MANAJEMEN RISIKO PERUSAHAAN

Enterprise Compliance Issues Today

Diajukan untuk Melengkapi Tugas Manajemen Risiko Perusahaan

Oleh:
Qari Nur Islami (2001203010007)

Dosen Pengampu:

Dr. Islahuddin, S.E., Ak., M.Ec

PPPPpPPP

PROGRAM STUDI MAGISTER AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS SYIAH KUALA
DARUSSALAM-BANDA ACEH
2021
 ENTERPRISE COMPLIANCE ISSUES TODAY

Chapter ini akan mengeksplorasi teknik bagi suatu perusahaan untuk menilai
persyaratan kepatuhan saat ini dan kemudian menetapkan proses untuk memantau
kepatuhannya terhadap aturan dan peraturan signifikan yang mempengaruhi operasinya.
Program kepatuhan yang kuat akan membantu membangun budaya dan prinsip GRC yang
efektif. Suatu perusahaan mungkin tidak akan pernah sepenuhnya mematuhi berbagai aturan
dan prosedur yang sering kali bertentangan, tetapi perusahaan harus mengembangkan
program agar secara umum sesuai dengan aturannya yang paling penting dan signifikan.

COMPLIANCE ISSUES TODAY (masalah kepatuhan hari ini)

Baru-baru ini, kepatuhan menjadi isu utama di Amerika Serikat dan di seluruh dunia
dengan runtuhnya perusahaan besar seperti Enron dan WorldCom dan investigasi yang
mengarah pada Sarbanes-Oxley Act (SOx). Audiensi yang mengarah ke undang-undang SOx
mengidentifikasi bahwa beberapa aturan kepatuhan yang ada diabaikan atau tidak ada aturan
di bidang lain. Sebagai hasil dari SOx dan otoritas baru, Dewan Pengawas Akuntansi
Perusahaan Publik (PCAOB), beberapa aturan baru ditetapkan untuk pelaporan dan audit
keuangan, kantor akuntan publik, tata kelola dewan, dan banyak lagi.

Tingkat dan kompleksitas aturan kepatuhan baru ini terus berlanjut. Misalnya, pada
pertengahan 2010, Kongres AS mengesahkan RUU reformasi keuangan Dodd-Frank yang
menetapkan banyak aturan baru untuk bank, serikat kredit, dan lembaga keuangan lainnya di
Amerika Serikat. Saat buku ini diterbitkan, peraturan baru dan panjang ini masih dalam
proses penyusunan. Namun, ini adalah contoh lain dari tantangan kepatuhan besar-besaran
yang akan dihadapi banyak lembaga keuangan AS.

Perusahaan harus mengembangkan program kepatuhan secara keseluruhan untuk

mengidentifikasi aturan baru dan yang sudah ada, untuk mengidentifikasi dan mengurangi
risiko pelanggaran aturan tersebut, dan untuk secara cepat dan efektif memperbaiki setiap
pelanggaran yang mungkin terjadi. Program kepatuhan yang berhasil akan melahirkan
budaya kepatuhan dalam suatu perusahaan dan membantunya menjadi atau tetap menjadi
warga perusahaan yang baik. Tidak ada program kepatuhan generik tunggal karena keadaan
setiap perusahaan berbeda. Tergantung pada ukuran dan profil risiko perusahaan, program
kepatuhan dapat sesederhana menerapkan sistem penanganan keluhan yang efektif dan
memberikan pelatihan praktik perdagangan yang disesuaikan dengan aktivitas bisnis kepada
semua staf yang relevan; atau bisa lebih komprehensif dan mencakup kegiatan berikut:

 Membentuk atau membentuk tim staf kepatuhan yang berdedikasi.

 Melakukan penilaian risiko kepatuhan praktik perdagangan dan tinjauan program
kepatuhan secara teratur.
 Rancang panduan dan prosedur terperinci untuk berbagai unit bisnis yang menghadapi
semua risiko operasional, keuangan, atau praktik perdagangan yang unik.
 Membangun sistem untuk melacak persyaratan hukum dan peraturan perusahaan.
 Mengembangkan dan memelihara program pendidikan staf terkait kepatuhan.

Apa pun jenis dan jenis program kepatuhan, program tersebut harus dikelola dengan
baik, sumber daya yang memadai, didokumentasikan dengan baik, dan didukung secara aktif
oleh dewan dan manajemen senior.

