Manajemen Risiko
Pusat Pengembangan Internal Audit | Yayasan Pendidikan Internal Audit
Pelatihan Audit Internal Tingkat Dasar – I I
Sertifikasi Qualified Internal Auditor (QIA)
BAB I
: Pendahuluan
BAB II
: COSO dan Produk COSO
BAB III
: Kerangka Manajemen Risiko
BAB IV
: Penilaian Risiko
BAB V
: Peran Audit Internal
2
BAB - I
Pendahuluan
Aktivitas Utama Manajemen
Risiko
1. Menetapkan selera risiko (risk appetite) organisasi selaras dengan kapasitasnya dalam mengelola ketidakpastian... (Secara berkala
Risk Appetite harus ditinjau ulang, sesuaikan dengan perubahan tingkat resiko bisnis).
2. Menyelaraskan pilihan dan strategi bisnis dengan selera risiko organisasi... Mengevaluasi alternatif strategi, menetapkan tujuan,
dan mengembangkan mekanisme dalam mengelola resiko.
3. Meningkatkan kualitas keputusan dalam merespon risiko (risk response)...Identifikasi dan memilih Risk Response dengan
menghindari, menerima, mengurangi, membagi, menguasai, atau memindahkan
Manfaat Manajemen Risiko
1. Menurunkan kejutan dan kerugian operasional... Identifikasi
event potensial dan peningkatan kemampuan dalam penetapan respon
2. Mengidentifikasi dan mengelola risiko-risiko yang bersifat lintas-entitas... Pengelolaan resiko secara Terintegrasi dan
memfasilitasi pemilihan respon.
3. Merebut peluang... Pewujudan Peluang secara Proaktif
4. Meningkatkan efektivitas pemanfaatan modal... Dengan cara
Definisi Manajemen Risiko
Menurut COSO (1992/1994)
Menurut POJK No.18/POJK.03/2016
Manajemen Risiko adalah serangkaian metodologi dan prosedur yang digunakan untuk mengidentifikasi, mengukur, memantau, dan mengendalikan Risiko yang timbul dari seluruh kegiatan usaha Bank.
Manajemen risiko adalah sebuah proses, yang dipengaruhi oleh dewan pengawas, manajemen senior dan personil lainnya, diterapkan dalam perumusan strategi dan diterapkan di seluruh Lingkup entitas, dirancang untuk mengidentifikasi timbulnya kejadian yang berpotensi dapat mempengaruhi entitas, dan mengelola risiko agar senantiasa berada dalam risk appetite, untuk memberikan keyakinan memadai dalam pencapaian tujuan entitas.
Konsep Dasar Manajemen Risiko
• Sebuah PROSES... Manajemen Resiko tidak STATIS tetapi merupakan Suatu Proses yang berkelanjutan dan melekat atau mencakup seluruh area dalam entitas.
• Dipengaruhi oleh Orang pada seluruh jenjang entitas. • Diterapkan dalam Perumusan Strategi.
• Diterapkan di seluruh Lingkup Entitas/Organisasi, di setiap tingkat dan unit, dan mencakup identifikasi portofolio risiko pada level entitas secara umum.
• Selera Resiko (Risk Appetite)... Dirancang untuk mengidentifikasi peristiwa yang berpotensi terjadi, yang jika terjadi, akan mempengaruhi entitas; dan mengelola risiko dalam risk appetite dan risk tollerance.
Cont’d
• Memberikan Asurans yang Wajar... Mampu memberikan keyakinan memadai kepada dewan pengawas dan manajemen sentior entitas.
• Pencapaian Tujuan Organisasi... Ditujukan dalam upaya pencapaian satu atau lebih kategori tujuan yang terpisah tetapi tumpang tindih.
Konsep dasar Manajemen Risiko
Manajemen risiko tidak bersifat statis, tetapi merupakan suatu proses yang berlangsung terus-menerus, berkelanjutan dan diterapkan secara melekat dalam operasi organisasi.
