Ai Kita
Ai Kita
Jawaban :
Menurut IIA three lines model memiliki beberapan prinsip, yakni :
1. Tata Kelola
Tata kelola organisasi membutuhkan struktur dan proses yang memadai dan yang
memungkinkan: Akuntabilitas oleh organ pengurus kepada pemangku kepentingan dalam
melakukan pengawasan organisasi dengan integritas, kepemimpinan dan keterbukaan.
Tindakan-tindakan (termasuk mengelola risiko) oleh manajemen untuk mencapai tujuan
organisasi melalui pengambilan keputusan berbasis risiko dan penerapan sumberdaya.
Asurans dan advis oleh fungsi audit internal yang independen untuk memberikan kejelasan
dan keyakinan serta mempromosikan dan memfasilitasi pengembangan berkelanjutan melalui
tanya-jawab yang mendalam dan komunikasi yang berwawasan.
2. Peran organ pengurus
Organ pengurus memastikan: Struktur dan proses-proses yang memadai telah tersedia untuk
pelaksanaan tata kelola yang efektif. Tujuan dan aktivitas organisasi telah selaras dengan
kepentingan utama para pemangku kepentingan. Organ Pengurus: Mendelegasikan tanggung
jawab dan menyediakan sumberdaya kepada manajemen untuk mencapai tujuan organisasi
serta memastikan terpenuhinya kepatuhan terhadap hukum, ketentuan perundang-undangan
dan nilai-nilai etika. Membentuk dan mengawasi fungsi audit internal yang independen,
objektif, dan kompeten, guna memberikan kejelasan dan keyakinan atas progres terhadap
pencapaian tujuan organisasi.
3. Peran Manajemen dan Lini Pertama dan Kedua
Tanggung jawab manajemen untuk mencapai tujuan organisasi mencakup peran lini pertama
dan kedua. Peran-peran lini pertama secara langsung selaras dengan pemberian produk dan
jasa kepada pelanggan organisasi, termasuk fungsi-fungsi pendukung. Peran-peran lini kedua
memberikan bantuan terkait dengan pengelolaan risiko. Peran lini pertama dan lini kedua
dapat dibentuk menjadi satu atau terpisah. Beberapa peran lini kedua dapat ditugaskan kepada
para spesialis yang akan memberikan keahlian pelengkap, dukungan, pemantauan, dan kritik
kepada mereka yang menjalankan peran lini pertama. Peran lini kedua dapat fokus pada
tujuan manajemen risiko yang spesifik, misalnya: kepatuhan terhadap hukum, peraturan, dan
perilaku yang etis; pengendalian internal; keamanan teknologi dan informasi; keberlanjutan;
dan asurans kualitas. Alternatif lainnya, peran lini kedua dapat mencakup tanggung
jawab yang lebih luas dari manajemen risiko, seperti manajemen risiko secara
keseluruhan entitas (ERM – enterprise risk management). Namun demikian, tanggung
jawab untuk mengelola risiko tetap merupakan bagian dari peran lini pertama dan
berada dalam ruang lingkup manajemen. Peran lini kedua dapat mencakup pemantauan,
pemberian advis, bimbingan, pengujian, analisis, dan pelaporan tentang hal-hal yang
berkaitan dengan manajemen risiko. Meskipun peran ini memberikan dukungan dan
tantangan (challenge) bagi mereka yang memiliki peran lini pertama dan merupakan bagian
integral dari keputusan dan tindakan manajemen, peran lini kedua adalah bagian dari
tanggung jawab manajemen dan tidak pernah sepenuhnya independen dari manajemen,
terlepas bagaimanapun jalur pelaporan dan akuntabilitas dari peran lini kedua.
4. Peran Lini Ketiga Audit Internal memberikan asurans dan advis yang independen dan objektif
mengenai kecukupan dan efektivitas tata kelola dan manajemen risiko . Hal ini dapat tercapai
melalui penerapan yang kompeten dari proses-proses, keahlian, dan wawasan yang sistematis
dan terstruktur. Auditor internal melaporkan temuannya kepada manajemen dan organ
pengurus untuk mendorong dan memfasilitasi pengembangan berkelanjutan. Dalam
melaksanakan hal ini, audit internal dapat memepertimbangkan asurans dari penyedia asurans
internal maupun eksternal. Karakteristik yang menentukan dari peran lini ketiga adalah
adanya independensi dari manajemen. Prinsip Prinsip dari Model Tiga Lini menggambarkan
sifat dan arti penting dari independensi audit internal, menetapkan audit internal terpisah
dari fungsi-fungsi lain serta memungkinkan nilai tersendiri dari asurans dan advis yang
diberikan. Independensi audit internal terlindungi dengan tidak membuat keputusan
atau mengambil tindakan yang merupakan bagian dari tanggung jawab manajemen
(termasuk manajemen risiko) dan dengan menolak untuk memberikan asurans atas kegiatan
dimana audit internal memiliki tanggung jawab saat ini, maupun yang baru-baru saja.
Misalnya, di beberapa organisasi, CAE diminta untuk menjalankan tanggung jawab
pengambilan keputusan tambahan atas kegiatan yang menggunakan kompetensi serupa,
seperti aspek kepatuhan hukum atau manajemen risiko perusahaan (ERM). Dalam keadaan
seperti itu, audit internal tidak independen terhadap kegiatan-kegiatan tersebut maupun
hasil-hasilnya, dan oleh karena itu, ketika organ pengurus membutuhkan asurans dan
advis yang independen dan objektif terkait dengan bidang bidang tersebut, maka
pemberian advis tersebut harus dilakukan oleh pihak ketiga yang memiliki kualifikasi
5. Independensi Audit Internal dari tanggung jawab manajemen adalah krusial terkait
keobjektifan, kewenangan, dan kredibilitasnya. Independensi ini dibangun melalui:
akuntabilitas kepada organ pengurus; akses tak terbatas pada sumber daya manusia, sumber
daya organisasi, dan data yang dibutuhkan untuk menyelesaikan pekerjaannya; dan bebas dari
bias atau campur tangan pihak lain dalam perencanaan dan menjalankan kegiatan audit.
