Tugas Resume Chapter 28

GRC Approach
Mata Internal Audit
(Pertemuan ke-12)

Oleh :

Wulan Ruhiyyih Khanum

041711535011

PRODI S1 AKUNTANSUI

FAKULTAS EKONOMI DAN BISNIS

PSDKU UNIVERSITAS AIRLANGGA DI BANYUWANGI

2020
GRC (Governance, Risk, and Compliance)

Dalam singkatan GRC, G memiliki kepanjangan Governance. Governance memiliki

arti mengurus bisnis, memastikan bahwa kinerja perusahaan sesuai dengan regulasi
perusahaan dan keputusan BOD. Governance juga berarti apa yang harus dilakukan oleh
perusahaan (sesuai dengan harapan stakeholder) sehingga setiap karyawan mengetahui arah
operasi perusahaan.

Sedangkan R memiliki kepanjangan Risk. Segala sesuatu yang dilakukan perusahaan

pasti mengandung risiko. Risiko menjadi cara perusahaan untuk melindungi value dari aset
yang ada dan menciptakan value dengan melakukan ekspansi perusahaan secara strategis atau
menambah produk/jasa baru.

C memiliki kepanjangan Compliance. Compliance diartikan sebagai kepatuhan

terhadap hukum dan peraturan yang berkaitan dengan bisnis dan masyarakat. Seringkali, C
diartikan sebagai compliance‘s control. Compliance’s control berarti aktivitas pengendalian
untuk memastikan bahwa perusahaan mematuhi peraturan dan hukum yang berlaku. GRC
tidak hanya berarti apa yang harus dilakukan untuk mengurus bisnis, tetapi sebuah paradigma
untuk membantu perusahaan berkembang ke arah yang lebih baik.

Empat komponen penting dalam pelaksanaan GRC adalah:

1. strategy
2. processes
3. technology
4. people

Importance of GRC Governance

Ketiga prinsip GRC memiliki hubungan yang berkelanjutan dan saling terkait,
ketiganya secara bersama-sama memiliki kedudukan yang sama pentingnya.
Corporate/enterprise governance merupakan peraturan, proses, atau hukum dimana bisnis
dijalankan, diatur, dan dikendalikan. Istilah tersebut juga mengacu pada faktor internal yang
ditentukan oleh officer, stockholders, atau dokumen dan aturan tertulis serta tujuan dasar dari
perusahaan, dan juga pihak eksternal seperti konsumen, klien, dan peraturan pemerintah.

Dari segi operasi perusahaan, kita dapat mendefinisikan enterprise governance

sebagai pertanggungjawaban dan pelaksanaan yang dilakukan oleh dewan, executive
management, dan semua fungsi manajemen dengan tujuan memberikan arahan strategis,
memastikan bahwa tujuan perusahaan tercapai, memastikan bahwa risiko dikelola dengan
baik, dan memverifikasi bahwa sumber daya digunakan secara bertanggung jawab. Tata
kelola merujuk pada proses mengembangkan aturan dan prosedur di seluruh tingkatan dalam
perusahaan, mengkomunikasikan aturan tersebut kepada stakeholders yang terkait,
mengawasi pelaksanaan aturan tersebut, dan memberikan penghargaan dan sanksi
berdasarkan kinerja terkait atau kepatuhan terhadap aturan.

Risk Management Component of GRC

Risk management harus menjadi bagian dari kebudayaan perusahaan secara
keseluruhan, mulai dari Broad of Directors, setiap senior officers, hingga para staf
(mencakup seluruh struktur organisasi dari paling atas hingga paling bawah). Berikut ini
adalah empat langkah yang saling berhubungan dalam proses GRC yang efektif dan risk
management perusahaan:

