LAPORAN TAHUNAN | 2014 | ANNUAL REPORT 265 Good Corporate Governance MANAJEMEN RISIKO Risk Management rencana pelaksanaan audit secara general, yang digunakan sebagai landasan atau acuan dalam pelaksanaan audit pada entitasentitas yang ada. Hal ini sebaiknya didiskusikan dengan Chief Risk Oicer CRO untuk mempertimbangkan rencana secara general seperti apa yang sebaiknya dibuat. 5. Kemudian, tidak lupa melakukan analisa guna memperhitungkan kebutuhan akan sumber daya, waktu dan durasi dalam pelaksanaan audit. Analisa ini akan mengacu pada skills dan pengalaman dari fungsi internal audit yang terdapat pada perusahaan. 6. Berdasarkan pada kemampuan dan kapabilitas yang dimiliki oleh internal audit saat ini, diharapkan untuk juga mengembangkan beberapa alternatif pada perencanaan internal audit agar dapat mengcover seluruh entitas yang dapat dilakukann audit. Karena adanya kemungkinan keterbatasan sumber daya sehingga proses audit tidak dapat diselesaikan tepat pada waktunya, sehingga tindakan ini perlu dilakukan. Pada prakteknya, Perusahaan sudah mengetahui dari sekian banyak entitas, yang manakah yang harus dilaksanakan audit dan mana yang tidak perlu tidak mendesak untuk dilakukan audit. Pengelompokan entitas-entitas mana saja yang termasuk audit universe dan entitas yang tidak. Pada pengambilan keputusan dalam penentuan perlu atau tidaknya audit dilakukan pada entitas terkait, kemudian siginifikansi hasil pada entitas terkait dan menentukan kemungkinan kegagalan dalam melakukan internal audit pada entitas terkait pun sudah dilakukan. Hal ini dijalankan karena Divisi SPI memiliki misi, melaksanakan audit internal yang berbasis risiko risk based audit. Pada lingkup manajemen risiko, Divisi SPI memiliki tugas memastikan bahwa risiko-risiko yang dikelola Perusahaan sudah diidentifikasi, dianalisa, dievaluasi, ditangani, dimonitor dan dikomunikasikan. Secara lebih spesifik, bentuk dari aktivitas yang dijalankan oleh divisi SPI adalah sebagai berikut: 1. Penyusunan Program Kerja Pemeriksaan Tahunan PKPT. 2. Penetapan Tim Audit. 3. Perencanaan Penyusunan Audit Program. 4. Survei Pendahuluan. which is used as the basis or reference for the audit on existing entities. This should be discussed with the Chief Risk Officer CRO to consider what kind of general plan should be made. 5. Then, not to forget the analysis to calculate requirements of resources, time and duration of the audit. This analysis will refer to the skills and experience of the internal audit function in the Company. 6. Based on the ability and capability possessed by the internal audit at this time, it is expected to also develop some alternatives of internal audit planning in order to cover all entities that are auditable due to the possibility of limited resources making the audit process can not be completed on time, so that this action needs to be done. In practice, the Company is already aware, from such the number of entities, which entities are in an urgent need for audit and which entities are not in such urgency. Grouping of the entities included in the audit universe and the entities that are excluded. At the decision-making in determining whether or not an audit needed in an entity, the significance in the entity and possibility of failure in performing internal audit on the entiry are already done. This is execited because Internal Audit Unit Division SPI Division has the mission to carry out risk-based audit. In the scope of risk management, SPI Division is tasked to ensure that the risks emanaged by the Company are already identified, analyzed, evaluated, treated, monitored and communicated. More specifically, the activities undertaken by SPI division are as follows: 1. Preparation of the Annual Audit Work Program. 2. Establishment of the Audit Team. 3. Planning Audit Program Preparation. 4. Preliminary surveys. LAPORAN TAHUNAN | 2014 | ANNUAL REPORT 266 5. Opening Meeting. 6. Pelaksanaan. 7. Pengumpulan Bukti, wawancara, dan lainnya. 8. Penyusunan Laporan. 9. Closing Meeting. 10. Penyusunan Laporan ke Manajemen. 11. Monitoring Tindak Lanjut Hasil Audit. Hanya saja proses analisa dan pengukuran terhadap ketiga variabel tersebut belum dilakukan secara spesifik. Sehingga untuk kedepannya, sebagai bagian dari penerapan Sistem ERM yang dilakukan pada Perusahaan, pihak internal audit akan melakukan proses analisis dan penilaian secara lebih spesifik yang akan memiliki output akhir berupa score yang menyatakan tinggi atau rendahnya tingkat kegentingan suatu entitas untuk dilakukan audit. Entitas yang digunakan adalah Divisi SPI yang detailnya diambil dari risiko-risiko yang muncul berdasarkan bisnis proses. Dan proses penilaian yang dilakukan, merupakan hasil adaptasi dari framework COSO-ERM. Evaluasi Sistem Pengendalian Intern Dalam melakukan evaluasi untuk menguji efektivitas Sistem Pengendalian Intern yang diterapkan Perusahaan, telah dilakukan langkah-langkah sebagai berikut: 1. Memastikan bahwa Informasi ataupun data yang dikelola dan dilaporkan memenuhi kriteria accurate, reliable, timely, consistent dan usefull. 2. Memastikan bahwa semua elemen pada Perusahaan taat terhadap kebijakan, prosedur, peraturan dan perundang- undangan yang berlaku. 3. Memastikan bahwa pengamanan dan pemanfaatan asset Perusahaan berjalan sebagaimana mestinya, penggunaan sumber daya dijalankan secara efisien dan efektif dan pencapaian target sesuai dengan rencana. 4. Melakukan audit, evaluasi dan konsultasi tentang kemampuan, efektivitas, ketaat-azasan dan kualitas pelaksanaan tugas manajemen operasional antara lain meliputi pengelolaan risiko, pengadaan, pembelian dan lain sebagainya. 5. Opening Meeting. 6. Implementation. 7. Evidence collection, interviews, and others. 8. Preparation of reports. 9. Closing Meeting. 10. Preparation of reports to management. 11. Monitoring follow-up of Audit results. The only thing is that the analysis and measurement process of these three variables have not been carried out specifically. So for the future, as part of ERM System implementation in the Company, the internal audit will conduct analysis and assessment process more specifically that would have the final output in a score implying the high or low level of audit urgency for an entity. The entity used is SPI Division whose details are taken from the risks arising based on business processes. And the assessment processes carried out is an adaptation of the COSO-ERM framework. Evaluation of Internal Control System In conducting an evaluation to test the effectiveness of the Internal Control System applied by the Company, the following measures are already undertaken: 1. Ensure that the information or data managed and reported has met the criteria of being accurate, reliable, timely, consistent and useful. 2. Ensure that all elements in the Company are in compliance with the policies, procedures, regulations and legislation in force. 3. Ensure that the security and utilization of the Company’s assets are run as they should, resources are used efficiently and effectively, the set targets are achieved by the plan. 4. Conduct audits, evaluations and consultations on the capabilities, effectiveness, adherence to principles and quality of implementation of the operational management tasks which include risk management, procurement, purchasing, and so forth. MANAJEMEN RISIKO Risk Management