6. Menciptakan dan Melindungi Nilai
Semua peran bekerja Bersama secara kolektif berkontribusi dalam menciptakan dan menjaga
nilai dimana semua selaras satu sama lain dan dengan kepentingan yang menjadi prioritas
pemangku kepentingan. Keselarasan aktivitas dicapai melalui komunikasi, kerja sama, dan
kolaborasi. Hal ini memastikan keandalan. Keterkaitan, dan transparansi dari informasi yang
dibutuhkan dalam pembuatan keputusan berbasis risiko.
Secara garis besar peran-peran berikut ini dapat digunakan untuk menekankan Prinsip-prinsip Three
lines model
1. Organ pengurus
● Memiliki akuntabilitas kepada pemangku kepentingan untuk melakukan pengawasan
terhadap organisasi.
● Terlibat dengan pemangku kepentingan untuk memantau kepentingan mereka dan
secara transparan mengkomunikasikan pencapaian tujuan-tujuan organisasi.
● Menumbuhkan budaya yang mengedepankan perilaku etis dan akuntabilitas.
● Membangun struktur dan proses-proses tata kelola, termasuk komite penunjang yang
dipersyaratkan.
● Mendelegasikan tanggung jawab dan menyediakan sumberdaya kepada manajemen
untuk dapat mencapai tujuan organisasi.
● Menentukan selera risiko organisasi dan menjalankan pengawasan manajemen risiko
(termasuk pengendalian internal)
● Menjaga pengawasan atas kepatuhan terhadap hukum, peraturan dan nilai-nilai etika.
● Membangun dan mengawasi fungsi audit internal yang independen, objektif dan
kompeten.
2. Manajemen
- Manajemen Peran Lini Pertama
● Memimpin dan mengarahkan tindakan-tindakan (termasuk pengelolaan
risiko) dan penerapan sumberdaya untuk mencapai tujuan-tujuan organisasi.
● Menjaga dialog yang berkelanjutan dengan organ pengurus dan melaporkan
rencana, realisasi dan hasil yang diharapkan dihubungkan dengan pencapaian
tujuan organisasi dan risikonya.
● Mengembangkan dan memelihara struktur dan proses-proses yang memadai
untuk pengelolaan operasional dan risiko (termasuk pengendalian internal).
● Memastikan kepatuhan terhadap hukum, peraturan dan nilai-nilai etika.
- Manajemen Peran Lini Kedua
● Memberikan keahlian penunjang, dukungan, pemantauan dan tantangan
dalam proses mengelola risiko, termasuk: Pengembangan, penerapan, dan
peningkatan berkelanjutan dari praktik-praktik manajemen risiko (termasuk
pengendalian internal) pada level proses, sistem dan entitas. Pencapaian
tujuan manajemen risiko, seperti: kepatuhan terhadap hukum, peraturan, dan
perilaku yang etis; pengendalian internal; keamanan teknologi dan informasi;
keberlanjutan; dan asurans qualitas.
● Memberikan analisis dan laporan-laporan mengenai kecukupan dan
efektivitas manajemen risiko (termasuk pengendalian internal).
3. Internal Audit
● Menjaga akuntabilitas utama kepada organ pengurus dan independensinya dari
pelaksanaan pekerjaan yang menjadi tanggung jawab manajemen.
● Mengkomunikasikan asurans dan advis yang independen dan objektif kepada
manajemen dan organ pengurus mengenai kecukupan dan efektivitas tata kelola dan
manajemen risiko (termasuk pengendalian internal) untuk mendukung pencapaian
tujuan-tujuan organisasi, serta mempromosikan dan memfasilitasi peningkatan yang
berkelanjutan.
● Melaporkan kerusakan independensi dan objektivitas kepada organ pengurus dan
menerapkan pengamanan yang dipersyaratkan.
4. External Assurance Providers
● Penyedia asurans eksternal memberikan asurans tambahan untuk:
- Memenuhi ekspektasi ketentuan legislatif dan peraturan dalam rangka
melindungi kepentingan pemangku kepentingan.
- Memenuhi permintaan manajemen dan organ pengurus untuk melengkapi
sumber asurans internal
Adapun masing-masing hubungan menurut IIA atas peran diatas, yakni :
1. Antara organ pengurus dan manajemen (Peran Lini Pertama dan Kedua)
Organ pengurus umumnya menetapkan arah organisasi dengan mendefinisikan visi, misi,
nilai-nilai, dan selera organisasi terhadap risiko. Organ pengurus kemudian mendelegasikan
tanggung jawab untuk pencapaian tujuan-tujuan organisasi kepada manajemen, berikut
dengan sumberdaya yang diperlukan. Organ pengurus menerima laporan dari manajemen
tentang hasil-hasil yang direncanakan, realisasi (aktual), dan yang diharapkan, serta laporan
tentang risiko dan pengelolaan risiko. Berbagai organisasi memiliki keragaman dalam tingkat
tumpang-tindih dan pemisahan antara organ pengurus dan manajemen. Organ pengurus dapat
lebih ataupun kurang "campur tangan" terhadap hal-hal yang bersifat strategis dan
operasional. Organ pengurus ataupun manajemen dapat mengambil peran dalam memimpin
pengembangan rencana strategis, atau menjadikannya sebagai tugas bersama. Dalam beberapa
yurisdiksi, direktur utama atau kepala eksekutif (CEO, Chief Executive Officer) dapat
menjadi anggota organ pengurus dan bahkan mungkin menjadi ketuanya. Bagaimanapun
bentuknya, perlu ada komunikasi yang kuat antara manajemen dan organ pengurus. Direktur
utama (kepala eksekutif) umumnya menjadi titik fokal guna terciptanya komunikasi ini.
Namun, anggota direksi lainnya dapat juga mempunyai interaksi yang sering dengan organ
pengurus. Organisasi mungkin menginginkan, dan regulatornya mungkin mensyaratkan,
pemimpin peran lini kedua seperti direktur manajemen risiko (CRO, Chief Risk Officer) dan
direktur kepatuhan (CCO, Chief Compliance Officer) untuk memiliki jalur pelaporan
langsung kepada organ pengurus. Kondisi ini sepenuhnya konsisten dengan Prinsip-prinsip
dari Model Tiga Lini.