ESTABLISH A COMPLIANCE ASSESSMENT TEAM (Bentuk Tim Penilaian

Kepatuhan)

Biasanya ada tiga kelompok fungsi yang berbeda yang harus memiliki tanggung
jawab untuk memantau dan mengarahkan kinerja kepatuhan perusahaan: hukum, audit
internal, dan fungsi penilaian kepatuhan khusus lainnya. Jenis penilaian kepatuhan yang
terakhir ini lebih merupakan jenis fungsi kaki di lapangan yang lebih memahami area operasi
khusus seperti masalah pada persyaratan ekspor untuk menangani beberapa produk khusus
atau keluhan pelanggan melalui jenis saluran telepon sistem rujukan telepon tentang kualitas
produk atau aturan kepatuhan harga. Ada perbedaan yang signifikan antara fungsi kepatuhan
khusus perusahaan, departemen hukum, dan audit internal.

Seringkali ada tumpang tindih yang signifikan antara fungsi kepatuhan dan hukum.
Kedua departemen ini berbagi tanggung jawab untuk memastikan perusahaan mematuhi
kewajiban hukum dan peraturannya dan akan sering bersama-sama menjalankan fungsi yang
disebutkan di atas. Di beberapa industri, seperti di industri jasa keuangan, departemen hukum
perusahaan sering menjalankan fungsi hukum dan kepatuhan. Namun, secara umum, fungsi
kepatuhan tidak dapat bertindak sebagai perwakilan hukum bagi organisasi dan oleh karena
itu tidak menyusun dokumentasi kontrak, bertindak dalam litigasi, atau memberikan pendapat
hukum formal. Sebuah departemen hukum perusahaan umumnya bertindak dalam kapasitas
perwakilan atau penasihat dan tidak terlibat dalam administrasi sistem dan prosedur atau
dalam pemantauan dan pengawasan mereka. Ini semua adalah fungsi yang diperlukan untuk
fungsi kepatuhan yang efektif.

Audit internal adalah fungsi pengendalian risiko yang bertanggung jawab, antara lain,
untuk menguji kecukupan sistem pengendalian internal dan merekomendasikan perbaikan.
Tak pelak, ini akan tumpang tindih dengan beberapa area yang juga termasuk dalam
tanggung jawab fungsi kepatuhan. Namun, audit internal umumnya melakukan tinjauannya
berdasarkan rencana tahunan dan memilih area yang akan ditinjau berdasarkan sampel audit
dan basis pengujian, sedangkan pemantauan dan pengawasan yang dilakukan oleh fungsi
kepatuhan umumnya harus dilakukan secara real-time.

Penasihat umum fungsi hukum atau chief audit officer (CAO) akan sering membuat
kasus untuk menetapkan fungsi kepatuhan perusahaan semacam itu. Pembenaran untuk unit
organisasi pemantauan dan pengendalian kepatuhan dapat didasarkan pada: (1) proposisi
yang terbukti dengan sendirinya bahwa perusahaan harus mengambil langkah-langkah untuk
mematuhi kewajiban hukum atau menghadapi tanggung jawab pidana dan/atau perdata atas
pelanggaran; mereka harus ''mematuhi atau mati''; (2) kebutuhan akan pembelaan uji tuntas
menurut undang-undang; (3) kewajiban hukum dan hukum umum direksi/pejabat untuk
melakukan kehati-hatian yang wajar; (4) tugas direksi untuk meyakinkan diri mereka sendiri
bahwa mereka cukup diberitahu tentang peristiwa material mengenai perusahaan, termasuk
kemungkinan pelanggaran kewajiban hukum olehnya; (5) penghindaran tanggung jawab
pidana korporasi atas pelanggaran yang dilakukan oleh oknum pejabat dan pegawai; (6)
pengurangan sanksi jika terjadi pelanggaran; (7) pemeliharaan integritas pasar; dan (8)
berbagai persyaratan hukum menurut undang-undang.

Unsur penting dari program kepatuhan yang efektif adalah:

