Click to edit Master title style

COSO FRAMEWORK RATING SYSTEM

Januari 2010,
Audit Methodology,
Audit Internal.
AGENDA

1. Tujuan & Latar Belakang

2. Rating System Saat Ini
3. Konsep COSO Rating
4. Rating System :
4.1. Impact - Likelihood Matrix & Interval Nilai (Rating)
4.2. Tabel Rating

end
3
Tujuan, Latar Belakang & Data Acuan
Tujuan :
Mempresentasikan COSO rating system atas hasil audit untuk digunakan dalam tahun 2010.

Latar Belakang :
1. Tidak semua audit menggunakan rating
2. Frame work rating yang digunakan berbeda
3. ROM dari GIAD menggunakan 1 sistem operasional pada seluruh anak perusahaan di
beberapa negara, termasuk prosedur audit.
4. Feedback dari Komite Audit terhadap hasil audit Cabang

Dasar Acuan:
1. Manual Audit GIAD
2. Peraturan Bank Indonesia (PBI) No. 5/8/PBI/2003 tgl 19 Mei 2003; SEBI No. 5/21/DPNP/2003
tgl 29 Sep 2003 tentang penerapan manajemen risiko bagi bank umum & SEBI No.
5/22/DPNP/2003 tgl 29 Sep 2003 tentang pengendalian interen bagi bank umum.
3. PBI no 1/6/1999 tentang Standar Pelaksanaan Fungsi Audit Intern Bank (SPFAIB).
4. COSO (1992). Internal Control Integrated Framework. New York, NY: AICPA.

Back
4
Rating System Saat Ini
Audit Internal
BANK CIMB Niaga
Audit Internal
Kredit: CIMB Group
ROCA
(Risk Mgt, Operation Control,
Compliance, Asset Quality)

Operation:
Sistem Rating Ex LB

Treasury:
COSO Rating
COSO

Head Office & Subsidiaries:

Tanpa Rating

Information System:
Tanpa Rating

5
Perbedaan Rating System
ROCA Ex LB GIAD
• Evaluasi secara judgement • Evaluasi atas faktor2 sbb: • Evaluasi komponen internal control
terhadap: - Manajemen umum, COSO:
- Risk Mgt, - DPK, - Contro Environment
- Operating control, - Jasa lain, - Risk Assessment,
- Compliance - KYC - Control Activities,
- Asset quality - Administrasi - Information & Communication
(PBI No 6/10/PBI/2004 & SEBI No.6/ 23 /DPNP - Monitoring
2004: kualitas aset dan Manajemen)
- Goals /Strategy (tambahan)

• Internal control dikaitkan dengan • Internal control dikaitkan dengan • Internal control COSO dikaitkan
risiko risiko dgn 8 risiko BI (PBI No. 5/8/PBI/2003)

• Jumlah temuan tidak langsung
berpengaruh terhadap hasil rating
karena ada proses judgement
terhadap keseluruhan temuan
• Jumlah temuan langsung
berpengaruh terhadap hasil rating
secara terbatas pada max bobot
yg diberikan. Mis: KYC bobot 10%,
meskipun ada banyak temuan signifikan,
hanya berpengaruh max 10% terhadap
overall rating Cabang (90% atau Satisfactory)
• Jumlah temuan langsung
berpengaruh terhadap hasil rating
dengan analisa per temuan audit
menggunakan judgement
berdasarkan impact & likelihood
matrix

• Interval rating: • Interval rating: • Interval rating:

1 = < 1,5 (Excellent) 1 = Satisfactory (≥ 85), 1 = GTEV ≤ 5 (Low Risk),
2 = 1,5 – 2,4 (Good) 2 = Fair (65 ≤ x < 85), 2 = 5 < GTEV ≤ 20 (Moderate Risk),
3 = 2,5 – 3,4 (Marginal) 3 = Unsatisfactory (< 65). 3 = 20 < GTEV ≤ 40 (Above -
4 = 3,5 – 4,4 (Below Marginal) Average Risk),
5 = > 4,5 (Poor) 4 = 40 < GTEV (High Risk ).

Back
6
ROCA vs GIAD OPR Rating vs GIAD ROCA vs GIAD vs Opr Rating
Konsep COSO Rating

1. Menilai kualitas Internal Control menggunakan komponen kontrol COSO*:

• Control Environment
• Risk Assessment
• Control Activities
• Information & Communication
• Monitoring
• Goals / Strategic (tambahan)

2. Pengukuran dilakukan dengan mengungkapkan risiko ** yang timbul (risk

exposure) jika ada komponen internal control COSO yang dilanggar.

