Transformasi Satuan Kerja Audit Internal

menjadi Organisasi Berstandar Internasional

PT Bank Mandiri (Persero) Tbk

10 Februari, 2011
Agenda

1 Bank Mandiri: Overview

2
Transformasi SPI dan Internal Audit

3
Risk Based Audit

4
Kesimpulan

© PT Bank Mandiri (Persero) Tbk.

Bank Mandiri: Overview

© PT Bank Mandiri (Persero) Tbk.

 Latar Belakang

1997 1998-1999 2000-2004 2005

Krisis • Bank Mandiri
• 2 Oktober 1998 • 14 Juli 2003 mengalami krisis
Krisis Kedua
Bank Mandiri IPO Bank Mandiri terhadap 20% kedua
Ekonomi BMRI
didirikan saham (4 miliar lembar)
Asia • 16 Mei 2005
• Pada periode ini,
• 13 Maret 1999 Pemegang saham
Kinerja Bank Mandiri
Bank Indonesia menunjuk
• Devaluasi Mata terus meningkat
melikuidasi 38 Bank manajemen baru
uang Bath meskipun tidak Moral
Thailand • 31 Juli 1999 didukung fundamental karyawan
5.3 turun karena
memicu krisis Legal merger 4 yang kuat
4.6 banyak dipanggil
Financial Asia bank pemerintah
3.6 penegak hukum
• Bank Indonesia (BBD, BDN, Bapindo
melikuidasi 16 dan Exim ke Bank 2.7 NPL
Bank Mandiri Gross
1.2 26.7% Laba Bersih
Rp. 603 M
Saat merger Bank Mandiri dilakukan:
2000 2001 2002 2003 2004
Rp. 1,076
• Rasionalisasi karyawan dari 26.600 menjadi Harga Saham Nov
17.620 Laba Bersih Bank Mandiri 2005
• Remapping cabang 740 menjadi 546
• Penyatuan 9 sistem IT ke dalam sistem MASTER
• Penyerahan Rp. 103 triliun bad loans ke BPPN
• Obligasi rekap senilai Rp. 178 triliun

4 Sumber : Berbagai sumber

Pasca merger, masyarakat “masih” mempersepsikan Bank Mandiri
sebagai bank pemerintah dengan berbagai hal negatif

Suka terima
hadiah
Pelayanan
kurang
ramah
Birokratis

Tidak efisien
Lamban

Budaya tidak
berbeda dengan Tidak
bank legacy punya
inisiatif

5
 Bank Mandiri mencapai performa yang terus membaik, namun
mengalami “second crisis” di tahun 2005….
Non Performing Loan Ratio Net Income Harga Saham
(%) (Rp Tn) (Rp)

2500

26.7%

2000

BMRI
19.8%
1500

IHSG
5.26 1000
4.59
9.7% 15.3% 3.59
8.6%
7.3% 7.4% 2.74 500

6.60%
1.18
2.7% 1.6% 1.8% 1.6% 0.6
0
Jul-03 Jan-04 Jul-04 Jan-05 Jul-05 Dec-05
2000 2001 2002 2003 2004 2005 2000 2001 2002 2003 2004 2005

Laba bersih di tahun 2005 sebesar Kapitalisasi Pasar turun drastis ke titik
NPL melonjak drastis ke level 15.3%
(netto) dari 1.6% (netto) di tahun 2004 Rp. 603 milyar triliun, turun 80% dari terendah (November 2005) sebesar
laba tahun 2004 sebesar Rp. 5.3 trn. Rp. 22 trn dgn harga Rp 1.076 per lembar

6
 …Menghadapi 7 permasalahan operasional utama, Manajemen baru
mengimplementasikan 5 (lima) fokus strategi konsolidasi tahun 2005

7 Masalah Utama Tahun 2005 5 Fokus strategy konsolidasi Tahun 2005

1. NPL dan risiko kredit yang tinggi didominasi oleh
portfolio kredit Corporate sebagai akibat dari 1. Menyelesaikan permasalahan kredit
kelemahan dalam sistem dan sumber daya manusia bermasalah (NPL) dan melakukan
terkait dengan kredit konsolidasi bisnis Corporate Banking
2. Governance, risk management dan sistem pengendalian
operasional perusahaan masih belum berjalan dengan 2. Memperbaiki image
efektif perusahaan, meningkatkan penerapan
Good Corporate Governance dan
3. Image negatif karena adanya pemberitaan atas temuan
pemeriksaan BPK dan indikasi korupsi, sehingga ada memperkuat kapabilitas
kekhawatiran nasabah dan pegawai bahwa kredit
3. Melanjutkan pengembangan bisnis pada
bermasalah dapat dikaitkan langsung dengan indikasi
seluruh segmen yang telah ditetapkan
korupsi
4. Profitability (laba, ROE, ROA, NIM) yang rendah, karena 4. Meningkatkan efisiensi operasional
besarnya porsi obligasi rekap yang mempunyai yield
rendah, tingginya NPL, tingginya Cost of Funds, dan 5. Meningkatkan profesionalisme sumber
rendahnya fee based income, di lain pihak Cost to daya manusia melalui penerapan
Income Ratio cenderung meningkat corporate values, performance
5. Corporate values, performance culture dan culture, sales & risk culture
accountability belum terbangun dengan baik dalam
organisasi
6. Consumer dan Commercial sales model, branch network
dan electronic channel belum optimal.
7. Besarnya NPL kemungkinan akan menghambat
pertumbuhan, sehingga dikhawatirkan target
pertumbuhan earning asset tidak tercapai

7
Kelemahan Sistem Pengendalian Intern

Temuan BPK Line of defense lemah

Adanya temuan BPK yang Seluruh line of defense dalam

significant yang belum Sistem Pengendalian Intern tidak
ditindaklanjuti, yaitu sebanyak 95 efektif.
temuan.

Perbedaan Penilaian Kolektibilitas Form not substance

Terjadi perbedaan penilaian

kolektibilitas antara Bank Bagus dalam konteks namun
dengan Bank Indonesia. substansinya tidak efektif
Gross NPL menurut Bank 9%,
sedangkan menurut BI 18%
Transformasi SPI

© PT Bank Mandiri (Persero) Tbk.

Transformasi SPI Bank Mandiri

5
4 Arsitektur Kedudukan Chief
Kebijakan & Audit Executive
3 Penguatan Risk
(CAE)
2 Management & Prosedur Bank
1 Penguatan Sinergy dengan Mandiri
Penguatan Kebijakan SPI fungsi internal audit
Kedudukan CAE
Seluruh kebijakan
Komite Audit ditingkatkan

Pelaksanaan dan standard
menjadi Senior

COSO Enterprise Risk prosedur di Bank

Committee Audit Executive Vice
8 komponen Assessment (ERA) Mandiri dilandasi
Charter President
internal control oleh Direksi dengan KSPIBM

Tim yang Coordinator

KSPIBM (annually)
professional,
CAE masuk dalam
(Kebijakan Sistem
Menggunakan hasil
kompeten dan Board of
Pengendalian ERA untuk annual
berintegritas Management
Intern Bank audit plan
Mandiri)

© PT Bank Mandiri (Persero) Tbk.

