Manajemen Risiko. Pusat Pengembangan Internal Audit Yayasan Pendidikan Internal Audit. Pelatihan Audit Internal Tingkat Dasar I I

Transkripsi

1 Manajemen Risiko Pusat Pengembangan Internal Audit Yayasan Pendidikan Internal Audit Pelatihan Audit Internal Tingkat Dasar I I Sertifikasi Qualified Internal Auditor (QIA) 1

2 Agenda BAB I: Pendahuluan BAB II: COSO dan Produk COSO BAB III: Kerangka Manajemen Risiko BAB IV: Penilaian Risiko BAB V: Peran Audit Internal 2

3 BAB - I Pendahuluan 3

4 Aktivitas Utama Manajemen Risiko 1. Menetapkan selera risiko (risk appetite) organisasi selaras dengan kapasitasnya dalam mengelola ketidakpastian... (Secara berkala Risk Appetite harus ditinjau ulang, sesuaikan dengan perubahan tingkat resiko bisnis). 2. Menyelaraskan pilihan dan strategi bisnis dengan selera risiko organisasi... Mengevaluasi alternatif strategi, menetapkan tujuan, dan mengembangkan mekanisme dalam mengelola resiko. 3. Meningkatkan kualitas keputusan dalam merespon risiko (risk response)...identifikasi dan memilih Risk Response dengan menghindari, menerima, mengurangi, membagi, menguasai, atau memindahkan

5 Manfaat Manajemen Risiko 1. Menurunkan kejutan dan kerugian operasional... Identifikasi event potensial dan peningkatan kemampuan dalam penetapan respon 2. Mengidentifikasi dan mengelola risiko-risiko yang bersifat lintas-entitas... Pengelolaan resiko secara Terintegrasi dan memfasilitasi pemilihan respon. 3. Merebut peluang... Pewujudan Peluang secara Proaktif 4. Meningkatkan efektivitas pemanfaatan modal... Dengan cara memiliki Informasi Resiko yg lengkap.

6 Definisi Manajemen Risiko Menurut COSO (1992/1994) Manajemen risiko adalah sebuah proses, yang dipengaruhi oleh dewan pengawas, manajemen senior dan personil lainnya, diterapkan dalam perumusan strategi dan diterapkan di seluruh Lingkup entitas, dirancang untuk mengidentifikasi timbulnya kejadian yang berpotensi dapat mempengaruhi entitas, dan mengelola risiko agar senantiasa berada dalam risk appetite, untuk memberikan keyakinan memadai dalam pencapaian tujuan entitas. Menurut POJK No.18/POJK.03/2016 Manajemen Risiko adalah serangkaian metodologi dan prosedur yang digunakan untuk mengidentifikasi, mengukur, memantau, dan mengendalikan Risiko yang timbul dari seluruh kegiatan usaha Bank.

7 Konsep Dasar Manajemen Risiko Sebuah PROSES... Manajemen Resiko tidak STATIS tetapi merupakan Suatu Proses yang berkelanjutan dan melekat atau mencakup seluruh area dalam entitas. Dipengaruhi oleh Orang pada seluruh jenjang entitas. Diterapkan dalam Perumusan Strategi. Diterapkan di seluruh Lingkup Entitas/Organisasi, di setiap tingkat dan unit, dan mencakup identifikasi portofolio risiko pada level entitas secara umum. Selera Resiko (Risk Appetite)... Dirancang untuk mengidentifikasi peristiwa yang berpotensi terjadi, yang jika terjadi, akan mempengaruhi entitas; dan mengelola risiko dalam risk appetite dan risk tollerance.

8 Cont d Memberikan Asurans yang Wajar... Mampu memberikan keyakinan memadai kepada dewan pengawas dan manajemen sentior entitas. Pencapaian Tujuan Organisasi... Ditujukan dalam upaya pencapaian satu atau lebih kategori tujuan yang terpisah tetapi tumpang tindih. 8

9 Konsep dasar Manajemen Risiko 1. Proses Manajemen risiko tidak bersifat statis, tetapi merupakan suatu proses yang berlangsung terus-menerus, berkelanjutan dan diterapkan secara melekat dalam operasi organisasi. 2. Dipengaruhi oleh Orang Manajemen risiko dipengaruhi oleh perkataan dan perbuatan pimpinan dan seluruh personil lain dalam organisasi. Mereka menetapkan misi, strategi dan tujuan organisasi dan membuat mekanisme manajemen risiko.

