Aspek 4

Assessment Tingkat Maturitas Penerapan

Manajemen Risiko
Sri Madihas Tuti, Juli 2021
 AGENDA
A. Pengertian
B. Maksud dan Tujuan
C. Metodologi
D. Aspek Komunikasi dan Konsultansi
A. Pengertian
Pengertian Assessment tingkat maturitas MR
merupakan kegiatan yang dilakukan oleh manajemen
untuk menilai rancangan serta efektivitas pelaksanaan
proses manajemen risiko guna memberikan keyakinan
kepada para stakeholder apakah manajemen risiko telah
cukup memadai dalam mendukung pencapaian tujuan dan
sasaran perusahaan.
 dilaksanakan oleh Auditor Internal terkait dengan peran
dari Auditor Internal perusahaan, sebagaimana yang
tercantum dalam The Professional Practice Framework-
The IIA Research Foundation Tahun 2017:
• Standar 2120 –dinyatakan bahwa “Aktivitas audit internal
harus mengevaluasi efektivitas dan memberikan
kontribusi pada peningkatan proses pengelolaan risiko”.
• Standar 2120.A1: Aktivitas audit internal harus menguji
eksposur risiko terkait tata kelola, operasi, dan sistem
informasi organisasi,.
B. Maksud dan Tujuan
 Maksud dan Tujuan
1. Menilai kecukupan rancangan dan efektivitas
pelaksanaan proses manajemen risiko. Untuk
memberikan keyakinan kepada para stakeholder
apakah rancangan dan efektivitas pelaksanaan
proses manajemen risiko telah mencapai tujuan
dan sasaran perusahaan yang diharapkan.
2. Mengetahui tingkat kematangan manajemen
risiko (risk maturity level) perusahaan. Untuk
mengetahui celah antara kondisi tingkat
kematangan manajemen risiko yang ada dengan
tingkat kematangan yang diharapkan
3. Sebagai acuan untuk menentukan perencanaan
audit dan pendekatan audit yang akan
digunakan oleh Auditor Internal.
C. Metodologi Assessment Tingkat
maturitas penerapan MR
 1. Kriteria Assessment
No Aspek Bobot Jumlah Jumlah
Indikator Parameter
10 2 13
1 Integrasi
20 5 16
2 Perancangan Kerangka Kerja
12 3 8
3 Implementasi, Evaluasi, dan Perbaikan
Kerangka Kerja Manajemen Risiko
6 3 12
4 Komunikasi dan Konsultansi
22 13 27
5 Lingkup, Konteks dan Kriteria
6 3 5
6 Identifikasi Risiko
5 3 6
7 Analisis Risiko
5 2 2
8 Evaluasi Risiko
7 5 6
9 Perlakuan Risiko
5 3 4
10 Monitoring dan Reviu
2 1 2
11 Pelaporan
100 43 101
 2. Metode Pengumpulan Data
 Reviu dokumen, informasi yang terdapat pada
dokumen untuk dibandingkan dengan kriteria yang
digunakan.
 Kuesioner, seperangkat pertanyaan yang telah
disusun untuk memperoleh informasi yang tidak dapat
diperoleh melalui reviu dokumen ataupun observasi,
• Kuesioner konfirmasi, kuesioner persepsi dan
pertanyaan terbuka
 Wawancara, sebagai alat penguji kebenaran terhadap
data/informasi yang diperoleh dari alat-alat lainnya
 Observasi, yaitu melakukan pengamatan langsung
terhadap pelaksanaan/ kondisi di lapangan untuk
menguji pemenuhan kriteria tertentu.
 Observasi, pengamatan langsung pelaksanaan di lap.
 3. Pemberian Nilai/Capaian
a. Tahap pertama, analisis kecukupan pelaksanaan
manajemen risiko skor capaian diberikan kepada
masing-masing parameter, disesuaikan dengan
tingkat pemenuhan yang ada atas kriterianya.
Level pemenuhan yang dapat diberikan adalah
1 : Kondisi yang ada telah sepenuhnya sesuai dengan kriteria

