USULAN PERUBAHAN STRATEGI PENGAWASAN DAN PENGGUNAAN RISK ASSESSMENT UNTUK RATING AUDIT DALAM PERENCANAAN AUDIT PADA

PROSES TURN AROUND BISNIS PT PERMODALAN NASIONAL MADANI (PERSERO).

MAKALAH

Sebagai Salah Satu Persyaratan Untuk Mendapatkan Sertifikasi Qualified Internal Auditor (QIA)

Disusun oleh :

Dana Maulana, SE, Ak

PROGRAM SERTIFIKASI QUALIFIED INTERNAL AUDITOR TINGKAT MANAJERIAL Angkatan ke-124 Agustus 2011

KATA PENGANTAR
Alhamdulillah puji syukur penulis panjatkan kepada Allah SWT, karena hanya atas karunia dan rahmat-Nya, penulis berhasil menyelesaikan proses penyusunan makalah ini. Pada kesempatan ini, penulis ingin mengucapkan terima kasih yang tulus kepada:

1. Indah Lestari, SE, MBA atas semua dukungan dan bantuan yang tiada terkira, serta
untuk seluruh keluarga penulis yang selalu mendorong penulis untuk lebih baik.

2. Bapak Prof. Dr. Hiro Tugiman, Ak., QIA selaku Ketua Dewan Sertifikasi Qualified
Internal Auditor (DS-QIA) dan Bapak Hari Setianto, Ak, MsocSc., QIA, CIA, CFE, CCSA, CFSA, CGAP selaku Direktur Akademis Pusat Pendidikan dan Pengembangan Audit dan Manajemen Yayasan Pendidikan Internal Audit (PPAM YPIA). 3. Dosen-dosen pengajar Yayasan Pendidikan Internal Auditor yang telah dengan ikhlas melimpahkan ilmunya kepada penulis.

4. Bapak Supardji, Ak, MM selaku Kepala Divisi Divisi Satuan Pengawasan Intern dan
rekan-rekan Divisi Satuan Pengawasan Intern PT Permodalan Nasional Madani (Persero) yang selalu mendukung penulis. 5. Rekan-rekan peserta Pelatihan Internal Auditor atas ide, kritik, dan saran, serta kesempatan untuk berdiskusi. 6. Semua pihak yang membantu terlaksananya penulisan makalah ini. Penulis juga menyadari sepenuhnya bahwa masih terdapat banyak kekurangan dalam makalah ini. Oleh karena itu, penulis mengharapkan saran dan kritik yang membangun dari pembaca untuk kebaikan makalah ini. Terakhir, penulis berharap semoga makalah ini bermanfaat bagi pembaca.

Jakarta, Agustus 2011

Dana Maulana, SE, Ak

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

Daftar Isi

DAFTAR ISI
Halaman KATA PENGANTAR DAFTAR ISI BAB I PENDAHULUAN 1.1 Latar Belakang Pemilihan Judul 1.2 Ruang Lingkup 1.3 Sistematika Penulisan BAB II LANDASAN TEORI 2.1 2.1. 1 2.1. 2 2.2 2.2. 1 2.2. 2 2.3. 1 2.3. 2 2.4 BAB III Pengertian Risiko dan Kategorisasi Lembaga Pembiayaan Definisi Risiko Kategorisasi Risiko di Lembaga Pembiayaan Definisi Risk Based Audit dan Risk Maturity Life Stages Definisi Risk Based Audit Definisi Risk Maturity Life Stages Proses Risk Assessment Konsep Risk Assessment Tahapan Risk Assessment Konsep dan Manfaat Control Self Assessment 3 3 3 5 5 5 7 7 7 8 i Ii 1 2 2

2.3

ANALISA DAN IMPLEMENTASI 3.1 3.1. 1 3.1. 2 3.1. 3 3.2 3.2. 1 3.2. 2 Efek Turn Around Bisnis PT PNM (Persero) Perubahan Struktur Divisi SPI dan Penerapan Enterprise Risk Management Bertambahnya Fungsi Pengawasan Pada Organisasi Perubahan Metode Pemilihan Auditee Pada Perencanaan Audit Tahunan Usulan Perubahan Metode Pengawasan dan Perencanaan Audit Tahunan Menggunakan Risk Assessment untuk Rating Audit. Usulan Perubahan Metode Pengawasan Usulan Perubahan Metode Perencanaan Audit Tahunan Menggunakan Risk Assessment untuk Rating audit 9 9 9 10 10 10 11

BAB IV

SIMPULAN DAN SARAN A. B. Simpulan Saran-Saran 20 20 22 23

DAFTAR PUSTAKA BIODATA

Program Sertifikasi Qualified Internal Auditor - Tingkat Manajerial

ii

BAB I PENDAHULUAN PT Permodalan Nasional Madani (Persero) disingkat PT PNM (Persero) adalah salah satu perusahaan pembiayaan yang didirikan oleh pemerintah pada 1 Juni 1999 dengan maksud memberikan dukungan pada usaha mikro, kecil, menengah dan koperasi sesuai dengan anggaran dasar perusahaan. Pada awalnya bisnis perusahaan adalah pembiayaan Lembaga Keuangan Mikro/Syariah (LKM/S) dengan berbagai skim produk, jasa manajemen kemitraan dan penerusan kredit program (KP) dari Bank Indonesia untuk bank umum. Namun sesuai dengan perjanjian pemberian kredit program oleh Bank Indonesia kredit program tersebut akan jatuh tempo pada tahun 2013, perusahaan dituntut untuk melakukan perubahan bisnis utama (turn around) jika ingin mempertahankan going concern-nya dikarenakan porsi pendapatan kredit program tersebut sangat besar, dibutuhkan bisnis baru yang signifikan untuk menggantikan kredit program tersebut. Dibawah jajaran direksi baru yang diangkat pada Februari 2008, pada akhir tahun 2008 diperkenalkanlah bisnis baru perusahaan yaitu Unit Layanan Modal Mikro (ULaMM) yang menyalurkan pembiayaan mikro dan kecil secara langsung kepada pelaku usaha mikro dan kecil. Sampai pertengahan tahun 2011 telah berdiri hampir 400 ULaMM yang melayani 14 propinsi dan hampir 300 kecamatan di seluruh Indonesia dan sesuai dengan rencana jangka panjang perusahaan akan bertambah hingga lebih dari 2000 ULaMM pada tahun 2015. 1.1 Latar Belakang Pemilihan Judul Dikarenakan perubahan revenue center dari model centralized dari kredit program kepada decentralized dari ULaMM yang jumlahnya semakin banyak (hampir 400 unit) hasil proses turn around bisnis PT PNM (Persero), hal ini tentu berakibat kepada perubahan stategi perencanaan audit dan pengendalian sehingga terjadi perubahan struktur dan metode dari Divisi Satuan Pengawasan Intern (SPI) selaku yang melaksanakan proses audit, baik operasional maupun investigasi dan evaluasi pengendalian intern di PT PNM (Persero). Selain itu, sebelum diadakannya turn around bisnis ditahun 2009, Divisi SPI PT PNM (Persero) belum memperhitungkan dengan aspek risiko dalam perencanaan audit, sehingga terdapat beberapa kelemahan dalam perencanaan audit yaitu sebagai berikut:

1. 2.

Belum berfungsinya internal audit secara maksimal sehingga belum menjadi value

added bagi perusahaan. Kegiatan audit yang dilakukan mayoritas menunggu instruksi Direktur Utama tanpa

bisa melakukan prioritas risiko.

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

3. 4.

