pemahaman manajemen risiko kesehatan di
Pemahaman
Manajemen Risiko
Skenario – Organisasi mempunyai tujuan dari A ke B
B
2
A
Pengertian Manajemen Risiko
Bank Indonesia
Widigdo Sukarman
William T. Thornhill
Robert Tampubolon
James Essinger
David Griffith
3
Manajemen risiko pada dasarnya
adalah:
usaha organisasi untuk mengelola
risiko yang dihadapi sampai suatu
batas yang dapat diterima (oleh
organisasi tersebut).
DEFINISI MANAJEMEN RESIKO
Adalah suatu proses pengambilan keputusan
yang sistematik dan terorganisir dengan baik,
yang secara effisien dapat mengidentifikasi
resiko, menganalisa resiko dan secara efektif
mengurangi atau mengeliminasi resiko guna
mencapai tujuan.
Berbeda
dengan
problem
solving yang action plan-nya
bersifat
represif,
pada
manajemen risiko, action plannya bersifat preventif
4
Kerangka Manajemen Risiko
COSO
SOURCE: AS/NZS 4360:1999
Menetapkan Konteks
Mengidentifikasi Risiko
Menganalisis Risiko
Mengevaluasi Risiko
Menentukan Perlakuan Risiko
Melakukan Pemantauan dan Penelaahan
Mengomunikasikan dan Mengkonsultasikan
Proses Manajemen Risiko
Tujuan Manajemen Risiko
• Risiko yang timbul dari strategi dan kegiatan-kegiatan bisnis telah
diidentifikasi dan diprioritaskan;
• Manajemen dan dewan komisaris telah menetapkan tingkat risiko
yang dapat diterima oleh organisasi, termasuk penerimaan risikorisiko yang dirancang untuk mencapai rencana strategik organisasi;
• Kegiatan-kegiatan pengurangan risiko (risk mitigation) dirancang dan
diimplementasikan untuk mengurangi, bahkan mengelola, risiko
pada tingkat yang telah ditetapkan dapat diterima oleh manajemen
dan dewan komisaris;
• Kegiatan-kegiatan pemantauan berkelanjutan dilaksanakan secara
berkala untuk menilai kembali risiko dan keefektifan pengendalian
untuk mengelola risiko;
• Dewan komisaris dan manajemen menerima laporan-laporan
berkala mengenai hasil-hasil proses manajemen risiko. Prosesproses tata kelola organisasi seharusnya menyediakan komunikasi
berkala kepada pemangku kepentingan (stakeholders) tentang
risiko-risiko, strategi-strategi risiko, dan pengendalian-pengendalian.
7
Tindakan perbaikan yang memadai
Jaminan bahwa proses berjalan
Mengidentifikasi dan mengevaluasi
Risiko potensial
Proses-proses
Manajemen Risiko
Pencapaian tujuan organisasi
8
Menilai efektifitas keseluruhan
pengendalian intern; serta
Menilai peran pengendalian
tersebut terhadap area-area yang
mengandung risiko tinggi
Aspek Pengendalian
(Pemantauan Terpisah)
•Mengubah cara merencanakan, menguji dan melaporkan
hasil auditnya
•Fokus audit khususnya pengendalian
9
Siklus Manajemen Risiko
Identifikasi
10
Pengukuran
Pemetaan Pengelolaan
Pemantauan dan
pengendalian
Siklus Manajemen Risiko
Identifikasi
Caranya?
• Analisis
Pengukuran
Pemetaan
Pengelolaan
Pemantauan
&
pengendalian
11
terhadap pemangku kepentingan
Langkah-langkah untuk menentukan risiko:
1. Menentukan pendekatan yang akan dipakai
2. Menentukan sasaran yang akan dicapai
3. Menentukan produk atau jasa yang akan
dihasilkan
4. Menentukan kegiatan untuk menghasilkan
produk atau jasa
5. Menentukan BUOP yang fatal
6. Menentukan kejadian berisiko pada BUOP
7. Menentukan penyebab risiko
Siklus Manajemen Risiko
Identifikasi
Sebuah proses pengestimasian nilai (score) risiko
dalam sebuah organisasi
Pengukuran
Pemetaan
Pengelolaan
Pemantauan
&
pengendalian
12
Faktor yang mempengaruhi:
1. Kuantitas risiko
Berapa banyak nilai atau eksposur yang rentan
terhadap risiko
2. Kualitas risiko
Terkait dengan kemungkinan terjadinya risiko
tersebut
Kata kunci dari risiko
• Adanya unsur “kemungkinan
terjadi”, yang dinotasikan dalam
rumus, sebagai :(K), atau Pr
(Probability), atau L (likelihood)
• Adanya unsur “dampak”, yang
dinotasikan sebagai (D), atau E
(exposure), atau
C(consequency)
• Rumus risiko menjadi :
• R= K x D ( Indonesia); atau
• R= Pr x E (USA); atau
• R = L x C ( Australia dan New
Zeland)
Pendeteksian terhadap unsur kemungkinan
terjadinya risiko
• Peristiwa pengulangan: peristiwa risiko yang pernah terjadi di
salah satu Daop/bagian, diperkirakan dapat terjadi di Daop/
bagian lain atau di unit tersebut lagi.
