• Tidak ada hasil yang ditemukan

CG 08 Peran Audit Internal Manajemen Risiko Kel 3

N/A
N/A
Protected

Academic year: 2018

Membagikan " CG 08 Peran Audit Internal Manajemen Risiko Kel 3"

Copied!
38
0
0

Teks penuh

(1)

1

TATA KELOLA PERUSAHAAN

PERAN AUDIT INTERNAL

dan

MANAJEMEN RISIKO

Kelompok 3 Anggota:

Aisyah Istiqomah (1306483933)

Lia Mustikawati (1306484734)

Manna Noverika Lestari (1306484772)

Putri Anandayu (1306485062)

Fakultas Ekonomi Universitas Indonesia

(2)

2

STATEMENT OF AUTHORSHIP

“Kami yang bertandatangan di bawah ini menyatakan bahwa makalah/tugas terlampir adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain yang kami gunakan tanpa menyebutkan sumbernya.

Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk makalah/tugas pada mata ajaran lain kecuali kami menyatakan dengan jelas bahwa kami menyatakan menggunakannya.

Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan atau dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme.”

Mata Ajaran : Tata Kelola Perusahaan

Judul Makalah/Tugas : Peran Audit Internal dan Manajemen Risiko

Tanggal : 6 November 2014

Dosen : Desi Adhariani S.E., Ak., M.Si.

1. Nama : Aisyah Istiqomah 2. Nama : Lia Mustikawati

NPM : 1306483933 NPM : 1306484734

TTD : TTD :

3. Nama : Manna Noverika L. 4. Nama : Putri Anandayu

NPM : 1306484772 NPM : 1306485062

(3)

3

Peran Audit Internal dan Manajemen Risiko

A. Analisis Peran Internal Audit dalam Manajemen Risiko Perusahaan

Menurut Ikatan Auditor Internal (Institute of Internal Auditors-IIA), Audit Internal adalah aktivitas independen, keyakinan objektif, dan konsultasi yang dirancang untuk menambah nilai dan meningkatkan operasi organisasi. Audit internal membantu organisasi dalam upayanya mencapai tujuan dengan berbagai cara seperti melakukan pendekatan sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola oragnisasi. Dari definisi diatas dapat dilihat bila fungsi dari audit internal yang dilakukan perusahaan adalah untuk memberikan informasi yang berguna bagi manajemen dalam menjalankan operasi atau aktivitas organisasi.

Menurut IIA Enterprise-wide Risk Management (ERM) adalah proses terstruktur, konsisten, dan terus-menerus di seluruh organisasi untuk mengidentifikasi, menilai, memutuskan tanggapan atau respon terhadap pelaporan tentang peluang dan ancaman yang mempengaruhi pencapaian tujuan organisasi. Manajemen Risiko perusahaan adalah sebuah proses, dipengaruhi oleh dewan entitas direksi, manajemen dan personel lainnya, diterapkan dalam peraturan strategis dan di seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko untuk berada dalam risk appetite, untuk memberikan keyakinan memadai tentang pencapaian tujuan entitas.

Peranan inti dari audit internal dalam ERM adalah untuk memberikan jaminan yang objektif kepada dewan atas efektivitas dari manajemen risiko. Keterlibatan audit internal didalam ERM dapat menambah nilai organisasi tapi juga menimbulkan risiko yang akan mengganggu organisasi tersebut. Risiko yang dihadapinya adalah akan munculnya kompromi terhadap independensi dan objektivitas internal dari auditor tersebut. Untuk menanggapi isu ini IIA mengeluarkan surat pernyataan yang bersikan peran inti audit internal dalam hal ERM serta peran yang tidak seharusnya dilakukan audit internal, berikut ini merupakan rincian isi pernyataan tersebut:

(4)

4

1. Peran audit internal inti dalam ERM

a. Pemberian keyakinan pada desain dan efektivitas proses manajemen risko b. Pemberian keyakinan bahwa risiko dievaluasi dengan benar

c. Mengevaluasi proses manajemen risiko

d. Mengevaluasi pelaporan mengenai status dari risiko-risiko kunci dan pengendaliannya

e. Meninjau pengelolaan risiko-risiko kunci, termasuk efektivitas dari pengendalian dan respon lain terhadap risiko-risiko tersebut

2. Peranan audit internal yang sah dengan pengamanan a. Memulai pembentukan ERM dalam organisasi

b. Mengembangkan strategi manajemen risiko bagi persetujuan dewan c. Mempertahankan dan mengembangkan kerangka ERM

d. Memfasilitasi identifikasi dan evalusi risiko e. Pelatihan manajemen tentang merespon risiko f. Mengkoordinasikan kegiatan ERM

g. Mengonsolidasi laporan mengenai risiko

3. Peranan audit internal dalam ERM yang tidak boleh dilakukan a. Mengatur minat risiko (risiko appetite)

b. Menerapkan proses manajemen risiko c. Menjamin manajemen risiko

d. Membuat keputusan pada respon risiko

e. Menerapkan respon dan manajemen risiko atas nama manajemen f. Akuntabilitas manajemen risiko

Menurut Crowe Horwath, peranan internal audit dalam manajemen risiko adalah sebagai berikut:

1. Proaktif mendukung dan berpartisipasi dalam upaya ERM organisasi, termasuk pembentukan ERM.

2. Mempermudah identifikasi daerah berisiko bagi organisasi serta proses yang paling penting bagi organisasi

(5)

5

4. Mengawasi proses pemahaman, menilai, merancang dan mendokumentasikan kontrol

5. Risiko persedian organisasi dan kepatuhan kegiatan serta usaha untuk mengintegrasikan kedalam metodologi umum’

6. Mengevaluasi bisnis dan proses manajeman untuk mengambil tanggung jawab untuk ERM

Secara lebih mendetail, beberapa peranan internal audit didalam manajemen risiko yang dapat dijelaskan secara mendetail adalah:

1. Memeriksa kelayakan program manajemen risiko

Dalam kaitannya dengan peranan ini adalah, internal audit berperan untuk memeriksa, mengevaluasi, serta memberikan respon terhadap kelayakan administrasi, manajemen risiko, dan proses pengendalian terkait untuk menyediakan jaminan atas kelayakannya. Dengan peranan ini sudah dipastikan proses pemeriksaan yang dilakukan oleh internal audit pasti berkaitan atau berpengaruh terhadap program manajemen risiko. Pada peranan ini internal audit juga dapat memberikan penilaian apa sebenarnya risiko potensial yang akan timbul kapan saja yang dapat menggangu keberlangsungan usaha pencapaian tujuan organisasi, sehingga berbagai program yang dibuat dalam manajemen risiko dapat mengantisipasi berbagai potensial risiko yang ada.

2. Memeriksa dan melaporkan praktik mitigasi risiko utama

Dalam peranan ini, internal audit seharusnya juga dapat memeriksa dan melaporkan proses-proses yang dilakukan atau dijalankan oleh bagian manajemen risiko dalam melakukan mitigasi risiko-risiko utama yang terkait dengan operasional perusahaan sehari-hari. Tugas ini dapat berupa: membuat rencana audit berkala terhadap masing-masing risiko yang sebelumnya sudah ada atau yang baru berpotensi ada, dimulai dari rencana pencegahan, tindakan pencegahan, rencanan penanganan, tindakan penanganan, serta pencapaian atas rencana mitigasi risiko yang telah dilaksanakan.

3. Memberikan saran, rekomendasi, dan konsultasi mitigasi risiko

(6)

6

organisasi, dan semestinya dengan dilakukannya pemeriksaan tersebut selain dapat mengidentifikasi risiko juga dapat memberikan saran dan masukan bagaimana seharusnya manajemen risiko mengimplementasikan programnnya dan menghadapi risiko-risiko yang ada untuk dapat meminimalisasi dampak negatif yang mungkin timbul. Selain itu, internal audit seharusnya dapat menjadi sumber informasi dan juga tempat konsultasi bagi manajemen dalam mengimplementasikan program-programnya.

4. Menjadi pemimpin dalam menyusun dan melakukan uji coba implementasi Standar Operasi dan Prosedur (SOP), terkait dengan manajemen risiko

Dalam peranan ini, internal audit menjadi asistensi mengawal dan menggiring risiko menuju garis batas yang masih dapat ditoleransikan oleh organisasi atau perusahaan.

