BAB IV ANALISA DAN PEMBAHASAN
IV.1
Hasil Temuan Audit dengan Pendekatan Audit Tradisional pada Micro Business District Center Palembang Pada saat penulis melakukan penelitian untuk skripsi ini, Bank M masih
menggunakan pendekatan audit secara tradisional. Penulis mengambil sampel pelaksanaan audit secara tradisional dan Risk Based Audit (RBA) dari salah satu Micro Business District Center (MBDC) untuk melakukan analisa perbandingan diantara keduanya. Berikut adalah hasil temuan audit dengan pendekatan tradisional yang dapat diperbandingkan dengan pendekatan RBA. IV.1.1 Pendahuluan 1. Landasan Audit Dalam pelaksanaan auditnya, Bank M berpedoman pada: a. Internal Audit PT Bank M b. Peraturan Bank Indonesia No. 1/6/PBI/1999 tanggal 20 September 1999 perihal Penugasan Direktur Kepatuhan dan Penerapan Standar Pelaksanaan Fungsi Audit Intern Bank (SPFAIB) c. Pedoman menanggapi temuan audit dan tindak lanjut atas Laporan Hasil Audit (LHA) Tim Audit Kantor Pusat Satuan Kerja Audit Intern (SKAI) tanggal 10 Agustus 1999 d. Surat tugas No. IAU/AUD.275/2007 tanggal 27 November 2007
49
2. Tujuan Audit Untuk memberikan informasi dan rekomendasi kepada Manajemen, agar: a. Meminimalisir pemberian kredit yang dapat menimbulkan risiko / NPL. b. Mencegah kredit yang telah diberikan agar kolektibilitasnya tidak turun menjadi NPL. c. Meningkatkan kolektibilitas kredit. 3. Ruang lingkup Audit a. Menilai kecukupan dan efektifitas sistem pengendalian intern. b. Menilai kualitas proses kredit, yang meliputi: (1) Kualitas pelayanan (2) Kualitas investigasi (3) Kualitas analisa dan keputusan pemberian kredit, yang meliputi: •
Kelayakan pemberian kredit
•
Kewajaran jumlah limit kredit
•
Ketepatan syarat-syarat kredit
(4) Kualitas pencairan kredit (5) Kualitas monitoring kredit c. Menilai tingkat kepatuhan terhadap ketentuan, prosedur dan kebijakan yang berlaku (compliance audit) d. Menilai kualitas portofolio (kolektibilitas kredit) khususnya kondisi dan performance debitur yang perlu mendapat perhatian.
50
4. Waktu dan Periode Audit Bank M memberikan waktu audit sebanyak 13 hari. Pelaksanaan audit dimulai dari tanggal 05 Desember 2007 sampai dengan tanggal 18 Desember 2007. Berikut contoh perhitungan mandays (jumlah hari kerja) di Bank M: 1 tahun = 365 hari 104 sabtu – minggu 20 hari libur 17 hari cuti 220 hari kerja / orang 1 departemen = 13 orang ; dikalikan 220 = mandays 2860 hari Rata-rata audit: •
Pelaksanaan di lapangan membutuhkan 10 hari kerja
•
Persiapan (pre-audit) umumnya membutuhkan 5 hari kerja
•
Penyusunan laporan 5 hari kerja
total = 20 hari kerja 1 cabang kurang lebih diperiksa 3 orang; jadi mandays per cabang 20 x 3 = 60 Cabang yang bisa diperiksa 2860 : 60 = 47 cabang 13 / 3 orang = 4 tim; sisa 1 orang sebagai petugas monitoring 47 cabang / 4 tim = 12 Satu tim memeriksa 12 cabang.
