IDENTIFIKASI DAN PENILAIAN 1 RISIKO DALAM AUDIT BERBASIS
IDENTIFIKASI DAN PENILAIAN 1 RISIKO DALAM AUDIT BERBASIS RISKO Workshop ABR di Kemenristekdikti Rabu, 7 Agustus 2019 By: Estherlina Pasaribu 2/1/2015
2 APA MONITORING TUJUAN PEMBELAJARAN: Mampu memahami konsep manajemen risiko dan melakukan penilaian risiko IDENTIFIKASI KOMUNIKASI MR ANALISIS PENANGANAN EVALUASI RINI S 2/1/2015
RISK MANAGEMENT ADVISORY & SOLUTIONS Apa sih Risiko ? ISO 31000 : 2009 Risk = Effect of uncertainty on objectives * Risiko adalah KEMUNGKINAN terjadinya suatu peristiwa yang ber. DAMPAK terhadap pencapaian sasaran. • Effect = Consequence = Dampak Uncertainty : Potential event & it’s likelyhood of occurence www. apb‐group. com | + 62 21 5790 0805
RISK MANAGEMENT ADVISORY & SOLUTIONS Kemungkinan Terjadinya PERISTIWA Risiko ? Berpotensi DAMPAK SASARAN Risiko diukur dari 2 (dua) aspek : 1. Aspek KEMUNGKINAN terjadinya 2. Aspek DAMPAKnya terhadap tujuan / sasaran. Unsur Risiko: § PELUANG, KEMUNGKINAN § § KEJADIAN/PERISTIWA MERUGIKAN atau MENGHAMBAT TUJUAN www. apb‐group. com | + 62 21 5790 0805
RISIKO versus MASALAH § Terbakarnya sejumlah rumah di daerah pemukiman padat akibat sepuntung rokok yang dibuang oleh seseorang yang tidak dikenal. § Mobil mogok § Kecelakaan § Kecopetan § Kehilangan § Tuntutan Massa § Letak Geografis Indonesia § Jumlah rambu lalu lintas yang rusak sebanyak 4 (empat) titik. § Adanya ancaman mogok angkutan massal di bulan depan. § Adanya tuntutan hukum ganti rugi dari pengendara kendaraan bermotor yang mengalami kecelakaan karena rambu lalu lintas yang salah pasang. § Tim inventarisasi aset dinas menemukan perbedaan (selisih kurang) antara fisik barang dengan catatan di SIM BMD.
BEDA RISIKO dengan KESEMPATAN § Risiko pasti merugikan atau menghambat tujuan. (Ketika terjadi maka pasti rugi) § Kesempatan/peluang masih ada kemungkinan beruntung , tapi tidak merugikan jika terjadi. § Contoh Peluang: Datang ke acara yang ada door prize nya, Toko yang memberikan hadiah melalui pengambilan nomor § Contoh Risiko : Naik pesawat bisa /mungkin jatuh di laut dan pecah/patah
RISK MANAGEMENT ADVISORY & SOLUTIONS IDENTIFIED ity n u ort p Op Objective Ris k Activities Dampak Positif Dampak Negatif Peluang ASSESSED Risiko MITIGATED Objective ity n u ort p Activities Op Activities Ris k ity n u ort p Op Objective Activities Ris k Opportunity vs Risk www. apb‐group. com | + 62 21 5790 0805
RISK MANAGEMENT ADVISORY & SOLUTIONS TUJUAN : Menempuh perjalanan dengan kereta api ke Jakarta untuk menghadiri rapat pada pukul 9. 00 pagi Terlambat dan melewatkan rapat Ketinggalan kereta api shg menjadi terlambat hadir mengikuti rapat Cuaca buruk membuat kereta api tidak jadi berangkat Ini adalah pernyataan DAMPAK sebuah Risiko! Dpt dikendalikan dgn memastikan msh banyak waktu utk mencapai stasiun Risiko! Tdk dpt dikendalikan, namun dapat dibuat rencana kontinjensi / mitigasinya. Tidak ada makanan dalam kereta api Q Bukan Risiko! Karena tidak berdampak pada Tujuan! sehingga kelaparan Sakit perut tadi malam mengganggu Q Bukan Risiko! Karena telah terjadi. penyiapan bahan rapat Risiko atau bukan? www. apb‐group. com | + 62 21 5790 0805
Risiko? 9 ISO 31000: 2009 defines risk as: “The effect of uncertainty on objectives” A deviation from the expected – positive and/or negative Deficiency of information relating to an event, its consequence, or likelihood • Can have different aspects e. g. finance, safety, environment goal • Can apply at different levels e. g. strategic, department, project What can go wrong? How likely is it? What are the consequences?