Setelah melihat penjabaran mengenai peranan internal audit dalam manajemen risiko diatas kita dapat menyimpulkan bahwa pada saat ini telah terjadi pergeseran pandangan menganai internal auditor disebuah organisasi, yang pada awalnya dianggap sebagai polisi organisasi dengan penilaian-penialain yang diberikannya saat ini pandangan mengenai auditor internal telah bergeser menjadi business partner yang tidak dapat dipisahkan dari proses manajemen organisasi. Auditor initernal saat ini tidak lagi hanya memberikan penilaian saja tetapi juga telah ikut serta dalam mendeteksi risiko organisasi, mengevaluasi program-program manajemen, serta turut serta dalam perbaikan dan memberikan konsultasi bagi program yang dijalankan oleh manajemen.

B. Peran Internal Audit dalam Pelaksanaan CG yang Efektif

Menurut peraturan Bapepam LK No. IX.I.7, Audit Internal adalah kegiatan pemberian keyakinan (assurance) dan konsultasi yang bersifat independen dan obyektif, dengan tujuan untuk meningkatkan nilai dan memperbaiki operasional perusahaan, melalui pendekatan yang sistematis, dengan cara mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola perusahaan.

(7)

7

governance. Internal audit merupakan dukungan penting bagi komisaris, direksi, komite audit, dan manajemen senior dalam membentuk fondasi bagi pengembangan corporate governance didalam suatu organisasi atau perusahaan. Fungsi audit internal biasanya dilakukan bukan dengan tujuan menguji kelayakan laporan keuangan, akan tetapi untuk membantu pihak manajemen dalam mengidentifikasi kelemahan-kelemahan, kegagalan-kegagalan, dan inefisiensi dari berbagai program yang telah direncanakan oleh organisasi atau perusahaan yang bersangkutan.

Audit internal berpengaruh secara signifikan terhadap implementasi good corporate governance, dimana semakin tinggi peran audit internal maka akan semakin mendukung kinerja implementasi good corporate governance (GCG). Auditor internal berperan untuk memastikan terlaksananya prinsip-prinsip GCG yang telah dibahas pada pertemuan-pertemuan sebelumnya, yaitu yang meliputi transparansi, akuntabilitas, pertanggungjawaban, independensi, dan kewajaran yang nantinya akan mampu memberian kejelasan mengenai fungsi, hak dan tanggung jawab antara pihak-pihak yang berkepentingan atas perusahaan, proses pengendalian internal dan menciptakan keseimbangan organ perusahaan dan juga keseimbangan antar stakeholders.

Didalam Crowe Horwarth (2011), pada tingkat yang lebih tinggi , tata kelola perusahaan memiliki tujuh komponen yang saling terkait yaitu, dewan direksi dengan komite, hukum dan peraturan, pengungkapan dan transparansi, praktik bisnis dan etika, manajemen risiko perusahaan, pemantauan, dan komunikasi. Tujuh komponen ini memberikan pandangan yang komprehensif, kompleks, keterkaitan dan variable organisasi harus mengelolanya dengan baik untuk memperkuat tata kelola mereka. Ketika seluruh komponen dapat beroperasi dengan efektif dan terkoordinasi secara efisien, tata kelola perusahaan akan menyediakan platform atau landasan untuk membantu meningkatkan kinerja bisnis dan meningkatkan nilai bagi stakeholders.

Peranan internal audit didalam tujuh komponen organisasi tersebut yang dapat membantu implementasi corporate governance yang efektif adalah sebagai berikut:

1. Board of Directors and Committees

(8)

8

 Menilai efektivitas komite audit dan kepatuhan terhadap peraturan. Ulasan piagam komite audit dengan bantuan penasihat hukum.

 Interaktif tentang masalah tata kelola, membawa ide-ide terbaik dalam praktik tentang pengendalian internal dan proses manajemen risiko untuk mengaudit anggota komite.

 Menetapkan keakuratan informasi yang digunakan dalam pengambilan keputusan oleh komite kompensasi, dan

 Membantu board dengan kuasanya melaporkan pengawasan manajemen risiko.

2. Legal and Regulatory

 Memverifikasi sesuai hukum bahwa organisasi telah mengidentifikasi persyaratan, tanggung jawab yang diberikan, dan semua persyaratan hukum dan peraturan yang ditujukan

 Mencari peluang untuk meningkatkan kegiatan kepatuhan dan kemampuan untuk mengurangi biaya jangka panjang dan meningkatkan kinerja

3. Business Practice and Ethics

 Meninjau kode etik dan kebijakan, memverifikasi bahwa keduanya diperbaharui secara berkala dan disampaikan kepada manajemen dan pegawai

 Menyelenggarakan ilmu perilaku untuk meninjau dan menilai pemahaman dan persepsi kepatuhan di setiap tingkatan organisasi

 Membantu manajemen dan komite audit untuk menahan orang dalam setiap tingkatan untuk bertanggung jawab, mendengarkan perkataan mereka tetapi juga melihat tindakan mereka

 Melayanin dalam peranan pengawasan etika atau membicarakan kepada petugas etika

 Berpartisipasi dalam whistle-blower dan proses investigasi complain lainnya

 Melakukan audit tahunan dan proses tindak lanjut (contohnya kepatuhan terhadap kebijakan dan konsistensi tindakan), pelaporan untuk komite audit

 Menilai hubungan etika dengan penetapan tujuan dan evaluasi proses kinerja

4. Disclosure and Transparency

(9)

9

 Memahami mengenai pengungkapan dan transparansi, penilaian risiko yang disesuaikan dengan ekspektasi stakeholders

 Pada rencana audit tahunan, menuju pada tujuan pengungkapan dan transparansi

 Memahami secara luas dan mendalam, gambaran dari kemungkinan pengungkapan dan transparansi, dan dimana organisasi mengusahakan akan hal tersebut

 Berpartisipasi secara aktif dalam komite pengungkapan, termasuk mengevaluasi efektivitas

 Meninjau proses sub-certification

5. Enterprise Risk Management

 Proaktif mendukung dan berpartisipasi dalam upaya ERM organisasi, termasuk pembentukan ERM.

 Mempermudah identifikasi daerah berisiko bagi organisasi serta proses yang paling penting bagi organisasi

 Memastikan strategi bisnis terkait dengan proses ERM

 Mengawasi proses pemahaman, menilai, merancang dan mendokumentasikan kontrol

 Risiko persedian organisasi dan kepatuhan kegiatan serta usaha untuk mengintegrasikan kedalam metodologi umum’

 Mengevaluasi bisnis dan proses manajeman untuk mengambil tanggung jawab untuk ERM

6. Monitoring

 Memahami aktivitas monitoring dalam organisasi pada masing-masing komponen dalam kerangka kelola organisai

 Memfasilitasi pelaksanaan metodologi pemantauan risiko umum di semua fungsi tata kelola perusahaan, sehingga sistem pelaporan terintegrasi

 Melakukan pemeriksaan tata kelola perusahaan pada tingkat perencanaan strategi

 Menggabungkan aspek tata kelola perusahaan ke dalam tingkat perencanaan audit

 Mengembangkan jaminan penilaian (scorecard) dan laporan per-triwulan

(10)

10

 Berpartisipasi dalam dialog yang berkelanjutan dengan penasihat umum, kepala keuangan, dan pejabat manajemen senior lainnya

 Menjaga komunikasi yang stabil dengan komite audit dan eksekutif pengawas

 Mencakup informasi tentang tata kelola perusahaan dalam laporan audit

 Membantu dalam membangun komunikasi penjadwalan tata kelola dan mengumpulkan sejumlah masukan tentang kebutuhan seluruh organisasi

C. Perbandingan Peraturan Bapepapm-LK terkait Internal Audit dengan Peran Internal Audit menurut IIA (2009) dan Crowe Horwarth (2011)

Menurut peraturan No. IX.I.7 Bapepam LK, Audit Internal adalah suatu kegiatan pemberian keyakinan (assurance) dan konsultasi yang bersifat independen dan obyektif, dengan tujuan untuk meningkatkan nilai dan memperbaiki operasional perusahaan, melalui pendekatan yang sistematis, dengan cara mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola perusahaan.