2. Dipengaruhi oleh Orang 1. Proses
Manajemen risiko dipengaruhi oleh perkataan dan perbuatan pimpinan dan seluruh personil lain dalam organisasi. Mereka menetapkan misi, strategi dan tujuan organisasi dan membuat mekanisme manajemen risiko.
Cont’d
3. Diterapkan dalam Perumusan Strategi
Organisasi menetapkan visi misinya dan menetapkan tujuan strategis. Manajemen risiko diterapkan pada proses perumusan strategi, di mana manajemen mempertimbangkan risiko atas strategi-strategi alternatif yang ada, dalam rangka mengevaluasi dan memilih strategi organisasi dan tujuan-tujuan terkaitnya.
Cont’d
4. Diterapkan pada seluruh lingkup organisasi
Manajemen risiko diterapkan di seluruh tingkatan organisasi, dari tingkat perencanaan strategis dan alokasi sumber daya, kegiatan usaha seperti pemasaran dan sumber daya manusia, hingga ke tingkat proses bisnis rinci seperti produksi, pengadaan bahan baku dan review kredit untuk pelanggan baru. Manajemen risiko juga diterapkan pada setiap proyek atau inisiatif baru yang mungkin belum termasuk dalam struktur organisasi entitas.
Cont’d
5. Selera Risiko (Risk Appetite)
Selera risiko adalah besarnya risiko, dalam tingkat yang luas, yang dapat diterima oleh organisasi dalam upaya mewujudkan nilai organisasi. Selera risiko mencerminkan filosofi manajemen risiko organisasi, dan selanjutnya mempengaruhi budaya organisasi dan gaya operasinya. Selera risiko memberikan panduan untuk alokasi sumber daya.
Cont’d
6. Toleransi Risiko
Toleransi risiko adalah tingkat risiko yang dapat diterima. Dalam menentukan toleransi risiko, manajemen mempertimbangkan kepentingan relatif dari tujuan-tujuan terkait dan menyelaraskan toleransi risiko dengan selera risiko. Beroperasi dalam toleransi risiko membantu meyakinkan organisasi untuk tetap berada dalam selera risikonya dan pada gilirannya akan membantu organisasi mencapai tujuannya.
Cont’d
7. Memberikan Asurans yang Wajar
Manajemen risiko yang dirancang dan dijalankan dengan baik dapat memberikan asurans yang wajar atas pencapaian tujuan organisasi. Manajemen risiko yang efektif sekalipun dapat mengalami kegagalan. Asurans yang wajar berbeda dengan asurans mutlak.
Cont’d
8. Pencapaian Tujuan Organisasi
Kerangka kerja ERM menetapkan empat kategori tujuan organisasi:
Strategis: berhubungan dengan tujuan tingkat tinggi yang diselaraskan dengan dan mendukung misi organisasi.
Operasi: berhubungan dengan penggunaan sumber daya organisasi secara efektif dan efisien.
Pelaporan: berhubungan dengan keandalan laporan organisasi.
Kepatuhan: berhubungan dengan kepatuhan organisasi terhadap hukum dan peraturan yang berlaku.
Pencapaian Tujuan Organisasi
Kerangka kerja ERM menetapkan empat kategori tujuan organisasi:
1. Strategis: berhubungan dengan tujuan tingkat tinggi yang diselaraskan dengan dan mendukung misi organisasi.
2. Operasi: berhubungan dengan penggunaan sumber daya organisasi secara efektif dan efisien.
3. Pelaporan: berhubungan dengan keandalan laporan organisasi.
4. Kepatuhan: berhubungan dengan kepatuhan organisasi terhadap hukum dan peraturan yang berlaku.
BAB - II
COSO dan Produk COSO
COSO, sebagai akronim “Committee of Sponsoring Organizations of
Treadway Commission”, merupakan organisasi volunteer yang
bertujuan untuk meningkatkan kualitas pelaporan keuangan perusahaan melalui penegakan etika bisnis, pengendalian internal dan corporate governance.
