Manajemen Risiko Pusat Pengembangan Inte
Manajemen Risiko
Pusat Pengembangan Internal Audit | Yayasan Pendidikan Internal Audit
Pelatihan Audit Internal Tingkat Dasar – I I
Sertifikasi Qualified Internal Auditor (QIA)
1
Agenda
BAB I: Pendahuluan
BAB II: COSO dan Produk COSO
BAB III: Kerangka Manajemen Risiko
BAB IV: Penilaian Risiko
BAB V: Peran Audit Internal
2
BAB - I
Pendahuluan
3
Aktivitas Utama Manajemen
Risiko
1. Menetapkan selera risiko (risk appetite) organisasi selaras dengan
kapasitasnya dalam mengelola ketidakpastian... (Secara berkala
Risk Appetite harus ditinjau ulang, sesuaikan dengan perubahan
tingkat resiko bisnis).
2. Menyelaraskan pilihan dan strategi bisnis dengan selera risiko
organisasi... Mengevaluasi alternatif strategi, menetapkan tujuan,
dan mengembangkan mekanisme dalam mengelola resiko.
3. Meningkatkan kualitas keputusan dalam merespon risiko (risk
response)...Identifikasi dan memilih Risk Response dengan
menghindari, menerima, mengurangi, membagi, menguasai,
atau memindahkan
Manfaat Manajemen Risiko
1. Menurunkan kejutan dan kerugian operasional... Identifikasi
event potensial dan peningkatan kemampuan dalam
penetapan respon
2. Mengidentifikasi dan mengelola risiko-risiko yang bersifat
lintas-entitas... Pengelolaan resiko secara Terintegrasi dan
memfasilitasi pemilihan respon.
3. Merebut peluang... Pewujudan Peluang secara Proaktif
4. Meningkatkan efektivitas pemanfaatan modal... Dengan cara
memiliki Informasi Resiko yg lengkap.
Definisi Manajemen Risiko
Menurut COSO (1992/1994)
Manajemen risiko adalah sebuah proses, yang dipengaruhi oleh
dewan pengawas, manajemen senior dan personil lainnya,
diterapkan dalam perumusan strategi dan diterapkan di seluruh
Lingkup entitas, dirancang untuk mengidentifikasi timbulnya
kejadian yang berpotensi dapat mempengaruhi entitas, dan
mengelola risiko agar senantiasa berada dalam risk appetite,
untuk memberikan keyakinan memadai dalam pencapaian tujuan
entitas.
Menurut POJK No.18/POJK.03/2016
Manajemen Risiko adalah serangkaian metodologi dan prosedur
yang digunakan untuk mengidentifikasi, mengukur, memantau, dan
mengendalikan Risiko yang timbul dari seluruh kegiatan usaha Bank.
Konsep Dasar Manajemen Risiko
• Sebuah PROSES... Manajemen Resiko tidak STATIS tetapi
merupakan Suatu Proses yang berkelanjutan dan melekat
atau mencakup seluruh area dalam entitas.
• Dipengaruhi oleh Orang pada seluruh jenjang entitas.
• Diterapkan dalam Perumusan Strategi.
• Diterapkan di seluruh Lingkup Entitas/Organisasi, di setiap
tingkat dan unit, dan mencakup identifikasi portofolio risiko
pada level entitas secara umum.
• Selera Resiko (Risk Appetite)... Dirancang untuk
mengidentifikasi peristiwa yang berpotensi terjadi, yang jika
terjadi, akan mempengaruhi entitas; dan mengelola risiko
dalam risk appetite dan risk tollerance.
Cont’d
• Memberikan Asurans yang Wajar... Mampu memberikan
keyakinan memadai kepada dewan pengawas dan
manajemen sentior entitas.
• Pencapaian Tujuan Organisasi... Ditujukan dalam upaya
pencapaian satu atau lebih kategori tujuan yang terpisah
tetapi tumpang tindih.
8
Konsep dasar Manajemen Risiko
1. Proses
Manajemen risiko tidak bersifat statis, tetapi merupakan suatu
proses yang berlangsung terus-menerus, berkelanjutan dan
diterapkan secara melekat dalam operasi organisasi.
2. Dipengaruhi oleh Orang
Manajemen risiko dipengaruhi oleh perkataan dan perbuatan
pimpinan dan seluruh personil lain dalam organisasi. Mereka
menetapkan misi, strategi dan tujuan organisasi dan membuat
mekanisme manajemen risiko.
Cont’d
3. Diterapkan dalam Perumusan Strategi
Organisasi menetapkan visi misinya dan menetapkan tujuan
strategis. Manajemen risiko diterapkan pada proses
perumusan
strategi,
di
mana
manajemen
mempertimbangkan risiko atas strategi-strategi alternatif
yang ada, dalam rangka mengevaluasi dan memilih strategi
organisasi dan tujuan-tujuan terkaitnya.
Cont’d
4. Diterapkan pada seluruh lingkup organisasi
Manajemen risiko diterapkan di seluruh tingkatan organisasi,
dari tingkat perencanaan strategis dan alokasi sumber daya,
kegiatan usaha seperti pemasaran dan sumber daya manusia,
hingga ke tingkat proses bisnis rinci seperti produksi,
pengadaan bahan baku dan review kredit untuk pelanggan
baru. Manajemen risiko juga diterapkan pada setiap proyek
atau inisiatif baru yang mungkin belum termasuk dalam
struktur organisasi entitas.
Cont’d
5. Selera Risiko (Risk Appetite)
Selera risiko adalah besarnya risiko, dalam tingkat yang luas,
yang dapat diterima oleh organisasi dalam upaya
mewujudkan nilai organisasi. Selera risiko mencerminkan
filosofi manajemen risiko organisasi, dan selanjutnya
mempengaruhi budaya organisasi dan gaya operasinya.
Selera risiko memberikan panduan untuk alokasi sumber
daya.
Cont’d
6. Toleransi Risiko
Toleransi risiko adalah tingkat risiko yang dapat diterima.
Dalam menentukan toleransi risiko, manajemen
mempertimbangkan kepentingan relatif dari tujuan-tujuan
terkait dan menyelaraskan toleransi risiko dengan selera
risiko. Beroperasi dalam toleransi risiko membantu
meyakinkan organisasi untuk tetap berada dalam selera
risikonya dan pada gilirannya akan membantu organisasi
mencapai tujuannya.
Cont’d
7. Memberikan Asurans yang Wajar
Manajemen risiko yang dirancang dan dijalankan dengan baik
dapat memberikan asurans yang wajar atas pencapaian
tujuan organisasi. Manajemen risiko yang efektif sekalipun
dapat mengalami kegagalan. Asurans yang wajar berbeda
dengan asurans mutlak.
Cont’d
8. Pencapaian Tujuan Organisasi
Kerangka kerja ERM menetapkan empat kategori tujuan
organisasi:
Strategis: berhubungan dengan tujuan tingkat tinggi yang
diselaraskan dengan dan mendukung misi organisasi.
Operasi: berhubungan dengan penggunaan sumber daya
organisasi secara efektif dan efisien.
Pelaporan: berhubungan dengan keandalan laporan
organisasi.
Kepatuhan: berhubungan dengan kepatuhan organisasi
terhadap hukum dan peraturan yang berlaku.
Pencapaian Tujuan Organisasi
Kerangka kerja ERM menetapkan empat kategori tujuan
organisasi:
1. Strategis: berhubungan dengan tujuan tingkat tinggi yang
diselaraskan dengan dan mendukung misi organisasi.
2. Operasi: berhubungan dengan penggunaan sumber daya
organisasi secara efektif dan efisien.
3. Pelaporan: berhubungan dengan keandalan laporan
organisasi.
4. Kepatuhan: berhubungan dengan kepatuhan organisasi
terhadap hukum dan peraturan yang berlaku.
BAB - II
COSO dan Produk COSO
17
Pengantar
COSO, sebagai akronim Committee of Sponsoring Organizations of
Treadway Commission , merupakan organisasi volunteer yang
bertujuan untuk meningkatkan kualitas pelaporan keuangan
perusahaan melalui penegakan etika bisnis, pengendalian
internal dan corporate governance.
COSO dibentuk pada tahun 1985 untuk mendukung National
Commission on Fraudulent Financial Reporting, sebuah
Organisasi bentukan pemerintah Amerika Serikat yg sering
disebut sebagai Treadway Commission. Studinya mengenai
faktor2 yg melatarbelakangi Fraud terkait penyimpangan
laporan keuangan dan mengembangkan rekomendasinya
Organisasi-Organisasi Sponsor
Pendukung COSO
1.
