TOPIK I

ERM, COSO, ISO , AS/NZS

z
MELATI
EDTALIA
ADELIA
Definisi Risiko

Definisi Risiko menurut AS/NZS 43:2004

•z “the chance of something happening that will

have an impact on objectives”

Definisi Risiko menurut ERM - COSO

• “Events with a negative impact represent risks,

which can prevent value creation or erode
existing value”
Risk Management

Manajemen Risiko adalah Proses identifikasi,

pengukuran, dan evaluasi untuk menolak,
z
memitigasi, atau menerima risiko dalam
kesuksesan Goal perusahaan
ISO 31000
Resiko adalah kemungkinan terjadinya sebuah peristiwa yang dapat
mempengaruhi pencapaian tujuan organisasi, baik strategis,
z
operasional, pelaporan dan kepatuhan.
Enterprise Risk Management adalah sebuah proses, berpengaruh pada
sebuah entitas jajaran direksi, pihak manajemen, dan personel lain,
diaplikasikan dalam pengesetan strategi di dalam perusahaan, didesain
untuk mengidentifikasi event yang potensial yang dapat berpengaruh
pada entitas, dan mengelola resiko dengan penerimaan resiko yang
diharapkan, untuk menyediakan jaminan yang beralasan terhadap
penerimaan setiap objek entitas.
z
Siapakah pemilik risiko itu?

Hierarki sasaran
SASARAN PEMILIK RISIKO

SASARAN DIREKSI DAN DEWAN

PERUSAHAAN KOMISARIS

AKUNTABILITAS
SASARAN
DIREKTUR
DIREKTORAT

SASARAN DIVISI KEPALA DIVISI / GM

SASARAN KEPALA

TANGGUNG
DEPARTEMEN DEPARTEMEN

JAWAB
SASARAN SEKSI
KEPALA SEKSI
z
The Committee of Sponsoring Organizations of
the Treadway Commission (COSO)

 COSO Enterprise Risk Management (COSO-ERM) adalah suatu

kerangka kerja untuk membantu perusahaan dalam
memperhitungkan risiko yang sedang mereka hadapi.

 Enterprise risk management sendirimemiliki arti yaitu sebuah

proses, yang dipengaruhi oleh dewan direksi entitas, manajemen
dan personil lainnya, diterapkan dalam pengaturan strategi di
seluruh perusahaan, yang dirancang untuk mengidentifikasi
kejadian potensial yang dapat mempengaruhi entitas, dan
mengelola risiko hingga berada dalam risiko yang dapat diterima,
untuk memberikan keyakinan memadai sehubungan dengan
pencapaian tujuan entitas.
z
Poin-poin penting yang mendukung definisi
kerangka kerja COSO ERM ini antara lain:
 ·ERM adalah proses.

 ·Proses ERM diimplementasikan oleh orang-orang di perusahaan.

 ·ERM diterapkan melalui pengaturan strategi di perusahaan

secara keseluruhan.

 ·Konsep risk appetite harus dipertimbangkan.

 ·ERM menyediakan jaminan yang wajar/ realistis terhadap

pencapaian tujuan.

 ·ERM dirancang untuk membantu mencapai tujuan.

z
KOMPONEN UTAMA COSO DARI
MENEJEMEN RESEKO
 COSO ERM MODEL KERANGKA
z
 z
PERBEDAAN COSO DENGAN yang Lain

PERSAMAAN COSO dengan yang lain

z
Hal yang ada pada COSO
PENILAIAN
z RESIKO
Risk Management
z Standard

ARSITEKTUR SNI ISO

31000
 z Beberapa definisi
Risiko (risk) Dampak ketidakpastian pada sasaran
Sumber risiko Suatu element yang ia sendiri atau dengan kombinasi
(source of risk) sesuatu, secara intrinsik, mempunyai potensi untuk
menimbulkan risiko
Peristiwa (event) Suatu kejadian atau suatu perubahan dari suatu
kondisi tertentu
Kemungkinan Kemungkinan terjadinya sesuatu
(likelihood)
Paparan (exposure) Suatu keadaan di mana suatu organisasi dan/atau
pemangku kepentingan menjadi bagian dari atau
terlibat dalam suatu peristiwa
Dampak Hasil dari suatu peristiwa yang memengaruhi sasaran
(consequence)