2. Antara manajemen (Peran Lini Pertama maupun Lini Kedua) dan Audit Internal
Independensi audit internal atas manajemen memastikan audit internal bebas dari hambatan
dan bias dalam merencanakan dan melaksanakan pekerjaannya, memiliki akses tanpa batas
terhadap orang, sumberdaya, dan informasi yang diperlukannya. Audit internal bertanggung
jawab kepada organ pengurus. Namun, independensi bukan berarti menyiratkan isolasi atau
tidak ada hubungan antara keduanya. Harus terdapat interaksi yang regular antara audit
internal dan manajemen untuk memastikan pekerjaan audit internal relevan dan selaras
dengan kebutuhan strategis dan operasional organisasi. Melalui semua kegiatannya, audit
internal membangun pengetahuan dan pemahaman tentang organisasi, yang menyumbang
terhadap asurans dan advis yang diberikan sebagai Terminologi penting Direktur
utama/Kepala eksekutif (CEO, Chief executive officer) - Individu paling senior dalam
organisasi yang bertanggung jawab atas kegiatan operasional sebagai penasihat terpercaya
(trusted advisor) dan mitra strategis (strategic partner). Terdapat kebutuhan untuk
berkolaborasi dan berkomunikasi dari peran-peran lini pertama maupun lini kedua manajemen
dengan audit internal untuk memastikan tidak terjadi duplikasi, tumpang tindih, atau
celah-celah yang tidak diperlukan. Manajemen dan audit internal perlu melakukan interaksi
guna memastikan pekerjaan audit internal relevan dan selaras dengan kebutuhan strategis dan
operasional organisasi.
3. Antara Audit Internal dan organ pengurus
Audit internal bertanggung jawab kepada, dan terkadang dikatakan sebagai "mata dan telinga"
dari, organ pengurus. Organ pengurus berkewajiban mengawasi audit internal, mencakup:
memastikan dibentuknya fungsi audit internal yang independen, termasuk pengangkatan dan
pemberhentian Chief Audit Executive (CAE) menyediakan diri sebagai jalur pelaporan utama
dari CAE; menyetujui rencana audit dan menyediakan sumberdaya; menerima dan
memperhatikan laporan-laporan dari CAE; dan memberikan akses tanpa batas dari CAE
kepada organ pengurus, termasuk sesi privat tanpa kehadiran manajemen.
CAE merupakan individu paling senior dalam organisasi dengan tanggung jawab
menjalankan fungsi audit internal, seringkali disebut sebagai Kepala Audit Internal atau nama
jabatan yang sama.
4. Di antara semua peran
Organ pengurus, manajemen, dan audit internal memiliki tanggung jawab yang berbeda, akan
tetapi semua kegiatannya perlu diselaraskan dengan tujuan organisasi. Syarat untuk koherensi
yang berhasil adalah koordinasi, kolaborasi, dan komunikasi yang teratur dan efektif
Model IIA three lines of defense Sebuah model yang menyajikan tiga garis pertahanan pertahanan
yang bertujuan untuk memastikan bahwa risiko diidentifikasi dan dikelola dengan efektif. Ketiga garis
tersebut adalah:
1. Risk Owner (Pemilik Risiko): Orang atau kelompok yang bertanggung jawab untuk
mengelola risiko dalam suatu organisasi atau disebut pertahanan lapis pertama. Pertahanan
lapis pertama dilaksanakan oleh unit atau komponen atau fungsi bisnis yang melakukan
aktivitas operasional perusahaan sehari-hari, terutama yang merupakan garis depan atau ujung
tombak organisasi. Dalam hal ini mereka diharapkan untuk:
● Memastikan adanya lingkungan pengendalian (control environment) yang kondusif di unit
bisnis mereka.
● Menerapkan kebijakan manajemen risiko yang telah ditetapkan sewaktu menjalankan peran
dan tanggung jawab mereka terutama dalam mengejar pertumbuhan perusahaan. Mereka
diharapkan secara penuh kesadaran mempertimbangkan faktor risiko dalam
keputusan-keputusan dan tindakan-tindakan yang dilakukannya.
● Mampu menunjukkan adanya pengendalian internal yang efektif di unit bisnis mereka, dan
juga adanya pemantauan dan transparansi terhadap efektivitas pengendalian internal tersebut
2. Risk Management (Manajemen Risiko): Proses pengidentifikasian, penilaian, dan
pengendalian risiko dalam organisasi. Pertahanan lapis kedua dilaksanakan oleh fungsi-fungsi
manajemen risiko dan kepatuhan, terutama fungsi-fungsi manajemen risiko dan kepatuhan
yang sudah terstruktur misal: departemen atau unit manajemen risiko dan kepatuhan. Dalam
hal ini, mereka diharapkan untuk:
● Bertanggung jawab dalam mengembangkan dan memantau implementasi manajemen risiko
perusahaan secara keseluruhan.
● Melakukan pengawasan terhadap bagaimana fungsi bisnis dilaksanakan dalam koridor
kebijakan manajemen risiko dan prosedur-prosedur standard operasionalnya yang telah
ditetapkan oleh perusahaan.
● Memantau dan melaporkan risiko-risiko perusahaan secara menyeluruh kepada organ yang
memiliki akuntabilitas tertinggi di perusahaan.
3. Internal Audit (Audit Internal): Proses independen dan objektif yang dilakukan oleh internal
audit dalam organisasi untuk mengevaluasi efektivitas dari sistem pengendalian internal dan
memberikan rekomendasi untuk perbaikan.
Dalam hal ini, fungsi internal audit adalah untuk memberikan jaminan dan pendapat
independen terhadap efektivitas manajemen risiko yang diimplementasikan oleh risk owner
dan risk management. Internal audit juga membantu risk owner dan risk management untuk
memperbaiki kelemahan dalam manajemen risiko dan sistem pengendalian internal. Dengan
memberikan pendapat independen dan rekomendasi perbaikan, internal audit dapat membantu
organisasi untuk mengurangi risiko dan meningkatkan kinerja. Melakukan reviu dan evaluasi
terhadap rancang bangun dan implementasi manajemen risiko secara keseluruhan, dan
Memastikan bahwa pertahanan lapis pertama dan lapis kedua berjalan sesuai dengan yan
diharapkan.