• Hal baru : peristiwa risiko belum pernah terjadi di PT KAI ,
namun diperkirakan dapat terjadi peristiwa risiko yang
diakibatkan adanya : perubahan (kebijakan organisasi, metode
kerja,
sistem nilai, aturan/keputusan pemerintah, dll),
pengembangan infrastruktur(baru), kondisi poleksosbud,
persaingan, teknologi baru, alam( anomali musim, gempa , dll)
• Adanya proses operasi yang rumit( misalnya
penggantian prasarana, proses penetapan subsidi,dll )
proses
Pendeteksian unsur Dampak dari suatu risiko
• Nilai”dampak” dari suatu
risiko merupakan nilai
kerugian/konsekuensi
yang diperkirakan diderita
atas terjadinya peristiwa
risiko, baik secara
kuantitatif maupun secara
kualitatif
• Nilai dampak dapat
bersifat tunggal dari suatu
proses maupun bersifat
“domino efect” dari suatu
proses yang berurutan
Pengukuran Risiko
Pengukuran/Penaksiran risiko:
Penentuan tingkat kemungkinan terjadinya risiko
serta pengaruh/akibat yang harus ditanggung oleh
entitas/ organisasi.
• kemungkinan terjadinya suatu risiko (likelihood
atau probability) adalah tingkat kejadian risiko
atau
kemungkinan
perubahan
dari
suatu
kedaaan.
• konsekuensi risiko (consequences /impact) adalah
outcomes/dampak dari risiko berdasarkan suatu
putusan, baik yang bersifat positif maupun negatif
16
(Tabel 3.1)
17
Pengukuran Risiko
Bagaimana melakukan
PENGUKURAN RISIKO
• Proses yang sistematis untuk mengukur tingkat
signifikansi atau level risiko
• Level risiko diperoleh dari hubungan antara
tingkat likelihood (frekuensi atau kemungkinan
terjadinya) dan dampak/ konsekuensi jika risiko
terjadi.
Tiga jenis pendekatan pengukuran risiko
a. Analisis Kualitatif
• Menggunakan istilah deskriptif untuk mengambarkan
ukuran probabilitas/likelihood dan konsekuensi kerugian
• Pengukuran risiko awal untuk mengetahui level risikorisiko yang telah diidentifikasi
• Digunakan bila waktu dan sumber daya tidak
memungkinkan untuk melakukan pengukuran risiko yang
lebih akurat
• Bila data numerik tidak memadai untuk dilakukan
pengukuran secara kuantitatif
Contoh Analisis Kualitatif :
Likelihood (Kemungkinan terjadi)
Level
Penjelasan
Hampir Pasti
Dapat terjadi pada banyak keadaan
Kemungkinan
besar
Akan mungkin terjadi pada banyak keadaan
Kemungkinan
sedang
Dapat terjadi pada beberapa waktu
Kemungkinan
kecil
Mungkin terjadi pada beberapa waktu
Jarang
Mungkin terjadi hanya pada kondisi tidak normal
Contoh Kriteria Risiko Kualitatif – Konsekuensi/Dampak
Finansial
Tidak
Signifikan
Keselamatan
Kerja Karyawan
Lingkungan
Reputasi /
Kepuasan
Pelanggan
Kerugian
finansial kecil
Tidak ada
cedera
Polusi ringan
Isu-isu signifikan
dengan luas
pengaruh individu
Kerugian
finansial
sedang
Penanganan
pertolongan
pertama
Polusi yang
signifikan
Isu-isu signifikan
dengan luas
pengaruh
perusahaan
Menengah
Kerugian
finansial cukup
besar
Diperlukan
penanganan
medis
Polusi yang
serius
Isu-isu signifikan
dengan luas
pengaruh area
lokal
Besar
Kerugian
finansial besar
Cidera yang
meluas
Kejadian
lingkungan
yang besar
Isu-isu signifikan
dengan luas
pengaruh nasional
Kerugian
finansial
sangat besar
Kematian
Kejadian yang
dahsyat
Isu-isu signifikan
dengan luas
pengaruh
internasional
Rendah
Dahsyat
Contoh Matriks
Analisis Risiko Kualitatif
Likelihood
Konsekuensi
Tidak
Rendah
Signifikan
Menengah
Besar
Dahsyat
Hampir Pasti
Tinggi
Tinggi
Ekstrim
Ekstrim
Ekstrim
Kemungkinan
besar
Menengah
Tinggi
Tinggi
Ekstrim
Ekstrim
Kemungkinan
sedang
Rendah
Menengah
Tinggi
Ekstrim
Ekstrim
Kemungkinan
kecil
Rendah
Rendah
Menengah
Tinggi
Ekstrim
Jarang
Rendah
Rendah
Menengah
Tinggi
Tinggi
b. Analisis Semi Kuantitatif (ordinal)
• Ukuran signifikansi dan likelihood risiko kualitatif
diberi score/nilai tertentu, biasanya bobot 1 sampai
dengan 5 (ordinal skala Likert)
• Tidak menggunakan istilah yang subyektif (rendah,
sedang, tinggi, ekstrim) dalam menentukan level risiko
• Memiliki perbandingan ukuran risiko yang lebih
detail/lebih banyak dibandingkan dengan ukuran risiko
kualitatif
Contoh Matriks Risiko
Semi Kuantitatif
Konsekuensi Kerugian
Likelihood
Peristiwa Risiko
(Frekuensi
Tahunan)
Pengali 1.
0,5
Pengali 2
Rendah
Pengali 3
Menengah
Pengali 4
0,5
1
1,5
2
2,5
0,1
0,2
0,3
0,4
0,5
0,01
0,02
0,03
0,04
0,05
0,001
0,002
0,003
0,004
0,005
0,0001
0,0002
0,0003
0,0004
0,0005
Tidak
signifikan
Besar
Pengali 5
Dahsyat
(hampir pasti)
0,1
(kemungkn
besar)
0,01
(Kemu
menengah)
0,001
(kemungk kecil)
0,0001
(jarang)
PETA RISIKO (RISK MAP)
CONSEQUENCE
.
