-
1
TATA KELOLA PERUSAHAAN
PERAN AUDIT INTERNAL
dan
MANAJEMEN RISIKO
Kelompok 3
Anggota:
Aisyah Istiqomah (1306483933)
Lia Mustikawati (1306484734)
Manna Noverika Lestari (1306484772)
Putri Anandayu (1306485062)
Fakultas Ekonomi
Universitas Indonesia
November 2014
-
2
STATEMENT OF AUTHORSHIP
Kami yang bertandatangan di bawah ini menyatakan bahwa
makalah/tugas terlampir
adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan
orang lain yang kami
gunakan tanpa menyebutkan sumbernya.
Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan
untuk makalah/tugas
pada mata ajaran lain kecuali kami menyatakan dengan jelas bahwa
kami menyatakan
menggunakannya.
Kami memahami bahwa tugas yang kami kumpulkan ini dapat
diperbanyak dan atau
dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme.
Mata Ajaran : Tata Kelola Perusahaan
Judul Makalah/Tugas : Peran Audit Internal dan Manajemen
Risiko
Tanggal : 6 November 2014
Dosen : Desi Adhariani S.E., Ak., M.Si.
1. Nama : Aisyah Istiqomah 2. Nama : Lia Mustikawati
NPM : 1306483933 NPM : 1306484734
TTD : TTD :
3. Nama : Manna Noverika L. 4. Nama : Putri Anandayu
NPM : 1306484772 NPM : 1306485062
TTD : TTD :
-
3
Peran Audit Internal dan Manajemen Risiko
A. Analisis Peran Internal Audit dalam Manajemen Risiko
Perusahaan
Menurut Ikatan Auditor Internal (Institute of Internal
Auditors-IIA), Audit
Internal adalah aktivitas independen, keyakinan objektif, dan
konsultasi yang dirancang
untuk menambah nilai dan meningkatkan operasi organisasi. Audit
internal membantu
organisasi dalam upayanya mencapai tujuan dengan berbagai cara
seperti melakukan
pendekatan sistematis dan disiplin untuk mengevaluasi dan
meningkatkan efektivitas
manajemen risiko, pengendalian, dan proses tata kelola
oragnisasi. Dari definisi diatas
dapat dilihat bila fungsi dari audit internal yang dilakukan
perusahaan adalah untuk
memberikan informasi yang berguna bagi manajemen dalam
menjalankan operasi atau
aktivitas organisasi.
Menurut IIA Enterprise-wide Risk Management (ERM) adalah proses
terstruktur,
konsisten, dan terus-menerus di seluruh organisasi untuk
mengidentifikasi, menilai,
memutuskan tanggapan atau respon terhadap pelaporan tentang
peluang dan ancaman
yang mempengaruhi pencapaian tujuan organisasi. Manajemen Risiko
perusahaan
adalah sebuah proses, dipengaruhi oleh dewan entitas direksi,
manajemen dan personel
lainnya, diterapkan dalam peraturan strategis dan di seluruh
perusahaan, yang dirancang
untuk mengidentifikasi kejadian potensial yang dapat
mempengaruhi entitas, dan
mengelola risiko untuk berada dalam risk appetite, untuk
memberikan keyakinan
memadai tentang pencapaian tujuan entitas.
Peranan inti dari audit internal dalam ERM adalah untuk
memberikan jaminan
yang objektif kepada dewan atas efektivitas dari manajemen
risiko. Keterlibatan audit
internal didalam ERM dapat menambah nilai organisasi tapi juga
menimbulkan risiko
yang akan mengganggu organisasi tersebut. Risiko yang
dihadapinya adalah akan
munculnya kompromi terhadap independensi dan objektivitas
internal dari auditor
tersebut. Untuk menanggapi isu ini IIA mengeluarkan surat
pernyataan yang bersikan
peran inti audit internal dalam hal ERM serta peran yang tidak
seharusnya dilakukan
audit internal, berikut ini merupakan rincian isi pernyataan
tersebut:
IIA membagi peran Audit Internal dalam ERM menjadi tiga
kategori, yaitu:
-
4
1. Peran audit internal inti dalam ERM
a. Pemberian keyakinan pada desain dan efektivitas proses
manajemen risko
b. Pemberian keyakinan bahwa risiko dievaluasi dengan benar
c. Mengevaluasi proses manajemen risiko
d. Mengevaluasi pelaporan mengenai status dari risiko-risiko
kunci dan
pengendaliannya
e. Meninjau pengelolaan risiko-risiko kunci, termasuk
efektivitas dari pengendalian
dan respon lain terhadap risiko-risiko tersebut
2. Peranan audit internal yang sah dengan pengamanan
a. Memulai pembentukan ERM dalam organisasi
b. Mengembangkan strategi manajemen risiko bagi persetujuan
dewan
c. Mempertahankan dan mengembangkan kerangka ERM
d. Memfasilitasi identifikasi dan evalusi risiko
e. Pelatihan manajemen tentang merespon risiko
f. Mengkoordinasikan kegiatan ERM
g. Mengonsolidasi laporan mengenai risiko
3. Peranan audit internal dalam ERM yang tidak boleh
dilakukan
a. Mengatur minat risiko (risiko appetite)
b. Menerapkan proses manajemen risiko
c. Menjamin manajemen risiko
d. Membuat keputusan pada respon risiko
e. Menerapkan respon dan manajemen risiko atas nama
manajemen
f. Akuntabilitas manajemen risiko
Menurut Crowe Horwath, peranan internal audit dalam manajemen
risiko
adalah sebagai berikut:
1. Proaktif mendukung dan berpartisipasi dalam upaya ERM
organisasi, termasuk
pembentukan ERM.
2. Mempermudah identifikasi daerah berisiko bagi organisasi
serta proses yang
paling penting bagi organisasi
3. Memastikan strategi bisnis terkait dengan proses ERM
-
5
4. Mengawasi proses pemahaman, menilai, merancang dan
mendokumentasikan
kontrol
5. Risiko persedian organisasi dan kepatuhan kegiatan serta
usaha untuk
mengintegrasikan kedalam metodologi umum
6. Mengevaluasi bisnis dan proses manajeman untuk mengambil
tanggung jawab
untuk ERM
Secara lebih mendetail, beberapa peranan internal audit didalam
manajemen risiko
yang dapat dijelaskan secara mendetail adalah:
1. Memeriksa kelayakan program manajemen risiko
Dalam kaitannya dengan peranan ini adalah, internal audit
berperan untuk
memeriksa, mengevaluasi, serta memberikan respon terhadap
kelayakan
administrasi, manajemen risiko, dan proses pengendalian terkait
untuk
menyediakan jaminan atas kelayakannya. Dengan peranan ini sudah
dipastikan
proses pemeriksaan yang dilakukan oleh internal audit pasti
berkaitan atau
berpengaruh terhadap program manajemen risiko. Pada peranan ini
internal audit
juga dapat memberikan penilaian apa sebenarnya risiko potensial
yang akan
timbul kapan saja yang dapat menggangu keberlangsungan usaha
pencapaian
tujuan organisasi, sehingga berbagai program yang dibuat dalam
manajemen
risiko dapat mengantisipasi berbagai potensial risiko yang
ada.
2. Memeriksa dan melaporkan praktik mitigasi risiko utama
Dalam peranan ini, internal audit seharusnya juga dapat
memeriksa dan
melaporkan proses-proses yang dilakukan atau dijalankan oleh
bagian manajemen
risiko dalam melakukan mitigasi risiko-risiko utama yang terkait
dengan
operasional perusahaan sehari-hari. Tugas ini dapat berupa:
membuat rencana
audit berkala terhadap masing-masing risiko yang sebelumnya
sudah ada atau
yang baru berpotensi ada, dimulai dari rencana pencegahan,
tindakan pencegahan,
rencanan penanganan, tindakan penanganan, serta pencapaian atas
rencana
mitigasi risiko yang telah dilaksanakan.
3. Memberikan saran, rekomendasi, dan konsultasi mitigasi
risiko
Sebagai mana mestinya, dalam proses pemeriksaan (internal
audit), pasti akan
dihasilkan suatu potensi risiko ataupun risiko yang memang telah
dihadapi
-
6
organisasi, dan semestinya dengan dilakukannya pemeriksaan
tersebut selain
dapat mengidentifikasi risiko juga dapat memberikan saran dan
masukan
bagaimana seharusnya manajemen risiko mengimplementasikan
programnnya dan
menghadapi risiko-risiko yang ada untuk dapat meminimalisasi
dampak negatif
yang mungkin timbul. Selain itu, internal audit seharusnya dapat
menjadi sumber
informasi dan juga tempat konsultasi bagi manajemen dalam
mengimplementasikan program-programnya.
4. Menjadi pemimpin dalam menyusun dan melakukan uji coba
implementasi
Standar Operasi dan Prosedur (SOP), terkait dengan manajemen
risiko
Dalam peranan ini, internal audit menjadi asistensi mengawal dan
menggiring
risiko menuju garis batas yang masih dapat ditoleransikan oleh
organisasi atau
perusahaan.
Setelah melihat penjabaran mengenai peranan internal audit dalam
manajemen
risiko diatas kita dapat menyimpulkan bahwa pada saat ini telah
terjadi pergeseran
pandangan menganai internal auditor disebuah organisasi, yang
pada awalnya dianggap
sebagai polisi organisasi dengan penilaian-penialain yang
diberikannya saat ini
pandangan mengenai auditor internal telah bergeser menjadi
business partner yang
tidak dapat dipisahkan dari proses manajemen organisasi. Auditor
initernal saat ini tidak
lagi hanya memberikan penilaian saja tetapi juga telah ikut
serta dalam mendeteksi
risiko organisasi, mengevaluasi program-program manajemen, serta
turut serta dalam
perbaikan dan memberikan konsultasi bagi program yang dijalankan
oleh manajemen.