 Internal control – four line of defense

1
CORE VALUES
&CULTURE:
-Pegawai
-Supervisor
-Kepala Unit 2
SISTEM
INTERNAL
CONTROL
(Incl. Risk 3
Mgt & FUNGSI
Compliance) NTERNAL
AUDIT
4
EXTERNAL
AUDIT

© PT Bank Mandiri (Persero) Tbk.

Monitoring Pengendalian Intern – Bank Mandiri

Regional Office
Direktorat
Regional Mgr Direktur

Area Micro Banking

Group
Disrtric Center
Area Mgr Group Head
MBDC Mgr

Branch Cluster Department

Branch Mgr Cluster Mgr
Department Head
Verifikator

Cash Outlet Micro Bus. Unit

Mandiri Micro Mgr
Cash Outlet Mgr
Decentralized Compliance
Credit Quality & Operational Risk
Officer (CQO) (DCOR)

Regional Internal Control (RIC)

Direktorat Internal Audit

© PT Bank Mandiri (Persero) Tbk.
13
Transformasi Internal Audit

© PT Bank Mandiri (Persero) Tbk.

Internal Audit

“Internal Auditing is an independent, objective assurance and

consulting activity designed to add value and improve an
organization’s operations. It helps an organization accomplish
its objectives by bringing a systematic, disciplined approach to
evaluate and improve the effectiveness of risk
management, control and governance process”.

© PT Bank Mandiri (Persero) Tbk.

Transformasi Internal Audit Bank Mandiri – Kerangka

Perusahaan (Visi, Misi, Target)

ADDED VALUE

STRATEGIC BUSINESS PARTNER

RUANG LINGKUP INTERNAL AUDIT

Pengendalian Internal Manajemen Risiko Tata Kelola

PERAN INTERNAL AUDIT

Assurance Consulting

SUMBER DAYA INTERNAL AUDIT

Organisasi Sumber Daya Manusia Infrastruktur Metodologi

© PT Bank Mandiri (Persero) Tbk.

Transformasi Internal Audit Bank Mandiri

Organisasi
Mengevaluasi model struktur organisasi internal audit terkait

dengan perkembangan organisasi dan strategi bisnis Bank
Mandiri.

Pembentukan unit internal control di seluruh region : RIC

(Regional Internal Control)
Metodologi
Meningkatkan kualitas proses internal audit melalui penggunaan
metodologi international best practice : Risk Based Audit

Sumber Daya Manusia
Mengidentifikasi kebutuhan sumber daya sesuai dengan

perkembangan organisasi dan metodologi

Mengembangkan model capability internal auditor
Infrastruktur
Enhancement SIMA sesuai dengan metodologi audit yang baru

Mengembangkan aplikasi Executive Information System

© PT Bank Mandiri (Persero) Tbk.

 Lampiran SK Direksi No.
KEP.DIR/003/2010 tanggal

IA Transformation 18 Januari 2009

Dewan Komisaris
Edwin Gerungan – Komisaris Utama / Komisaris Independen
Direktur Utama
Muchayat – Wakil Komisaris Utama Agus Martowardojo
Mahmuddin Yasin – Komisaris
Soedarjono – Komisaris Independen
Pradjoto – Komisaris Independen
Gunarni Soeworo – Komisaris Independen Wakil Direktur Utama
I Wayan Agus Mertayasa
Komite Audit Komite Pemantau Risiko
Komite Nominasi &
Komite GCG
Remunerasi

Commercia Treasury, F
Micro & Risk Legal & Change Internal
Institution Corporate l Consumer I & Special Complianc Finance & Technology
Retail Manage- Business Mgmt.
al Banking Banking *) & Business
Banking Finance Asset e & HC Strategy & Ops
ment Services Office
Audit
Banking Mgmt
Institution Corp. Jkt Comm. Jakarta IT Business
Market &
Treasury Compliance Legal Internal
Banking I sales Network Solutions &
Ops Risk
al Banking I Consumer Investor Credit risk &
Corp. Reg. Comm. Reg. Treasury Application Customer Audit
card Human Relations Servicesportfolio
Institution Banking II sales I Network Solutions Care &
Capital mgt
al Banking Consumer Strategy & Services
Corp. Reg. Comm. Mass FI Coverage Services IT Ops Corporate
Loans Performance Procurement
II Banking III sales II Banking & Solutions Human Risk I
Mandiri & Fixed
Corp. Business Electronic Tunas Special Capital Accounting Corporate
Finance Credit Ops Assets
Banking Banking I Banking Asset Mgmt Strategy & Risk II
Agro Based Micro Policy Chief Policy, Syste
Business Commercial
Syndication Network Economist Central Ops m&
Banking II Learning Risk
& Structured Dev Center Corporate Procedure
Fin Micro Bus Electronic
WTB Culture Secretary Consumer
Corp. Trx Dev Channel Ops
solutions Specialist Risk
Banking Wealth
IT
Sales
Mandiri Bank Syariah Managemen
t Planning, Ar Retail Risk
Sekuritas Mandiri
ch & BCP
(Inv. AXA Mandiri
Banking)
Bank Sinar
BMEL Harapan Bali
Mandiri
*)Termasuk supervisi KLN Internationa
Kecuali Cab. Dili yang berada
l Remittance
dibawah supervisi Direktorat
MRB
Information & Technology Retail & Support Executive
Risk and Capital Committee Personnel Policy Committee Wholesale Executive Committee Credit Committee Brand Committee
Committee Committee

Komite dibawah Specialist

Dewan Komisaris Direktur EVP Koordinator Group Head Anak Perusahaan Utama
Direksi setingkat Group Head © PT Bank Mandiri (Persero) Tbk.
Struktur Organisasi DIA

Chief Audit Executive

Chief Auditor Wholesale Chief Auditor

Banking Audit Retail & Corporate Center
Audit

Retail Product & Audit Operation,

Wholesale Banking Distribution Quality Assurance
Audit I Pers’l & Counterpart
Audit Relation

Micro & Consumer

Wholesale Banking Business Audit Audit Development
Audit II & Advisory

Treasury, Financial
Inst’ & Risk Corporate Center
Management Audit Special Audit
Audit

IT & Operation
Audit

CEO Direktur Komite

Wilayah Utama PA Audit PA
Internal Internal
RIC Wilayah Chief Audit
Control - Control –
Executive - PA
KLN Afiliasi
Kantor Wilayah,: KLN, Perusahaan Afiliasi Perusahaan Anak *
Risk Based Audit

© PT Bank Mandiri (Persero) Tbk.

