Ringkasan dokumen:
1) Dokumen tersebut membahas implementasi Enterprise Risk Management (ERM) dan pengendalian internal di Telkom.
2) Telkom telah menerapkan kerangka kerja manajemen risiko COSO dan memiliki departemen khusus untuk memfasilitasi implementasi ERM.
3) Telkom melakukan penilaian risiko secara berkala di tingkat korporat dan unit bisnis untuk memetakan profil risiko perusahaan.
4. Dewan Komisaris & Direksi
Komisaris Utama :
Jusman Syafii Djamal
Komisaris / Komisaris Independen :
Parikesit Suprapto
Virano Nasution
Johnny Swandi Sjam
Hadiyanto
Gatot Trihargo
Direktur Utama :
Arief Yahya
Direktur :
Muhammad Awaluddin
Indra Utoyo
Sukardi Silalahi
Ririek Adriansyah
Priyantono Rudito
Rizkan Chandra
Honesti Basyir
5. Instruksi Pemerintah RI
Telkom At a Glance
1 Fortune 500
Besarkan Telkom jadi perusahaan
terkemuka di ASEAN, masuk
Fortune 500
2 Blue Chip
Perusahaan Blue Chip di pasar
Saham
3 Broadband
Bangun infrastructure broadband
yang unggul di Indonesia sebagai
wahana integrasi Bangsa
1 Existence of The Nation
Memperkuat ketahanan
Nasional
2 Engine of Growth
Garda Depan Lokomotif
Pertumbuhan Ekonomi
Nasional
3 Emperor of the Region
Ekspansi dan Bersaing di Pentas
Global
Strictly
Confidential
5
6. Telkom Journey
Telkom At a Glance
1
Vision (2000-2007):
“To Become a Dominant InfoCom Player in the Region”
We transform……..
2
Vision (2007-2011):
“To Become a Leading Telecommunication, Information, Media,
Edutainment (TIME ) Player in the Region”
We are now..……..
3
Vision (2012--:
“To Become a Leading Telecommunication, Information, Media,
Edutainment & Services (TIMES )Player in the Region”
TIMES
COMPANY
Strictly
Confidential
6
7. Kepemilikan Saham
Telkom At a Glance
Public
Government
53.86%
46.14%
Consolidated
100%
VSAT
65%
Cellular
Business
100%
Tower
Business
60%
60%
e-Commerce
e-Payment
100%
Premise
Integration
Unconsolidated
100%
100%
Construction
&
Maintenance
100%
ITO, VAS
Man Apps
75%
e-Health
IT Service
Integration
25%
100%
51%
100%
65%
100%
Property
Business
100%
MVNO
29%
MVNO
100%
Cellular
55% 51%
TLT
Property Dev
& Man
GYS
Australia
100%
BPO
ISH
BPO Offshore
Printing & Publishing BPO PJTK
22.38%
VSAT
Satellite
Strictly
Confidential
International
Business
Premise
Integration
100%
100%
100%
Portal &Digital Music
BPO/KPO Digital
Advertising
e-Commerce
100%
100%
IT Service
Integration
IME
Holding
100%
5%
Fixed Line
2.11%
Telco Construction
and Maintenance
41%
e-Trade/ e-Logistic
Supply Chain
Management
7
8. Services
TELKOM’s
Por,olio
Business
:
TIMES
PERSONAL
CONSUMER/HOME
SME
LARGE ENTERPRISE
Wholesale
Interna>onal
Telecommunication
Information
Media & Edutainment
POTS
Premise Integration Services
Media
FWA
VAS, Managed App &
Performance/ITO
Online Business
Mobile / Cellular
International Services
Fixed Broadband
Network Services
Tower
E-Payment
ITeS (BPO, KPO, e-health)
10. Telkom’s
GCG
Framework
pa
n
ka
ng
id
an
Pe
ng
u
da
n
er
in
ta
h
as
un
ik
Komisaris
Direksi
Transaksi
Internal
Transaksi
Eksternal
Komite
Sekretaris Perusahaan
Etika
Bisnis
Manajemen
Risiko
Kepemimpinan
yang Efektif
an
Ko
m
ld
ld
Pemegang Saham
Kejelasan
Tugas dan
Tanggung
Jawab
an
an
ng
l
l
an
na
na
ua
er
er
K
Ke
st
E
Ek
a
na
rn
er
te
n
In
m
i
it
Pe
d
d
A
Au
Visi &
Misi
s
s
ta
ita
ni
un
om
Ko
Re
gu
la
to
r
Investor
Kebijakan
& Prosedur
Pengawasan &
Pengendalian Internal
Kemampuan
Manajemen dan
Kompetensi
Karyawan
Evaluasi
Penghargaan
Kinerja yang
dan Pengakuan
Efektif
Pengukuran dan Pertanggungjawaban
Pelaku Bisnis dan Lingkungan Bisnis
Manajemen Risiko sebagai bagian tidak terpisahkan dari Pengelolaan GCG
11. Systematic
approach
in
building
business
sustainability
Integrasi Performance – GRC – CSR dalam membangun sustainability
Sustainabl
e
Competitiv
e Growth
12. Long
Journey
...
