View
1.595
Download
34
Embed Size (px)
DESCRIPTION
Disampaikan oleh Bpk Ikhsan -VP Risk Management Telkom dalam Diskusi Publik RPM Manajemen Risiko Penyelenggara Sistem Elektronik bagi pelayanan Publik Hotel Grand Sahid Jaya, 28 November 2013
Citation preview
Sharing Sharing Session Implementasi ERM
& Internal Control
Disampaikan pada Diskusi Publik RPM Manajemen Risiko pada Penyelenggara Sistem Elektronik bagi pelayanan Publik
Bandung, 28 Nopember 2013
C O N T E N T
Enterprise Risk
Management
Internal Control
Telkom At Glance
TELKOM – At Glance
Dewan Komisaris & Direksi
Komisaris Utama : Jusman Syafii Djamal Komisaris / Komisaris Independen : Parikesit Suprapto Virano Nasution Johnny Swandi Sjam Hadiyanto Gatot Trihargo
Direktur Utama : Arief Yahya Direktur : Muhammad Awaluddin Indra Utoyo Sukardi Silalahi Ririek Adriansyah Priyantono Rudito Rizkan Chandra Honesti Basyir
5 Strictly Confidential
Instruksi Pemerintah RI Telkom At a Glance
Fortune 500 Besarkan Telkom jadi perusahaan terkemuka di ASEAN, masuk Fortune 500
1
Blue Chip Perusahaan Blue Chip di pasar Saham
2
Broadband Bangun infrastructure broadband yang unggul di Indonesia sebagai wahana integrasi Bangsa
3
Existence of The Nation Memperkuat ketahanan Nasional
1
Engine of Growth Garda Depan Lokomotif Pertumbuhan Ekonomi Nasional
2
Emperor of the Region Ekspansi dan Bersaing di Pentas Global
3
6 Strictly Confidential
Telkom At a Glance
Telkom Journey
3
2
1 We transform……..
Vision (2007-2011): “To Become a Leading Telecommunication, Information, Media, Edutainment (TIME ) Player in the Region”
We are now..……..
Vision (2012--: “To Become a Leading Telecommunication, Information, Media, Edutainment & Services (TIMES )Player in the Region”
Vision (2000-2007): “To Become a Dominant InfoCom Player in the Region”
TIMES COMPANY
7 Strictly Confidential
Telkom At a Glance
Kepemilikan Saham
Government Public
Unconsolidated
Consolidated
53.86% 46.14%
100%
100% 100% 100%
29%
International Business
BPO
MVNO MVNO Cellular
Australia
BPO Offshore
Property Business
100%
55%
TLT Property Dev
& Man
GYS
65%
100% 60% 75% 100% 51% 100%
IME Holding
Premise Integration
100% 100%
100%
e-Payment ITO, VAS Man Apps
e-Health Portal & e-Commerce
Digital Music BPO/KPO Digital Advertising
Printing & Publishing Premise Integration
IT Service Integration
IT Service Integration
ISH BPO PJTK
100% 100% 100% 100%
e-Commerce
60%
Cellular Business
Tower Business
65% 100% 100%
Construction &
Maintenance
100%
25% 22.38% 5% 2.11% 41%
VSAT
VSAT Satellite Fixed Line Telco Construction
and Maintenance e-Trade/ e-Logistic
Supply Chain Management
51%
TELKOM’s Por,olio Business : TIMES
Telecommunication POTS
FWA
Mobile / Cellular
International Services
Fixed Broadband
Network Services
Tower
Information Premise Integration Services
VAS, Managed App & Performance/ITO
E-Payment
ITeS (BPO, KPO, e-health)
Media & Edutainment Media
Online Business
Wholesale
Interna>onal
PERSONAL CONSUMER/HOME SME LARGE ENTERPRISE
Serv
ices
Enterprise Risk Management
Telkom’s GCG Framework
Manajemen Risiko sebagai bagian tidak terpisahkan dari Pengelolaan GCG
Visi & Misi
Pemegang SahamKomisarisDireksiKomite
Sekretaris Perusahaan
EtikaBisnis
Kebijakan& Prosedur
ManajemenRisiko
Pengawasan & Pengendalian Internal
Kepemimpinanyang Efektif