B. Peran Internal Audit dalam Pelaksanaan CG yang Efektif
Menurut peraturan Bapepam LK No. IX.I.7, Audit Internal adalah
kegiatan
pemberian keyakinan (assurance) dan konsultasi yang bersifat
independen dan obyektif,
dengan tujuan untuk meningkatkan nilai dan memperbaiki
operasional perusahaan,
melalui pendekatan yang sistematis, dengan cara mengevaluasi dan
meningkatkan
efektivitas manajemen risiko, pengendalian, dan proses tata
kelola perusahaan.
Para Dewan Sertifikasi Qualified Internal Auditor (DS-QIA) serta
Perhimpunan
Auditor Internal Indonesia (PAII) berkeyakinan bahwa fungsi
audit internal yang efektif
mampu menawarkan sumbangan penting dalam meningkatkan proses
corporate
-
7
governance. Internal audit merupakan dukungan penting bagi
komisaris, direksi, komite
audit, dan manajemen senior dalam membentuk fondasi bagi
pengembangan corporate
governance didalam suatu organisasi atau perusahaan. Fungsi
audit internal biasanya
dilakukan bukan dengan tujuan menguji kelayakan laporan
keuangan, akan tetapi untuk
membantu pihak manajemen dalam mengidentifikasi
kelemahan-kelemahan, kegagalan-
kegagalan, dan inefisiensi dari berbagai program yang telah
direncanakan oleh
organisasi atau perusahaan yang bersangkutan.
Audit internal berpengaruh secara signifikan terhadap
implementasi good
corporate governance, dimana semakin tinggi peran audit internal
maka akan semakin
mendukung kinerja implementasi good corporate governance (GCG).
Auditor internal
berperan untuk memastikan terlaksananya prinsip-prinsip GCG yang
telah dibahas pada
pertemuan-pertemuan sebelumnya, yaitu yang meliputi
transparansi, akuntabilitas,
pertanggungjawaban, independensi, dan kewajaran yang nantinya
akan mampu
memberian kejelasan mengenai fungsi, hak dan tanggung jawab
antara pihak-pihak
yang berkepentingan atas perusahaan, proses pengendalian
internal dan menciptakan
keseimbangan organ perusahaan dan juga keseimbangan antar
stakeholders.
Didalam Crowe Horwarth (2011), pada tingkat yang lebih tinggi ,
tata kelola
perusahaan memiliki tujuh komponen yang saling terkait yaitu,
dewan direksi dengan
komite, hukum dan peraturan, pengungkapan dan transparansi,
praktik bisnis dan etika,
manajemen risiko perusahaan, pemantauan, dan komunikasi. Tujuh
komponen ini
memberikan pandangan yang komprehensif, kompleks, keterkaitan
dan variable
organisasi harus mengelolanya dengan baik untuk memperkuat tata
kelola mereka.
Ketika seluruh komponen dapat beroperasi dengan efektif dan
terkoordinasi secara
efisien, tata kelola perusahaan akan menyediakan platform atau
landasan untuk
membantu meningkatkan kinerja bisnis dan meningkatkan nilai bagi
stakeholders.
Peranan internal audit didalam tujuh komponen organisasi
tersebut yang dapat
membantu implementasi corporate governance yang efektif adalah
sebagai berikut:
1. Board of Directors and Committees
Membantu dewan direksi dan komite dengan penilaian diri mereka
dan praktik
terbaik.
-
8
Menilai efektivitas komite audit dan kepatuhan terhadap
peraturan. Ulasan piagam
komite audit dengan bantuan penasihat hukum.
Interaktif tentang masalah tata kelola, membawa ide-ide terbaik
dalam praktik
tentang pengendalian internal dan proses manajemen risiko untuk
mengaudit
anggota komite.
Menetapkan keakuratan informasi yang digunakan dalam pengambilan
keputusan
oleh komite kompensasi, dan
Membantu board dengan kuasanya melaporkan pengawasan manajemen
risiko.
2. Legal and Regulatory
Memverifikasi sesuai hukum bahwa organisasi telah
mengidentifikasi persyaratan,
tanggung jawab yang diberikan, dan semua persyaratan hukum dan
peraturan
yang ditujukan
Mencari peluang untuk meningkatkan kegiatan kepatuhan dan
kemampuan untuk
mengurangi biaya jangka panjang dan meningkatkan kinerja
3. Business Practice and Ethics
Meninjau kode etik dan kebijakan, memverifikasi bahwa keduanya
diperbaharui
secara berkala dan disampaikan kepada manajemen dan pegawai
Menyelenggarakan ilmu perilaku untuk meninjau dan menilai
pemahaman dan
persepsi kepatuhan di setiap tingkatan organisasi
Membantu manajemen dan komite audit untuk menahan orang dalam
setiap
tingkatan untuk bertanggung jawab, mendengarkan perkataan mereka
tetapi juga
melihat tindakan mereka
Melayanin dalam peranan pengawasan etika atau membicarakan
kepada petugas
etika
Berpartisipasi dalam whistle-blower dan proses investigasi
complain lainnya
Melakukan audit tahunan dan proses tindak lanjut (contohnya
kepatuhan terhadap
kebijakan dan konsistensi tindakan), pelaporan untuk komite
audit
Menilai hubungan etika dengan penetapan tujuan dan evaluasi
proses kinerja
4. Disclosure and Transparency
Melakukan pengujian pengungkapan keuangan dan mebicarakan dengan
CFO
-
9
Memahami mengenai pengungkapan dan transparansi, penilaian
risiko yang
disesuaikan dengan ekspektasi stakeholders
Pada rencana audit tahunan, menuju pada tujuan pengungkapan dan
transparansi
Memahami secara luas dan mendalam, gambaran dari kemungkinan
pengungkapan dan transparansi, dan dimana organisasi
mengusahakan akan hal
tersebut
Berpartisipasi secara aktif dalam komite pengungkapan, termasuk
mengevaluasi
efektivitas
Meninjau proses sub-certification
5. Enterprise Risk Management
Proaktif mendukung dan berpartisipasi dalam upaya ERM
organisasi, termasuk
pembentukan ERM.
Mempermudah identifikasi daerah berisiko bagi organisasi serta
proses yang
paling penting bagi organisasi
Memastikan strategi bisnis terkait dengan proses ERM
Mengawasi proses pemahaman, menilai, merancang dan
mendokumentasikan
kontrol
Risiko persedian organisasi dan kepatuhan kegiatan serta usaha
untuk
mengintegrasikan kedalam metodologi umum
Mengevaluasi bisnis dan proses manajeman untuk mengambil
tanggung jawab
untuk ERM
6. Monitoring
Memahami aktivitas monitoring dalam organisasi pada
masing-masing komponen
dalam kerangka kelola organisai
Memfasilitasi pelaksanaan metodologi pemantauan risiko umum di
semua fungsi
tata kelola perusahaan, sehingga sistem pelaporan
terintegrasi
Melakukan pemeriksaan tata kelola perusahaan pada tingkat
perencanaan strategi
Menggabungkan aspek tata kelola perusahaan ke dalam tingkat
perencanaan audit
Mengembangkan jaminan penilaian (scorecard) dan laporan
per-triwulan
7. Communication
-
10
Berpartisipasi dalam dialog yang berkelanjutan dengan penasihat
umum, kepala
keuangan, dan pejabat manajemen senior lainnya
Menjaga komunikasi yang stabil dengan komite audit dan eksekutif
pengawas
Mencakup informasi tentang tata kelola perusahaan dalam laporan
audit
Membantu dalam membangun komunikasi penjadwalan tata kelola
dan
mengumpulkan sejumlah masukan tentang kebutuhan seluruh
organisasi
C. Perbandingan Peraturan Bapepapm-LK terkait Internal Audit
dengan
Peran Internal Audit menurut IIA (2009) dan Crowe Horwarth
(2011)
Menurut peraturan No. IX.I.7 Bapepam LK, Audit Internal adalah
suatu kegiatan
pemberian keyakinan (assurance) dan konsultasi yang bersifat
independen dan obyektif,
dengan tujuan untuk meningkatkan nilai dan memperbaiki
operasional perusahaan,
melalui pendekatan yang sistematis, dengan cara mengevaluasi dan
meningkatkan
efektivitas manajemen risiko, pengendalian, dan proses tata
kelola perusahaan.
Peraturan ini juga membahas Struktur dan Kedudukan Unit Audit
Internal dalam
perusahaan, antara lain bahwa Unit Audit Internal dipimpin oleh
kepala Unit Audit
Internal yang diangkat dan diberhentikan (jika tidak memenuhi
persyaratan sesuai
peraturan ini dan atau gagal atau tidak cakap menjalankan tugas)
oleh direktur utama
atas persetujuan dewan komisaris. Auditor yang duduk dalam Unit
Audit Internal
bertanggung jawab secara langsung kepada kepala Unit Audit
Internal, sementara
kepala Unit Audit Internal bertanggung jawab kepada direktur
utama.
Persyaratan auditor internal yang disebutkan diatas menurut
peraturan No IX.I.7
yaitu memiliki integritas dan perilaku yang profesional,
independen, jujur, dan obyektif
dalam pelaksanaan tugasnya, serta memiliki pengetahuan dan
pengalaman mengenai
teknis audit dan disiplin ilmu lain yang relevan dengan bidang
tugasnya. Auditor
Internal juga harus mengetahui peraturan perundang-undangan di
bidang pasar modal
dan peraturan perundang-undangan terkait lainnya, cakap dalam
berinteraksi dan
berkomunikasi baik lisan maupun tertulis secara efektif, dan
wajib mematuhi standar
profesi yang dikeluarkan oleh asosiasi Audit Internal. Auditor
Internal wajib menjaga
kerahasiaan informasi dan/atau data perusahaan terkait dengan
pelaksanaan tugas dan
tanggung jawab Audit Internal kecuali diwajibkan berdasarkan
peraturan perundang-
-
11
undangan atau penetapan/putusan pengadilan, memahami
prinsip-prinsip tata kelola
perusahaan yang baik dan manajemen risiko, dan bersedia
meningkatkan pengetahuan,
keahlian dan kemampuan profesionalismenya secara
terus-menerus.