Peraturan ini juga membahas Struktur dan Kedudukan Unit Audit Internal dalam perusahaan, antara lain bahwa Unit Audit Internal dipimpin oleh kepala Unit Audit Internal yang diangkat dan diberhentikan (jika tidak memenuhi persyaratan sesuai peraturan ini dan atau gagal atau tidak cakap menjalankan tugas) oleh direktur utama atas persetujuan dewan komisaris. Auditor yang duduk dalam Unit Audit Internal bertanggung jawab secara langsung kepada kepala Unit Audit Internal, sementara kepala Unit Audit Internal bertanggung jawab kepada direktur utama.

(11)

perundang-11

undangan atau penetapan/putusan pengadilan, memahami prinsip-prinsip tata kelola perusahaan yang baik dan manajemen risiko, dan bersedia meningkatkan pengetahuan, keahlian dan kemampuan profesionalismenya secara terus-menerus.

Sementara tugas dan tanggung jawab Unit Audit Internal berdasarkan peraturan tersebut adalah menyusun dan melaksanakan rencana Audit Internal tahunan, menguji dan mengevaluasi pelaksanaan pengendalian interen dan sistem manajemen risiko sesuai dengan kebijakan perusahaan, melakukan pemeriksaan dan penilaian atas efisiensi dan efektivitas di bidang keuangan, akuntansi, operasional, sumber daya manusia, pemasaran, teknologi informasi dan kegiatan lainnya, memberikan saran perbaikan dan informasi yang obyektif tentang kegiatan yang diperiksa pada semua tingkat manajemen, membuat laporan hasil audit dan menyampaikan laporan tersebut kepada direktur utama dan dewan komisaris, memantau, menganalisis dan melaporkan pelaksanaan tindak lanjut perbaikan yang telah disarankan, bekerja sama dengan Komite Audit, menyusun program untuk mengevaluasi mutu kegiatan audit internal yang dilakukannya, dan melakukan pemeriksaan khusus apabila diperlukan.

Dalam melakukan tugas dan tanggung jawab tersebut, Unit Audit Internal diberikan kewenangan untuk mengakses seluruh informasi yang relevan tentang perusahaan terkait dengan tugas dan fungsinya, melakukan komunikasi secara langsung dengan direksi, dewan komisaris, dan/atau Komite Audit serta anggota dari direksi, dewan komisaris, dan/atau Komite Audit, mengadakan rapat secara berkala dan insidentil dengan direksi, dewan komisaris, dan/atau Komite Audit, dan melakukan koordinasi kegiatannya dengan kegiatan auditor eksternal.

Seperti dinyatakan dalam peraturan ini, perusahaan publik wajib memiliki piagam Audit Internal yang meliputi hal-hal diatas, seperti struktur dan kedudukan Unit Audit Internal, tugas dan tanggung jawab Unit Audit Internal, wewenang Unit Audit Internal, kode etik Unit Audit Internal, persyaratan auditor yang duduk dalam Unit Audit Internal, pertanggungjawaban Unit Audit Internal, dan larangan perangkapan tugas dan jabatan auditor dan pelaksana yang duduk dalam Unit Audit Internal dari pelaksanaan kegiatan operasional perusahaan.

(12)

12

Paper: the Role of Internal Auditing in Enterprise-Wide Risk Management yang dibuat oleh Institute of Internal Auditor (IIA) lebih membahas mengenai peran auditor dalam pengelolaan resiko perusahaan.

Dalam naskahnya, IIA lebih menekankan kepada konsep ERM (Enterprise-Wide Risk Management), yaitu suatu proses yang terstruktur, konsisten, dan terus menerus dalam suatu organisasi secara keseluruhan, yang dilakukan untuk mengidentifikasi, menilai, memutuskantanggapan terhadapdan pelaporantentang peluangdan ancamanyang mempengaruhipencapaiantujuannya. Prinsip-prinsip yang dijelaskan oleh IIA dapat digunakan untuk memanduketerlibatanaudit internaldalam segala bentukmanajemen risiko.

(13)

13

Aktivitas pada bagian kiri gambar menunjukan kegiatan minimal dalam pekerjaan assuranceyang dilakukan oleh audit internal. Namun, unit audit internal juga dapat memberikan saran dan konsultansi untuk meningkatkan kontrol dan manajemen resiko serta tatakelola perusahaan, seperti yang digambarkan pada aktivitas-aktivitas dibagian tengah. Meskipun begitu, seiring perkembangan manajemen resiko dalam kegiatan operasional perusahaan, tanggung jawab audit internal dalam ERM juga akan berkurang. Dapat dilihat pada gambar diatas, semakin ke kanan ruang lingkup kegiatan audit internal, akan semakin besar pula resiko untuk menjaga independensi dan objektifitas mereka.

Faktor kunci yang menentukan apakah kegiatan konsultasi yang dilakukan seimbang dan tidak melebihi kegiatan assurance yang memang merupakan tugas audit internal adalah bahwa unit audit internal tidak menanggung tanggung jawab manajerial. Dalam ERM, internal audit dapat menyediakan selama tidak benar-benar berperan dalam pengelolaan resiko (yang merupakan tanggung jawab manajemen) dan selama manajemen juga mengaplikasikan dan mendukung berlangsungnya ERM.

Selain peraturan Bapepam-LK dan IIA, Crowe Howart LLP sebagai salah satu kantor akuntan publik dan konsultan akuntansi, perpajakan dan keuangan terbesar di Amerika juga menerbitkan tulisan berjudul ‘Strengthening Corporate Governance with Internal Audit’ mengenai peran audit internal dalam memenuhi peningkatan ekspektasi terkait persamaan kemampuan internal audit dengan peningkatan penilaian dan pengawasan terhadap kualitas tata kelola perusahaan.

(14)

14

Berdasarkan perkembangan tersebut, terdapat tujuh komponen dalam kerangka tata kelola perusahaan menurut Crowe Horwath. Pada masing-masing komponen, telah dikembangkan tugas dan tanggung jawab bagi peran audit internal dalam perusahaan. Komponen dan tanggung jawab tersebut antara lain:

 Dewan Direksi dan Komite Audit

Tanggung jawab audit internal terhadap dewan direksi dan komite audit antara lain:

- Membantu dewan direksi dan komite audit dalam menjalankan tugasnya. - Memberikan ide mengenai pengelolaan resiko dan internal kontrol.

- Memastikan keakuratan informasi yang dijadikan dasar pengambilan keputusan.

 Hukum dan Peraturan

Tanggung jawab audit internal terkait hukum dan peraturan antara lain:

- Memastikan bahwa perusahaan telah mengetahui dan memenuhi semua persyaratan sesuai peraturan yang berlaku.

- Mengidentifikasi peluang yang mempengaruhi pemenuhan aktivitas yang dapat mengurangi biaya jangka panjang dan meningkatkan kinerja.

 Praktek dan Etika Bisnis

Tanggung jawab audit internal terkait praktek dan etika bisnis antara lain:

- Memeriksa kebijakan terkait kode etik perusahaan dan memastikan kebijakan tersebut diperbarui sesuai kebutuhan perusahaan dari waktu ke waktu dan menyampaikan perubahan yang ada kepada pegawai.

- Menjalankan tugasnya dengan mengikuti kode etik perusahaan.

- Berpartisipasi dalam proses invetigasi mengenai whistle-blowerdan keluhan lainnya mengenai etika bisnis perusahaan.

 Pengungkapan dan Transparansi

Tanggung jawab audit internal terkait pengungkapan dan transparansi antara lain: - Melakukan pemeriksaan terhadap pengungkapan laporan keuangan

perusahaan.

(15)

15

- Menyatakan tujuan atas pengungkapan dan transparansi dengan jelas dan mengkomunikasikannya kepada pegawai.

 Enterprise Risk Management (ERM)

Tanggung jawab audit internal terkait ERM antara lain: - Memastikan strategi bisnis berjalan sesuai proses ERM

- Secara aktif berperan sebagai penasehat maupun partisipan dalam kegiatan ERM perusahaan.

 Pengawasan

Tanggung jawab audit internal terkait pengawasan antara lain:

- Memahami dimana saja aktivitas pengawasan diperlukan dalam perusahaan. - Memfasilitasi implementasi metobe pengawasan terhadap resiko umum di

seluruh bagian perusahaan.

 Komunikasi

Tanggung jawab audit internal terkait komunikasi dalam organisasi antara lain: - Menyatakan semua informasi mengenai tata kelola perusahaan dalam laporan

audit.

- Menjaga kelancaran komunikasi dengan masing-masing anggota unit audit internal, kepala keuangan, dewan direksi, dll.