Referensi :
*) - GIAD CIMB Group .
- PBI) No. 5/8/PBI/2003 ; SEBI No. 5/22/DPNP/2003 tgl 29 Sep 2003 tentang pengendalian interen bagi bank umum
- PBI no 1/6/1999 (SPFAIB) Bab IV. Mengenai Ruang lingkup pekerjaan audit intern (penilaian kualitas kinerja, kecukupan & efektivitas pengendalian intern).
**) 8 kategori risiko – Peraturan Bank Indonesia (PBI) No. 5/8/PBI/2003 dan Surat Edaran Bank Indonesia (SEBI) No. 5/ 21 /DPNP tanggal 29 September 2003 tentang Penerapan
Manajemen Risiko Bagi Bank Umum,

7
 Konsep Rating COSO*
1. Control Environment 2. Risk Assessment 3. Control Activities
1. Assignment of Authority and Responsibility 1. Strategic Objectives 1. Inf/Tranx Processing – Authorization :
2. Board of Directors / Audit Committee 2. Process Objectives 2. Inf/Tranx Processing – Completeness :
3. Inf/Tranx Processing – Accuracy Data
3. Commitment to Competence 3. Sub-process Objectives
4. Inf/Tranx Processing – Timeliness
4. External / Specialist Reviews 4. Business Continuity Planning 5. Inf/Tranx Processing - Continuity
5. Human Resource Policies and Procedures 5. Change Management 6. Controls over IS - Data Centre
6. Integrity and Ethical Values 6. Threat Identification 7. Controls over IS - Operating Systems
7. Management Philosophy and Operating Style 7. Risk Assessment Activities 8. Controls over IS - Access Security
9. Controls over IS - IT Disaster Recover
8. Organizational Structure 8. Procedures for identification and
10. Controls over IS - System Rules
9. General Policies and Procedures quantification of risk
11. Controls over IS - Automated File Feed
10. Self-Assessment/Quality Assurance Review 9. Limits and other controls 12. Control over IS – System Log
11. Supervision and Evaluation of Employee 10. Reporting to Management 13. Control over IS – System development
Performance 11. Management Supervision 14. Control over IS – Computer networking
12. Training Activities 12. Calculation and Allocation of Capital 15. Control over IS – Application System
16. Development of Performance Measure
13. Application of laws/regulation, guidelines,
17. Direct Function or Activity Mgt
directives, and requirements
18. Analysis
19. Physical Safeguard Controls
20. Segregation of Duties :
Information & Communication 21. Efficiency And Effectiveness :
22. Utilization of Resources :
1. Management Communication Process
Monitoring
2. Information Tranf. and Dissemination
3. Strategic Communication Process 1. Ongoing Monitoring Goals/Strategic
4. Communication of Objectives to the Org 2. Continuous Improvement Activities
5. Periodic Status Meetings 1. Setting of Objectives and Goal
3. Deficiency Reporting Mechanisms
6. Upward Flow of Perf. Information 2. Measurement and reporting of the
4. Monitoring Corrective Action
accomplishment of objectives and goals
5. Reconciliation
3. Control Mechanism to monitor actual
*) Ref: GIAD - CIMB Group performance against budget

detail sub control COSO Back 8

8
Impact - Likelihood Matrix dan Interval Penilaian *
Impact
Insignificant (1) Small (2) Medium (3) Significant (4) High (5)

Likelihood
High
Virtually Certain (1.0) Low Medium Medium High
Serious

High (0.8) Low Low Medium High High

Medium (0.6) Minor Low Medium Medium Medium

Low (0.4) Minor Low Low Low Medium

Rare (0.2) Minor Minor Minor Low Low

Total Equivalent Value (TEV) Audit Opinion Grand Total Equivalent Value
(GTEV) Audit Opinion
TEV < 0.7 Minor
GTEV ≤ 5 Low Risk
(0.7 < TEV ≤ 1.6) Low
5 < GTEV ≤ 20 Moderate Risk
1.6 < TEV ≤ 3 Medium
3 < TEV ≤ 4 High 20 < GTEV ≤ 40 Above Average Risk

4 < TEV High Serious 40 < GTEV High Risk

*) Ref: GIAD - CIMB Group

Imppact Likelihood Individual rating Overall rating
Back 9
Tabel Rating
No Main Process Sub Accountabi Findings Risk Type Risk Sub Risk Impact Likeliho TEV Repeated Common Repeated
Process (Proces Process lity /Unit Control Control od only only &
(Proces Level 2) (Proces Support System System (x 1,1) (x 1,1) Common
Level 1) Level 3) (A/S) (x 1,21)
1 Opr . Funding Giro A Dual control terhadap transaksi Transacti Risk Strategic Medium Medium 1.8 = 1.8 x = 1.8 x = 1.8 x
Mgt Opr pemindahbukuan dari 1 CIF onal Assessm Objectives Probabi 1,1 = 1,1 = 1,21 =
dengan valuta yang berbeda Risk ent lity 1.98 1.98 2,178
belum dilakukan.
2 Treasur Operationa Operational A Terdapat dana likuiditas subdebt Liquidity Risk Strategic Signific Medium 2.4 = 2.4 x = 2.4 x = 2.4 x
y Risk l Risk Mgt Risk Mgt yang belum memiliki sinking fund Risk Assessm Objectives ant Probabi 1,1 = 1,1 = 1,21 =
Mgt. program (cadangan pelunasan). ent lity 2.64 2.64 2,904
3 Opr Lending Lending A PT X melakukan transaksi Operatio Control Segregatio Signific Medium 2.4 = 2.4 x = 2.4 x = 1.8 x
Mgt Operation Operation forward, namun tidak tercatat nal Risk Activities n of Duties ant Probabi 1,1 = 1,1 = 1,21 =
pada kartu KPDK. lity 2.64 2.64 2,904

