Kelompok 3 Anggota: Aisyah Istiqomah

(1306483933) Lia Mustikawati

(1306484734) Manna Noverika Lestari

(1306484772) Putri Anandayu

Fakultas Ekonomi Universitas Indonesia November 2014

STATEMENT OF AUTHORSHIP

“Kami yang bertandatangan di bawah ini menyatakan bahwa makalah/tugas terlampir adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain yang kami gunakan tanpa menyebutkan sumbernya.

Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk makalah/tugas pada mata ajaran lain kecuali kami menyatakan dengan jelas bahwa kami menyatakan menggunakannya.

Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan atau dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme.”

Mata Ajaran

: Tata Kelola Perusahaan

Judul Makalah/Tugas : Peran Audit Internal dan Manajemen Risiko Tanggal

: 6 November 2014

Dosen

: Desi Adhariani S.E., Ak., M.Si.

: Lia Mustikawati NPM

1. Nama : Aisyah Istiqomah

: Putri Anandayu NPM

3. Nama : Manna Noverika L.

4. Nama

: 1306485062 TTD

NPM

TTD

Peran Audit Internal dan Manajemen Risiko

A. Analisis Peran Internal Audit dalam Manajemen Risiko Perusahaan

Menurut Ikatan Auditor Internal (Institute of Internal Auditors-IIA), Audit Internal adalah aktivitas independen, keyakinan objektif, dan konsultasi yang dirancang untuk menambah nilai dan meningkatkan operasi organisasi. Audit internal membantu organisasi dalam upayanya mencapai tujuan dengan berbagai cara seperti melakukan pendekatan sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola oragnisasi. Dari definisi diatas dapat dilihat bila fungsi dari audit internal yang dilakukan perusahaan adalah untuk memberikan informasi yang berguna bagi manajemen dalam menjalankan operasi atau aktivitas organisasi.

Menurut IIA Enterprise-wide Risk Management (ERM) adalah proses terstruktur, konsisten, dan terus-menerus di seluruh organisasi untuk mengidentifikasi, menilai, memutuskan tanggapan atau respon terhadap pelaporan tentang peluang dan ancaman yang mempengaruhi pencapaian tujuan organisasi. Manajemen Risiko perusahaan adalah sebuah proses, dipengaruhi oleh dewan entitas direksi, manajemen dan personel lainnya, diterapkan dalam peraturan strategis dan di seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko untuk berada dalam risk appetite, untuk memberikan keyakinan memadai tentang pencapaian tujuan entitas.

Peranan inti dari audit internal dalam ERM adalah untuk memberikan jaminan yang objektif kepada dewan atas efektivitas dari manajemen risiko. Keterlibatan audit internal didalam ERM dapat menambah nilai organisasi tapi juga menimbulkan risiko yang akan mengganggu organisasi tersebut. Risiko yang dihadapinya adalah akan munculnya kompromi terhadap independensi dan objektivitas internal dari auditor tersebut. Untuk menanggapi isu ini IIA mengeluarkan surat pernyataan yang bersikan peran inti audit internal dalam hal ERM serta peran yang tidak seharusnya dilakukan audit internal, berikut ini merupakan rincian isi pernyataan tersebut:

IIA membagi peran Audit Internal dalam ERM menjadi tiga kategori, yaitu:

1. Peran audit internal inti dalam ERM

a. Pemberian keyakinan pada desain dan efektivitas proses manajemen risko

b. Pemberian keyakinan bahwa risiko dievaluasi dengan benar

c. Mengevaluasi proses manajemen risiko

d. Mengevaluasi pelaporan mengenai status dari risiko-risiko kunci dan pengendaliannya

e. Meninjau pengelolaan risiko-risiko kunci, termasuk efektivitas dari pengendalian dan respon lain terhadap risiko-risiko tersebut

2. Peranan audit internal yang sah dengan pengamanan

a. Memulai pembentukan ERM dalam organisasi

b. Mengembangkan strategi manajemen risiko bagi persetujuan dewan

c. Mempertahankan dan mengembangkan kerangka ERM

d. Memfasilitasi identifikasi dan evalusi risiko

e. Pelatihan manajemen tentang merespon risiko

f. Mengkoordinasikan kegiatan ERM

g. Mengonsolidasi laporan mengenai risiko

3. Peranan audit internal dalam ERM yang tidak boleh dilakukan

a. Mengatur minat risiko (risiko appetite)

b. Menerapkan proses manajemen risiko

c. Menjamin manajemen risiko

d. Membuat keputusan pada respon risiko

e. Menerapkan respon dan manajemen risiko atas nama manajemen

f. Akuntabilitas manajemen risiko Menurut Crowe Horwath, peranan internal audit dalam manajemen risiko adalah sebagai berikut:

1. Proaktif mendukung dan berpartisipasi dalam upaya ERM organisasi, termasuk pembentukan ERM.

2. Mempermudah identifikasi daerah berisiko bagi organisasi serta proses yang paling penting bagi organisasi

3. Memastikan strategi bisnis terkait dengan proses ERM

4. Mengawasi proses pemahaman, menilai, merancang dan mendokumentasikan kontrol

5. Risiko persedian organisasi dan kepatuhan kegiatan serta usaha untuk mengintegrasikan kedalam metodologi umum’

6. Mengevaluasi bisnis dan proses manajeman untuk mengambil tanggung jawab untuk ERM Secara lebih mendetail, beberapa peranan internal audit didalam manajemen risiko

yang dapat dijelaskan secara mendetail adalah:

1. Memeriksa kelayakan program manajemen risiko Dalam kaitannya dengan peranan ini adalah, internal audit berperan untuk memeriksa, mengevaluasi, serta memberikan respon terhadap kelayakan administrasi, manajemen risiko, dan proses pengendalian terkait untuk menyediakan jaminan atas kelayakannya. Dengan peranan ini sudah dipastikan proses pemeriksaan yang dilakukan oleh internal audit pasti berkaitan atau berpengaruh terhadap program manajemen risiko. Pada peranan ini internal audit juga dapat memberikan penilaian apa sebenarnya risiko potensial yang akan timbul kapan saja yang dapat menggangu keberlangsungan usaha pencapaian tujuan organisasi, sehingga berbagai program yang dibuat dalam manajemen risiko dapat mengantisipasi berbagai potensial risiko yang ada.