2.3
Integritas
3
1.2
Konsumen
2
2.9
1.4
KoordinasiTeknologi
2.13
Akses
1
2.15
Pemis. Unit
0
1
2
2.4
Infrastruk
2.2
Produk
2.6
1.3
2.5
Regulasi PengawasanKemitraan
2.12
2.10
2.11
Legalitas Likui (1) Likui (2)
2.14
Aks&Integ
2.1
SDM
1.1
Pesaing
1.5
Politik
2.7
Kecurangan
2.8
Independ
3LIKELIHOOD
c. Analisis Kuantitatif
•
Analisis kuantitatif menggunakan nilai angka (bukan skala
deskriptif seperti dalam analisis kualitatif dan semi-kuantitatif).
•
Likelihood biasanya dinyatakan dalam prosentase frekuensi
( dengan menggunakan distribusi normal, distr poisson atau
konsensus)
•
Konsekuensi kerugian dapat diestimasi dengan membuat model
outcome dari suatu atau beberapa peristiwa, atau dengan
ekstrapolasi hasil kajian eksperimen atau data masa lalu.
•
Konsekuensi dapat dinyatakan dalam satuan moneter, hari kerja,
hari kalender, atau kriteria lainnya.
SKEMA KUANTITASI RISIKO
KUANTIFIKASI PENGUKURAN RISIKO
METODE APROKSIMASI
(KIRA-KIRA)
METODE
METODE
DISTRIBUSI
DISTRIBUSI
POISSON
DATA YG LALU
GUDANG, K3LH,
DEPUM, DEPKU,
PPC, MUTU
NORMAL
KESEPAKATAN
WAWANCARA
RAPAT
RAPAT
KABAG
KABAG
SKALA
KEMUNGKINAN (DELPHI
NGT,SISTEM PAKAR)
TINGKAT KEMUNGKINAN TERJADI
(DALAM PROSEN)
27
CONTOH SKALA KEMUNGKINAN :TEKNIK DELPHI
CONTOH SKALA KEMUNGKINAN: SISTEM PAKAR
• Tujuh anggota team manajemen risiko PT KAI menetapkan
kemungkinan terjadinya longsor di Purwakarta yang
berdampak menimbun rel,
• Dengan metode sistem pakar. Pendapat anggota team yang
menyajikan nilai kemungkinan terendah =5% sedang
kemungkinan tertinggi=10%.
Team menghadirkan pakar( mantan Dirjen Kereta Api) yang
berpendapat, nilai kemungkinan terjadi longsor=6,5%.
• Nilai kemungkinan terhitung = (1*5%+1*10%+4*6,5%) : 6 =
7%
Contoh : KASUS KERETA API
Dari data tahun 2000-2010 disimpulkan ratarata pertahun terjadinya pelemparan kereta
api 0,2%, dengan rata-rata jumlah perjalanan
1500 kali.
Menurut perhitungan, bila terjadi satu kali
pelemparan, rata-rata kerugian perusahaan
mencapai Rp 100.000.000,--,
Karena
adanya
perubahan
budaya
di
masyarakat
dan
frekuensi
penumpang
suporter pertandingan sepak bola yang
meningkat, diperkirakan pada tahun 2011
akan terjadi pelemparan kereta api sebanyak
lima kali.
Buatlah
perhitungan
resiko
dengan
Jawaban :
Rata-rata pelemparan (µ)
perjalanan = 3 peristiwa
=
0,2%
*
1500
Diperkirakan tahun 2011 terjadi pelemparan 5
kali maka : P (5), µ = 3, bila dilihat pada tabel
distribusi
poisson,
akan
diperoleh
angka
P=0,1003.
Jadi P (Kemungkinan) = 10,03% (dibulatkan
menjadi 10%)
Nilai resiko akibat pelemparan kereta api = 10%
* 5 * Rp 100.000.000 = Rp 50.000.000
Perhitungan skala kemungkinan dengan
pendekatan statistik (distrb.normal)
• Dari sample perjalanan 50 kali KA Argo Parahyangan
Bandung-Gambir, rata-rata lama perjalanan adalah
180 menit dengan deviasi standar 30 menit.
• Bila lama perjalanan mencapai 200 menit, kereta
akan terlambat berangkat kembali ke Bandung, dan
30% calon penumpang akan berpindah ke moda
travel, dengan dampak kerugian pemasaran Rp 10
juta/route.
Bagaimana perhitungan nilai risiko pemasaran
dengan menggunakan distribusi z?
Jawaban:
• Z = (X-µ):σ = (215-200):30 = 0,50
• Z = (0,50) pada tabel distr.z menunjukkan
nilai probabilitas 30,85%,
• maka nilai risiko keterlambatan perjalanan
kereta argo = 30,89% x Rp 10 juta/route =
Rp3.089.000 setiap route
Siklus Manajemen Risiko
Identifikasi
Tujuannya
Pengukuran
Untuk menentukan skala prioritas berdasarkan
kepentingan organisasi
Pengelolaan
Pemantauan
&
pengendalian
35
kemungkinan
Pemetaan
dampak
Ilustrasi
adalah
suatu
Pemetaan
risiko
proses
untuk
menggambarkan:
- tujuan yang hendak dicapai oleh organisasi;
- mengenai risiko dan proses yang harus ditempuh untuk
mengidentifikasi (risiko yang mungkin terjadi),
- rencana pengendalian intern, dengan ilustrasi sbb :
36
Diagram Risk Map
Suatu metode untuk menentukan dapat diterima atau tidaknya suatu risiko dapat
dilakukan dengan menggunakan suatu tabel yang mengaitkan antara kemungkinan
terjadinya risiko (likelihood) dan konsekuensi atau dampak terjadinya risiko
(consequences)
37
Register Risiko
• Daftar risiko (risk register) dibuat oleh Manajemen/Unit Kerja
Manajemen Risiko (UKMR) (bagi perusahaan yang telah memiliki)
Daftar risiko tersebut memuat informasi sbb:
•Risiko-risiko
yang
telah
diidentifikasi
dan/atau
diketahui oleh
manajemen dan auditor intern beserta bobot risikonya;
•Proses
penanganan,
dan
kemungkinan
dampak
terjadinya akibat
ancaman risiko tersebut;
•Pemilik risiko atau dimana risiko tersebut dapat terjadi;
Digunakan sebagai dasar penetapan risiko pada perencanaan
audit internal berbasis risiko.
