Anda di halaman 1dari 43

MANAJEMEN

RISIKO

MANAJEMEN RISIKO 1
MANAJEMEN RISIKO 1
MANAJEMEN RISIKO 1
MANAJEMEN RISIKO 1
MANAJEMEN RISIKO 1

PERKENALAN

PERKENALAN 2
PERKENALAN 2

AGENDA

1
1

GAMBARAN UMUM RISIKO

2 KONSEP MANAJEMEN RISIKO 3 PENILAIAN KEMATANGAN RISIKO
2
KONSEP MANAJEMEN
RISIKO
3
PENILAIAN KEMATANGAN
RISIKO
TUJUAN PEMBELAJARAN Tujuan Pembelajaran • Peserta mampu menjelaskan konsep manajemen risiko dan penilaian kematangan

TUJUAN PEMBELAJARAN

Tujuan Pembelajaran • Peserta mampu menjelaskan konsep manajemen risiko dan penilaian kematangan risiko
Tujuan
Pembelajaran
• Peserta mampu menjelaskan
konsep manajemen risiko dan
penilaian kematangan risiko
Indikator • Peserta mampu menjelaskan pengertian risiko dan manajemen risiko Keberhasilan • Peserta mampu
Indikator
• Peserta mampu menjelaskan
pengertian risiko dan manajemen
risiko
Keberhasilan
• Peserta mampu menjelaskan
proses manajemen risiko
• Peserta mampu menjelaskan
teknik penilaian kematangan risiko

4

5

Risiko adalah…

Terjadinya sesuatu yang tak diharapkan

Risiko adalah… Terjadinya sesuatu yang tak diharapkan (the risk of loss) Suatu ketidakpastian (the risk of

(the risk of loss)

Suatu

ketidakpastian

yang tak diharapkan (the risk of loss) Suatu ketidakpastian (the risk of volatility) Suatu peluang yang

(the risk of volatility)

risk of loss) Suatu ketidakpastian (the risk of volatility) Suatu peluang yang hilang (the risk of

Suatu peluang yang hilang

risk of loss) Suatu ketidakpastian (the risk of volatility) Suatu peluang yang hilang (the risk of

(the risk of lost opportunity)

6

6

DEFINISI RISIKO Definisi Risiko menurut AS/NZS 4360:2004 : “ the chance of something happening that

DEFINISI RISIKO

Definisi Risiko menurut AS/NZS 4360:2004 :

the chance of something happening that will have an impact on

objectives

Definisi Risiko menurut Enterprise Risk Management - COSO : “Events with a negative impact represent
Definisi Risiko menurut Enterprise Risk Management - COSO : “Events with a negative impact represent
Definisi Risiko menurut Enterprise Risk Management - COSO : “Events with a negative impact represent

Definisi Risiko menurut Enterprise Risk Management - COSO :

“Events with a negative impact represent risks, which can prevent value creation or erode existing value”

- COSO : “Events with a negative impact represent risks, which can prevent value creation or
DEFINISI RISIKO – AS/NZS Risk is the chance of something happening that will have an
DEFINISI RISIKO – AS/NZS
DEFINISI RISIKO – AS/NZS

Risk is the chance of something happening that will have an impact upon objective.

DEFINISI RISIKO – AS/NZS Risk is the chance of something happening that will have an impact
DEFINISI RISIKO – AS/NZS Risk is the chance of something happening that will have an impact

8

DEFINISI RISIKO – ERM COSO

Events with a negative impact represent risks, which can prevent value creation or erode existing value.

