Manajemen Risiko

Pusat Pengembangan Internal Audit | Yayasan Pendidikan Internal Audit

Pelatihan Audit Internal Tingkat Dasar I I

Sertifikasi Qualified Internal Auditor (QIA)

Agenda
BAB I: Pendahuluan
BAB II: COSO dan Produk COSO
BAB III: Kerangka Manajemen
Risiko
BAB IV: Penilaian Risiko
BAB V: Peran Audit Internal
2

BAB - I
Pendahuluan

Aktivitas Utama Manajemen

Risiko
1. Menetapkan selera risiko (risk appetite) organisasi selaras
dengan kapasitasnya dalam mengelola ketidakpastian...
(Secara berkala Risk Appetite harus ditinjau ulang,
sesuaikan dengan perubahan tingkat resiko bisnis).
2. Menyelaraskan pilihan dan strategi bisnis dengan selera risiko
organisasi...
Mengevaluasi
alternatif
strategi,
menetapkan tujuan, dan mengembangkan mekanisme
dalam mengelola resiko.
3. Meningkatkan kualitas keputusan dalam merespon risiko (risk
response)...Identifikasi dan memilih Risk Response
dengan
menghindari,
menerima,
mengurangi,
membagi, menguasai, atau memindahkan

Manfaat Manajemen Risiko

1. Menurunkan kejutan dan kerugian operasional...
Identifikasi event potensial dan peningkatan
kemampuan dalam penetapan respon
2. Mengidentifikasi dan mengelola risiko-risiko yang
bersifat lintas-entitas...
Pengelolaan
resiko
secara
Terintegrasi
dan
memfasilitasi
pemilihan respon.
3. Merebut peluang... Pewujudan Peluang secara
Proaktif
4. Meningkatkan efektivitas pemanfaatan modal...
Dengan cara memiliki Informasi Resiko yg
lengkap.

Definisi Manajemen Risiko

Menurut COSO (1992/1994)
Manajemen risiko adalah sebuah proses, yang
dipengaruhi oleh
dewan pengawas, manajemen
senior dan personil lainnya, diterapkan dalam
perumusan strategi dan diterapkan di seluruh
Lingkup entitas, dirancang untuk mengidentifikasi
timbulnya
kejadian
yang
berpotensi
dapat
mempengaruhi entitas, dan mengelola risiko agar
senantiasa berada dalam risk appetite, untuk
memberikan
keyakinan memadai dalam pencapaian
Menurut POJK
tujuan
entitas.
Manajemen
Risiko adalah serangkaian metodologi dan
No.18/POJK.03/2016
prosedur yang digunakan untuk mengidentifikasi,
mengukur, memantau, dan mengendalikan Risiko yang
timbul dari seluruh kegiatan usaha Bank.

Konsep Dasar Manajemen Risiko

Sebuah PROSES... Manajemen Resiko tidak
STATIS tetapi merupakan Suatu Proses yang
berkelanjutan dan melekat atau mencakup
seluruh area dalam entitas.
Dipengaruhi oleh Orang pada seluruh jenjang
entitas.
Diterapkan dalam Perumusan Strategi.
Diterapkan
di
seluruh
Lingkup
Entitas/Organisasi, di setiap tingkat dan unit,
dan mencakup identifikasi portofolio risiko pada
level entitas secara umum.
Selera Resiko (Risk Appetite)... Dirancang
untuk mengidentifikasi peristiwa yang berpotensi
terjadi, yang jika terjadi, akan mempengaruhi
entitas; dan mengelola risiko dalam risk appetite

Contd
Memberikan Asurans yang Wajar... Mampu
memberikan keyakinan memadai kepada dewan
pengawas dan manajemen sentior entitas.
Pencapaian Tujuan Organisasi... Ditujukan
dalam upaya pencapaian satu atau lebih kategori
tujuan yang terpisah tetapi tumpang tindih.

Konsep dasar Manajemen Risiko

1. Proses
Manajemen risiko tidak bersifat statis, tetapi merupakan
suatu
proses yang berlangsung terus-menerus, berkelanjutan dan
diterapkan secara melekat dalam operasi organisasi.

