KATA PENGANTAR
Tata Kelola, Manajemen Risiko, dan Pengendalian merupakan bagian penting dalam audit internal.
Sejalan dengan pentingnya Tata Kelola, Manajemen Risiko, dan Pengendalian, sertifikasi Qualified
Internal Auditor (QIA) juga memberikan bobot yang cukup besar bagi penguasaan auditor di bidang
Tata Kelola, Manajemen Risiko, dan Pengendalian. Untuk itu, modul ini memuat materi yang
komprehensif terkait Tata Kelola, Manajemen Risiko, dan Pengendalian.
Kehadiran modul ini diharapkan dapat memberikan manfaat sebagai acuan dan materi pelatihan
sertifikasi QIA, dan juga sebagai referensi di bidang pendidikan dan pelatihan dalam rangka
peningkatan kompetensi di bidang audit internal.
Segala kritikan, masukan, dan saran yang konstruktif terhadap penyempurnaan modul ini tentunya
sangat diharapkan dari para pembaca sekalian yang budiman. Tim penyusun telah menyiapkan saluran
komunikasi yang dapat digunakan untuk menyampaikan kritikan, masukan, dan saran tersebut
sebagaimana tercantum pada bagian akhir modul ini.
Semoga kehadiran modul ini dapat bermanfaat bagi para peserta pelatihan, instruktur/fasilitator, dan
pembaca yang budiman.
Mohamad Hassan
DAFTAR ISI
Hal
Kata Pengantar .................................................................................................................... 1
Daftar Isi .............................................................................................................................. 2
Daftar Gambar..................................................................................................................... 4
Petunjuk Penggunaan Modul .............................................................................................. 5
Peta Konsep Modul ............................................................................................................. 7
PENDAHULUAN ................................................................................................................... 8
1. Deskripsi Singkat ............................................................................................................... 8
2. Prasyarat Kompetensi ...................................................................................................... 8
3. Standar Kompetensi ......................................................................................................... 9
4. Kompetensi Dasar ............................................................................................................ 9
5. Relevansi Modul .............................................................................................................. 9
KEGIATAN BELAJAR 1: TATA KELOLA ............................................................................. 10
1. Pendahuluan .................................................................................................................... 10
2. Prinsip-prinsip Tata Kelola Sektor Publik yang Baik (Good Public Governance) .............. 12
3. Prinsip-prinsip Tata Kelola Sektor Korporasi yang Baik (Good Corporate Governance) ... 16
4. Organ Utama & Organ Pendukung Tata Kelola Sektor Korporasi yang Baik ................... 21
5. Praktik GCG di BUMN ...................................................................................................... 32
6. Perlindungan Lingkungan dan Sosial ............................................................................... 36
7. Tanggung Jawab Sosial Perusahaan (Corporate Social Responsibility) ............................ 44
8. Peran Internal Audit dalam Tata Kelola ........................................................................... 49
9. Latihan ............................................................................................................................. 49
10. Rangkuman ..................................................................................................................... 50
11. Tes Formatif 1 ................................................................................................................. 50
KEGIATAN BELAJAR 2: MANAJEMEN RISIKO ................................................................ 55
1. Pendahuluan ................................................................................................................... 55
2. Risiko & Manajemen Risiko ............................................................................................ 55
3. Kerangka Kerja Manajemen Risiko ................................................................................. 62
4. Efektivitas Manajemen Risiko ........................................................................................ 88
5. Peran Audit Internal dalam Proses Manajemen Risiko .................................................. 102
6. Latihan ........................................................................................................................... 114
7. Rangkuman ................................................................................................................... 115
DAFTAR GAMBAR
Gambar Hal
1.1. Pyramid of Corporate Social Responsibility ....................................................... 46
1.2. The 3 – Domain Model of Corporate Social Responsibility ............................... 46
1.3. Contoh-contoh Perusahaan dalam Model Tiga Domain .................................. 47
2.1. Tiga Aspek Risiko .............................................................................................. 56
Tujuan & Prinsip-prinsip, Kerangka Kerja, dan Proses Manajemen Risiko
2.2. 64
Menurut ISO 31000: 2018 ..................................................................................
2.3. Kerangka Kerja Manajemen Risiko Menurut ISO 31000:2018 ............................ 65
2.4. Tujuan & Prinsip-prinsip Manajemen Risiko Menurut ISO 31000:2018 ............. 67
2.5. Proses Manajemen Risiko Menurut ISO 31000:2018 ........................................ 69
2.6. Matriks Risiko dengan Level Risiko .................................................................... 70
2.7. Matriks Risiko dengan Prioritas Risiko ............................................................... 71
2.8. Kerangka kerja Manajemen Risiko COSO ERM .................................................. 72
2.9. Peran Audit Internal dalam ERM ........................................................................ 105
3.1. Organisasi sebagai Sistem .................................................................................. 122
3.2. Fungsi Manajemen ............................................................................................ 123
3.3. Penurunan Level Risiko dengan Pengendalian ................................................. 126
3.4. Kubus Pengendalian Intern COSO ICIF .............................................................. 132
3.5. Jenis Pengendalian ........................................................................................... 142
3.6. The Control Loop .............................................................................................. 147
A. Langkah-Langkah Pembelajaran
Untuk dapat memahami isi dari modul Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
ini maka peserta diklat harus mempersiapkan dan melakukan hal-hal sebagai berikut:
1. Pahami indikator yang hendak dicapai pada setiap kegiatan belajar;
2. Baca modul baik-baik dan pelajarilah dengan teliti semua topik terkait dengan Kegiatan Belajar
yang Anda baca;
3. Cobalah kerjakan latihan yang tersedia;
4. Baca kembali rangkuman yang tersedia untuk lebih meningkatkan pemahaman;
5. Kerjakan tes formatif yang tersedia dan selanjunya pergunakan umpan balik dan tindak lanjut
yang ada untuk menilai kemampuan yang telah anda miliki;
6. Apabila nilai Anda masih kurang, pelajari kembali Kegiatan belajar yang bersangkutan sebelum
menuju ke kegiatan belajar lebih lanjut;
7. Diskusikan secara berkelompok studi kasus agar pemahaman tentang materi menjadi lebih
baik.
8. Kerjakan tes sumatif untuk mengetahui tingkat kompetensi yang telah Anda miliki secara
keseluruhan;
9. Cobalah untuk mencari dan membaca undang-undang, standar, dan panduan terkait yang
disebutkan dalam modul untuk memperkaya pemahaman Anda;
10. Selamat belajar dan semoga sukses.
B. MetodePembelajaran
Metode pembelajaran dalam pelatihan ini dilakukan dengan cara pemaparan konsep tata kelola,
manajemen risiko, dan pengendalian intern, diikuti dengan tanya jawab, diskusi kelompok/studi
kasus, dan presentasi studi kasus.
C. Waktu Pembelajaran
Waktu Pelaksanaan yang dibutuhkan selama 3 sesi atau 16 jam latihan (jamlat), dengan
pembagian waktu sebagai berikut:
Pendahuluan
……………
Prinsip-prinsip Tata Kelola Sektor
Publik
Prinsip-prinsip Tata Kelola Sektor
Korporasi …………………………………………………
Perlindungan Lingkungan dan Sosial
Tata Kelola
CSR
Pendahuluan
……………
Risiko dan Manajemen Risiko
TATA KELOLA, …………………………………………………
MANAJEMEN RISIKO, Kerangka Kerja Manajemen Risiko
DAN PENGENDALIAN Manajemen Risiko
Efektivitas Manajemen Risiko
PENDAHULUAN
Integritas bisnis dan pasar dapat dibangun bila terdapat aturan dan praktik-praktik
yang baik yang mengatur hubungan antara para manajer dengan para pemegang saham
korporasi, dan juga hubungan antara para pemegang kepentingan seperti para
karyawan dan para pemberi pinjaman. Aturan dan praktik-praktik yang baik tersebut
dikenal dengan istilah tata kelola korporasi yang baik (good corporate governance).
Perubahan, yang di antaranya berupa peningkatan kapabilitas entitas, memunculkan
ketidakpastian. Ketidakpastian mengakibatkan risiko yang berpotensi dapat
merugikan atau maupun peluang yang berpotensi memberi keuntungan. Untuk
memberikan respon terbaik atas risiko-risiko tersebut perlu dilakukan manajemen
risiko (risk management). Untuk mengurangi tingkat risiko yang dihadapi organisasi
dan untuk menjaga agar operasi organisasi dapat secara efisien dan efektif mencapai
tujuan yang telah ditetapkan, organisasi harus memiliki pengendalian intern.
1. Deskripsi Singkat
Tata kelola, manajemen risiko, dan pengendalian intern merupakan tiga serangkai yang
menentukan pencapaian tujuan organisasi. Auditor internal perlu menguasai ketiga konsep
tersebut dengan baik.
2. Prasyarat Kompetensi
Peserta yang ditunjuk mengikuti diklat ini adalah pelaksana pemantauan pengendalian intern dan
atau pegawai lainnya sesuai dengan kebutuhan unit pelaksana pemantauan. Namun demikian,
mengingat pengendalian merupakan salah satu proses manajemen dan pemantauan
pengendalian berkaitan erat dengan sistem informasi akuntansi, maka agar lebih efektif peserta
diklat ini diutamakan adalah pegawai yang memiliki latar belakang pengetahuan tentang
manajemen dan atau akuntansi.
3. Standar Kompetensi
Setelah mengikuti diklat ini, peserta diklat diharapkan mengetahui dan mampu memahami
konsep tata kelola, manajemen risiko, dan pengendalian intern.
4. Kompetensi Dasar
Kompetensi dasar yang diharapkan setelah membaca modul ini adalah peserta diklat mampu:
a. Peserta mampu menjelaskan konsep tata kelola organisasi.
b. Peserta mampu memahami dampak budaya organisasi pada keseluruhan lingkungan
pengendalian dan risiko serta pengendalian penugasan individual.
c. Peserta mampu mengidentifikasi dan menginterpretasikan etika organisasi dan masalah
terkait kepatuhan, dugaan pelanggaran, dan penyimpangan.
d. Peserta mampu menjelaskan tanggung jawab sosial perusahaan.
e. Peserta mampu menginterpretasikan konsep dasar risiko dan proses manajemen risiko.
f. Peserta mampu menjelaskan kerangka kerja manajemen risiko yang diterima secara
global yang sesuai untuk organisasi (COSO - ERM, ISO 31000, dan lain-lain).
g. Peserta mampu menguji efektivitas manajemen risiko dalam proses dan fungsi.
h. Peserta mampu memahami kesesuaian peran kegiatan audit internal dalam proses
manajemen risiko organisasi.
i. Peserta mampu menginterpretasikan konsep pengendalian intern dan jenis pengendalian.
j. Peserta mampu menerapkan kerangka kerja pengendalian intern global pada organisasi
(Seperti COSO, dll).
k. Peserta mampu menguji efektivitas dan efisiensi pengendalian intern.
5. Relevansi Modul
Bagi para peserta pendidikan dan pelatihan sertifikasi QIA tingkat Dasar, perlu dibekali dengan
pengetahuan dan pemahaman tentang tata kelola, manajemen risiko, dan pengendalian intern.
Modul ini diharapkan dapat memberikan gambaran yang utuh tentang hal- hal yang seharusnya
dimiliki, disiapkan, dan diikuti oleh unit audit internal. Sedangkan bagi para instruktur atau
fasilitator diklat, modul ini diharapkan dapat membantu penyampaian materi pembelajaran
menjadi lebih mudah dipahami dan diikuti oleh para peserta diklat.
KEGIATAN BELAJAR 1
TATA KELOLA
Indikator:
Setelah mempelajari Kegiatan Belajar 1, peserta diharapkan mampu memahami dan
menjelaskan konsep tata kelola organisasi, dampak budaya organisasi pada
keseluruhan lingkungan pengendalian dan risiko serta pengendalian penugasan
individual, mengidentifikasi dan menginterpretasikan etika organisasi dan masalah
terkait kepatuhan, dugaan pelanggaran, dan penyimpangan, tanggung jawab sosial
perusahaan.
1. Pendahuluan
Vitalitas dan stabilitas ekonomi merupakan hal yang penting. Vitalitas dan stabilitas ekonomi
tersebut dipengaruhi oleh integritas bisnis dan pasar. Integritas bisnis dan pasar dapat dibangun
bila terdapat aturan dan praktik-praktik yang baik yang mengatur hubungan antara para manajer
dengan para pemegang saham korporasi, dan juga hubungan antara para pemegang kepentingan
seperti para karyawan dan para pemberi pinjaman. Aturan dan praktik-praktik yang baik tersebut
dikenal dengan istilah tata kelola korporasi yang baik (good corporate governance). Tata kelola
korporasi yang baik berkontribusi terhadap pertumbuhan dan stabilitas keuangan melalui
dukungan kepercayaan pasar, integritas pasar keuangan, dan efisiensi ekonomi.
Bagaimana dengan sektor publik? Apa yang melatarbelakangi perlunya tata kelola sektor publik?
Hood (1991) mencatat adanya kemunculan dari manajemen publik baru (new public
management) yang dikaitkan dengan munculnya empat megatrends administratif, yaitu:
1) Turunnya pertumbuhan pemerintahan dalam keterbukaan belanja dan pemekerjaan public.
2) Perpindahan ke arah privatisasi dan kuasi privatiasasi dan menjauh dari institusi-institusi
pemerintahan inti dengan memperbarui titik tekan pada subdiaritas dalam penyediaan
layanan.
3) Pengembangan otomasi terutama dalam teknologi informasi dalam produksi dan distribusi
layanan-layanan publik.
4) Pengembangan dari sebuah agenda yang lebih internasional, yang meningkatkan fokus pada
isu-isu umum pada manajemen publik, desain kebijakan, gaya keputusan, dan kerja sama
antar pemerintahan, di atas tradisi yang lebih lama dari spesialisasi Negara secara individual
dalam administrasi publik.
Hood (1991) menyampaikan adanya tujuh komponen doktrinal manajemen publik baru, yaitu:
1) Pelaksanaan tugas manajemen secara professional di sektor publik (Hands-on
professional management in the public sector).
2) Standar-standar dan ukuran-ukuran kinerja yang eksplisit (Explicit standards and
measures of performance).
3) Titik tekan yang lebih besar pada pengendalian-pengendalian hasil (Greater emphasis on
output controls).
4) Perpindahan ke disagregasi unit-unit dalam sektor publik (Shift to disaggregation of units
in the public sector).
5) Perpindahan ke kompetisi yang lebih besar pada sektor publik (Shift to greater
competition in the public sector).
6) Penekanan pada gaya-gaya praktik manajemen sektor privat (Stress on private sector
styles of management practice).
7) Penekanan pada disiplin yang lebih besar dan penghematan dalam penggunaan sumber
daya (Stress on greater discipline and parsimony in resource use).
Munculnya manajemen publik baru merupakan paradigm baru dalam manajemen publik yang
ditandai dengan perubahan peranan pemerintah dalam masyarakat dan hubungan antara
pemerintah dan masyarakatnya. Paradigma baru ini memandang pemerintah bukanlah satu-
satunya penyedia barang dan jasa masyarakat sebagaimana yang diyakini hampir 20 abad
sebelumnya namun menempatkan pihak swasta sebagai mitra pemerintah untuk
menyediakan berbagai kebutuhan publik. Peran pemerintah dalam paradigma baru adalah
sebagai fasilitator kebutuhan masyarakat melalui subsidi, pengaturan perundang-undangan
dan pengaturan kontrak. Paradigma baru ini menuntut adanya keterbukaan pemerintah untuk
menerima prinsip dan sistem manajemen sektor korporasi ke dalam sektor publik dalam
memperbaiki kinerja organisasi. Dengan paradigma baru tersebut maka prinsip-prinsip tata
kelola sektor publik pun menjadi perhatian dalam memperbaiki kinerja organisasi sektor
publik.
2. Prinsip-prinsip Tata Kelola Sektor Publik yang Baik (Good Public Governance).
Tata kelola sektor publik dijelaskan oleh Committee of Experts on Public Administration (2006)
sebagai “the exercise of political and administrative authority at all levels to manage a country’s
affairs. It comprises the mechanisms, processes and institutions, through which citizens and
groups articulate their interests, exercise their legal rights, meet their obligations and mediate
their differences.” Jadi, tata kelola merupakan pelaksanaan dari kewenangan politis dan
administrative pada seluruh tingkatan untuk mengelola kepentingan Negara. Hal itu terdiri dari
mekanisme-mekanisme, proses-proses, dan institusi-institusi, melalui penduduk dan kelompok-
kelompok masyarakat yang mengartikulasikan kepentingan mereka, pelaksanaan hak-hak resmi
mereka, pemenuhan kewajiban-kewajiban mereka, dan mediasi perbedaan-perbedaan mereka.
Prinsip-prinsip tata kelola sektor publik dapat diacu dari prinsip-prinsip tata kelola yang baik yang
dikemukakan UNDP (United Nations Development Programme) yang meliputi:
1. Partisipasi (Participation),
2. Penegakan Hukum (Rule of Law),
3. Transparansi (Transparency),
4. Daya Tanggap (Responsiveness),
5. Orientasi pada Kesepakatan (Consensus Orientation),
6. Kesetaraan (Equity),
7. Efektivitas dan Efisiensi (Effectiveness and Efficiency),
8. Akuntabilitas (Accountability),
9. Visi Strategis (Strategic Vision).
Sembilan prinsip tersebut dikelompokkan oleh The Institute On Governance (IOG) menjadi 5
prinsip tata kelola yang baik (Graham J et. al. 2003) yaitu: Legitimacy and Voice (Legitimasi dan
Suara) yang meliputi partisipasi dan orientasi pada kesepakatan, Direction (Pengarahan) yang
meliputi visi strategis, Performance (Kinerja) yang meliputi daya tanggap serta efektivitas dan
efisiensi, Accountability (Akuntabilitas) yang meliputi akuntabilitas dan transparansi, dan Fairness
(Keadilan) yang meliputi kesetaraan dan penegakan hukum.
Partisipasi masyarakat dan organisasi non pemerintah akan meningkatkan fungsi pengendalian
terhadap pengelolaan pemerintahan dan pembangunan. Organisasi non pemerintah diyakini
memiliki hubungan yang lebih baik dengan masyarakat miskin, daerah pedalaman dan pedesaan
sehingga dapat menjadi mediator dalam menyampaikan berbagai pandangan dan kebutuhan
masyarakat.
Penegakan hukum ini akan menjamin keadilan pada masyarakat. Dengan demikian terdapat
kepastian hukum termasuk di dalamnya terdapat kepastian hukum-hukum yang menyangkut hak
asasi manusia yang dibutuhkan oleh masyarakat.
Transparansi ini menjamin adanya kebebasan dan kemudahan dalam memperoleh informasi
yang diperlukan oleh masyarakat. Informasi yang didapatkan oleh masyarakat harus dalam
bentuk informatif yang langsung dapat dimengerti tanpa harus mengolah terlebih dahulu,
bersifat mutakhir yang tidak usang, dapat diandalkan, dan mudah diperoleh.
Daya tanggap ini menjamin bahwa semua stakeholders mendapat pelayanan secara tepat, baik,
dan dalam waktu yang dibutuhkan masyarakat. Dengan demikian kebutuhan masyarakat dapat
terpenuhi sebagaimana yang diharapkan.
Orientasi pada kesepakatan ini menjamin terbangunnya konsensus atau kesepakatan terbaik bagi
seluruh kelompok masyarakat. Untuk mendapatkan kesepakatan tersebut maka perlu dijalin
komunikasi yang baik dan berkualitas dengan seluruh kelompok masyarakat.
Kesetaraan ini menjamin masyarakat mendapatkan pelayanan dan kesempatan yang sama dalam
menjalani kehidupannya. Kesetaraan ini menjamin hak yang dimiliki masyarakat termasuk hak
untuk tidak merasa diasingkan dari kehidupan masyarakat.
Efektivitas dan efisiensi ini menjamin proses-proses pemerintahan membuahkan hasil sesuai
kebutuhan warga masyarakat serta hasil tersebut didapatkan dari penggunaan sumber-sumber
daya yang optimal.
Akuntabilitas ini menjamin semua pihak mampu memberikan pertanggungjawaban atas mandat
yang diberikan kepadanya. Setiap pihak yang terpengaruh dengan keputusan atau aktivitas yang
dilakukan harus mendapatkan akuntabilitas keputusan dan aktivitas tersebut.
Visi strategis menjamin pemerintahan dibangun dengan perspektif yang luas dan jauh berjangka
panjang dan tidak terjebak pada perspektif jangka pendek. Dengan demikian diperlukan
Prinsip-prinsip tata kelola sektor publik yang baik yang dikemukakan UNDP tersebut ataupun The
Institute On Governance (IOG) telah dapat dijadikan dasar dalam melaksanakan tata kelola sektor
publik. Namun demikian prinsip-prinsip tersebut belum menjadi acuan resmi tata kelola sektor
publik di Indonesia.
Prinsip-prinsip tata kelola sektor publik yang telah menjadi acuan resmi telah dirumuskan dalam
Undang-Undang 30 Tahun 2014 tentang Administrasi Pemerintahan sebagai asas-asas umum
pemerintahan yang baik.