Sementara tugas dan tanggung jawab Unit Audit Internal
berdasarkan peraturan
tersebut adalah menyusun dan melaksanakan rencana Audit Internal
tahunan, menguji
dan mengevaluasi pelaksanaan pengendalian interen dan sistem
manajemen risiko
sesuai dengan kebijakan perusahaan, melakukan pemeriksaan dan
penilaian atas
efisiensi dan efektivitas di bidang keuangan, akuntansi,
operasional, sumber daya
manusia, pemasaran, teknologi informasi dan kegiatan lainnya,
memberikan saran
perbaikan dan informasi yang obyektif tentang kegiatan yang
diperiksa pada semua
tingkat manajemen, membuat laporan hasil audit dan menyampaikan
laporan tersebut
kepada direktur utama dan dewan komisaris, memantau,
menganalisis dan melaporkan
pelaksanaan tindak lanjut perbaikan yang telah disarankan,
bekerja sama dengan
Komite Audit, menyusun program untuk mengevaluasi mutu kegiatan
audit internal
yang dilakukannya, dan melakukan pemeriksaan khusus apabila
diperlukan.
Dalam melakukan tugas dan tanggung jawab tersebut, Unit Audit
Internal
diberikan kewenangan untuk mengakses seluruh informasi yang
relevan tentang
perusahaan terkait dengan tugas dan fungsinya, melakukan
komunikasi secara langsung
dengan direksi, dewan komisaris, dan/atau Komite Audit serta
anggota dari direksi,
dewan komisaris, dan/atau Komite Audit, mengadakan rapat secara
berkala dan
insidentil dengan direksi, dewan komisaris, dan/atau Komite
Audit, dan melakukan
koordinasi kegiatannya dengan kegiatan auditor eksternal.
Seperti dinyatakan dalam peraturan ini, perusahaan publik wajib
memiliki piagam
Audit Internal yang meliputi hal-hal diatas, seperti struktur
dan kedudukan Unit Audit
Internal, tugas dan tanggung jawab Unit Audit Internal, wewenang
Unit Audit Internal,
kode etik Unit Audit Internal, persyaratan auditor yang duduk
dalam Unit Audit
Internal, pertanggungjawaban Unit Audit Internal, dan larangan
perangkapan tugas dan
jabatan auditor dan pelaksana yang duduk dalam Unit Audit
Internal dari pelaksanaan
kegiatan operasional perusahaan.
Dapat kita lihat diatas, bahwa Bapepam-LK lebih mengacu kepada
ketentuan
dan peraturan mengenai Audit Internal. Sedangkan dalam naskah
berjudul IIA Position
-
12
Paper: the Role of Internal Auditing in Enterprise-Wide Risk
Management yang dibuat
oleh Institute of Internal Auditor (IIA) lebih membahas mengenai
peran auditor dalam
pengelolaan resiko perusahaan.
Dalam naskahnya, IIA lebih menekankan kepada konsep ERM
(Enterprise-Wide
Risk Management), yaitu suatu proses yang terstruktur,
konsisten, dan terus menerus
dalam suatu organisasi secara keseluruhan, yang dilakukan untuk
mengidentifikasi,
menilai, memutuskantanggapan terhadapdan pelaporantentang
peluangdan
ancamanyang mempengaruhipencapaiantujuannya. Prinsip-prinsip
yang dijelaskan oleh
IIA dapat digunakan untuk memanduketerlibatanaudit internaldalam
segala
bentukmanajemen risiko.
Peran utama dari audit internal dalam ERM adalah memberikan
jaminan/keyakinan (assurance) yang obyektif mengenai efektivitas
manajemen resiko
perusahaan kepada dewan. Gambar dibawah menunjukan cakupan
aktivitas dalam ERM
yang memperlihatkan batasan atas hal-hal yang seharusnya
dilakukan oleh audit internal
dan hal-hal yang tidak boleh dijalankan oleh anggota audit
internal. Hal ini ditentukan
berdasarkan pertimbangan mengenai seberapa jauh pekerjaan
tersebut mengancam
independensi dan obyektivitas dari auditor internal, dengan
seberapa banyak pekerjaan
tersebut meningkatkan kontrol dan manajemen resiko serta
tatakelola perusahaan.
-
13
Aktivitas pada bagian kiri gambar menunjukan kegiatan minimal
dalam pekerjaan
assuranceyang dilakukan oleh audit internal. Namun, unit audit
internal juga dapat
memberikan saran dan konsultansi untuk meningkatkan kontrol dan
manajemen resiko
serta tatakelola perusahaan, seperti yang digambarkan pada
aktivitas-aktivitas dibagian
tengah. Meskipun begitu, seiring perkembangan manajemen resiko
dalam kegiatan
operasional perusahaan, tanggung jawab audit internal dalam ERM
juga akan
berkurang. Dapat dilihat pada gambar diatas, semakin ke kanan
ruang lingkup kegiatan
audit internal, akan semakin besar pula resiko untuk menjaga
independensi dan
objektifitas mereka.
Faktor kunci yang menentukan apakah kegiatan konsultasi yang
dilakukan
seimbang dan tidak melebihi kegiatan assurance yang memang
merupakan tugas audit
internal adalah bahwa unit audit internal tidak menanggung
tanggung jawab manajerial.
Dalam ERM, internal audit dapat menyediakan selama tidak
benar-benar berperan
dalam pengelolaan resiko (yang merupakan tanggung jawab
manajemen) dan selama
manajemen juga mengaplikasikan dan mendukung berlangsungnya
ERM.
Selain peraturan Bapepam-LK dan IIA, Crowe Howart LLP sebagai
salah satu
kantor akuntan publik dan konsultan akuntansi, perpajakan dan
keuangan terbesar di
Amerika juga menerbitkan tulisan berjudul Strengthening
Corporate Governance with
Internal Audit mengenai peran audit internal dalam memenuhi
peningkatan ekspektasi
terkait persamaan kemampuan internal audit dengan peningkatan
penilaian dan
pengawasan terhadap kualitas tata kelola perusahaan.
Crowe Horwath menyebutkan bahwa tanggung jawab audit internal
semakin
berkembang seiring dengan meningkatnya pengawasan dari berbagai
pihak, mulai dari
dewan direksi hingga investor. Mereka juga mengungkapkan adanya
perubahan peran
audit internal, dimana pada sekitar tahun 1990 minat dan
kepercayaan masyarakat pada
kegiatan bisnis sedang tinggi-tingginya, sesuai dengan naiknya
harga saham. Meskipun
telah ada audit internal yang berfungsi untuk mengalokasikan
sumberdaya perusahaan
berdasarkan resiko, pegawainya terbatas dan audit yang dilakukan
lebih fokus terhadap
pengawasan dan penilaian kinerja. Namun peraturan terkini,
maraknya gerakan anti
penipuan/korupsi dalam perusahaan serta banyaknya kasus
whistle-blower yang terjadi
mendorong auditor untuk berperan lebih aktif dalam
perusahaan.
-
14
Berdasarkan perkembangan tersebut, terdapat tujuh komponen dalam
kerangka
tata kelola perusahaan menurut Crowe Horwath. Pada masing-masing
komponen, telah
dikembangkan tugas dan tanggung jawab bagi peran audit internal
dalam perusahaan.
Komponen dan tanggung jawab tersebut antara lain:
Dewan Direksi dan Komite Audit
Tanggung jawab audit internal terhadap dewan direksi dan komite
audit antara
lain:
- Membantu dewan direksi dan komite audit dalam menjalankan
tugasnya.
- Memberikan ide mengenai pengelolaan resiko dan internal
kontrol.
- Memastikan keakuratan informasi yang dijadikan dasar
pengambilan
keputusan.
Hukum dan Peraturan
Tanggung jawab audit internal terkait hukum dan peraturan antara
lain:
- Memastikan bahwa perusahaan telah mengetahui dan memenuhi
semua
persyaratan sesuai peraturan yang berlaku.
- Mengidentifikasi peluang yang mempengaruhi pemenuhan aktivitas
yang dapat
mengurangi biaya jangka panjang dan meningkatkan kinerja.
Praktek dan Etika Bisnis
Tanggung jawab audit internal terkait praktek dan etika bisnis
antara lain:
- Memeriksa kebijakan terkait kode etik perusahaan dan
memastikan kebijakan
tersebut diperbarui sesuai kebutuhan perusahaan dari waktu ke
waktu dan
menyampaikan perubahan yang ada kepada pegawai.
- Menjalankan tugasnya dengan mengikuti kode etik
perusahaan.
- Berpartisipasi dalam proses invetigasi mengenai
whistle-blowerdan keluhan
lainnya mengenai etika bisnis perusahaan.
Pengungkapan dan Transparansi
Tanggung jawab audit internal terkait pengungkapan dan
transparansi antara lain:
- Melakukan pemeriksaan terhadap pengungkapan laporan
keuangan
perusahaan.
- Memahami resiko terkait pelaporan keuangan yang dapat terjadi
sesuai
karakteristik perusahaan.
-
15
- Menyatakan tujuan atas pengungkapan dan transparansi dengan
jelas dan
mengkomunikasikannya kepada pegawai.
Enterprise Risk Management (ERM)
Tanggung jawab audit internal terkait ERM antara lain:
- Memastikan strategi bisnis berjalan sesuai proses ERM
- Secara aktif berperan sebagai penasehat maupun partisipan
dalam kegiatan
ERM perusahaan.