Dalam hal direktur utama terlibat fraud, maka internal auditor dapat melapor kepada komite
audit yang terdiri dari anggota independen dari Dewan Komisaris. Komite audit memiliki
tanggung jawab untuk memastikan bahwa keuangan perusahaan dilaporkan secara transparan dan
akuntabel, serta bahwa manajemen risiko dan sistem pengendalian internal berfungsi dengan baik.
Setelah menerima laporan dari internal auditor, komite audit harus segera mengambil tindakan untuk
menyelidiki dugaan fraud tersebut. Jika terbukti bahwa direktur utama memang terlibat dalam fraud,
maka komite audit harus memberitahu Dewan Komisaris agar mereka dapat mengambil tindakan yang
tepat, termasuk memberhentikan direktur utama dan melaporkan kasus tersebut kepada pihak
berwenang. Di Indonesia, internal auditor juga dapat melapor langsung ke Otoritas Jasa Keuangan
(OJK) jika dugaan fraud yang dilakukan oleh direktur utama berkaitan dengan kegiatan perbankan
atau lembaga keuangan. OJK memiliki wewenang untuk melakukan investigasi lebih lanjut dan
mengambil tindakan yang diperlukan sesuai dengan peraturan perundang-undangan yang berlaku.
b. Peran risk owner dan risk management dalam membuat internal audit
berdasarkan audit plan → risk-based Audit
Jawaban
Risk Owner dan Risk Management memiliki peran penting dalam membuat Audit Plan atau
rencana audit internal. Risk Owner bertanggung jawab untuk mengidentifikasi, mengevaluasi,
dan mengelola risiko yang terkait dengan unit kerja atau area fungsional yang mereka pimpin.
Risk Owner harus memahami risiko-risiko yang terkait dengan unit kerja mereka dan
memberikan kontribusi untuk menyusun Audit Plan dengan memprioritaskan risiko-risiko
yang harus diaudit. Risk Management, di sisi lain, bertanggung jawab untuk menyusun
kebijakan manajemen risiko perusahaan serta menyediakan panduan dan prosedur terkait
dengan manajemen risiko. Risk Management juga harus memantau dan mengevaluasi
efektivitas dari kebijakan dan prosedur tersebut secara berkala. Dalam membuat Audit Plan,
Risk Management juga harus memberikan masukan terkait risiko-risiko yang harus diaudit.
Kedua stakeholder tersebut harus bekerja sama dengan tim audit internal dalam menyusun
Audit Plan. Risk Owner dan Risk Management dapat memberikan informasi dan masukan
yang diperlukan untuk memprioritaskan risiko-risiko yang harus diaudit serta memberikan
pandangan yang lebih luas terkait dengan proses bisnis dan risiko-risiko yang terkait dengan
perusahaan secara keseluruhan. Dalam menciptakan manajemen risiko yang efektif bagi
organisasi, fungsi manajemen risiko berkolaborasi dengan fungsi internal audit. Dalam
konteks ini, Audit Plan harus disusun secara terintegrasi dan didasarkan pada risiko-risiko
yang diidentifikasi dan dinilai secara matang oleh Risk Owner dan Risk Management. Audit
Plan juga harus disusun dengan mempertimbangkan prioritas dan sumber daya yang tersedia
agar dapat memberikan hasil yang efektif dan efisien. Tugas inti auditor internal berkaitan
dengan manajemen risiko adalah untuk memberikan kepastian bahwa kegiatan manajemen
risiko telah berjalan dengan efektif dalam memberikan jaminan yang wajar terhadap
pencapaian sasaran organisasi. Dua cara penting untuk menjalankan tugasnya adalah dengan:
memastikan bahwa risiko utama dari bisnis telah ditangani dengan baik, memastikan bahwa
kegiatan manajemen risiko dan pengendalian internal telah berjalan dengan efektif.
Hal yang perlu disoroti dari Gambar adalah “tanggung jawab kegiatan manajemen
risiko yang tidak boleh didelegasikan kepada internal audit”. Untuk menjaga
efektivitas kegiatan audit internal, tanggung jawab yang diberikan terhadap auditor
internal terkait kegiatan manajemen risiko harus didesain agar tidak mengganggu
independensinya. Hal ini dikarenakan internal audit memiliki peran penting dalam
melakukan pengawasan, pemantauan, dan penilaian terhadap efektivitas pengendalian
internal dan kegiatan manajemen risiko organisasi. Pemberian tanggung jawab kepada
auditor internal untuk menentukan risk appetite, membentuk risk management
process, dan sebagainya dapat menimbulkan clash of interest yang berpotensi untuk
mengganggu penilaian mereka pada efektivitas manajemen risiko.
- Pemegang saham
- Dewan Komisaris (BOC)
Hubungan:
BOC
BOD
Setidaknya harus ada satu direktur warga negara Indonesia atau lokal yang ada di BOD
Operational/Technical Audit
Tujuan umum dari audit adalah untuk mereview efektivitas, efisiensi dan nilai ekonomi
aktivitas manajemen. Selain audit keuangan, yang sudah menjadi kebutuhan mendarat
bagi suatu organisasi, manajemen juga perlu merencanakan Technical (Operational)
Audit. Technical Audit bertujuan untuk memastikan keberlangsungan
(sustainability) dari aktivitas produksi dan distribusi perusahaan.
Berbeda dengan audit atas laporan keuangan yang telah mapan dengan berbagai
ketentuan accounting dan auditing standard, Technical Audit saat ini masih berapa dalam
proses pengembangan. Technical audit adalah audit yang dilakukan oleh auditor,
insinyur, atau ahli bidang studi yang mengevaluasi kekurangan atau bidang
perbaikan dalam suatu proses, sistem, atau proposal.
Modul COSO ERM terbaru dikeluarkan pada Juni 2017 dengan Judul COSO Enterprise Risk
Management – Integrating with Strategy and Performance.
