Anda di halaman 1dari 16

ANALISIS KONTROL INTERNAL PADA PT ASTRA INTERNATIONAL TBK

MAKALAH

Dibuat sebagai salah satu syarat memenuhi tugas Mata Kuliah Internal Auditing

OLEH:

JHOICE NOOR SYAHID ADMAJA NPM 120110150124


MOHAMAD INTAN HUSAINI TIWA’I NPM 120110150097
AEP PUDIN NPM 120110150071

PROGRAM STUDI SARJANA AKUNTANSI


FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS PADJADJARAN
BANDUNG
2018
1.1 GRUP INTERNAL AUDIT (GIA)

GIA berperan penting, khususnya untuk mendukung berjalannya sistem pengendalian dan
pengelolaan risiko yang baik. GIA memiliki tanggung jawab untuk membantu manajemen
dalam meraih tujuan Perseroan. Hal ini dilakukan melalui rangkaian kegiatan audit dan
konsultasi yang bertujuan untuk memberikan penilaian yang independen terhadap efektivitas
dan integritas sistem pengendalian internal Perseroan dalam mengelola berbagai jenis risiko
terhadap bisnis dan organisasi. Seluruh kegiatan audit dilakukan berbasis risiko (risk-based
audit) berdasarkan standar yang ditetapkan oleh Institute of Internal Auditors (IIA) dan
Committee of Sponsoring Organization of the Treadway Commission (COSO).
Sesuai kedudukan dalam struktur organisasi Perseroan, GIA bertanggung jawab langsung
kepada Presiden Direktur, serta melaksanakan koordinasi yang erat dengan Komite Audit
yang bertugas membantu Dewan Komisaris dalam menjalankan fungsi pengawasan
Perseroan.
Dalam tatanan bisnis Perseroan diterapkan sistem audit internal yang terintegrasi dan
komprehensif. Dalam pelaksanaan kerja, masing-masing anak perusahaan memiliki unit audit
internal yang menerapkan jalur pelaporan kepada Direksi anak perusahaan tersebut, selain
juga berkoordinasi dengan GIA di kantor pusat Perseroan.

1.2 KEGIATAN GIA PADA TAHUN 2017

Berikut adalah pencapaian yang telah diraih oleh GIA sepanjang tahun 2017:

a. Portofolio:
• Kegiatan untuk membantu manajemen dalam memastikan efektivitas
pengendalian internal melalui kegiatan Audit dan Konsultasi, termasuk kegiatan
Audit Bersama dengan fungsi Internal Audit pada unit usaha.
• GIA bekerja sama dengan pihak Internal Audit di setiap unit usaha Perseroan dan
menyusun rencana kerja berdasarkan Common Audit Universe. Penyusunan
rencana kerja melibatkan manajemen terkait dan wajib disetujui oleh Direksi dan
Komite Audit.
• Pelaksanaan Audit IT, yang bertanggung jawab memastikan efektivitas
pengendalian internal pada sistem informasi Perseroan, terutama yang
berhubungan dengan penanganan risiko siber.
• Secara periodik, laporan terkait dengan temuan, tindak lanjut dan rekomendasi di
laporkan secara langsung kepada Direksi dan Dewan Komisaris melalui Komite
Audit.
• Guna menjaga kualitas fungsi internal audit, dilakukan pengembangan terhadap
Audit Methodology dan dilakukan Quality Assurance untuk memastikan bahwa
proses audit telah dilaksanakan sesuai dengan standar yang berlaku. Untuk
mendukung efektivitas pengendalian internal selaras dengan perkembangan
bisnis, GIA memanfaatkan teknologi Continuous Audit/Surveillance untuk
meningkatkan cakupan audit cabang.
b. Sumber Daya Manusia:
• Peningkatan kompetensi para Auditor dilakukan pada aspek kemampuan
melakukan kegiatan Audit serta kemampuan lainnya yang mendukung kegiatan
tersebut berdasarkan Competency Matrix yang telah disusun. Pada tahun 2017,
GIA menjalankan program Audit and Risk Trainee Batch 7 untuk pemenuhan
kaderisasi di Perseroan.
• Sebagai bagian dari upaya meningkatkan risk and control awareness kepada pihak
1st dan 2nd Line of Defense. GIA terlibat dalam meeting koordinasi rutin dengan
Finance dan Forum Treasury, penerbitan artikel pada Majalah Astra, serta
mendukung training lain yang relevan.

