PENILAIAN risiko.

Presentasi berjudul: "PENILAIAN risiko."— Transcript presentasi:

1 PENILAIAN risiko

2 Mendalami IC dan (Penilaian) Risiko
Agenda Mendalami IC dan (Penilaian) Risiko Pengantar Implementasi Penilaian Risiko: Identifikasi tujuan Identifikasi risiko (termasuk identifikasi sebab & dampak terjadinya risiko) Tidak termasuk merancang pengendalian (control)

3 COSO PYRAMID & CUBE

4 Mendalami IC dan Penilaian Risiko

5 Sumber IC IC Other Sources COSO GoM (Draft 2008) COSO ICIF 1992

6 COSO’s Internal Control Publications
1992 2006 2009 2013

7 COSO – Pengembang IC dan RM

8 Why update what works – The Framework has become the most widely adopted control framework worldwide. COSO’s Internal Control–Integrated Framework (1992 Edition) Original Framework Articulate principles to facilitate effective internal control Broadens Application Clarifies Requirements Reflect changes in business & operating environments Expand operations and reporting objectives Refresh Objectives Updates Context Enhancements Updated Framework COSO’s Internal Control–Integrated Framework (2013 Edition)

9 Summary of COSO – 3 Updates Codification of 17 principles embedded in the original Framework
Control Environment Demonstrates commitment to integrity and ethical values Exercises oversight responsibility Establishes structure, authority and responsibility Demonstrates commitment to competence Enforces accountability Risk Assessment Specifies relevant objectives Identifies and analyzes risk Assesses fraud risk Identifies and analyzes significant change Control Activities Selects and develops control activities 11. Selects and develops general controls over technology Deploys through policies and procedures Information & Communication Uses relevant information Communicates internally Communicates externally Monitoring Activities Conducts ongoing and/or separate evaluations Evaluates and communicates deficiencies

10 Update articulates principles of effective internal control (continued)
Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika. Dewan pengawas menunjukkan independensi thd manajemen dan melaksanakan pengawasan terhadap perkembangan dan kinerja pengendalian internal. Manajemen menetapkan, dengan pengawasan dewan, struktur, jalur pelaporan, dan pihak yang berwenang dan tanggung jawab dalam mencapai tujuan. Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten sejalan dengan tujuan. Organisasi mendorong individu bertanggung jawab thd pengendalian internal mereka dalam mencapai tujuan. Control Environment

11 Update articulates principles of effective internal control (continued)
Risk Assessment 6. Organisasi menetapkan tujuan dengan kejelasan yang cukup untuk memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan. 7. Organisasi mengidentifikasi risiko terhadap pencapaian tujuan di seluruh entitas dan menganalisa resiko sebagai dasar untuk menentukan bagaimana risiko harus dikelola. 8. Organisasi mempertimbangkan potensi terjadinya fraud dalam menilai risiko terhadap pencapaian tujuan. 9. Organisasi mengidentifikasi dan mengevaluasi perubahan yang signifikan yang dapat mempengaruhi sistem pengendalian internal.

12 Update articulates principles of effective internal control (continued)
Control Activities 10. Organisasi memilih dan mengembangkan kegiatan pengendalian yang berkontribusi terhadap mitigasi risiko sampai tingkat yang dapat diterima terhadap pencapaian sasaran. 11. Organisasi memilih dan mengembangkan kegiatan pengendalian umum atas teknologi informasi untuk mendukung tercapainya tujuan. 12. Organisasi menerapkan kegiatan pengendalian melalui kebijakan yang menetapkan apa yang diharapkan dan prosedur untuk menerapkan kebijakan pada praktiknya.

13 Information & Communication
Update articulates principles of effective internal control (continued) Information & Communication 13. Organisasi memperoleh atau menghasilkan dan menggunakan, informasi yang ber kualitas dan relevan untuk mendukung fungsi pengendalian internal. 14. Organisasi mengkomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab untuk pengendalian internal, yang diperlukan untuk mendukung fungsi pengendalian internal. 15. Organisasi berkomunikasi dengan pihak luar mengenai hal yang mempengaruhi fungsi pengendalian internal.

14 Monitoring Activities
Update articulates principles of effective internal control (continued) Monitoring Activities 16. Organisasi memilih, mengembangkan, dan melakukan evaluasi berkelanjutan dan / atau terpisah untuk memastikan apakah komponen pengendalian internal eksis dan berfungsi baik. 17. Organisasi mengevaluasi dan mengkomunikasikan kekurangan pengendalian internal secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif, termasuk manajemen senior dan dewan direksi.