0.75 : Kondisi yang ada sebagian besar telah memenuhi kriteria

0.5 : Kondisi yang ada sebagian telah memenuhi kriteria

0.25 : Kondisi yang ada sebagian kecil telah memenuhi kriteria

0 : Kondisi yang ada tidak memenuhi kriteria yang ditetapkan

 3. Pemberian Nilai/Capaian
b. Nilai Indikator
Nilai capaian setiap indikator merupakan jumlah dari nilai
capaian (tertimbang) seluruh parameter dalam indikator
yang bersangkutan.
c. Nilai Aspek
Nilai capaian masing-masing Aspek merupakan jumlah
dari nilai capaian seluruh indikator dalam aspek yang
bersangkutan.
d. Nilai Akhir
Nilai akhir adalah penjumlahan seluruh nilai keseluruhan
dari 11 Aspek tingkat maturitas penerapan manajemen
risiko, sehingga diperoleh nilai skor keseluruhan dan
selanjutnya memberikan predikat/level sesuai peringkat
yang ditetapkan.
 4. Hasil Assessment
Hasil assessment akan menunjukkan tingkat
kematangan manajemen risiko di perusahaan
yang dibagi ke dalam 5 (lima) kategori, yaitu
Initial, Repeatable, Defined, Managed, dan
Optimised dengan nilai capaian sebagai berikut:

No. Tingkat Kematangan Nilai Capaian

1. Initial < 50
2. Repeatable 50 < x < 60
3. Defined 60 < x < 75
4. Managed 75 < x < 85
5. Optimised 85 < x < 100
 4. Hasil Assessment

Tingkat Kematangan Initial adalah

kondisi dimana manajemen risiko
perusahaan belum memiliki pendekatan
formal dalam penerapan manajemen
risikonya. Manajemen risiko masih
bersifat adhoc dan fungsi mengelola
risiko dilakukan secara individual serta
masih bersifat reaktif terhadap suatu
peristiwa.
 4. Hasil Assessment

Tingkat Kematangan Repeatable adalah kondisi

dimana manajemen risiko perusahaan telah
memiliki kebijakan penerapan manajemen risiko
walaupun substansi belum memadai. Proses
manajemen risiko telah berjalan, namun masih
dalam tahap awal. Peran, tanggung jawab dan
wewenang terkait risiko sudah mulai dirancang,
namun akuntabilitasnya masih belum jelas. Data
terkait risiko sudah mulai dibangun, namun proses
yang ada masih memperlihatkan ketidakseragaman
atau ketidakkonsistenan diantara unit dalam
perusahaan. Komunikasi antara unit dan fungsi
mulai berkembang.
 4. Hasil Assessment
 Tingkat Kematangan Defined adalah kondisi dimana
manajemen risiko perusahaan telah memiliki
kebijakan dan proses manajemen risiko yang formal.
Adanya keseragaman dalam proses manajemen
risiko di seluruh unit perusahaan. Proses manajemen
risiko didokumentasikan. Unit dan pemilik risiko
menggunakan proses manajemen risiko yang telah dirancang,
yang meliputi identifikasi peristiwa risiko, pengukuran risiko,
aktivitas pengendalian, pengkomunikasian, dan pemantauan
risiko. Manajemen berkomitmen untuk mengelola proses
manajemen risiko melalui koordinasi lintas fungsi dan lebih
memperkuat dokumentasi pengendalian. Adanya mekanisme
verifikasi untuk meyakinkan kebijakan diikuti dan proses
terlaksana sebagaimana diinginkan. Peran dan tanggung jawab
telah didefinisikan di seluruh organisasi. Laporan yang akurat,
dan metodologi yang mendukung, menambah kejelasan
akuntabilitas manajemen risiko. Sistem sudah dibangun dan
relatif lebih stabil dan akurat.
 4. Hasil Assessment
 Tingkat Kematangan Managed adalah kondisi
dimana manajemen risiko selain kondisi yang
terpenuhi dari tingkat kematangan sebelumnya,
ditandai dengan adanya tambahan peningkatan dan
keunggulan pada pengukuran yang telah
dikuantifikasi dan didukung analisis yang lebih jelas.
Penekanan pada pengukuran dan mengelola risiko
perusahaan secara keseluruhan. Terdapat pemahaman
yang konsisten dan kepatuhan terhadap kebijakan, prosedur
dan metodologi perusahaan, insentif pegawai terkait dengan
tujuan dan strategi perusahaan secara keseluruhan. Proses
manajemen risiko dan outputnya secara kuantitatif telah
terdefinisikan dan dikendalikan. Manajemen membuat
keputusan dengan mempertimbangkan risiko berdasarkan data
kuantitatif. Komunikasi perusahaan secara keseluruhan,
kolaborasi dan penyebaran pengetahuan berjalan dengan
efektif. Laporan manajemen risiko dihasilkan dari sistem
informasi yang dibangun perusahaan.
 4. Hasil Assessment
Tingkat Kematangan Optimised adalah
kondisi dimana manajemen risiko dan
pengendalian internal telah menyatu dalam
proses bisnis di perusahaan. Tahapan
optimised merupakan tingkat kematangan
yang paling tinggi. Tahapan ini secara terus
menerus meningkatkan kapabilitas yang
telah dikembangkan selama tahap
sebelumnya. Perusahaan fokus pada
peningkatan yang terus menerus untuk
menghilangkan inefisiensi dan diterapkannya
analisis biaya/manfaat pada seluruh praktik
manajemen risiko
 4. Hasil Assessment

