Enterprise Risk Management. Bahan dari Committee of Sponsoring Organization (COSO) of Tradeway commission

(1)

Enterprise Risk

Management

(2)

Definisi ERM:

“suatu proses yang berpengaruh pada sebuah

entitas, jajaran direksi, pihak manajemen, dan

personel lain yang diaplikasikan pada penetapan

strategy perusahaan, didisain untuk

mengidentifikasi kejadian yang potensial yang

dapat berpengaruh pada entitas, dan mengelola

risiko yang dapat diterima, dan memberikan

jaminan keamanan yang beralasan dalam rangaka

mencapai tujuan perusahaan

(3)

Kenapa ERM penting

Prinsip yang melandasi

• Setiap entitas untuk memberikan suatu nilai bagi stakeholder

• Nilai ini sangat tergantung pada keputusan manajemen mulai dari

perumusan strategy sampai dengan kegiatan operasional setiap hari

ERM mendukung penciptaan nilai dengan memudahkan manajemen untuk :

• Menghadapi kejadian potensial yang menciptakan ketidakpastian • Memberikan respon yang tepat untuk mengurangi risiko yang

(4)

Framework ERM

1. Framework ini mendefinisikan komponen penting,

penyamaan bahasa, dan memberikan arahan dan

bimbingan yang jelas bagi enterprise risk management.

2. Objektif bisa dilihat bisa dilihat dalam empat kategori

 Strategic

 Operations

 Reporting

(5)

Framework ERM

ERM mempertimbangkan akivitas seluruh

level organisasi

– Enterprise-level

– Division atau subsidiary

– Proses Business Unit

(6)

Framework ERM

• ERM memerlukan sebuah entitas melihat portofolio

dari risiko

• Management mempertimbangkan bagaimana risiko

individual saling berkaitan

• Management mengmebangkan suatu cara melihat

portofolio dari dua perspektif: - Level Business Unit

(7)

Framework ERM

Terdapat delapan

komponen dari

framwork yang saling

berkaitan

(8)

Internal Environment

• Membuat philosophy sehubungan dengan risk

management. Baik untuk kejadian yang diarapkan atau tidak diharapkan yang mungkin terjadi

• Buat budaya risiko entitas

• Pertimbangkan selalu aspek bagaimana tindakan

organisasi yang mungkin berakibat pada budaya risiko tersebut

(9)

Objective Setting

• Digunakan ketika management mempertimbangkan

strategy risiko dalam penetapan objektif

• Bentuk ‗risk appetite‘ dari entity — helicopter viw dari

berapa besar risk management dan BOD dapat menerima risiko

• Toleransi Risiko, tingkat penerimaan dalam variasi

(10)

Event Identification

• Pembedaan antara risiko dan peluang

• Kejadian yang dapat memberikan pengaruh negatif yang menggambarkan risiko

• Kejadian yang dapat memberikan pengaruh positif yang

menggambarkan oportunity  kembali ke penetapan stratgy • Termasuk dalam mengidentifikasikan kejadian ini, baik internal

maupun eksternal yang dapat mempengaruhi strategy dan pencapaian objektif

• Menentukan bagaimana faktor internal dan eksternal bersatu dan berinteraksi mempengaruhi profile risiko

(11)

Risk Assessment

• Memperkenankan entity untuk memahami sampai di mana kejadian potensial yang dapat berpengaruh terhadap objektif

• Penilaian risiko dari dua perspektif

- Likelihood (kemungkinan terjadi) - Impact (pengaruh)

• Adalah biasa menilai risiko dan hal normal pula dalam mengukur risiko terkait dengan objektif

• Lakukan penilaian kalitatif dan kuantitatif dalam penilaian risiko • Kaitkan jangka waktu dengan jangka waktu objktif

(12)

Risk Response

• Identifikasai dan evaluasi kemungkinan respon atas risiko

• Evaluasi pilihan terkait dengan risk appetite entity, cost dan benefit dari respon risiko potensial, dan tingkat di mana respon akan menurunkan pengaruh atau

kemungkinannya

• Pilih dan lakukan respon atas evaluasi dari portofolio risiko dan respon

(13)

Control Activities

• Policy dan prosedur yang menjamin respon

terhadap risiko, seperti halnya arahan lain dari

entity

• Terjadi pada seluruh organisasi, pada selruh

level dan fungsi

• Termasuk aplikasi dan informasi umum

kontrol teknologi

(14)

Information & Communication

• Identifikasi manajemen, mendapatkan dan

mengkomunikasikan informasi yang berhubungan

dalam bentuk ddan jangka waktu yang memungkinan yang bertanggungjawab menjalanakan kewajibannya.

• Komunikasi berlangsung dalam pengertian luas,

(15)

Monitoring

Efektifitas dari komponen ERM yang lain dimonitor melalui:

• Aktivitas monitoring terus-menerus • Evaluasi terpisah

(16)

Internal Control

Sistem kontrol internal yang

kuat adalah sangat penting

dalam keefektifan ERM

(17)

Internal Auditor

•

Memegang peranan penting dalam memonitor

ERM, tapi tidak merupakan kewajiban utama

untuk implementasi dan pemeliharaannya

•

Membantu manajemen dan BOD atau komite

audit pada proses :

- Monitoring

- Evaluasi

- Pemeriksaan - Reporting

(18)

ERM Roles & Responsibilities

• Management

• The board of directors

• Risk officers

(19)

