cg 08 (peran audit internal & manajemen risiko) - kel 3
DESCRIPTION
Peran Audit Internal & Manajemen RisikoTRANSCRIPT
-
1
TATA KELOLA PERUSAHAAN
PERAN AUDIT INTERNAL
dan
MANAJEMEN RISIKO
Kelompok 3
Anggota:
Aisyah Istiqomah (1306483933)
Lia Mustikawati (1306484734)
Manna Noverika Lestari (1306484772)
Putri Anandayu (1306485062)
Fakultas Ekonomi
Universitas Indonesia
November 2014
-
2
STATEMENT OF AUTHORSHIP
Kami yang bertandatangan di bawah ini menyatakan bahwa makalah/tugas terlampir
adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain yang kami
gunakan tanpa menyebutkan sumbernya.
Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk makalah/tugas
pada mata ajaran lain kecuali kami menyatakan dengan jelas bahwa kami menyatakan
menggunakannya.
Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan atau
dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme.
Mata Ajaran : Tata Kelola Perusahaan
Judul Makalah/Tugas : Peran Audit Internal dan Manajemen Risiko
Tanggal : 6 November 2014
Dosen : Desi Adhariani S.E., Ak., M.Si.
1. Nama : Aisyah Istiqomah 2. Nama : Lia Mustikawati
NPM : 1306483933 NPM : 1306484734
TTD : TTD :
3. Nama : Manna Noverika L. 4. Nama : Putri Anandayu
NPM : 1306484772 NPM : 1306485062
TTD : TTD :
-
3
Peran Audit Internal dan Manajemen Risiko
A. Analisis Peran Internal Audit dalam Manajemen Risiko Perusahaan
Menurut Ikatan Auditor Internal (Institute of Internal Auditors-IIA), Audit
Internal adalah aktivitas independen, keyakinan objektif, dan konsultasi yang dirancang
untuk menambah nilai dan meningkatkan operasi organisasi. Audit internal membantu
organisasi dalam upayanya mencapai tujuan dengan berbagai cara seperti melakukan
pendekatan sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivitas
manajemen risiko, pengendalian, dan proses tata kelola oragnisasi. Dari definisi diatas
dapat dilihat bila fungsi dari audit internal yang dilakukan perusahaan adalah untuk
memberikan informasi yang berguna bagi manajemen dalam menjalankan operasi atau
aktivitas organisasi.
Menurut IIA Enterprise-wide Risk Management (ERM) adalah proses terstruktur,
konsisten, dan terus-menerus di seluruh organisasi untuk mengidentifikasi, menilai,
memutuskan tanggapan atau respon terhadap pelaporan tentang peluang dan ancaman
yang mempengaruhi pencapaian tujuan organisasi. Manajemen Risiko perusahaan
adalah sebuah proses, dipengaruhi oleh dewan entitas direksi, manajemen dan personel
lainnya, diterapkan dalam peraturan strategis dan di seluruh perusahaan, yang dirancang
untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan
mengelola risiko untuk berada dalam risk appetite, untuk memberikan keyakinan
memadai tentang pencapaian tujuan entitas.
Peranan inti dari audit internal dalam ERM adalah untuk memberikan jaminan
yang objektif kepada dewan atas efektivitas dari manajemen risiko. Keterlibatan audit
internal didalam ERM dapat menambah nilai organisasi tapi juga menimbulkan risiko
yang akan mengganggu organisasi tersebut. Risiko yang dihadapinya adalah akan
munculnya kompromi terhadap independensi dan objektivitas internal dari auditor
tersebut. Untuk menanggapi isu ini IIA mengeluarkan surat pernyataan yang bersikan
peran inti audit internal dalam hal ERM serta peran yang tidak seharusnya dilakukan
audit internal, berikut ini merupakan rincian isi pernyataan tersebut:
IIA membagi peran Audit Internal dalam ERM menjadi tiga kategori, yaitu:
-
4
1. Peran audit internal inti dalam ERM
a. Pemberian keyakinan pada desain dan efektivitas proses manajemen risko
b. Pemberian keyakinan bahwa risiko dievaluasi dengan benar
c. Mengevaluasi proses manajemen risiko
d. Mengevaluasi pelaporan mengenai status dari risiko-risiko kunci dan
pengendaliannya
e. Meninjau pengelolaan risiko-risiko kunci, termasuk efektivitas dari pengendalian
dan respon lain terhadap risiko-risiko tersebut
2. Peranan audit internal yang sah dengan pengamanan
a. Memulai pembentukan ERM dalam organisasi
b. Mengembangkan strategi manajemen risiko bagi persetujuan dewan
c. Mempertahankan dan mengembangkan kerangka ERM
d. Memfasilitasi identifikasi dan evalusi risiko
e. Pelatihan manajemen tentang merespon risiko
f. Mengkoordinasikan kegiatan ERM
g. Mengonsolidasi laporan mengenai risiko
3. Peranan audit internal dalam ERM yang tidak boleh dilakukan
a. Mengatur minat risiko (risiko appetite)
b. Menerapkan proses manajemen risiko
c. Menjamin manajemen risiko
d. Membuat keputusan pada respon risiko
e. Menerapkan respon dan manajemen risiko atas nama manajemen
f. Akuntabilitas manajemen risiko
Menurut Crowe Horwath, peranan internal audit dalam manajemen risiko
adalah sebagai berikut:
1. Proaktif mendukung dan berpartisipasi dalam upaya ERM organisasi, termasuk
pembentukan ERM.
2. Mempermudah identifikasi daerah berisiko bagi organisasi serta proses yang
paling penting bagi organisasi
3. Memastikan strategi bisnis terkait dengan proses ERM
-
5
4. Mengawasi proses pemahaman, menilai, merancang dan mendokumentasikan
kontrol
5. Risiko persedian organisasi dan kepatuhan kegiatan serta usaha untuk
mengintegrasikan kedalam metodologi umum
6. Mengevaluasi bisnis dan proses manajeman untuk mengambil tanggung jawab
untuk ERM
Secara lebih mendetail, beberapa peranan internal audit didalam manajemen risiko
yang dapat dijelaskan secara mendetail adalah:
1. Memeriksa kelayakan program manajemen risiko
Dalam kaitannya dengan peranan ini adalah, internal audit berperan untuk
memeriksa, mengevaluasi, serta memberikan respon terhadap kelayakan
administrasi, manajemen risiko, dan proses pengendalian terkait untuk
menyediakan jaminan atas kelayakannya. Dengan peranan ini sudah dipastikan
proses pemeriksaan yang dilakukan oleh internal audit pasti berkaitan atau
berpengaruh terhadap program manajemen risiko. Pada peranan ini internal audit
juga dapat memberikan penilaian apa sebenarnya risiko potensial yang akan
timbul kapan saja yang dapat menggangu keberlangsungan usaha pencapaian
tujuan organisasi, sehingga berbagai program yang dibuat dalam manajemen
risiko dapat mengantisipasi berbagai potensial risiko yang ada.
2. Memeriksa dan melaporkan praktik mitigasi risiko utama
Dalam peranan ini, internal audit seharusnya juga dapat memeriksa dan
melaporkan proses-proses yang dilakukan atau dijalankan oleh bagian manajemen
risiko dalam melakukan mitigasi risiko-risiko utama yang terkait dengan
operasional perusahaan sehari-hari. Tugas ini dapat berupa: membuat rencana
audit berkala terhadap masing-masing risiko yang sebelumnya sudah ada atau
yang baru berpotensi ada, dimulai dari rencana pencegahan, tindakan pencegahan,
rencanan penanganan, tindakan penanganan, serta pencapaian atas rencana
mitigasi risiko yang telah dilaksanakan.
3. Memberikan saran, rekomendasi, dan konsultasi mitigasi risiko
Sebagai mana mestinya, dalam proses pemeriksaan (internal audit), pasti akan
dihasilkan suatu potensi risiko ataupun risiko yang memang telah dihadapi
-
6
organisasi, dan semestinya dengan dilakukannya pemeriksaan tersebut selain
dapat mengidentifikasi risiko juga dapat memberikan saran dan masukan
bagaimana seharusnya manajemen risiko mengimplementasikan programnnya dan
menghadapi risiko-risiko yang ada untuk dapat meminimalisasi dampak negatif
yang mungkin timbul. Selain itu, internal audit seharusnya dapat menjadi sumber
informasi dan juga tempat konsultasi bagi manajemen dalam
mengimplementasikan program-programnya.
4. Menjadi pemimpin dalam menyusun dan melakukan uji coba implementasi
Standar Operasi dan Prosedur (SOP), terkait dengan manajemen risiko
Dalam peranan ini, internal audit menjadi asistensi mengawal dan menggiring
risiko menuju garis batas yang masih dapat ditoleransikan oleh organisasi atau
perusahaan.
Setelah melihat penjabaran mengenai peranan internal audit dalam manajemen
risiko diatas kita dapat menyimpulkan bahwa pada saat ini telah terjadi pergeseran
pandangan menganai internal auditor disebuah organisasi, yang pada awalnya dianggap
sebagai polisi organisasi dengan penilaian-penialain yang diberikannya saat ini
pandangan mengenai auditor internal telah bergeser menjadi business partner yang
tidak dapat dipisahkan dari proses manajemen organisasi. Auditor initernal saat ini tidak
lagi hanya memberikan penilaian saja tetapi juga telah ikut serta dalam mendeteksi
risiko organisasi, mengevaluasi program-program manajemen, serta turut serta dalam
perbaikan dan memberikan konsultasi bagi program yang dijalankan oleh manajemen.
