Pelatihan Pengawasan Internal Berbasis Risiko

Pusdiklat Pengawasan BPKP

Manajeme
n Risiko
Suhartanto,Ak.,MM,
CA,CFRA,ERMCP,QIA,QGIA
Agenda:
SESI-1 SESI-2 SESI-3 SESI-4
Pendahuluan MR

Prinsip MR Framework MR Proses MR Diskusi , Latihan &

Presentasi
 AUDIT INTERNAL vs AUDIT EKSTERNAL
AUDIT INTERNAL PENGAWASAN INTERNAL
Audit intern adalah • Seluruh proses kegiatan yang independent dan
kegiatan yang independen dan obyektif objektif
dalam bentuk pemberian keyakinan [assurance • untuk menambah nilai dan memperbaiki
activities] dan konsultansi [consulting activities],
operasi organisasi
yang dirancang untuk memberi nilai tambah dan
meningkatkan operasional sebuah organisasi [auditi]. • yang mencakup kegiatan Pemberian Keyakinan
Kegiatan ini membantu organisasi [auditi] mencapai (assurance) dan kegiatan Konsultani
tujuannya dengan cara menggunakan pendekatan yang (consulting)
sistematis dan teratur untuk menilai dan
meningkatkan efektivitas dari proses manajemen
risiko, kontrol [pengendalian], dan tata kelola [sektor
publik]. SKPI (Perka BPKP 1/2019)

(Standar AAIPI)
LINGKUP MANAJEMEN VS AUDIT
INTERN

LINGKUP MANAJEMEN LINGKUP INTERNAL AUDIT

Indepen- Assurance & Objectiv
Dikomunikasikan, Diarahkan, dence Consulting e
Dikelola, Dipantau
design to

Add Value & Operation

Struktur
By approach
& Proses
control
Systemati Evaluate & Improve
Governance TUJUAN Decipline
c GRC
RISK

G–R-C
Struktur Organisasi MR

2/1/2015
RISK
Business Risk

Investment Risk

OBJECTIV Quality Risk

BUSINESS PROCESS RISK ES
Operational Risk

+
Technology Risk
Sources of
likelihood Impact
Risk
Financial Risk
DEFINISI MANAJEMEN RISIKO

ISO 31000 : 2018

“Risk management is ‘coordinate activities to
direct and control an organization with regard
with risk”.

Aktivitas-aktivitas yang terorganisasi yang

dilakukan dalam rangka mengelola dan
mengontrol sebuah organisasi terkait dengan
risiko yang dihadapi.
Manajemen Risiko Yg Efektif
 PROSES

FRAME
WORK
MR-ISO 31000-2018
PRINSIP
Prinsip MR
1. Value create and protection
2. Integrated
3. Structured and comprehensive
4. Custumized
5. Inclusive
6. Dynamic
7. Based available information
8. Human and cultural factors
9. Continual improvement
Framework & Process
 Komunikasi dan Konsultasi

Tujuan:
Komunikasi di awal proses
Memperoleh informasi yang relevan serta
mengkomunikasikan setiap tahapan proses
manajemen risiko sehingga pihak-pihak yang
terkait dapat menjalankan tanggungjawabnya Terkait seluruh kepentingan
dengan baik. stakeholdres selama proses

❑ Dialog 2 arah

❑ Dilaksanakan sejak awal Risk, Sources, Impact,

measurement, treatment
❑ Menjaring masukan dari berbagai sudut
pandang
Ruang Lingkup Komunikasi

Mengakomodasi
Membangun konteks Akomodasi kepentingan
pandangan atas unsur-2
yang tepat stakeholders
Risk Assessment

Strategi penanganan Membangun komunikasi

Mengembangkan
risiko yang tepat, Change yang tepat dengan
Rencana konsultasi
management eksternal dan nternal
 External Context
❑ Konteks eksternal adalah
Hukum &
lingkungan eksternal tempat Lingkungan Peraturan
organisasi berusaha untuk (Legal)
mencapai tujuannya.

