Governance and Risk

Management
EFG
 Sukses
• Hidup penuh dengan ketidakpastian
• Bisnis menghadapi ketidakpastian disemua
kegiatannya
• Sukses tergantung kemampuan managemen
mengelola ketidakpastian:
– Ada struktur organisasi yang disertai struktur
governance
– Struktur governance dipakai mengarahkan aktivitas
setiap hari untuk mengelola risiko melekat dalam
organisasi
– Aktvitas setiap hari merupakan internal control
activities.

2
ELEMENT GOVERNANCE

3
 Corporate Governance
• Efektifitas jasa penjaminan dan konsultasi----
pemahaman terhadap bisnis organisasi
• Governance (OECD):
– Keseluruhan perhubungan antara managemen
perusahaan, dewan komisaris, dan pemegang saham,
dan pemangku kepentingan lainnya;
– Menyediakan struktur untuk menentukan tujuan
organisasi, mencapai tujuan, dan memonitor kinerja.
– Kebijakan, proses, struktur untuk mengarahkan dan
mengendalikan aktivitas, untuk mencapai tujuan, dan
melindungi kepentingan berbagai pemangku
kepentingan dengan cara yang sesuai dengan standar
etika.
4
 Governance

• Dewan Direksi:------- strategic direction

• Arah strategik bisnis; tujuan bisnis utama, menentukan risk
taking, nilai2 organisasi dan hasrat risiko organisasi
• Governance oversight: managemen risiko dan internal audit
activities 5
Komponen governance oversight

6
 Poin Penting: Governance
• Dimulai dari dewan direksi dan komite2
• Memahami dan fokus pada kepentingan
pemangku kepentingan kunci
• Governance dieksekusi oleh managemen
• Auditor internal dan eksternal dibutuhkan
untuk memberi jaminan mengenai
efektivitas aktivitas governance

7
Responsibilities dalam Governance
• Dewan direksi dan komite-komite
• Stakeholders:
– Direct (DS), indirect (IS) , and influencing stakeholders (InS)
• Common stakeholders:
– Karyawan (DS)
– Pelanggan (DS)
– Pemasok (DS)
– Pemegang saham /investor (IS)
– Agen pemerintah (IS dan InS)
– Institusi keuangan (InS): rating agencies, asosiasi industri,
pesaing
• Stakeholder harus diidentifikasi, paham kebutuhan dan
harapan setiap stakeholders
• Identifikasi outcomes yg tidak dapat diterima stakeholder
kunci;
8
 Tipa outcomes:
• Financial
– EPS, CASH, CREDIT RATING, ROI, KETERSEDIAAN MODAL,
PAJAK, KELEMAHAN MATERIAL, TRANSPARANSI
• Compliance
– LITIGASI, INVESTIGASI, DLL.
• Operations
– EFISIENSI, PROTEKSI ASET, PROTEKSI TERHADAP ORANG,
POTEKSI THD INFORMASI, PROTEKSI THD LINGKUNGAN
• Strategic
– REPUTASI, CORPORATE SUSTAINABILITY, MORAL
KARYAWAN, KEPUASAN PELANGGAN

9
 Eksekusi Governance oleh
Dewan Direksi

• Tetapkan komite governance

• Kebutuhan artikulasi untuk pelaporan
• Reevaluasi harapan governance secara
periodik

10
 Pelaksana Governance
• Managemen senior:
– Paham atas harapan dewan direksi (governance)
– Identifikasi aktivitas yg terkait arahan governance
oleh dewan direksi (unit berisiko, orang yg
mengelola risiko, cara mengelola risiko)
– Evaluasi faktor yang mencipta jastifikasi
pendelegasian level toleransi yg lebih rendah kpd
pemilik risiko drpd yg didelegasi oleh dewan
direksi.
– Mendapatkan informasi dari pemilik risiko untuk
pelaporan ke dewan direksi
11
 Pelaksanaan Governance
• Managemen Senior akan lebih baik
mengeksekusi governance dengan:
– Penetapan komite risiko
– Artikulasi kebutuhan pelaporan
– Evaluasi kembali harapan governance secara
periodik