RISK MANAGEMENT ADVISORY & SOLUTIONS Sumber Risiko EXTERNAL INTERNAL Ekonomi & Pasar Kenaikan suku bunga, inflasi, kurs Proses Bisnis Metode usang, Local costumization Sosial & Politik Demostrasi, Perubahan regulasi, Lingkungan SDM Kuantitas, Kompetensi, Manajerial, Integritas Hukum Preseden, Tuntutan hukum Teknologi Usang Sarana & Prasarana Peralatan kerja, Kendaraan, Handling Operasional Operasi, Pemeliharaan, Pendanaan Peristiwa Alam Banjir, Gempa bumi, Badai www. apb‐group. com | + 62 21 5790 0805
11 Bgmn Menjabarkan Risiko? Risk Register Minimum Records A source of risk (hazard) An event (including when and where) An outcome (consequence) A cause (how and why) Fire at head office Estimated cost 100 million Rp Short circuit Virus H 1 N 1 Pandemic Operations Interruption Employees contact virus
12 Penjabaran Risiko – Poor Example Contoh: “ Pada instansi X terdapat risiko sehingga terjadi fraud” Sehingga muncul pertanyaan: Bagaimana bisa terjadi? Unit mana saja yang kena dampaknya? Siapa yang berbuat dan terlibat? Apa dampaknya? Bagaimana cara mengatasinya? 12
13 Penjabaran Risiko – Good Example Penggambaran risiko yang lebih baik: “ Pada unit R&D terdapat risiko plagiasi hasil penelitian yang dilakukan oleh peneliti sebagai akibat (karena) meningkatnya program untuk manipulasi dana bantuan dan berdampak pada reputasi Unit R&D” Memberikan penjelasan faktor penyebab Memberikan gambaran antara consequence dan likelihood Memungkinkan untuk mempertimbangkan pengendalian yang ada dan seberapa efektif dilaksanakan. Contoh: - Keberadaan Kode Etik dan Aturan Perilaku - Proses reviu dan mekanisme kendali mutu - Hubungan dan Reputasi management 13
14 Bgmn Risiko di tempat anda bekerja? Risk Register Minimum Records Sumber ? ? ? ? Kejadian Dampak Penyebab ? ? ? ? ? ? ? ?
PENGERTIAN RISIKO 15 Risiko secara umum dijelaskan sebagai kejadian yang berakibat pd berbagai konsekuensi. Jangan meninggalkan risiko dengan penyebab risiko, faktor risiko, dan kegagalan pengendalian. RISK CAUSE RISK FACTOR CONTROL FAILURE Penyebab risiko adalah sesuatu yang mengarah pada sumber risiko, keterpaparan terhadapnya, atau pada peristiwa risiko. Penyebab juga bisa disebut faktor kontribusi terutama ketika itu tidak selalu mengakibatkan risiko tetapi meningkatkan kemungkinannya. Faktor risiko adalah sesuatu yang membuat besarnya risiko (kemungkinan atau konsekuensi) lebih tinggi atau lebih rendah tanpa secara khusus menjadi penyebab. Ini juga bisa disebut kerentanan. Kegagalan kontrol dapat dianggap sebagai peristiwa yang tidak pasti dengan hasil yang mempengaruhi tujuan. Namun kegagalan kontrol hanya menjadi masalah jika ada sumber risiko dan suatu peristiwa terjadi, yaitu risiko bersyarat.