10 Cont d 3. Diterapkan dalam Perumusan Strategi Organisasi menetapkan visi misinya dan menetapkan tujuan strategis. Manajemen risiko diterapkan pada proses perumusan strategi, di mana manajemen mempertimbangkan risiko atas strategi-strategi alternatif yang ada, dalam rangka mengevaluasi dan memilih strategi organisasi dan tujuan-tujuan terkaitnya.

11 Cont d 4. Diterapkan pada seluruh lingkup organisasi Manajemen risiko diterapkan di seluruh tingkatan organisasi, dari tingkat perencanaan strategis dan alokasi sumber daya, kegiatan usaha seperti pemasaran dan sumber daya manusia, hingga ke tingkat proses bisnis rinci seperti produksi, pengadaan bahan baku dan review kredit untuk pelanggan baru. Manajemen risiko juga diterapkan pada setiap proyek atau inisiatif baru yang mungkin belum termasuk dalam struktur organisasi entitas.

12 Cont d 5. Selera Risiko (Risk Appetite) Selera risiko adalah besarnya risiko, dalam tingkat yang luas, yang dapat diterima oleh organisasi dalam upaya mewujudkan nilai organisasi. Selera risiko mencerminkan filosofi manajemen risiko organisasi, dan selanjutnya mempengaruhi budaya organisasi dan gaya operasinya. Selera risiko memberikan panduan untuk alokasi sumber daya.

13 Cont d 6. Toleransi Risiko Toleransi risiko adalah tingkat risiko yang dapat diterima. Dalam menentukan toleransi risiko, manajemen mempertimbangkan kepentingan relatif dari tujuan-tujuan terkait dan menyelaraskan toleransi risiko dengan selera risiko. Beroperasi dalam toleransi risiko membantu meyakinkan organisasi untuk tetap berada dalam selera risikonya dan pada gilirannya akan membantu organisasi mencapai tujuannya.

14 Cont d 7. Memberikan Asurans yang Wajar Manajemen risiko yang dirancang dan dijalankan dengan baik dapat memberikan asurans yang wajar atas pencapaian tujuan organisasi. Manajemen risiko yang efektif sekalipun dapat mengalami kegagalan. Asurans yang wajar berbeda dengan asurans mutlak.

15 Cont d 8. Pencapaian Tujuan Organisasi Kerangka kerja ERM menetapkan empat kategori tujuan organisasi: Strategis: berhubungan dengan tujuan tingkat tinggi yang diselaraskan dengan dan mendukung misi organisasi. Operasi: berhubungan dengan penggunaan sumber daya organisasi secara efektif dan efisien. Pelaporan: berhubungan dengan keandalan laporan organisasi. Kepatuhan: berhubungan dengan kepatuhan organisasi terhadap hukum dan peraturan yang berlaku.

16 Pencapaian Tujuan Organisasi Kerangka kerja ERM menetapkan empat kategori tujuan organisasi: 1. Strategis: berhubungan dengan tujuan tingkat tinggi yang diselaraskan dengan dan mendukung misi organisasi. 2. Operasi: berhubungan dengan penggunaan sumber daya organisasi secara efektif dan efisien. 3. Pelaporan: berhubungan dengan keandalan laporan organisasi. 4. Kepatuhan: berhubungan dengan kepatuhan organisasi terhadap hukum dan peraturan yang berlaku.

17 BAB - II COSO dan Produk COSO 17

18 Pengantar COSO, sebagai akronim Committee of Sponsoring Organizations of Treadway Commission, merupakan organisasi volunteer yang bertujuan untuk meningkatkan kualitas pelaporan keuangan perusahaan melalui penegakan etika bisnis, pengendalian internal dan corporate governance. COSO dibentuk pada tahun 1985 untuk mendukung National Commission on Fraudulent Financial Reporting, sebuah Organisasi bentukan pemerintah Amerika Serikat yg sering disebut sebagai Treadway Commission. Studinya mengenai faktor2 yg melatarbelakangi Fraud terkait penyimpangan laporan keuangan dan mengembangkan rekomendasinya

19 Organisasi-Organisasi Sponsor Pendukung COSO 1. American Institute of Certified Public Accountants (AICPA), 2. The Institute of Internal Auditors (IIA), 3. Financial Executives International (FEI), 4. Institute of Management Accountants (IMA)dan 5. American Accounting Association (AAA).

