Importance of Governance, Risk, and

Importance of Governance, Risk, and

Compliance Principles

Compliance Principles

Kelompok 3

Kelompok 3

Anggota Kelompok :

Anggota Kelompok :

A

An

nn

na

a R

Ra

ah

hm

mi

i F

Fiittrrii

1

1

!

!1

13

3"

"

#

#3

3#

#

F

Fiin

na

a $

$%

%rrffiia

an

nii

1

1

!

!1

13

3&

&"

"&

&

&

&

'

'a

ap

pp

piie

e G

Grra

ad

diirra

a((a

a

1

1

!

!1

13

3!

!3

3&

&&

&)

)

'

'eellm

mi

i R

Ra

affiiff

1

1

!

!1

13

3#

#*

*!

!!

!1

1

K

Krriissttiia

an

n +

+a

arr

%

%n

n

1

1

!

!1

13

3)

))

)3

3-

-)

)

.

.tteeffa

an

niie

e C

Clla

a%

%d

diia

a +

+R

R

1

1

!

!1

13

3&

&3

3



3

3

KA/A P0$GA$/AR 

KA/A P0$GA$/AR 

Puji dan Syukur kami panjatkan kepada Allah SWT, karena-Nya kelompok kami Puji dan Syukur kami panjatkan kepada Allah SWT, karena-Nya kelompok kami dap

dapat at memenyenyeleslesaiaikan kan tugtugas as mamakalkalah ah kekelomlompok pok inini. i. MaMakalkalah ah inini i dibdibuat uat untuntuk uk  memenuhi tugas mata kuliah

memenuhi tugas mata kuliah Risk and Internal Contro Risk and Internal Control.l.

Kam

Kami i uapuapkan kan terterima ima kasikasih h kepakepada da !ap!apak Aries Wiak Aries Wiaksoaksono no dan dan semusemua a pihapihak k  yang terlibat dalam membantu menyelesaikan makalah ini, sehingga tugas kami dapat yang terlibat dalam membantu menyelesaikan makalah ini, sehingga tugas kami dapat terselesaikan dengan baik dan tepat pada "aktunya. Makalah yang kami buat ini terselesaikan dengan baik dan tepat pada "aktunya. Makalah yang kami buat ini ma

masih sih mememimililiki ki kekkekuraurangangan n dadan n jaujauh h dardari i kakata ta semsempurpurna na , , mamaka ka dadari ri ititu u kamkamii mengharap

mengharapkan kritik atau kan kritik atau saran yang membangun agar kelompok kami menjadi lebihsaran yang membangun agar kelompok kami menjadi lebih  baik lagi.

 baik lagi. Se

Semomoga ga mmakakalalah ah inini i dadapapat t mmenenamambabah h "a"a"a"asasan, n, mememmbubuka ka pipikikiraran, n, dadann memberikan ilmu yang baik bagi mahasis"a dan masyarakat luas.

memberikan ilmu yang baik bagi mahasis"a dan masyarakat luas.

#akarta, $% September $&'( #akarta, $% September $&'(

Penyusun Penyusun

AF/AR I.I

)o*er... ' Kata Pengantar... $ +atar si... 

mportane o /o*ernae, 0isk, and )ompliane... 1 0oad to 2eti*e /0) Priniples... % mportane o /0) /o*ernae... '' 0isk Management )omponent o /0)... ' /0) and 2nterprise )ompliane... '%

I2

I+PR/A$C0

F

G40R$AC0,

RI.K,

A$

C+P5IA$C0 PRI$CIP50.

MANA#2M2N 0SK3 K3MP3N2N /0)

Tujuan utama dari rangkuman ini adalah untuk memperkenalkan dan menjelaskan pentingnya )3S3 manajemen risiko perusahaan 420M5 kerangka kerja dan untuk menggambarkan bagaimana )3S3 20M adalah komponen kuni dari  prinsip-prinsip perusahaan /0). !ab  membahas dasar-dasar manajemen risiko seara lebih detail, namun manajemen risiko harus menjadi bagian dari budaya  perusahaan seara keseluruhan dari de"an direksi dan pejabat sangat senior turun melalui perusahaan. !ab-bab berikut menekankan bah"a ada empat langkah yang saling berhubungan dalam proses /0) eekti dan manajemen risiko perusahaan seperti yang ditunjukkan pada pameran $. dan sebagai berikut6

'. Penilaian risiko dan perenanaan. Suatu perusahaan menghadapi semua tingkat risiko, apakah isu-isu global berdasarkan uaa atau mata uang anaman terhadap anaman uaa yang terkait di operasi lokal. Kita tidak  dapat merenanakan atau mengidentiikasi setiap jenis risiko yang mungkin  berdampak perusahaan, tetapi harus ada analisis yang berkelanjutan dari  berbagai potensi risiko yang mungkin dihadapi perusahaan.

