total pegawai mencapai 99.000 orang di 115 negara. Pada tahun 2013, GlaxoSmithKline 31 menginvestasikan uangnya sebesar 3,4 milyar dalam pengembangan obat-obatan baru, vaksin, dan produk konsumen. 2. Kasus GlaxoSmihKline Beberapa tahun terakhir GSK terkenal dengan permasalahannya dalam dunia kesehatan. Salah satu permasalahan tersebut adalah kasus suap GlaxoSmithKline di Cina. Kasus GlaxoSmithKline di Cina berawal dari tuduhan kecurangan operasional yang dilakukan GlaxoSmithKline yang berasal dari laporan seorang whistleblower melalui email terhadap perusahaan di bulan Januari 2013. Dalam email tersebut disebutkan dugaan bahwa tim penjualan perusahaan telah menargetkan beberapa dokt er yang berpengaruh dan memberikan dokter tersebut sejumlah hadiah mahal ataupun uang. Email tersebut dikirimkan bersamaan dengan rekaman skandal seks petinggi GlaxoSmithKline China, Mark Rilley. ChinaWhys, sebuah perusahaan yang dimiliki oleh Mr Humphrey, disewa oleh GlaxoSmithKline untuk menginvestigasi siapa whistleblower dan pihak yang melakukan rekaman tersebut. Pihak GlaxoSmithKline menduga bahwa email tersebut dikirimkan oleh Vivian Shin Wen, yang telah keluar di akhir tahun 2012. Laporan atas investigasi tersebut diberikan pada Juni 2013, tetapi tidak terungkap siapa piha k yang melakukan rekaman tersebut. Dalam email tersebut disebutkan juga bahwa GlaxoSmithKline mengirimkan beberapa dokter untuk liburan mahal dan menyamarkannya sebagai konferensi serta menggunakan jasa agen travel untuk menyalurkan suap kepada dokter dan kepada par a pejabat. Email dari whistleblower tersebut bukan hanya berisi tentang biaya travel, tetap i juga berisi tentang strategi agresif perusahaan yang sebagian besar berkaitan de ngan kegiatan suap menyuap serta berisi tuduhan sebagai berikut : GlaxoSmithKline memalsukan pencatatannya untuk menyembunyikan kejahatan termasuk penyuapan dan promosi penggunaan obat-obatan yang belum disetujui kegunaannya Pemberian uang kepada dokter dalam penjualan produk GlaxoSmithKline membuat skema kepatuhan yang digunakan untuk menutupi korupsi yang ada 32 Kegagalan GlaxoSmithKline dalam menginvestigasi tim penjualan mereka Menurut GlaxoSmithKline, perusahaan telah menginvestigasi sejumlah dugaan dengan menggunakan external legal dan audit advice kemudian atas investigasi ter sebut terungkap beberapa kecurangan tetapi tidak ditemukan kecurangan yang berhubungan dengan tuduhan yang ada dalam email tersebut. Sejak kasus ini terungkap, empat o rang eksekutif senior telah ditahan termasuk Liang Hong yang merupakan wakil presiden dan manager operasi yang mengungkapkan kepada stasiun televisi Cina tentang cara penyaluran uang melalui agen perjalanan dengan merancang konferensi kesehatan, y ang beberapa diantaranya sebenarnya tidak pernah diadakan. Mark Rilley pun sebagai kepala GlaxoSmithKline Cina terdahulu juga mengalami penahanan. Pada tanggal 26 Juli 2013 dirilis data-data terbaru atas kasus ini. Para pekerja GlaxoSmithKline mengakui bahwa mereka memang melakukan tindakan penyuapan kepada dokter dengan memberikan hadiah, biaya perjalanan, dan pembayaran atas peresepan obat. Para karyawan tersebut juga mengakui bahwa dalam beberapa kasus, GlaxoSmithKline mengkompensasi seminar kedokteran fiktif. Atas pengakuan ini, 18 orang karyawan ditahan. Tak lama kemudian Mr Humprey yang merupakan investigator, yang telah disebutkan sebelumnya, dan istrinya, Yu Yingzeng, ditan gkap. Badan Otoritas Cina tidak pernah secara eksplisit mengungkapkan hubungan antara kasus GSK dengan keduanya. Dalam hal ini hanya dikatakan bahwa persidangan mereka akan dilakukan secara tertutup. Keduanya diduga ditangkap karena dugaan perbuatan melanggar hukum yakni penjualan informasi pribadi konsumen termasuk alamat dan anggota keluarga. Menurut Humprey selama bertindak sebagai investigator, Humphrey tidak ditunjukkan email yang berisi dugaan whistleblower ketika menginvestigasi kasus ini. Dalam beberapa minggu sebelum dia ditangkap, dia baru menyadari dan percaya bahw a dugaan yang diungkapkan oleh whistleblower adalah benar. Akibat kasus ini, penjualan GlaxoSmithKline dari bulan Juli ke September menurun sebesar 61% dan dilanjutkan dengan penurunan sebesar 29% pada kuartal ke empat di tahun 2013. Pada tanggal 4 April 2014, GlaxoSmithKline memecat karyawannya sejumlah 7.000 orang karena melanggar aturan biaya. 