D. Manajemen Risiko menurut Draft Pedoman Penerapan Manajemen Risiko Berbasis Governance KNKG 2011

Suatu organisasi dalam menyusun strategi untuk melaksanakan proses utama organisasinya, perlu memperhatikan risiko-risiko yang mungkin muncul, antisipasi terhadap risiko, dan menentukan hal yang akan dilakukan jika risiko tersebut benar-benar terjadi. Hal inilah yang mendasari pentingnya manajemen risiko bagi suatu organisasi. Menurut KNKG dalam Draft Pedoman Penerapan Manajemen Risiko Berbasis Governance (2011), manajemen risiko adalah upaya organisasi yang terkoordinasi untuk mengarahkan dan mengendalikan risiko.

(16)

16

 Mengurangi terjadinya peristiwa yang kurang menyenangkan, risiko yang mungkin muncul telah diantisipasi sebelumnya.

 Meningkatkan hubungan baik dengan para pemangku kepentingan, manajemen risiko memerlukan komunikasi timbal balik yang intens yang dapat membangun kesamaan persepsi dan kepentingan.

 Meningkatkan efektivitas dan efisiensi manajemen, organisasi lebih siap dalam menghadapi dan menangani risiko yang mungkin muncul karena telah diidentifikasi sebelumnya.

 Lebih memberikan jaminan yang wajar atas pencapaian sasaran perusahaan, karena ketiga hal di atas dapat tercapai.

KNKG menyarankan bahwa dalam proses penerapan manajemen risiko terdapat tiga aspek yang perlu diperhatikan, yaitu aspek struktural, aspek operasional, dan aspek perawatan.

1. Aspek Stuktural

Aspek struktural merupakan aspek yang memastikan arah penerapan, struktur organisasi penerapan, akuntabilitas pelaksanaan manajemen risiko dalam organisasi, dan penyediaan sumber daya. Dengan kata lain, aspek struktural menjadi dasar atau fondasi bagi penerapan manajemen risiko pada suatu organisasi. Penerapan manajemen risiko awalnya berfokus pada bagaimana menangani risiko secara parsial, tetapi saat ini fokusnya telah berkembang menjadi terintegrasi untuk keseluruhan organisasi yang disebut sebagai ERM (enterprise risk management).

a. Prinsip-prinsip manajemen risiko yang efektif:

(17)

17

10) Manajemen risiko bersifat dinamis, berulang, dan tanggap terhadap perubahan 11) Manajemen risiko harus memfasilitasi terjadinya perbaikan dan peningkatan

organisasi secara berlanjut.

b. Kerangka Kerja Manajemen Risiko

Kerangka kerja akan memastikan berjalannya pelaporan dari proses manajemen risiko mengenai informasi risiko yang lengkap dan memadai serta akan digunakan sebagai landasan dalam pengambilan keputusan.

Gambar 1: Kerangka Kerja Manajemen Risiko

c. Mandat dan Komitmen

Dalam kerangka kerja manajemen risiko, mandat dan komitmen merupakan sentral, sesuai dengan peraturan perundang-undangan, yang menjadi sumber dasar hukum entitas. Alter ego perusahaan dalam UU PT adalah Dewan Direksi dan Dewan Komisaris. Direksi merupakan penanggung jawab utama penerapan manajemen risiko perusahaan, sedangkan Komisaris merupakan pengawas tertinggi dalam pelaksanaan pengawasan penerapan manajemen risiko perusahaan.

Mandat & Komitmen

Perencanaan Kerangka Kerja Manajemen Risiko

Penerapan Manajemen Risiko

Monitoring & Review Penerapan Kerangka Kerja

MR Perbaikan Sinambung

(18)

18

d. Proses Manajemen Risiko

Secara singkat, proses manajemen risiko merupakan penerapan kerangka kerja manajemen risiko pada tiap-tiap jenis risiko yang secara spesifik mempunyai karakter yang berbeda-beda sesuai dengan konteksnya (tailored). Gambar berikut merupakan proses manajemen risiko dalam KNKG (2011).

Gambar 2: Proses Manajemen Risiko

e. Tata Kelola Risiko

Tata kelola risiko meliputi unsur-unsur sebagai berikut:

1) Kebijakan manajemen risiko, pernyataan komitmen secara tertulis oleh Dewan Direksi dan Dewan Komisaris untuk menerapkan manajemen risiko.

2) Akuntabilitas penerapan manajemen risiko, akuntabilitas tertinggi berada pada Direksi, secara lebih khusus pada Direktur Utama atau yang ditunjuk. Selain itu perlu diperhatikan mengenai:

 Penunjukan champion, bertanggung jawab sebagai fasilitator penerapan manajemen risiko ke seluruh organisasi (ERM)

 Penunjukan risk owner, pemangku risiko dan penanggung jawab pengelolaan risiko pada divisi yang dipimpinnya

 Penyusunan infrastruktur organisasi sebagai unit untuk mendorong penerapan ERM

 Penyusunan mekanisme organisasi untuk penerapan manajemen risiko

(19)

19

3) Infrastuktur manajemen risiko, setiap organisasi harus menyusun infrastruktur manajemen risiko sesuai dengan kebutuhan dan jenis-jenis risiko yang

dihadapinya.

4) Tata laksana, komunikasi, dan pelaporan, metode yang sering digunakan adalah RACI Matrix yakni:

Responsible, siapa yang mengerjakan kegiatan

Accountable, siapa yang memiliki hak membuat keputusan akhir serta menjawab pertanyaan pihak lain

Consulted, siapa yang harus dilibatkan atau diajak berkonsultasi sebelum atau saat pelaksanaan kegiatan

Informed, siapa yang harus diberi informasi mengenai apa yang sedang terjadi tanpa harus menghentikan kegiatan tersebut.

f. Sumber Daya Penerapan Manajemen Risiko

Beberapa pengalokasian sumber daya memadai yang harus dilakukan untuk pelaksanaan manajemen risiko:

 Personalia dengan pengalaman, keterampilan dan keahlian yang memadai serta jumlah yang sesuai dengan kebutuhan

 Sumber dana dan sumber daya yang diperlukan untuk setiap tahapan penerapan manajemen risiko

 Proses dan prosedur yang terdokumentasi dengan baik

 Sistem informasi dan manajemen pengetahuan

1. Aspek Operasional

(20)

20

Gambar 3: Operasionalisasi Kerangka Kerja dan Proses Manajemen Risiko

Proses manajemen risiko yang berada di tengah pada gambar di atas merupakan “domain kegiatan risk owner” sedangkan kegiatan lainnya merupakan “domain kegiatan organisasi”, yang merupakan tugas khusus fungsi manajemen risiko organisasi yaitu untuk menyediakan dasar bagi kegiatan para risk owner dalam menerapkan manajemen risiko.

a. Manajemen Perubahan

Organisasi akan mengalami beberapa tahapan dalam melakukan setiap pengenalan program baru kepada seluruh anggotanya, yakni:

Penolakan, semua orang karena sudah nyaman dengan kondisi yang ada akan mempertanyakan kegunaan dari program baru tersebut.

(21)

21

Eksplorasi, mulai timbul keinginan untuk memahami dan mengeksplorasi lebih jauh karena sudah melihat manfaatnya dengan jelas.

Komitmen, melakukan perubahan tersebut dan proses perubahan akan berlangsung dengan baik.

Proses manajemen perubahan meliputi peluncuran, sosialisasi dan pelatihan hingga penerapan manajemen risiko dan pada akhirnya akan tumbuh budaya sadar risiko. Oleh karena itu, perubahan harus dimulai dari tup management terlebih dahulu sehingga akan menjadi change leader yang akan diikuti oleh middle management, dan begitu seterusnya sampai ke tahap line management dan seluruh karyawan. Selain itu, proses penerapan manajemen risiko harus direncanakan dan disusun sedemikian rupa sehingga penolakan dan perlawanan dapat diatasi dengan baik.

b. Panduan Manajemen Risiko

Alat utama dalam operasionalisasi manajemen risiko ke seluruh organisasi adalah berupa Manual Manajemen Risiko atau buku panduan manajemen risiko. Melalui manual ini, istilah dan definisi diseragamkan untuk menghindari multi interpretasi dan penerapan serta proses manajemen risiko dilaksanakna sesuai dengan standar yang ditentukan oleh Direksi. Setiap perusahaan memiliki panduan manajemen risiko yang berbeda atau unik namun, secara umum terdapat beberapa sttruktur yang sama yaitu menjelaskan latar belakang dan alasan diterapkannya ERM, menguraikan prinsip-prinsip manajemen risiko, menguraikan kerangka kerja manajemen risiko, menguraikan proses manajemen risiko di setiap tahapan, menguraikan konteks manajemen risiko, dan memberikan panduan untuk implementasi manajemen risiko secara menyeluruh di perusahaan.

c. Implementasi Manajemen Risiko

Pada dasarnya merupakan implementasi kerangka kerja manajemen risiko dan implementasi proses manajemen risiko. Dalam sebuah perusahaan hanya ada satu kerangka kerja manajemen risiko yang berlaku secara menyeluruh. Namun, dalam proses mananjemen risiko konteks dan isinya, terutama alat dan metodenya dapat berbeda-beda untuk tiap risiko yang ditangani. Berikut merupakan tahapan-tahapan dalam proses manajemen risiko.