Pada modul terbaru ini dijelaskan COSO ERM 2017 memiliki tiga topik besar diantaranya:
pengintegrasian strategi dengan kinerja, pentingnya strategi sinkronisasi dengan kinerja, serta
pengukuran perbedaan ERM dengan pengendalian internal.
1. Integrasi
Mengintegrasikan ERM dengan bisnis praktis akan menjadikan sebuah informasi lebih
baik untuk meningkatkan kualitas keputusan dan mengarah pada peningkatan kinerja.
COSO ERM membantu organisasi mengantisipasi sedini mungkin, membuka peluang
dalam memitigasi risiko, menawarkan pilihan serta peluang baru, meningkatkan rasa
kepercayaan atas informasi yang diterima serta kualitas laporan yang dihasilkan lebih
komprehensif.
2. Penekanan pada Nilai
Penekanan pada nilai sebagaimana entitas/ perusahaan menciptakan dan merealisasikan
nilai tersebut. Nilai yang dimaksud adalah menjiwai kerangka kerja seperti: menonjolkan
fungsi ERM, memiliki prinsip diskusi yang luas, memiliki hubungan dengan potensi
risiko, fokus pada kemampuan untuk mengelola tingkat risiko.
3. Strategi
Melakukan eksplorasi pada strategi menggunakan tiga perspektif yang berbeda yaitu:
Strategi yang memungkinkan dan sesuai dengan bisnis, penerapan strategi yang telah
ditentukan dan risiko atas strategi.
4. Kinerja
Fokus bagaimana risiko secara integral berdampak pada kinerja yang disebabkan oleh
identifikasi ERM dan penilaian risiko atas kinerja. Mendiskusikan tingkat daya atas
kinerja.
5. Kesadaran Pentingnya Budaya
Mengarah pada peningkatan perhatian dan budaya menggunakan ERM hingga pada level
dimana melakukan eksplor atas kolaborasi budaya individu dengan entitas.
6. Kualitas Keputusan
Mengeksplorasi bagaimana ERM mengatur keputusan untuk pengambilan keputusan.
Memberikan gambaran bagaimana peringatan risiko memiliki dampak pada kinerja.
7. Membentuk Pengendalian Internal
Pengendalian internal dan pengawasan dilakukan untuk meningkatkan kepastian dan
jaminan bahwa seluruh proses sistem telah berjalan sesuai dengan ketentuan dan aturan
yang berlaku.
Selain itu dengan melakukan pengendalian internal bisa mendorong informasi yang berjalan
secara transparan serta bersifat akuntabel yang dikerjakan berdasarkan pedoman yang ada, oleh
sebab itu diperlukan pengendalian internal yang menggunakan pedoman berupa COSO Internal
Control – Integrated Framework.
Risk
Risiko adalah bahaya, akibat atau konsekuensi yang dapat diperkirakan untuk terjadi selama
waktu tertentu akibat sebuah kejadian yang membahayakan (contoh: kecelakaan) atau kejadian
yang akan datang. Dalam prakteknya, biasanya jumlah risiko dikategorikan ke sejumlah
tingkatan kecil karena probabilitas maupun bahaya tidak dapat diperkirakan dengan akurat dan
presisi.
Secara statistikal, risiko merupakan kombinasi dari likelihood dan consequence. Likelihood ialah
kemungkinan dalam suatu periode waktu dari suatu resiko akan muncul. Perhitungan
kemungkinan yang sering digunakan adalah frekuensi. Consequence ialah akibat dari suatu
kejadian yang biasanya dinyatakan sebagai kerugian dari suatu resiko. Oleh karena itu,
perhitungan resiko dilakukan dengan mengalikan nilai likelihood dengan consequence.
Lalu apa itu Risk Matrix? Risk Matrix adalah matriks yang digunakan selama risk assesment
untuk menentukan berbagai berbagai tingkatan risiko sebagai produk dari kategori probabilitas
bahaya atau keparahan.[2 59] Risk matrix adalah alat yang sangat efektif yang dapat berhasil
digunakan Manajemen Senior untuk meningkatkan kesadaran dan visibilitas risiko, sehingga
pengambilan keputusan suatu risiko dapat dibuat.
Risk Matrix
Ada dua dimensi dalam Risk Matrix. Dimensi tersebut menunjukkan seberapa parah dan
kemungkinan suatu kejadian tidak diinginkan. Dua dimensi ini kemudian membentuk matriks.
Kombinasi probabilitas dan tingkat keparahan akan memberikan kejadian apapun sebuah tempat
di dalam Risk Matrix[3] 122.
Kebanyakan dari Risk Matrix mempunyai paling sedikit 3 bagian atau daerah:
Untuk setiap risiko, Anda harus mengevaluasi probabilitas dan tingkat keparahan (severity) dari
risiko tersebut. Misalnya menggunakan skala dari 1 hingga 10, dimana 1 untuk probabilitas dan
tingkat keparahan paling rendah dan 10 untuk sebaliknya. Evaluasi ini dapat didasari oleh data
historis maupun judgement dari tim manajemen.
Skala tidak berlaku kaku, namun dapat dimodifikasi sesuai dengan keperluan. Jika sudah
menentukan probabilitas dan tingkat keparahan, maka langkah selanjutnya adalah menentukan
treatment pada terhadap risiko tersebut.
Konklusi
Risk matrix adalah alat yang sangat berharga, untuk organisasi mencari proses penilaian risiko
cepat, efektif, dan praktis. Matriks risiko tidak cocok untuk setiap keadaan dan mereka memiliki
keterbatasan tetapi mereka juga memiliki tempat yang jelas di toolbox dari setiap manajer risiko
yang ingin [4]:
Definition:
Penting karena:
- Menentukan karakter dan kualitas sikap dan perilaku yang dilakukan oleh manajemen
dan karyawan terhadap pengendalian internal.
- Memengaruhi seluruh bagian dari perusahaan, termasuk kebijakan, prosedur, dan praktik
bisnis.
- Control Environment mencakup beberapa elemen, seperti nilai-nilai etika dan integritas,
struktur organisasi, tanggung jawab manajemen, komunikasi, dan pengembangan
karyawan. Lingkungan yang kuat dan positif akan memperkuat pelaksanaan
pengendalian internal dalam organisasi dan menambah kepercayaan pemangku
kepentingan terhadap perusahaan.