B. Peran Internal Audit dalam Pelaksanaan CG yang Efektif
Menurut peraturan Bapepam LK No. IX.I.7, Audit Internal adalah kegiatan
pemberian keyakinan (assurance) dan konsultasi yang bersifat independen dan obyektif,
dengan tujuan untuk meningkatkan nilai dan memperbaiki operasional perusahaan,
melalui pendekatan yang sistematis, dengan cara mengevaluasi dan meningkatkan
efektivitas manajemen risiko, pengendalian, dan proses tata kelola perusahaan.
Para Dewan Sertifikasi Qualified Internal Auditor (DS-QIA) serta Perhimpunan
Auditor Internal Indonesia (PAII) berkeyakinan bahwa fungsi audit internal yang efektif
mampu menawarkan sumbangan penting dalam meningkatkan proses corporate
-
7
governance. Internal audit merupakan dukungan penting bagi komisaris, direksi, komite
audit, dan manajemen senior dalam membentuk fondasi bagi pengembangan corporate
governance didalam suatu organisasi atau perusahaan. Fungsi audit internal biasanya
dilakukan bukan dengan tujuan menguji kelayakan laporan keuangan, akan tetapi untuk
membantu pihak manajemen dalam mengidentifikasi kelemahan-kelemahan, kegagalan-
kegagalan, dan inefisiensi dari berbagai program yang telah direncanakan oleh
organisasi atau perusahaan yang bersangkutan.
Audit internal berpengaruh secara signifikan terhadap implementasi good
corporate governance, dimana semakin tinggi peran audit internal maka akan semakin
mendukung kinerja implementasi good corporate governance (GCG). Auditor internal
berperan untuk memastikan terlaksananya prinsip-prinsip GCG yang telah dibahas pada
pertemuan-pertemuan sebelumnya, yaitu yang meliputi transparansi, akuntabilitas,
pertanggungjawaban, independensi, dan kewajaran yang nantinya akan mampu
memberian kejelasan mengenai fungsi, hak dan tanggung jawab antara pihak-pihak
yang berkepentingan atas perusahaan, proses pengendalian internal dan menciptakan
keseimbangan organ perusahaan dan juga keseimbangan antar stakeholders.
Didalam Crowe Horwarth (2011), pada tingkat yang lebih tinggi , tata kelola
perusahaan memiliki tujuh komponen yang saling terkait yaitu, dewan direksi dengan
komite, hukum dan peraturan, pengungkapan dan transparansi, praktik bisnis dan etika,
manajemen risiko perusahaan, pemantauan, dan komunikasi. Tujuh komponen ini
memberikan pandangan yang komprehensif, kompleks, keterkaitan dan variable
organisasi harus mengelolanya dengan baik untuk memperkuat tata kelola mereka.
Ketika seluruh komponen dapat beroperasi dengan efektif dan terkoordinasi secara
efisien, tata kelola perusahaan akan menyediakan platform atau landasan untuk
membantu meningkatkan kinerja bisnis dan meningkatkan nilai bagi stakeholders.
Peranan internal audit didalam tujuh komponen organisasi tersebut yang dapat
membantu implementasi corporate governance yang efektif adalah sebagai berikut:
1. Board of Directors and Committees
Membantu dewan direksi dan komite dengan penilaian diri mereka dan praktik
terbaik.
-
8
Menilai efektivitas komite audit dan kepatuhan terhadap peraturan. Ulasan piagam
komite audit dengan bantuan penasihat hukum.
Interaktif tentang masalah tata kelola, membawa ide-ide terbaik dalam praktik
tentang pengendalian internal dan proses manajemen risiko untuk mengaudit
anggota komite.
Menetapkan keakuratan informasi yang digunakan dalam pengambilan keputusan
oleh komite kompensasi, dan
Membantu board dengan kuasanya melaporkan pengawasan manajemen risiko.
2. Legal and Regulatory
Memverifikasi sesuai hukum bahwa organisasi telah mengidentifikasi persyaratan,
tanggung jawab yang diberikan, dan semua persyaratan hukum dan peraturan
yang ditujukan
Mencari peluang untuk meningkatkan kegiatan kepatuhan dan kemampuan untuk
mengurangi biaya jangka panjang dan meningkatkan kinerja
3. Business Practice and Ethics
Meninjau kode etik dan kebijakan, memverifikasi bahwa keduanya diperbaharui
secara berkala dan disampaikan kepada manajemen dan pegawai
Menyelenggarakan ilmu perilaku untuk meninjau dan menilai pemahaman dan
persepsi kepatuhan di setiap tingkatan organisasi
Membantu manajemen dan komite audit untuk menahan orang dalam setiap
tingkatan untuk bertanggung jawab, mendengarkan perkataan mereka tetapi juga
melihat tindakan mereka
Melayanin dalam peranan pengawasan etika atau membicarakan kepada petugas
etika
Berpartisipasi dalam whistle-blower dan proses investigasi complain lainnya
Melakukan audit tahunan dan proses tindak lanjut (contohnya kepatuhan terhadap
kebijakan dan konsistensi tindakan), pelaporan untuk komite audit
Menilai hubungan etika dengan penetapan tujuan dan evaluasi proses kinerja
4. Disclosure and Transparency
Melakukan pengujian pengungkapan keuangan dan mebicarakan dengan CFO
-
9
Memahami mengenai pengungkapan dan transparansi, penilaian risiko yang
disesuaikan dengan ekspektasi stakeholders
Pada rencana audit tahunan, menuju pada tujuan pengungkapan dan transparansi
Memahami secara luas dan mendalam, gambaran dari kemungkinan
pengungkapan dan transparansi, dan dimana organisasi mengusahakan akan hal
tersebut
Berpartisipasi secara aktif dalam komite pengungkapan, termasuk mengevaluasi
efektivitas
Meninjau proses sub-certification
5. Enterprise Risk Management
Proaktif mendukung dan berpartisipasi dalam upaya ERM organisasi, termasuk
pembentukan ERM.
Mempermudah identifikasi daerah berisiko bagi organisasi serta proses yang
paling penting bagi organisasi
Memastikan strategi bisnis terkait dengan proses ERM
Mengawasi proses pemahaman, menilai, merancang dan mendokumentasikan
kontrol
Risiko persedian organisasi dan kepatuhan kegiatan serta usaha untuk
mengintegrasikan kedalam metodologi umum
Mengevaluasi bisnis dan proses manajeman untuk mengambil tanggung jawab
untuk ERM
6. Monitoring
Memahami aktivitas monitoring dalam organisasi pada masing-masing komponen
dalam kerangka kelola organisai
Memfasilitasi pelaksanaan metodologi pemantauan risiko umum di semua fungsi
tata kelola perusahaan, sehingga sistem pelaporan terintegrasi
Melakukan pemeriksaan tata kelola perusahaan pada tingkat perencanaan strategi
Menggabungkan aspek tata kelola perusahaan ke dalam tingkat perencanaan audit
Mengembangkan jaminan penilaian (scorecard) dan laporan per-triwulan
7. Communication
-
10
Berpartisipasi dalam dialog yang berkelanjutan dengan penasihat umum, kepala
keuangan, dan pejabat manajemen senior lainnya
Menjaga komunikasi yang stabil dengan komite audit dan eksekutif pengawas
Mencakup informasi tentang tata kelola perusahaan dalam laporan audit
Membantu dalam membangun komunikasi penjadwalan tata kelola dan
mengumpulkan sejumlah masukan tentang kebutuhan seluruh organisasi
C. Perbandingan Peraturan Bapepapm-LK terkait Internal Audit dengan
Peran Internal Audit menurut IIA (2009) dan Crowe Horwarth (2011)
Menurut peraturan No. IX.I.7 Bapepam LK, Audit Internal adalah suatu kegiatan
pemberian keyakinan (assurance) dan konsultasi yang bersifat independen dan obyektif,
dengan tujuan untuk meningkatkan nilai dan memperbaiki operasional perusahaan,
melalui pendekatan yang sistematis, dengan cara mengevaluasi dan meningkatkan
efektivitas manajemen risiko, pengendalian, dan proses tata kelola perusahaan.
Peraturan ini juga membahas Struktur dan Kedudukan Unit Audit Internal dalam
perusahaan, antara lain bahwa Unit Audit Internal dipimpin oleh kepala Unit Audit
Internal yang diangkat dan diberhentikan (jika tidak memenuhi persyaratan sesuai
peraturan ini dan atau gagal atau tidak cakap menjalankan tugas) oleh direktur utama
atas persetujuan dewan komisaris. Auditor yang duduk dalam Unit Audit Internal
bertanggung jawab secara langsung kepada kepala Unit Audit Internal, sementara
kepala Unit Audit Internal bertanggung jawab kepada direktur utama.
Persyaratan auditor internal yang disebutkan diatas menurut peraturan No IX.I.7
yaitu memiliki integritas dan perilaku yang profesional, independen, jujur, dan obyektif
dalam pelaksanaan tugasnya, serta memiliki pengetahuan dan pengalaman mengenai
teknis audit dan disiplin ilmu lain yang relevan dengan bidang tugasnya. Auditor
Internal juga harus mengetahui peraturan perundang-undangan di bidang pasar modal
dan peraturan perundang-undangan terkait lainnya, cakap dalam berinteraksi dan
berkomunikasi baik lisan maupun tertulis secara efektif, dan wajib mematuhi standar
profesi yang dikeluarkan oleh asosiasi Audit Internal. Auditor Internal wajib menjaga
kerahasiaan informasi dan/atau data perusahaan terkait dengan pelaksanaan tugas dan
tanggung jawab Audit Internal kecuali diwajibkan berdasarkan peraturan perundang-
-
11
undangan atau penetapan/putusan pengadilan, memahami prinsip-prinsip tata kelola
perusahaan yang baik dan manajemen risiko, dan bersedia meningkatkan pengetahuan,
keahlian dan kemampuan profesionalismenya secara terus-menerus.
