Manajemen Risiko Sri Madihas Tuti, Juli 2021 AGENDA A. Pengertian B. Maksud dan Tujuan C. Metodologi D. Aspek Komunikasi dan Konsultansi A. Pengertian Pengertian Assessment tingkat maturitas MR merupakan kegiatan yang dilakukan oleh manajemen untuk menilai rancangan serta efektivitas pelaksanaan proses manajemen risiko guna memberikan keyakinan kepada para stakeholder apakah manajemen risiko telah cukup memadai dalam mendukung pencapaian tujuan dan sasaran perusahaan. dilaksanakan oleh Auditor Internal terkait dengan peran dari Auditor Internal perusahaan, sebagaimana yang tercantum dalam The Professional Practice Framework- The IIA Research Foundation Tahun 2017: • Standar 2120 –dinyatakan bahwa “Aktivitas audit internal harus mengevaluasi efektivitas dan memberikan kontribusi pada peningkatan proses pengelolaan risiko”. • Standar 2120.A1: Aktivitas audit internal harus menguji eksposur risiko terkait tata kelola, operasi, dan sistem informasi organisasi,. B. Maksud dan Tujuan Maksud dan Tujuan 1. Menilai kecukupan rancangan dan efektivitas pelaksanaan proses manajemen risiko. Untuk memberikan keyakinan kepada para stakeholder apakah rancangan dan efektivitas pelaksanaan proses manajemen risiko telah mencapai tujuan dan sasaran perusahaan yang diharapkan. 2. Mengetahui tingkat kematangan manajemen risiko (risk maturity level) perusahaan. Untuk mengetahui celah antara kondisi tingkat kematangan manajemen risiko yang ada dengan tingkat kematangan yang diharapkan 3. Sebagai acuan untuk menentukan perencanaan audit dan pendekatan audit yang akan digunakan oleh Auditor Internal. C. Metodologi Assessment Tingkat maturitas penerapan MR 1. Kriteria Assessment No Aspek Bobot Jumlah Jumlah Indikator Parameter 10 2 13 1 Integrasi 20 5 16 2 Perancangan Kerangka Kerja 12 3 8 3 Implementasi, Evaluasi, dan Perbaikan Kerangka Kerja Manajemen Risiko 6 3 12 4 Komunikasi dan Konsultansi 22 13 27 5 Lingkup, Konteks dan Kriteria 6 3 5 6 Identifikasi Risiko 5 3 6 7 Analisis Risiko 5 2 2 8 Evaluasi Risiko 7 5 6 9 Perlakuan Risiko 5 3 4 10 Monitoring dan Reviu 2 1 2 11 Pelaporan 100 43 101 2. Metode Pengumpulan Data Reviu dokumen, informasi yang terdapat pada dokumen untuk dibandingkan dengan kriteria yang digunakan. Kuesioner, seperangkat pertanyaan yang telah disusun untuk memperoleh informasi yang tidak dapat diperoleh melalui reviu dokumen ataupun observasi, • Kuesioner konfirmasi, kuesioner persepsi dan pertanyaan terbuka Wawancara, sebagai alat penguji kebenaran terhadap data/informasi yang diperoleh dari alat-alat lainnya Observasi, yaitu melakukan pengamatan langsung terhadap pelaksanaan/ kondisi di lapangan untuk menguji pemenuhan kriteria tertentu. Observasi, pengamatan langsung pelaksanaan di lap. 3. Pemberian Nilai/Capaian a. Tahap pertama, analisis kecukupan pelaksanaan manajemen risiko skor capaian diberikan kepada masing-masing parameter, disesuaikan dengan tingkat pemenuhan yang ada atas kriterianya. Level pemenuhan yang dapat diberikan adalah 1 : Kondisi yang ada telah sepenuhnya sesuai dengan kriteria
0.75 : Kondisi yang ada sebagian besar telah memenuhi kriteria
0.5 : Kondisi yang ada sebagian telah memenuhi kriteria
0.25 : Kondisi yang ada sebagian kecil telah memenuhi kriteria