$. dentiikasi risiko dan analisis. +aripada hanya berenana untuk kemungkinan  beberapa kejadian risiko terjadi, ada kebutuhan untuk analisis yang lebih rini tentang kemungkinan risiko tersebut mulai membuahkan hasil serta dampak   potensial mereka. Ada kebutuhan untuk mengukur dampak dari risiko yang

teridentiikasi dan untuk menentukan strategi mitigasi di ajang kejadian risiko terjadi. Mitigasi mengau menilai ara terbaik untuk mengelola atau menghilangkan risiko diidentiikasi. 7aktor akhir yang terkait dengan

!8KT $. /0) Proses Manajemen 0isiko $( 9 Pentingnya /o*ernane, Prinsip 0isiko, dan Kepatuhan risiko juga harus diidentiikasi. Sebuah risiko yang diidentiikasi akan jauh lebih signiikan jika kita dapat mengidentiikasi total biaya untuk perusahaan jika risiko yang diidentiikasi terjadi.

. 2ksploitasi dan mengembangkan strategi respon risiko. Pada dasarnya konsep yang harus dipertimbangkan seara paralel dengan identiikasi risiko,  perusahaan harus mengembangkan renana dan strategi untuk kembali ke operasi normal dan kemudian pulih dari kejadian risiko. ni mungkin termasuk  analisis peluang terkait risiko. Artinya, jika ada risiko yang diidentiikasi  bah"a beberapa lebih tua peralatan produksi mungkin gagal, kesempatan mungkin untuk meninggalkan bah"a lini produksi dan memasang peralatan  baru menyusul baru teknologi dan bahkan mungkin di lokasi yang lebih ramah

yang lebih baru.

1. pemantauan 0isiko. Alat dan asilitas harus di tempat untuk memantau risiko yang teridentiikasi mungkin terjadi. Sebuah detektor asap alarm kebakaran adalah ontoh di sini, meskipun pemantauan terkait risiko yang paling membutuhkan berbagai rangkaian laporan khusus, didirikan dan standar  terukur, dan rajin ungsi sumber daya manusia. denya adalah untuk terus maju dan untuk masuk kembali langkah-langkah manajemen risiko sebelumnya sebagai perlu. manajemen risiko harus meniptakan nilai dan menjadi bagian integral dari proses organisasi. ni harus menjadi bagian dari proses  pengambilan keputusan dan disesuaikan seara sistematis dan terstruktur 

seara eksplisit mengatasi ketidakpastian sebuah "ajah hadiah masukkan- berdasarkan inormasi terbaik yang tersedia. Selain itu, proses manajemen risiko harus dinamis, berulang, dan responsi terhadap perubahan dengan membuktikannya kemampuan :N! perbaikan terus-menerus dan perangkat tambahan. bab yang )3S3 20M terkait berikut melihat banyak aspek lain dari manajemen risiko, bagian yang sangat penting dari prinsip-prinsip /0).

/0) +AN 2NT20P0S2 K2PAT8;AN

Kepatuhan adalah proses mengikuti seperangkat pedoman atau aturan yang ditetapkan oleh instansi pemerintah, kelompok standar, atau kebijakan internal perusahaan.

Mengikuti persyaratan terkait kepatuhan ini merupakan tantangan bagi perusahaan karena masalah berikut6

• Sering pengenalan peraturan baru. Menggunakan Amerika Serikat sebagai

ontoh, berbagai petak lembaga, seperti !adan Perlindungan :ingkungan 42PA5, seara teratur mengeluarkan aturan baru yang mungkin berdampak  luas pada banyak perusahaan, meskipun tujuan bisnis utama mereka. Perusahaan memiliki tantangan untuk memantau aturan ini dan menentukan  berlaku untuk mereka.

• Samar-samar tertulis peraturan yang membutuhkan interpretasi. Sekali lagi

menggunakan Amerika Serikat sebagai ontoh, pada tahun $&'& Kongres meloloskan 088 reorganisasi pera"atan kesehatan besar, yang dietak pada ribuan halaman, masalah meliputi dan aturan bah"a legislator yang lulus tagihan bahkan tidak pernah membaa, apalagi memahami. !ahkan saat ini, kita masih melihat aturan-aturan ini dan menasirkan apa yang mereka maksud. Sesuai dengan jenis-jenis aturan bisa sulit.

• Ada konsensus tentang praktik terbaik yang digunakan untuk kepatuhan.

Aturan dipenuhi dengan peraturan yang menyatakan hal-hal seperti << Semua transaksi harus didukung oleh tanda terima. << Apakah aturan tersebut membutuhkan penerimaan untuk transaksi kurang dari = ',&&, kurang dari = $>,&&, atau nilai lainnya? Sering tidak ada pedoman sini dan semua orang tampaknya memiliki interpretasi mereka sendiri.

• !eberapa peraturan sering tumpang tindih. negara bagian AS dan unit

 pemerintah lokal dari berbagai "ilayah geograis yang dapat mengeluarkan aturan yang menakup area yang sama tetapi mungkin memiliki kebutuhan yang berbeda. Perbedaan-perbedaan ini akan akhirnya diselesaikan di  pengadilan, tetapi kepatuhan sampai hal-hal yang diselesaikan bisa menjadi

suatu tantangan.