Transformasi Internal Audit Bank Mandiri – Penerapan RBA

1. RBA memungkinkan internal audit memfokuskan audit pada area yang berisiko tinggi dan
mengkonsentrasikan audit efforts pada area tsb

2. RBA memungkinkan internal audit menggunakan resources (sep waktu, personnel) yang lebih
sedikit untuk audit pada lower risk areas

3. RBA mempercepat risk maturity / capability progression di seluruh organisasi Bank Mandiri.

4. RBA mempermudah percepatan penerapan risk management practices di seluruh organisasi

Bank Mandiri
 RBA mensyaratkan auditee untk mengidentifikasi & meranking seluruh risiko terkait operation
mereka sebagai bagian dari audit proses.
 Kualitas risk assessment yang dilaksanakan auditee secara langsung berpengaruh thd kualitas
audit sehingga internal auditor harus memastikan bhw risk assessment dilaksanakan secara
proper.
 Karena audit dilaksanakan secara luas di Bank Mandiri, maka praktek risk management dapat
diimplementasikan lebih cepat secara bank-wide. Dampak dari penerapan RBA seperti
“unclogging the main water pipe to let the rushing flow of risk management practices enfolds
all the bank’s operations”.

© PT Bank Mandiri (Persero) Tbk.

Timeline Pengembangan RBA Bank Mandiri

Juni 06 Des 06 Jan – Mar 07 Mar – Jun Jul 07 Ags 07 Sep 07

07

Pembentukan Workshop (Risk Review RBA Pilot Audit Persetujuan Roll Out
Tim RBA Assessment) oleh auditor framework oleh 1 & 2 (5 unit metodologi & RBA
Persiapan
IAG untuk risiko yang Konsultan kerja) Kick off oleh
Roll Out
telah diidentifikasi Direktur
Utama

Tugas Utama Tim RBA :

 Menyusun Framework RBA

 Menyusun Risk & Control Matrix:
 Identifikasi Proses utama dari unit/produk
 Identifikasi Risiko dan control
 Fasilitator workshop
 Mempersiapkan RFP pemilihan konsultan dan mempersiapkan kontrak kerja dengan konsultan
 Counterpart Konsultan
 Melakukan pilot audit
 Menyusun Laporan ke Dirut (Metodologi secara lengkap termasuk prosedur audit sejak perencanaan s.d. monitoring RBA)
 Melakukan persiapan roll out
 Melakukan roll out bersama-sama dengan tim audit yang ditetapkan

22
© PT Bank Mandiri (Persero) Tbk.
Fungsi Internal Audit dan Risk Management

Tahap Pengembangan RBA Tahap Implementasi RBA

Internal audit menggunakan hasil

Bersama-sama menyusun risk register
enterprise risk assessment (ERA) dalam

Melakukan koordinasi secara intensif melalui penyusunan annual audit plan. ERA
diskusi dan workshop mengenai : dilaksanakan oleh Direksi dan difasilitasi
 konsep risiko : inherent risk, residual risk oleh risk management.
(sebelum dan sesudah audit),

Risk management memberikan data
 klasifikasi risiko dan parameter risiko mengenai profil risiko unit kerja kepada
(likelihood dan impact) internal audit
 level risiko yang diassess

Terus menerus berkoordinasi untuk

Bersama-sama melakukan pilot RBA
setiap inisiatif baru untuk

Bersama-sama melakukan rasionalisasi penyempurnaan metodologi RBA
terhadap risk register maupun management risiko

Melakukan koordinasi untuk menyusun single
data base risiko

© PT Bank Mandiri (Persero) Tbk.

 Internal Audit Roles in ERM
Core IA Roles in regard to
ERM

Giving assurance on the risk
management process

Giving assurance that risks are
correctly evaluated

Evaluating risk management
process

Evaluating the reporting of key risks

Reviewing the management of key
risks
IIA Position Paper - 2004
Legitimate IA Roles with
safeguards

Facilitating identification & evaluation of
risks

Coaching management in responding to
risks

Co-ordinating ERM activities

Consolidated reporting on risks

Maintaining & developing ERM framework

Championing establishment of ERM

Developing ERM strategy for board
approval
Roles IA Should Not
Undertake

Setting the risk appetite

Imposing risk management process

Management assurance on risks

Taking decission on risk responses

Implementing risk responses on
management’s behalf

Accountability for risk management
© PT Bank Mandiri (Persero) Tbk.
Sinkronisasi risk management & RBA

example
Risk &
RISK Audit
PROFILE Universe

Internal
Prioritisa
si Risiko ERM ERA AUDIT Audit
Plan
Bobot RISK
Risiko BASED
Risk AUDIT
Profile
Impact-Likelihood-Average

5
1 Competitor Risk 9 FX Risk
2 Default Risk 10 Reputation Risk
4
D
3 Human Resources Risk 11 Liquidity Risk
H
N
O
4 Concentration Risk 12 Business Interruption Risk BE L I

Impact
C
3 F AM
K
5 IT Risk 13 Systemic Risk
G
J
6 Interest Rate Risk 14 Legal Risk
2
7 Strategic Risk 15 Compliance Risk
8 Fraud Risk
1
1 2 3 4 5
Likelihood

© PT Bank Mandiri (Persero) Tbk.

 Internal Audit Group

ERA Result : Bank-wide Risks

ERA Results (Inherent Risks)

Top 15 Functional Areas

Functional Areas Likelihood Impact Risk Score Classification

1 A 3.9 4.2 17.1 High
2 B 3.8 4.1 15.9 High
3 C 3.7 4.0 15.3 High
4 3.8 3.7 14.8 Medium-High
5 3.5 3.9 14.7 Medium-High
6 3.6 3.9 14.3 Medium-High
7 3.9 3.6 14.2 Medium-High
8 3.5 3.8 14.1 Medium-High
9 3.7 3.5 13.5 Medium-High
10 3.5 3.8 13.3 Medium-High
11 3.6 3.5 13.3 Medium-High
12 3.3 4.0 13.1 Medium-High
13 3.5 3.6 13.1 Medium-High
14 3.3 3.9 12.8 Medium-High
15 3.5 3.5 12.8 Medium-High

26 Risk Assessment
 Prioritisation Approach – Annual Audit Plan

High
P2: Hi-Risk Hi-Rating P1: Hi-Risk Lo-Rating
“High Risk – Strong Control” “High Risk – Weak Control”

• Priority 2 • Priority 1
• IHRR in scope: Medium To High, High • IHRR in scope: Medium To High, High
• Audit Interval 12 months • Audit Interval 10 months
Functional Area Risk Score

>=12

P4: Hi-Risk Hi-Rating P3: Hi-Risk Lo-Rating

“Medium Risk – Strong Control” “Medium Risk – Weak Control”

• Priority 4 • Priority 3
• IHRR in scope: Medium To High, High • IHRR in scope: Medium To High, High
• Audit Interval 18 months • Audit Interval 14 months
>=7

P6: Lo-Risk Hi-Rating P5: Lo-Risk Lo-Rating

“Low Risk - Strong Control” “Low Risk – Weak Control”
• Priority 6 • Priority 5
• IHRR in scope: High • IHRR in scope: High
• May not be audited if there is • Audit Interval 24 months
insufficient capacity
Low

100% 75%
Satisfactory or Better Fair or Worse
Audit Rating

27 © PT Bank Mandiri (Persero) Tbk.

