Manajemen Risiko
Pusat Pengembangan Internal Audit | Yayasan Pendidikan Internal Audit
Pelatihan Audit Internal Tingkat Dasar – I I
Sertifikasi Qualified Internal Auditor (QIA)
BAB I: Pendahuluan
BAB II: COSO dan Produk COSO
BAB III: Kerangka Manajemen Risiko
BAB IV: Penilaian Risiko
BAB V: Peran Audit Internal
2
BAB - I
Pendahuluan
Aktivitas Utama Manajemen
Risiko
1. Menetapkan selera risiko (risk appetite) organisasi selaras dengan kapasitasnya dalam mengelola ketidakpastian... (Secara berkala Risk Appetite harus ditinjau ulang, sesuaikan dengan perubahan tingkat resiko bisnis).
2. Menyelaraskan pilihan dan strategi bisnis dengan selera risiko organisasi... Mengevaluasi alternatif strategi, menetapkan tujuan, dan mengembangkan mekanisme dalam mengelola resiko.
Manfaat Manajemen Risiko
1. Menurunkan kejutan dan kerugian operasional... Identifikasi event potensial dan peningkatan kemampuan dalam penetapan respon
2. Mengidentifikasi dan mengelola risiko-risiko yang bersifat lintas-entitas... Pengelolaan resiko secara Terintegrasi dan memfasilitasi pemilihan respon.
3. Merebut peluang... Pewujudan Peluang secara Proaktif
Definisi Manajemen Risiko
Menurut COSO (1992/1994)
Menurut POJK No.18/POJK.03/2016
Manajemen Risiko adalah serangkaian metodologi dan prosedur yang digunakan untuk mengidentifikasi, mengukur, memantau, dan mengendalikan Risiko yang timbul dari seluruh kegiatan usaha Bank.
Konsep Dasar Manajemen Risiko
• Sebuah PROSES... Manajemen Resiko tidak STATIS tetapi merupakan Suatu Proses yang berkelanjutan dan melekat atau mencakup seluruh area dalam entitas.
• Dipengaruhi oleh Orang pada seluruh jenjang entitas.
• Diterapkan dalam Perumusan Strategi.
• Diterapkan di seluruh Lingkup Entitas/Organisasi, di setiap tingkat dan unit, dan mencakup identifikasi portofolio risiko pada level entitas secara umum.
Cont’d
• Memberikan Asurans yang Wajar... Mampu memberikan keyakinan memadai kepada dewan pengawas dan manajemen sentior entitas.
• Pencapaian Tujuan Organisasi... Ditujukan dalam upaya pencapaian satu atau lebih kategori tujuan yang terpisah tetapi tumpang tindih.
Konsep dasar Manajemen Risiko
Manajemen risiko tidak bersifat statis, tetapi merupakan suatu proses yang berlangsung terus-menerus, berkelanjutan dan diterapkan secara melekat dalam operasi organisasi.
2. Dipengaruhi oleh Orang 1. Proses
Cont’d
3. Diterapkan dalam Perumusan Strategi
Cont’d
4. Diterapkan pada seluruh lingkup organisasi
Cont’d
5. Selera Risiko (Risk Appetite)
Cont’d
6. Toleransi Risiko
Cont’d
7. Memberikan Asurans yang Wajar
Cont’d
8. Pencapaian Tujuan Organisasi
Kerangka kerja ERM menetapkan empat kategori tujuan organisasi:
Strategis: berhubungan dengan tujuan tingkat tinggi yang diselaraskan dengan dan mendukung misi organisasi.
Operasi: berhubungan dengan penggunaan sumber daya organisasi secara efektif dan efisien.
Pelaporan: berhubungan dengan keandalan laporan organisasi.
Pencapaian Tujuan Organisasi
Kerangka kerja ERM menetapkan empat kategori tujuan organisasi:
1. Strategis: berhubungan dengan tujuan tingkat tinggi yang diselaraskan dengan dan mendukung misi organisasi.
2. Operasi: berhubungan dengan penggunaan sumber daya organisasi secara efektif dan efisien.
3. Pelaporan: berhubungan dengan keandalan laporan organisasi.
BAB - II
COSO dan Produk COSO
COSO, sebagai akronim Committee of Sponsoring Organizations of Treadway Commission , merupakan organisasi volunteer yang bertujuan untuk meningkatkan kualitas pelaporan keuangan perusahaan melalui penegakan etika bisnis, pengendalian internal dan corporate governance.