4 Lending Lending Corporate, S Terdapat 6 account yang sudah Operatio Control Inf/Tranx Medium Medium 1.8 = 1.8 x = 1.8 x = 1.8 x
Opr. Opr. Commercia disetujui untuk di write off, namun nal Risk Activities Processing Probabi 1,1 = 1,1 = 1,21 =
l& belum dieksekusi karena belum - Accuracy lity 1.98 1.98 2,178
Consumer cukupnya pencadangan PPAP. of Data

GTEV : 8.4 9.24 9.24 10.164

GTEV : 8.4 9.24 9.24 10/164
Audit Opinion : Modera Moderate Moderate Moderate
te Risk Risk Risk Risk
Overall Rating : 2 2 2 2
No of Finding : 4 4 4 4

10
Back
Thank You

Back
11
Impact

Impact Definisi

High (5) • Berpengaruh pada efisiensi & efektivitas dari proses/usaha/perusahaan.

• Berpotensi kerugian finansial yang sangat besar.
• Kegagalan dalam fungsi kontrol yang mendasar.
• Publikasi yang buruk atau reputasi yang buruk secara nasional.
•Pelanggaran yang serius terhadap hukum atau ketentuan pemerintah yang berakibat
pada denda dan/atau penutupan usaha
• Kehilangan nasabah dalam persentase yang besar
• Staff turn over besar.
Significant (4) • Berpengaruh terhadap efektivitas fungsi2 dalam perusahaan yang memerlukan
perhatian manajemen
• Berpotensi kerugian finansial yang tinggi
• Pelanggaran fungsi kontrol utama & tidak ada fungsi kontrol pengganti
• Publikasi yang buruk atau rusaknya reputasi dalam industri
• Pelanggaran serius terhadap hukum atau ketentuan pemerintah dengan pengenaan
denda.
• Kehilangan dalam persentase yang tinggi
• Staff turn over tinggi.

12
Impact

Impact Definisi

Medium (3) • Menyebabkan dilakukannya review dan/atau modifikasi secara signifikan.

• Berpotensi terjadi kerugian finansial yang moderat
•Pelanggaran fungsi kontrol utama, namun terdapat fungsi kontrol pengganti yang dapat dijalankan
•Publikasi yang buruk atau rusaknya reputasi dalam lingkup tertentu.
•Pelanggaran yang serius terhadap hukum atau ketentuan pemerintah yang berakibat pada
dibeikannya surat peringatan/teguran.
• Kehilangan nasabah dalam persentase yang sedang (medium)
• Staff turn over sedang .
Small (2) • Berpengaruh pada efisiensi & efektivitas dari proses, tetapi terbatas dalam lingkungan perusahaan
• Berpotensi kerugian finansial dalam skala sedang sampai rendah.
• Kegagalan dalam peningkatan fungsi kontrol, namun fungsi kontrol utama berjalan.
• Publikasi yang buruk atau reputasi yang buruk dalam lingkup yang terbatas.
•Berpengaruh kecil terhadap hukum atau ketentuan pemerintah.
• Kehilangan nasabah dalam persentase yang kecil.
• Staff turn over kecil.

13
Impact

Impact Definisi

Insignificant (1) •Berpengaruh pada prosedur rutin.

• Berpotensi kerugian finansial dalam skala rendah.
•Publikasi yang buruk atau reputasi yang buruk dalam lingkup yang terbatas.
•Berpengaruh kecil atau tidak ada terhadap hukum atau ketentuan
pemerintah.
• Kehilangan nasabah dalam persentase yang sangat kecil.
• Staff turn over sangat kecil atau tidak ada.

Back 14
Likelihood
Likelihood

Certain (1.0) • Sedikitnya terjadi secara harian sampai dengan bulanan.

• Riwayat kejadian secara rutin.
• Pola dan pelaksanaan fungsi kontrol menunjukkan kemungkinan besar terjadinya
kegagalan dalam fungsi kontrol.
High (0.8) • Terjadi beberapa kali dalam setahun.
• Pola dan pelaksanaan fungsi kontrol tidak dapat diandalkan
Medium (0.6) • Kemungkinan dapat terjadi beberapa kali dalam setahun.
• Fungsi kontrol tidak selalu dijalankan.
Low (0.4) • Kecil kemungkinan terjadi beberapa kali.
• Pola dan pelaksanaan fungsi kontrol konsisten dilakukan dengan sedikit kesalahan

Rare • Tidak mungkin terjadi; kejadian tidak dapat diantisipasi; dapat terjadi pada keadaan-
(0.2) keadaan yang khusus (exceptional).
• Pola dan pelaksanaan fungsi kontrol memadai dan berjalan sebagaimana mestinya

Back 15
Individual Rating (findings)

Rating Penjelasan
Minor Tidak memerlukan penambahan aplikasi khusus, dampak dapat diatasi dengan prosedur rutin

Low Tindakan perbaikan harus dilakukan segera bila memungkinkan sesuai dengan waktu & resources
yang tersedia.