c. Kontribusi terhadap Masyarakat:


• Dalam rangka memberikan kontribusi atas pengembangan profesi Internal Audit
di Indonesia, GIA berpartisipasi dalam seminar nasional, forum diskusi rekan se-
profesi, pelaksanaan benchmark bagi perusahaan di luar Perusahaan, serta
mengenalkan profesi melalui kuliah umum yang dilaksanakan di beberapa
Universitas.
1.3 SISTEM PENGENDALIAN INTERNAL
Direksi bertanggung jawab atas proses pengendalian internal Perseroan. Perseroan telah
menerapkan sistem pengendalian internal, termasuk pengendalian keuangan dan operasional,
yang memenuhi kerangka pengendalian yang diakui secara internasional (the Committee of
Sponsoring Organizations of the Treadway Commission - COSO). Tujuan pengendalian
internal dalam Perseroan, dijabarkan sebagai berikut:
• Tujuan Operasional: Pengendalian internal dirancang untuk meningkatkan
efisensi dan efektivitas operasional perusahaan, termasuk untuk membantu
perusahaan mencapai tujuan keuangan, serta untuk melindungi aset Perseroan.
• Tujuan Pelaporan: Pengendalian internal yang bertujuan agar laporan keuangan
dan non-keuangan Perseroan, memenuhi prinsip keandalan, ketepatan waktu dan
transparansi, serta prinsip lainnya yang disyaratkan oleh Regulator, standar
akuntansi yang diakui secara umum, atau kebijakan internal Perseroan.
• Tujuan Kepatuhan: Pengendalian internal yang bertujuan untuk meningkatkan
kepatuhan Perseroan terhadap peraturan dan perundangundangan yang berlaku
dan relevan bagi Perseroan.

Prinsip pengendalian internal dalam Perseroan mencakup adanya komponen control


environment, risk assessment, control activities, information - communication, serta proses
monitoring, pada semua lini dalam perusahaan.

Sistem pengendalian Perseroan menerapkan konsep three lines of defense, dimana


manajemen bertugas menjalankan sistem pengendalian internal dan pengawasan perusahaan
yang memadai pada lini pertama. Manajemen didukung oleh lini berikutnya, yaitu fungsi
manajemen risiko dan pengendali lain yang mengukur tingkat risiko dan pengendalian,
melakukan pemantauan secara berkala terhadap jalannya fungsi pengendalian. Pada lini
ketiga, Audit Internal diutus atas nama Direksi dan Dewan Komisaris untuk memberikan
keyakinan yang wajar terhadap sistem tata kelola, risiko dan pengendalian melalui
pemeriksaan audit.

Direksi melakukan evaluasi terhadap dua lini pertama atas kecukupan pengendalian
internal dan manajemen risiko, setidaknya empat kali dalam satu tahun.
1.4 EVALUASI TERHADAP EFEKTIVITAS SISTEM PENGENDALIAN INTERNAL

Grup Internal Audit (GIA) membantu manajemen untuk memastikan adanya koordinasi
yang baik antara fungsi-fungsi pengendalian perusahaan, termasuk pengendalian keuangan
dan operasional, sehingga setiap fungsi tersebut dapat berjalan dengan efektif.

Dengan mengacu kepada standar Institute of Internal Auditors (IIA), GIA memberikan
jasa assurance dan advisory kepada para pemangku kepentingan. Dalam menjalankan
perannya tersebut, Grup Internal Audit mengacu kepada pendekatan risiko (risk-based
approach) yang relevan dan signifikan pada area tersebut.

Grup Internal Audit juga didukung dengan Unit Quality Assurance yang memiliki tugas
untuk melakukan kajian dan memberikan keyakinan bahwa pemeriksaan audit yang
dilakukan dalam lingkungan Perseroan telah sesuai dengan standar yang ditetapkan.