Sementara tugas dan tanggung jawab Unit Audit Internal berdasarkan peraturan
tersebut adalah menyusun dan melaksanakan rencana Audit Internal tahunan, menguji
dan mengevaluasi pelaksanaan pengendalian interen dan sistem manajemen risiko
sesuai dengan kebijakan perusahaan, melakukan pemeriksaan dan penilaian atas
efisiensi dan efektivitas di bidang keuangan, akuntansi, operasional, sumber daya
manusia, pemasaran, teknologi informasi dan kegiatan lainnya, memberikan saran
perbaikan dan informasi yang obyektif tentang kegiatan yang diperiksa pada semua
tingkat manajemen, membuat laporan hasil audit dan menyampaikan laporan tersebut
kepada direktur utama dan dewan komisaris, memantau, menganalisis dan melaporkan
pelaksanaan tindak lanjut perbaikan yang telah disarankan, bekerja sama dengan
Komite Audit, menyusun program untuk mengevaluasi mutu kegiatan audit internal
yang dilakukannya, dan melakukan pemeriksaan khusus apabila diperlukan.
Dalam melakukan tugas dan tanggung jawab tersebut, Unit Audit Internal
diberikan kewenangan untuk mengakses seluruh informasi yang relevan tentang
perusahaan terkait dengan tugas dan fungsinya, melakukan komunikasi secara langsung
dengan direksi, dewan komisaris, dan/atau Komite Audit serta anggota dari direksi,
dewan komisaris, dan/atau Komite Audit, mengadakan rapat secara berkala dan
insidentil dengan direksi, dewan komisaris, dan/atau Komite Audit, dan melakukan
koordinasi kegiatannya dengan kegiatan auditor eksternal.
Seperti dinyatakan dalam peraturan ini, perusahaan publik wajib memiliki piagam
Audit Internal yang meliputi hal-hal diatas, seperti struktur dan kedudukan Unit Audit
Internal, tugas dan tanggung jawab Unit Audit Internal, wewenang Unit Audit Internal,
kode etik Unit Audit Internal, persyaratan auditor yang duduk dalam Unit Audit
Internal, pertanggungjawaban Unit Audit Internal, dan larangan perangkapan tugas dan
jabatan auditor dan pelaksana yang duduk dalam Unit Audit Internal dari pelaksanaan
kegiatan operasional perusahaan.
Dapat kita lihat diatas, bahwa Bapepam-LK lebih mengacu kepada ketentuan
dan peraturan mengenai Audit Internal. Sedangkan dalam naskah berjudul IIA Position
-
12
Paper: the Role of Internal Auditing in Enterprise-Wide Risk Management yang dibuat
oleh Institute of Internal Auditor (IIA) lebih membahas mengenai peran auditor dalam
pengelolaan resiko perusahaan.
Dalam naskahnya, IIA lebih menekankan kepada konsep ERM (Enterprise-Wide
Risk Management), yaitu suatu proses yang terstruktur, konsisten, dan terus menerus
dalam suatu organisasi secara keseluruhan, yang dilakukan untuk mengidentifikasi,
menilai, memutuskantanggapan terhadapdan pelaporantentang peluangdan
ancamanyang mempengaruhipencapaiantujuannya. Prinsip-prinsip yang dijelaskan oleh
IIA dapat digunakan untuk memanduketerlibatanaudit internaldalam segala
bentukmanajemen risiko.
Peran utama dari audit internal dalam ERM adalah memberikan
jaminan/keyakinan (assurance) yang obyektif mengenai efektivitas manajemen resiko
perusahaan kepada dewan. Gambar dibawah menunjukan cakupan aktivitas dalam ERM
yang memperlihatkan batasan atas hal-hal yang seharusnya dilakukan oleh audit internal
dan hal-hal yang tidak boleh dijalankan oleh anggota audit internal. Hal ini ditentukan
berdasarkan pertimbangan mengenai seberapa jauh pekerjaan tersebut mengancam
independensi dan obyektivitas dari auditor internal, dengan seberapa banyak pekerjaan
tersebut meningkatkan kontrol dan manajemen resiko serta tatakelola perusahaan.
-
13
Aktivitas pada bagian kiri gambar menunjukan kegiatan minimal dalam pekerjaan
assuranceyang dilakukan oleh audit internal. Namun, unit audit internal juga dapat
memberikan saran dan konsultansi untuk meningkatkan kontrol dan manajemen resiko
serta tatakelola perusahaan, seperti yang digambarkan pada aktivitas-aktivitas dibagian
tengah. Meskipun begitu, seiring perkembangan manajemen resiko dalam kegiatan
operasional perusahaan, tanggung jawab audit internal dalam ERM juga akan
berkurang. Dapat dilihat pada gambar diatas, semakin ke kanan ruang lingkup kegiatan
audit internal, akan semakin besar pula resiko untuk menjaga independensi dan
objektifitas mereka.
Faktor kunci yang menentukan apakah kegiatan konsultasi yang dilakukan
seimbang dan tidak melebihi kegiatan assurance yang memang merupakan tugas audit
internal adalah bahwa unit audit internal tidak menanggung tanggung jawab manajerial.
Dalam ERM, internal audit dapat menyediakan selama tidak benar-benar berperan
dalam pengelolaan resiko (yang merupakan tanggung jawab manajemen) dan selama
manajemen juga mengaplikasikan dan mendukung berlangsungnya ERM.
Selain peraturan Bapepam-LK dan IIA, Crowe Howart LLP sebagai salah satu
kantor akuntan publik dan konsultan akuntansi, perpajakan dan keuangan terbesar di
Amerika juga menerbitkan tulisan berjudul Strengthening Corporate Governance with
Internal Audit mengenai peran audit internal dalam memenuhi peningkatan ekspektasi
terkait persamaan kemampuan internal audit dengan peningkatan penilaian dan
pengawasan terhadap kualitas tata kelola perusahaan.
Crowe Horwath menyebutkan bahwa tanggung jawab audit internal semakin
berkembang seiring dengan meningkatnya pengawasan dari berbagai pihak, mulai dari
dewan direksi hingga investor. Mereka juga mengungkapkan adanya perubahan peran
audit internal, dimana pada sekitar tahun 1990 minat dan kepercayaan masyarakat pada
kegiatan bisnis sedang tinggi-tingginya, sesuai dengan naiknya harga saham. Meskipun
telah ada audit internal yang berfungsi untuk mengalokasikan sumberdaya perusahaan
berdasarkan resiko, pegawainya terbatas dan audit yang dilakukan lebih fokus terhadap
pengawasan dan penilaian kinerja. Namun peraturan terkini, maraknya gerakan anti
penipuan/korupsi dalam perusahaan serta banyaknya kasus whistle-blower yang terjadi
mendorong auditor untuk berperan lebih aktif dalam perusahaan.
-
14
Berdasarkan perkembangan tersebut, terdapat tujuh komponen dalam kerangka
tata kelola perusahaan menurut Crowe Horwath. Pada masing-masing komponen, telah
dikembangkan tugas dan tanggung jawab bagi peran audit internal dalam perusahaan.
Komponen dan tanggung jawab tersebut antara lain:
Dewan Direksi dan Komite Audit
Tanggung jawab audit internal terhadap dewan direksi dan komite audit antara
lain:
- Membantu dewan direksi dan komite audit dalam menjalankan tugasnya.
- Memberikan ide mengenai pengelolaan resiko dan internal kontrol.
- Memastikan keakuratan informasi yang dijadikan dasar pengambilan
keputusan.
Hukum dan Peraturan
Tanggung jawab audit internal terkait hukum dan peraturan antara lain:
- Memastikan bahwa perusahaan telah mengetahui dan memenuhi semua
persyaratan sesuai peraturan yang berlaku.
- Mengidentifikasi peluang yang mempengaruhi pemenuhan aktivitas yang dapat
mengurangi biaya jangka panjang dan meningkatkan kinerja.
Praktek dan Etika Bisnis
Tanggung jawab audit internal terkait praktek dan etika bisnis antara lain:
- Memeriksa kebijakan terkait kode etik perusahaan dan memastikan kebijakan
tersebut diperbarui sesuai kebutuhan perusahaan dari waktu ke waktu dan
menyampaikan perubahan yang ada kepada pegawai.
- Menjalankan tugasnya dengan mengikuti kode etik perusahaan.
- Berpartisipasi dalam proses invetigasi mengenai whistle-blowerdan keluhan
lainnya mengenai etika bisnis perusahaan.
Pengungkapan dan Transparansi
Tanggung jawab audit internal terkait pengungkapan dan transparansi antara lain:
- Melakukan pemeriksaan terhadap pengungkapan laporan keuangan
perusahaan.
- Memahami resiko terkait pelaporan keuangan yang dapat terjadi sesuai
karakteristik perusahaan.
-
15
- Menyatakan tujuan atas pengungkapan dan transparansi dengan jelas dan
mengkomunikasikannya kepada pegawai.
Enterprise Risk Management (ERM)
Tanggung jawab audit internal terkait ERM antara lain:
- Memastikan strategi bisnis berjalan sesuai proses ERM
- Secara aktif berperan sebagai penasehat maupun partisipan dalam kegiatan
ERM perusahaan.