Asas-asas Umum Pemerintahan yang Baik yang selanjutnya disingkat AUPB adalah prinsip yang
digunakan sebagai acuan penggunaan wewenang bagi Pejabat Pemerintahan dalam
mengeluarkan Keputusan dan/atau Tindakan dalam penyelenggaraan pemerintahan.
“Asas kepastian hukum” adalah asas dalam negara hukum yang mengutamakan landasan
ketentuan peraturan perundang-undangan, kepatutan, keajegan, dan keadilan dalam setiap
kebijakan penyelenggaraan pemerintahan. Tidak boleh ada kebijakan penyelenggaraan
pemerintahan yang tidak berlandaskan ketentuan peraturan perundang-undangan.
“Asas kemanfaatan” adalah kemanfaatan harus diperhatikan secara seimbang antara: (1)
kepentingan individu yang satu dengan kepentingan individu yang lain; (2) kepentingan individu
dengan masyarakat. (3) kepentingan Warga Masyarakat dan masyarakat asing; (4) kepentingan
kelompok masyarakat yang satu dan kepentingan kelompok masyarakat yang lain; (5)
kepentingan pemerintah dengan Warga Masyarakat; (6) kepentingan generasi yang sekarang dan
kepentingan generasi mendatang; (7) kepentingan manusia dan ekosistemnya; (8) kepentingan
pria dan wanita. Tidak boleh ada kepentingan yang lebih diutamakan dari kepentingan lainnya.
“Asas ketidakberpihakan” adalah asas yang mewajibkan Badan dan/atau Pejabat Pemerintahan
dalam menetapkan dan/atau melakukan Keputusan dan/atau Tindakan dengan
mempertimbangkan kepentingan para pihak secara keseluruhan dan tidak diskriminatif. Tidak
boleh ada keberpihakan di dalamnya.
“Asas kecermatan” adalah asas yang mengandung arti bahwa suatu Keputusan dan/atau
Tindakan harus didasarkan pada informasi dan dokumen yang lengkap untuk mendukung
legalitas penetapan dan/atau pelaksanaan Keputusan dan/atau Tindakan sehingga Keputusan
dan/atau Tindakan yang bersangkutan dipersiapkan dengan cermat sebelum Keputusan dan/atau
Tindakan tersebut ditetapkan dan/atau dilakukan. Tidak boleh Keputusan dan/atau Tindakan
dilakukan secara asal-asalan.
“Asas tidak menyalahgunakan kewenangan” maksudnya adalah asas yang mewajibkan setiap
Badan dan/atau Pejabat Pemerintahan tidak menggunakan kewenangannya untuk kepentingan
pribadi atau kepentingan yang lain dan tidak sesuai dengan tujuan pemberian kewenangan
tersebut, tidak melampaui, tidak menyalahgunakan, dan/atau tidak mencampuradukkan
kewenangan. Tidak boleh ada benturan kepentingan di dalamnya.
“Asas keterbukaan” adalah asas yang melayani masyarakat untuk mendapatkan akses dan
memperoleh informasi yang benar, jujur, dan tidak diskriminatif dalam penyelenggaraan
pemerintahan dengan tetap memperhatikan perlindungan atas hak asasi pribadi, golongan, dan
rahasia negara. Tidak boleh ada usaha yang menghalangi masyarakat untuk mendapatkan akses
dan memperoleh informasi yang menjadi hak mereka.
“Asas kepentingan umum” adalah asas yang mendahulukan kesejahteraan dan kemanfaatan
umum dengan cara yang aspiratif, akomodatif, selektif, dan tidak diskriminatif. Tidak boleh
kepentingan umum dikalahkan oleh kepentingan segelintir orang.
“Asas pelayanan yang baik” adalah asas yang memberikan pelayanan yang tepat waktu, prosedur
dan biaya yang jelas, sesuai dengan standar pelayanan, dan ketentuan peraturan perundang-
undangan. Tidak boleh pelayanan diberikan tanpa jangka waktu, tanpa prosedur, dan biaya yang
jelas.
3. Prinsip-prinsip Tata Kelola Sektor Korporasi yang Baik (Good Corporate Governance).
Tata kelola sektor korporasi dijelaskan oleh IIA (The Institute of Internal Auditors) (2009) sebagai:
“The combination of processes and structures implemented by the board of directors in order to
inform, direct, manage, and monitor the activities of the organization toward achieving its
objectives.” Jadi, tata kelola merupakan kombinasi dari proses dan struktur yang diterapkan oleh
dewan direksi dalam memberikan informasi, mengarahkan, mengelola, dan memantau aktivitas-
aktivitas organisasi dalam mencapai tujuan-tujuannya. Tata kelola sektor korporasi yang baik
menurut Komite Nasional Kebijakan Governance (KNKG) adalah salah satu pilar dari sistem
ekonomi pasar yang berkaitan erat dengan kepercayaan baik terhadap perusahaan yang
melaksanakannya maupun terhadap iklim usaha di suatu Negara. Adapun menurut PER-
01/MBU/2011, Tata Kelola Perusahaan yang Baik (Good Corporate Governane) adalah prinsip-
prinsip yang mendasari suatu proses dan mekanisme perusahaan. Berlandaskan peraturan
perundang-undangan dan etika berusaha ([KemBUMN], 2011).
Prinsip-prinsip tata kelola sektor korporasi menurut OECD (Organization for Economic Cooperation
Development) dibangun di atas 6 area kunci ([OECD], 2005) meliputi:
1) Memberikan keyakinan dasar bagi suatu kerangka kerja tata kelola korporasi yang efektif
(Ensuring the basis of for an effective corporate governance framework)
2) Hak-hak para pemegang saham (The rights of shareholders)
3) Perlakuan yang setara di antara pemegang saham (The equitable treatment of shareholders)
4) Peranan para pemegang kepentingan pada tata kelola korporasi (The role of stakeholders on
corporate governance)
5) Keterbukaan dan transparansi (Disclosure and transparency)
6) Tanggung jawab Dewan Direksi (The responsibilities of the board)
Prinsip terkait area kunci pertama adalah “the corporate governance framework should promote
transparent and efficient markets, be consistent with the rule of law and clearly articulate the
division of responsibilities among different supervisory, regulatory and enforcement authorities”.
Kerangka kerja tata kelola korporasi harus mempromosikan pasar yang transparan dan efisien,
konsisten dengan penegakan hukum dan secara jelas mengartikulasikan pembagian tanggung
jawab di antara pihak-pihak berbeda yang berwenang mensupervisi, mengatur, dan melakukan
penegakan aturan.
Prinsip terkait area kunci kedua adalah “the corporate governance framework should protect and
facilitate the exercise of shareholders’ rights”. Kerangka kerja tata kelola korporasi harus
melindungi dan memfasilitasi pelaksanaan hak-hak para pemegang saham.
Prinsip terkait area kunci ketiga adalah “the corporate governance framework should ensure the
equitable treatment of all shareholders, including minority and foreign shareholders. All
shareholders should have the opportunity to obtain effective redress for violation of their rights”.
Kerangka kerja tata kelola korporasi harus memberikan keyakinan perlakuan yang setara di antara
pemegang saham, termasuk pemegang saham minoritas maupun asing. Seluruh pemegang saham
harus mendapat kesempatan untuk mendapatkan pemulihan yang efektif atas pelanggaran hak-
hak mereka.
Prinsip terkait area kunci keempat adalah “the corporate governance framework should recognize
the rights of stakeholders established by law or through mutual agreements and encourage active
cooperation between corporations and stakeholders in creating wealth, jobs, and the sustainability
of financially sound enterprises.” Kerangka kerja tata kelola korporasi harus mengakui hak-hak
para pemegang kepentingan yang timbul dari hukum atau melalui perjanjian timbal balik dan
mendorong kerja sama aktif di antara korporasi dan para pemegang kepentingan dalam
penciptaan kesejahteraan, pekerjaan, dan kelangsungan keuangan perusahaan.”
Prinsip terkait area kunci kelima adalah “the corporate governance framework should ensure that
timely and accurate disclosure is made on all material matters regarding the corporation, including
the financial situation, performance, and ownership, and governance of the company”. Kerangka
kerja tata kelola korporasi harus memberikan keyakinan bahwa keterbukaan yang tepat waktu
dan akurat disusun berdasarkan seluruh bahan yang material terkait korporasi termasuk situasi
keuangan, kinerja keuangan, kepemilikan, dan tata kelola perusahaan.”
Prinsip terkait area kunci keenam adalah “the corporate governance framework should ensure the
strategic guidance of the company, the effective monitoring of management by the board, and the
board’s accountability to the company and the shareholders.” Kerangka kerja tata kelola korporasi
harus memberi keyakinan petunjuk strategis pada perusahaan, pemantauan yang efektif oleh
Dewan Direksi atas pengelolaan perusahaan, akuntabilitas Dewan Direksi kepada perusahaan dan
para pemegang saham.”
Prinsip-prinsip tata kelola sektor korporasi yang baik di Indonesia diatur dalam Pedoman Umum
Good Corporate Governance Indonesia ([KNKG], 2006) dalam bentuk asas good corporate
governance (GCG) yaitu:
1) Transparansi (transparency).
Prinsip Dasar:
Untuk menjaga obyektivitas dalam menjalankan bisnis, perusahaan harus menyediakan
informasi yang material dan relevan dengan cara yang mudah diakses dan dipahami oleh
pemangku kepentingan. Perusahaan harus mengambil inisiatif untuk mengungkapkan
tidakhanya masalah yang disyaratkan oleh peraturan perundang-undangan, tetapi juga hal
yang penting untuk pengambilan keputusan oleh pemegang saham, kreditur, dan pemangku
kepentingan lainnya.
Pedoman pokok pelaksanaan
a. Perusahaan harus menyediakan informasi secara tepat waktu, memadai, jelas, akurat
dan dapat diperbandingkan serta mudah diakses oleh pemangku kepentingan sesuai
dengan haknya;
b. Informasi yang harus diungkapkan meliputi, tetapi tidak terbatas pada, visi, misi,
sasaran usaha dan strategi perusahaan, kondisi keuangan, susunan dan kompensasi
pengurus, pemegang saham pengendali, kepemilikan saham oleh anggota Direksi dan
anggota Dewan Komisaris beserta anggota keluarganya dalam perusahaan dan
perusahaan lainnya, sistem manajemen risiko, sistem pengawasan dan pengendalian
intern, sistem pelaksanaan GCG serta tingkat kepatuhannya, dan kejadian penting yang
dapat memengaruhi kondisi perusahaan;
c. Prinsip keterbukaan yang dianut oleh perusahaan tidak mengurangi kewajiban untuk
memenuhi ketentutan kerahasiaan perusahaan sesuai dengan peraturan perundang-
undangan, rahasia jabatan, dan hak-hak pribadi;
d. Kebijakan perusahaan harus tertulis dan secara proporsional dikomunikasikan kepada
pemangku kepentingan.
2) Akuntabilitas (accountability).
Prinsip Dasar
Perusahaan harus dapat mempertanggungjawabkan kinerjanya secara transparan dan wajar.
Untuk itu perusahaan harus dikelola secara benar, terukur dan sesuai dengan kepentingan
perusahaan dengan tetap memperhitungkan kepentingan pemegang saham dan pemangku
kepentingan lain. Akuntabilitas merupakan prasyarat yang diperlukan untuk mencapai
kinerja yang berkesinambungan.
Pedoman Pokok Pelaksanaan
a. Perusahaan harus menetapkan rincian tugas dan tanggung jawab masing-masing organ
perusahaan dan semua karyawan secara jelas dan selaras dengan visi, misi, nilai-nilai
perusahaan (corporate values), dan strategi perusahaan;
b. Perusahaan harus meyakini bahwa semua organ perusahaan dan semua karyawan
mempunyai kemampuan sesuai dengan tugas dan tanggung jawab, dan perannya
dalam pelaksanaan GCG;
c. Perusahaan harus memastikan adanya sistem pengendalian intern yang efektif dalam
pengelolaan perusahaan;
d. Perusahaan harus memiliki ukuran kinerja untuk semua jajaran perusahaan yang
konsisten dengan sasaran usaha perusahaan, serta memiliki sistem penghargaan dan
sanksi (reward and punishment system);
e. Dalam melaksanakan tugas dan tanggung jawabnya, setiap organ perusahaan dan
semua karyawan harus berpegang pada etika bisnis dan pedoman perilaku (code of
conduct) yang telah disepakati.
3) Responsibilitas (responsibility).
Prinsip Dasar
Perusahaan harus mematuhi peraturan perundang-undangan serta melaksanakan tanggung
jawab terhadap masyarakat dan lingkungan sehingga dapat terpelihara kesinambungan
usaha dalam jangka panjang dan mendapat pengakuan sebagai good corporate citizen.
Pedoman Pokok Pelaksanaan
a. Organ perusahaan harus berpegang pada prinsip kehati-hatian dan memastikan
kepatuhan terhadap peraturan perundang-undangan, anggaran dasar dan peraturan
perusahaan (by-laws);
b. Perusahaan harus melaksanakan tanggung jawab sosial dengan antara lain peduli
terhadap masyarakat dan kelestarian lingkungan terutama di sekitar perusahaan
dengan membuat perencanaan dan pelaksanaan yang memadai.
4) Independensi (independency).
Prinsip Dasar
Untuk melancarkan pelaksanaan asas GCG, perusahaan harus dikelola secara independen
sehingga masing-masing organ perusahaan tidak saling mendominasi dan tidak dapat
diintervensi oleh pihak lain.
Pedoman Pokok Pelaksanaan
a. Masing-masing organ perusahaan harus menghindari terjadinya dominasi oleh pihak
manapun, tidak terpengaruh oleh kepentingan tertentu, bebas dari benturan
kepentingan (conflict of interest) dan dari segala pengaruh atau tekanan, sehingga
pengambilan keputusan dapat dilakukan secara obyektif;
b. Masing-masing organ perusahaan harus melaksanakan fungsi dan tugasnya sesuai
dengan anggaran dasar dan peraturan perundang-undangan, tidak saling mendominasi
dan atau melempar tanggung jawab antara satu dengan yang lain.
4. Organ Utama dan Organ Pendukung Tata Kelola Sektor Korporasi yang Baik.
Organ utama tata kelola sektor korporasi yang baik adalah Rapat Umum Pemegang Saham
(RUPS), Dewan Komisaris, dan Direksi, dengan uraian sebagai berikut:
1) Rapat Umum Pemegang Saham
Prinsip Dasar
RUPS sebagai organ perusahaan merupakan wadah para pemegang saham untuk mengambil
keputusan penting yang berkaitan dengan modal yang ditanam dalam perusahaan, dengan
meperhatikan ketentuan anggaran dasar dan peraturan perundang-undangan. Keputusan
yang diambil dalam RUPS harus didasarkan pada kepentingan usaha perusahaan dalam
jangka panjang. RUPS dan atau pemegang saham tidak dapat melakukan intervensi terhadap
tugas, fungsi, dan wewenang Dewan Komisaris dan Direksi dengan tidak mengurangi
wewenang RUPS untuk menjalankan haknya sesuai dengan anggaran dasar dan peraturan
perundang-undangan, termasuk untuk melakukan penggantian atau pemberhentian
anggota Dewan Komisaris dan atau Direksi.
Pedoman Pokok Pelaksanaan
a. Pengambilan keputusan RUPS harus dilakukan secara wajar dan transparan dengan
memperhatikan hal-hal yang diperlukan untuk menjaga kepentingan usaha perusahaan
dalam jangka panjang, termasuk tetapi tidak terbatas pada:
(1) Anggota Dewan Komisaris dan Direksi yang diangkat dalam RUPS harus terdiri dari
orang-orang yang patut dan layak (fit and proper) bagi perusahaan. Bagi perusahaan
yang memiliki Komite Nominasi dan Remunerasi, dalam pengangkatan anggota
Dewan Komisaris dan Direksi harus mempertimbangkan pendapat komite tersebut
yang disampaikan oleh Dewan Komisaris kepada mereka yang mempunyai hak untuk
mengajukan calon kepada RUPS;
(2) Dalam mengambil keputusan menerima atau menolak laporan Dewan Komisaris dan
Direksi, perlu dipertimbangkan kualitas laporan yang berhubungan dengan GCG;
(3) Bagi perusahaan yang memiliki Komite Audit, dalam menetapkan auditor eksternal
harus mempertimbangakan pendapat komite tersebut yang disampaikan kepada
Dewan Komisaris;
(4) Dalam hal anggaran dasar dan atau peraturan perundang-undangan mengharuskan
adanya keputusan RUPS tentang hal-hal yang berkaitan dengan usaha perusahaan,
keputusan yang diambil harus memerhatikan kepentingan wajar para pemangku
kepentingan;
(5) Dalam mengambil keputusan pemberian bonus, tantiem, dan dividen harus
memerhatikan kondisi kesehatan keuangan perusahaan.
c. Penyelenggaraan RUPS merupakan tanggung jawab untuk itu, Direksi harus mempersiapkan
dan menyelenggarakan RUPS dengan baik. Dalam hal Direksi berhalangan, maka
penyelenggaraan RUPS dilakukan oleh Dewan Komisaris atau pemegang saham sesuai
peraturan perundang-undangan dan anggaran dasar perusahaan.
3) Dewan Komisaris.
Prinsip Dasar
Dewan Komisaris sebagai organ perusahaan bertugas dan bertanggung jawab secara
kolektif untuk melakukan pengawasan dan memberikan nasihat kepada Direksi serta
memastikan bahwa Perusahaan melaksanakan GCG. Namun demikian, Dewan Komisaris
tidak boleh turut serta dalam mengambil keputusan operasional. Kedudukan masing-
masing anggota Dewan Komisaris termasuk Komisaris Utama adalah setara. Tugas
Komisaris Utama sebagai primus inter pores adalah mengoordinasikan kegiatan Dewan
Komisaris. Agar pelaksanaan tugas Dewan Komisaris dapat berjalan secara efektif, perlu
dipenuhi prinsip-prinsip berikut:
a. Komposisi Dewan Komisaris harus memungkinkan pengambilan keputusan secara
efektif, tepat, dan cepat, serta dapat bertindak independen;
b. Anggota Dewan Komisaris harus professional, yaitu berintegritas dan memiliki
kemampuan sehingga dapat menjalankan fungsinya dengan baik termasuk
4) Direksi.
Prinsip Dasar
Direksi sebagai organ perusahaan bertugas dan bertanggungjawab secara kolegial dalam
mengelola perusahaan. Masing-masing anggota Direksi dapat melaksanakan tugas dan
mengambil keputusan sesuai dengan pembagian tugas dan wewenangnya. Namun,
pelaksanaan tugas oleh masing-masing anggota Direksi tetap merupakan tanggung jawab
bersama. Kedudukan masing-masing anggota Direksi termasuk Direktur Utama adalah
setara. Tugas Direktur Utama sebagai primus inter pares adalah mengoordinasikan kegiatan
Direksi. Agar pelaksanaan tugas Direksi dapat berjalan secara efektif, perlu dipenuhi prinsip-
prinsip berikut:
a. Komposisi Direksi harus sedemikian rupa sehingga memungkinkan pengambilan
keputusan secara efektif, tepat dan cepat, serta dapat bertindak independen.
b. Direksi harus profesional yaitu berintegritas dan memiliki pengalaman serta
kecakapan yang diperlukan untuk menjalankan tugasnya.
c. Direksi bertanggung jawab terhadap pengelolaan perusahaan agar dapat
menghasilkan keuntungan (profitability) dan memastikan kesinambungan usaha
perusahaan.
c. Fungsi Direksi
Fungsi pengelolaan perusahaan oleh Direksi mencakup 5 (lima) tugas utama yaitu
kepengurusan, manajemen risiko, pengendalian intern, komunikasi, dan tanggung
jawab sosial.
(1) Kepengurusan
a) Direksi harus menyusun visi, misi, dan nilai-nilai serta program jangka
panjang dan jangka pendek perusahaan untuk dibicarakan dan disetujui oleh
Dewan Komisaris atau RUPS sesuai dengan ketentuan anggaran dasar;
b) Direksi harus dapat mengendalikan sumberdaya yang dimiliki oleh
perusahaan secara efektif dan efisien;
c) Direksi harus memperhatikan kepentingan yang wajar dari pemangku
kepentingan;
d) Direksi dapat memberikan kuasa kepada komite yang dibentuk untuk
mendukung pelaksanaan tugasnya atau kepada karyawan perusahaan untuk
melaksanakan tugas tertentu, namun tanggung jawab tetap berada pada
Direksi;
e) Direksi harus memiliki tata tertib dan pedoman kerja (charter) sehingga
pelaksanaan tugasnya dapat terarah dan efektif serta dapat digunakan
sebagai salah satu alat penilaian kinerja.