1.5 ANALISIS KONTROL INTERNAL


A. Three Lines of Defense

Pendekatan “Three Lines of Defence” atau Pertahanan Tiga Lapis semakin banyak

diadopsi oleh berbagai organisasi dalam rangka membangun kapabilitas manajemen risiko di

seluruh jajaran dan proses bisnis organisasi yang sering dikenal sebagai Enterprise Risk

Management (ERM). Pendekatan ini sering disingkat sebagai model 3LD (Three lines of

defence). Model 3LD membedakan antara fungsi-fungsi bisnis sebagai fungsi-fungsi pemilik

risiko (owning risks/risk owner) terhadap fungsi-fungsi yang menangani risiko (managing

risks), dan antara fungsi-fungsi yang mengawasi risiko (overseeing risks) dengan fungsi-

fungsi yang menyediakan pemastian independen (independent assurance). Kesemua fungsi

tersebut memainkan peran penting dalam platform Enterprise Risk Management (ERM) baik

untuk organisasi korporasi perbankan atau sektor riil, maupun organisasi-organisasi


pemerintahan. Untuk bahasan selanjutnya, tulisan ini akan merujuk pada model 3LD di

organisasi korporasi atau perusahaan non-perbankan.

Model 3LD adalah model pertahanan internal organisasi perusahaan yang secara

sederhana dapat diringkas sebagai berikut:

1. Pertahanan lapis pertama:

Pertahanan lapis pertama dilaksanakan oleh unit atau komponen atau fungsi bisnis

yang melakukan aktivitas operasional perusahaan sehari-hari, terutama yang merupakan

garis depan atau ujung tombak organisasi. Dalam hal ini mereka diharapkan untuk:

• Memastikan adanya lingkungan pengendalian (control environment) yang kondusif di

unit bisnis mereka.

• Menerapkan kebijakan manajemen risiko yang telah ditetapkan sewaktu menjalankan

peran dan tanggung jawab mereka terutama dalam mengejar pertumbuhan

perusahaan. Mereka diharapkan secara penuh kesadaran mempertimbangkan faktor

risiko dalam keputusan-keputusan dan tindakan-tindakan yang dilakukannya.

• Mampu menunjukkan adanya pengendalian internal yang efektif di unit bisnis

mereka, dan juga adanya pemantauan dan transparansi terhadap efektifitas

pengendalian internal tersebut

2. Pertahanan lapis kedua


Pertahanan lapis kedua dilaksanakan oleh fungsi-fungsi manajemen risiko dan

kepatuhan, terutama fungsi-fungsi manajemen risiko dan kepatuhan yang sudah

terstruktur misal: departemen atau unit manajemen risiko dan kepatuhan. Dalam hal ini,

mereka diharapkan untuk:

• Bertanggung jawab dalam mengembangkan dan memantau implementasi manajemen

risiko perusahaan secara keseluruhan.

• Melakukan pengawasan terhadap bagaimana fungsi bisnis dilaksanakan dalam

koridor kebijakan manajemen risiko dan prosedur-prosedur standard operasionalnya

yang telah ditetapkan oleh perusahaan.

• Memantau dan melaporkan risiko-risiko perusahaan secara menyeluruh kepada organ

yang memiliki akuntabilitas tertinggi di perusahaan.

3. Pertahanan lapis ketiga

Pertahanan lapis ketiga dilaksanakan oleh auditor baik auditor internal maupun

auditor eksternal. Peran auditor internal jauh lebih intens dalam model 3LD ini karena

mereka adalah bagian internal perusahaan yang bersifat independen terhadap fungsi-

fungsi lainnya. Dalam hal ini, auditor internal diharapkan untuk:

• Melakukan reviu dan evaluasi terhadap rancang bangun dan implementasi

manajemen risiko secara keseluruhan, dan

• Memastikan bahwa pertahanan lapis pertama dan lapis kedua berjalan sesuai dengan

yang diharapkan.
Untuk perusahaan publik di Indonesia, konteks penerapan model 3LD harus

dilihat dari kacamata bentuk struktur governance di Indonesia yang menganut ‘two-board

system’ yaitu keberadaan direksi perusahaan yang memiliki akuntabilitas

eksekutif (executive accountability) dan dewan komisaris yang memiliki akuntabilitas

pengawasan (oversight accountability). Sejalan dengan peraturan Bapepam, direksi

memiliki unit audit internal sebagai bagian dari pengendalian perusahaan dan dewan

komisaris memiliki komite audit sebagai bagian dari mekanisme pelaksanaan

akuntabilitas mereka. Dalam konteks tersebut, di bawah ini adalah ilustrasi gambaran

umum model Pertahanan Tiga Lapis untuk perusahaan publik di Indonesia:

Gambar di atas menunjukkan bahwa ketiga lapis pertahanan berada di bawah

akuntabilitas dan koordinasi langsung direksi perusahaan (ditunjukkan dengan tanda


panah solid), sedangkan dewan komisaris – melalui komite audit mereka – memiliki

akuntabilitas tidak langsung (ditunjukkan dengan tanda panah terputus-putus) terhadap

pertahanan lapis ketiga. Walaupun dewan komisaris hanya memiliki koordinasi dengan

auditor internal dan eksternal untuk pertahanan lapis ketiga, mereka juga sebenarnya

secara tidak langsung terlibat dalam pemantauan efektifitas pertahanan lapis kedua

melalui hasil reviu auditor internal tentang efektifitas kebijakan dan implementasi

manajemen risiko di perusahaan mereka secara menyeluruh.

Walaupun tidak diharuskan oleh Bapepam, dewan komisaris di beberapa

perusahaan publik juga memiliki komite pemantau risiko di samping komite audit. Bagi

perusahaan-perusahaan tersebut, akuntabilitas pertahanan lapis kedua secara lebih

eksplisit juga menjadi bagian dari akuntabilitas tidak langsung dewan komisaris

perusahaan, sebagaimana diilustrasikan dalam gambar di bawah ini:


Gambar di atas memperlihatkan bahwa akuntabilitas langsung untuk ketiga lapis

pertahanan ada di direksi perusahaan (ditunjukkan dengan tanda panah solid), sementara

akuntabilitas dewan komisaris bersifat tidak langsung (ditunjukkan dengan tanda panah

terputus-putus) dan terkait hanya pada lapis kedua dan ketiga dari pertahanan tersebut.

Walaupun dewan komisaris – melalui komite audit dan komite pemantau risiko –

hanya memiliki koordinasi dengan auditor internal dan eksternal untuk pertahanan lapis

ketiga, dan

koordinasi dengan departemen atau unit manajemen risiko untuk pertahanan lapis

kedua, mereka juga sebenarnya secara tidak langsung dapat terlibat dalam pemantauan
efektifitas pertahanan lapis pertama melalui laporan-laporan dari departemen atau unit

manajemen risiko tersebut kepada komite pemantau risiko.

Bagi beberapa orang, penerapan model 3LD ini diyakini akan membuat daya

tahan (resilience) perusahaan terhadap risiko-risiko yang dihadapi akan jauh lebih kuat –

terutama bagi perusahaan publik yang memiliki komite audit dan komite pemantau risiko

– dibanding perusahaan yang tidak menerapkannya. Oleh karena itu, sering dikatakan

bahwa kematangan dan efektifitas penerapan Enterprise Risk Management (ERM) di

perusahaan akan tercermin dari efektifitas penerapan model 3LD ini. Semakin matang

model ini diterapkan, semakin intens terciptanya suatu budaya manajemen risiko yang

terpadu di seluruh proses dan seluruh lini perusahaan, menuju suatu tingkat daya tahan

organisasi (organizational resilience) yang kokoh dan menyeluruh.