12
 Risk Owners
• Individu yg bertanggung jawab menjamin aktivitas
managemen risiko mengelola risiko scr efektif dalam
hasrat risiko organisasi
• Evaluasi aktivitas managemen risiko
• Menentukan kemampuan organisasi melanjutkan
aktivitas managemen risiko yg telah didesain
• Menentukan apakah aktivitas managemen risiko
berlangsung sprt yg direncanakan/desain
• Menetapkan kegiatan monitor
• Menjamin informasi yg dibutuhkan managemen senior
tersedia

13
 Assurance Activities

• Menyediakan bantuan kpd dewan direksi

penetapan tujuan yang terkait dengan
keefektifan aktivitas managemen laba
• Pihak yg menyediakan aktivitas ini adalah
fungsi audit internal

14
 Fungsi Audit Internal
• Evaluasi apakah aktivitas managemen risiko yg
didesain cukup utk mengelola risiko;
• Menguji dan mengevaluasi apakah berbagai
aktivitas managemen risiko berfungsi sesuai
desain;
• Menentukan laporan risk owners adalah
informasi terkini ttg efektifitas managemen risiko;
• Evaluasi info toleransi risiko disampaikan tepat
waktu dan efektif oleh dewan direksi dst…
• Adakah risiko lain yg belum termasuk dlm target
governance…
15
 Prinsip-prinsip Governance
• Dewan direksi dan komite2 berfungsi dan terorganisasi
dengan baik
• Dewan direksi (DD) dan komite memenuhi kualifikasi dan
berpengalaman
• Menjamin DD memiliki cukup wewenang, dana, dan
sumberdaya …independen
• Memelihara keterpahaman managemen eksekutif dengan DD
• Ada Strategi organisasional untuk mengukur kesuksesan
perusahaan dan kontribusi individu
• Menciptakan struktur organisasional utk mencapai strategi;
• Mencipta kebijakan pengelolaan operasi utk aktivitas utama
organisasi;
• Menentukan responsibilitas dan akuntabilitas scr jelas
• Menjamin interaksi yg efektif antara berbagai level
managemen
16
 Prinsip-prinsip Governance
• Pengamanan yang tepat oleh managemen
• Kebijakan kompensasi yg mendorong perilaku yg tepat
• Komunikasi kultur etik , nilai2 dlm organisasi …
• Auditor internal dimanfaatkan scr efektif
• Pendefinisian dan pengimplementasian kebijakan
managemen risiko …. seluruh organisasi
• Pemanfaatan auditor eksternal secara efektif
• Menyediakan pengungkapan informasi kunci secara tepat
• Menyediakan pengungkapan proses governance sesuai dgn
ketentuan nasional atau best practice
• Menjamin pengawasan yg tepat thd transaksi pihak yg
memiliki hub istimewa dan situasi konflik kepentingan.

17
 RISK MANAGEMENT
• Apa itu risiko (COSO):
– Kemungkinan suatu kejadian akan terjadi dan
berdampak buruk terhadap pencapaian tujuan
• Hal-hal penting dari definisi:
– Risiko dimulai dari perumusan strategi dan penentuan
tujuan
– Risiko tidak mewakili taksiran tunggal (mrpk range
outcomes)
– Risiko berkaitan dengan pencegahan sesuatu yang
buruk, atau gagal menjamin sesuatu yang baik terjadi
– Risiko melekat pada semua aspek kehidupan; dimana
ada ketidakpastian disitu ada satu atau lebih risiko.

18
 COSO ERM Framework
Rerangka memahami dan mengelola risiko seluruh organisasi

• Apa itu ERM:

– Suatu proses yang dipengaruhi oleh dewan direksi
perusahaan, managemen, dan karyawan;
teraplikasi dalam strategi bisnis dan keseluruhan
perusahaan; didesain untuk mengidentifikasi
kejadian potensial yang mungkin mempengaruhi
perusahaan, dan mengelola risiko yang dirancang,
untuk menyediakan jaminan yang layak dalam
pencapaian tujuan organisasi;