15 Bagaimana mem-”bumi”-kan IC?

16 Konsep Dasar IC Merupakan suatu proses, yang terdiri dari aktivitas berkelanjutan. Bukan tujuan akhir tetapi alat untuk mencapai tujuan. Dipengaruhi oleh “orang” di seluruh organisasi, bukan semata-mata prosedur, form, system. (Menggeser hard-control ke soft-control). Memberi keyakinan yang masuk akal (bukan keyakinan mutlak) bahwa tujuan organisasi akan tercapai. Dirancang untuk mendukung pencapaian 3 kategori tujuan yang saling mempengaruhi (efisiensi-termasuk keamanan aset, pelaporan, ketaatan). Dapat diterapkan pada berbagai organisasi.

17 Hard Control vs Soft Control

18 Keterbatasan IC Dipengaruhi oleh “prakondisi IC” (inherent limitation) Dipengaruhi oleh “judgment operator” Dipengaruhi oleh “human’s breakdowns” Dipengaruhi oleh “management override” (pengabaian manajemen) Dipengaruhi oleh “collusion”

19 Unsur Terpenting – Lingkungan Pengendalian
Lingkungan pengendalian menjadi pondasi seluruh bangunan IC. LP membentuk iklim dan kesadaran akan pentingnya IC. Tanpa LP yang sehat, mustahil IC dapat tumbuh kembang.

20 Soft control  Lingkungan pengendalian.
3 Pilar Keberhasilan IC Integri-tas dan etika Tone at the top Soft control  Lingkungan pengendalian.

21 Disain Control harus Mempertimbangkan Cost-benefit

22 Peran Internal Auditor dalam IC

23 Posisi Internal Auditor dalam IC

24 Perkembangan MR (IC) sbg Management Tools
MR merupakan tools manajemen populer sbg pendamping tools2 lainnya. Organisasi2 terkemuka di dunia saat ini sangat peduli akan risiko. Risiko telah menjadi isu sentral dalam ilmu manajemen saat ini. Konsultan manajemen risiko telah berkembang pesat. Aplikasi MR berbasis IT telah berkembang pesat dalam dunia bisnis. Manajemen memiliki tools untuk memonitor risiko dengan KRI dan Risk Event Data Base.

25 Perkembangan MR (IC) sbg Management Tools
Organisasi yang piawai dalam mengelola risiko, tumbuh menjadi organisasi berkelas dunia.

26 IT Based Dashboard Monitoring of RM

27 IT Based Dashboard Monitoring of RM

28 Risk Management Maturity Model

29 Risk Management Maturity Model

30 Risk Management Maturity Model

31 Risk Management Maturity Model

32 Risk Management Maturity Model

33 PENGANTAR Implementasi Penilaian Risiko

34 Risks

35 Risk Appetite vs Risk Tolerance

36 Risk Appetite vs Risk Tolerance

37 Inherent Risk vs Residual Risk

38 Inherent Risk vs Residual Risk
Control Residual Risk

39 Risk Profile

40 Risk Profile

41 Risk Profile

42 3 Dimension Risk Profile

43 3 Dimension Risk Profile

44

45 No Risk – No Gain

46 TRILOGI PENGELOLAAN RISIKO
OBJECTIVE CONTROL RISK

47 TRILOGI PENGELOLAAN RISIKO
OBJECTIVE CONTROL RISK PENYEBAB RISIKO Memitigasi Penyebab Risiko AKIBAT RISIKO Memitigasi Akibat Risiko

48 R1 R11

49 Kategori Risiko

50 Expanded - Small Cyclus in RM Process: ORC
Identifikasi tujuan kegiatan (O) Identifikasi risiko (R) Identifikasi penyebab & akibat risiko Assess risiko inherent Mitigasi risiko / Disain Control (C) Assess risiko sisa (residual risk)

51 Identifikasi Tujuan Kegiatan
Identifikasi tujuan kegiatan (O) Identifikasi risiko (R) Identifikasi penyebab & akibat risiko Assess risiko inherent Mitigasi risiko / Disain Control (C) Assess risiko sisa (residual risk) Identifikasi Tujuan Kegiatan