Kurangnya jumlah personel internal auditor, sehingga aktivitas audit tidak

mengcover objek audit yang ada. Terdapat beberapa personel internal auditor di divisi SPI yang tidak memiliki

background pengalaman maupun pengetahuan tentang akuntansi keuangan dan auditing yang cukup memadai. Berdasarkan penjelasan diatas, terkait dengan turn around perusahaan penulis

berpendapat bahwa Divisi SPI PT PNM (Persero) perlu menerapkan perencanaan audit dengan menggunakan pendekatan risiko (risk priority) dan apabila bisnis ULaMM sudah dirasa cukup mapan dan Risk Management sudah mampu untuk mengelola risiko dengan mapan hingga masuk dalam kategori risk defined maka perusahaan dapat didorong untuk menerapkan risk based internal audit sehingga bisa mengatasi permasalahan perbandingan jumlah auditor di Divisi SPI dengan objek audit yang akan bertambah setiap tahunnya dan membuat perusahaan lebih efektif, efisien dan ekonomis dalam mengelola biayanya terutama overhead internal auditornya. Didasarkan oleh permasalahan diatas, penulis tertarik untuk membantu mencoba mengefisienkan biaya dan aktifitas audit dengan menerapkan usulan penggunaan risk assessment dalam rating audit dan pengusulan penambahan internal auditor di Kantor Cabang. 1.2 Ruang Lingkup Penulisan makalah ini dibatasi hanya pada usulan perbaikan pada perencanaan audit dan fungsi pengawasan yaitu perencanaan audit dengan menggunakan risk assessment pada rating audit dan fungsi pengawasan pada objek audit pada PT Permodalan Nasional Madani (Persero). 1.3 Sistematika Penulisan Sistematika penulisan makalah ini adalah sebagai berikut : Bab 1 : Pendahuluan Pemaparan tentang pentingnya pendekatan risiko dalam perencanaan audit dan strategi audit sehingga menghasilkan proses dan hasil audit yang efektif dan efisien mengingat sumber daya yang sangat terbatas. Bab 2 : Rujukan Teori Berisi teori-teori yang berkaitan dengan risiko pada perusahaan pembiayaan , Risk Based Internal Audit, Risk Assessment serta Control Self Assessment.

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

Bab 3 : Analisa dan Implementasi Menjelaskan pedoman proses pembuatan risk assessment dalam penilaian audit (audit rating) dan usulan peningkatan jumlah internal auditor di Kantor Cabang. Bab 4 : Kesimpulan dan Saran Bab ini merupakan penutup yang memuat kesimpulan dari pembahasan bab-bab sebelumnya dan saran-saran yang dapat disampaikan.

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

BAB II LANDASAN TEORI Bab ini menguraikan beberapa pemikiran yang relevan dengan judul makalah dimana penyajiannya terbagi menjadi empat kelompok:

1.) Pengertian risiko dalam perusahaan pembiayaan dan kategorisasinya. 2.) Definisi Risk Based Internal Auditing dan Risk Maturity Life Stages. 3.) Proses Risk Assessment. 4.) Control Self Assessment (CSA).
2.1 Pengertian Risiko dan Kategorisasinya pada Lembaga Pembiayaan 2.1.1 Definisi Risiko Secara etymology kata risiko sering diartikan sebagai: Akibat/ konsekuensi (Resico-kosa kata belanda); segala sesuatu yang menghalangi tujuan (Risk-kosa kata bahasa inggris); ataupun kemungkinan kerusakan (New World Dictionary). Kemudian basel committee menerjemahkan risiko sebagai: Kemungkinan hasil buruk atau negatif yang dapat diprediksi. Sementara keadaan yang menimbulkan potensi kerugian disebut dengan risk event, dan kerugian yang timbul dari risk event adalah risk loss atau loss (rugi). Sering ditemukan kerancuan pemahaman dikalangan manajemen dalam membedakan resiko (Risk) dan kerugian (Loss). Akibatnya jika transaksi atau strategi belum menimbulkan kerugian, maka segala aktifitas untuk meyakinkan efektivitas dari mitigasi risiko tersebut, tidak menjadi prioritas. 2.1.2 Kategori Risiko di Lembaga Pembiayaan

Terdapat kecenderungan yang kuat saat ini untuk membedakan setiap risiko menjadi kelompok kategori yang eksklusif dan sepadan antara satu kategori risiko dengan yang lainnya. Hal ini merupakan dampak logis perkembangan risk management yang membagi setiap jenis masalah, cara penyelesaiannya dan PICnya masing-masing. Selain itu, gambaran besar (big picture) risiko yang dimiliki suatu bisnis akan lebih jelas. Dalam pengkategorian risiko untuk lembaga pembiayaan, terdapat banyak

referensi literatur manajemen risiko, seperti BASEL Accord II, HM Treasury 2001,

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

atau di Indonesia yang banyak dipakai adalah kategori risiko versi Central Bank (BI) yang terdiri dari 8 jenis risiko. Basel Accord II, misalnya mengklasifikasikan risiko dalam 4 jenis, yaitu risiko pasar, risiko kredit, risiko operasional dan risiko lainnya. a) Risiko pasar Risiko pasar adalah risiko kerugian pada posisi on dan off balance sheet karena perubahan komponen. Risiko pasar yaitu:

Risiko spesifik: timbul karena perubahan harga instrument keuangan

akibat faktor individu atau issuer-nya, seperti harga Bond yang turun karena rating dari issuer memburuk.

Risiko umum (General): timbul karena perubahan harga pasar pada

sekelompok jenis instrumen tertentu. Risiko ini terdiri dari risiko suku bunga; posisi saham; nilai tukar; dan Komoditas. Kejadian seperti kasus Sumitomo Corporation (Juni 1996) dengan kerugian USD1,8 milyar dalam 10 tahun karena jual beli logam tembaga oleh tradernya, atau kerugian PT Telekomunikasi Indonesia (Agustus 1998) karena pinjaman USD306 Milyar, JPY 11 Milyar dan FRF130 juta dikonversi ke rupiah yang melemah, adalah contoh dari risiko yang umum.

b) Risiko Kredit
Risiko kredit adalah risiko kerugian yang timbul sebagai akibat kegagalan counterparty dalam memenuhi kewajibannya. Lembaga Pembiayaan menghadapi risiko kredit karena sifat dasar bisnisnya. Lembaga pembiayaan yang memiliki gearing yang tinggi dan mengalami kenaikan default rate, bisa mengurangi capital secara cepat. Contohnya adalah Peregrine Investment Holding (Januari 1998) yang meminjamkan 20% dari capital base pada Steady Safe, perusahaan taksi dan bis Indonesia. c) Risiko Operasional Risiko operasional adalah risiko kerugian/karena adanya kekurangan dari komponen: Proses Internal; Sumber Daya Manusia; Sistem; Kejadian Eksternal; Hukum dan Regulasi.