• Terus berubah peraturan. badan hukum di tertentu sering terus berubah atau

menasirkan aturan mereka, membuat kepatuhan yang ketat tantangan.

3leh karena itu, kepatuhan menjadi proses yang berkesinambungan, bukan proyek  satu kali, dan terus mendorong agenda bisnis sebagai organisasi yang bertanggung  ja"ab untuk memenuhi berbagai mandat khusus untuk pasar *ertikal mereka.

Selain itu, perusahaan juga mungkin diperlukan untuk mengatasi peraturan lintas-industri, seperti Sarbanes-3@ley 4S3@5, dibahas dalam !ab , dan proses

 pengendalian internal lainnya, seperti S3 &&& atau Si@ Sigma. Seara sederhana, luas dan kompleksitas hukum dan peraturan tersebut telah menyebabkan tantangan  bagi banyak perusahaan selama bertahun-tahun. Perusahaan perlu pendekatan prinsip- prinsip /0) kepatuhan mereka dari perspekti yang lebih strategis yang bisa membantu mereka bergerak lebih dari sekedar memenuhi mandat kepatuhan indi*idu untuk me"ujudkan manaat bisnis yang nyata dari in*estasi inrastruktur mereka seara keseluruhan.

0uang lingkup kepatuhan juga meresapi aspek lain dari suatu perusahaan. 2@hibit $.1 menggambarkan beberapa masalah perusahaan harus mempertimbangkan karena upaya untuk membangun ruang lingkup dan pendekatan untuk kepatuhan. Sebuah  pendekatan yang konsisten pada penggunaan ompliane- kemampuan didorong dan

mendukung teknologi di suatu perusahaan dapat memberikan manaat potensial6

 Mengurangi total biaya kepemilikan. n*estasi dapat dimanaatkan di beberapa  peraturan. Misalnya, banyak peraturan menentukan penyimpanan dokumen- persyaratan KAS;, yang dapat dipenuhi oleh in*estasi tunggal dalam konten

dan atatan manajemen sistem ment.

 7leksibilitas. Salah satu kesulitan dengan kepatuhan adalah bah"a peraturan  baru diperkenalkan dan peraturan yang ada berubah seara sering. +engan mengelola pusat inisiati kepatuhan melalui arsitektur kepatuhan organisasi-lebar, sebuah perusahaan dapat dengan epat beradaptasi dengan perubahan ini.

 Keunggulan kompetiti. Sebuah arsitektur kepatuhan yang luas dan konsisten dapat memungkinkan suatu perusahaan untuk lebih memahami dan mengendalikan proses bisnis mereka, yang memungkinkan mereka untuk  merespon lebih epat dan akurat terhadap tekanan eksternal atau internal. Selain itu, peraturan tertentu mungkin mengandung manaat bisnis nyata melalui persyaratan modal minimum berkurang, yang bisa diaktikan oleh arsitektur kepatuhan perusahaan-lebar. /0) dan 2nterprise )ompliane 9 $B $% Pentingnya /o*ernane, Prinsip 0isiko, dan Kepatuhan :ingkup Kepatuhan Strategi 3rganisasi proses Aplikasi dan data 7asilitas +aerah untuk  Pertimbangan Sebagai organisasi mengembangkan strategi, ia harus menentukan peraturan yang rele*an. Keberlanjutan Kepatuhan perlu menjadi  bagian integral dari strategi kepatuhan. Struktur organisasi harus didirikan untuk memenuhi persyaratan tertentu 4atau maksud5 dari setiap peraturan

4misalnya, Sarbanes-3@ley merekomendasikan )hie 2@euti*e 3ier dan Presiden menjadi dua orang yang berbeda5. Proses Key harus didokumentasikan dan dipraktekkan. Audit atau ulasan harus dilakukan untuk  memastikan proses terdokumentasi seara eekti digunakan untuk mengatasi  persyaratan kepatuhan C regulasi. Aplikasi harus diranang, dilaksanakan dan terus diuji untuk mendukung kebutuhan dari setiap peraturan. +ata harus  benar dilindungi dan ditangani sesuai dengan setiap peraturan. 7asilitas harus diranang dan tersedia untuk memenuhi kebutuhan setiap peraturan 4misalnya,  beberapa peraturan mungkin memerlukan atatan yang akan tersedia di lokasi

o-site5.

!8KT $.1 :ingkup Kepatuhan Arsitektur Pertimbangan

 proses /0) kepatuhan yang eekti membantu perusahaan untuk mengubah operasi  bisnis mereka dan mendapatkan "a"asan yang lebih dalam dan prediktabilitas dari  proses bisnis mereka karena mereka mengatasi persyaratan peraturan-dri*en. dri*er   bisnis kuni di sini menakup kemampuan untuk mengelola aset inormasi,

menunjukkan kepatuhan dengan ke"ajiban latory dan hukum regularisasi, mengurangi risiko litigasi, mengurangi biaya penyimpanan dan penemuan, dan menunjukkan akuntabilitas perusahaan.