52 Sub Proses Identifikasi Tujuan Kegiatan
Visi-Misi Analisis Kegiatan (Proses Bisnis) Identifikasi Tujuan Kegiatan

53 Contoh Sederhana Menganalisis Kegiatan

54 Tidur Flowcharts - Garis Besar : Persiapkan seluruh bahan kuliah
“Datang tepat waktu ke ruang kuliah pukul 8.00 pagi”. Persiapkan seluruh bahan kuliah Tidur Bangun dan siap-siap Perjalanan menuju kampus Tiba di ruang kelas

55 Flowcharts - Rinci : Start
“Datang tepat waktu ke ruang kuliah pukul 8.00 pagi”. Alarm bunyi ? Persiapkan seluruh bahan kuliah Setel alarm pukul 6 Tidur Start Naik bis ? Bangun Mandi & berpakaian Ambil tas Setir mobil Cari parkir Jalan ke halte Menunggu bis Naik bis Jalan ke kelas Turun di halte tujuan Menuju lingkungan kampus Tiba di ruang kelas

56 Tiga jenis proses bisnis
Operating processes Merupakan proses inti organisasi dalam mencapai tujuannya. Misalnya: membuat dan menjual produk (barang dan jasa) Management and support processes Merupakan kegiatan dalam rangka mengawasi dan mendukung proses penciptaan nilai inti organisasi. Contoh: perencanaan strategis, program etika dan kepatuhan, aktifitas dewan komisaris, dll. Project Aktifitas proses penciptaan nilai organisasi, dalam periode waktu tertentu, seringkali urutannya sangat kompleks, dan relatif unik dibandingkan dengan aktifitas normal bisnis. Contoh: Konstruksi, pengeboran usaha tambang.

57 Proses Bisnis Projects Gambaran rangkaian proses bisnis
Operating Process Management & Support Process Projects Memahami lingkungan Menyusun strategi Pengelolaan SDM Proyek yang dioperasikan: Identifikasi & penilaian Pengembangan konsep Disain & sumber daya Eksekusi Operasi Pembubaran Pengelolaan Sumber Daya Keuangan Mendisain produk/jasa Memasarkan dan menjual Pengelolaan Sumber Daya Informasi Memproduksi barang Pengelolaan Sumber Daya Fisik Proyek yang diserahkan: Identifikasi & penilaian Pengembangan konsep Disain & sumber daya Eksekusi Penyerahan hasil & pembubaran Menyerahkan jasa Kepatuhan Pengelolaan Hubungan Eksternal Membuat invoice dan menagih

58 Contoh Lain Analisis Proses Bisnis
Other Services Ujian Cases Kurikulum Silabus Evaluasi Delivery Textbook Dosen World Class University Manajemen Pendidikan Pengembangan SDM dan Remunerasi Riset, Laboratorium dan Perpustakaan Setiap proses bisnis diidentifikasi tujuannya

59 Identifikasi Risiko- Berbagai Risk Model
Identifikasi tujuan kegiatan (O) Identifikasi risiko (R) Identifikasi penyebab & akibat risiko Assess risiko inherent Mitigasi risiko / Disain Control (C) Assess risiko sisa (residual risk) Identifikasi Risiko- Berbagai Risk Model

60 Model Risiko – The IIA Risiko strategis Risiko kepatuhan
Eksternal Internal Risiko kepatuhan Risiko pelaporan Sumberdaya informasi Risiko operasional Proses Orang Keuangan

61 Model Risiko – The IIA Risiko strategis Eksternal
Perubahan peraturan, kompetisi, dinamika pasar, industri, teknologi. Internal Reputasi, fokus strategis, kepuasan konsumen, tata kelola. Risiko kepatuhan Kontrak, peraturan, tuntutan, perijinan. Etika, kebijakan, kecurangan, kegiatan ilegal. Risiko pelaporan Laporan akuntansi dan keuangan, perpajakan. Penganggaran, pengukuran kinerja, pengendalian intern Sumber daya informasi Akses, ketersediaan, integritas, infrastruktur, kerahasiaan, hak milik.

62 Model Risiko – The IIA Risiko operasional Proses
Rantai supply, kapasitas, eksekusi proses, kesehatan dan keselamatan, keberlangsungan usaha, waktu siklus, kejadian katastropis, ketiadaan inovasi. Orang SDM, kepemimpinan, pegawai kunci, insentif, pemberdayaan, perubahan kesamaptaan, komunikasi. Keuangan Suku bunga, perubahan kurs, kapasitas, konsentrasi, ketersediaan modal, manajemen kas, kebijakan harga, durasi.

