ANALISIS KONTROL INTERNAL PADA PT ASTRA INTERNATIONAL TBK
MAKALAH
Dibuat sebagai salah satu syarat memenuhi tugas Mata Kuliah Internal Auditing
OLEH:
JHOICE NOOR SYAHID ADMAJA
NPM 120110150124
MOHAMAD INTAN HUSAINI TIWA’I
NPM 120110150097
AEP PUDIN
NPM 120110150071
PROGRAM STUDI SARJANA AKUNTANSI FAKULTAS EKONOMI DAN BISNIS UNIVERSITAS PADJADJARAN BANDUNG 2018
1.1 GRUP INTERNAL AUDIT (GIA)
GIA berperan penting, khususnya untuk mendukung berjalannya sistem pengendalian dan pengelolaan risiko yang baik. GIA memiliki tanggung jawab untuk membantu manajemen dalam meraih tujuan Perseroan. Hal ini dilakukan melalui rangkaian kegiatan audit dan konsultasi yang bertujuan untuk memberikan penilaian yang independen terhadap efektivitas dan integritas sistem pengendalian internal Perseroan dalam mengelola berbagai jenis risiko terhadap bisnis dan organisasi. Seluruh kegiatan audit dilakukan berbasis risiko (risk-based audit) berdasarkan standar yang ditetapkan oleh Institute of Internal Auditors (IIA) dan Committee of Sponsoring Organization of the Treadway Commission (COSO). Sesuai kedudukan dalam struktur organisasi Perseroan, GIA bertanggung jawab langsung kepada Presiden Direktur, serta melaksanakan koordinasi yang erat dengan Komite Audit yang bertugas membantu Dewan Komisaris dalam menjalankan fungsi pengawasan Perseroan. Dalam tatanan bisnis Perseroan diterapkan sistem audit internal yang terintegrasi dan komprehensif. Dalam pelaksanaan kerja, masing-masing anak perusahaan memiliki unit audit internal yang menerapkan jalur pelaporan kepada Direksi anak perusahaan tersebut, selain juga berkoordinasi dengan GIA di kantor pusat Perseroan.
1.2 KEGIATAN GIA PADA TAHUN 2017
Berikut adalah pencapaian yang telah diraih oleh GIA sepanjang tahun 2017: a. Portofolio: •
Kegiatan
untuk
membantu
manajemen
dalam
memastikan
efektivitas
pengendalian internal melalui kegiatan Audit dan Konsultasi, termasuk kegiatan Audit Bersama dengan fungsi Internal Audit pada unit usaha. •
GIA bekerja sama dengan pihak Internal Audit di setiap unit usaha Perseroan dan menyusun rencana kerja berdasarkan Common Audit Universe. Penyusunan rencana kerja melibatkan manajemen terkait dan wajib disetujui oleh Direksi dan Komite Audit.
•
Pelaksanaan Audit IT, yang bertanggung jawab memastikan efektivitas pengendalian
internal
pada
sistem
informasi
Perseroan,
terutama
yang
berhubungan dengan penanganan risiko siber. •
Secara periodik, laporan terkait dengan temuan, tindak lanjut dan rekomendasi di laporkan secara langsung kepada Direksi dan Dewan Komisaris melalui Komite Audit.
•
Guna menjaga kualitas fungsi internal audit, dilakukan pengembangan terhadap Audit Methodology dan dilakukan Quality Assurance untuk memastikan bahwa proses audit telah dilaksanakan sesuai dengan standar yang berlaku. Untuk mendukung efektivitas pengendalian internal selaras dengan perkembangan bisnis, GIA memanfaatkan teknologi Continuous Audit/Surveillance untuk meningkatkan cakupan audit cabang.
b. Sumber Daya Manusia: •
Peningkatan kompetensi para Auditor dilakukan pada aspek kemampuan melakukan kegiatan Audit serta kemampuan lainnya yang mendukung kegiatan tersebut berdasarkan Competency Matrix yang telah disusun. Pada tahun 2017, GIA menjalankan program Audit and Risk Trainee Batch 7 untuk pemenuhan kaderisasi di Perseroan.