COSO dibentuk pada tahun 1985 untuk mendukung National Commission on Fraudulent Financial Reporting, sebuah Organisasi bentukan pemerintah Amerika Serikat yg sering disebut sebagai Treadway Commission. Studinya mengenai faktor2 yg melatarbelakangi Fraud terkait penyimpangan laporan keuangan dan mengembangkan rekomendasinya
Organisasi-Organisasi Sponsor
Pendukung COSO
1. American Institute of Certified Public Accountants (AICPA), 2. The Institute of Internal Auditors (IIA),
3. Financial Executives International (FEI),
4. Institute of Management Accountants (IMA)dan
Pedoman Diterbitkan COSO
1. Governance and Operational Performance 2. Internal Controls (Pengendalian Internal)
SEC (Securities Exchange Comission) adalah institusi komisi pengawas pasar modal di Amerika Serikat yang memiliki kewenangan mengatur bentuk dan substansi pengendalian Internal...berdasarkan ketentuan sebuah Undang-undang yang diberlakukan di Negara tersebut yakni Sarbanes Oxley Act of 2002 (SoA).
Sarbanes Oxley Act of 2002 (SoA) mengatur bahwa pengendalian internal harus berupa kerangka pengendalian yang diterbitkan oleh badan atau kelompok profesi terkemuka; yang telah melalui prosedur due process, termasuk penyebaran kerangka untuk mendapatkan komentar publik.
Cont’d
SEC mendefinisikan bahwa kerangka yang tepat (suitable frameworks) harus ;
Bebas dari bias
Konsisten dalam hal ukuran kualitas dan kuantitas pengendalian internal entitas
Lengkap sehingga faktor-faktor terkait yang dapat mengubah kesimpulan hasil evaluasi efektivitas pengendalian internal tidak akan terabaikan
SEC menjelaskan bahwa COSO Internal Control-Integrated Framework (kerangka terpadu pengendalian internal dari COSO) telah memenuhi persyaratan (seperti di Slide sebelumnya yg telah disebutkan.
Cont’d
SEC juga mengakui bahwa selain kerangka COSO, kerangka di negara-negara lain juga dapat dikategorikan memenuhi persyaratan-persyaratan ini, contohnya: CoCo, Turnbull, King, atau kerangka lainnya.
Kerangka Terpadu Pengendalian
Internal (COSO I)
Internal Control Integrated Framework (ICIF) tahun 1992 (COSO I) yang merupakan awal dari pengembangan ERM (Enterprise Risk Management/COSO II) mendefinisikan Pengendalian Internal sebagai suatu proses yang dipengaruhi oleh dewan komisaris, manajemen, dan karyawan lain suatu entitas, yang dirancang untuk memberikan keyakinan memadai sehubungan dengan pencapaian tujuan dalam kategori-kategori sebagai berikut:
1. Efektivitas dan efisiensi operasi,
2. Keandalan pelaporan keuangan, serta
Tujuan dalam Kategori-kategori yang
didefinisikan dalam COSO I
1. Efektivitas dan efisiensi operasi,
Menunjukkan tujuan dasar atau sering disebut sebagai tujuan kinerja dan tujuan memperoleh keuntungan serta pengamanan Sumber Daya.
2. Keandalan pelaporan keuangan,
Laporan Keuangan yg Andal termasuk Laporan Keuangan Interim dan data-data keuangan tertentu.