 Internal Audit Group
Internal Audit Planning Sheet

Internal Audit Planning Sheet

Date of assessment 15-Dec-07 Thresholds: 12 75%
Start of IAP 1-Feb-08

Product / Activity Work Unit Functional Areas Last audit (full

Man Last audit Risk scoreQuadrantTentative Tentative
scope) days score (ERA) (Year1) (Year2)
Sep-07 60 75.00 15.93 2 Nov-08 Jan-10

I 1 A
Sep-07 60 75.00 15.93 2 Nov-08 Jan-10

Sep-07 60 75.00 13.27 2 Nov-08 Jan-10

Sep-07 60 75.00 11.50 4 Sep-09 Sep-11

II
2 B Dec-05 60 75.00 15.93 2 Feb-08 Apr-09

Dec-05 60 75.00 15.93 2 Feb-08 Apr-09

Dec-05 90 75.00 15.93 2 Feb-08 Apr-09

Dec-05 120 75.00 15.93 2 Feb-08 Apr-09

Dec-07 30 76.50 9.67 4 Dec-09 Dec-11

28 Risk Assessment
Before & After RBA

Audit Cycle Before RBA After RBA

1 Pre Audit

Audit Focus Ditetapkan oleh Ditetapkan oleh IA berdasarkan

Internal Audit Risk Profile Client

Subjective, Judgement Sistematis, transparan,

memenuhi kebutuhan client,

Audit Program Subjective Audit Program link dengan

fokus audit

Operational control Baik design maupun

2 Field Audit menjadi prioritas operational menjadi prioritas
utama utama.

Testing hanya Testing meliputi proses &

mencakup proses karakteristik

© PT Bank Mandiri (Persero) Tbk.

Before & After RBA
audit process – before & after RBA

Audit Cycle Before RBA After RBA

3 Output: Audit findings

Reporting Output:
& rekomendasi
Audit findings &
rekomendasi

Risk profile setelah audit

4
Monitoring Tindak lanjut hanya Tindak lanjut dimonitor oleh
dimonitor oleh IA IA dan Risk Management

5 Annual Audit Plan Tidak sistematis, tanpa

mempertimbangkan Sistematis, dengan
Risk Profile mempertimbangkan Bankwide
Risk Profile, hasil dari
Enterprise Risk Assessment
(facilitated byERM) and Unit -
Risk profile (facilitated by ORM
Coordinator)

© PT Bank Mandiri (Persero) Tbk.

Internal Audit Methodology : Risk Based Audit
(Approved by CEO, July 31, 2007)

1. Strategy 2. Objectives 3.Processes 4. Risk 5. Control

Identify business Identify processes Identify risk associated Identify controls to
Identify business
objectives supporting business with the processes provide assurance on
strategy
strategy & objectives risks

16. Assessment
Established 6. Risk Appetite
Re-
Re-assess
by Management Establish risk
appropriateness of
auditee’s risk appetite and
prioritisation tolerance

15. ARS 7. Classification

Determine Audit Determine risk
Rating Score classification for the
STEP 1 – 3 : performed by Risk Owners/Units
individual risks
STEP 4 – 9 : performed by :

14. Fieldwork • Risk Owners/Units facilitated by QAC/RIC using ORM : 8. Risk Response
Execute audit and Policy, Methodology & Tools Determine risk
agree findings with response mitigation
auditees STEP 10 – 16 : performed by DIA (RBA Methodology) measures

13. Scope 12. Audit Plan 11. Approach 10. Evaluation 9. Risk Prioritisation
Agree the scope with Development of Agree risk maturity and Evaluation of risk Prioritise areas for
auditees internal audit plan audit approach with assessment by audit
auditees auditees

© PT Bank Mandiri (Persero) Tbk.

 Steps RBA

Identifikasi Risk Reassessment

Evaluasi hasil
Risiko Assessment assessment Audit
& Control (Workshop)

Risk & Risk & RCMR hasil Scope Audit RCMR

Control Matrix Control Matrix evaluasi dan updated
(RCM) With Rating kesepakatan
(RCMR) bersama Individual Audit Plan

Working Paper
Dilaksanakan oleh business unit dan difasilitasi Dilaksanakan oleh Dilaksanakan oleh
oleh risk management unit business unit dan Audit Finding business unit dan
Internal Audit Internal Audit

Reporting &
Audit Rating
Risk Rating System System (ARS)

Dilaksanakan oleh Internal

Audit

© PT Bank Mandiri (Persero) Tbk.

Konsep: Risiko dan Kontrol

© PT Bank Mandiri (Persero) Tbk.

Definisi dan Konsep Risiko

Definisi Risiko - Mengikuti konsep Risk Managemet Unit

Peraturan BI No. Potensi terjadinya suatu peristiwa (events) yang dapat menimbulkan
5/8/PBI/2003 kerugian Bank

Integrated Risk
Management Framework,
Risk refers to the uncertainty that surrounds future events and
Treasury Board of outcomes. It is the expression of the likelihood and impact of an
Canada Secretariat event with the potential to influence the achievenment of an
organization’s objectives.

“The possibility that an event will occur and adversely affect the
COSO achievement of objectives”.

© PT Bank Mandiri (Persero) Tbk.

Definisi dan Konsep Risiko

IHR
Risiko dinilai sebelum dan sesudah
mempertimbangkan kontrol.
Risiko Inherent (IHR)
Risiko yang dinilai impact dan likelihoodnya
sebelum mempertimbangkan adanya kontrol.

RDR Risiko Residual (RDR)

Risiko yang dinilai impact dan likelihoodnya
setelah mempertimbangkan adanya kontrol.

© PT Bank Mandiri (Persero) Tbk.

Definisi dan Konsep Risiko

Risiko mempunyai 2 dimensi, yaitu :

• Likelihood : Kemungkinan terjadinya risiko
• Impact : Akibat atau dampak ketika risiko tersebut terjadi

Risk Map
Risk Classification

© PT Bank Mandiri (Persero) Tbk.

Control – COSO ERM
Framework
Kontrol diimplementasikan dalam kerangka/framework COSO ERM
Framework.

ERM mencakup semua level dalam organisasi: Level Enterprise, Divisi

atau anak perusahaan, Unit Bisnis dan Proses. COSO ERM Framework
mempunyai 4 kontrol tujuan yaitu:
•Strategic – tujuan (goal) yang mendukung misi perusahaan.
•Operations – efektivitas dan efisiensi penggunaan sumber daya.
•Reporting – pelaporan yang reliabel
•Compliance – kepatuhan pada hukum dan peratuhan.