COSO dibentuk pada tahun 1985 untuk mendukung National
Commission on Fraudulent Financial Reporting, sebuah Organisasi bentukan pemerintah Amerika Serikat yg sering disebut sebagai Treadway Commission. Studinya mengenai faktor2 yg melatarbelakangi Fraud terkait penyimpangan laporan keuangan dan mengembangkan rekomendasinya
Organisasi-Organisasi Sponsor
Pendukung COSO
1. American Institute of Certified Public Accountants (AICPA), 2. The Institute of Internal Auditors (IIA),
3. Financial Executives International (FEI),
4. Institute of Management Accountants (IMA)dan 5. American Accounting Association (AAA).
Pedoman Diterbitkan COSO
1. Governance and Operational Performance 2. Internal Controls (Pengendalian Internal)
3. Enterprise Risk Management (Manajemen Risiko) 4. Fraud Deterrence (Pencegahan Fraud)
SEC (Securities Exchange Comission) adalah institusi komisi pengawas pasar modal di Amerika Serikat yang memiliki kewenangan mengatur bentuk dan substansi pengendalian Internal...berdasarkan ketentuan sebuah Undang-undang yang diberlakukan di Negara tersebut yakni Sarbanes Oxley
Act of 2002 (SoA).
Sarbanes Oxley Act of 2002 (SoA) mengatur bahwa pengendalian
internal harus berupa kerangka pengendalian yang diterbitkan oleh badan atau kelompok profesi terkemuka; yang telah melalui prosedur due process, termasuk penyebaran kerangka untuk mendapatkan komentar publik.
Cont’d
SEC mendefinisikan bahwa kerangka yang tepat (suitable
frameworks) harus ;
Bebas dari bias
Konsisten dalam hal ukuran kualitas dan kuantitas pengendalian internal entitas
Lengkap sehingga faktor-faktor terkait yang dapat mengubah kesimpulan hasil evaluasi efektivitas pengendalian internal tidak akan terabaikan
Relevan terhadap evaluasi pengendalian internal atas pelaporan keuangan.
SEC menjelaskan bahwa COSO Internal Control-Integrated
Framework (kerangka terpadu pengendalian internal dari
COSO) telah memenuhi persyaratan (seperti di Slide
sebelumnya yg telah disebutkan.
Cont’d
SEC juga mengakui bahwa selain kerangka COSO, kerangka di negara-negara lain juga dapat dikategorikan memenuhi persyaratan-persyaratan ini, contohnya: CoCo, Turnbull, King, atau kerangka lainnya.
Dalam praktek manajemen risiko juga dikenal beberapa kerangka manajemen risiko yang sangat popular yaitu ISO:31000 dan Standar Australia/New Zealand (AS/NZS 4360)
Kerangka Terpadu Pengendalian
Internal (COSO I)
Internal Control Integrated Framework (ICIF) tahun 1992 (COSO I) yang merupakan awal dari pengembangan ERM (Enterprise Risk Management/COSO II) mendefinisikan Pengendalian Internal sebagai suatu proses yang dipengaruhi oleh dewan komisaris, manajemen, dan karyawan lain suatu entitas, yang dirancang untuk memberikan keyakinan memadai sehubungan dengan pencapaian tujuan dalam kategori-kategori sebagai berikut:
1. Efektivitas dan efisiensi operasi,
2. Keandalan pelaporan keuangan, serta
3. Ketaatan terhadap peraturan perundang-undangan yang berlaku.
Tujuan dalam Kategori-kategori yang
didefinisikan dalam COSO I
1. Efektivitas dan efisiensi operasi,
Menunjukkan tujuan dasar atau sering disebut sebagai tujuan kinerja dan tujuan memperoleh keuntungan serta pengamanan Sumber Daya.
2. Keandalan pelaporan keuangan,
Laporan Keuangan yg Andal termasuk Laporan Keuangan Interim dan data-data keuangan tertentu.
