LAPORAN TAHUNAN | 2014 | ANNUAL REPORT 263 Good Corporate Governance MANAJEMEN RISIKO Risk Management • Pembagian Tugas Pembagian Tugas kepada masing masing Unit Kerja dilakukan sesuai dengan Job Description dari masing- masing unit. • Keamanan atas Aset Perusahaan Perusahaan selalu melakukan upaya upaya untuk menjamin keamanan dan Aset Perusahaan. 4. Sistem Informasi dan Komunikasi, yaitu suatu proses penyajian laporan mengenai kegiatan operasional, inancial serta ketaatan dan kepatuhan terhadap ketentuan peraturan perundangan-undangan oleh Perusahaan dengan menerbitkan laporan secara tepat waktu dan layak saji. Pelaporan yang ditujukan kepada OJK maupun ke Pemegang Saham juga meliputi laporan atas kepatuhan Perusahaan terhadap Undang Undang dan Peraturan yang berlaku lainnya. 5. Monitoring , yaitu proses penilaian terhadap kualitas system pengendalian intern, termasuk fungsi Audit Internal pada setiap tingkat dan unit dalam struktur organisasi Perusahaan. Monitoring dilakukan terhadap temuan temuan audit internal maupun eksternal. Kesesuaian Sistem Pengendalian Intern dengan COSO-ERM Jika dilihat dari sudut pandang framework COSO Committee of Sponsoring Organizations of the Treadway Commission -ERM, pada proses program perencanaan audit tahunan, dapat dikembangkan berdasarkan pada framework dari COSO-ERM serta juga didasarkan pada tanggung jawab pihak internal audit terhadap manajemen dalam melakukan review pada aktivitas Perusahaan. Pihak audit internal disarankan untuk melakukan identifikasi terhadap entitas-entitas Perusahaan yang memang perlu untuk diaudit, kemudian mengukur seberapa efektifkah jika pada entitas tersebut akan dilakukan internal control dan menentukan seberapa besar kemungkinan kegagalan dalam menjalankan proses audit internal pada entitas yang bersangkutan. Dalam melakukan perencanaan pada audit internal dapat didasarkan pada beberapa konsep yang besifat umum sebagai berikut: • Segregation of duties Segregation of duties to each Work Unit is carried out in accordance with the Job Description of each unit. • Security of the Company’s Assets The company always makes efforts to ensure security of the Company’s Assets. 4. Information and communication system, which is a process of preparing reports on operational and financial activities, as well as the adherence to and compliance with the provisions of legislation by the Company by issuing reports in a timely and well-presented manner. Reporting addressed to FSA and Shareholders also includes a report on compliance with Laws and other prevailing regulations. 5. Monitoring, that is a process to asses of the internal control system quality, including Internal Audit function at every level and unit in the Company’s organizational structure. Monitoring is conducted on the internal and external audit findings. Compatibility of Internal Control System with COSO-ERM From the perspective of COSO Committee of Sponsoring Organizations of the Treadway Commission –ERM framework, the process of annual audit program planning can be developed based on COSO-ERM framework, and is also based on internal audit unit’s accountability to the management in reviewing the Company’s activities. Internal audit unit is advised to carry out the identification of the Company’s entities need to be audited, then measure the effectiveness if an internal control is performed in the entities and determine how likely a failure in carrying out the internal audit process on the concerned entities. An internal audit planning can be based on some general concepts as follows: LAPORAN TAHUNAN | 2014 | ANNUAL REPORT 264 1. Memahami risk universe atau cakupan risiko yang terdapat pada organisasi, termasuk di dalamnya berapa banyak entitas yang dapat diaudit yang berada pada organisasi serta mengetahui estimasi tingkat risiko entitas tersebut berdasarkan tingkatan probability dan tingkatan signifikansinya. 2. Melakukan proses identifikasi pada kebutuhan akan audit internal dari sekian banyak entitas Perusahaan yang dapat diaudit. Meskipun dalam sebuah entitas dianggap tidak terlalu berisiko untuk dilakukan internal control, tetapi jika pihak komite internal manajer senior bersikeras meminta untuk dilakukan audit pada pihak tersebut, maka pihak auditor diharapkan mampu untuk melakukan audit. Terdapat tiga cara untuk menentukan tingkat kegentingan pada entitas Perusahaan untuk dilakukan audit. Ketiga tahapan tersebut adalah: a. Menentukan kebutuhan akan audit pada entitas, dengan melakukan penilaian pada entitas tersebut. Nilai 1 jika memang pada entitas tersebut perlu dilakukan audit pada periode tersebut dan nilai 0 jika ternyata memang tidak membutuhkan audit. b. Menentukan tingkat signifikansi jika pada entitas terkait memang akan dilakukan audit. Dengan memberikan penilaian dari 0,01 hingga 0,99, maka akan ditentukanlah tingkat signifikansi hasil daripada entitas yang diaudit berdasarkan keputusan bersama daripada para auditor. Semakin tinggi penilaiannya semakin tinggilah hasilnya. c. Menentukan kemungkinan kegagalan pada internal audit jika dilakukan pada entitas yang bersangkutan. Dengan penilaian antara 0,01 hingga 0,99, maka akan ditentukan tingkat kegalalan proses internal audit yang dilakukan pada entitas yang bersangkutan. 3. Langkah selanjutnya dari proses identifikasi adalah mengembangkan program audit yang didasarkan pada berbagai macam entitas yang menjadi kandidat yang dalam pelaksanaan internal audit. 4. Berdasarkan pada berbagai macam program audit yang akan dilakukan yang didasarkan pada berbagai macam kebutuhan entitas, maka selanjutnya, dikembangkanlah 1. Understanding the risk universe or scope of risks inherent in the organization, including how many auditable entities in the organization, and finding out the estimated risk level of these entities based on probability and significance levels. 2. Identifying the need for an internal audit of the Company’s auditable entities. Although in an entity the internal control is deemed not too risky to do, if senior managers of internal committee insist to do an audit on the said entities, then the auditor will be able to perform the audit. There are three ways to determine the degree of urgency of the Company entities for audit. The three stages are: a. Determine the entity’s need for audit by conducting an assessment on the entity. Score 1 is given if the entities need to be audited for the said period and score 0 if an audit is not required. b. Determining the level of significance if the relevant entity would indeed be audited. By providing scoring from 0.01 to 0.99, the significance level of outcome resulted from the entity being audited by a joint decision of the auditors. A higher assessment will produce higher assessment result. c. Determine the probability of failure in internal audit if it is done in the concerned entity. With scoring from 0.01 to 0.99, failure level of the internal audit process conducted in the concerned entity will be determined. 3. The next step of the identification process is to develop an audit program based on a wide variety of entities which become candidates in the implementation of internal audit. 4. Based on a wide range of audit programs that will be conducted based on various needs of the entities, the next step is developing an audit implementation plan in general, MANAJEMEN RISIKO Risk Management