51
IV.1.2 Hasil Audit dengan Pendekatan Tradisional 1. Penilaian Audit Rating MBDC Berdasarkan penilaian audit rating atas dasar metodologis Committee of Sponsoring Organization (COSO) Framework yang terdiri dari 5 komponen, MBDC Palembang mendapat nilai 77,92 dengan predikat Satisfactory. Dengan demikian dapat disimpulkan bahwa secara umum tingkat suatu proses kegiatan yang dilakukan oleh manajemen dalam mencapai misi dan tujuan bank adalah memadai, kecuali temuan-temuan yang dikemukakan dalam laporan hasil audit, dengan rincian sebagai berikut: Tabel 4.1 Penilaian Audit Rating MBDC Palembang No
Elemen COSO
Bobot
1 2 3 4
Control Environment Risk Assesment Control Activities Information & Communication
12,50 12,50 50,00 12,50
5
Monitoring Total
12,50 100,00
Jumlah Temuan Observasi Minor Major 1 1 1 1 20 8 1 -
1 24
1 10
Nilai 75 75 75,83 95 75
Audit Rating Score Predikat 9,38 Fair 9,38 Fair 37,92 Satisfactory 11,87 Strong 9,37 77,92
Fair Satisfactory
2. Kualitas Internal Control, Risk Management, dan Governance Process Berdasarkan hasil pemeriksaan terhadap debitur sampling, kualitas internal control, risk management, dan governance process MBDC Palembang secara garis besar dapat dikemukakan sebagai berikut: a. Control Environment (1) Belum dibuat job description untuk ditandatangani pegawai bagi para pegawai MBU yang dibuka pada tahun 2007
52
(2) Permasalahan debitur Non Performance Loan (NPL) terjadi karena periode yang lalu proses investigasi awal kurang tajam, yakni dalam melakukan verifikasi penghasilan sebagai dasar menghitung kemampuan debitur dalam membayar kewajiban kredit. b. Risk Assesment (1) Upaya unit bisnis untuk mendapatkan feedback dari calon debitur atas pelayanan unit bisnis berupa keluhan atau ketidakpuasan masih belum optimal pelaksanaannya serta belum terprogram secara memadai. (2) Pelaksanaan identifikasi dan mitigasi risiko di unit bisnis belum dilaksanakan secara optimal yang terlihat dari nota analisa beberapa debitur sampling. c. Control Activities Kualitas proses kredit dapat dikemukakan sebagai berikut: (1) Kualitas Pelayanan Proses penanganan fasilitas Kredit Usaha Mikro (KUM) sejak dari aplikasi diterima lengkap dari nasabah sampai dengan disetujui cukup memadai, yakni memakan waktu antara dua sampai lima hari. (2) Kualitas Investigasi dan Analisa •
Sesuai portofolio per 30 November 2007, jumlah NPL sebanyak 456 rekening, 64 rekening diantaranya belum satu tahun pemberiannya (Desember 2006 s/d November 2007)
•
Beberapa pemberian kredit belum dimintakan
•
Analisa KUM khususnya untuk usaha dengan tujuan produktif belum dilaksanakan secara tajam
53
•
Pemberian fasilitas Top-Up kepada beberapa debitur tidak memenuhi kriteria jangka waktu minimal sesuai ketentuan
•
Perubahan jangka waktu kredit karena restrukturisasi / rescheduling tidak diikuti dengan penyesuaian terhadap masa laku asuransi jiwa dan asuransi kebakaran
•
Terdapat keputusan kredit yang mendahului nota analisa
•
Pemberian kredit yang melampaui maksimal KUM sebesar Rp 100 juta
•
Penetapan kolektibilitas kredit kepada satu debitur belum sesuai ketentuan
(3) Kualitas Monitoring Debitur Monitoring kredit khususnya yang terkait dengan pemenuhan kewajiban debitur telah dilaksanakan dengan baik, kecuali pengawasan atas penggunaan kredit setelah kredit ditarik belum optimal sehingga terdapat penggunaan kredit yang tidak sesuai dengan tujuan d. Information & Communication Belum seluruh pegawai mengetahui tugas dan tanggung jawabnya secara spesifik dan terdokumentasi secara memadai sebagai pedoman bagi yang bersangkutan dalam bekerja karena untuk pegawai MBU yang dibuka tahun 2007 belum dibuatkan job description. e. Monitoring 1) Monitoring pasca pencairan kredit belum efektif. 2) Monitoring atas pelaksanaan pengikatan agunan di notaris belum efektif.
54
3. Rekomendasi a. Meningkatkan prinsip kehati-hatian dalam proses pemberian kredit mikro. b. Meningkatkan kualitas monitoring kredit antara lain memonitor pemenuhan persyaratan kredit. c. Menggiatkan Tenaga Micro Mandiri Collection berkoordinasi dengan Unit Retail & Consumers Risk Management Group untuk inventarisasi debitur-debitur NPL guna dicarikan solusinya, yakni melalui langkah penyelesaian atau penyelamatan. d. Pelaksanaan restrukturisasi kredit berupa penjadwalan kembali agar diikuti dengan penyesuaian masa laku asuransi jiwa dan kebakaran. e. Tambahan peralatan komputer di MBU khususnya untuk MBU-MBU yang portofolionya cukup tinggi.
IV.2
Hasil Temuan Audit dengan Pendekatan RBA pada Micro Business District Center Medan Dalam pembahasan sebelumnya telah disebutkan bahwa Bank M masih
menggunakan pendekatan audit secara tradisional di salah satu Micro Business District Center (MBDC), yaitu MBDC Palembang. Namun pada saat bersamaan Bank M juga melakukan uji coba pelaksanaan audit dengan pendekatan RBA pada salah satu MBDC, yaitu MBDC Medan. Berikut adalah hasil temuan audit dengan menggunakan pendekatan RBA.