Pengawasan
Tanggung jawab audit internal terkait pengawasan antara
lain:
- Memahami dimana saja aktivitas pengawasan diperlukan dalam
perusahaan.
- Memfasilitasi implementasi metobe pengawasan terhadap resiko
umum di
seluruh bagian perusahaan.
Komunikasi
Tanggung jawab audit internal terkait komunikasi dalam
organisasi antara lain:
- Menyatakan semua informasi mengenai tata kelola perusahaan
dalam laporan
audit.
- Menjaga kelancaran komunikasi dengan masing-masing anggota
unit audit
internal, kepala keuangan, dewan direksi, dll.
D. Manajemen Risiko menurut Draft Pedoman Penerapan Manajemen
Risiko
Berbasis Governance KNKG 2011
Suatu organisasi dalam menyusun strategi untuk melaksanakan
proses utama
organisasinya, perlu memperhatikan risiko-risiko yang mungkin
muncul, antisipasi
terhadap risiko, dan menentukan hal yang akan dilakukan jika
risiko tersebut benar-
benar terjadi. Hal inilah yang mendasari pentingnya manajemen
risiko bagi suatu
organisasi. Menurut KNKG dalam Draft Pedoman Penerapan Manajemen
Risiko
Berbasis Governance (2011), manajemen risiko adalah upaya
organisasi yang
terkoordinasi untuk mengarahkan dan mengendalikan risiko.
Menurut KNKG (2011), penerapan manajemen risiko yang baik
dapat
memberikan beberapa keuntungan bagi perusahaan, yakni:
-
16
Mengurangi terjadinya peristiwa yang kurang menyenangkan, risiko
yang mungkin
muncul telah diantisipasi sebelumnya.
Meningkatkan hubungan baik dengan para pemangku kepentingan,
manajemen risiko
memerlukan komunikasi timbal balik yang intens yang dapat
membangun kesamaan
persepsi dan kepentingan.
Meningkatkan efektivitas dan efisiensi manajemen, organisasi
lebih siap dalam
menghadapi dan menangani risiko yang mungkin muncul karena telah
diidentifikasi
sebelumnya.
Lebih memberikan jaminan yang wajar atas pencapaian sasaran
perusahaan, karena
ketiga hal di atas dapat tercapai.
KNKG menyarankan bahwa dalam proses penerapan manajemen risiko
terdapat
tiga aspek yang perlu diperhatikan, yaitu aspek struktural,
aspek operasional, dan aspek
perawatan.
1. Aspek Stuktural Aspek struktural merupakan aspek yang
memastikan arah penerapan, struktur
organisasi penerapan, akuntabilitas pelaksanaan manajemen risiko
dalam organisasi,
dan penyediaan sumber daya. Dengan kata lain, aspek struktural
menjadi dasar atau
fondasi bagi penerapan manajemen risiko pada suatu organisasi.
Penerapan manajemen
risiko awalnya berfokus pada bagaimana menangani risiko secara
parsial, tetapi saat ini
fokusnya telah berkembang menjadi terintegrasi untuk keseluruhan
organisasi yang
disebut sebagai ERM (enterprise risk management).
a. Prinsip-prinsip manajemen risiko yang efektif:
1) Manajemen risiko melindungi dan menciptakan nilai tambah
2) Manajemen risiko adalah bagian terpadu dari proses
organisasi
3) Manajemen risiko adalah bagian dari proses pengambilan
keputusan
4) Manajemen risiko secara khusus menangani aspek
ketidakpastian
5) Manajemen risiko bersifat sistematik, terstruktur, dan tepat
waktu
6) Manajemen risiko berdasarkan pada informasi terbaik yang
tersedia
7) Manajemen risiko adalah khas untuk penggunanya (tailored)
8) Manajemen risiko mempertimbangkan faktor manusia dan
budaya
9) Manajemen risiko harus transparan dan inklusif
-
17
10) Manajemen risiko bersifat dinamis, berulang, dan tanggap
terhadap perubahan
11) Manajemen risiko harus memfasilitasi terjadinya perbaikan
dan peningkatan
organisasi secara berlanjut.
b. Kerangka Kerja Manajemen Risiko
Kerangka kerja akan memastikan berjalannya pelaporan dari proses
manajemen
risiko mengenai informasi risiko yang lengkap dan memadai serta
akan digunakan
sebagai landasan dalam pengambilan keputusan.
Gambar 1: Kerangka Kerja Manajemen Risiko
c. Mandat dan Komitmen
Dalam kerangka kerja manajemen risiko, mandat dan komitmen
merupakan
sentral, sesuai dengan peraturan perundang-undangan, yang
menjadi sumber dasar
hukum entitas. Alter ego perusahaan dalam UU PT adalah Dewan
Direksi dan Dewan
Komisaris. Direksi merupakan penanggung jawab utama penerapan
manajemen risiko
perusahaan, sedangkan Komisaris merupakan pengawas tertinggi
dalam pelaksanaan
pengawasan penerapan manajemen risiko perusahaan.
Mandat &
Komitmen
Perencanaan Kerangka Kerja Manajemen Risiko
Penerapan Manajemen Risiko
Monitoring & Review Penerapan Kerangka Kerja
MR
Perbaikan Sinambung Kerangka Kerja MR
-
18
d. Proses Manajemen Risiko
Secara singkat, proses manajemen risiko merupakan penerapan
kerangka kerja
manajemen risiko pada tiap-tiap jenis risiko yang secara
spesifik mempunyai karakter
yang berbeda-beda sesuai dengan konteksnya (tailored). Gambar
berikut merupakan
proses manajemen risiko dalam KNKG (2011).
Gambar 2: Proses Manajemen Risiko
e. Tata Kelola Risiko
Tata kelola risiko meliputi unsur-unsur sebagai berikut:
1) Kebijakan manajemen risiko, pernyataan komitmen secara
tertulis oleh Dewan
Direksi dan Dewan Komisaris untuk menerapkan manajemen
risiko.
2) Akuntabilitas penerapan manajemen risiko, akuntabilitas
tertinggi berada pada
Direksi, secara lebih khusus pada Direktur Utama atau yang
ditunjuk. Selain itu
perlu diperhatikan mengenai:
Penunjukan champion, bertanggung jawab sebagai fasilitator
penerapan
manajemen risiko ke seluruh organisasi (ERM)
Penunjukan risk owner, pemangku risiko dan penanggung jawab
pengelolaan
risiko pada divisi yang dipimpinnya
Penyusunan infrastruktur organisasi sebagai unit untuk mendorong
penerapan
ERM
Penyusunan mekanisme organisasi untuk penerapan manajemen
risiko
Proses untuk menimbulkan budaya sadar risiko ke seluruh
organisasi
-
19
3) Infrastuktur manajemen risiko, setiap organisasi harus
menyusun infrastruktur
manajemen risiko sesuai dengan kebutuhan dan jenis-jenis risiko
yang
dihadapinya.
4) Tata laksana, komunikasi, dan pelaporan, metode yang sering
digunakan
adalah RACI Matrix yakni:
Responsible, siapa yang mengerjakan kegiatan
Accountable, siapa yang memiliki hak membuat keputusan akhir
serta
menjawab pertanyaan pihak lain
Consulted, siapa yang harus dilibatkan atau diajak berkonsultasi
sebelum atau
saat pelaksanaan kegiatan
Informed, siapa yang harus diberi informasi mengenai apa yang
sedang terjadi
tanpa harus menghentikan kegiatan tersebut.
f. Sumber Daya Penerapan Manajemen Risiko
Beberapa pengalokasian sumber daya memadai yang harus dilakukan
untuk
pelaksanaan manajemen risiko:
Personalia dengan pengalaman, keterampilan dan keahlian yang
memadai serta
jumlah yang sesuai dengan kebutuhan
Sumber dana dan sumber daya yang diperlukan untuk setiap tahapan
penerapan
manajemen risiko
Proses dan prosedur yang terdokumentasi dengan baik
Sistem informasi dan manajemen pengetahuan
1. Aspek Operasional
Aspek operasional merupakan aspek operasionalisasi bagi
manajemen risiko di
seluruh organisasi tetapi juga spesifik bagi masing-masing
bagian atau bahkan bagi
masing-masing pemilik risiko.Proses manajemen risiko dan
penanganan manajemen
perubahan merupakan bagian dari aspek operasional sedangkan,
aspek spesifik adalah
penerapan proses manajemen risiko itu sendiri pada tiap-tiap
risiko. Dalam aspek
operasionalisasi, perlu lingkup tugas mana yang menjadi bagian
level organisasi
keseluruhan (perusahaan) dan wilayah mana yang menjadi bagian
risk owner (divisi,
departemen, dll).
-
20
Gambar 3: Operasionalisasi Kerangka Kerja dan Proses Manajemen
Risiko
Proses manajemen risiko yang berada di tengah pada gambar di
atas merupakan
domain kegiatan risk owner sedangkan kegiatan lainnya merupakan
domain kegiatan
organisasi, yang merupakan tugas khusus fungsi manajemen risiko
organisasi yaitu
untuk menyediakan dasar bagi kegiatan para risk owner dalam
menerapkan manajemen
risiko.
a. Manajemen Perubahan
Organisasi akan mengalami beberapa tahapan dalam melakukan
setiap pengenalan
program baru kepada seluruh anggotanya, yakni:
Penolakan, semua orang karena sudah nyaman dengan kondisi yang
ada akan
mempertanyakan kegunaan dari program baru tersebut.
Perlawanan, orang mulai melihat manfaatnya tetapi masih ragu
untuk
melaksanakannya.
-
21
Eksplorasi, mulai timbul keinginan untuk memahami dan
mengeksplorasi lebih jauh
karena sudah melihat manfaatnya dengan jelas.