38
• Inherent risk (risiko melekat atau absolut):
Risiko yang melekat pada setiap aktivitas
/bisnis
• Residual risk (risiko terkendali):
Risiko setelah pengendalian intern
diberlakukan.
• Risk appetite:
Risiko yang berada pada tingkatan yang dapat
ditoleransi.
39
Siklus Manajemen Risiko
Identifikasi
Cara menyikapi risiko:
Pengukuran
Pemetaan
Pengelolaan
1. Memperlakukan risiko sebagai bagian dari
penyusunan strategi dan perencanaan keuangan
dan operasional organisasi
2. Mempersiapkan sumber dana sebagai cadangan
untuk mengatasi kerugian
3. Menerapkan manajemen risiko (Mitigasi Risiko)
a. Menghindari
Pemantauan
&
pengendalian
b. Mengurangi
c.
Memindahkan
d. Menahan
41
Mitigasi Risiko
Auditor internal juga harus memahami bagaimana auditi menghadapi risiko
•
•
•
•
•
•
42
Menghindari Risiko (Avoid Risk), yaitu melakukan pengkajian ulang suatu proses untuk
menghindari risiko tertentu (specifics risk) dengan cara membuat perencanaan untuk
mengurangi keseluruhan risiko.
Meragamkan Risiko (Diversity Risk), yaitu menyebarkan risiko ke beberapa aset
atau proses untuk mengurangi keseluruhan risiko kerugian atau kerusakan.
Pengendalian Risiko (Control Risk), yaitu menyusun suatu kegiatan untuk encegah,
mendeteksi atau menciptakan keadaan sebaliknya sehingga dapat memberikan outcomes
positif.
Membagi Risiko (Share Risk), yaitu mengalokasikan risiko melalui kontrak
dengan pihak lain seperti entitas asuransi.
Mentransfer Risiko (Transfer Risk), yaitu mengalokasikan seluruh risiko melalui kontrak
dengan pihak lain seperti outsourcing.
Menerima
Risiko
(Accept Risk),
yaitu membiarkan
terjadinya
risiko
karena tidak sebanding dengan biaya yang harus dikeluarkan. Contoh: toko kelontong
kecil hanya mempekerjakan satu orang untuk menangani seluruh kegiatan mulai dari
menjadi kasir, melayani penyerahan barang, dan membuat pembukuannya.
Siklus Manajemen Risiko
Identifikasi
Tujuannya
Pengukuran
Memastikan bahwa pelaksanaan pengelolaan risiko
telah berjalan sesuai dengan rencananya
Pemantauan Berkelanjutan (self assessment)
Pemetaan
Pemantauan Berkelanjutan (self assessment)
Pengelolaan
Pemantauan
&
pengendalian
43
Analisis dan Pengukuran
• Dalam melakukan AIBR, auditor harus memahami proses analisis
dan penaksiran risiko yang dihadapi auditi (risk assessment)
1
44
Risiko kegiatan dari auditi (the auditee business
risk)
Cara atau metode manajemen mengurangi atau
2
meminimalisasi risiko
Wilayah/area yang mengandung risiko dan belum
3 diidentifikasi oleh manajemen secara memadai
atau bahkan tidak diketahui sama sekali oleh
manajemen.
Evaluasi Risiko
Tujuan :
Menentukan prioritas risiko sehingga dapat
diketahui risiko-risiko mana saja yang perlu
mendapat perhatian segera dan memerlukan
perlakuan lebih lanjut
PROSES EVALUASI RISIKO (INHERENT RISK,
ACTION PLAN, RESIDUAL RISK & APPETITE RISK)
• Merupakan proses pembandingan antara level risiko yang
dihasilkan selama proses analisis dengan kriteria risiko yang telah
ditetapkan sebelumnya, yang dapat dan tidak dapat diterima
• Batas nilai resiko yang dapat diterima oleh perusahaan disebut
appetite risk, sedangkan resiko awal (sebelum action plan) disebut
inherent risk.
• Bila inherent risk diatas appetite risk, perusahaan perlu
menyiapkan action plan agar nilai inherent risk dapat menurun
• Nilai inherent risk setelah ada action plan disebut residual risk
• Bila expected residual risk lebih rendah dari appetite risk, maka
pelaksanaan proyek/kegiatan berada dalam pemantauan
• Bila expected residual risk masih lebih tinggi dari appetite risk,
direksi harus memutuskan pilihan perlakuan thd resiko
Jika Proses Manajemen Risiko belum dilakukan………
Konsultan
• Membantu organisasi dalam mengidentifikasi,
mengevaluasi,
dan
mengimplementasikan
manajemen risiko dan perhatian Dewan Komisaris,
dan menetapkan cara-cara penyelesaian melalui
operasi
dan
pengendalian-pengendalian
manajemen risiko.
• Mengidentifikasi perhatian manajemen dan Dewan
Komisaris dan menetapkan cara penyelesaiannya
melalui proses manajemen risiko.