(4) Komunikasi
a) Direksi harus memastikan kelancaran komunikasi antara perusahaan
dengan pemangku kepentingan dengan memberdayakan fungsi Sekretaris
Perusahaan;
b) Perusahaan yang sahamnya tercatat di bursa efek, perusahaan negara,
perusahaan daerah, perusahaan yang menghimpun dan mengelola dana
masyarakat, perusahaan yang produk atau jasanya digunakan oleh
masyarakat luas, serta perusahaan yang mempunyai pengaruh terhadap
kelestarian lingkungan, harus memiliki Sekretaris Perusahaan yang
fungsinya dapat mencakup pula hubungan dengan investor (investor
relations);
Organ pendukung tata kelola sektor korporasi yang baik adalah Satuan kerja pengawasan
internal, Sekretaris Perusahaan, dan Komite-komite penunjang Dewan Komisaris.
b. Satuan kerja atau pemegang fungsi pengawasan internal bertanggung jawab kepada
Direktur Utama atau Direktur yang membawahi tugas pengawasan internal. Satuan
kerja pengawasan internal mempunyai hubungan fungsional dengan Dewan
Komisaris melalui Komite Audit.
2) Sekretaris Perusahaan
a. Fungsi Sekretaris Perusahaan adalah: (i) memastikan kelancaran komunikasi antara
perusahaan dengan pemangku kepentingan; dan (ii) menjamin tersedianya informasi
yang boleh diakses oleh pemangku kepentingan sesuai dengan kebutuhan wajar dari
pemangku kepentingan;
b. Dalam hal perusahaan tidak memiliki satuan kerja kepatuhan (compliance) tersendiri,
fungsi untuk menjamin kepatuhan terhadap peraturan perundang- undangan
dilakukan oleh Sekretaris Perusahaan;
Sebagai contoh, praktik GCG di PT. Pertamina dimulai dengan disusunnya GCG Manual berupa
Pedoman Tata Kelola Perusahaan (Code of Corporate governance). Pada Pedoman Tata Kelola
Perusahaan (Pertamina, 2017) diatur hal-hal sebagai berikut:
1) Visi, Misi, dan Tata Nilai Perusahaan
Visi:
Menjadi Perusahaan Energi Nasional Kelas Dunia
Misi:
Menjalankan usaha minyak, gas, dan energy baru dan terbarukan secara terintegrasi
berdasarkan prinsip-prinsip komersial yang kuat.
2) Struktur GCG
Organ perusahaan:
a. RUPS: RUPS Tahunan dan RUPS Luar Biasa
b. Dewan Komisaris: Sekurang-kurangnya 1 (satu) orang dan bila lebih dari 1 maka
sekurang-kurangnya 20% nya adalah komisaris independen.
c. Direksi: Jumlahnya sesuai kebutuhan.
d. Organ pendukung Dewan Komisaris:
i. Sekretariat Dewan Komisaris
ii. Komite-komite Dewan Komisaris: Komite Audit, Komite Pemantau
Manajemen Resiko dan Komite Nominasi dan Remunerasi serta komite
lainnya
e. Sekretaris Perusahaan dan Satuan Pengawas Intern
3) Advokasi perlindungan lingkungan dan konservasi sumber daya alam serta perlindungan
sosial dan budaya pada proyek korporasi
Dalam konteks proyek-proyek korporasi maka dilakukan penilaian lingkungan dan sosial dalam
rangka perlindungan lingkungan dan sosial.
Contoh checklist penilaian lingkungan adalah sebagai berikut:
1) Perizinan Proyek
a. AMDAL/UKL–UPL/SPPL (Analisis Mengenai Dampak Lingkungan/Upaya Kelola
Lingkungan-Upaya Pemantauan Lingkungan/Surat pernyataan kesanggupan
Pengelolaan dan Pemantauan Lingkungan Hidup)
b. Izin Lokasi
c. Izin Pembuangan Limbah B3
d. Izin Penyimpangan Bahan B3
e. Izin Pemanfaatan Air Tanah
f. Izin Lainnya
2) Penanganan Dampak Lingkungan
a. Hutan Lindung
b. Area Resapan Air
c. Pantai
d. Sungai
e. Danau
f. Habitat Alam
g. Cagar Alam
h. Hutan Bakau
i. Taman Nasional
j. Hutan Rakyat
k. Area Perlindungan Plasma Nutfah
l. Batu Karang
m. Lainnya
c. Apakah suplai air baku memiliki sumber polusi pada hulunya seperti industri,
pertanian, air limbah domestik, dan erosi tanah? Apakah sudah dilakukan langkah-
langkah antisipasi?
d. Apakah proyek menyebabkan bahaya penurunan tanah akibat pemompaan air
tanah secara berlebihan?
3) Pengolahan Air
a. Apakah air olahan memenuhi standar nasional?
b. Apakah sudah dilakukan langkah-langkah yang sesuai untuk mengurangi timbulan
residu limbah padat dari proses pengolahan air?
c. Apakah efluen dari proses pengolahan air seperti filter backwash, reject streams
dari proses filtrasi membran, dan brine streams dari ion exchange atau proses
demineralisasi memenuhi standar nasional?
d. Apakah sudah dilakukan langkah-langkah untuk mencegah dan mengendalikan
bahaya selama penyimpanan dan penggunaan bahan kimia berbahaya?
e. Apakah terdapat emisi cerobong dari proses pengolahan air? Apakah sudah
dilakukan langkah-langkah penanganan terhadap dampak tersebut?
f. Apakah fasilitas pengolahan air berlokasi dalam area yang dilindungi? Apakah
kegiatan proyek menyebabkan kerusakan?
g. Apakah fasilitas pengolahan air berlokasi di dalam area padat penduduk atau pada
area dengan kegiatan pembangunan yang tinggi?
4) Distribusi Air
a. Apakah sudah dibuat desain sistem distribusi termasuk pengecekan dan langkah-
langkah untuk meminimalisasi kebocoran dan kehilangan tekanan?
b. Apakah air pembuangan telah memenuhi ketentuan nasional?
5) Fasilitas Pendukung
a. Apakah fasilitas suplai air didukung oleh jaringan air yang cukup?
b. Apakah potensi gangguan terkait jalur transmisi dan jalan akses sudah dikelola
dengan baik?
c. Apakah kenaikan suplai air didukung oleh jaringan dan fasilitas pengolahan air
limbah domestik yang cukup?
6) Keselamatan dan kesehatan kerja
Apakah sudah dilakukan langkah-langkah yang sesuai untuk mencegah, meminimalisasi,
dan penanganan terhadap bahaya keselamatan dan kesehatan kerja pada proyek?
c. Apakah abu dan residu lain yang dibuang sesuai dengan ketentuan nasional?
9) Akses Jalan
Ekologi
a. Apakah proyek dekat dengan atau melintasi Kawasan Hutan Lindung?
b. Apakah proyek atau kegiatannya menyebabkan gangguan terhadap habitat di
darat dan perairan? Bila ya, apakah dampak tersebut menyebabkan
i. Fragmentasi habitat hutan;
ii. Kehilangan lokasi sarang spesies yang langka, terancam, atau dalam
keadaan bahaya dan/atau keanekaragaman hayati yang tinggi/habitat
yang sensitif; gangguan terhadap anak sungai;
iii. Menciptakan barrier terhadap pergerakan habitat liar;
iv. Gangguan visual dan audio sehubungan dengan adanya mesin, pekerjaan
konstruksi, dan peralatan terkait
c. Apakah pada proyek dilakukan pemeliharaan rutin vegetasi dan penanaman
kembali yang menyebabkan kemungkinan munculnya spesies baru?
Hidrologi
Apakah perubahan topografi dan instalasi komponen proyek seperti terowongan
berdampak negatif terhadap aliran air permukaan dan air tanah?
Topografi dan Geologi
Apakah pada proyek terdapat kegiatan yang mungkin menyebabkan kegagalan
lereng dan tanah longsor?
Banjir
Apakah proyek atau kegiatannya menyebabkan peningkatan debit air limpasan
pada permukaan tanah?
Limbah
Apakah proyek atau kegiatannya menyebabkan timbulan jenis limbah berikut
1. Limbah padat yang mungkin timbul selama konstruksi dan pemeliharaan
2. Limbah vegetasi
3. Sedimen dan lumpur dari pemeliharaan sistem drainase banjir
4. Limbah yang ditimbulkan dari pemeliharaan jalan dan jembatan
Kualitas Udara
Apakah proyek akan menyebabkan peningkatan polusi udara lokal sehubungan
dengan pekerjaan penghancuran batu, cut & fill, dan uap kimia dari pemrosesan
aspal?
Kualitas Air
a. Apakah air limpasan dari area cut & fill menyebabkan degradasi kualitas air pada
badan air hilir?
b. Apakah air limpasan dari jalan mengkontaminasi sumber air dan/atau air tanah di
sekitar area proyek?
Kesehatan Masyarakat
a. Apakah proyek menyebabkan terbentuknya perkembangbiakan habitat temporer
bagi nyamuk sebagai vektor penyakit?
b. Apakah terdapat risiko kecelakaan terkait lalulintas kendaraan, yang menyebabkan
kehilangan nyawa (masyarakat sekitar proyek)?
Keselamatan dan Kesehatan Kerja
a. Apakah sudah dilakukan langkah-langkah untuk mencegah bahaya fisik selama
mengoperasikan mesin, memindahkan kendaraan, serta bekerja di elevasi
jembatan dan jembatan penyeberangan?
b. Apakah sudah dilakukan langkah-langkah yang cukup untuk mencegah bahaya
kimia dari kegiatan konstruksi dan pemasangan ubin, emisi cerobong dari alat
berat dan kendaraan bermotor selama kegiatan konstruksi dan pemeliharaan?
c. Apakah sudah dilakukan langkah-langkah untuk mencegah paparan terhadap
tingkat kebisingan yang tinggi dari operasional alat berat dan dari bekerja dekat
dengan lalu-lintas kendaraan?
10) Kondisi Ambien
Kualitas Udara Ambien
a. Apakah emisi dari proyek dan kegiatan pendukungnya (transportasi alat berat,
bongkar muat, dll) mempengaruhi kualitas udara ambien secara negatif? Apakah
telah dilakukan langkah-langkah penanganan terhadap dampak tersebut?
b. Apakah terdapat industri lain yang berkontribusi terhadap polusi udara di sekitar
area proyek? Apakah proyek akan menambah beban polusi udara di area tersebut?
c. Apakah kualitas udara ambien proyek memenuhi standar nasional?
Kebisingan dan Getaran
a. Apakah buffer di sekitar area proyek (pompa, lokasi pengolahan air bersih dan air
limbah, pembangkit listrik, serta sistem dan peralatan lainnya) cukup dipelihara
untuk mengurangi kebisingan dan getaran?
b. Apakah telah dilakukan langkah-langkah penanganan terhadap kebisingan dan
getaran dari kegiatan mobilisasi kendaraan dan alat berat?
c. Apakah terdapat industri lain yang berkontribusi terhadap kebisingan dan getaran
di sekitar area proyek?
d. Apakah tingkat kebisingan dan getaran memenuhi standar nasional?
11) Sistem Manajemen Keselamatan dan Kesehatan Kerja (SMK3)
Sistem Manajemen
a. Apakah proyek sudah menerapkan SMK3?
b. Apakah sudah dilakukan Audit/Evaluasi SMK3 secara periodik?
Personil
Apakah proyek sudah mempekerjakan personil yang kompeten dalam bidang
SMK3 dan K3 yang terkait bidang proyek?
Jam Kerja Orang
Apakah proyek mencatat jam kerja orang? bila iya berapa jumlah saat ini, bila tidak,
mengapa tidak mencatat?
Kesiapsiagaan dan Tanggap Darurat
Apakah proyek sudah memiliki rencana kesiapsiagaan dan tanggap darurat untuk
menghadapi kondisi darurat?
12) Pemantauan dan Pelaporan
AMDAL / UKL-UPL / SPPL
Apakah telah dilakukan pengelolaan dan pemantauan lingkungan secara periodik
sesuai ketentuan dokumen AMDAL/UKLUPL/SPPL yang telah disahkan? Apakah
telah dilakukan pelaporan kepada instansi pemerintah yang berwenang?
CSR merupakan bagian dari pengembangan etika bisnis, yang merupakan satu dari bentuk
etika yang diaplikasikan sebagai perwujudan prinsip dan moral etis yang timbul dalam
lingkungan bisnis. Menurut Holme dan Watts (2000), bisnis tidak dapat dipisahkan dari
masyarakat karena bisnis dan masyarakat saling memengaruhi (interdependent). Holme dan
Watts meyakini, dengan pemahaman timbal balik dan perilaku yang bertanggung jawab,
peran bisnis dalam membangun masa depan yang lebih baik diakui dan didukung.
Menurut Kotler dan Lee, terdapat 5 C dalam kaitannya dengan CSR, yaitu: conviction
(keyakinan), commitment (komitmen), communicating (komunikasi), consistency
(konsistensi), dan credibility (kredibilitas).
Terdapat beberapa isu kunci CSR (Holme dan Watts, 2000) yaitu:
1. nilai-nilai dan tata kelola (values and governance);
2. peraturan dan pengendalian (regulations and controls);
3. operasi-operasi bisnis (business operations) ;
4. akuntabilitas dan keterbukaan (accountability and disclosure) ;
5. hak-hak asasi manusia (human rights) ;
6. hak-hak pegawai (employee rights) ;
7. konteks bisnis (business context) ;
8. dampak produk (product impact) ;
9. dampak sosial (social impact) ;
10. dampak terhadap makhluk lain (impact on other species) ; dan
11. dampak terhadap lingkungan (impact on environment).
Adapun para pemegang kepentingan dalam kaitan dengan isu-isu kunci CSR tersebut adalah
pemilik perusahaan, para pemegang saham, para investor, para pegawai, para pelanggan,
para mitra bisnis, para pemasok, para pesaing, para regulator pemerintah, organisasi non
pemerintah, kelompok-kelompok penekan, para tokoh yang berpengaruh, dan komunitas-
komunitas terkait. Indikator-indikator CSR dapat ditentukan berdasarkan isu-isu kunci CSR
dalam hubungannya dengan para pemegang kepentingan.
Carroll (1991) mengemukakan mengenai piramida CSR sebagaimana Gambar 1.1 Pyramid of
Corporate Social Responsibility berikut di mana terdapat 4 domain yaitu: economic, legal,
ethical, dan tertinggi adalah philanthropic.
Namun domain philanthropic ini sering sulit dibedakan dengan ethical dan pada tataran
teoritis “the ethical principle of utilitarianism” sering dapat digunakan untuk menjustifikasi
berbagai kegiatan filantropis. Oleh karena itu, terdapat modifikasi model empat domain
menjadi model tiga domain dengan menghilangkan domain philanthropic.
Menurut model tiga domain terdapat tiga domain yaitu Economic, Ethical, dan Legal, yang
kemudian terbagi menjadi purely economic, purely legal, purely ethical, economic/ethical,
economic/legal, legal/ethical, dan economic/legal/ethical, sebagaimana terlihat pada gambar
di bawah.
CSR di Indonesia didasarkan atas Pasal 1 ayat 3 dan Pasal 74 Undang-undang Nomor 40 tahun 2007
tentang Perseroan Terbatas dan Peraturan Pemerintah No. 47 Tahun 2012 tentang Tanggung Jawab
Sosial dan Lingkungan Perseroan Terbatas. Adapun terkait BUMN, terdapat PER-09/MBU/07/2015
tentang Program Kemitraan dan Program Bina Lingkungan Badan Usaha Milik Negara.
Contoh-contoh CSR di lingkungan korporasi dan BUMN di Indonesia:
1) Danone melakukan program CSR disebut WASH (water access, sanitation, hygiene program) yang
memiliki tujuan untuk meningkatkan kesejahteraan lingkungan masyarakat pra-sejahtera dan
berkontribusi secara aktif serta berkelanjutan untuk memberikan solusi atas permasalahan yang
berhubungan dengan penyediaan air bersih di Indonesia.
2) Pertamina berkomitmen dalam program CSR-nya dengan membantu pemerintah indonesia
dalam memerbaiki indeks pembangunan manusia (IPM) di Indonesia melalui pelaksanaan
program-program yang membantu tercapainya target pembangunan, dan membangun
hubungan harmonis serta kondusif dengan semua pihak stakeholder (pemangku kepentingan)
untuk mendukung tercapainya tujuan perusahaan terutama dalam membangun reputasi
perusahaan.
3) PT Thiess Indonesia melakukan CSR dalam bentuk community development dengan melakukan
pengembangan SDM sehingga berkontribusi pada penyediaan lapangan kerja. CSR PT Thiess
Indonesia mampu menyediakan lapangan kerja untuk pekerja lokal sebesar 30% dari 7000
pekerja PT. Thiess Indonesia.
4) PT. Sinde Budi Sentosa (Larutan Cap Badak) melakukan program CSR dengan cara melestarikan
habitat Badak Jawa di Taman Nasional Ujung Kulon. Program ini atas kerjasama antara Sinde dan
WWF Indonesia, dimana sinde mendonasikan dana dari hasil penjualan produknya untuk
program pelestarian Badak Jawa.
5) CSR PT. Adhikarya dilaksanakan dalam bentuk beasiswa (bekerja sama dengan Sampoerna
Foundation) untuk siswa kurang mampu yang berprestasi untuk belajar sebuah akademi,
mengurangi angka kematian anak dan meningkatkan kesehatan ibu hamil melalui penyediaan
ruang menyusui bagi karyawati perusahaan (sebagai dukungan program Millenium Development
Goals (MDGs), dan memberikan bantuan kepada masyarakat dan lingkungan antara lain berupa
pemeliharaan tanaman penghijauan kawasan Banjir Kanal Timur (BKT) serta bantuan-bantuan
sosial lainnya seperti bantuan masyarakat dan lingkungan, pendidikan dan pelatihan,
peningkatan kesehatan, pembangunan sarana ibadah serta bantuan prasarana dan sarana
umum.
6) PT. Pamapersada Nusantara yang merupakan salah satu kontraktor pertambangan batubara yang
berada di wilayah Kabupaten Kutai Timur melakukan CSR dalam bentuk:
a. Economic Development meliputi program pertanian, perkebunan, peternakan, perikanan,
koperasi, home industri dan lain-lain;
b. Health and Nutrition meliputi program penyuluhan, pengobatan dan perawatan kesehatan,
fooging, dan lain-lain;
c. Environment Management meliputi program penghijauan sekitar proyek, reklamasi dan
lain-lain;
d. Education, Skill Up and Training Meliputi program peningkatan kompetensi guru,
pendidikan, training, magang, beasisiwa, bantuan sarana pendidikan dan lain-lain; dan
e. Social, Culture, Religion and Infrastructure meliputi kegiatan sosial budaya dan religius
bersama masyarakat, khitanan massal, melestarikan budaya daerah, pembangunan dan
perbaikan infrastruktur, silaturahmi dengan tokoh masyarakat, tokoh agama, tokoh adat dan
lain-lain.
9. Latihan.
Soal terdiri dari 10 soal dengan jawaban singkat.
1) Dapat membangun apakah aturan dan praktik-praktik yang baik yang mengatur
hubungan antara para manajer dengan para pemegang saham korporasi, dan juga
hubungan antara para pemegang kepentingan?
2) Apa yang melatarbelakangi perlunya tata kelola sektor publik?
3) Merupakan definisi dari apa kombinasi dari proses dan struktur yang diterapkan oleh
dewan direksi dalam memberikan informasi, mengarahkan, mengelola, dan memantau
aktivitas-aktivitas organisasi dalam mencapai tujuan-tujuannya?
4) Dibangun atas berapa area kunci, prinsip-prinsip tata kelola sektor korporasi menurut
OECD (2005)
5) Berapa prinsip tata kelola sektor publik berdasarkan prinsip-prinsip tata kelola yang baik
yang dikemukakan UNDP?
6) Ada berapa asas dalam AUPB sebagaimana diatur dalam pasal 10 UU 30/2014?
7) Disebut sebagai asas yang mewajibkan Badan dan/atau Pejabat Pemerintahan dalam
menetapkan dan/atau melakukan Keputusan dan/atau Tindakan dengan
memertimbangkan kepentingan para pihak secara keseluruhan dan tidak diskriminatif?
8) Berapakah elemen sistem perlindungan lingkungan dan sosial menurut IFC (2014) ?
9) Sebutkan tiga pilar yang fundamental dan tak terpisahkan yang menjadi dasar
pembangunan berkelanjutan!
10) Definisi dari apakah “komitmen terus menerus oleh suatu bisnis untuk bersikap etis dan
memberikan kontribusi pembangunan ekonomi sementara meningkatkan kualitas hidup
tenaga kerja dan keluarga mereka sebagaimana komunitas local dan sosial yang lebih
luas?”
10. Rangkuman.
Aturan dan praktik-praktik yang baik dikenal dengan istilah tata kelola korporasi yang baik (good
corporate governance/GCG). Tata kelola korporasi yang baik berkontribusi terhadap
pertumbuhan dan stabilitas keuangan melalui dukungan kepercayaan pasar, integritas pasar
keuangan, dan efisiensi ekonomi. Selain tata kelola korporasi, tata kelola sektor publik pun
menjadi perhatian dalam memerbaiki kinerja organisasi sektor publik.
Beberapa hal yang perlu dipahami dalam terkait tata kelola adalah prinsip-prinsip tata kelola
sektor publik yang baik, prinsip-prinsip tata kelola sektor korporasi yang baik, organ utama dan
organ pendukung tata kelola sektor korporasi yang baik, praktik GCG di dan badan usaha milik
negara (BUMN), perlindungan lingkungan dan social, corporate social responsibility, dan peran
audit internal pada tata kelola.