(22)

22

Pada setiap tahapan proses manajemen risiko harus dilakukan komunikasi dan konsultasi se-ekstensif mungkin dengan para risk owner baik internal maupun eksternal. Rencana komunikasi dan konsultasi harus disusun dan merujuk pada risiko yang mungkin terjadi, dampak, dan tindakan yang perlu dilakukan untuk mengatasinya, serta hal lain yang terkait. Risk owner memberikan pertimbangan dan penilaian terhadap risiko yang didasarkan pada persepsi mereka atas risiko tersebut. Penting untuk mengidentifikasi persepsi para risk owner terutama ketika pandangan mereka dapat memengaruhi dan menentukan dalam pengambilan keputusan.

2) Penentuan Konteks

Penentuan konteks artinya menentukan batasan atau parameter internal dan eksternal yang akan dijadikan pertimbangan dalam pengelolaan risiko, menentukan lingkup kerja, dan kriteria risiko untuk proses-proses selanjutnya.

a) Konteks Internal, segala sesuatu di dalam organisasi yang dapat memengaruhi cara organisasi dalam mengelola risiko. Proses manajemen risiko harus dijalankan dengan selaras dengan budaya, proses, dan kultur organisasi.

b)Konteks Eksternal, lingkungan eksternal di mana organisasi mengupayakan pencapaian sasaran yang ditetapkannya. Konteks internal meliputi lingkungan politik, budaya, sosial, ekonomi, hukum dan lainnya; faktor-faktor pendorong yang mempunyai dampak terhadapa pencapaian sasaran organisasi; dan persepsi dan nilai-nilai para stakeholders eksternal.

c) Konteks Proses Manajemen Risiko, merupakan konteks di mana proses manajemen risiko diterapkan. Penerapan manajemen risiko dilaksanakan dengan mempertimbangkan biaya dan manfaat dalam pelaksanaannya. Kontek proses manajemen risiko akan berubah sesuai dengan kebutuhan organisasi.

(23)

23

risiko, cara menyusun kriteria tingkatan risiko, serta kriteria keberhasilan penerapan proses manajemen risiko.

3) Asesmen Risiko

Asesmen risiko merupakan proses pengidentifikasian risiko-risiko yang mungkin terjadi kemudian masing-masing risiko diberi atribut berdasarkan analisis dengan menggunakan kriteria risiko yang telah ditentukan. Setelah itu, dilakukan evaluasi pemeringkatan risiko sehingga dapat ditentukan tingkat prioritas risiko yang akan memerlukan perlakuan risiko.

a) Identifikasi Risiko, proses ini sangat penting karena risiko yang tidak teridentifikasi tidak akan ditangani pada proses-proses selanjutnya. Risiko tidak hanya sekedar suatu peristiwa tetapi juga mencakup informasi yang berkaitan dengan peristiwa tersebut. Beberapa elemen dalam informasi tersebut: sumber risiko, kejadian, konsekuensi, pengendalian (faktor pemicu risiko), serta perkiraan waktu dan tempat terjaidnya risiko. Ketgori teknik yang secara umum digunakan untuk mengidentifikasi risiko:

Teknik Brainstorming, antara lain Brainstorming, Delphi Method, RSCA (Risk Control Self-Assesment), focus group discussion.

Persepsi pihak terkait, antara lain document review, stakeholders analysis, expert judgement.

Proses bisnis, misalnya FMEA (Failure Mode & Effect Analysis, fish bone diagram).

Struktur organisasi atau pekerjaan (workbreakdown structure), misalnya RBS (Risk Breakdown Structure).

Contoh model risiko bisnis perusahaan sejenis (Bussiness Risk Model).

Dalam prakteknya dapat dilakukan kombinasi dari berbagai macam teknik di atas. Proses identifikasi risiko akan menghasilkan daftar risiko (rekaman data mengenai riwayat risiko dan perkembangan perlakuannya) dan tabel risiko (tabel kumpulan risiko yang sudah dibuat daftar risikonya).

(24)

24

tergantung dari kondisinya. Biasanya dalam praktik, untuk mendapatkan indikasi umum tingkat kegawatan risiko, terlebih dahulu dilakukan analisis kualitatif. Langkah berikutnya, sesuai dengan keperluan, dilakukan analisis yang lebih spesifik dan secara kuantitatif. Tujuannya untuk menganalisis dampak dan kemungkinan terjadinya risiko yang dapat menghambat pencapaian sasaran organisasi. Dampak tidak hanya merupakan ancaman belaka namun dapat pula diartikan sebagai peluang bagi organisasi. Gambar berikut merupakan hasil analisis risiko berdasarkan formulasi hubungan dampak dan kemungkinan yang dapat djadikan “ukuran” pemeringkatan kegawatan risiko.

Gambar 4: Peringkat Risiko

Hasil analisis risiko ini akan menjadi masukan bagi evaluasi risiko dan untuk proses pengambilan keputusan mengenai perlakuan terhadap risiko tersebut.

c) Evaluasi Risiko, menentukan risiko-risiko mana yang memerlukan perlakuan dan bagaimana prioritas perlakuan atas risiko-risiko tersebut. Risiko menurut banyak pihak dikelompokkan menjadi:

Kelompok risiko tinggi (high risk), terdapat risiko-risiko yang berbahaya dan tidak dapat ditolerir, apapun manfaat yang terkandung dalam kegiatan tersebut. Langkah-langkah mitigasi risiko (risk reduction) hasil diambil, berapapun biayanya. Contohnya, terkait dengan keselamatan dan kesehatan.

(25)

25

Kelompok risiko rendah (low risk), risiko yang memiliki aspek positif dan negatif terlalu kecil sehingga tidak memerlukan penanganan risiko secara khusus dan kesalahan dari risiko ini tidak menimbulkan dampak besar yang tidak diinginkan. Contohnya, salah tulis.

Dalam menentukan kriteria risiko di atas, pengertian pengendalian risiko perlu diperhatikan. Sebagai contoh, suatu risiko masuk dalam kelompok risiko tinggi tetapi karena pengendalian risiko yang efektif, risiko tersisa menjadi kecil, sehingga masuk dalam kategori risiko rendah. Hasil evaluai risiko menunjukkan peringkat risiko yang memerlukan penanganan lebih lanjut berdasarkan risiko yang tersisa dan efektivitas pengendalian risiko yang ada.

4) Perlakuan Risiko

Setiap risiko memerlukan bentuk perlakuan yang khas untuk tiap risiko itu sendiri. Pemeriksaan ulang yang cukup komprehensif perlu dilakukan untuk setiap risiko yang memerlukan perlakuan risiko. Perlakuan suatu risiko dapat bermanfaat untuk risiko-risiko lainnya (satu perlakuan untuk beberapa risiko-risiko), tetapi mungkin juga diperlukan beberapa perlakuan untuk satu risiko. Beberapa perlakuan terhadap suatu risiko:

Menghindari risiko (risk avoidance), tidak melaksanakan atau melanjutkan kegiatan yang menimbulkan risiko tersebut.

Berbagi risiko (risk sharing/transfer), suatu tindakan untuk mengurangi kemungkinan timbulnya risiko atau dampak risiko. Misalnya melalui asuransi, outsourcing, subcontracting, tindak lindung mata uang asing, dll.

Mitigasi (mitigation), melakukan perlakuan risiko untuk mengurangi kemungkinan timbulnya risiko, atau mengurangi dampak risiko bila terjadi, atau mengurangi keduanya (kemungkinan dan dampak). Mitigasi merupakan bagian dari kegiatan organisasi sehari-hari.