• Memberitahu manajemen atas kekurangan proses
manajemen risiko dan memberikan saran-saran
untuk menjalankan proses manajemen risiko
47
Manajemen Risiko
Skenario – Organisasi mempunyai tujuan dari A ke B
B
2
A
Pengertian Manajemen Risiko
Bank Indonesia
Widigdo Sukarman
William T. Thornhill
Robert Tampubolon
James Essinger
David Griffith
3
Manajemen risiko pada dasarnya
adalah:
usaha organisasi untuk mengelola
risiko yang dihadapi sampai suatu
batas yang dapat diterima (oleh
organisasi tersebut).
DEFINISI MANAJEMEN RESIKO
Adalah suatu proses pengambilan keputusan
yang sistematik dan terorganisir dengan baik,
yang secara effisien dapat mengidentifikasi
resiko, menganalisa resiko dan secara efektif
mengurangi atau mengeliminasi resiko guna
mencapai tujuan.
Berbeda
dengan
problem
solving yang action plan-nya
bersifat
represif,
pada
manajemen risiko, action plannya bersifat preventif
4
Kerangka Manajemen Risiko
COSO
SOURCE: AS/NZS 4360:1999
Menetapkan Konteks
Mengidentifikasi Risiko
Menganalisis Risiko
Mengevaluasi Risiko
Menentukan Perlakuan Risiko
Melakukan Pemantauan dan Penelaahan
Mengomunikasikan dan Mengkonsultasikan
Proses Manajemen Risiko
Tujuan Manajemen Risiko
• Risiko yang timbul dari strategi dan kegiatan-kegiatan bisnis telah
diidentifikasi dan diprioritaskan;
• Manajemen dan dewan komisaris telah menetapkan tingkat risiko
yang dapat diterima oleh organisasi, termasuk penerimaan risikorisiko yang dirancang untuk mencapai rencana strategik organisasi;
• Kegiatan-kegiatan pengurangan risiko (risk mitigation) dirancang dan
diimplementasikan untuk mengurangi, bahkan mengelola, risiko
pada tingkat yang telah ditetapkan dapat diterima oleh manajemen
dan dewan komisaris;
• Kegiatan-kegiatan pemantauan berkelanjutan dilaksanakan secara
berkala untuk menilai kembali risiko dan keefektifan pengendalian
untuk mengelola risiko;
• Dewan komisaris dan manajemen menerima laporan-laporan
berkala mengenai hasil-hasil proses manajemen risiko. Prosesproses tata kelola organisasi seharusnya menyediakan komunikasi
berkala kepada pemangku kepentingan (stakeholders) tentang
risiko-risiko, strategi-strategi risiko, dan pengendalian-pengendalian.
7
Tindakan perbaikan yang memadai
Jaminan bahwa proses berjalan
Mengidentifikasi dan mengevaluasi
Risiko potensial
Proses-proses
Manajemen Risiko
Pencapaian tujuan organisasi
8
Menilai efektifitas keseluruhan
pengendalian intern; serta
Menilai peran pengendalian
tersebut terhadap area-area yang
mengandung risiko tinggi
Aspek Pengendalian
(Pemantauan Terpisah)
•Mengubah cara merencanakan, menguji dan melaporkan
hasil auditnya
•Fokus audit khususnya pengendalian
9
Siklus Manajemen Risiko
Identifikasi
10
Pengukuran
Pemetaan Pengelolaan
Pemantauan dan
pengendalian
Siklus Manajemen Risiko
Identifikasi
Caranya?
• Analisis
Pengukuran
Pemetaan
Pengelolaan
Pemantauan
&
pengendalian
11
terhadap pemangku kepentingan
Langkah-langkah untuk menentukan risiko:
1. Menentukan pendekatan yang akan dipakai
2. Menentukan sasaran yang akan dicapai
3. Menentukan produk atau jasa yang akan
dihasilkan
4. Menentukan kegiatan untuk menghasilkan
produk atau jasa
5. Menentukan BUOP yang fatal
6. Menentukan kejadian berisiko pada BUOP
7. Menentukan penyebab risiko
Siklus Manajemen Risiko
Identifikasi
Sebuah proses pengestimasian nilai (score) risiko
dalam sebuah organisasi
Pengukuran
Pemetaan
Pengelolaan
Pemantauan
&
pengendalian
12
Faktor yang mempengaruhi:
1. Kuantitas risiko
Berapa banyak nilai atau eksposur yang rentan
terhadap risiko
2. Kualitas risiko
Terkait dengan kemungkinan terjadinya risiko
tersebut
Kata kunci dari risiko
• Adanya unsur “kemungkinan
terjadi”, yang dinotasikan dalam
rumus, sebagai :(K), atau Pr
(Probability), atau L (likelihood)
• Adanya unsur “dampak”, yang
dinotasikan sebagai (D), atau E
(exposure), atau
C(consequency)
• Rumus risiko menjadi :
• R= K x D ( Indonesia); atau
• R= Pr x E (USA); atau
• R = L x C ( Australia dan New
Zeland)
Pendeteksian terhadap unsur kemungkinan
terjadinya risiko
• Peristiwa pengulangan: peristiwa risiko yang pernah terjadi di
salah satu Daop/bagian, diperkirakan dapat terjadi di Daop/
bagian lain atau di unit tersebut lagi.