1. Risk assessment and planning

Perusahaan menghadapi risiko dalam berbagai level. Kita tidak bisa
mengidentifikasikan setiap jenis risiko yang mungkin memberikan dampak bagi
perusahaan, namun analisa mengenai risiko-risiko potensial yang mungkin dihadapi
perusahaan harus selalu dilakukan secara berkelanjutan.
2. Risk identification and analysis
Selain memproyeksikan risiko-risiko potensial, dibutuhkan analisa yang lebih
detail mengenai tingkat kemungkinan terjadinya risiko dan dampak-dampak yang
mungkin terjadi. Risiko yang telah diidentifikasi perlu diukur dampaknya untuk
selanjutnya menentukan mitigation strategy. Mitigation strategy berkaitan dengan
menentukan alternatif terbaik untuk mengurangi atau menghilangkan dampak dari
risiko yang telah teridentifikasi. Risiko yang apabila terjadi dapat diukur total cost-
nya terhadap perusahaan akan menjadi lebih signifikan. Faktor-faktor yang
mempengaruhi terjadinya risiko tersebut juga perlu diidentifikasi.
3. Exploit and develop risk response strategies
Perusahaan harus mengembangkan rencana dan strategi untuk mengembalikan
operasi perusahaan kepada kondisi normal serta memulihkan kondisi perusahaan
seandainya risiko benar-benar terjadi. Hal ini berkaitan dengan menganalisa
opportunity yang berkaitan dengan risiko. Misalnya, apabila perusahaan menemukan
adanya risiko kegagalan produksi karena peralatan produksi yang sudah tua, maka
salah satu opportunity yang ada adalah menggantikan peralatan tersebut dengan
teknologi yang lebih baru dan canggih. Opportunity lain yang mungkin dilakukan
adalah memindahkan lokasi produksi ke lokasi yang lebih baik dan mendukung.
4. Risk monitoring
 Risk monitoring membutuhkan berbagai rangkaian laporan khusus, standar yang
telah dibuat dan dapat diukur, dan fungsi sumber daya manusia yang tekun.
Tujuannya adalah supaya perusahaan dapat terus maju dan hasil dari risk monitoring
dapat digunakan untuk proses risk management selanjutnya.

Risk management harus menciptakan value dan menjadi bagian yang utuh dalam
proses organisasi. Risk management juga harus menjadi bagian dari proses pengambilan
keputusan dan harus disesuaikan terhadap masing-masing perusahaan dengan cara yang
sistematis dan terstruktur supaya dapat menunjukkan ketidakpastian yang dihadapi
perusahaan secara eksplisit. Proses risk management harus dinamis, berulang, responsif
terhadap perubahan, dan dapat terus ditingkatkan (continual improvements and
enhancements).

GRC and Enterprise Compliance

Compliance adalah proses mematuhi kumpulan pedoman dan peraturan yang telah
disusun oleh agensi pemerintah, kelompok pembuat standar, atau kebijakan internal
perusahaan. Mematuhi hal-hal tersebut merupakan tantangan bagi perusahaan karena
beberapa isu berikut ini:
1. Sering dibuat regulasi baru
2. Terdapat regulasi tertulis yang samar (tidak jelas) dan membutuhkan interpretasi
sendiri
3. Tidak ada persetujuan mengenai best practices dari pelaksanaan kepatuhan
4. Banyak regulasi yang saling tumpang tindih
5. Regulasi yang terus berubah secara konstan

Compliance merupakan suatu proses yang berkelanjutan (continuous process), bukan

hanya one-time process. Ada lima lingkup dari Compliance yang mempengaruhi berbagai
aspek di perusahaan yaitu: strategi, organisasi, proses, aplikasi dan data, serta fasilitas. Dalam
setiap lingkup dari Compliance tersebut memiliki isu yang harus dipertimbangkan oleh
perusahaan sebagai usaha untuk dapat membangun scope dan approach to compliance. Hal
ini juga disebut dengan Scope of Compliance Architectures Consideration.

1. Strategi
a. Dalam menentukan strategi, perusahaan harus mengikuti peraturan yang relevan
saat ini, terutama di lokasi dan bidang dimana perusahaan bergerak. Contohnya
peraturan
b. Compliance sustainability harus menjadi bagian integral dari seluruh strategi
Compliance.
 2. Organisasi
Struktur organisasi perusahaan harus dibangun untuk memenuhi kebutuhan
spesifik dari setiap peraturan. Contohnya, perusahaan harus memiliki komite audit
yang mempengaruhi lam struktur organisasi sebagai tindak lanjut dari kepatuhan
terhadap peraturan Sarbanes-Oxley Act.

3. Proses
Key processes harus didokumentasikan dan dilaksanakan. Audit atau review
harus dilakukan untuk memastikan proses yang telah didokumentasikan tersebut telah
digunakan secara efektif untuk memenuhi tuntutan atau kebutuhan dari peraturan.
Contohnya pada perusahaan manufaktur. Ada ketentuan ISO untuk produk-produk
yang dibuatnya. Perusahaan harus membuat dokumentasi mengenai sistem produksi
perusahaan yang telah mematuhi ketentuan ISO tersebut dan perlu dilakukan audit
atau review apakah ketentuan ISO tersebut benar-benar telah dilakukan oleh
perusahaan.

