10 Februari, 2011
Agenda
2
Transformasi SPI dan Internal Audit
3
Risk Based Audit
4
Kesimpulan
Suka terima
hadiah
Pelayanan
kurang
ramah
Birokratis
Tidak efisien
Lamban
Budaya tidak
berbeda dengan Tidak
bank legacy punya
inisiatif
5
Bank Mandiri mencapai performa yang terus membaik, namun
mengalami “second crisis” di tahun 2005….
Non Performing Loan Ratio Net Income Harga Saham
(%) (Rp Tn) (Rp)
2500
26.7%
2000
BMRI
19.8%
1500
IHSG
5.26 1000
4.59
9.7% 15.3% 3.59
8.6%
7.3% 7.4% 2.74 500
6.60%
1.18
2.7% 1.6% 1.8% 1.6% 0.6
0
Jul-03 Jan-04 Jul-04 Jan-05 Jul-05 Dec-05
2000 2001 2002 2003 2004 2005 2000 2001 2002 2003 2004 2005
Laba bersih di tahun 2005 sebesar Kapitalisasi Pasar turun drastis ke titik
NPL melonjak drastis ke level 15.3%
(netto) dari 1.6% (netto) di tahun 2004 Rp. 603 milyar triliun, turun 80% dari terendah (November 2005) sebesar
laba tahun 2004 sebesar Rp. 5.3 trn. Rp. 22 trn dgn harga Rp 1.076 per lembar
6
…Menghadapi 7 permasalahan operasional utama, Manajemen baru
mengimplementasikan 5 (lima) fokus strategi konsolidasi tahun 2005
7
Kelemahan Sistem Pengendalian Intern
5
4 Arsitektur Kedudukan Chief
Kebijakan & Audit Executive
3 Penguatan Risk
(CAE)
2 Management & Prosedur Bank
1 Penguatan Sinergy dengan Mandiri
Penguatan Kebijakan SPI fungsi internal audit Kedudukan CAE
Seluruh kebijakan
Komite Audit ditingkatkan
Pelaksanaan dan standard
menjadi Senior
COSO Enterprise Risk prosedur di Bank
Committee Audit Executive Vice
8 komponen Assessment (ERA) Mandiri dilandasi
Charter President
internal control oleh Direksi dengan KSPIBM
Tim yang Coordinator
KSPIBM (annually)
professional, CAE masuk dalam
(Kebijakan Sistem Menggunakan hasil
kompeten dan Board of
Pengendalian ERA untuk annual
berintegritas Management
Intern Bank audit plan
Mandiri)
1
CORE VALUES
&CULTURE:
-Pegawai
-Supervisor
-Kepala Unit 2
SISTEM
INTERNAL
CONTROL
(Incl. Risk 3
Mgt & FUNGSI
Compliance) NTERNAL
AUDIT
4
EXTERNAL
AUDIT
Regional Office
Direktorat
Regional Mgr Direktur
ADDED VALUE
Assurance Consulting
Dewan Komisaris
Edwin Gerungan – Komisaris Utama / Komisaris Independen
Direktur Utama
Muchayat – Wakil Komisaris Utama Agus Martowardojo
Mahmuddin Yasin – Komisaris
Soedarjono – Komisaris Independen
Pradjoto – Komisaris Independen
Gunarni Soeworo – Komisaris Independen Wakil Direktur Utama
I Wayan Agus Mertayasa
Komite Audit Komite Pemantau Risiko
Komite Nominasi &
Komite GCG
Remunerasi
Commercia Treasury, F
Micro & Risk Legal & Change Internal
Institution Corporate l Consumer I & Special Complianc Finance & Technology
Retail Manage- Business Mgmt.