II2

RA / 0FF0C/I40 GRC PRI$CIP50.

/0) merupakan merupakan prinsip yang baru dibandingkan S3D. ;al ini menyebabkan beberapa proesional bisnis baru mendengarnya. Prinsip /0) sendiri merupakan singkatan dari / untuk /o*ernane, 0 untuk 0isk, dan ) untuk  ompliane. ;al ini untuk mempermudah mengatur organisasi agar menyelesaikan masalah dengan eekti.

/o*ernane yang merupakan singkatan dari / memiliki arti mengurus bisnis, mematikan bah"a hal-hal yang dilakukan sesuai dengan suatu standar perusahaan,  peraturan, dan keputusan de"an direksi. Pengaturan yang ditentukan oleh pemangku kepentingan merupakan harapan agar orang-orang yang menjalankan akti*itas  perusahaan patuh terhadap hal yang telah ditentukan. Kebijakan internal dalam  perusahaan menjadi kuni keberhasilan prinsip yang pertama dalam /0).

0isk adalah 0 dalam prinsip /0). Semua yang kita lakukan melibatkan  beberapa elemen resiko. Misalkan saat kita ingin menyebrang jalan tol atau bermain api dengan korek, ukup jelas bah"a resiko tidak akan diambil karena keatalannya sangat besar. Saat berbiara bisnis, resiko menjadi ara untuk membantu ataupun melindungi aset yang ada dan meniptakan nilai dengan strategi memperluas suatu  perusahaan atau mengeluarkan produk atau layanan baru. Konsep resiko bahkan lebih  penting dari sekedar )3S3 20M.

) merupakan huru terakhir dalam prinsip /0). ) sendri memiliki kepanjangan yaitu )ompliane. Kepatuhan dengan banyak hukum dan peraturan yang mempengaruhi bisnis dan masyarakat saat ini. Kadang-kadang ada juga akan memperluas bah"a ) untuk menyertakan kontrol yang artinya penting untuk  menempatkan kontrol tertentu di suatu organisasi atau tempat agar memastikan bah"a kepatuhan terjadi. ni mungkin berarti pemantauan limbah pabrik serta impor ekspor  kertas terkendali akti*itasnya. Mungkin juga hanya membangun pengendalian akuntansi internal yang eekti dan eekti menerapkan persyaratan legistati seperti Sarbanes-3@ley 4S3@5. Prinsip /0) bukan hanya untuk mengurus suatu perusahaan, tetapi untuk membantu menumbuhkan perusahaan dalam ara terbaik mungkin.

A"alnya semua perusahaan pada khususnya tidak berikir bah"a /0) sebagai satu set gabungan dari prinsip-prinsip. !ila ada suatu perusahaan berhasil atau peduli tentang "ilayah go*ernene, risk dan ompliane, perusahaan serinng mengelolanya sebagai masalah yang terpisah. Perusahaan berpikir bah"a manajemen resiko ruang kingkup asuransi dan departemen asuransi sering mengelola reisko perusahaan. +epartemen asuransi sendiri memiliki sedikit hubungannya dengan operasi peruahaan lainnya. Saat ini /0) menjadi semakin dikenal yang menerminkan ara baru  perusahaan untuk mengadopsi pendekatan aspek ini ke bisnis mereka.

/0) yang merupakan singkatan yang me"akili dari /o*ernene, 0isk, dan )ompliane. Masing-masing terdiri dari empat komponen /0) dasar yaitu strategi,  proses, teknologi, dan orang. ;ubungan  prinsip ini saling melengkapi satu sama lain. +iagram diatas menggambarkan kebijakan internal adalah aktor kuni dalam tata kelola, regulasi eksternal menjalankan prinsip kepatuhan, dan resiko perusahaan adalah elemen kuni dari manajemen resiko. +i segitiga tersebut kita mempunyai komponen strategi, proses yang eekti, teknologi yang T didalamnya, dan orang dalam perusahaan agar semuanya bekerja. +i bagian kiri, menggambarkan perusahaan memerlukan manajemen untuk memerhatikan dan membantu serta mengoreksi kebiasaan etis suatu perusahaan. Tidak lupa memnambah eektiitas yang merupakan kuninya.

Tiga prinsip /0) harus dianggap dalam satu aliran kontinu dan interkoneksi konsep dan tidak dengan /, 0, atau ) lebih penting atau signiikan daripada yang lain. Sementara dominan bab untuk mengikuti manajemen risiko penutup dan )3S3 20M, disini kita mulai diskusi /0) dengan pemerintahan. Tata kelola perusahaan atau perusahaan adalah istilah yang melihat seara luas kepada aturan, proses, atau undang-undang bisnis yang dioperasikan, diatur dan dikendalikan. stilah ini dapat mengau ke ator-aktor internalE yang dideinisikan oleh petugas, pemegang saham, atau piagam dan tujuan dasar dari sebuah perusahaan, serta kekuatan-kekuatan eksternal seperti kelompok-kelompok konsumen, dan peraturan pemerintah.