Menerima risiko (risk acceptance), tidak melakukan perlakuan apapun terhadap risiko tersebut.

5) Monitoring dan Review

(26)

26

Hasilnya harus didokumentasikan serta dilaporkan baik internal maupun eksternal. Beberapa pertanyaan dasar yang disusun dalam proses monitoring dan review yaitu: a) Siapa yang melakukan monitoring dan review?

Dewan Komisaris dan Direksi wajib melakukan proses monitoring dan review. Dewan Komisaris bertanggung jawab dalam pelaksanaan monitoring dan review terhadap keseluruhan operasi perusahaan. Direksi bertanggung jawab mengarahkan dan mengendalikan operasi perusahaan. Dua macam pelaksanaan monitoring:

Pemantauan berkelanjutan (ongoing monitoring), dilaksanakan oleh pelaksana pekerjaan (self review atau continous monitoring) dan atasan pekerja (line management monitoring)

Pemantauan terpisah (separate monitoring), dilakukan oleh pihak ketiga baik internal maupun eksternal auditor dan hasilnya dilaporkan kepada Direksi dan Dewan Komisaris.

b)Apa yang perlu dipantau dan ditinjau?

Pemantauan terhadap perubahan, sehingga dinamika pemantauan risiko akan mengikuti dinamika perubahan yang terjadi pada proses organisasi dan lingkungan organisasi tersebut.

Pemantauan kinerja manajemen risiko, khususnya ditunjukan pada risiko-risiko yang tinggi dan kritis. Pemantauan difokuskan pada efektivitas pengendalian risikonya.

 Kemungkinan timbulnya risiko-risiko baru akibat dilakukannya suatu tindakan perlakuan risiko yang baru.

c) Informasi yang bagaimana yang harus dievaluasi? Informasi yang dapat digunakan adalah informasi yang:

Sesuai, informasi yang relevan, dapat dipercaya, dan tepat waktu. Kesesuaian informasi merupakan ukuran kualitas informasi.

Berkecukupan, ukuran dari jumlah informasi yang dibutuhkan harus cukup untuk mengambil keputusan. Kecukupan dapat ditentukan secara statistik melalui smapling dan ditentukan dengan selera risiko atau toleransi risiko yang ditetapkan. d)Prosedur yang bagaimana yang harus digunakan dan seberapa sering?

(27)

27

Pemantauan berkelanjutan, dilakukan oleh pelaksana proses dengan menggunakan indikator kinerja proses dan kinerja hasil. Untuk memudahkannya dibuat prosedur terkait hal yang harus dipantau dan frekuensi pemantauannya, agar produktivitas kerja tidak terganggu dan efektivitas pengendalian risiko tetap terjaga.

Pemantauan oleh atasan, menekankan pada hasil proses dan ditetapkan jangka waktu serta pelaporannya secara berjenjang hingga ke tingkat Direksi dan Dewan Komisaris.

Pemantauan oleh pihak ketiga, meninjau keseluruhan prosedur pemantauan berkelanjutan dan pemantauan oleh atasan untuk memastikan kepatuhan terhadap standar, peraturan perundangan, dan peraturan internal yang digunakan, sekaligus memeriksa efektivitas penerapan sistem manajemen risiko.

e) Bagaimana proses pelaporan dan siapa yang berhak membacanya?

Bentuk laporan hasil monitoring dan review, bila terdapat kelemahan sistem manajemen risiko:

Laporan hasil temuan audit, laporan kelemahan pengendalian risiko yang akan disampaikan pertama kepada risk owner dan atasan risk owner dan/atau atasan unit tersebut.

Laporan kelemahan sistem, laporan kelemahan sistem pengendalian risiko yang kritis untuk dikomunikasikan kepada Direksi dan Komite Pemantau Risiko dari Dewan Komisaris.

Laporan tindak lanjut masalah, laporan tindak lanjut bila diperoleh laporan adanya kelemahan pengendalian risiko baik dari internal maupun eksternal. Perbaikan atas kelemahan ini harus segera dilaksanakan.

d. Dokumentasi Manajemen Risiko 1) Fungsi dokumentasi manajemen risiko

 Sumber informasi atas proses yang terjadi atas pelaksanaan kegiatan dan dapat menjadi dasar pengambilan keputusan atas permasalahan yang sama di masa depan.

(28)

28

 Sarana untuk preservasi pengetahuan sebagai bagian dari proses pengembangan knowledge management dalam suatu organisasi.

2) Struktur dokumentasi manajemen risiko

Dokumentasi rencana manajemen risiko (risk management plan), dasar untuk pelaksanaan manajemen risiko dan disusun oleh fungsi manajemen risiko.

Dokumentasi manajemen risiko (risk management documentation), dokumen-dokumen yang diperlukan untuk mengelola proses penerapan manajemen risiko, baik oleh fungsi manajemen risiko ataupun para risk owner.

2. Aspek Perawatan

Aspek perawatan merupakan aspek yang memastikan adanya upaya menjaga efektivitas penerapan dan perbaikan yang berkesinambungan melalui monitoring dan review serta audit manajemen risiko. Unsur-unsur yang mempengaruhi pelaksanaan aspek perawatan dalam manajemen risiko adalah (1) risk governnace, (2) budaya risiko, dan (3) pengembangan manajemen risiko.

a. Risk Governance

1) Akuntabilitas

Dewan Komisaris merupakan penanggung jawab tertinggi dalam memastikan bahwa manajemen risiko perusahaan telah dilaksanakan dengan baik serta efektif dan efisien. Untuk itu, Dewan Komisaris harus membentuk Komite Pemantau Risiko, atau apabila dianggap berlebihan, maka dapat diserahkan kepada Komite Audit yang tercantum dalam Piagam Audit.

Direksi harus melakukan pemantauan secara berkala terhadap kinerja manajemen risiko. Akuntabilitas Direksi dilakukan dalam dua hal, yaitu:

 Pembentukan Fungsi Manajemen yang mandiri, merupakan kepanjangan tangan Direksi dalam memastikan bahwa manajemen risiko diterapkan dengan efektif dan efisien serta memberikan nilai tambah melalui jaminan yang wajar dalam pencapaian sasaran perusahaan.

(29)

29

2) Jenis monitoring dan review

a) Evaluasi penerapan manajemen risiko harus dilaksanakan minimal satu kali dalam satu tahun.

b) Laporan fungsi manajemen risiko setiap triwulan terhadap Direksi dengan tembusan ke Dewan Komisaris atas:

 Status profil risiko perusahaan terkini dan trend

 Efektivitas pengendalian risiko-risiko besar dan risiko-risiko kritis

 Hasil mitigasi-mitigasi risiko yang dilakukan dalam periode laporan tersebut

 Perubahan lingkungan eksternal dan internal yang berpotensi risiko bagi perusahaan

 Observasi kemampuan risk owner perusahaan dalam menangani risiko-risiko yang menjadi tanggung jawabnya.

b. Budaya Risiko

Pengembangan budaya sadar risiko bertujuan agar dalam setiap pengambilan keputusan baik keputusan strategis hingga keputusan dalam operasi sehari-hari dilakukan dengan hati-hati dan penuh pertimbangan (informed decision making). 1) Strategi pengembangan budaya risiko

Tone from the top, Direksi sebagai pimpinan puncak perusahaan harus dapat menciptakan perilaku keteladanan (tone from the top) sehingga seluruh jajaran perusahaan yakin bahwa penerapan manajemen risiko, terutama budaya sadar risiko, dapat menciptakan nilai tambah dan berguna dalam memberikan jaminan yang wajar atas pencapaian sasaran perusahaan.

Penciptaan crtitical mass, perlu dilakukan sosialisasi dan pelatihan yang ekstensif ke seluruh jajaran perusahaan sehingga seluruh karyawan mengetahui mengenai risiko dan sadar akan pentingnya penerapan manajemen risiko dalam kegiatan operasional sehari-hari. Pencapaian critical mass penting untuk penciptaan “bahasa” yang sama dan pemahaman yang serupa mengenai risiko serta membuat proses perubahan berjalan mandiri dan berkelanjutan (sustainable).

(30)

30

Gambar 5: Strategi Pengembangan Budaya Risiko

c. Pengembangan Manajemen Risiko

1) Pengembangan sistem, metoda dan teknik

Pengembangan teknologi, metoda dan alat perlu dilakukan secara terus-menerus untuk mengikuti dinamika perkembangan bisnis dan perubahan situasi eksternal yang penuh dengan ketidakpastian guna meningkatkan daya tahan dan keliatan (resilience) perusahaan.