al Banking Banking *) & Business
Banking Finance Asset e & HC Strategy & Ops
ment Services Office
Audit
Banking Mgmt
Institution Corp. Jkt Comm. Jakarta IT Business
Market &
Treasury Compliance Legal Internal
Banking I sales Network Solutions &
Ops Risk
al Banking I Consumer Investor Credit risk &
Corp. Reg. Comm. Reg. Treasury Application Customer Audit
card Human Relations Servicesportfolio
Institution Banking II sales I Network Solutions Care &
Capital mgt
al Banking Consumer Strategy & Services
Corp. Reg. Comm. Mass FI Coverage Services IT Ops Corporate
Loans Performance Procurement
II Banking III sales II Banking & Solutions Human Risk I
Mandiri & Fixed
Corp. Business Electronic Tunas Special Capital Accounting Corporate
Finance Credit Ops Assets
Banking Banking I Banking Asset Mgmt Strategy & Risk II
Agro Based Micro Policy Chief Policy, Syste
Business Commercial
Syndication Network Economist Central Ops m&
Banking II Learning Risk
& Structured Dev Center Corporate Procedure
Fin Micro Bus Electronic
WTB Culture Secretary Consumer
Corp. Trx Dev Channel Ops
solutions Specialist Risk
Banking Wealth
IT
Sales
Mandiri Bank Syariah Managemen
t Planning, Ar Retail Risk
Sekuritas Mandiri
ch & BCP
(Inv. AXA Mandiri
Banking)
Bank Sinar
BMEL Harapan Bali
Mandiri
*)Termasuk supervisi KLN Internationa
Kecuali Cab. Dili yang berada
l Remittance
dibawah supervisi Direktorat
MRB
Information & Technology Retail & Support Executive
Risk and Capital Committee Personnel Policy Committee Wholesale Executive Committee Credit Committee Brand Committee
Committee Committee
Treasury, Financial
Inst’ & Risk Corporate Center
Management Audit Special Audit
Audit
IT & Operation
Audit
1. RBA memungkinkan internal audit memfokuskan audit pada area yang berisiko tinggi dan
mengkonsentrasikan audit efforts pada area tsb
2. RBA memungkinkan internal audit menggunakan resources (sep waktu, personnel) yang lebih
sedikit untuk audit pada lower risk areas
3. RBA mempercepat risk maturity / capability progression di seluruh organisasi Bank Mandiri.
Pembentukan Workshop (Risk Review RBA Pilot Audit Persetujuan Roll Out
Tim RBA Assessment) oleh auditor framework oleh 1 & 2 (5 unit metodologi & RBA
Persiapan
IAG untuk risiko yang Konsultan kerja) Kick off oleh
Roll Out
telah diidentifikasi Direktur
Utama
22
© PT Bank Mandiri (Persero) Tbk.
Fungsi Internal Audit dan Risk Management
Giving assurance on the risk Facilitating identification & evaluation of Setting the risk appetite
management process risks Imposing risk management process
Giving assurance that risks are Coaching management in responding to Management assurance on risks
correctly evaluated risks Taking decission on risk responses
Evaluating risk management Co-ordinating ERM activities Implementing risk responses on
process Consolidated reporting on risks management’s behalf
Evaluating the reporting of key risks Maintaining & developing ERM framework Accountability for risk management
Reviewing the management of key Championing establishment of ERM
risks Developing ERM strategy for board
approval
example
Risk &
RISK Audit
PROFILE Universe
Internal
Prioritisa
si Risiko ERM ERA AUDIT Audit
Plan
Bobot RISK
Risiko BASED
Risk AUDIT
Profile
Impact-Likelihood-Average
5
1 Competitor Risk 9 FX Risk
2 Default Risk 10 Reputation Risk
4
D
3 Human Resources Risk 11 Liquidity Risk
H
N
O
4 Concentration Risk 12 Business Interruption Risk BE L I
Impact
C
3 F AM
K
5 IT Risk 13 Systemic Risk
G
J
6 Interest Rate Risk 14 Legal Risk
2
7 Strategic Risk 15 Compliance Risk
8 Fraud Risk
1
1 2 3 4 5
Likelihood
26 Risk Assessment
Prioritisation Approach – Annual Audit Plan
High
P2: Hi-Risk Hi-Rating P1: Hi-Risk Lo-Rating
“High Risk – Strong Control” “High Risk – Weak Control”
• Priority 2 • Priority 1
• IHRR in scope: Medium To High, High • IHRR in scope: Medium To High, High
• Audit Interval 12 months • Audit Interval 10 months
Functional Area Risk Score
>=12
• Priority 4 • Priority 3
• IHRR in scope: Medium To High, High • IHRR in scope: Medium To High, High
• Audit Interval 18 months • Audit Interval 14 months
>=7
100% 75%
Satisfactory or Better Fair or Worse
Audit Rating
I 1 A
Sep-07 60 75.00 15.93 2 Nov-08 Jan-10
28 Risk Assessment
Before & After RBA
1 Pre Audit
4
Monitoring Tindak lanjut hanya Tindak lanjut dimonitor oleh
dimonitor oleh IA IA dan Risk Management
16. Assessment
Established 6. Risk Appetite
Re-
Re-assess
by Management Establish risk
appropriateness of
auditee’s risk appetite and
prioritisation tolerance
14. Fieldwork • Risk Owners/Units facilitated by QAC/RIC using ORM : 8. Risk Response
Execute audit and Policy, Methodology & Tools Determine risk
agree findings with response mitigation
auditees STEP 10 – 16 : performed by DIA (RBA Methodology) measures
13. Scope 12. Audit Plan 11. Approach 10. Evaluation 9. Risk Prioritisation
Agree the scope with Development of Agree risk maturity and Evaluation of risk Prioritise areas for
auditees internal audit plan audit approach with assessment by audit
auditees auditees
Working Paper
Dilaksanakan oleh business unit dan difasilitasi Dilaksanakan oleh Dilaksanakan oleh
oleh risk management unit business unit dan Audit Finding business unit dan
Internal Audit Internal Audit
Reporting &
Audit Rating
Risk Rating System System (ARS)
Peraturan BI No. Potensi terjadinya suatu peristiwa (events) yang dapat menimbulkan
5/8/PBI/2003 kerugian Bank
Integrated Risk
Management Framework,
Risk refers to the uncertainty that surrounds future events and
Treasury Board of outcomes. It is the expression of the likelihood and impact of an
Canada Secretariat event with the potential to influence the achievenment of an
organization’s objectives.