❑ Memahami konteks eksternal Ekonomi Pasar

penting untuk memastikan
bahwa tujuan dan perhatian
pemangku kepentingan
eksternal dipertimbangkan External
ketika mengembangkan Sosial Sources of Politik
kriteria risiko Risk
External Context
• Identifikasikan
Pemerintah Pemerintah
Pusat
pihak-pihak
Daerah
eksternal yang
Mass Media Pemegang LSM berpengaruh
Saham terhadap tujuan
organisasi
Suplier ORGANISASI Pelanggan
• Baik secara
Organisasi langsung maupun
DPR/DPRD
Karyawan tidak langsung
Pesaing (regulator)
• Sebagai bahan
Masyarakat Sektor Bisnis pertimbangan
dalam Penetapan
Risk Criteria
Internal Context
❑ Lingkungan internal tempat ๏ Internal stakeholders.
organisasi berusaha untuk mencapai
๏ Governance
tujuannya. structure.

❑ Proses manajemen risiko harus ๏ Capabilities.

diselaraskan dengan budaya ๏ Culture.
organisasi, proses, struktur dan
๏ Standards.
strategi.
๏ Contracts
❑ Konteks internal adalah apa saja
Tools :
dalam organisasi yang dapat • Internal environment assessment;
mempengaruhi cara organisasi akan • Risk Breakdown Structure (RBS)
mengelola risiko
Risk Management Process
ISO 31000 :
“The objectives, strategies,
scope and parameters of the
activities of the
organization, or those parts
of the organization where
the risk management
process is being applied,
should be established”
• menentukan tujuan dan sasaran kegiatan manajemen risiko;
• mendefinisikan tanggung jawab untuk dan dalam proses manajemen risiko;
• mendefinisikan ruang lingkup, serta kedalaman dan luasnya risiko kegiatan
manajemen yang akan dilakukan;
• mendefinisikan aktivitas, proses, fungsi, proyek, produk, layanan atau aset
dalam ketentuan waktu dan lokasi;
• mendefinisikan hubungan antara proyek, proses, atau aktivitas tertentu
dan proyek, proses atau aktivitas organisasi lainnya;
• mendefinisikan metodologi penilaian risiko;
• menentukan cara kinerja dan efektivitas dievaluasi dalam manajemen
risiko;
• mengidentifikasi dan menentukan keputusan yang harus dibuat; dan
• mengidentifikasi, melingkupi atau membingkai studi yang diperlukan,
cakupan dan tujuannya, dan sumber daya yang diperlukan.
Risk Criteria
ISO31000:
Risk Profile
❑ Organisasi harus menetapkan kriteria yang
akan digunakan untuk mengevaluasi
signifikansi dari Risiko.
❑ Kriteria harus mencerminkan nilai, tujuan,
Risk Appetite
dan sumber daya organisasi.
❑ Kriteria risiko harus konsisten dengan
kebijakan manajemen risiko organisasi,
ditetapkan pada: awal dari setiap proses
manajemen risiko dan terus ditinjau Risk Tolerance
Identifikasi Risiko

Tujuan;

Mengidentifikasi seluruh jenis risiko yang berpotensi menghalangi,

menurunkan, atau menunda tercapainya sasaran Unit Pemilik Risiko yang
ada dalam organisasi.

Proses:

Dilakukan dengan cara mengidentifikasi lokasi, waktu, sebab dan proses

terjadinya peristiwa risiko yang dapat menghalangi, menurunkan, atau
menunda tercapainya sasaran.
 Teknik Identifikasi Risiko

reviu
reviu target
interviu Survei dokumen terk
kinerja
ait

workshop focus group pengalaman

yang brainstorming
discussion lalu
difasilitasi

praktik di pengetahuan investigasi

lapangan terbaru kasus
Formulir Daftar Risiko

21
Analisis Risiko
Tujuan :

Analisis risiko bertujuan untuk mengetahui profil dan peta dari

risiko-risiko yang ada di organisasi dan akan digunakan dalam proses
evaluasi dan strategi penanganan risiko.