Medium Memerlukan tindakan perbaikan segera untuk meningkatkan fungsi internal kontrol. Kondisi ini
berdampak menganggu fungsi operasional.
High Memerlukan tindakan perbaikan secepatnya guna meningkatkan fungsi internal kontrol. Kondisi ini
dapat berdampak secara material terhadap pencapaian tujuan usaha.

High Serious Harus secepatnya ditangani oleh manajemen dengan membuat rencana secara rinci

Back 16
Overall Rating

Rating Penjelasan
Low Risk - Baik dalam semua hal
- Kinerja, pengendalian intern & manajemen risiko dinilai kuat
- Tidak memiliki hal-hal yang harus diperhatikan.
- Kekurangan yang dideteksi hanya memiliki dampak kecil dan dapat dikoreksi dengan mudah.
- Manajemen mengetahui kekurangannya & bersikap proaktif untuk menyelesaikan temuan audit.
Moderate Risk - Pengendalian intern secara umum cukup.
- Terdapat beberapa kekurangan kecil yang masih dapat diatasi Manajemen.
- Secara umum patuh terhadap kebijakan, prosedur, hukum dan ketentuan yang berlaku.
- Pelaksanaan pengendalian intern & manajemen risiko secara umum cukup
Above Average Risk - Ada kelemahan dari skala sedang ke parah,
- Rentan terhadap kondisi bisnis/operasional yang buruk & akan menjadi serius bila tidak segera ditangani .
- Sering tidak mematuhi kebijakan, prosedur, hukum dan ketentuan.
- Pengendalian intern & manajemen risiko kurang mencukupi
High Risk Kinerja, pengendalian intern & manajemen risiko buruk, dalam hal :
- Banyak kelemahan finansial yang serius,
- Tidak patuh terhadap kebijakan, prosedur, hukum, & ketentuan
- Kelemahan pengendalian intern yang sangat lemah.
- Memiliki risiko signifikan bagi perusahaan dan kemungkinan terjadinya kegagalan sangat tinggi.

Back 17
Pengelompokan Temuan ke dalam Komponen Kontrol (CoSO)

Temuan Kontrol (CoSO)

Agar diyakinkan bahwa seluruh dealer treasury telah menanda-tangani “code of
Control Environment
conduct” (M)

Meningkatkan proses credit risk mgt untuk produk treasury (H) Risk Assessment

Back office (settlement) agar melakukan konfirmasi tertulis atas transaksi dengan
nasabah non bank, meyakinkan konfirmasi telah di tanda-tangani dan Control Activities
dikembalikan (H)

Meningkatkan kelengkapan format laporan atas hasil implementasi review

Information & Communication
produk. (M)

Memperbaiki prosedur persetujuan manajemen untuk pelampauan limit (H) Monitoring

Agar membentuk tim dengan spesialisasi produk-produk treasury (M) Goals/Strategic

aplikasi Back
18
1. Komponen Control Environment

1 Assignment of Authority and Responsibility : Tersedianya pelimpahan wewenang dan tanggung jawab yang jelas.

2 Board of Directors / Audit Committee : Terdapat komitmen dan kepedulian manajemen dan komite audit
terhadap pelaksanaan pengendalian internal (internal control).

3 Commitment to Competence Terdapat komitmen terhadap peningkatan kompetensi secara

berkesinambungan.

4 External / Specialist Reviews : Manajemen melihat review yang dilakukan oleh pihak
eksternal/specialist sebagai salah satu masukan/bahan untuk
perbaikan fungsi pengendalian internal.

5 Human Resource Policies and Procedures : Memiliki kebijakan dan prosedur SDM.

6 Integrity and Ethical Values : Memiliki integritas dan standar etika yang baik.

7 Management Philosophy and Operating Style Manajemen menunjukkan kepedulian yang tinggi dalam mengupayakan
: peningkatan fungsi kontrol proses operasional.

Back 19
1. Komponen Control Environment

8 Organizational Structure : Memiliki struktur organisasi formal dan up to date.

9 General Policies and Procedures : Memiliki kebijakan dan prosedur yang formal dan up to date

10 Self-Assessment/Quality Assurance Review : Memiliki mekanisme penilaian internal untuk menilai kecukupan dan
pelaksanaan pengemdalian internal (internal control).

11 Supervision and Evaluation of Employee Memiliki mekanisme supervisi dan evaluasi kinerja karyawan.
Performance :

12 Training Activities : Memiliki program pelatihan dan melaksanakan kegiatan pelatihan.

13 Application of laws/regulation, guidelines, Memiliki pemahanan terhadap hukum/ketentuan, aturan, pedoman,

directives, and requirements : arahan yang berlaku baik internal maupun eksternal.