•
Sebagai bagian dari upaya meningkatkan risk and control awareness kepada pihak 1st dan 2nd Line of Defense. GIA terlibat dalam meeting koordinasi rutin dengan Finance dan Forum Treasury, penerbitan artikel pada Majalah Astra, serta mendukung training lain yang relevan.
c. Kontribusi terhadap Masyarakat: •
Dalam rangka memberikan kontribusi atas pengembangan profesi Internal Audit di Indonesia, GIA berpartisipasi dalam seminar nasional, forum diskusi rekan se profesi, pelaksanaan benchmark bagi perusahaan di luar Perusahaan, serta mengenalkan profesi melalui kuliah umum yang dilaksanakan di beberapa Universitas.
1.3 SISTEM PENGENDALIAN INTERNAL
Direksi bertanggung jawab atas proses pengendalian internal Perseroan. Perseroan telah menerapkan sistem pengendalian internal, termasuk pengendalian keuangan dan operasional, yang memenuhi kerangka pengendalian yang diakui secara internasional (the Committee of Sponsoring Organizations of the Treadway Commission - COSO). Tujuan pengendalian internal dalam Perseroan, dijabarkan sebagai berikut: •
Tujuan Operasional: Pengendalian internal dirancang untuk meningkatkan efisensi dan efektivitas operasional perusahaan, termasuk untuk membantu perusahaan mencapai tujuan keuangan, serta untuk melindungi aset Perseroan.
•
Tujuan Pelaporan: Pengendalian internal yang bertujuan agar laporan keuangan dan non-keuangan Perseroan, memenuhi prinsip keandalan, ketepatan waktu dan transparansi, serta prinsip lainnya yang disyaratkan oleh Regulator, standar akuntansi yang diakui secara umum, atau kebijakan internal Perseroan.
•
Tujuan Kepatuhan: Pengendalian internal yang bertujuan untuk meningkatkan kepatuhan Perseroan terhadap peraturan dan perundangundangan yang berlaku dan relevan bagi Perseroan.
Prinsip pengendalian internal dalam Perseroan mencakup adanya komponen control environment, risk assessment, control activities, information - communication, serta proses monitoring, pada semua lini dalam perusahaan. Sistem pengendalian Perseroan menerapkan konsep three lines of defense, dimana manajemen bertugas menjalankan sistem pengendalian internal dan pengawasan perusahaan yang memadai pada lini pertama. Manajemen didukung oleh lini berikutnya, yaitu fungsi manajemen risiko dan pengendali lain yang mengukur tingkat risiko dan pengendalian, melakukan pemantauan secara berkala terhadap jalannya fungsi pengendalian. Pada lini ketiga, Audit Internal diutus atas nama Direksi dan Dewan Komisaris untuk memberikan keyakinan yang wajar terhadap sistem tata kelola, risiko dan pengendalian melalui pemeriksaan audit. Direksi melakukan evaluasi terhadap dua lini pertama atas kecukupan pengendalian internal dan manajemen risiko, setidaknya empat kali dalam satu tahun.
1.4 EVALUASI TERHADAP EFEKTIVITAS SISTEM PENGENDALIAN INTERNAL
Grup Internal Audit (GIA) membantu manajemen untuk memastikan adanya koordinasi yang baik antara fungsi-fungsi pengendalian perusahaan, termasuk pengendalian keuangan dan operasional, sehingga setiap fungsi tersebut dapat berjalan dengan efektif. Dengan mengacu kepada standar Institute of Internal Auditors (IIA), GIA memberikan jasa assurance dan advisory kepada para pemangku kepentingan. Dalam menjalankan perannya tersebut, Grup Internal Audit mengacu kepada pendekatan risiko (risk-based approach) yang relevan dan signifikan pada area tersebut. Grup Internal Audit juga didukung dengan Unit Quality Assurance yang memiliki tugas untuk melakukan kajian dan memberikan keyakinan bahwa pemeriksaan audit yang dilakukan dalam lingkungan Perseroan telah sesuai dengan standar yang ditetapkan.