2) Salah satu dari 5 prinsip tata kelola yang baik The Institute On Governance (IOG)
adalah:
a. Partisipasi
b. Kinerja
c. Demokrasi
d. Toleransi
3) Salah satu dari Prinsip-prinsip tata kelola sektor korporasi yang baik di Indonesia
diatur dalam Pedoman Umum Good Corporate governance Indonesia ([KNKG], 2006)
dalam bentuk asas good corporate governance (GCG) adalah:
a. Partisipasi
b. Demokrasi
c. Toleransi
d. Independensi
6) Salah satu dari 6 area kunci yang menjadi dasar dibangunnya prinsip-prinsip tata
kelola korporasi menurut OECD adalah:
a. Keterbukaan dan transparansi
b. Kinerja
c. Partisipasi
d. Semua jawaban benar
8) Salah satu prasyarat yang diperlukan untuk mencapai kinerja yang berkesinambungan
adalah
a. realitas
b. modalitas
c. akuntabilitas
d. reliabilitas
9) Perusahaan harus memastikan adanya sistem pengendalian intern yang efektif dalam
pengelolaan perusahaan merupakan pedoman pokok pelaksanaan dari prinsip
a. independency
b. responsibilitas
c. fairness
d. akuntabilitas
2) Mantan anggota Direksi dan Dewan Komisaris yang terafiliasi serta karyawan
perusahaan, untuk jangka waktu tertentu termasuk dalam kategori terafiliasi.
a. Benar
b. Salah
5) Dewan Komisaris dapat mengenakan sanksi kepada anggota Direksi dalam bentuk
pemberhentian tetap, dengan ketentuan harus segera ditindaklanjuti dengan
penyelenggaraan RUPS.
a. Benar
b. Salah
6) Laporan pengawasan Dewan Komisaris merupakan bagian dari laporan tahunan yang
disampaikan kepada RUPS untuk memperoleh persetujuan.
a. Benar
b. Salah
8) Direksi harus menyusun dan melaksanakan sistem manajemen risiko perusahaan yang
mencakup seluruh aspek kegiatan perusahaan.
a. Benar
b. Salah
9) Laporan tahunan harus memperoleh persetujuan RUPS, dan khusus untuk laporan
keuangan harus memperoleh pengesahan RUPS.
a. Benar
b. Salah
10) Satuan kerja pengawasan internal mempunyai hubungan fungsional dengan Dewan
Komisaris secara langsung.
a. Benar
b. Salah
Tingkat penguasaan materi pelajaran anda dinyatakan berhasil dengan baik, apabila hasil
penilaian mencapai tingkat penguasaan materi 80% ke atas. Namun apabila ternyata masih
dibawah 80%, anda terpaksa harus mengulang mempelajarinya kembali materi yang
terkandung dalam modul ini.
KEGIATAN BELAJAR 2
MANAJEMEN RISIKO
Indikator:
Setelah mempelajari Kegiatan Belajar 2 peserta diharapkan mampu memahami dan
menjelaskan risiko dan manajemen risiko, kerangka kerja manajemen risiko,
efektivitas manajemen risiko, dan peran audit internal dalam proses manajemen
risiko.
1. Pendahuluan .
Seiring berjalannya waktu, dunia mengalami perubahan. Semua yang ada di dunia ini berubah
kecuali satu yaitu perubahan itu sendiri. Perubahan lingkungan baik internal maupun ekstenal
organisasi merupakan suatu keniscayaan yang akan terjadi pada sektor publik maupun sektor
korporasi. Perubahan itu dapat mempengaruhi pencapaian tujuan dalam menciptakan nilai bagi
para stakeholder suatu entitas.
Perubahan, yang di antaranya berupa peningkatan kapabilitas entitas, memunculkan
ketidakpastian. Ketidakpastian mengakibatkan risiko yang berpotensi dapat merugikan maupun
peluang yang berpotensi memberi keuntungan.
Untuk memberikan respon terbaik atas risiko-risiko tersebut perlu dilakukan manajemen risiko
(risk management). Oleh karena itu, manajemen risiko menjadi kebutuhan strategis yang
menentukan perbaikan kinerja organisasi dalam mencapai tujuannya. Dengan manajemen risiko
maka organisasi dapat mengoptimalkan penggunaan sumber daya yang terbatas dan
mengalokasikannya berdasarkan prioritas risiko.
Risiko adalah pengaruh dari ketidakpastian terhadap tujuan. Risiko sering dinyatakan dalam
bentuk kombinasi dampak dan kemungkinan terjadinya suatu peristiwa atau perubahan
situasi/lingkungan terhadap tujuan (ISO 31000 Principles and Guidelines). Jadi risiko dapat
diidentifikasi dari 3 aspeknya yaitu :
1) Risiko adalah kejadian/peristiwa (event).
2) Risiko memiliki kemungkinan untuk terjadi (probability).
3) Risiko berpengaruh terhadap pencapaian tujuan (effect on objectives).
Contoh risiko adalah kemungkinan terjadinya mogok kerja. Konflik antara pihak manajemen
dengan para buruh akan meningkatkan risiko mogok kerja. Mogok kerja adalah suatu peristiwa.
Konflik dapat menyebabkan kemungkinan terjadinya mogok kerja. Jika mogok kerja terjadi maka
proses produksi bisa terhenti dan tujuan perusahaan tidak tercapai, ini yang disebut sebagai
dampak terhadap tujuan.
Contoh lain adalah kemungkinan naiknya kurs valuta asing. Naiknya kurs valuta asing adalah
peristiwa. Kenaikan nilai kurs valuta asing adalah peristiwa yang memiliki kemungkinan terjadi di
masa mendatang. Kenaikan kurs valuta asing berdampak pada tujuan memperoleh laba karena
meningkatkan biaya modal (cost of capital) perusahaan yang memiliki pinjaman dalam bentuk
valuta asing.
Contoh yang lain, risiko kenaikan tarif oleh Negara pengimpor terhadap suatu komoditas akan
mengakibatkan hilangnya peluang perusahaan melakukan ekspor ke Negara pengimpor dan akan
mengurangi pendapatan perusahaan tersebut. Kenaikan tarif adalah peristiwa.
Secara umum, perlakuan terhadap suatu risiko dapat berupa salah satu dari empat perlakuan
berikut ini 3:
1) Menghindari Risiko (Risk Avoidance), berarti tidak melakukan kegiatan yang menimbulkan
risiko, misalnya melarang karyawan merokok di lingkungan pabrik untuk menghindari risiko
kebakaran.
2) Memindahkan/membagi risiko (Risk sharing/transfer), berarti memperkecil tingkat risiko
dengan memindahkan atau membagi risiko dengan pihak lain. Contoh
memindahkan/membagi risiko adalah mengasuransikan pengiriman produk agar kerugian
yang terjadi akibat kecelakaan transportasi dapat diganti oleh pihak asuransi. Contoh lain
adalah melakukan sub-contracting terhadap pembelian bahan baku oleh perusahaan
konstruksi sehingga risiko kekurangan atau keterlambatan ketersediaan bahan baku
dialihkan ke pihak sub-kontraktor.
3) Mitigasi risiko, yaitu mengurangi tingkat risiko dengan menurunkan kemungkinan
terjadinya dan memperkecil dampak risiko jika risiko terjadi. Mitigasi risiko adalah fokus
dari pengendalian intern, dimana pihak manajemen melakukan penanganan langsung
terhadap risiko. Sebagai contoh, terhadap risiko kredit macet, perusahaan memitigasi risiko
dengan menetapkan persyaratan pemberian kredit dan mengevaluasi permohonan kredit
untuk menurunkan kemungkinan terjadinya kredit macet.
4) Menerima risiko (risk acceptance), yaitu tidak melakukan perlakuan apa pun terhadap risiko.
Risiko yang diterima adalah risiko yang kemungkinan terjadinya kecil dan jika terjadi pun
dampaknya kecil terhadap pencapaian tujuan. Risiko seperti ini cukup dimonitor agar
segera diketahui jika terjadi peningkatan risiko. Contoh, risiko ketidakhadiran seorang
karyawan bagian administrasi selama 1 hari kerja karena sakit tidak perlu diperlakukan
khusus oleh pihak manajemen.
Manajemen risiko adalah metodologi, yang memungkinkan manajemen secara efektif menangani
ketidakpastian yang merupakan risiko (down-side risk), atau peluang (up-side risk), sehingga dapat
memberikan keyakinan yang wajar, bahwa tujuan, target dan sasaran entitas akan dapat dicapai.
Manajemen risiko berintikan pembelajaran dan pertumbuhan sehingga penerapannya secara
konsisten akan dapat meningkatkan kapasitas entitas dalam mengelola risiko sehingga akan
menciptakan nilai, bagi pemangku kepentingannya.
Selera risiko organisasi harus ditinjau ulang secara berkala untuk disesuaikan dengan
perubahan tingkat risiko bisnis yang dipengaruhi oleh lingkungan, serta perubahan
kapasitas organisasi baik dari pembelajaran dan pertumbuhan internal, ataupun eksternal
melalui restrukturisasi.
b. Penyelarasan pilihan dan strategi bisnis dengan selera risiko organisasi:
Dalam mengevaluasi alternatif strategi, menetapkan tujuan dan mengembangkan
mekanisme pengelolaan risiko, manajemen memertimbangkan selera risiko organisasi.
c. Peningkatan kualitas keputusan dalam merespon risiko (risk response):
Dalam mengidentifikasi dan memilih berbagai respon risiko seperti menghindari,
menerima, mengurangi, membagi, atau memindahkan risiko kepada pihak lain, serta
mengkuasi untuk mengeksploitasi risiko, manajemen risiko memberikan pembelajaran
dan pertumbuhan yang berkelanjutan.
Bila aktivitas-aktivitas manajemen risiko tersebut dilaksanakan dengan seksama dan disiplin,
mungkin dapat diperoleh beberapa manfaat berikut:
a. Penurunan kejutan dan kerugian operasional :
Penurunan kejutan dan biaya atau kerugian terkait dapat terjadi karena peningkatan
kemampuan organisasi untuk mengidentifikasi peristiwa yang berpotensi akan terjadi dan
peningkatan kemampuan menetapkan respon terhadap risiko.
b. Pengidentifikasian dan pengelolaan risiko-risiko yang bersifat lintas- entitas :
Risiko-risiko yang dihadapi organisasi dapat memengaruhi berbagai bagian organisasi dan
bersifat lintas entitas. Manajemen risiko memfasilitasi pengelolaan risiko secara
terintegrasi atas beberapa risiko yang bersifat lintas-entitas, serta memfasilitasi pemilihan
respon yang efektif atas beberapa dampak risiko yang saling terkait.
c. Peraihan peluang :
Manajemen, yang memertimbangkan seluruh peristiwa yang berpotensi terjadi saat
melakukan proses identifikasi, akan berada pada posisi yang tepat dan dapat mewujudkan
peluang secara proaktif.
d. Peningkatan efektivitas pemanfaatan modal :
Manajemen yang memiliki informasi risiko yang lengkap mampu menilai kebutuhan
modal secara efektif dan meningkatkan efektivitas pemanfaatan modal.
Kapabilitas manajemen risiko yang melekat pada organisasi membantu manajemen dalam
menyempurnakan tata kelola organisasi sehingga :
a. Kinerja dan target profitabilitas entitas dapat dicapai,
b. Kehilangan sumber daya dapat dicegah.
c. Pelaporan yang efektif dapat terwujud
d. Kepatuhan terhadap hukum dan peraturan dapat didorong,
serta
e. Gangguan reputasi entitas dan konsekuensi terkait dapat dicegah.
Manajemen risiko, dalam hal ini enterprise risk management, sebagai suatu tools manajemen yang
berkaitan dengan risiko dan peluang yang memengaruhi penciptaan nilai entitas, didefinisikan oleh
COSO (2004) sebagai berikut:
Enterprise risk management is a process, effected by an entity’s board of directors, management and
other personnel, applied in strategy setting and across the enterprise, designed to identify potential
events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable
assurance regarding the achievement of entity objectives.
Definisi tersebut mencerminkan konsep dasar yang menjelaskan bahwa manajemen risiko adalah:
1) Sebuah proses, yang berkelanjutan dan mencakup seluruh area dalam entitas.
2) Dipengaruhi oleh orang pada seluruh jenjang entitas.
3) Diterapkan dalam perumusan strategi.
4) Diterapkan di seluruh lingkup entitas, di setiap tingkat dan unit, dan mencakup identifikasi
portofolio risiko pada level entitas secara umum.
5) Dirancang untuk mengidentifikasi peristiwa yang berpotensi terjadi, yang jika terjadi, akan
memengaruhi entitas; dan mengelola risiko dalam risk appetite dan risk tollerance.
6) Mampu memberikan keyakinan memadai kepada dewan pengawas dan manajemen senior
entitas.
7) Ditujukan dalam upaya pencapaian satu atau lebih kategori tujuan yang terpisah tetapi tumpang
tindih.
a. Proses
Manajemen risiko merupakan suatu proses yang berlangsung terus-menerus, tidak bersifat
statis, berkelanjutan dan diterapkan secara melekat dalam operasi organisasi.
organisasi dalam upaya mewujudkan nilai organisasi. Selera risiko mencerminkan filosofi
manajemen risiko organisasi yang memengaruhi budaya organisasi dan gaya operasinya.
Beberapa organisasi menyatakan selera risiko secara kualitatif, dengan penggolongan seperti
tinggi, moderat, atau rendah, sedangkan yang lainnya menggunakan pendekatan kuantitatif
yang mencerminkan dan menyeimbangkan tujuan untuk pertumbuhan, pendapatan, dan
risiko. Suatu entitas dengan selera risiko tinggi mungkin bersedia untuk mengalokasikan bagian
besar dari modalnya untuk beberapa bidang berisiko tinggi seperti pasar yang baru
berkembang. Sebaliknya, entitas dengan selera risiko rendah mungkin akan membatasi risiko
jangka pendeknya dari kerugian yang besar dengan hanya berinvestasi pada pasar yang telah
matang dan stabil.
Selera risiko berhubungan langsung dengan strategi organisasi, yaitu sebagai bahan
pertimbangan dalam perumusan strategi. Strategi yang berbeda akan memaparkan organisasi
pada risiko yang berbeda. ERM membantu manajemen untuk memilih strategi yang akan
menyesuaikan penciptaan nilai yang diharapkan dengan selera risiko organisasi.
Selera risiko memberikan panduan untuk alokasi sumber daya. Manajemen mengalokasikan
sumber daya di antara unit bisnis dan inisiatif kegiatan dengan memertimbangkan selera risiko
organisasi dan rencana unit bisnis untuk mendapatkan hasil yang diinginkan dari sumber daya
yang diinvestasikan. Manajemen memertimbangkan selera risikonya sebagaimana mereka
menyelaraskan organisasi, manusia, dan proses, serta merancang infrastruktur yang diperlukan
untuk merespon risiko secara efektif dan memantaunya.
f. Toleransi Risiko
Toleransi risiko adalah tingkat risiko yang dapat diterima, yang terkait dengan tujuan organisasi.
Dalam penentuan toleransi risiko, manajemen memertimbangkan kepentingan relatif dari
tujuan-tujuan terkait dan menyelaraskan toleransi risiko dengan selera risiko. Beroperasi dalam
toleransi risiko membantu meyakinkan organisasi untuk tetap berada dalam selera risikonya.
g. Pemberian Asurans yang Wajar
Manajemen risiko dapat memberikan asurans yang wajar atas pencapaian tujuan organisasi
bila dirancang dan dijalankan dengan baik. Asurans yang wajar mencerminkan pemahaman
bahwa ketidakpastian dan risiko merupakan 2 hal yang terkait dengan masa depan, yang tidak
bisa diprediksi dengan pasti oleh seseorang.
Penggunaan frasa asurans yang wajar bukan berarti bahwa manajemen risiko akan sering
menemui kegagalan. Banyak faktor, baik terpisah maupun secara bersama-sama, menguatkan
penggunaan konsep asurans yang wajar. Efek kumulatif dari respons risiko yang dapat
memenuhi berbagai tujuan dan sifat multifungsi dari pengendalian intern akan menurunkan
risiko kegagalan organisasi mencapai tujuannya. Di samping itu, kegiatan operasi normal
sehari-hari dan tanggung jawab para personil di berbagai tingkat organisasi akan diarahkan
untuk mencapai tujuan organisasi. Karena manajemen risiko yang efektif sekalipun dapat
mengalami kegagalan, maka hanya memberikan asurans yang wajar dan bukan asurans mutlak.
h. Pencapaian Tujuan Organisasi
Manajemen menetapkan tujuan strategis, memilih strategi, dan menetapkan tujuan-tujuan lain
yang diturunkan ke seluruh organisasi dalam konteks misi yang telah ditetapkan. serta
diselaraskan dengan dan dikaitkan dengan strategi. Tujuan organisasi yang bersifat umum
adalah mencapai dan memelihara reputasi positif dalam bisnis dan komunitas, memberikan
laporan yang handal kepada para pemangku kepentingan dan beroperasi secara patuh
terhadap hukum dan peraturan. Di samping itu, tujuan organisasi dapat bersifat khusus pada
setiap organisasi.
Terdapat banyak kerangka kerja manajemen risiko yang dikembangkan secara setempat oleh
kelompok profesi suatu negara. Beberapa diantaranya diadopsi secara lebih luas, sehingga
menjadi standar internasional. Diantara kerangka kerja manajemen risiko yang dikenal misalnya
adalah:
1. ISO 31000 (2009) yang direvisi menjadi ISO 31000:2018
2. British Standard – BS6079-3 (2000)
3. International Risk Government Council – IRGC (2004)
4. COSO ERM (2004)
5. Australian New Zealand Standard - AS/NZS 4360 (2004)
Pada modul ini akan difokuskan pada dua kerangka kerja manajemen risiko yang paling popular
digunakan di Indonesia yaitu ISO 31000 (2018) dan COSO ERM (2004).
a. Kerangka Kerja Manajemen Risiko ISO 31000
Kerangka kerja manajemen risiko menurut ISO 31000:2018 merupakan bagian dari gambar
besar Tujuan & Prinsip-Prinsip, Kerangka Kerja, dan Proses sebagaimana tergambar sebagai
berikut.
Gambar 2.2 Tujuan & Prinsip-Prinsip, Kerangka Kerja, dan Proses Manajemen Risiko
Menurut ISO 31000:2018
Sebagaimana Gambar 2.3 Kerangka Kerja Manajemen Risiko menurut ISO 31000:2018, menurut
ISO 31000:2018 kerangka kerja manajemen risiko dimotori oleh komponen kepemimpinan &
komitmen (leadership & commitment) yang menjadi pusat komponen lainnya, disusul
dengan integrasi (integration), perancangan (design), implementasi (implementation),
evaluasi (evaluation), dan perbaikan (improvement).
Direksi dan Dewan Komisaris harus menunjukkan kepemimpinan & komitmen antara lain
dengan membuat pernyataan atau kebijakan yang menetapkan pendekatan manajemen
risiko, rencana, atau arah penerapan manajemen risiko, memastikan bahwa semua
kebutuhan sumber daya untuk mengelola risiko akan dialokasikan, dan menetapkan tanggung
jawab dan akuntabilitas pengelolaan risiko pada tingkatan organisasi yang sesuai.
Pengintegrasian manajemen risiko sangat bergantung pada pemahaman terhadap struktur
organisasi dan konteks organisasi. Pengintegrasian manajemen risiko adalah proses yang
dinamis dan berulang. Manajemen risiko harus menjadi bagian dan tidak terpisahkan dari
tujuan organisasi, tata kelola, kepemimpinan dan komitmen, serta strategi dan operasi
organisasi.
Perancangan kerangka kerja manajemen risiko dimulai dengan memeriksa dan memahami
Gambar 2.4 Tujuan & Prinsip-Prinsip Manajemen Risiko Menurut ISO 31000:2018
Tujuan manajemen risiko adalah penciptaan & pelindungan nilai (value creation &
protection). Manajemen risiko meningkatkan kinerja, mendorong inovasi, dan mendukung
pencapaian sasaran.
Delapan prinsip manajemen risiko adalah:
Terintegrasi (integrated)
Manajemen risiko adalah bagian terpadu dari semua kegiatan organisasi.
1) Terstruktur & menyeluruh (structured & comprehensive)
Pendekatan manajemen risiko harus terstruktur dan menyeluruh agar memberikan hasil
yang konsisten dan dapat dibandingkan.
2) Disesuaikan (customized)
Kerangka kerja dan proses manajemen risiko harus disesuaikan dengan penggunanya dan
sebanding dengan konteks internal dan eksternal.
3) Inklusif (inclusive)
Manajemen risiko harus melibatkan para pemangku kepentingan secara memadai dan
tepat waktu dalam membagi pengetahuan, pandangan, dan persepsi mereka sebagai
bahan pertimbangan.
4) Dinamis (dynamic)
Manajemen risiko harus mampu mengantisipasi, memindai, memahami, serta menangani
perubahan dan peristiwa yang terjadi secara memadai dan tepat waktu.
5) Informasi terbaik tersedia (best available information)
Manajemen risiko dilakukan berdasarkan informasi dan menyediakan informasi bagi para
pemangku kepentingan secara tepat waktu, jelas, dan tersedia.