Ekstern  Globalisasi  Teknologi  Peraturan  Pasar  Persaingan  Dsb. Intern 
Ekstern
 Globalisasi
 Teknologi
 Peraturan
 Pasar
 Persaingan
 Dsb.
Intern
Strategi yang
dipilih
 Peluang  Risiko
 Peluang
 Risiko
 Ketidakpastian
 Ketidakpastian
 Ketidakpastian

Ketidakpastian

 Ketidakpastian
 Ketidakpastian
 Ketidakpastian
 Ketidakpastian
 Ketidakpastian
 Ketidakpastian
 Ketidakpastian
 Ketidakpastian
 Stakeholder Value
 Stakeholder
Value

9

9

Jadi, risiko adalah……. Yang membawa akibat yang tidak diinginkan atas: Tujuan Strategi Sasaran dan atau

Jadi, risiko adalah…….

Yang membawa akibat yang tidak diinginkan atas: Tujuan Strategi Sasaran dan atau Target
Yang membawa akibat
yang tidak diinginkan
atas:
Tujuan
Strategi
Sasaran dan
atau
Target
risiko adalah……. Yang membawa akibat yang tidak diinginkan atas: Tujuan Strategi Sasaran dan atau Target 10

DEFINISI MANAJEMEN RISIKO

Definisi Manajemen Risiko menurut AS/NZS 4360: 2004 : The culture, processes, structures that are directed
Definisi Manajemen Risiko menurut AS/NZS 4360: 2004 : The culture, processes, structures that are directed
Definisi Manajemen Risiko menurut AS/NZS 4360: 2004 : The culture, processes, structures that are directed

Definisi Manajemen Risiko menurut AS/NZS 4360: 2004 :

The culture, processes, structures that are directed towards realizing potential opportunities while managing adverse effects

culture, processes, structures that are directed towards realizing potential opportunities while managing adverse effects
Definisi Manajemen Risiko menurut Enterprise Risk Management – COSO: A process , effected by an
Definisi Manajemen Risiko menurut Enterprise Risk Management – COSO: A process , effected by an
Definisi Manajemen Risiko menurut Enterprise Risk Management – COSO: A process , effected by an
Definisi Manajemen Risiko menurut Enterprise Risk Management – COSO: A process , effected by an

Definisi Manajemen Risiko menurut Enterprise Risk Management – COSO:

A process , effected by an entity’s board of directors, management and other personnel, applied in strategy-setting and across enterprise, designed to identify potential events that may affect the entity, and manage risk to

be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives (COSO)

risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity
Tuntutan masyarakat tentang peningkatan Good Governance Perubahan lingkungan Persyaratan investor dan
Tuntutan masyarakat tentang peningkatan Good Governance Perubahan lingkungan Persyaratan investor dan
Tuntutan
masyarakat tentang
peningkatan Good
Governance
Perubahan
lingkungan
Persyaratan
investor dan
regulator
MANFAAT: Keputusan yang lebih efektif Efektivitas dalam pelaksanaan program- program atau kegiatan
MANFAAT:
Keputusan yang lebih efektif
Efektivitas dalam pelaksanaan program-
program atau kegiatan
Efektivitas pengalokasian dan penggunaan
sumber daya
Standar yang tinggi dalam pelayanan
pelanggan
Standar yang tinggi dalam akuntabilitas
Kreativitas dan inovasi dalam praktik
manajemen
Peningkatan kapasitas
Peningkatan moral organisasi
Transparansi

12

PROSES MANAJEMEN RISIKO
PROSES
MANAJEMEN
RISIKO

PROSES MANAJEMEN RISIKO – ERM/COSO

Delapan

komponen

dari

kerangka

ERM

Sasaran Perusahaan

PROSES MANAJEMEN RISIKO – ERM/COSO Delapan komponen dari kerangka ERM Sasaran Perusahaan Lingkup Penerapan ERM 14

Lingkup

Penerapan

ERM

Tujuan

Kerangka manajemen risiko yang dibangun dalam suatu organisasi dimaksudkan untuk mencapai tujuan yang dibagi dalam 4 kategori, yaitu:

Strategic; goal tingkat tinggi yang diarahkan untuk mendukung misi yang dimiliki organisasi.

Operations; pemanfaatan yang efektif dan efisien dari sumber-sumber yang tersedia.