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

Kasus kelemahan proses internal seperti kasus Daiwa Bank, New York (April 1995) dengan kerugian sebesar USD1,1 milyar yang telah disembunyikan oleh seorang bond trader selama 11 tahun, atau kegagalan sistem komputer pada kasus Bank of Scotland (Oktober 2000) yang menyebabkan penutupan semua ATM-nya, adalah beberapa contoh dari Risiko Operasional. d) Risiko Lainnya Termasuk di dalam kategori risiko ini adalah Risiko Bisnis, Risiko Strategis dan Risiko Reputasi. Kasus Best Bank of Boulder Colorado (Juli 1998) yang memberikan kartu kredit untuk peminjam berkualitas rendah atau pinjaman ke nasabah risiko tinggi pada bunga tinggi, adalah salah satu risiko bisnis. Sementara kasus Midland Bank yang memberli 51% Crocker Bank pada bulan Oktober 1981 dan menjualnya kembali pada bulan Februari 1986 ke Wells Fargo Bank, adalah contoh permasalahan akuisisi bank asing dengan standar dan perilaku bisnis berbeda yang merupakan risiko strategis. 2.2 Definisi Risk Based Audit dan Risk Maturity Life Stages 2.2.1 Pengertian Risk Based Audit Menurut ORegan (dikutip oleh Tunggal,2007) menjelaskan pengertian risk based audit adalah Auditing in which audit objectives and audit planning are driven by a risk assessment philosophy . Sedangkan menurut Wollard menjelaskan risk based auditing sebagai berikut : Risk based auditing can be defined as identifying the risk of material misstatement in areas of the financial statement and subsequently determining the most efficient and appropriate effort to be applied to each area. 1. First, the auditor needs to identify areas where there is a high risk of material misstatement; those are the areas that will require the application of more procedures. 2. Secondly, the auditor should determine how to reduce the procedures applied to the areas identified as low-risk. 3. In addition, the following should also be analyzed to identify the risk of material misstatement: (a) the client's business risk (risk that an event will adversely affect the company's goals and objectives (b) how management mitigates those risks, and

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

(c) the areas of risk that management has not addressed at all. Risk Based Audit adalah audit dengan didasarkan hasil identifikasi dan analysis/ assessment terhadap risiko yang material dan berpotensi menghambat strategi bisnis, aktivitas atau transaksi, sehingga diperoleh perencanaan audit yang lebih terarah serta pemeriksaan dan pelaporan yang lebih fokus. 2.2.2 Ruang Lingkup dan Tujuan Risk Based Audit Ruang lingkup dari risk based audit termasuk dilakukannya identifikasi atas inherent business risks dan control risk yang potensial. Satuan Pengawasan Intern (SPI) dapat melakukan review secara periodik tiap tahun atas risk based internal Auditing dikaitkan dengan perencanaan audit. Tunggal (2007) menyebutkan tujuan umum metode risk based audit adalah mengurangi risiko, mengantisipasi risiko potensial yang dapat merugikan operasional perusahaan dan melindungi perusahaan dari kejadian yang tak terduga yang diantisipasi sebelum kejadian tersebut benar-benar terjadi. 1. Mengurangi risiko perusahaan (mitigate current risk) Berdasarkan risk based audit yang dilakukan, maka dapat dideteksi transaksi, produk, dan aktivitas perusahaan yang berisiko tinggi (high risk). Area yang berisiko tinggi tersebut dapat diteliti dan dievaluasi penyebabnya sehingga manajemen dapat melakukan mitigasi risiko tersebut. 2. Mengantisipasi area dengan risiko potensial (anticipate areas of potencial risk) Risk based audit juga mengungkapkan area mana yang berpotensi mempunyai risiko tinggi dan mungkin tidak disadari oleh auditee. 3. Melindungi perusahaan (protect company) Kejadian yang menimbulkan kerugian bagi perusahaan dapat terjadi secara mendadak dan perusahaan tidak siap menghadapi. Hal ini menimbulkan kerugian yang berpengaruh besar pada perusahaan. Metode risk based audit memungkinkan perusahaan siap menghadapi risiko dan mengantisipasi dari kemungkinan kerugian yang berdampak sangat besar bagi perusahaan. 2.2.3 Risk Maturity Life Stages (RMLS) Dalam implementasi RBIA terbagi tiga tahap yang perlu dilalui yaitu:
Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

a).

Evaluasi tingkat risk maturity dari organisasi yang bersangkutan. risiko-risiko dilakukan terkait evaluasi kedalam atas audit universe auditable tersebut. unit Selanjutnya untuk

b). Membuat risk dan audit universe dengan mengalokasikan kategori dari kondisi tersebut

mendapatkan profil risiko awal dan membuat rencana audit tahunan berdasarkan profil risiko yang dihasilkan. c). Menjalankan aktivitas audit dan melakukan up-dating dari risk dan audit universe yang ada berdasarkan hasil audit yang dilakukan. Didalam tahapan awal implementasi RBIA, tingkat kedewasaan dalam pengelolaan risiko atau risk maturity dari sebuah organisasi harus terlebih dahulu dipelajari. Risk Maturity Life Stages (RMLS) dapat menentukan bagaimana unit internal audit di organisasi tersebut melakukan audit plan. Tingkat maturity sebuah organisasi dibedakan menjadi 5 tahap, yaitu: a). Risk Enabled: Pada tahapan ini, risk management dan pengendalian internal secara lengkap telah menyatu di dalam aktivitas operasional. b). Risk Managed: Pendekatan risk management dalam skala enterprise wide telah dikomunikasikan dan dibangun. Setiap risiko yang signifikan masuk dalam parameter evaluasi, risk register telah dibuat dan telah dibobot, dan risk response telah selaras dengan kebijakan organisasi. c). Risk Defined: Di dalam tahap ini kebijakan dan strategi perusahaan telah dikomunikasikan dengan baik dan risk appetite dari organisasi maupun dari auditable unit bersangkutan telah ditentukan. d). Risk Aware: Pemahaman risiko yang terpecah-pecah, belum memiliki risk register sekalipun telah tersedia daftar risiko pada setiap auditable unit di organisasi tersebut. Pendekatan risk management bersifat silo approach. e). Risk Naive: Belum tersedianya pendekatan risk management yang formal di dalam organisasi ini. Pada tahapan risk naive dan risk aware. RBIA tidak dapat diimplementasikan. Organisasi pada tahapan tersebut perlu ditingkatkan dahulu ke tahap berikutnya yaitu risk defined. Namun demikian dalam dua tahap organisasi ini, pemberlakuan audit berbasis risiko masih dapat dilakukan dengan lebih sederhana, yaitu secara risk driven, dimana penentuan risk area concerned dilakukan oleh SPI dengan terlebih dahulu melakukan pembahasan dengan manajemen dari auditable unit terkait. Perlu diingat bahwa SPI tidak dapat
Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

menentukan dan membuat daftar risiko-risiko dari auditable unit tanpa melibatkan pihak manajemen dan auditable unit tersebut, Hal ini hanya memperkuat pandangan manajemen bahwa tanggung jawab pengelolaan risiko hanya berada pada pundak SPI. 2.3 Proses Risk Assessment 2.3.1 Konsep Risk Assessment Risk Assessment dapat diartikan sebagai proses keseluruhan dari analisa risiko dan evaluasi risiko di dalam perusahaan. Analisa risiko disini maksudnya penggunaan informasi secara sistematis untuk melihat besarnya kemungkinan sebuah risk event/ kejadian risiko dapat muncul, serta untuk melihat berapa signifikan concequences/dampak dari risk event/kejadian risiko tersebut. Sementara evaluasi risiko adalah proses yang dilakukan untuk menentukan risiko mana saja yang menjadi prioritas manajemen. Proses evaluasi ini dilakukan dengan membandingkan tingkat risiko yang didapat dari proses analisa diatas, dengan target dan standar perusahaan yang telah ditentukan terlebih dahulu.