COSO ERM framework terdiri dari delapan komponen yang terkait yaitu:
Internal Environment (IE), Objective Setting (OS), Event
Identification (EI), Risk Assessment (RA), Risk Response (RR),
Control Activities (CA), Information & Communication (IC), and
Monitoring (M).

© PT Bank Mandiri (Persero) Tbk.

 Komponen SPI (Cfm. Artikel 200 KSPIBM)
No Komponen Deskripsi

1 Internal Menilai kecukupan dan efektivitas lingkungan internal yaitu kebijakan dan
Environment (IE) praktik sumber daya manusia, pendelegasian wewenang dan tanggung
jawab, struktur organisasi, filosofi dan gaya manajemen, komitmen
terhadap kompetensi, integritas dan nilai etika.

2 Objective Setting Menilai kecukupan penetapan tujuan dan identifikasi kejadian-kejadian

(OS) yang dapat menghambat pencapaian tujuan tersebut. Tujuan harus
mendukung dan sejalan dengan misi Bank secara keseluruhan dan
konsisten dengan risk appetite.

3 Event Identification Menilai kecukupan dan efektivitas proses identifikasi kejadian-kejadian

(EI) internal dan external yang mempengaruhi pencapaian tujuan, yaitu
faktor-faktor yang mempengaruhi strategi dan tujuan, keterkaitan antar
kejadian-kejadian, risiko dan kesempatan

4 Risk Assessment Menilai kecukupan kualitas risk assessment yaitu identifikasi risiko,
(RA) pengukuran risiko dan pengelolaannya. Risiko-risiko dianalisa dengan
mempertimbangkan kemungkinan dan dampaknya sebagai dasar untuk
menentukan bagaimana risiko-risiko tersebut dikelola baik pada Inherent
Risk maupun Residual Risk
38 Audit, Compliance & Governance Academy
 Komponen SPI (Cfm. Artikel 200 KSPIBM)

No Komponen Deskripsi

5 Risk Response (RR) Menilai tindakan manajemen dalam menghadapi risiko yaitu menghindari
(avoiding), menerima (accepting), mengurangi (reducing) atau membagi
risiko (sharing risk). Serta memastikan tindakan manajemen tersebut
sesuai dengan risk tolerance & risk appetite Bank Mandiri.

6 Control Activities Menilai kebijakan dan prosedur yang ditetapkan dan dilaksanakan oleh
(CA) manajemen, untuk meyakini bahwa tindakan manajemen (risk response)
telah dilakukan secara efektif.

7 Information & Menilai informasi-informasi yang relevan telah diidentifikasi dan

Communication (IC) dikomunikasikan (vertikal dan/atau horizontal) dalam bentuk dan waktu
yang tepat sehingga pegawai yang terkait dapat melaksanakan tindakan
yang menjadi tanggung jawabnya.

8 Monitoring (M)
Menilai efektivitas sistem monitoring atas pengelolaan risiko secara
keseluruhan, agar sesuai dengan kebutuhan. Monitoring yang efektif
dapat dicapai melalui monitoring atas kegiatan yang tengah berlangsung
secara terus menerus atau dengan evaluasi secara terpisah atau dengan
kedua-duanya.

39 Audit, Compliance & Governance Academy

 IA- Control Diagnostic Tools (CDT)

Sistematika dari CDT dapat digambarkan sebagai berikut :

Komponen 7 komponen control Characteristic :

Control IE, OS, EI, RA, RR, IC, MO

Atribut Masing-masing komponen

Control mempunyai atribut control yang
sudah ditetapkan oleh IIA

Sudah ditetapkan oleh IIA

Objective
Control Satu atribut control bisa
mempunyai lebih dari 1 objective

Dilakukan pengujian/audit
Kriteria
Related Control Internal Control : Effective,
di Bank Mandiri/ Partially Effective & Not
Unit Kerja Effective

Related control activity & Kriteria internal control tidak ditetapkan

oleh IIA, karena harus disesuaikan dengan kondisi masing-
masing perusahaan/organisasi

40 Audit, Compliance & Governance Academy

 Atribut Control …

1. HUMAN RESOURCES POLICIES & PRACTICES

13. RISK IDENTIFICATION
2. ASSIGNMENT OF AUTHORITY & RESPONSIBILITY
14. RISK MANAGEMENT
3. ORGANIZATIONAL STRUCTURE
15. MANAGE CHANGE
4. MANAGEMENT’S PHILOSOPHY & OPERATING STYLE

5. COMMITMENT TO COMPETENCE 16. IDENTIFY RISK RESPONSES

6. INTEGRITY & ETHICAL VALUES
17. INFORMATION

18. COMMUNICATION

7. ENTITY WIDE OBJECTIVE

19. ON GOING EVALUATION
8. ACTIVITY LEVEL OBJECTIVE
20. REPORTING DEFICIENCIES

9. FACTORS INFLUENCING STRATEGY & OBJECTIVES

10. EVENT INTERDEPENDENCIES

11. RISK & OPPORTUNITIES

Guidelines Tools
12. EVENTS IDENTIFICATION

41 Audit, Compliance & Governance Academy

Penilaian / Pengujian Internal Control

KOMPONEN
INTERNAL CONTROL

1
INTERNAL ENVIRONMENT

2
OBJECTIVE SETTING

3
EVENT IDENTIFICATION
COSO
CONTROL
CHARACTERISTIC DIAGNOSTIC
4
RISK ASSESSMENT BASED TOOLS (CDT)

5
RISK RESPONSE

6 INFORMATION &
COMMUNICATION
7 CONTROL
MONITORING ACTIVITY Audit Program
BASED
8
CONTROL ACTIVITIES

© PT Bank Mandiri (Persero) Tbk.

Klasifikasi & Attribute Kontrol
Detective Manual Non Key
Key Control:
Preventive Automated Key

Aktivitas kontrol yang
kritikal dalam memitigasi
Attribute risiko yang telah
diidentifikasi.

CONTROL
Jika Key kontrol tidak

dilakukan, risiko tersebut
tidak termitigasi, bahkan
jika kontrol yang lain
COSO Categorization dilakukan.

Internal Environment
Strategic
Objective Setting

Event Identification
Operation
Component

Objective
Risk Assessment

Risk Response
Reporting
Control Activities

Inform. & Comm

Monitoring
Compliance

© PT Bank Mandiri (Persero) Tbk.

Tahapan Audit

© PT Bank Mandiri (Persero) Tbk.

Pre Audit
merupakan persiapan audit sebelum pelaksanaan audit untuk :

• memperoleh gambaran umum mengenai obyek audit termasuk profil

risikonya.
• menentukan ruang lingkup dan fokus audit sesuai hasil analisa risiko.
• menetapkan rencana sampling.
• memastikan susunan tim audit dan pembagian tugas sesuai dengan
kompetensi yang dibutuhkan.