55
IV.2.1 Pendahuluan 1. Landasan Audit Audit akan dilaksanakan sesuai dengan Sistim Mutu Satuan Kerja Audit Intern dan Norma Pemeriksaan Satuan Intern yang tidak bertentangan dengan Standard Pelaksanaan Fungsi Audit Intern Bank (SPFAIB). 2. Risk Assesment Berbeda dengan pendekatan audit secara tradisional, dalam RBA dilakukan risk assessment terhadap risiko-risiko yang telah diidentifikasi yang dapat menghambat tercapainya tujuan. Disajikan pada lampiran 1. 3. Tujuan Audit Memastikan bahwa seluruh tahapan penanganan kredit yang memiliki risiko (yang telah diidentifikasi) dengan tingkat “Medium to High” dan “High” telah dilengkapi dengan desain kontrol yang efektif dan memadai untuk mengendalikan risiko tersebut. 4. Ruang Lingkup Audit Berdasarkan hasil risk assessment dan tujuan audit maka ruang lingkup audit yang ditetapkan adalah proses kredit yang memiliki inherent risk (teridentifikasi) dengan tingkat risiko “High” dan “Medium to High”. Disajikan pada lampiran 2. 5. Waktu dan Periode Audit Bank M memberikan waktu audit sebanyak 13 hari, pelaksanaan audit dimulai dari tanggal 22 September 2007 sampai dengan 05 Oktober 2007. Perhitungan mandays dengan pendekatan RBA adalah sama dengan pendekatan tradisional.
56
IV.2.2 Hasil Audit dengan Pendekatan RBA 1. Penilaian Audit Rating MBDC Berdasarkan penilaian audit rating atas dasar metodologis COSO Framework yang terdiri dari 8 komponen, MBDC Medan mendapat nilai72,50 dengan predikat Fair. Dengan demikian dapat disimpulkan bahwa secara umum tingkat suatu proses kegiatan yang dilakukan oleh manajemen dalam mencapai misi dan tujuan bank adalah memadai, kecuali temuan-temuan yang dikemukakan dalam laporan hasil audit, dengan rincian sebagai berikut: Tabel 4.2 Penilaian Audit Rating MBDC Medan MBDC Medan Overall Weighted Score Component
Score
Weight
Weighted Score
IE
Internal Environment
78,85
20,00%
15,80
OS
Objective Setting
90,00
5,00%
4,5
EI
Event Identification
83,33
5,00%
4,2
RA
Risk Assessment
79,41
20,00%
15,9
RR
Risk Response
87,50
10,00%
8,8
CA
Control Activities
46,01
25,00%
11,5
IC
Information
81,82
10,00%
8,2
75,00
5,00%
3,8
100%
72,50
&
Communication M
Monitoring
Total FAIR
57
Apabila tabel adalah nilai tertimbang secara keseluruhan, maka berikut adalah rincian dari masing-masing komponen: Tabel 4.3 Control Assessment Result for COSO Components MBDC Medan COSO Components : Internal Environment (IE) Risk Mitigation Control Assessment Measures/Controls Rating CARR Rating Label for RRS per Risk
Pegawai yang direkrut tidak qualified
Kinerja setiap pegawai tidak termonitor dengan baik Peningkatan pelanggaran ketentuan oleh pegawai
Pegawai tidak setiap saat terlibat dalam lingkungan bisnis
Pegawai tidak dapat melaksanakan pekerjaannya dengan baik Monitoring pekerjaan pegawai tidak dilaksanakan dengan efektif Permasalahan terlambat / tidak
Manajemen membuat standar kualifikasi untuk perekrutan karyawan dengan menekankan pada latar belakang pendidikan, pengalaman kerja. Manajemen melakukan evaluasi job performance secara periodik kepada setiap pegawai Setiap tindakan indisipliner diberikan sanksi yang tepat tanpa pengecualian. Manajemen mensosialisasikan tindakan indisipliner kepada pegawai lainnya Manajemen membuat rencana training berkelanjutan untuk setiap pegawai sehingga pegawai siap menghadapi lingkungan bisnis secara efektif Manajemen menetapkan kewenangan dan tanggung jawab untuk setiap fungsi pekerjaan yang ditugaskan kepada pegawai Job description mencantumkan tanggung jawab kontrol atas fungsi yang dilakukan Manajemen melibatkan pegawai untuk memperbaiki/mengatasi
IHRR (Inherent Risk Rating)
Calibrated per Audit Object Weighted %-age Control Rating per Risk
50%
UNSATIS FACTORY
12
6
2%
100%
STRONG
12
12
4%
100%
STRONG
12
12
4%
50%
UNSATIS FACTORY
12
6
2%
50%
UNSATIS FACTORY
12
6
2%
50%
UNSATIS FACTORY
12
6
2%
100%
STRONG
12
12
4%
58
terselesaikan atau pengembangan yang dilaksanakan dengan efektif Kebocoran informasi
permasalahan serta mengimplementasikan suatu pengembangan yang dilaksanakan organisasi
1. Manajemen menetapkan struktur / aturan untuk menentukan kepemilikan informasi termasuk siapa yang berwenang untuk memberikan atau merubah informasi. 2. Manajemen menegaskan kepemilikan informasi berdasarkan struktur/aturan yang ada.