 Komitmen total oleh manajemen senior tentang perlunya fungsi kepatuhan formal.
 Kebijakan kepatuhan, termasuk pernyataan yang jelas tentang komitmen perusahaan
untuk mematuhi undang-undang, peraturan, kode, dan standar organisasi yang
berlaku. Kebijakan ini perlu dipahami dan ditindaklanjuti oleh mereka yang bekerja
untuk perusahaan, baik internal maupun eksternal. Tampilan 7.1 adalah contoh
pernyataan kebijakan kepatuhan dari perusahaan besar sebagai salah satu dari banyak
yang dapat ditemukan dipublikasikan di Web.
  Prosedur operasional terkait kepatuhan yang akan mengatasi masalah yang
diidentifikasi melalui audit dan memastikan pelanggaran hukum akan dihindari.
Biasanya, materi panduan kepatuhan ini harus terdiri dari, namun tidak terbatas pada:
(1) prosedur terdokumentasi untuk mendukung proses kepatuhan, seperti identifikasi
kewajiban hukum yang sedang berlangsung, program pelatihan praktik perdagangan,
pemantauan dan pelaporan pelanggaran, kebijakan/kode disiplin. dan penanganan
pengaduan; (2) prosedur uji tuntas untuk memastikan materi promosi perusahaan
tidak menyesatkan atau menipu; (3) program insentif dan penghargaan bagi karyawan
yang rajin mematuhi hukum; (4) pemeriksaan kontrak praktik perdagangan oleh
komite internal dengan keahlian di bidang kontrak.
 Program aktif dan berkelanjutan untuk mempertahankan proses kepatuhan. Program
dan sistem kepatuhan harus dipantau, dipelihara, didokumentasikan dengan baik, dan
dikomunikasikan kepada staf untuk memastikan program tetap efektif dan efisien.
Pemeliharaan program kepatuhan harus mencakup audit kepatuhan internal yang
teratur dan berkelanjutan untuk memastikan bahwa kegagalan kepatuhan
diidentifikasi dan ditangani secara proaktif serta dengan tinjauan eksternal reguler—
mungkin dua tahunan—oleh seseorang dengan keahlian independen untuk
memastikan bahwa sistem dipelihara dengan baik. dan memenuhi persyaratan
peraturan saat ini. Selain itu, harus ada hubungan berkelanjutan dengan otoritas
regulasi yang sesuai.

Aktivitas perusahaan kita diatur oleh undang-undang dan undang-undang nasional dan lokal
yang menempatkan serangkaian kewajiban pada Bayer Group dan karyawannya di seluruh
dunia. Bayer mengelola bisnisnya secara bertanggung jawab sesuai dengan persyaratan
undang-undang dan peraturan negara tempat ia beroperasi.
Bayer mengharapkan perilaku yang sempurna secara hukum dan etika dari semua
karyawannya dalam operasi bisnis sehari-hari, karena cara mereka menjalankan tugas
memengaruhi reputasi perusahaan. Dengan memastikan dialog reguler antara karyawan dan
supervisor mereka dan menyediakan kursus pelatihan yang melibatkan petugas kepatuhan
yang bertanggung jawab, perusahaan berupaya untuk memperkenalkan karyawannya dengan
berbagai persyaratan undang-undang dan peraturan negara tempat mereka bekerja yang
relevan bagi mereka. Ini meletakkan dasar untuk mengelola bisnis secara bertanggung jawab
dan sesuai dengan hukum yang berlaku masing-masing.
Dewan manajemen grup telah merangkum dalam kebijakan kepatuhan korporatnya bidang-
 bidang di mana pelanggaran hukum yang berlaku dapat memiliki konsekuensi merugikan
yang sangat serius, baik bagi seluruh perusahaan maupun bagi karyawan individu. Prinsip-
prinsip yang ditetapkan dalam kebijakan ini dirancang untuk memandu karyawan dalam
tindakan terkait bisnis mereka dan melindungi mereka dari potensi pelanggaran. Pesan
intinya menyangkut kebutuhan untuk:
 Patuhi peraturan antimonopoli.
 Memastikan integritas dalam transaksi bisnis.
 Perhatikan prinsip-prinsip keberlanjutan.
 Pisahkan kepentingan bisnis dan pribadi secara ketat.
 Pastikan kondisi kerja yang adil dan terhormat di dalam perusahaan.
Karyawan dapat menghubungi supervisor mereka masing-masing atau petugas kepatuhan
setempat untuk mendapatkan dukungan dan nasihat dalam memastikan perilaku yang
mematuhi hukum dalam situasi bisnis tertentu.
Setiap perusahaan grup dengan operasi bisnis memiliki setidaknya satu petugas kepatuhan
lokal. Beberapa perusahaan asing memiliki beberapa petugas kepatuhan lokal dengan
tanggung jawab yang jelas untuk unit bisnis yang berbeda. Tanggung jawab utama setiap
pejabat kepatuhan lokal meliputi:
 Memberikan saran kepada unit bisnis operasional.
 Menilai risiko.
 Menjalankan atau mengatur program pelatihan kepatuhan, menyelidiki setiap laporan
tentang kemungkinan pelanggaran kepatuhan, dan memulai tindakan korektif yang
sesuai.
 Memenuhi kewajiban pelaporan tingkat grup terhadap kepala petugas kepatuhan
subkelompok di perusahaan manajemen grup.
Petugas kepatuhan subkelompok kepala pada gilirannya melapor kepada petugas kepatuhan
kelompok, yang ditunjuk oleh dewan manajemen kelompok. Setidaknya setahun sekali,
petugas kepatuhan kelompok dan kepala audit perusahaan melaporkan kepada komite audit
dewan pengawas atas setiap pelanggaran kepatuhan yang telah diidentifikasi.
 Isu kepatuhan perusahaan kini telah menjadi bagian permanen dari target kinerja yang
disepakati dengan anggota tim kepemimpinan Bayer. Berdasarkan posisi mereka, para
eksekutif ini memiliki kewajiban khusus untuk memberi contoh kepada karyawan mereka,
menyebarkan pesan kepatuhan secara lebih luas di dalam perusahaan mereka, dan mengambil
langkah-langkah organisasional untuk menerapkannya. Mulai tahun 2010, seorang anggota
tim kepemimpinan mungkin diminta untuk membayar kembali penghargaan insentif jangka
pendek yang diberikan hingga lima tahun sebelumnya jika pelanggaran sistematis terhadap
hukum yang berlaku yang menyebabkan kerugian finansial bagi Bayer dilakukan dalam satu
tahun atau lebih oleh seorang pelaporan langsung dan tindakan yang tepat oleh anggota tim
kepemimpinan dapat mencegah pelanggaran.
GAMBAR 7.1 Pernyataan Kepatuhan Perusahaan: Bayer Group
Sumber: Pernyataan ini diadaptasi dan dimodifikasi dari pernyataan berbasis Web oleh Bayer
AG di www.bayer.com/en/corporate-compliance-policy.aspx

