PENILAIAN RISIKO 13 1 Agenda n Mendalami IC

PENILAIAN RISIKO 13 - 1

Agenda n Mendalami IC dan (Penilaian) Risiko n Pengantar Implementasi Penilaian Risiko: ü Identifikasi tujuan ü Identifikasi risiko (termasuk identifikasi sebab & dampak terjadinya risiko) ü Tidak termasuk merancang pengendalian (control) 13 - 2

COSO PYRAMID & CUBE 13 - 3

MENDALAMI IC DAN PENILAIAN RISIKO 13 - 4

Sumber IC COSO Go. M (Draft 2008) COSO ICIF 1992 Other Sources IC 13 - 5

COSO’s Internal Control Publications 1992 2006 2009 2013 13 - 6

COSO – Pengembang IC dan RM 13 - 7

Why update what works – The Framework has become the most widely adopted control framework worldwide. Original Framework Refresh Objectives COSO’s Internal Control–Integrated Framework (1992 Edition) Reflect changes in Expand operations and Articulate principles to business & operating reporting objectives facilitate effective environments Enhancements Updated Framework Updates Context internal control Broadens Application Clarifies Requirements COSO’s Internal Control–Integrated Framework (2013 Edition) 13 - 8

Summary of COSO – 3 Updates Codification of 17 principles embedded in the original Framework Control Environment Risk Assessment Control Activities 1. 2. 3. 4. 5. Demonstrates commitment to integrity and ethical values Exercises oversight responsibility Establishes structure, authority and responsibility Demonstrates commitment to competence Enforces accountability 6. 7. 8. 9. Specifies relevant objectives Identifies and analyzes risk Assesses fraud risk Identifies and analyzes significant change 10. Selects and develops control activities 11. Selects and develops general controls over technology 12. Deploys through policies and procedures Information & Communication 13. Uses relevant information 14. Communicates internally 15. Communicates externally Monitoring Activities 16. Conducts ongoing and/or separate evaluations 17. Evaluates and communicates deficiencies 13 - 9

Update articulates principles of effective internal control (continued) Control Environment 1. Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika. 2. Dewan pengawas menunjukkan independensi thd manajemen dan melaksanakan pengawasan terhadap perkembangan dan kinerja pengendalian internal. 3. Manajemen menetapkan, dengan pengawasan dewan, struktur, jalur pelaporan, dan pihak yang berwenang dan tanggung jawab dalam mencapai tujuan. 4. Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten sejalan dengan tujuan. 5. Organisasi mendorong individu bertanggung jawab thd pengendalian internal mereka dalam mencapai tujuan. 13 - 10

Update articulates principles of effective internal control (continued) Risk Assessment 6. Organisasi menetapkan tujuan dengan kejelasan yang cukup untuk memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan. 7. Organisasi mengidentifikasi risiko terhadap pencapaian tujuan di seluruh entitas dan menganalisa resiko sebagai dasar untuk menentukan bagaimana risiko harus dikelola. 8. Organisasi mempertimbangkan potensi terjadinya fraud dalam menilai risiko terhadap pencapaian tujuan. 9. Organisasi mengidentifikasi dan mengevaluasi perubahan yang signifikan yang dapat mempengaruhi sistem pengendalian internal. 13 - 11

Update articulates principles of effective internal control (continued) Control Activities 10. Organisasi memilih dan mengembangkan kegiatan pengendalian yang berkontribusi terhadap mitigasi risiko sampai tingkat yang dapat diterima terhadap pencapaian sasaran. 11. Organisasi memilih dan mengembangkan kegiatan pengendalian umum atas teknologi informasi untuk mendukung tercapainya tujuan. 12. Organisasi menerapkan kegiatan pengendalian melalui kebijakan yang menetapkan apa yang diharapkan dan prosedur untuk menerapkan kebijakan pada praktiknya. 13 - 12

Update articulates principles of effective internal control (continued) Information & Communication 13. Organisasi memperoleh atau menghasilkan dan menggunakan, informasi yang ber kualitas dan relevan untuk mendukung fungsi pengendalian internal. 14. Organisasi mengkomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab untuk pengendalian internal, yang diperlukan untuk mendukung fungsi pengendalian internal. 15. Organisasi berkomunikasi dengan pihak luar mengenai hal yang mempengaruhi fungsi pengendalian internal. 13 - 13