!ergerak turun dari tingkat senior perusahaan dan dalam operasi perusahaan, kita dapat mendeinisikan tata kelola perusahaan sebagai tanggung ja"ab dan praktek- praktek yang dilakukan oleh +e"an, Manajemen eksekuti dan semua tingkat manajemen ungsional dengan tujuan memberikan arah strategis, memastikan bah"a tujuan terapai, memastikan bah"a risiko dikelola dengan tepat, dan mem*eriikasi  bah"a perusahaan sumber daya yang digunakan seara bertanggung ja"ab. Pemerintahan benar-benar mengau pada proses membangun peraturan dan prosedur  dalam semua tingkat perusahaan, berkomunikasi aturan-aturan ke tingkat yang sesuai dari stakeholder, pemantauan kinerja terhadap aturan-aturan, dan mengelola imbalan dan hukuman yang berdasarkan kinerja relati*e atau sesuai dengan peraturan tersebut.

Seperangkat prinsip-prinsip tata kelola perusahaan yang dideinisikan dengan  baik dan penghilangan menyediakan struktur itu, setidaknya dalam teori, bekerja untuk kepentingan semua orang yang peduli dengan memastikan bah"a perusahaan mematuhi standar etika yang diterima dan praktik terbaik serta untuk hokum ormal. +alam beberapa tahun terakhir, tata kelola perusahaan telah menerima perhatian meningkat karena proil skandal tinggi yang melibatkan penyalahgunaan kekuasaan korporasi dan, dalam beberapa kasus, tuduhan riminal oleh pejabat perusahaan. !agian integral dari reFim kelola yang eekti menakup ketentuan untuk penuntutan  perdata atau pidana indi*idu-indi*idu yang melakukan tindakan-tindakan yang

 Pemeran "2" Konsep6konsep Pemerintahan GRC

Meskipun sulit untuk menggambarkan semua konsep-konsep perusahaan atau  pemerintahan perusahaan dalam beberapa paragraph pendek atau satu gambar,  pameran $.$ menunjukkan konsep-konsep pemerintahan perusahaan dengan kelompok eksekuti di pusat dan tanggung ja"ab mereka saling terkait untuk  membangun kontrol, kerangka kerja strategis, kinerja, dan akuntabilitas. Sebagian kuni prinsip-prinsip pemerintahan /0) tertanam di banyak bab akan maju tapi khususnya dalam bab (, pada bab '& risiko dan tata kelola manajemen portoolio serta  praktik tata kelola perusahaan yang eekti.

Kerangka Kerja Strategis:

• Rencana Korporat dan Bisnis • Rencana Manajemen Risiko • Rencana Kelanjutan Bisnis • IT & Kerangka Jaringan • Rencana Internal Audit

Akuntabilitas:

• Stakeholder  • Pemerintah •  Akuntan Pulik • In!estor & kreditur  • Pelanggan

Kontrol:

• "ndang#undang • Petunjuk $%

• S'( )AAP & $oiT • *ilai dan Kode %tik

Kinerja:

• +aporan internal termasuk laporan S%$(

laporan tahunan dan erita industri,

• Pelaporan eksternal termasuk laporan

papan kinerja( analisa APB*( dan internl audit,

Group

Eksekutif 

I42

RI.K +A$AG0+0$/ C+P$0$/ F GRC

 ENTERPRISE RISK MANAGEMENT  _{70R+8 FRA+09RK} 

Model 7rame"ork )3S3  Enterprise Risk Management 4manajemen risiko  perusahaan5 420M5 telah menjadi kerangka kerja yang diterima seara luas bagi organisasi atau perusahaan. Meskipun terdapat beberapa kritik, framework ini telah ditetapkan sebagai model yang dapat digunakan dalam lingkungan yang berbeda di seluruh dunia.

)3S3 ini menggambarkan model 20M dalam bentuk kubus. Kubus )3S3 ini mengilustrasikan delapan komponen yang diperlihatkan di depan untuk menapai empat tujuan yang terdapat diatas kubus tersebut. +imensi paling kanan merepresentasikan unit-unit organisasi untuk ous pada tujuan-tujuan tertentu yang telah ditentukan perusahaan.

 INTERNAL ENVIRONMENT 

The internal environment 4pengendalian internal5 membangun suasana organisasi dan mempengaruhi risk appetite, sikap terhadap manajemen resiko dan nilai-nilai etik. :ingkungan internal dibentuk oleh jajaran direksi. Kemampuan yang tidak seimbang diantara jajaran direksi akan membentuk lingkungan internal yang kurang baik. 3leh karena itu, penting untuk menyeimbangkan seluruh komponen internal, antara lain  pengetahuan dan pengalaman, keanekaragaman dan hal lainnya untuk membentuk 

lingkungan internal yang ideal sehingga misi perusahaan terapai dengan resiko yang minimal.