Sumber: Terjemahan bebas dari IEC/ISO Guide 73:2009

 z Beberapa definisi
Tingkat risiko (level Ukuran besar suatu risiko atau beberapa risiko yang
of risk / risk rating) dinyatakan dalam kombinasi dari dampak dan
kemungkinannya
Perlakuan risiko Proses untuk mengubah risiko
(Risk treatment)
Pengendalian Upaya untuk mengubah risiko
(control)
Toleransi risiko (risk Kesiapan organisasi atau pemangku kepentingan
tolerance) untuk menanggung risiko setelah perlakuan risiko
dalam upaya mencapai sasaran.
Penerimaan risiko Keputusan yang matang untuk menerima suatu risiko
(risk acceptance) tertentu.
Manajemen risiko Semua aktivitas organisasi yang terkoordinasi dan
(risk management) diarahkan serta dikendalikan terkait dengan
pengelolaan risiko

Sumber: Terjemahan bebas dari IEC/ISO Guide 73:2009

 Prinsip Manajemen Risiko
z
melakukan perbaikan
terus menerus
berdasarkan pengalaman
dan pembelajaran. Terintegrasi sebagai bagian dari
organisasi
Budaya dan perilaku manusia
akan sangat mempengaruhi
penerapan seluruh aspek Terstruktur dan Menyeluruh
manajemen risiko pada setiap di semua proses bisnis
tingkatan organisasi

Masukan bagi manajemen risiko

berdasarkan informasi historis Disesuaikan dengan
dan informasi terkini, dan juga kebutuhan penggunanya
prediksi atau harapan ke depan

mengantisipasi, memindai dan Keterlibatan para pemangku kepentingan

memahami serta menangani secara memadai dan tepat waktu, akan
perubahan dan peristiwa yang terjadi membuat mereka mau berbagi
secara memadai dan tepat waktu. pengetahuan, pandangan dan persepsinya
untuk menjadi bahan pertimbangan
16
 Komponen Kerangka Kerja Manajemen Risiko
z Risiko harus
dikelola pada
setiap bagian
Pengelolaan struktur organisasi
manajemen risiko
dimulai dari Perancangan kerangka
pemimpin risiko kerja meliputi:
1. Memahami
organisasi dan
konteksnya
Adaptasi 2. Artikulasi
dan penerapan
perbaikan manajemen risiko
terhadap 3. Penetapan perang
kesenjangan dalam organisasi,
kewenangan,
tanggung jawab,
dan akuntabilitas
4. Alokasi sumber
daya
5. Membangun
Memastikan metoda komunikasi
Merincikan segala dan konsultasi
efektifitas rencana dan tahapan
kerangka kerja dalam rangka
manajemen risiko mencapai tujuan
z

Kerangka Kerja Manajemen Risiko

Selera risiko Direksi

Direksi
Pelaporan berkala
tingkat atas

Kerangka kerja Direktur

Direkturuntuk
untuk
manajemen risiko strategis Manajemen
ManajemenRisiko
Risiko
Pelaporan
Pemantauan indikator
kemajuan versus risiko dan
Unit rencana kejadian
Strategi manajemen Unit
Manajemen
Manajemen insiden
risiko
Risiko
Risiko

“Jualan” efektif,
delegasi, dan Proses manajemen
Unit
UnitKerja
Kerja risiko
akuntabilitas

Peran kunci dan komponen Unit Pelaksana Manajemen Risiko

Sumber: Adaptasi dari Antonius Alijoyo (2006),”ERM Foundation”
 z
DETAIL PROSES MANAJEMEN RISIKO

5.2. KOMUNIKASI DAN KONSULTASI

5.4. ASESMEN RISIKO

5.3.
RISIKO – LINGKUP, 5.4.2. 5.4.4.
5.5. RISIKO
5.4.3.
RISIKO DI KONTEKS DAN IDENTIFIKASI ANALISA EVALUASI PERLAKUAN TERKENDALI
DUNIA KRITERIA
RISIKO RISIKO RISIKO RISIKO

5.6. MONITORING & REVIEW

RISIKO YG PROFILE
RELEVAN BAGI RISIKO
ORGANISASI / UNIT ORGANISASI
/ PROYEK /
PROSES
5.7. PENCATATAN DAN PELAPORAN

19
 z
Matriks penilaian resiko
Upaya
penurunan
Resiko
RISK SEVERITY
RISK
PROBABILITY Catastroph Hazardous Major Minor Negligibl
ic (A) (B) (C) (D) e (E)

Fequent (5) 5A 5B 5C 5D 5E

Occational (4) 4A 4B 4C 4D 4E

Remote (3) 3A 3B 3C 3D 3E

Improbable (2) 2A 2B 2C 2D 2E

Extremely 1A 1B 1C 1D 1E
Improbable (1)

20
 z
Risk Assessment
Risk Identification

Rujuk sasaran spesifik seperti

• sasaran proses,
• sasaran KPI, atau
• sasaran jangka panjang

Identifikasikan
• peristiwa risiko,
• penyebab risiko,
• potensi dampak, dan
• indikator risiko kunci.