63 Model Risko - Andersen Process Risk Sources of Uncertainty
Uncertainties Affecting the Viability of Our Business Model Environment Risk Sources of Uncertainty Uncertainties Affecting the Execution of Our Business Model Process Risk There are three components of business risk that provide a broad foundation from which more specific categories of risk can be identified and detailed. These components are depicted here. [Talk through visual.] There are specific risk categories that apply to each component. Uncertainties Over the Relevance and Reliability of Information That Support Our Value Creation Decisions Information For Decision Making Risk

64 Model Risko - Andersen “Environment risk” arises when there are external forces that can affect a firm’s performance, or make its choices regarding its strategies, operations, customer and supplier relationships, organizational structure or financing obsolete or ineffective. These forces include the actions of competitors and regulators, shifts in market prices, technological innovation, changes in industry fundamentals, the availability of capital or other factors outside the company’s direct ability to control. Source: Enterprise-wide Risk Management: Strategies for linking risk and opportunity

65 Model Risko - Andersen “Process risk” arises when business processes do not achieve the objectives they were designed to achieve in supporting the firm’s business model. For example, characteristics of poorly performing processes, or process risks, include: Poor alignment with enterprise-wide business objectives and strategies, Ineffectiveness in satisfying customers, Inefficient operations, Dilution of (instead of creating or preserving) value and Failure to protect significant financial, physical, customer, employee/supplier, knowledge and information assets from unacceptable losses, risk-taking, misappropriation or misuse. There are five groups of process risks that you see on the slide. Each includes various risk categories. Source: Enterprise-wide Risk Management: Strategies for linking risk and opportunity

66 Model Risko - Andersen “Information for decision-making risk” arises when information used to support business decisions is incomplete, out of date, inaccurate, late or simply irrelevant to the decision-making process. Our research with the Economist Intelligence Unit in 1995, as updated by the New Dimensions on Business Risk project in the summer of 1998, indicates that a significant majority of companies (at least four out of every five) believe that their decision-support systems are far from optimal. There are three groups of information for decision making risks. Source: Enterprise-wide Risk Management: Strategies for linking risk and opportunity

67 Identifikasi Penyebab Terjadinya Risiko
Penyebab  penyebab paling hakiki Salah satu metode: Ishikawa Diagram / Fishbone Diagram / Root-caused Analysis Kategori Penyebab pada Fishbone Diagram: Man Money Method Material Machine Management Measurement

68 Ilustrasi Fishbone Diagram

69 Ilustrasi Fishbone Diagram

70 Respon/Mitigasi Risiko – Merancang Control
Identifikasi tujuan kegiatan (O) Identifikasi risiko (R) Identifikasi penyebab & akibat risiko Assess risiko inherent Mitigasi risiko / Disain Control (C) Assess risiko sisa (residual risk) Respon/Mitigasi Risiko – Merancang Control

71 Respon/Mitigasi Risiko

72 Respon/Mitigasi Risiko
Avoid-ance Exiting / divesting Reduc-tion / Miti-gate Reduce likelihood /impact Sharing Transferring / sharing a portion Accep-tance No action taken

73 Respon/Mitigasi Risiko

74 dan Desain Control Pengantar Workshop Identifikasi:
Identifikasi tujuan kegiatan (O) Identifikasi risiko (R) Identifikasi penyebab & akibat risiko Assess risiko inherent Mitigasi risiko / Disain Control (C) Assess risiko sisa (residual risk) Pengantar Workshop Identifikasi: Tujuan - Risiko - Penyebab - Dampak. dan Desain Control

75 TRILOGI PENGELOLAAN RISIKO
OBJECTIVE CONTROL RISK PENYEBAB RISIKO Memitigasi Penyebab Risiko AKIBAT RISIKO Memitigasi Akibat Risiko

76 IDENTIFIKASI RISIKO – 1 (INSPEKTORAT)
Membantu manajemen agar dapat melakukan kegiatan secara efisien efektif CONTROL Kegagalan mengidentifikasi penyebab hakiki suatu kelemahan control Tim audit belum Tim audit belum memahami tools RCA Menyeleksi, melatih auditor Rekomendasi tdk berkualitas, tidak dapat di-TL dan kredibilitas auditor menurun Proses pemutakhiran temuan

77 IDENTIFIKASI RISIKO – 2 (BPN)
Melayani masyarakat dalam penerbitan sertifikat tanah CONTROL Terjadi penerbitan sertifikat tanah ganda Tim audit belum Administrasi, data base dan teknologi tidak efektif Menerapkan teknologi informasi pertanahan BPN dituntut oleh masyarakat Disusun SOP untuk menangani tuntutan.