B. Risk-based Approach
Mengacu kepada standar Institute of Internal Auditors (IIA), GIA memberikan
jasa assurance dan advisory kepada para pemangku kepentingan. Dalam menjalankan
perannya tersebut, Grup Internal Audit mengacu kepada pendekatan risiko (risk-based
approach) yang relevan dan signifikan pada area tersebut.
Adapaun definisi pendekatan risiko pada pengendalian menurut IIA adalah
Sebuah metodologi yang menghubungkan audit internal dengan seluruh kerangka
manajemen risiko yang memungkinkan proses audit internal mendapatkan keyakinan
memadai bahwa manajemen risiko organisasi telah dikelola dengan memadai sehubungan
dengan risiko yang dapat diterima (risk appetite). Dari definisi tersebut dapat disimpulkan
secara umum bahwa internal audit berbasis risiko melihat risiko-risiko yang dapat terjadi
kepada perusahaan. Adapun menurut IIA tahapan-tahapan pengimplementasian internal
audit berbasis risiko ini ada tiga tahap yaitu :
1. Assessing Risk Maturity
Memperoleh gambaran tentang sejauh mana dewan dan manajemen
menentukan, menilai, mengelola dan memantau risiko. Ini memberikan
indikasi keandalan daftar risiko untuk tujuan perencanaan audit.
2. Periodic Audit Planning
Mengidentifikasi tingkat keyakinan dan tugas konsultasi untuk periode
tertentu, biasanya tahunan, dengan mengidentifikasi dan memprioritaskan
semua area di mana dewan membutuhkan tingkat keyakinan yang obyektif,
termasuk proses manajemen risiko, manajemen risiko utama, dan pencatatan
dan pelaporan risiko.
3. Individual Audit Assignments
Melaksanakan tugas berdasarkan risiko yang didapat individu untuk
memberikan jaminan pada bagian dari kerangka manajemen risiko, termasuk
pada mitigasi individu atau kelompok risiko.

Setiap unit kerja pada tiap departemen bertanggung jawab melakukan proses
identifikasi dan tata kelola risiko sesuai dengan wewenang yang melekat pada masing-
masing unit, pada tahap ini setiap unit melakukan tahapan peng identifikasian risiko.
Dukungan konsultasi diberikan oleh Grup Risk Advisory (GRA) yang bertugas
membantu manajemen dalam menjalankan kerangka kerja Enterprise Risk Management
(ERM) sesuai dengan profil risiko dan kebutuhan masing-masing bisnis. Selanjutnya,
GRA menyediakan laporan konsolidasi risiko utama yang diidentifikasi di berbagai unit
bisnis untuk membantu Direksi dalam tugas pengelolaan Perseroan.

C. Unit QualityAssurance
Quality assurance (QA) is a way of preventing mistakes or defects in
manufactured products and avoiding problems when delivering solutions or services to
customers; which ISO 9000 defines as "part of quality management focused on providing
confidence that quality requirements will be fulfilled". This defect prevention in quality
assurance differs subtly from defect detection and rejection in quality control and has
been referred to as a shift left as it focuses on quality earlier in the process i.e. to the left
of a linear process diagram reading left to right.

The terms "quality assurance" and "quality control" are often used interchangeably to
refer to ways of ensuring the quality of a service or product. For instance, the term
"assurance" is often used as follows: Implementation of inspection and structured testing
as a measure of quality assurance in a television set software project at Philips
Semiconductors is described. The term "control", however, is used to describe the fifth
phase of the Define, Measure, Analyze, Improve, Control (DMAIC) model. DMAIC is a
data-driven quality strategy used to improve processes.

Quality assurance comprises administrative and procedural activities implemented in a


quality system so that requirements and goals for a product, service or activity will be
fulfilled. It is the systematic measurement, comparison with a standard, monitoring of
processes and an associated feedback loop that confers error prevention. This can be
contrasted with quality control, which is focused on process output.

Quality assurance includes two principles: "Fit for purpose" (the product should be
suitable for the intended purpose); and "right first time" (mistakes should be eliminated).
QA includes management of the quality of raw materials, assemblies, products and
components, services related to production, and management, production and inspection
processes. The two principles also manifest before the background of developing
(engineering) a novel technical product: The task of engineering is to make it work once,
while the task of quality assurance is to make it work all the time.