1.5 ANALISIS KONTROL INTERNAL
A. Three Lines of Defense Pendekatan “Three Lines of Defence” atau Pertahanan Tiga Lapis semakin banyak diadopsi oleh berbagai organisasi dalam rangka membangun kapabilitas manajemen risiko di seluruh jajaran dan proses bisnis organisasi yang sering dikenal sebagai Enterprise Risk Management (ERM). Pendekatan ini sering disingkat sebagai model 3LD (Three lines of defence). Model 3LD membedakan antara fungsi-fungsi bisnis sebagai fungsi-fungsi pemilik
risiko (owning risks/risk owner) terhadap fungsi-fungsi yang menangani risiko (managing risks), dan antara fungsi-fungsi yang mengawasi risiko (overseeing risks) dengan fungsi-
fungsi yang menyediakan pemastian independen (independent assurance). Kesemua fungsi tersebut memainkan peran penting dalam platform Enterprise Risk Management (ERM) baik untuk organisasi korporasi perbankan atau sektor riil, maupun organisasi-organisasi
pemerintahan. Untuk bahasan selanjutnya, tulisan ini akan merujuk pada model 3LD di organisasi korporasi atau perusahaan non-perbankan.
Model 3LD adalah model pertahanan internal organisasi perusahaan yang secara sederhana dapat diringkas sebagai berikut:
1. Pertahanan lapis pertama:
Pertahanan lapis pertama dilaksanakan oleh unit atau komponen atau fungsi bisnis yang melakukan aktivitas operasional perusahaan sehari-hari, terutama yang merupakan garis depan atau ujung tombak organisasi. Dalam hal ini mereka diharapkan untuk:
•
Memastikan adanya lingkungan pengendalian (control environment) yang kondusif di unit bisnis mereka.
•
Menerapkan kebijakan manajemen risiko yang telah ditetapkan sewaktu menjalankan peran dan tanggung jawab mereka terutama dalam mengejar pertumbuhan perusahaan. Mereka diharapkan secara penuh kesadaran mempertimbangkan faktor risiko dalam keputusan-keputusan dan tindakan-tindakan yang dilakukannya.
•
Mampu menunjukkan adanya pengendalian internal yang efektif di unit bisnis mereka, dan juga adanya pemantauan dan transparansi terhadap efektifitas pengendalian internal tersebut
2. Pertahanan lapis kedua
Pertahanan lapis kedua dilaksanakan oleh fungsi-fungsi manajemen risiko dan kepatuhan, terutama fungsi-fungsi manajemen risiko dan kepatuhan yang sudah terstruktur misal: departemen atau unit manajemen risiko dan kepatuhan. Dalam hal ini, mereka diharapkan untuk:
•
Bertanggung jawab dalam mengembangkan dan memantau implementasi manajemen risiko perusahaan secara keseluruhan.
•
Melakukan pengawasan terhadap bagaimana fungsi bisnis dilaksanakan dalam koridor kebijakan manajemen risiko dan prosedur-prosedur standard operasionalnya yang telah ditetapkan oleh perusahaan.
•
Memantau dan melaporkan risiko-risiko perusahaan secara menyeluruh kepada organ yang memiliki akuntabilitas tertinggi di perusahaan.
3. Pertahanan lapis ketiga
Pertahanan lapis ketiga dilaksanakan oleh auditor baik auditor internal maupun auditor eksternal. Peran auditor internal jauh lebih intens dalam model 3LD ini karena mereka adalah bagian internal perusahaan yang bersifat independen terhadap fungsifungsi lainnya. Dalam hal ini, auditor internal diharapkan untuk:
•
Melakukan reviu dan evaluasi terhadap rancang bangun dan implementasi manajemen risiko secara keseluruhan, dan
•
Memastikan bahwa pertahanan lapis pertama dan lapis kedua berjalan sesuai dengan yang diharapkan.