2. Dipengaruhi oleh Orang

Manajemen risiko dipengaruhi oleh perkataan dan

perbuatan
pimpinan dan seluruh personil lain dalam
organisasi. Mereka
menetapkan misi, strategi dan tujuan organisasi
dan membuat

Contd
3. Diterapkan dalam Perumusan Strategi
Organisasi menetapkan visi misinya dan
menetapkan tujuan strategis. Manajemen risiko
diterapkan pada proses perumusan strategi, di
mana manajemen mempertimbangkan risiko
atas strategi-strategi alternatif yang ada, dalam
rangka mengevaluasi dan memilih strategi
organisasi dan tujuan-tujuan terkaitnya.

Contd
4. Diterapkan pada seluruh lingkup
organisasi
Manajemen risiko diterapkan di seluruh tingkatan
organisasi, dari tingkat perencanaan strategis dan
alokasi sumber daya, kegiatan usaha seperti
pemasaran dan sumber daya manusia, hingga ke
tingkat proses bisnis rinci seperti produksi,
pengadaan bahan baku dan review kredit untuk
pelanggan
baru.
Manajemen
risiko
juga
diterapkan pada setiap proyek atau inisiatif baru
yang mungkin belum termasuk dalam struktur
organisasi entitas.

Contd
5. Selera Risiko (Risk Appetite)
Selera risiko adalah besarnya risiko, dalam
tingkat yang luas, yang dapat diterima oleh
organisasi dalam upaya mewujudkan nilai
organisasi. Selera risiko mencerminkan filosofi
manajemen risiko organisasi, dan selanjutnya
mempengaruhi budaya organisasi dan gaya
operasinya. Selera risiko memberikan panduan
untuk alokasi sumber daya.

Contd
6. Toleransi Risiko
Toleransi risiko adalah tingkat risiko yang dapat
diterima. Dalam menentukan toleransi risiko,
manajemen mempertimbangkan kepentingan
relatif
dari
tujuan-tujuan
terkait
dan
menyelaraskan toleransi risiko dengan selera
risiko. Beroperasi dalam toleransi risiko
membantu meyakinkan organisasi untuk tetap
berada dalam selera risikonya dan pada
gilirannya akan membantu organisasi mencapai
tujuannya.

Contd
7. Memberikan Asurans yang Wajar
Manajemen risiko yang dirancang dan dijalankan
dengan baik dapat memberikan asurans yang
wajar atas pencapaian tujuan organisasi.
Manajemen risiko yang efektif sekalipun dapat
mengalami kegagalan. Asurans yang wajar
berbeda dengan asurans mutlak.

Contd
8. Pencapaian Tujuan Organisasi
Kerangka kerja ERM menetapkan empat kategori
tujuan organisasi:
Strategis: berhubungan dengan tujuan
tingkat tinggi yang diselaraskan dengan dan
mendukung misi organisasi.
Operasi: berhubungan dengan penggunaan
sumber daya organisasi secara efektif dan
efisien.
Pelaporan: berhubungan dengan keandalan
laporan organisasi.
Kepatuhan: berhubungan dengan kepatuhan
organisasi terhadap hukum dan peraturan

Pencapaian Tujuan Organisasi

Kerangka kerja ERM menetapkan empat kategori
tujuan organisasi:
1. Strategis: berhubungan dengan tujuan tingkat
tinggi yang diselaraskan dengan dan mendukung
misi organisasi.
2. Operasi:
berhubungan
dengan
penggunaan
sumber daya organisasi secara efektif dan efisien.
3. Pelaporan:
berhubungan
dengan
keandalan
laporan organisasi.
4. Kepatuhan: berhubungan dengan kepatuhan
organisasi terhadap hukum dan peraturan yang
berlaku.

BAB - II
COSO dan Produk COSO

17

Pengantar
COSO, sebagai akronim Committee of Sponsoring
Organizations of Treadway Commission, merupakan
organisasi volunteer yang bertujuan untuk meningkatkan
kualitas
pelaporan
keuangan
perusahaan
melalui
penegakan etika bisnis, pengendalian internal dan
corporate governance.
COSO dibentuk pada tahun 1985 untuk mendukung National
Commission on Fraudulent Financial Reporting, sebuah
Organisasi bentukan pemerintah Amerika Serikat yg sering
disebut sebagai Treadway Commission. Studinya mengenai
faktor2 yg melatarbelakangi Fraud terkait penyimpangan
laporan keuangan dan mengembangkan rekomendasinya

Organisasi-Organisasi Sponsor
Pendukung COSO
1. American
Institute
of
Certified
Public
Accountants (AICPA),
2. The Institute of Internal Auditors (IIA),
3. Financial Executives International (FEI),
4. Institute of Management Accountants (IMA)dan
5. American Accounting Association (AAA).