16 CONTOH PENGERTIAN RISIKO RISK EVENT OR CONSEQUENCE TYPE SOURCE EXPOSURE RISK CAUSE RISK FACTOR Safety Working at height Fall Injury or death Poor design Height from ground Health Chemical Contact Cancer Lack of chemical knowledge Finance Interest rate Rate rise Decrease in more than profit 2% in a year Inflationary Extent of pressures loans Project Supply chain Fire at factory Late delivery Delay in project of component Amount of chemical Alternative supplier
DO NOT CONFUSE TYPES OF RISK Distinguish Between 17 Direct Risk An event by which a source of risk causes harm e. g. Indirect Risk (Control Failure) An event which is described as control failure (but not necessarily causes harm) e. g. A supplier goes out of business resulting in delay to the project Failure to organise back up suppliers may result in delay to a project A person gets his hand caught in a machine resulting in serious injury A machine guard is missing which may result in hand being caught in a machine
Risk Management is Part of Our Daily Lives 18 Annual Risk of dying from…. Penyakit jantung Kecelakaan motor Pembunuhan Tenggelam Kebakaran Kecelakaan sepeda Mati lampu Teroris 1 in 397 1 in 6, 745 1 in 15, 440 1 in 64, 031 1 in 82, 977 1 in 376, 175 1 in 4, 478, 159 1 in 56, 424, 800 Don’t forget Risk Factor (Vulnerability) that may apply to you!
MEMAHAMI RISIKO Membedakan Antara 19 Penyebab risiko (Risk Cause) Dampak Risiko (Risk Outcome) Alasan mengapa berisiko Yg mungkin disadari Konsekuensi Utama, bahaya itu selesai ketika risiko terealisir Contoh: Staf Gagal Ikuti Regulasi Contoh: Hukuman keuangan yg berat yang ditimbulkan Lebih Efektif dalam Mendesain Kontrol untuk Mengelola "Penyebab" Risiko Sering terlambat, sekarang kami berada dalam masalah, apa yang kita lakukan?
20 Bagaimana Risiko Diukur? Level of Risk (Besarnya risiko) Kemungkinan Terjadinya Konsekuensi dari kejadian Risiko sering dinyatakan dalam konsekuensi dari suatu peristiwa atau perubahan keadaan dan kemungkinan terjadinya yang terkait
21 KLASIFIKASI RISIKO (BERDASARKAN JENIS) Risiko dapat diklasifikasikan dalam berbagai kerangka kerja risiko sebagai berikut: Strategic Risk– contohnya risiko yang berkaitan dengan strategi, politik, ekonomi, peraturan, dan kondisi pasar global; juga termasuk risiko reputasi, risiko kepemimpinan, risiko merek, dan perubahan kebutuhan pelanggan. Operational Risk– risiko yang terkait dengan sistem, proses, teknologi, dan Financial Risk– termasuk risiko dari volatilitas dalam mata uang asing, suku bunga, dan komoditas; juga termasuk risiko kredit, likuiditas Hazard Risk – risiko yang dapat diasuransikan seperti bencana alam; berbagai kewajiban yang dapat diasuransikan; penurunan nilai aset fisik; terorisme.
JENIS RISIKO TUJUAN ORGANISASI STRATEGIS OPERASIONAL PELAPORAN KETAATAN SUMBER KENDALI AKIBAT HIERARKI INTERNAL HIGHLY CONTROLABLE MURNI STRATEGIS EKSTERNAL LOW CONTROLABLE SPEKULATIF PROGRAM UNCONTROLABLE PROYEK OPERASIONAL
JENIS RISIKO KEJADIAN TEKNOLOGI KEUANGAN/ EKONOMI SDM, KESEHATAN POLHUKAM PENYEBAB TERJADINYA PENERIMA HIERARKI KEUANGAN MANUSIA TINGGI OPERASIONAL REPUTASI MENENGAH HASIL PROGRAM RENDAH
KLASIFIKASI RISIKO (berdasarkan sumber risiko) 24 Business Objectives Missing, non-compliance Commercial Decline in profit, commercial contract, business partners Competition Increased competition, decrease market share, new competitor Corporate Governance Environment New unfavorable regulation, litigation action, noncompliance Environmental Noise, contamination, pollution Financial/Economic Fraud/Corruption Human Information Unreliable, irrelevant, untimely, insecure Public Liability Public access, egress and safety Public Perception Poor public image, bad reputation, brand name erosion Security Cash handlings, vandalism, theft, misappropriation of information, illegal entry Riots, strikes, sabotage, error Property Damage Fire, water damage, earthquake, contamination, human error Corrupted culture, weak control, frequent fraud Professional Liability Wrong advice, negligence, design error Contractual risks, misappropriation of funds, fraud, fines Product/Service Liability Design error, substandard quality, inadequate testing Employees Corrupt culture, lack motivation, knowledge gap Economic Currency fluctuations, interest rates, recession Political Influences Intervention by politician, new government policy/direction Diseases Affecting humans, animals and plants Occupational Health & Safety Inadequate safety measures, poor safety management Customers Key customer left, increasing pressure/demand Natural Hazards Climatic conditions, earthquakes, flood, bushfires Low integrity, lack motivation, weak internal control Legal/Regulatory Suppliers Out of business, poor quality/services, high price Technological/Equipment Obsolescence, innovation, dependability
25 Mengambil risiko: tidak semuanya buruk ¨ Pengambilan risiko adalah positif, tidak secara negatif. ¨ Kami mengambil risiko untuk tidak menghindari bahaya, tetapi untuk mencapai manfaat dan keuntungan. ¨ Mengambil risiko yang terkendali dan terinformasi adalah bagian penting dan masuk akal dari kehidupan sehari-hari. ¨ Semakin tinggi risikonya, semakin tinggi pula hadiahnya. ¨ Tanpa risiko tidak ada kemajuan.