COMPLIANCE RISK ASSESSMENTS AND COMPLIANCE PROGRAM REVIEWS

(Penilaian Risiko Kepatuhan Dan Tinjauan Program Kepatuhan)

Tampilan 7.2 menunjukkan aturan perusahaan versus kerangka kepatuhan. Sumbu

horizontal menunjukkan tingkat kepatuhan perusahaan terhadap aturan dan peraturan
kepatuhan, mulai dari kontrol yang sangat ketat di mana perusahaan akan berusaha untuk
secara serius mematuhi semua aturan hingga lingkungan kepatuhan yang longgar di mana
akan ada kecenderungan untuk menjalankan lampu merah ini. Sumbu vertikal mencakup
kompleksitas aturan kepatuhan mulai

dari aturan yang sangat kompleks, seperti yang akan ditemukan di pembangkit listrik
tenaga nuklir, hingga aturan yang lebih terbatas dan langsung. Contoh yang terakhir mungkin
adalah pedagang eceran. Meskipun ada seperangkat aturan lokal hingga nasional yang terus
berkembang di bidang ini, termasuk penetapan harga, pelabelan, dan lainnya, aturan ini
sederhana dibandingkan dengan yang ada di banyak industri lainnya. Sementara rantai ritel
nasional harus mengikuti aturan kepatuhan ini dengan cermat, pengecer lokal yang lebih kecil
mungkin lewat tanpa terdeteksi.
 Perusahaan harus mengidentifikasi area risiko masalah kepatuhan yang mungkin
memiliki dampak signifikan pada mereka dan harus menggunakan risiko yang teridentifikasi
ini untuk menyediakan infrastruktur bagi pengembangan program kepatuhan. Hal ini
memerlukan identifikasi masalah kepatuhan di setiap tingkat perusahaan untuk menentukan
risiko yang signifikan di setiap tingkat. Ini akan berlaku untuk semua kebijakan, prosedur,
aturan, dan peraturan yang berlaku untuk fungsi, proses, dan aktivitas yang terkait dengan
bidang kepatuhan ini. Langkah-langkah berikut mengidentifikasi proses penilaian risiko
kepatuhan:

Langkah 1: Identifikasi Risiko dan Eksposur Kepatuhan

 Menyusun daftar semua risiko kepatuhan yang dapat mempengaruhi keberhasilan

pencapaian tujuan dan sasaran unit kerja.
 Tentukan hukum, aturan, regulasi, kebijakan, atau prosedur yang berlaku yang
mendorong risiko yang teridentifikasi.