“The possibility that an event will occur and adversely affect the
COSO achievement of objectives”.
IHR
Risiko dinilai sebelum dan sesudah
mempertimbangkan kontrol.
Risiko Inherent (IHR)
Risiko yang dinilai impact dan likelihoodnya
sebelum mempertimbangkan adanya kontrol.
Risk Map
Risk Classification
COSO ERM framework terdiri dari delapan komponen yang terkait yaitu:
Internal Environment (IE), Objective Setting (OS), Event
Identification (EI), Risk Assessment (RA), Risk Response (RR),
Control Activities (CA), Information & Communication (IC), and
Monitoring (M).
1 Internal Menilai kecukupan dan efektivitas lingkungan internal yaitu kebijakan dan
Environment (IE) praktik sumber daya manusia, pendelegasian wewenang dan tanggung
jawab, struktur organisasi, filosofi dan gaya manajemen, komitmen
terhadap kompetensi, integritas dan nilai etika.
4 Risk Assessment Menilai kecukupan kualitas risk assessment yaitu identifikasi risiko,
(RA) pengukuran risiko dan pengelolaannya. Risiko-risiko dianalisa dengan
mempertimbangkan kemungkinan dan dampaknya sebagai dasar untuk
menentukan bagaimana risiko-risiko tersebut dikelola baik pada Inherent
Risk maupun Residual Risk
38 Audit, Compliance & Governance Academy
Komponen SPI (Cfm. Artikel 200 KSPIBM)
No Komponen Deskripsi
5 Risk Response (RR) Menilai tindakan manajemen dalam menghadapi risiko yaitu menghindari
(avoiding), menerima (accepting), mengurangi (reducing) atau membagi
risiko (sharing risk). Serta memastikan tindakan manajemen tersebut
sesuai dengan risk tolerance & risk appetite Bank Mandiri.
6 Control Activities Menilai kebijakan dan prosedur yang ditetapkan dan dilaksanakan oleh
(CA) manajemen, untuk meyakini bahwa tindakan manajemen (risk response)
telah dilakukan secara efektif.
8 Monitoring (M) Menilai efektivitas sistem monitoring atas pengelolaan risiko secara
keseluruhan, agar sesuai dengan kebutuhan. Monitoring yang efektif
dapat dicapai melalui monitoring atas kegiatan yang tengah berlangsung
secara terus menerus atau dengan evaluasi secara terpisah atau dengan
kedua-duanya.
Dilakukan pengujian/audit
Kriteria
Related Control Internal Control : Effective,
di Bank Mandiri/ Partially Effective & Not
Unit Kerja Effective
18. COMMUNICATION
KOMPONEN
INTERNAL CONTROL
1
INTERNAL ENVIRONMENT
2
OBJECTIVE SETTING
3
EVENT IDENTIFICATION
COSO
CONTROL
CHARACTERISTIC DIAGNOSTIC
4
RISK ASSESSMENT BASED TOOLS (CDT)
5
RISK RESPONSE
6 INFORMATION &
COMMUNICATION
7 CONTROL
MONITORING ACTIVITY Audit Program
BASED
8
CONTROL ACTIVITIES
Internal Environment
Strategic
Objective Setting
Event Identification
Operation
Component
Objective
Risk Assessment
Risk Response
Reporting
Control Activities
1 2 3 Pre Audit
Pengumpulan Evaluasi Profile Penetapan Fokus (Individual Audit Plan)
Informasi Risiko Audit
2 Bukti Audit
3 Teknik Audit
Audit Rating
Bukti audit adalah semua data dan informasi yang dapat dipakai oleh auditor
untuk mendukung temuan auditnya.
Auditor harus memperoleh bukti yang cukup, kompeten, dan relevan untuk
mendukung penyusunan kesimpulan dan rekomendasinya.
Metode ini dipakai untuk populasi dengan variasi yang besar dalam ukuran
c. Stratified Sampling , jumlah atau karakternya. Internal Auditor harus memisahkan populasi ke
dalam dua atau lebih tingkatan dan kemudian mengambil sample dari
masing-masing tingkatan.
Metode ini digunakan apabila populasi terlalu menyebar dan terpencar sehingga
d. Cluster Sampling terlalu memakan banyak waktu untuk menggunakan metode random number
yang biasa.