Key Implementation Factors

1. Disain organisasi dari bisnis 2. Membentuk organisasi ERM 3. Melakukan penilaian risiko

4. Menentukan risk appetite keseluruhan 5. Mengidentifikasi respon risiko

6. Komunikasi hasil risiko 7. Monitoring

8. Pengawasan dan review rutin oleh manajemen

(20)

Organizational Design

•

Strategy dari bisnis

•

Objektif utama dari bisnis

•

Obektif terkait yang diturunkan ke bawah

organisasi dari objktif utama bisnis

•

Menugaskan elemen organisasi dan pimpinan

(21)

Contoh: Keterkaitan

• Misi

―To provide high-quality accessible and affordable community-based health care‖

• Objectif Strategic

―To be the first or second largest, full-service health care provider in mid-size metropolitan markets‖

• Objectif Terkait

―To initiate dialogue with leadership of 10 top

under-performing hospitals and negotiate agreements with two this year‖

(22)

Membentuk ERM

•

Menentukan pilisophy risiko

•

Survey budaya risiko

•

Pertimbangkan integritas organisasi dan nilai

etika

(23)

Contoh: Organisasi ERM

ERM Director

Vice President and Chief Risk Officer

Corporate Credit Risk Manager Insurance Risk Manager ERM Manager ERM Manager FES Commodity Risk Mg. Director

(24)

Penilaian Risiko

Penilaian Risiko adalah identifikasi

dan analisis dari risiko untuk

mencapai objektif bisnis. Ini

menjadi dasar untuk menentukan

bagaimana risiko itu dikelola

(25)

Contoh: Model Risiko

• Risiko Environmental

– Capital Availability

– Regulatory, Political, and Legal

– Financial Markets and Shareholder Relations

• Risiko Proses

– Risiko Operations – Risiko Empowerment

– Risiko Information Processing / Technology – Risiko Integrity

– Risiko Financial

• Information for Decision Making

– Risiko Operational – Risiko Financial – Risiko Strategic

(26)

Analisis Risiko

Kontrol Risiko Share atau Transfer Risiko

Manajemen

Risiko

Level Proses Level Activitas

Monitor

Risiko

Identifikasi Pengukuran

Penilaian

Risiko

(27)

Menentukan ‘RISK APPETITE’

• ‗Risk appetite‘ adalah nilai risiko — dalam pengertian luas —

kemampuan entity dalam menerima nilai risiko

• Menggunakan terminologi kuantitative dan kualitative (seperti

pendapatan atas risiko vs risiko reputasi), dan pertimbangkan toleransi risiko (variasi yang dapat diterima)

Pertanyaan utama:

• Risiko apa yang tidak bisa diterima organisasi ?

(misal lingkungan atau kompromi kualitas)

• Risiko apa yang akan diambil organisasi pada inisiatif baru ?

(misal line product baru)

• Risiko apa yang dapat diterima orgnisasi untuk menantang

objektif ?

(28)

IDENTIFIKASI RESPON RISIKO

• Kuantifikasi besarnya risiko • Pilihan yang tersedia :

- Accept = monitor - Avoid = hilangkan

- Reduce = lakukan kontrol

- Share = kerjasama dengan pihak lain

(sperti asuransi)

(29)

Pengaruh vs. Peluang

Control

Share Mitigate & Control

Accept Risiko Tinggi Risiko Sedang Risiko Sedang Risiko Rendah

Rendah

Tinggi

P

E

N

G

A

R

U

H

PELUANG

(30)

Contoh : Penilaian risiko Call Center

Tinggi

P

E

N

G

A

R

U

H

Risiko Tinggi Risiko Sedang Risiko Sedang Risoko Rendah • Kehilangan telpon • Kehilangan komputer • Credit risk

• Customer menunggu lama

• Customer tidak tersambung

• Customer tidak dapat jawaban

• Salah Entry

• Peralatan usang

• Call berulang atas problem

yang sama

• Fraud

• Hilang transaksi

(31)

Contoh : Proses Account Payable

Objektif

Risiko

Aktivitas

Kontrol

Kelengkapan

Transaksi

Accrual dari

material tidak open liabilities

tercatat

Invois di-

accrued

setelah closing

(32)

Komunikasi Hasil

• Dashboard risiko dan respon terkait

(status visual dari posisi risiko utama relatif terhadap toleransi risiko)

• Flowchart dari proses dengan kontrol utama tercatat • Penjelasan objektif bisnis dishubungkan dengan risiko

operasional dan respon

• List dari risiko utama yang dimonitor atau digunakan • Pemahaman Manajemen atas tanggung jawab risiko

(33)

Monitor

• Kumpulkan dan tampilkan informasi

• Lakukan analisis

- Risiko yang ditangani dengan baik

- Kontrol yang dilakukan untuk

(34)

Pengawasan Manajemen &

Review Rutin

• Accountability atas risiko

• Ownership

• Update

-

Perubahan pada objektif bisnis

- Perubahan pada sistem

(35)

Nilai Tambah dari Internal auditor :

• Review sistem critical control dan proses manajemen risiko.

• Lakukan review dari penilaian manajemen risiko yang efektif dan kontrol

internal.

• Berikan advice atas perbaikan dan disain sistem kontrol dan strategi mitigasi

risiko

• Terapkan penkatan risk-based dalam perencanaan dan eksekusi proses internal

audit.

• Menjamin bahwa sumber daya internal audit diarahkan pada area yang sangat

penting dalam organisasi

• Tantang dasar dalam penilaian manajmen risiko dan evaluasi kecukupan dan

efektivitas penyajian strategy risiko

• Fasilitasi Workshop ERM.

• Mendefinisikan risk toleransi risiko yang belum diidentifikasi atas dasar