2.
3.
4.
5.
American Institute of Certified Public Accountants (AICPA),
The Institute of Internal Auditors (IIA),
Financial Executives International (FEI),
Institute of Management Accountants (IMA)dan
American Accounting Association (AAA).
Pedoman Diterbitkan COSO
1.
2.
3.
4.
Governance and Operational Performance
Internal Controls (Pengendalian Internal)
Enterprise Risk Management (Manajemen Risiko)
Fraud Deterrence (Pencegahan Fraud)
Securities Exchange Comission
SEC (Securities Exchange Comission) adalah institusi komisi
pengawas pasar modal di Amerika Serikat yang memiliki
kewenangan mengatur bentuk dan substansi pengendalian
Internal...berdasarkan ketentuan sebuah Undang-undang
yang diberlakukan di Negara tersebut yakni Sarbanes Oxley
Act of 2002 (SoA).
Sarbanes Oxley Act of 2002 (SoA) mengatur bahwa pengendalian
internal harus berupa kerangka pengendalian yang diterbitkan
oleh badan atau kelompok profesi terkemuka; yang telah
melalui prosedur due process, termasuk penyebaran kerangka
untuk mendapatkan komentar publik.
Cont’d
SEC mendefinisikan bahwa kerangka yang tepat (suitable
frameworks) harus ;
Bebas dari bias
Konsisten dalam hal ukuran kualitas dan kuantitas
pengendalian internal entitas
Lengkap sehingga faktor-faktor terkait yang dapat
mengubah
kesimpulan
hasil
evaluasi
efektivitas
pengendalian internal tidak akan terabaikan
Relevan terhadap evaluasi pengendalian internal atas
pelaporan keuangan.
Cont’d
SEC menjelaskan bahwa COSO Internal Control-Integrated
Framework (kerangka terpadu pengendalian internal dari
COSO) telah memenuhi persyaratan (seperti di Slide
sebelumnya yg telah disebutkan.
SEC juga mengakui bahwa selain kerangka COSO, kerangka di
negara-negara lain juga dapat dikategorikan memenuhi
persyaratan-persyaratan ini, contohnya: CoCo, Turnbull, King,
atau kerangka lainnya.
Dalam praktek manajemen risiko juga dikenal beberapa kerangka
manajemen risiko yang sangat popular yaitu ISO:31000 dan
Standar Australia/New Zealand (AS/NZS 4360)
Kerangka Terpadu Pengendalian
Internal (COSO I)
Internal Control Integrated Framework (ICIF) tahun 1992 (COSO I) yang
merupakan awal dari pengembangan ERM (Enterprise Risk
Management/COSO II) mendefinisikan Pengendalian Internal sebagai
suatu proses yang dipengaruhi oleh dewan komisaris, manajemen, dan
karyawan lain suatu entitas, yang dirancang untuk memberikan
keyakinan memadai sehubungan dengan pencapaian tujuan dalam
kategori-kategori sebagai berikut:
1. Efektivitas dan efisiensi operasi,
2. Keandalan pelaporan keuangan, serta
3. Ketaatan terhadap peraturan perundang-undangan yang
berlaku.
Tujuan dalam Kategori-kategori yang
didefinisikan dalam COSO I
1. Efektivitas dan efisiensi operasi,
Menunjukkan tujuan dasar atau sering disebut sebagai tujuan
kinerja dan tujuan memperoleh keuntungan serta pengamanan
Sumber Daya.
2. Keandalan pelaporan keuangan,
Laporan Keuangan yg Andal termasuk Laporan Keuangan Interim
dan data-data keuangan tertentu.
3. Ketaatan terhadap peraturan perundang-undangan yang berlaku.
Kepatuhan terhadap Hukum dan Peraturan yang berlaku.
Dimensi Kerangka Pengendalian
Internal Terpadu (COSO I)
Kerangka pengendalian internal terpadu (ICIF/COSO I)
digambarkan secara tiga dimensi dalam sebuah bangunan kubus
(COSO CUBE) sebagai berikut ;
Dimensi Kerangka Pengendalian
Internal Terpadu (COSO I)
1. Dimensi pertama menggambarkan tujuan entitas.
2. Dimensi kedua menggambarkan level entitas dan kegiatan.
3. Dimensi
ketiga
menggambarkan
lima
komponen
pengendalian intern
Komponen Pengendalian Intern
1. Komponen Lingkungan Pengendalian (a.l mencakup
integritas, nilai-nilai etika, kompetensi orang-orang yang ada
dalam entitas dan filosopi manajemen dan gaya oiperasinya)
2. Komponen Penilaian Risiko
3. Komponen Kegiatan Pengendalian
4. Komponen Informasi dan Komunikasi
5. Komponen Pemantauan
Pihak yang Bertanggung Jawab
Terhadap Pengendalian Intern
1.
2.
3.
4.
Manajemen
Dewan Komisaris
Auditor Intern
Personil lain dalam organisasi
BAB - III
Kerangka Manajemen Risiko
30
Pengantar
Sebagaimana konsep deskriptif lainnya, konsep-konsep
manajemen risiko, yang dimuat dalam suatu kerangka kerja,
harus dipahami secara menyeluruh berikut dengan latar
belakang penyusunannya. Kerangka kerja memberikan arah
bagi pemahaman sebuah metodologi agar diperoleh kesamaan
pandang tentang konsep dan implementasinya.
Beberapa Kerangka Manajemen Risiko
1.
2.
3.
4.
5.
6.
British Standard – BS6079-3 (2000)
International Risk Government Council – IRGC (2004)
ERM COSO (2004)
Australian New Zealand Standard - AS/NZS 4360 (2004)
ISO 31000 (2009)
A Risk Management Standard (Institute of Risk Management,
Association of Insurance and Risk Management)
Kerangka Manajemen Risiko ISO 31000
Hubungan antara Principles, Framework & Process ISO 31000
Prinsip Manajemen Risiko ISO
31000
a.
b.
c.
d.
e.
f.
g.
h.
i.
j.
k.
Menciptakan nilai,
Bagian integral dari proses organisasi,
Bagian dari pengambilan keputusan,
Secara eksplisit membahas ketidak pastian,
Sistematik terstruktur dan tepat waktu,
Berdasarkan informasi terbaik yang tersedia,
Dirancang secara khusus,
Memperhatikan faktor manusia dan budaya,
Transparan dan inklusif,
Dinamis, berulang dan peka terhadap perubahan, dan
Memfasilitasi penyempurnaan berkelanjutan dan kemajuan
organisasi
Kerangka Kerja ISO 31000
Proses Manajemen Risiko
Enterprise Risk Management/ERM
(COSO II)
Definisi
Suatu proses yang dipengaruhi oleh dewan direksi,
manajemen, dan personil lain, yang diterapkan dalam
menetapkan strategi dan melalui entitas, dirancang
untuk mengidentifikasi kejadian potensial yang
mungkin mempengaruhi entitas, dan mengelola risiko
ke dalam risiko yang dapat diterima (risk appetite),
untuk mengidentifikasi keyakinan memadai mengenai
pencapaian tujuan entitas.
Kubus Tiga Dimensi COSO ERM
Konsep Pokok Kerangka COSO ERM
1.
2.
3.
4.
5.
6.
7.
Suatu proses, berkelanjutan, dan mengalir dalam entitas;
Dipengaruhi oleh orang-orang pada setiap tingkat organisasi;
Diterapkan dalam penetapan strategi;
Diterapkan pada entitas, pada setiap tingkat dan unit, dan termasuk
pengambilan risiko pada tiap tingkat jabatan entitas;
Dirancang untuk mengidentifikasi kejadian potensial yang
mempengaruhi entitas dan mengelola risiko dalam risiko yang dapat
diterima;
Mampu memberikan keyakinan memadai kepada manajemen dan
dewan;
Menghubungkan pencapaian tujuan dengan satu atau lebih kategori
yang terpisah tapi saling melengkapi.
Komponen COSO ERM – Integrated
Framework
1. Lingkungan internal
Komponen ini mencerminkan filosofi ERM sebagai suatu entitas, risiko
yang dapat diterima, board oversight (dewan komisaris), komitmen nilai
perilaku, kompetensi dan pengembangan SDM, serta menetapkan
otoritas dan tanggung jawab.
