LAPORAN TAHUNAN | 2014 | ANNUAL REPORT 264 1. Memahami risk universe atau cakupan risiko yang terdapat pada organisasi, termasuk di dalamnya berapa banyak entitas yang dapat diaudit yang berada pada organisasi serta mengetahui estimasi tingkat risiko entitas tersebut berdasarkan tingkatan probability dan tingkatan signifikansinya. 2. Melakukan proses identifikasi pada kebutuhan akan audit internal dari sekian banyak entitas Perusahaan yang dapat diaudit. Meskipun dalam sebuah entitas dianggap tidak terlalu berisiko untuk dilakukan internal control, tetapi jika pihak komite internal manajer senior bersikeras meminta untuk dilakukan audit pada pihak tersebut, maka pihak auditor diharapkan mampu untuk melakukan audit. Terdapat tiga cara untuk menentukan tingkat kegentingan pada entitas Perusahaan untuk dilakukan audit. Ketiga tahapan tersebut adalah: a. Menentukan kebutuhan akan audit pada entitas, dengan melakukan penilaian pada entitas tersebut. Nilai 1 jika memang pada entitas tersebut perlu dilakukan audit pada periode tersebut dan nilai 0 jika ternyata memang tidak membutuhkan audit. b. Menentukan tingkat signifikansi jika pada entitas terkait memang akan dilakukan audit. Dengan memberikan penilaian dari 0,01 hingga 0,99, maka akan ditentukanlah tingkat signifikansi hasil daripada entitas yang diaudit berdasarkan keputusan bersama daripada para auditor. Semakin tinggi penilaiannya semakin tinggilah hasilnya. c. Menentukan kemungkinan kegagalan pada internal audit jika dilakukan pada entitas yang bersangkutan. Dengan penilaian antara 0,01 hingga 0,99, maka akan ditentukan tingkat kegalalan proses internal audit yang dilakukan pada entitas yang bersangkutan. 3. Langkah selanjutnya dari proses identifikasi adalah mengembangkan program audit yang didasarkan pada berbagai macam entitas yang menjadi kandidat yang dalam pelaksanaan internal audit. 4. Berdasarkan pada berbagai macam program audit yang akan dilakukan yang didasarkan pada berbagai macam kebutuhan entitas, maka selanjutnya, dikembangkanlah 1. Understanding the risk universe or scope of risks inherent in the organization, including how many auditable entities in the organization, and finding out the estimated risk level of these entities based on probability and significance levels. 2. Identifying the need for an internal audit of the Company’s auditable entities. Although in an entity the internal control is deemed not too risky to do, if senior managers of internal committee insist to do an audit on the said entities, then the auditor will be able to perform the audit. There are three ways to determine the degree of urgency of the Company entities for audit. The three stages are: a. Determine the entity’s need for audit by conducting an assessment on the entity. Score 1 is given if the entities need to be audited for the said period and score 0 if an audit is not required. b. Determining the level of significance if the relevant entity would indeed be audited. By providing scoring from 0.01 to 0.99, the significance level of outcome resulted from the entity being audited by a joint decision of the auditors. A higher assessment will produce higher assessment result. c. Determine the probability of failure in internal audit if it is done in the concerned entity. With scoring from 0.01 to 0.99, failure level of the internal audit process conducted in the concerned entity will be determined. 3. The next step of the identification process is to develop an audit program based on a wide variety of entities which become candidates in the implementation of internal audit. 4. Based on a wide range of audit programs that will be conducted based on various needs of the entities, the next step is developing an audit implementation plan in general, MANAJEMEN RISIKO Risk Management LAPORAN TAHUNAN | 2014 | ANNUAL REPORT 265 Good Corporate Governance MANAJEMEN RISIKO Risk Management rencana pelaksanaan audit secara general, yang digunakan sebagai landasan atau acuan dalam pelaksanaan audit pada entitasentitas yang ada. Hal ini sebaiknya didiskusikan dengan Chief Risk Oicer CRO untuk mempertimbangkan rencana secara general seperti apa yang sebaiknya dibuat. 5. Kemudian, tidak lupa melakukan analisa guna memperhitungkan kebutuhan akan sumber daya, waktu dan durasi dalam pelaksanaan audit. Analisa ini akan mengacu pada skills dan pengalaman dari fungsi internal audit yang terdapat pada perusahaan. 6. Berdasarkan pada kemampuan dan kapabilitas yang dimiliki oleh internal audit saat ini, diharapkan untuk juga mengembangkan beberapa alternatif pada perencanaan internal audit agar dapat mengcover seluruh entitas yang dapat dilakukann audit. Karena adanya kemungkinan keterbatasan sumber daya sehingga proses audit tidak dapat diselesaikan tepat pada waktunya, sehingga tindakan ini perlu dilakukan. Pada prakteknya, Perusahaan sudah mengetahui dari sekian banyak entitas, yang manakah yang harus dilaksanakan audit dan mana yang tidak perlu tidak mendesak untuk dilakukan audit. Pengelompokan entitas-entitas mana saja yang termasuk audit universe dan entitas yang tidak. Pada pengambilan keputusan dalam penentuan perlu atau tidaknya audit dilakukan pada entitas terkait, kemudian siginifikansi hasil pada entitas terkait dan menentukan kemungkinan kegagalan dalam melakukan internal audit pada entitas terkait pun sudah dilakukan. Hal ini dijalankan karena Divisi SPI memiliki misi, melaksanakan audit internal yang berbasis risiko risk based audit. Pada lingkup manajemen risiko, Divisi SPI memiliki tugas memastikan bahwa risiko-risiko yang dikelola Perusahaan sudah diidentifikasi, dianalisa, dievaluasi, ditangani, dimonitor dan dikomunikasikan. Secara lebih spesifik, bentuk dari aktivitas yang dijalankan oleh divisi SPI adalah sebagai berikut: 1. Penyusunan Program Kerja Pemeriksaan Tahunan PKPT. 2. Penetapan Tim Audit. 3. Perencanaan Penyusunan Audit Program. 4. Survei Pendahuluan. which is used as the basis or reference for the audit on existing entities. This should be discussed with the Chief Risk Officer CRO to consider what kind of general plan should be made. 5. Then, not to forget the analysis to calculate requirements of resources, time and duration of the audit. This analysis will refer to the skills and experience of the internal audit function in the Company. 6. Based on the ability and capability possessed by the internal audit at this time, it is expected to also develop some alternatives of internal audit planning in order to cover all entities that are auditable due to the possibility of limited resources making the audit process can not be completed on time, so that this action needs to be done. In practice, the Company is already aware, from such the number of entities, which entities are in an urgent need for audit and which entities are not in such urgency. Grouping of the entities included in the audit universe and the entities that are excluded. At the decision-making in determining whether or not an audit needed in an entity, the significance in the entity and possibility of failure in performing internal audit on the entiry are already done. This is execited because Internal Audit Unit Division SPI Division has the mission to carry out risk-based audit. In the scope of risk management, SPI Division is tasked to ensure that the risks emanaged by the Company are already identified, analyzed, evaluated, treated, monitored and communicated. More specifically, the activities undertaken by SPI division are as follows: 1. Preparation of the Annual Audit Work Program. 2. Establishment of the Audit Team. 3. Planning Audit Program Preparation. 4. Preliminary surveys.