MBDC Medan COSO Components : Objective Setting (OS) Risk Mitigation Measures/Controls
Misi dan sasaran bisnis tidak didukung sepenuhnya oleh seluruh pegawai Sasaran / tujuan organisasi tidak tercapai
Rencana strategis dan sasaran organisasi sulit diimplementa sikan atau dicapai
Manajemen membuat dan mengkomunikasikan misi perusahaan, strategi dan sasaran-sasaran bisnis
Manajemen mensosialisasikan sasaran / tujuan organisasi sesuai dengan tingkatnya sehingga dipahami dan diimplementasikan oleh pegawai Manajemen mempunyai mekanisme tertentu untuk me-review dan mengupdate rencana strategic secara periodik
100%
STRONG
Control Assessment Rating CARR Rating Label for RRS per Risk
12
IHRR (Inherent Risk Rating)
12
4%
Calibrated per Audit Object Weighted %-age Control Rating per Risk
100%
STRONG
12
12
20%
100%
STRONG
12
12
20%
100%
STRONG
12
12
20%
59
MBDC Medan COSO Components : Event Identification (EI) Risk Mitigation Control Assessment Measures/Controls Rating CARR Rating Label for RRS per Risk
Perubahanperubahan yang terjadi di lingkungan bisnis tidak terevaluasi sehingga risiko gagal teridentifikasi
Tujuan organisasi tidak dapat dicapai karena ada risiko yang tidak diidentifikasi Penilaian risiko tidak akurat
Mitigasi / antisipasi risiko dan peluang tidak akurat karena pengidentifik asian yang tidak memadai
Proses identifikasi risiko tidak akurat (belum mempertimba ngkan
Manajemen secara periodic melakukan penilaian terhadap factor internal dan external yang dapat mempengaruhi pencapaian kinerjanya dengan menggunakan teknik yang memadai, seperti analisa industri, kompititor, pasar, benchmarking, analisa scenario, dll. Evaluasi risiko, mempertimbangkan semua kejadian / risiko yang dapat menghambat tujuan organisasi.
Dalam proses penilaian risiko manajemen menganalisa dan menghubungkan satu kejadian dengan kejadian lainnya yang mungkin akan memperlemah atau meningkatkan potensi risiko 1. Manajemen mengidentifikasi dan mengkategorikan kejadian-kejadian menjadi risiko dan kesempatan / peluang 2. Risiko dinilai dan direspons yang tepat 3. Kesempatan / peluang dianalisa atau digunakan sebagai umpan balik untuk penetapan strategi manajemen dan pro 1. Manajemen menetapkan strategi terbaik untuk mencapai tujuan organisasi 2. Manajemen mengidentifikasi
IHRR (Inherent Risk Rating)
Calibrated per Audit Object Weighted %-age Control Rating per Risk
100%
STRONG
12
12
17%
50%
UNSATIS FACTORY
12
6
8%
100%
STRONG
12
12
17%
50%
UNSATIS FACTORY
12
6
8%
100%
STRONG
12
12
17%
60
kejadiankejadian penting yang relevan
kejadian-kejadian yang dapat mempengaruhi kemampuan organisasi untuk melaksanakan strateginya, baik yang berasal dari faktor internal dan eksternal
MBDC Medan COSO Components Risk Assessment (RA) Risk Mitigation Measures/Controls
Tujuan tidak dapat dicapai karena risiko tidak diidentifikasi sebelumnya Kesempatan dari pasar yang baru / jenis usaha / produk / jasa baru tidak diperoleh Laporan keuangan tidak akurat
Laporan keuangan tidak full disclosure
Terjadi fraud dengan faktor utama KYC & KYE yang tidak teridentifikasi
Manajemen unit kerja mengidentifikasi seluruh risiko dari setiap tujuan yang telah ditetapkan
Manajemen menetapkan suatu mekanisme tertentu untuk mengidentifikasi risiko-risiko bisnis dari pasar yang baru atau jenis usaha baru atau dari penawaran produk atau jasa baru Manajemen mengidentifikasi risiko operasional dan risiko kepatuhan terhadap Undang-Undang dan peraturan dari laporan keuangan yang dikeluarkan Manajemen memastikan permasalahanpermasalahan yang diidentifikasi oleh internal / eksternal auditor sudah masuk dalam laporan keuangan atau penjelasan laporan keuangan 1. Manajemen mengidentifikasi faktorfaktor risiko fraud, termasuk control override oleh manajemen 2. Manajemen menerapkan prinsip “know your customer”
Control Assessment Rating CARR Rating Label for RRS per Risk
IHRR (Inherent Risk Rating)