4. Aplikasi dan data

a. Aplikasi harus didesain, diimplemantasikan, dan diuji secara berkelanjutan untuk
mendukung tuntutan dari tiap peraturan.
b. Data harus diproteksi dengan tepat dan ditangani sesuai dengan peraturan yang
berlaku.
5. Fasilitas

Fasilitas harus didesain dan tersedia untuk memenuhi tuntutan tiap peraturan
(misalnya peraturan mengenai Pengawasan Tidak Langsung (off-site) yang dilakukan
oleh Bank Indonesia terhadap Lembaga Pengelola Informasi Perkreditan (LPIP). LPIP
wajib memberikan fasilitas akses informasi kepada Bank Indonesia untuk melakukan
pengawasan melalui pemeriksaan (on-site) dan melalui analisis laporan, dokumen,
data dan/atau informasi lainnya (off-site).

Ketika perusahaan dapat melakukan pendekatan konsisten terhadap pencapaian sistem

kepatuhan yang disertai teknologi pendukung, maka perusahaan akan mendapat keuntungan-
keuntungan sebagai berikut:

a. Mengurangi total cost of ownership

Investasi dapat bermanfaat dan menjadi suatu keuntungan dari berbagai
peraturan. Contohnya, banyak peraturan yang menjabarkan dengan rinci persyaratan
dari penyimpanan dokumen, yang dapat dipenuhi dengan sebuah investasi dalam isi
dan catatan pada sistem manajemen.
b. Flexibility
 Salah satu kesulitan dari pelaksanaan sistem Compliance adalah ketika
seringnya muncul peraturan baru dan peraturan yang telah ada menjadi berubah.
Maka dengan menggunakan organization-wide compliance architecture, perusahaan
akan dengan lebih cepat beradaptasi dengan perubahan tersebut karena langkah awal
dalam mewujudkan Compliance telah dikelola secara terpusat;
c. Competitive Advantage
Compliance architecture yang luas dan konsisten dapat membantu perusahaan
untuk dapat memahami dan mengendalikan proses bisnisnya dengan lebih baik yang
membantu juga dalam merespon secara cepat dan tepat terhadap tekanan ekternal dan
internal. Selain itu, peraturan tertentu juga mengandung benefit yang nyata bagi bisnis
dengan mengurangi kebutuhan modal minimum yang mungkin terjadi.

Tugas dan peran AI dalam Governance

Salah satu maksud implementasi GCG (Governance) sesuai dengan pedoman GCG
yang dikeluarkan oleh Komite Nasional Kebijakan Corporate Governance yaitu untuk
memaksimalkan nilai perusahaan bagi pemegang saham dengan cara meningkatkan prinsip
keterbukaan, akuntabilitas, dapat dipercaya, bertanggungjawab, dan adil agar perusahaan
memiliki daya saing yang kuat baik secara nasional maupun internasional serta dengan
demikian mendukung kondisi investasi.

Dengan demikian, eksistensi departemen internal audit itu sendiri merupakan salah
satu wujud implementasi dari GCG. Selain itu, audit internal berperan sangat strategis dalam
membantu manajemen dalam upaya mewujudkan GCG ke dalam praktik-praktik bisnis
manajemen. Definisi pemeriksaan internal menurut Sawyer, dkk (2005:10) adalah: “Sebuah
penilaian yang sistematis dan objektif yang dilakukan auditor internal terhadap operasi dan
kontrol yang berbeda-beda dalam organisasi untuk menentukan apakah:

1. Informasi keuangan dan operasi telah akurat dan dapat diandalkan

2. Risiko yang dihadapi perusahaan telah diidentifikasi dan diminimalisasi
3. Peraturan eksternal serta kebijakan dan prosedur internal yang bisa diterima telah
diikuti
4. Kriteria operasi yang memuaskan telah dipenuhi
5. Sumber daya telah digunakan secara efisien dan ekonomis
6. Tujuan organisasi telah dicapai secara efektif, semua dilakukan dengan tujuan untuk
dikonsultasikan dengan manajemen dan membantu anggota organisasi dalam
menjalankan tanggung jawabnya secara efektif.
 Dalam kaitannya dengan implementasi GCG, audit internal mempunyai peranan yang
sangat besar untuk mendorong terwujudnya pengelolaan bisnis perusahaan yang bersih dan
transparan. Dari pemahaman tentang fungsi pengawasan internal, dapat diketahui bahwa
salah satu tugas audit internal yaitu melakukan review terhadap sistem yang ada untuk
mengetahui tingkat kesesuaiannya dengan peraturan-peraturan eksternal dan prosedur internal
yang ditetapkan termasuk prinsip-prinsip yang tertuang dalam pedoman GCG.