2. Memeriksa dan melaporkan praktik mitigasi risiko utama Dalam peranan ini, internal audit seharusnya juga dapat memeriksa dan melaporkan proses-proses yang dilakukan atau dijalankan oleh bagian manajemen risiko dalam melakukan mitigasi risiko-risiko utama yang terkait dengan operasional perusahaan sehari-hari. Tugas ini dapat berupa: membuat rencana audit berkala terhadap masing-masing risiko yang sebelumnya sudah ada atau yang baru berpotensi ada, dimulai dari rencana pencegahan, tindakan pencegahan, rencanan penanganan, tindakan penanganan, serta pencapaian atas rencana mitigasi risiko yang telah dilaksanakan.

3. Memberikan saran, rekomendasi, dan konsultasi mitigasi risiko Sebagai mana mestinya, dalam proses pemeriksaan (internal audit), pasti akan dihasilkan suatu potensi risiko ataupun risiko yang memang telah dihadapi 3. Memberikan saran, rekomendasi, dan konsultasi mitigasi risiko Sebagai mana mestinya, dalam proses pemeriksaan (internal audit), pasti akan dihasilkan suatu potensi risiko ataupun risiko yang memang telah dihadapi

4. Menjadi pemimpin dalam menyusun dan melakukan uji coba implementasi Standar Operasi dan Prosedur (SOP), terkait dengan manajemen risiko Dalam peranan ini, internal audit menjadi asistensi mengawal dan menggiring risiko menuju garis batas yang masih dapat ditoleransikan oleh organisasi atau perusahaan. Setelah melihat penjabaran mengenai peranan internal audit dalam manajemen

risiko diatas kita dapat menyimpulkan bahwa pada saat ini telah terjadi pergeseran pandangan menganai internal auditor disebuah organisasi, yang pada awalnya dianggap sebagai polisi organisasi dengan penilaian-penialain yang diberikannya saat ini pandangan mengenai auditor internal telah bergeser menjadi business partner yang tidak dapat dipisahkan dari proses manajemen organisasi. Auditor initernal saat ini tidak lagi hanya memberikan penilaian saja tetapi juga telah ikut serta dalam mendeteksi risiko organisasi, mengevaluasi program-program manajemen, serta turut serta dalam perbaikan dan memberikan konsultasi bagi program yang dijalankan oleh manajemen.

B. Peran Internal Audit dalam Pelaksanaan CG yang Efektif

Menurut peraturan Bapepam LK No. IX.I.7, Audit Internal adalah kegiatan pemberian keyakinan (assurance) dan konsultasi yang bersifat independen dan obyektif, dengan tujuan untuk meningkatkan nilai dan memperbaiki operasional perusahaan, melalui pendekatan yang sistematis, dengan cara mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola perusahaan.

Para Dewan Sertifikasi Qualified Internal Auditor (DS-QIA) serta Perhimpunan Auditor Internal Indonesia (PAII) berkeyakinan bahwa fungsi audit internal yang efektif mampu menawarkan sumbangan penting dalam meningkatkan proses corporate Para Dewan Sertifikasi Qualified Internal Auditor (DS-QIA) serta Perhimpunan Auditor Internal Indonesia (PAII) berkeyakinan bahwa fungsi audit internal yang efektif mampu menawarkan sumbangan penting dalam meningkatkan proses corporate

Audit internal berpengaruh secara signifikan terhadap implementasi good corporate governance, dimana semakin tinggi peran audit internal maka akan semakin mendukung kinerja implementasi good corporate governance (GCG). Auditor internal berperan untuk memastikan terlaksananya prinsip-prinsip GCG yang telah dibahas pada pertemuan-pertemuan sebelumnya, yaitu yang meliputi transparansi, akuntabilitas, pertanggungjawaban, independensi, dan kewajaran yang nantinya akan mampu memberian kejelasan mengenai fungsi, hak dan tanggung jawab antara pihak-pihak yang berkepentingan atas perusahaan, proses pengendalian internal dan menciptakan keseimbangan organ perusahaan dan juga keseimbangan antar stakeholders.

Didalam Crowe Horwarth (2011), pada tingkat yang lebih tinggi , tata kelola perusahaan memiliki tujuh komponen yang saling terkait yaitu, dewan direksi dengan komite, hukum dan peraturan, pengungkapan dan transparansi, praktik bisnis dan etika, manajemen risiko perusahaan, pemantauan, dan komunikasi. Tujuh komponen ini memberikan pandangan yang komprehensif, kompleks, keterkaitan dan variable organisasi harus mengelolanya dengan baik untuk memperkuat tata kelola mereka. Ketika seluruh komponen dapat beroperasi dengan efektif dan terkoordinasi secara efisien, tata kelola perusahaan akan menyediakan platform atau landasan untuk membantu meningkatkan kinerja bisnis dan meningkatkan nilai bagi stakeholders.

Peranan internal audit didalam tujuh komponen organisasi tersebut yang dapat membantu implementasi corporate governance yang efektif adalah sebagai berikut:

1. Board of Directors and Committees

 Membantu dewan direksi dan komite dengan penilaian diri mereka dan praktik terbaik.

 Menilai efektivitas komite audit dan kepatuhan terhadap peraturan. Ulasan piagam komite audit dengan bantuan penasihat hukum.  Interaktif tentang masalah tata kelola, membawa ide-ide terbaik dalam praktik tentang pengendalian internal dan proses manajemen risiko untuk mengaudit anggota komite.

 Menetapkan keakuratan informasi yang digunakan dalam pengambilan keputusan oleh komite kompensasi, dan  Membantu board dengan kuasanya melaporkan pengawasan manajemen risiko.

2. Legal and Regulatory

 Memverifikasi sesuai hukum bahwa organisasi telah mengidentifikasi persyaratan, tanggung jawab yang diberikan, dan semua persyaratan hukum dan peraturan yang ditujukan

 Mencari peluang untuk meningkatkan kegiatan kepatuhan dan kemampuan untuk mengurangi biaya jangka panjang dan meningkatkan kinerja

3. Business Practice and Ethics

 Meninjau kode etik dan kebijakan, memverifikasi bahwa keduanya diperbaharui secara berkala dan disampaikan kepada manajemen dan pegawai  Menyelenggarakan ilmu perilaku untuk meninjau dan menilai pemahaman dan persepsi kepatuhan di setiap tingkatan organisasi  Membantu manajemen dan komite audit untuk menahan orang dalam setiap tingkatan untuk bertanggung jawab, mendengarkan perkataan mereka tetapi juga melihat tindakan mereka

 Melayanin dalam peranan pengawasan etika atau membicarakan kepada petugas etika  Berpartisipasi dalam whistle-blower dan proses investigasi complain lainnya  Melakukan audit tahunan dan proses tindak lanjut (contohnya kepatuhan terhadap

kebijakan dan konsistensi tindakan), pelaporan untuk komite audit  Menilai hubungan etika dengan penetapan tujuan dan evaluasi proses kinerja