78 IDENTIFIKASI RISIKO – 3 (Kepegawaian)
Memantau kedisiplinan pegawai CONTROL Penerapan peraturan disiplin pegawai yang tidak sesuai ketentuan Tim audit belum Tim Penegak Disiplin tidak memperoleh data pegawai secara lengkap Menerapkan mekanisme pengawasan thd TPD Pegawai memenangkan tuntutan di PTUN, citra organisasi terganggu Mekanisme punishment bagi Tim Penegak Disiplin

79 IDENTIFIKASI RISIKO – 4 (Kepolisian)
Memberkaskan perkara pidana untuk penuntututan CONTROL Terdakwa dituntut bebas oleh hakim Tim audit belum Berkas tuntutan kurang lengkap (bukti kurang valid) Penerapan proses ekspose Tingkat kejahatan narkoba meningkat Sosialisasi dan penegakan hukum.

80 IDENTIFIKASI RISIKO – 4a (Kepolisian)
Mengamankan bukti dan tersangka CONTROL Tersangka melarikan diri Membangun ruang tahanan, menetapkan jadwal jaga Tim audit belum Ruang tahanan kurang memadai, tidak cukup petugas Terdapat tambahan DPO Disusun SOP buser DPO

81 IDENTIFIKASI RISIKO – 5 (Bagian Umum)
Menjaga kesamaptaan kendaraan CONTROL Kendaraan mengalami kecelakaan (rem blong) Tim audit belum Kondisi kendaraan (rem) kurang terawat Preventive, detective control. Kerugian aset dan jiwa Corrective control.

82 IDENTIFIKASI RISIKO – 6 (Bagian Umum)
Menjaga keamanan aset organisasi CONTROL Terjadi kebakaran gedung arsip Tim audit belum Kabel listrik tidak terawat, terdapat dapur dalam gedung. Preventive, detective control. Kerugian aset Corrective control (alarm, hydrant, asuransi).

83 IDENTIFIKASI RISIKO – 7 (Keuangan)
Penyediaan dana kegiatan tepat waktu dan jmlh CONTROL Dana kegiatan dicuri dalam perjalanan Tim audit belum Pembawa uang tidak dikawal SOP pengambilan dana yang valid. Kerugian materiil dana kegiatan Asuransi

84 IDENTIFIKASI RISIKO – 8 (Akuntansi)
Menyusun laporan keuangan yg valid, lengkap, ontime CONTROL Laporan keuangan di disclaimer oleh BPK Tim audit belum Sistem informasi manajemen yang belum memadai Menerap-kan IT Pelaksanaan kegiatan tahun berikutnya terhambat Menerapkan punishment, men-TL temuan

85 IDENTIFIKASI RISIKO – 9 (Pendidikan Tinggi)
Melaksanakan ujian kelulusan mahasiswa yang aman dan tertib CONTROL Soal ujian bocor Tim audit belum Bagian penggandaan soal ujian kurang terawasi Pengamanan soal ujian Lulusan kurang berkualitas Ujian kompre-hensif diperketat

86 IDENTIFIKASI RISIKO – 10 (RS Kusta)
Menurunkan gejala pasien sakit kusta CONTROL Obat tidak tersedia ketika dibutuhkan Tim audit belum Lemahnya manajemen apotik rumah sakit Menerap-kan IT Pasien menjadi semakin parah Menyusun SOP kondisi darurat

87 IDENTIFIKASI RISIKO – 11 (Dinas PU)
Membangun jalan dan jembatan CONTROL Pengecoran beton tidak sesuai standar Tim audit belum Tidak terdapat sistem pengawasan pembangunan yang memadai Dst.. Spesifikasi bangunan rendah karena fraud di lapangan Dst..

88 IDENTIFIKASI RISIKO – 12 (PDAM)
Menghitung pemakaian air pelanggan CONTROL Meter air tidak terbaca Tim audit belum Meter air sengaja dirusak pelanggan Dst.. PDAM mengalami kerugian materiil Dst..

89 Thank You ! AstraInt Sept 12

90 Thank You ! AstraInt Sept 12