Calibrated per Audit Object Weighted %-age Control Rating per Risk
50%
UNSATIS FACTORY
12
6
3%
100%
STRONG
12
12
6%
50%
UNSATIS FACTORY
12
6
3%
100%
STRONG
12
12
6%
100%
STRONG
12
12
6%
61
Bank tidak memiliki data risk profile yang akurat dan terkini Perencanaan bisnis yang ditetapkan tidak dapat dilaksanakan Munculnya risk event karena risiko teridentifikasi tidak dimitigasi dengan baik
dan “know your employee” secara konsisten Profil risiko ditetapkan berdasarkan assessment dan di update secara periodic atau pada saat terjadi perubahan signifikan Perencanaan bisnis disusun setelah dilakukan evaluasi risiko
50%
UNSATIS FACTORY
12
6
3%
100%
STRONG
12
12
6%
Manajemen membuat action plan untuk memitigasi risiko-risiko penting / signifikan
0%
UNSATIS FACTORY
12
0
0%
MBDC Medan COSO Components : Risk Response (RR) Risk Mitigation Measures/Controls
Strategi manajemen risiko tidak tepat karena perubahan faktor-faktor risiko tidak termonitor Risk response tidak tepat sehingga menambah biaya
Risiko tidak dikontrol / dikelola dengan tepat sehingga kehilangan
Manajemen dan proses owner mengembangkan sistem early warning untuk memonitor perubahan pada faktorfaktor risiko dan untuk mendukung kesinambungan penilaian strategi manajemen risiko Untuk risiko-risiko yang signifikan, manajemen menetapkan manajemen risiko yang tepat yaitu menolak, mentransfer risiko, menambah kontrol sehingga risiko berkurang sampai level tertentu, atau mentolerir risiko. 1. Manajemen berusaha dengan baik untuk mendapatkan pengetahuan dan pemahaman yang baik mengenai manajemen
Control Assessment Rating CARR Rating Label for RRS per Risk
IHRR (Inherent Risk Rating)
Calibrated per Audit Object Weighted %-age Control Rating per Risk
100%
STRONG
12
12
13%
100%
STRONG
12
12
13%
100%
STRONG
12
12
13%
62
kesempatan untuk memperoleh income
risiko 2. Dengan pengetahuan dan pemahaman tersebut kemudian menggunakannya dalam praktek untuk mengelola dan mengontrol risiko
MBDC Medan COSO Components : Control Activities (CA) Risk Mitigation Measures/Controls
Kegagalan mendeteksi pemenuhan persyaratan calon debitur (status kepegawaian, masa kerja / lama usaha, penghasilan minimum, usia, dll.) permohonan tetap diproses
Kagagalan mendeteksi kelengkapan permohonan kredit (tanpa didukung oleh dokumen yang sah / memadai, identitas, legalitas, asli slip gaji terakhir dan data keuangan) Pelanggaran kriteria / syarat calon debitur (lokasi usaha atau tempat tinggal jauh
1. Mikro Kredit Sales (MKS) melakukan On The Spot (OTS) ke lokasi usaha 2. MKS memverifikasi dokumen pendukung / perijinan 3. Mikro Kredit Analis (MKA) memverifikasi kelengkapan dan kebenaran dokumen 4. Mikro Mandiri Manager (MMM) melakukan recheck hasil OTS dan verifikasi MKS / MKA 1. MKS memverifikasi kelengkapan, akurasi dan kebenaran dokumen 2. MMM melakukan review hasil verifikasi dokumen oleh MKS
Control Assessment Rating CARR Rating Label for RRS per Risk
IHRR (Inherent Risk Rating)
Calibrated per Audit Object Weighted %-age Control Rating per Risk
20%
UNSATIS FACTORY
16
3,2
1%
30%
UNSATIS FACTORY
12
3,6
1%
100%
STRONG
11
11
3%
MMM me-recheck lokasi usaha debitur masih dalam radius 5 km
63
dari lokasi MBU / lebih dari 5 km Kesalahan proses inisiasi kredit (tidak langsung kepada calon debitur yang berhak / proses pengajuan kredit dibantu oleh pihak ketiga dan debitur diminta uang imbal jasa) Kegagalan mendeteksi tempat usaha debitur
1. MMM / MKS melakukan OTS ke lokasi usaha 2. MMM / MKS memverifikasi dokumen pendukung / perijinan 3. MMM melakukan review hasil OTS / verifikasi MKS
1. MKS melakukan OTS lokasi usaha calon debitur (termasuk melakukan wawancara untuk meyakini pemilik dan status calon debitur) 2. MMM melakukan cross check data hasil OTS / hasil investigasi MKS / MKA 3. MKA / MMM / Cluster Manager melakukan OTS ulang ke lokasi calon debitur
100%
STRONG
11
11
3%
30%
UNSATIS FACTORY
13
3,9
1%