Historically, defining what suitable product or service quality means has been a more
difficult process, determined in many ways, from the subjective user-based approach that
contains "the different weights that individuals normally attach to quality characteristics,"
to the value-based approach which finds consumers linking quality to price and making
overall conclusions of quality based on such a relationship.
The role of the Quality Assurance Unit can be summarized in the following points:
1. Development of policies, strategies and processes to improve the Institution
2. Organization, function and improvement of the quality assurance system
3. Coordination and support of the evaluation processes of units
4. Support of the processes for external evaluation and certification of the Programmes
of Studies.

Menurut definisi pada ISO 9000:2000 (QMS-Fundamentals and Vocabulary), adalah sbb:

* Quality control (lihat section 3.2.10); part of quality management focused on fulfilling quality
requirements.

* Quality assurance (lihat section 3.2.11); part of quality management focused on providing
confidence that quality requirements will be fulfilled.

Secara singkat QC terfokus pada pemenuhan persyaratan mutu (produk/service)


sedangkan QA terfokus pada pemberian jaminan/keyakinan bahwa persyaratan mutu akan dapat
dipenuhi. Atau dengan kata lain, QA membuat sistem pemastian mutu sedangkan QC
memastikan output dari sistem itu memang benar-benar memenuhi persyaratan mutu.

Kalau dari definisi ini, kegiatan-kegiatan inspeksi dan uji (in-coming, in-process,
outgoing) akan masuk kategori QC, sedangkan hal-hal seperti perencanaan mutu, sertifikasi ISO,
audit sistem manajemen, dsb tentu masuk kategori QA.

Beberapa perusahaan, saat ini tidak lagi membedakan antara QA dan QC di dalam
operasional quality management-nya. Cukup disebut departemen Quality, di dalamnya ada
kegiatan merancang jaminan bahwa persyaratan mutu akan dipenuhi dan sekaligus bagaimana
memenuhi persyaratan mutu tersebut.

QA = Quality Assurance, to lead and operated by assure of an organization successfully,


it is necessary to direct and control it in a systematic and transparent manner. Maksudnya adalah
meyakinkan/menjamin secara kualitas dengan suatu sistematis kerja dan keterbukaan untuk
keberhasilan suatu pekerjaan secara keseluruhan organisasi di setiap lini dengan melalui sistem
control.
QC = Quality Control, to take control of quality by procedural and applicable reference
that implemented direct to process system in good and full fill of minimum requirement as
finally results. Maksudnya adalah pengendalian mutu dengan prosedur kerja berdasarkan
referensi yang dapat diterapkan dan diimplementasikan langsung di proses pekerjaan tersebut
untuk memenuhi persyaratan minimum sebagai hasil akhir pekerjaan. Hubungan pendeknya
adalah bahwa QA yang meyakinkan / menjamin QC.
https://www.ncbi.nlm.nih.gov/pmc/articles/PMC3088954/

https://www.auth.gr/en/units/8184

http://crmsindonesia.org/publications/pertahanan-3-lapis-the-3-lines-of-defence-konteks-erm-
perusahaan-publik-di-indonesia/

ISO 9000:2005, Clause 3.2.11

Larry, Smith (2001). "Shift-Left Testing".

"Quality Assurance vs Quality Control – Learning Resources – ASQ".

"ASQ – Practical Quality Assurance for Embedded Software".

"Define, Measure, Analyze, Improve, Control (DMAIC Approach) – ASQ".

The Marketing Accountability Standards Board (MASB) endorses this definition as part of its
ongoing Common Language in Marketing Project.

Stebbing, L. (1993). Quality Assurance: The Route to Efficiency and Competitiveness (3rd ed.).
Prentice Hall. p. 300. ISBN 978-0-13-334559-9.

Prause, Christian; Bibus, Markus; Dietrich, Carsten; Jobi, Wolfgang (2016). "Software Product
Assurance at the German Space Agency". Journal of Software: Evolution and Process. 28 (9):
744–761.

Garvin, D.A. (15 October 1984). "What Does "Product Quality" Really Mean?". MIT Sloan
Management Review. Massachusetts Institute of Technology. Retrieved 29 November 2017

Chartered Institute of Internal Auditors (2014) Risk based internal auditing