3. Ketaatan terhadap peraturan perundang-undangan yang berlaku.
Dimensi Kerangka Pengendalian
Internal Terpadu (COSO I)
Kerangka pengendalian internal terpadu (ICIF/COSO I) digambarkan secara tiga dimensi dalam sebuah bangunan kubus
Dimensi Kerangka Pengendalian
Internal Terpadu (COSO I)
1. Dimensi pertama menggambarkan tujuan entitas.
2. Dimensi kedua menggambarkan level entitas dan kegiatan. 3. Dimensi ketiga menggambarkan lima komponen
Komponen Pengendalian Intern
1. Komponen Lingkungan Pengendalian (a.l mencakup
integritas, nilai-nilai etika, kompetensi orang-orang yang ada dalam entitas dan filosopi manajemen dan gaya oiperasinya) 2. Komponen Penilaian Risiko
3. Komponen Kegiatan Pengendalian 4. Komponen Informasi dan Komunikasi 5. Komponen Pemantauan
Pihak yang Bertanggung Jawab
Terhadap Pengendalian Intern
1. Manajemen2. Dewan Komisaris 3. Auditor Intern
BAB - III
Kerangka Manajemen Risiko
Pengantar
Sebagaimana konsep deskriptif lainnya, konsep-konsep manajemen risiko, yang dimuat dalam suatu kerangka kerja, harus dipahami secara menyeluruh berikut dengan latar belakang penyusunannya. Kerangka kerja memberikan arah bagi pemahaman sebuah metodologi agar diperoleh kesamaan pandang tentang konsep dan implementasinya.
Beberapa Kerangka Manajemen Risiko
1. British Standard – BS6079-3 (2000)2. International Risk Government Council – IRGC (2004) 3. ERM COSO (2004)
4. Australian New Zealand Standard - AS/NZS 4360 (2004) 5. ISO 31000 (2009)
6. A Risk Management Standard (Institute of Risk Management, Association of Insurance and Risk Management)
Kerangka Manajemen Risiko ISO 31000
Prinsip Manajemen Risiko ISO
31000
a. Menciptakan nilai,
b. Bagian integral dari proses organisasi, c. Bagian dari pengambilan keputusan,
d. Secara eksplisit membahas ketidak pastian, e. Sistematik terstruktur dan tepat waktu,
f. Berdasarkan informasi terbaik yang tersedia, g. Dirancang secara khusus,
h. Memperhatikan faktor manusia dan budaya, i. Transparan dan inklusif,
j. Dinamis, berulang dan peka terhadap perubahan, dan
k. Memfasilitasi penyempurnaan berkelanjutan dan kemajuan organisasi
Enterprise Risk Management/ERM
(COSO II)
Suatu proses yang dipengaruhi oleh dewan direksi,
manajemen, dan personil lain, yang diterapkan dalam
menetapkan strategi dan melalui entitas, dirancang
untuk
mengidentifikasi
kejadian
potensial
yang
mungkin mempengaruhi entitas, dan mengelola risiko
ke dalam risiko yang dapat diterima (risk appetite),
untuk mengidentifikasi keyakinan memadai mengenai
pencapaian tujuan entitas.
Konsep Pokok Kerangka COSO ERM
1. Suatu proses, berkelanjutan, dan mengalir dalam entitas; 2. Dipengaruhi oleh orang-orang pada setiap tingkat organisasi; 3. Diterapkan dalam penetapan strategi;
4. Diterapkan pada entitas, pada setiap tingkat dan unit, dan termasuk pengambilan risiko pada tiap tingkat jabatan entitas;
5. Dirancang untuk mengidentifikasi kejadian potensial yang mempengaruhi entitas dan mengelola risiko dalam risiko yang dapat diterima;
6. Mampu memberikan keyakinan memadai kepada manajemen dan dewan;
7. Menghubungkan pencapaian tujuan dengan satu atau lebih kategori yang terpisah tapi saling melengkapi.
Komponen COSO ERM – Integrated
Framework
1. Lingkungan internal
Komponen ini mencerminkan filosofi ERM sebagai suatu entitas, risiko yang dapat diterima, board oversight (dewan komisaris), komitmen nilai perilaku, kompetensi dan pengembangan SDM, serta menetapkan otoritas dan tanggung jawab.