Proses :

Analisis risiko dilakukan dengan cara mencermati sumber risiko dan

tingkat pengendalian yang ada serta dilanjutkan dengan menilai risiko
dari sisi konsekuensi (Impact) dan kemungkinan terjadinya (likelihood).
 Sumber analisis risiko

Dokumen2 Pengalaman Best

tertentu yg relevan practices

Survei Eksperimen
Literatur yg
kepuasan dan
relevan
publik prototipe

Pendapat brainstormi
ahli ng

23
 Rumus Level Risiko

Level Risiko = Kemungkinan x Dampak

Contoh Matriks Analisis Risiko

25
PETA RISIKO

Tingkat I risiko sangat rendah

Tingkat II risiko rendah

Tingkat III risiko tinggi

Tingkat IV risiko sangat tinggi
Respon terhadap Risiko
Probabilitas

Mitigation (mitigate)

Prevention (abate)

Dampak
Evaluasi Risiko
Tujuan;
◦ untuk mengetahui risiko yg memiliki tingkat prioritas tertinggi hingga
terendah.
◦ Menentukan risiko mana yg di TL dengan penanganan dan risiko mana saja yg
hanya perlu dipantau.

Prioritas didasarkan pada level risiko;

◦ Besarnya dampak penanganan tsb thd konteks yg lebih luas.
◦ Kemungkinan suatu peristiwa tertentu.
◦ Efek kumulatif dari beberapa peristiwa.
◦ Tingkat ketidakpastian level risiko pd tingkat keyakinan tertentu.

Output evaluasi risiko: Profil Risiko Kunci

Contoh formulir profil risiko kunci

29
Contoh Evaluasi Risiko

Level Priorita
No Risiko
Risiko s
1 Risiko laporan keuangan Rendah 7
terlambat disampaikan

2 Risiko kebakaran Rendah 9

3 Risiko kebanjiran Cukup 5
4 Risiko opini disclaimer dari Sangat 1
BPK atas Laporan tinggi
Keuangan tahunan
Penanganan Risiko
Tujuan:
Menentukan jenis penanganan yang efektif dan efisien untuk suatu risiko.

Proses penanganan risiko;

Mengidentifikasi Memutuskan
berbagai opsi opsi Pengembangan
penanganan penanganan rencana mitigasi
risiko yang risiko yang risiko.
tersedia terbaik
Tahapan Penanganan Risiko

Identifikasi Pemilihan
Evaluasi opsi
opsi opsi

Penilaian Implementa
Penyiapan
risiko si
rencana
residual penanganan
 Opsi Penanganan Risiko
1. Menghindari risiko 🡪 memutuskan untuk tidak memulai atau
meneruskan satu aktivitas yang meningkatkan risiko.
2. Menerima risiko 🡪 memutuskan untuk tidak melakukan langkah
mitigasi risiko.
3. Mengurangi konsekuensi risiko 🡪 mengurangi potensi kerugian
dari dampak yang dihasilkan melalui penanganan dampak risiko
(risiko telah terjadi).
4. Mengurangi frekuensi risiko 🡪 mengurangi frekuensi terjadinya
risiko melalui langkah‐langkah preventif.
5. Membagi risiko 🡪 melibatkan pihak lain atau mengalihkan
sebagian risiko kepada pihak lain, umumnya dengan suatu
hubungan timbal balik yang disepakati.
 Penanganan Risiko
(menurut Perban BPKP no 6 Tahun 2018)

Menghindari Mitigasi
Risiko Risiko

Transfer
Risiko Menerima
kepada Risiko
Pihak Ketiga
34
Pertimbangan dalam Evaluasi Opsi
Penanganan

opsi yang dipilih harus kompatibel dengan

seluruh tujuan organisasi dan kriteria evaluasi
risiko;

unsur kepraktisan dan kelangsungannya;

biaya dan kemungkinan penerapan langkah

penanganan risiko
 Dasar Pemilihan Opsi Penanganan

1. keuntungan penanganan risiko;