Governance
Risk
Compliance
Development
Downside
Risk
Downside
&
Upside
Risk
2015
2014
2003
ICoFR SOX Compliance
2006
Setup ERM Policy
2013
ERM
OPTIMIZED
LEVEL
(Advanced)
ERM
OPTIMIZED
2012
LEVEL
2007
Setup Direktorat CRM
ERM
(Initial)
Analisa
risiko
QUANTIFIED
Dioptimalkan
2011
LEVEL
Untuk
menjaga
ERM
Daya
saing
DEFINED
LEVEl
Strategis
2010
Tingkat
kepercayaan
Memastikan
Atas
analisa
risk
Pengelolaan
risiko
Seluruh
keputusan
2009
Pengelolaan
risk
Management
Dan
kepatuhan
Based
on
analisa
Management
Sangat
tinggi
Berjalan
cukup
Menjadikan
risiko
Terintegrasi
efektif
Pengelolaan
risiko
Perhitungan
Memastikan
Sebagai
budaya
Inisiasi
perhitungan
Kuantitatif
menjadi
Penerapan
yang
melekat
Kuantitatif
kekuatan
Pengelolaan
risiko
Secara
disiplin
13. What is a Risk ... ?
“the chance of something happening that will have an impact upon objectives.”
(The Australian/New Zealand Standard for Risk Management)
“the possibility that an event will occur and adversely affect the achievement of
objectives” (COSO ERM Framework)
“any event which is likely to adversely affect the ability of the organization
to achieve the defined objectives” (Method 123)
“the possibility of suffering injury, damage or loss or uncertainty about achieving a
certain outcome”
(Martin C. Leinweber - Managing Director CERMAS, Risk and the Audit Committee)
Risiko adalah segala kemungkinan kejadian dalam aktivitas perusahaan
yang berpotensi menghambat pencapaian tujuan perusahaan
OBJECTIVE à UNCERTAINTY EVENT à NEGATIF IMPACT (RISK)
Risiko adalah kemungkinan adanya kejadian yang ditimbulkan oleh
ketidakpastian di masa datang dan dapat menimbulkan dampak
negatif (risk) maupun positif (opportunity) bagi perusahaan
14. Konsep Problem Vs Risk
Problems/Crisis
Risks
• Terjadi saat ini
• Akibat dari keputusan/aktivitas yang lalu
Past
• Potensial Problem
• Akibat dari keputusan/aktivitas saat ini
Present
Problem
Decisions/
Activities
Future
Action
Crisis/Problem Management
Action
Risk Management
Decisions/
Activities
Risk
• No surprise
• Objectives
achievement
• ERM bertujuan agar risk yang mungkin terjadi di masa datang dapat diantisipasi sejak
saat pengambilan keputusan, agar kemungkinan terjadinya diperkecil dan/atau
dampaknya bila terjadi dapat diperkecil, sehingga tujuan dari keputusan yang diambil
bisa diraih.