Control, Risk and Governance Process Ris k Control Governance Process Ris k Organizatio n Goals
“Oleh sebab itu risiko harus dikelola agar tercapai pada tujuan!!” Tata kelola, manajemen risiko dan pengendalian
28 DEFINISI MANAJEMEN RISIKO Definisi Manajemen Risiko menurut AS/NZS 4360: 2004 : The culture, processes, structures that are directed towards realizing potential opportunities while managing adverse effects Definisi Manajemen Risiko menurut Enterprise Risk Management – COSO: A process , effected by an entity’s board of directors, management and other personnel, applied in strategy-setting and across enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives (COSO)
HAL-HAL PERLU PERHATIAN DALAM PELAKSANAAN MANAJEMEN RISIKO § Manajemen risiko memerlukan akuntabilitas dalam pengambilan keputusan § Mengelola risiko memerlukan komunikasi § Manajemen risiko mempertimbangkan ancaman dan peluang § Manajemen risiko memerlukan pemikiran antisipatif ke depan § Manajemen risiko harus mempertimbangkan manfaat dan biaya
MANFAAT PELAKSANAAN MANAJEMEN RISIKO 1. Mengurangi kejutan 2. Eksplorasi dan eksploitasi peluang 3. Hubungan dengan para pemangku kepentingan semakin baik 4. Peningkatan reputasi 5. Perlindungan terhadap pimpinan dan jajarannya
PRINSIP MR § Berhubungan dengan manusia dan budaya yang melahirkan rumusan prinsip-prinsip yang akan dianut. § Identik dengan manajemen perubahan. § Proses perubahan pada tingkat individu dapat digambarkan: tahu, sadar, mau, dan mampu. § Melindungi dan menciptakan nilai tambah. § Merupakan bagian terpadu dari proses organisasi. § Adalah bagian dari proses pengambilan keputusan.
PRINSIP MR § Secara khusus menangani aspek ketidak-pastian. § Bersifat sistematik, terstruktur dan tepat waktu § Berdasarkan pada informasi terbaik yang tersedia. § Bersifat khas untuk penggunanya (tailored - made). § Mempertimbangkan faktor manusia dan budaya. § Harus transparan dan inklusif. § Bersifat dinamis, berulang, dan tanggap terhadap perubahan. § Harus memfasilitasi terjadinya perbaikan dan peningkatan organisasi secara berlanjut.
Manajemen Risiko yang Efektif Outcome PROSES Kualitas perencanaan lbh baik Pelibatan Stakeholder Penetapan Pemilik Risiko secara jelas Identifikasi Risiko lebih awal Pertimbangkan risiko strategis & operasional Faktor Efektivitas Penghambat yg harus di atasi Berkurangnya “kejutan” yg biayanya mahal Perbaikan alokasi sumber daya Meningkatkan kinerja secara umum Berkembangnya budaya organisasi yg positif
Contoh Kerangka MR Identifikasi Risiko Analisis Risiko Evaluasi Risiko Perlakuan Risiko COSO ERM AS/NZS Memantau dan Mereview Risk Assessment Mengkomunikasikan dan Mengkonsultasikan Menetapkan Konteks
ISO 31000 : 2009
Contoh Manajemen Risiko pada Entitas Publik
MANDAT DAN KOMITMEN § Mengartikulasikan dengan jelas pentingnya manajemen risiko bagi organisasi dan menetapkan kebijakan manajemen risiko. § Menetapkan indikator kinerja manajemen risiko yang selaras dengan indikator kinerja organisasi. § Memastikan bahwa sasaran manajemen risiko selaras dengan strategi dan sasaran organisasi. § Memastikan kepatuhan terhadap peraturan perundang-undangan.