Update articulates principles of effective internal control (continued) Monitoring Activities 16. Organisasi memilih, mengembangkan, dan melakukan evaluasi berkelanjutan dan / atau terpisah untuk memastikan apakah komponen pengendalian internal eksis dan berfungsi baik. 17. Organisasi mengevaluasi dan mengkomunikasikan kekurangan pengendalian internal secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif, termasuk manajemen senior dan dewan direksi. 13 - 14

Bagaimana mem-”bumi”-kan IC? 13 - 15

Konsep Dasar IC n n n Merupakan suatu proses, yang terdiri dari aktivitas berkelanjutan. Bukan tujuan akhir tetapi alat untuk mencapai tujuan. Dipengaruhi oleh “orang” di seluruh organisasi, bukan semata prosedur, form, system. (Menggeser hard-control ke softcontrol). Memberi keyakinan yang masuk akal (bukan keyakinan mutlak) bahwa tujuan organisasi akan tercapai. Dirancang untuk mendukung pencapaian 3 kategori tujuan yang saling mempengaruhi (efisiensi-termasuk keamanan aset, pelaporan, ketaatan). Dapat diterapkan pada berbagai organisasi. 13 - 16

Hard Control vs Soft Control 13 - 17

Keterbatasan IC Dipengaruhi oleh “prakondisi IC” (inherent limitation) n Dipengaruhi oleh “judgment operator” n Dipengaruhi oleh “human’s breakdowns” n Dipengaruhi oleh “management override” (pengabaian manajemen) n Dipengaruhi oleh “collusion” n 13 - 18

Unsur Terpenting – Lingkungan Pengendalian q Lingkungan pengendalian menjadi pondasi seluruh bangunan IC. q LP membentuk iklim dan kesadaran akan pentingnya IC. q Tanpa LP yang sehat, mustahil IC dapat tumbuh kembang. 13 - 19

3 Pilar Keberhasilan IC Soft control Lingkungan pengendalian. Tone at the top Integritas dan etika 13 - 20

Disain Control harus Mempertimbangkan Cost-benefit 13 - 21

Peran Internal Auditor dalam IC 13 - 22

Posisi Internal Auditor dalam IC 13 - 23

Perkembangan MR (IC) sbg Management Tools § MR merupakan tools manajemen populer sbg pendamping tools 2 lainnya. § Organisasi 2 terkemuka di dunia saat ini sangat peduli akan risiko. Risiko telah menjadi isu sentral dalam ilmu manajemen saat ini. § Konsultan manajemen risiko telah berkembang pesat. § Aplikasi MR berbasis IT telah berkembang pesat dalam dunia bisnis. § Manajemen memiliki tools untuk memonitor risiko dengan KRI dan Risk Event Data Base. 13 - 24

Perkembangan MR (IC) sbg Management Tools Organisasi yang piawai dalam mengelola risiko, tumbuh menjadi organisasi berkelas dunia. 13 - 25

IT Based Dashboard Monitoring of RM 13 - 26

IT Based Dashboard Monitoring of RM 13 - 27

Risk Management Maturity Model 13 - 28

Risk Management Maturity Model 13 - 29

Risk Management Maturity Model 13 - 30

Risk Management Maturity Model 13 - 31

Risk Management Maturity Model 13 - 32

PENGANTAR IMPLEMENTASI PENILAIAN RISIKO 13 - 33

Risks 13 - 34

Risk Appetite vs Risk Tolerance 13 - 35

Risk Appetite vs Risk Tolerance 13 - 36

Inherent Risk vs Residual Risk 13 - 37

Inherent Risk vs Residual Risk Inherent Risk Control Residual Risk 13 - 38

Risk Profile 13 - 39

Risk Profile 13 - 40

Risk Profile 13 - 41

3 Dimension Risk Profile 13 - 42

3 Dimension Risk Profile 13 - 43

13 - 44

No Risk – No Gain 13 - 45

TRILOGI PENGELOLAAN RISIKO OBJECTIVE RISK CONTROL 13 - 46

TRILOGI PENGELOLAAN RISIKO OBJECTIVE PENYEBAB RISIKO Memitigasi Penyebab Risiko RISK AKIBAT RISIKO CONTROL Memitigasi Akibat Risiko 13 - 47