• Hal baru : peristiwa risiko belum pernah terjadi di PT KAI ,
namun diperkirakan dapat terjadi peristiwa risiko yang
diakibatkan adanya : perubahan (kebijakan organisasi, metode
kerja,
sistem nilai, aturan/keputusan pemerintah, dll),
pengembangan infrastruktur(baru), kondisi poleksosbud,
persaingan, teknologi baru, alam( anomali musim, gempa , dll)
• Adanya proses operasi yang rumit( misalnya
penggantian prasarana, proses penetapan subsidi,dll )
proses
Pendeteksian unsur Dampak dari suatu risiko
• Nilai”dampak” dari suatu
risiko merupakan nilai
kerugian/konsekuensi
yang diperkirakan diderita
atas terjadinya peristiwa
risiko, baik secara
kuantitatif maupun secara
kualitatif
• Nilai dampak dapat
bersifat tunggal dari suatu
proses maupun bersifat
“domino efect” dari suatu
proses yang berurutan
Pengukuran Risiko
Pengukuran/Penaksiran risiko:
Penentuan tingkat kemungkinan terjadinya risiko
serta pengaruh/akibat yang harus ditanggung oleh
entitas/ organisasi.
• kemungkinan terjadinya suatu risiko (likelihood
atau probability) adalah tingkat kejadian risiko
atau
kemungkinan
perubahan
dari
suatu
kedaaan.
• konsekuensi risiko (consequences /impact) adalah
outcomes/dampak dari risiko berdasarkan suatu
putusan, baik yang bersifat positif maupun negatif
16
(Tabel 3.1)
17
Pengukuran Risiko
Bagaimana melakukan
PENGUKURAN RISIKO
• Proses yang sistematis untuk mengukur tingkat
signifikansi atau level risiko
• Level risiko diperoleh dari hubungan antara
tingkat likelihood (frekuensi atau kemungkinan
terjadinya) dan dampak/ konsekuensi jika risiko
terjadi.
Tiga jenis pendekatan pengukuran risiko
a. Analisis Kualitatif
• Menggunakan istilah deskriptif untuk mengambarkan
ukuran probabilitas/likelihood dan konsekuensi kerugian
• Pengukuran risiko awal untuk mengetahui level risikorisiko yang telah diidentifikasi
• Digunakan bila waktu dan sumber daya tidak
memungkinkan untuk melakukan pengukuran risiko yang
lebih akurat
• Bila data numerik tidak memadai untuk dilakukan
pengukuran secara kuantitatif
Contoh Analisis Kualitatif :
Likelihood (Kemungkinan terjadi)
Level
Penjelasan
Hampir Pasti
Dapat terjadi pada banyak keadaan
Kemungkinan
besar
Akan mungkin terjadi pada banyak keadaan
Kemungkinan
sedang
Dapat terjadi pada beberapa waktu
Kemungkinan
kecil
Mungkin terjadi pada beberapa waktu
Jarang
Mungkin terjadi hanya pada kondisi tidak normal
Contoh Kriteria Risiko Kualitatif – Konsekuensi/Dampak
Finansial
Tidak
Signifikan
Keselamatan
Kerja Karyawan
Lingkungan
Reputasi /
Kepuasan
Pelanggan
Kerugian
finansial kecil
Tidak ada
cedera
Polusi ringan
Isu-isu signifikan
dengan luas
pengaruh individu
Kerugian
finansial
sedang
Penanganan
pertolongan
pertama
Polusi yang
signifikan
Isu-isu signifikan
dengan luas
pengaruh
perusahaan
Menengah
Kerugian
finansial cukup
besar
Diperlukan
penanganan
medis
Polusi yang
serius
Isu-isu signifikan
dengan luas
pengaruh area
lokal
Besar
Kerugian
finansial besar
Cidera yang
meluas
Kejadian
lingkungan
yang besar
Isu-isu signifikan
dengan luas
pengaruh nasional
Kerugian
finansial
sangat besar
Kematian
Kejadian yang
dahsyat
Isu-isu signifikan
dengan luas
pengaruh
internasional
Rendah
Dahsyat
Contoh Matriks
Analisis Risiko Kualitatif
Likelihood
Konsekuensi
Tidak
Rendah
Signifikan
Menengah
Besar
Dahsyat
Hampir Pasti
Tinggi
Tinggi
Ekstrim
Ekstrim
Ekstrim
Kemungkinan
besar
Menengah
Tinggi
Tinggi
Ekstrim
Ekstrim
Kemungkinan
sedang
Rendah
Menengah
Tinggi
Ekstrim
Ekstrim
Kemungkinan
kecil
Rendah
Rendah
Menengah
Tinggi
Ekstrim
Jarang
Rendah
Rendah
Menengah
Tinggi
Tinggi
b. Analisis Semi Kuantitatif (ordinal)
• Ukuran signifikansi dan likelihood risiko kualitatif
diberi score/nilai tertentu, biasanya bobot 1 sampai
dengan 5 (ordinal skala Likert)
• Tidak menggunakan istilah yang subyektif (rendah,
sedang, tinggi, ekstrim) dalam menentukan level risiko
• Memiliki perbandingan ukuran risiko yang lebih
detail/lebih banyak dibandingkan dengan ukuran risiko
kualitatif
Contoh Matriks Risiko
Semi Kuantitatif
Konsekuensi Kerugian
Likelihood
Peristiwa Risiko
(Frekuensi
Tahunan)
Pengali 1.
0,5
Pengali 2
Rendah
Pengali 3
Menengah
Pengali 4
0,5
1
1,5
2
2,5
0,1
0,2
0,3
0,4
0,5
0,01
0,02
0,03
0,04
0,05
0,001
0,002
0,003
0,004
0,005
0,0001
0,0002
0,0003
0,0004
0,0005
Tidak
signifikan
Besar
Pengali 5
Dahsyat
(hampir pasti)
0,1
(kemungkn
besar)
0,01
(Kemu
menengah)
0,001
(kemungk kecil)
0,0001
(jarang)
PETA RISIKO (RISK MAP)
CONSEQUENCE
.