- Memastikan bahwa sistem pengendalian internal perusahaan efektif dan efisien dalam
mencapai tujuan bisnis.
- Membantu perusahaan dalam mencegah fraud, mempromosikan pengambilan keputusan
yang tepat, dan mempertahankan reputasi perusahaan.
b. kenapa internal audit perlu tau RCM dalam mengembangkan audit programnya?
Risk-Control Matrix (RCM) sangat penting untuk perencanaan audit dan perlu
diketahui oleh Internal Audit karena RCM menyediakan kerangka kerja yang
diperlukan untuk mengidentifikasi, menilai, dan mengelola risiko dalam suatu
organisasi.
RCM adalah alat yang digunakan untuk memetakan risiko pada aktivitas
bisnis dan untuk menentukan apakah kontrol yang tepat telah diterapkan untuk
mengurangi risiko tersebut. RCM diperlukan untuk memahami pengendalian yang
telah diterapkan entitas atas risiko-risiko yang akan menjadi lingkup audit.
RCM yang dibuat auditor akan menjadi panduan untuk menyusun program
kerja auditor. Dalam membangun audit program, Internal Audit harus memastikan
bahwa audit program tersebut secara efektif menangani risiko yang
diidentifikasi. Dengan mengetahui RCM, Internal Audit dapat mengevaluasi apakah
kontrol yang ada telah cukup untuk mengurangi risiko yang diidentifikasi atau apakah
ada kelemahan dalam pengendalian internal yang perlu diperbaiki.
RCM juga dapat membantu Internal Audit dalam menentukan sasaran audit,
mengembangkan rencana audit yang tepat, dan mengidentifikasi area yang
perlu diperiksa secara lebih mendalam. Dengan mengetahui RCM, Internal Audit
dapat memprioritaskan area yang memiliki risiko tinggi dan memfokuskan sumber
daya audit pada area tersebut.
c. Jika ternyata internal control risk tinggi dan matrix risk management adalah
high-high (secara frekuensi kejadian tinggi dan jumlahnya besar) → bagaimana
tindakan internal audit?
Risiko tingkat tinggi harus diprioritaskan, dan tindakan yang tepat harus dirancang
untuk memitigasinya karena potensi dampak finansial dari risiko tingkat tinggi adalah
signifikan. Kegagalan untuk merespons dengan benar dan cepat dapat mengakibatkan
masalah likuiditas dan modal kerja bagi organisasi.
Dari sisi internal audit, ia dapat melakukan:
- Penilaian terhadap pengendalian internal yang ada untuk memastikan
bahwa mereka efektif dan efisien dalam mengelola risiko.
- Memeriksa implementasi dan efektivitas dari program mitigasi risiko yang
ada untuk memastikan bahwa risiko sedang dikelola secara efektif dan
efisien.
- Memonitor implementasi dari rekomendasi yang telah diberikan oleh
Internal Audit sebelumnya untuk memastikan bahwa tindakan perbaikan
yang diusulkan telah diimplementasikan dan efektif dalam mengurangi
risiko.
- Memberikan laporan kepada manajemen tentang hasil audit, rekomendasi
perbaikan, dan status implementasi tindakan perbaikan yang diperlukan.
Week 4 - Professionalism : Ethics and Standards (dora)
- Teori
- Internal audit punya dua fungsi assurance dan consulting → bagaimana saat
mereka melakukan penugasan tidak terjadi conflict of interest (penting karena
internal audit karena saat mengerjakan mungkin pada saat itu internal audit
bekerja sama dengan "risk owner" melakukan pemberesan terkait dengan sistem
manajemen risiko dan internal kontrol. setelah ternyata mereka membantu dan
menjalankan, terbukti bahwa ternyata terjadi yang namanya temuan significant
deficiency terhadap divisi tersebut. bagaimana internal audit bertanggung jawab
terkait dengan etika?)
Jawaban:
Jasa assurance melibatkan penilaian objektif auditor internal atas bukti untuk
memberikan pendapat atau kesimpulan mengenai suatu entitas, operasi, fungsi, proses,
sistem, atau hal pokok lainnya. Sifat dan ruang lingkup perikatan asurans ditentukan oleh
auditor internal. Umumnya, tiga pihak adalah peserta dalam jasa asurans: (1) orang atau
kelompok yang secara langsung terlibat dengan entitas, operasi, fungsi, proses, sistem,
atau hal pokok lainnya — pemilik proses, (2) orang atau kelompok yang membuat
penilaian — auditor internal, dan (3) orang atau kelompok yang menggunakan penilaian
— pengguna.
Jasa konsultasi bersifat penasehat dan umumnya dilakukan atas permintaan khusus dari
klien perikatan. Sifat dan ruang lingkup perikatan konsultasi tunduk pada kesepakatan
dengan klien perikatan. Jasa konsultasi umumnya melibatkan dua pihak: (1) orang atau
kelompok yang menawarkan nasihat — auditor internal, dan (2) orang atau kelompok
yang mencari dan menerima nasihat — klien perikatan. Saat melakukan jasa konsultasi,
auditor internal harus menjaga objektivitas dan tidak memikul tanggung jawab
manajemen.
Ketika ketidaksesuaian dengan Kode Etik atau Standar berdampak pada penugasan
tertentu, komunikasi hasil harus mengungkapkan:
Ketika kepala audit internal menyimpulkan bahwa manajemen telah menerima tingkat
risiko yang mungkin tidak dapat diterima oleh organisasi, kepala audit internal harus
mendiskusikan masalah tersebut dengan manajemen senior. Jika kepala audit internal
menentukan bahwa masalah tersebut belum terselesaikan, kepala audit internal harus
mengkomunikasikan masalah tersebut kepada dewan.
Interpretation:
Identifikasi risiko yang diterima oleh manajemen dapat diamati melalui penugasan
asurans atau konsultasi, pemantauan kemajuan tindakan yang diambil oleh manajemen
sebagai hasil dari penugasan sebelumnya, atau cara lainnya. Bukan tanggung jawab
kepala audit internal untuk mengatasi risiko tersebut.