20 Pedoman Diterbitkan COSO 1. Governance and Operational Performance 2. Internal Controls (Pengendalian Internal) 3. Enterprise Risk Management (Manajemen Risiko) 4. Fraud Deterrence (Pencegahan Fraud)

21 Securities Exchange Comission SEC (Securities Exchange Comission) adalah institusi komisi pengawas pasar modal di Amerika Serikat yang memiliki kewenangan mengatur bentuk dan substansi pengendalian Internal...berdasarkan ketentuan sebuah Undang-undang yang diberlakukan di Negara tersebut yakni Sarbanes Oxley Act of 2002 (SoA). Sarbanes Oxley Act of 2002 (SoA) mengatur bahwa pengendalian internal harus berupa kerangka pengendalian yang diterbitkan oleh badan atau kelompok profesi terkemuka; yang telah melalui prosedur due process, termasuk penyebaran kerangka untuk mendapatkan komentar publik.

22 Cont d SEC mendefinisikan bahwa kerangka yang tepat (suitable frameworks) harus ; Bebas dari bias Konsisten dalam hal ukuran kualitas dan kuantitas pengendalian internal entitas Lengkap sehingga faktor-faktor terkait yang dapat mengubah kesimpulan hasil evaluasi efektivitas pengendalian internal tidak akan terabaikan Relevan terhadap evaluasi pengendalian internal atas pelaporan keuangan.

23 Cont d SEC menjelaskan bahwa COSO Internal Control-Integrated Framework (kerangka terpadu pengendalian internal dari COSO) telah memenuhi persyaratan (seperti di Slide sebelumnya yg telah disebutkan. SEC juga mengakui bahwa selain kerangka COSO, kerangka di negara-negara lain juga dapat dikategorikan memenuhi persyaratan-persyaratan ini, contohnya: CoCo, Turnbull, King, atau kerangka lainnya. Dalam praktek manajemen risiko juga dikenal beberapa kerangka manajemen risiko yang sangat popular yaitu ISO:31000 dan Standar Australia/New Zealand (AS/NZS 4360)

24 Kerangka Terpadu Pengendalian Internal (COSO I) Internal Control Integrated Framework (ICIF) tahun 1992 (COSO I) yang merupakan awal dari pengembangan ERM (Enterprise Risk Management/COSO II) mendefinisikan Pengendalian Internal sebagai suatu proses yang dipengaruhi oleh dewan komisaris, manajemen, dan karyawan lain suatu entitas, yang dirancang untuk memberikan keyakinan memadai sehubungan dengan pencapaian tujuan dalam kategori-kategori sebagai berikut: 1. Efektivitas dan efisiensi operasi, 2. Keandalan pelaporan keuangan, serta 3. Ketaatan terhadap peraturan perundang-undangan yang berlaku.

25 Tujuan dalam Kategori-kategori yang didefinisikan dalam COSO I 1. Efektivitas dan efisiensi operasi, Menunjukkan tujuan dasar atau sering disebut sebagai tujuan kinerja dan tujuan memperoleh keuntungan serta pengamanan Sumber Daya. 2. Keandalan pelaporan keuangan, Laporan Keuangan yg Andal termasuk Laporan Keuangan Interim dan data-data keuangan tertentu. 3. Ketaatan terhadap peraturan perundang-undangan yang berlaku. Kepatuhan terhadap Hukum dan Peraturan yang berlaku.