2. Penetapan tujuan
Manajemen menetapkan tujuan strategis, tujuan operasional, tujuan
pelaporan, dan kepatuhan yang diselaraskan dengan risiko yang dapat
diterima entitas
3. Identifikasi Peristiwa
Manajemen mengidentifikasi peristiwa baik berpotensi positif maupun
negatif terhadap kemampuan entitas untuk menerapkan strategi dan
mencapai tujuan serta kinerjanya.
Cont’d
4. Penilaian Risiko
Metode kualitatif dan kuantitatif untuk mengevaluasi kemungkinan dan
dampak peristiwa potensial, yang mungkin mempengaruhi pencapaian
tujuan.
5. Respons Risiko
Alternatif/opsi respon dengan mempertimbangkan biaya dengan manfaat
6. Kegiatan Pengendalian
Kebijakan dan prosedur pada semua tingkat dan semua fungsi
7. Informasi dan Komunikasi
Informasi internal dan eksternal yang memungkinkan seluruh personil
menyelesaikan tanggung-jawabnya
8. Pemantauan
Penilaian ada dan berfungsinya komponen ERM dan mutu kinerjanya dari
waktu ke waktu.
Proyek Pengembangan Kerangka COSO
ERM bersama
PriwcewaterhouseCoopers (PwC)
• Lima Tahapan Proyeknya :
a) Penilaian
b) Penetapan Visi
c) Mendesain Kerangka
d) Persiapan untuk Public Exposure
e) Finalisasi
Dokumen Draft kerangka ERM dipaparkan selama
periode 90 Hari dan diuji coba pada entitas terpilih
Hubungan COSO ERM dengan
COSO ICIF
1. Kerangka ERM lebih luas, berfokus pada manajemen risiko
dan meliputi kerangka pengendalian intern.
2. Kerangka ERM menambahkan satu kategori tujuan baru,
yaitu tujuan strategis, dan memperluas tujuan pelaporan,
termasuk pelaporan internal.
3. Kerangka ERM memperkenalkan konsep risiko yang dapat
diterima dan toleransi risiko (risk tolerance).
4. Kerangka ERM memperluas komponen penilaian risiko
dalam empat komponen yaitu penetapan tujuan, identifikasi
peristiwa, penilaian risiko, dan respon risiko.
Manfaat Penerapan COSO ERM
Tujuan Utama : Mengidentifikasi keyakinan memadai bagi
manajemen dan dewan agar tujuan bisnis entitas tercapai.
Manfaat lain :
1. Membantu manajemen mengambil resiko yagd apat diterima
2. Meningkatkan keputusan untuk merespon resiko
3. Mengurangi kerugian operasional yang tidak terduga
4. Mengidentifikasi dan mengelola resiko entitas, mengidentifikasi
respon yang terintegrasi pada resiko yang bersifat ganda
5. Menggunakan peluang untuk meningkatkan penyaluran modal.
Pertimbangan Penerapan COSO
ERM
1. Mengurangi keragaman kinerja yang tidak dapat diterima
2. Mengintegrasikan bermacam-macam pandangan manajemen
risiko
3. Membangun keyakinan investor dan stakeholder
4. Meningkatkan corporate governance
5. Sukses merespon perubahan lingkungan bisnis
6. Membentuk strategi dan budaya entitas
Langkah yang Perlu Dilakukan dalam
Mengimplementasikan ERM
1. Mengadopsi suatu bahasa risiko yang umum
2. Melakukan penilaian risiko entitas untuk mengidentifikasi dan
memprioritaskan risiko-risiko organisasi yang kritis.
3. Melaksanakan suatu analisis kesenjangan dari kemampuan saat ini
dan yang diharapkan dalam mengelola risiko-risiko yang kritis.
4. Mengartikulasikan visi manajemen risiko, tujuan dan sasaran, serta
pelaksanaan permasalahan nilai untuk mengidentifikasi
pertimbangan ekonomi untuk maju kedepan
5. Meningkatkan kemampuan manajemen risiko organisasi untuk
satu atau dua risiko kritis yakni mulai dengan suatu area resiko
dimana pengurus senior mengetahui perbaikan-perbaikan yang
diperlukan untuk melaksanakan strategi bisnis dengan sukses.
Strategi Mengimplementasikan
ERM
1. Identifikasi dan pahami risiko prioritas organisasi untuk
menetapkan suatu konteks.
2. Gunakan kerangka COSO untuk menggambarkan kondisi
kemampuan manajemen risiko yang ada sekarang.
3. Gunakan kerangka COSO untuk menggambarkan kondisi
kemampuan manajemen risiko yang diinginkan di masa
depan.
4. Analisa dan artikulasikan ukuran kesenjangan antara (b) dan
(c) dan sifat alami perbaikan-perbaikan yang diperlukan
untuk menutup kesenjangan.
Cont’d
5. Berdasarkan pada analisa di atas, kembangkan suatu kasus
bisnis untuk menujukkan kesenjangan dalam
mengidentifikasi pertimbangan ekonomi bagi seluruh usaha
untuk menerapkan peningkatan prasarana ERM.
6. Mengorganisasikan rencana yang mempertimbangkan
kemampuan prasarana ERM.
7. Lakukan pengawasan dan sediakan fasilitas yang diperlukan
untuk memastikan pengintegrasian dan koordinasi yang
efektif diseluruh kegiatan
48
BAB - IV
Teknik Penilaian Risiko
49
Teknik Penilaian Risiko ISO 31000
1. Brainstorming
Brainstorming merupakan pembahasan diantara kelompok yang
mengharuskan penggunaan imajinasi yang tinggi untuk ;
mengidentifikasi model kegagalan potensial dan bahaya yang
berkaitan,
risiko-risiko,
kriteria-kriteria untuk mengambil keputusan dan atau pilihan-pilihan
untuk melakukan tindakan
2. Wawancara Terstruktur dan Semi Terstruktur
Interview secara pribadi dengan daftar pertanyaan yang telah disiapkan
untuk mendorong interviewer melihat situasi dari prespektif tertentu dan
mengidentifikasi risiko dari perspektif tersebut. Untuk yang semi
terstruktur dimungkinkan lebih banyak tanya-jawab yang bebas untuk
mengeksplor masalah masalah yang diangkat.
Teknik Penilaian Risiko ISO 31000
3. Delphy Technique
Teknik Delphi adalah suatu prosedur untuk memperoleh konsensus opini
yang dapat dipercaya dari sebuah group ahli, secara individual dan tanpa
nama yang selanjutnya dilakukan penilaian dengan melibatkan para ahli
lainnya.
4. Check-List
5. Preliminary Hazard Analysis (PHA)
6. Hazard and operability study (Hazop)
Metode pengujian yang terstruktur dan sistemik dari sebuah perencanaan
atau produk yang ada, proses, prosedur atau sistem.
Teknik Penilaian Risiko ISO 31000
7. Hazard Analisys And Critical Control Point (HACCP)
8. Toxicity Assesment
9. Structured What-If Technique (SWIFT)
10. Scenario Analisys
11. Business Impact Analisys ( BIA)
12. Root Cause Analisys (RCA)
13. Failure Modes And Effect Analisys ( FMEA) And Failure Modes
And Effect And Critically Analysis( FMECA)
14. Fault Tree Analisis ( FTA)
15. Event Tree Analysis ( ETA)
Teknik Penilaian Risiko ISO 31000
16. Cause -Consequence Analysis
17. Cause-And-Effect Analysis (Analisis Sebab Akibat)
18. Layers Of Protection Analysis (LOPA)
19. Decision Tree Analysis
20. Human Reliability Assessment (HRA )
21. Bow Tie Analysis
22. Reliability Centred Maintenance
23. Sneak Analysis (SA) And Sneak Circuit Analysis (SCA)
24. Markov Analysis
25. Monte Carlo Simulation
26. Cost /Benefit Analysis (CBA)
Implementasi Teknik Penilaian
Risiko ISO 31000
1. Penggunaan teknik penilaian risiko diklasifikasikan
berdasarkan langkah proses penilaian risiko sebagai berikut:
I.
II.
Identifikasi risiko;
Analisis risiko:
a. Consequence analysis;
b. Estimasi probabilitas kuantitatif,kualitatif, atau semikuantitatif;
c. Menilai efektifitas dari kontrol yang ada;
d. Estimasi tingkat risiko;
III.