4. Disclosure and Transparency

 Melakukan pengujian pengungkapan keuangan dan mebicarakan dengan CFO

 Memahami mengenai pengungkapan dan transparansi, penilaian risiko yang disesuaikan dengan ekspektasi stakeholders  Pada rencana audit tahunan, menuju pada tujuan pengungkapan dan transparansi

 Memahami secara luas dan mendalam, gambaran dari kemungkinan pengungkapan dan transparansi, dan dimana organisasi mengusahakan akan hal tersebut

 Berpartisipasi secara aktif dalam komite pengungkapan, termasuk mengevaluasi efektivitas  Meninjau proses sub-certification

5. Enterprise Risk Management

 Proaktif mendukung dan berpartisipasi dalam upaya ERM organisasi, termasuk pembentukan ERM.  Mempermudah identifikasi daerah berisiko bagi organisasi serta proses yang paling penting bagi organisasi  Memastikan strategi bisnis terkait dengan proses ERM  Mengawasi proses pemahaman, menilai, merancang dan mendokumentasikan

kontrol  Risiko persedian organisasi dan kepatuhan kegiatan serta usaha untuk mengintegrasikan kedalam metodologi umum’  Mengevaluasi bisnis dan proses manajeman untuk mengambil tanggung jawab untuk ERM

6. Monitoring

 Memahami aktivitas monitoring dalam organisasi pada masing-masing komponen dalam kerangka kelola organisai  Memfasilitasi pelaksanaan metodologi pemantauan risiko umum di semua fungsi tata kelola perusahaan, sehingga sistem pelaporan terintegrasi  Melakukan pemeriksaan tata kelola perusahaan pada tingkat perencanaan strategi  Menggabungkan aspek tata kelola perusahaan ke dalam tingkat perencanaan audit

 Mengembangkan jaminan penilaian (scorecard) dan laporan per-triwulan

7. Communication

 Berpartisipasi dalam dialog yang berkelanjutan dengan penasihat umum, kepala keuangan, dan pejabat manajemen senior lainnya  Menjaga komunikasi yang stabil dengan komite audit dan eksekutif pengawas

 Mencakup informasi tentang tata kelola perusahaan dalam laporan audit  Membantu dalam membangun komunikasi penjadwalan tata kelola dan

mengumpulkan sejumlah masukan tentang kebutuhan seluruh organisasi

C. Perbandingan Peraturan Bapepapm-LK terkait Internal Audit dengan Peran Internal Audit menurut IIA (2009) dan Crowe Horwarth (2011)

Menurut peraturan No. IX.I.7 Bapepam LK, Audit Internal adalah suatu kegiatan pemberian keyakinan (assurance) dan konsultasi yang bersifat independen dan obyektif, dengan tujuan untuk meningkatkan nilai dan memperbaiki operasional perusahaan, melalui pendekatan yang sistematis, dengan cara mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola perusahaan.

Peraturan ini juga membahas Struktur dan Kedudukan Unit Audit Internal dalam perusahaan, antara lain bahwa Unit Audit Internal dipimpin oleh kepala Unit Audit Internal yang diangkat dan diberhentikan (jika tidak memenuhi persyaratan sesuai peraturan ini dan atau gagal atau tidak cakap menjalankan tugas) oleh direktur utama atas persetujuan dewan komisaris. Auditor yang duduk dalam Unit Audit Internal bertanggung jawab secara langsung kepada kepala Unit Audit Internal, sementara kepala Unit Audit Internal bertanggung jawab kepada direktur utama.

Persyaratan auditor internal yang disebutkan diatas menurut peraturan No IX.I.7 yaitu memiliki integritas dan perilaku yang profesional, independen, jujur, dan obyektif dalam pelaksanaan tugasnya, serta memiliki pengetahuan dan pengalaman mengenai teknis audit dan disiplin ilmu lain yang relevan dengan bidang tugasnya. Auditor Internal juga harus mengetahui peraturan perundang-undangan di bidang pasar modal dan peraturan perundang-undangan terkait lainnya, cakap dalam berinteraksi dan berkomunikasi baik lisan maupun tertulis secara efektif, dan wajib mematuhi standar profesi yang dikeluarkan oleh asosiasi Audit Internal. Auditor Internal wajib menjaga kerahasiaan informasi dan/atau data perusahaan terkait dengan pelaksanaan tugas dan tanggung jawab Audit Internal kecuali diwajibkan berdasarkan peraturan perundang- Persyaratan auditor internal yang disebutkan diatas menurut peraturan No IX.I.7 yaitu memiliki integritas dan perilaku yang profesional, independen, jujur, dan obyektif dalam pelaksanaan tugasnya, serta memiliki pengetahuan dan pengalaman mengenai teknis audit dan disiplin ilmu lain yang relevan dengan bidang tugasnya. Auditor Internal juga harus mengetahui peraturan perundang-undangan di bidang pasar modal dan peraturan perundang-undangan terkait lainnya, cakap dalam berinteraksi dan berkomunikasi baik lisan maupun tertulis secara efektif, dan wajib mematuhi standar profesi yang dikeluarkan oleh asosiasi Audit Internal. Auditor Internal wajib menjaga kerahasiaan informasi dan/atau data perusahaan terkait dengan pelaksanaan tugas dan tanggung jawab Audit Internal kecuali diwajibkan berdasarkan peraturan perundang-

Sementara tugas dan tanggung jawab Unit Audit Internal berdasarkan peraturan tersebut adalah menyusun dan melaksanakan rencana Audit Internal tahunan, menguji dan mengevaluasi pelaksanaan pengendalian interen dan sistem manajemen risiko sesuai dengan kebijakan perusahaan, melakukan pemeriksaan dan penilaian atas efisiensi dan efektivitas di bidang keuangan, akuntansi, operasional, sumber daya manusia, pemasaran, teknologi informasi dan kegiatan lainnya, memberikan saran perbaikan dan informasi yang obyektif tentang kegiatan yang diperiksa pada semua tingkat manajemen, membuat laporan hasil audit dan menyampaikan laporan tersebut kepada direktur utama dan dewan komisaris, memantau, menganalisis dan melaporkan pelaksanaan tindak lanjut perbaikan yang telah disarankan, bekerja sama dengan Komite Audit, menyusun program untuk mengevaluasi mutu kegiatan audit internal yang dilakukannya, dan melakukan pemeriksaan khusus apabila diperlukan.