Langkah 2: Ukur Risiko Kepatuhan yang Diidentifikasi

 Dampak risiko (juga dalam arti tinggi atau H, sedang sebagai M, atau L untuk
rendah), bila terjadi, terhadap pencapaian tujuan dan sasaran unit kerja.
 Probabilitas risiko menjadi kenyataan (Tinggi, Sedang, atau Rendah).
 Kodekan setiap risiko dengan pengidentifikasi dua karakter, misalnya, HM untuk
dampak tinggi dan probabilitas sedang.

Langkah 3: Prioritaskan Risiko Kepatuhan yang Diidentifikasi

 Prioritas harus didasarkan pada pengukuran gabungan kemungkinan menjadi

kenyataan dan dampaknya terhadap unit kerja.
 Semua risiko yang memiliki ''nilai pengukuran'' HH harus ditempatkan di bagian atas
inventaris risiko, diikuti oleh kelompok HM, HL, MH, MM, ML, LH, LM, dan LL
dalam urutan itu.
 Urutkan urutan setiap kelompok '' nilai pengukuran '' dari yang paling signifikan
hingga yang paling tidak signifikan melalui proses eliminasi berpasangan.

Langkah 4: Kembangkan Matriks Penilaian Risiko untuk Setiap ''Nilai Pengukuran''

Matriks atau jadwal penilaian risiko kepatuhan ini dibahas dalam paragraf berikut.
Langkah 5: Tinjau Matriks Penilaian Risiko

Berikan salinan paket matriks penilaian risiko yang lengkap kepada tingkat
manajemen yang sesuai untuk menilai kebutuhan kepatuhan dan rencana tindakan
untuk memenuhi persyaratan kepatuhan.

Konsep di balik matriks penilaian risiko ini adalah bahwa setiap unit kerja organisasi
atau tingkat anggaran yang signifikan harus menginventarisasi semua kebijakan, prosedur,
aturan, dan peraturan yang berlaku. Hal ini dapat dilakukan dengan menanyakan setiap unit:
''Apa masalah yang Anda kenali, kekhawatiran yang Anda miliki, dan risiko yang Anda
rasakan terkait kepatuhan terhadap undang-undang dan peraturan federal dan negara bagian,
serta kebijakan dan prosedur terkait perusahaan dan sistem di unit kerja ini? ?'' Setelah
mensurvei risiko-risiko ini, tim gabungan dari anggota unit kerja dan staf kepatuhan
perusahaan harus mengidentifikasi pengendalian operasi dan pengawasan atas risiko-risiko
ini dan kemudian menilai masing-masing dampak potensialnya, jika itu terjadi, pada
pencapaian unit kerja. tujuan dan sasaran dengan kriteria sebagai berikut:

 Dampak tinggi. Jika risiko terjadi, unit kerja mungkin tidak akan mencapai tujuannya
atau untuk melakukannya akan memerlukan pengendalian kerusakan yang besar.
 Dampak Sedang. Jika risiko itu terjadi, unit kerja harus melakukan pekerjaan ekstra
atau akan lebih tidak efisien, tetapi tetap dapat mencapai tujuan dan sasarannya.
 Dampak Rendah. Jika risiko itu terjadi, unit kerja akan menyadarinya, tetapi akan
sedikit atau tidak berpengaruh pada operasi atau pencapaian tujuan.

Selain menunjuk unit kerja sebagai penanggung jawab risiko, harus ada satu
karyawan (manajemen atau staf) yang didelegasikan sebagai penanggung jawab pengelolaan
risiko kepatuhan atau area risiko tertentu. Strategi mitigasi kepatuhan kemudian harus
dikembangkan dan disetujui dengan tepat oleh manajemen. Seluruh konsep di sini adalah
untuk memberdayakan unit kerja perusahaan dengan tanggung jawab mereka atas masalah
kepatuhan untuk membantu memastikan perusahaan terus beroperasi sesuai dengan undang-
undang, aturan, dan prosedur utama lainnya.

Sebuah perusahaan membutuhkan proses untuk melacak dan meninjau aktivitas

kepatuhan mereka baik di tingkat perusahaan secara keseluruhan dan oleh departemen
anggaran atau unit kerja individu. Selain itu, selalu ada kebutuhan untuk program pendidikan
di seluruh perusahaan untuk mengkomunikasikan aturan kepatuhan di semua tingkatan serta
proses tindakan korektif untuk melakukan penyesuaian ketika unit kerja ditemukan tidak
sesuai dengan aturan dan peraturan. Bagian berikut membahas masalah ini dengan tujuan
untuk membangun program kepatuhan di seluruh perusahaan yang efektif.