MANDAT DAN KOMITMEN § Menugaskan secara jelas dan dengan akuntabilitas serta tanggung jawab unit manajemen risiko pada tingakatan yang memadai. § Memastikan tersedianya alokasi sumber daya yang cukup untuk kegiatan manajemen risiko. § Mengomunikasikan manfaat manajemen risiko ke seluruh pemangku kepentingan terkait’ § Memastikan bahwa kerangka kerja manajemen risiko senantiasa berfungsi dengan baik.
MANDAT DAN KOMITMEN Tata Kelola Manajemen Risiko Struktural Operasional Perawatan
PERENCANAAN KERANGKA KERJA MR 1. Memahami Organisasi dan Konteks § Konteks Eksternal § Konteks Internal 2. Tata Kelola Manajemen Risiko a. Kebijakan Manajemen Risiko b. Integrasi ke dalam Proses Organisasi c. Akuntabilitas d. Sumber Daya e. Pembuatan Mekanisme Pelaporan dan Komunikasi Internal
PENERAPAN MANAJEMEN RISIKO 1. Penerapan Kerangka Kerja Manajemen Risiko § Tetapkan strategi dan waktu § Terapkan Kebijakan Manajemen Risiko § Patuhi semua peraturan yang berlaku § Dokumentasikan proses pengambilan keputusan § Lakukan sosialisasi dan pelatihan manajemen risiko § Lakukan komunikasi dan konsultansi dengan para pemangku kepentingan
PENERAPAN MANAJEMEN RISIKO 2. Penerapan Proses Manajemen Risiko a. Pahami sasaran/tujuan proses bisnis. b. Identifikasi hambatan tercapainya sasaran/tujuan proses bisnis. c. Kendalikan yang harus dilakukan agar risiko-risiko tersebut dapat dimitigasi.
PRINSIP DASAR PENERAPAN MR 1. Proses Bisnis § Input § Transformasi § Output 2. Ukuran keberhasilan proses 3. Ukuran Risiko – Likelihood x Impact 4. Tindakan Pengendalian
MONITORING DAN REVIU KERANGKA KERJA MR Untuk meyakini bahwa manajemen risiko efektif dan menunjang kinerja organisasi, maka manajemen organisasi hendaknya: 1. Menetapkan ukuran kinerja. 2. Mengukur kemajuan penerapan MR secara berkala. 3. Meninjau secara berkala apakah kerangka kerja MR, Kebijakan risiko, dan rencana penerapan masih tetap sesuai dengan konteks internal dan konteks eksternal organisasi. 4. Memastikan apakah kebijakan risiko dipatuhi, memantau bagaimanakah penerapan rencana MR dan kepatuhan dalam menyampaikan laporan risiko secara berkala. 5. Memantau efektivitas kerangka kerja manajemen risiko.
MONITORING DAN REVIU KERANGKA KERJA MANAJEMEN RISIKO 1. Ukuran keberhasilan. 2. Langkah pengendalian. 3. Risiko yang diantisipasi. 4. Sasaran proses bisnis.
PERBAIKAN KERANGKA KERJA MR PDCA 1. Plan. Perencanaan kerangka kerja MA yang akan ditetapkan. 2. Do. Proses penerapan kerangka kerja manajemen risiko. 3. Check. Proses memantau dan memeriksa apakah rencana telah diterapkan secara benar. 4. Action. Tindakan perbaikan.
Scope Manajemen Risiko Budaya Organisasi
1. Penetapan Konteks Penetapan konteks bertujuan untuk mengidentifikasi dan menganalisis organisasi sebagai lingkungan tempat manajemen risiko akan diterapkan. Identifikasi: • lingkungan • pihak-pihak yang paling berkepentingan • Ruang lingkup dan tujuan proses, kondisi yang membatasi, serta hasil yang diharapkan • Kriteria untuk menganalisis dan mengevaluasi risiko.