Dalam melakukan tugas dan tanggung jawab tersebut, Unit Audit Internal diberikan kewenangan untuk mengakses seluruh informasi yang relevan tentang perusahaan terkait dengan tugas dan fungsinya, melakukan komunikasi secara langsung dengan direksi, dewan komisaris, dan/atau Komite Audit serta anggota dari direksi, dewan komisaris, dan/atau Komite Audit, mengadakan rapat secara berkala dan insidentil dengan direksi, dewan komisaris, dan/atau Komite Audit, dan melakukan koordinasi kegiatannya dengan kegiatan auditor eksternal.

Seperti dinyatakan dalam peraturan ini, perusahaan publik wajib memiliki piagam Audit Internal yang meliputi hal-hal diatas, seperti struktur dan kedudukan Unit Audit Internal, tugas dan tanggung jawab Unit Audit Internal, wewenang Unit Audit Internal, kode etik Unit Audit Internal, persyaratan auditor yang duduk dalam Unit Audit Internal, pertanggungjawaban Unit Audit Internal, dan larangan perangkapan tugas dan jabatan auditor dan pelaksana yang duduk dalam Unit Audit Internal dari pelaksanaan kegiatan operasional perusahaan.

Dapat kita lihat diatas, bahwa Bapepam-LK lebih mengacu kepada ketentuan dan peraturan mengenai Audit Internal. Sedangkan dalam naskah berjudul IIA Position

Paper: the Role of Internal Auditing in Enterprise-Wide Risk Management yang dibuat oleh Institute of Internal Auditor (IIA) lebih membahas mengenai peran auditor dalam pengelolaan resiko perusahaan.

Dalam naskahnya, IIA lebih menekankan kepada konsep ERM (Enterprise-Wide Risk Management), yaitu suatu proses yang terstruktur, konsisten, dan terus menerus dalam suatu organisasi secara keseluruhan, yang dilakukan untuk mengidentifikasi, menilai,

pelaporantentang peluangdan ancamanyang mempengaruhipencapaiantujuannya. Prinsip-prinsip yang dijelaskan oleh IIA dapat digunakan untuk memanduketerlibatanaudit internaldalam segala bentukmanajemen risiko.

memutuskantanggapan

terhadapdan

Peran utama dari audit internal dalam ERM adalah memberikan jaminan/keyakinan (assurance) yang obyektif mengenai efektivitas manajemen resiko perusahaan kepada dewan. Gambar dibawah menunjukan cakupan aktivitas dalam ERM yang memperlihatkan batasan atas hal-hal yang seharusnya dilakukan oleh audit internal dan hal-hal yang tidak boleh dijalankan oleh anggota audit internal. Hal ini ditentukan berdasarkan pertimbangan mengenai seberapa jauh pekerjaan tersebut mengancam independensi dan obyektivitas dari auditor internal, dengan seberapa banyak pekerjaan tersebut meningkatkan kontrol dan manajemen resiko serta tatakelola perusahaan.

Aktivitas pada bagian kiri gambar menunjukan kegiatan minimal dalam pekerjaan assuranceyang dilakukan oleh audit internal. Namun, unit audit internal juga dapat memberikan saran dan konsultansi untuk meningkatkan kontrol dan manajemen resiko serta tatakelola perusahaan, seperti yang digambarkan pada aktivitas-aktivitas dibagian tengah. Meskipun begitu, seiring perkembangan manajemen resiko dalam kegiatan operasional perusahaan, tanggung jawab audit internal dalam ERM juga akan berkurang. Dapat dilihat pada gambar diatas, semakin ke kanan ruang lingkup kegiatan audit internal, akan semakin besar pula resiko untuk menjaga independensi dan objektifitas mereka.

Faktor kunci yang menentukan apakah kegiatan konsultasi yang dilakukan seimbang dan tidak melebihi kegiatan assurance yang memang merupakan tugas audit internal adalah bahwa unit audit internal tidak menanggung tanggung jawab manajerial. Dalam ERM, internal audit dapat menyediakan selama tidak benar-benar berperan dalam pengelolaan resiko (yang merupakan tanggung jawab manajemen) dan selama manajemen juga mengaplikasikan dan mendukung berlangsungnya ERM.

Selain peraturan Bapepam-LK dan IIA, Crowe Howart LLP sebagai salah satu kantor akuntan publik dan konsultan akuntansi, perpajakan dan keuangan terbesar di Amerika juga menerbitkan tulisan berjudul ‘Strengthening Corporate Governance with Internal Audit’ mengenai peran audit internal dalam memenuhi peningkatan ekspektasi terkait persamaan kemampuan internal audit dengan peningkatan penilaian dan pengawasan terhadap kualitas tata kelola perusahaan.

Crowe Horwath menyebutkan bahwa tanggung jawab audit internal semakin berkembang seiring dengan meningkatnya pengawasan dari berbagai pihak, mulai dari dewan direksi hingga investor. Mereka juga mengungkapkan adanya perubahan peran audit internal, dimana pada sekitar tahun 1990 minat dan kepercayaan masyarakat pada kegiatan bisnis sedang tinggi-tingginya, sesuai dengan naiknya harga saham. Meskipun telah ada audit internal yang berfungsi untuk mengalokasikan sumberdaya perusahaan berdasarkan resiko, pegawainya terbatas dan audit yang dilakukan lebih fokus terhadap pengawasan dan penilaian kinerja. Namun peraturan terkini, maraknya gerakan anti penipuan/korupsi dalam perusahaan serta banyaknya kasus whistle-blower yang terjadi mendorong auditor untuk berperan lebih aktif dalam perusahaan.

Berdasarkan perkembangan tersebut, terdapat tujuh komponen dalam kerangka tata kelola perusahaan menurut Crowe Horwath. Pada masing-masing komponen, telah dikembangkan tugas dan tanggung jawab bagi peran audit internal dalam perusahaan. Komponen dan tanggung jawab tersebut antara lain:

 Dewan Direksi dan Komite Audit Tanggung jawab audit internal terhadap dewan direksi dan komite audit antara lain: - Membantu dewan direksi dan komite audit dalam menjalankan tugasnya. - Memberikan ide mengenai pengelolaan resiko dan internal kontrol. - Memastikan keakuratan informasi yang dijadikan dasar pengambilan

keputusan.  Hukum dan Peraturan Tanggung jawab audit internal terkait hukum dan peraturan antara lain: - Memastikan bahwa perusahaan telah mengetahui dan memenuhi semua

persyaratan sesuai peraturan yang berlaku. - Mengidentifikasi peluang yang mempengaruhi pemenuhan aktivitas yang dapat mengurangi biaya jangka panjang dan meningkatkan kinerja.  Praktek dan Etika Bisnis Tanggung jawab audit internal terkait praktek dan etika bisnis antara lain: - Memeriksa kebijakan terkait kode etik perusahaan dan memastikan kebijakan

tersebut diperbarui sesuai kebutuhan perusahaan dari waktu ke waktu dan menyampaikan perubahan yang ada kepada pegawai.