KejelasanTugas danTanggung
Jawab
KemampuanManajemen dan
KompetensiKaryawan
EvaluasiKinerja yang
Efektif
Penghargaandan Pengakuan
TransaksiInternal
TransaksiEksternalKom
unika
sida
n Pengu
ngkap
an
Audit Internal dan Eksternal
Pengukuran dan Pertanggungjawaban
Pemeri
ntah da
n Regula
tor Komunitas Keuangan
Pelaku Bisnis dan Lingkungan Bisnis
Visi & Misi
Pemegang SahamKomisarisDireksiKomite
Sekretaris Perusahaan
EtikaBisnis
Kebijakan& Prosedur
ManajemenRisiko
Pengawasan & Pengendalian Internal
ManajemenRisiko
Pengawasan & Pengendalian Internal
Kepemimpinanyang Efektif
KejelasanTugas danTanggung
Jawab
KemampuanManajemen dan
KompetensiKaryawan
EvaluasiKinerja yang
Efektif
Penghargaandan Pengakuan
TransaksiInternal
TransaksiEksternalKom
unika
sida
n Pengu
ngkap
an
Audit Internal dan Eksternal
Pengukuran dan Pertanggungjawaban
Pemeri
ntah da
n Regula
tor Komunitas Keuangan
Pelaku Bisnis dan Lingkungan Bisnis
Investor
Systematic approach in building business sustainability Integrasi Performance – GRC – CSR dalam membangun sustainability
Sustainable
Competitive Growth
2015
2014
2013
ERM OPTIMIZED LEVEL (Advanced) ERM
OPTIMIZED LEVEL (Initial)
2012
ERM DEFINED LEVEl Pengelolaan risk Management Terintegrasi Inisiasi perhitungan Kuantitatif
2011
Memastikan Pengelolaan risiko Dan kepatuhan Berjalan cukup efektif
2010
Menjadikan Pengelolaan risiko Sebagai budaya yang melekat
2009
Memastikan Penerapan Pengelolaan risiko Secara disiplin
ERM QUANTIFIED LEVEL Tingkat kepercayaan Atas analisa risk Management Sangat tinggi Perhitungan Kuantitatif menjadi kekuatan
Analisa risiko Dioptimalkan Untuk menjaga Daya saing Strategis Seluruh keputusan Based on analisa risiko
Downside Risk Downside & Upside Risk
Long Journey ... Governance Risk Compliance Development
2003 ICoFR SOX Compliance
2006 Setup ERM Policy
2007 Setup Direktorat CRM
What is a Risk ... ?
Risiko adalah segala kemungkinan kejadian dalam aktivitas perusahaan yang berpotensi menghambat pencapaian tujuan perusahaan
OBJECTIVE à UNCERTAINTY EVENT à NEGATIF IMPACT (RISK)
“the chance of something happening that will have an impact upon objectives.” (The Australian/New Zealand Standard for Risk Management)
“the possibility that an event will occur and adversely affect the achievement of objectives” (COSO ERM Framework)
“any event which is likely to adversely affect the ability of the organization to achieve the defined objectives” (Method 123)
“the possibility of suffering injury, damage or loss or uncertainty about achieving a certain outcome” (Martin C. Leinweber - Managing Director CERMAS, Risk and the Audit Committee)
Risiko adalah kemungkinan adanya kejadian yang ditimbulkan oleh ketidakpastian di masa datang dan dapat menimbulkan dampak negatif (risk) maupun positif (opportunity) bagi perusahaan
Problems/Crisis • Terjadi saat ini • Akibat dari keputusan/aktivitas yang lalu
Risks • Potensial Problem • Akibat dari keputusan/aktivitas saat ini
Past Present Future
Problem
Decisions/Activities Risk
Decisions/ Activities
• ERM bertujuan agar risk yang mungkin terjadi di masa datang dapat diantisipasi sejak saat pengambilan keputusan, agar kemungkinan terjadinya diperkecil dan/atau dampaknya bila terjadi dapat diperkecil, sehingga tujuan dari keputusan yang diambil bisa diraih.