6) Faktor manusia &budaya (human & cultural factors)
Faktor manusia & budaya sangat mempengaruhi penerapan seluruh aspek manajemen
risiko pada setiap tingkatan.
7) Perbaikan berkesinambungan (continual improvement)
Manajemen risiko melakukan perbaikan terus-menerus berdasarkan pengalaman dan
pembelajaran.
Analisis risiko merupakan upaya untuk memahami risiko lebih mendalam dengan
mencermati sumber risiko dan tingkat pengendalian yang ada serta menilai
kemungkinan dan konsekuensi terjadinya risiko. Hasilnya adalah daftar risiko
dengan tingkatan levelnya.
Level Risiko
tinggi
LEVEL KONSEKUENSI
sedang
rendah
Prioritas Prioritas 1
tinggi
4
Prioritas
2
KONSEKUENSI
toleransi
rendah
risiko
KEMUNGKINAN
Terdapat delapan komponen dalam ERM yang secara lebih lanjut akan dijelaskan di bawah.
COSO juga mengidentifikasi saran bagi pembuat kebijakan, organisasi, dan pendidik
profesional. Secara ringkas, kerangka COSO harus digunakan sebagai suatu alat benchmarking
untuk mengevaluasi efektivitas proses ERM. Kerangka ini mengidentifikasi konteks untuk
menggambarkan perbaikan dalam kemampuan manajemen risiko.
Penggunaan kerangka ini bersifat opsional. Untuk memahami perspektif pernyataan ini, kita
perlu memahami bahwa ketika dikeluarkannya COSO Internal Control – Integrated
Framework (COSO-ICIF) pada tahun 1992, juga bersifat opsional. Namun saat ini hampir setiap
entitas publik di Amerika Serikat menggunakannya.
Kedua kerangka COSO (COSO-ICIF dan COSO ERM) saling berdiri sendiri. COSO menyatakan
bahwa pengendalian intern merupakan bagian integral dari ERM. Oleh karena itu, kerangka
ERM yang baru tidak menghilangkan atau menggantikan kerangka pengendalian intern
sebelumnya. Banyak entitas Amerika menggunakan COSO Internal Control – Integrated
Framework untuk menaati Section 404 Sarbanes-Oxley Act.
4) Kerangka ERM memerluas komponen penilaian risiko dalam empat komponen yaitu
penetapan tujuan, identifikasi peristiwa, penilaian risiko, dan respon risiko.
positif berkenaan dengan risiko dan manajemen risiko. ERM sering memusatkan pengaturan
kebijakan dan menciptakan fokus, disiplin, dan pengendalian. Hal tersebut mendorong
perilaku mengambil risiko dan bukan menghindari risiko, memerbaiki peralatan untuk
mengukur exposure risiko, meningkatkan akuntabilitas pengelolaan risiko, serta
memudahkan identifikasi perubahan secara tepat waktu dalam satu profil risiko entitas. ERM
mendorong keseimbangan antara kegiatan kewirausahaan dan pengendalian organisasi,
sehingga keduanya mempunyai hubungan yang sama kuat.
Dengan kapitalisasi pasar sering kali melebihi nilai neraca historis, penerapan manajemen risiko
pada harta tak berwujud adalah titik kritis yang penting. Seperti masa depan yang potensial dapat
memengaruhi nilai secara fisik aset berwujud dan aset keuangan, hal tersebut dapat
memengaruhi nilai harta tak berwujud seperti aset pelanggan, aset karyawan/ supplier dan aset
organisasi seperti merek entitas yang khusus, strategi pembedaan, proses yang inovatif, dan
sistem kepemilikan. Hal ini adalah intisari dari apa yang dikontribusikan ERM kepada organisasi
– meninggikan manajemen risiko pada suatu tingkat yang strategis dengan memperluas
aplikasinya pada seluruh sumber yang berharga, tidak hanya mengenai keuangan dan fisik.
ketidakpastian yang dihadapi untuk menciptakan nilai bagi stakeholder. ERM mengangkat
manajemen risiko pada suatu tingkatan yang strategis dengan secara terus-menerus
meningkatkan kemampuan manajemen risiko yang benar-benar untuk pelaksanaan model
bisnis.
ERM membantu kemampuan organisasi untuk mengelola risiko prioritas sehingga membantu
manajemen sukses meningkatkan dan juga melindungi nilai entitas dengan tiga cara. Pertama,
ERM fokus pada penetapan manfaat kompetisi berkelanjutan. Kedua, ERM mengoptimalkan
biaya manajemen risiko. Dan ketiga, ERM membantu manajemen memerbaiki kinerja bisnis.
Kontribusi ini menggambarkan kembali nilai yang ditawarkan dalam manajemen risiko pada
suatu proses bisnis.
Kontribusi nilai yang ditawarkan ERM mengarah pada kemungkinan manfaat manajemen risiko
untuk terciptanya suatu bisnis yang sukses, yaitu: tertanamnya keyakinan yang lebih besar pada
dewan komisaris, CEO, dan manajemen eksekutif. Stakeholder perlu mengetahui risiko dan
peluang yang teridentifikasi secara sistematis, dengan menganalisa dan mengelola biaya secara
efektif dengan dasar enterprise wide, dengan cara yang konsisten sesuai dengan risiko yang dapat
diterima entitas dan model bisnis untuk menciptakan nilai. Dengan ERM, para eksekutif lebih
banyak mengetahui tentang risiko yang melekat dalam operasi. Mereka memahami proses
dimana risiko diidentifikasi, menetapkan kepemilikan risiko tepat waktu, dan memastikan bahwa
risiko dirumuskan dan dipantau secara efektif. Mereka juga fokus pada teknik-teknik penilaian
risiko sistematik. Mereka menekankan bahwa rencana usaha berfokus pada risiko, sehingga
mereka akan lebih sempurna dan substantif. Secara ringkas, dalam satu lingkungan ERM, dasar
asumsi model bisnis pada waktu tertentu ditantang dan, jika perlu, disaring dengan suatu siklus
yang dinamis dari kemajuan berkelanjutan.
Karena nilai yang ditawarkan secara umum tidak cukup memandu senior manajemen dalam
mengambil keputusan untuk menanam modal dalam prasarana ERM, hal itu harus didukung
dengan suatu artikulasi lebih yang berisi rincian yang membuat kemungkinan suatu penilaian
risiko entitas dan suatu analisis kesenjangan tentang kemampuan entitas untuk mengelola
prioritas risiko. Semakin besar kesenjangan antara status yang ada dan status masa depan yang
diinginkan dari kemampuan manajemen risiko organisasi, semakin besar kebutuhan prasarana
ERM untuk memudahkan kemajuan kemampuan dari waktu ke waktu.
Pemahaman ini memerbaiki ketegasan nilai yang ditawarkan ERM sehingga lebih memaksa.
Secara ringkas, cara yang efektif untuk memfungsikan prasarana ERM dapat menjadi salah satu
akar pembeda antara penentu model dan industri. Prasarana ERM merangsang dan menguatkan
perilaku yang diinginkan dalam organisasi konsisten dengan tujuan bisnis, tujuan strategi, dan
kinerja. Pendekatan ERM membedakan model bisnis dan membantu membangun citra dan
reputasi dengan para pelanggan, para pemasok, karyawan, dan pasar modal, semuanya itu
adalah kunci untuk mendukung bisnis yang sukses.
ERM merupakan pendekatan yang berisi berbagai teknik yang berbeda sehingga entitas yang
berbeda akan menerapkannya dengan cara yang berbeda. Institusi-institusi jasa keuangan
mungkin telah menerapkan lebih jauh berdasarkan pada kemampuannya dalam mengelola risiko
pasar dan risiko kredit pada seluruh entitas.
Model manajemen risiko tradisional difokuskan untuk mengelola ketidakpastian di sekitar aset
secara fisik dan keuangan. ERM difokuskan pada keseluruhan portofolio aset entitas, termasuk
aset tak berwujud seperti aset berupa pelanggan, aset berupa karyawan dan pemasoknya, dan
aset organisasi berupa perbedaan strategi, merek khusus, proses yang inovatif, dan sistem
kepemilikan. Hanya sedikit entitas yang telah menerapkan suatu pendekatan keseluruhan entitas
secara benar dalam seluruh aspek bisnisnya.
Entitas pada tahap awal pengembangan prasarana ERM-nya sering meletakkan pondasi dengan
cara yang umum, struktur manajemen risiko yang salah, dan proses penilaian risiko entitas secara
menyeluruh. Beberapa entitas sudah meningkat menuju tahap yang lebih maju, seperti institusi
industri jasa keuangan yang mengelola risiko pasar dan risiko kredit. Beberapa entitas
menerapkan ERM di dalam unit yang spesifik, seperti mengelola risiko harga komoditas suatu
unit perdagangan dengan pendekatan keseluruhan entitas.
Kunci dari langkah-langkah tersebut adalah langkah yang fokus dan sederhana dengan
mengintegrasikan kegiatan ERM ke dalam strategi dan rencana bisnis.
Definisi COSO juga mengacu pada “keyakinan yang memadai”, bukan “keyakinan mutlak”.
Menurut COSO, “keyakinan yang memadai mencerminkan dugaan bahwa ketidakpastian dan
risiko berhubungan dengan masa depan, yang tidak seorang pun dapat meramalkan dengan
tepat.” Sebagai tambahan, COSO menyatakan: Keyakinan yang memadai tidak menyiratkan
manajemen risiko entitas itu sering gagal. “Efek kumulatif dari respon risiko yang memenuhi
beberapa tujuan dan tujuan yang serbaguna dari pengendalian intern mengurangi risiko bahwa
suatu entitas mungkin tidak mencapai tujuannya”.
merupakan bagian dari proses manajemen tapi bukan bagian dari ERM”. Sebagai contoh, pilihan
manajemen menyangkut tujuan bisnis, respon risiko spesifik, dan alokasi sumber daya entitas
adalah keputusan manajemen tapi bukan bagian ERM. Sebagai bagian integral dari manajemen,
ERM secara efektif terintegrasi dengan pengaturan strategi, perencanaan bisnis, pengukuran
kinerja, dan disiplin bisnis lain.
ERM bukanlah solusi “satu untuk semua”. Manajemen harus memutuskan sifat alami solusi ERM
berdasarkan pada ukuran organisasi, tujuan, strategi, struktur, kultur, gaya manajemen, profil
risiko, industry lingkungan kompetitif, dan perlengkapan yang diperlukan dalam hal keuangan.
Menurut COSO, hal ini dan faktor-faktor lain memengaruhi bagaimana kerangka ERM diterapkan.
Penerapan ERM mengharuskan manajemen mengambil langkah-langkah berikut:
(a) Identifikasi dan pahami risiko prioritas organisasi untuk menetapkan suatu konteks.
(b) Gunakan kerangka COSO untuk menggambarkan kondisi kemampuan manajemen risiko yang
ada sekarang.
(c) Gunakan kerangka COSO untuk menggambarkan kondisi kemampuan manajemen risiko yang
diinginkan di masa depan.
(d) Analisa dan artikulasikan ukuran kesenjangan antara (b) dan (c) dan sifat alami perbaikan-
perbaikan yang diperlukan untuk menutup kesenjangan, yang adalah suatu fungsi dari
(i) kemampuan dan pengalaman organisasi yang ada dan
(ii) keinginan manajemen untuk meningkatkan dan membuatnya lebih baik.
(e) Berdasarkan pada analisa di atas, kembangkan suatu kasus bisnis untuk menujukkan
kesenjangan dalam mengidentifikasi pertimbangan ekonomi bagi seluruh usaha untuk
menerapkan peningkatan prasarana ERM.
(f) Mengorganisasikan suatu rencana yang mengedepankan kemampuan prasarana ERM yang
diinginkan dan menunjukkan perubahan yang terjadi sehubungan dengan pelaksanaan
rencana.
(g) Sediakan pengawasan dan fasilitas yang diperlukan untuk memastikan pengintegrasian dan
koordinasi yang efektif di seluruh kegiatan.
COSO menyatakan bahwa ERM adalah “suatu alat menuju akhir, bukan merupakan akhir itu
sendiri.” Tren ke arah ERM menunjukkan bahwa risiko bersifat kompleks dan saling
berhubungan, serta lingkungan bisnis tidak semakin lebih sederhana. Oleh karena itu, ada
manfaat penting yang dapat dicapai dari evaluasi dan pengelolaan risiko pada tingkat entitas
secara menyeluruh. Proses penerapan ERM pada dasarnya suatu proses pendidikan,
pembangunan kesadaran, pengembangan akuntabilitas. Karena risiko-risiko akan terus berubah
dan meningkat seperti perubahan dan peningkatan pasar global, penerapan ERM harus
dipandang sebagai suatu komitmen untuk pengembangan berkelanjutan.
Karena ERM memerlukan lingkungan yang kondusif bagi efektivitas komunikasi risiko dan
manajemen risiko lintas entitas, isu-isu budaya mungkin ada bagi banyak organisasi untuk diatasi.
Sebagai contoh, ERM memerlukan penghapusan penghalang-penghalang- per departemen atau
fungsional - sehingga holistik, terintegrasi, proaktif, berpandangan ke depan, dan pendekatan
berorientasi proses diambil untuk mengelola semua risiko bisnis utama dan peluang - tidak hanya
keuangan. Jika ada isu manajemen perubahan yang signifikan untuk diatasi, periode waktu untuk
menerapkan ERM akan diperpanjang. Kebanyakan organisasi memerlukan tiga sampai lima
tahun untuk memenuhi tujuan di dalam menerapkan secara penuh solusi ERM-nya meskipun
secara kongkrit setiap organisasi yang melakukannya membawa dampak dalam 12 bulan.
itu, manajemen harus memutuskan sifat solusi ERM berdasar pada fakta-fakta dan keadaan
organisasi itu.
Berdasarkan asal-muasal dan tujuan organisasi yang bermacam- macam, pendekatan masing-
masing organisasi akan memiliki unsur-unsur khusus tersendiri. Cara yang efektif untuk
menentukan tingkat investasi adalah membandingkan manajemen risiko organisasi yang ada
dengan suatu kerangka (seperti kerangka COSO) dan menggunakan perbandingan itu sebagai
suatu konteks, dengan memberdayakan kelompok eksekutif senior untuk menggambarkan peran
manajemen risiko dalam organisasi. Berdasarkan penilaian ini, tingkat investasi dapat dihargai
didasarkan pada orang-orang, sarana, dan sumber daya lain yang diperlukan untuk menerapkan
prasarana ERM yang diinginkan.
yang penting ketika entitas berfokus kepada kelangsungan proses pengungkapan dan
struktur pengendalian intern.
Saat ini, risiko tersebut dan risiko-risiko lain sedang menuju suatu perubahan profil risiko terus
menerus yang tidak hanya mempunyai implikasi keuangan, tetapi juga dampak strategis dan
operasional. Ketika para eksekutif menguji risiko entitas yang dihadapi saat ini, mereka akan
melihat suatu profil yang berbeda dibanding yang pernah dilihat beberapa tahun yang lalu. Dan
yang lebih penting lagi, mereka mengharapkan untuk dapat melihat risiko-risiko yang berbeda
beberapa tahun mendatang. Itulah sebabnya satu proses penilaian risiko menjadi sangat kritis.
Berdasarkan hal-hal tersebut dapat dikatakan sebagai berikut: bukan yang paling kuat atau yang
paling pandai yang akan bertahan hidup dan berhasil baik dalam ekonomi global - tetapi
organisasi yang paling dapat menyesuaikan diri dengan perubahan. Seperti perubahan pasar dan
pelanggan, perubahan model bisnis, perubahan ruang lingkup persaingan, dan perubahan
strategi bisnis. Lebih lanjut, jika implementasi ERM tidak terhubung secara erat dengan penilaian
dan perumusan strategi bisnis, maka tidak menghasilkan potensinya secara penuh. Itulah
sebabnya entitas yang sudah mencapai keunggulan di dalam manajemen risiko pun perlu secara
periodik mengevaluasi efektivitas dari kemampuan manajemen risikonya.
Keinginan konsumen, penawaran produk dari pesaing, pasar tenaga kerja dan teknologi
semuanya berubah dengan frekuensi yang meningkat, dengan perilaku mereka yang menirukan
pasar keuangan. Bahkan siklus hidup model bisnis organisasi sedang dipadatkan. Perubahan
sudah tidak lagi linear, tetapi bersifat eksponen. Entitas sukses harus menginovasi dan
memberikan solusi-solusi total yang menciptakan sumber nilai baru untuk pelanggan atau pasar
mereka atau mereka akan kehilangan pijakan untuk maju karena saingan-saingan yang lebih
kreatif. Inovasi yang tidak pernah berakhir juga mengakibatkan risiko-risiko baru harus selalu
dievaluasi. Pola pikir ini membuat strategi bisnis lancar, proses yang dinamis, dengan manajemen
risiko yang mendorong proses itu. Peningkatan langkah perubahan ini dan pengenalan bahwa
perubahan adalah suatu cara hidup yang proaktif, digabungkan dengan identifikasi risiko efektif
yang terus meningkat, pengukuran, teknik pelaporan dan perencanaan, telah menyebabkan
entitas untuk melihat lebih dekat pada status dari manajemen risikonya.
Di masa lalu, kesenjangan antara model pengelolaan risiko yang tradisional dengan ERM, seperti
yang dijelaskan sebelumnya, terlampau lebar bagi kebanyakan entitas. Juga pemenuhan
terhadap Sarbanes-Oxley telah menjadi dasar untuk penerapan kemampuan ERM yang
sebelumnya tidak ada. Entitas yang sudah menerapkan dan meningkatkan proses
pengungkapannya dan pengendalian intern atas pelaporan keuangan (Internal Control over
Financial Reporting/ICFR) perlu melihat lebih dekat bagaimana entitas dapat memperluas
kemampuan ini untuk mengatasi kegiatan bisnis yang kritis lainnya, karena celah itu tidaklah
sama besar seperti ketika melakukan pemenuhan yang berkelanjutan yang diperlukan oleh
Sarbanes-Oxley. COSO ERM–Integrated Framework mengidentifikasi ukuran-ukuran untuk
membantu manajemen di dalam mengevaluasi apa yang perlu dilakukan. Kerangka tersebut
meliputi COSO Internal Control – Integrated Framework yang digunakan oleh banyak entitas
untuk menilai efektivitas dari ICFR-nya.
Sifat alami industri akan memandu sifat alami risiko dan praktik manajemen risiko organisasi
diadopsi untuk mengelola risiko. Sebagai contoh, bank akan fokus kepada manajemen risiko
pasar dan risiko kredit yang lebih luas dibanding lembaga lain karena asumsi bahwa risiko adalah
inti sari model bisnis tersebut. Suatu entitas farmasi akan fokus kepada pengelolaan saluran riset
dan pengembangannya karena merupakan saluran kehidupan kepada arus pendapatan di masa
depan. Suatu perangkat akan mengelola risiko conformance di suatu fasilitas tenaga nuklir
karena itu adalah kunci reputasi dan kelangsungan hidupnya di masa depan. Tanpa terkait
industri, bagaimanapun, komponen dari kerangka – seperti yang digambarkan oleh COSO - tetap
diterapkan.
Setiap organisasi yang berhasil akan mengambil risiko sebagai suatu pilihan dan hal ini
memengaruhi profil risiko organisasi. ERM dapat membantu manajemen dalam
mengembangkan suatu ketrampilan dalam mencari pilihan terbaik bagi entitas dalam
berkompetisi, mengatur bisnis serta melakukan tindakan lain di lingkungan eksternal.
Berkembangnya ketrampilan ini akan menumbuhkan perilaku pencarian peluang.
Setiap organisasi yang sukses akan merespon risiko yang di antaranya diakibatkan perubahan
pasar. Manajemen eksekutif dalam suatu organisasi harus secara hati-hati dalam mengevaluasi
risiko, menggali sumber daya untuk mencari peluang terbaik, dan konsisten dengan selera risiko
organisasi. Mereka harus dengan penuh percaya diri meyakinkan investor dan stakeholders lain
bahwa organisasinya secara efektif mengelola risiko.
keputusan yang signifikan. Manajer risiko harus memastikan bahwa informasi risiko
yang diberikan kepada pemimpin organisasi lengkap, akurat dan konsisten. Untuk
meningkatkan kualitas informasi tersebut, manajer risiko manajer perlu
memertimbangkan pelatihan staf atau memeriksa sendiri pribadi kualitas informasi
yang akan dipresentasikan.
4) Mempertimbangkan pembentukan suatu komite manajemen risiko pada tingkat
manajemen atau memperluas mandat komite manajemen yang ada
Komite manajemen resiko dapat melakukan hal-hal yang berkaitan dengan
metodologi manajemen risiko atau ia dapat berpartisipasi dalam proses pengambilan
keputusan (investasi, proyek dan kegiatan lainnya berisiko tinggi) atau keduanya.
Komite manajemen resiko dapat bertemu secara teratur (bulanan atau kuartalan)
serta berdasarkan permintaan dari Ketua Komite jika ada pertanyaan yang
memerlukan analisis risiko mendesak.