- Menjalankan tugasnya dengan mengikuti kode etik perusahaan. - Berpartisipasi dalam proses invetigasi mengenai whistle-blowerdan keluhan

lainnya mengenai etika bisnis perusahaan.  Pengungkapan dan Transparansi Tanggung jawab audit internal terkait pengungkapan dan transparansi antara lain: - Melakukan pemeriksaan terhadap pengungkapan laporan keuangan

perusahaan. - Memahami resiko terkait pelaporan keuangan yang dapat terjadi sesuai karakteristik perusahaan.

- Menyatakan tujuan atas pengungkapan dan transparansi dengan jelas dan mengkomunikasikannya kepada pegawai.  Enterprise Risk Management (ERM) Tanggung jawab audit internal terkait ERM antara lain: - Memastikan strategi bisnis berjalan sesuai proses ERM - Secara aktif berperan sebagai penasehat maupun partisipan dalam kegiatan

ERM perusahaan.  Pengawasan Tanggung jawab audit internal terkait pengawasan antara lain: - Memahami dimana saja aktivitas pengawasan diperlukan dalam perusahaan. - Memfasilitasi implementasi metobe pengawasan terhadap resiko umum di

seluruh bagian perusahaan.  Komunikasi

Tanggung jawab audit internal terkait komunikasi dalam organisasi antara lain:

- Menyatakan semua informasi mengenai tata kelola perusahaan dalam laporan audit. - Menjaga kelancaran komunikasi dengan masing-masing anggota unit audit internal, kepala keuangan, dewan direksi, dll.

D. Manajemen Risiko menurut Draft Pedoman Penerapan Manajemen Risiko Berbasis Governance KNKG 2011

Suatu organisasi dalam menyusun strategi untuk melaksanakan proses utama organisasinya, perlu memperhatikan risiko-risiko yang mungkin muncul, antisipasi terhadap risiko, dan menentukan hal yang akan dilakukan jika risiko tersebut benar- benar terjadi. Hal inilah yang mendasari pentingnya manajemen risiko bagi suatu organisasi. Menurut KNKG dalam Draft Pedoman Penerapan Manajemen Risiko Berbasis Governance (2011), manajemen risiko adalah upaya organisasi yang terkoordinasi untuk mengarahkan dan mengendalikan risiko.

Menurut KNKG (2011), penerapan manajemen risiko yang baik dapat memberikan beberapa keuntungan bagi perusahaan, yakni:

 Mengurangi terjadinya peristiwa yang kurang menyenangkan, risiko yang mungkin muncul telah diantisipasi sebelumnya.  Meningkatkan hubungan baik dengan para pemangku kepentingan, manajemen risiko memerlukan komunikasi timbal balik yang intens yang dapat membangun kesamaan persepsi dan kepentingan.

 Meningkatkan efektivitas dan efisiensi manajemen, organisasi lebih siap dalam menghadapi dan menangani risiko yang mungkin muncul karena telah diidentifikasi sebelumnya.

 Lebih memberikan jaminan yang wajar atas pencapaian sasaran perusahaan, karena ketiga hal di atas dapat tercapai. KNKG menyarankan bahwa dalam proses penerapan manajemen risiko terdapat tiga aspek yang perlu diperhatikan, yaitu aspek struktural, aspek operasional, dan aspek perawatan.

1. Aspek Stuktural

Aspek struktural merupakan aspek yang memastikan arah penerapan, struktur organisasi penerapan, akuntabilitas pelaksanaan manajemen risiko dalam organisasi, dan penyediaan sumber daya. Dengan kata lain, aspek struktural menjadi dasar atau fondasi bagi penerapan manajemen risiko pada suatu organisasi. Penerapan manajemen risiko awalnya berfokus pada bagaimana menangani risiko secara parsial, tetapi saat ini fokusnya telah berkembang menjadi terintegrasi untuk keseluruhan organisasi yang disebut sebagai ERM (enterprise risk management).

a. Prinsip-prinsip manajemen risiko yang efektif:

1) Manajemen risiko melindungi dan menciptakan nilai tambah

2) Manajemen risiko adalah bagian terpadu dari proses organisasi

3) Manajemen risiko adalah bagian dari proses pengambilan keputusan

4) Manajemen risiko secara khusus menangani aspek ketidakpastian

5) Manajemen risiko bersifat sistematik, terstruktur, dan tepat waktu

6) Manajemen risiko berdasarkan pada informasi terbaik yang tersedia

7) Manajemen risiko adalah khas untuk penggunanya (tailored)

8) Manajemen risiko mempertimbangkan faktor manusia dan budaya

9) Manajemen risiko harus transparan dan inklusif

10) Manajemen risiko bersifat dinamis, berulang, dan tanggap terhadap perubahan

11) Manajemen risiko harus memfasilitasi terjadinya perbaikan dan peningkatan organisasi secara berlanjut.

b. Kerangka Kerja Manajemen Risiko

Kerangka kerja akan memastikan berjalannya pelaporan dari proses manajemen risiko mengenai informasi risiko yang lengkap dan memadai serta akan digunakan sebagai landasan dalam pengambilan keputusan.

Mandat

Komitmen

Perencanaan Kerangka Kerja Manajemen Risiko

Perbaikan Sinambung Penerapan Manajemen Risiko Kerangka Kerja MR

Monitoring & Review Penerapan Kerangka Kerja

MR

Gambar 1: Kerangka Kerja Manajemen Risiko

c. Mandat dan Komitmen

Dalam kerangka kerja manajemen risiko, mandat dan komitmen merupakan sentral, sesuai dengan peraturan perundang-undangan, yang menjadi sumber dasar hukum entitas. Alter ego perusahaan dalam UU PT adalah Dewan Direksi dan Dewan Komisaris. Direksi merupakan penanggung jawab utama penerapan manajemen risiko perusahaan, sedangkan Komisaris merupakan pengawas tertinggi dalam pelaksanaan pengawasan penerapan manajemen risiko perusahaan.

d. Proses Manajemen Risiko

Secara singkat, proses manajemen risiko merupakan penerapan kerangka kerja manajemen risiko pada tiap-tiap jenis risiko yang secara spesifik mempunyai karakter yang berbeda-beda sesuai dengan konteksnya (tailored). Gambar berikut merupakan proses manajemen risiko dalam KNKG (2011).