• Crisis/Problem Management is not Risk Management
Action
Crisis/Problem Management
Action
Risk Management • No surprise • Objectives
achievement
Konsep Problem Vs Risk
Ø Implementasi ERM harus mendukung pencapaian objective perusahaan yang dikelompokkan dalam konteks :
§ Strategic : ‘high-level goals’ dan keseluruhan strategi perusahaan
§ Operations : efisiensi dan efektivitas penggunaan sumberdaya dan sistem proteksi / pengamanannya
§ Reporting : menjamin akurasi dan reliabilitas pelaporan
§ Compliance : menjamin kepatuhan terhadap seluruh regulasi dan hukum yang berlaku
Ø COSO ERM Framework memiliki 8 komponen proses generik yang saling berhubungan
Ø ERM harus meliputi aktivitas di seluruh level organisasi (Entity, Division, Business Unit & Subsidiary)
COSO ERM Framework
Tata Kelola ...
Departemen CRMGA
Komite Risiko / Rapat Direksi
Komite Evaluasi & Monitoring Perencanaan & Risiko
Divisi Direktorat
(Corporate) Subsidiaries
Inte
rnal
Aud
it
Aspek Struktural – Operational - Perawatan ...
Aspek Struktural
Aspek Operasional
Aspek Perawatan
• Membangun Komitmen, Tone at the top • Meletakkan pondasi manajemen risiko dalam kerangka GCG • Membentuk Departemen CRMGA (fasilitator implementasi ERM) • Pengembangan Kebijakan, Pedoman, Tata Kelola • Pengembangan Kompetensi, Tools, System • Pengembangan Risk Management untuk Scope Spesifik (Business Inisiatif, Asset Protection, Revenue Assurance, dsb)
• Risk & Control Self Assessment (RCSA) Guidance • Penetapan Risk Acceptance Criteria (RAC) Guidance • Pelaksanaan Risk Assessment Corporate, Unit & Subsidiary • Implementasi Tools / system / aplikasi pendukung
• Review, monitoring & Risk Reporting • Audit implementasi Enterprise Risk Management • Menjaga kontinuitas Pengembangan Kompetensi • Menjaga konsistensi Komunikasi & Sosialisasi • Pengembangan mekanisme penilaian kualitas implementasi ERM ü Risk Management Index ü Risk Culture Survey ü Pengukuran Risk Maturity Level
RouKne Risk Assessment & Monitoring Agenda Pelaksanaan Risk Assessment Corporate & Business Unit
Maret-April
Long Term Planning (CSS) Risk Assessment
September
Annual Corporate Risk Assessment
Jan-Peb
Annual Unit Risk Assessment
Apr, Juli, Okt, Jan
Review / Monitoring Update Risk Profile
Unit Risk Mgmt Corporate
Unit Corp Strategic Planning
Unit Risk Mgmt Corporate
All Unit & Subsidiary RM function
All Unit & Subsidiary RM
function Unit Risk Mgmt Corporate as Consultant
Unit Risk Mgmt Corporate
All Unit & Subsidiary RM function
Focus Group Discussion Observasi & Benchmark
Workshop & One on One Discussion
FGD di tiap unit RM Corporate as
consultant
One on One Discussion
Faktor Risiko Perusahaan Pada Corporate Strategic
Schenario (CSS)
TELKOM Risk Profile Unit & Subsidiary Risk Profile
Risk Management Review & Report
Jadwal & Agenda
Unit Pelaksana
Metode
Output
Departemen CRMGA - Positioning
COMPANY OBJECTIVE Business Objective : • Revenue, • EBITDA, • Net Income • Customer Based Others Objective : • Compliance • Competence • Award, dsb.