WORK UNIT–LEVEL COMPLIANCE TRACKING AND REVIEW PROCESSES

(Unit Kerja–Proses Pelacakan Dan Peninjauan Kepatuhan Tingkat)

Perusahaan dapat menilai tingkat kepatuhan unit kerja mereka melalui audit internal
berbasis risiko dan program audit mandiri. Tujuan chapter ini bukan untuk menjelaskan
bagaimana merencanakan dan melaksanakan audit internal. Sebaliknya, fungsi audit internal
perusahaan harus membangun prosedur kepatuhan aturan ke dalam audit internal regulernya.

Internal Audit Compliance Reviews (Tinjauan Kepatuhan Audit Internal)

Melaporkan kepada komite audit dewan direksi, departemen audit internal memiliki
tanggung jawab utama untuk menilai status pengendalian internal di berbagai bidang
perusahaan mereka dan untuk melaporkan temuan tinjauan audit internal serta rekomendasi
untuk tindakan korektif kepada manajemen dan komite audit mereka. Mereka biasanya
mendasarkan area yang mereka rencanakan untuk ditinjau pada pendekatan perencanaan
audit internal berbasis risiko dan karena waktu dan sumber daya yang terbatas, mereka akan
cenderung memfokuskan tinjauan mereka pada masalah yang lebih besar, seperti kepatuhan
terhadap aturan kontrol internal SOx.

Tinjauan audit internal sering dilakukan oleh staf anggota departemen audit internal di
lokasi operasi unit kerja. Misalnya, jika suatu perusahaan memiliki serangkaian operasi
manufaktur di berbagai kota kecil, staf auditor internal akan mengunjungi lokasi tersebut
untuk meninjau item yang dipilih dan melakukan tinjauan mereka.

Audit internal yang direncanakan dan program audit yang dikembangkan untuk
mendukung area yang akan dihapus cenderung mendukung masalah pengendalian internal
yang lebih utama, seperti aturan akuntansi internal do-the-debit-equal-the-credit. Masalahnya
adalah ada begitu banyak undang-undang dengan aturan terkait kepatuhan sehingga sangat
sulit untuk mempertahankan tingkat kepatuhan penuh terhadap beberapa aturan yang berlaku
ini. Misalnya, Tampilan 7.3 mencantumkan undang-undang utama terkait ketenagakerjaan
AS yang berlaku pada saat publikasi ini. Hampir semuanya memiliki beberapa jenis
ketentuan kepatuhan.
 Audit internal tentu memiliki pengetahuan, waktu, dan sumber daya untuk meninjau
kepatuhan di masing-masing bidang tersebut ketika meninjau suatu unit kerja. Namun,
pendekatan di sini adalah mencari bantuan untuk mengidentifikasi setiap pelanggaran dalam
daftar ini di mana potensi pelanggaran menghadirkan risiko yang lebih besar bagi unit kerja
yang direncanakan untuk ditinjau. Sebagai contoh, asumsikan bahwa audit internal sedang
merencanakan tinjauan pengendalian internal kantor administrasi pada operasi San Jose dari
perusahaan contoh Global Computer Products yang pertama kali diperkenalkan di Bab 1.
Sebagai langkah perencanaan awal, audit internal dapat bertemu dengan manajemen sumber
daya manusia perusahaan untuk membahas setiap bidang yang menjadi perhatian kepatuhan,
menggunakan daftar di

Tampilan 7.3 sebagai titik awal. Diskusi semacam itu bersama dengan daftar
semacam itu dapat menunjukkan bidang-bidang yang berpotensi menjadi perhatian kepatuhan
yang dapat menghasilkan langkah-langkah tinjauan yang dibangun ke dalam program audit
khusus dengan prosedur tinjauan yang tepat.

Dengan menggunakan daftar Departemen Tenaga Kerja A.S. ini sebagai contoh dari
banyak undang-undang hanya di satu area yang mungkin memiliki masalah kepatuhan.
Beberapa di antaranya mungkin tidak relevan dengan area tertentu yang dipilih untuk
ditinjau, tetapi audit internal sering kali dapat berfungsi sebagai sumber garis depan untuk
meninjau kepatuhan saat melakukan tinjauan terjadwal di beberapa area. Tentu saja, audit
internal biasanya tidak meninjau area atau lokasi tertentu secara teratur karena keterbatasan
waktu dan sumber daya. Beberapa aturan dapat berubah lagi untuk audit berikutnya beberapa
tahun ke depan. Daftar contoh kami menunjukkan kompleksitas yang sangat besar dan
hampir tidak mungkin untuk mengikuti dan mempertahankan tingkat kepatuhan terhadap
banyak undang-undang dan peraturan.