Pengawasan
Tanggung jawab audit internal terkait pengawasan antara lain:
- Memahami dimana saja aktivitas pengawasan diperlukan dalam perusahaan.
- Memfasilitasi implementasi metobe pengawasan terhadap resiko umum di
seluruh bagian perusahaan.
Komunikasi
Tanggung jawab audit internal terkait komunikasi dalam organisasi antara lain:
- Menyatakan semua informasi mengenai tata kelola perusahaan dalam laporan
audit.
- Menjaga kelancaran komunikasi dengan masing-masing anggota unit audit
internal, kepala keuangan, dewan direksi, dll.
D. Manajemen Risiko menurut Draft Pedoman Penerapan Manajemen Risiko
Berbasis Governance KNKG 2011
Suatu organisasi dalam menyusun strategi untuk melaksanakan proses utama
organisasinya, perlu memperhatikan risiko-risiko yang mungkin muncul, antisipasi
terhadap risiko, dan menentukan hal yang akan dilakukan jika risiko tersebut benar-
benar terjadi. Hal inilah yang mendasari pentingnya manajemen risiko bagi suatu
organisasi. Menurut KNKG dalam Draft Pedoman Penerapan Manajemen Risiko
Berbasis Governance (2011), manajemen risiko adalah upaya organisasi yang
terkoordinasi untuk mengarahkan dan mengendalikan risiko.
Menurut KNKG (2011), penerapan manajemen risiko yang baik dapat
memberikan beberapa keuntungan bagi perusahaan, yakni:
-
16
Mengurangi terjadinya peristiwa yang kurang menyenangkan, risiko yang mungkin
muncul telah diantisipasi sebelumnya.
Meningkatkan hubungan baik dengan para pemangku kepentingan, manajemen risiko
memerlukan komunikasi timbal balik yang intens yang dapat membangun kesamaan
persepsi dan kepentingan.
Meningkatkan efektivitas dan efisiensi manajemen, organisasi lebih siap dalam
menghadapi dan menangani risiko yang mungkin muncul karena telah diidentifikasi
sebelumnya.
Lebih memberikan jaminan yang wajar atas pencapaian sasaran perusahaan, karena
ketiga hal di atas dapat tercapai.
KNKG menyarankan bahwa dalam proses penerapan manajemen risiko terdapat
tiga aspek yang perlu diperhatikan, yaitu aspek struktural, aspek operasional, dan aspek
perawatan.
1. Aspek Stuktural Aspek struktural merupakan aspek yang memastikan arah penerapan, struktur
organisasi penerapan, akuntabilitas pelaksanaan manajemen risiko dalam organisasi,
dan penyediaan sumber daya. Dengan kata lain, aspek struktural menjadi dasar atau
fondasi bagi penerapan manajemen risiko pada suatu organisasi. Penerapan manajemen
risiko awalnya berfokus pada bagaimana menangani risiko secara parsial, tetapi saat ini
fokusnya telah berkembang menjadi terintegrasi untuk keseluruhan organisasi yang
disebut sebagai ERM (enterprise risk management).
a. Prinsip-prinsip manajemen risiko yang efektif:
1) Manajemen risiko melindungi dan menciptakan nilai tambah
2) Manajemen risiko adalah bagian terpadu dari proses organisasi
3) Manajemen risiko adalah bagian dari proses pengambilan keputusan
4) Manajemen risiko secara khusus menangani aspek ketidakpastian
5) Manajemen risiko bersifat sistematik, terstruktur, dan tepat waktu
6) Manajemen risiko berdasarkan pada informasi terbaik yang tersedia
7) Manajemen risiko adalah khas untuk penggunanya (tailored)
8) Manajemen risiko mempertimbangkan faktor manusia dan budaya
9) Manajemen risiko harus transparan dan inklusif
-
17
10) Manajemen risiko bersifat dinamis, berulang, dan tanggap terhadap perubahan
11) Manajemen risiko harus memfasilitasi terjadinya perbaikan dan peningkatan
organisasi secara berlanjut.
b. Kerangka Kerja Manajemen Risiko
Kerangka kerja akan memastikan berjalannya pelaporan dari proses manajemen
risiko mengenai informasi risiko yang lengkap dan memadai serta akan digunakan
sebagai landasan dalam pengambilan keputusan.
Gambar 1: Kerangka Kerja Manajemen Risiko
c. Mandat dan Komitmen
Dalam kerangka kerja manajemen risiko, mandat dan komitmen merupakan
sentral, sesuai dengan peraturan perundang-undangan, yang menjadi sumber dasar
hukum entitas. Alter ego perusahaan dalam UU PT adalah Dewan Direksi dan Dewan
Komisaris. Direksi merupakan penanggung jawab utama penerapan manajemen risiko
perusahaan, sedangkan Komisaris merupakan pengawas tertinggi dalam pelaksanaan
pengawasan penerapan manajemen risiko perusahaan.
Mandat &
Komitmen
Perencanaan Kerangka Kerja Manajemen Risiko
Penerapan Manajemen Risiko
Monitoring & Review Penerapan Kerangka Kerja
MR
Perbaikan Sinambung Kerangka Kerja MR
-
18
d. Proses Manajemen Risiko
Secara singkat, proses manajemen risiko merupakan penerapan kerangka kerja
manajemen risiko pada tiap-tiap jenis risiko yang secara spesifik mempunyai karakter
yang berbeda-beda sesuai dengan konteksnya (tailored). Gambar berikut merupakan
proses manajemen risiko dalam KNKG (2011).
Gambar 2: Proses Manajemen Risiko
e. Tata Kelola Risiko
Tata kelola risiko meliputi unsur-unsur sebagai berikut:
1) Kebijakan manajemen risiko, pernyataan komitmen secara tertulis oleh Dewan
Direksi dan Dewan Komisaris untuk menerapkan manajemen risiko.
2) Akuntabilitas penerapan manajemen risiko, akuntabilitas tertinggi berada pada
Direksi, secara lebih khusus pada Direktur Utama atau yang ditunjuk. Selain itu
perlu diperhatikan mengenai:
Penunjukan champion, bertanggung jawab sebagai fasilitator penerapan
manajemen risiko ke seluruh organisasi (ERM)
Penunjukan risk owner, pemangku risiko dan penanggung jawab pengelolaan
risiko pada divisi yang dipimpinnya
Penyusunan infrastruktur organisasi sebagai unit untuk mendorong penerapan
ERM
Penyusunan mekanisme organisasi untuk penerapan manajemen risiko
Proses untuk menimbulkan budaya sadar risiko ke seluruh organisasi
-
19
3) Infrastuktur manajemen risiko, setiap organisasi harus menyusun infrastruktur
manajemen risiko sesuai dengan kebutuhan dan jenis-jenis risiko yang
dihadapinya.
4) Tata laksana, komunikasi, dan pelaporan, metode yang sering digunakan
adalah RACI Matrix yakni:
Responsible, siapa yang mengerjakan kegiatan
Accountable, siapa yang memiliki hak membuat keputusan akhir serta
menjawab pertanyaan pihak lain
Consulted, siapa yang harus dilibatkan atau diajak berkonsultasi sebelum atau
saat pelaksanaan kegiatan
Informed, siapa yang harus diberi informasi mengenai apa yang sedang terjadi
tanpa harus menghentikan kegiatan tersebut.
f. Sumber Daya Penerapan Manajemen Risiko
Beberapa pengalokasian sumber daya memadai yang harus dilakukan untuk
pelaksanaan manajemen risiko:
Personalia dengan pengalaman, keterampilan dan keahlian yang memadai serta
jumlah yang sesuai dengan kebutuhan
Sumber dana dan sumber daya yang diperlukan untuk setiap tahapan penerapan
manajemen risiko
Proses dan prosedur yang terdokumentasi dengan baik
Sistem informasi dan manajemen pengetahuan
1. Aspek Operasional
Aspek operasional merupakan aspek operasionalisasi bagi manajemen risiko di
seluruh organisasi tetapi juga spesifik bagi masing-masing bagian atau bahkan bagi
masing-masing pemilik risiko.Proses manajemen risiko dan penanganan manajemen
perubahan merupakan bagian dari aspek operasional sedangkan, aspek spesifik adalah
penerapan proses manajemen risiko itu sendiri pada tiap-tiap risiko. Dalam aspek
operasionalisasi, perlu lingkup tugas mana yang menjadi bagian level organisasi
keseluruhan (perusahaan) dan wilayah mana yang menjadi bagian risk owner (divisi,
departemen, dll).
-
20
Gambar 3: Operasionalisasi Kerangka Kerja dan Proses Manajemen Risiko
Proses manajemen risiko yang berada di tengah pada gambar di atas merupakan
domain kegiatan risk owner sedangkan kegiatan lainnya merupakan domain kegiatan
organisasi, yang merupakan tugas khusus fungsi manajemen risiko organisasi yaitu
untuk menyediakan dasar bagi kegiatan para risk owner dalam menerapkan manajemen
risiko.
a. Manajemen Perubahan
Organisasi akan mengalami beberapa tahapan dalam melakukan setiap pengenalan
program baru kepada seluruh anggotanya, yakni:
Penolakan, semua orang karena sudah nyaman dengan kondisi yang ada akan
mempertanyakan kegunaan dari program baru tersebut.
Perlawanan, orang mulai melihat manfaatnya tetapi masih ragu untuk
melaksanakannya.
-
21
Eksplorasi, mulai timbul keinginan untuk memahami dan mengeksplorasi lebih jauh
karena sudah melihat manfaatnya dengan jelas.
Komitmen, melakukan perubahan tersebut dan proses perubahan akan berlangsung
dengan baik.