R 1 R 11 13 - 48

Kategori Risiko 13 - 49

Expanded - Small Cyclus in RM Process: ORC Identifikasi tujuan kegiatan (O) Assess risiko sisa (residual risk) Identifikasi risiko (R) Mitigasi risiko / Disain Control (C) Identifikasi penyebab & akibat risiko Assess risiko inherent 13 - 50

Identifikasi tujuan kegiatan (O) Assess risiko sisa (residual risk) Identifikasi risiko (R) Mitigasi risiko / Disain Control (C) Identifikasi penyebab & akibat risiko Assess risiko inherent Identifikasi Tujuan Kegiatan 13 - 51

Sub Proses Identifikasi Tujuan Kegiatan Visi-Misi Analisis Kegiatan (Proses Bisnis) Identifikasi Tujuan Kegiatan 13 - 52

Contoh Sederhana Menganalisis Kegiatan 13 - 53

Flowcharts - Garis Besar : “Datang tepat waktu ke ruang kuliah pukul 8. 00 pagi”. Persiapkan seluruh bahan kuliah Perjalanan menuju kampus Tidur Bangun dan siap-siap Tiba di ruang kelas 13 - 54

Flowcharts - Rinci : “Datang tepat waktu ke ruang kuliah pukul 8. 00 pagi”. Start Bangun Persiapkan seluruh bahan kuliah Mandi & berpakaian Setel alarm pukul 6 Ambil tas Tidur Naik bis ? Alarm bunyi ? Setir mobil Cari parkir Jalan ke halte Menunggu bis Naik bis Jalan ke kelas Turun di halte tujuan Menuju lingkungan kampus Tiba di ruang kelas 13 - 55

Tiga jenis proses bisnis Operating processes Management and support processes Project • Merupakan proses inti organisasi dalam mencapai tujuannya. • Misalnya: membuat dan menjual produk (barang dan jasa) • Merupakan kegiatan dalam rangka mengawasi dan mendukung proses penciptaan nilai inti organisasi. • Contoh: perencanaan strategis, program etika dan kepatuhan, aktifitas dewan komisaris, dll. • Aktifitas proses penciptaan nilai organisasi, dalam periode waktu tertentu, seringkali urutannya sangat kompleks, dan relatif unik dibandingkan dengan aktifitas normal bisnis. • Contoh: Konstruksi, pengeboran usaha tambang. 13 - 56

Proses Bisnis • Gambaran rangkaian proses bisnis Operating Process Menyusun strategi Memahami lingkungan Mendisain produk/jasa Memasarkan dan menjual Management & Support Process Pengelolaan SDM Pengelolaan Sumber Daya Keuangan Pengelolaan Sumber Daya Informasi Projects Proyek yang dioperasikan: 1. Identifikasi & penilaian 2. Pengembangan konsep 3. Disain & sumber daya 4. Eksekusi 5. Operasi 6. Pembubaran Memproduk si barang Pengelolaan Sumber Daya Fisik Menyerahkan jasa Membuat invoice dan menagih Kepatuhan Pengelolaan Hubungan Eksternal Proyek yang diserahkan: 1. Identifikasi & penilaian 2. Pengembangan konsep 3. Disain & sumber daya 4. Eksekusi 5. Penyerahan hasil & pembubaran 13 - 57

Contoh Lain Analisis Proses Bisnis Dosen Textbook Delivery Evaluasi Kurikulum Silabus Cases Ujian Other Services Manajemen Pendidikan World Class University Pengembangan SDM dan Remunerasi Riset, Laboratorium dan Perpustakaan Setiap proses bisnis diidentifikasi tujuannya 13 - 58

Identifikasi tujuan kegiatan (O) Assess risiko sisa (residual risk) Identifikasi risiko (R) Mitigasi risiko / Disain Control (C) Identifikasi penyebab & akibat risiko Assess risiko inherent Identifikasi Risiko. Berbagai Risk Model 13 - 59

Model Risiko – The IIA Risiko strategis Risiko kepatuhan Risiko pelaporan Risiko operasional Eksternal Proses Internal Orang Sumberdaya informasi Keuangan 13 - 60