3. Ketaatan terhadap peraturan perundang-undangan yang berlaku.
Dimensi Kerangka Pengendalian
Internal Terpadu (COSO I)
Kerangka pengendalian internal terpadu (ICIF/COSO I) digambarkan secara tiga dimensi dalam sebuah bangunan kubus
Dimensi Kerangka Pengendalian
Internal Terpadu (COSO I)
1. Dimensi pertama menggambarkan tujuan entitas.
2. Dimensi kedua menggambarkan level entitas dan kegiatan. 3. Dimensi ketiga menggambarkan lima komponen
Komponen Pengendalian Intern
1. Komponen Lingkungan Pengendalian (a.l mencakup
integritas, nilai-nilai etika, kompetensi orang-orang yang ada dalam entitas dan filosopi manajemen dan gaya oiperasinya) 2. Komponen Penilaian Risiko
Pihak yang Bertanggung Jawab
Terhadap Pengendalian Intern
1. Manajemen
2. Dewan Komisaris 3. Auditor Intern
BAB - III
Kerangka Manajemen Risiko
Pengantar
Beberapa Kerangka Manajemen Risiko
1. British Standard – BS6079-3 (2000)
2. International Risk Government Council – IRGC (2004) 3. ERM COSO (2004)
4. Australian New Zealand Standard - AS/NZS 4360 (2004) 5. ISO 31000 (2009)
Kerangka Manajemen Risiko ISO 31000
Prinsip Manajemen Risiko ISO
31000
a. Menciptakan nilai,
b. Bagian integral dari proses organisasi, c. Bagian dari pengambilan keputusan,
d. Secara eksplisit membahas ketidak pastian, e. Sistematik terstruktur dan tepat waktu,
f. Berdasarkan informasi terbaik yang tersedia, g. Dirancang secara khusus,
h. Memperhatikan faktor manusia dan budaya, i. Transparan dan inklusif,
j. Dinamis, berulang dan peka terhadap perubahan, dan
Enterprise Risk Management/ERM
(COSO II)
Suatu proses yang dipengaruhi oleh dewan direksi,
manajemen, dan personil lain, yang diterapkan dalam
menetapkan strategi dan melalui entitas, dirancang
untuk
mengidentifikasi
kejadian
potensial
yang
mungkin mempengaruhi entitas, dan mengelola risiko
ke dalam risiko yang dapat diterima
(risk appetite)
,
untuk mengidentifikasi keyakinan memadai mengenai
pencapaian tujuan entitas.
Konsep Pokok Kerangka COSO ERM
1. Suatu proses, berkelanjutan, dan mengalir dalam entitas; 2. Dipengaruhi oleh orang-orang pada setiap tingkat organisasi; 3. Diterapkan dalam penetapan strategi;
4. Diterapkan pada entitas, pada setiap tingkat dan unit, dan termasuk pengambilan risiko pada tiap tingkat jabatan entitas;
5. Dirancang untuk mengidentifikasi kejadian potensial yang mempengaruhi entitas dan mengelola risiko dalam risiko yang dapat diterima;
6. Mampu memberikan keyakinan memadai kepada manajemen dan dewan;
Komponen COSO ERM
–
Integrated
Framework
1. Lingkungan internal
Komponen ini mencerminkan filosofi ERM sebagai suatu entitas, risiko yang dapat diterima, board oversight (dewan komisaris), komitmen nilai perilaku, kompetensi dan pengembangan SDM, serta menetapkan otoritas dan tanggung jawab.
2. Penetapan tujuan
Manajemen menetapkan tujuan strategis, tujuan operasional, tujuan pelaporan, dan kepatuhan yang diselaraskan dengan risiko yang dapat diterima entitas
3. Identifikasi Peristiwa
Cont’d
4. Penilaian Risiko
5. Respons Risiko
6. Kegiatan Pengendalian
Metode kualitatif dan kuantitatif untuk mengevaluasi kemungkinan dan dampak peristiwa potensial, yang mungkin mempengaruhi pencapaian tujuan.
Alternatif/opsi respon dengan mempertimbangkan biaya dengan manfaat
Kebijakan dan prosedur pada semua tingkat dan semua fungsi
7. Informasi dan Komunikasi
Informasi internal dan eksternal yang memungkinkan seluruh personil menyelesaikan tanggung-jawabnya
8. Pemantauan
Proyek Pengembangan Kerangka COSO
ERM bersama
PriwcewaterhouseCoopers (PwC)
•
Lima Tahapan Proyeknya :
a) Penilaian
b) Penetapan Visi
c) Mendesain Kerangka
d) Persiapan untuk Public Exposure
e) Finalisasi
Hubungan COSO ERM dengan
COSO ICIF
1. Kerangka ERM lebih luas, berfokus pada manajemen risiko dan meliputi kerangka pengendalian intern.
2. Kerangka ERM menambahkan satu kategori tujuan baru, yaitu tujuan strategis, dan memperluas tujuan pelaporan, termasuk pelaporan internal.