2. Penetapan tujuan
Manajemen menetapkan tujuan strategis, tujuan operasional, tujuan pelaporan, dan kepatuhan yang diselaraskan dengan risiko yang dapat diterima entitas
3. Identifikasi Peristiwa
Manajemen mengidentifikasi peristiwa baik berpotensi positif maupun negatif terhadap kemampuan entitas untuk menerapkan strategi dan mencapai tujuan serta kinerjanya.
Cont’d
4. Penilaian Risiko
5. Respons Risiko
6. Kegiatan Pengendalian
Metode kualitatif dan kuantitatif untuk mengevaluasi kemungkinan dan dampak peristiwa potensial, yang mungkin mempengaruhi pencapaian tujuan.
Alternatif/opsi respon dengan mempertimbangkan biaya dengan manfaat Kebijakan dan prosedur pada semua tingkat dan semua fungsi
7. Informasi dan Komunikasi
Informasi internal dan eksternal yang memungkinkan seluruh personil menyelesaikan tanggung-jawabnya
8. Pemantauan
Penilaian ada dan berfungsinya komponen ERM dan mutu kinerjanya dari waktu ke waktu.
Proyek Pengembangan Kerangka COSO
ERM bersama
PriwcewaterhouseCoopers (PwC)
• Lima Tahapan Proyeknya :
a) Penilaian
b) Penetapan Visi
c) Mendesain Kerangka
d) Persiapan untuk Public Exposure
e) Finalisasi
Dokumen Draft kerangka ERM dipaparkan selama
periode 90 Hari dan diuji coba pada entitas terpilih
Hubungan COSO ERM dengan
COSO ICIF
1. Kerangka ERM lebih luas, berfokus pada manajemen risiko
dan meliputi kerangka pengendalian intern.
2. Kerangka ERM menambahkan satu kategori tujuan baru, yaitu tujuan strategis, dan memperluas tujuan pelaporan, termasuk pelaporan internal.
3. Kerangka ERM memperkenalkan konsep risiko yang dapat
diterima dan toleransi risiko (risk tolerance).
4. Kerangka ERM memperluas komponen penilaian risiko
dalam empat komponen yaitu penetapan tujuan, identifikasi
Manfaat Penerapan COSO ERM
Tujuan Utama : Mengidentifikasi keyakinan memadai bagi manajemen dan dewan agar tujuan bisnis entitas tercapai.
Manfaat lain :
1. Membantu manajemen mengambil resiko yagd apat diterima 2. Meningkatkan keputusan untuk merespon resiko
3. Mengurangi kerugian operasional yang tidak terduga
4. Mengidentifikasi dan mengelola resiko entitas, mengidentifikasi respon yang terintegrasi pada resiko yang bersifat ganda
Pertimbangan Penerapan COSO
ERM
1. Mengurangi keragaman kinerja yang tidak dapat diterima
2. Mengintegrasikan bermacam-macam pandangan manajemen risiko
3. Membangun keyakinan investor dan stakeholder 4. Meningkatkan corporate governance
5. Sukses merespon perubahan lingkungan bisnis 6. Membentuk strategi dan budaya entitas
Langkah yang Perlu Dilakukan dalam
Mengimplementasikan ERM
1. Mengadopsi suatu bahasa risiko yang umum
2. Melakukan penilaian risiko entitas untuk mengidentifikasi dan memprioritaskan risiko-risiko organisasi yang kritis.
3. Melaksanakan suatu analisis kesenjangan dari kemampuan saat ini dan yang diharapkan dalam mengelola risiko-risiko yang kritis.
4. Mengartikulasikan visi manajemen risiko, tujuan dan sasaran, serta
pelaksanaan permasalahan nilai untuk mengidentifikasi
pertimbangan ekonomi untuk maju kedepan
5. Meningkatkan kemampuan manajemen risiko organisasi untuk satu atau dua risiko kritis yakni mulai dengan suatu area resiko dimana pengurus senior mengetahui perbaikan-perbaikan yang diperlukan untuk melaksanakan strategi bisnis dengan sukses.