Evaluasi risiko.
Faktor yang Mempengaruhi
Pemilihan Teknik Penilaian Risiko
1. Sejauh mana sumber daya yang dibutuhkan (waktu dan
tingkat keahlian, kebutuhan data atau biaya),
2. Sifat dan tingkat ketidakpastian penilaian risiko berdasarkan
jumlah informasi yang tersedia dan hal yang diperlukan
untuk memenuhi tujuan,
3. Kompleksitas masalah dan teknik-teknik yang diperlukan
untuk menganalisisnya,
4. Apakah teknik tersebut dapat memberikan output kuantitatif.
BAB - V
Peran Audit Internal
56
Manfaat ERM
1.
2.
Meningkatkan kemungkinan pencapaian tujuan organisasi;
Pelaporan risiko-risiko yang berasal dari berbagai unit secara
konsolidatif kepada Dewan Komisaris;
3. Peningkatan pemahaman tentang risiko utama dan implikasinya
secara lebih luas;
4. Mengidentifikasi dan membagi risiko yang bersifat lintas bisnis;
5. Fokus manajemen yang lebih besar pada isu-isu yang benar-benar
penting;
6. Semakin menurunnya terjadinya kejutan atau krisis;
7. Lebih fokus secara internal dengan melakukan hal yang benar
dalam cara yang benar;
8. Peningkatan kemungkinan pencapaian tujuan terhadap inisiatif
yang berubah;
9. Kemampuan untuk mengambil risiko yang lebih besar untuk
memperoleh hasil yang lebih besar, dan
10. Proses pengambilan risiko dan pengambilan keputusan yang lebih
didasarkan pada informasi yang lebih banyak.
Kegiatan dalam Ruang Lingkup
ERM
1.
2.
3.
Mengartikulasikan dan mengkomunikasikan tujuan organisasi;
Menentukan risk appetite organisasi;
Membangun lingkungan internal yang sesuai, termasuk kerangka
manajemen risiko;
4. Mengidentifikasi potensi ancaman terhadap pencapaian tujuan;
5. Menilai risiko (yaitu dampak dan kemungkinan ancaman yang
terjadi);
6. Memilih dan mengimplementasikan respon terhadap risiko;
7. Melakukan kontrol dan kegiatan respon lainnya;
8. Mengkomunikasikan informasi tentang risiko secara konsisten di
semua tingkatan dalam organisasi;
9. Memantau dan mengkoordinasikan proses manajemen risiko dan
hasilnya terpusat , dan
10. Memberikan jaminan atas efektivitas pengelolaan risiko
Peran Audit Internal dalam ERM
Peran Pokok - Memberi Asurans
Terhadap ERM
1.
2.
3.
4.
5.
Memberi asurans atas proses manajemen risiko;
Memberi asurans bahwa risiko telah dievaluasi secara tepat;
Mengevaluasi proses manajemen risiko;
Mengevaluasi pelaporan risiko utama;
Mereviu pengelolaan risiko utama.
Peran ‘Legitimate’ – Memberi
Consulting terhadap ERM
1. Menyediakan tools dan teknik manajemen untuk
menganalisis risiko dan pengendalian;
2. Menjadi risk cha pio untuk memperkenalkan ERM ke
dalam organisasi, memberikan keahliannya dalam
manajemen risiko dan pengendalian bagi organisasi;
3. Memberikan saran, memfasilitasi lokakarya, membimbing
organisasi, dan mempromosikan kerangka kerja dan
pemahaman dalam hal risiko dan pengendalian;
4. Bertindak sebagai pusat koordinasi, pemantauan dan
pelaporan risiko; dan
5. Mendukung para manajer dalam mereka bekerja
mengidentifikasi cara terbaik untuk memitigasi risiko.
Safeguarding
1. Harus jelas bahwa manajemen tetap bertanggung jawab
terhadap proses manajemen risiko.
2. Sifat
tanggung
jawab
auditor
internal
harus
didokumentasikan dalam piagam audit internal dan disetujui
oleh komite audit.
3. Audit internal tidak diperkenankan mengelola risiko,
sekalipun atas nama manajemen.
Safeguarding
1. Audit internal harus memberikan saran, tanggapan dan
dukungan kepada manajemen dalam proses pengambilan
keputusan.
2. Audit internal juga tidak diperkenankan memberikan
asurans terhadap setiap bagian kerangka kerja ERM yang
menjadi tanggung jawabnya. Asurans tersebut harus
disediakan oleh pihak lain yang memiliki kualifikasi
memadai.
3. Setiap penugasan di luar kegiatan asurans harus diakui
sebagai suatu penugasan konsultasi, dan standar terkait
dengan penugasan tersebut harus dipatuhi.
Peran yang Dilarang bagi Audit
Internal Terkait ERM
1.
2.
3.
4.
5.
6.
Menetapkan risk appetite ;
Melaksanakan implementasi proses manajemen risiko;
Mengambil alih tanggung jawab terhadap risiko;
Mengambil keputusan untuk merespon risiko;
Melaksanakan respon risiko atas nama manajemen;
Mengambil alih tanggung jawab terhadap manajemen risiko
secara keseluruhan.
Peran Audit Internal Sebagai
Koordinator Pemberi Asurans
Sesuai dengan standar kinerja audit intern nomor 2050
Koordinasi, Kepala Eksekutif Audit harus berbagi informasi dan
mengkoordinasikan kegiatannya dengan penyedia layanan jasa
asurans dan konsultasi internal dan eksternal untuk memastikan
cakupan yang tepat dan meminimalkan duplikasi penugasan.
Memahami Pekerjaan yang
Dilakukan oleh Auditor Eksternal
1. Sifat, ruang lingkup, dan saat pekerjaan yang direncanakan
oleh auditor eksternal.
2. Penilaian auditor eksternal terhadap risiko dan materialitas.
3. Teknik, metode, dan terminologi auditor eksternal
memungkinkan CAE untuk:
a. mengkoordinasikan pekerjaan audit internal dan
eksternal,
b. mengevaluasi pekerjaan auditor eksternal, dan
c. berkomunikasi secara efektif dengan auditor eksternal.
4. Akses ke audit program dan kertas kerja auditor eksternal
harus dapat mendukung kondisi bahwa pekerjaan auditor
eksternal bisa diandalkan untuk keperluan audit internal.
Tiga Kelompok Dasar Unit
Penyedia Asurans
1. Mereka yang melapor ke manajemen dan/atau
merupakan bagian dari manajemen (manajemen
assurance), termasuk unit-unit yang melakukan control
self-assessments, auditor kualitas, auditor lingkungan,
dan personil asurans manajemen lain yang ditunjuk untuk
itu.
2. Mereka yang melapor ke Dewan Komisaris dan
Manajemen Senior, termasuk audit internal.
3. Mereka yang melaporkan kepada stakeholder eksternal
(assurans audit eksternal), yang merupakan peran
tradisional dan biasanya dilaksanakan oleh auditor
independen atau auditor lain yang ditentukan oleh
hukum.
Cont’d
Tingkat keyakinan yang diinginkan, dan siapa yang harus
memberikan asurans, akan bervariasi tergantung pada risiko
yang menjadi fokus asurans.
Three Lines Of Defense
Three Lines Of Defense
Lini pertama:
1. Manajemen lini dan karyawan (manajemen memberikan
asurans sebagai baris pertama pertahanan atas risiko
dan kontrol yang menjadi tanggung jawab mereka).
2. Manajemen senior
Three Lines Of Defense
Lini kedua:
1. Unit kepatuhan
2. Asurans kualitas
3. Unit manajemen risiko
4. Auditor lingkungan dan auditor keselamatan dan
kesehatan kerja
5. Tim pengkaji laporan keuangan
Three Lines Of Defense
Lini ketiga:
1. Auditor internal dan eksternal
2. Auditor kinerja dari pemerintah
3. Dewan-dewan tertentu (misalnya, audit, aktuaria,
kredit, dan tata kelola)
4. Penyedia asurans eksternal, termasuk reviu dari
spesialis (misalnya kesehatan dan keselamatan), dan
lain-lain.