• Crisis/Problem Management is not Risk Management
15. COSO
ERM
Framework
Ø Implementasi ERM harus mendukung pencapaian
objective perusahaan yang dikelompokkan dalam
konteks :
§ Strategic : ‘high-level goals’ dan keseluruhan
strategi perusahaan
§ Operations : efisiensi dan efektivitas
penggunaan sumberdaya dan sistem
proteksi / pengamanannya
§ Reporting : menjamin akurasi dan reliabilitas
pelaporan
§ Compliance : menjamin kepatuhan terhadap
seluruh regulasi dan hukum yang berlaku
Ø COSO ERM Framework memiliki 8 komponen
proses generik yang saling berhubungan
Ø ERM harus meliputi aktivitas di seluruh level
organisasi (Entity, Division, Business Unit &
Subsidiary)
17. Aspek Struktural – Operational - Perawatan ...
Aspek
Struktural
•
•
•
•
•
•
Membangun Komitmen, Tone at the top
Meletakkan pondasi manajemen risiko dalam kerangka GCG
Membentuk Departemen CRMGA (fasilitator implementasi ERM)
Pengembangan Kebijakan, Pedoman, Tata Kelola
Pengembangan Kompetensi, Tools, System
Pengembangan Risk Management untuk Scope Spesifik
(Business Inisiatif, Asset Protection, Revenue Assurance, dsb)
Aspek
Operasional
•
•
•
•
Risk & Control Self Assessment (RCSA) Guidance
Penetapan Risk Acceptance Criteria (RAC) Guidance
Pelaksanaan Risk Assessment Corporate, Unit & Subsidiary
Implementasi Tools / system / aplikasi pendukung
Aspek
Perawatan
•
•
•
•
•
Review, monitoring & Risk Reporting
Audit implementasi Enterprise Risk Management
Menjaga kontinuitas Pengembangan Kompetensi
Menjaga konsistensi Komunikasi & Sosialisasi
Pengembangan mekanisme penilaian kualitas implementasi ERM
ü Risk Management Index
ü Risk Culture Survey
ü Pengukuran Risk Maturity Level
18. RouKne
Risk
Assessment
&
Monitoring
Agenda
Pelaksanaan
Risk
Assessment
Corporate
&
Business
Unit
Jadwal
& Agenda
Unit
Pelaksana
Metode
Output
Maret-April
September
Jan-Peb
Apr, Juli, Okt, Jan
Long Term Planning (CSS)
Risk Assessment
Annual Corporate
Risk Assessment
Annual Unit
Risk Assessment
Review / Monitoring
Update Risk Profile
Unit Risk Mgmt
Corporate
Unit Corp Strategic
Planning
Unit Risk Mgmt
Corporate
All Unit & Subsidiary
RM function
Focus Group Discussion Workshop & One on One
Observasi & Benchmark
Discussion
Faktor Risiko Perusahaan
Pada Corporate Strategic
Schenario (CSS)
TELKOM Risk Profile
All Unit &
Subsidiary RM
function
Unit Risk Mgmt
Corporate as
Consultant
FGD di tiap unit
RM Corporate as
consultant
Unit & Subsidiary
Risk Profile
Unit Risk Mgmt
Corporate
All Unit & Subsidiary
RM function
One on One
Discussion
Risk Management
Review & Report
19. Departemen CRMGA - Positioning
PLANNING
Strategic Plan
Annual Plan
M&A Plan
dsb
COMPANY OBJECTIVE
Non Organic Activities
A & A Corporate Action
Organic Activities
DEVELOPMENT
OPERATION
SALES & SERVICE
Product & Service
Infrastructure
Network, IT, Billing, Marketing, Sales,
dsb
Service
SUPPORT
Finance, Human Resources, Logistik, Legal, dsb
EXTERNAL RISK FACTORS
Regulasi, Teknologi, Kompetisi, Ekonomi
Politik, Sosial, Natural, Customer Fraud
Business Objective :
• Revenue,
• EBITDA,
• Net Income
• Customer Based
Others Objective :
• Compliance
• Competence
• Award, dsb.