Reporting;

internal

dapat

diandalkan

atau

dipercayanya

laporan

baik

maupun eksternal.

Compliance; ketaatan terhadap berbagai undang-undang dan peraturan yang berlaku.

Identifikasi Tujuan Kementerian Riset, Teknologi dan Pendidikan Tinggi TUJUAN: • Strategic • Operations •

Identifikasi Tujuan

Kementerian Riset, Teknologi dan Pendidikan Tinggi

TUJUAN:

Strategic

Operations

Reporting

Compliance

lanjutan

Komponen manajemen risiko terdiri dari 8 komponen yang saling berhubungan. Komponen ini diambil dari cara bagaimana manajemen melaksanakan organisasinya dan diintegrasikan dengan proses manajemen.

Kedelapan komponen manajemen risiko ini adalah:

- Internal environment

- Objective setting

- Event identfication

- Risk assessment

- Risk response

- Control activities

- Information and communication

- Monitoring

18

Internal Environment

Filosofi manajemen risiko; seperangkat keyakinan dan perilaku yang dirasakan bersama, yang mencirikan bagaimana organisasi ini mempertimbangkan risiko dalam segala aspek

di

organisasi

Risk appetite; risiko dalam wawasan dan tingkatan yang luas

di

mana organisasi masih dapat menerimanya

Direksi dan komisaris; struktur, pengalaman, independensi, dan peran pengawasan yang dimainkan oleh dewan

Integritas dan nilai-nilai etika; terutama standar perilaku dan gaya kepemimpinan serta berbagai tindakan yang secara etika diterima dan berlaku di organisasi

Internal Environment

Komitmen terhadap kompetensi; pengetahuan dan keahlian yang dibutuhkan untuk melaksanakan tugas-tugas yang dibebankan

Struktur organisasi; suatu kerangka untuk merencanakan, melaksanakan, mengendalikan, dan memantau berbagai aktivitas

Pembebanan wewenang dan tanggung jawab; tingkatan di mana setiap individu dan tim diberikan wewenang dan didorong untuk menggunakan insiatif untuk mengarahkan berbagai isu dan memecahkan masalah-masalah, sebatas apa yang menjadi tanggung jawabnya

Standar atau kriteria sumber daya manusia; praktik-praktik berkenaan dengan rekrutmen, orientasi, pelatihan, evaluasi, konseling, promosi, kompensasi, dan tindakan –tindakan perbaikan yang diambil

Objective Setting

Tujuan ditetapkan di tingkat strategi dan menjadi dasar untuk menentukan tujuan operasi, pelaporan, dan kepatuhan. Setiap organisasi menghadapi berbagai macam risiko baik yang berasal dari sumber internal maupun eksternal.

Penetapan tujuan merupakan prasyarat untuk efektifnya proses identifikasi kejadian, penilaian risiko, dan respon terhadap risiko.

Tujuan menjadi acuan untuk menentukan risk appetite organisasi yaitu sebagai batas toleransi risiko bagi organisasi yang dapat diterima. Sedangkan, risk tolerance adalah tingkat ukuran yang dapat diterima berkaitan dengan pencapaian tujuan organisasi.

Event Identification

Manajemen mengidentifikasi kejadian yang berpotensi terjadi, dan jika memang terjadi akan mempengaruhi entitas dan menentukan apakah kejadian-kejadian tersebut merupakan peluang atau ancaman yang mempengaruhi pencapaian tujuan.

Kejadian-kejadian yang berdampak negatif merupakan risiko yang mungkin dapat menghambat organisasi mencapai tujuannya.

Sementara, kejadian-kejadian yang memberikan dampak positif merupakan peluang yang harus segera direspon organisasi untuk memperlancar pencapaian tujuan. Dalam mengidenti- fikasi kejadian, berbagai faktor baik internal maupun eksternal harus dipertimbangkan.