(31)

31

yang dituntut oleh teknik tersebut dan harus sesuai dengan tujuan penciptaan teknik tersebut serta perlu dikaji ulang apabila ingin diterapkan pada bidang yang lain.

Untuk meningkatkan penerapan manajemen risiko, setiap perusahaan harus mengkaji dan mencari teknik yang paling cocok dengan mengacu pada proses bisnis utamanya. Kemampuan perusahaan dalam mengembangkan kapabilitas manajemen risikonya ditentukan oleh risk governance dan budaya risiko.

2) Benchmarking

Benchmarking merupakan upaya untuk membandingkan kapabilitas dan

efektivitas penerapan manajemen risiko yang telah dilaksanakan oleh perusahaan dengan penerapan di perusahaan yang lain. Melalui benchmarking, perusahaan dapat saling belajar dan bertukar pengalaman, baik dengan perusahaan dalam industri sejenis maupun dari sektor lainnya. Selain itu, perusahaan dapat memperbaiki dan mungkin menentukan suatu teknik yang lebih cocok atau memodifikasi suatu teknik yang unggul untuk disesuaikan dengan kondisi perusahaan.

3) Forum Manajemen Risiko

Pembentukan forum manajemen risiko atau bergabung dengan asosiasi profesional manajemen risiko dapat membantu perusahaan untuk dapat mengikuti perkembangan manajemen risiko yang terkini. Informasi yang diperoleh dapat dipelajari lebih lanjut dan dikaji kesesuaiannya untuk diterapkan di perusahaan.

E. GlaxoSmihKline 1. Profil Perusahaan

(32)

32

menginvestasikan uangnya sebesar £3,4 milyar dalam pengembangan obat-obatan baru, vaksin, dan produk konsumen.

2. Kasus GlaxoSmihKline

Beberapa tahun terakhir GSK terkenal dengan permasalahannya dalam dunia kesehatan. Salah satu permasalahan tersebut adalah kasus suap GlaxoSmithKline di Cina. Kasus GlaxoSmithKline di Cina berawal dari tuduhan kecurangan operasional yang dilakukan GlaxoSmithKline yang berasal dari laporan seorang whistleblower melalui email terhadap perusahaan di bulan Januari 2013. Dalam email tersebut disebutkan dugaan bahwa tim penjualan perusahaan telah menargetkan beberapa dokter yang berpengaruh dan memberikan dokter tersebut sejumlah hadiah mahal ataupun uang. Email tersebut dikirimkan bersamaan dengan rekaman skandal seks petinggi GlaxoSmithKline China, Mark Rilley.

ChinaWhys, sebuah perusahaan yang dimiliki oleh Mr Humphrey, disewa oleh GlaxoSmithKline untuk menginvestigasi siapa whistleblower dan pihak yang melakukan rekaman tersebut. Pihak GlaxoSmithKline menduga bahwa email tersebut dikirimkan oleh Vivian Shin Wen, yang telah keluar di akhir tahun 2012. Laporan atas investigasi tersebut diberikan pada Juni 2013, tetapi tidak terungkap siapa pihak yang melakukan rekaman tersebut.

Dalam email tersebut disebutkan juga bahwa GlaxoSmithKline mengirimkan beberapa dokter untuk liburan mahal dan menyamarkannya sebagai konferensi serta menggunakan jasa agen travel untuk menyalurkan suap kepada dokter dan kepada para pejabat.

Email dari whistleblower tersebut bukan hanya berisi tentang biaya travel, tetapi juga berisi tentang strategi agresif perusahaan yang sebagian besar berkaitan dengan kegiatan suap menyuap serta berisi tuduhan sebagai berikut :

 GlaxoSmithKline memalsukan pencatatannya untuk menyembunyikan kejahatan termasuk penyuapan dan promosi penggunaan obat-obatan yang belum disetujui kegunaannya

 Pemberian uang kepada dokter dalam penjualan produk

(33)

33

 Kegagalan GlaxoSmithKline dalam menginvestigasi tim penjualan mereka

Menurut GlaxoSmithKline, perusahaan telah menginvestigasi sejumlah dugaan dengan menggunakan external legal dan audit advice kemudian atas investigasi tersebut terungkap beberapa kecurangan tetapi tidak ditemukan kecurangan yang berhubungan dengan tuduhan yang ada dalam email tersebut. Sejak kasus ini terungkap, empat orang eksekutif senior telah ditahan termasuk Liang Hong yang merupakan wakil presiden dan manager operasi yang mengungkapkan kepada stasiun televisi Cina tentang cara penyaluran uang melalui agen perjalanan dengan merancang konferensi kesehatan, yang beberapa diantaranya sebenarnya tidak pernah diadakan. Mark Rilley pun sebagai kepala GlaxoSmithKline Cina terdahulu juga mengalami penahanan.

Pada tanggal 26 Juli 2013 dirilis data-data terbaru atas kasus ini. Para pekerja GlaxoSmithKline mengakui bahwa mereka memang melakukan tindakan penyuapan kepada dokter dengan memberikan hadiah, biaya perjalanan, dan pembayaran atas peresepan obat. Para karyawan tersebut juga mengakui bahwa dalam beberapa kasus, GlaxoSmithKline mengkompensasi seminar kedokteran fiktif. Atas pengakuan ini, 18 orang karyawan ditahan. Tak lama kemudian Mr Humprey yang merupakan investigator, yang telah disebutkan sebelumnya, dan istrinya, Yu Yingzeng, ditangkap. Badan Otoritas Cina tidak pernah secara eksplisit mengungkapkan hubungan antara kasus GSK dengan keduanya. Dalam hal ini hanya dikatakan bahwa persidangan mereka akan dilakukan secara tertutup. Keduanya diduga ditangkap karena dugaan perbuatan melanggar hukum yakni penjualan informasi pribadi konsumen termasuk alamat dan anggota keluarga.

Menurut Humprey selama bertindak sebagai investigator, Humphrey tidak ditunjukkan email yang berisi dugaan whistleblower ketika menginvestigasi kasus ini. Dalam beberapa minggu sebelum dia ditangkap, dia baru menyadari dan percaya bahwa dugaan yang diungkapkan oleh whistleblower adalah benar.

(34)

34

Pada tanggal 14 Mei 2014, Kepolisan Cina mengumumkan hasil investigasi dengan menegaskan bahwa perusahaan dan para eksekutifnya akan dituntut dan sebagai akhir dari kasus ini pada bulan September 2014, GlaxoSmithKline mengumumkan bahwa unitnya yang di Cina akan membayar denda sebesar 3 milyar Yuan setelah terbukti menyuap pegawai non-pemerintah di negara tersebut.

Kasus GlaxoSmithKline menjadi sorotan karena meskipun telah melakukan 20 kali audit internal di Cina dalam satu tahun dan penyelidikan selama 4 bulan di awal tahun 2013 seperti yang disebutkan di atas, para eksekutif seperti menutup mata atas terjadinya kasus korupsi ini. Beberapa pendapat mengatakan bahwa biaya agen perjalanan ini terlihat sangat valid tetapi dibantah dengan pendapat lain yang mengatakan bahwa seharusnya biaya perjalanan yang tinggi memunculkan pertanyaan di dalam GlaxoSmithKline dan juga di pada pihak auditor eksternal yakni Pricewaterhouse Coopers.

Menurut konsultan yang telah bekerja di perusahaan, alasan yang memungkinkan terjadinya kasus ini terletak pada pembayaran yang tidak dicatat dan keterlibatan senior manager. Tuduhan suap melalui agen perjalanan bukan (dari GSK sendiri) dan banyaknya transaksi individual yang jumlahnya tidak material, menyebabkan tidak diangkatnya kasus ini oleh auditor. Hal ini merupakan tindakan kecurangan yang rapi dan terjadi tingkat kolusi yang tinggi sehingga sulit untuk terdeteksi.

Menurut para ahli industri, pemberian hadiah dan pembayaran kepada para dokter untuk bersedia meresepkan obat adalah hal yang lazim dan hal ini juga merupakan salah satu hal yang mengancam bagi industri farmasi di Cina. Oleh karena itu, penggunaan hak untuk melakukan internal audit juga bukan merupakan hal yang mudah bagi GlaxoSmithKline, yang merupakan perusahaan multinasional, terutama jika pihak yang diharapkan akan membantu pelaksanaan audit juga terlibat dalam kecurangan tersebut akibat anggapan ‘budaya’ yang ada.