INTERNAL RISK FACTORS
Network / IT Failure, Revenue leakage, compliance
HR, Legal risk, dsb
DEPARTEMEN COMPLIANCE, RISK MANAGEMENT & GENERAL AFFAIR SUPPORT
GENERIC FUNCTION SUPPORT
Policy Enhancement,
Business Process & Internal Control
Enterprise Risk Management
Enterprise Quailty Management
Strategic Business Risk Review
SPESIFIC FUNCTION SUPPORT
Insurance Management,
Business Continuity Mgmt,
Revenue Assurance & Fraud Mgmt,
Security & Safety Management,
20. ERM
Value
Detail Objective & Activities
Compliance
Revenue
Assurance
Asset Protection
Decision Making
Business
Objective
Objective
Kepatuhan atas
aturan internal,
regulasi dan SOX
compliance
Pencegahan &
Penanganan
Leakage & Fraud
Proteksi Asset &
Continuity
Prudent & No
Surprise
Pemastian
mitigasi & early
warning
Type
Rutin & Insidental
Rutin & Insidental
Rutin & Insidental
Rutin & Insidental
Rutin & Insidental
Jenis Aktivitas
(1) ICoFR Risk
Assessment,
(2) Generic ERM
Implementation
(3) Corporate
Fraud Risk
Assessment
(1) Revenue
Assurance Mgmt
(2) Customer
Fraud Risk
Management
(1) Insurance
Mgmt
(2) Disaster
Recovery Plan
(3) Health &
Safety
(4) Physical
Security
(5) Non Physical
Security
(6) Technical Risk
Assessment
(1) Six-EyesPrinciple
(2) Risk Reviewer
(1) Corporate
Strategic Risk
Assessment,
(2) Corporate &
Business Risk
Assessment,
(3) Sensitivity
Analysis,
(4) Early Warning
Metodologi, Policy, Prosedur, IT Tools
23. Why TELKOM Must Comply ?
SEC
Policies,
Regulations,
Rules
Comply
n As one of foreign public
listed companies in
NYSE since 1995 PT
Telkom should also
comply with all SEC
rules and regulations,
including SOX.
n Since 2003, PT Telkom
has implemented SOX
302 & 906 by providing
annual certification.
24. Why did SOX Happen?
Dilatarbelakangi oleh kasus Enron, WorldCom, Tyco …
Lesson learn:
US SEC
•
•
•
•
12/2001 – Enron
06/2002 – Arthur Andersen and WorldCom
01/2002 Global Crossing
12/2004 Kmart and Tyco
terpanggil untuk
melindungi
investor
Para shareholder (investor) kemudian berpersepsi
bahwa “tidak menutup kemungkinan FRAUD DAN
KECURANGAN LAPORAN KEUNGAN terjadi juga
diperusahaan publik lainnya?”
Menyerahkan sepenuhnya kepada
auditor, juga standard audit yang
ada dipandang memiliki
keterbatasan bahwa : “tidak cukup
mampu” untuk mencegah
terjadinya fraud di Perusahaan.
Apa yang harus dilakukan perusahaan?
Manajemen harus berperan
aktif menjalankan
pengendalian internal
(internal Control)
untuk
mencegah potensi
terjadinya ERROR &
FRAUD diperusahaannya
25. Message (SOX)
• Increase the accountability of management of public companies
• Improve corporate governance
• Restore investor confidence in the capital markets
26. Telkom systematic approach in building business sustainability
Integrasi Performance ; GRC ; CSR dalam membangun sustainability
Sustainable
Competitive
Growth
27. Prinsip Audit
• Audit dalam hal ini adalah membandingkan kriteria vs kondisi
• ICOFR meminta manajemen untuk menyampaikan :
1. Dokumentasi internal control
2. Evidential matter
§ Sebelumnya lebih ke Finansial Audit > Penekanan audit adalah audit atas HASIL
> Integrated Audi “Audit atas PROSES
dan HASIL yang terintegrasi (Financial
Audit dan ICOF Audit yang terintegrasi)
§ Dua Pendekatan audit ICOFR
> Walk trough & Test of Control (TOC)