2.3
Integritas
3
1.2
Konsumen
2
2.9
1.4
KoordinasiTeknologi
2.13
Akses
1
2.15
Pemis. Unit
0
1
2
2.4
Infrastruk
2.2
Produk
2.6
1.3
2.5
Regulasi PengawasanKemitraan
2.12
2.10
2.11
Legalitas Likui (1) Likui (2)
2.14
Aks&Integ
2.1
SDM
1.1
Pesaing
1.5
Politik
2.7
Kecurangan
2.8
Independ
3LIKELIHOOD
c. Analisis Kuantitatif
•
Analisis kuantitatif menggunakan nilai angka (bukan skala
deskriptif seperti dalam analisis kualitatif dan semi-kuantitatif).
•
Likelihood biasanya dinyatakan dalam prosentase frekuensi
( dengan menggunakan distribusi normal, distr poisson atau
konsensus)
•
Konsekuensi kerugian dapat diestimasi dengan membuat model
outcome dari suatu atau beberapa peristiwa, atau dengan
ekstrapolasi hasil kajian eksperimen atau data masa lalu.
•
Konsekuensi dapat dinyatakan dalam satuan moneter, hari kerja,
hari kalender, atau kriteria lainnya.
SKEMA KUANTITASI RISIKO
KUANTIFIKASI PENGUKURAN RISIKO
METODE APROKSIMASI
(KIRA-KIRA)
METODE
METODE
DISTRIBUSI
DISTRIBUSI
POISSON
DATA YG LALU
GUDANG, K3LH,
DEPUM, DEPKU,
PPC, MUTU
NORMAL
KESEPAKATAN
WAWANCARA
RAPAT
RAPAT
KABAG
KABAG
SKALA
KEMUNGKINAN (DELPHI
NGT,SISTEM PAKAR)
TINGKAT KEMUNGKINAN TERJADI
(DALAM PROSEN)
27
CONTOH SKALA KEMUNGKINAN :TEKNIK DELPHI
CONTOH SKALA KEMUNGKINAN: SISTEM PAKAR
• Tujuh anggota team manajemen risiko PT KAI menetapkan
kemungkinan terjadinya longsor di Purwakarta yang
berdampak menimbun rel,
• Dengan metode sistem pakar. Pendapat anggota team yang
menyajikan nilai kemungkinan terendah =5% sedang
kemungkinan tertinggi=10%.
Team menghadirkan pakar( mantan Dirjen Kereta Api) yang
berpendapat, nilai kemungkinan terjadi longsor=6,5%.
• Nilai kemungkinan terhitung = (1*5%+1*10%+4*6,5%) : 6 =
7%
Contoh : KASUS KERETA API
Dari data tahun 2000-2010 disimpulkan ratarata pertahun terjadinya pelemparan kereta
api 0,2%, dengan rata-rata jumlah perjalanan
1500 kali.
Menurut perhitungan, bila terjadi satu kali
pelemparan, rata-rata kerugian perusahaan
mencapai Rp 100.000.000,--,
Karena
adanya
perubahan
budaya
di
masyarakat
dan
frekuensi
penumpang
suporter pertandingan sepak bola yang
meningkat, diperkirakan pada tahun 2011
akan terjadi pelemparan kereta api sebanyak
lima kali.
Buatlah
perhitungan
resiko
dengan
Jawaban :
Rata-rata pelemparan (µ)
perjalanan = 3 peristiwa
=
0,2%
*
1500
Diperkirakan tahun 2011 terjadi pelemparan 5
kali maka : P (5), µ = 3, bila dilihat pada tabel
distribusi
poisson,
akan
diperoleh
angka
P=0,1003.
Jadi P (Kemungkinan) = 10,03% (dibulatkan
menjadi 10%)
Nilai resiko akibat pelemparan kereta api = 10%
* 5 * Rp 100.000.000 = Rp 50.000.000
Perhitungan skala kemungkinan dengan
pendekatan statistik (distrb.normal)
• Dari sample perjalanan 50 kali KA Argo Parahyangan
Bandung-Gambir, rata-rata lama perjalanan adalah
180 menit dengan deviasi standar 30 menit.
• Bila lama perjalanan mencapai 200 menit, kereta
akan terlambat berangkat kembali ke Bandung, dan
30% calon penumpang akan berpindah ke moda
travel, dengan dampak kerugian pemasaran Rp 10
juta/route.
Bagaimana perhitungan nilai risiko pemasaran
dengan menggunakan distribusi z?
Jawaban:
• Z = (X-µ):σ = (215-200):30 = 0,50
• Z = (0,50) pada tabel distr.z menunjukkan
nilai probabilitas 30,85%,
• maka nilai risiko keterlambatan perjalanan
kereta argo = 30,89% x Rp 10 juta/route =
Rp3.089.000 setiap route
Siklus Manajemen Risiko
Identifikasi
Tujuannya
Pengukuran
Untuk menentukan skala prioritas berdasarkan
kepentingan organisasi
Pengelolaan
Pemantauan
&
pengendalian
35
kemungkinan
Pemetaan
dampak
Ilustrasi
adalah
suatu
Pemetaan
risiko
proses
untuk
menggambarkan:
- tujuan yang hendak dicapai oleh organisasi;
- mengenai risiko dan proses yang harus ditempuh untuk
mengidentifikasi (risiko yang mungkin terjadi),
- rencana pengendalian intern, dengan ilustrasi sbb :
36
Diagram Risk Map
Suatu metode untuk menentukan dapat diterima atau tidaknya suatu risiko dapat
dilakukan dengan menggunakan suatu tabel yang mengaitkan antara kemungkinan
terjadinya risiko (likelihood) dan konsekuensi atau dampak terjadinya risiko
(consequences)
37
Register Risiko
• Daftar risiko (risk register) dibuat oleh Manajemen/Unit Kerja
Manajemen Risiko (UKMR) (bagi perusahaan yang telah memiliki)
Daftar risiko tersebut memuat informasi sbb:
•Risiko-risiko
yang
telah
diidentifikasi
dan/atau
diketahui oleh
manajemen dan auditor intern beserta bobot risikonya;
•Proses
penanganan,
dan
kemungkinan
dampak
terjadinya akibat
ancaman risiko tersebut;
•Pemilik risiko atau dimana risiko tersebut dapat terjadi;
Digunakan sebagai dasar penetapan risiko pada perencanaan
audit internal berbasis risiko.