SUPPORT Finance, Human Resources, Logistik, Legal, dsb
PLANNING Strategic Plan Annual Plan M&A Plan dsb
Non Organic Activities A & A Corporate Action
Organic Activities
DEVELOPMENT Product & Service Infrastructure
OPERATION Network, IT, Billing, dsb
SALES & SERVICE Marketing, Sales, Service
EXTERNAL RISK FACTORS Regulasi, Teknologi, Kompetisi, Ekonomi Politik, Sosial, Natural, Customer Fraud
INTERNAL RISK FACTORS Network / IT Failure, Revenue leakage, compliance
HR, Legal risk, dsb
DEPARTEMEN COMPLIANCE, RISK MANAGEMENT & GENERAL AFFAIR SUPPORT
GENERIC FUNCTION SUPPORT
Policy Enhancement, Business Process & Internal Control
Enterprise Risk Management Enterprise Quailty Management Strategic Business Risk Review
SPESIFIC FUNCTION SUPPORT
Insurance Management, Business Continuity Mgmt,
Revenue Assurance & Fraud Mgmt, Security & Safety Management,
Compliance Revenue Assurance
Asset Protection Decision Making Business Objective
Objective Kepatuhan atas aturan internal, regulasi dan SOX compliance
Pencegahan & Penanganan Leakage & Fraud
Proteksi Asset & Continuity
Prudent & No Surprise
Pemastian mitigasi & early warning
Type Rutin & Insidental Rutin & Insidental
Rutin & Insidental Rutin & Insidental Rutin & Insidental
Jenis Aktivitas (1) ICoFR Risk Assessment, (2) Generic ERM Implementation (3) Corporate Fraud Risk Assessment
(1) Revenue Assurance Mgmt (2) Customer Fraud Risk Management
(1) Insurance Mgmt (2) Disaster Recovery Plan (3) Health & Safety (4) Physical Security (5) Non Physical Security (6) Technical Risk Assessment
(1) Six-Eyes-Principle (2) Risk Reviewer
(1) Corporate Strategic Risk Assessment, (2) Corporate & Business Risk Assessment, (3) Sensitivity Analysis, (4) Early Warning
ERM Value Detail Objective & Activities
Metodologi, Policy, Prosedur, IT Tools
Internal Control
Internal Control
Back-ground
Best Practice
Sharing D/I
Benefit & Insight
SEC
Comply Policies,
Regulations, Rules
n As one of foreign public l isted companies in NYSE since 1995 PT Telkom should also comply with all SEC rules and regulations, including SOX.
n Since 2003, PT Telkom has implemented SOX 302 & 906 by providing annual certification.
Why TELKOM Must Comply ?
US SEC terpanggil untuk melindungi investor
Why did SOX Happen?
Menyerahkan sepenuhnya kepada auditor, juga standard audit yang a d a d i p a n d a n g m e m i l i k i keterbatasan bahwa : “tidak cukup m a m p u ” u n t u k m e n c e g a h terjadinya fraud di Perusahaan.
Dilatarbelakangi oleh kasus Enron, WorldCom, Tyco …
Manajemen harus berperan a k t i f m e n j a l a n k a n pengendal ian in terna l (internal Control) untuk m e n c e g a h p o t e n s i t e r j a d i n y a E R R O R & FRAUD diperusahaannya
Para shareholder (investor) kemudian berpersepsi bahwa “tidak menutup kemungkinan FRAUD DAN KECURANGAN LAPORAN KEUNGAN terjadi juga diperusahaan publik lainnya?”
• 12/2001 – Enron • 06/2002 – Arthur Andersen and WorldCom • 01/2002 Global Crossing • 12/2004 Kmart and Tyco
Lesson learn:
Apa yang harus dilakukan perusahaan?
Message (SOX)
• Restore investor confidence in the capital markets
• Increase the accountability of management of public companies
• Improve corporate governance
Telkom systematic approach in building business sustainability Integrasi Performance ; GRC ; CSR dalam membangun sustainability
Sustainable Competitive
Growth
• Audit dalam hal ini adalah membandingkan kriteria vs kondisi • ICOFR meminta manajemen untuk menyampaikan :
1. Dokumentasi internal control 2. Evidential matter
§ Sebelumnya lebih ke Finansial Audit > Penekanan audit adalah audit atas HASIL > Integrated Audi “Audit atas PROSES
dan HASIL yang terintegrasi (Financial Audit dan ICOF Audit yang terintegrasi)
§ Dua Pendekatan audit ICOFR > Walk trough & Test of Control (TOC) § Proses Audit > Interim Audit & Year End Closing Audit § Ruanglingkup audit > ELC, TLC dan IT Control
Prinsip Audit
• Public expose • Press release • Info memo • Investor update • Company profile • Company website,dll
• SOX 302 (Disclosure Control Procedure) • SOX 404 (Internal Control Over Financial Reporting)
SOX 302 - SOX 404 - Risk Mgt.
n Mendesain internal control (Mencakup Telkom Group termasuk Anak Perusahaan konsolidasian)
n Menjalankan internal control n Melakukan self assessment dan menyatakan
hasilnya dalam 20F n Memperoleh atestasi atas hasil audit laporan
keuangan dan audit ICOFR dari external auditor n Melakukan remediasi atas control deficiencies
What should TELKOM do?