49 TUJUAN: … POLITIK: EKONOMI: SOSIAL: TEKNOLOGI: KEKUATAN INTERNAL: KEKUATAN EKSTERNAL: 2/1/2015
Contoh kebijakan kriteria No. Dampak Uraian Tingkat gagal 1 Sangat Rendah Pengaruh terhadap capaian tujuan sangat rendah <20% 2 3 Rendah Moderate Pengaruh terhadap capaian tujuan rendah Pengaruh terhadap capaian tujuan sedang <40% <60% 4 Besar Pengaruh terhadap capaian tujuan besar <80% 5 Sangat Besar Pengaruh terhadap capaian tujuan sangat besar >80% No. Kemungkinan Uraian Frekuensi kejadian 1 Sgt Jarang Hampir tidak pernah terjadi <20% 2 Jarang Mungkin terjadi tetapi tidak sering <40% 3 kadang Kemungkinan terjadinya moderate 4 Sering Mungkin terjadi dan kejadiannya cukup banyak 5 Sgt Sering Dapat terjadi dan kejadiannya sangat banyak <60% <80% >80%
51 KEBIJAKAN PENERIMAAN RISIKO Sangat tinggi Ditolak Perhatian pimpinan 4 tinggi Perhatian manajemen Level atas 3 sedang Perhatian manajemen level atas dan sedang rendah Diterima 5 LIKELYHOOD 2 1 1 2 3 4 5 IMPACT 2/1/2015
PETA RISIKO impact 5 4 Tingkat I risiko sangat rendah Tingkat II risiko rendah Tingkat III risiko moderate Tingkat IV risiko tinggi Tingkat V risiko sangat tinggi 3 2 1 likelyhood
PERILAKU ORGANISASI THDP RISIKO RISK APPETITE RISIKO YG DAPAT DITERIMA DAN DIKELOLA DALAM PERIODE TTT RISK TOLERANCE RISIKO YANG DAPAT DITOLERAN
Inherent, Residual, Appetite Impact Control Responses Target Risk Tolerance Risk Appetite Likelihood
55 2. IDENTIFIKASI RISIKO 4 W 1 H DAFTAR RISK Survey, wawancara, reviu dok, target kinerja, FGD, pengalaman lalu, investigasi NO RISIKO SEBAB DAMPAK JENIS RISIKO 2/1/2015
PROSES IDENTIFIKASI RISIKO Tentukan Unit Risiko Pahami Proses bisnis dari unit tsb Tentukan satu atau beberapa aktivitas yang krusial Cari tahu kerugian yg dapat terjadi pd barang dan orang dari aktivitas krusial tsb (Loss dan Damage) Tentukan penyebab terjadinya kerugian tsb Buat Daftar risiko
Menentukan bentuk kerugian ORANG Loss; Meninggal, menghulang, Berhenti kerja, dll Damage: Cedera, sakit, dll BARANG Loss: Hilang, tdk sesuai, dicuri, diselewengkan, tak tertagih (khusus uang), dll Damage: Rusak , terbakar, dll.
Menentukan Penyebab Kerugian Risiko Keuangan: perubahan harga, perubahan nilai tukar, perubahan tingkat bunga Risiko operasional: Manusia : Kompetensi (tdk mampu, tdk paham, lalai, dll) , Fisik (lelah, sakit, lalai, dll), Moral (mencuri, merusak, mogok, persepsi berbeda, dll) Teknologi: Hard Technology (peralatan, mesin, Soft Technology (aturan, metode, sistem, teknik). Sbg sumber risiko usang, kualitas tdk sesuai standar, Tdk sesuai penggunaan) Alam: Bencana alam (banjir, gempa, dll), Kondisi alam (lembab, panas, dingin, dll), Makhluk alam (kuman, binatang)
59 3. ANALISIS RISIKO NILAI RISIKO= LIKELYHOOD X IMPACT PETA RISIKO Pengalaman, best practice, literature, survey, eksperimen, pakar, brainstorming NO RISIKO LIKELYHOO D IMPACT NILAI RISIKO 2/1/2015
60 4. EVALUASI RISIKO Prioritas risiko Mempertimbangkan al: Peristiwa baru Efek kumulatif Tingkat ketidakpastian NO RISIKO NILAI RISIKO PERINGKAT PENERIMAA N 2/1/2015
61 5. PENANGANAN RISIKO (KEGIATAN PENGENDALIAN) COST & BENEFIT MENGHILANGKAN AKAR MASALAH, MENGURANGI DAMPAK TAHAP: Identifikasi opsi Evaluasi opsi Pilih opsi Persiapan implementasi Implementasi RINI S Nilai RR LIKELYHOOD 2/1/2015