5) Mempromosikan manajemen risiko di dalam dan ke luar organisasi
Berbagi informasi tentang manajemen risiko di perusahaan akan meningkatkan
kewaspadaan manajemen risiko internal dan memperkuat kepercayaan dan
transparansi dengan pemasok, kontraktor, kunci klien dan regulator eksternal. Jelas
hal ini hanya berlaku untuk informasi umum non-rahasia yang tidak termasuk setiap
rahasia dagang atau informasi lainnya yang sensitif.
Berbagi informasi tentang risiko dan penanganan dengan Bank, investor, perusahaan
asuransi dan pemasok dapat menghasilkan penghematan biaya yang signifikan pada
keuangan, asuransi, dan biaya barang.
6) Memperkuat budaya tidak menyalahkan
Manajer-manajer risiko harus memotivasi dan mendorong staf menjadi proaktif
dalam mengidentifikasi dan mencegah risiko.
Manajer-manajer risiko dapat memertimbangkan memerkenalkan program rewards
untuk partisipasi aktif dalam kegiatan manajemen risiko. Hal ini penting untuk
mendorong budaya "tidak menyalahkan" dan mengomunikasikan ke seluruh
perusahaan.
7) Menggabungkan kekuatan-kekuatan dengan para manajer yang bertanggung jawab
terhadap area-area perbaikan kinerja lainnya
Manajer-manajer risiko harus memastikan bahwa prinsip-prinsip manajemen risiko
yang umum dan bahasa digunakan di seluruh organisasi. Mereka harus membangun
hubungan dan bergabung dengan manajer lain yang bertanggung jawab untuk
Merupakan hal umum untuk menggambarkan peran manajemen resiko dan tanggung
jawab dalam kebijakan manajemen risiko atau dokumen kerangka kerja.
Tapi lebih efektif untuk menggabungkan peran dan tanggung jawab manajemen
resiko dalam deskripsi pekerjaan, kebijakan dan prosedur yang ada, berbagai Piagam
Komite dan kelompok kerja. Peran dan tanggung jawab manajemen resiko harus
diidentifikasi dan didokumentasikan untuk semua tingkat manajemen.
3) Mengupdate kebijakan dan prosedur yang ada dengan memasukan elemen-elemen
manajemen risiko.
Manajer-manajer risiko akrab dengan pengembangan manajemen risiko kerangka
atau prosedur dokumen. Satu-satunya masalah adalah bahwa tidak ada di dalam
organisasi, kecuali manajer risiko dan internal auditor, membacanya. Alih-alih
menulis kerangka kerja manajemen risiko terpisah, suatu organisasi harus
meningkatkan kebijakan dan prosedur yang ada agar tercakup unsur-unsur
manajemen risiko di dalamnya dengan tepat.
4) Mengevaluasi secara rutin budaya manajemen risiko.
Evaluasi budaya risiko periodik membantu memperkuat budaya risiko.
Ketika meninjau budaya manajemen risiko, manajer risiko antara lain harus
memerhatikan:
Apakah akuntabilitas dan tanggung jawab risiko telah didokumentasikan dengan baik:
Manajemen puncak harus memastikan bahwa tanggung jawab dan wewenang untuk
peran relevan sehubungan dengan manajemen risiko yang ditetapkan dan
dikomunikasikan di semua tingkat organisasi.
Bukti dari kompetensi manajemen risiko: Kompetensi manajemen risiko harus
dikembangkan di semua unit bisnis inti. Kompetensi manajemen risiko juga harus
menjadi atribut penting ketika mempekerjakan personil baru kepada organisasi.
Bukti pelatihan manajemen resiko dan kesadaran: semua karyawan harus menerima
pelatihan manajemen resiko sesuai dengan tingkat mereka dan eksposur risiko.
Apakah manajemen kinerja individu menganggap informasi risiko: organisasi matang
menyelaraskan manajemen kinerja individu dengan manajemen risiko. Karyawan
harus memiliki indikator kinerja kunci individu yang berkaitan dengan manajemen
risiko dan partisipasi mereka dalam proses manajemen risiko.
Bukti komunikasi terbuka dan transparansi - informasi tentang risiko dibahas secara
terbuka selama proses pengambilan keputusan. Risiko signifikan diberi perhatian
karena manajemen dan rapat para pemiimpin. Eksekutif menerima berita buruk dan
siap untuk membahas risiko dan penanganan risiko.
Manajer Risiko harus secara teratur membahas budaya dan sikap terhadap risiko
dengan manajemen senior dan Dewan, serta membantu mengomunikasikan harapan
para pemimpin dan manajemen senior kepada karyawan.
5) Memasukkan indikator kinerja utama ke dalam tinjauan kinerja individual.
Sekali peran dan tanggung jawab manajemen risiko telah didokumentasikan dalam
deskripsi pekerjaan dan piagam Komite, KPI yang tepat dan terukur harus
dikembangkan.
Organisasi yang telah melaksanakan dan memantau KPI manajemen risiko untuk
karyawan kunci telah menunjukkan kedewasaan budaya manajemen risiko yang
secara signifikan lebih tinggi. KPI harus spesifik untuk setiap peran dalam model
pemerintahan risiko keseluruhan.
Sebagai contoh, KPI untuk CEO mungkin termasuk:
1. Sebuah peningkatan nilai budaya manajemen risiko;
2. Keteraturan dan kualitas risiko kepada pemegang saham;
3. Mencapai profitabilitas risiko-disesuaikan tindakan.
KPI manajemen risiko CFO atau COO mungkin termasuk:
4. Peningkatan kematangan budaya risiko manajemen;
5. Risk Adjusted Return On Capital (RAROC) yaitu suatu metode pengukuran kinerja
keuangan berbasis risiko
6. Jumlah peristiwa-peristiwa operasional yang kritis dan seterusnya.
Bagi para karyawan, KPI manajemen risiko dapat mencakup analisis risiko yang tepat
waktu an akurat selama proses bisnis inti atau keputusan yang signifikan.
2. Karyawan Informan, yang secara informal dipercaya hubungan dengan manajer risiko.
Mereka memberikan informasi tentang risiko yang muncul atau perubahan dalam
proses organisasi atau profil risiko. Sebuah jaringan besar para informan sangat penting
bagi manajer risiko untuk tetap up-to-date pada apa yang terjadi di perusahaan.
3. Karyawan Influencer, yang mendukung integrasi prinsip-prinsip manajemen risiko di
kegiatan dan proses perusahaan karena masuk akal sebagai bisnis yang baik bagi
perusahaan atau mereka secara pribadi. Mereka biasanya akan berpartisipasi dalam
pertemuan-pertemuan Komite Manajemen risiko dan akan mendukung inisiatif yang
diusulkan oleh Manajer risiko.
" Risk champions " membantu penerapan elemen manajemen risiko dalam proses dan
prosedur bisnis utama dalam organisasi.
Bahkan Istilah-istilah yang paling dasar seperti penanganan risiko, risiko pemilik profil risiko,
penilaian risiko tidak perlu dan benar-benar dihindari.
g. Membantu mengintegrasikan analisis risiko ke dalam pekerjaan
Perlu panduan yang dirancang untuk membantu bisnis yang memperhitungkan risiko setiap
kali mereka mengambil keputusan. Hal ini hanya dapat dicapai dengan mengubah sifat proses
bisnis yang ada (perencanaan, penganggaran, pengadaan, manajemen investasi, manajemen
kinerja dan seterusnya) dan membuat mereka lebih berdasarkan risiko. Ini juga berarti bahwa
proses manajemen risiko tidak proses tunggal, tetapi ada beberapa proses manajemen risiko
yang berbeda dalam organisasi.
h. Perencanaan, penganggaran, dan manajemen kinerja berbasis risiko dengan:
1) Pengintegrasian ke dalam perencanaan strategis
Dampak dari ketidakpastian pada tujuan strategis harus dinilai pada saat strategi
diformulasikan dan bukan setelah disetujui oleh para pemimpin. Untuk
mengintegrasikan manajemen risiko ke dalam perencanaan strategis dengan benar,
manajer risiko pertama perlu membangun hubungan dengan Departemen
perencanaan strategis kemudian memastikan risiko strategis disertakan pada sesi
strategis/agenda lokakarya dan memberikan analisis risiko untuk mendukung diskusi
tersebut.
Manajer Risiko dapat menggunakan skenario analisis atau pemodelan simulasi untuk
menyajikan opini independen pada tujuan strategis dan dampak risiko yang mungkin
terjadi pada pencapaiannya.
2) Pengintegrasian ke dalam penganggaran.
Manajer Risiko harus meninjau dan memerbaiki asumsi-asumsi manajemen yang
digunakan dalam skenario analisis atau memerkenalkan penggunaan pemodelan
simulasi untuk memastikan bahwa semua risiko yang penting ditangkap dan
dampaknya terhadap likuiditas yang dinilai. Analisis risiko membantu mengganti
anggaran statis dengan distribusi yang nilai yang mungkin. Ini juga membantu
mengatur indikator kinerja utama manajemen berdasarkan informasi risiko, sehingga
meningkatkan kemungkinan mereka dicapai dan mengurangi konflik kepentingan
Departemen keuangan dan tim manajemen yang menyampaikan anggaran yang
terlalu optimis.
Analisis risiko membantu untuk mengidentifikasi risiko paling penting yang
memengaruhi anggaran, memungkinkan manajemen untuk mengalokasikan
kepemilikan dan menentukan anggaran untuk penanganan risiko.
keseluruhan. Prinsip-prinsip yang disajikan dalam bab ini dapat digunakan sebagai pedoman
keterlibatan internal audit dalam manajemen risiko. Bab ini membahas manajemen risiko
dalam lingkup entitas secara keseluruhan karena hal ini lebih memungkinkan meningkatkan
kualitas proses tata kelola organisasi.
Enterprise-wide Risk management/ERM (Manajemen Risiko Organisasi) merupakan proses
terstruktur, konsisten dan berkesinambungan di seluruh organisasi dalam mengidentifikasi,
menilai, memutuskan respon, dan melaporkan peluang dan ancaman yang memengaruhi
pencapaian tujuan organisasi.
Setiap orang dalam organisasi berperan dalam memastikan keberhasilan ERM, tetapi
tanggung jawab utama untuk mengidentifikasi risiko dan mengelolanya terletak pada pihak
manajemen.
c. Manfaat ERM
ERM dapat memberikan kontribusi besar membantu organisasi dalam mengelola risikonya
untuk mencapai tujuan. Manfaat tersebut antara lain:
• Meningkatkan kemungkinan pencapaian tujuan organisasi;
• Pelaporan risiko-risiko yang berasal dari berbagai unit secara konsolidatif kepada Dewan
Komisaris;
• Peningkatan pemahaman tentang risiko utama dan implikasinya secara lebih luas;
• Mengidentifikasi dan membagi risiko yang bersifat lintas bisnis;
• Fokus manajemen yang lebih besar pada isu-isu yang benar- benar penting;
• Semakin menurunnya terjadinya kejutan atau krisis;
• Lebih fokus secara internal dengan melakukan hal yang benar dalam cara yang benar;
• Peningkatan kemungkinan pencapaian tujuan terhadap inisiatif yang berubah;
• Kemampuan untuk mengambil risiko yang lebih besar untuk memperoleh hasil yang lebih
besar, dan
• Proses pengambilan risiko dan pengambilan keputusan yang lebih didasarkan pada
informasi yang lebih banyak.
Dari berbagai sumber pemberi jaminan, jaminan dari manajemen merupakan hal yang
fundamental, yang harus dilengkapi dengan pemberian jaminan yang bersifat obyektif, yaitu
setidak-tidaknya bersumber dari aktivitas audit internal. Sumber-sumber lain dapat berasal
dari auditor eksternal dan ulasan spesialis yang independen. Auditor internal memberikan
jaminan pada tiga bidang:
• Proses manajemen risiko, termasuk mencakup desain dan seberapa baik mereka bekerja;
• Pengelolaan risiko-risiko yang diklasifikasikan sebagai risiko ‘kunci’, termasuk efektivitas
kontrol dan respon lainnya terhadap risiko-risiko tersebut, dan
• Penilaian yang reliabel dan sesuai terhadap risiko dan pelaporan atas risiko dan
pengendalian.
Gambar diatas menyajikan berbagai kegiatan terkait ERM, serta menjelaskan peran
profesional yang efektif bagi aktivitas audit internal yang bersifat (i) “harus”; (ii) “peran
legitimate (sah) melalui safe guarding”; dan yang bersifat (iii) “tidak boleh dilakukan”. Faktor
kunci untuk memertimbangkan peran audit internal yang sesuai adalah dengan
memertimbangkan apakah kegiatan tersebut menimbulkan ancaman terhadap independensi
dan objektivitas aktivitas audit internal, dan apakah hal tersebut dapat meningkatkan
manajemen risiko, pengendalian, dan proses organisasi.
1) Peran Pokok Audit Internal terkait ERM – Memberi Asurans terhadap ERM
Kegiatan-kegiatan di bagian kiri gambar tersebut merupakan kegiatan asurans, yang
merupakan bagian dari kegiatan yang bertujuan memberikan jaminan pada manajemen
risiko. Aktivitas audit internal dapat dan bahkan harus melakukan kegiatan-kegiatan
tersebut sesuai dengan Standar Internasional untuk Praktik Profesional Audit Internal.
Internal audit dapat memberikan jasa konsultasi yang bermanfaat meningkatkan tata
kelola, manajemen risiko, dan pengendalian proses organisasi. Tingkat partisipasi internal
auditor dalam memberikan jasa konsultasi dalam hal ERM tergantung pada sumber daya
lain yang tersedia dalam organisasi, baik sumber daya internal maupun eksternal,
tergantung pada tingkat kematangan (maturity) organisasi dalam mengelola risiko, dan
cenderung bervariasi dari waktu ke waktu. Keahlian internal auditor dalam
memertimbangkan risiko dan dalam memahami hubungan antara risiko dan tata kelola
organisasi, sangat memengaruhi tingkat partisipasi aktivitas audit internal untuk dapat
bertindak sebagai “risk champion” dan bahkan manajer proyek pengembangan ERM pada
tahap awal diperkenalkannya manajemen risiko organisasi. Seiring dengan semakin
matangnya pengelolaan risiko organisasi, manajemen risiko telah semakin menyatu
dengan operasi bisnis, peran audit internal dalam mendorong pengembangan ERM akan
semakin menurun. Demikian pula, jika organisasi membentuk suatu fungsi atau
mempekerjakan seorang spesialis manajemen risiko, audit internal lebih baik memberikan
nilai dengan berkonsentrasi pada peran asurans, dibandingkan dengan kegiatan
konsultasi.
2) Peran Sah Audit Internal terkait ERM – Memberi Konsultasi terhadap ERM
Bagian tengah dari gambar di atas menunjukkan peran konsultasi internal audit yang dapat
dilakukan dalam kaitannya dengan ERM. Beberapa peran konsultasi yang dapat diberikan
oleh aktivitas audit internal adalah:
Audit internal memberikan jasa konsultasi ERM dengan tanpa mengambil alih peran
sebagai pihak yang benar-benar mengelola risiko (yang merupakan tanggung jawab
manajemen). Setiap kali aktivitas audit internal memberi jasa konsultasi (membantu tim
manajemen untuk membangun atau meningkatkan proses manajemen risiko), harus
disusun suatu rencana kerja yang mencakup strategi dan waktu yang jelas untuk
mengalihkan tanggung jawab pemberian jasa konsultasi tersebut kepada tim manajemen
sendiri.
Manajemen risiko merupakan elemen fundamental tata kelola entitas yang baik. Manajemen
bertanggung jawab untuk membangun dan mengoperasikan kerangka kerja manajemen risiko
atas nama Dewan Komisaris. Manajemen risiko yang dilakukan dengan pendekatan yang
terstruktur, konsisten dan terkoordinasi akan membawa banyak manfaat. Peran pokok
internal auditor dalam kaitannya dengan ERM adalah memberikan asurans atas efektivitas
manajemen risiko kepada manajemen dan dewan komisaris. Apabila internal audit
memperluas kegiatannya di luar peran pokok tersebut, internal audit harus menerapkan
beberapa persyaratan tertentu, termasuk memperlakukan penugasan sebagai penugasan jasa
konsultasi yang oleh karenanya harus mematuhi semua standar yang relevan. Dengan
demikian internal yang audit dapat melindungi independensi dan objektivitas layanan asurans
yang diberikannya.
Pengawasan pekerjaan auditor eksternal, termasuk koordinasi dengan kegiatan audit internal,
adalah tanggung jawab Dewan Komisaris dan Direksi. Koordinasi kerja audit internal dan
auditor eksternal adalah tanggung jawab Kepala Audit Internal (CAE). CAE memperoleh
dukungan dari Dewan Komisaris dan Direksi untuk mengoordinasikan pekerjaan audit.
Organisasi dapat menggunakan hasil pekerjaan auditor eksternal untuk memberikan asurans
terkait kegiatan-kegiatan dalam ruang lingkup audit internal. Dalam hal ini, CAE mengambil
langkah-langkah yang diperlukan untuk memahami pekerjaan yang dilakukan oleh auditor
eksternal, termasuk:
a) Sifat, ruang lingkup, dan saat pekerjaan yang direncanakan oleh auditor eksternal, harus
memertimbangkan pekerjaan yang direncanakan internal auditor dan memenuhi
persyaratan standar audit internal.
b) Penilaian auditor eksternal terhadap risiko dan materialitas.
Teknik, metode, dan terminologi auditor eksternal memungkinkan CAE untuk:
(1) Mengoordinasikanpekerjaanauditinternaldan eksternal,
(2) Mengevaluasi pekerjaan auditor eksternal, dan
(3) Berkomunikasi secara efektif dengan auditor eksternal.
a) Akses ke audit program dan kertas kerja auditor eksternal harus dapat mendukung
kondisi bahwa pekerjaan auditor eksternal bisa diandalkan untuk keperluan audit
internal. Auditor internal bertanggung jawab untuk menjaga kerahasiaan program-
program dan kertas kerja auditor eksternal.
b) Auditor eksternal dapat menggunakan hasil pekerjaan audit internal. Dalam hal ini,
CAE perlu memberikan informasi yang cukup kepada eksternal auditor, sehingga
memungkinkan eksternal auditor dapat memahami teknik, metode, dan terminologi
auditor internal. Akses ke audit program dan kertas kerja auditor internal diberikan
kepada auditor eksternal sehingga mereka memperoleh keyakinan untuk dapat
menggunakan pekerjaan internal auditor.
Auditor internal dan eksternal dapat menggunakan teknik, metode, dan terminologi yang
sama untuk mendukung koordinasi pekerjaan mereka secara efektif dan penggunaan hasil
pekerjaan satu sama lain.
Rencana kegiatan audit auditor internal dan eksternal perlu dibahas bersama untuk
memastikan bahwa cakupan audit masing-masing terkoordinasi dan meminimalkan duplikasi.
Rapat tersebut untuk memastikan koordinasi pekerjaan audit telah efisien dan tepat waktu
dan untuk menentukan apakah observasi dan rekomendasi dari pekerjaan yang dilakukan
sampai saat ini telah memadai.
Komunikasi akhir aktivitas audit internal, tanggapan manajemen atas komunikasi mereka, dan
tindak lanjut atas rekomendasi auditor intern harus disediakan apabila diperlukan oleh
eksternal auditor. Komunikasi ini membantu auditor eksternal menentukan dan
menyesuaikan ruang lingkup dan waktu kerja mereka.Sebaliknya, auditor internal perlu
memperoleh akses terhadap bahan presentasi dan “management letter” auditor eksternal.
Hal-hal yang dibahas dalam bahan presentasi dan “management letter” auditor eksternal
perlu dipahami oleh CAE dan digunakan sebagai masukan dalam membuat perencanaan
auditor internal, serta untuk memfokuskan pekerjaan audit internal di masa depan. Setelah
mempelajari “management letter” dan inisiasi tindakan korektif yang diusulkan, CAE harus
memastikan bahwa tindak lanjut dan perbaikan yang tepat dilaksanakan. CAE bertanggung
jawab untuk melakukan evaluasi dan koordinasi rutin antara auditor internal dan eksternal.
Evaluasi tersebut juga dapat mencakup penilaian keseluruhan atas efisiensi dan efektivitas
koordinasi kegiatan audit internal dan eksternal. CAE mengomunikasikan hasil evaluasi
tersebut kepada Dewan Komisaris dan Manajemen Senior, termasuk komentar yang relevan
tentang kinerja auditor eksternal.
h. Peta Asurans
Sesuai dengan standar kinerja audit intern nomor 2050 – Koordinasi, Kepala Eksekutif Audit
(CAE) harus berbagi informasi dan mengoordinasikan kegiatannya dengan penyedia layanan
jasa asurans dan konsultasi eksternal dan internal organisasi lainnya untuk memastikan
cakupan yang tepat dan meminimalkan duplikasi penugasan.
Salah satu tanggung jawab utama Dewan Komisaris adalah memperoleh asurans bahwa
seluruh proses organisasi telah beroperasi sesuai dengan parameter yang ditetapkan untuk
mencapai tujuan. Untuk itu sangat penting untuk memperoleh keyakinan apakah proses
manajemen risiko telah bekerja secara efektif dan apakah risiko bisnis kunci telah dikelola
secara memadai.
Peningkatan fokus pada peran dan tanggung jawab Dewan Komisaris dan Manajemen Senior
mendorong organisasi memberikan perhatian yang lebih besar pada kegiatan asurans.