Pedoman Diterbitkan COSO

1.
2.
3.
4.

Governance and Operational Performance

Internal Controls (Pengendalian Internal)
Enterprise Risk Management (Manajemen Risiko)
Fraud Deterrence (Pencegahan Fraud)

Securities Exchange
Comission
SEC (Securities Exchange Comission) adalah institusi
komisi pengawas pasar modal di Amerika Serikat yang
memiliki kewenangan mengatur bentuk dan substansi
pengendalian
Internal...berdasarkan
ketentuan
sebuah Undang-undang yang diberlakukan di Negara
tersebut yakni Sarbanes Oxley Act of 2002 (SoA).
Sarbanes Oxley Act of 2002 (SoA) mengatur bahwa
pengendalian internal harus berupa kerangka
pengendalian yang diterbitkan oleh badan atau
kelompok profesi terkemuka; yang telah melalui
prosedur due process, termasuk penyebaran kerangka
untuk mendapatkan komentar publik.

Contd
SEC mendefinisikan bahwa kerangka yang tepat
(suitable frameworks) harus ;
Bebas dari bias
Konsisten dalam hal ukuran kualitas dan
kuantitas pengendalian internal entitas
Lengkap sehingga faktor-faktor terkait yang
dapat mengubah kesimpulan hasil evaluasi
efektivitas pengendalian internal tidak akan
terabaikan
terhadap
evaluasi
pengendalian
Relevan
internal atas pelaporan keuangan.

Contd
SEC menjelaskan bahwa COSO Internal ControlIntegrated
Framework
(kerangka
terpadu
pengendalian
internal
dari
COSO)
telah
memenuhi persyaratan (seperti di Slide
sebelumnya yg telah disebutkan.
SEC juga mengakui bahwa selain kerangka COSO,
kerangka di negara-negara lain juga dapat
dikategorikan memenuhi persyaratan-persyaratan
ini, contohnya: CoCo, Turnbull, King, atau kerangka
lainnya.
Dalam praktek manajemen risiko juga dikenal
beberapa kerangka manajemen risiko yang sangat
popular yaitu ISO:31000 dan Standar Australia/New
Zealand (AS/NZS 4360)

Kerangka Terpadu Pengendalian

Internal (COSO I)
Internal Control Integrated Framework (ICIF) tahun 1992
(COSO I) yang merupakan awal dari pengembangan
ERM
(Enterprise
Risk
Management/COSO
II)
mendefinisikan Pengendalian Internal sebagai suatu
proses yang dipengaruhi oleh dewan komisaris,
manajemen, dan karyawan lain suatu entitas, yang
dirancang untuk memberikan keyakinan memadai
sehubungan dengan pencapaian tujuan dalam kategori1. Efektivitas dan efisiensi operasi,
kategori sebagai berikut:
2. Keandalan pelaporan keuangan, serta
3. Ketaatan
terhadap
peraturan
perundangundangan yang berlaku.

Tujuan dalam Kategori-kategori

yang didefinisikan dalam COSO I
1.Efektivitas dan efisiensi operasi,
Menunjukkan tujuan dasar atau sering disebut
sebagai tujuan
kinerja dan tujuan memperoleh keuntungan serta
pengamanan
Sumber Daya.
2. Keandalan pelaporan keuangan,
Laporan Keuangan yg Andal termasuk Laporan
Keuangan Interim
dan data-data keuangan tertentu.
3.
Ketaatan terhadap peraturan perundangundangan yang berlaku.
Kepatuhan terhadap Hukum dan Peraturan yang

Dimensi Kerangka Pengendalian

Internal Terpadu (COSO I)
Kerangka pengendalian internal terpadu (ICIF/COSO
I) digambarkan secara tiga dimensi dalam sebuah
bangunan kubus (COSO CUBE) sebagai berikut ;