Back 20
2. Komponen Risk Assessment

1 Strategic Objectives : Telah dilakukan risk assessment terhadap strategic objectives

perusahaan

2 Process Objectives Telah dilakukan risk assessment terhadap process objective

perusahaan

3 Sub-process Objectives : Telah dilakukan risk assessment terhadap sub-process objectives

perusahaan

4 Business Continuity Planning Telah dilakukan risk assessment terhadap business continuity planning

5 Change Management : Telah dilakukan risk assessment jika terdapat rencana perubahan.

6 Threat Identification : Proses risk assessment diawali dengan dilakukan threat identification.

7 Risk Assessment Activities : Aktivitas risk assessment dilakukan berdasarkan identifikasi &
pengukuran risiko (internal & eksternal) yang relevan dengan
pencapaian tujuan.

Back 21
2. Komponen Risk Assessment

8 Procedures for identification and Memiliki prosedur untuk mengidentifikasi dan mengukur tingkat risiko.
quantification of risk
9 Limits and other controls : Memiliki pengaturan / ketentuan limit dan fungsi kontrol lainnya.

10 Reporting to Management : Melakukan pelaporan hasil risk assessment (risk profile) kepada
manajemen.
11 Management Supervision : Memiliki mekanisme risk assessment terhadap tingkat fungsi supervisi
manajemen atas setiap proses yg dilakukan.

12 Calculation and Allocation of Capital : Memiliki proses perhitungan kecukupan modal dan alokasinya untuk
menutupi risk exposure

Back 22
 3. Komponen Control Activities
1 Inf/Tranx Processing – Terdapat pengaturan proses otorisasi transaksi dan pelaksanaannya sudah sesuai dengan
Authorization aturan.
2 Inf/Tranx Processing – Terdapat ketentuan yang mengatur mengenai proses evaluasi dalam penanganan transaksi
Completeness secara lengkap dan pelaksanaannya telah sesuai dengan aturan.
3 Inf/Tranx Processing - Terdapat pengaturan mengenai evaluasi atas akurasi data transaksi dan pelaksanaannya
Accuracy of Data sudah sesuai dengan aturan.
4 Inf/Tranx Processing – Terdapat pengaturan mengenai evaluasi atas ketepatan waktu dalam penanganan
Timeliness : transaksi dan pelaksanaannya sudah sesuai dengan aturan.
5 Inf/Tranx Processing - Terdapat ketentuan yang mengatur bahwa proses penanganan transaksi harus dilakukan
Continuity secara kontinyu (berkesinambungan) dan pelaksanaannya sudah sesuai dengan aturan
6 Controls over IS - Data Terdapat mekanisme kontrol dalam penanganan operasional data centre dan
Centre pelaksanaannya sudah sesuai dengan aturan.
7 Controls over IS - Terdapat mekanisme kontrol dalam penanganan sistem operasi dan pelaksanaannya sudah
Operating Systems sesuai dengan aturan.
8 Controls over IS - Access Terdapat mekanisme kontrol dalam penanganan akses terhadap sumberdaya system
Security (access security) dan pelaksanaannya sudah sesuai dengan aturan
9 Controls over IS - IT Terdapat mekanisme kontrol dalam penanganan disaster recovery dan pelaksanaannya
Disaster Recovery sudah sesuai dengan aturan.
10 Controls over IS - Terdapat mekanisme kontrol dalam perubahan sistem parameter (system rules) dan
System Rules pelaksanaannya sudah sesuai dengan aturan.
11 Controls over IS - Terdapat mekanisme kontrol terhadap pengiriman/perpindahan data secara otomatis antar
Automated File Feed aplikasi atau konputer. Pelaksanaan mekanisme kontrol sudah sesuai dengan aturan