2.3.2

Tahapan Risk Assessment Pada proses Risk Assessment umumnya ditemukan beberapa langkah: a). Identifikasi risiko (risk identification) b). Pengukuran risiko (risk measurement) c). Penentuan prioritas (risk prioritization) Identifikasi risiko dilakukan dengan beberapa cara misalnya dengan melakukan analisa atas korelasi tiga unsur risiko yaitu kejadian risiko/risk event, operational set-up (sebab) dan tujuan yang terhambat. Selain itu identifikasi risiko juga dapat dilakukan dengan cara exposure analysis. Melalui cara ini risiko diidentifikasi dengan melihat exposure (kemungkinan besarnya kerugian) terhadap aset-aset yang dimiliki organisasi. Analisis ini dapat dilakukan untuk masing-masing aset atau terhadap aset yang sudah dikelompokkan berdasarkan ukuran, tipe, portability-nya dan lokasi (STPL). Pengukuran risiko pada umumnya dilakukan dengan melihat

kemungkinan terjadinya risiko tersebut dan besar dampaknya. Pada kedua aspek tersebut kemudian diberikan penilaian sesuai dengan skala tertentu.
Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

Setelah

melalui

tahap

identifikasi

dan

pengukuran,

proses

risk

assessment dilanjutkan dengan melakukan langkah prioritisasi risiko, yaitu dengan menempatkan (plotting) hasil pengukuran risiko ke dalam grafik dua dimensi yang telah dipersiapkan berdasarkan peringkat kemungkinan terjadi dan dampak risiko yang bersangkutan. 2.4 Proses dan Manfaat Control Self Assessment (CSA) Menilai dan evaluasi pengendalian yang dilakukan sendiri yaitu dilakukan oleh pihak perusahaan atas aktivitasnya dan juga oleh fungsi internal audit, hal ini dilakukan secara terus menerus mengingat perusahaan dalam mencapai tujuannya selalu akan mengalami perubahan yang datangnya dapat dari luar perusahaan juga dari dalam perusahaan itu sendiri. Proses penilaian aktivitas pengendalian dan pengembangan tindakan-tindakan untuk perbaikan diperluikan untuk terus dapat minimal menjaga agar tujuan yang telah ditentukan perusahaan dapat tercapai dan pada saatnya meningkatkan dari tujuan yang telah dicapai tersebut. Manfaat CSA bagi auditor adalah :

a. Membantu kerjasama dengan klien/auditee.

b. d. e. Pemahaman yang lebih baik terhadap operasional dan aktivitas klien, Konsentrasi audit pada area-area yang tingkat resikonya lebih tinggi. Mengurangi kebutuhan akan keterlibatan audit internal. c.Audit akan lebih kompetitif dan fokus.

f. Auditor akan dapat berperan sebagai konsultan.

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

10

BAB III ANALISA DAN IMPLEMENTASI

3.1

Efek Turn Around Bisnis PT PNM (Persero) 3.1.1 Perubahan Struktur Organisasi Divisi SPI PT PNM (Persero) dan Dari hasil turn around bisnis yang dilakukan oleh perusahaan, mengakibatkan berubahnya peta risiko perusahaan sehingga divisi SPI pun harus menyesuaikan diri dengan perubahan yang terjadi di perusahaan, hal tersebut ditandai dengan berubahnya struktur organisasi Divisi SPI yang terjadi pada tahun 2010, dengan dibentuknya bagian audit investigasi dan evaluasi pengendalian intern dalam Divisi SPI. Dengan terus berkembangnya bisnis perusahaan menjadi decentralized profit center dan bertambahnya jumlah unit dan Kantor Cabang, maka tidak dapat diabaikannya fungsi pengendalian pada unit bisnis perusahaan pada level Kantor Cabang dan kantor unit (ULaMM). Disamping itu Divisi SPI selaku yang melaksanakan fungsi internal audit didorong untuk melakukan kegiatan audit yang efisien, efektif dan ekonomis dengan mempertimbangkan cost and benefit dan keterbatasan sumber daya yang ada. Bisnis perusahaan yang telah berubah juga mendorong manajemen PT PNM (Persero) untuk melakukan penilaian risiko pada level korporasi sehingga pada bulan Mei 2011 dilakukan Enterprise Risk Management (ERM) oleh konsultan eksternal yaitu Badan Pengawasan Keuangan dan Pembangunan (BPKP).

Dilakukannya Enterprise Risk Management.

a)
Organisasi

Bertambahnya

Fungsi

Pengawasan

Pada

Berikut adalah perubahan jumlah cabang/cabang pembantu serta jumlah Kantor UlaMM yang terjadi sebelum dan sesudah proses turn around : Tabel 1 jumlah objek audit sebelum proses turn around bisnis No 1 2 3 4 Audit Universe Subsidiaries Company SBU/Division Branch Office Number of employee Jumlah Objek 2 company 17 Division 13 Office +/- 300 person

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

11

Tabel 2 Jumlah objek audit pada Juni 2011 (proses turn around) 1 2 3 4 5 Audit Universe Subsidiaries Company SBU/Division Branch Office Unit Office (UlaMM) Number of employee Jumlah Objek 4 company 20 Division 20 office 376 office +/- 3000 person

Dengan tingginya risiko kredit mikro yang disadari oleh manajemen PT PNM (Persero), maka dibentuknya fungsi pemeriksaan kepatuhan dan skoring unit yang dijalankan oleh Internal Control Staff (ICS) pada setiap Kantor Cabang yang dibawahi oleh unit Supervisi (Compliance) pada Kantor Cabang. Setiap ICS rata-rata bertanggung jawab pemeriksaan kepatuhan (enam) sampai dengan 7 (tujuh) Kantor UlaMM. pada 6

b)

Perubahan

Metode

Pemilihan

Auditee

Pada

Perencanaan Audit Tahunan Pada akhir tahun 2008, beberapa ULaMM telah berdiri sebanyak 12 unit sebagai pilot project di beberapa wilayah sekitar DKI Jakarta dan hingga akhir tahun 2010 telah berdiri 276 kantor UlaMM yang tersebar di 14 provinsi di Indonesia, sehingga Divisi SPI merasa perencanaan audit yang dilakukan pada tahun sebelumnya menjadi tidak applicable untuk jumlah objek audit dan resiko yang menyertainya, sehingga untuk Program Kerja Pemeriksaan Tahunan (PKPT) tahun 2011 dilakukanlah perencanaan audit dengan pendekatan prioritas risiko (risk priority) untuk dengan pertimbangan prioritas risiko sebagai berikut: kantor UlaMM,

1. 2. 3.

Perubahan tingkat kenaikan Non Performing Loan (NPL) pada

kantor ULaMM 3 bulan terakhir. Perubahan tingkat kenaikan Portofolio at Risk (PAR) pada kantor

UlaMM 3 bulan terakhir. Perubahan tingkat outstanding pembiayaan usaha mikro pada

kantor UlaMM 3 bulan terakhir. Namun dalam penilaian risk asssessment tersebut baru terkait dengan UlaMM belum dilakukan untuk Kantor Cabang, dikarenakan dalam PKPT tahun

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

12

2011 semua Kantor Cabang direncanakan untuk di audit, kecuali Kantor Cabang tersebut belum genap berdiri selama satu tahun.