26 Dimensi Kerangka Pengendalian Internal Terpadu (COSO I) Kerangka pengendalian internal terpadu (ICIF/COSO I) digambarkan secara tiga dimensi dalam sebuah bangunan kubus (COSO CUBE) sebagai berikut ;

27 Dimensi Kerangka Pengendalian Internal Terpadu (COSO I) 1. Dimensi pertama menggambarkan tujuan entitas. 2. Dimensi kedua menggambarkan level entitas dan kegiatan. 3. Dimensi ketiga menggambarkan lima komponen pengendalian intern

28 Komponen Pengendalian Intern 1. Komponen Lingkungan Pengendalian (a.l mencakup integritas, nilai-nilai etika, kompetensi orang-orang yang ada dalam entitas dan filosopi manajemen dan gaya oiperasinya) 2. Komponen Penilaian Risiko 3. Komponen Kegiatan Pengendalian 4. Komponen Informasi dan Komunikasi 5. Komponen Pemantauan

29 Pihak yang Bertanggung Jawab Terhadap Pengendalian Intern 1. Manajemen 2. Dewan Komisaris 3. Auditor Intern 4. Personil lain dalam organisasi

30 BAB - III Kerangka Manajemen Risiko 30

31 Pengantar Sebagaimana konsep deskriptif lainnya, konsep-konsep manajemen risiko, yang dimuat dalam suatu kerangka kerja, harus dipahami secara menyeluruh berikut dengan latar belakang penyusunannya. Kerangka kerja memberikan arah bagi pemahaman sebuah metodologi agar diperoleh kesamaan pandang tentang konsep dan implementasinya.

32 Beberapa Kerangka Manajemen Risiko 1. British Standard BS (2000) 2. International Risk Government Council IRGC (2004) 3. ERM COSO (2004) 4. Australian New Zealand Standard - AS/NZS 4360 (2004) 5. ISO (2009) 6. A Risk Management Standard (Institute of Risk Management, Association of Insurance and Risk Management)

33 Kerangka Manajemen Risiko ISO Hubungan antara Principles, Framework & Process ISO 31000

34 Prinsip Manajemen Risiko ISO a. Menciptakan nilai, b. Bagian integral dari proses organisasi, c. Bagian dari pengambilan keputusan, d. Secara eksplisit membahas ketidak pastian, e. Sistematik terstruktur dan tepat waktu, f. Berdasarkan informasi terbaik yang tersedia, g. Dirancang secara khusus, h. Memperhatikan faktor manusia dan budaya, i. Transparan dan inklusif, j. Dinamis, berulang dan peka terhadap perubahan, dan k. Memfasilitasi penyempurnaan berkelanjutan dan kemajuan organisasi

35 Kerangka Kerja ISO 31000

36 Proses Manajemen Risiko

37 Enterprise Risk Management/ERM (COSO II) Definisi Suatu proses yang dipengaruhi oleh dewan direksi, manajemen, dan personil lain, yang diterapkan dalam menetapkan strategi dan melalui entitas, dirancang untuk mengidentifikasi kejadian potensial yang mungkin mempengaruhi entitas, dan mengelola risiko ke dalam risiko yang dapat diterima (risk appetite), untuk mengidentifikasi keyakinan memadai mengenai pencapaian tujuan entitas.

38 Kubus Tiga Dimensi COSO ERM

39 Konsep Pokok Kerangka COSO ERM 1. Suatu proses, berkelanjutan, dan mengalir dalam entitas; 2. Dipengaruhi oleh orang-orang pada setiap tingkat organisasi; 3. Diterapkan dalam penetapan strategi; 4. Diterapkan pada entitas, pada setiap tingkat dan unit, dan termasuk pengambilan risiko pada tiap tingkat jabatan entitas; 5. Dirancang untuk mengidentifikasi kejadian potensial yang mempengaruhi entitas dan mengelola risiko dalam risiko yang dapat diterima; 6. Mampu memberikan keyakinan memadai kepada manajemen dan dewan; 7. Menghubungkan pencapaian tujuan dengan satu atau lebih kategori yang terpisah tapi saling melengkapi.

