INFORMASI, KOMUNIKASI DAN MONOTORING (PEMANTAUAN) Tim Manajemen Risiko BPKP Badan Pengawasan Keuangan dan Pembangunan
Agenda Pengantar Informasi Komunikasi Monitoring/Pemantauan 4/3/2017 Tim MR BPKP
Pengantar Informasi dan Komunikasi Informasi ( kedalaman, ketepatan, kualitas informasi) Komunikasi ( komunikasi kepada pihak internal/eksternal dan alat komunikasi ) Monitoring/Pemantauan Alasan perlunya melakukan pemantauan efektivitas ERM Cara melakukan pemantauan pelaksanaan ERM - Metodologi evaluasi efektivitas ERM - Melaporkan adanya kekurangan pelaksanaan ERM Komponen Coso Informasi dan Komunikasi menjelaskan mengenai informasi apa saja yang perlu ada dalam pelaksanaan manajemen risiko mulai dari komponen lingkungan internal sampai dengan aktivitas pengendalian. Sedangkan komponen pemantauan menjelaskan mengenai bagaimana pelaksanaan manajemen risiko perlu dipantau karena adanya perubahan seperti perubahan peristiwa risiko, peringkat risikonya, pengendalian risiko berkurang efektivitasnya dan perlu ditambahkan adanya pengendalian risiko yang baru. 4/3/2017 Tim MR BPKP
INFORMASI DAN KOMUNIKASI 4/3/2017 Tim MR BPKP
Informasi Informasi diperlukan pada seluruh jenjang perusahaan untuk mengidentifikasi, menaksir, merespon risiko dan untuk menjalankan operasi perusahaan serta untuk mencapai sasarannya Manajemen membangun sistem (informal dan formal) yang dapat menghimpun informasi yang bersumber dari eksternal dan internal perusahaan guna pengelolaan risiko perusahaan. Mengapa ada komponen informasi dan komunikasi? I&K adalah satu elemen pendukung yang memungkinkan perushaan dapat mjalankan/mimplementasikan proses MR dgn baik. Para personil yang ada dalam perusahaan memerlukan informasi yang cukup dan saluran/mekanisme komunikasi yang jelas dan efektif sehubungan dengan tanggung jawab yang diterimanya. Untk bisa menyediakan informasi yang cukup, perushaan perlu mengidentifikasi informasi apa saja yang dibutuhkan oleh personilnya, bagaimana memperolehnya dan bagaimana mkomunikasikannya. Dalam rangka memenuhi kebutuhan perusahaan dan personil yang ada didalamnya, manajemen membangun sistem informasi yang memungkinkan penyediaan segala macam informasi yang dibutuhkan berkaitan dengan pengelolaan risiko perusahaan. iformasi 4/3/2017 Tim MR BPKP
Setiap pelaksanaan komponen manajemen risiko memerlukan informasi baik yang bersumber dari dalam / luar perusahaan. Informasi yang dibutuhkan berawal dari lingkungan internal sampai dengan aktivitas pengendalian. 4/3/2017 Tim MR BPKP
Sistem Informasi Rancangan Sistem Informasi: Mendukung inisiatif stratejik: Contoh perubahan teknologi mendorong arah strategi baru dalam sistem reservasi penerbangan Terintegrasi dengan operasi: Arus informasi untuk manajemen risiko diintegrasikan dengan informasi yang ada untuk mengelola perusahaan. Contoh informasi keuangan tidak hanya digunakan untuk pelaporan kepada pihak eksternal tapi digunakan untuk pemantauan kinerja dan identifikasi peristiwa risiko 4/3/2017 Tim MR BPKP
Sistem Informasi Rancangan Sistem Informasi: Mendukung ketersediaan data: kemudahan akses kontinyuitas informasi kedalaman dan ketepatan informasi 4/3/2017 Tim MR BPKP
Kualitas Informasi Ketepatan isi – apakah tingkat detil/kedalaman informasi sudah tepat ? Tepat waktu informasi – apakah informasi tepat/tersedia pada saat dibutuhkan ? Keterkinian informasi – apakah informasi terkini yang diberikan ? Keakuratan informasi – apakah data yang diberikan benar ? Dapat diaksesnya informasi – apakah informasi mudah diperoleh bagi siapa saja yang memerlukannya ? 4/3/2017 Tim MR BPKP