19
 ERM rinci
– Proses secara keseluruhan organisasi
– Dipengaruhi orang pada setiap level organisasi
– Sesuai strategi bisnis
– Diaplikasi diseluruh organisasi
– Untuk mengidentifikasi kejadian potensial--
entitas, mengelola risiko
– Memberi jaminan yang layak
– Untuk mencapai tujuan organisasi

20
 Komponen ERM
• Internal environment
• Objective setting
• Event identification
• Risk assesment
• Risk response
• Control activities
• Information and communication system
• Monitoring
21
 Komponen ERM
• Internal environment
– Komponen inti bisnis adalah orang (nilai-nilai,
kompetensi) dan lingkungan
– Basis utk komponen ERM yg lain
– Mempengaruhi penentuan strategi dan tujuan;
aktivitas bisnis distruktur, risiko diidentifikasi
– Mempengaruhi desain dan fungsi aktivitas kontrol,
sistem informasi dan komunikasi, dan kegiatan
monitor.

22
 Komponen Internal Environment
• Risk management philosophy
• Risk appetite,
• Board of directors,
• Integrity and ethical value,
• Commitment to competent,
• Organizational structure,
• Assigment of authority and responsibility,
• Human resource standards.
23
 Objective Setting
• ERM diaplikasi untuk mencapai:
– Strategic
– Operations
– Reporting
– Compliance
• Tujuan ditentukan sesuai dengan hasrat
(toleransi) risiko yg ditetapkan

24
 Event Identification
• Identifikasi kejadian potensi yg mempengaruhi entitas;
memberi kesempatan atau tantangan aplikasi strategi dan
mencapai tujuan
• Kejadian berdampak positif ….. Kesempatan (penetapan
strategi dan tujuan)
• Kejadian berdampak negatif ….. Risiko (butuh response dan
penetapan oleh managemen)
• Pertimbangkan faktor internal dan eksternal
• Faktor eksternal:
– Economic; natural environment; politik; sosial; teknologi
• Faktor internal:
– Infrastruktur, personel, proses, teknologi
25
 Risk Assesment
• Penentuan kejadian yang berpotensi mempengaruhi
pencapaian tujuan
• Dua perspektif digunakan likelihood (kemungkinan) dan
impact (dampak)….. metode kualitatif dan kuantitatif ....
• Risiko inheren dan residual
– Risiko inheren: gross risk (risiko dalam ketiadaan
tindakan managemen, melekat dalam model bisnis atau
kebijakan manajemen); ditangani lebih dulu
– Risiko Residual: net risk (risiko yg tetap ada setelah
tindakan managemen)
• Impak risiko ditentukan dengan judgmen, perspektif
individu, tolok ukur sampai dengan teknik tinggi (model
probabilitas). 26
 Risk Response
• Tindakan untuk menurunkan risiko
• Risiko yg relevan akan ditentukan respon.
Respon dalam bentuk:
– Avoidance: penghindaran/keluar; keluar tdk
produksi produk tertentu, berhenti ekspansi, jual
divisi tertentu.
– Reduction: implementasi kontrol
– Sharing: asuransi, hedging, outsourcing
– Acceptance : tidak bertindak

27
 Control Activities
• Kebijakan dan prosedur yang menjamin tindakan
respon oleh managemen dilakukan
• Berkaitan dengan mendukung tindakan risk
response;
• Terjadi pada semua level dan fungsi organisasi
• Bentuk-bentuk control activities yg umum:
– Top level review
– Direct functional or activity management
– Information processing
– Physical control
– Performance indicators
– Segregation of duties
28
 Information and Communication

• Informasi dibutuhkan untuk melaksanakan

tanggung jawab
• Informasi harus cukup rinci dan dalam untuk
tindakan ERM;
• Penciptaan informasi dari sumber data
internal dan eksternal
• Informasi harus berkualitas untuk mendukung
keputusan

29
 Kualitas Informasi
• Berhubungan dengan:
– Isi: tepat dan benar pada level rinci
– Tersedia tepat waktu
– Informasi terkini
– Informasi akurat dan dapat dipercaya
– Informasi dapat diakses pihak terotirusasi
dan yg membutuhkan.