40 Komponen COSO ERM Integrated Framework 1. Lingkungan internal Komponen ini mencerminkan filosofi ERM sebagai suatu entitas, risiko yang dapat diterima, board oversight (dewan komisaris), komitmen nilai perilaku, kompetensi dan pengembangan SDM, serta menetapkan otoritas dan tanggung jawab. 2. Penetapan tujuan Manajemen menetapkan tujuan strategis, tujuan operasional, tujuan pelaporan, dan kepatuhan yang diselaraskan dengan risiko yang dapat diterima entitas 3. Identifikasi Peristiwa Manajemen mengidentifikasi peristiwa baik berpotensi positif maupun negatif terhadap kemampuan entitas untuk menerapkan strategi dan mencapai tujuan serta kinerjanya.

41 4. Penilaian Risiko 5. Respons Risiko 6. Kegiatan Pengendalian Cont d Metode kualitatif dan kuantitatif untuk mengevaluasi kemungkinan dan dampak peristiwa potensial, yang mungkin mempengaruhi pencapaian tujuan. Alternatif/opsi respon dengan mempertimbangkan biaya dengan manfaat Kebijakan dan prosedur pada semua tingkat dan semua fungsi 7. Informasi dan Komunikasi Informasi internal dan eksternal yang memungkinkan seluruh personil menyelesaikan tanggung-jawabnya 8. Pemantauan Penilaian ada dan berfungsinya komponen ERM dan mutu kinerjanya dari waktu ke waktu.

42 Proyek Pengembangan Kerangka COSO ERM bersama PriwcewaterhouseCoopers (PwC) Lima Tahapan Proyeknya : a) Penilaian b) Penetapan Visi c) Mendesain Kerangka d) Persiapan untuk Public Exposure e) Finalisasi Dokumen Draft kerangka ERM dipaparkan selama periode 90 Hari dan diuji coba pada entitas terpilih

43 Hubungan COSO ERM dengan COSO ICIF 1. Kerangka ERM lebih luas, berfokus pada manajemen risiko dan meliputi kerangka pengendalian intern. 2. Kerangka ERM menambahkan satu kategori tujuan baru, yaitu tujuan strategis, dan memperluas tujuan pelaporan, termasuk pelaporan internal. 3. Kerangka ERM memperkenalkan konsep risiko yang dapat diterima dan toleransi risiko (risk tolerance). 4. Kerangka ERM memperluas komponen penilaian risiko dalam empat komponen yaitu penetapan tujuan, identifikasi peristiwa, penilaian risiko, dan respon risiko.

44 Manfaat Penerapan COSO ERM Tujuan Utama : Mengidentifikasi keyakinan memadai bagi manajemen dan dewan agar tujuan bisnis entitas tercapai. Manfaat lain : 1. Membantu manajemen mengambil resiko yagd apat diterima 2. Meningkatkan keputusan untuk merespon resiko 3. Mengurangi kerugian operasional yang tidak terduga 4. Mengidentifikasi dan mengelola resiko entitas, mengidentifikasi respon yang terintegrasi pada resiko yang bersifat ganda 5. Menggunakan peluang untuk meningkatkan penyaluran modal.

45 Pertimbangan Penerapan COSO ERM 1. Mengurangi keragaman kinerja yang tidak dapat diterima 2. Mengintegrasikan bermacam-macam pandangan manajemen risiko 3. Membangun keyakinan investor dan stakeholder 4. Meningkatkan corporate governance 5. Sukses merespon perubahan lingkungan bisnis 6. Membentuk strategi dan budaya entitas

46 Langkah yang Perlu Dilakukan dalam Mengimplementasikan ERM 1. Mengadopsi suatu bahasa risiko yang umum 2. Melakukan penilaian risiko entitas untuk mengidentifikasi dan memprioritaskan risiko-risiko organisasi yang kritis. 3. Melaksanakan suatu analisis kesenjangan dari kemampuan saat ini dan yang diharapkan dalam mengelola risiko-risiko yang kritis. 4. Mengartikulasikan visi manajemen risiko, tujuan dan sasaran, serta pelaksanaan permasalahan nilai untuk mengidentifikasi pertimbangan ekonomi untuk maju kedepan 5. Meningkatkan kemampuan manajemen risiko organisasi untuk satu atau dua risiko kritis yakni mulai dengan suatu area resiko dimana pengurus senior mengetahui perbaikan-perbaikan yang diperlukan untuk melaksanakan strategi bisnis dengan sukses.