Sumber: ISO 31000:2018 21

 Risk Assessment
z Proyek ............
RIS
RIS
K Ri
K RIS Cont Hold Can Risk
POTENTIA PR Risk sk
RISK ACTIVIT SE K inue Till cel Prob RESPONSIBLE
NO L RISK OB MITIGATION Sever In
No. Y VE IND Oper Mitiga Oper abilit MITIGATION
KEJADIAN ABI ity de
RIT EX ation tion ation y
LIT x
Y
Y
1
2

5
6
7
z
Risk Treatment
Contoh Peta Risiko Setelah Penilaian Risiko

• Pengembangan rencana perlakuan

risiko yang efektif melibatkan:
– Keputusan untuk menghindari, menerima,
mentransfer, atau mengurangi risiko
– Analisis biaya manfaat (CBA)
– Rencana tindakan detail
– Jadwal/durasi implementasi
– Pelaksana dan pihak yang terlibat
– Sumber daya yang diperlukan
Risk Treatment
– Biaya perlakuan
• Identifikasikan apakah perlakuan yang
dipilih akan menghasilkan risiko baru.

23
 z Risk Treatment

RESPONS RISIKO

Ya Perlu Tidak
Perlakua
n?

•• Berbagi
Berbagi risiko
risiko •• Penghindaran
Penghindaran risiko
risiko
Organisasi
Organisasi tidak
tidak memiliki
memiliki semua
semua Dampak
Dampak risiko
risiko ekstrem,
ekstrem, melebihi
melebihi
sumber
sumber daya
daya untuk
untuk menangani
menangani risiko
risiko kemampuan
kemampuan organisasi,
organisasi, sehingga
sehingga
sehingga
sehingga harus
harus berbagi
berbagi dengan
dengan pihak
pihak proyek
proyek atau
atau program
program tidak
tidak dapat
dapat
lain.
lain. diterapkan.
diterapkan.
•• Mitigasi
Mitigasi risiko
risiko •• Pengambilan
Pengambilan risiko
risiko
Organisasi
Organisasi memiliki
memiliki semua
semua sumber
sumber Risiko
Risiko rendah
rendah sehingga
sehingga tidak
tidak
daya
daya yang
yang diperlukan
diperlukan untuk
untuk menangani
menangani memerlukan
memerlukan perlakuan
perlakuan khusus,
khusus,
risiko.
risiko. hanya
hanya perlu
perlu dipantau.
dipantau.

24
z
Risk Treatment
Tahapan Perlakuan Risiko

RISK ASSESSMENT Risk is accept and need a special treatment plan to

share with other parties or to mitigate.

RISK TREATMENT Purpose [targetted residual risk], Control Activities,

[Action] PLAN Cost per activitiy, Schedule, Control Owner, Risk
Owner, etc.

COST-BENEFIT CBA is a technique for evaluating the feasibility of

ANALYSIS the risk treatment plan by comparing the economic
benefits with the economic costs of the activity.

Implementation of the RTP which followed by

RISK TREATMENT monitoring & review including, documentation and
reporting [part of communication & consultation].

25
 z Communication & Consultation

Komunikasi dan konsultasi dilakukan

dengan pemangku kepentingan internal dan
Communication &
Consultation

eksternal, termasuk semua pemilik risiko

Communication &
Consultation

dan bawahannya, guna memastikan

efektivitas praktik manajemen risiko
organisasi telah sesuai dengan tingkat yang
diharapkan atau disyaratkan di seluruh
proses dalam area tanggung jawab mereka.

26
 z
Communication & Consultation
Penggunaan Matriks RACI Matrix untuk Komunikasi & Konsultasi yang Efektif

O NLY
ATI ON
ST R
ILLU
z Monitoring & Review

• Proses pemantauan dan peninjauan dilakukan

seiring dengan komunikasi dan konsultasi dengan
pemangku kepentingan internal dan eksternal

Monitoring &
untuk memastikan efektivitas praktik manajemen

Review
Monitoring & Review
risiko organisasi telah sesuai dengan tingkat yang
diharapkan atau disyaratkan.
• Unit manajemen risiko bertanggung jawab untuk
menyiapkan alat pemantauan dan peninjauan yang
dapat digunakan oleh semua pemilik risiko kunci di
area tanggung jawab mereka.
z
TERIMAKASIH