38
• Inherent risk (risiko melekat atau absolut):
Risiko yang melekat pada setiap aktivitas
/bisnis
• Residual risk (risiko terkendali):
Risiko setelah pengendalian intern
diberlakukan.
• Risk appetite:
Risiko yang berada pada tingkatan yang dapat
ditoleransi.
39
Siklus Manajemen Risiko
Identifikasi
Cara menyikapi risiko:
Pengukuran
Pemetaan
Pengelolaan
1. Memperlakukan risiko sebagai bagian dari
penyusunan strategi dan perencanaan keuangan
dan operasional organisasi
2. Mempersiapkan sumber dana sebagai cadangan
untuk mengatasi kerugian
3. Menerapkan manajemen risiko (Mitigasi Risiko)
a. Menghindari
Pemantauan
&
pengendalian
b. Mengurangi
c.
Memindahkan
d. Menahan
41
Mitigasi Risiko
Auditor internal juga harus memahami bagaimana auditi menghadapi risiko
•
•
•
•
•
•
42
Menghindari Risiko (Avoid Risk), yaitu melakukan pengkajian ulang suatu proses untuk
menghindari risiko tertentu (specifics risk) dengan cara membuat perencanaan untuk
mengurangi keseluruhan risiko.
Meragamkan Risiko (Diversity Risk), yaitu menyebarkan risiko ke beberapa aset
atau proses untuk mengurangi keseluruhan risiko kerugian atau kerusakan.
Pengendalian Risiko (Control Risk), yaitu menyusun suatu kegiatan untuk encegah,
mendeteksi atau menciptakan keadaan sebaliknya sehingga dapat memberikan outcomes
positif.
Membagi Risiko (Share Risk), yaitu mengalokasikan risiko melalui kontrak
dengan pihak lain seperti entitas asuransi.
Mentransfer Risiko (Transfer Risk), yaitu mengalokasikan seluruh risiko melalui kontrak
dengan pihak lain seperti outsourcing.
Menerima
Risiko
(Accept Risk),
yaitu membiarkan
terjadinya
risiko
karena tidak sebanding dengan biaya yang harus dikeluarkan. Contoh: toko kelontong
kecil hanya mempekerjakan satu orang untuk menangani seluruh kegiatan mulai dari
menjadi kasir, melayani penyerahan barang, dan membuat pembukuannya.
Siklus Manajemen Risiko
Identifikasi
Tujuannya
Pengukuran
Memastikan bahwa pelaksanaan pengelolaan risiko
telah berjalan sesuai dengan rencananya
Pemantauan Berkelanjutan (self assessment)
Pemetaan
Pemantauan Berkelanjutan (self assessment)
Pengelolaan
Pemantauan
&
pengendalian
43
Analisis dan Pengukuran
• Dalam melakukan AIBR, auditor harus memahami proses analisis
dan penaksiran risiko yang dihadapi auditi (risk assessment)
1
44
Risiko kegiatan dari auditi (the auditee business
risk)
Cara atau metode manajemen mengurangi atau
2
meminimalisasi risiko
Wilayah/area yang mengandung risiko dan belum
3 diidentifikasi oleh manajemen secara memadai
atau bahkan tidak diketahui sama sekali oleh
manajemen.
Evaluasi Risiko
Tujuan :
Menentukan prioritas risiko sehingga dapat
diketahui risiko-risiko mana saja yang perlu
mendapat perhatian segera dan memerlukan
perlakuan lebih lanjut
PROSES EVALUASI RISIKO (INHERENT RISK,
ACTION PLAN, RESIDUAL RISK & APPETITE RISK)
• Merupakan proses pembandingan antara level risiko yang
dihasilkan selama proses analisis dengan kriteria risiko yang telah
ditetapkan sebelumnya, yang dapat dan tidak dapat diterima
• Batas nilai resiko yang dapat diterima oleh perusahaan disebut
appetite risk, sedangkan resiko awal (sebelum action plan) disebut
inherent risk.
• Bila inherent risk diatas appetite risk, perusahaan perlu
menyiapkan action plan agar nilai inherent risk dapat menurun
• Nilai inherent risk setelah ada action plan disebut residual risk
• Bila expected residual risk lebih rendah dari appetite risk, maka
pelaksanaan proyek/kegiatan berada dalam pemantauan
• Bila expected residual risk masih lebih tinggi dari appetite risk,
direksi harus memutuskan pilihan perlakuan thd resiko
Jika Proses Manajemen Risiko belum dilakukan………
Konsultan
• Membantu organisasi dalam mengidentifikasi,
mengevaluasi,
dan
mengimplementasikan
manajemen risiko dan perhatian Dewan Komisaris,
dan menetapkan cara-cara penyelesaian melalui
operasi
dan
pengendalian-pengendalian
manajemen risiko.
• Mengidentifikasi perhatian manajemen dan Dewan
Komisaris dan menetapkan cara penyelesaiannya
melalui proses manajemen risiko.
• Memberitahu manajemen atas kekurangan proses
manajemen risiko dan memberikan saran-saran
untuk menjalankan proses manajemen risiko
47