Komunikasi Komunikasi adalah kunci untuk menciptakan suatu lingkungan internal yang “tepat” dan untuk mendukung komponen lain dari ERM Manajemen bertanggungjawab menciptakan saluran dan menetapkan teknologi informasi yang mendukung terselenggaranya komunikasi risiko yang efektif. 4/3/2017 Tim MR BPKP
Komunikasi pada Pihak Internal Manajemen memberikan komunikasi terarah dan spesifik kepada personil: seluruh personil menerima pesan yang jelas dari manajemen puncak bahwa manajemen risiko harus dijalankan dengan sungguh-sungguh 4/3/2017 Tim MR BPKP
Komunikasi pada Pihak Internal Komunikasi yang efektif: Menjamin adanya kepedulian tentang pentingnya dan relevansi manajemen risiko perusahaan yang efektif terhadap pencapaian sasaran perusahaan Mengkomunikasikan hasrat risiko dan toleransi risiko perusahaan Mengimplementasikan dan mendukung kesamaan bahasa risiko Mengarahkan pegawai tentang peran dan tanggung jawab untuk mempengaruhi dan mendukung komponen manajemen risiko perusahaan 4/3/2017 Tim MR BPKP
Komunikasi pada Pihak Internal Hal yang dikomunikasikan: Tujuan/sasaran perusahaan Appetite risiko dan toleransi risiko perusahaan Bahasa risiko/model risiko umum perusahaan Peran dan tanggung jawab personil dalam mengefektifkandan mendukung komponen ERM Filosofi manajemen risiko, dll 4/3/2017 Tim MR BPKP
Contoh – Mengkomunikasikan Filosofi MR Manajemen mendiskusikan risiko dan respon risiko yang terkait dalam rapat pengarahan reguler dengan para pegawai Manajemen secara reguler mengkomunikasikan risiko entitas dalam komunike pegawai Kebijakan, standar, dan prosedur manajemen risiko badan usaha disediakan agar mudah diakses para pegawai beserta pernyataan yang jelas tentang perlunya kepatuhan Manajemen mewajibkan para pegawai untuk berkonsultasi dengan pegawai lain di seluruh organisasi jika memungkinkan, ketika peristiwa baru teridentifikasi Untuk pegawai baru diselenggarakan sesi orientasi dengan memasukkan informasi dan literatur mengenai filosofi manajemen risiko perusahaan dan program manajemen risiko badan usaha. Pegawai kontrak diharuskan untuk menjalani lokakarya dan atau kursus penyegaran tentang inisiatif manajemen risiko badan usaha Filosofi manajemen risiko disuarakan dalam program komunikasi internal reguler dan terus menerus serta melalui program komunikasi spesifik untuk menyampaikan inti dari budaya perusahaan. 4/3/2017 Tim MR BPKP
Komunikasi pada Pihak Eksternal Komunikasi kepada pelanggan dapat memberikan masukan yang signifikan atas perbaikan rancangan atau kualitas produk/jasa, sehingga perusahaan dapat memenuhi permintaan atau keinginan pelanggan Komunikasi kepada stakeholder, regulator, analis keuangan, dan pihak luar lain memberikan informasi relevan yang dibutuhkan dalam memahami risiko yang dihadapi perusahaan Dalam Kepmen BUMN No.117 pasal 28 point (2) menjelaskan bahwa selain yang tercantum dalam laporan tahunan dan laporan keuangan, BUMN harus mengambil inisiatif untuk mengungkapkan tidak hanya masalah yang disyaratakan oleh peraturan perundang-undangan namun juga hal yang penting untuk pengambilan keputusan oleh pemodal, pemegang saham/pemilik modal, kreditur, dan stakeholder, antara lain mengenai : …faktor risiko material yang dapat diantisipasi, termasuk penilaian manajemen atas iklim berusaha dan faktor risiko. 4/3/2017 Tim MR BPKP
Alat Komunikasi Surat elektronik Surat suara Surat kabar korporat Database yang mendukung isu risiko spesifik Surat dari Direktur utama Situs intranet yang menampung informasi menyangkut manajemen risiko badan usaha supaya mudah diakses oleh personil Pesan terintegrasi mengenai komunikasi korporat terus menerus Telepon konferensi organisasi, fungsi atau seluruh-lokasi Poster atau papan yang menegakkan aspek kunci dari manajemen risiko badan usaha Pertemuan tatap muka reguler di antara ”kampiun risiko” atau personil lain dari berbagai fungsi dan unit bisnis dengan tanggungjawab terhadap aspek manajemen risiko badan usaha Telepon konferensi manajemen risiko reguler di antara jaringan kampiun risiko dan pegawai lainnya Surat kabar yang diterbitkan secara reguler dari manajer risiko dan staf terkait Rapat umum (“town hall meeting”) 4/3/2017 Tim MR BPKP