Pasal 10
Piagam Unit Audit Internal ditetapkan oleh Direksi setelah mendapat persetujuan Dewan
Komisaris.
b. Bagaimana hubungan antara internal audit charter dengan komite audit charter
Internal Audit Charter akan disusun oleh Head of Internal Audit (HIIA), di mana ia akan
berdiskusi dengan manajemen senior dan dewan untuk memastikan bahwa piagam sudah
mendeskripsikan peran dan ekspektasi yang disepakati dengan sesuai, dan membuat
persetujuan dengan dewan atas piagam yang dibuat.
Week 6 - Fraud (WanaArtha) → POJK Manajemen Risiko & Fungsi Peran Audit
Pak Sensi maunya ini (CILLA)
a. Apa skema fraudnya?
- WanaArtha Life menjual produk dengan imbal hasil pasti yang tidak diimbangi
kemampuan perusahaan mendapatkan hasil dari pengelolaan investasinya. Kondisi ini
direkayasa oleh PT WAL sehingga laporan keuangan yang disampaikan kepada OJK
maupun laporan keuangan publikasi tidak sesuai kondisi sebenarnya (polis bodong).
Akibat tindakan penerbitan polis bodong tersebut, Wanaartha Life akhirnya
mengalami gagal bayar, sehingga berujung pada dicabutnya izin usaha oleh OJK.
Peristiwa penerbitan polis bodong tersebut, diketahui melibatkan nilai uang yang
cukup fantastis, yakni mencapai sekitar Rp12 triliun. Keberadaan polis tersebut
diindikasikan seolah-olah tidak ada (abu-abu) → tidak diketahui atau tidak sengaja
dicatat oleh Kantor Akuntan Publik (KAP). Peristiwa ini sudah terjadi bertahun-tahun,
mereka seolah-olah tidak tahu
- Pemegang saham Wanaartha Life juga diduga menggelapkan dana perusahaan dan
atau premi nasabah. Di tengah terungkapnya kasus dugaan penggelapan dana
perusahaan dan atau premi nasabah ini, manajemen Wanaartha Life mengajukan
skema restrukturisasi kepada para pemegang polis.
a. Direktur Wanaartha Life Adi Yulistanto mengungkapkan beberapa opsi yang
ditawarkan Perusahaan kepada para pemegang polis. Pertama, program
konversi produk konvensional Wanaartha Life menjadi produk berbasis
syariah yang telah dimiliki sebelumnya oleh Unit Usaha Syariah (UUS)
Wanaartha Life.
b. Kedua, program perpanjangan jangka waktu atau masa polis yang telah atau
akan jatuh tempo dengan mendapatkan insentif berupa life insurance coverage
atau manfaat nilai tunai.
c. Ketiga, program cicilan pembayaran dengan skala prioritas dengan syarat
yaitu mengalami kecelakaan, sakit, atau meninggal dunia.
- Terjadinya pelanggaran terhadap prinsip asuransi utmost good faith → kepercayaan
baik yang paling berlimpah, keterusterangan dan keterbukaan dan kejujuran yang
mutlak dan sempurna; tidak ada penyembunyian atau penipuan, berapapun kecilnya.
Kewajiban atas berlangsungnya penerapan prinsip utmost good faith oleh perusahaan
asuransi pada hukum Indonesia termaktub dalam Undang-Undang No. 4 Tahun 2023
tentang Pengembangan dan Penguatan Sektor Keuangan (UU PPSK).
- Pasal 52 angka 14 UU PPSK yang mengubah Pasal 31 Ayat (1) Undang-Undang
Nomor 40 Tahun 2014 tentang Perasuransian (UU Perasuransian) menyebutkan
bahwa perusahaan asuransi wajib menerapkan segenap keahlian, perhatian, dan
kecermatan dalam melayani dan bertransaksi dengan pemegang polis, tertanggung,
maupun peserta.
- Tak hanya itu,perusahaan asuransi juga wajib memberikan informasi yang benar, tidak
palsu, dan/atau tidak menyesatkan kepada calon pemegang polis, calon tertanggung,
calon peserta, pemegang polis, tertanggung, atau peserta mengenai risiko, manfaat,
kewajiban, dan pembebanan biaya terkait produk asuransi yang ditawarkan (Pasal 52
angka 14 UU PPSK yang mengubah Pasal 31 Ayat (2) UU Perasuransian.
- Source:
https://kliklegal.com/wanaartha-terbitkan-polis-bodong-langgar-utmost-good-faith/
- https://www.theiconomics.com/art-of-execution/wanaartha-life-sodorkan-skema-restr
ukturisasi-kepada-nasabah-ojk-rpk-belum-disetujui/
- https://www.cnbcindonesia.com/market/20221205171421-17-393934/kronologi-kasus
-wanaartha-life-hingga-akhirnya-ditutup
-
b. Kenapa bisa terjadi?