§ Proses Audit
> Interim Audit & Year End Closing Audit
§ Ruanglingkup audit
> ELC, TLC dan IT Control
28. SOX 302 - SOX 404 - Risk Mgt.
• Public expose
• Press release
• Info memo
• Investor update
• Company profile
• Company website,dll
• SOX 302 (Disclosure Control Procedure)
• SOX 404 (Internal Control Over Financial Reporting)
29. What should TELKOM do?
n Mendesain internal control (Mencakup Telkom
Group termasuk Anak Perusahaan konsolidasian)
n Menjalankan internal control
n Melakukan self assessment dan menyatakan
hasilnya dalam 20F
n Memperoleh atestasi atas hasil audit laporan
keuangan dan audit ICOFR dari external auditor
n Melakukan remediasi atas control deficiencies
30. Telkom use COSO Internal Control Framework
Best practice
Tujuan/Sasaran
•
Improve efektivitas dan efisiensi operasi
•
Improve KEHANDALAN PELAPORAN KEUANGAN
•
Improve kepatuhan/ketaatan organisasi
Evaluasi & Implementasi
Entitas ; Unit Bisnis ; Transaksi / Process
q Tingkat Entitas (ELC)
Pengendalian yang memiliki dampak menyebar dan
dapat mempengaruhi efektifitas pelaksanaan
pengendalian di tingkat transaksional
Komponen
1. Control environment
2. Risk Assessment
3. Control Activities
4. Information & Communication
5. Monitoring
Source: Internal Control-Integrated Framework COSO
q Tingkat Transaksi / Aplikasi / Proses (TLC)
Pengendalian yang dilakukan pada setiap proses
aktivitas organisasi dalam bentuk otorisasi, verifikasi,
rekonsiliasi dan kegiatan lainnya seperti upaya
pencegahan terjadinya kesalahan / kecurangan dan
upaya pengamanan aset.
31. COSO Internal Control Framework
Best practice
Component
Control
Environment
Risk
Assessment
Principles
• Integrity and ethical values
• Important of BoC / Audit Committee
• Management philosophy & operating style
• Organizational structure
• Commitment to competence
• Authority and responsibility
• HR policies and procedures
• Financial Reporting Objectives
• Financial Reporting Risk
• Fraud Risk
Control Activities
• Integration with Risk Assessment
• Selection and Development of Control Activities
• Policies and Procedures
• Information Technology
Information &
Communication
• Financial Information
• Internal Control Information
• Internal Communication
• External Communication
Monitoring
• Ongoing monitoring & separate evaluations
• Reporting deficiency
• Inisiatif Manajemen ?
• Inisiatif Manajemen ?
• Inisiatif Manajemen ?
• Inisiatif Manajemen ?
• Inisiatif Manajemen ?
• ……
32. SOX and Related Control Frameworks
Best practice
Sarbanes-Oxley Act of 2002
SEC define rules for
corporation
PCAOB define
standard for auditors
SEC Rules
PCAOB Standards
Suggest COSO
COSO Framework
Suggest IT Framework
Suggest IT Framework
COBIT
33. Classification of ICOFR
Entity Level Control
Is a process designed by or under control management
monitoring to realize the environment that have
pervasive impact on the effectiveness of controls at the
process, transaction or application level
Transactional Level Control
• The objective of an process/transactional level
control is to achieve a specific objective.
• Generally relates to individual business locations or
business processes
IT Control
• The information technology processes and related
controls that are applied above the computer
application level
• IT controls are controls that exist above and around
the computer application, which are designed to:
– Ensure that changes to applications are properly
authorized, tested, and approved before they are
implemented, and
– Ensure that only authorized persons and applications
have access to data, and then only to perform
specifically defined functions (e.g., inquire, execute,
update).
35. Tahapan Umum Perancangan
1
Process Scoping/Identification
2
Financial
Statements
3
Control Design
?
Significant
Account
Inherent and
Key Business
Risk
Risk Identification&
Assessment
Managements
F/S Assertions
Significant
Processes
what can go
wrong
controls
monitor
• Menentukan tingkat materialitas
• Menentukan akun dan pengungkapan yang signifikan
• Menentukan asersi keuangan yang relevan dengan
akun dan pengungkapan yang signifikan
• Menentukan kelompok transaksi dan proses terkait
dengan akun dan pengungkapan yang signifikan
(termasuk aplikasi terkait)
• Memetakan proses dan lokasi dengan akun dan
pengungkapan yang signifikan
38. Hal-hal yang harus diperhatikan
q Kontrol harus dapat memitigasi
risiko yang telah diidentifikasi
q D a p a t d i t e r a p k a n a t a u
dijalankan di operasional
(applicable)
q D a p a t d i b u k t i k a n a t a u
diverifikasi
(untuk keperluan
evaluasi pelaksanaannya).
39. FINANCIAL ASSERTIONS
(control
objectives),
Existence or Occurrence
KEBERADAAN ASET, KEWAJIBAN, DAN KEPEMILIKAN tercatas sesuai tanggal
kejadian dan transaksi tersebut merupakan peristiwa yang benar-benar terjadi selama
periode tertentu.