Back 23
.
•:
 3. Komponen Control Activities
12 Control over IS – Terdapat mekanisme kontrol terhadap penulisan, perubahan dan penghapusan file log aktivitas user dalam
System Log menggunakan sistem dan pelaksanaannya sudah sesuai dengan aturan.
13 Control over IS – Terdapat mekanisme kontrol terhadap aktivitas pengembangan sistem mulai dari pendefinisian kebutuhan,
System pengkodean, pengujian dan migrasi aplikasi hasil pengembangan ke lingkungan produksi dan pelaksanaannya
development : sudah sesuai dengan aturan.
14 Control over IS – Terdapat mekanisme kontrol terhadap komunikasi data antar data center, personnel, aplikasi, perangkat keras
Computer atau antara Bank dengan pihak eksternal menggunakan jaringan komputer milik Bank atau milik penyedia jasa
networking layanan komunikasi data. Implementasi atas aktivitas ini sudah sesuai dengan aturan.
15 Control over IS – Terdapat mekanisme kontrol terhadap input, proses dan output dari aplikasi. Pelaksanaan aktivitas ini sudah
Application System sesuai dengan aturan.
16 Development of Terdapat pengaturan dalam pengembangan pengukuran kinerja dan pelaksanaannya sudah sesuai dengan
Perform. Measures aturan.
17 Direct Function or Terdapat pedoman yang mengatur pengelolaan aktivitas operasional sesuai dengan fungsinya dan
Activity Mgt pelaksanaannya telah sesuai dengan aturan.
18 Analysis Terdapat pengaturan atas proses analisa data yang akan digunakan dalam setiap pengambilan keputusan dan
pelaksanaannya telah sesuai dengan aturan.
19 Physical Safeguard Terdapat pengaturan mengenai pengelolaan fisik aset bank, dan pelaksanaannya telah sesuai dengan aturan.
Controls
20 Segregation of Terdapat pemisahan fungsi dan tanggung-jawab dalam organisasi dan pelaksanaannya sudah sesuai dengan
Duties aturan.
21 Efficiency And Terdapat ketentuan operasional yg mengatur mengenai efisiensi & efektivitas penanganan transaksi. .
Effectiveness : Pelaksanaannya, sudah sesuai dengan aturan.
22 Utilisation of Terdapat ketentuan yang mengatur penggunaan sumberdaya secara efisien dan pelaksanaannya telah sesuai
Resources dengan aturan .

Back 24
.
•:
4. Komponen Information & Communication

1 Management Communication Process : Proses komunikasi pada tingkat manajemen telah dijalankan dengan
baik.

2 Information Tranf. and Dissemination Informasi yang relevan telah diindentifikasi dan dikomunikasikan
dengan baik, sehingga dapat memudahkan pihak yang berkepentingan
melaksanakan tugas-tugas yang menjadi tanggung-jawabnya
3 Strategic Communication Process : Proses komunikasi yang bersifat strategis telah dijalankan dengan baik.

4 Communication of Objectives to the Tujuan organisasi pada setiap tingkatan (level) organisasi telah
Organization dikomunikasikan dengan baik.

5 Periodic Status Meetings Diskusi secara berkala telah dilakukan untuk meyampaikan informasi
atas hal-hal penting dan statusnya.
6 Informasi mengenai pencapaian kinerja telah disampaikan kepada next
•Upward Flow of Performance Information higer authority.

Back 25
5. Komponen Monitoring

1 Ongoing Monitoring : Terdapat proses monitoring secara terus-menerus (ongoing) terhadap

kualitas kerja melalui fungsi supervisi dan aturan yang jelas.

2 Continuous Improvement Activities : Upaya perbaikan dalam proses operasional dilakukan secara terus-
menerus.

3 Deficiency Reporting Mechanisms : Memiliki mekanisme pelaporan atas terjadinya kekurangan, seperti
laporan penyimpangan. Hal ini telah dilakukan secara konsisten sesuai
ketentuan

4 Monitoring Corrective Action : Memiliki sistem monitoring atas perbaikan proses operasional yang
telah dilakukan.

5 Melaksanakan proses rekonsiliasi untuk meyakinkan akurasi data

Reconciliation : keuangan dan non-keuangan

Back 26
 6. Komponen Objective/Strategic

1 Setting of Objectives and Goal : Terdapat tujuan dan target kerja yang jelas dan terukur.

2 Measurement and reporting of the Terdapat pengukuran terhadap pemenuhan/pencapaian target dan
accomplishment of objectives and goals : telah dilaporkan kepada pihak yang berwenang

3 Control Mechanism to monitor actual Terdapat mekanisme kontrol untuk mengukur kinerja dibandingkan
performance against budget : dengan budget dalam periode tertentu.

Back 27
Audit Rating: Mapping/Persamaan Persepsi GIAD & ROCA
RATING GROUP ROCA
Rating Penjelasan Rating Penjelasan
Low Risk - Baik dalam semua hal Execellent - Pengendalian internal telah berfungsi sangat efektif dan
berkesinambungan.
- Kinerja, pengendalian intern & manajemen risiko dinilai - Sangat mampu mengelola risiko yang ada dalam aktifitasnya
kuat dan secara konsisten mematuhi Kebijakan dan Prosedur baik
internal maupun eksternal.
- Tidak memiliki hal-hal yang harus diperhatikan.
- Kekurangan yang dideteksi hanya memiliki dampak
kecil dan dapat dikoreksi dengan mudah.
- Manajemen mengetahui kekurangannya & bersikap
proaktif untuk menyelesaikan temuan audit.
Moderate - Pengendalian intern secara umum cukup. Good - Pengendalian internal telah mencukupi dan berjalan secara
Risk efektif.
- Terdapat beberapa kekurangan kecil yang masih dapat
diatasi Manajemen.
- Secara umum patuh terhadap kebijakan, prosedur, - Mampu mengelola risiko yang ada dalam aktifitasnya dan
hukum dan ketentuan yang berlaku. telah mematuhi Kebijakan dan Prosedur baik internal maupun
eksternal, walaupun masih terdapat pelanggaran yang tidak
signifikan.
- Pelaksanaan pengendalian intern & manajemen risiko
secara umum cukup