Dimensi Kerangka
Pengendalian Internal
Terpadu (COSO I)
1. Dimensi
pertama
menggambarkan
tujuan
entitas.
2. Dimensi kedua menggambarkan level entitas
dan kegiatan.
3. Dimensi ketiga menggambarkan lima komponen
pengendalian intern

Komponen Pengendalian
Intern
1. Komponen Lingkungan Pengendalian (a.l
mencakup integritas, nilai-nilai etika,
kompetensi orang-orang yang ada dalam entitas
dan filosopi manajemen dan gaya oiperasinya)
2. Komponen Penilaian Risiko
3. Komponen Kegiatan Pengendalian
4. Komponen Informasi dan Komunikasi
5. Komponen Pemantauan

Pihak yang Bertanggung Jawab

Terhadap Pengendalian Intern
1.
2.
3.
4.

Manajemen
Dewan Komisaris
Auditor Intern
Personil lain dalam organisasi

BAB - III
Kerangka Manajemen Risiko

30

Pengantar
Sebagaimana konsep deskriptif lainnya, konsepkonsep manajemen risiko, yang dimuat dalam
suatu kerangka kerja, harus dipahami secara
menyeluruh berikut dengan latar belakang
penyusunannya. Kerangka kerja memberikan arah
bagi pemahaman sebuah metodologi agar
diperoleh kesamaan pandang tentang konsep dan
implementasinya.

Beberapa Kerangka Manajemen

Risiko
1. British Standard BS6079-3 (2000)
2. International Risk Government Council IRGC
(2004)
3. ERM COSO (2004)
4. Australian New Zealand Standard - AS/NZS 4360
(2004)
5. ISO 31000 (2009)
6. A Risk Management Standard (Institute of Risk
Management, Association of Insurance and Risk
Management)

Kerangka Manajemen Risiko ISO 31000

Hubungan antara Principles, Framework &

Process ISO 31000

Prinsip Manajemen Risiko ISO

31000
a.
b.
c.
d.
e.
f.
g.
h.
i.
j.

Menciptakan nilai,
Bagian integral dari proses organisasi,
Bagian dari pengambilan keputusan,
Secara eksplisit membahas ketidak pastian,
Sistematik terstruktur dan tepat waktu,
Berdasarkan informasi terbaik yang tersedia,
Dirancang secara khusus,
Memperhatikan faktor manusia dan budaya,
Transparan dan inklusif,
Dinamis, berulang dan peka terhadap
perubahan, dan
k. Memfasilitasi penyempurnaan berkelanjutan dan
kemajuan organisasi

Kerangka Kerja ISO 31000

Proses Manajemen Risiko

Enterprise Risk Management/ERM

(COSO II)
Definisi

Suatu proses yang dipengaruhi oleh dewan

direksi, manajemen, dan personil lain, yang
diterapkan dalam menetapkan strategi dan
melalui
entitas,
dirancang
untuk
mengidentifikasi kejadian potensial yang
mungkin
mempengaruhi
entitas,
dan
mengelola risiko ke dalam risiko yang dapat
diterima
(risk
appetite),
untuk
mengidentifikasi
keyakinan
memadai
mengenai pencapaian tujuan entitas.

Kubus Tiga Dimensi COSO ERM

Konsep Pokok Kerangka COSO ERM

1. Suatu proses, berkelanjutan, dan mengalir dalam
entitas;
2. Dipengaruhi oleh orang-orang pada setiap
tingkat organisasi;
3. Diterapkan dalam penetapan strategi;
4. Diterapkan pada entitas, pada setiap tingkat dan
unit, dan termasuk pengambilan risiko pada tiap
tingkat jabatan entitas;
5. Dirancang
untuk
mengidentifikasi
kejadian
potensial yang mempengaruhi entitas dan
mengelola risiko dalam risiko yang dapat
diterima;
6. Mampu memberikan keyakinan memadai kepada
manajemen dan dewan;
7. Menghubungkan pencapaian tujuan dengan satu
atau lebih kategori yang terpisah tapi saling
melengkapi.

Komponen COSO ERM Integrated

Framework
1. Lingkungan internal

Komponen ini mencerminkan filosofi ERM sebagai suatu

entitas, risiko yang dapat diterima, board oversight
(dewan komisaris), komitmen nilai perilaku, kompetensi
dan pengembangan SDM, serta menetapkan otoritas dan
tanggung jawab.