Compliance Self-Audits (Audit Mandiri Kepatuhan)

Cara efektif untuk menilai kepatuhan di banyak unit kerja perusahaan adalah dengan
meminta manajer di unit operasi melakukan audit mandiri di area operasi dan melaporkan
hasilnya kembali ke fungsi kepatuhan perusahaan atau ke audit internal. Pendekatan ini
bekerja paling baik untuk perusahaan yang lebih besar di mana kepatuhan dapat menjadi
perhatian di beberapa unit kerja tetapi di mana tidak ada waktu, sumber daya, atau tingkat
risiko untuk melakukan beberapa tinjauan. Manajer unit kerja lokal akan diminta untuk
meninjau kepatuhan dalam fungsi mereka sendiri dan melaporkan hasilnya kembali.

Sebagai contoh dan sebagai bagian dari daftar panjang undang-undang yang terkait
dengan ketenagakerjaan dari Tampilan 7.3, ada banyak aturan yang mengharuskan
pemasangan papan reklame aturan ini di area ruang tunggu karyawan. Misalnya, ada
persyaratan hukum bahwa perusahaan yang lebih kecil harus memasang pemberitahuan
papan iklan yang menyatakan bahwa perusahaan itu beroperasi sesuai dengan aturan Undang-
Undang Keselamatan dan Kesehatan Kerja (OSHA) AS. Pemberitahuan tersebut dapat hilang
atau dilenyapkan melalui renovasi atau sejenisnya. Kurangnya mereka dapat menyebabkan
masalah jika seorang inspektur federal berada di tempat untuk beberapa alasan terkait lainnya
dan melaporkan bahwa pemberitahuan tersebut tidak ada. Perusahaan dapat melacak
kepatuhan mereka pada masalah yang lebih kecil dengan mengirimkan pemberitahuan kepada
manajer operasi di setiap unit kerja yang diminati dan meminta mereka untuk menyatakan,
melalui tanggapan email yang ditandatangani, bahwa mereka mematuhi masalah yang
menjadi perhatian.

Kepatuhan audit independen akan memindahkan kepemilikan pemantauan dan

penilaian kepatuhan ke unit bisnis untuk meningkatkan kesadaran dan pemahaman tentang
risiko kepatuhan dalam proses dan aktivitas rutin. Namun, ketika mendelegasikan
kepemilikan pemantauan ke unit bisnis, perusahaan harus memberikan panduan dan
pendidikan tentang persyaratan ini dan menyertakan pemeriksaan kepatuhan dalam audit
internal di masa mendatang.
COMPLIANCE-RELATED PROCEDURES AND STAFF EDUCATION PROGRAMS
(Prosedur Terkait Kepatuhan Dan Program Pendidikan Staf)

Meskipun ada banyak undang-undang dan aturan di tingkat nasional, negara bagian,
lokal, dan seterusnya, staf garis depan di perusahaan mana pun memerlukan beberapa
panduan yang menguraikan aturan kepatuhan dalam format yang mudah dipahami dan
diakses. Bagan alir yang sederhana dan diperbarui yang mencakup proses utama adalah alat
yang berguna untuk menggambarkan proses utama. Dokumentasi proses tersebut harus
dikembangkan dalam format database intranet di mana informasi yang lebih rinci dapat
ditemukan melalui mengklik hyperlink dengan cara yang sama seperti kita meninjau banyak
dokumen Internet hari ini. Meskipun ada banyak format dan gaya yang berbeda untuk
diagram alir, Tampilan 7.4 adalah contoh diagram alir

menggambarkan satu langkah dalam tinjauan manajemen dokumen kunci tertentu.

Sementara pameran ini hanya menunjukkan satu langkah terdokumentasi, biasanya ada
beberapa langkah terdokumentasi lainnya di atas dan di bawah area yang diminati. Misalnya,
Tampilan 7.5 menunjukkan hierarki proses untuk melakukan audit internal. Masing-masing
proses yang dijelaskan ini akan didukung oleh diagram alur yang lebih rinci dan prosedur
lainnya.
ENTERPRISE HOTLINE COMPLIANCE AND WHISTLEBLOWER SUPPORT
(Kepatuhan Hotline Perusahaan Dan Dukungan Whistleblower)