Proses manajemen perubahan meliputi peluncuran, sosialisasi dan pelatihan
hingga penerapan manajemen risiko dan pada akhirnya akan tumbuh budaya sadar
risiko. Oleh karena itu, perubahan harus dimulai dari tup management terlebih dahulu
sehingga akan menjadi change leader yang akan diikuti oleh middle management, dan
begitu seterusnya sampai ke tahap line management dan seluruh karyawan. Selain itu,
proses penerapan manajemen risiko harus direncanakan dan disusun sedemikian rupa
sehingga penolakan dan perlawanan dapat diatasi dengan baik.
b. Panduan Manajemen Risiko
Alat utama dalam operasionalisasi manajemen risiko ke seluruh organisasi adalah
berupa Manual Manajemen Risiko atau buku panduan manajemen risiko. Melalui
manual ini, istilah dan definisi diseragamkan untuk menghindari multi interpretasi dan
penerapan serta proses manajemen risiko dilaksanakna sesuai dengan standar yang
ditentukan oleh Direksi. Setiap perusahaan memiliki panduan manajemen risiko yang
berbeda atau unik namun, secara umum terdapat beberapa sttruktur yang sama yaitu
menjelaskan latar belakang dan alasan diterapkannya ERM, menguraikan prinsip-
prinsip manajemen risiko, menguraikan kerangka kerja manajemen risiko, menguraikan
proses manajemen risiko di setiap tahapan, menguraikan konteks manajemen risiko, dan
memberikan panduan untuk implementasi manajemen risiko secara menyeluruh di
perusahaan.
c. Implementasi Manajemen Risiko
Pada dasarnya merupakan implementasi kerangka kerja manajemen risiko dan
implementasi proses manajemen risiko. Dalam sebuah perusahaan hanya ada satu
kerangka kerja manajemen risiko yang berlaku secara menyeluruh. Namun, dalam
proses mananjemen risiko konteks dan isinya, terutama alat dan metodenya dapat
berbeda-beda untuk tiap risiko yang ditangani. Berikut merupakan tahapan-tahapan
dalam proses manajemen risiko.
1) Komunikasi dan Konsultasi
-
22
Pada setiap tahapan proses manajemen risiko harus dilakukan komunikasi dan
konsultasi se-ekstensif mungkin dengan para risk owner baik internal maupun eksternal.
Rencana komunikasi dan konsultasi harus disusun dan merujuk pada risiko yang
mungkin terjadi, dampak, dan tindakan yang perlu dilakukan untuk mengatasinya, serta
hal lain yang terkait. Risk owner memberikan pertimbangan dan penilaian terhadap
risiko yang didasarkan pada persepsi mereka atas risiko tersebut. Penting untuk
mengidentifikasi persepsi para risk owner terutama ketika pandangan mereka dapat
memengaruhi dan menentukan dalam pengambilan keputusan.
2) Penentuan Konteks
Penentuan konteks artinya menentukan batasan atau parameter internal dan
eksternal yang akan dijadikan pertimbangan dalam pengelolaan risiko, menentukan
lingkup kerja, dan kriteria risiko untuk proses-proses selanjutnya.
a) Konteks Internal, segala sesuatu di dalam organisasi yang dapat memengaruhi cara
organisasi dalam mengelola risiko. Proses manajemen risiko harus dijalankan dengan
selaras dengan budaya, proses, dan kultur organisasi.
b) Konteks Eksternal, lingkungan eksternal di mana organisasi mengupayakan
pencapaian sasaran yang ditetapkannya. Konteks internal meliputi lingkungan
politik, budaya, sosial, ekonomi, hukum dan lainnya; faktor-faktor pendorong yang
mempunyai dampak terhadapa pencapaian sasaran organisasi; dan persepsi dan nilai-
nilai para stakeholders eksternal.
c) Konteks Proses Manajemen Risiko, merupakan konteks di mana proses
manajemen risiko diterapkan. Penerapan manajemen risiko dilaksanakan dengan
mempertimbangkan biaya dan manfaat dalam pelaksanaannya. Kontek proses
manajemen risiko akan berubah sesuai dengan kebutuhan organisasi.
d) Mengembangkan Kriteria Risiko, kriteria dapat merupakan gambaran nilai-nilai
dan sasaran organisasi, dampak terhadap sumber daya organisasi, serta aspek hukum
yang terkait dengan kegiatan organisasi. Kriteria harus konsisten dengan kebijakan
manajemen risiko yang telah ditetapkan. Kriteria disusun pada awal penerapan
proses manajemen risiko dan ditinjau ulang secara berkala. Penyusunan kriteria
risiko terutama penting untuk melakukan asesmen risiko. Kriteria yang perlu
dikembangkan antara lain: kriteria dampak, cara mengukur kemungkinan terjadinya
-
23
risiko, cara menyusun kriteria tingkatan risiko, serta kriteria keberhasilan penerapan
proses manajemen risiko.
3) Asesmen Risiko
Asesmen risiko merupakan proses pengidentifikasian risiko-risiko yang mungkin
terjadi kemudian masing-masing risiko diberi atribut berdasarkan analisis dengan
menggunakan kriteria risiko yang telah ditentukan. Setelah itu, dilakukan evaluasi
pemeringkatan risiko sehingga dapat ditentukan tingkat prioritas risiko yang akan
memerlukan perlakuan risiko.
a) Identifikasi Risiko, proses ini sangat penting karena risiko yang tidak teridentifikasi
tidak akan ditangani pada proses-proses selanjutnya. Risiko tidak hanya sekedar
suatu peristiwa tetapi juga mencakup informasi yang berkaitan dengan peristiwa
tersebut. Beberapa elemen dalam informasi tersebut: sumber risiko, kejadian,
konsekuensi, pengendalian (faktor pemicu risiko), serta perkiraan waktu dan tempat
terjaidnya risiko. Ketgori teknik yang secara umum digunakan untuk
mengidentifikasi risiko:
Teknik Brainstorming, antara lain Brainstorming, Delphi Method, RSCA (Risk
Control Self-Assesment), focus group discussion.
Persepsi pihak terkait, antara lain document review, stakeholders analysis,
expert judgement.
Proses bisnis, misalnya FMEA (Failure Mode & Effect Analysis, fish bone
diagram).
Struktur organisasi atau pekerjaan (workbreakdown structure), misalnya RBS
(Risk Breakdown Structure).
Contoh model risiko bisnis perusahaan sejenis (Bussiness Risk Model).
Dalam prakteknya dapat dilakukan kombinasi dari berbagai macam teknik di atas.
Proses identifikasi risiko akan menghasilkan daftar risiko (rekaman data mengenai
riwayat risiko dan perkembangan perlakuannya) dan tabel risiko (tabel kumpulan
risiko yang sudah dibuat daftar risikonya).
b) Analisis Risiko, upaya untuk memahami risiko lebih dalam termasuk cara dan
strategi yang tepat dalam memperlakukan risiko tersebut. Analisis dapat dilakukan
secara kualitatif, kuantitatif, semi kuantitatif, atau kombinasi dari cara-cara ini,
-
24
tergantung dari kondisinya. Biasanya dalam praktik, untuk mendapatkan indikasi
umum tingkat kegawatan risiko, terlebih dahulu dilakukan analisis kualitatif.
Langkah berikutnya, sesuai dengan keperluan, dilakukan analisis yang lebih spesifik
dan secara kuantitatif. Tujuannya untuk menganalisis dampak dan kemungkinan
terjadinya risiko yang dapat menghambat pencapaian sasaran organisasi. Dampak
tidak hanya merupakan ancaman belaka namun dapat pula diartikan sebagai peluang
bagi organisasi. Gambar berikut merupakan hasil analisis risiko berdasarkan
formulasi hubungan dampak dan kemungkinan yang dapat djadikan ukuran
pemeringkatan kegawatan risiko.
Gambar 4: Peringkat Risiko
Hasil analisis risiko ini akan menjadi masukan bagi evaluasi risiko dan untuk proses
pengambilan keputusan mengenai perlakuan terhadap risiko tersebut.
c) Evaluasi Risiko, menentukan risiko-risiko mana yang memerlukan perlakuan dan
bagaimana prioritas perlakuan atas risiko-risiko tersebut. Risiko menurut banyak
pihak dikelompokkan menjadi:
Kelompok risiko tinggi (high risk), terdapat risiko-risiko yang berbahaya dan
tidak dapat ditolerir, apapun manfaat yang terkandung dalam kegiatan tersebut.
Langkah-langkah mitigasi risiko (risk reduction) hasil diambil, berapapun
biayanya. Contohnya, terkait dengan keselamatan dan kesehatan.
Kelompok risiko rendah (medium risk), risiko yang memerlukan analisis
manfaat-biaya guna mengukur perbandingan antara peluang serta dampak
buruknya. Contohnya, risiko bisnis.
-
25
Kelompok risiko rendah (low risk), risiko yang memiliki aspek positif dan
negatif terlalu kecil sehingga tidak memerlukan penanganan risiko secara khusus
dan kesalahan dari risiko ini tidak menimbulkan dampak besar yang tidak
diinginkan. Contohnya, salah tulis.
Dalam menentukan kriteria risiko di atas, pengertian pengendalian risiko perlu
diperhatikan. Sebagai contoh, suatu risiko masuk dalam kelompok risiko tinggi tetapi
karena pengendalian risiko yang efektif, risiko tersisa menjadi kecil, sehingga masuk
dalam kategori risiko rendah. Hasil evaluai risiko menunjukkan peringkat risiko yang
memerlukan penanganan lebih lanjut berdasarkan risiko yang tersisa dan efektivitas
pengendalian risiko yang ada.