3. Kerangka ERM memperkenalkan konsep risiko yang dapat diterima dan toleransi risiko (risk tolerance).
4. Kerangka ERM memperluas komponen penilaian risiko
Manfaat Penerapan COSO ERM
Tujuan Utama : Mengidentifikasi keyakinan memadai bagi manajemen dan dewan agar tujuan bisnis entitas tercapai.
Manfaat lain :
1. Membantu manajemen mengambil resiko yagd apat diterima 2. Meningkatkan keputusan untuk merespon resiko
3. Mengurangi kerugian operasional yang tidak terduga
4. Mengidentifikasi dan mengelola resiko entitas, mengidentifikasi respon yang terintegrasi pada resiko yang bersifat ganda
Pertimbangan Penerapan COSO
ERM
1. Mengurangi keragaman kinerja yang tidak dapat diterima
2. Mengintegrasikan bermacam-macam pandangan manajemen risiko
3. Membangun keyakinan investor dan stakeholder
4. Meningkatkan corporate governance
Langkah yang Perlu Dilakukan dalam
Mengimplementasikan ERM
1. Mengadopsi suatu bahasa risiko yang umum
2. Melakukan penilaian risiko entitas untuk mengidentifikasi dan memprioritaskan risiko-risiko organisasi yang kritis.
3. Melaksanakan suatu analisis kesenjangan dari kemampuan saat ini dan yang diharapkan dalam mengelola risiko-risiko yang kritis.
4. Mengartikulasikan visi manajemen risiko, tujuan dan sasaran, serta pelaksanaan permasalahan nilai untuk mengidentifikasi pertimbangan ekonomi untuk maju kedepan
Strategi Mengimplementasikan
ERM
1. Identifikasi dan pahami risiko prioritas organisasi untuk menetapkan suatu konteks.
2. Gunakan kerangka COSO untuk menggambarkan kondisi kemampuan manajemen risiko yang ada sekarang.
3. Gunakan kerangka COSO untuk menggambarkan kondisi kemampuan manajemen risiko yang diinginkan di masa depan.
4. Analisa dan artikulasikan ukuran kesenjangan antara (b) dan (c) dan sifat alami perbaikan-perbaikan yang diperlukan
Cont’d
5. Berdasarkan pada analisa di atas, kembangkan suatu kasus bisnis untuk menujukkan kesenjangan dalam
mengidentifikasi pertimbangan ekonomi bagi seluruh usaha untuk menerapkan peningkatan prasarana ERM.
6. Mengorganisasikan rencana yang mempertimbangkan kemampuan prasarana ERM.
7. Lakukan pengawasan dan sediakan fasilitas yang diperlukan untuk memastikan pengintegrasian dan koordinasi yang efektif diseluruh kegiatan
BAB - IV
Teknik Penilaian Risiko
Teknik Penilaian Risiko ISO 31000
1. Brainstorming
Brainstorming merupakan pembahasan diantara kelompok yang mengharuskan penggunaan imajinasi yang tinggi untuk ;
mengidentifikasi model kegagalan potensial dan bahaya yang berkaitan,
risiko-risiko,
kriteria-kriteria untuk mengambil keputusan dan atau pilihan-pilihan untuk melakukan tindakan
2. Wawancara Terstruktur dan Semi Terstruktur
Interview secara pribadi dengan daftar pertanyaan yang telah disiapkan untuk mendorong interviewer melihat situasi dari prespektif tertentu dan mengidentifikasi risiko dari perspektif tersebut. Untuk yang semi
Teknik Penilaian Risiko ISO 31000
3. Delphy Technique
Teknik Delphi adalah suatu prosedur untuk memperoleh konsensus opini yang dapat dipercaya dari sebuah group ahli, secara individual dan tanpa nama yang selanjutnya dilakukan penilaian dengan melibatkan para ahli lainnya.