Struktur Peta Asurans
1. Kategori risiko signifikan
2. Peran manajemen yang bertanggung jawab terhadap risiko
(risk owner)
3. Tingkat risiko inherent
4. Tingkat risiko residual
5. Cakupan audit eksternal
6. Cakupan audit internal
7. Jangkauan penyedia asurans lainnya
TERIMA KASIH
Pusat Pengembangan Internal Audit | Yayasan Pendidikan Internal Audit
Pelatihan Audit Internal Tingkat Dasar – I I
Sertifikasi Qualified Internal Auditor (QIA)
1
Agenda
BAB I: Pendahuluan
BAB II: COSO dan Produk COSO
BAB III: Kerangka Manajemen Risiko
BAB IV: Penilaian Risiko
BAB V: Peran Audit Internal
2
BAB - I
Pendahuluan
3
Aktivitas Utama Manajemen
Risiko
1. Menetapkan selera risiko (risk appetite) organisasi selaras dengan
kapasitasnya dalam mengelola ketidakpastian... (Secara berkala
Risk Appetite harus ditinjau ulang, sesuaikan dengan perubahan
tingkat resiko bisnis).
2. Menyelaraskan pilihan dan strategi bisnis dengan selera risiko
organisasi... Mengevaluasi alternatif strategi, menetapkan tujuan,
dan mengembangkan mekanisme dalam mengelola resiko.
3. Meningkatkan kualitas keputusan dalam merespon risiko (risk
response)...Identifikasi dan memilih Risk Response dengan
menghindari, menerima, mengurangi, membagi, menguasai,
atau memindahkan
Manfaat Manajemen Risiko
1. Menurunkan kejutan dan kerugian operasional... Identifikasi
event potensial dan peningkatan kemampuan dalam
penetapan respon
2. Mengidentifikasi dan mengelola risiko-risiko yang bersifat
lintas-entitas... Pengelolaan resiko secara Terintegrasi dan
memfasilitasi pemilihan respon.
3. Merebut peluang... Pewujudan Peluang secara Proaktif
4. Meningkatkan efektivitas pemanfaatan modal... Dengan cara
memiliki Informasi Resiko yg lengkap.
Definisi Manajemen Risiko
Menurut COSO (1992/1994)
Manajemen risiko adalah sebuah proses, yang dipengaruhi oleh
dewan pengawas, manajemen senior dan personil lainnya,
diterapkan dalam perumusan strategi dan diterapkan di seluruh
Lingkup entitas, dirancang untuk mengidentifikasi timbulnya
kejadian yang berpotensi dapat mempengaruhi entitas, dan
mengelola risiko agar senantiasa berada dalam risk appetite,
untuk memberikan keyakinan memadai dalam pencapaian tujuan
entitas.
Menurut POJK No.18/POJK.03/2016
Manajemen Risiko adalah serangkaian metodologi dan prosedur
yang digunakan untuk mengidentifikasi, mengukur, memantau, dan
mengendalikan Risiko yang timbul dari seluruh kegiatan usaha Bank.
Konsep Dasar Manajemen Risiko
• Sebuah PROSES... Manajemen Resiko tidak STATIS tetapi
merupakan Suatu Proses yang berkelanjutan dan melekat
atau mencakup seluruh area dalam entitas.
• Dipengaruhi oleh Orang pada seluruh jenjang entitas.
• Diterapkan dalam Perumusan Strategi.
• Diterapkan di seluruh Lingkup Entitas/Organisasi, di setiap
tingkat dan unit, dan mencakup identifikasi portofolio risiko
pada level entitas secara umum.
• Selera Resiko (Risk Appetite)... Dirancang untuk
mengidentifikasi peristiwa yang berpotensi terjadi, yang jika
terjadi, akan mempengaruhi entitas; dan mengelola risiko
dalam risk appetite dan risk tollerance.
Cont’d
• Memberikan Asurans yang Wajar... Mampu memberikan
keyakinan memadai kepada dewan pengawas dan
manajemen sentior entitas.
• Pencapaian Tujuan Organisasi... Ditujukan dalam upaya
pencapaian satu atau lebih kategori tujuan yang terpisah
tetapi tumpang tindih.
8
Konsep dasar Manajemen Risiko
1. Proses
Manajemen risiko tidak bersifat statis, tetapi merupakan suatu
proses yang berlangsung terus-menerus, berkelanjutan dan
diterapkan secara melekat dalam operasi organisasi.
2. Dipengaruhi oleh Orang
Manajemen risiko dipengaruhi oleh perkataan dan perbuatan
pimpinan dan seluruh personil lain dalam organisasi. Mereka
menetapkan misi, strategi dan tujuan organisasi dan membuat
mekanisme manajemen risiko.
Cont’d
3. Diterapkan dalam Perumusan Strategi
Organisasi menetapkan visi misinya dan menetapkan tujuan
strategis. Manajemen risiko diterapkan pada proses
perumusan
strategi,
di
mana
manajemen
mempertimbangkan risiko atas strategi-strategi alternatif
yang ada, dalam rangka mengevaluasi dan memilih strategi
organisasi dan tujuan-tujuan terkaitnya.
Cont’d
4. Diterapkan pada seluruh lingkup organisasi
Manajemen risiko diterapkan di seluruh tingkatan organisasi,
dari tingkat perencanaan strategis dan alokasi sumber daya,
kegiatan usaha seperti pemasaran dan sumber daya manusia,
hingga ke tingkat proses bisnis rinci seperti produksi,
pengadaan bahan baku dan review kredit untuk pelanggan
baru. Manajemen risiko juga diterapkan pada setiap proyek
atau inisiatif baru yang mungkin belum termasuk dalam
struktur organisasi entitas.
Cont’d
5. Selera Risiko (Risk Appetite)
Selera risiko adalah besarnya risiko, dalam tingkat yang luas,
yang dapat diterima oleh organisasi dalam upaya
mewujudkan nilai organisasi. Selera risiko mencerminkan
filosofi manajemen risiko organisasi, dan selanjutnya
mempengaruhi budaya organisasi dan gaya operasinya.
Selera risiko memberikan panduan untuk alokasi sumber
daya.
Cont’d
6. Toleransi Risiko
Toleransi risiko adalah tingkat risiko yang dapat diterima.
Dalam menentukan toleransi risiko, manajemen
mempertimbangkan kepentingan relatif dari tujuan-tujuan
terkait dan menyelaraskan toleransi risiko dengan selera
risiko. Beroperasi dalam toleransi risiko membantu
meyakinkan organisasi untuk tetap berada dalam selera
risikonya dan pada gilirannya akan membantu organisasi
mencapai tujuannya.
Cont’d
7. Memberikan Asurans yang Wajar
Manajemen risiko yang dirancang dan dijalankan dengan baik
dapat memberikan asurans yang wajar atas pencapaian
tujuan organisasi. Manajemen risiko yang efektif sekalipun
dapat mengalami kegagalan. Asurans yang wajar berbeda
dengan asurans mutlak.
Cont’d
8. Pencapaian Tujuan Organisasi
Kerangka kerja ERM menetapkan empat kategori tujuan
organisasi:
Strategis: berhubungan dengan tujuan tingkat tinggi yang
diselaraskan dengan dan mendukung misi organisasi.
Operasi: berhubungan dengan penggunaan sumber daya
organisasi secara efektif dan efisien.
Pelaporan: berhubungan dengan keandalan laporan
organisasi.
Kepatuhan: berhubungan dengan kepatuhan organisasi
terhadap hukum dan peraturan yang berlaku.
Pencapaian Tujuan Organisasi
Kerangka kerja ERM menetapkan empat kategori tujuan
organisasi:
1. Strategis: berhubungan dengan tujuan tingkat tinggi yang
diselaraskan dengan dan mendukung misi organisasi.
2. Operasi: berhubungan dengan penggunaan sumber daya
organisasi secara efektif dan efisien.
3. Pelaporan: berhubungan dengan keandalan laporan
organisasi.
4. Kepatuhan: berhubungan dengan kepatuhan organisasi
terhadap hukum dan peraturan yang berlaku.
BAB - II
COSO dan Produk COSO
17
Pengantar
COSO, sebagai akronim Committee of Sponsoring Organizations of
Treadway Commission , merupakan organisasi volunteer yang
bertujuan untuk meningkatkan kualitas pelaporan keuangan
perusahaan melalui penegakan etika bisnis, pengendalian
internal dan corporate governance.
COSO dibentuk pada tahun 1985 untuk mendukung National
Commission on Fraudulent Financial Reporting, sebuah
Organisasi bentukan pemerintah Amerika Serikat yg sering
disebut sebagai Treadway Commission. Studinya mengenai
faktor2 yg melatarbelakangi Fraud terkait penyimpangan
laporan keuangan dan mengembangkan rekomendasinya
Organisasi-Organisasi Sponsor
Pendukung COSO
1.