Tahapan Pre Audit

1 2 3 Pre Audit
Pengumpulan Evaluasi Profile Penetapan Fokus (Individual Audit Plan)
Informasi Risiko Audit

45 Audit, Compliance & Governance Academy

1 INDIVIDUALAUDITPLAN
Pengumpulan Informasi
1. Struktur Organisasi & komposisi Personalia AuditeeInformationForm
AuditeeType Perkreditan
2. Data Keuangan/Kinerja (KPI, Portofolio Dana, AuditeeID 80.XXX
Kredit, Kolektibilitas, Biaya, Pendapatan) Auditee
Name
MBDCXXXXXX
Auditee Lokasi Auditee
3. Profil Risiko Unit Kerja Address
Description 1. AuditeeManagement
about the Organisasi Auditee
4. Laporan hasil audit/pemeriksaan sebelumnya Auditee 2. Businessprocesses
Fungsi danBisnisyangditangani olehauditee
(Intern/Ekstern) 3. Financial Condition
- Portofolio, PertumbuhanKredit &PencapaianTarget
5. Status Tindak Lanjut Temuan Hasil Audit - KualitasPortofolio
4. Practices
(Intern/Ekstern) Target utama(perspektif financial) sesuai KPI Auditee
5. Policies
Mengimplementasikan seluruh rencana kerja dan action plan yang telah dibuat
6. Kasus yang pernah terjadi untukmencapai target yangtelahditetapkan.
6. External andinternal environment
- Kondisi internal
7. Hasil Query - Kondisi eksternal
7. AuditeeConcern
UpayaAuditee
8. Informasi Lain (Surat/Nota/Informasi dari 8. RiskAssessment
9. Audit Objective
Pembina Sistem) 10. Audit Criteria
11. Audit Scope
9. Hasil Monitoring 12. SampleSize
13. TolleranceLevel :
14. Audit Methodology
10. Informasi dari Pimpinan Unit Kerja 15. Audit TimeFrameandReporting
16. Budget andResourcesRequirement
17. Resources
11. Fokus perhatian manajemen 18. Audit Responsibilities

Ditandatangani oleh: TM, TL, DH/GH

KeyPerson
XXXXXXX
Name
KeyPerson
XXXXXXX–AdminMBDCXXXXXXXXX
Information
Others
DataPortofoliodiperolehdari MBG
Information

46 Audit, Compliance & Governance Academy

2 Evaluasi Resiko

LAPORAN PROFIL RESIKO KLIEN

(RCSA)

DI EVALUASI OLEH TEAM AUDIT

Identifikasi Risiko; Apakah semua risiko yang signifikan telah

1 dipertimbangkan
Apakah control statement yang dicantumkan dlm RCSA tepat dan
2 menunjukkan kontrol atas suatu aktivitas yang dilakukan risk
owner/unit kerja dan sesuai ketentuan yang berlaku
Apakah control statement yang dicantumkan sesuai dan dapat RCSA
3
memitigasi risiko
Apakah pengklasifikasian risiko (H, MTH, M, LTM, L) tidak bias?
4 Lakukan penyesuain IHRR bila klasifikasi risiko belum tepat (adakah cara
yg effisien untuk evaluasi 318 risiko)  minta share dari peserta

47 Audit, Compliance & Governance Academy

Field Audit

1 Eksekusi Fokus audit

a. Fokus audit
b. Surprise risks

2 Bukti Audit

3 Teknik Audit

4 Pemenuhan Sample Size

a. Metode Pengambilan sample
b. Sample Size
c. Issue

48 Audit, Compliance & Governance Academy

 Eksekusi Fokus Audit
1. Fokus Audit

Audit dilaksanakan Ruang lingkup risiko yang diaudit adalah

sesuai fokus audit
(ruang lingkup risiko)
yang telah ditetapkan
pada pre audit
risiko yang signifikan (risiko inherent
pada klasifikasi “medium to high”, “high”
dan klasifikasi “medium” dengan score
impact 4 atau 5, serta risiko yang
menjadi perhatian Direksi meskipun
klasifikasi risiko medium atau di bawah
medium).
Penetapan risiko yang diaudit akan
dievaluasi secara periodik sesuai dengan
perubahan keadaan/lingkungan

49 Audit, Compliance & Governance Academy

 Eksekusi Fokus Audit
2. Surprise Risk

Surprise • Surprised risks adalah risiko yang signifikan yang

Risks ditemukan pada pelaksanaan audit lapangan dimana
sebelumnya risiko tersebut tidak teridentifikasi (tidak
terdapat dalam Profil Risiko) dan pada saat melakukan
evaluasi profil risiko-pun tim audit tidak berhasil
mengidentifikasi risiko tersebut.
• Klasifikasi risiko untuk surprised risks ditetapkan melalui
kesepakatan dengan klien berdasarkan informasi dan
Scope data terkait risiko tersebut.
Audit • Surprised risk kemudian dimasukkan dalam profil risiko
dari obyek audit dimaksud dan menjadi bagian dari
scope audit
• Surprised risks dihitung dalam Audit Rating

Audit Rating

50 Audit, Compliance & Governance Academy

Bukti Audit

Bukti audit adalah semua data dan informasi yang dapat dipakai oleh auditor
untuk mendukung temuan auditnya.
Auditor harus memperoleh bukti yang cukup, kompeten, dan relevan untuk
mendukung penyusunan kesimpulan dan rekomendasinya.

Bukti yang cukup (sufficient)

Berdasarkan fakta, memadai, meyakinkan sehingga pihak lain dapat
mengambil kesimpulan yang sama.

Bukti yang kompeten kompeten (reliable)

Didapatkan dari sumber informasi dan teknik audit yang terbaik

Bukti yang relevan (relevant) dan berguna (useful)

Informasi yang diperoleh mendukung tujuan pemeriksaan.

51 Audit, Compliance & Governance Academy

 Teknik Audit

Teknik audit yang dapat digunakan antara lain:

– Inspeksi
– Observasi
– Tanya Jawab (Interview)
– Konfirmasi
– Analisis
– Perbandingan
– Audit Bukti-Bukti Tertulis (Vouching & Verifikasi)
– Rekonsiliasi
– Trasir
– Rekomputasi
– Scanning

52 Audit, Compliance & Governance Academy

 Pemenuhan Sample Size
Untuk mengevaluasi efektivitas desain 1. MetodePengambilanSampling
dan implementasi control, risk
management dan governance, Internal 2. Sampling Size
Auditor harus mengumpulkan bukti- 3. Issue
bukti audit menggunakan teknik audit,
dan metode sampling/penetapan
ukuran sample yang sesuai. Internal
Auditor harus mengambil sample yang
relevan dengan tujuan audit yang
hendak dicapai.