Strategi Mengimplementasikan
ERM
1. Identifikasi dan pahami risiko prioritas organisasi untuk menetapkan suatu konteks.
2. Gunakan kerangka COSO untuk menggambarkan kondisi kemampuan manajemen risiko yang ada sekarang.
3. Gunakan kerangka COSO untuk menggambarkan kondisi kemampuan manajemen risiko yang diinginkan di masa depan.
4. Analisa dan artikulasikan ukuran kesenjangan antara (b) dan (c) dan sifat alami perbaikan-perbaikan yang diperlukan
Cont’d
5. Berdasarkan pada analisa di atas, kembangkan suatu kasus bisnis untuk menujukkan kesenjangan dalam
mengidentifikasi pertimbangan ekonomi bagi seluruh usaha untuk menerapkan peningkatan prasarana ERM.
6. Mengorganisasikan rencana yang mempertimbangkan kemampuan prasarana ERM.
7. Lakukan pengawasan dan sediakan fasilitas yang diperlukan untuk memastikan pengintegrasian dan koordinasi yang efektif diseluruh kegiatan
BAB - IV
Teknik Penilaian Risiko
Teknik Penilaian Risiko ISO 31000
1. Brainstorming
Brainstorming merupakan pembahasan diantara kelompok yang mengharuskan penggunaan imajinasi yang tinggi untuk ;
mengidentifikasi model kegagalan potensial dan bahaya yang berkaitan,
risiko-risiko,
kriteria-kriteria untuk mengambil keputusan dan atau pilihan-pilihan untuk melakukan tindakan
2. Wawancara Terstruktur dan Semi Terstruktur
Interview secara pribadi dengan daftar pertanyaan yang telah disiapkan untuk mendorong interviewer melihat situasi dari prespektif tertentu dan mengidentifikasi risiko dari perspektif tersebut. Untuk yang semi
terstruktur dimungkinkan lebih banyak tanya-jawab yang bebas untuk mengeksplor masalah masalah yang diangkat.
Teknik Penilaian Risiko ISO 31000
3. Delphy Technique
Teknik Delphi adalah suatu prosedur untuk memperoleh konsensus opini yang dapat dipercaya dari sebuah group ahli, secara individual dan tanpa nama yang selanjutnya dilakukan penilaian dengan melibatkan para ahli lainnya.
4. Check-List
5. Preliminary Hazard Analysis (PHA)
6. Hazard and operability study (Hazop)
Metode pengujian yang terstruktur dan sistemik dari sebuah perencanaan atau produk yang ada, proses, prosedur atau sistem.
7. Hazard Analisys And Critical Control Point (HACCP) 8. Toxicity Assesment
9. Structured What-If Technique (SWIFT) 10. Scenario Analisys
11. Business Impact Analisys ( BIA) 12. Root Cause Analisys (RCA)
13. Failure Modes And Effect Analisys ( FMEA) And Failure Modes And Effect And Critically Analysis( FMECA)
14. Fault Tree Analisis ( FTA) 15. Event Tree Analysis ( ETA)
16. Cause -Consequence Analysis
17. Cause-And-Effect Analysis (Analisis Sebab Akibat) 18. Layers Of Protection Analysis (LOPA)
19. Decision Tree Analysis
20. Human Reliability Assessment (HRA ) 21. Bow Tie Analysis
22. Reliability Centred Maintenance
23. Sneak Analysis (SA) And Sneak Circuit Analysis (SCA) 24. Markov Analysis
25. Monte Carlo Simulation
26. Cost /Benefit Analysis (CBA)
1. Penggunaan teknik penilaian risiko diklasifikasikan berdasarkan langkah proses penilaian risiko sebagai berikut: I. Identifikasi risiko;
II. Analisis risiko:
a. Consequence analysis;
b. Estimasi probabilitas kuantitatif,kualitatif, atau semi-kuantitatif;
c. Menilai efektifitas dari kontrol yang ada; d. Estimasi tingkat risiko;