28
Audit Rating: Mapping/Persamaan Persepsi GIAD & ROCA
RATING GROUP
Rating Penjelasan
Above - Ada kelemahan dari skala sedang ke parah,
Average
Risk - Rentan terhadap kondisi bisnis/operasional yang buruk
& akan menjadi serius bila tidak segera ditangani .
- Sering tidak mematuhi kebijakan, prosedur, hukum dan
ketentuan.
- Pengendalian intern & manajemen risiko kurang
mencukupi
High Risk Kinerja, pengendalian intern & manajemen risiko buruk, Below - Belum mampu mengelola risiko yang ada dalam aktifitasnya
dalam hal :
- Banyak kelemahan finansial yang serius,
- Tidak patuh terhadap kebijakan, prosedur, hukum, &
ketentuan
- Kelemahan pengendalian intern yang sangat lemah.
- Memiliki risiko signifikan bagi perusahaan dan
kemungkinan terjadinya kegagalan sangat tinggi.
ROCA
Rating Penjelasan
Marginal - Pengendalian internal cukup berjalan efektif, namun masih
belum konsisten dilaksanakan.
- Cukup mampu mengelola risiko yang ada dalam aktifitasnya,
namun pelanggaran terhadap Kebijakan dan Prosedur baik
internal maupun eksternal terjadi berulangkali sehingga
memerlukan tindak perbaikan.
marginal dan pelanggaran terhadap Kebijakan dan Prosedur baik
internal dan eksternal terjadi secara signifikan dan
berulangkali sehingga membutuhkan perbaikan secara
keseluruhan dan secepatnya.
- Pengendalian internal yang ada tidak mencukupi dan belum
berfungsi dengan baik.
Poor - Pengendalian internal belum diterapkan.
- Tidak mampu mengelola risiko yang ada dalam aktifitasnya
dan pelanggaran terhadap Kebijakan dan Prosedur baik
internal dan eksternal yang terjadi bersifat sistemik dan
signifikan sehingga membutuhkan tindak perbaikan secara
mendasar dan secepatnya.
Back
29
Audit Rating: Mapping/Persamaan Persepsi GIAD & Opr. Rating
RATING GROUP Operation Cabang
Rating Penjelasan Rating Penjelasan
Low Risk - Baik dalam semua hal Satisfactory Mencerminkan manajemen kantor cabang
tergolong baik dan mampu mengelola risiko dalam
aktivitasnya.
- Kinerja, pengendalian intern & manajemen risiko Manajemen kantor cabang telah mematuhi
dinilai kuat kebijakan risiko serta menunjukkan peran proaktif
dalam menerapkan sistem pengawasan melekat
(built in control ).
- Tidak memiliki hal-hal yang harus diperhatikan.
- Kekurangan yang dideteksi hanya memiliki
dampak kecil dan dapat dikoreksi dengan mudah.

- Manajemen mengetahui kekurangannya &

bersikap proaktif untuk menyelesaikan temuan
audit.
Moderate Risk - Pengendalian intern secara umum cukup. Fair Mencerminkan bahwa manajemen kantor cabang
tergolong cukup baik mengelola risiko dalam
aktivitasnya.
- Terdapat beberapa kekurangan kecil yang masih Manajemen kantor cabang telah mematuhi
dapat diatasi Manajemen. kebijakan risiko, namun masih terdapat beberapa
penyimpangan yang tidak signifikan dan
memerlukan tindakan perbaikan.
- Secara umum patuh terhadap kebijakan,
prosedur, hukum dan ketentuan yang berlaku.
- Pelaksanaan pengendalian intern & manajemen
risiko secara umum cukup

30
Audit Rating: Mapping/Persamaan Persepsi GIAD & Opr. Rating
RATING GROUP Operation Cabang
Rating Penjelasan Rating Penjelasan
Above Average - Ada kelemahan dari skala sedang ke parah, Unsatisfactory
Risk - Rentan terhadap kondisi bisnis/operasional yang
buruk & akan menjadi serius bila tidak segera
ditangani .
- Sering tidak mematuhi kebijakan, prosedur, Mencerminkan bahwa manajemen kantor cabang
hukum dan ketentuan. tergolong tidak baik dalam mengelola risiko yang
ada dalam aktivitasnya.
- Pengendalian intern & manajemen risiko kurang
mencukupi
High Risk Kinerja, pengendalian intern & manajemen risiko
buruk, dalam hal :
- Banyak kelemahan finansial yang serius,.
- Tidak patuh terhadap kebijakan, prosedur, Manajemen kantor cabang secara umum tidak
hukum, & ketentuan mematuhi kebijakan risiko dan operasional bank
sehingga diperlukan tindakan perbaikan segera.

- Kelemahan pengendalian intern yang sangat

lemah.
- Memiliki risiko signifikan bagi perusahaan dan
kemungkinan terjadinya kegagalan sangat tinggi.