Komitmen, melakukan perubahan tersebut dan proses perubahan akan
berlangsung
dengan baik.
Proses manajemen perubahan meliputi peluncuran, sosialisasi dan
pelatihan
hingga penerapan manajemen risiko dan pada akhirnya akan tumbuh
budaya sadar
risiko. Oleh karena itu, perubahan harus dimulai dari tup
management terlebih dahulu
sehingga akan menjadi change leader yang akan diikuti oleh
middle management, dan
begitu seterusnya sampai ke tahap line management dan seluruh
karyawan. Selain itu,
proses penerapan manajemen risiko harus direncanakan dan disusun
sedemikian rupa
sehingga penolakan dan perlawanan dapat diatasi dengan baik.
b. Panduan Manajemen Risiko
Alat utama dalam operasionalisasi manajemen risiko ke seluruh
organisasi adalah
berupa Manual Manajemen Risiko atau buku panduan manajemen
risiko. Melalui
manual ini, istilah dan definisi diseragamkan untuk menghindari
multi interpretasi dan
penerapan serta proses manajemen risiko dilaksanakna sesuai
dengan standar yang
ditentukan oleh Direksi. Setiap perusahaan memiliki panduan
manajemen risiko yang
berbeda atau unik namun, secara umum terdapat beberapa sttruktur
yang sama yaitu
menjelaskan latar belakang dan alasan diterapkannya ERM,
menguraikan prinsip-
prinsip manajemen risiko, menguraikan kerangka kerja manajemen
risiko, menguraikan
proses manajemen risiko di setiap tahapan, menguraikan konteks
manajemen risiko, dan
memberikan panduan untuk implementasi manajemen risiko secara
menyeluruh di
perusahaan.
c. Implementasi Manajemen Risiko
Pada dasarnya merupakan implementasi kerangka kerja manajemen
risiko dan
implementasi proses manajemen risiko. Dalam sebuah perusahaan
hanya ada satu
kerangka kerja manajemen risiko yang berlaku secara menyeluruh.
Namun, dalam
proses mananjemen risiko konteks dan isinya, terutama alat dan
metodenya dapat
berbeda-beda untuk tiap risiko yang ditangani. Berikut merupakan
tahapan-tahapan
dalam proses manajemen risiko.
1) Komunikasi dan Konsultasi
-
22
Pada setiap tahapan proses manajemen risiko harus dilakukan
komunikasi dan
konsultasi se-ekstensif mungkin dengan para risk owner baik
internal maupun eksternal.
Rencana komunikasi dan konsultasi harus disusun dan merujuk pada
risiko yang
mungkin terjadi, dampak, dan tindakan yang perlu dilakukan untuk
mengatasinya, serta
hal lain yang terkait. Risk owner memberikan pertimbangan dan
penilaian terhadap
risiko yang didasarkan pada persepsi mereka atas risiko
tersebut. Penting untuk
mengidentifikasi persepsi para risk owner terutama ketika
pandangan mereka dapat
memengaruhi dan menentukan dalam pengambilan keputusan.
2) Penentuan Konteks
Penentuan konteks artinya menentukan batasan atau parameter
internal dan
eksternal yang akan dijadikan pertimbangan dalam pengelolaan
risiko, menentukan
lingkup kerja, dan kriteria risiko untuk proses-proses
selanjutnya.
a) Konteks Internal, segala sesuatu di dalam organisasi yang
dapat memengaruhi cara
organisasi dalam mengelola risiko. Proses manajemen risiko harus
dijalankan dengan
selaras dengan budaya, proses, dan kultur organisasi.
b) Konteks Eksternal, lingkungan eksternal di mana organisasi
mengupayakan
pencapaian sasaran yang ditetapkannya. Konteks internal meliputi
lingkungan
politik, budaya, sosial, ekonomi, hukum dan lainnya;
faktor-faktor pendorong yang
mempunyai dampak terhadapa pencapaian sasaran organisasi; dan
persepsi dan nilai-
nilai para stakeholders eksternal.
c) Konteks Proses Manajemen Risiko, merupakan konteks di mana
proses
manajemen risiko diterapkan. Penerapan manajemen risiko
dilaksanakan dengan
mempertimbangkan biaya dan manfaat dalam pelaksanaannya. Kontek
proses
manajemen risiko akan berubah sesuai dengan kebutuhan
organisasi.
d) Mengembangkan Kriteria Risiko, kriteria dapat merupakan
gambaran nilai-nilai
dan sasaran organisasi, dampak terhadap sumber daya organisasi,
serta aspek hukum
yang terkait dengan kegiatan organisasi. Kriteria harus
konsisten dengan kebijakan
manajemen risiko yang telah ditetapkan. Kriteria disusun pada
awal penerapan
proses manajemen risiko dan ditinjau ulang secara berkala.
Penyusunan kriteria
risiko terutama penting untuk melakukan asesmen risiko. Kriteria
yang perlu
dikembangkan antara lain: kriteria dampak, cara mengukur
kemungkinan terjadinya
-
23
risiko, cara menyusun kriteria tingkatan risiko, serta kriteria
keberhasilan penerapan
proses manajemen risiko.
3) Asesmen Risiko
Asesmen risiko merupakan proses pengidentifikasian risiko-risiko
yang mungkin
terjadi kemudian masing-masing risiko diberi atribut berdasarkan
analisis dengan
menggunakan kriteria risiko yang telah ditentukan. Setelah itu,
dilakukan evaluasi
pemeringkatan risiko sehingga dapat ditentukan tingkat prioritas
risiko yang akan
memerlukan perlakuan risiko.
a) Identifikasi Risiko, proses ini sangat penting karena risiko
yang tidak teridentifikasi
tidak akan ditangani pada proses-proses selanjutnya. Risiko
tidak hanya sekedar
suatu peristiwa tetapi juga mencakup informasi yang berkaitan
dengan peristiwa
tersebut. Beberapa elemen dalam informasi tersebut: sumber
risiko, kejadian,
konsekuensi, pengendalian (faktor pemicu risiko), serta
perkiraan waktu dan tempat
terjaidnya risiko. Ketgori teknik yang secara umum digunakan
untuk
mengidentifikasi risiko:
Teknik Brainstorming, antara lain Brainstorming, Delphi Method,
RSCA (Risk
Control Self-Assesment), focus group discussion.
Persepsi pihak terkait, antara lain document review,
stakeholders analysis,
expert judgement.
Proses bisnis, misalnya FMEA (Failure Mode & Effect
Analysis, fish bone
diagram).
Struktur organisasi atau pekerjaan (workbreakdown structure),
misalnya RBS
(Risk Breakdown Structure).
Contoh model risiko bisnis perusahaan sejenis (Bussiness Risk
Model).
Dalam prakteknya dapat dilakukan kombinasi dari berbagai macam
teknik di atas.
Proses identifikasi risiko akan menghasilkan daftar risiko
(rekaman data mengenai
riwayat risiko dan perkembangan perlakuannya) dan tabel risiko
(tabel kumpulan
risiko yang sudah dibuat daftar risikonya).
b) Analisis Risiko, upaya untuk memahami risiko lebih dalam
termasuk cara dan
strategi yang tepat dalam memperlakukan risiko tersebut.
Analisis dapat dilakukan
secara kualitatif, kuantitatif, semi kuantitatif, atau kombinasi
dari cara-cara ini,
-
24
tergantung dari kondisinya. Biasanya dalam praktik, untuk
mendapatkan indikasi
umum tingkat kegawatan risiko, terlebih dahulu dilakukan
analisis kualitatif.
Langkah berikutnya, sesuai dengan keperluan, dilakukan analisis
yang lebih spesifik
dan secara kuantitatif. Tujuannya untuk menganalisis dampak dan
kemungkinan
terjadinya risiko yang dapat menghambat pencapaian sasaran
organisasi. Dampak
tidak hanya merupakan ancaman belaka namun dapat pula diartikan
sebagai peluang
bagi organisasi. Gambar berikut merupakan hasil analisis risiko
berdasarkan
formulasi hubungan dampak dan kemungkinan yang dapat djadikan
ukuran
pemeringkatan kegawatan risiko.
Gambar 4: Peringkat Risiko
Hasil analisis risiko ini akan menjadi masukan bagi evaluasi
risiko dan untuk proses
pengambilan keputusan mengenai perlakuan terhadap risiko
tersebut.
c) Evaluasi Risiko, menentukan risiko-risiko mana yang
memerlukan perlakuan dan
bagaimana prioritas perlakuan atas risiko-risiko tersebut.
Risiko menurut banyak
pihak dikelompokkan menjadi:
Kelompok risiko tinggi (high risk), terdapat risiko-risiko yang
berbahaya dan
tidak dapat ditolerir, apapun manfaat yang terkandung dalam
kegiatan tersebut.
Langkah-langkah mitigasi risiko (risk reduction) hasil diambil,
berapapun
biayanya. Contohnya, terkait dengan keselamatan dan
kesehatan.
Kelompok risiko rendah (medium risk), risiko yang memerlukan
analisis
manfaat-biaya guna mengukur perbandingan antara peluang serta
dampak
buruknya. Contohnya, risiko bisnis.
-
25
Kelompok risiko rendah (low risk), risiko yang memiliki aspek
positif dan
negatif terlalu kecil sehingga tidak memerlukan penanganan
risiko secara khusus
dan kesalahan dari risiko ini tidak menimbulkan dampak besar
yang tidak
diinginkan. Contohnya, salah tulis.
Dalam menentukan kriteria risiko di atas, pengertian
pengendalian risiko perlu
diperhatikan. Sebagai contoh, suatu risiko masuk dalam kelompok
risiko tinggi tetapi
karena pengendalian risiko yang efektif, risiko tersisa menjadi
kecil, sehingga masuk
dalam kategori risiko rendah. Hasil evaluai risiko menunjukkan
peringkat risiko yang
memerlukan penanganan lebih lanjut berdasarkan risiko yang
tersisa dan efektivitas
pengendalian risiko yang ada.