Model 20M sering dikritik karena memulai dari bagian yang salah. +alam hal ini, dimulai dari lingkungan internal, tidak lingkungan eksternal. Kritik tersebut  berpendapat bah"a model ini tidak seara tepat memperhitungkan dampak dari lingkungan yang kompetiti, regulasi, dan pemangku kepentingan eksternal padarisk  appetite, manajemen, dan budaya.

OBJECTIVE SETTING 

+ireksi harus membuat objekti atau tujuan yang mendukung misi organisasi dan konsisten denganrisk appetiteyang diambil.

#ika direksi telah menetapkan tujuan seara eekti, direksi harus "aspada terhadap resiko yang dapat munul jika ingin menapai tujuan lain. 0esiko yang dapat terjadi adalah entrepreneurial risks, yaitu resiko yang dapat munul dari in*estasi bisnis dan akti*itas ompetitor.

+isamping itu, direksi juga harus mempertimbangkan risk appetite dengan mengambil le*el resiko yang dapat diterima, dan juga risk tolerance, yakni batas resiko yang diambil perusahaan sesuai denganrisk appetite.

;al lain yang harus dipertimbangkan ialah seberapa pasti aspek-aspek sistem  pengendalian dapat digunakan untuk tujuan strategis. Sebagai ontoh, kode etik dapat digunakan sebagai bagian yang penting dalam menentukan bah"a perusahaan  bertanggung ja"ab seara sosial. +i sisi lain, framework-framework tertentu yang

sulit dimengerti dapat digunakan untuk tindakan illegal dan tujuan yang tidak etis, seperti struktur serta model bisnis 2nron yang kompleks dan sulit dimengerti berujung  pada salah satu Fraud yang tersebar di sepanjang sejarah.

3rganisasi harus mengidentiikasi kejadian internal dan eksternal yang dapat mempengaruhi perusahaan dalam menapai tujuan tertentu.

!eberapa organisasi kurang menggunakan proses identiikasi kejadian pada kenyataannya. Terdapat budaya dimana tidak terdapat seorangpun yang memperkirakan bah"a akan terjadi suatu peristi"a yang dapat merugikan perusahaan. Perbedaan antara resiko strategis dan operasional penting disini. 3rganisasi harus memperhatikan kejadian yang dapat mengganggu akti*itas operasional dan bahaya yang dapat menegah terapainya tujuan. 7okus yang berlebih pada aktor internal dapat menyebabkan konsentrasi hanya pada resiko operasional dan gagal dalam menganalisasi bahaya strategis.

Model 20M telah menuai kritik karena hanya mendiskusikan resiko yang hanya  berkaitan dengan suatu peristi"a, khususnya peristi"a dengan konsekuensi tertentu. 3rganisasi harus menganalisis dan mengidentiikasi kejadian potensial, dan juga  penting untuk mengidentiikasi dan merespon terhadap sinyal bahaya yang mungkin munul. Sebagai ontoh, respon epat terhadap produk gagal akan menjadi *ital dalam memastikan bah"a penurunan penjualan dan anaman terhadap reputasi akan diminimalisir.

 RISK ASSESSMENT 

Kemungkinan resiko yang terjadi harus dinilai perusahaan, sebagai basis untuk  menentukan ara yang digunakan untuk menanggulangi resiko tersebut.

Manajer juga harus mempertimbangkan bagaimana resiko antar indi*idual berelasi. )3S3 uidance menunjukkan pentingnya mengembangkan metodologi penilaian resiko seara kualitati dan kuantitati. +isamping menilai le*elinherent risk, sebuah organisasi juga harus menilai resiko residual ketika keputusan penanggulangan resiko telah diambil.

 RISK RESPONSE 

Manajemen harus membuat aksi dan respon terhadap tingkatrisk tolerance dan risk  appetite yang diambil. Terdapat empat maam respon seara umum, yakni mengurangi, menerima, memindahkan, atau menghindari. Manajemen portoolio dan di*ersiikasi merupakan bentuk implementasi terbaik di le*el organisasi dan )3S3

resiko harus realistis, sesuai dengan lingkungan organisasi. Sebagai ontoh, organisasi dengan regulasi yang ketat akan memberikan respon resiko dan pengendalian yang kompleks dibandingkan dengan organisasi dengan regulasi yang longgar. Prinsip A:A0P menjadi penting disini, terutama di sektor dimana risiko kesehatan dan keselamatan menjadi hal yang serius namun tidak dapat dihindarkan. Termasuk dalam  bagian respon terhadap resiko adalah mendesain sistem pengendalian internal yang

komprehensi.

CONTROL ACTIVITIES 

Kebijakan dan prosedur harus dioperasikan untu memastikan bah"a respon terhadap resiko telah eekti.