Back
31
Audit Rating: Mapping Hasil Rating GIAD vs ROCA vs Opr Rating

No GIAD No ROCA No OPR BRANCH

1 Low Risk 1 Excellent 1 Satisfactory
2 Moderate Risk 2 Good 2 Fair
3 Above Average Risk 3 Marginal 3 UnSatisfactory
4 High Risk 4 Below marginal
5 Poor

Back
32
Audit Rating: Mapping GIAD baru vs GIAD lama

Mapping dengan
GIAD lama GIAD baru
rating GIAD lama

Rating Interval Interval Rating Rating

Strong GTEV < 5 GTEV ≤ 5 Low risk Strong

Satisfactory 5 ≤ GTEV ≤ 20 5 < GTEV ≤ 20 Moderate risk Satisfactory

Fair 20 < GTEV ≤ 30 Above average

20 < GTEV ≤ 40 Unsatisfactory
risk

Unsatisfactory 30 < GTEV < 65 40 < GTEV High risk Weak

Weak 65 ≤ GTEV

33
Audit Rating: Mapping Definisi GIAD baru vs GIAD lama
RATING GROUP BARU
Rating Penjelasan
Low Risk - Baik dalam semua hal
- Kinerja, pengendalian intern & manajemen
risiko dinilai kuat
- Tidak memiliki hal-hal yang harus
diperhatikan.
- Kekurangan yang dideteksi hanya memiliki
dampak kecil dan dapat dikoreksi dengan
mudah.
- Manajemen mengetahui kekurangannya &
bersikap proaktif untuk menyelesaikan
temuan audit.
Moderate Risk - Pengendalian intern secara umum cukup.
- Secara umum patuh terhadap kebijakan,
prosedur, hukum dan ketentuan yang berlaku.
- Pelaksanaan pengendalian intern &
manajemen risiko secara umum cukup
- Terdapat beberapa kekurangan kecil yang
masih dapat diatasi Manajemen.
RATING GROUP LAMA
Rating Penjelasan
Strong Exellent internal contols and good
business practice. No exception detected.
Satisfactory Reasonable assurance that overall internal
controls are adequate and effective.
Operational processes performed were
generally in compliance with established
policies and procedures, although certain
existing procedures could be enhanced to
improve efficiency. Action should be taken
as time and resources permit.
Fair Internal control were generally adequate
except for certain issues where corrective
action is required to help ensure improved
control and compliance with policies and
procedures. Management should be
deficiencies identified promptly.
34
Audit Rating: Mapping Definisi GIAD baru vs GIAD lama
RATING GROUP BARU RATING GROUP LAMA
Rating Penjelasan Rating Penjelasan
Above Average - Ada kelemahan dari skala sedang ke parah, Unsatisfactory Internal control were inadequate and
Risk significant corrective action is needed to
ensure improved internal control and
- Rentan terhadap kondisi bisnis/operasional
compliance with established policies and
yang buruk & akan menjadi serius bila tidak
procedures. Management must correct all
segera ditangani .
deficiencies immediately.

- Sering tidak mematuhi kebijakan, prosedur,

hukum dan ketentuan.
- Pengendalian intern & manajemen risiko
kurang mencukupi
High Risk Kinerja, pengendalian intern & manajemen Weak Critical internal control deficiencies and
risiko buruk, dalam hal : significant non-compliance with policies and
procedures. An urgent corrective action must
- Banyak kelemahan finansial yang serius, be taken by Management to ensure the
internal control systems are in place.
- Tidak patuh terhadap kebijakan, prosedur,
hukum, & ketentuan
- Kelemahan pengendalian intern yang sangat
lemah.
- Memiliki risiko signifikan bagi perusahaan
dan kemungkinan terjadinya kegagalan sangat
tinggi.

35
Kesimpulan

1. Memperkecil judgement dalam proses rating temuan hasil audit

2. Jumlah & signifikansi temuan audit mencerminkan eksposur risiko
3. Memperhitungkan repeated /common findings
4. Menjelaskan kelemahan internal control (COSO) dan major risk (8
risiko BI)
5. Sistem rating dapat digunakan untuk kegiatan audit pada semua
auditable entity.

Back
36
Rekomendasi

1. Sistem COSO rating dapat digunakan pada tahun 2010

menggantikan sistem rating yang saat ini digunakan, untuk
menyamakan pendekatan secara regional.
2. Manajemen dapat memperoleh informasi kelemahan internal control
dan major risk dari hasil audit (audit rating)

Back
37
Perbandingan Risiko

ROCA Risiko BI
1. Strategic Risk 1. Credit Risk
2. Credit Risk 2. Market Risk
3. Interest Rate Risk 3. Liquidity Risk
4. Liquidity Risk 4. Operational Risk
5. Market/Price Risk 5. Legal Risk
6. Forex Risk 6. Reputation Risk
7. Reputation Risk 7. Strategic Risk
8. Legal Risk 8. Compliance Risk
9. Soverign Risk
10.Transaction Risk

Back 38