- mereka dari aspek control environment COSO kureng bgt
- Mereka monitoring activities nya juga kurang (makanya gabisa identify dan
perbaiki masalah scr tepat waktu)
- Source:
https://infobanknews.com/tegas-ojk-kasih-kartu-merah-akuntan-publik-dan-ka
p-buntut-kasus-wanaartha-life/
c. Apakah dengan adanya internal control yang baik dan bagus ditambah dengan
manajemen risiko yang memadai, dapat mengurangi risiko fraud? → Jawaban: bukan
IC dan manajemen risiko, tapi bagaimana mengendalikan greedy atau kecurangan
yang dilakukan oleh owner sebagai Chief Audit Executive dan BOD dan BOD
mengatasik risk
→ Untuk ngatasin risk, PT WAL hrs secara rutin melakukan rapat koordinasi
BOC-BOD untuk memperkuat fungsi pengawasan atas operasional perusahaan,
pengurusan perusahaan serta melakukan pengawasan dan memberikan rekomendasi
kepada Direksi untuk kepentingan perusahaan dan sesuai dengan maksud dan tujuan
perusahaan. (tp ini baru mereka lakuin pas udah banyak pemegang polis yg nuntut)
Hrsnya bisa disambungin ke IIA three lines of defense jg deh ini kaya yg atas
- Otoritas Jasa Keuangan (OJK) secara resmi menerbitkan Surat Edaran (SE) yang
mengatur manajemen risiko asuransi, asuransi syariah, reasuransi dan reasuransi
syariah, dengan nomor surat 8/SEOJK.05/2021. SEOJK Manajemen Risiko Asuransi
sendiri merupakan salah satu peraturan pelaksanan dari Peraturan Otoritas Jasa
Keuangan nomor 44/POJK.05/2020 tentang Penerapan Manajemen Risiko bagi
Lembaga Jasa Keuangan Nonbank (POJK 44/2020). Secara ringkas, SEOJK ini
memuat beberapa hal, mulai dari obyek pengaturan, kesesuaian penerapan manajemen
resiko dengan tujuan hingga strategi perusahaan. Penerapan manajemen risiko bagi
perusahaan mengacu kepada standar pedoman penerapan manajemen risiko asuransi
dalam Lampiran I SEOJK Manajemen Risiko, yang mencakup:
1. Empat pilar penerapan manajemen risiko, yaitu
a. pengawasan aktif direksi, dewan komisaris, dan dewan pengawas syariah
b. kecukupan kebijakan dan prosedur manajemen risiko serta penetapan limit
Risiko
c. kecukupan proses identifikasi, pengukuran, pengendalian, dan pemantauan
risiko, serta sistem informasi manajemen risiko
d. sistem pengendalian internal yang menyeluruh.
3. Penilaian profil risiko, yang mencakup penilaian terhadap risiko yang melekat
(inherent risk) dan penilaian terhadap kualitas penerapan manajemen risiko. Penilaian profil
risiko perusahaan dilakukan dengan mengacu kepada Peraturan Otoritas Jasa Keuangan
nomor 28/POJK.05/2020 tentang Penilaian Tingkat Kesehatan Lembaga Jasa Keuangan
Nonbank. Kemudian, perusahaan juga harus memiliki struktur organisasi yang mengacu
kepada Lampiran II, yang mencakup struktur organisasi komite Manajemen Risiko dan
Fungsi Manajemen Risiko, beserta hubungan bisnisnya.
Source:
https://www.merdeka.com/uang/ojk-terbitkan-aturan-penerapan-manajemen-risiko-asuransi.h
tml
d. Penyebab fraud Wanaartha karena asimetri informasi antara BOD dan BOC.
mengurangi asimetri dengan mengundang external auditor untuk mencegah fraud.
Kenapa selama 8 tahun gagal mendeteksi. Salahnya dimana? →
- mereka kurang professional skepticism → Berdasarkan pemeriksaan, AP dan
KAP dimaksud tidak dapat menemukan adanya indikasi manipulasi laporan
keuangan terutama tidak melaporkan peningkatan produksi dari produk
asuransi sejenis saving plan yang berisiko tinggi yang dilakukan oleh
Pemegang saham, Direksi dan Dewan Komisaris. Hal ini membuat
seolah-olah kondisi keuangan dan tingkat kesehatan WAL masih memenuhi
tingkat kesehatan yang berlaku, sehingga pemegang polis tetap membeli
produk WAL yang menjanjikan return yang cukup tinggi tanpa
memperhatikan tingkat resikonya.
- Keberadaan polis tersebut diindikasikan seolah-olah tidak ada (abu-abu) →
tidak diketahui atau tidak sengaja dicatat oleh Kantor Akuntan Publik (KAP).
Peristiwa ini sudah terjadi bertahun-tahun, mereka seolah-olah tidak tahu
- Jenly Hendrawan (Akuntan Publik) dinilai tidak memiliki kompetensi dan
pengetahuan yang dibutuhkan sebagai syarat untuk menjadi Akuntan Publik
yang memberikan jasa di Sektor Jasa Keuangan karena turut menjadi pihak
yang menyebabkan terjadinya pelanggaran yang dilakukan oleh AP Nunu
Nurdiyaman.
-
e. Lesson learn terhadap kasus fraud → hubungannya dengan internal audit
- Pada saat jajaran direksi baru yang ada saat ini bergabung, dana nasabah
WanaArtha Life sudah tidak ada lagi. Pada saat mereka bergabung di akhir
2021, bahkan audit di tahun 2020 belum dilakukan sehingga kami lakukan
audit. → mereka kurang kompetensi (ngerjain audit ga in a timely manner,
hrsnya adain interim juga gasi?)
- Sedangkan nasabah yang tercatat berdasarkan audit dari auditor tersebut
adalah sebesar kurang lebih sebesar 29.000. Namun secara internal WanaArtha
Life juga mencoba untuk melakukan pengecekan ulang terkait jumlah
kewajiban dan jumlah nasabah. Dari hasil verifikasi tersebut, yang kembali
dari jumlah 29 ribu nasabah hanya sebesar 23.000, dan yang berhasil
dicocokan dan verifikasi secara internal saat itu sebesar 19.000. Jadi dengan
adanya perbedaan data ini Adi menyampaikan bahwa masih perlu dilakukan
pengecekan kembali namun dengan kondisi telah dicabut maka dirasa
sulit untuk dilakukan pencocokan lagi → auditor internal kurang tindakan
preventif & kurang kompetensi, pas udah dicabut izin usahanya baru verifikasi
- Mereka harus menggunakan mekanisme yang memastikan bahwa stakeholder
menerima informasi mengenai kepentingan perusahaan mengatur risikonya.
- AI harusnya memastikan bahwa hasil yang dilaporkan benar sebelum
diteruskan ke tingkat berikutnya, dan angka konsolidasi, laporan keuangan,
pengembalian pajak, atau area lainnya akurat.
- Auditor internal dapat membantu meluncurkan dan kemudian menentukan
bahwa perusahaan memiliki kode etik yang efektif yang mempromosikan
praktik bisnis yang etis → meninjau Codes of Conduct perusahaan dari waktu
ke waktu untuk meninjau kembali kode tersebut (ini buat preventif yang
pemegang saham diduga penggelapan dana bertahun tahun)
Bawa PJOK tentang manajemen risiko, fungsi internal audit, supaya menjaga
independensi > ini maksudnya untuk keseluruhan soal??