Setelah didesain, pengenalian di tempat harus dioperasikan seara tepat. +i dalam model 20M G Internal Control-Integrated Framework! akti*itas pengendalian dipengaruhi oleh orang lain.uidance tersebut menyatakan bah"a pengendalian tidak  hanya menyangkut kebijakan manual, sistem, dan bentuk-bentuknya, melainkan orang-orang di setiap le*el organisasi yang mempengaruhi pengendalian internal. Karena elemen manusia sangat penting, pengendalian internal sering gagal karena terdapat masalah pada sistem bagaimana manager dan sta mengoperasikan  pengendalian internal. Termasuk didalamnya kegagalan karena tidak dioperasikan seara serius, terdapat pendelegasian "e"enang yang tidak seharusnya dilakukan oleh

 staff-staff tertentu.3leh karena itu, )3S3 memberikan pandangan mengenai  pentingnya pemisahan tugas untuk mengurangi probabilitas seorang manusia dapat membuat  fraud dan untuk meningkatkan probabilitas dalam menemukan error. uidance ini juga menunjukkan butuhnya pengendalian yang dilakukan di setiap le*el organisasi pada tingkat yang berbeda.

 INFORMATION AND COMMUNICATION 

Sistem inomasi perusahaan harus memastikan bah"a data telah diidentiikasi dan dikomunikasikan dalam timeframe yang menggambarkan tanggung ja"ab manajer  dan staff . normasi yang disediakan kepada manajemen harus rele*an dan tepat. normasi tersebut juga harus menakup semua objekti yang terdapat di sisi atas kubus.

Komunikasi memegang peranan penting dalam enterprise risk management, karena dengan komunikasi dan sosialisasi resiko yang eekti maka dapat memperkuat

yang tidak eekti dapat menyebabkan konsekuensi. Sebagai ontoh,ketika manager  tidak meminta inormasi pada unit bisnis dan di saat yang bersamaan unit bisnis tersebut sedang tidak dalam perorma terbaik, hal ini dapat merugikan perusahaan.

 MONITORING 

Sistem manajemen harus selalu dia"asi dan dirubah apabila perlu. +alam komponen ini, kelemahan harus diidentiikasi dan dilaporkan, dinilai, dan penyebab utamanya harus dikoreksi. Hang bertanggung ja"ab dalam proses monitoring ini antara lain adalah komite audit dan departemen audit internal. +engan dilaksanakannya audit,  perusahaan dapat mengetahui titik lemah perusahaan dan dapat mengambil tindakan

yang diperlukan untuk memperbaiki titik kelemahan tersebut.

42

GRC A$ 0$/0RPRI.0 C+P5IA$C0

Kepatuhan adalah proses berikut seperangkat pedoman atau aturan yang ditetapkan oleh instansi pemerintah, kelompok standar atau kebijakan internal. mengikuti persyaratan kepatuhan rele*an tantangan bagi perusahaan karena masalah  berikut6

12 .ering pengenalan perat%ran ar%

Menggunakan Amerika Serikat sebagai ontoh, berbagai petak lembaga, seperti !adan Perlindungan :ingkungan 42PA5, seara teratur mengeluarkan aturan baru

yang mungkin berdampak luas pada banyak perusahaan, meskipun  purposes.)ompanies bisnis utama mereka memiliki tantangan untuk memantau ini

aturan dan menentukan berlaku untuk mereka.

"2 Perat%ran samar6samar tert%lis ang memerl%kan interpretasi

Menggunakan Amerika Serikat sebagai ontoh, pada tahun $&'& Kongres meloloskan 088 reorganisasi pera"atan kesehatan besar, yang dietak pada ribuan halaman, masalah meliputi dan aturan bah"a legislator yang lulus tagihan bahkan tidak pernah membaa, apalagi undestood. !ahkan saat ini, kita masih melihat aturan-aturan ini dan menasirkan apa yang mereka maksud. Sesuai dengan jenis-jenis aturan bisa sulit.

32 /idak ada konsens%s tentang praktik teraik ang dig%nakan %nt%k  pemen%han

Aturan dipenuhi dengan peraturan yang menyatakan hal-hal seperti ISemua transaksi harus didukung oleh tanda terima.I Apakah aturan tersebut membutuhkan penerimaan untuk transaksi kurang dari = ',&&, kurang dari = $>,&&, atau nilai lainnya? Sering tidak ada pedoman sini dan semua orang tampaknya memiliki interpretasi mereka sendiri.

)2 ;eerapa perat%ran sering t%mpang tindih

AS Serikat dan unit pemerintah lokal dari berbagai "ilayah geograis yang dapat mengeluarkan aturan yang menakup area yang serupa tetapi mungkin memiliki kebutuhan yang berbeda. Perbedaan-perbedaan ini akan akhirnya diselesaikan di  pengadilan, tetapi kepatuhan sampai hal-hal yang diselesaikan bisa menjadi suatu

tantangan.

&2 /er%s er%ah perat%ran

!adan hukum di tertentu sering terus berubah atau menasirkan aturan mereka, membuat kepatuhan yang ketat tantangan.