MBDC Medan COSO Components : Information & Communication (IC) Risk Mitigation Control Assessment Measures/Controls Rating CARR Rating Label for RRS per Risk
Kinerja perusahaan tidak optimal karena manajemen terlambat melakukan antisipasi terhadap informasi ekstern
1. Manajemen memiliki akses ke berbagai sumber untuk memonitor informasi relevan 2. Manajemen mendokumentasikan informasi tersebut dan secara cepat dan tepat mempertimbangkan dampaknya kepada unit kerja
100%
STRONG
IHRR (Inherent Risk Rating)
12
Calibrated per Audit Object Weighted %-age Control Rating per Risk
12
9%
64
Tidak efektifnya keputusan manajemen yang disebabkan karena ketidakakurat an dan keterlambatan informasi keuangan Deviasi operasi perusahaan dengan budget tidak diketahui Struktur teknologi informasi tidak memadai untuk mendukung peran informasi dalam pengambilan keputusan
Manajemen memiliki alatalat dan sistem kerja yang menjamin bahwa sistem informasi keuangan menghasilkan laporan keuangan internal yang akurat dan reliable serta dilaporkan tepat waktu
Manajemen me-review dan membandingkan hasil operasi perusahaan dengan budget secara periodik Manajemen memiliki standar kecukupan struktur teknologi informasi yang disetujui senior manajemen dan dikontrol ketaatan implementasinya secara menyeluruh
MBDC Medan COSO Components : Monitoring (M) Risk Mitigation Measures/Controls
Manajemen terlambat menyesuaikan perubahan IC
Control override tidak termonitor
Manajemen memiliki sarana untuk memonitor dan mendokumentasikan informasi penting / relevan baik internal maupun eksternal dan mempertimbangkan serta mendokumentasikan dampaknya atas Internal Control (IC) Manajemen membuat prosedur untuk memonitor terjadinya control override dan menentukan apakah
0%
UNSATIS FACTORY
12
0
0%
50%
UNSATIS FACTORY
12
6
5%
100%
STRONG
12
12
9%
Control Assessment Rating CARR Rating Label for RRS per Risk
IHRR (Inherent Risk Rating)
Calibrated per Audit Object Weighted %-age Control Rating per Risk
100%
STRONG
12
12
17%
100%
STRONG
12
12
17%
65
control override tersebut tepat Penyimpangan kebijakan dan prosedur terjadi berlarut-larut
Manajemen menetapkan kebijakan yang mengatur tindakan yang harus dilakukan apabila terjadi penyimpangan kebijakan dan prosedur
0%
UNSATIS FACTORY
12
0
0%
Tabel Control Assessment Result for COSO Components di atas secara lengkap dijabarkan di lampiran 3. 2. Temuan Audit Berikut adalah perlakuan temuan audit yang diberikan untuk salah satu risiko yang memiliki identifikasi sebagai berikut: a.
Risk Description: Kegagalan
mendeteksi
pemenuhan
persyaratan
calon
debitur
(status
kepegawaian, masa kerja / lama usaha, penghasilan minimum, usia, dll.) permohonan tetap diproses. b. Mitigation Measures / Controls: (1) MKS melakukan OTS (On The Spot) ke lokasi usaha (2) MKS memverifikasi dokumen pendukung / perijinan. (3) MMM melakukan re-check hasil OTS dan verifikasi MKS / MKA. c. Risk Event (1) OTS ke perusahaan dimana debitur bekerja telah dilaksanakan oleh MKS maupun MMM, namun bukti telah dlakukan OTS belum dituangkan dalam laporan OTS. (2) Fasilitas KSM diberikan kepada pegawai yang tidak jelas status kepegawaiannya. 66
d. Cause (1) Form LKN, tidak ada kolom khusus untuk menuangkan hasil OTS dan petugas tidak berinisiatif untuk menuangkan di tempat lain. (2) Surat keterangan yang diterbitkan oleh instansi / perusahaan yang dianggap menyatakan bahwa debitur berstatus pegawai tetap e. Rekomendasi Rekomendasi yang diberikan: (1) Informasi calon debitur atau perusahaannya yang diperoleh dari OTS, dituangkan dalam LKN pada halaman yang masih dapat dimanfaatkan. (2) Oleh karena saat ini telah diatur secara tegas bahwa calon debitur KSM harus berstatus pegawai tetap dan berpenghasilan tetap, maka MBU agar memenuhi ketentuan tersebut serta memilih instansi atau perusahaan yang cukup bonafid. (3) MBU meminta surat keputusan pengangkatan sebagai pegawai tetap.