Asurans didefinisikan sebagai “pemeriksaan obyektif atas bukti untuk tujuan memberikan
penilaian independen bagi organisasi terhadap proses tata kelola, manajemen risiko, dan
kontrol”. Dewan Komisaris dan Manajemen Senior menggunakan berbagai sumber untuk
memperoleh asurans yang handal dan memadai. Asurans dari manajemen sendiri adalah hal
yang fundamental dan harus didukung dengan asurans objektif dari audit internal dan pihak
ketiga lainnya. Dalam hal ini sering terlontar berbagai pertanyaan dari para manajer risiko,
auditor internal, dan praktisi unit kepatuhan sebagai berikut: “Siapa melakukan apa dan
mengapa?”. Demikian juga Dewan Komisaris dan Manajemen Senior juga sering
mengemukakan pertanyaan mengenai “Siapa yang memberikan asurans, bagaimana
hubungan antara berbagai fungsi, dan apakah tidak terjadi tumpang tindih?”.
Terdapat tiga kelompok dasar unit penyedia asurans, yang dibedakan berdasarkan: pemangku
kepentingan yang mereka layani, tingkat independensi terhadap kegiatan yang mereka
berikan asurans, dan kehandalan asurans itu sendiri. Kelompok penyedia asurans tersebut
adalah:
1. Mereka yang melapor ke manajemen dan/atau merupakan bagian dari manajemen,
termasuk unit-unit yang melakukan control self-assessments, auditor kualitas, auditor
lingkungan, dan personil asurans manajemen lain yang ditunjuk untuk itu.
2. Mereka yang melapor ke Dewan Komisaris dan Manajemen Senior, termasuk audit
internal.
3. Mereka yang melaporkan kepada stakeholder eksternal (asurans audit eksternal), yang
merupakan peran tradisional dan biasanya dilaksanakan oleh auditor independen atau
auditor lain yang ditentukan oleh hukum.
4. Tingkat keyakinan yang diinginkan, dan siapa yang harus memberikan asurans, akan
bervariasi tergantung pada risiko yang menjadi fokus asurans.
Terdapat banyak penyedia asurans bagi suatu organisasi yang dikategorikan dalam 3 lapis lini
pertahanan (three lines of defense), yaitu:
a. Lini pertama:
1) Manajemen lini dan karyawan (manajemen memberikan asurans sebagai baris pertama
pertahanan atas risiko dan kontrol yang menjadi tanggung jawab mereka).
2) Manajemen senior.
b. Lini kedua:
1) Unit kepatuhan
2) Asurans kualitas
3) Unit manajemen risiko
4) Auditor lingkungan dan auditor keselamatan dan kesehatan kerja
5) Tim pengkaji laporan keuangan
c. Lini ketiga:
1) Auditor internal dan eksternal.
2) Auditor kinerja dari pemerintah.
3) Dewan-dewan tertentu (misalnya, audit, aktuaria, kredit, dan tata kelola)
Penyedia asurans eksternal, termasuk reviu dari spesialis (misalnya kesehatan dan
keselamatan), dan lain-lain.
Kegiatan audit internal pada umumnya memberikan asurans atas seluruh organisasi, termasuk
proses manajemen risiko (baik desain maupun efektivitas implementasinya), pengelolaan
risiko utama (termasuk efektivitas pengendalian dan respon lainnya), verifikasi keandalan dan
kesesuaian penilaian risiko, serta pelaporan risiko dan pengendalian.
Karena tanggung jawab kegiatan asurans tradisional terbagi-bagi antara manajemen, audit
internal, manajemen risiko, dan kepatuhan, maka penting bahwa kegiatan asurans harus
dikoordinasikan dengan baik untuk memastikan bahwa sumber daya telah digunakan dalam
cara yang paling efisien dan efektif. Seringkali organisasi memiliki unit-unit audit internal,
manajemen risiko, dan kepatuhan secara terpisah dan independen satu sama lain. Tanpa
koordinasi dan pelaporan yang efektif di antara unit-unit tersebut, pekerjaan dapat terjadi
duplikasi atau risiko utama dapat terlewatkan atau dinilai secara kurang memadai.
Seringkali organisasi telah menetapkan kategori risiko signifikan yang membentuk kerangka
manajemen risiko. Dalam hal tersebut, peta asurans harus didasarkan pada struktur kerangka
manajemen risiko tersebut.
Sebagai contoh, sebuah peta asurans yang dibuat dapat dibuat dengan kolom-kolom berikut
ini:
1) Kategori risiko signifikan
2) Peran manajemen yang bertanggung jawab terhadap risiko (risk owner)
3) Tingkat risiko inherent
4) Tingkat risiko residual
5) Cakupan audit eksternal
6) Cakupan audit internal
7) Jangkauan penyedia asurans lainnya
Setelah peta asurans organisasi disusun eksistensi risiko signifikan yang cakupan asuransnya
kurang memadai, diduplikasi area cakupan asurans, dapat diidentifikasi. Dewan Komisaris dan
manajemen senior harus diinformasikan terhadap setiap kondisi risiko tersebut. Kegiatan
audit internal harus memertimbangkan untuk mengaudit area yang tidak memperoleh
cakupan memadai ketika mengembangkan rencana audit internal tahunan.
Merupakan tanggung jawab CAE untuk memahami kebutuhan asurans independen Dewan
Komisaris dan menjelaskan peran kegiatan audit internal dalam memenuhi kewajiban
penyediaan fungsi asurans. Dewan Komisaris harus yakin bahwa proses asurans keseluruhan
telah memadai untuk memvalidasi bahwa risiko organisasi telah dikelola dan dilaporkan
secara efektif.
Dewan harus memperoleh informasi tentang kegiatan asurans, baik dalam tahap perencanaan
maupun pelaksanaannya, dalam setiap kategori risiko. Kegiatan audit internal dan penyedia
asurans lainnya harus memberikan jasa asurans yang tepat kepada Dewan Komisaris sesuai
dengan sifat dan tingkat risiko organisasi dan berdasarkan kategori masing-masing.
CAE harus memahami sifat, ruang lingkup, dan tingkat peta asurans terpadu dan
memertimbangkan ruang lingkup dan hasil pekerjaan penyedia asurans lain sebelum
menyajikan pendapat keseluruhan pada proses tata kelola organisasi, manajemen risiko, dan
kontrol suatu unit organisasi yang membutuhkan pendapat keseluruhan.
Dalam hal organisasi tidak mengharapkan pendapat secara keseluruhan dari CAE, CAE dapat
bertindak sebagai koordinator penyedia asurans untuk memastikan tidak terdapat
kesenjangan asurans, ataupun kalaupun terdapat kesenjangan, hal tersebut dapat
diidentifikasi dan diyakini dapat diterima. CAE harus melaporkan setiap kekurangan
input/penugasan/pengawasan/asurans atas penyedia asurans lainnya. Jika CAE percaya
bahwa cakupan asurans tidak memadai atau tidak efektif, Dewan Komisaris dan manajemen
senior perlu diinformasikan secukupnya sesuai.
CAE diwajibkan oleh Standar Audit Intern (dalam IPPF) nomor 2050 untuk mengoordinasikan
kegiatannya dengan penyedia asurans lainnya. Penggunaan peta asurans akan membantu
memenuhi kewajiban tersebut. Peta asurans memberikan cara yang efektif untuk
berkomunikasi.
6. Latihan.
Soal terdiri dari 10 soal dengan jawaban singkat.
1) Apa sebutan dari “kemungkinan bahwa suatu kejadian akan terjadi yang memberikan
pengaruh merugikan bagi pencapaian tujuan organisasi”?
3) Disebut sebagai apakah “tingkat risiko yang dapat diterima, yang terkait dengan tujuan
organisasi?”
6) Sebutkan dua kerangka kerja manajemen risiko yang paling popular digunakan di
Indonesia!
7) Ada berapakah prinsip yang mendasari manajemen risiko menurut ISO 31000:2018?
8) Sebutkan aktivitas yang terdapat dalam Risk Assessment menurut ISO 31000:2018!
9) Dalam bentuk apakah kerangka kerja manajemen risiko COSO (COSO ERM)
diperkenalkan?
7. Rangkuman.
Manajemen risiko menjadi kebutuhan strategis untuk menghadapi ketidakpastian.
Manajemen risiko menentukan perbaikan kinerja organisasi dalam mencapai tujuannya
dengan cara mengoptimalkan penggunaan sumber daya yang terbatas dan
mengalokasikannya berdasarkan prioritas risiko.
Beberapa hal yang perlu dipahami terkait manajemen risiko adalah kerangka kerja
manajemen risiko, efektivitas manajemen risiko, dan peran audit internal dalam proses
manajemen risiko.
8. Tes Formatif 2.
Soal Multiple Choice
4) Selera risiko berhubungan langsung dengan strategi organisasi, yaitu sebagai bahan
pertimbangan dalam perumusan strategi.
a. Benar
b. Salah
5) Kapabilitas manajemen risiko yang melekat pada organisasi membantu manajemen dalam
menyempurnakan tata kelola organisasi.
a. Benar
b. Salah
6) Manajemen risiko dapat memberikan asurans yang mutlak atas pencapaian tujuan organisasi
bila dirancang dan dijalankan dengan baik.
a. Benar
b. Salah
7) Menurut ISO 31000:2018 kerangka kerja manajemen risiko dimotori oleh komponen integrasi
(integration) yang menjadi pusat komponen lainnya, disusul dengan kepemimpinan &
komitmen (leadership & commitment), perancangan (design), implementasi
(implementation), evaluasi (evaluation), dan perbaikan (improvement).
a. Benar
b. Salah
8) Analisis risiko merupakan upaya untuk memahami risiko lebih mendalam dengan mencermati
sumber risiko dan tingkat pengendalian yang ada serta menilai kemungkinan dan konsekuensi
terjadinya risiko.
a. Benar
b. Salah
10) ERM membantu manajemen menciptakan kesadaran risiko dan keterbukaan, budaya yang
positif berkenaan dengan risiko dan manajemen risiko.
a. Benar
b. Salah
Tingkat penguasaan materi pelajaran anda dinyatakan berhasil dengan baik, apabila hasil
penilaian mencapai tingkat penguasaan materi 80% ke atas. Namun apabila ternyata masih
dibawah 80%, anda terpaksa harus mengulang mempelajarinya kembali materi yang terkandung
dalam modul ini.
KEGIATAN BELAJAR 3
PENGENDALIAN INTERN
Indikator:
Setelah mempelajari Kegiatan Belajar 3 peserta diharapkan mampu memahami dan
menjelaskan konsep pengendalian intern, peran internal audit dalam pengendalian
intern, macam-macam pengendalian, dan pengujian pengendaliannya.
1. Pendahuluan.
Setiap organisasi dibentuk untuk mencapai tujuan tertentu. Proses mencapai tujuan
organisasi merupakan suatu proses yang dinamis yang selalu terkait dengan risiko. Untuk
mengurangi tingkat risiko yang dihadapi organisasi dan untuk menjaga agar operasi
organisasi dapat secara efisien dan efektif mencapai tujuan yang telah ditetapkan,
organisasi harus memiliki pengendalian intern.
Jadi organisasi adalah kesatuan bagian-bagian yang bekerja dalam suatu wadah untuk
mencapai tujuan bersama. Jika organisasi dijelaskan sebagai suatu sistem, maka organisasi
terdiri dari input, proses, output, dan feedback, seperti pada Gambar 3.1 Organisasi sebagai
Sistem.
LINGKUNGAN
Gambar 3.1 Organisasi sebagai Sistem
Input organisasi adalah sumberdaya berupa sumberdaya manusia, teknologi, bahan baku,
keuangan dan keterampilan manajerial. Organisasi mengubah sumberdaya menjadi
output. Proses organisasi adalah aktivitas utama/bisnis intinya, misalnya perusahaan jasa,
pabrikasi atau layanan publik. Output organisasi adalah tujuan organisasi. Sedangkan
feedback organisasi adalah pengendalian yang bertujuan untuk memertahankan
keberadaan sistem. Jadi organisasi adalah suatu sistem yang bekerja menggunakan
sumberdaya untuk mencapai tujuan. Keberadaan atau kelangsungan hidup sistem dijaga
dengan pengendalian yang bertujuan untuk menyesuaikan komponen- komponen sistem
agar tetap bekerja sesuai tujuan dan lingkungan organisasi.
Pengerahan sumber daya organisasi untuk mencapai tujuan organisasi harus dipastikan
terlaksana secara efisien dan efektif, karena itu manajemen harus mendesain dan
mengimplementasikan sistem pengendalian intern yang memberikan kepastian yang
memadai akan tercapainya tujuan organisasi. Pemastian pencapaian tujuan organisasi juga
berarti manajemen harus menjaga dinamika organisasi, mengurangi kejutan-kejutan
negatif bagi organisasi, dengan mendesain dan mengimplementasikan sistem
pengendalian intern yang mampu mencegah dan mengatasi terjadinya risiko.
Risiko adalah pengaruh dari ketidakpastian terhadap tujuan. Risiko sering dinyatakan
dalam bentuk kombinasi dampak dan kemungkinan terjadinya suatu peristiwa atau
perubahan situasi/lingkungan terhadap tujuan (ISO 31000 Principles and Guidelines). Jadi
risiko dapat diidentifikasi dari 3 aspeknya yaitu peristiwa, probabilitas, dan dampak.
Pengendalian adalah kegiatan mitigasi risiko. Contoh, untuk menangani risiko tuntutan
hukum atas aktivitas perusahaan, dibentuk unit intern yang menangani permasalahan
hukum (mitigasi risiko) atau bekerja sama dengan firma hukum (membagi risiko).
Konsultansi diberikan dalam hal perancangan pengendalian intern yang efektif. Auditor
internal dapat memfasilitasi suatu control self assessment (CSA) sehingga manajemen
dapat menyusun matriks pengendalian risiko sebagai dasar penerapan pengendalian
intern yang efektif.
unit atau aktivitas, teknologi baru, perubahan peraturan yang relevan dengan operasi
organisasi, reorganisasi dan restrukturisasi, serta pasar, produk dan/atau jasa baru.
Pengendalian intern membantu pencapaian tujuan organisasi dan mengurangi risiko yang
dihadapi organisasi, tetapi pengendalian intern tidak memberikan kepastian mutlak,
karena pengendalian intern tidak dapat melakukan hal-hal berikut:
1) Pengendalian intern tidak dapat membuat manajer yang pada dasarnya buruk
menjadi baik
2) Pengendalian intern tidak bisa memengaruhi perubahan- perubahan di luar
kewenangan manajemen, misalnya perubahan peraturan yang ditetapkan
pemerintah.
3) Pengendalian intern memiliki keterbatasan, misalnya pengendalian tidak mampu
mengatasi kesengajaan personel untuk merusaknya.
Jadi sebaik apa pun pengendalian dirancang dan dioperasikan, hanya memberikan
keyakinan yang memadai, bukan kepastian mutlak, bagaimana tujuan-tujuan organisasi
akan tercapai.
b. Keterbatasan Pengendalian
Pengendalian intern hanya dapat memberikan keyakinan yang memadai karena salah
satunya pengendalian memiliki keterbatasan. Keterbatasan pengendalian tersebut adalah:
1) Pertimbangan (judgment) yang salah.
Pengendalian intern dalam pelaksanaannya tetap membuka peluang agar para
manajer dan pelaksana membuat pertimbangan saat melaksanakan pengambilan
keputusan. Para anggota organisasi dapat saja memiliki pertimbangan yang salah,
sehingga upaya pencapaian tujuan organisasi menjadi terganggu.
2) Kerusakan pada pengendalian.
Pengendalian intern dapat mengalami kerusakan dalam pelaksanaannya. Contoh,
penetapan jaminan bagi para pelanggan dengan tingkat transaksi tertentu tidak
pernah lagi dipatuhi oleh para tenaga penjualan karena dapat mengganggu
penjualan. Manajemen perlu mengkaji kembali kebijakan tersebut sehingga bisa
ditetapkan keseimbangan antara kebutuhan akan tingginya volume penjualan
dengan kepentingan melindungi sumberdaya keuangan organisasi.
3) Pengabaian manajemen (management override).
Pengendalian tidak terlaksana jika manajemen melakukan pengabaian. Contoh,
terhadap rekomendasi hasil audit, manajemen tidak melaksanakan tindakan
korektif yang telah disepakati, sehingga risiko terjadinya kembali masalah tinggi.
4) Kolusi.
Pengendalian tidak berjalan jika para pelaksananya melakukan kolusi yang dapat
merugikan organisasi.
5) Pertimbangan Manfaat dan Biaya.
Pengendalian yang bisa terlaksana hanyalah pengendalian yang memerlukan biaya
yang lebih rendah dibandingkan dengan manfaat.
Definisi Pengendalian Intern menurut COSO adalah suatu proses yang melibatkan dewan
komisaris, manajemen, dan personil lain, yang dirancang untuk memberikan keyakinan
memadai tentang pencapaian tiga tujuan yaitu: (1) Efektivitas dan efisiensi operasi, (2)
Keandalan pelaporan, dan (3) Kepatuhan terhadap hukum dan peraturan yang berlaku.
Konsep penting terkait dengan definisi tersebut adalah:
1. Pengendalian intern adalah suatu proses. Pengendalian adalah cara untuk mencapai
tujuan. Pengendalian bukan tujuan.
2. Pengendalian intern dilaksanakan oleh manusia. Pengendalian bukanlah semata
pedoman dan formulir, melainkan orang- orang di tiap tingkat organisasi.
3. Pengendalian intern menyediakan keyakinan memadai, bukan keyakinan mutlak, bagi
para manajer dan dewan komisaris.
4. Pengendalian intern terkait dengan satu atau lebih tujuan berbeda tetapi saling terkait,
yaitu operasi, pelaporan dan ketaatan.
5. Dapat diadaptasi sesuai struktur organisasi.
Ketiga tingkat pengendalian ini menjadi saringan pertahanan terhadap risiko, mulai tingkat
entitas yang mencakup berbagai jenis risiko hingga tingkat transaksi yang menangani risiko
secara detail dan spesifik.
g. Komponen Pengendalian intern
Committee of Sponsoring Organizations of the Treadway Commission (COSO)
memerkenalkan adanya lima komponen pengendalian intern yang meliputi Lingkungan
Pengendalian (Control Environment), Penilaian Risiko (Risk Assessment), Aktivitas
Pengendalian (Control activities), Pemantauan (Monitoring), serta Informasi dan
Komunikasi (Information and Communication). Komponen pengendalian intern adalah
komponen yang saling berkaitan. Komponen tersebut diderivasi dari cara manajemen
menjalankan organisasi dan terintegrasi dengan proses manajemen. Komponen
pengendalian intern berlaku baik pada organisasi besar maupun kecil. Perbedaannya hanya
terletak pada formal dan terstrukturnya komponen pengendalian.Pengendalian pada
organisasi besar akan lebih formal dan terstruktur dibanding organisasi kecil.
5) Pemantauan
a) Melaksanakan ongoing monitoring dan/atau separate
evaluations
b) Mengevaluasi dan mengomunikasikan kekurangan/ kelemahan
Kerangka pengendalian lain yang juga dikenal secara global adalah COBIT yang diterbitkan
IT Governance Institute tahun 2007. COBIT secara spesifik didesain untuk memberikan
panduan dalam pengembangan dan penilaian tata kelola teknologi informasi. Jadi, COBIT
bukan Kerangka Kerja pengendalian intern yang komprehensif seperti 3 Kerangka Kerja
yang disebutkan sebelumnya. COBIT menunjang penerapan Kerangka Kerja pengendalian
yang lain secara spesifik pada tata kelola teknologi informasi organisasi.
Disusun berdasarkan COSO, CoCo menetapkan bahwa tujuan organisasi harus ditetapkan
dan dikomunikasikan. Tujuan pengendalian CoCo, seperti halnya COSO, adalah:
a) Tujuan (Purpose). Tujuan organisasi terdiri dari misi, visi, strategi, risiko dan
peluang, kebijakan, perencanaan, serta target-target kinerja dan indikator-
indikator yang menyediakan acuan kriteria pengendalian yang jelas dan dapat
dipahami oleh para personel.
b) Komitmen (Commitment). Nilai-nilai etika, integritas, kebijakan sumberdaya
manusia, wewenang, akuntabilitas, dan rasa saling percaya, yang membuat
personel tetap berkomitmen pada filosofi pengendalian.
c) Kapabilitas (Capability). Pengetahuan, keahlian, peralatan (tools), komunikasi,
informasi, koordinasi, dan aktivitas pengendalian yang menyediakan bagi personel
sumberdaya dan kompetensi dalam rangka merancang dan memasang
pengendalian yang baik, serta meng-assess risiko.
d) Pemantauan dan Pembelajaran (Monitoring and Learning). Pemantauan atas
lingkungan internal dan eksternal, pemantauan kinerja beserta asumsi-asumsinya,
menilai kembali kebutuhan informasi dan sistem informasi, melaksanakan tindak
lanjut, dan menilai efektivitas pengendalian intern.
(5) Tujuan dan rencana terkait harus mencakup target kinerja terukur beserta
indikator-indikatornya.
b) Komitmen
(1) Nilai-nilai etika organisasi, termasuk integritas harus ditetapkan,
dikomunikasikan dan dipraktikkan di keseluruhan organisasi.