3leh karena itu, kepatuhan menjadi proses yang berkesinambungan, bukan proyek  satu kali, dan terus mendorong agenda bisnis sebagai organisasi yang bertanggung

Selain itu, perusahaan juga mungkin diperlukan untuk mengatasi peraturan lintas-industri, seperti Sarbanes-3@ley 4S3@5 dan proses pengendalian internal lainnya, seperti S3 &&& atau Si@ Sigma. Seara sederhana, luas dan kompleksitas hukum dan  peraturan tersebut telah menyebabkan tantangan bagi banyak perusahaan selama  bertahun-tahun. Perusahaan perlu pendekatan prinsip-prinsip /0) kepatuhan mereka dari perspekti yang lebih strategis yang bisa membantu mereka bergerak lebih dari sekedar memenuhi mandat kepatuhan indi*idu untuk me"ujudkan manaat bisnis yang nyata dari in*estasi inrastruktur mereka seara keseluruhan.

0uang lingkup kepatuhan juga meresapi aspek lain dari suatu perusahaan. 2@hibit $.1 menggambarkan beberapa masalah perusahaan harus mempertimbangkan karena upaya untuk membangun ruang lingkup dan pendekatan untuk kepatuhan. Sebuah  pendekatan yang konsisten pada penggunaan kemampuan kepatuhan-dri*en dan

teknologi pendukung di suatu perusahaan dapat memberikan manaat potensial.

2@hibit $.1 Sope o )ompliane Arhitetures )onsiderations 4 :ingkup Kepatuhan Arsitektur Pertimbangan 5

.cope of  

Compliance Area for Considerations

Strategy '. sebagai organisasi mengembangkan strategi, ia harus menentukan

 peraturan yang rele*an.

strategi kepatuhan.

3rganiFation

struktur organisasi harus didirikan untuk memenuhi persyaratan tertentu 4atau maksud5 dari setiap peraturan 4misalnya, Sarbanes-3@ley merekomendasikan hie e@euti*e oier dan presiden menjadi dua orang yang berbeda5.

Proesses

'. proses kuni harus didokumentasikan dan dipraktekkan. $. audit atau ulasan harus dilakukan untuk memastikan proses didokumentasikan seara eekti digunakan untuk mengatasi  persyaratan kepatuhan C regulasi.

Appliations and +ata

'. aplikasi mst diranang, dilaksanakan dan terus diuji untuk  mendukung kebutuhan dari setiap peraturan. $. +ata harus benar dilindungi dan ditangani sesuai dengan setiap  peraturan.

7ailities

7asilitas harus diranang dan tersedia untuk memenuhi kebutuhan setiap peraturan 4misalnya, beberapa peraturan mungkin memerlukan atatan yang akan tersedia di lokasi o-site5

Sebuah pendekatan yang konsisten untuk penggunaan kemampuan kepatuhan didorong dan teknologi pendukung dalam sebuah perusahaan dapat memberikan manaat potensial6

12+eng%rangi total iaa kepemilikan

in*estasi dapat dimanaatkan di beberapa peraturan. Misalnya, banyak peraturan menentukan persyaratan penyimpanan dokumen, yang dapat dipenuhi oleh in*estasi tunggal dalam sistem manajemen konten dan atatan.

"2Fleksiilitas

salah satu kesulitan dengan kepatuhan adalah bah"a peraturan baru diperkenalkan dan peraturan yang ada berubah seara sering. +engan mengelola pusat inisiati  kepatuhan melalui arsitektur kepatuhan organisasi-lebar, sebuah perusahaan dapat dengan epat beradaptasi dengan perubahan ini.

arsitektur kepatuhan yang luas dan konsisten dapat memungkinkan suatu perusahaan untuk lebih memahami dan mengendalikan proses bisnis mereka, yang memungkinkan mereka untuk merespon lebih epat dan akurat tekanan eksternal atau internal. Selain itu, peraturan tertentu mungkin mengandung manaat bisnis nyata melalui persyaratan modal minimum berkurang, yang bisa diaktikan oleh arsitektur  kepatuhan perusahaan-lebar.

 proses kepatuhan /0) yang eekti membantu perusahaan untuk mengubah operasi bisnis mereka dan mendapatkan "a"asan yang lebih dalam dan  prediktabilitas dari proses bisnis mereka karena mereka mengatasi persyaratan  peraturan-dri*en. ddri*ers bisnis kuni di sini menakup kemampuan untuk 

mengelola aset inormasi, menunjukkan kepatuhan dengan ke"ajiban peraturan dan hukum, mengurangi risiko litigasi, mengurangi biaya penyimpanan dan penemuan, dan menunjukkan akuntabilitas perusahaan.

AF/AR P<./AKA

•

http6CC""".aaglobal.omCFmCenCstudentCe@am-support- resouresCproessional-e@ams-study-resouresCp'Ctehnial-artilesCoso-enterprise-risk-management-rame"ork-part-'.html

• Moeller,0obert 0.4$&''5.)3S3 2nterprise 0isk Management6esta"lishing 

effective governance,risk,and compliance.$nd _{2dition.diakses $B September} 

$&'( dari https6CCbooks.google.o.idCbooks? idJiM'i+'1ks)9pgJPT1&9lpgJPT1&9dL.