47 Strategi Mengimplementasikan ERM 1. Identifikasi dan pahami risiko prioritas organisasi untuk menetapkan suatu konteks. 2. Gunakan kerangka COSO untuk menggambarkan kondisi kemampuan manajemen risiko yang ada sekarang. 3. Gunakan kerangka COSO untuk menggambarkan kondisi kemampuan manajemen risiko yang diinginkan di masa depan. 4. Analisa dan artikulasikan ukuran kesenjangan antara (b) dan (c) dan sifat alami perbaikan-perbaikan yang diperlukan untuk menutup kesenjangan.

48 Cont d 5. Berdasarkan pada analisa di atas, kembangkan suatu kasus bisnis untuk menujukkan kesenjangan dalam mengidentifikasi pertimbangan ekonomi bagi seluruh usaha untuk menerapkan peningkatan prasarana ERM. 6. Mengorganisasikan rencana yang mempertimbangkan kemampuan prasarana ERM. 7. Lakukan pengawasan dan sediakan fasilitas yang diperlukan untuk memastikan pengintegrasian dan koordinasi yang efektif diseluruh kegiatan 48

49 BAB - IV Teknik Penilaian Risiko 49

50 Teknik Penilaian Risiko ISO Brainstorming Brainstorming merupakan pembahasan diantara kelompok yang mengharuskan penggunaan imajinasi yang tinggi untuk ; mengidentifikasi model kegagalan potensial dan bahaya yang berkaitan, risiko-risiko, kriteria-kriteria untuk mengambil keputusan dan atau pilihan-pilihan untuk melakukan tindakan 2. Wawancara Terstruktur dan Semi Terstruktur Interview secara pribadi dengan daftar pertanyaan yang telah disiapkan untuk mendorong interviewer melihat situasi dari prespektif tertentu dan mengidentifikasi risiko dari perspektif tersebut. Untuk yang semi terstruktur dimungkinkan lebih banyak tanya-jawab yang bebas untuk mengeksplor masalah masalah yang diangkat.

51 Teknik Penilaian Risiko ISO Delphy Technique Teknik Delphi adalah suatu prosedur untuk memperoleh konsensus opini yang dapat dipercaya dari sebuah group ahli, secara individual dan tanpa nama yang selanjutnya dilakukan penilaian dengan melibatkan para ahli lainnya. 4. Check-List 5. Preliminary Hazard Analysis (PHA) 6. Hazard and operability study (Hazop) Metode pengujian yang terstruktur dan sistemik dari sebuah perencanaan atau produk yang ada, proses, prosedur atau sistem.

52 Teknik Penilaian Risiko ISO Hazard Analisys And Critical Control Point (HACCP) 8. Toxicity Assesment 9. Structured What-If Technique (SWIFT) 10. Scenario Analisys 11. Business Impact Analisys ( BIA) 12. Root Cause Analisys (RCA) 13. Failure Modes And Effect Analisys ( FMEA) And Failure Modes And Effect And Critically Analysis( FMECA) 14. Fault Tree Analisis ( FTA) 15. Event Tree Analysis ( ETA)

53 Teknik Penilaian Risiko ISO Cause -Consequence Analysis 17. Cause-And-Effect Analysis (Analisis Sebab Akibat) 18. Layers Of Protection Analysis (LOPA) 19. Decision Tree Analysis 20. Human Reliability Assessment (HRA ) 21. Bow Tie Analysis 22. Reliability Centred Maintenance 23. Sneak Analysis (SA) And Sneak Circuit Analysis (SCA) 24. Markov Analysis 25. Monte Carlo Simulation 26. Cost /Benefit Analysis (CBA)

54 1. Penggunaan teknik penilaian risiko diklasifikasikan berdasarkan langkah proses penilaian risiko sebagai berikut: I. Identifikasi risiko; II. III. Implementasi Teknik Penilaian Risiko ISO Analisis risiko: a. Consequence analysis; b. Estimasi probabilitas kuantitatif,kualitatif, atau semikuantitatif; c. Menilai efektifitas dari kontrol yang ada; d. Estimasi tingkat risiko; Evaluasi risiko.