Model Risiko – The IIA Risiko strategis Risiko kepatuhan Risiko pelaporan Eksternal Perubahan peraturan, kompetisi, dinamika pasar, industri, teknologi. Internal Reputasi, fokus strategis, kepuasan konsumen, tata kelola. Eksternal Kontrak, peraturan, tuntutan, perijinan. Internal Etika, kebijakan, kecurangan, kegiatan ilegal. Eksternal Laporan akuntansi dan keuangan, perpajakan. Internal Penganggaran, pengukuran kinerja, pengendalian intern Sumber daya informasi Akses, ketersediaan, integritas, infrastruktur, kerahasiaan, hak milik. 13 - 61

Model Risiko – The IIA Risiko operasional Proses Rantai supply, kapasitas, eksekusi proses, kesehatan dan keselamatan, keberlangsungan usaha, waktu siklus, kejadian katastropis, ketiadaan inovasi. Orang SDM, kepemimpinan, pegawai kunci, insentif, pemberdayaan, perubahan kesamaptaan, komunikasi. Keuangan Suku bunga, perubahan kurs, kapasitas, konsentrasi, ketersediaan modal, manajemen kas, kebijakan harga, durasi. 13 - 62

Model Risko - Andersen Environment Risk Sources of Uncertainty Process Risk Information For Decision Making Risk Uncertainties Affecting the Viability of Our Business Model Uncertainties Affecting the Execution of Our Business Model Uncertainties Over the Relevance and Reliability of Information That Support Our Value Creation Decisions 13 - 63

Model Risko - Andersen Source: Enterprise-wide Risk Management: Strategies for linking risk and opportunity 13 - 64

Model Risko - Andersen Source: Enterprise-wide Risk Management: Strategies for linking risk and opportunity 13 - 65

Model Risko - Andersen Source: Enterprise-wide Risk Management: Strategies for linking risk and opportunity 13 - 66

Identifikasi Penyebab Terjadinya Risiko Penyebab penyebab paling hakiki n Salah satu metode: Ishikawa Diagram / Fishbone Diagram / Root-caused Analysis n Kategori Penyebab pada Fishbone Diagram: n ü ü ü ü Man Money Method Material Machine Management Measurement 13 - 67

Ilustrasi Fishbone Diagram 13 - 68

Ilustrasi Fishbone Diagram 13 - 69

Identifikasi tujuan kegiatan (O) Assess risiko sisa (residual risk) Identifikasi risiko (R) Mitigasi risiko / Disain Control (C) Identifikasi penyebab & akibat risiko Assess risiko inherent Respon/Mitigasi Risiko – Merancang Control 13 - 70

Respon/Mitigasi Risiko 13 - 71

Respon/Mitigasi Risiko • Exiting / divesting • No action taken • Reduce likelihood /impact Avoidance Reduction / Mitigate Acceptance Sharing • Transferring / sharing a portion 13 - 72

Respon/Mitigasi Risiko 13 - 73

Identifikasi tujuan kegiatan (O) Assess risiko sisa (residual risk) Identifikasi risiko (R) Mitigasi risiko / Disain Control (C) Identifikasi penyebab & akibat risiko Assess risiko inherent Pengantar Workshop Identifikasi: Tujuan - Risiko - Penyebab - Dampak. dan Desain Control 13 - 74

TRILOGI PENGELOLAAN RISIKO OBJECTIVE PENYEBAB RISIKO Memitigasi Penyebab Risiko RISK AKIBAT RISIKO CONTROL Memitigasi Akibat Risiko 13 - 75

IDENTIFIKASI RISIKO – 1 (INSPEKTORAT) Membantu manajemen agar dapat melakukan kegiatan secara efisien efektif Menyeleksi, melatih auditor Tim audit belum memahami tools RCA Kegagalan mengidentifikasi penyebab hakiki suatu kelemahan control Rekomendasi tdk berkualitas, tidak dapat di-TL dan kredibilitas auditor menurun CONTROL Proses pemutakhiran temuan 13 - 76

IDENTIFIKASI RISIKO – 2 (BPN) Melayani masyarakat dalam penerbitan sertifikat tanah Menerapkan teknologi informasi pertanahan Tim Administrasi, audit belum data base dan teknologi tidak efektif Terjadi penerbitan sertifikat tanah ganda BPN dituntut oleh masyarakat CONTROL Disusun SOP untuk menangani tuntutan. 13 - 77