Untuk perusahaan publik di Indonesia, konteks penerapan model 3LD harus dilihat dari kacamata bentuk struktur governance di Indonesia yang menganut ‘two-board system’ yaitu
keberadaan
direksi
perusahaan
yang
memiliki
akuntabilitas
eksekutif (executive accountability) dan dewan komisaris yang memiliki akuntabilitas pengawasan (oversight accountability). Sejalan dengan peraturan Bapepam, direksi memiliki unit audit internal sebagai bagian dari pengendalian perusahaan dan dewan komisaris memiliki komite audit sebagai bagian dari mekanisme pelaksanaan akuntabilitas mereka. Dalam konteks tersebut, di bawah ini adalah ilustrasi gambaran umum model Pertahanan Tiga Lapis untuk perusahaan publik di Indonesia:
Gambar di atas menunjukkan bahwa ketiga lapis pertahanan berada di bawah akuntabilitas dan koordinasi langsung direksi perusahaan (ditunjukkan dengan tanda
panah solid), sedangkan dewan komisaris – melalui komite audit mereka – memiliki akuntabilitas tidak langsung (ditunjukkan dengan tanda panah terputus-putus) terhadap pertahanan lapis ketiga. Walaupun dewan komisaris hanya memiliki koordinasi dengan auditor internal dan eksternal untuk pertahanan lapis ketiga, mereka juga sebenarnya secara tidak langsung terlibat dalam pemantauan efektifitas pertahanan lapis kedua melalui hasil reviu auditor internal tentang efektifitas kebijakan dan implementasi manajemen risiko di perusahaan mereka secara menyeluruh.
Walaupun tidak diharuskan oleh Bapepam, dewan komisaris di beberapa perusahaan publik juga memiliki komite pemantau risiko di samping komite audit. Bagi perusahaan-perusahaan tersebut, akuntabilitas pertahanan lapis kedua secara lebih eksplisit juga menjadi bagian dari akuntabilitas tidak langsung dewan komisaris perusahaan, sebagaimana diilustrasikan dalam gambar di bawah ini:
Gambar di atas memperlihatkan bahwa akuntabilitas langsung untuk ketiga lapis pertahanan ada di direksi perusahaan (ditunjukkan dengan tanda panah solid), sementara akuntabilitas dewan komisaris bersifat tidak langsung (ditunjukkan dengan tanda panah terputus-putus) dan terkait hanya pada lapis kedua dan ketiga dari pertahanan tersebut.
Walaupun dewan komisaris – melalui komite audit dan komite pemantau risiko – hanya memiliki koordinasi dengan auditor internal dan eksternal untuk pertahanan lapis ketiga, dan
koordinasi dengan departemen atau unit manajemen risiko untuk pertahanan lapis kedua, mereka juga sebenarnya secara tidak langsung dapat terlibat dalam pemantauan
efektifitas pertahanan lapis pertama melalui laporan-laporan dari departemen atau unit manajemen risiko tersebut kepada komite pemantau risiko.
Bagi beberapa orang, penerapan model 3LD ini diyakini akan membuat daya tahan (resilience) perusahaan terhadap risiko-risiko yang dihadapi akan jauh lebih kuat – terutama bagi perusahaan publik yang memiliki komite audit dan komite pemantau risiko – dibanding
perusahaan yang tidak menerapkannya. Oleh karena itu, sering dikatakan
bahwa kematangan dan efektifitas penerapan Enterprise Risk Management (ERM) di perusahaan akan tercermin dari efektifitas penerapan model 3LD ini. Semakin matang model ini diterapkan, semakin intens terciptanya suatu budaya manajemen risiko yang terpadu di seluruh proses dan seluruh lini perusahaan, menuju suatu tingkat daya tahan organisasi (organizational resilience) yang kokoh dan menyeluruh.
B. Risk-based Approach Mengacu kepada standar Institute of Internal Auditors (IIA), GIA memberikan jasa assurance dan advisory kepada para pemangku kepentingan. Dalam menjalankan perannya tersebut, Grup Internal Audit mengacu kepada pendekatan risiko ( risk-based approach) yang relevan dan signifikan pada area tersebut.