0 : Kondisi yang ada tidak memenuhi kriteria yang ditetapkan
3. Pemberian Nilai/Capaian b. Nilai Indikator Nilai capaian setiap indikator merupakan jumlah dari nilai capaian (tertimbang) seluruh parameter dalam indikator yang bersangkutan. c. Nilai Aspek Nilai capaian masing-masing Aspek merupakan jumlah dari nilai capaian seluruh indikator dalam aspek yang bersangkutan. d. Nilai Akhir Nilai akhir adalah penjumlahan seluruh nilai keseluruhan dari 11 Aspek tingkat maturitas penerapan manajemen risiko, sehingga diperoleh nilai skor keseluruhan dan selanjutnya memberikan predikat/level sesuai peringkat yang ditetapkan. 4. Hasil Assessment Hasil assessment akan menunjukkan tingkat kematangan manajemen risiko di perusahaan yang dibagi ke dalam 5 (lima) kategori, yaitu Initial, Repeatable, Defined, Managed, dan Optimised dengan nilai capaian sebagai berikut:
No. Tingkat Kematangan Nilai Capaian
1. Initial < 50 2. Repeatable 50 < x < 60 3. Defined 60 < x < 75 4. Managed 75 < x < 85 5. Optimised 85 < x < 100 4. Hasil Assessment
Tingkat Kematangan Initial adalah
kondisi dimana manajemen risiko perusahaan belum memiliki pendekatan formal dalam penerapan manajemen risikonya. Manajemen risiko masih bersifat adhoc dan fungsi mengelola risiko dilakukan secara individual serta masih bersifat reaktif terhadap suatu peristiwa. 4. Hasil Assessment
Tingkat Kematangan Repeatable adalah kondisi
dimana manajemen risiko perusahaan telah memiliki kebijakan penerapan manajemen risiko walaupun substansi belum memadai. Proses manajemen risiko telah berjalan, namun masih dalam tahap awal. Peran, tanggung jawab dan wewenang terkait risiko sudah mulai dirancang, namun akuntabilitasnya masih belum jelas. Data terkait risiko sudah mulai dibangun, namun proses yang ada masih memperlihatkan ketidakseragaman atau ketidakkonsistenan diantara unit dalam perusahaan. Komunikasi antara unit dan fungsi mulai berkembang. 4. Hasil Assessment Tingkat Kematangan Defined adalah kondisi dimana manajemen risiko perusahaan telah memiliki kebijakan dan proses manajemen risiko yang formal. Adanya keseragaman dalam proses manajemen risiko di seluruh unit perusahaan. Proses manajemen risiko didokumentasikan. Unit dan pemilik risiko menggunakan proses manajemen risiko yang telah dirancang, yang meliputi identifikasi peristiwa risiko, pengukuran risiko, aktivitas pengendalian, pengkomunikasian, dan pemantauan risiko. Manajemen berkomitmen untuk mengelola proses manajemen risiko melalui koordinasi lintas fungsi dan lebih memperkuat dokumentasi pengendalian. Adanya mekanisme verifikasi untuk meyakinkan kebijakan diikuti dan proses terlaksana sebagaimana diinginkan. Peran dan tanggung jawab telah didefinisikan di seluruh organisasi. Laporan yang akurat, dan metodologi yang mendukung, menambah kejelasan akuntabilitas manajemen risiko. Sistem sudah dibangun dan relatif lebih stabil dan akurat. 