33 Pada tanggal 14 Mei 2014, Kepolisan Cina mengumumkan hasil investigasi dengan menegaskan bahwa perusahaan dan para eksekutifnya akan dituntut dan sebag ai akhir dari kasus ini pada bulan September 2014, GlaxoSmithKline mengumumkan bahwa unitnya yang di Cina akan membayar denda sebesar 3 milyar Yuan setelah terbukti menyuap pegawai non-pemerintah di negara tersebut. Kasus GlaxoSmithKline menjadi sorotan karena meskipun telah melakukan 20 kali audit internal di Cina dalam satu tahun dan penyelidikan selama 4 bulan di awal tahun 2013 seperti yang disebutkan di atas, para eksekutif seperti menutup mata atas terjadinya kasus korupsi ini. Beberapa pendapat mengatakan bahwa biaya agen perjalanan ini terlihat sangat valid tetapi dibantah dengan pendapat lain yang mengatakan bahwa seharusnya biaya perjalanan yang tinggi memunculkan pertanyaan di dalam GlaxoSmithKline dan juga di pada pihak auditor eksternal yakni Pricewaterhouse Coopers. Menurut konsultan yang telah bekerja di perusahaan, alasan yang memungkinkan terjadinya kasus ini terletak pada pembayaran yang tidak dicatat dan keterlibata n senior manager. Tuduhan suap melalui agen perjalanan bukan (dari GSK sendiri) dan banyaknya transaksi individual yang jumlahnya tidak material, menyebabkan tidak diangkatnya kasus ini oleh auditor. Hal ini merupakan tindakan kecurangan yang r api dan terjadi tingkat kolusi yang tinggi sehingga sulit untuk terdeteksi. Menurut para ahli industri, pemberian hadiah dan pembayaran kepada para dokter untuk bersedia meresepkan obat adalah hal yang lazim dan hal ini juga merupakan salah satu hal yang mengancam bagi industri farmasi di Cina. Oleh karena itu, pengguna an hak untuk melakukan internal audit juga bukan merupakan hal yang mudah bagi GlaxoSmithKline, yang merupakan perusahaan multinasional, terutama jika pihak ya ng diharapkan akan membantu pelaksanaan audit juga terlibat dalam kecurangan terseb ut akibat anggapan budaya yang ada. Para ahli di bidang audit mempertanyakan mengapa dan apakah auditor GlaxoSmithKline tidak dapat menyusuri biaya pemasaran mereka. Menurut para ahli tersebut, bukti atas kejadian tersebut seharusnya dapat dilihat dari sejumlah ce k yang ditulis untuk agen perjalanan yang digunakan untuk mengirimkan dokter ke konfere nsi kesehatan. Hal tersebut dapat menjadi bias karena pengiriman dokter ke seminar 34 kesehatan memang memperbesar jumlah biaya pemasaran dalam industri obat-obatan tetapi area tersebut memang sudah seharusnya dicurigai. 3. Analisis Kasus Menurut kami, manajemen risiko belum dijalankan dengan baik dalam kasus GlaxoSmithKline di Cina. Hal ini terbukti dengan adanya tindakan-tindakan agresi f yang dilakukan oleh pejabat GlaxoSmithKline yang pada akhirnya meningkatkan risi ko bisnis perusahaan. Dalam teorinya, perusahaan yang telah memiliki manajemen risi ko yang baik akan terus mengidentifikasi dan akan menentukan tindakan serta akan memberikan tanggapan atas ke kesempatan dan ancaman yang akan mempengaruhi pencapaian perusahaan. Dalam hal ini, manajemen GlaxoSmithKline mengabaikan ancaman risiko apabila perusahaan melanggar aturan sebuah negara dengan melakuka n perbuatan tidak etis. Menurut paper The Role of Internal Auditing in Enterprise-Wide Risk Management yang diterbitkan oleh The Institute of Internal Auditors, terdapat be berapa panduan yang menjelaskan keterlibatan audit internal dalam manajemen risiko. Per anan auditor internal dalam manajemen risiko adalah memberikan keyakinan yang objekti f bahwa risiko bisnis perusahaan telah dikelola dengan tepat dan pengendalian inte rnal perusahaan atas efektivitas manajemen risiko telah dijalankan dengan baik kepada para dewan. Secara umum auditor internal akan memberikan keyakinan dalam 3 hal, yaitu : Proses manajemen risiko, baik dari segi merancang maupun dalam melihat seberapa baik proses tersebut bekerja. Manajemen atas risiko utama termasuk di dalamnya efektivitas dari kontrol Penilaian yang andal dan tepat atas risiko dan pelaporan risiko serta status pengendalian Berdasarkan panduan ini, keberadaan audit internal juga dapat memberikan tindakan