4) Perlakuan Risiko
Setiap risiko memerlukan bentuk perlakuan yang khas untuk tiap risiko itu sendiri.
Pemeriksaan ulang yang cukup komprehensif perlu dilakukan untuk setiap risiko yang
memerlukan perlakuan risiko. Perlakuan suatu risiko dapat bermanfaat untuk risiko-
risiko lainnya (satu perlakuan untuk beberapa risiko), tetapi mungkin juga diperlukan
beberapa perlakuan untuk satu risiko. Beberapa perlakuan terhadap suatu risiko:
Menghindari risiko (risk avoidance), tidak melaksanakan atau melanjutkan
kegiatan yang menimbulkan risiko tersebut.
Berbagi risiko (risk sharing/transfer), suatu tindakan untuk mengurangi
kemungkinan timbulnya risiko atau dampak risiko. Misalnya melalui asuransi,
outsourcing, subcontracting, tindak lindung mata uang asing, dll.
Mitigasi (mitigation), melakukan perlakuan risiko untuk mengurangi
kemungkinan timbulnya risiko, atau mengurangi dampak risiko bila terjadi, atau
mengurangi keduanya (kemungkinan dan dampak). Mitigasi merupakan bagian
dari kegiatan organisasi sehari-hari.
Menerima risiko (risk acceptance), tidak melakukan perlakuan apapun terhadap
risiko tersebut.
5) Monitoring dan Review
Proses monitoring dan review harus mencakup semua aspek dari proses
manajemen risiko. Proses ini dapat berupa pemeriksaan biasa atau pengamatan terhadap
apa yang sudah ada secara berkala maupun khusus dan dilakukan secara terencana.
-
26
Hasilnya harus didokumentasikan serta dilaporkan baik internal maupun eksternal.
Beberapa pertanyaan dasar yang disusun dalam proses monitoring dan review yaitu:
a) Siapa yang melakukan monitoring dan review? Dewan Komisaris dan Direksi wajib melakukan proses monitoring dan review.
Dewan Komisaris bertanggung jawab dalam pelaksanaan monitoring dan review
terhadap keseluruhan operasi perusahaan. Direksi bertanggung jawab mengarahkan
dan mengendalikan operasi perusahaan. Dua macam pelaksanaan monitoring:
Pemantauan berkelanjutan (ongoing monitoring), dilaksanakan oleh pelaksana
pekerjaan (self review atau continous monitoring) dan atasan pekerja (line
management monitoring)
Pemantauan terpisah (separate monitoring), dilakukan oleh pihak ketiga baik
internal maupun eksternal auditor dan hasilnya dilaporkan kepada Direksi dan
Dewan Komisaris.
b) Apa yang perlu dipantau dan ditinjau?
Pemantauan terhadap perubahan, sehingga dinamika pemantauan risiko akan
mengikuti dinamika perubahan yang terjadi pada proses organisasi dan
lingkungan organisasi tersebut.
Pemantauan kinerja manajemen risiko, khususnya ditunjukan pada risiko-
risiko yang tinggi dan kritis. Pemantauan difokuskan pada efektivitas
pengendalian risikonya.
Kemungkinan timbulnya risiko-risiko baru akibat dilakukannya suatu tindakan
perlakuan risiko yang baru.
c) Informasi yang bagaimana yang harus dievaluasi?
Informasi yang dapat digunakan adalah informasi yang:
Sesuai, informasi yang relevan, dapat dipercaya, dan tepat waktu. Kesesuaian
informasi merupakan ukuran kualitas informasi.
Berkecukupan, ukuran dari jumlah informasi yang dibutuhkan harus cukup untuk
mengambil keputusan. Kecukupan dapat ditentukan secara statistik melalui
smapling dan ditentukan dengan selera risiko atau toleransi risiko yang ditetapkan.
d) Prosedur yang bagaimana yang harus digunakan dan seberapa sering?
Pengembangan dari pertanyaan pertama, yaitu:
-
27
Pemantauan berkelanjutan, dilakukan oleh pelaksana proses dengan
menggunakan indikator kinerja proses dan kinerja hasil. Untuk memudahkannya
dibuat prosedur terkait hal yang harus dipantau dan frekuensi pemantauannya,
agar produktivitas kerja tidak terganggu dan efektivitas pengendalian risiko tetap
terjaga.
Pemantauan oleh atasan, menekankan pada hasil proses dan ditetapkan jangka
waktu serta pelaporannya secara berjenjang hingga ke tingkat Direksi dan Dewan
Komisaris.
Pemantauan oleh pihak ketiga, meninjau keseluruhan prosedur pemantauan
berkelanjutan dan pemantauan oleh atasan untuk memastikan kepatuhan terhadap
standar, peraturan perundangan, dan peraturan internal yang digunakan, sekaligus
memeriksa efektivitas penerapan sistem manajemen risiko.
e) Bagaimana proses pelaporan dan siapa yang berhak membacanya?
Bentuk laporan hasil monitoring dan review, bila terdapat kelemahan sistem
manajemen risiko:
Laporan hasil temuan audit, laporan kelemahan pengendalian risiko yang akan
disampaikan pertama kepada risk owner dan atasan risk owner dan/atau atasan
unit tersebut.
Laporan kelemahan sistem, laporan kelemahan sistem pengendalian risiko yang
kritis untuk dikomunikasikan kepada Direksi dan Komite Pemantau Risiko dari
Dewan Komisaris.
Laporan tindak lanjut masalah, laporan tindak lanjut bila diperoleh laporan
adanya kelemahan pengendalian risiko baik dari internal maupun eksternal.
Perbaikan atas kelemahan ini harus segera dilaksanakan.
d. Dokumentasi Manajemen Risiko
1) Fungsi dokumentasi manajemen risiko
Sumber informasi atas proses yang terjadi atas pelaksanaan kegiatan dan dapat
menjadi dasar pengambilan keputusan atas permasalahan yang sama di masa
depan.
Bukti hukum atas apa yang telah diputuskan dan dilaksanakan, khususnya bila
terjadi sengketa hukum.
-
28
Sarana untuk preservasi pengetahuan sebagai bagian dari proses pengembangan
knowledge management dalam suatu organisasi.
2) Struktur dokumentasi manajemen risiko
Dokumentasi rencana manajemen risiko (risk management plan), dasar untuk
pelaksanaan manajemen risiko dan disusun oleh fungsi manajemen risiko.
Dokumentasi manajemen risiko (risk management documentation), dokumen-
dokumen yang diperlukan untuk mengelola proses penerapan manajemen risiko,
baik oleh fungsi manajemen risiko ataupun para risk owner.
2. Aspek Perawatan
Aspek perawatan merupakan aspek yang memastikan adanya upaya menjaga
efektivitas penerapan dan perbaikan yang berkesinambungan melalui monitoring dan
review serta audit manajemen risiko. Unsur-unsur yang mempengaruhi pelaksanaan
aspek perawatan dalam manajemen risiko adalah (1) risk governnace, (2) budaya risiko,
dan (3) pengembangan manajemen risiko.
a. Risk Governance
1) Akuntabilitas
Dewan Komisaris merupakan penanggung jawab tertinggi dalam memastikan
bahwa manajemen risiko perusahaan telah dilaksanakan dengan baik serta efektif dan
efisien. Untuk itu, Dewan Komisaris harus membentuk Komite Pemantau Risiko, atau
apabila dianggap berlebihan, maka dapat diserahkan kepada Komite Audit yang
tercantum dalam Piagam Audit.
Direksi harus melakukan pemantauan secara berkala terhadap kinerja manajemen
risiko. Akuntabilitas Direksi dilakukan dalam dua hal, yaitu:
Pembentukan Fungsi Manajemen yang mandiri, merupakan kepanjangan tangan
Direksi dalam memastikan bahwa manajemen risiko diterapkan dengan efektif dan
efisien serta memberikan nilai tambah melalui jaminan yang wajar dalam pencapaian
sasaran perusahaan.
Menghadiri dan melakukan review atas kinerja penerapan manajemen risiko
perusahaan secara berkala, minimal setiap tiga bulan sekali.
-
29
2) Jenis monitoring dan review
a) Evaluasi penerapan manajemen risiko harus dilaksanakan minimal satu kali dalam
satu tahun.
b) Laporan fungsi manajemen risiko setiap triwulan terhadap Direksi dengan
tembusan ke Dewan Komisaris atas:
Status profil risiko perusahaan terkini dan trend
Efektivitas pengendalian risiko-risiko besar dan risiko-risiko kritis
Hasil mitigasi-mitigasi risiko yang dilakukan dalam periode laporan tersebut
Perubahan lingkungan eksternal dan internal yang berpotensi risiko bagi
perusahaan
Observasi kemampuan risk owner perusahaan dalam menangani risiko-risiko yang
menjadi tanggung jawabnya.
b. Budaya Risiko
Pengembangan budaya sadar risiko bertujuan agar dalam setiap pengambilan
keputusan baik keputusan strategis hingga keputusan dalam operasi sehari-hari
dilakukan dengan hati-hati dan penuh pertimbangan (informed decision making).
1) Strategi pengembangan budaya risiko
Tone from the top, Direksi sebagai pimpinan puncak perusahaan harus dapat
menciptakan perilaku keteladanan (tone from the top) sehingga seluruh jajaran
perusahaan yakin bahwa penerapan manajemen risiko, terutama budaya sadar
risiko, dapat menciptakan nilai tambah dan berguna dalam memberikan jaminan
yang wajar atas pencapaian sasaran perusahaan.