Contoh : persediaan barang jadi pada neraca adalah tersedia untuk dijual.
Completeness
Semua transaksi, peristiwa dan kejadian yang terjadi selama jangka waktu tertentu, maka
harus DIAKUI DALAM PERIODE TERTENTU, BENAR ADANYA, SESUAI KEJADIAN
SEBENARNYA DAN TELAH DICATAT. Contoh : semua retur penjualan telah dicatat.
Valuation or Allocation
Aset, kewajiban, pendapatan, dan beban DICATAT DENGAN JUMLAH YANG TEPAT
SESUAI DENGAN PRINSIP AKUNTANSI YANG RELEVAN DAN TEPAT.
Contoh : piutang usaha termasuk dalam neraca disajikan sebesar nilai realisasi.
Rights and Obligations
ASET , HAK DAN KEWAJIBAN ADALAH KEWAJIBAN PERUSAHAAN PADA
TANGGAL TERTENTU.
Contoh: jumlah yang dicatat sebagai kapitulasi biaya sewa properti sesuai kewajiban sewa
yang merupakan kewajiban perusahaan.
Presentation and Disclosure
Item dalam laporan keuangan telah DIKLASIFIKASIKAN, DIJELASKAN, DAN
DIUNGKAPKAN DENGAN BENAR.
Contoh: komitmen jangka panjang diungkapkan dalam catatan kaki laporan keuangan
mereka.
40. Segregation of Duties
SOD [pemisahan tugas/fungsi] adalah pemberian tugas
dengan fungsi utama yang berbeda kepada orang yang
berbeda.
FUNGSI
DESKRIPSI
Custody of Asset
Upaya untuk melakukan perlindungan atas aset, meliputi :
perolehan, penggunaan dan penghapusan aset
Authorization of
Transaction
Memastikan transaksi dijalankan oleh orang sesuai wewenang
dan otoritasnya
Record Keeping
Menjaga keakuratan data atas aktivitas pencatatan, pemrosesan
atau pelaporan atas suatu transaksi yang berdampak terhadap
validitas nilai aset dan laporan keuangan perusahaan
Control Activity
Memastikan dilakukan pengendalian atas serangkaian aktivitas
untuk menjamin
keakuratan, kesesuaian serta kelengkapan
pencatatan transaksi
41. Benefit
q Investor trust, berpengaruh positif terhadap kepercayaan investor dan jangka
panjang dapat berpengaruh positif pada nilai saham
q Transparancy, perusahaan terbiasa untuk transparan juga menjadi tidak
sering “surprise”
q Financial reporting Quality, pelaporan Keuangan lebih tepat waktu dan
dapat diwujudkan
q Culture, meningkatkan tata nilai/budaya akan pentingnya pengendalian
internal
q Risk awareness, lebih peduli pada risiko dan meningkatkan kualitas komite
audit dan komite-2 manajemen diperusahaan
q Improve qulaity of process, memperbaiki proses mengarah pada efektifitas
dan efisiensi
q Governance, back to basic organization - bahwa pengendalian internal dan
audit internal sangat penting perannya bagi sukses perusahaan
q IT alignment, makin selaras pengelolaan IT dengan pengelolaan bisnis
q Discipline, memandu karyawan untuk tertib menjalankan proses
42. Insight
q Cost & Benefit,
implementasi SOX akan menimbulkan biaya dan bagi
perusahaan yang tidak wajib (harus) menerapkan SOX, tetap dapat
menerapkannya tentu dengan mempertimbangkan manfaat yang akan
diperoleh disamping biaya yang harus dikeluarkan
q SOX and Business alingment,
implementasi SOX seharusnya tidak
dipandang sebagai penghambat pencapaian kinerja, melainkan bagian dari
upaya perusahaan untuk menjamin kelangsungan kinerja (performance
sustainability growth).
q Commitment and discipline,
keberhasilan implementasi SOX sangat
ditentukan oleh komitmen manajemen, dan
disiplin karyawan dalam
mentaati kebijakan dan menjalankan proses
q Nature of control,
rancangan pengendalian internal dimungkinan
berbeda antara perusahaan satu dengan yang lain, karena sangat
bergantung pada kompleksitas bisnis dan organisasi masing-masing.