53 Audit, Compliance & Governance Academy

 Pemenuhan Sample Size
1. Metode Pengambilan Sampling
Random Sampling
Metode ini memungkinkan Internal
Auditor untuk mengukur risiko
pengambilan sample, yaitu bahwa
suatu sample tidak mencerminkan
populasi. Untuk mengukur risiko
tersebut secara statistic maka
pemilihan sample harus acak,
sehingga setiap populasi memiliki
peluang yang sama untuk dipilih.
• Random Number Sampling
• Interval Sampling
• Stratified Sampling
• Cluster Sampling
• Haphazard Sampling
54 Audit, Compliance & Governance Academy
Directed Sampling Judgment Sampling
Metode ini dipakai apabila Internal Merupakan pemilihan unit sample
Auditor mencurigai adanya berdasarkan alasan pribadi atau
kesalahan atau penyimpangan kecurigaan Internal Auditor.
dan ingin mendapatkan bukti Misalnya, sample kredit hanya
untuk mendukung kecurigaannya diambil dari pegawai yang baru mulai
atau mencari sebanyak mungkin bekerja.
hal yang mencurigakan. Dalam metode ini Internal Auditor
Keberhasilan metode ini sangat tidak memberikan peluang yang
tergantung dari naluri detektif sama setiap unit populasi untuk
Internal Auditor . Namun Internal terpilih. Sehingga Internal Auditor
Auditor tidak dapat mengambil mungkin tidak mengekstrapolasi-kan
kesimpulan tentang populasi secara statistic hasil-hasil sample ke
melalui metode ini, karena sample seluruh populasi
tidak mencerminkan populasi
 Pemenuhan Sample Size
1. Metode Pengambilan Sampling
Random Sampling
Metode ini sering dianggap metode yang paling tepat menghasilkan sample
a. Random Number Sampling yang representatif. Sampling dengan cara ini menggunakan algoritma
menggunakan algoritma computer atau table angka yang telah diacak.

Sample dipilih berdasarkan interval. Misalnya, Internal Auditor ingin

b. Interval Sampling mengambil sample sebanyak 40 dari total populasi sebanyak 2.000.
Interval sample adalah 2.000:40 = 50. Misalkan pemilihan dimulai dari
angka 15, unit sample berikutnya adalah unit ke 65, ke 115 dst.

Metode ini dipakai untuk populasi dengan variasi yang besar dalam ukuran
c. Stratified Sampling , jumlah atau karakternya. Internal Auditor harus memisahkan populasi ke
dalam dua atau lebih tingkatan dan kemudian mengambil sample dari
masing-masing tingkatan.

Metode ini digunakan apabila populasi terlalu menyebar dan terpencar sehingga
d. Cluster Sampling terlalu memakan banyak waktu untuk menggunakan metode random number
yang biasa.
Cluster sampling dilaksanakan dengan memilih acak unit-unit dalam kelompok,
lalu kelompok itu sendiri diaudit secara keseluruhan/diambil sample.
Kelompok bisa berupa kelompok bulan, tanggal, lokasi penyimpanan,
tumpukan,batch dan lain-lain.

e. Haphazard Sampling Merupakan metode pemilihan sample tanpa memperhatikan bias atas karakteristik
sample. Internal Auditor dapat mengambil dokumen yang manapun dengan
mengabaikan informasi seperti nomor referensi, jumlah nominal, mata uang, tanggal
dokumen, dll.

55 Audit, Compliance & Governance Academy

 Pemenuhan Sample Size
2. Sample Size
Ukuran sample ditentukan berdasarkan berapa kali kontrol dilakukan (frekuensi) dan
klasifikasi risiko, seperti disajikan dalam table di bawah ini:
Risk category Frequency Sample size Frequency Sample size Frequency Sample size Frequency Sample size

High 1 2 3 to 5 10 to 15
Medium-High 1 2 3 to 4 8 to 12
Medium Annually 1 Quarterly 1 Monthly 2 to 4 Weekly 6 to 8
Low-Medium 1 1 2 to 3 4 to 6
Low 1 1 1 to 2 2 to 4

High 30 to 40 40 to 60 Actual or Min 1

Max 60
Medium-High 20 to 30 25 to 40 Actual or Min 1
As-and- Max 40
Medium 15 to 20 Multiple 15 to 25 when Actual or Min 1
Daily Automated
Daily (event- Max 25
Low-Medium 10 to 15 10 to 15 based) Actual or Min 1
Max 15
Low-Medium 5 to 10 5 to 10 Actual or Min 1
Max 10

56 Audit, Compliance & Governance Academy

 Pemenuhan Sample Size
2. Sample Size
Cara penetapan control frekuensi :

Frequency Sample Range Allowable

Exception
Annually 1 0 Step 1: Dapatkan jumlah transaksi sejenis pada
tahun sebelumnya atau annualizes
Quarterly 1–2 0
jumlah transaksi selama periode
Monthly 1–5 0 audit.

Weekly 2 – 15 0 Step 2: Bandingkan jumlah transaksi yang

diperoleh dari step 1 dengan
Daily 5 – 40 0 populasi control frequency yang
mendekati (misalkan: jumlah
Multiple 5 – 60 0 transaksi yang diperoleh dari step 1
times/daily sebanyak 15, maka gunakan sampel
range Monthly)
Event based 1 = < X = < 60
Step 3: Gunakan sampel range dan allowable
Or number of actual *) exception berdasarkan control
events w/in audit period frequency yang terpilih.

Automated Test one regardless of N/A

frequency of
performance of each
control actiovities

57 Audit, Compliance & Governance Academy

Audit Rating System

© PT Bank Mandiri (Persero) Tbk.

 Definisi, Tujuan & Manfaat Audit Rating
Definisi Tujuan & Manfaat

Tujuan
Audit Rating Menilai efektivitas internal control pada
adalah nilai atau kesimpulan yang suatu Unit Kerja, produk, aplikasi,
diperoleh dari hasil evaluasi kualitas SPI aktivitas dalam rangka mencapai
(internal control), termasuk risk tujuan bank
management dan governance process
pada satu periode tertentu atas suatu
obyek audit (Unit Manfaat
Kerja/produk/aplikasi/aktivitas). Audit 1. informasi yang menggambarkan
rating menggambarkan kekuatan/kelemahan internal control
kekuatan/kelemahan internal control dari dan dapat diperbandingkan diantara
obyek audit. unit kerja.
2. dasar untuk perbaikan internal
control Unit Kerja.
3. salah satu dasar pengkinian
(update) profil risiko (risk profile).
4. sebagai salah satu dasar untuk
menetapkan prioritas, jangka waktu
dan frekuensi audit berikutnya

59 Audit, Compliance & Governance Academy

 HASIL WORKSHOP Akan di uji
(ASSESSMENT) OLEH pada audit
BUSINESS UNIT (RISK OWNER)
lapangan

Inherent Risk (IHRR) Residual Risk (RDRR) Risk Appetite

# Risk description Likelihood Impact IMIR Likelihood Impact RDRR1 RAPR OK? CDES
1 Tanggal jangka waktu kredit di ”Perjanjian Kredit”
3,79 4,21 16 1,71 2,21 4 1 No 12
tidak sama dengan di Sistem
2 Pengisian varian bunga kredit KAD tidak diisi sesuai
2,86 4,36 12 1,79 2,36 4 1 No 8
ketentuan
3 Nasabah tidak puas terhadap pelayanan yang
2,57 4,36 11 1,43 2,00 3 1 No 8
diberikan

diformalkan
4
3,71 4,00 15 1,71 1,79 3 1 No 12

Belum
5
4,07 3,07 13 2,00 1,86 4 1 No 9
6
3,00 4,00 12 1,79 1,71 3 1 No 9
7 3,00 4,00 12 2,00 1,71 3 1 No 9
8
3,00 4,00 12 1,71 2,36 4 1 No 8
9 3,36 3,57 12 1,86 2,14 4 1 No 8
10
2,57 4,00 10 1,71 1,50 3 1 No 7

RRS merupakan daftar risiko yang telah dirating.

