BEDAH BUKU

GOVERNANCE, RISK
MANAGEMENT, AND
COMPLIANCE
Executive’s Guide to Risk Governance and Risk Oversight
Oleh Leo J Susilo
Penerbit PT Gramedia Widiasarana Indonesia, Jakarta
2017
 Sistematika Penyajian
• Pendahuluan (2 bab)  Mengapa GRC? apa itu GRC?
• Bagian I: Komponen GRC-Manajemen Risiko (6 bab)  memahami risiko,
memilih standar, prinsip dan panduan, implementasi MR, Audit MR, Risk oversight & Risk governance

• Bagian II: Komponen GRC- Compliance (4 bab)  manajemen kepatuhan, risiko

regulasi, aspek kepatuhan mandiri, tata kelola manajemen kepatuhan

• Bagian III: Komponen GRC-Governance (4 bab)  aspek hukum penerapan GCG,

pokok-pokok penerapan GCG, hubungan GCG & IC, Corporate governance & risk governance

• Penutup (1 bab)  tantangan penerapan GRC

 PENDAHULUAN
Why GRC?
Tuntutan untuk melakukan risk oversight, namun ternyata tidak dapat
dipisahkan dengan kegiatan lainnya yaitu governance dan compliance

Apakah GRC itu?

Governance cara bagaimana mengarahkan dan mengendalikan perusahaan
Risk Management upaya organisasi untuk menangani risiko guna
mengamankan pencapaian sasaran organisasi/perusahaan
Compliance kesediaan untuk mengikuti batasan-batasan (boundary) yang
telah ditetapkan baik yang bersifat wajib (mandatory) maupun yang bersifat
mandiri (self regulation)
 Bagian I: Komponen GRC-Manajemen Risiko..

Asesmen Manajemen Risiko, bentuknya:

• Conformance Assessment: apakah semua elemen dari standar yang telah ada dan
berfungsi dengan baik, artinya pasal-pasal dalam prinsip, kerangka kerja, dan
proses manajemen risiko memang telah ada dalam praktik dan berfungsi.
• Risk Maturity Assessment: apakah semua komponen tadi telah berfungsi dan
beroperasi sebagai satu kesatuan manajemen risiko perusahaan yang telah
terintegrasi pada proses bisnis perusahaan. Asesmen bentuk ini adalah asesmen
maturitas penerapan manajemen risiko dan bertujuan menilai efektivitasnya.
• Control Effectiveness Assessment: apakah pengendalian risiko yang ada telah
berjalan dengan efektif sesuai dengan spesifikasi yang ditetapkan sebelumnya
 Bagian II: Komponen GRC- Compliance

Compliance obligation terdiri dari dua macam kewajiban kepatuhan, yaitu:

• Tuntutan kepatuhan (compliance requirement) yang berasal dari regulasi,
undang-undang, hukum, PSAK, Standar Industri, dan sejenisnya. Dalam
praktik, kewajiban ini sering disebut sebagai “kepatuhan” saja. Potensi
pelanggaran terhadap kewajiban ini disebut sebagai risiko kepatuhan
(compliance risk) yang sering disebut sebagai risiko yang sudah pasti. Risiko
utama yang dihadapi: Risiko Regulasi
• Komitmen Kepatuhan (compliance commitment) yang berasal dari kesediaan
perusahaan secara sukarela mengikatkan diri pada kewajiban-kewajiban
tertentu (self regulation) sehingga timbul tuntutan yang harus dipenuhi.
Ketentuan-ketentuan ini antara lain Pedoman Etika Bisnis Perusahaan,
Peraturan Asosiasi Industri, dan lain-lain. Kewajiban ini dalam praktik lebih
dikenal dengan “etika bisnis dan perilaku”. Potensi pelanggaran terhadap
kewajiban ini disebut sebagai risiko hukum (legal risk). Risiko utama yang
dihadapi: Risiko Litigasi
 Bagian III: Komponen GRC- Governance