4) Perlakuan Risiko
Setiap risiko memerlukan bentuk perlakuan yang khas untuk tiap
risiko itu sendiri.
Pemeriksaan ulang yang cukup komprehensif perlu dilakukan untuk
setiap risiko yang
memerlukan perlakuan risiko. Perlakuan suatu risiko dapat
bermanfaat untuk risiko-
risiko lainnya (satu perlakuan untuk beberapa risiko), tetapi
mungkin juga diperlukan
beberapa perlakuan untuk satu risiko. Beberapa perlakuan
terhadap suatu risiko:
Menghindari risiko (risk avoidance), tidak melaksanakan atau
melanjutkan
kegiatan yang menimbulkan risiko tersebut.
Berbagi risiko (risk sharing/transfer), suatu tindakan untuk
mengurangi
kemungkinan timbulnya risiko atau dampak risiko. Misalnya
melalui asuransi,
outsourcing, subcontracting, tindak lindung mata uang asing,
dll.
Mitigasi (mitigation), melakukan perlakuan risiko untuk
mengurangi
kemungkinan timbulnya risiko, atau mengurangi dampak risiko bila
terjadi, atau
mengurangi keduanya (kemungkinan dan dampak). Mitigasi merupakan
bagian
dari kegiatan organisasi sehari-hari.
Menerima risiko (risk acceptance), tidak melakukan perlakuan
apapun terhadap
risiko tersebut.
5) Monitoring dan Review
Proses monitoring dan review harus mencakup semua aspek dari
proses
manajemen risiko. Proses ini dapat berupa pemeriksaan biasa atau
pengamatan terhadap
apa yang sudah ada secara berkala maupun khusus dan dilakukan
secara terencana.
-
26
Hasilnya harus didokumentasikan serta dilaporkan baik internal
maupun eksternal.
Beberapa pertanyaan dasar yang disusun dalam proses monitoring
dan review yaitu:
a) Siapa yang melakukan monitoring dan review? Dewan Komisaris
dan Direksi wajib melakukan proses monitoring dan review.
Dewan Komisaris bertanggung jawab dalam pelaksanaan monitoring
dan review
terhadap keseluruhan operasi perusahaan. Direksi bertanggung
jawab mengarahkan
dan mengendalikan operasi perusahaan. Dua macam pelaksanaan
monitoring:
Pemantauan berkelanjutan (ongoing monitoring), dilaksanakan oleh
pelaksana
pekerjaan (self review atau continous monitoring) dan atasan
pekerja (line
management monitoring)
Pemantauan terpisah (separate monitoring), dilakukan oleh pihak
ketiga baik
internal maupun eksternal auditor dan hasilnya dilaporkan kepada
Direksi dan
Dewan Komisaris.
b) Apa yang perlu dipantau dan ditinjau?
Pemantauan terhadap perubahan, sehingga dinamika pemantauan
risiko akan
mengikuti dinamika perubahan yang terjadi pada proses organisasi
dan
lingkungan organisasi tersebut.
Pemantauan kinerja manajemen risiko, khususnya ditunjukan pada
risiko-
risiko yang tinggi dan kritis. Pemantauan difokuskan pada
efektivitas
pengendalian risikonya.
Kemungkinan timbulnya risiko-risiko baru akibat dilakukannya
suatu tindakan
perlakuan risiko yang baru.
c) Informasi yang bagaimana yang harus dievaluasi?
Informasi yang dapat digunakan adalah informasi yang:
Sesuai, informasi yang relevan, dapat dipercaya, dan tepat
waktu. Kesesuaian
informasi merupakan ukuran kualitas informasi.
Berkecukupan, ukuran dari jumlah informasi yang dibutuhkan harus
cukup untuk
mengambil keputusan. Kecukupan dapat ditentukan secara statistik
melalui
smapling dan ditentukan dengan selera risiko atau toleransi
risiko yang ditetapkan.
d) Prosedur yang bagaimana yang harus digunakan dan seberapa
sering?
Pengembangan dari pertanyaan pertama, yaitu:
-
27
Pemantauan berkelanjutan, dilakukan oleh pelaksana proses
dengan
menggunakan indikator kinerja proses dan kinerja hasil. Untuk
memudahkannya
dibuat prosedur terkait hal yang harus dipantau dan frekuensi
pemantauannya,
agar produktivitas kerja tidak terganggu dan efektivitas
pengendalian risiko tetap
terjaga.
Pemantauan oleh atasan, menekankan pada hasil proses dan
ditetapkan jangka
waktu serta pelaporannya secara berjenjang hingga ke tingkat
Direksi dan Dewan
Komisaris.
Pemantauan oleh pihak ketiga, meninjau keseluruhan prosedur
pemantauan
berkelanjutan dan pemantauan oleh atasan untuk memastikan
kepatuhan terhadap
standar, peraturan perundangan, dan peraturan internal yang
digunakan, sekaligus
memeriksa efektivitas penerapan sistem manajemen risiko.
e) Bagaimana proses pelaporan dan siapa yang berhak
membacanya?
Bentuk laporan hasil monitoring dan review, bila terdapat
kelemahan sistem
manajemen risiko:
Laporan hasil temuan audit, laporan kelemahan pengendalian
risiko yang akan
disampaikan pertama kepada risk owner dan atasan risk owner
dan/atau atasan
unit tersebut.
Laporan kelemahan sistem, laporan kelemahan sistem pengendalian
risiko yang
kritis untuk dikomunikasikan kepada Direksi dan Komite Pemantau
Risiko dari
Dewan Komisaris.
Laporan tindak lanjut masalah, laporan tindak lanjut bila
diperoleh laporan
adanya kelemahan pengendalian risiko baik dari internal maupun
eksternal.
Perbaikan atas kelemahan ini harus segera dilaksanakan.
d. Dokumentasi Manajemen Risiko
1) Fungsi dokumentasi manajemen risiko
Sumber informasi atas proses yang terjadi atas pelaksanaan
kegiatan dan dapat
menjadi dasar pengambilan keputusan atas permasalahan yang sama
di masa
depan.
Bukti hukum atas apa yang telah diputuskan dan dilaksanakan,
khususnya bila
terjadi sengketa hukum.
-
28
Sarana untuk preservasi pengetahuan sebagai bagian dari proses
pengembangan
knowledge management dalam suatu organisasi.
2) Struktur dokumentasi manajemen risiko
Dokumentasi rencana manajemen risiko (risk management plan),
dasar untuk
pelaksanaan manajemen risiko dan disusun oleh fungsi manajemen
risiko.
Dokumentasi manajemen risiko (risk management documentation),
dokumen-
dokumen yang diperlukan untuk mengelola proses penerapan
manajemen risiko,
baik oleh fungsi manajemen risiko ataupun para risk owner.
2. Aspek Perawatan
Aspek perawatan merupakan aspek yang memastikan adanya upaya
menjaga
efektivitas penerapan dan perbaikan yang berkesinambungan
melalui monitoring dan
review serta audit manajemen risiko. Unsur-unsur yang
mempengaruhi pelaksanaan
aspek perawatan dalam manajemen risiko adalah (1) risk
governnace, (2) budaya risiko,
dan (3) pengembangan manajemen risiko.
a. Risk Governance
1) Akuntabilitas
Dewan Komisaris merupakan penanggung jawab tertinggi dalam
memastikan
bahwa manajemen risiko perusahaan telah dilaksanakan dengan baik
serta efektif dan
efisien. Untuk itu, Dewan Komisaris harus membentuk Komite
Pemantau Risiko, atau
apabila dianggap berlebihan, maka dapat diserahkan kepada Komite
Audit yang
tercantum dalam Piagam Audit.
Direksi harus melakukan pemantauan secara berkala terhadap
kinerja manajemen
risiko. Akuntabilitas Direksi dilakukan dalam dua hal,
yaitu:
Pembentukan Fungsi Manajemen yang mandiri, merupakan kepanjangan
tangan
Direksi dalam memastikan bahwa manajemen risiko diterapkan
dengan efektif dan
efisien serta memberikan nilai tambah melalui jaminan yang wajar
dalam pencapaian
sasaran perusahaan.
Menghadiri dan melakukan review atas kinerja penerapan manajemen
risiko
perusahaan secara berkala, minimal setiap tiga bulan sekali.
-
29
2) Jenis monitoring dan review
a) Evaluasi penerapan manajemen risiko harus dilaksanakan
minimal satu kali dalam
satu tahun.
b) Laporan fungsi manajemen risiko setiap triwulan terhadap
Direksi dengan
tembusan ke Dewan Komisaris atas:
Status profil risiko perusahaan terkini dan trend
Efektivitas pengendalian risiko-risiko besar dan risiko-risiko
kritis
Hasil mitigasi-mitigasi risiko yang dilakukan dalam periode
laporan tersebut
Perubahan lingkungan eksternal dan internal yang berpotensi
risiko bagi
perusahaan
Observasi kemampuan risk owner perusahaan dalam menangani
risiko-risiko yang
menjadi tanggung jawabnya.
b. Budaya Risiko
Pengembangan budaya sadar risiko bertujuan agar dalam setiap
pengambilan
keputusan baik keputusan strategis hingga keputusan dalam
operasi sehari-hari
dilakukan dengan hati-hati dan penuh pertimbangan (informed
decision making).
1) Strategi pengembangan budaya risiko
Tone from the top, Direksi sebagai pimpinan puncak perusahaan
harus dapat
menciptakan perilaku keteladanan (tone from the top) sehingga
seluruh jajaran
perusahaan yakin bahwa penerapan manajemen risiko, terutama
budaya sadar
risiko, dapat menciptakan nilai tambah dan berguna dalam
memberikan jaminan
yang wajar atas pencapaian sasaran perusahaan.