(35)

35

kesehatan memang memperbesar jumlah biaya pemasaran dalam industri obat-obatan tetapi area tersebut memang sudah seharusnya dicurigai.

3. Analisis Kasus

Menurut kami, manajemen risiko belum dijalankan dengan baik dalam kasus GlaxoSmithKline di Cina. Hal ini terbukti dengan adanya tindakan-tindakan agresif yang dilakukan oleh pejabat GlaxoSmithKline yang pada akhirnya meningkatkan risiko bisnis perusahaan. Dalam teorinya, perusahaan yang telah memiliki manajemen risiko yang baik akan terus mengidentifikasi dan akan menentukan tindakan serta akan memberikan tanggapan atas ke kesempatan dan ancaman yang akan mempengaruhi pencapaian perusahaan. Dalam hal ini, manajemen GlaxoSmithKline mengabaikan ancaman risiko apabila perusahaan melanggar aturan sebuah negara dengan melakukan perbuatan tidak etis.

Menurut paper The Role of Internal Auditing in Enterprise-Wide Risk Management yang diterbitkan oleh The Institute of Internal Auditors, terdapat beberapa panduan yang menjelaskan keterlibatan audit internal dalam manajemen risiko. Peranan auditor internal dalam manajemen risiko adalah memberikan keyakinan yang objektif bahwa risiko bisnis perusahaan telah dikelola dengan tepat dan pengendalian internal perusahaan atas efektivitas manajemen risiko telah dijalankan dengan baik kepada para dewan.

Secara umum auditor internal akan memberikan keyakinan dalam 3 hal, yaitu :

 Proses manajemen risiko, baik dari segi merancang maupun dalam melihat seberapa baik proses tersebut bekerja.

 Manajemen atas risiko utama termasuk di dalamnya efektivitas dari kontrol

 Penilaian yang andal dan tepat atas risiko dan pelaporan risiko serta status pengendalian

Berdasarkan panduan ini, keberadaan audit internal juga dapat memberikan tindakan konsultasi untuk meningkatkan tata kelola perusahaan, manajemen risiko, dan proses pengendalian dengan bergantung pada sumber informasi eksternal maupun internal yang tersedia dan risiko organisasiyang bervariasi dari waktu ke waktu.

(36)

36

Audit internal tidak dapat mendeteksi kesalahan yang terjadi akibat kecurangan dalam proses manajemen risiko terutama atas manajemen risiko utama seperti efektivitas atas kontrol. Auditor internal juga tidak memberikan penilaian yang andal atas risiko dalam perusahaan meskipun telah melakukan 20 kali audit internal dalam satu tahun.

Selain itu, audit internal tidak dapat menyediakan jasa konsultasi dengan baik karena para auditor tidak didukung oleh sumber daya informasi yang baik. Dalam kasus ini, tindakan suap kepada dokter dengan memberikan sejumlah uang agar dokter menggunakan obat perusahaan dalam kegiatan medis merupakan tindakan yang dianggap wajar di Cina. Dari pihak internal GlaxoSmithKline, diketahui bahwa para dewan eksekutif dan juga beberapa karyawan melakukan kejahatan yang terstruktur atas korupsi dan suap yang terjadi di perusahaan.

Menurut kelompok kami, auditor internal juga tidak dapat melakukan perannya dengan baik dalam komponen hukum dan peraturan karena audit internal gagal untuk mendeteksi apakah organisasi telah menjalankan bisnisnya dengan penuh tanggung jawab sesuai dengan hukum yang berlaku dan tidak dapat mengidentifikasi tingkat kepatuhan perusahaan. Dari komponen praktik bisnis dan etika, audit internal juga tidak dapat menilai hubungan yang etis antara pengaturan tujuan dan proses evaluasi kinerja terbukti dengan ketidakmampuan audit internal dalam menemukan perbuatan suap yang material yang melanggar etika dalam proses pencapaian perusahaan.

(37)

37

Daftar Referensi

Aturan Bapepam-LK IX.I.7 (2008) - Pembentukan dan Pedoman Penyusunan Piagam Unit Audit Internal.

Crowe Horwarth (2011) - Strengthening Corporate Governance With Internal Audit

Gracie, Carrie. Systematic Bribery at GlaxoSmithKline China ‘credible’ –investigator http://www.bbc.com/news/world-asia-china-28142118 tanggal 3 Juli 2014 diakses pada 3 November 2014.

Hirschler, Ben. How GlaxoSmithKline missed red flags in China

http://www.reuters.com/article/2013/07/19/us-gsk-china-redflags-idUSBRE96I0L420130719 tanggal 19 Juli 2013 diakses pada 3 November 2014.

KNKG (2011) - Draft Pedoman Penerapan Manajemen Risiko Berbasis Governance.

Saigol, Lina dan John Aglioby. Timeline :GSK’s mounting woes in China

http://www.ft.com/cms/s/0/ef7f7e1a-ed35-11e2-ad6e-00144feabdc0.html#axzz3IGhyJXvf tanggal 19 September 2014 diakses pada 3 November 2014

Tracey, Meredith. A Full Timeline of the GSK Bribery Scandal http://www.pm360online.com/a-full-timeline-of-the-gsk-bribery-scandal/ tanggal 30 Juli 2014 diakses pada 3 November 2014

(38)

38

Wardoyo, Trimanto S., dan Lena. (2010). “Peranan Auditor Internal dalam Menunjang Pelaksanaan Good Corporate Governance”. Akurat Jurnal Ilmiah Akuntansi No.3.

https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rj a&uact=8&ved=0CCEQFjAA&url=http%3A%2F%2Frepository.maranatha.edu% 2F44%2F1%2FPERANAN%2520AUDITOR%2520INTENAL%2520DALAM% 2520MENUNJANG%2520PELAKSANAAN%2520GCG.pdf&ei=EulZVNz6Fpa hugT3l4GoAg&usg=AFQjCNHIyIgd7mscX1Uv5QJk9Ej9Fh3n1Q&sig2=Fj-TC0GxGSRs-T4Vg4x1bg

Cina mencekal petinggi GlaxoSmithKline

http://www.bbc.co.uk/indonesia/majalah/2013/07/130718_bisnis_glaxosmithkline tanggal 18 Juli 2013 diakses pada 3 November 2014

http://www.tempo.co/read/news/2014/09/20/090608358/Cina-Denda-Perusahaan-Inggris-3-Miliar-Yuan

Gambar

Gambar 1:  Kerangka Kerja Manajemen Risiko
Gambar 2: Proses Manajemen Risiko
Gambar 3: Operasionalisasi Kerangka Kerja dan Proses Manajemen Risiko
Gambar 4: Peringkat Risiko
+2

Referensi

Dokumen terkait

Penelitian ini bertujuan untuk mengetahui dan menganalisis pengaruh faktor-faktor pertumbuhan ekonomi (pertumbuhan tenaga kerja, pertumbuhan kredit investasi

Metode yang digunakan dalam penelitian ini adalah metode deskriptif dengan pendekatan cross sectonal, yaitu menggambarkan jenis bakteri tonsilitis kronis dari

Variabel yang berkenaan dengan peran dan fungsi profesi meliputi (1) kinerja yang ditunjukkan konselor merupakan tugas yang harus dia lakukan untuk memfasilitasi perkembangan

Demikian juga menurut pengamat berdasarkan hasil analisis video pembelajaran menggunakan lembar observasi kelas dikjasor masuk dalam kategori baik dengan nilai 68,35%; (3)

Tujuan penelitian ini adalah untuk mengetahui ukuran partikel abu sekam padi (ASP) setelah dilakukan preparasi dengan larutan HCl dan NaOH dan disintesis

Suatu meta analisis dari 43 penelitian (Mathieu dan Zajac, 1990) menunjukkan bahwa kepuasan kerja berhubungan positif dengan komitmen affective dan berhubung- an

Huraian Sukatan Pelajaran ialah dokuman yang memperincikan Sukatan Pelajaran yang bertujuan untuk memenuhi cita-cita murni semangat Falsafah Pendidikan Kebangsaan, dan

memberikan masukan, saran dan petimbangan dalam rangka perumusan kebijakan dan pemecahan permasalahan berkaitan penguatan moral etika, budaya masyarakat, dan tata