2. Penetapan tujuan

Manajemen
menetapkan
tujuan
strategis,
tujuan
operasional, tujuan pelaporan, dan kepatuhan yang
diselaraskan dengan risiko yang dapat diterima entitas

3. Identifikasi Peristiwa

Manajemen mengidentifikasi peristiwa baik berpotensi

positif maupun negatif terhadap kemampuan entitas untuk
menerapkan strategi dan mencapai tujuan serta kinerjanya.

Contd
4. Penilaian Risiko

Metode kualitatif dan kuantitatif untuk mengevaluasi

kemungkinan dan dampak peristiwa potensial, yang
mungkin mempengaruhi pencapaian tujuan.

5. Respons Risiko
6.
7.

Alternatif/opsi respon dengan mempertimbangkan biaya

dengan manfaat
Kegiatan
Pengendalian
Kebijakan dan prosedur pada semua tingkat dan semua
fungsi
Informasi
dan Komunikasi
Informasi internal dan eksternal yang memungkinkan
seluruh personil menyelesaikan tanggung-jawabnya

8. Pemantauan

Penilaian ada dan berfungsinya komponen ERM dan mutu

kinerjanya dari waktu ke waktu.

Proyek Pengembangan Kerangka

COSO ERM bersama
PriwcewaterhouseCoopers (PwC)
Lima Tahapan Proyeknya :
a) Penilaian
b) Penetapan Visi
c) Mendesain Kerangka
d) Persiapan untuk Public Exposure
e) Finalisasi
Dokumen Draft kerangka ERM dipaparkan
selama periode 90 Hari dan diuji coba pada
entitas terpilih

Hubungan COSO ERM dengan

COSO ICIF
1. Kerangka ERM lebih luas, berfokus pada
manajemen risiko dan meliputi kerangka pengendalian
intern.
2. Kerangka ERM menambahkan satu kategori tujuan
baru, yaitu tujuan strategis, dan memperluas tujuan
pelaporan, termasuk pelaporan internal.
3. Kerangka ERM memperkenalkan konsep risiko
yang dapat diterima dan toleransi risiko (risk
tolerance).
4. Kerangka ERM memperluas komponen penilaian
risiko dalam empat komponen yaitu penetapan
tujuan, identifikasi peristiwa, penilaian risiko, dan
respon risiko.

Manfaat Penerapan COSO

ERM
Tujuan Utama : Mengidentifikasi keyakinan memadai bagi
manajemen dan dewan agar tujuan bisnis entitas tercapai.
Manfaat lain :
1. Membantu manajemen mengambil resiko yagd apat
diterima
2. Meningkatkan keputusan untuk merespon resiko
3. Mengurangi kerugian operasional yang tidak terduga
4. Mengidentifikasi
dan
mengelola
resiko
entitas,
mengidentifikasi respon yang terintegrasi pada resiko yang
bersifat ganda
5. Menggunakan peluang untuk meningkatkan penyaluran
modal.

Pertimbangan Penerapan
COSO ERM
1. Mengurangi keragaman kinerja yang tidak dapat
diterima
2. Mengintegrasikan bermacam-macam pandangan
manajemen risiko
3. Membangun keyakinan investor dan stakeholder
4. Meningkatkan corporate governance
5. Sukses merespon perubahan lingkungan bisnis
6. Membentuk strategi dan budaya entitas

Langkah yang Perlu Dilakukan

dalam Mengimplementasikan ERM
1. Mengadopsi suatu bahasa risiko yang umum
2. Melakukan penilaian risiko entitas untuk mengidentifikasi
dan memprioritaskan risiko-risiko organisasi yang kritis.
3. Melaksanakan suatu analisis kesenjangan dari kemampuan
saat ini dan yang diharapkan dalam mengelola risiko-risiko
yang kritis.
4. Mengartikulasikan visi manajemen risiko, tujuan dan sasaran,
serta pelaksanaan permasalahan nilai untuk mengidentifikasi
pertimbangan ekonomi untuk maju kedepan
5. Meningkatkan kemampuan manajemen risiko organisasi
untuk satu atau dua risiko kritis yakni mulai dengan suatu
area resiko dimana pengurus senior mengetahui perbaikanperbaikan yang diperlukan untuk melaksanakan strategi
bisnis dengan sukses.