2.
3.
4.
5.
American Institute of Certified Public Accountants (AICPA),
The Institute of Internal Auditors (IIA),
Financial Executives International (FEI),
Institute of Management Accountants (IMA)dan
American Accounting Association (AAA).
Pedoman Diterbitkan COSO
1.
2.
3.
4.
Governance and Operational Performance
Internal Controls (Pengendalian Internal)
Enterprise Risk Management (Manajemen Risiko)
Fraud Deterrence (Pencegahan Fraud)
Securities Exchange Comission
SEC (Securities Exchange Comission) adalah institusi komisi
pengawas pasar modal di Amerika Serikat yang memiliki
kewenangan mengatur bentuk dan substansi pengendalian
Internal...berdasarkan ketentuan sebuah Undang-undang
yang diberlakukan di Negara tersebut yakni Sarbanes Oxley
Act of 2002 (SoA).
Sarbanes Oxley Act of 2002 (SoA) mengatur bahwa pengendalian
internal harus berupa kerangka pengendalian yang diterbitkan
oleh badan atau kelompok profesi terkemuka; yang telah
melalui prosedur due process, termasuk penyebaran kerangka
untuk mendapatkan komentar publik.
Cont’d
SEC mendefinisikan bahwa kerangka yang tepat (suitable
frameworks) harus ;
Bebas dari bias
Konsisten dalam hal ukuran kualitas dan kuantitas
pengendalian internal entitas
Lengkap sehingga faktor-faktor terkait yang dapat
mengubah
kesimpulan
hasil
evaluasi
efektivitas
pengendalian internal tidak akan terabaikan
Relevan terhadap evaluasi pengendalian internal atas
pelaporan keuangan.
Cont’d
SEC menjelaskan bahwa COSO Internal Control-Integrated
Framework (kerangka terpadu pengendalian internal dari
COSO) telah memenuhi persyaratan (seperti di Slide
sebelumnya yg telah disebutkan.
SEC juga mengakui bahwa selain kerangka COSO, kerangka di
negara-negara lain juga dapat dikategorikan memenuhi
persyaratan-persyaratan ini, contohnya: CoCo, Turnbull, King,
atau kerangka lainnya.
Dalam praktek manajemen risiko juga dikenal beberapa kerangka
manajemen risiko yang sangat popular yaitu ISO:31000 dan
Standar Australia/New Zealand (AS/NZS 4360)
Kerangka Terpadu Pengendalian
Internal (COSO I)
Internal Control Integrated Framework (ICIF) tahun 1992 (COSO I) yang
merupakan awal dari pengembangan ERM (Enterprise Risk
Management/COSO II) mendefinisikan Pengendalian Internal sebagai
suatu proses yang dipengaruhi oleh dewan komisaris, manajemen, dan
karyawan lain suatu entitas, yang dirancang untuk memberikan
keyakinan memadai sehubungan dengan pencapaian tujuan dalam
kategori-kategori sebagai berikut:
1. Efektivitas dan efisiensi operasi,
2. Keandalan pelaporan keuangan, serta
3. Ketaatan terhadap peraturan perundang-undangan yang
berlaku.
Tujuan dalam Kategori-kategori yang
didefinisikan dalam COSO I
1. Efektivitas dan efisiensi operasi,
Menunjukkan tujuan dasar atau sering disebut sebagai tujuan
kinerja dan tujuan memperoleh keuntungan serta pengamanan
Sumber Daya.
2. Keandalan pelaporan keuangan,
Laporan Keuangan yg Andal termasuk Laporan Keuangan Interim
dan data-data keuangan tertentu.
3. Ketaatan terhadap peraturan perundang-undangan yang berlaku.
Kepatuhan terhadap Hukum dan Peraturan yang berlaku.
Dimensi Kerangka Pengendalian
Internal Terpadu (COSO I)
Kerangka pengendalian internal terpadu (ICIF/COSO I)
digambarkan secara tiga dimensi dalam sebuah bangunan kubus
(COSO CUBE) sebagai berikut ;
Dimensi Kerangka Pengendalian
Internal Terpadu (COSO I)
1. Dimensi pertama menggambarkan tujuan entitas.
2. Dimensi kedua menggambarkan level entitas dan kegiatan.
3. Dimensi
ketiga
menggambarkan
lima
komponen
pengendalian intern
Komponen Pengendalian Intern
1. Komponen Lingkungan Pengendalian (a.l mencakup
integritas, nilai-nilai etika, kompetensi orang-orang yang ada
dalam entitas dan filosopi manajemen dan gaya oiperasinya)
2. Komponen Penilaian Risiko
3. Komponen Kegiatan Pengendalian
4. Komponen Informasi dan Komunikasi
5. Komponen Pemantauan
Pihak yang Bertanggung Jawab
Terhadap Pengendalian Intern
1.
2.
3.
4.
Manajemen
Dewan Komisaris
Auditor Intern
Personil lain dalam organisasi
BAB - III
Kerangka Manajemen Risiko
30
Pengantar
Sebagaimana konsep deskriptif lainnya, konsep-konsep
manajemen risiko, yang dimuat dalam suatu kerangka kerja,
harus dipahami secara menyeluruh berikut dengan latar
belakang penyusunannya. Kerangka kerja memberikan arah
bagi pemahaman sebuah metodologi agar diperoleh kesamaan
pandang tentang konsep dan implementasinya.
Beberapa Kerangka Manajemen Risiko
1.
2.
3.
4.
5.
6.
British Standard – BS6079-3 (2000)
International Risk Government Council – IRGC (2004)
ERM COSO (2004)
Australian New Zealand Standard - AS/NZS 4360 (2004)
ISO 31000 (2009)
A Risk Management Standard (Institute of Risk Management,
Association of Insurance and Risk Management)
Kerangka Manajemen Risiko ISO 31000
Hubungan antara Principles, Framework & Process ISO 31000
Prinsip Manajemen Risiko ISO
31000
a.
b.
c.
d.
e.
f.
g.
h.
i.
j.
k.
Menciptakan nilai,
Bagian integral dari proses organisasi,
Bagian dari pengambilan keputusan,
Secara eksplisit membahas ketidak pastian,
Sistematik terstruktur dan tepat waktu,
Berdasarkan informasi terbaik yang tersedia,
Dirancang secara khusus,
Memperhatikan faktor manusia dan budaya,
Transparan dan inklusif,
Dinamis, berulang dan peka terhadap perubahan, dan
Memfasilitasi penyempurnaan berkelanjutan dan kemajuan
organisasi
Kerangka Kerja ISO 31000
Proses Manajemen Risiko
Enterprise Risk Management/ERM
(COSO II)
Definisi
Suatu proses yang dipengaruhi oleh dewan direksi,
manajemen, dan personil lain, yang diterapkan dalam
menetapkan strategi dan melalui entitas, dirancang
untuk mengidentifikasi kejadian potensial yang
mungkin mempengaruhi entitas, dan mengelola risiko
ke dalam risiko yang dapat diterima (risk appetite),
untuk mengidentifikasi keyakinan memadai mengenai
pencapaian tujuan entitas.
Kubus Tiga Dimensi COSO ERM
Konsep Pokok Kerangka COSO ERM
1.
2.
3.
4.
5.
6.
7.
Suatu proses, berkelanjutan, dan mengalir dalam entitas;
Dipengaruhi oleh orang-orang pada setiap tingkat organisasi;
Diterapkan dalam penetapan strategi;
Diterapkan pada entitas, pada setiap tingkat dan unit, dan termasuk
pengambilan risiko pada tiap tingkat jabatan entitas;
Dirancang untuk mengidentifikasi kejadian potensial yang
mempengaruhi entitas dan mengelola risiko dalam risiko yang dapat
diterima;
Mampu memberikan keyakinan memadai kepada manajemen dan
dewan;
Menghubungkan pencapaian tujuan dengan satu atau lebih kategori
yang terpisah tapi saling melengkapi.
Komponen COSO ERM – Integrated
Framework
1. Lingkungan internal
Komponen ini mencerminkan filosofi ERM sebagai suatu entitas, risiko
yang dapat diterima, board oversight (dewan komisaris), komitmen nilai
perilaku, kompetensi dan pengembangan SDM, serta menetapkan
otoritas dan tanggung jawab.