3.2

Usulan Perubahan Strategi Pengawasan dan Penggunaan Audit Rating Pada Perencanaan Audit Tahunan

3.2.1

Usulan Perubahan Strategi Pengawasan Pada Kantor Cabang dan

Kantor UlaMM PT PNM (Persero) Seiring dengan terus bertambahnya jumlah Kantor UlaMM, posisi Internal Control Staff (ICS) dinilai kurang independen dikarenakan posisi kantornya yang sama dengan karyawan UlaMM (berada dalam kantor Cluster), terkadang letaknya sangat jauh dengan Kantor Cabang/Cabang Pembantu dan akses sebagai auditor masih dirasa kurang. Selain itu fungsi pengawasan SPI dengan metode centralized (Posisi Internal Audit berada di Kantor Pusat) dirasa memberatkan anggaran perusahaan dari sisi cost and benefit karena overhead dari perjalanan dinas audit yang rutin dilakukan cukup besar. Sehingga manajemen perlu menempatkan minimal 2 (dua) Internal Auditor di setiap Kantor Cabang dengan tugas pokok dan fungsi sebagai berikut: 1. Melaksanakan sebagian tugas divisi SPI di wilayah Kantor Cabang PNM sesuai dengan tujuan, 2. 3. 4. 5. 6. 7. ruang lingkup yang telah ditetapkan oleh kepala divisi SPI dan/atau kepala bidang SPI. Menyusun laporan-laporan reguler dan laporan khusus berkaitan dengan penugasan audit. Melakukan cash opname secara berkala baik di Kantor Cabang, cluster maupun UlaMM menggunakan metode sampling. Mengecek dan memastikan jaminan pembiayaan aman baik di Kantor Cabang maupun cluster. Menerima dan mereview laporan internal cabang, cluster dan UlaMM serta ICS. Melakukan penugasan audit kepada UlaMM dari kepala SPI. Mendokumentasikan kertas kerja audit dari hasil review yang dilakukan terkait laporan cabang, cluster dan UlaMM.

3.2.2

Usulan

Perubahan

Metode

Perencanaan

Audit

Tahunan

Menggunakan Risk Assessment untuk Rating audit

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

13

Pendekatan perencanaan audit menggunakan prioritas risiko diatas seperti yang dilakukan PKPT tahun 2011 dirasa masih kurang sempurna baik oleh manajemen maupun oleh pimpinan Divisi SPI, mengingat jumlah Kantor Cabang dan UlaMM akan terus bertambah seperti yang disebutkan pada poin diatas dan belum mewakili resiko yang ada di Kantor Cabang maupun kantor UlaMM, diusulkan Divisi SPI melakukan risk assessment pada kantor UlaMM maupun Kantor Cabang untuk rating audit dengan perhitungan dan penjelasan sebagai berikut: 1. Menentukan Risk Assessment Risk assessment dilakukan dengan mengidentifikasi tingkat risiko auditable activities melalui pengkajian level of significant dan likelihood of occurance (probabilitas terjadinya) dengan risk factor yang reperesentatif berdasarkan professional judgement. Risk Assessment dilakukan sekali dalam setahun sebagai bagian dari pemantauan audit (off site) yang dilakukan oleh auditor pemantau. Apabila tidak diaudit pada tahun bersangkutan risk assessment dilakukan minimal 2 kali dalam setahun dan 6 bulan setelah pelaksanaan audit terakhir.

a)

Penetapan struktur risk assessment (rating dan bobot) pada setiap elemen risk factor berdasarkan kriteria masing-masing. Tabel 3 Struktur Risk Assessment W (%) 15 5 20 10 10 15 20 5 Rating Ratin g W x Rating

Element Size Complexity Asset Quality Growth Loss and Potential Loss Internal Control Previous Audit Finding Business Target Achievement

Penjabaran masing-masing elemen risk factor a. Size

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

14

Size

adalah

besarnya

auditable

activities.

Ukuran

dimaksud

tercermin pada besarnya aset atau aktivitas yang dikelola dan memiliki korelasi terhadap besarnya risiko. Semakin besar size suatu auditable activities, maka semakin tinggi risiko yang akan terjadi sehingga semakin jelek hasil auditnya. Oleh karena itu dinyatakan size mempunyai pengaruh negatif terhadap rating audit. Untuk Kantor Cabang dan Cabang Pembantu indikator resiko auditee adalah berdasarkan:

1. Kelas Cabang 1 maka rating risk assessment 4 (Maximum risk) 2. Kelas Cabang 2 maka rating risk assessment 3 (High Risk) 3. Kelas Cabang 3 maka rating risk assessment 2 (Moderate risk)
Sedangkan untuk Kantor UlaMM indikator resiko auditee adalah sebagai berikut:

1. Total outstanding kredit mikro eksposur > Rp8 milyar maka

rating risk assessment 4 (Maximum risk)

2. Total outstanding kredit mikro eksposur Rp5 Miliar - Rp8 milyar

maka rating risk assessment 3 (High Risk)

3. Total outstanding kredit mikro eksposur < Rp5 Miliar maka risk
assessment 2 (Moderate risk) b. Complexity Complexity adalah aktivitas yang memiliki korelasi dengan tingkat kesulitan untuk mengelola suatu unit tersebut. Semakin lengkap (complex) dan semakin sulit dikelola suatu unit, maka semakin tinggi risiko atau kemungkinan terjadi kerugian (likelihood of occurance) sehingga semakin jelek hasil auditnya. Oleh karena itu dinyatakan complexity mempunyai pengaruh negatif terhadap rating audit. Untuk Kantor Cabang dan Cabang Pembantu indikator resiko auditee adalah berdasarkan:

1. Mengkoordinir kantor UlaMM > 40 Kantor maka rating risk

assessment 4 (maximum risk)

2. Mengkoordinir kantor ULaMM 20 40 Kantor maka rating risk

assessment 3 (high risk)

3. Mengkoordinir kantor ULaMM < 20 Kantor maka rating risk

assessment 2 (moderate risk)

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

15

Sedangkan untuk Kantor UlaMM indikator resiko auditee adalah sebagai berikut: 1. Jarak dengan Kantor Cluster > 20 km maka rating risk assessment 4 (maximum risk) 2. Jarak dengan Kantor Cluster 10 20 Km maka rating risk assessment 3 (high risk) 3. Jarak dengan Kantor Cluster < 10 km maka rating risk assessment 2 (moderate risk) c. Asset Quality Asset quality yang tercermin pada tingkat kolektibilitas kredit merepresentasikan besarnya bagian dari exposure kredit yang memiliki impact (akibat) dan likelihood of occurance (kemungkinan terjadi risiko) tinggi. Risk factor ini hanya diimplementasikan untuk aktivitas kredit. Semakin bagus asset quality (kolektibilitas) suatu auditable activities, maka semakin rendah risiko/potensi risiko yang akan terjadi sehingga semakin baik hasil auditnya. Oleh karena itu dinyatakan asset quality mempunyai pengaruh positif terhadap rating audit. Untuk Kantor Cabang dan Cabang Pembantu indikator resiko auditee adalah berdasarkan:

1. NPL Pembiayaan LKMS > 5% maka rating risk assessment 4

(Maximum risk).

2. NPL Pembiayaan LKMS

assessment 3 (High risk).

3%

5%

maka

rating

risk

3. NPL Pembiayaan LKMS

assessment 2 (moderate risk).

1%

3%

maka

rating

risk

4. NPL Pembiayaan LKMS <1% maka rating risk assessment 1

(low risk). Sedangkan untuk Kantor UlaMM indikator resiko auditee adalah berdasarkan:

1. 2.