Strategi
Mengimplementasikan ERM
1. Identifikasi dan pahami risiko prioritas organisasi
untuk menetapkan suatu konteks.
2. Gunakan kerangka COSO untuk menggambarkan
kondisi kemampuan manajemen risiko yang ada
sekarang.
3. Gunakan kerangka COSO untuk menggambarkan
kondisi kemampuan manajemen risiko yang
diinginkan di masa depan.
4. Analisa dan artikulasikan ukuran kesenjangan
antara (b) dan (c) dan sifat alami perbaikanperbaikan yang diperlukan untuk menutup
kesenjangan.

Contd
5. Berdasarkan pada analisa di atas, kembangkan
suatu kasus bisnis untuk menujukkan
kesenjangan dalam mengidentifikasi
pertimbangan ekonomi bagi seluruh usaha
untuk menerapkan peningkatan prasarana ERM.
6. Mengorganisasikan rencana yang
mempertimbangkan kemampuan prasarana
ERM.
7. Lakukan pengawasan dan sediakan fasilitas
yang diperlukan untuk memastikan
pengintegrasian dan koordinasi yang efektif
diseluruh kegiatan
48

BAB - IV
Teknik Penilaian Risiko

49

Teknik Penilaian Risiko ISO

31000
1. Brainstorming
Brainstorming merupakan pembahasan diantara kelompok
yang mengharuskan penggunaan imajinasi yang tinggi
model kegagalan potensial dan
mengidentifikasi
untuk
;
bahaya yang berkaitan,
risiko-risiko,
kriteria-kriteria untuk mengambil keputusan dan atau
pilihan-pilihan untuk melakukan tindakan

2. Wawancara Terstruktur dan Semi Terstruktur

Interview secara pribadi dengan daftar pertanyaan yang
telah disiapkan untuk mendorong interviewer melihat
situasi dari prespektif tertentu dan mengidentifikasi risiko
dari perspektif tersebut. Untuk yang semi terstruktur
dimungkinkan lebih banyak tanya-jawab yang bebas untuk
mengeksplor masalah masalah yang diangkat.

Teknik Penilaian Risiko ISO

31000
3. Delphy Technique
Teknik Delphi adalah suatu prosedur untuk memperoleh
konsensus opini yang dapat dipercaya dari sebuah group
ahli, secara individual dan tanpa nama yang selanjutnya
dilakukan penilaian dengan melibatkan para ahli lainnya.

4. Check-List
5. Preliminary Hazard Analysis (PHA)
6. Hazard and operability study (Hazop)
Metode pengujian yang terstruktur dan sistemik dari sebuah
perencanaan atau produk yang ada, proses, prosedur atau
sistem.

Teknik Penilaian Risiko ISO 31000

7. Hazard Analisys And Critical Control Point (HACCP)
8. Toxicity Assesment
9. Structured What-If Technique (SWIFT)
10.Scenario Analisys
11.Business Impact Analisys ( BIA)
12.Root Cause Analisys (RCA)
13.Failure Modes And Effect Analisys ( FMEA) And
Failure
Modes
And
Effect
And
Critically
Analysis( FMECA)
14.Fault Tree Analisis ( FTA)
15.Event Tree Analysis ( ETA)

Teknik Penilaian Risiko ISO

31000
16.Cause -Consequence Analysis
17.Cause-And-Effect Analysis (Analisis Sebab Akibat)
18.Layers Of Protection Analysis (LOPA)
19.Decision Tree Analysis
20.Human Reliability Assessment (HRA )
21.Bow Tie Analysis
22.Reliability Centred Maintenance
23.Sneak Analysis (SA) And Sneak Circuit Analysis (SCA)
24.Markov Analysis
25.Monte Carlo Simulation
26.Cost /Benefit Analysis (CBA)

Implementasi Teknik
Penilaian Risiko ISO 31000
1. Penggunaan
teknik
penilaian
diklasifikasikan berdasarkan langkah
penilaian risiko sebagai berikut:

risiko
proses

I. Identifikasi risiko;
II. Analisis risiko:

a. Consequence analysis;
b. Estimasi probabilitas kuantitatif,kualitatif,
atau semi-kuantitatif;
c. Menilai efektifitas dari kontrol yang ada;
d. Estimasi tingkat risiko;
III. Evaluasi risiko.