Cluster sampling dilaksanakan dengan memilih acak unit-unit dalam kelompok,
lalu kelompok itu sendiri diaudit secara keseluruhan/diambil sample.
Kelompok bisa berupa kelompok bulan, tanggal, lokasi penyimpanan,
tumpukan,batch dan lain-lain.
e. Haphazard Sampling Merupakan metode pemilihan sample tanpa memperhatikan bias atas karakteristik
sample. Internal Auditor dapat mengambil dokumen yang manapun dengan
mengabaikan informasi seperti nomor referensi, jumlah nominal, mata uang, tanggal
dokumen, dll.
High 1 2 3 to 5 10 to 15
Medium-High 1 2 3 to 4 8 to 12
Medium Annually 1 Quarterly 1 Monthly 2 to 4 Weekly 6 to 8
Low-Medium 1 1 2 to 3 4 to 6
Low 1 1 1 to 2 2 to 4
Tujuan
Audit Rating Menilai efektivitas internal control pada
adalah nilai atau kesimpulan yang suatu Unit Kerja, produk, aplikasi,
diperoleh dari hasil evaluasi kualitas SPI aktivitas dalam rangka mencapai
(internal control), termasuk risk tujuan bank
management dan governance process
pada satu periode tertentu atas suatu
obyek audit (Unit Manfaat
Kerja/produk/aplikasi/aktivitas). Audit 1. informasi yang menggambarkan
rating menggambarkan kekuatan/kelemahan internal control
kekuatan/kelemahan internal control dari dan dapat diperbandingkan diantara
obyek audit. unit kerja.
2. dasar untuk perbaikan internal
control Unit Kerja.
3. salah satu dasar pengkinian
(update) profil risiko (risk profile).
4. sebagai salah satu dasar untuk
menetapkan prioritas, jangka waktu
dan frekuensi audit berikutnya
# Risk description Likelihood Impact IMIR Likelihood Impact RDRR1 RAPR OK? CDES
1 Tanggal jangka waktu kredit di ”Perjanjian Kredit”
3,79 4,21 16 1,71 2,21 4 1 No 12
tidak sama dengan di Sistem
2 Pengisian varian bunga kredit KAD tidak diisi sesuai
2,86 4,36 12 1,79 2,36 4 1 No 8
ketentuan
3 Nasabah tidak puas terhadap pelayanan yang
2,57 4,36 11 1,43 2,00 3 1 No 8
diberikan
diformalkan
4
3,71 4,00 15 1,71 1,79 3 1 No 12
Belum
5
4,07 3,07 13 2,00 1,86 4 1 No 9
6
3,00 4,00 12 1,79 1,71 3 1 No 9
7 3,00 4,00 12 2,00 1,71 3 1 No 9
8
3,00 4,00 12 1,71 2,36 4 1 No 8
9 3,36 3,57 12 1,86 2,14 4 1 No 8
10
2,57 4,00 10 1,71 1,50 3 1 No 7
the risk appetite is 1 pending Management action Risk Appetite has Controls failed (indicated
not been formalized as “NO”) the operational
effectiveness test, i.e.
Control Activities-based Assessment: based on audit fieldwork
For: CA, IC, M
Organization Unit:
COSO Components:
Risk Controls IHRR Calibrated per Audit
Assessment Ctrl Assessment Rating
Audit Rating System
Ctrl Partially Criticality Control CARR: Rating Label Risk Weighted %-age
Ctrl Not Effective Ctrl Effective Factor Assessment per Risk
Rating) Control Rating
Effective Rating per
for RRS per Risk
(1) (3)
(2) Control
33 21.9 66%
Rating Label per Audit Object: FAIR
Manajemen risiko dan proses kontrol memadai di seluruh aspek material. Unit Kerja telah
memitigasi risiko dengan baik, termasuk fraud risk.
Manajemen risiko dan proses control tidak memadai di banyak aspek material, dan
dibutuhkan perbaikan spesifik secara menyeluruh.
Metodologi RBA akan memperkuat peran Internal Audit dalam mendukung penerapan Good
Governance Bank Mandiri
Hasil audit RBA akan mempertajam risk profile unit kerja dan Bank Mandiri secara bankwide
Keterlibatan unit bisnis dalam proses RBA akan meningkatkan risk awareness.
Internal Audit dan Risk Management secara berkesinambungan melakukan alignment untuk
menjaga lingkungan pengendalian yang kuat untuk memastikan pertumbuhan perusahaan
yang sustainable.
2008 Perusahaan Sangat Bank Of The Year 2008 Overall Best Managed The Best Bank In
Terpercaya Peringkat Pertama
Indonesia Company in Indonesia – Indonesia 2009
Corporate Governance kualitas layanan (2008-
Large Cap
Perception Index 2009)