NPL Pembiayaan mikro >5% dan PAR >20% maka

rating risk assessment 4 (maximum risk). NPL Pembiayaan mikro 3% - 5% dan PAR 15%-

20% maka rating risk assessment 3 (High risk)

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

16

3. 4.
d. Growth

NPL Pembiayaan mikro 2% - 3% dan PAR 10%-

15% maka rating risk assessment 2 (moderate risk). NPL Pembiayaan mikro <2% dan PAR <10% maka

rating risk assessment 1 (low risk). Growth adalah peningkatan besarnya size dan volume suatu aktivitas karena adanya tambahan ekspansi (fasilitas pinjaman baru dan tambahan). Semakin tinggi growth (pertumbuhan) exposure aktivitas, maka semakin tinggi risiko dan dampak yang akan terjadi sehingga semakin jelek hasil auditnya. Oleh karena itu growth dinyatakan mempunyai pengaruh negatif terhadap rating audit. Untuk Kantor Cabang dan Cabang Pembantu indikator resiko auditee adalah berdasarkan: 1. Pertumbuhan pinjaman pembiayaan LKMS dan pendapatan jasa manajemen kemitraan diatas 10 % maka rating risk assessment 4 (maximum risk). 2. Pertumbuhan pinjaman pembiayaan LKMS dan pendapatan jasa manajemen kemitraan antara 5 % s/d 10 %, maka rating risk assessment 3 (high risk). 3. Pertumbuhan pinjaman pembiayaan LKMS dan pendapatan jasa manajemen dan kemitraan antara s/d 5 % maka rating risk assessment 2 (moderate risk). 4. Tidak ada pertumbuhan (termasuk penurunan eksposur/run off) maka rating risk assessment 1 (low risk). Sedangkan untuk Kantor UlaMM indikator resiko auditee adalah berdasarkan: 1. Pertumbuhan pinjaman pembiayaan mikro diatas 10% maka rating risk assessment 4 (maximum risk) 2. Pertumbuhan pinjaman pembiayaan mikro antara 5% - 10%, maka rating risk assessment 3 (high risk) 3. Pertumbuhan pinjaman pembiayaan mikro antara s/d 5 % maka rating risk assessment 2 (moderate risk). 4. Tidak ada pertumbuhan pinjaman pembiayaan mikro(termasuk penurunan eksposur) maka rating risk assessment 1 (low risk). e. Loss and Potential Loss

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

17

Loss and potensial loss adalah kerugian dan potensi rugi diukur dari segi financial dengan mengabaikan real/potensi recovery yang telah atau akan didapatkan kembali. Kerugian dan potensi rugi yang terjadi merepresentasikan kualitas risk management. Semakin tinggi/besar nilai loss and potential loss, maka semakin tinggi risiko yang akan terjadi sehingga semakin jelek hasil auditnya. Oleh karena itu loss and potensial loss dinyatakan mempunyai pengaruh negatif terhadap rating audit. Untuk Kantor Cabang dan Cabang Pembantu indikator resiko auditee adalah berdasarkan: 1. Kualitas Pembiayaan buruk dan mengalami rugi bersih yang signifikan dalam laporan keuangan, maka rating risk assessment 4 (maximum risk). 2. Kualitas Pembiayaan cukup buruk dan mengalami rugi bersih dalam laporan keuangan, maka rating risk assessment 4 (maximum risk). 3. 4. f. Kualitas pembiayaan cukup baik dan laba bersih tidak signifikan maka rating risk assessment 2 (moderate risk). Kualitas pembiayaan baik dan laba bersih dalam kondisi memuaskan maka rating risk assessment 1 (low risk). Internal Control Internal control adalah proses yang melibatkan seluruh komponen auditee untuk memberi keyakinan yang wajar dalam mencapai tujuan organisasi. Kualitas internal control juga dapat mengindikasikan kualitas risk management. Semakin bagus internal control suatu unit, maka semakin rendah risiko/potensi risiko yang akan terjadi sehingga semakin baik hasil auditnya. Oleh karena itu internal control dinyatakan mempunyai pengaruh positif terhadap rating audit. Untuk Kantor Cabang, Cabang Pembantu indikator maupun ULaMM resiko auditee adalah berdasarkan: 1. 2. Kualitas internal control buruk maka rating risk assessment 4 Kualitas internal control kurang memadai, maka rating risk (maximum risk). assessment 3 (high risk).

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

18

3. Kualitas internal control cukup memadai maka rating risk assessment 2 (moderate risk). 4. Kualitas internal control memadai maka rating risk assessment 1 (low risk). Dalam menilai kualitas internal control Kantor Cabang dan Kantor Cabang pembantu memiliki sub risk factors yaitu : Temuan Manajemen Mutu Internal (Quality Assurance). Internal control dinilai dari permasalahan-permasalahan yang teridentifikasi oleh auditor manajemen mutu internal (ISO), dengan rating sebagai berikut:

1. Banyak terdapat permasalahan prinsip dengan total

eksposur sangat signifikan, maka rating risk assessment 4 (maximum risk).

2. Banyak terdapat permasalahan prinsip dengan total

eksposur cukup signifikan, maka rating risk assessment 3 (maximum risk).

3. Terdapat beberapa permasalahan dengan eksposur risiko

tidak terlalu signifikan maka rating risk assessment 2 (moderate risk).

4. Tidak terdapat permasalahan yang prinsip maka rating

risk assessment 1 (low risk). b. Potential problem from financial data

1. Banyak
yang

rekening signifikan,

berisiko yang maka

antara risk

lain

rekening 4

sementara/penampungan (maximum risk).

memiliki

saldo/mutasi

rating

assessment

2. Terdapat beberapa rekening berisiko antara lain rekening

sementara/penampungan yang signifikan, maka (maximum risk). yang rating memiliki risk saldo/mutasi 3 assessment

3. Terdapat beberapa rekening berisiko antara lain rekening

sementara/penampungan tetapi jumlahnya tidak yang memiliki maka saldo/mutasi rating risk signifikan

assessment 2 (moderate risk)

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

19

4. Terdapat hanya sedikit rekening berisiko antara lain

rekening sementara/penampungan dengan saldo yang relatif kecil maka rating risk assessment 1 (low risk). Sedangkan untuk Kantor ULaMM indikator resiko auditee adalah berdasarkan: 1. 2. 3. 4. c. Skoring ICS klasifikasi tidak baik , maka rating risk assessment 4 (maximum risk). Skoring ICS klasifikasi kurang baik, maka rating risk assessment 3 (high risk) . Skoring ICS klasifikasi cukup baik, maka rating risk assessment 2 (moderate risk) . Skoring ICS klasifikasi sangat baik, maka rating risk assessment 1 (low risk) . Management concern Tujuan untuk menilai tingkat risiko berdasarkan kualitas tindak lanjut oleh auditee terhadap hasil temuan tahun lalu.

1. Lebih dari 75% pending audit sebelumnya belum

ditindaklanjuti atau banyak permasalahan prinsip yang berulang, maka rating risk assessment 4 (maximum risk).

2. Sebanyak 30%-75% temuan belum ditindaklanjuti

atau banyaknya permasalahan yang berulang, maka rating risk assessment 3 (maximum risk).

3. Temuan yang belum ditindaklanjuti sampai dengan

30% atau beberapa permasalahan yang berulang, maka rating risk assessment 2 (moderate risk)

4. Semua temuan telah ditindaklanjuti atau hanya

sedikit sekali permasalahan yang berulang namun tidak prinsip, maka rating risk assessment 1 (low risk). g. Previous Audit Finding Previous Audit Findings adalah temuan dan rating audit sebelumnya yang berkaitan dengan risk management dan control untuk memproyeksikan kondisi risiko pada periode risk assessment.

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

20

Untuk 1. 2. 3.