Gambar 2: Proses Manajemen Risiko

e. Tata Kelola Risiko

Tata kelola risiko meliputi unsur-unsur sebagai berikut:

1) Kebijakan manajemen risiko, pernyataan komitmen secara tertulis oleh Dewan Direksi dan Dewan Komisaris untuk menerapkan manajemen risiko.

2) Akuntabilitas penerapan manajemen risiko, akuntabilitas tertinggi berada pada Direksi, secara lebih khusus pada Direktur Utama atau yang ditunjuk. Selain itu perlu diperhatikan mengenai:  Penunjukan champion, bertanggung jawab sebagai fasilitator penerapan

manajemen risiko ke seluruh organisasi (ERM)  Penunjukan risk owner, pemangku risiko dan penanggung jawab pengelolaan risiko pada divisi yang dipimpinnya  Penyusunan infrastruktur organisasi sebagai unit untuk mendorong penerapan ERM  Penyusunan mekanisme organisasi untuk penerapan manajemen risiko  Proses untuk menimbulkan budaya sadar risiko ke seluruh organisasi

3) Infrastuktur manajemen risiko, setiap organisasi harus menyusun infrastruktur manajemen risiko sesuai dengan kebutuhan dan jenis-jenis risiko yang dihadapinya.

4) Tata laksana, komunikasi, dan pelaporan, metode yang sering digunakan

adalah RACI Matrix yakni:  Responsible, siapa yang mengerjakan kegiatan  Accountable, siapa yang memiliki hak membuat keputusan akhir serta

menjawab pertanyaan pihak lain  Consulted, siapa yang harus dilibatkan atau diajak berkonsultasi sebelum atau saat pelaksanaan kegiatan  Informed, siapa yang harus diberi informasi mengenai apa yang sedang terjadi tanpa harus menghentikan kegiatan tersebut.

f. Sumber Daya Penerapan Manajemen Risiko

Beberapa pengalokasian sumber daya memadai yang harus dilakukan untuk pelaksanaan manajemen risiko:  Personalia dengan pengalaman, keterampilan dan keahlian yang memadai serta jumlah yang sesuai dengan kebutuhan  Sumber dana dan sumber daya yang diperlukan untuk setiap tahapan penerapan manajemen risiko  Proses dan prosedur yang terdokumentasi dengan baik  Sistem informasi dan manajemen pengetahuan

1. Aspek Operasional

Aspek operasional merupakan aspek operasionalisasi bagi manajemen risiko di seluruh organisasi tetapi juga spesifik bagi masing-masing bagian atau bahkan bagi masing-masing pemilik risiko.Proses manajemen risiko dan penanganan manajemen perubahan merupakan bagian dari aspek operasional sedangkan, aspek spesifik adalah penerapan proses manajemen risiko itu sendiri pada tiap-tiap risiko. Dalam aspek operasionalisasi, perlu lingkup tugas mana yang menjadi bagian level organisasi keseluruhan (perusahaan) dan wilayah mana yang menjadi bagian risk owner (divisi, departemen, dll).

Gambar 3: Operasionalisasi Kerangka Kerja dan Proses Manajemen Risiko

Proses manajemen risiko yang berada di tengah pada gambar di atas merupakan “domain kegiatan risk owner” sedangkan kegiatan lainnya merupakan “domain kegiatan organisasi”, yang merupakan tugas khusus fungsi manajemen risiko organisasi yaitu untuk menyediakan dasar bagi kegiatan para risk owner dalam menerapkan manajemen risiko.

a. Manajemen Perubahan

Organisasi akan mengalami beberapa tahapan dalam melakukan setiap pengenalan program baru kepada seluruh anggotanya, yakni:  Penolakan, semua orang karena sudah nyaman dengan kondisi yang ada akan

mempertanyakan kegunaan dari program baru tersebut.  Perlawanan, orang mulai melihat manfaatnya tetapi masih ragu untuk melaksanakannya.

 Eksplorasi, mulai timbul keinginan untuk memahami dan mengeksplorasi lebih jauh karena sudah melihat manfaatnya dengan jelas.  Komitmen, melakukan perubahan tersebut dan proses perubahan akan berlangsung dengan baik. Proses manajemen perubahan meliputi peluncuran, sosialisasi dan pelatihan hingga penerapan manajemen risiko dan pada akhirnya akan tumbuh budaya sadar risiko. Oleh karena itu, perubahan harus dimulai dari tup management terlebih dahulu sehingga akan menjadi change leader yang akan diikuti oleh middle management, dan begitu seterusnya sampai ke tahap line management dan seluruh karyawan. Selain itu, proses penerapan manajemen risiko harus direncanakan dan disusun sedemikian rupa sehingga penolakan dan perlawanan dapat diatasi dengan baik.

b. Panduan Manajemen Risiko

Alat utama dalam operasionalisasi manajemen risiko ke seluruh organisasi adalah berupa Manual Manajemen Risiko atau buku panduan manajemen risiko. Melalui manual ini, istilah dan definisi diseragamkan untuk menghindari multi interpretasi dan penerapan serta proses manajemen risiko dilaksanakna sesuai dengan standar yang ditentukan oleh Direksi. Setiap perusahaan memiliki panduan manajemen risiko yang berbeda atau unik namun, secara umum terdapat beberapa sttruktur yang sama yaitu menjelaskan latar belakang dan alasan diterapkannya ERM, menguraikan prinsip- prinsip manajemen risiko, menguraikan kerangka kerja manajemen risiko, menguraikan proses manajemen risiko di setiap tahapan, menguraikan konteks manajemen risiko, dan memberikan panduan untuk implementasi manajemen risiko secara menyeluruh di perusahaan.

c. Implementasi Manajemen Risiko

Pada dasarnya merupakan implementasi kerangka kerja manajemen risiko dan implementasi proses manajemen risiko. Dalam sebuah perusahaan hanya ada satu kerangka kerja manajemen risiko yang berlaku secara menyeluruh. Namun, dalam proses mananjemen risiko konteks dan isinya, terutama alat dan metodenya dapat berbeda-beda untuk tiap risiko yang ditangani. Berikut merupakan tahapan-tahapan dalam proses manajemen risiko.

1) Komunikasi dan Konsultasi

Pada setiap tahapan proses manajemen risiko harus dilakukan komunikasi dan konsultasi se-ekstensif mungkin dengan para risk owner baik internal maupun eksternal. Rencana komunikasi dan konsultasi harus disusun dan merujuk pada risiko yang mungkin terjadi, dampak, dan tindakan yang perlu dilakukan untuk mengatasinya, serta hal lain yang terkait. Risk owner memberikan pertimbangan dan penilaian terhadap risiko yang didasarkan pada persepsi mereka atas risiko tersebut. Penting untuk mengidentifikasi persepsi para risk owner terutama ketika pandangan mereka dapat memengaruhi dan menentukan dalam pengambilan keputusan.