IV.3
Perbandingan Analisis antara Audit Tradisional dengan Risk Based Audit Berdasarkan pendahuluan serta hasil audit antara audit dengan pendekatan
tradisional dan risk based audit, maka penulis dapat melakukan perbandingan analisis diantara keduanya. Berikut adalah perbandingan analisis antara audit tradisional dengan risk based audit.
67
Tabel 4.4 Perbandingan antara Audit Tradisional dengan Risk Based Audit (RBA)
Audit universe
Tujuan audit
Rencana Audit Tahunan
Keterlibatan semua pihak dalam organisasi
Perencanaan SDM
Waktu audit yang dianggarkan
Pendekatan Tradisional Terlihat dari landasan auditnya, pendekatan tradisional lebih mengutamakan area financial dan kepatuhan kepada undang-undang, regulasi, kebijakan serta prosedur internal Lebih kepada memastikan bahwa pengendalian intern bekerja secara efektif dan perannya untuk meningkatkan efisiensi tanpa melihat keberadaannya untuk mengendalikan risiko
Siklus audit ditetapkan secara berkala dan biasanya dilakukan secara mendadak (surprise audit) tanpa harus memperhatikan tingkat risiko Keterlibatan pihak lain sangat minim. Contoh: keterlibatan komisaris dan direksi hanya pada pengesahan rencana audit dan hasil audit
Satu subjek audit dialokasikan kepada satu atau lebih auditor untuk satu periode tertentu Waktu audit yang mudah dianggarkan, karena selalu melakukan audit yang sama
Pendekatan RBA Dilihat dari landasan auditnya, pendekatan RBA mengutamakan semua aktivitas usaha, khususnya yang mengandung risiko utama perlu dipetakan
Lebih kepada memberikan kepastian (assurance) bahwa risiko yang diidentifikasikan telah dimitigasi ke tingkat yang dapat diterima. Efektivitas pengendalian justru dilihat dalam kaitannya dengan risiko yang ada dan manajemen akan melihat pentingnya pengendalian dalam mengelola risiko Audit akan lebih diprioritaskan ke area berisiko tinggi, hal mana akan diinformasikan dan didiskusikan bersama dengan manajemen Komisaris (komite audit) dan direksi terlibat dalam seluruh tahapan audit, mulai dari perencanaan audit, pelaksanaan audit, penilaian kinerja audit dan sampai meyakinkan semua pihak yang berkepentingan Beberapa subjek audit dialokasikan kepada satu atau lebih auditor untuk satu periode tertentu Dalam Bank M, penganggaran waktu audit masih menggunakan
68
dari waktu ke waktu
Tugas lapangan
Dilakukan berdasarkan pada seperangkat rencana kerja (work plan), yang mungkin tanpa tujuan yang spesifik
Pelaporan
Lebih utamakan penyimpangan yang signifikan dengan tetap merekam semua penyimpangan yang tidak material tapi jumlahnya banyak (addressing the functional controls)
Rekomendasi
Rekomendasi diberikan dalam kaitan dengan pengendalian, memperhatikan cost benefit, efisiensi dan efektifitas Lebih mengutamakan laporan kinerja dari grup audit intern untuk menjadi dasar perhitungan jasa produksi atau bonus tahunan
Laporan tahunan kepada dewan komisaris dan direksi
Penempatan auditor
SKAI lebih banyak diisi
pendekatan tradisional terlihat dari jumlah mandays yang sama dengan pendekatan tradisional. Namun dalam pendekatan RBA yang ideal, waktu audit akan lebih sulit dianggarkan, karena harus selalu disesuaikan dengan perubahan yang ada (contoh: perubahan sistem atau adanya produk dan regulasi baru) Tugas lapangan lebih kepada memastikan bahwa perusahaan telah mengidentifikasikan, memantau dan mengendalikan semua risiko yang ada Lebih kepada memberikan keyakinan bahwa semua risiko, khususnya yang utama telah dikelola dengan secara baik, dan melaporkan secara rinci risiko yang tidak dimitigasi dengan baik (addressing the process risk) Rekomendasi akan diberikan dalam kaitan dengan manajemen risiko agar risiko dihindari, ditransfer, didiversifikasi, atau diterima dan dikelola Lebih kepada memberi keyakinan bahwa risiko secara keseluruhan (portfolio) telah dimitigasi dengan baik. Selain itu juga melaporkan realisasi pemeriksaan dibandingkan rencana audit yang telah mendapat persetujuan komite audit. SKAI akan diisi oleh staf