Adapaun definisi pendekatan risiko pada pengendalian menurut IIA adalah Sebuah metodologi yang menghubungkan audit internal dengan seluruh kerangka manajemen risiko yang memungkinkan proses audit internal mendapatkan keyakinan memadai bahwa manajemen risiko organisasi telah dikelola dengan memadai sehubungan dengan risiko yang dapat diterima (risk appetite). Dari definisi tersebut dapat disimpulkan secara umum bahwa internal audit berbasis risiko melihat risiko-risiko yang dapat terjadi kepada perusahaan. Adapun menurut IIA tahapan-tahapan pengimplementasian internal audit berbasis risiko ini ada tiga tahap yaitu :
1. Assessing Risk Maturity Memperoleh gambaran tentang sejauh mana dewan dan manajemen menentukan, menilai, mengelola dan memantau risiko. Ini memberikan indikasi keandalan daftar risiko untuk tujuan perencanaan audit. 2. Periodic Audit Planning Mengidentifikasi tingkat keyakinan dan tugas konsultasi untuk periode tertentu, biasanya tahunan, dengan mengidentifikasi dan memprioritaskan semua area di mana dewan membutuhkan tingkat keyakinan yang obyektif, termasuk proses manajemen risiko, manajemen risiko utama, dan pencatatan dan pelaporan risiko. 3. Individual Audit Assignments Melaksanakan tugas berdasarkan risiko yang didapat individu untuk memberikan jaminan pada bagian dari kerangka manajemen risiko, termasuk pada mitigasi individu atau kelompok risiko.
Setiap unit kerja pada tiap departemen bertanggung jawab melakukan proses identifikasi dan tata kelola risiko sesuai dengan wewenang yang melekat pada masingmasing unit, pada tahap ini setiap unit melakukan tahapan peng identifikasian risiko. Dukungan konsultasi diberikan oleh Grup Risk Advisory (GRA) yang bertugas membantu manajemen dalam menjalankan kerangka kerja Enterprise Risk Management (ERM) sesuai dengan profil risiko dan kebutuhan masing-masing bisnis. Selanjutnya, GRA menyediakan laporan konsolidasi risiko utama yang diidentifikasi di berbagai unit bisnis untuk membantu Direksi dalam tugas pengelolaan Perseroan.
C. Unit QualityAssurance Quality assurance (QA) is a way of preventing mistakes or defects in manufactured products and avoiding problems when delivering solutions or services to customers; which ISO 9000 defines as "part of quality management focused on providing confidence that quality requirements will be fulfilled". This defect prevention in quality assurance differs subtly from defect detection and rejection in quality control and has
been referred to as a shift left as it focuses on quality earlier in the process i.e. to the left of a linear process diagram reading left to right.
The terms "quality assurance" and "quality control" are often used interchangeably to refer to ways of ensuring the quality of a service or product. For instance, the term "assurance" is often used as follows: Implementation of inspection and structured testing as a measure of quality assurance in a television set software project at Philips Semiconductors is described. The term "control", however, is used to describe the fifth phase of the Define, Measure, Analyze, Improve, Control (DMAIC) model. DMAIC is a data-driven quality strategy used to improve processes.
Quality assurance comprises administrative and procedural activities implemented in a quality system so that requirements and goals for a product, service or activity will be fulfilled. It is the systematic measurement, comparison with a standard, monitoring of processes and an associated feedback loop that confers error prevention. This can be contrasted with quality control, which is focused on process output.
Quality assurance includes two principles: "Fit for purpose" (the product should be suitable for the intended purpose); and "right first time" (mistakes should be eliminated). QA includes management of the quality of raw materials, assemblies, products and components, services related to production, and management, production and inspection processes. The two principles also manifest before the background of developing (engineering) a novel technical product: The task of engineering is to make it work once, while the task of quality assurance is to make it work all the time.