4. Check-List
5. Preliminary Hazard Analysis (PHA)
6. Hazard and operability study (Hazop)
7. Hazard Analisys And Critical Control Point (HACCP) 8. Toxicity Assesment
9. Structured What-If Technique (SWIFT) 10. Scenario Analisys
11. Business Impact Analisys ( BIA) 12. Root Cause Analisys (RCA)
13. Failure Modes And Effect Analisys ( FMEA) And Failure Modes And Effect And Critically Analysis( FMECA)
14. Fault Tree Analisis ( FTA) 15. Event Tree Analysis ( ETA)
16. Cause -Consequence Analysis
17. Cause-And-Effect Analysis (Analisis Sebab Akibat) 18. Layers Of Protection Analysis (LOPA)
19. Decision Tree Analysis
20. Human Reliability Assessment (HRA ) 21. Bow Tie Analysis
22. Reliability Centred Maintenance
23. Sneak Analysis (SA) And Sneak Circuit Analysis (SCA) 24. Markov Analysis
25. Monte Carlo Simulation
26. Cost /Benefit Analysis (CBA)
1. Penggunaan teknik penilaian risiko diklasifikasikan berdasarkan langkah proses penilaian risiko sebagai berikut:
I. Identifikasi risiko; II. Analisis risiko:
a. Consequence analysis;
b. Estimasi probabilitas kuantitatif,kualitatif, atau semi-kuantitatif;
c. Menilai efektifitas dari kontrol yang ada; d. Estimasi tingkat risiko;
III. Evaluasi risiko.
Faktor yang Mempengaruhi
Pemilihan Teknik Penilaian Risiko
1. Sejauh mana sumber daya yang dibutuhkan (waktu dan tingkat keahlian, kebutuhan data atau biaya),
2. Sifat dan tingkat ketidakpastian penilaian risiko berdasarkan jumlah informasi yang tersedia dan hal yang diperlukan untuk memenuhi tujuan,
3. Kompleksitas masalah dan teknik-teknik yang diperlukan untuk menganalisisnya,
BAB - V
Peran Audit Internal
Manfaat ERM
1. Meningkatkan kemungkinan pencapaian tujuan organisasi; 2. Pelaporan risiko-risiko yang berasal dari berbagai unit secara
konsolidatif kepada Dewan Komisaris;
3. Peningkatan pemahaman tentang risiko utama dan implikasinya secara lebih luas;
4. Mengidentifikasi dan membagi risiko yang bersifat lintas bisnis; 5. Fokus manajemen yang lebih besar pada isu-isu yang benar-benar
penting;
6. Semakin menurunnya terjadinya kejutan atau krisis;
7. Lebih fokus secara internal dengan melakukan hal yang benar dalam cara yang benar;
8. Peningkatan kemungkinan pencapaian tujuan terhadap inisiatif yang berubah;
9. Kemampuan untuk mengambil risiko yang lebih besar untuk memperoleh hasil yang lebih besar, dan
Kegiatan dalam Ruang Lingkup
ERM
1. Mengartikulasikan dan mengkomunikasikan tujuan organisasi; 2. Menentukan risk appetite organisasi;
3. Membangun lingkungan internal yang sesuai, termasuk kerangka manajemen risiko;
4. Mengidentifikasi potensi ancaman terhadap pencapaian tujuan; 5. Menilai risiko (yaitu dampak dan kemungkinan ancaman yang
terjadi);
6. Memilih dan mengimplementasikan respon terhadap risiko; 7. Melakukan kontrol dan kegiatan respon lainnya;
8. Mengkomunikasikan informasi tentang risiko secara konsisten di semua tingkatan dalam organisasi;
9. Memantau dan mengkoordinasikan proses manajemen risiko dan hasilnya terpusat , dan
Peran Pokok - Memberi Asurans
Terhadap ERM
1. Memberi asurans atas proses manajemen risiko;
2. Memberi asurans bahwa risiko telah dievaluasi secara tepat; 3. Mengevaluasi proses manajemen risiko;
Peran
‘Legitimate’ –
Memberi
Consulting terhadap ERM
1. Menyediakan tools dan teknik manajemen untuk menganalisis risiko dan pengendalian;
2. Menjadi risk cha pio untuk memperkenalkan ERM ke dalam organisasi, memberikan keahliannya dalam manajemen risiko dan pengendalian bagi organisasi;
3. Memberikan saran, memfasilitasi lokakarya, membimbing organisasi, dan mempromosikan kerangka kerja dan pemahaman dalam hal risiko dan pengendalian;