2) Penentuan Konteks

Penentuan konteks artinya menentukan batasan atau parameter internal dan eksternal yang akan dijadikan pertimbangan dalam pengelolaan risiko, menentukan lingkup kerja, dan kriteria risiko untuk proses-proses selanjutnya.

a) Konteks Internal, segala sesuatu di dalam organisasi yang dapat memengaruhi cara organisasi dalam mengelola risiko. Proses manajemen risiko harus dijalankan dengan selaras dengan budaya, proses, dan kultur organisasi.

b) Konteks Eksternal, lingkungan eksternal di mana organisasi mengupayakan pencapaian sasaran yang ditetapkannya. Konteks internal meliputi lingkungan politik, budaya, sosial, ekonomi, hukum dan lainnya; faktor-faktor pendorong yang mempunyai dampak terhadapa pencapaian sasaran organisasi; dan persepsi dan nilai- nilai para stakeholders eksternal.

c) Konteks Proses Manajemen Risiko, merupakan konteks di mana proses manajemen risiko diterapkan. Penerapan manajemen risiko dilaksanakan dengan mempertimbangkan biaya dan manfaat dalam pelaksanaannya. Kontek proses manajemen risiko akan berubah sesuai dengan kebutuhan organisasi.

d) Mengembangkan Kriteria Risiko, kriteria dapat merupakan gambaran nilai-nilai dan sasaran organisasi, dampak terhadap sumber daya organisasi, serta aspek hukum yang terkait dengan kegiatan organisasi. Kriteria harus konsisten dengan kebijakan manajemen risiko yang telah ditetapkan. Kriteria disusun pada awal penerapan proses manajemen risiko dan ditinjau ulang secara berkala. Penyusunan kriteria risiko terutama penting untuk melakukan asesmen risiko. Kriteria yang perlu dikembangkan antara lain: kriteria dampak, cara mengukur kemungkinan terjadinya d) Mengembangkan Kriteria Risiko, kriteria dapat merupakan gambaran nilai-nilai dan sasaran organisasi, dampak terhadap sumber daya organisasi, serta aspek hukum yang terkait dengan kegiatan organisasi. Kriteria harus konsisten dengan kebijakan manajemen risiko yang telah ditetapkan. Kriteria disusun pada awal penerapan proses manajemen risiko dan ditinjau ulang secara berkala. Penyusunan kriteria risiko terutama penting untuk melakukan asesmen risiko. Kriteria yang perlu dikembangkan antara lain: kriteria dampak, cara mengukur kemungkinan terjadinya

3) Asesmen Risiko

Asesmen risiko merupakan proses pengidentifikasian risiko-risiko yang mungkin terjadi kemudian masing-masing risiko diberi atribut berdasarkan analisis dengan menggunakan kriteria risiko yang telah ditentukan. Setelah itu, dilakukan evaluasi pemeringkatan risiko sehingga dapat ditentukan tingkat prioritas risiko yang akan memerlukan perlakuan risiko.

a) Identifikasi Risiko, proses ini sangat penting karena risiko yang tidak teridentifikasi tidak akan ditangani pada proses-proses selanjutnya. Risiko tidak hanya sekedar suatu peristiwa tetapi juga mencakup informasi yang berkaitan dengan peristiwa tersebut. Beberapa elemen dalam informasi tersebut: sumber risiko, kejadian, konsekuensi, pengendalian (faktor pemicu risiko), serta perkiraan waktu dan tempat terjaidnya risiko. Ketgori teknik yang secara umum digunakan untuk mengidentifikasi risiko:  Teknik Brainstorming, antara lain Brainstorming, Delphi Method, RSCA (Risk

Control Self-Assesment), focus group discussion.  Persepsi pihak terkait, antara lain document review, stakeholders analysis, expert judgement.  Proses bisnis, misalnya FMEA (Failure Mode & Effect Analysis, fish bone diagram).  Struktur organisasi atau pekerjaan (workbreakdown structure), misalnya RBS (Risk Breakdown Structure).  Contoh model risiko bisnis perusahaan sejenis (Bussiness Risk Model). Dalam prakteknya dapat dilakukan kombinasi dari berbagai macam teknik di atas. Proses identifikasi risiko akan menghasilkan daftar risiko (rekaman data mengenai

riwayat risiko dan perkembangan perlakuannya) dan tabel risiko (tabel kumpulan risiko yang sudah dibuat daftar risikonya).

b) Analisis Risiko, upaya untuk memahami risiko lebih dalam termasuk cara dan strategi yang tepat dalam memperlakukan risiko tersebut. Analisis dapat dilakukan

secara kualitatif, kuantitatif, semi kuantitatif, atau kombinasi dari cara-cara ini, secara kualitatif, kuantitatif, semi kuantitatif, atau kombinasi dari cara-cara ini,

Gambar 4: Peringkat Risiko

Hasil analisis risiko ini akan menjadi masukan bagi evaluasi risiko dan untuk proses pengambilan keputusan mengenai perlakuan terhadap risiko tersebut.

c) Evaluasi Risiko, menentukan risiko-risiko mana yang memerlukan perlakuan dan bagaimana prioritas perlakuan atas risiko-risiko tersebut. Risiko menurut banyak pihak dikelompokkan menjadi:  Kelompok risiko tinggi (high risk), terdapat risiko-risiko yang berbahaya dan

tidak dapat ditolerir, apapun manfaat yang terkandung dalam kegiatan tersebut. Langkah-langkah mitigasi risiko (risk reduction) hasil diambil, berapapun biayanya. Contohnya, terkait dengan keselamatan dan kesehatan.

 Kelompok risiko rendah (medium risk), risiko yang memerlukan analisis manfaat-biaya guna mengukur perbandingan antara peluang serta dampak buruknya. Contohnya, risiko bisnis.

 Kelompok risiko rendah (low risk), risiko yang memiliki aspek positif dan negatif terlalu kecil sehingga tidak memerlukan penanganan risiko secara khusus dan kesalahan dari risiko ini tidak menimbulkan dampak besar yang tidak diinginkan. Contohnya, salah tulis.

Dalam menentukan kriteria risiko di atas, pengertian pengendalian risiko perlu diperhatikan. Sebagai contoh, suatu risiko masuk dalam kelompok risiko tinggi tetapi karena pengendalian risiko yang efektif, risiko tersisa menjadi kecil, sehingga masuk dalam kategori risiko rendah. Hasil evaluai risiko menunjukkan peringkat risiko yang memerlukan penanganan lebih lanjut berdasarkan risiko yang tersisa dan efektivitas pengendalian risiko yang ada.