69
oleh tenaga akuntan dan auditor karir
IV.4
yang memiliki motivasi tinggi dan punya pengalaman bekerja dengan manajemen puncak. Mungkin saja mereka bukan orang akuntan tetapi seorang spesialis
Kelebihan dan Kelemahan Menggunakan RBA Suatu metode tidaklah bisa sempurna, berikut dipaparkan kelebihan beserta
kelemahan menggunakan pendekatan RBA bagi manajemen dan auditor. IV.4.1 Kelebihan-kelebihan menggunakan RBA bagi Manajemen dan Auditor Kelebihan RBA bagi manajemen Bank M: •
Konsep RBA merupakan konsep yang lebih sederhana. Berbeda dengan konsep tradisional yang memandang perusahaan menjadi bagian-bagian kecil struktur, dimana masing-masing struktur tersebut memiliki pengendalian intern yang berbeda-beda. Konsep audit intern berbasis risiko memandang sebuah perusahaan sebagai sebuah kesatuan, mencakup keseluruhan organisasi beserta semua proses yang ada dalam organisasi tersebut. Bagi Bank M, kesederhanaan tersebut akan memudahkan bank dalam menjaminkan tercapainya tujuan perusahaan. Yaitu dengan cara melakukan manajemen risiko.
•
Meningkatkan saling pemahaman antara pihak seluruh pihak dalam Bank M (komisaris, direksi, manajemen, dsb) dengan pihak audit intern Bank M. Sebab kedua belah pihak sudah menggunak sudut pandang risiko dalam berkomunikasi. Persamaan sudut pandang ini sangat bermanfaat
70
ketika kedua belah pihak bermaksud untuk melakukan pembahasan permasalahan yang ada. Kelebihan RBA bagi auditor Bank M: •
Pihak-pihak dalam Bank M yang diaudit akan lebih bersedia untuk diajak bekerja sama. Pihak audit internal tidak lagi dipandang sebagai pihak yang melakukan pengawasan kepada pihak lainnya yang merupakan risk taker, akan tetapi lebih dipandang sebagai mitra kerja yang akan membantu dalam melakukan pengelolaan risiko
•
Penggunaan audit intern berbasis risiko akan mengarahkan proses audit dengan berfokus kepada area yang mengandung risiko yang bersifat material.
•
Auditor akan memiliki pengetahuan yang lebih luas dalam melaksanakan kegiatan audit. Sebab auditor akan lebih dituntut untuk memahami risiko dari tiap-tiap kegiatan serta memahami juga cara untuk mengelolanya
IV.4.2 Kelemahan-kelemahan menggunakan RBA bagi Manajemen dan Auditor Kelemahan menggunakan RBA bagi manajemen Bank M: •
Anggaran mengenai sumber daya audit akan lebih sulit ditetapkan. Karena
penyusunan
anggaran
secara
terpaksa
harus
mengikuti
perhitungan tingkat risiko dari auditable unit yang akan diperiksa. •
Diperlukan adanya pengukuran risiko yang dilakukan oleh manajemen sebagai risk owner. Sehingga pihak manajemen harus menambah pengetahuan dan skill dalam pengukuran risiko yang mana hal tersebut juga dapat menambah biaya.
71
Kelemahan menggunakan RBA bagi auditor Bank M: •
Penggunaan konsep baru yang menggunakan konsep baru tentunya diperlukan pengetahuan baru pula. Maka diperlukan banyak pelatihan bagi staf audit intern untuk merubah pandangan yang lama. Selama penulis melakukan observasi, penulis masih menemukan auditor yang kurang memahami audit secara risk based.
•
Sebelum menggunakan RBA, para auditor Bank M melaksanakan audit secara tradisional selama bertahun-tahun. Hal tersebut menanamkan suatu pola pikir secara tradisional yang kuat pada para auditornya, sehingga diperlukan cara yang tidak mudah untuk mengubah pola pikir yang sudah tertanam dengan kuat tersebut.
•
Persiapan audit akan lebih kompleks. Dikarenakan perlunya dilakukan pengukuran risiko terlebih dahulu untuk menentukan waktu pelaksanaan audit dan alokasi sumber daya yang diperlukan. Berbeda dengan tradisional yang dapat melakukan kunjungan mendadak ketika melakukan audit.
•
Oleh karena auditor dapat menjadi mitra kerja bagi auditee, maka hubungan kedua pihak akan menjadi lebih dekat sehingga dapat menimbulkan permasalahan yang berhubungan dengan independensi auditor tersebut
72