Hal yang perlu diperhatikan dalam penanganan risiko: Pahami : Sumber atau penyebab risiko, Apa pemicu timbulnya risiko, Bagaimana besar kemungkinan terjadinya, serta Seberapa besar dampaknya. Pahami kondisi: Lingkungan (hukum, sosial, politik, ekonomi, dan lain‐lain) Siapa saja yang terlibat dalam kegiatan yang berisiko tersebut. Pengkajian awal yang cukup mendalam seringkali
Respon terhadap Risiko Kurangi kemungkinan Kurangi dampak Terima RESPON RISIKO Hindari Berbagi
CONTOH RENCANA PENANGANAN RISIKO
Realisasi Pelaksanaan Rencana Penanganan Risiko Membangun infrastruktur yang meliputi kebijakan dan prosedur yang berhubungan dengan pengendalian risiko Pengomunikasian Pelaksanaan kebijakan dan prosedur pengendalian Pemantauan atas implementasi pengendalian
Bentuk – bentuk Kegiatan Pengendalian Reviu atas Kinerja Pembinaan SDM Pengendalian Sistem Informasi Pengendalian Fisik atas Aset Penetapan dan Reviu IK Pemisahan Fungsi Otorisasi Pencatatan Pembatasan Akses Akuntabilitas 66 Dokumentasi Psl 18 (3)
Komunikasi dan Konsultasi Proses komunikasi dan konsultasi bertujuan memperoleh informasi yang relevan serta mengkomunikasikan setiap tahapan proses manajemen risiko sehingga pihak-pihak yang terkait dapat menjalankan tanggungjawabnya dengan baik. Dialog 2 arah Dilaksanakan sejak awal Menjaring masukan dari berbagai sudut pandang
Monitoring dan Reviu, bertujuan: Memastikan penanganan risiko dilaksanakan sesuai dengan rencana; Mengetahui penyimpangan /perbedaan harapan vs kenyataan proses manajemen risiko; Mengetahui kondisi akhir dari profil risiko dalam satu unit kerja; Mengantisipasi perubahan mendadak risiko yang mempengaruhi profil risiko; Menentukan langkah lanjutan manajemen risiko.
HAMBATAN MR = PARADIGMA RISK • • TABU, BOROS, HILANG PELUANG KKN, TATA KELOLA MASIH LEMAH KUNCI BERHASIL MR • Dukungan manajemen dan staf • Ketersediaan informasi dan proses yang mudah dipahami • Tanggung jawab pemilik risiko • Sumberdaya • Komunikasi dan pelatihan yang berkelanjutan • Sarana untuk mengukur hasil yang dicapai • Penegakan peraturan • Pemantauan yang berkesinambungan
KESIMPULAN 70 Risiko MR – AS/NZS MR - COSO • Segala sesuatu yang mungkin menghambat pencapaian tujuan • Culture, structure, process • Minimalkan hal negative • Merealisasi peluang • Proses yang dipengaruhi oleh pimpinan dan seluruh pegawai • Memberikan keyakinan atas pencapaian tujuan RINI S 2/1/2015
MATURITY LEVEL Risk Maturity Risk Naïve / Initial Aspect Tidak ada pendekatan formal yang dikembangkan dalam pengelolaan risiko Audit Approach Memperkenalkan risk management dan audit didasrkan pada penilaian risiko audit dan atau Faktor Risiko Risk Aware / Pengembangan risk management masih Repetable terpisah-pisah atau perbagian Memperkenalkan Enterprise-wide approach risk management dan audit didasarkan atas penilaian risiko audit dan atau Faktor Risiko Risk Defined perusahaan sudah memiliki dan mengkomunikasikan strategi dan kebijakan serta risk appetite dalam penerapan risk management Memfasilitasi dan kerjasama dengan unit managemen risiko dan memanfaatkan hasil risk assessment manajemen jika sudah dipandang memadai dalam melakukan audit Risk Managed Audit proses risk management dan menggunakan hasil asesmen risiko yang sudah cukup memadai Perusahaan atau organisasi telah mengembangkan dan mengkomunikasikan enterprises-wide approach risk