Faktor yang Mempengaruhi

Pemilihan Teknik Penilaian Risiko
1. Sejauh mana sumber daya yang dibutuhkan
(waktu dan tingkat keahlian, kebutuhan data
atau biaya),
2. Sifat dan tingkat ketidakpastian penilaian risiko
berdasarkan jumlah informasi yang tersedia dan
hal yang diperlukan untuk memenuhi tujuan,
3. Kompleksitas masalah dan teknik-teknik yang
diperlukan untuk menganalisisnya,
4. Apakah teknik tersebut dapat memberikan
output kuantitatif.

BAB - V
Peran Audit Internal

56

Manfaat ERM
1. Meningkatkan kemungkinan pencapaian tujuan organisasi;
2. Pelaporan risiko-risiko yang berasal dari berbagai unit secara
konsolidatif kepada Dewan Komisaris;
3. Peningkatan pemahaman tentang risiko utama dan implikasinya
secara lebih luas;
4. Mengidentifikasi dan membagi risiko yang bersifat lintas bisnis;
5. Fokus manajemen yang lebih besar pada isu-isu yang benarbenar penting;
6. Semakin menurunnya terjadinya kejutan atau krisis;
7. Lebih fokus secara internal dengan melakukan hal yang benar
dalam cara yang benar;
8. Peningkatan kemungkinan pencapaian tujuan terhadap inisiatif
yang berubah;
9. Kemampuan untuk mengambil risiko yang lebih besar untuk
memperoleh hasil yang lebih besar, dan
10.Proses pengambilan risiko dan pengambilan keputusan yang
lebih didasarkan pada informasi yang lebih banyak.

Kegiatan dalam Ruang

Lingkup ERM
1. Mengartikulasikan dan mengkomunikasikan tujuan organisasi;
2. Menentukan risk appetite organisasi;
3. Membangun lingkungan internal yang sesuai, termasuk kerangka
manajemen risiko;
4. Mengidentifikasi potensi ancaman terhadap pencapaian tujuan;
5. Menilai risiko (yaitu dampak dan kemungkinan ancaman yang
terjadi);
6. Memilih dan mengimplementasikan respon terhadap risiko;
7. Melakukan kontrol dan kegiatan respon lainnya;
8. Mengkomunikasikan informasi tentang risiko secara konsisten di
semua tingkatan dalam organisasi;
9. Memantau dan mengkoordinasikan proses manajemen risiko dan
hasilnya terpusat , dan
10.Memberikan jaminan atas efektivitas pengelolaan risiko

Peran Audit Internal dalam ERM

Peran Pokok - Memberi Asurans

Terhadap ERM
1. Memberi asurans atas proses manajemen risiko;
2. Memberi asurans bahwa risiko telah dievaluasi
secara tepat;
3. Mengevaluasi proses manajemen risiko;
4. Mengevaluasi pelaporan risiko utama;
5. Mereviu pengelolaan risiko utama.

Peran Legitimate Memberi

Consulting terhadap ERM
1. Menyediakan tools dan teknik manajemen untuk
menganalisis risiko dan pengendalian;
2. Menjadi risk champion untuk memperkenalkan
ERM
ke
dalam
organisasi,
memberikan
keahliannya dalam manajemen risiko dan
pengendalian bagi organisasi;
3. Memberikan saran, memfasilitasi lokakarya,
membimbing organisasi, dan mempromosikan
kerangka kerja dan pemahaman dalam hal risiko
dan pengendalian;
4. Bertindak sebagai pusat koordinasi, pemantauan
dan pelaporan risiko; dan
5. Mendukung para manajer dalam mereka bekerja
mengidentifikasi cara terbaik untuk memitigasi

Safeguarding
1. Harus
jelas
bahwa
manajemen
tetap
bertanggung jawab terhadap proses manajemen
risiko.
2. Sifat tanggung jawab auditor internal harus
didokumentasikan dalam piagam audit internal
dan disetujui oleh komite audit.
3. Audit internal tidak diperkenankan mengelola
risiko, sekalipun atas nama manajemen.