4. Bertindak sebagai pusat koordinasi, pemantauan dan pelaporan risiko; dan
Safeguarding
1. Harus jelas bahwa manajemen tetap bertanggung jawab terhadap proses manajemen risiko.
2. Sifat tanggung jawab auditor internal harus didokumentasikan dalam piagam audit internal dan disetujui oleh komite audit.
Safeguarding
1. Audit internal harus memberikan saran, tanggapan dan dukungan kepada manajemen dalam proses pengambilan keputusan.
2. Audit internal juga tidak diperkenankan memberikan asurans terhadap setiap bagian kerangka kerja ERM yang menjadi tanggung jawabnya. Asurans tersebut harus disediakan oleh pihak lain yang memiliki kualifikasi memadai.
Peran yang Dilarang bagi Audit
Internal Terkait ERM
1. Menetapkan risk appetite ;
2. Melaksanakan implementasi proses manajemen risiko; 3. Mengambil alih tanggung jawab terhadap risiko;
4. Mengambil keputusan untuk merespon risiko;
5. Melaksanakan respon risiko atas nama manajemen;
Sesuai dengan standar kinerja audit intern nomor 2050
Koordinasi, Kepala Eksekutif Audit harus berbagi informasi dan mengkoordinasikan kegiatannya dengan penyedia layanan jasa asurans dan konsultasi internal dan eksternal untuk memastikan cakupan yang tepat dan meminimalkan duplikasi penugasan.
Memahami Pekerjaan yang
Dilakukan oleh Auditor Eksternal
1. Sifat, ruang lingkup, dan saat pekerjaan yang direncanakanoleh auditor eksternal.
2. Penilaian auditor eksternal terhadap risiko dan materialitas. 3. Teknik, metode, dan terminologi auditor eksternal
memungkinkan CAE untuk:
a. mengkoordinasikan pekerjaan audit internal dan eksternal,
b. mengevaluasi pekerjaan auditor eksternal, dan
c. berkomunikasi secara efektif dengan auditor eksternal. 4. Akses ke audit program dan kertas kerja auditor eksternal
Tiga Kelompok Dasar Unit
Penyedia Asurans
1. Mereka yang melapor ke manajemen dan/atau merupakan bagian dari manajemen (manajemen assurance), termasuk unit-unit yang melakukan control self-assessments, auditor kualitas, auditor lingkungan, dan personil asurans manajemen lain yang ditunjuk untuk itu.
2. Mereka yang melapor ke Dewan Komisaris dan Manajemen Senior, termasuk audit internal.
Tingkat keyakinan yang diinginkan, dan siapa yang harus
memberikan asurans, akan bervariasi tergantung pada risiko yang menjadi fokus asurans.
Three Lines Of Defense
Lini pertama:
1. Manajemen lini dan karyawan (manajemen memberikan asurans sebagai baris pertama pertahanan atas risiko
Three Lines Of Defense
Lini kedua:
1. Unit kepatuhan 2. Asurans kualitas
3. Unit manajemen risiko
4. Auditor lingkungan dan auditor keselamatan dan kesehatan kerja
Three Lines Of Defense
Lini ketiga:
1. Auditor internal dan eksternal 2. Auditor kinerja dari pemerintah
3. Dewan-dewan tertentu (misalnya, audit, aktuaria, kredit, dan tata kelola)
4. Penyedia asurans eksternal, termasuk reviu dari
Struktur Peta Asurans
1. Kategori risiko signifikan
2. Peran manajemen yang bertanggung jawab terhadap risiko (risk owner)
3. Tingkat risiko inherent 4. Tingkat risiko residual 5. Cakupan audit eksternal 6. Cakupan audit internal