Tujuan/Sasaran
• Improve efektivitas dan efisiensi operasi
• Improve KEHANDALAN PELAPORAN KEUANGAN
• Improve kepatuhan/ketaatan organisasi
Evaluasi & Implementasi Entitas ; Unit Bisnis ; Transaksi / Process
q Tingkat Entitas (ELC)
Pengendalian yang memiliki dampak menyebar dan
dapat mempengaruhi efektifitas pelaksanaan
pengendalian di tingkat transaksional
q Tingkat Transaksi / Aplikasi / Proses (TLC)
Pengendalian yang dilakukan pada setiap proses
aktivitas organisasi dalam bentuk otorisasi, verifikasi,
rekonsiliasi dan kegiatan lainnya seperti upaya
pencegahan terjadinya kesalahan / kecurangan dan
upaya pengamanan aset.
Komponen
1. Control environment
2. Risk Assessment
3. Control Activities
4. Information & Communication
5. Monitoring
Source: Internal Control-Integrated Framework COSO
Telkom use COSO Internal Control Framework Best practice
COSO Internal Control Framework
Principles
• Ongoing monitoring & separate evaluations • Reporting deficiency
• Financial Information • Internal Control Information • Internal Communication • External Communication
• Integration with Risk Assessment • Selection and Development of Control Activities • Policies and Procedures • Information Technology
• Financial Reporting Objectives • Financial Reporting Risk • Fraud Risk
• Integrity and ethical values • Important of BoC / Audit Committee • Management philosophy & operating style • Organizational structure • Commitment to competence • Authority and responsibility • HR policies and procedures
Component
Control Environment
Risk Assessment
Information & Communication
Control Activities
Monitoring
• Inisiatif Manajemen ? • Inisiatif Manajemen ? • Inisiatif Manajemen ? • Inisiatif Manajemen ? • Inisiatif Manajemen ? • ……
Best practice
SOX and Related Control Frameworks
Sarbanes-Oxley Act of 2002
SEC Rules PCAOB Standards
COSO Framework
COBIT
SEC define rules for corporation
PCAOB define standard for auditors
Suggest COSO
Suggest IT Framework
Suggest IT Framework
Best practice
Classification of ICOFR
Entity Level Control Is a process designed by or under control management monitoring to realize the environment that have pervasive impact on the effectiveness of controls at the process, transaction or application level
Transactional Level Control • The objective of an process/transactional level
control is to achieve a specific objective. • Generally relates to individual business locations or
business processes
IT Control • The information technology processes and related
controls that are applied above the computer application level
• IT controls are controls that exist above and around the computer application, which are designed to:
– Ensure that changes to applications are properly authorized, tested, and approved before they are implemented, and
– Ensure that only authorized persons and applications have access to data, and then only to perform specifically defined functions (e.g., inquire, execute, update).
IT Control for SOX
Tahapan Umum Perancangan
??Significant Processes
what can go wrong
controls monitor Significant Account
Managements F/S Assertions
Inherent and Key Business
Risk
Financial Statements
• Menentukan tingkat materialitas • Menentukan akun dan pengungkapan yang signifikan • Menentukan asersi keuangan yang relevan dengan
akun dan pengungkapan yang signifikan • Menentukan kelompok transaksi dan proses terkait
dengan akun dan pengungkapan yang signifikan (termasuk aplikasi terkait)
• Memetakan proses dan lokasi dengan akun dan pengungkapan yang signifikan
Process Scoping/Identification Risk Identification& Assessment
Control Design 1 2 3
Contoh : Rancangan BISNIS PROSES
Contoh : Rancangan BISNIS PROSES
q Kontrol harus dapat memitigasi risiko yang telah diidentifikasi
q D a p a t d i t e r a p k a n a t a u d i ja lankan di operasional (applicable)
q D a p a t d i b u k t i k a n a t a u diverifikasi (untuk keperluan evaluasi pelaksanaannya).