CAPABILITY MATURE MODEL CAPABILITY 72 TAHAP KETERANGAN 0 INCOMPLETE PROSES TIDAK LENGKAP, MR TIDAK DIJALANKAN/HANYA SEBAGIAN 1 PERFORMED PROSES YG DIJALANKAN MENDUKUNG UNTUK MENGHASILKAN PEKERJAAN YG DIIDENTIFIKASI DG MENGGUNAKAN INPUT YG DIIDENTIFIKASI 2 MANAGED PROSES TERKELOLA DIKELOLA DG SDM AHLI, DIDUKUNG SD, EKSPERT (TINDAKAN KOREKSI DILAKUKAN ATAS HASIL YG MENYIMPANG) 3 DEFINED PROSES TERDEFINISI SDUAH DITETAPKAN PANDUAN ORGANISASI (STANDAR YANG DIGUNAKAN MENYELURUH) DAN BERKONTRIBUSI PADA PRODUK DAN INFORMASI PERBAIKAN PROSES 4 QUANTITATIVELY MANAGED PROSES TERKELOLA DENGAN KUANTITATIF. SUDAH MENGGUNAKAN TEKNIK STATISTIK (KEMAMPUAN PREDIKSI LEBIH BAIK) 5 OPTIMIZING PROSES OPTIMALISASI SELALU MELAKUKAN PERUBAHAN UNTUK PERBAIKAN SAAT INI DAN 2/1/2015 MASA DEPAN (PERBAIKAN BERKELANJUTAN MEMPERHATIKAN PENYEBAB VARIABILITAS PROSES) RINI S
MR dan PERAN AUDITOR INTERNAL Auditor internal perlu memberitahu kepada manajemen: apakah proses yang berjalan telah berlangsung dengan efektif, efisien dan ekonomis? Apakah risiko telah diidentifikasi dan dikelola dengan baik? apakah peraturan dan kebijakan telah dipatuhi oleh segenap komponen organisasi? Manajemen risiko adalah tugas dan tanggung jawab manajemen. Tugas auditor internal adalah menyatakan kecukupan dan efektivitas manajemen risiko yang dijalankan oleh manajemen.
MR dan PERAN AUDITOR INTERNAL Manajemen risiko menyediakan kerangka bagi auditor internal untuk lebih memahami risiko yang dihadapi oleh manajemen, baik secara individu maupun organisasi secara keseluruhan. Pemahaman potensi risiko akan memudahkan auditor internal memfokuskan sumber daya yang tersedia pada area atau bidang yang memiliki risiko tinggi dan kemudian mengembangkan prosedur audit untuk mereviu, menguji, dan mengevaluasi pengendalian pada bidang yang memiliki risiko yang tinggi.
MR dan PERAN AUDITOR INTERNAL Lima peran inti dari internal audit dalam kerangka MR: Memberikan assurance (jaminan) bahwa proses yang dilakukan oleh manajemen untuk mengidentifikasi semua risiko yang signifikan adalah efektif; Memberikan assurance (jaminan) bahwa risiko telah diberi score dan diurutkan berdasarkan prioritas oleh manajemen; Mengevaluasi proses manajemen risiko, untuk memastikan bahwa respon terhadap risiko telah tepat dan sesuai kebijakan organisasi; Mengevaluasi pelaporan risiko utama; Meninjau pengelolaan risiko utama oleh manajemen.
MR dan PERAN AUDITOR INTERNAL Hasil yang bisa diberikan oleh internal audit di sektor publik (Internal audit role in modern governance) : Reviu budaya pengendalian organisasi Tujuan evaluasi kerangka pengendalian intern dan risiko saat ini Analisis sistematis proses bisnis dikaitkan dengan pengendalian Inventarisasi aset dan nilainya Sumber informasi kemungkinan kecurangan dan penyimpangan Reviu area lain yang tidak menjadi concern Reviu atas hal‐hal yang harus ditaati Rekomendasi tujuan untuk efisiensi dan aktivitas penggunaan sumber daya Penilaian pencapaian target dan sasaran organisasi
MR TEKNOLOGI INFORMASI Standar penerapan kinerja auditor internal dari IIA (IPPF): Auditor internal harus menilai apakah pengelolaan teknologi informasi organisasi telah mendukung pencapaian strategi dan tujuan organisasi. Auditor internal harus menilai pernyataan risiko sehubungan sistem informasi organisasi. Auditor internal harus mengevaluasi kecukupan dan efektivitas pengendalian yang digunakan untuk merespon risiko sehubungan dengan sistem informasi organisasi.
MR TEKNOLOGI INFORMASI Fungsi auditor internal tidak dapat berjalan efektif dalam mengevaluasi tata kelola, manajemen risiko dan proses pengendalian tanpa mempertimbangkan sistem dan teknologi informasi.
80 2/1/2015
- Slides: 80