Kantor

Cabang,

Cabang

Pembantu

dan Kantor

ULaMM

indikator resiko auditee adalah berdasarkan: Hasil audit tahun lalu buruk, maka rating risk assessment 4 (maximum risk). Hasil audit tahun lalu kurang , maka rating risk assessment 3 (high risk). Hasil audit tahun lalu cukup maka rating risk assessment 2 (moderate risk). 4. Hasil audit tahun lalu baik/istimewa maka rating risk assessment 1 (low risk). h. Business Target Achievement Business Target Achievement adalah pencapaian target bisnis dalam auditee tercermin yang bisa dinilai dengan pencapaian kinerja auditee atau biasa dikenal dengan sebutan Policy Deployment baik dari sisi kuantitatif maupun kualitatif. Kemampuan mencapai target bisnis menunjukkan kualitas manajemen risiko dan kualitas manajemen dalam memanfaatkan potensi/peluang bisnis. Untuk Kantor Cabang dan Cabang Pembantu indikator resiko auditee adalah berdasarkan: 1. Pencapaian target volume bisnis tidak tercapai/tidak efisien, maka rating risk assessment 4 (maximum risk). 2. Pencapaian target volume assessment 3 (high risk). 3. Pencapaian target volume efisien maka rating risk assessment 2 (moderate risk) . 4. Pencapaian target volume sangat efisien maka rating risk assessment 1 (low risk). Sedangkan untuk Kantor ULaMM indikator resiko auditee adalah berdasarkan: 1. Penyaluran pembiayaan mikro tidak mencapai target selama 9 bulan berturut-turut, maka rating risk assessment 4 (maximum risk). 2. Penyaluran pembiayaan mikro tidak mencapai target selama 6 bulan berturut-turut, maka rating risk assessment 3 (high risk). kurang efisien , maka rating risk

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

21

3. Penyaluran pembiayaan mikro tidak mencapai target selama 3 bulan berturut-turut, maka rating risk assessment 2 (moderate risk) . 4. Penyaluran pembiayaan mikro mencapai target, maka rating risk assessment 1 (low risk). b) Penetapan risk level auditable activities berdasarkan total rating tertimbang dari semua risk factor dengan tetap mengutamakan kesesuaiannya dengan kriteria rating risk assessment. Penetapan risk level dan kriteria rating risk assessment dapat dilihat pada tabel 2.4. c) Menyusun hasil risk assessment auditee dengan score yang telah ditetapkan. Hasil dan kriteria risk assessment dapat dilihat dalam table 4 dan 5 sebagai berikut. Tabel 4 Kriteria Risk Assessment Kriteria a. Inherent risk tinggi yang tercermin pada exposure risk yang sangat tinggi, kompleksitas dan risk level tinggi dengan kualitas risk control rendah , dan performance Maximum bisnis rendah b. Terjadi fraud yang sangat significant c. Melebihi batas toleransi periode tidak diaudit a. Inherent risk tinggi dan Kualitas risk control rendah serta Performance bisnis rendah High b. b. Terjadi fraud c. Pada batas toleransi periode tidak diaudit Inherent risk medium dan kualitas risk control tidak Moderate dijumpai permasalahan control yang sangat significant serta performance bisnis mendekati target Inherent risk rendah dan kualitas risk control memadai Low serta Performance bisnis melebihi target Tabel 5 Hasil Risk Assessment Hasil Risk Assessment Maximum Risk High Risk Moderate Risk Score 4 3 2 Kriteria Prioritas Utama (minimal sekali dalam 1 tahun) Harus di audit (sekali dalam satu tahun) Dilakukan audit apabila memungkinkan Level

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

22

Low Risk

Tidak perlu diaudit

d)

Faktor Pengecualian dari risk assessment yang bersifat kuantitatif, apabila terjadi hal-hal sebagai berikut: 1. Apabila auditee telah lebih dari 2 tahun tidak diaudit, maka risiko unit tersebut secara kondisi yang lain. 2. Apabila terjadi fraud/kasus maka hasil assessment minimal high risk. otomatis menjadi high risk dengan mengabaikan

2.

Penyusunan Peta Risiko Penyusunan peta risiko (risk map) berupa daftar auditee dengan risk level atas dasar hasil risk assessment pada masing-masing auditable activities. Daftar tersebut disusun berdasarkan urutan risk level dan merupakan acuan dalam perencanaan audit.

3.

Penilaian dengan Audit Rating System Audit Rating System menilai dengan kriteria rating audit (audit rating criteria) berdasarkan kondisi dan professional judgement. Audit Rating System merupakan suatu sistem untuk menilai 3 elemen, yaitu: 1. Efektivitas dan efisiensi performance (bisnis dan layanan), 2. Efektivitas risk management (pengelolaan risiko) 3. Kecukupan dan efektivitas internal control. Rating audit menggambarkan kondisi aktivitas dari proses bisnis/ fungsi (tanggung jawab dari beberapa pemimpin unit. Pelaksanaan audit dengan menggunakan

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

23

rating system dilakukan pada aktivitas-aktivitas yang memiliki karakteristik yang sama, sehingga hasil rating pada suatu aktivitas dapat dibandingkan dengan aktivitas sejenis lainnya. Auditee yang dinilai dengan rating yakni Kantor Cabang Utama (KCU), Kantor Cabang Pembantu (KCP) dan Kantor Unit (ULaMM). Rating bisa dilakukan oleh Komite Rating yang terdiri dari Tim Audit, Pemimpin Kelompok, atau Kepala Bagian Audit Operasional maupun Kepala Bagian Audit Investigasi dan Evaluasi Pengendalian Intern yang disahkan oleh Kepala Divisi SPI dan hasil setiap rating audit yang dilakukan di dokumentasikan secara berkala.

BAB IV SIMPULAN DAN SARAN-SARAN 4.1 Simpulan Turn around bisnis yang dilakukan oleh PT PNM (Persero) harus di dukung dari berbagai pihak baik dari pemerintah selaku pemegang saham, manajemen, para manajer hingga ke karyawan perusahaan. Produk baru perusahaan yaitu ULaMM (Unit Layanan Modal Mikro) yang baru berkembang membutuhkan lapisan pengawasan yang efektif, efisien dan ekonomis karena masih banyak kelemahan pada Standar Operasional Prosedur (SOP), kebijakan maupun sumber daya manusia mengingat dalam proses pertumbuhan dan pembelajaran bisnis. Divisi SPI diwajibkan membantu manajemen untuk menciptakan fungsi pengawasan yang efektif, efisien dan ekonomis, sehingga usulan terhadap perubahan strategi pengawasan dan penggunaan risk assessment dalam perencanaan audit ini didorong untuk dilaksanakan. Penggunaan risk assessment ini pun membutuhkan peran dari Divisi Risk Management dalam proses identifikasi risiko lebih mudah dilakukan oleh Divisi Risk Management dikarenakan profil risiko sudah tercapture . Selain itu terkait dengan segala usulan ini, maka auditor pada kantor cabang nantinya akan bertanggungjawab atas fungsi pengawasan untuk kantor ULaMM yang dibawah Kantor Cabang tersebut dan auditor kantor Pusat akan bertanggung jawab atas fungsi pengawasan untuk Kantor Cabang,

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

24

4.2

Saran Saran Dengan rencana jangka panjang yang telah dicanangkan oleh manajemen terkait dengan penambahan ULaMM hingga lebih dari 2000 unit di tahun 2015 , penerapan risk assessment ini pun harus terus dibuat penyempurnaan dan penyesuaian sesuai dengan pertumbuhan jumlah ULaMM dan Kantor Cabang. Dan beberapa saran untuk menyukseskan program turn around bisnis PT PNM (Persero) adalah sebagai berikut:

1. Auditor cabang mutlak mempunyai kompetensi tentang auditing maupun operasional

pembiayaan yang memadai, kompetensi ini bisa ditingkatkan dengan cara auditor cabang mengikuti beberapa pelatihan dan sertifikasi yang sesuai dengan bidang audit.