III. Evaluasi risiko.
Implementasi Teknik Penilaian
Risiko ISO 31000
Faktor yang Mempengaruhi
Pemilihan Teknik Penilaian Risiko
1. Sejauh mana sumber daya yang dibutuhkan (waktu dan tingkat keahlian, kebutuhan data atau biaya),
2. Sifat dan tingkat ketidakpastian penilaian risiko berdasarkan jumlah informasi yang tersedia dan hal yang diperlukan untuk memenuhi tujuan,
3. Kompleksitas masalah dan teknik-teknik yang diperlukan untuk menganalisisnya,
BAB - V
Peran Audit Internal
Manfaat ERM
1. Meningkatkan kemungkinan pencapaian tujuan organisasi;
2. Pelaporan risiko-risiko yang berasal dari berbagai unit secara konsolidatif kepada Dewan Komisaris;
3. Peningkatan pemahaman tentang risiko utama dan implikasinya
secara lebih luas;
4. Mengidentifikasi dan membagi risiko yang bersifat lintas bisnis;
5. Fokus manajemen yang lebih besar pada isu-isu yang benar-benar
penting;
6. Semakin menurunnya terjadinya kejutan atau krisis;
7. Lebih fokus secara internal dengan melakukan hal yang benar
dalam cara yang benar;
8. Peningkatan kemungkinan pencapaian tujuan terhadap inisiatif
yang berubah;
9. Kemampuan untuk mengambil risiko yang lebih besar untuk
memperoleh hasil yang lebih besar, dan
10. Proses pengambilan risiko dan pengambilan keputusan yang lebih didasarkan pada informasi yang lebih banyak.
Kegiatan dalam Ruang Lingkup
ERM
1. Mengartikulasikan dan mengkomunikasikan tujuan organisasi;
2. Menentukan risk appetite organisasi;
3. Membangun lingkungan internal yang sesuai, termasuk kerangka
manajemen risiko;
4. Mengidentifikasi potensi ancaman terhadap pencapaian tujuan;
5. Menilai risiko (yaitu dampak dan kemungkinan ancaman yang
terjadi);
6. Memilih dan mengimplementasikan respon terhadap risiko;
7. Melakukan kontrol dan kegiatan respon lainnya;
8. Mengkomunikasikan informasi tentang risiko secara konsisten di
semua tingkatan dalam organisasi;
9. Memantau dan mengkoordinasikan proses manajemen risiko dan
hasilnya terpusat , dan
Peran Pokok - Memberi Asurans
Terhadap ERM
1. Memberi asurans atas proses manajemen risiko;
2. Memberi asurans bahwa risiko telah dievaluasi secara tepat; 3. Mengevaluasi proses manajemen risiko;
4. Mengevaluasi pelaporan risiko utama; 5. Mereviu pengelolaan risiko utama.
Peran ‘Legitimate’ – Memberi
Consulting terhadap ERM
1. Menyediakan tools dan teknik manajemen untuk menganalisis risiko dan pengendalian;
2. Menjadi “risk champion” untuk memperkenalkan ERM ke dalam organisasi, memberikan keahliannya dalam manajemen risiko dan pengendalian bagi organisasi;
3. Memberikan saran, memfasilitasi lokakarya, membimbing organisasi, dan mempromosikan kerangka kerja dan pemahaman dalam hal risiko dan pengendalian;
4. Bertindak sebagai pusat koordinasi, pemantauan dan pelaporan risiko; dan
5. Mendukung para manajer dalam mereka bekerja mengidentifikasi cara terbaik untuk memitigasi risiko.
Safeguarding
1. Harus jelas bahwa manajemen tetap bertanggung jawab terhadap proses manajemen risiko.
2. Sifat tanggung jawab auditor internal harus didokumentasikan dalam piagam audit internal dan disetujui oleh komite audit.
3. Audit internal tidak diperkenankan mengelola risiko, sekalipun atas nama manajemen.
Safeguarding
1. Audit internal harus memberikan saran, tanggapan dan dukungan kepada manajemen dalam proses pengambilan keputusan.
2. Audit internal juga tidak diperkenankan memberikan asurans terhadap setiap bagian kerangka kerja ERM yang menjadi tanggung jawabnya. Asurans tersebut harus disediakan oleh pihak lain yang memiliki kualifikasi memadai.