Penciptaan crtitical mass, perlu dilakukan sosialisasi dan pelatihan yang
ekstensif ke seluruh jajaran perusahaan sehingga seluruh karyawan mengetahui
mengenai risiko dan sadar akan pentingnya penerapan manajemen risiko dalam
kegiatan operasional sehari-hari. Pencapaian critical mass penting untuk
penciptaan bahasa yang sama dan pemahaman yang serupa mengenai risiko
serta membuat proses perubahan berjalan mandiri dan berkelanjutan (sustainable).
Penyelarasan dengan insentif dan sanksi, upaya untuk mendorong dan
mendukung perilaku budaya risiko yang diinginkan dan mencegah serta
mempersulit perilaku budaya risiko yang tidak diinginkan.
-
30
Gambar 5: Strategi Pengembangan Budaya Risiko
c. Pengembangan Manajemen Risiko
1) Pengembangan sistem, metoda dan teknik
Pengembangan teknologi, metoda dan alat perlu dilakukan secara terus-menerus
untuk mengikuti dinamika perkembangan bisnis dan perubahan situasi eksternal yang
penuh dengan ketidakpastian guna meningkatkan daya tahan dan keliatan (resilience)
perusahaan.
Penerapan teknologi informasi sebagai enabler, harus diikuti dengan pemahaman
yang memadai terhadap apa yang ingin dicapai dengan penggunaan teknologi tersebut
serta penggunaan informasi yang tepat dan akurat sebagai landasan untuk
penerapannya. Dalam penggunaan teknik-teknik kuantitatif harus dipahami persyaratan
-
31
yang dituntut oleh teknik tersebut dan harus sesuai dengan tujuan penciptaan teknik
tersebut serta perlu dikaji ulang apabila ingin diterapkan pada bidang yang lain.
Untuk meningkatkan penerapan manajemen risiko, setiap perusahaan harus
mengkaji dan mencari teknik yang paling cocok dengan mengacu pada proses bisnis
utamanya. Kemampuan perusahaan dalam mengembangkan kapabilitas manajemen
risikonya ditentukan oleh risk governance dan budaya risiko.
2) Benchmarking
Benchmarking merupakan upaya untuk membandingkan kapabilitas dan
efektivitas penerapan manajemen risiko yang telah dilaksanakan oleh perusahaan
dengan penerapan di perusahaan yang lain. Melalui benchmarking, perusahaan dapat
saling belajar dan bertukar pengalaman, baik dengan perusahaan dalam industri sejenis
maupun dari sektor lainnya. Selain itu, perusahaan dapat memperbaiki dan mungkin
menentukan suatu teknik yang lebih cocok atau memodifikasi suatu teknik yang unggul
untuk disesuaikan dengan kondisi perusahaan.
3) Forum Manajemen Risiko
Pembentukan forum manajemen risiko atau bergabung dengan asosiasi
profesional manajemen risiko dapat membantu perusahaan untuk dapat mengikuti
perkembangan manajemen risiko yang terkini. Informasi yang diperoleh dapat dipelajari
lebih lanjut dan dikaji kesesuaiannya untuk diterapkan di perusahaan.
E. GlaxoSmihKline
1. Profil Perusahaan
GlaxoSmithKline (GSK) adalah sebuah perusahaan multinasional Inggris yang
bergerak di bidang kesehatan. Perusahaan ini resmi memulai memulai kegiatan
operasionalnya dengan nama GlaxoSmithKline pada tahun 2001, setelah terjadinya
merger antara GlaxoWelcome plc dan SmithKline Beecham plc. Saat ini perusahaan
bergerak dalam pengembangan vaksin, obat-obatan, dan produk layanan kesehatan
lainnya dengan jumlah pabrik mencapai 86 pabrik di 36 negara. GlaxoSmithKline
mempekerjakan lebih dari 12.500 orang pegawai di bidang R&D dengan total pegawai
mencapai 99.000 orang di 115 negara. Pada tahun 2013, GlaxoSmithKline
-
32
menginvestasikan uangnya sebesar 3,4 milyar dalam pengembangan obat-obatan baru,
vaksin, dan produk konsumen.
2. Kasus GlaxoSmihKline
Beberapa tahun terakhir GSK terkenal dengan permasalahannya dalam dunia
kesehatan. Salah satu permasalahan tersebut adalah kasus suap GlaxoSmithKline di
Cina. Kasus GlaxoSmithKline di Cina berawal dari tuduhan kecurangan operasional
yang dilakukan GlaxoSmithKline yang berasal dari laporan seorang whistleblower
melalui email terhadap perusahaan di bulan Januari 2013. Dalam email tersebut
disebutkan dugaan bahwa tim penjualan perusahaan telah menargetkan beberapa dokter
yang berpengaruh dan memberikan dokter tersebut sejumlah hadiah mahal ataupun
uang. Email tersebut dikirimkan bersamaan dengan rekaman skandal seks petinggi
GlaxoSmithKline China, Mark Rilley.
ChinaWhys, sebuah perusahaan yang dimiliki oleh Mr Humphrey, disewa oleh
GlaxoSmithKline untuk menginvestigasi siapa whistleblower dan pihak yang
melakukan rekaman tersebut. Pihak GlaxoSmithKline menduga bahwa email tersebut
dikirimkan oleh Vivian Shin Wen, yang telah keluar di akhir tahun 2012. Laporan atas
investigasi tersebut diberikan pada Juni 2013, tetapi tidak terungkap siapa pihak yang
melakukan rekaman tersebut.
Dalam email tersebut disebutkan juga bahwa GlaxoSmithKline mengirimkan
beberapa dokter untuk liburan mahal dan menyamarkannya sebagai konferensi serta
menggunakan jasa agen travel untuk menyalurkan suap kepada dokter dan kepada para
pejabat.
Email dari whistleblower tersebut bukan hanya berisi tentang biaya travel, tetapi
juga berisi tentang strategi agresif perusahaan yang sebagian besar berkaitan dengan
kegiatan suap menyuap serta berisi tuduhan sebagai berikut :
GlaxoSmithKline memalsukan pencatatannya untuk menyembunyikan kejahatan
termasuk penyuapan dan promosi penggunaan obat-obatan yang belum disetujui
kegunaannya
Pemberian uang kepada dokter dalam penjualan produk
GlaxoSmithKline membuat skema kepatuhan yang digunakan untuk menutupi
korupsi yang ada
-
33
Kegagalan GlaxoSmithKline dalam menginvestigasi tim penjualan mereka
Menurut GlaxoSmithKline, perusahaan telah menginvestigasi sejumlah dugaan
dengan menggunakan external legal dan audit advice kemudian atas investigasi tersebut
terungkap beberapa kecurangan tetapi tidak ditemukan kecurangan yang berhubungan
dengan tuduhan yang ada dalam email tersebut. Sejak kasus ini terungkap, empat orang
eksekutif senior telah ditahan termasuk Liang Hong yang merupakan wakil presiden dan
manager operasi yang mengungkapkan kepada stasiun televisi Cina tentang cara
penyaluran uang melalui agen perjalanan dengan merancang konferensi kesehatan, yang
beberapa diantaranya sebenarnya tidak pernah diadakan. Mark Rilley pun sebagai
kepala GlaxoSmithKline Cina terdahulu juga mengalami penahanan.
Pada tanggal 26 Juli 2013 dirilis data-data terbaru atas kasus ini. Para pekerja
GlaxoSmithKline mengakui bahwa mereka memang melakukan tindakan penyuapan
kepada dokter dengan memberikan hadiah, biaya perjalanan, dan pembayaran atas
peresepan obat. Para karyawan tersebut juga mengakui bahwa dalam beberapa kasus,
GlaxoSmithKline mengkompensasi seminar kedokteran fiktif. Atas pengakuan ini, 18
orang karyawan ditahan. Tak lama kemudian Mr Humprey yang merupakan
investigator, yang telah disebutkan sebelumnya, dan istrinya, Yu Yingzeng, ditangkap.
Badan Otoritas Cina tidak pernah secara eksplisit mengungkapkan hubungan antara
kasus GSK dengan keduanya. Dalam hal ini hanya dikatakan bahwa persidangan
mereka akan dilakukan secara tertutup. Keduanya diduga ditangkap karena dugaan
perbuatan melanggar hukum yakni penjualan informasi pribadi konsumen termasuk
alamat dan anggota keluarga.
Menurut Humprey selama bertindak sebagai investigator, Humphrey tidak
ditunjukkan email yang berisi dugaan whistleblower ketika menginvestigasi kasus ini.
Dalam beberapa minggu sebelum dia ditangkap, dia baru menyadari dan percaya bahwa
dugaan yang diungkapkan oleh whistleblower adalah benar.
Akibat kasus ini, penjualan GlaxoSmithKline dari bulan Juli ke September
menurun sebesar 61% dan dilanjutkan dengan penurunan sebesar 29% pada kuartal ke
empat di tahun 2013. Pada tanggal 4 April 2014, GlaxoSmithKline memecat
karyawannya sejumlah 7.000 orang karena melanggar aturan biaya.
-
34
Pada tanggal 14 Mei 2014, Kepolisan Cina mengumumkan hasil investigasi
dengan menegaskan bahwa perusahaan dan para eksekutifnya akan dituntut dan sebagai
akhir dari kasus ini pada bulan September 2014, GlaxoSmithKline mengumumkan
bahwa unitnya yang di Cina akan membayar denda sebesar 3 milyar Yuan setelah
terbukti menyuap pegawai non-pemerintah di negara tersebut.