2. Penetapan tujuan
Manajemen menetapkan tujuan strategis, tujuan operasional, tujuan
pelaporan, dan kepatuhan yang diselaraskan dengan risiko yang dapat
diterima entitas
3. Identifikasi Peristiwa
Manajemen mengidentifikasi peristiwa baik berpotensi positif maupun
negatif terhadap kemampuan entitas untuk menerapkan strategi dan
mencapai tujuan serta kinerjanya.
Cont’d
4. Penilaian Risiko
Metode kualitatif dan kuantitatif untuk mengevaluasi kemungkinan dan
dampak peristiwa potensial, yang mungkin mempengaruhi pencapaian
tujuan.
5. Respons Risiko
Alternatif/opsi respon dengan mempertimbangkan biaya dengan manfaat
6. Kegiatan Pengendalian
Kebijakan dan prosedur pada semua tingkat dan semua fungsi
7. Informasi dan Komunikasi
Informasi internal dan eksternal yang memungkinkan seluruh personil
menyelesaikan tanggung-jawabnya
8. Pemantauan
Penilaian ada dan berfungsinya komponen ERM dan mutu kinerjanya dari
waktu ke waktu.
Proyek Pengembangan Kerangka COSO
ERM bersama
PriwcewaterhouseCoopers (PwC)
• Lima Tahapan Proyeknya :
a) Penilaian
b) Penetapan Visi
c) Mendesain Kerangka
d) Persiapan untuk Public Exposure
e) Finalisasi
Dokumen Draft kerangka ERM dipaparkan selama
periode 90 Hari dan diuji coba pada entitas terpilih
Hubungan COSO ERM dengan
COSO ICIF
1. Kerangka ERM lebih luas, berfokus pada manajemen risiko
dan meliputi kerangka pengendalian intern.
2. Kerangka ERM menambahkan satu kategori tujuan baru,
yaitu tujuan strategis, dan memperluas tujuan pelaporan,
termasuk pelaporan internal.
3. Kerangka ERM memperkenalkan konsep risiko yang dapat
diterima dan toleransi risiko (risk tolerance).
4. Kerangka ERM memperluas komponen penilaian risiko
dalam empat komponen yaitu penetapan tujuan, identifikasi
peristiwa, penilaian risiko, dan respon risiko.
Manfaat Penerapan COSO ERM
Tujuan Utama : Mengidentifikasi keyakinan memadai bagi
manajemen dan dewan agar tujuan bisnis entitas tercapai.
Manfaat lain :
1. Membantu manajemen mengambil resiko yagd apat diterima
2. Meningkatkan keputusan untuk merespon resiko
3. Mengurangi kerugian operasional yang tidak terduga
4. Mengidentifikasi dan mengelola resiko entitas, mengidentifikasi
respon yang terintegrasi pada resiko yang bersifat ganda
5. Menggunakan peluang untuk meningkatkan penyaluran modal.
Pertimbangan Penerapan COSO
ERM
1. Mengurangi keragaman kinerja yang tidak dapat diterima
2. Mengintegrasikan bermacam-macam pandangan manajemen
risiko
3. Membangun keyakinan investor dan stakeholder
4. Meningkatkan corporate governance
5. Sukses merespon perubahan lingkungan bisnis
6. Membentuk strategi dan budaya entitas
Langkah yang Perlu Dilakukan dalam
Mengimplementasikan ERM
1. Mengadopsi suatu bahasa risiko yang umum
2. Melakukan penilaian risiko entitas untuk mengidentifikasi dan
memprioritaskan risiko-risiko organisasi yang kritis.
3. Melaksanakan suatu analisis kesenjangan dari kemampuan saat ini
dan yang diharapkan dalam mengelola risiko-risiko yang kritis.
4. Mengartikulasikan visi manajemen risiko, tujuan dan sasaran, serta
pelaksanaan permasalahan nilai untuk mengidentifikasi
pertimbangan ekonomi untuk maju kedepan
5. Meningkatkan kemampuan manajemen risiko organisasi untuk
satu atau dua risiko kritis yakni mulai dengan suatu area resiko
dimana pengurus senior mengetahui perbaikan-perbaikan yang
diperlukan untuk melaksanakan strategi bisnis dengan sukses.
Strategi Mengimplementasikan
ERM
1. Identifikasi dan pahami risiko prioritas organisasi untuk
menetapkan suatu konteks.
2. Gunakan kerangka COSO untuk menggambarkan kondisi
kemampuan manajemen risiko yang ada sekarang.
3. Gunakan kerangka COSO untuk menggambarkan kondisi
kemampuan manajemen risiko yang diinginkan di masa
depan.
4. Analisa dan artikulasikan ukuran kesenjangan antara (b) dan
(c) dan sifat alami perbaikan-perbaikan yang diperlukan
untuk menutup kesenjangan.
Cont’d
5. Berdasarkan pada analisa di atas, kembangkan suatu kasus
bisnis untuk menujukkan kesenjangan dalam
mengidentifikasi pertimbangan ekonomi bagi seluruh usaha
untuk menerapkan peningkatan prasarana ERM.
6. Mengorganisasikan rencana yang mempertimbangkan
kemampuan prasarana ERM.
7. Lakukan pengawasan dan sediakan fasilitas yang diperlukan
untuk memastikan pengintegrasian dan koordinasi yang
efektif diseluruh kegiatan
48
BAB - IV
Teknik Penilaian Risiko
49
Teknik Penilaian Risiko ISO 31000
1. Brainstorming
Brainstorming merupakan pembahasan diantara kelompok yang
mengharuskan penggunaan imajinasi yang tinggi untuk ;
mengidentifikasi model kegagalan potensial dan bahaya yang
berkaitan,
risiko-risiko,
kriteria-kriteria untuk mengambil keputusan dan atau pilihan-pilihan
untuk melakukan tindakan
2. Wawancara Terstruktur dan Semi Terstruktur
Interview secara pribadi dengan daftar pertanyaan yang telah disiapkan
untuk mendorong interviewer melihat situasi dari prespektif tertentu dan
mengidentifikasi risiko dari perspektif tersebut. Untuk yang semi
terstruktur dimungkinkan lebih banyak tanya-jawab yang bebas untuk
mengeksplor masalah masalah yang diangkat.
Teknik Penilaian Risiko ISO 31000
3. Delphy Technique
Teknik Delphi adalah suatu prosedur untuk memperoleh konsensus opini
yang dapat dipercaya dari sebuah group ahli, secara individual dan tanpa
nama yang selanjutnya dilakukan penilaian dengan melibatkan para ahli
lainnya.
4. Check-List
5. Preliminary Hazard Analysis (PHA)
6. Hazard and operability study (Hazop)
Metode pengujian yang terstruktur dan sistemik dari sebuah perencanaan
atau produk yang ada, proses, prosedur atau sistem.
Teknik Penilaian Risiko ISO 31000
7. Hazard Analisys And Critical Control Point (HACCP)
8. Toxicity Assesment
9. Structured What-If Technique (SWIFT)
10. Scenario Analisys
11. Business Impact Analisys ( BIA)
12. Root Cause Analisys (RCA)
13. Failure Modes And Effect Analisys ( FMEA) And Failure Modes
And Effect And Critically Analysis( FMECA)
14. Fault Tree Analisis ( FTA)
15. Event Tree Analysis ( ETA)
Teknik Penilaian Risiko ISO 31000
16. Cause -Consequence Analysis
17. Cause-And-Effect Analysis (Analisis Sebab Akibat)
18. Layers Of Protection Analysis (LOPA)
19. Decision Tree Analysis
20. Human Reliability Assessment (HRA )
21. Bow Tie Analysis
22. Reliability Centred Maintenance
23. Sneak Analysis (SA) And Sneak Circuit Analysis (SCA)
24. Markov Analysis
25. Monte Carlo Simulation
26. Cost /Benefit Analysis (CBA)
Implementasi Teknik Penilaian
Risiko ISO 31000
1. Penggunaan teknik penilaian risiko diklasifikasikan
berdasarkan langkah proses penilaian risiko sebagai berikut:
I.
II.
Identifikasi risiko;
Analisis risiko:
a. Consequence analysis;
b. Estimasi probabilitas kuantitatif,kualitatif, atau semikuantitatif;
c. Menilai efektifitas dari kontrol yang ada;
d. Estimasi tingkat risiko;
III.
Evaluasi risiko.