konsultasi untuk meningkatkan tata kelola perusahaan, manajemen risiko, dan proses pengendalian dengan bergantung pada sumber informasi eksternal maupun internal yang tersedia dan risiko organisasiyang bervariasi dari waktu ke waktu. Menurut kelompok kami, audit internal GlaxoSmithKline belum menjalankan peranannya dalam menyediakan keyakinan atas tiga hal yang telah disebutkan di at as. 35 Audit internal tidak dapat mendeteksi kesalahan yang terjadi akibat kecurangan d alam proses manajemen risiko terutama atas manajemen risiko utama seperti efektivitas atas kontrol. Auditor internal juga tidak memberikan penilaian yang andal atas risiko dalam perusahaan meskipun telah melakukan 20 kali audit internal dalam satu tahun. Selain itu, audit internal tidak dapat menyediakan jasa konsultasi dengan baik karena para auditor tidak didukung oleh sumber daya informasi yang baik. Dalam k asus ini, tindakan suap kepada dokter dengan memberikan sejumlah uang agar dokter menggunakan obat perusahaan dalam kegiatan medis merupakan tindakan yang dianggap wajar di Cina. Dari pihak internal GlaxoSmithKline, diketahui bahwa par a dewan eksekutif dan juga beberapa karyawan melakukan kejahatan yang terstruktur atas korupsi dan suap yang terjadi di perusahaan. Menurut kelompok kami, auditor internal juga tidak dapat melakukan perannya dengan baik dalam komponen hukum dan peraturan karena audit internal gagal untuk mendeteksi apakah organisasi telah menjalankan bisnisnya dengan penuh tanggung jawab sesuai dengan hukum yang berlaku dan tidak dapat mengidentifikasi tingkat kepatuhan perusahaan. Dari komponen praktik bisnis dan etika, audit internal jug a tidak dapat menilai hubungan yang etis antara pengaturan tujuan dan proses evaluasi ki nerja terbukti dengan ketidakmampuan audit internal dalam menemukan perbuatan suap yan g material yang melanggar etika dalam proses pencapaian perusahaan. Ketidakmampuan manajemen dan audit internal dalam memperhatikan aspek manajemen risiko perusahaan, mengindikasikan belum tercapainya tata kelola perusahaan yang baik dalam GlaxoSmithKline. Menurut pendapat kami, sebaiknya perusahaan meningkatkan pengelolaan manajemen risiko atas bisnis perusahaan terl ebih dahulu. Pengelolaan manajemen risiko yang baik secara otomatis akan menurunkan peranan audit internal dalam manajemen risiko. 36 Daftar Referensi Aturan Bapepam-LK IX.I.7 (2008) - Pembentukan dan Pedoman Penyusunan Piagam Unit Audit Internal. Crowe Horwarth (2011) - Strengthening Corporate Governance With Internal Audit Gracie, Carrie. Systematic Bribery at GlaxoSmithKline China credible investigator http://www.bbc.com/news/world-asia-china-28142118 tanggal 3 Juli 2014 diakses pada 3 November 2014. Hirschler, Ben. How GlaxoSmithKline missed red flags in China http://www.reuters.com/article/2013/07/19/us-gsk-china-redflagsidUSBRE96I0L42013 0719 tanggal 19 Juli 2013 diakses pada 3 November 2014. KNKG (2011) - Draft Pedoman Penerapan Manajemen Risiko Berbasis Governance. Saigol, Lina dan John Aglioby. Timeline :GSKs mounting woes in China http://www.ft.com/cms/s/0/ef7f7e1a-ed35-11e2-ad6e00144feabdc0.html#axzz3IGhyJXvf tanggal 19 September 2014 diakses pada 3 November 2014 Tracey, Meredith. A Full Timeline of the GSK Bribery Scandal http://www.pm360online.com/a-full-timeline-of-the-gsk-bribery-scandal/ tanggal 30 Juli 2014 diakses pada 3 November 2014 The Institute of Internal Auditors (2009) The Role of Internal Auditing in Enter prisewide Risk Management. 37 Wardoyo, Trimanto S., dan Lena. (2010). Peranan Auditor Internal dalam Menunjang Pelaksanaan Good Corporate Governance. Akurat Jurnal Ilmiah Akuntansi No.3. https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rj a&uact=8&ved=0CCEQFjAA&url=http%3A%2F%2Frepository.maranatha.edu% 2F44%2F1%2FPERANAN%2520AUDITOR%2520INTENAL%2520DALAM% 2520MENUNJANG%2520PELAKSANAAN%2520GCG.pdf&ei=EulZVNz6Fpa hugT3l4GoAg&usg=AFQjCNHIyIgd7mscX1Uv5QJk9Ej9Fh3n1Q&sig2=FjTC0GxGSRs-T4Vg4x1bg Cina mencekal petinggi GlaxoSmithKline http://www.bbc.co.uk/indonesia/majalah/2013/07/130718_bisnis_glaxosmithkline tanggal 18 Juli 2013 diakses pada 3 November 2014 http://www.tempo.co/read/news/2014/09/20/090608358/Cina-Denda-PerusahaanInggris- 3-Miliar-Yuan 38