4) Perlakuan Risiko

Setiap risiko memerlukan bentuk perlakuan yang khas untuk tiap risiko itu sendiri. Pemeriksaan ulang yang cukup komprehensif perlu dilakukan untuk setiap risiko yang memerlukan perlakuan risiko. Perlakuan suatu risiko dapat bermanfaat untuk risiko- risiko lainnya (satu perlakuan untuk beberapa risiko), tetapi mungkin juga diperlukan beberapa perlakuan untuk satu risiko. Beberapa perlakuan terhadap suatu risiko:  Menghindari risiko (risk avoidance), tidak melaksanakan atau melanjutkan

kegiatan yang menimbulkan risiko tersebut.  Berbagi risiko (risk sharing/transfer), suatu tindakan untuk mengurangi

kemungkinan timbulnya risiko atau dampak risiko. Misalnya melalui asuransi, outsourcing, subcontracting, tindak lindung mata uang asing, dll.  Mitigasi (mitigation), melakukan perlakuan risiko untuk mengurangi

kemungkinan timbulnya risiko, atau mengurangi dampak risiko bila terjadi, atau mengurangi keduanya (kemungkinan dan dampak). Mitigasi merupakan bagian dari kegiatan organisasi sehari-hari.

 Menerima risiko (risk acceptance), tidak melakukan perlakuan apapun terhadap risiko tersebut.

5) Monitoring dan Review

Proses monitoring dan review harus mencakup semua aspek dari proses manajemen risiko. Proses ini dapat berupa pemeriksaan biasa atau pengamatan terhadap apa yang sudah ada secara berkala maupun khusus dan dilakukan secara terencana.

Hasilnya harus didokumentasikan serta dilaporkan baik internal maupun eksternal. Beberapa pertanyaan dasar yang disusun dalam proses monitoring dan review yaitu:

a) Siapa yang melakukan monitoring dan review?

Dewan Komisaris dan Direksi wajib melakukan proses monitoring dan review. Dewan Komisaris bertanggung jawab dalam pelaksanaan monitoring dan review terhadap keseluruhan operasi perusahaan. Direksi bertanggung jawab mengarahkan dan mengendalikan operasi perusahaan. Dua macam pelaksanaan monitoring:  Pemantauan berkelanjutan (ongoing monitoring), dilaksanakan oleh pelaksana

pekerjaan (self review atau continous monitoring) dan atasan pekerja (line management monitoring)

 Pemantauan terpisah (separate monitoring), dilakukan oleh pihak ketiga baik internal maupun eksternal auditor dan hasilnya dilaporkan kepada Direksi dan Dewan Komisaris.

b) Apa yang perlu dipantau dan ditinjau?

 Pemantauan terhadap perubahan, sehingga dinamika pemantauan risiko akan mengikuti dinamika perubahan yang terjadi pada proses organisasi dan lingkungan organisasi tersebut.

 Pemantauan kinerja manajemen risiko, khususnya ditunjukan pada risiko- risiko yang tinggi dan kritis. Pemantauan difokuskan pada efektivitas pengendalian risikonya.

 Kemungkinan timbulnya risiko-risiko baru akibat dilakukannya suatu tindakan perlakuan risiko yang baru.

c) Informasi yang bagaimana yang harus dievaluasi?

Informasi yang dapat digunakan adalah informasi yang:  Sesuai, informasi yang relevan, dapat dipercaya, dan tepat waktu. Kesesuaian

informasi merupakan ukuran kualitas informasi.  Berkecukupan, ukuran dari jumlah informasi yang dibutuhkan harus cukup untuk mengambil keputusan. Kecukupan dapat ditentukan secara statistik melalui smapling dan ditentukan dengan selera risiko atau toleransi risiko yang ditetapkan.

d) Prosedur yang bagaimana yang harus digunakan dan seberapa sering?

Pengembangan dari pertanyaan pertama, yaitu:

 Pemantauan berkelanjutan, dilakukan oleh pelaksana proses dengan menggunakan indikator kinerja proses dan kinerja hasil. Untuk memudahkannya dibuat prosedur terkait hal yang harus dipantau dan frekuensi pemantauannya, agar produktivitas kerja tidak terganggu dan efektivitas pengendalian risiko tetap terjaga.

 Pemantauan oleh atasan, menekankan pada hasil proses dan ditetapkan jangka waktu serta pelaporannya secara berjenjang hingga ke tingkat Direksi dan Dewan Komisaris.

 Pemantauan oleh pihak ketiga, meninjau keseluruhan prosedur pemantauan berkelanjutan dan pemantauan oleh atasan untuk memastikan kepatuhan terhadap standar, peraturan perundangan, dan peraturan internal yang digunakan, sekaligus memeriksa efektivitas penerapan sistem manajemen risiko.

e) Bagaimana proses pelaporan dan siapa yang berhak membacanya?

Bentuk laporan hasil monitoring dan review, bila terdapat kelemahan sistem manajemen risiko:  Laporan hasil temuan audit, laporan kelemahan pengendalian risiko yang akan

disampaikan pertama kepada risk owner dan atasan risk owner dan/atau atasan unit tersebut.

 Laporan kelemahan sistem, laporan kelemahan sistem pengendalian risiko yang kritis untuk dikomunikasikan kepada Direksi dan Komite Pemantau Risiko dari Dewan Komisaris.

 Laporan tindak lanjut masalah, laporan tindak lanjut bila diperoleh laporan adanya kelemahan pengendalian risiko baik dari internal maupun eksternal. Perbaikan atas kelemahan ini harus segera dilaksanakan.

d. Dokumentasi Manajemen Risiko

1) Fungsi dokumentasi manajemen risiko

 Sumber informasi atas proses yang terjadi atas pelaksanaan kegiatan dan dapat menjadi dasar pengambilan keputusan atas permasalahan yang sama di masa depan.

 Bukti hukum atas apa yang telah diputuskan dan dilaksanakan, khususnya bila terjadi sengketa hukum.

 Sarana untuk preservasi pengetahuan sebagai bagian dari proses pengembangan knowledge management dalam suatu organisasi.

2) Struktur dokumentasi manajemen risiko

 Dokumentasi rencana manajemen risiko (risk management plan), dasar untuk pelaksanaan manajemen risiko dan disusun oleh fungsi manajemen risiko.  Dokumentasi manajemen risiko (risk management documentation), dokumen- dokumen yang diperlukan untuk mengelola proses penerapan manajemen risiko, baik oleh fungsi manajemen risiko ataupun para risk owner.

2. Aspek Perawatan