Faktor yang Mempengaruhi
Pemilihan Teknik Penilaian Risiko
1. Sejauh mana sumber daya yang dibutuhkan (waktu dan
tingkat keahlian, kebutuhan data atau biaya),
2. Sifat dan tingkat ketidakpastian penilaian risiko berdasarkan
jumlah informasi yang tersedia dan hal yang diperlukan
untuk memenuhi tujuan,
3. Kompleksitas masalah dan teknik-teknik yang diperlukan
untuk menganalisisnya,
4. Apakah teknik tersebut dapat memberikan output kuantitatif.
BAB - V
Peran Audit Internal
56
Manfaat ERM
1.
2.
Meningkatkan kemungkinan pencapaian tujuan organisasi;
Pelaporan risiko-risiko yang berasal dari berbagai unit secara
konsolidatif kepada Dewan Komisaris;
3. Peningkatan pemahaman tentang risiko utama dan implikasinya
secara lebih luas;
4. Mengidentifikasi dan membagi risiko yang bersifat lintas bisnis;
5. Fokus manajemen yang lebih besar pada isu-isu yang benar-benar
penting;
6. Semakin menurunnya terjadinya kejutan atau krisis;
7. Lebih fokus secara internal dengan melakukan hal yang benar
dalam cara yang benar;
8. Peningkatan kemungkinan pencapaian tujuan terhadap inisiatif
yang berubah;
9. Kemampuan untuk mengambil risiko yang lebih besar untuk
memperoleh hasil yang lebih besar, dan
10. Proses pengambilan risiko dan pengambilan keputusan yang lebih
didasarkan pada informasi yang lebih banyak.
Kegiatan dalam Ruang Lingkup
ERM
1.
2.
3.
Mengartikulasikan dan mengkomunikasikan tujuan organisasi;
Menentukan risk appetite organisasi;
Membangun lingkungan internal yang sesuai, termasuk kerangka
manajemen risiko;
4. Mengidentifikasi potensi ancaman terhadap pencapaian tujuan;
5. Menilai risiko (yaitu dampak dan kemungkinan ancaman yang
terjadi);
6. Memilih dan mengimplementasikan respon terhadap risiko;
7. Melakukan kontrol dan kegiatan respon lainnya;
8. Mengkomunikasikan informasi tentang risiko secara konsisten di
semua tingkatan dalam organisasi;
9. Memantau dan mengkoordinasikan proses manajemen risiko dan
hasilnya terpusat , dan
10. Memberikan jaminan atas efektivitas pengelolaan risiko
Peran Audit Internal dalam ERM
Peran Pokok - Memberi Asurans
Terhadap ERM
1.
2.
3.
4.
5.
Memberi asurans atas proses manajemen risiko;
Memberi asurans bahwa risiko telah dievaluasi secara tepat;
Mengevaluasi proses manajemen risiko;
Mengevaluasi pelaporan risiko utama;
Mereviu pengelolaan risiko utama.
Peran ‘Legitimate’ – Memberi
Consulting terhadap ERM
1. Menyediakan tools dan teknik manajemen untuk
menganalisis risiko dan pengendalian;
2. Menjadi risk cha pio untuk memperkenalkan ERM ke
dalam organisasi, memberikan keahliannya dalam
manajemen risiko dan pengendalian bagi organisasi;
3. Memberikan saran, memfasilitasi lokakarya, membimbing
organisasi, dan mempromosikan kerangka kerja dan
pemahaman dalam hal risiko dan pengendalian;
4. Bertindak sebagai pusat koordinasi, pemantauan dan
pelaporan risiko; dan
5. Mendukung para manajer dalam mereka bekerja
mengidentifikasi cara terbaik untuk memitigasi risiko.
Safeguarding
1. Harus jelas bahwa manajemen tetap bertanggung jawab
terhadap proses manajemen risiko.
2. Sifat
tanggung
jawab
auditor
internal
harus
didokumentasikan dalam piagam audit internal dan disetujui
oleh komite audit.
3. Audit internal tidak diperkenankan mengelola risiko,
sekalipun atas nama manajemen.
Safeguarding
1. Audit internal harus memberikan saran, tanggapan dan
dukungan kepada manajemen dalam proses pengambilan
keputusan.
2. Audit internal juga tidak diperkenankan memberikan
asurans terhadap setiap bagian kerangka kerja ERM yang
menjadi tanggung jawabnya. Asurans tersebut harus
disediakan oleh pihak lain yang memiliki kualifikasi
memadai.
3. Setiap penugasan di luar kegiatan asurans harus diakui
sebagai suatu penugasan konsultasi, dan standar terkait
dengan penugasan tersebut harus dipatuhi.
Peran yang Dilarang bagi Audit
Internal Terkait ERM
1.
2.
3.
4.
5.
6.
Menetapkan risk appetite ;
Melaksanakan implementasi proses manajemen risiko;
Mengambil alih tanggung jawab terhadap risiko;
Mengambil keputusan untuk merespon risiko;
Melaksanakan respon risiko atas nama manajemen;
Mengambil alih tanggung jawab terhadap manajemen risiko
secara keseluruhan.
Peran Audit Internal Sebagai
Koordinator Pemberi Asurans
Sesuai dengan standar kinerja audit intern nomor 2050
Koordinasi, Kepala Eksekutif Audit harus berbagi informasi dan
mengkoordinasikan kegiatannya dengan penyedia layanan jasa
asurans dan konsultasi internal dan eksternal untuk memastikan
cakupan yang tepat dan meminimalkan duplikasi penugasan.
Memahami Pekerjaan yang
Dilakukan oleh Auditor Eksternal
1. Sifat, ruang lingkup, dan saat pekerjaan yang direncanakan
oleh auditor eksternal.
2. Penilaian auditor eksternal terhadap risiko dan materialitas.
3. Teknik, metode, dan terminologi auditor eksternal
memungkinkan CAE untuk:
a. mengkoordinasikan pekerjaan audit internal dan
eksternal,
b. mengevaluasi pekerjaan auditor eksternal, dan
c. berkomunikasi secara efektif dengan auditor eksternal.
4. Akses ke audit program dan kertas kerja auditor eksternal
harus dapat mendukung kondisi bahwa pekerjaan auditor
eksternal bisa diandalkan untuk keperluan audit internal.
Tiga Kelompok Dasar Unit
Penyedia Asurans
1. Mereka yang melapor ke manajemen dan/atau
merupakan bagian dari manajemen (manajemen
assurance), termasuk unit-unit yang melakukan control
self-assessments, auditor kualitas, auditor lingkungan,
dan personil asurans manajemen lain yang ditunjuk untuk
itu.
2. Mereka yang melapor ke Dewan Komisaris dan
Manajemen Senior, termasuk audit internal.
3. Mereka yang melaporkan kepada stakeholder eksternal
(assurans audit eksternal), yang merupakan peran
tradisional dan biasanya dilaksanakan oleh auditor
independen atau auditor lain yang ditentukan oleh
hukum.
Cont’d
Tingkat keyakinan yang diinginkan, dan siapa yang harus
memberikan asurans, akan bervariasi tergantung pada risiko
yang menjadi fokus asurans.
Three Lines Of Defense
Three Lines Of Defense
Lini pertama:
1. Manajemen lini dan karyawan (manajemen memberikan
asurans sebagai baris pertama pertahanan atas risiko
dan kontrol yang menjadi tanggung jawab mereka).
2. Manajemen senior
Three Lines Of Defense
Lini kedua:
1. Unit kepatuhan
2. Asurans kualitas
3. Unit manajemen risiko
4. Auditor lingkungan dan auditor keselamatan dan
kesehatan kerja
5. Tim pengkaji laporan keuangan
Three Lines Of Defense
Lini ketiga:
1. Auditor internal dan eksternal
2. Auditor kinerja dari pemerintah
3. Dewan-dewan tertentu (misalnya, audit, aktuaria,
kredit, dan tata kelola)
4. Penyedia asurans eksternal, termasuk reviu dari
spesialis (misalnya kesehatan dan keselamatan), dan
lain-lain.
Struktur Peta Asurans
1. Kategori risiko signifikan
2. Peran manajemen yang bertanggung jawab terhadap risiko
(risk owner)
3. Tingkat risiko inherent
4. Tingkat risiko residual
5. Cakupan audit eksternal
6. Cakupan audit internal
7. Jangkauan penyedia asurans lainnya
TERIMA KASIH