Hal-hal yang harus diperhatikan
Existence or Occurrence KEBERADAAN ASET, KEWAJIBAN, DAN KEPEMILIKAN tercatas sesuai tanggal kejadian dan transaksi tersebut merupakan peristiwa yang benar-benar terjadi selama periode tertentu. Contoh : persediaan barang jadi pada neraca adalah tersedia untuk dijual.
Completeness Semua transaksi, peristiwa dan kejadian yang terjadi selama jangka waktu tertentu, maka harus DIAKUI DALAM PERIODE TERTENTU, BENAR ADANYA, SESUAI KEJADIAN SEBENARNYA DAN TELAH DICATAT. Contoh : semua retur penjualan telah dicatat.
Valuation or Allocation Aset, kewajiban, pendapatan, dan beban DICATAT DENGAN JUMLAH YANG TEPAT SESUAI DENGAN PRINSIP AKUNTANSI YANG RELEVAN DAN TEPAT. Contoh : piutang usaha termasuk dalam neraca disajikan sebesar nilai realisasi.
Rights and Obligations ASET , HAK DAN KEWAJIBAN ADALAH KEWAJIBAN PERUSAHAAN PADA TANGGAL TERTENTU. Contoh: jumlah yang dicatat sebagai kapitulasi biaya sewa properti sesuai kewajiban sewa yang merupakan kewajiban perusahaan.
Presentation and Disclosure Item dalam laporan keuangan telah DIKLASIFIKASIKAN, DIJELASKAN, DAN DIUNGKAPKAN DENGAN BENAR. Contoh: komitmen jangka panjang diungkapkan dalam catatan kaki laporan keuangan mereka.
FINANCIAL ASSERTIONS (control objectives),
SOD [pemisahan tugas/fungsi] adalah pemberian tugas dengan fungsi utama yang berbeda kepada orang yang berbeda.
FUNGSI DESKRIPSI
Custody of Asset Upaya untuk melakukan perlindungan atas aset, meliputi : perolehan, penggunaan dan penghapusan aset
Authorization of Transaction
Memastikan transaksi dijalankan oleh orang sesuai wewenang dan otoritasnya
Record Keeping Menjaga keakuratan data atas aktivitas pencatatan, pemrosesan atau pelaporan atas suatu transaksi yang berdampak terhadap validitas nilai aset dan laporan keuangan perusahaan
Control Activity Memastikan dilakukan pengendalian atas serangkaian aktivitas untuk menjamin keakuratan, kesesuaian serta kelengkapan pencatatan transaksi
Segregation of Duties
Benefit q Investor trust, berpengaruh positif terhadap kepercayaan investor dan jangka
panjang dapat berpengaruh positif pada nilai saham
q Transparancy, perusahaan terbiasa untuk transparan juga menjadi tidak sering “surprise”
q Financial reporting Quality, pelaporan Keuangan lebih tepat waktu dan dapat diwujudkan
q Culture, meningkatkan tata nilai/budaya akan pentingnya pengendalian internal
q Risk awareness, lebih peduli pada risiko dan meningkatkan kualitas komite audit dan komite-2 manajemen diperusahaan
q Improve qulaity of process, memperbaiki proses mengarah pada efektifitas dan efisiensi
q Governance, back to basic organization - bahwa pengendalian internal dan audit internal sangat penting perannya bagi sukses perusahaan
q IT alignment, makin selaras pengelolaan IT dengan pengelolaan bisnis
q Discipline, memandu karyawan untuk tertib menjalankan proses
q Cost & Benefit, implementasi SOX akan menimbulkan biaya dan bagi perusahaan yang tidak wajib (harus) menerapkan SOX, tetap dapat menerapkannya tentu dengan mempertimbangkan manfaat yang akan diperoleh disamping biaya yang harus dikeluarkan
q SOX and Business alingment, implementasi SOX seharusnya tidak dipandang sebagai penghambat pencapaian kinerja, melainkan bagian dari upaya perusahaan untuk menjamin kelangsungan kinerja (performance sustainability growth).
q Commitment and discipline, keberhasilan implementasi SOX sangat ditentukan oleh komitmen manajemen, dan disiplin karyawan dalam mentaati kebijakan dan menjalankan proses
q Nature of control, rancangan pengendalian internal dimungkinan berbeda antara perusahaan satu dengan yang lain, karena sangat bergantung pada kompleksitas bisnis dan organisasi masing-masing.
Insight