30
 Pemonitoran
• Proses menentukan kondisi terkini dan
fungsionalitas komponen ERM dari waktu ke
waktu
• Kelemahan ERM dilaporkan upstream

31
Pihak yang Bertanggung Jawab ERM

• Internal auditors
• Other entity personal
• Dewan direksi
• External auditors
• Managemen
• Legislators and
• Risk officer
regulator
• Financial executives
• Others external
parties

32
 Peran
• Dewan direksi
– Pengawasan dan pengarahan
kepada managemen
– Penentuan strategi,
perumusan tujuan, alokator
sumber daya, lingkungan etis
– Meminta bantuan komite-
komite
• Managemen
– Semua aktivitas dalam entitas
bisnis (termasuk ERM)
– Tergantung level organisasi
dan karakteristik entitas
– Pelaporan dan rekomendasi
tindakan
• Risk officer (CRO)
– Dikoordinasi oleh bagian
khusus
– Menentukan kebijakan ERM,
peran dan tanggung jawab,
serta implementasi ERM
– Penentuan otoritas dan
akuntabilitas
– Integrasi ERM dengan
perencanaan bisnis dan
aktivitas managemen
– Pengukuran risiko dan
dampaknya
– Pelaporan dan rekomendasi
tindakan
33
 Peran
• Financial executives: pembiayaan dan pengendalian;
pengembangan anggaran, analisis kinerja,
pencegahan dan pendeteksian penyimpangan,
desain pelaporan sistem
• Internal auditors: evaluasi efektivitas dan
rekomendasi perbaikan ERM; reliabilitas pelaporan;
efisiensi operasi; kesesuaian dengan regulasi
• Other entity personal: semua kry berperan dalam
ERM scr virtual; mendukung aliran komunikasi dan
informasi dalam ERM.

34
 Peran
• External auditors: memberi pandangan unik,
independen, dan objektif ttg tujuan pelaporan
keuangan; menemukan defisiensi managemen risiko,
informasi analitis, dan rekomendasi perbaikan …
• Legislators and regulator: membuat ketentuan
harus ada mekanisma managemen risiko atau sistem
internal kontrol; pemeriksaan dan rekomendasi
perbaikan
• Others external parties: pelanggan, pemasok,
partner bisnis, kreditor, analis keuangan, agen
pemeringkat, koran, jasa outsource
35
 PERAN FUNGSI AUDIT INTERNAL DALAM ERM

• Menyediakan jaminan yang objektif kepada

dewan direksi tentang efektivitas aktivitas
ERM yang menjamin risiko bisnis utama telah
dikelola scr tepat dan sistem internal kontrol
beroperasi scr efektif.

36
 Core Internal Audit Roles
• Memberi jaminan proses managemen risiko
• Memberi jaminan risiko telah dievaluasi dgn
benar
• Evaluasi proses managemen risiko
• Evaluasi pelaporan risiko utama
• Mengkaji managemen risiko kunci

37
 Internal Audit Roles with Safeguards

• Berkaitan dengan jasa konsultasi yg mungkin

memperbaiki governance , managemen risiko,
dan proses kontrol organisasi;
• Pemfasilitasan indentifikasi dan evaluasi risiko
• Pelatihan managemen dalam merespon risiko
• Koordinasi aktivitas ERM
• Konsolidasi pelaporan risiko
• Pemeliharaan dan pengembangan rerangka
ERM
38
 Peran berikut jangan dilakukan oleh
Fungsi Audit Internal

• Penentuan level hasrat risiko

• Penentuan proses managemen risiko
• Satu-satunya sumber yg memberi jaminan
bahwa risiko telah dikelola dengan baik
• Pembuatan keputusan respon thd risiko
• Implementasi respon thd risiko atas nama
managemen
• Akuntabilitas managemen risiko
39
 Peran Fungsi Internal Audit

• Aktivitas audit internal mengevaluasi,

mengkontribusi perbaikan managemen risiko,
kontrol, dan proses governance menggunakan
pendekatan yg sistematik dan berdisiplin.
• Membantu managemen dan komite
memeriksa, evaluasi, pelaporan, dan
rekomendasi perbaikan ttg kecukupan dan
efektivitas proses managemen risiko
• Peran konsultasi…
40