4. Hasil Assessment Tingkat Kematangan Managed adalah kondisi dimana manajemen risiko selain kondisi yang terpenuhi dari tingkat kematangan sebelumnya, ditandai dengan adanya tambahan peningkatan dan keunggulan pada pengukuran yang telah dikuantifikasi dan didukung analisis yang lebih jelas. Penekanan pada pengukuran dan mengelola risiko perusahaan secara keseluruhan. Terdapat pemahaman yang konsisten dan kepatuhan terhadap kebijakan, prosedur dan metodologi perusahaan, insentif pegawai terkait dengan tujuan dan strategi perusahaan secara keseluruhan. Proses manajemen risiko dan outputnya secara kuantitatif telah terdefinisikan dan dikendalikan. Manajemen membuat keputusan dengan mempertimbangkan risiko berdasarkan data kuantitatif. Komunikasi perusahaan secara keseluruhan, kolaborasi dan penyebaran pengetahuan berjalan dengan efektif. Laporan manajemen risiko dihasilkan dari sistem informasi yang dibangun perusahaan. 4. Hasil Assessment Tingkat Kematangan Optimised adalah kondisi dimana manajemen risiko dan pengendalian internal telah menyatu dalam proses bisnis di perusahaan. Tahapan optimised merupakan tingkat kematangan yang paling tinggi. Tahapan ini secara terus menerus meningkatkan kapabilitas yang telah dikembangkan selama tahap sebelumnya. Perusahaan fokus pada peningkatan yang terus menerus untuk menghilangkan inefisiensi dan diterapkannya analisis biaya/manfaat pada seluruh praktik manajemen risiko 4. Hasil Assessment
Secara rutin, praktik terbaik diidentifikasi dan
disebarkan ke organisasi. Perusahaan sepenuhnya mendukung kebijakan manajemen risiko, proses manajemen risiko, sumber daya manusia, teknologi dan pengetahuan. Proses manajemen risiko dilakukan pada level organisasi, proses dan individu. Adanya inovasi dan peningkatan budaya secara terus menerus, dengan fokus pada peningkatan kebijakan, prosedur, metodologi, kompetensi dan sistem. D. Aspek Komunikasi dan Konsultansi Proses Manajemen Risiko 58% 4. Komunikasi dan Konsultasi 11. Terbangunnya kontribusi seluruh PIC dalam proses Manajemen Risiko 38.Perusahaan menetapkan risk owner dalam setiap proses bisnis. 39.Unit Manajemen Risiko telah menetapkan petunjuk pelaksanaan proses Manajemen Risiko yang memuat: o a. Metode identifikasi risiko; o b. Metode analisis risiko; o c. Kriteria pengukuran dampak; o d. Kriteria pengukuran kemungkinan; o e. Tingkat risiko yang dapat diterima; o f. Alternatif perlakuan risiko (seperti menghindari, mengurangi, membagi dan menerima risiko); o g. Pelaksanaan pemantauan dan reviu atas Manajemen Risiko. 40.Petunjuk pelaksanaan proses Manajemen Risiko direviu secara berkala. 41.Terdapat proses komunikasi dan konsultasi penerapan Manajemen Risiko antara Unit Manajemen Risiko dengan Risk Owner. 42.Terdapat identifikasi pihak-pihak yang terkait dengan masing-masing risiko, termasuk peran dan tanggung jawabnya. 43.Terdapat proses penyamaan persepsi pada saat menetapkan kriteria risiko dan saat mengevaluasi risiko. 12. Pemanfaatan teknologi informasi dan komunikasi dalam rangka Manajemen Risiko 44.Adanya pertimbangan biaya manfaat atas penggunaan teknologi informasi. 45. Penggunaan sistem informasi mendukung pencapaian strategi perusahaan. 46.Adanya reviu atas efektivitas pemanfaatan TI yang dibangun dan penyempurnaannya. 13. Penyediaan data dan informasi yang berkualitas 47.Perusahaan memastikan bahwa data dan informasi tentang risiko dapat dengan mudah diakses oleh pegawai yang memiliki wewenang. 48.Data informasi yang digunakan oleh Perusahaan berkualitas. 49.Perusahaan memastikan kontinuitas perolehan data dan informasi dalam keadaan darurat. Sekian dan Terima Kasih