IDENTIFIKASI RISIKO – 3 (Kepegawaian) Memantau kedisiplinan pegawai Tim Disiplin Tim. Penegak audit belum tidak memperoleh data pegawai secara lengkap Menerapkan mekanisme pengawasan thd TPD Penerapan peraturan disiplin pegawai yang tidak sesuai ketentuan Pegawai memenangkan tuntutan di PTUN, citra organisasi terganggu CONTROL Mekanisme punishment bagi Tim Penegak Disiplin 13 - 78

IDENTIFIKASI RISIKO – 4 (Kepolisian) Memberkaskan perkara pidana untuk penuntututan Penerapan proses ekspose Tim Berkas audit tuntutan belum kurang lengkap (bukti kurang valid) Terdakwa dituntut bebas oleh hakim Tingkat kejahatan narkoba meningkat CONTROL Sosialisasi dan penegakan hukum. 13 - 79

IDENTIFIKASI RISIKO – 4 a (Kepolisian) Mengamankan bukti dan tersangka Membangun ruang tahanan, menetapkan jadwal jaga Tim Ruang audittahanan belum kurang memadai, tidak cukup petugas Tersangka melarikan diri Terdapat tambahan DPO CONTROL Disusun SOP buser DPO 13 - 80

IDENTIFIKASI RISIKO – 5 (Bagian Umum) Menjaga kesamaptaan kendaraan Preventive, detective control. Tim audit belum Kondisi kendaraan (rem) kurang terawat Kendaraan mengalami kecelakaan (rem blong) Kerugian aset dan jiwa CONTROL Corrective control. 13 - 81

IDENTIFIKASI RISIKO – 6 (Bagian Umum) Menjaga keamanan aset organisasi Preventive, detective control. Tim Kabel audit listrik belum tidak terawat, terdapat dapur dalam gedung. Terjadi kebakaran gedung arsip Kerugian aset CONTROL Corrective control (alarm, hydrant, asuransi). 13 - 82

IDENTIFIKASI RISIKO – 7 (Keuangan) Penyediaan dana kegiatan tepat waktu dan jmlh SOP pengambilan dana yang valid. Tim audit belum Pembawa uang tidak dikawal Dana kegiatan dicuri dalam perjalanan Kerugian materiil dana kegiatan CONTROL Asuransi 13 - 83

IDENTIFIKASI RISIKO – 8 (Akuntansi) Menyusun laporan keuangan yg valid, lengkap, ontime Tim Sistem auditinformasi belum manajemen yang belum memadai Menerapkan IT Laporan keuangan di disclaimer oleh BPK Pelaksanaan kegiatan tahun berikutnya terhambat CONTROL Menerapkan punishment, men-TL temuan 13 - 84

IDENTIFIKASI RISIKO – 9 (Pendidikan Tinggi) Melaksanakan ujian kelulusan mahasiswa yang aman dan tertib Pengaman an soal ujian Bagian Tim audit penggandaan belum soal ujian kurang terawasi Soal ujian bocor Lulusan kurang berkualitas CONTROL Ujian komprehensif diperketat 13 - 85

IDENTIFIKASI RISIKO – 10 (RS Kusta) Menurunkan gejala pasien sakit kusta Tim audit Lemahnya belum manajemen apotik rumah sakit Menerapkan IT Obat tidak tersedia ketika dibutuhkan Pasien menjadi semakin parah CONTROL Menyusun SOP kondisi darurat 13 - 86

IDENTIFIKASI RISIKO – 11 (Dinas PU) Membangun jalan dan jembatan Tidak terdapat sistem Tim audit belum pengawasan pembangunan yang memadai Dst. . Pengecoran beton tidak sesuai standar Spesifikasi bangunan rendah karena fraud di lapangan CONTROL Dst. . 13 - 87

IDENTIFIKASI RISIKO – 12 (PDAM) Menghitung pemakaian air pelanggan Tim audit belum Meter air sengaja dirusak pelanggan Dst. . Meter air tidak terbaca PDAM mengalami kerugian materiil CONTROL Dst. . 13 - 88

89 Astra. Int Sept 12 13 - 89

90 Astra. Int Sept 12 13 - 90