Penciptaan crtitical mass, perlu dilakukan sosialisasi dan
pelatihan yang
ekstensif ke seluruh jajaran perusahaan sehingga seluruh
karyawan mengetahui
mengenai risiko dan sadar akan pentingnya penerapan manajemen
risiko dalam
kegiatan operasional sehari-hari. Pencapaian critical mass
penting untuk
penciptaan bahasa yang sama dan pemahaman yang serupa mengenai
risiko
serta membuat proses perubahan berjalan mandiri dan
berkelanjutan (sustainable).
Penyelarasan dengan insentif dan sanksi, upaya untuk mendorong
dan
mendukung perilaku budaya risiko yang diinginkan dan mencegah
serta
mempersulit perilaku budaya risiko yang tidak diinginkan.
-
30
Gambar 5: Strategi Pengembangan Budaya Risiko
c. Pengembangan Manajemen Risiko
1) Pengembangan sistem, metoda dan teknik
Pengembangan teknologi, metoda dan alat perlu dilakukan secara
terus-menerus
untuk mengikuti dinamika perkembangan bisnis dan perubahan
situasi eksternal yang
penuh dengan ketidakpastian guna meningkatkan daya tahan dan
keliatan (resilience)
perusahaan.
Penerapan teknologi informasi sebagai enabler, harus diikuti
dengan pemahaman
yang memadai terhadap apa yang ingin dicapai dengan penggunaan
teknologi tersebut
serta penggunaan informasi yang tepat dan akurat sebagai
landasan untuk
penerapannya. Dalam penggunaan teknik-teknik kuantitatif harus
dipahami persyaratan
-
31
yang dituntut oleh teknik tersebut dan harus sesuai dengan
tujuan penciptaan teknik
tersebut serta perlu dikaji ulang apabila ingin diterapkan pada
bidang yang lain.
Untuk meningkatkan penerapan manajemen risiko, setiap perusahaan
harus
mengkaji dan mencari teknik yang paling cocok dengan mengacu
pada proses bisnis
utamanya. Kemampuan perusahaan dalam mengembangkan kapabilitas
manajemen
risikonya ditentukan oleh risk governance dan budaya risiko.
2) Benchmarking
Benchmarking merupakan upaya untuk membandingkan kapabilitas
dan
efektivitas penerapan manajemen risiko yang telah dilaksanakan
oleh perusahaan
dengan penerapan di perusahaan yang lain. Melalui benchmarking,
perusahaan dapat
saling belajar dan bertukar pengalaman, baik dengan perusahaan
dalam industri sejenis
maupun dari sektor lainnya. Selain itu, perusahaan dapat
memperbaiki dan mungkin
menentukan suatu teknik yang lebih cocok atau memodifikasi suatu
teknik yang unggul
untuk disesuaikan dengan kondisi perusahaan.
3) Forum Manajemen Risiko
Pembentukan forum manajemen risiko atau bergabung dengan
asosiasi
profesional manajemen risiko dapat membantu perusahaan untuk
dapat mengikuti
perkembangan manajemen risiko yang terkini. Informasi yang
diperoleh dapat dipelajari
lebih lanjut dan dikaji kesesuaiannya untuk diterapkan di
perusahaan.
E. GlaxoSmihKline
1. Profil Perusahaan
GlaxoSmithKline (GSK) adalah sebuah perusahaan multinasional
Inggris yang
bergerak di bidang kesehatan. Perusahaan ini resmi memulai
memulai kegiatan
operasionalnya dengan nama GlaxoSmithKline pada tahun 2001,
setelah terjadinya
merger antara GlaxoWelcome plc dan SmithKline Beecham plc. Saat
ini perusahaan
bergerak dalam pengembangan vaksin, obat-obatan, dan produk
layanan kesehatan
lainnya dengan jumlah pabrik mencapai 86 pabrik di 36 negara.
GlaxoSmithKline
mempekerjakan lebih dari 12.500 orang pegawai di bidang R&D
dengan total pegawai
mencapai 99.000 orang di 115 negara. Pada tahun 2013,
GlaxoSmithKline
-
32
menginvestasikan uangnya sebesar 3,4 milyar dalam pengembangan
obat-obatan baru,
vaksin, dan produk konsumen.
2. Kasus GlaxoSmihKline
Beberapa tahun terakhir GSK terkenal dengan permasalahannya
dalam dunia
kesehatan. Salah satu permasalahan tersebut adalah kasus suap
GlaxoSmithKline di
Cina. Kasus GlaxoSmithKline di Cina berawal dari tuduhan
kecurangan operasional
yang dilakukan GlaxoSmithKline yang berasal dari laporan seorang
whistleblower
melalui email terhadap perusahaan di bulan Januari 2013. Dalam
email tersebut
disebutkan dugaan bahwa tim penjualan perusahaan telah
menargetkan beberapa dokter
yang berpengaruh dan memberikan dokter tersebut sejumlah hadiah
mahal ataupun
uang. Email tersebut dikirimkan bersamaan dengan rekaman skandal
seks petinggi
GlaxoSmithKline China, Mark Rilley.
ChinaWhys, sebuah perusahaan yang dimiliki oleh Mr Humphrey,
disewa oleh
GlaxoSmithKline untuk menginvestigasi siapa whistleblower dan
pihak yang
melakukan rekaman tersebut. Pihak GlaxoSmithKline menduga bahwa
email tersebut
dikirimkan oleh Vivian Shin Wen, yang telah keluar di akhir
tahun 2012. Laporan atas
investigasi tersebut diberikan pada Juni 2013, tetapi tidak
terungkap siapa pihak yang
melakukan rekaman tersebut.
Dalam email tersebut disebutkan juga bahwa GlaxoSmithKline
mengirimkan
beberapa dokter untuk liburan mahal dan menyamarkannya sebagai
konferensi serta
menggunakan jasa agen travel untuk menyalurkan suap kepada
dokter dan kepada para
pejabat.
Email dari whistleblower tersebut bukan hanya berisi tentang
biaya travel, tetapi
juga berisi tentang strategi agresif perusahaan yang sebagian
besar berkaitan dengan
kegiatan suap menyuap serta berisi tuduhan sebagai berikut :
GlaxoSmithKline memalsukan pencatatannya untuk menyembunyikan
kejahatan
termasuk penyuapan dan promosi penggunaan obat-obatan yang belum
disetujui
kegunaannya
Pemberian uang kepada dokter dalam penjualan produk
GlaxoSmithKline membuat skema kepatuhan yang digunakan untuk
menutupi
korupsi yang ada
-
33
Kegagalan GlaxoSmithKline dalam menginvestigasi tim penjualan
mereka
Menurut GlaxoSmithKline, perusahaan telah menginvestigasi
sejumlah dugaan
dengan menggunakan external legal dan audit advice kemudian atas
investigasi tersebut
terungkap beberapa kecurangan tetapi tidak ditemukan kecurangan
yang berhubungan
dengan tuduhan yang ada dalam email tersebut. Sejak kasus ini
terungkap, empat orang
eksekutif senior telah ditahan termasuk Liang Hong yang
merupakan wakil presiden dan
manager operasi yang mengungkapkan kepada stasiun televisi Cina
tentang cara
penyaluran uang melalui agen perjalanan dengan merancang
konferensi kesehatan, yang
beberapa diantaranya sebenarnya tidak pernah diadakan. Mark
Rilley pun sebagai
kepala GlaxoSmithKline Cina terdahulu juga mengalami
penahanan.
Pada tanggal 26 Juli 2013 dirilis data-data terbaru atas kasus
ini. Para pekerja
GlaxoSmithKline mengakui bahwa mereka memang melakukan tindakan
penyuapan
kepada dokter dengan memberikan hadiah, biaya perjalanan, dan
pembayaran atas
peresepan obat. Para karyawan tersebut juga mengakui bahwa dalam
beberapa kasus,
GlaxoSmithKline mengkompensasi seminar kedokteran fiktif. Atas
pengakuan ini, 18
orang karyawan ditahan. Tak lama kemudian Mr Humprey yang
merupakan
investigator, yang telah disebutkan sebelumnya, dan istrinya, Yu
Yingzeng, ditangkap.
Badan Otoritas Cina tidak pernah secara eksplisit mengungkapkan
hubungan antara
kasus GSK dengan keduanya. Dalam hal ini hanya dikatakan bahwa
persidangan
mereka akan dilakukan secara tertutup. Keduanya diduga ditangkap
karena dugaan
perbuatan melanggar hukum yakni penjualan informasi pribadi
konsumen termasuk
alamat dan anggota keluarga.
Menurut Humprey selama bertindak sebagai investigator, Humphrey
tidak
ditunjukkan email yang berisi dugaan whistleblower ketika
menginvestigasi kasus ini.
Dalam beberapa minggu sebelum dia ditangkap, dia baru menyadari
dan percaya bahwa
dugaan yang diungkapkan oleh whistleblower adalah benar.
Akibat kasus ini, penjualan GlaxoSmithKline dari bulan Juli ke
September
menurun sebesar 61% dan dilanjutkan dengan penurunan sebesar 29%
pada kuartal ke
empat di tahun 2013. Pada tanggal 4 April 2014, GlaxoSmithKline
memecat
karyawannya sejumlah 7.000 orang karena melanggar aturan
biaya.
-
34
Pada tanggal 14 Mei 2014, Kepolisan Cina mengumumkan hasil
investigasi
dengan menegaskan bahwa perusahaan dan para eksekutifnya akan
dituntut dan sebagai
akhir dari kasus ini pada bulan September 2014, GlaxoSmithKline
mengumumkan
bahwa unitnya yang di Cina akan membayar denda sebesar 3 milyar
Yuan setelah
terbukti menyuap pegawai non-pemerintah di negara tersebut.