2. biaya yang dikeluarkan;

3. periode waktu pelaksanaan;

4. ketidakmenentuan kondisi di masa yang akan datang;

5. pengharapan (ekspektasi) sosial;

6. adanya penolakan penanganan risiko, baik oleh personil atau oleh

organisasi.
Penyiapan Rencana Penanganan
mengidentifikasikan tanggung jawab, jadwal,
outcome yang diharapkan, anggaran dana,
pengukuran kinerja dan proses review yang harus
dijalankan;

mencakup mekanisme untuk menilai dan

memonitor efektivitas langkah penanganan risiko;

mendokumentasikan bagaimana secara

praktisnya opsi yang dipilih itu akan
diimplementasikan
Implementasi Penanganan Risiko

memastikan penanggung jawab, jadwal, outcome

yang diharapkan, anggaran dana, pengukuran
kinerja dan proses review telah berjalan sesuai
dengan rencana;

mencakup mekanisme untuk menilai dan

memonitor efektivitas langkah penanganan
risiko;

mendokumentasikan hasil dan hambatan serta

jalan keluar dalam implementasi penanganan
risiko.
 Penilaian Risiko Residual
Resiko residual adalah risiko yg tetap ada setelah opsi penanganan risiko
diputuskan dan rencana penanganan telah diimplementasikan.

Risiko residual seharusnya terdokumentasi dan senantiasa dimonitor dan

direviu.

39
Contoh Formulir Mitigasi Risiko Kunci

40
Monitoring dan Reviu

Monitoring merupakan pengamatan terus menerus terhadap

kinerja yang sebenarnya dibandingkan kinerja yang diharapkan.
Reviu merupakan pemeriksaan periodik terhadap kondisi terkini
dan biasanya terfokus pada hal tertentu.
Proses monitoring dan reviu dilakukan dengan cara memantau
efektivitas rencana penanganan risiko, strategi, dan sistem
manajemen risiko
42
 Dokumentasi Manajemen Risiko

Dokumentasi meliputi; asumsi, metode, sumber data, analisis,

hasil serta alasan pengambilan keputusan.
Pentingnya Dokumentasi MR;
1. Menggambarkan proses MR yg dilaksanakan telah berjalan dengan
tepat
2. Memberikan masukan data dan informasi utk proses identifikasi dan
analisis risiko.
3. Menyediakan daftar risiko yg ada dan mengembangkan database
organisasi.
4. Menyediakan informasi utk proses pengambilan keputusan yg relevan
dgn rencana dan pelaksanaan MR.
5. Menyediakan informasi utk mekanisme tanggung gugat dan peralatan.
6. Memfaslitasi penngawasan dan reviu yang berkelanjutan.
7. Menyediakan informasi yang diperukan utk uji coba audit
43
8. Menyosialisasikan dan mengomunikasikan informasi yang berhubungan
Contoh Dokumentasi MR
Reviu maturitas mr

Maturity level MR menunjukkan tingkat

kematangan Advance
Mature MR Alat
implementasi manajemen risiko dalam suatu Stratejik
organisasi. Basic MR Proses
Manajemen
MR Fokus
Risk Maturity Model (RMM) : Ketaatan

adalah Optimised

suatu alat yang memiliki nilai tambah bagi Managed

perencanaan bisnis dan pendekatan mitigasi Difine

Repeatable
risiko sehingga pimpinan organisasi
Initial
mengetahui kebutuhan untuk
meningkatkan
focuses solely on the kompetensi
focuses solely atas that some
understanding MR as key All strategic and operational planning,
negative consequences of on protecting risks are opportunities. decision crisis, budgeting, and decisions making
manajemen
risk risiko dalamvlues
organisasiny making processes
Latihan & Diskusi
Membangun Mitigasi Risiko
Terima Kasih
Suhartanto,MM, Ak,CA,CFrA,ERMCP,QIA,QGIA