55 Faktor yang Mempengaruhi Pemilihan Teknik Penilaian Risiko 1. Sejauh mana sumber daya yang dibutuhkan (waktu dan tingkat keahlian, kebutuhan data atau biaya), 2. Sifat dan tingkat ketidakpastian penilaian risiko berdasarkan jumlah informasi yang tersedia dan hal yang diperlukan untuk memenuhi tujuan, 3. Kompleksitas masalah dan teknik-teknik yang diperlukan untuk menganalisisnya, 4. Apakah teknik tersebut dapat memberikan output kuantitatif.

56 BAB - V Peran Audit Internal 56

57 Manfaat ERM 1. Meningkatkan kemungkinan pencapaian tujuan organisasi; 2. Pelaporan risiko-risiko yang berasal dari berbagai unit secara konsolidatif kepada Dewan Komisaris; 3. Peningkatan pemahaman tentang risiko utama dan implikasinya secara lebih luas; 4. Mengidentifikasi dan membagi risiko yang bersifat lintas bisnis; 5. Fokus manajemen yang lebih besar pada isu-isu yang benar-benar penting; 6. Semakin menurunnya terjadinya kejutan atau krisis; 7. Lebih fokus secara internal dengan melakukan hal yang benar dalam cara yang benar; 8. Peningkatan kemungkinan pencapaian tujuan terhadap inisiatif yang berubah; 9. Kemampuan untuk mengambil risiko yang lebih besar untuk memperoleh hasil yang lebih besar, dan 10. Proses pengambilan risiko dan pengambilan keputusan yang lebih didasarkan pada informasi yang lebih banyak.

58 Kegiatan dalam Ruang Lingkup ERM 1. Mengartikulasikan dan mengkomunikasikan tujuan organisasi; 2. Menentukan risk appetite organisasi; 3. Membangun lingkungan internal yang sesuai, termasuk kerangka manajemen risiko; 4. Mengidentifikasi potensi ancaman terhadap pencapaian tujuan; 5. Menilai risiko (yaitu dampak dan kemungkinan ancaman yang terjadi); 6. Memilih dan mengimplementasikan respon terhadap risiko; 7. Melakukan kontrol dan kegiatan respon lainnya; 8. Mengkomunikasikan informasi tentang risiko secara konsisten di semua tingkatan dalam organisasi; 9. Memantau dan mengkoordinasikan proses manajemen risiko dan hasilnya terpusat, dan 10. Memberikan jaminan atas efektivitas pengelolaan risiko

59 Peran Audit Internal dalam ERM

60 Peran Pokok - Memberi Asurans Terhadap ERM 1. Memberi asurans atas proses manajemen risiko; 2. Memberi asurans bahwa risiko telah dievaluasi secara tepat; 3. Mengevaluasi proses manajemen risiko; 4. Mengevaluasi pelaporan risiko utama; 5. Mereviu pengelolaan risiko utama.

61 Peran Legitimate Memberi Consulting terhadap ERM 1. Menyediakan tools dan teknik manajemen untuk menganalisis risiko dan pengendalian; 2. Menjadi risk champion untuk memperkenalkan ERM ke dalam organisasi, memberikan keahliannya dalam manajemen risiko dan pengendalian bagi organisasi; 3. Memberikan saran, memfasilitasi lokakarya, membimbing organisasi, dan mempromosikan kerangka kerja dan pemahaman dalam hal risiko dan pengendalian; 4. Bertindak sebagai pusat koordinasi, pemantauan dan pelaporan risiko; dan 5. Mendukung para manajer dalam mereka bekerja mengidentifikasi cara terbaik untuk memitigasi risiko.

62 Safeguarding 1. Harus jelas bahwa manajemen tetap bertanggung jawab terhadap proses manajemen risiko. 2. Sifat tanggung jawab auditor internal harus didokumentasikan dalam piagam audit internal dan disetujui oleh komite audit. 3. Audit internal tidak diperkenankan mengelola risiko, sekalipun atas nama manajemen.