Secara rutin, praktik terbaik diidentifikasi dan

disebarkan ke organisasi. Perusahaan
sepenuhnya mendukung kebijakan
manajemen risiko, proses manajemen
risiko, sumber daya manusia, teknologi dan
pengetahuan. Proses manajemen risiko
dilakukan pada level organisasi, proses dan
individu. Adanya inovasi dan peningkatan
budaya secara terus menerus, dengan
fokus pada peningkatan kebijakan,
prosedur, metodologi, kompetensi dan
sistem.
D. Aspek Komunikasi dan
Konsultansi
 Proses Manajemen Risiko 58%
 4. Komunikasi dan Konsultasi
 11. Terbangunnya kontribusi seluruh PIC dalam
proses Manajemen Risiko
 38.Perusahaan menetapkan risk owner dalam setiap
proses bisnis.
 39.Unit Manajemen Risiko telah menetapkan petunjuk
pelaksanaan proses Manajemen Risiko yang memuat:
o a. Metode identifikasi risiko;
o b. Metode analisis risiko;
o c. Kriteria pengukuran dampak;
o d. Kriteria pengukuran kemungkinan;
o e. Tingkat risiko yang dapat diterima;
o f. Alternatif perlakuan risiko (seperti menghindari, mengurangi,
membagi dan menerima risiko);
o g. Pelaksanaan pemantauan dan reviu atas Manajemen Risiko.
40.Petunjuk pelaksanaan
proses Manajemen Risiko
direviu secara berkala.
41.Terdapat proses komunikasi dan
konsultasi penerapan Manajemen Risiko
antara Unit Manajemen Risiko dengan
Risk Owner.
 42.Terdapat identifikasi pihak-pihak yang
terkait dengan masing-masing risiko, termasuk
peran dan tanggung jawabnya.
 43.Terdapat proses penyamaan persepsi pada saat
menetapkan kriteria risiko dan saat mengevaluasi
risiko.
12. Pemanfaatan teknologi informasi
dan komunikasi dalam rangka
Manajemen Risiko
44.Adanya pertimbangan biaya manfaat
atas penggunaan teknologi informasi.
45. Penggunaan sistem informasi
mendukung pencapaian strategi
perusahaan.
46.Adanya reviu atas efektivitas
pemanfaatan TI yang dibangun dan
penyempurnaannya.
13. Penyediaan data dan
informasi yang berkualitas
47.Perusahaan memastikan bahwa data
dan informasi tentang risiko dapat
dengan mudah diakses oleh pegawai
yang memiliki wewenang.
48.Data informasi yang digunakan oleh
Perusahaan berkualitas.
49.Perusahaan memastikan kontinuitas
perolehan data dan informasi dalam
keadaan darurat.
 Sekian
dan
Terima Kasih