Kasus GlaxoSmithKline menjadi sorotan karena meskipun telah melakukan 20
kali audit internal di Cina dalam satu tahun dan penyelidikan selama 4 bulan di awal
tahun 2013 seperti yang disebutkan di atas, para eksekutif seperti menutup mata atas
terjadinya kasus korupsi ini. Beberapa pendapat mengatakan bahwa biaya agen
perjalanan ini terlihat sangat valid tetapi dibantah dengan pendapat lain yang
mengatakan bahwa seharusnya biaya perjalanan yang tinggi memunculkan pertanyaan
di dalam GlaxoSmithKline dan juga di pada pihak auditor eksternal yakni
Pricewaterhouse Coopers.
Menurut konsultan yang telah bekerja di perusahaan, alasan yang memungkinkan
terjadinya kasus ini terletak pada pembayaran yang tidak dicatat dan keterlibatan senior
manager. Tuduhan suap melalui agen perjalanan bukan (dari GSK sendiri) dan
banyaknya transaksi individual yang jumlahnya tidak material, menyebabkan tidak
diangkatnya kasus ini oleh auditor. Hal ini merupakan tindakan kecurangan yang rapi
dan terjadi tingkat kolusi yang tinggi sehingga sulit untuk terdeteksi.
Menurut para ahli industri, pemberian hadiah dan pembayaran kepada para dokter
untuk bersedia meresepkan obat adalah hal yang lazim dan hal ini juga merupakan salah
satu hal yang mengancam bagi industri farmasi di Cina. Oleh karena itu, penggunaan
hak untuk melakukan internal audit juga bukan merupakan hal yang mudah bagi
GlaxoSmithKline, yang merupakan perusahaan multinasional, terutama jika pihak yang
diharapkan akan membantu pelaksanaan audit juga terlibat dalam kecurangan tersebut
akibat anggapan budaya yang ada.
Para ahli di bidang audit mempertanyakan mengapa dan apakah auditor
GlaxoSmithKline tidak dapat menyusuri biaya pemasaran mereka. Menurut para ahli
tersebut, bukti atas kejadian tersebut seharusnya dapat dilihat dari sejumlah cek yang
ditulis untuk agen perjalanan yang digunakan untuk mengirimkan dokter ke konferensi
kesehatan. Hal tersebut dapat menjadi bias karena pengiriman dokter ke seminar
-
35
kesehatan memang memperbesar jumlah biaya pemasaran dalam industri obat-obatan
tetapi area tersebut memang sudah seharusnya dicurigai.
3. Analisis Kasus
Menurut kami, manajemen risiko belum dijalankan dengan baik dalam kasus
GlaxoSmithKline di Cina. Hal ini terbukti dengan adanya tindakan-tindakan agresif
yang dilakukan oleh pejabat GlaxoSmithKline yang pada akhirnya meningkatkan risiko
bisnis perusahaan. Dalam teorinya, perusahaan yang telah memiliki manajemen risiko
yang baik akan terus mengidentifikasi dan akan menentukan tindakan serta akan
memberikan tanggapan atas ke kesempatan dan ancaman yang akan mempengaruhi
pencapaian perusahaan. Dalam hal ini, manajemen GlaxoSmithKline mengabaikan
ancaman risiko apabila perusahaan melanggar aturan sebuah negara dengan melakukan
perbuatan tidak etis.
Menurut paper The Role of Internal Auditing in Enterprise-Wide Risk
Management yang diterbitkan oleh The Institute of Internal Auditors, terdapat beberapa
panduan yang menjelaskan keterlibatan audit internal dalam manajemen risiko. Peranan
auditor internal dalam manajemen risiko adalah memberikan keyakinan yang objektif
bahwa risiko bisnis perusahaan telah dikelola dengan tepat dan pengendalian internal
perusahaan atas efektivitas manajemen risiko telah dijalankan dengan baik kepada para
dewan.
Secara umum auditor internal akan memberikan keyakinan dalam 3 hal, yaitu :
Proses manajemen risiko, baik dari segi merancang maupun dalam melihat seberapa
baik proses tersebut bekerja.
Manajemen atas risiko utama termasuk di dalamnya efektivitas dari kontrol
Penilaian yang andal dan tepat atas risiko dan pelaporan risiko serta status
pengendalian
Berdasarkan panduan ini, keberadaan audit internal juga dapat memberikan
tindakan konsultasi untuk meningkatkan tata kelola perusahaan, manajemen risiko, dan
proses pengendalian dengan bergantung pada sumber informasi eksternal maupun
internal yang tersedia dan risiko organisasiyang bervariasi dari waktu ke waktu.
Menurut kelompok kami, audit internal GlaxoSmithKline belum menjalankan
peranannya dalam menyediakan keyakinan atas tiga hal yang telah disebutkan di atas.
-
36
Audit internal tidak dapat mendeteksi kesalahan yang terjadi akibat kecurangan dalam
proses manajemen risiko terutama atas manajemen risiko utama seperti efektivitas atas
kontrol. Auditor internal juga tidak memberikan penilaian yang andal atas risiko dalam
perusahaan meskipun telah melakukan 20 kali audit internal dalam satu tahun.
Selain itu, audit internal tidak dapat menyediakan jasa konsultasi dengan baik
karena para auditor tidak didukung oleh sumber daya informasi yang baik. Dalam kasus
ini, tindakan suap kepada dokter dengan memberikan sejumlah uang agar dokter
menggunakan obat perusahaan dalam kegiatan medis merupakan tindakan yang
dianggap wajar di Cina. Dari pihak internal GlaxoSmithKline, diketahui bahwa para
dewan eksekutif dan juga beberapa karyawan melakukan kejahatan yang terstruktur atas
korupsi dan suap yang terjadi di perusahaan.
Menurut kelompok kami, auditor internal juga tidak dapat melakukan perannya
dengan baik dalam komponen hukum dan peraturan karena audit internal gagal untuk
mendeteksi apakah organisasi telah menjalankan bisnisnya dengan penuh tanggung
jawab sesuai dengan hukum yang berlaku dan tidak dapat mengidentifikasi tingkat
kepatuhan perusahaan. Dari komponen praktik bisnis dan etika, audit internal juga tidak
dapat menilai hubungan yang etis antara pengaturan tujuan dan proses evaluasi kinerja
terbukti dengan ketidakmampuan audit internal dalam menemukan perbuatan suap yang
material yang melanggar etika dalam proses pencapaian perusahaan.
Ketidakmampuan manajemen dan audit internal dalam memperhatikan aspek
manajemen risiko perusahaan, mengindikasikan belum tercapainya tata kelola
perusahaan yang baik dalam GlaxoSmithKline. Menurut pendapat kami, sebaiknya
perusahaan meningkatkan pengelolaan manajemen risiko atas bisnis perusahaan terlebih
dahulu. Pengelolaan manajemen risiko yang baik secara otomatis akan menurunkan
peranan audit internal dalam manajemen risiko.
-
37
Daftar Referensi
Aturan Bapepam-LK IX.I.7 (2008) - Pembentukan dan Pedoman Penyusunan Piagam
Unit Audit Internal.
Crowe Horwarth (2011) - Strengthening Corporate Governance With Internal Audit
Gracie, Carrie. Systematic Bribery at GlaxoSmithKline China credible investigator
http://www.bbc.com/news/world-asia-china-28142118 tanggal 3 Juli 2014 diakses
pada 3 November 2014.
Hirschler, Ben. How GlaxoSmithKline missed red flags in China
http://www.reuters.com/article/2013/07/19/us-gsk-china-redflags-
idUSBRE96I0L420130719 tanggal 19 Juli 2013 diakses pada 3 November 2014.
KNKG (2011) - Draft Pedoman Penerapan Manajemen Risiko Berbasis Governance.
Saigol, Lina dan John Aglioby. Timeline :GSKs mounting woes in China
http://www.ft.com/cms/s/0/ef7f7e1a-ed35-11e2-ad6e-
00144feabdc0.html#axzz3IGhyJXvf tanggal 19 September 2014 diakses pada 3
November 2014
Tracey, Meredith. A Full Timeline of the GSK Bribery Scandal
http://www.pm360online.com/a-full-timeline-of-the-gsk-bribery-scandal/ tanggal
30 Juli 2014 diakses pada 3 November 2014
The Institute of Internal Auditors (2009) The Role of Internal Auditing in Enterprise-
wide Risk Management.
-
38
Wardoyo, Trimanto S., dan Lena. (2010). Peranan Auditor Internal dalam Menunjang
Pelaksanaan Good Corporate Governance. Akurat Jurnal Ilmiah Akuntansi
No.3.
https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rj
a&uact=8&ved=0CCEQFjAA&url=http%3A%2F%2Frepository.maranatha.edu%
2F44%2F1%2FPERANAN%2520AUDITOR%2520INTENAL%2520DALAM%
2520MENUNJANG%2520PELAKSANAAN%2520GCG.pdf&ei=EulZVNz6Fpa
hugT3l4GoAg&usg=AFQjCNHIyIgd7mscX1Uv5QJk9Ej9Fh3n1Q&sig2=Fj-
TC0GxGSRs-T4Vg4x1bg
Cina mencekal petinggi GlaxoSmithKline
http://www.bbc.co.uk/indonesia/majalah/2013/07/130718_bisnis_glaxosmithkline
tanggal 18 Juli 2013 diakses pada 3 November 2014
http://www.tempo.co/read/news/2014/09/20/090608358/Cina-Denda-Perusahaan-
Inggris-3-Miliar-Yuan
STATEMENT OF AUTHORSHIP