2. Dalam mendapatkan data-data yang dibutuhkan untuk pengolahan informasi terkait

dengan risk assessment diatas, disarankan Divisi SPI bekerjasama secara aktif dengan Divisi Perencanaan, Pengembangan Bisnis dan Jaringan (PPJ), Divisi Manajemen berkala. Teknologi Infrastruktur (MTI) dan Divisi Manajemen Risiko dan Compliance agar lebih efisien dalam pengelolaan data yang diperlukan diatas secara

3. Dengan jumlah ULaMM yang terus bertambah, idealnya risk assessment untuk audit
rating ini idealnya dilakukan pemantauan audit sebanyak 3 (tiga) kali dalam setahun oleh auditor cabang, namun apabila jumlah ULaMM sudah stagnan atau tidak mengalami pertumbuhan jumlah maka bisa dilakukan cukup 2 (dua) kali dalam setahun. Sedangkan untuk risk assessment Kantor Cabang dilakukan oleh Kantor Pusat disarankan dilakukan 2 (dua) kali dalam setahun oleh auditor Kantor Pusat.

4. Sebagai pilot project maka penambahan auditor cabang diutamakan untuk Kantor
Cabang dengan portofolio pembiayaan mikro dan pendapatan jasa manajemen dan kemitraan yang relatif besar seperti Kantor Cabang Medan, Jakarta, Bandung, Semarang, Yogyakarta, Surabaya dan Makassar.

5. Selain risk assessment untuk business unit profit center, diperlukan juga risk
assessment untuk setiap unit bisnis cost center atau divisi kantor pusat dan anak perusahaan sebagai investment center sehingga perusahaan sudah menggunakan full risk assessment untuk audit rating untuk setiap audit universe.

6. Setelah produk pembiayaan ULaMM dirasa sudah mapan dan proses Manajemen
Risiko perusahaan sudah pada tahap risk defined, maka disarankan kepada perusahaan untuk menerapkan control self assessment (CSA) sehingga meningkatkan kepedulian risk owner terhadap pekerjaan yang dilakukannya sehari-

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

25

hari dan keefektifan identifikasi risiko karena setiap risk owner lebih mengenal risiko dalam pekerjaannya dibandingkan dengan auditor.

DAFTAR PUSTAKA Adam Buana, Analisis pengaruh risk assessment pada rating audit studi pada bank x, thesis Magister Akuntansi Universitas Diponegoro 2009. Amrizal, 2004 , Pencegahan dan Pendeteksian Kecurangan oleh Internal Auditor, Artikel, Jakarta Effendi, M.A, 2003, Artikel Risk Based Internal Auditing, Majalah Media Akuntansi No. 32, Jakarta Robert R Moeller, 2005 "Brinks Modern Internal Auditing" Sixth Edition, John Wiley & Sons Ltd, England Sawyer et al. 2005, Sawyers Internal Auditing, Buku 1 s.d 3, edisi ke lima,. Salemba empat. Jakarta. Indonesia. 110 The Institute of Internal Auditors, 1991, Statement on Internal Auditing Standards (SIAS) no.9: Risk Assessment,. 249 Maitland Avenue, Altamonte Springs, Florida.

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

26

The Institute of Internal Auditors, 2004, A Framework for Control, COSO, diakses melalui www.theiia.org The Institute of Internal Auditors, 2004, Applying COSOs Enterprise Risk Management Integrated Framework, diakses melalui www.theiia.org Tampubolon, R, 2006, Risk and Systems Based Internal Auditing (Audit Intern Berbasis Risiko), Cetakan Kedua, PT Elex Media Komputindo Tunggal, A.W, 2007 Risk Based Auditing: Konsep dan Kasus , Harvarindo, Jakarta

YPIA, 2004, Perencanaan Audit (tahunan) Audit Internal, Yayasan Pendidikan Internal Audit dan Konsorsium Organisasi Profesi Audit Internal, Jakarta.

Bio Data Full Name Birthday : Dana Maulana, SE, Ak : October 12th, 1984 Place of Birth : Jakarta Office Address : Divisi Satuan Pengawasan Intern PT PNM (Persero) Arthaloka Building Lt 10 Jln. Jend Sudirman Kav 2 Jakarta Pusat DKI Jakarta. Home Address : Cluster Puri Cirendeu Indah Kav 27 Jln Tarumanegara No.45 Cirendeu Ciputat Tangerang Selatan Banten 15419 Marital Status : Married Education : 2008-2009 2002-2006 : 2009 : 2010 present 2008 2010 2007 2008 2005 2006 Profession State Accountant Education (PPAk) Bachelor of Economics Majoring Accounting University Trisakti

Certification Employer

Registered State Accountant with register number. D45.685 Internal Audit Supervisor at PT PNM (Persero) Associate Auditor at Ernst and Young Junior Associate Auditor at Deloitte Touche Tohmatsu Lecturer Assistant Majoring Accounting at Faculty of Economics Trisakti University Introduction to Accounting and Micro Economics.

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

27

Audit Experience: 2010-2011 2011 2010 2011 2011 2009-2010 2009-2010 2010 2009 2009 2009 2009-2010 2008 2007 2007 Miscellaneous : 2011 2008 2010 2009 2008

PT PNM (Persero) Operational Audit PT PNM Venture Capital Subsidiary. PT PNM (Persero) Internal Control Evaluation Accounting and Operation Department. PT PNM (Persero) Operational Audit Procurement Department. PT PNM (Persero) Operational Audit Branch Office. Ernst and Young PT Surya Toto Indonesia, Tbk Financial Statement Audit Year ended Dec 31, 2009. Ernst and Young PT Lanna Harita Indonesia Financial Statement Audit Year ended Dec 31, 2009 and quarterly review. Ernst and Young PT Mutiara Biru Perkasa (Simmons Drilling Overseas Ltd) Financial Statement Audit Year ended Dec 31, 2009 and 2008. Ernst and Young PT Bank Pembangunan Daerah Jawa Timur, Interim Financial Statement Audit Year ended Aug 31, 2009. Ernst and Young PT Perkebunan Nusantara VII (Persero) Financial Statement Audit for Year ended Dec 31, 2008. Ernst and Young Perum Percetakan Uang Republik Indonesia Financial Statement Audit for Year ended Dec 31, 2008 Ernst and Young PT Pertamina (Persero) Direktorat Hilir Stock Opname Cepu for Year ended Dec 31, 2008 Ernst and Young PT Antang Ganda Utama (Makin Group) Financial Statement Audit Year ended Dec 31, 2008 and Dec 31, 2009. Deloitte PT Jasa Angkasa Semesta, Tbk Financial Statement Audit Year ended Dec 31, 2007 Deloitte Nusa Dua Beach Hotel and Spa Interim Financial Statement Aug 31, 2007 Deloitte PT Cardig Express Nusantara Financial Statement Audit Dec 31, 2006. Task Force Team Implementing PSAK 50/55 Fair Value at PT PNM (Persero) Ikatan Akuntan Indonesia Member since May 2008 Implementation Risk Based Audit Asgarajaskeu Kementrian BUMN International Financial Reporting Standard (IFRS) at Ernst and Young. Due Diligence IPO Obligation PT Perkebunan Nusantara VII (Persero) at Ernst and Young as of June 30, 2008.

Program Sertifikasi Qualified Internal Auditor Tingkat Manajerial

28