Kata Governance berasal dari Bahasa Yunani “gubernare” yang berarti

mengemudikan kapal. Merujuk pada definisi Organization for Economic
Cooperation and Development (OECD) dapat dikatakan bahwa governance
adalah suatu sistem yang mengatur tata hubungan antara berbagai pihak
dalam perusahaan yaitu pemegang saham, direksi, dewan komisaris, manajer
dan para pemangku kepentingan lainnya dalam menentukan arah dan
kebijakan perusahaan.
Dalam konteks GRC, GP Miller (2014) menyatakan bahwa governance meliputi
semua proses pengambilan keputusan yang terkait dengan manajemen risiko
dan compliance di dalam organisasi.
 Bagian III: Komponen GRC- Governance… (1)

Indonesia sebagai negara bekas jajahan Belanda mengikuti sistem hukum

Eropa Kontinental. Tata kelola perusahaan dalam hukum kontinental sering
disebut dengan istilah Dual Board System (Two-tier board system). Undang-
undang Nomor 40 Tahun 2007 tanggal 16 Agustus 2007 tentang Perseroan
Terbatas (UU PT), menjelaskan bahwa organ perusahaan yang terkait
pengambilan keputusan terdiri dari Rapat Umum Pemegang Saham (RUPS),
Direksi, dan Dewan Komisaris.

Pengendalian Internal (Internal Control/IC) sering disebut sebagai salah satu

sarana untuk memastikan terlaksananya corporate governance yang baik
 Bagian III: Komponen GRC- Governance… (2)

Korelasi antara IC sebagai bagian integral dari risk management dan

merupakan salah satu elemen kunci dalam corporate governance menurut
Robert R Moeller (2014) digambarkan sebagai berikut:

Corporate Governance Risk Management

Internal Control
 PENUTUP

Assessment GRC

Untuk melaksanakan assessment terhadap penerapan GRC sesuai dengan buku

panduan GRC Capability Model Version 3.0, OCEG telah mengeluarkan buku panduan
dengan judul GRC Assessment Tool version 3.0.
Buku panduan ini pada dasarnya digunakan untuk internal, artinya dapat digunakan
untuk melakukan self-assessment atau assessment oleh Auditor Internal (SPI) namun
tidak disarankan bila perusahaan masih dalam tahap awal penerapan GRC karena
tuntutannya yang tinggi.
Oleh karena itu, untuk tahap awal disarankan menggunakan assessment sederhana
mengenai penerapan GRC yang disusun oleh Norman Marks (2015) dalam bookletnya
“How good is your GRC?”.
 PENUTUP

Terdapat 12 pertanyaan untuk menguji seberapa jauh tingkat GRC kita, diantaranya:
• Apakah sasaran organisasi dan strategi untuk mencapainya telah ditetapkan secara jelas
dan telah dikomunikasikan dengan baik ke seluruh jajaran organisasi sehingga terdapat
pengertian yang sama mengenai sasaran organisasi dan strategi untuk mencapainya?
• Apakah seluruh jajaran organisasi mampu bekerja secara harmonis, mampu berbagi
informasi dengan baik dan bekerja sama untuk mencapai sasaran organisasi yang sama?
Apakah budaya, system, proses dan struktur organisasi “menyediakan” kemauan dan
kemampuan untuk menyatukan gerak menuju arah yang sama?
• Apakah Direksi dan Dewan Komisaris menerima laporan dan informasi yang bermutu,
dapat dipercaya, dan tepat waktu dalam penetapan strategi bisnis? Apakah laporan kinerja
dan pelaksanaan strategi bisnis dilaporkan secara akurat dan tepat waktu?
• Dst.
 Simpulan

GRC merupakan tiga hal yang berbeda, tetapi berkelindan dalam

proses pengelolaan perusahaan. Kesalahan pengelolaan pada salah
satunya akan berakibat pada yang lainnya, bahkan dapat
mengakibatkan timbulnya risiko yang fatal bila tidak dikelola
dengan baik.
Terima Kasih