(2) Kebijakan dan praktik harus konsisten dengan nilai-nilai etika organisasi dan
upaya pencapaian tujuan.
(3) Wewenang, tanggung jawab, dan akuntabilitas harus jelas didefinisikan dan
konsisten dengan tujuan organisasi, sehingga keputusan-keputusan dan
tindakan dilakukan oleh personel yang tepat.
(4) Atmosfir saling percaya harus dikembangkan untuk mendukung aliran
informasi antar personel dan efektivitas kinerja mereka dalam upaya
pencapaian tujuan organisasi.
c) Kapabilitas
(1) Para personel harus memiliki pengetahuan, keahlian, dan peralatan untuk
mendukung pencapaian tujuan organisasi.
(2) Proses komunikasi harus mendukung nilai-nilai organisasi dan pencapaian
tujuannya.
(3) Informasi yang cukup dan relevan harus diidentifikasi dan dikomunikasikan
pada waktu dan cara yang tepat untuk membantu personel melaksanakan
tanggung jawab yag diembannya.
(4) Keputusan dan tindakan berbagai bagian organisasi yang berbeda harus
dikoordinasikan.
(5) Aktivitas pengendalian harus dirancang sebagai bagian integral organisasi,
dengan memertimbangkan tujuan-tujuan, risiko- risiko, dan saling
keterkaitan elemen pengendalian.
d) Pemantauan dan Pembelajaran
(1) Lingkungan ekstern dan intern harus dipantau untuk memperoleh
informasi yang mungkin menandakan perlunya re- evaluasi tujuan atau
pengendalian.
(2) Kinerja harus dipantau terhadap pencapaian targetnya, dan indikator-
indikator kinerja diidentifikasikan dan ditetapkan pada tujuan-tujuan dan
rencana-rencana organisasi.
4. Jenis-Jenis Pengendalian.
Sistem pengendalian intern terdiri dari berbagai jenis pengendalian. Karenanya, pengetahuan
tentang jenis-jenis pengendalian akan membantu pemahaman tentang sistem pengendalian
intern. Berdasarkan sifatnya, jenis pengendalian dikelompokkan menjadi pengendalian (1)
preventif, (2) detektif, (3) direktif, dan (4) korektif.
d. Pengendalian Korektif adalah pengendalian yang dilaksanakan jika risiko telah terjadi. Tujuan
pengendalian ini adalah mengatasi dampak terjadinya risiko. Contoh pengendalian ini antara
lain adalah:
1) Proses pengerjaan kembali (rework) terhadap produk yang salah;
2) Pemberian sanksi terhadap pegawai yang melakukan kesalahan;
3) Perundingan kembali kontrak karena terjadi konflik.
DETECTIVE
CONTROL
PREVENTTIVE CORRECTIVE
CONTROL PROSES CONTROL
DIRECTIVE CONTROL
b. Dewan Komisaris
Dewan Komisaris mengawasi pelaksanaan kebijakan manajemen. Tanggung jawab Dewan
komisaris atas pengendalian intern adalah memberikan panduan kepada manajemen,
melaksanakan tata kelola, dan mengawasi secara aktif. Dewan Komisaris memandu dan
mengarahkan manajemen dalam menyusun dan mengimplementasikan pengendalian
intern.
c. Pegawai
Pegawai adalah pelaksana sistem pengendalian intern. Mereka bertanggung jawab untuk
melaksanakan pengendalian agar tugas dan tanggung jawab mereka dapat terlaksana
secara efektif. Pengawai harus melaporkan kepada atasan tentang adanya masalah
operasional yang serius, pelanggaran kebijakan, prosedur dan kode etik, pelanggaran
hukum.
Para pegawai atau pelaksana adalah pemilik risiko terkait dengan tugas dan tanggung
jawab. Bersama dengan manajer operasi, para pelaksanalah yang melakukan penanganan
risiko tingkat operasional dan transaksi. Sebagai contoh, untuk mengurangi risiko salah
pemenuhan pesanan oleh bagian produksi, maka para petugas penjualan harus
menuliskan spesifikasi barang yang dipesan oleh pelanggan secara lengkap dan akurat.
Manajer penjualan harus memberikan otorisasi (persetujuan agar pesanan dipenuhi)
setelah mereviu surat pesanan untuk menilai kelengkapan dan keakuratan penulisan
spesifikasi barang tersebut. Kedua kegiatan Pengendalian ini, yaitu pencatatan yang benar
dan akurat dan otorisasi, akan menurunkan risiko kesalahan pemenuhan pesanan.
d. Auditor Internal
Auditor internal mempunyai tanggung jawab untuk memonitor dan evaluasi efektifitas
pengendalian intern. Jika diperlukan tindakan korektif, manajemen harus memberi
tanggapan segera atas kelemahan pengendalian yang ditemukan oleh auditor. Termasuk
lingkup tanggung jawab dari auditor intern adalah memastikan penerapan pengendalian
pada area-area berisiko tinggi. Area-area berisiko tinggi tersebut adalah periode dengan
profitabilitas yang tidak normal, pertumbuhan yang terlalu cepat, pasar-pasar baru,
produk atau jasa baru, unit operasi baru atau jauh dari cakupan monitoring kantor pusat.
Auditor intern perlu tanggap terhadap perubahan-perubahan yang akan berdampak pada
efektifitas pengendalian. Perubahan-perubahan yang perlu diperhatikan oleh auditor
intern antara lain adalah:
Perlu diperhatikan bahwa pihak eksternal organisasi bukan penanggung jawab kinerja
pengendalian intern. Desain, implementasi dan efektifitas pengendalian intern adalah
tanggung jawab manajemen.
a. Tujuan Evaluasi
Aktivitas audit intern bertujuan untuk membantu organisasi
melaksanakan (maintain) pengendalian yang efektif dengan melakukan:
1) Evaluasi atas efektifitas dan efisiensi pengendalian.
2) Mendorong (promoting) terjadinya perbaikan lingkungan
pengendalian secara berkesinambungan.
Jadi, evaluasi bertujuan untuk meningkatkan efektifitas dan efisiensi pengendalian. Adapun
karakteristik desain dan pelaksanaan sistem pengendalian yang efektif adalah:
1) Identifikasi dengan segera potensi penyimpangan atau terjadinya penyimpangan
sehingga dampak dapat dibatasi.
2) Pemastian yang memadai atas pencapaian tujuan dengan biaya minimum dan dampak
sampingan paling kecil.
3) Kejelasan akuntabilitas yang membantu personel untuk memenuhi tanggung jawab yang
diberikan kepada mereka.
4) Penempatan pengendalian yang tepat, misalnya, reviu atas dokumen pembayaran
sebelum pembayaran disetujui.
5) Identifikasi akar penyebab untuk menentukan tindakan korektif yang tepat.
6) Keselarasan pengendalian dengan strategi dan sasaran bisnis.
b. Teknik Pengujian
Evaluasi pengendalian dilaksanakan dengan terlebih dahulu mengevaluasi desain
pengendalian, kemudian memastikan bahwa desain dilaksanakan. Evaluasi atas desain dan
implementasi pengendalian menggunakan beberapa teknik pengujian, yaitu:
1) Reviu Dokumen
Reviu dokumen adalah penelaahan dan pengujian yang dilaksanakan atas bukti-bukti
tertulis (dokumen). Reviu dokumen dilaksanakan antara lain untuk memahami lingkup,
tujuan, proses, risiko terkait upaya pencapaian tujuan, serta desain pengendaliannya.
Identifikasi kriteria pengendalian dan aktivitas pengendalian yang relevan bisa dilakukan
dengan mereviu dokumen terkait pengendalian seperti Standard Operating Procedure
(SOP); catatan-catatan; serta laporan- laporan.
2) Observasi
Observasi dilaksanakan untuk menguji kesesuaian alur proses dengan prosedur standar
yang ditetapkan serta pelaksanaan aktivitas pengendaliannya. Observasi digunakan
untuk memastikan bahwa desain pengendalian yang memadai benar-benar
diimplementasikan.
3) Wawancara
Pengujian pelaksanaan aktivitas pengendalian yang tidak dapat diobservasi dilakukan
dengan mewawancarai penanggungjawab atau pelaksana tugas. Identifikasi risiko dan
pengendalian yang relevan juga dapat diperoleh dengan melakukan wawancara.
4) Analisis
Analisis adalah pengujian dengan melakukan analisis, penghitungan dan pembandingan.
Analisis dilakukan mengetahui apakah sasaran organisasi tercapai, menilai kinerja,
menilai apakah tingkat risiko dapat diturunkan, juga menilai efisiensi pengendalian
melalui perbandingan manfaat dan biaya.
Pada dasarnya evaluasi sistem pengendalian adalah melaksanakan “control loop” yaitu siklus
pengendalian yang bertujuan untuk meningkatkan efektifitas dan efisiensi upaya pencapaian
tujuan. Control loop adalah urutan kegiatan sebagai berikut (IIA, 2011) :
1) Menentukan sasaran yang telah disusun dan ditetapkan oleh manajemen bagi suatu
proses, fungsi atau organisasi sebagai keseluruhan.
2) Menyusun dan menetapkan standar yang obyektif di awal evaluasi.
3) Mengukur dan membandingkan hasilnya dengan standar yang telah ditetapkan.
4) Menentukan tindakan korektif yang tepat, jika ditemukan potensi atau terjadinya
penyimpangan.
7. Latihan.
Soal terdiri dari 10 soal dengan jawaban singkat.
1) Apa yang harus dimiliki suatu organisasi untuk mengurangi tingkat risiko yang dihadapi
organisasi dan untuk menjaga agar operasi organisasi dapat secara efisien dan efektif
mencapai tujuan yang telah ditetapkan?
2) Terdiri dari apa sajakah organisasi jika organisasi dipandang sebagai sebagai suatu sistem?
3) Apakah 4 (empat) fungsi dasar yang harus dijalankan oleh para manajer dalam
mengelola organisasi?
4) Merupakan apakah “membantu organisasi mencapai tujuan, melindungi sumberdaya dari
kehilangan atau kerugian, membantu memastikan keandalan pelaporan keuangan, dan
membantu memastikan kepatuhan terhadap peraturan perundangan yang berlaku” ?
5) Apakah pengendalian intern tidak memberikan kepastian mutlak?
6) Menyebabkan apakah pengabaian manajemen (management override)?
7) Definisi apakah ini: “Suatu proses yang melibatkan dewan komisaris, manajemen, dan
personil lain, yang dirancang untuk memberikan keyakinan memadai tentang pencapaian
tiga tujuan yaitu: (1) Efektivitas dan efisiensi operasi, (2) Keandalan pelaporan, dan (3)
Kepatuhan terhadap hukum dan peraturan yang berlaku”
8) Tingkat penerapan sistem pengendalian intern apakah yang dapat dianalisis dengan 4
tingkatan struktur organisasi?
9) Sebutkan kelima komponen pengendalian intern menurut COSO!
10) Sebutkan kerangka kerja yang disusun oleh Canadian Institute of Chartered Accountants
tahun 1995!
8. Rangkuman.
Implementasi pengendalian intern di suatu organisasi bertujuan untuk memberikan kepastian
yang memadai tercapainya tujuan organisasi dengan mengurangi tingkat risiko yang dihadapi
organisasi. Beberapa hal yang perlu dipahami terkait pengendalian intern adalah peran
internal audit dalam pengendalian intern, konsep pengendalian intern, macam-macam
pengendalian, peran dan tanggung jawab atas pengendalian intern, dan evaluasi
pengendalian intern.
9. Tes Formatif 3.
Soal Multiple Choice
3) Pengendalian bisa disebut sebagai kegiatan penanganan risiko agar residual risk dapat
dalam
a. selera risiko organisasi
b. selera risiko manajemen
4) Auditor internal dapat melakukan suatu control self assessment (CSA) sehingga manajemen
dapat menyusun matriks pengendalian risiko sebagai dasar penerapan pengendalian intern
yang efektif.
a. Benar
b. Salah
6) Organisasi harus melaksanakan pengendalian untuk mengurangi level risiko sisa (residual risk)
organisasi.
a. Benar
b. Salah
7) Komponen pengendalian intern berlaku pada organisasi besar tapi tidak berlaku untuk
organisasi kecil.
a. Benar
b. Salah
8) COBIT secara spesifik didesain untuk memberikan panduan dalam pengembangan dan
penilaian tata kelola teknologi informasi.
a. Benar
b. Salah
10) Pada dasarnya evaluasi sistem pengendalian adalah melaksanakan “control loop” yaitu siklus
pengendalian yang bertujuan untuk meningkatkan efektifitas dan efisiensi upaya pencapaian
tujuan.
a. Benar
b. Salah
Tingkat penguasaan materi pelajaran anda dinyatakan berhasil dengan baik, apabila hasil
penilaian mencapai tingkat penguasaan materi 80% ke atas. Namun apabila ternyata masih
dibawah 80%, anda terpaksa harus mengulang mempelajarinya kembali materi yang terkandung
dalam modul ini.
STUDI KASUS
Enron didirikan oleh Ken Lay pada tahun 1986. Enron menjadi penjual gas alam terbesar di Amerika
Utara pada tahun 1992 dengan nilai kontrak gas menghasilkan US$ 122 juta sebagai penyumbang
terbesar kedua atas laba bersih perusahaan. Enron menjalankan strategi diversifikasi dengan
mengoperasikan berbagai asset lain termasuk jaringan pipa gas, pembangkit listrik, pabrik pulp dan
kertas, pabrik air, dan layanan broadband di seluruh dunia. Nilai saham Enron meningkat dari awal
tahun 1990-an sampai akhir tahun 1998 sebesar 311%. Pada 31 Desember 2000 saham Enron dihargai
US$ 83,13 dan kapitalisasi pasarnya melebihi US$ 60 miliar yang merupakan enam kali dari nilai
bukunya. Kemudian terjadi resesi pada tahun 2000.
Berdasarkan kasus di atas, identifikasi risiko-risiko apa yang dihadapi oleh Enron?
PENUTUP
Organisasi baik korporasi maupun organisasi publik memerlukan tata kelola, manajemen risiko, dan
pengendalian intern dalam mencapai tujuan organisasi. Tata kelola yang baik akan menjaga organisasi.
Manajemen risiko akan melindungi dan menciptakan nilai organisasi. Pengendalian intern akan
memitigasi risiko yang ada. Dengan tata kelola yang baik, manajemen risiko, dan pengendalian intern,
maka organisasi akan mampu merespon segala hal yang dihadapi baik masa kini maupun masa depan
yang penuh ketidakpastian.
Audit internal memiliki peran dalam mewujudkan tata kelola yang baik, manajemen risiko, maupun
pengendalian intern. Untuk itu audit internal dituntut memahami ketiganya dengan baik terutama
memahami praktik-praktik terbaik atas ketiganya yang telah dilakukan selama ini.
KUNCI JAWABAN
Latihan 1:
1) Integritas bisnis dan pasar.
2) Kemunculan manajemen publik baru (new public management)
3) Tata kelola (governance)
4) 6 area kunci
5) 9 prinsip
6) 8 asas.
7) Asas ketidakberpihakan
8) Sembilan elemen
9) Kesejahteraan ekonomi, perbaikan lingkungan, dan tanggung jawab sosial
10) Tanggung jawab social (CSR)
Tes Formatif 1:
Multiple Choice
1) a. Partisipasi
2) b. Kinerja
3) d. Independensi
4) a.Satuan kerja pengawasan internal, Sekretaris Perusahaan, dan Komite-komite
penunjang Dewan Komisaris
5) d.RUPS, Dewan Komisaris, Direksi, Satuan kerja pengawasan internal, Sekretaris
Perusahaan, dan Komite Audit.
6) a. Keterbukaan dan transparansi
7) a. fiduciary responsibility
8) c. akuntabilitas
9) d. akuntabilitas
10) c. mengoordinasikan kegiatan Direksi
Pilihan Benar/Salah
1) a. Benar
2) a. Benar
3) b. Salah
4) b. Salah
5) b. Salah
6) a. Benar
7) b. Salah
8) a. Benar
9) a. Benar
10) b. Salah
Latihan 2:
1) Risiko.
2) Manajemen risiko
3) Toleransi risiko
4) Peristiwa (event), probabilitas (probability), dan dampak (effect)
5) Strategis, Operasi, Pelaporan, dan Kepatuhan.
©Copyright 2019 – Dewan Sertifikasi Qualified Internal Audit - DSQIA 154
MODUL TINGKAT DASAR - TATA KELOLA, MANAJEMEN RISIKO, DAN PENGENDALIAN
Tes Formatif 2:
Multiple Choice
1) a. para stakeholdernya
2) a. dalam perumusan strategi
3) c. pembelajaran dan pertumbuhan
4) a. profil risiko
5) a. ISO:31000 dan Standar Australia/New Zealand (AS/NZS 4360)
6) c. 2004
7) d. suatu alat benchmarking mengevaluasi efektivitas proses ERM
8) a. kegiatan kewirausahaan dan pengendalian organisasi
9) b. strategi bisnis
10) b. penerapan manajemen risiko pada harta tak berwujud
Pilihan Benar/Salah
1) a. Benar
2) b. Salah
3) b. Salah
4) a. Benar
5) a. Benar
6) b. Salah
7) b. Salah
8) a. Benar.
9) a. Benar
10) a. Benar
Latihan 3:
1) Pengendalian intern.
2) Input, proses, output, dan feedback.
3) Perencanaan (Planning), Pengorganisasian (Organizing), Pengarahan (Directing), dan
Pengendalian (Controlling).
4) Manfaat pengendalian.
5) Keyakinan memadai.
6) Keterbatasan pengendalian intern.
7) Definisi pengendalian intern menurut COSO.
8) Entitas, divisi, unit operasi, dan transaksi.
9) Lingkungan pengendalian, penilaian risiko, kegiatan pengendalian, informasi dan
komunikasi, serta pemantauan.
10) Guidance on Control (Criteria of Control/CoCo)
Tes Formatif 3:
Multiple Choice
1) a. Proses pengerjaan kembali (rework) terhadap produk yang salah
2) b. Pengendalian intern tidak dapat membuat manajer yang pada dasarnya buruk menjadi
baik
3) a. selera risiko organisasi
4) d.definisi dan standar pengendalian intern yang jelas dan dapat dipahami oleh para pemangku
kepentingan
5) a. Entitas, divisi, unit operasi, dan transaksi
6) b. COSO, CoCo, Turnbul Report
7) d.Criteria of Control
8) b.Tujuan, komitmen, kapabilitas, serta pemantauan dan pembelajaran
9) a. 20 kriteria pengendalian
10) b. early warning mechanisms
Pilihan Benar/Salah
1) a. Benar
2) b. Salah
3) b. Salah
4) b. Salah
5) b. Salah
6) b. Salah
7) b. Salah
8) a. Benar
9) a. Benar
10) a. Benar.
DAFTAR PUSTAKA
A.B. Carroll. 1991. The Pyramid of Corporate Social Responsibility: Toward the Moral Managemen of
Organizational Stakeholders. Business Horizons (July-August 1991): 39-48.
Committee of Experts on Public Administration. 2006. Definition of basic concepts and terminologies
in governance and public administration (E/C.16/2006/4) (New York, 2006)
[COSO]. 2004. Enterprise risk management — Integrated Framework Executive Summary
[IFC] Internal Finance Corporation. 2014. Environmental and Social Management System
Implementation Handbook-Construction.
Gleim’s CIA Test Preparation, 2008
Graham J, Amos B, dan Plumptre T. 2003. Principles for Good Governance in the 21st Century. Policy
Brief No.15. Institute On Governance.
Holme R dan Watts P. 2000. Making Good Business Sense. The World Business Council for Sustainable
Development
Hood J. 1991. A Public Magagement for All Seasons? Public Administration. Vol. 69 Spring. 1991(3-19)
[KemBUMN] Kementerian BUMN. 2011. PER-01/MBU/2011 tentang Tata Kelola Perusahaan yang
Baik.
[KNKG] Komite Nasional Kebijakan Governance. 2006. Pedoman Umum Good Corporate Governance
Indonesia
[OECD]. 2005. Policy Brief: The OECD Principles of Corporate governance.
Reding, Kurt F. et. al., Internal Auditing: Assurance and Consulting Services, 2nd Edition, IIA, 2009.
Schwartz MS. and Carrol AB. .Corporate Social Responsibility: A Three-Domain Approach.
Soundarya S. Corporate Social Responsibility: A contemporary Approach Towards Sustainable
Development. IOSR Journal of Business and Management (IOSR-JBM) e-ISSN: 2278-487X, p-
ISSN: 2319-7668 PP 40-43.
Pemerintah Republik Indonesia. 2007. Undang-undang Nomor 40 Tahun 2007 tentang Perseroan
Terbatas.
Pemerintah Republik Indonesia. 2014. Undang-undang Nomor 30 Tahun 2014 tentang Administrasi
Pemerintahan.
The Institute of Internal Auditors. 2009. Internal Audit, Assurance and Consultancy. The IIA Research
Foundation.
The Institute of Internal Auditors,2011. The IIA’s CIA Learning System.
The Institute of Internal Auditors. 2013. The IIA’s CIA Learning System.