Historically, defining what suitable product or service quality means has been a more difficult process, determined in many ways, from the subjective user-based approach that contains "the different weights that individuals normally attach to quality characteristics," to the value-based approach which finds consumers linking quality to price and making overall conclusions of quality based on such a relationship. The role of the Quality Assurance Unit can be summarized in the following points:
1. Development of policies, strategies and processes to improve the Institution 2. Organization, function and improvement of the quality assurance system 3. Coordination and support of the evaluation processes of units 4. Support of the processes for external evaluation and certification of the Programmes of Studies. Menurut definisi pada ISO 9000:2000 (QMS-Fundamentals and Vocabulary), adalah sbb: * Quality control (lihat section 3.2.10); part of quality management focused on fulfilling quality requirements. * Quality assurance (lihat section 3.2.11); part of quality management focused on providing confidence that quality requirements will be fulfilled. Secara singkat QC terfokus pada pemenuhan persyaratan mutu (produk/service) sedangkan QA terfokus pada pemberian jaminan/keyakinan bahwa persyaratan mutu akan dapat dipenuhi. Atau dengan kata lain, QA membuat sistem pemastian mutu sedangkan QC memastikan output dari sistem itu memang benar-benar memenuhi persyaratan mutu. Kalau dari definisi ini, kegiatan-kegiatan inspeksi dan uji (in-coming, in-process, outgoing) akan masuk kategori QC, sedangkan hal-hal seperti perencanaan mutu, sertifikasi ISO, audit sistem manajemen, dsb tentu masuk kategori QA. Beberapa perusahaan, saat ini tidak lagi membedakan antara QA dan QC di dalam operasional quality management-nya. Cukup disebut departemen Quality, di dalamnya ada kegiatan merancang jaminan bahwa persyaratan mutu akan dipenuhi dan sekaligus bagaimana memenuhi persyaratan mutu tersebut. QA = Quality Assurance, to lead and operated by assure of an organization successfully, it is necessary to direct and control it in a systematic and transparent manner. Maksudnya adalah meyakinkan/menjamin secara kualitas dengan suatu sistematis kerja dan keterbukaan untuk keberhasilan suatu pekerjaan secara keseluruhan organisasi di setiap lini dengan melalui sistem control.
QC = Quality Control, to take control of quality by procedural and applicable reference that implemented direct to process system in good and full fill of minimum requirement as finally results. Maksudnya adalah pengendalian mutu dengan prosedur kerja berdasarkan referensi yang dapat diterapkan dan diimplementasikan langsung di proses pekerjaan tersebut untuk memenuhi persyaratan minimum sebagai hasil akhir pekerjaan. Hubungan pendeknya adalah bahwa QA yang meyakinkan / menjamin QC.
https://www.ncbi.nlm.nih.gov/pmc/articles/PMC3088954/ https://www.auth.gr/en/units/8184 http://crmsindonesia.org/publications/pertahanan-3-lapis-the-3-lines-of-defence-konteks-erm perusahaan-publik-di-indonesia/ ISO 9000:2005, Clause 3.2.11 Larry, Smith (2001). "Shift-Left Testing". "Quality Assurance vs Quality Control – Learning Resources – ASQ". "ASQ – Practical Quality Assurance for Embedded Software". "Define, Measure, Analyze, Improve, Control (DMAIC Approach) – ASQ". The Marketing Accountability Standards Board (MASB) endorses this definition as part of its ongoing Common Language in Marketing Project. Stebbing, L. (1993). Quality Assurance: The Route to Efficiency and Competitiveness (3rd ed.). Prentice Hall. p. 300. ISBN 978-0-13-334559-9. Prause, Christian; Bibus, Markus; Dietrich, Carsten; Jobi, Wolfgang (2016). "Software Product Assurance at the German Space Agency". Journal of Software: Evolution and Process. 28 (9): 744 – 761. Garvin, D.A. (15 October 1984). "What Does "Product Quality" Really Mean?". MIT Sloan Management Review. Massachusetts Institute of Technology. Retrieved 29 November 2017 Chartered Institute of Internal Auditors (2014) Risk based internal auditing