Risk Assessment

Penilaian risiko (risk assessment) memungkinkan suatu entitas mempertimbangkan luasnya kejadian-kejadian potensial memiliki pengaruh untuk suatu pencapaian tujuan.

Manajemen menilai kejadian dari 2 (dua) perspektif, yaitu: kemungkinan terjadi (likelihood) dan dampak (impact). Umumnya, penilaian risiko menggunakan metode kuantitaf atau kualitatif, atau kombinasi di antara keduanya.

Dampak dari kejadian potensial harus diuji, baik secara tersendiri atau kategori, lintas entitas. Risiko dinilai baik dari hal yang melekat (inherent) dan sisanya (residual).

Risk Assessment

Inherent risk adalah risiko yang melekat di organisasi sebelum upaya tindakan untuk mengubah kemungkinan dan dampak risiko.

Residual risk adalah risiko yang tetap ada setelah manajemen merespon risiko, misal dengan mengurangi atau memindahkan risiko.

Penilaian risiko pertama harus dilakukan terhadap inherent risk. Setelah respon terhadap risiko dikembangkan, manajemen kemudian mempertimbangkan residual risk (relatif pada risk appetite organisasi).

Risk Response

Setelah risiko dinilai, majajemen menentukan bagaimana risiko tersebut direspon.

Berbagai model merespon risiko,

diantaranya adalah:

Menghindari risiko (avoiding)

Mengurangi (mitigating)

Memindahkan (sharing/transferring)

Mengendalikan (controlling)

Mengoptimalkan (exploiting)

Control Activities

Kegiatan pengendalian merupakan kebijakan dan prosedur yang dapat membantu memastikan bahwa respon terhadap risiko yang dilakukan manajemen dilaksanakan.

Berapa contoh kegiatan pengendalian, yaitu:

- Review oleh pimpinan (misal: review terhadap budget, monitoring tindakan komptetior)

- Fungsi atau aktivitas langsung manajemen (misal:

rekonsiliasi)

- Pemrosesan informasi (misal: pengendalian operasi sistem, pengendalian atas sistem implementasi, pembuatan disaster recovery plan)

Control Activities

- Pengendalian fisik (misal: penghitungan fisik kas, pengamanan langsung)

- Penggunaan indikator kinerja (misal: analisis dan tindak lanjut penyimpangan dari target atau kinerja yang direncanakan)

- Pemisahan tugas (misal: pemisahan wewenang dan tanggung jawab antara petugas yang mengotorisasi rekanan, membayarkan, dan mencatat transaksi yang berkaitan).

Information and Communication

Informasi harus cukup dalam konsistensinya dengan kebutuhan entitas untuk mengidentifikasi, menilai, dan merespon risiko, dengan tetap dalam risk tolerance-nya.

Sistem informasi yang digunakan secara internal, berasal dari dari data dan informasi yang berasal dari sumber eksternal, menyajikan informasi untuk mengelola risiko dan membuat keputusan yang informatif berkaitan dengan pencapaian tujuan.

Pada akhirnya, informasi harus cukup berkualitas untuk pengambilan keputusan. Kualitas informasi berhubungan dengan:

Informasi harus sesuai dengan tingkat kerinciannya benar dan akurat.

Informasi tepat waktu dan tersedia setiap saat jika dibutuhkan.

Informasi selalu baru, mencerminkan informasi keuangan dan operasional yang paling terkini.

Informasi harus akurat dan dapat diandalkan (dipercaya)

Informasi mudah untuk diakses oleh siapa pun yang memiliki otorisasi untuk mengakses dan membutuhkan informasi tersebut

Monitoring

Proses manajemen risiko harus dimonitor, yaitu dinilai keberadaan dan berfungsi efektifnya untuk setiap komponen yang ada di dalamnya secara terus menerus.

Model yang digunakan untuk melakukan monitoring adalah melalui monitoring kegiatan secara terus menerus, penilaian terpisah, atau kombinasi di antara keduanya.

Monitoring secara terus menerus dilakukan dan melekat dalam aktivitas rutin manajemen.