Melampaui prosedur yang kuat dan terdokumentasi dengan baik, pemangku

kepentingan perusahaan memerlukan informasi lebih lanjut untuk dapat memperoleh
pengetahuan tentang status masalah kepatuhan di perusahaan mereka. Fasilitas meja bantuan
sering kali merupakan sumber daya yang berharga di mana pemangku kepentingan dapat

menelepon atau menanyakan sumber daya dan mendapatkan bantuan dengan

pertanyaan. Perusahaan harus mempertimbangkan untuk membentuk fungsi dukungan
informasi kepatuhan atau fasilitas telepon untuk panduan kepatuhan serta untuk pertanyaan
etika dan laporan pelapor. Ini sering disebut hotline. Idenya adalah untuk membuat fungsi
meja bantuan atau layanan untuk masalah kepatuhan yang serupa dengan nomor telepon
fungsi TI yang dapat dihubungi oleh pemangku kepentingan dengan masalah akses sistem,
pengaturan ulang kata sandi, dan masalah terkait lainnya.

Hotline karyawan untuk menyelesaikan pertanyaan pemangku kepentingan tetapi

bukan masalah TI pertama kali didirikan di banyak perusahaan besar mulai pertengahan
1990. Seringkali staf dengan veteran sumber daya manusia yang berpengetahuan, banyak dari
operator sering sangat terampil dalam menjawab masalah sumber daya manusia, seperti
perawatan di tempat kerja. Dengan adanya dugaan pelanggaran, kasus yang tercatat dialihkan
ke pihak lain untuk diselidiki, seperti ke departemen hukum. Dalam beberapa kasus, garis-
garis ini telah berubah menjadi sedikit lebih dari garis-garis “pengadu” perusahaan di mana
banyak keluhan atau pelanggaran kecil dilaporkan.

Sementara aspek help-desk yang lebih ramah dari hotline kepatuhan masih dapat
diterapkan, aturan whistleblower federal mengharuskan fungsi tersebut memiliki proses yang
jauh lebih formal, terutama di bidang-bidang seperti kerahasiaan, persyaratan dokumentasi
untuk semua catatan, dan pemrosesan investigasi yang efisien. . Selain itu, karyawan
memanggil pelapor kepatuhan aturan

tuduhan dilindungi secara hukum dari tuduhan di masa depan. Bagan 7.6 berisi beberapa
pedoman untuk menyiapkan program hotline kepatuhan yang juga akan berfungsi sebagai
sumber informasi dan fasilitas pelanggaran whistleblower.

Keberadaan hotline kepatuhan dan fasilitas whistleblower tidak akan berarti apa-apa
kecuali jika dilengkapi dengan staf yang berpengetahuan luas dan dikomunikasikan serta
“dijual” kepada semua anggota perusahaan. Untuk masalah pelanggaran kepatuhan, cara yang
baik untuk memulai proses ini pada awalnya adalah melalui kode etik karyawan, yang telah
dibahas sebelumnya. Tujuannya adalah untuk menyelidiki dan segera menyelesaikan semua
panggilan—dan khususnya panggilan pelapor pelanggaran kepatuhan—secara internal untuk
menghindari penyelidik dan pengacara dari luar.

ASSESSING THE OVERALL ENTERPRISE COMPLIANCE PROGRAM (Menilai

Program Kepatuhan Perusahaan Secara Keseluruhan)

Masalah kepatuhan sering kali merupakan elemen yang paling sulit dalam
membangun program GRC perusahaan yang efektif. Suatu perusahaan dapat membangun
kerangka kerja tata kelola di mana ia memahami aturan tata kelola yang harus diikuti.
Manajemen risiko agak lebih mudah karena kami telah menetapkan beberapa prosedur yang
baik untuk memperkirakan dan mengambil tindakan untuk mengelola risiko, tetapi kepatuhan
dapat menyebabkan beberapa tantangan besar. Masalah dengan kepatuhan adalah bahwa ada
begitu banyak aturan hukum dan prosedur yang sering saling bertentangan sehingga sulit
untuk menentukan yang paling signifikan atau penting di antara mereka. Tampilan 7.3,
dengan daftar panjang undang-undang Departemen Tenaga Kerja AS, adalah contoh dari
masalah ini. Sulit untuk mengetahui semua aturan yang mungkin sesuai dan kemudian
mengembangkan proses untuk memahami dan mematuhinya.

Dalam chapter ini telah membahas penilaian risiko kepatuhan dan tinjauan program
serta proses pelacakan dan tinjauan kepatuhan di tingkat unit kerja dan seluruh perusahaan.
Perusahaan perlu waspada dalam memahami dan melacak masalah dan masalah kepatuhan
mereka sendiri. Hal ini sering dapat ditingkatkan melalui program pendidikan pemangku
kepentingan terkait kepatuhan yang kuat serta fasilitas seperti sumber daya hotline kepatuhan.