3. Setiap penugasan di luar kegiatan asurans harus diakui sebagai suatu penugasan konsultasi, dan standar terkait dengan penugasan tersebut harus dipatuhi.
Peran yang Dilarang bagi Audit
Internal Terkait ERM
1. Menetapkan “risk appetite”;
2. Melaksanakan implementasi proses manajemen risiko; 3. Mengambil alih tanggung jawab terhadap risiko;
4. Mengambil keputusan untuk merespon risiko;
5. Melaksanakan respon risiko atas nama manajemen;
6. Mengambil alih tanggung jawab terhadap manajemen risiko secara keseluruhan.
Sesuai dengan standar kinerja audit intern nomor 2050
Koordinasi, Kepala Eksekutif Audit harus berbagi informasi dan mengkoordinasikan kegiatannya dengan penyedia layanan jasa asurans dan konsultasi internal dan eksternal untuk memastikan cakupan yang tepat dan meminimalkan duplikasi penugasan.
Peran Audit Internal Sebagai
Koordinator Pemberi Asurans
Memahami Pekerjaan yang
Dilakukan oleh Auditor Eksternal
1. Sifat, ruang lingkup, dan saat pekerjaan yang direncanakanoleh auditor eksternal.
2. Penilaian auditor eksternal terhadap risiko dan materialitas. 3. Teknik, metode, dan terminologi auditor eksternal
memungkinkan CAE untuk:
a. mengkoordinasikan pekerjaan audit internal dan eksternal,
b. mengevaluasi pekerjaan auditor eksternal, dan
c. berkomunikasi secara efektif dengan auditor eksternal. 4. Akses ke audit program dan kertas kerja auditor eksternal
harus dapat mendukung kondisi bahwa pekerjaan auditor eksternal bisa diandalkan untuk keperluan audit internal.
Tiga Kelompok Dasar Unit
Penyedia Asurans
1. Mereka yang melapor ke manajemen dan/atau merupakan bagian dari manajemen (manajemen assurance), termasuk unit-unit yang melakukan control
self-assessments, auditor kualitas, auditor lingkungan, dan personil asurans manajemen lain yang ditunjuk untuk itu.
2. Mereka yang melapor ke Dewan Komisaris dan Manajemen Senior, termasuk audit internal.
3. Mereka yang melaporkan kepada stakeholder eksternal (assurans audit eksternal), yang merupakan peran tradisional dan biasanya dilaksanakan oleh auditor independen atau auditor lain yang ditentukan oleh hukum.
Tingkat keyakinan yang diinginkan, dan siapa yang harus
memberikan asurans, akan bervariasi tergantung pada risiko yang menjadi fokus asurans.
Three Lines Of Defense
Lini pertama:1. Manajemen lini dan karyawan (manajemen memberikan asurans sebagai baris pertama pertahanan atas risiko
dan kontrol yang menjadi tanggung jawab mereka). 2. Manajemen senior
Three Lines Of Defense
Lini kedua:1. Unit kepatuhan 2. Asurans kualitas
3. Unit manajemen risiko
4. Auditor lingkungan dan auditor keselamatan dan kesehatan kerja
Three Lines Of Defense
Lini ketiga:1. Auditor internal dan eksternal 2. Auditor kinerja dari pemerintah
3. Dewan-dewan tertentu (misalnya, audit, aktuaria, kredit, dan tata kelola)
4. Penyedia asurans eksternal, termasuk reviu dari
spesialis (misalnya kesehatan dan keselamatan), dan lain-lain.
Struktur Peta Asurans
1. Kategori risiko signifikan2. Peran manajemen yang bertanggung jawab terhadap risiko (risk owner)
3. Tingkat risiko inherent 4. Tingkat risiko residual 5. Cakupan audit eksternal 6. Cakupan audit internal