Monitoring

Ruang lingkup dan frekuensi penilaian terpisah tergantung terutama pada hasil penilaian risiko dan efektifitas prosedur monitoring yang terus menerus.

Kelemahan atau kekurangan program manajemen risiko dilaporkan ke atas dan untuk permasalahan yang sangat serius harus dilaporkan kepada direksi dan komisaris

Pendekatan MR alternatif, ISO 31000 :

2009

Pendekatan MR alternatif, ISO 31000 : 2009
Kunci Keberhasilan MR • Dukungan penuh manajemen dan staf • Ketersediaan informasi dan proses yang

Kunci Keberhasilan MR

Dukungan penuh manajemen dan staf

Ketersediaan informasi dan proses yang mudah dipahami

Tanggung jawab dari pelaksana/pemilik kegiatan/pemilik risiko

Sumberdaya yang memadai untuk mendukung pelaksanaan manajemen risiko

Komunikasi dan pelatihan yang berkelanjutan

Sarana untuk mengukur hasil yang dicapai

Penegakan peraturan

Pemantauan yang berkesinambungan

33

34

Penilaian Kematangan MR

Memperoleh gambaran sejauh mana organisasi (auditi) menentukan, menilai, mengelola, dan memantau risiko

Guna menentukan keandalan daftar dan profil risiko auditi untuk perencanaan ABR

Digambarkan dalam 5 tingkat kematangan MR

PENILAIAN KEMATANGAN RISIKO

tahap krusial dalam menentukan apakah RBIA siap diterapkan dalam audit atas organisasi.

apakah RBIA siap diterapkan dalam audit atas organisasi. • mengukur risk maturity : 1. bertemu dengan

mengukur risk maturity :

1. bertemu dengan para manajer senior dan kepala unit kerja, untuk mengetahui proses-proses apa saja yang telah dilakukan dalam rangka meningkatkan membangun manajemen risiko organisasi selama ini.

2. evaluasi pemahaman organisasi mengenai risiko dan cara mengelolanya.

3. kumpulkan berbagai informasi yang terkait dengan risiko, seperti tujuan organisasi, proses dalam mengukur risiko, risk appetite yang dianut perusahaan, bagaimana manajemen mempertimbangkan risiko, dan lainnya.

4. buat penilaian terhadap keseluruhan proses dengan menggunakan model ceklist

Checklist penilaian tingkat kematangan manajemen risiko

No

Uraian

Skor (0 - 2)

1 Tujuan organisasi terdokumentasi dan dipahami dengan baik

2 Manajemen telah memahami risiko dan tanggung jawab atas risiko tersebut

3 Proses identifikasi risiko telah ditetapkan dan dipatuhi

4 Sistem skoring untuk penilaian risiko telah ditetapkan

5 Seluruh risiko telah dinilai dengan sistem skoring yang telah ditetapkan

6 Respon atas risiko telah ditetapkan dan diimplementasikan

7 Risk appetite telah ditetapkan dengan sistem skoring

8 Risiko telah dibagi tanggung jawabnya dan didokumentasikan dalam risk register

9 Manajemen telah menetapkan model pemantauan atas proses, respon dan action plan risiko.

10 Risk register diupdate secara periodik

11 Manajer melaporkan kepada pimpinan puncak bila terdapat risiko yang belum ditekan pada tingkat yang dapat diterima

12 Kegiatan yang bersifat proyek/program selalu dinilai risikonya

13 Uraian tanggung jawab menetapkan risiko, menilai risiko dan mengelolanya termasuk dalam uraian tugas dan tanggung jawab pegawai.