Kasus GlaxoSmithKline menjadi sorotan karena meskipun telah
melakukan 20
kali audit internal di Cina dalam satu tahun dan penyelidikan
selama 4 bulan di awal
tahun 2013 seperti yang disebutkan di atas, para eksekutif
seperti menutup mata atas
terjadinya kasus korupsi ini. Beberapa pendapat mengatakan bahwa
biaya agen
perjalanan ini terlihat sangat valid tetapi dibantah dengan
pendapat lain yang
mengatakan bahwa seharusnya biaya perjalanan yang tinggi
memunculkan pertanyaan
di dalam GlaxoSmithKline dan juga di pada pihak auditor
eksternal yakni
Pricewaterhouse Coopers.
Menurut konsultan yang telah bekerja di perusahaan, alasan yang
memungkinkan
terjadinya kasus ini terletak pada pembayaran yang tidak dicatat
dan keterlibatan senior
manager. Tuduhan suap melalui agen perjalanan bukan (dari GSK
sendiri) dan
banyaknya transaksi individual yang jumlahnya tidak material,
menyebabkan tidak
diangkatnya kasus ini oleh auditor. Hal ini merupakan tindakan
kecurangan yang rapi
dan terjadi tingkat kolusi yang tinggi sehingga sulit untuk
terdeteksi.
Menurut para ahli industri, pemberian hadiah dan pembayaran
kepada para dokter
untuk bersedia meresepkan obat adalah hal yang lazim dan hal ini
juga merupakan salah
satu hal yang mengancam bagi industri farmasi di Cina. Oleh
karena itu, penggunaan
hak untuk melakukan internal audit juga bukan merupakan hal yang
mudah bagi
GlaxoSmithKline, yang merupakan perusahaan multinasional,
terutama jika pihak yang
diharapkan akan membantu pelaksanaan audit juga terlibat dalam
kecurangan tersebut
akibat anggapan budaya yang ada.
Para ahli di bidang audit mempertanyakan mengapa dan apakah
auditor
GlaxoSmithKline tidak dapat menyusuri biaya pemasaran mereka.
Menurut para ahli
tersebut, bukti atas kejadian tersebut seharusnya dapat dilihat
dari sejumlah cek yang
ditulis untuk agen perjalanan yang digunakan untuk mengirimkan
dokter ke konferensi
kesehatan. Hal tersebut dapat menjadi bias karena pengiriman
dokter ke seminar
-
35
kesehatan memang memperbesar jumlah biaya pemasaran dalam
industri obat-obatan
tetapi area tersebut memang sudah seharusnya dicurigai.
3. Analisis Kasus
Menurut kami, manajemen risiko belum dijalankan dengan baik
dalam kasus
GlaxoSmithKline di Cina. Hal ini terbukti dengan adanya
tindakan-tindakan agresif
yang dilakukan oleh pejabat GlaxoSmithKline yang pada akhirnya
meningkatkan risiko
bisnis perusahaan. Dalam teorinya, perusahaan yang telah
memiliki manajemen risiko
yang baik akan terus mengidentifikasi dan akan menentukan
tindakan serta akan
memberikan tanggapan atas ke kesempatan dan ancaman yang akan
mempengaruhi
pencapaian perusahaan. Dalam hal ini, manajemen GlaxoSmithKline
mengabaikan
ancaman risiko apabila perusahaan melanggar aturan sebuah negara
dengan melakukan
perbuatan tidak etis.
Menurut paper The Role of Internal Auditing in Enterprise-Wide
Risk
Management yang diterbitkan oleh The Institute of Internal
Auditors, terdapat beberapa
panduan yang menjelaskan keterlibatan audit internal dalam
manajemen risiko. Peranan
auditor internal dalam manajemen risiko adalah memberikan
keyakinan yang objektif
bahwa risiko bisnis perusahaan telah dikelola dengan tepat dan
pengendalian internal
perusahaan atas efektivitas manajemen risiko telah dijalankan
dengan baik kepada para
dewan.
Secara umum auditor internal akan memberikan keyakinan dalam 3
hal, yaitu :
Proses manajemen risiko, baik dari segi merancang maupun dalam
melihat seberapa
baik proses tersebut bekerja.
Manajemen atas risiko utama termasuk di dalamnya efektivitas
dari kontrol
Penilaian yang andal dan tepat atas risiko dan pelaporan risiko
serta status
pengendalian
Berdasarkan panduan ini, keberadaan audit internal juga dapat
memberikan
tindakan konsultasi untuk meningkatkan tata kelola perusahaan,
manajemen risiko, dan
proses pengendalian dengan bergantung pada sumber informasi
eksternal maupun
internal yang tersedia dan risiko organisasiyang bervariasi dari
waktu ke waktu.
Menurut kelompok kami, audit internal GlaxoSmithKline belum
menjalankan
peranannya dalam menyediakan keyakinan atas tiga hal yang telah
disebutkan di atas.
-
36
Audit internal tidak dapat mendeteksi kesalahan yang terjadi
akibat kecurangan dalam
proses manajemen risiko terutama atas manajemen risiko utama
seperti efektivitas atas
kontrol. Auditor internal juga tidak memberikan penilaian yang
andal atas risiko dalam
perusahaan meskipun telah melakukan 20 kali audit internal dalam
satu tahun.
Selain itu, audit internal tidak dapat menyediakan jasa
konsultasi dengan baik
karena para auditor tidak didukung oleh sumber daya informasi
yang baik. Dalam kasus
ini, tindakan suap kepada dokter dengan memberikan sejumlah uang
agar dokter
menggunakan obat perusahaan dalam kegiatan medis merupakan
tindakan yang
dianggap wajar di Cina. Dari pihak internal GlaxoSmithKline,
diketahui bahwa para
dewan eksekutif dan juga beberapa karyawan melakukan kejahatan
yang terstruktur atas
korupsi dan suap yang terjadi di perusahaan.
Menurut kelompok kami, auditor internal juga tidak dapat
melakukan perannya
dengan baik dalam komponen hukum dan peraturan karena audit
internal gagal untuk
mendeteksi apakah organisasi telah menjalankan bisnisnya dengan
penuh tanggung
jawab sesuai dengan hukum yang berlaku dan tidak dapat
mengidentifikasi tingkat
kepatuhan perusahaan. Dari komponen praktik bisnis dan etika,
audit internal juga tidak
dapat menilai hubungan yang etis antara pengaturan tujuan dan
proses evaluasi kinerja
terbukti dengan ketidakmampuan audit internal dalam menemukan
perbuatan suap yang
material yang melanggar etika dalam proses pencapaian
perusahaan.
Ketidakmampuan manajemen dan audit internal dalam memperhatikan
aspek
manajemen risiko perusahaan, mengindikasikan belum tercapainya
tata kelola
perusahaan yang baik dalam GlaxoSmithKline. Menurut pendapat
kami, sebaiknya
perusahaan meningkatkan pengelolaan manajemen risiko atas bisnis
perusahaan terlebih
dahulu. Pengelolaan manajemen risiko yang baik secara otomatis
akan menurunkan
peranan audit internal dalam manajemen risiko.
-
37
Daftar Referensi
Aturan Bapepam-LK IX.I.7 (2008) - Pembentukan dan Pedoman
Penyusunan Piagam
Unit Audit Internal.
Crowe Horwarth (2011) - Strengthening Corporate Governance With
Internal Audit
Gracie, Carrie. Systematic Bribery at GlaxoSmithKline China
credible investigator
http://www.bbc.com/news/world-asia-china-28142118 tanggal 3 Juli
2014 diakses
pada 3 November 2014.
Hirschler, Ben. How GlaxoSmithKline missed red flags in
China
http://www.reuters.com/article/2013/07/19/us-gsk-china-redflags-
idUSBRE96I0L420130719 tanggal 19 Juli 2013 diakses pada 3
November 2014.
KNKG (2011) - Draft Pedoman Penerapan Manajemen Risiko Berbasis
Governance.
Saigol, Lina dan John Aglioby. Timeline :GSKs mounting woes in
China
http://www.ft.com/cms/s/0/ef7f7e1a-ed35-11e2-ad6e-
00144feabdc0.html#axzz3IGhyJXvf tanggal 19 September 2014
diakses pada 3
November 2014
Tracey, Meredith. A Full Timeline of the GSK Bribery Scandal
http://www.pm360online.com/a-full-timeline-of-the-gsk-bribery-scandal/
tanggal
30 Juli 2014 diakses pada 3 November 2014
The Institute of Internal Auditors (2009) The Role of Internal
Auditing in Enterprise-
wide Risk Management.
-
38
Wardoyo, Trimanto S., dan Lena. (2010). Peranan Auditor Internal
dalam Menunjang
Pelaksanaan Good Corporate Governance. Akurat Jurnal Ilmiah
Akuntansi
No.3.
https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rj
a&uact=8&ved=0CCEQFjAA&url=http%3A%2F%2Frepository.maranatha.edu%
2F44%2F1%2FPERANAN%2520AUDITOR%2520INTENAL%2520DALAM%
2520MENUNJANG%2520PELAKSANAAN%2520GCG.pdf&ei=EulZVNz6Fpa
hugT3l4GoAg&usg=AFQjCNHIyIgd7mscX1Uv5QJk9Ej9Fh3n1Q&sig2=Fj-
TC0GxGSRs-T4Vg4x1bg
Cina mencekal petinggi GlaxoSmithKline
http://www.bbc.co.uk/indonesia/majalah/2013/07/130718_bisnis_glaxosmithkline
tanggal 18 Juli 2013 diakses pada 3 November 2014
http://www.tempo.co/read/news/2014/09/20/090608358/Cina-Denda-Perusahaan-
Inggris-3-Miliar-Yuan
STATEMENT OF AUTHORSHIP