63 Safeguarding 1. Audit internal harus memberikan saran, tanggapan dan dukungan kepada manajemen dalam proses pengambilan keputusan. 2. Audit internal juga tidak diperkenankan memberikan asurans terhadap setiap bagian kerangka kerja ERM yang menjadi tanggung jawabnya. Asurans tersebut harus disediakan oleh pihak lain yang memiliki kualifikasi memadai. 3. Setiap penugasan di luar kegiatan asurans harus diakui sebagai suatu penugasan konsultasi, dan standar terkait dengan penugasan tersebut harus dipatuhi.

64 Peran yang Dilarang bagi Audit Internal Terkait ERM 1. Menetapkan risk appetite ; 2. Melaksanakan implementasi proses manajemen risiko; 3. Mengambil alih tanggung jawab terhadap risiko; 4. Mengambil keputusan untuk merespon risiko; 5. Melaksanakan respon risiko atas nama manajemen; 6. Mengambil alih tanggung jawab terhadap manajemen risiko secara keseluruhan.

65 Peran Audit Internal Sebagai Koordinator Pemberi Asurans Sesuai dengan standar kinerja audit intern nomor 2050 Koordinasi, Kepala Eksekutif Audit harus berbagi informasi dan mengkoordinasikan kegiatannya dengan penyedia layanan jasa asurans dan konsultasi internal dan eksternal untuk memastikan cakupan yang tepat dan meminimalkan duplikasi penugasan.

66 Memahami Pekerjaan yang Dilakukan oleh Auditor Eksternal 1. Sifat, ruang lingkup, dan saat pekerjaan yang direncanakan oleh auditor eksternal. 2. Penilaian auditor eksternal terhadap risiko dan materialitas. 3. Teknik, metode, dan terminologi auditor eksternal memungkinkan CAE untuk: a. mengkoordinasikan pekerjaan audit internal dan eksternal, b. mengevaluasi pekerjaan auditor eksternal, dan c. berkomunikasi secara efektif dengan auditor eksternal. 4. Akses ke audit program dan kertas kerja auditor eksternal harus dapat mendukung kondisi bahwa pekerjaan auditor eksternal bisa diandalkan untuk keperluan audit internal.

67 Tiga Kelompok Dasar Unit Penyedia Asurans 1. Mereka yang melapor ke manajemen dan/atau merupakan bagian dari manajemen (manajemen assurance), termasuk unit-unit yang melakukan control self-assessments, auditor kualitas, auditor lingkungan, dan personil asurans manajemen lain yang ditunjuk untuk itu. 2. Mereka yang melapor ke Dewan Komisaris dan Manajemen Senior, termasuk audit internal. 3. Mereka yang melaporkan kepada stakeholder eksternal (assurans audit eksternal), yang merupakan peran tradisional dan biasanya dilaksanakan oleh auditor independen atau auditor lain yang ditentukan oleh hukum.

68 Cont d Tingkat keyakinan yang diinginkan, dan siapa yang harus memberikan asurans, akan bervariasi tergantung pada risiko yang menjadi fokus asurans.

69 Three Lines Of Defense

70 Three Lines Of Defense Lini pertama: 1. Manajemen lini dan karyawan (manajemen memberikan asurans sebagai baris pertama pertahanan atas risiko dan kontrol yang menjadi tanggung jawab mereka). 2. Manajemen senior

71 Lini kedua: 1. Unit kepatuhan 2. Asurans kualitas Three Lines Of Defense 3. Unit manajemen risiko 4. Auditor lingkungan dan auditor keselamatan dan kesehatan kerja 5. Tim pengkaji laporan keuangan

72 Lini ketiga: Three Lines Of Defense 1. Auditor internal dan eksternal 2. Auditor kinerja dari pemerintah 3. Dewan-dewan tertentu (misalnya, audit, aktuaria, kredit, dan tata kelola) 4. Penyedia asurans eksternal, termasuk reviu dari spesialis (misalnya kesehatan dan keselamatan), dan lain-lain.

73 1. Kategori risiko signifikan Struktur Peta Asurans 2. Peran manajemen yang bertanggung jawab terhadap risiko (risk owner) 3. Tingkat risiko inherent 4. Tingkat risiko residual 5. Cakupan audit eksternal 6. Cakupan audit internal 7. Jangkauan penyedia asurans lainnya

74 TERIMA KASIH