CDES (Control Design Effectiveness Score) merupakan selisih residual risk dengan inherent risk.
CDES menunjukkan efektivitas control design sesuai business unit’s perspectives.

© PT Bank Mandiri (Persero) Tbk.

 Risk Rating System Inherent Risk (IHRR) Residual Risk (RDRR) Risk Appetite Audit results ORM risk
classification
Likelihood Impact IHRR Likelihood Impact RDRR1 RAPR OK? CDES CARR COES OK? RDRR2
2.3 3.4 8 2 2.5 5 1 No 3 60% 2 No 6.2 6
4.0 4.2 17 2 2 4 1 No 13 0% 0 No 17 17
4.5 3.0 14 2.3 2.4 6 1 No 8 0% 0 No 14 14
2.5 3.9 10 1.5 2 3 1 No 7 75% 5 No 4.8 5
Methodology/Tools

3.5 3.0 11 1.8 1.5 3 1 No 8 50% 4 No 7 7

3.0 4.0 12 2.3 2.3 5 1 No 7 90% 6 No 5.7 6

the risk appetite is 1 pending Management action
Control Activities-based Assessment:
For: CA, IC, M
Organization Unit:
COSO Components:
Risk
Audit Rating System
Risk Appetite has Controls failed (indicated
not been formalized as “NO”) the operational
effectiveness test, i.e.
based on audit fieldwork
Controls IHRR Calibrated per Audit
Assessment Ctrl Assessment Rating

Relative (Inherent Object

COSO Framework

Ctrl Partially Criticality Control CARR: Rating Label Risk Weighted %-age
Ctrl Not Effective Ctrl Effective Factor Assessment per Risk
Rating) Control Rating
Effective Rating per
for RRS per Risk
(1) (3)
(2) Control

(Risk No.) Risk Description (Ctrl No.) Control

Description 2 10 100% 100% STRONG 6 6 18%

(Risk No.) Risk Description (Ctrl No.) Control

Description 2 3 100%
(Ctrl No.) Control
Description 1 6 50% 70% FAIR 12 8.4 25%

(Ctrl No.) Control

Description 2 1 100%
(Risk No.) Risk Description (Ctrl No.) Control UNSATISFA
Description 1 10 50% 50% CTORY 15 7.5 23%

33 21.9 66%
Rating Label per Audit Object: FAIR

© PT Bank Mandiri (Persero) Tbk.

Score Audit Rating

Strong : (predikat tertinggi > 90)

Manajemen risiko dan proses kontrol memadai di seluruh aspek material. Unit Kerja telah
memitigasi risiko dengan baik, termasuk fraud risk.

Satisfactory (predikat no 2: 75 -90)

Manajemen risiko dan proses kontrol memadai di banyak aspek material . Namun dibutuhkan
perbaikan spesifik pada beberapa area dalam jumlah yang terbatas.

Fair (predikat no 3: 65 -75)

Manajemen risiko dan proses kontrol cukup memadai di banyak aspek material . Namun
dibutuhkan perbaikan spesifik pada beberapa area dalam jumlah memadai.

Marginal (predikat no 4: 50 - 60)

Manajemen risiko dan proses kontrol kurang memadai di banyak aspek material, sehingga
dibutuhkan perbaikan spesifik dalam jumlah yang signifikan dan/atau terdapat
hambatan/kemacetan pada suatu proses bisnis.

Unsatisfactory (predikat no 4: < 50)

Manajemen risiko dan proses control tidak memadai di banyak aspek material, dan
dibutuhkan perbaikan spesifik secara menyeluruh.

62 Audit, Compliance & Governance Academy

 Audit Unit : Contoh
Jumlah
COSO IC Objectives Risk Score Predikat
S Strategic 3 100.00 Strong
O Operations 33 42.28 Unsatisfactory
C Compliance 4 75.51 Satisfactory

R Reporting 1 100.00 Strong

Audit Unit : Contoh

Overall Weighted Score:
Component Score Weight Weighted Score
IE Internal Environment 100.00 20.00% 20.0
OS Objective Setting 100.00 5.00% 5.0
EI Event Identification 100.00 5.00% 5.0
RA Risk Assessment 100.00 5.00% 5.0
RR Risk Response 100.00 5.00% 5.0
CA Control Activities 26.74 40.00% 10.7
IC Information & Comm. 83.33 10.00% 8.3
M Monitoring 75.00 10.00% 7.5
Total 100.00% 66.53
FAIR

© PT Bank Mandiri (Persero) Tbk.

Kesimpulan

 Metodologi RBA akan memperkuat peran Internal Audit dalam mendukung penerapan Good
Governance Bank Mandiri
 Hasil audit RBA akan mempertajam risk profile unit kerja dan Bank Mandiri secara bankwide
 Keterlibatan unit bisnis dalam proses RBA akan meningkatkan risk awareness.
 Internal Audit dan Risk Management secara berkesinambungan melakukan alignment untuk
menjaga lingkungan pengendalian yang kuat untuk memastikan pertumbuhan perusahaan
yang sustainable.

© PT Bank Mandiri (Persero) Tbk.

 Awards

2006 Runner up Untuk Sektor Indonesia Best

Keuangan dengan Website 2006
predikat “terpercaya” (Internet Banking)

2007 Perusahaan Publik

Peringkat Pertama Bank Of The Year 2007  Best Overall for
Terbaik untuk kategori Indonesia Corporate Governance
Perbankan kualitas layanan (2007- in Indonesia
2008)  Best for Disclosure and
Transparency

2008 Perusahaan Sangat Bank Of The Year 2008 Overall Best Managed The Best Bank In
Terpercaya Peringkat Pertama
Indonesia Company in Indonesia – Indonesia 2009
Corporate Governance kualitas layanan (2008-
Large Cap
Perception Index 2009)

2009 Perusahaan Sangat

Peringkat Pertama
Bank Of The Year 2009 Asia’s Best Companies for  The Best Local GCG Award 2009
Terpercaya Indonesia Corporate Governance Private Bank in Kategori : Best GCG SOE
Corporate Governance kualitas layanan (2009- Indonesia
Perception Index 2010)  The Best Bank In
Indonesia 2009

© PT Bank Mandiri (Persero) Tbk.

thank you