Safeguarding
1. Audit
internal
harus
memberikan
saran,
tanggapan dan dukungan kepada manajemen
dalam proses pengambilan keputusan.
2. Audit
internal
juga
tidak
diperkenankan
memberikan asurans terhadap setiap bagian
kerangka kerja ERM yang menjadi tanggung
jawabnya. Asurans tersebut harus disediakan oleh
pihak lain yang memiliki kualifikasi memadai.
3. Setiap penugasan di luar kegiatan asurans harus
diakui sebagai suatu penugasan konsultasi, dan
standar terkait dengan penugasan tersebut harus
dipatuhi.

Peran yang Dilarang bagi Audit

Internal Terkait ERM
1. Menetapkan risk appetite;
2. Melaksanakan implementasi proses manajemen
risiko;
3. Mengambil alih tanggung jawab terhadap risiko;
4. Mengambil keputusan untuk merespon risiko;
5. Melaksanakan respon risiko atas nama
manajemen;
6. Mengambil alih tanggung jawab terhadap
manajemen risiko secara keseluruhan.

Peran Audit Internal Sebagai

Koordinator Pemberi Asurans
Sesuai dengan standar kinerja audit intern nomor 2050
Koordinasi, Kepala Eksekutif Audit harus berbagi informasi dan
mengkoordinasikan kegiatannya dengan penyedia layanan jasa
asurans dan konsultasi internal dan eksternal untuk
memastikan
cakupan yang tepat dan meminimalkan duplikasi penugasan.

Memahami Pekerjaan yang

Dilakukan oleh Auditor Eksternal
1. Sifat, ruang lingkup, dan saat pekerjaan yang
direncanakan oleh auditor eksternal.
2. Penilaian auditor eksternal terhadap risiko dan
materialitas.
3. Teknik, metode, dan terminologi auditor
eksternal memungkinkan CAE untuk:
a. mengkoordinasikan pekerjaan audit internal
dan eksternal,
b. mengevaluasi pekerjaan auditor eksternal,
dan
c. berkomunikasi secara efektif dengan auditor
eksternal.
4. Akses ke audit program dan kertas kerja auditor
eksternal harus dapat mendukung kondisi bahwa

Tiga Kelompok Dasar Unit

Penyedia Asurans
1. Mereka yang melapor ke manajemen dan/atau
merupakan bagian dari manajemen (manajemen
assurance), termasuk unit-unit yang melakukan
control self-assessments, auditor kualitas, auditor
lingkungan, dan personil asurans manajemen lain
yang ditunjuk untuk itu.
2. Mereka yang melapor ke Dewan Komisaris dan
Manajemen Senior, termasuk audit internal.
3. Mereka yang melaporkan kepada stakeholder
eksternal
(assurans
audit
eksternal),
yang
merupakan
peran
tradisional
dan
biasanya
dilaksanakan oleh auditor independen atau auditor
lain yang ditentukan oleh hukum.

Contd
Tingkat keyakinan yang diinginkan, dan siapa yang harus
memberikan asurans, akan bervariasi tergantung pada
risiko
yang menjadi fokus asurans.

Three Lines Of Defense

Three Lines Of Defense

Lini pertama:
1. Manajemen lini dan karyawan (manajemen
memberikan asurans sebagai baris pertama
pertahanan atas risiko dan kontrol yang
menjadi tanggung jawab mereka).
2. Manajemen senior

Three Lines Of Defense

Lini kedua:
1. Unit kepatuhan
2. Asurans kualitas
3. Unit manajemen risiko
4. Auditor lingkungan dan auditor keselamatan
dan kesehatan kerja
5. Tim pengkaji laporan keuangan

Three Lines Of Defense

Lini ketiga:
1. Auditor internal dan eksternal
2. Auditor kinerja dari pemerintah
3. Dewan-dewan tertentu (misalnya, audit,
aktuaria, kredit, dan tata kelola)
4. Penyedia asurans eksternal, termasuk
reviu dari spesialis (misalnya kesehatan
dan keselamatan), dan lain-lain.

Struktur Peta Asurans

1. Kategori risiko signifikan
2. Peran manajemen yang bertanggung
terhadap risiko (risk owner)
3. Tingkat risiko inherent
4. Tingkat risiko residual
5. Cakupan audit eksternal
6. Cakupan audit internal
7. Jangkauan penyedia asurans lainnya

jawab

TERIMA KASIH