14 Manajer memberikan jaminan efektifitas pengelolaan risiko

15 Setiap manager dinilai kinerjanya dalam mengelola risiko

Jumlah

37

Skor :

0 = tidak ada

1 = ada hanya sebagian atau belum diterapkan

2 = ada dan telah diimplementasikan

Simpulan atas Total nilai :

 

Nilai

Kategori

0

7

Risk Naïve

8

– 14

Risk Aware

15

– 20

Risk Define

21

– 25

Risk Managed

Di atas 26

Risk Enable

Sumber : CAI India

Aware 15 – 20 Risk Define 21 – 25 Risk Managed Di atas 26 Risk Enable

38

Simpulan hasil penilaian level tingkat auditable unit dan Update lingkup penugasan

berdampak terhadap lingkup dan waktu penugasan audit individu

Penilaian atas level risiko level risiko yang diharapkan

maka

penugasan dilanjutkan sesuai rencana audit atas level risiko ≥ level risiko yang diharapkan maka • Penilaian atas level risiko ≤ level

Penilaian atas level risiko level risiko yang diharapkan ,

maka

menghentikan penugasan

update ruang lingkup dan waktu penugasan/

CONSULTING

≤ level risiko yang diharapkan , maka menghentikan penugasan update ruang lingkup dan waktu penugasan/ CONSULTING
≤ level risiko yang diharapkan , maka menghentikan penugasan update ruang lingkup dan waktu penugasan/ CONSULTING

AUDIT STRATEGY

AUDIT STRATEGY 40

STRATEGI AUDIT

Area

Risk Naive

Risk Aware

Risk

Risk

Risk

Defined

Managed

enable

Laporan

Tidak

ada

Risk

RMP

masih

RMP

telah

RMP

telah

manajemen

laporan formal

management

banyak

dikelola

diterapkan dengan baik

atas

proses

(RMP)

kelemahan

pengelolaan

sangat lemah

 

risiko

Jenis

Sosialisasi, bimtek, fasilitasi RM

 

Sosialisasi, bimtek, fasilitasi RM

dan

Mendorong penerapan RM

Memperbaiki

Perbaikan

konsultasi

dan

RM

berdasar

 

kebutuhan

Perencanaan

Traditional audit plan

Traditional audit plan

RBIA dan TAP

RBIA

RBIA

audit

Pelaksanaan

Proses

Proses

Proses

Proses

Proses

audit

pengendalian

pengendalian

manajemen

manajemen

manajemen

 

risiko

dan

risiko

risiko

pengendalian

41

Hubungan Maturity Level Risiko dengan Control

Level

Enabled

Managed

Defined

Aware

Naive

Control

Semua risiko telah teridentifikasi dan dinilai. Adanya Reviu risiko secara teratur Respon telah sesuai untuk mengelola risiko

Semua risiko telah teridentifikasi dan dinilai. Adanya Reviu risiko secara teratur Respon telah sesuai untuk mengelola risiko

Sebagian besar risiko telah teridentifikasi dan dinilai. Adanya Reviu risiko secara teratur Respon telah sesuai untuk mengelola risiko

Terdapat pengendalian tetapi tidak terkait dengan risiko

Terdapat pengendalian tetapi bebarapa pengendalian tidak ada atau tidak lengkap

Monitoring

Manajemen memonitor bahwa semua respon dilakukan secara tepat. Semua manajer memberikan jaminan terhadap efektivitas manajemen risiko dan penilaian kinerja manajemen risiko

Manajemen memonitor bahwa semua respon dilakukan secara tepat. Hampir Semua manajer memberikan jaminan terhadap efektivitas manajemen risiko dan penilaian kinerja manajemen risiko

Beberapa bagian Manajemen memonitor bahwa semua respon dilakukan secara tepat

Sedikit atau kurang adanya monitoring

Sangat kecil monitoring, jika adapun sangat lemah

Audit Approach

Assurance

Consultancy
Consultancy

Tidak dapat dilakukan RBIA. Maka audit menggunakan pendekatan konsultasi untuk memperkenalkan RM hingga tercapainya Defined. Maka perlu dikembangkan Audit dengan Faktor Risiko

SEKIAN DAN TERIMA KASIH 43

SEKIAN DAN TERIMA KASIH