MONITORING/PEMANTAUAN 4/3/2017 Tim MR BPKP
Alasan Perlunya Melakukan Pemantauan Efektivitas ERM Lingkungan perusahaan berubah sepanjang waktu Tujuan/sasaran perusahaan mungkin berubah Respon risiko yang semula efektif mungkin menjadi tidak relevan Aktivitas pengendalian mungkin menjadi tidak efektif Terjadi karena adanya pegawai baru, perubahan struktur organisasi, atau adanya proses baru Manajemen perlu menentukan apakah fungsi ERM berjalan dengan efektif 4/3/2017 Tim MR BPKP
Alasan Perlunya Melakukan Pemantauan Efektivitas Manajemen Risiko Pemantauan dilakukan untuk menilai keberadaan dan berfungsinya seluruh komponen manajemen risiko. Lingkungan perusahaan berubah sepanjang waktu Tujuan/sasaran perusahaan mungkin berubah Respon risiko yang semula efektif mungkin menjadi tidak relevan Aktivitas pengendalian mungkin menjadi tidak efektif Terjadi karena adanya pegawai baru, perubahan struktur organisasi, atau adanya proses baru Menentukan apakah fungsi ERM berjalan dengan efektif 4/3/2017 Tim MR BPKP
Cara Melakukan Pemantauan Aktivitas Pemantauan Berjalan (Ongoing Monitoring Activities) Evaluasi Terpisah (Separate Evaluations) 4/3/2017 Tim MR BPKP
Pemantauan
Aktivitas Pemantauan Berjalan Aktivitas pelaksanaan bisnis sehari-hari yang memberikan umpan balik perbaikan efektivitas ERM Biasanya dilakukan oleh lini operasi atau manajer fungsi pendukung dengan cara memfokuskan hubungan, ketidakkonsistensian, atau implikasi relevan lain untuk menentukan apakah tindakan perbaikan ERM diperlukan Aktivitas pemantauan berjalan berbeda dengan aktivitas pengendalian Aktivitas pemantauan berjalan berbeda dengan aktivitas pengendalian. Contoh adanya pemisahaan fungsi, otorisasi, batasan wewenang lebih tepat dikatakan sebagai aktivitas berjalan. 4/3/2017 Tim MR BPKP
Contoh On Going Monitoring
Evaluasi Terpisah Fokus secara langsung pada efektivitas ERM Dilakukan secara periodik Dilaksanakan oleh manajemen, fungsi internal auditor, konsultan Mencakup evaluasi efektivitas ERM keseluruhan perusahaan dan keseluruhan komponen manajemen risiko atau dibatasi pada unit bisnis/proses/departemen tertentu Contoh evaluasi terpisah adalah konsultan/BPKP memberikan asistensi mengenai penilaian kecukupan efektivitas manajemen risiko. BPKP sudah mempunyai parameter dengan pendekatan COSO untuk menilai efektivitas MR, sudah mulai diujicobakan pada PT Pusri. 4/3/2017 Tim MR BPKP
Lingkup dan Frekuensi Evaluasi Terpisah Luasnya lingkup dan frekuensi evaluasi efektivitas ERM tergantung pada tingkat signifikansi risiko dan pentingnya respon risiko/pengendalian risiko Evaluasi ERM secara keseluruhan (comprehensive) dilakukan lebih jarang frekuensinya dibandingkan dengan evaluasi ERM secara sebagian (partial). Evaluasi tergantung pada adanya perubahan manajemen atau strategi utama, perubahan kondisi ekonomi dan politik, perubahan operasi atau metode pengolahan informasi. 4/3/2017 Tim MR BPKP
Langkah Evaluasi Terpisah Perencanaan Mendefinisikan tujuan dan lingkup evaluasi Mengidentifikasi siapa yang berwenang mengelola evaluasi Mengidentifikasi tim evaluasi, personil pendukung, dan unit usaha yang dapat dihubungi Mendefinisikan metode evaluasi, batas waktu, dan langkah kerja Menyetujui rencana evaluasi Pelaksanaan Memperoleh pemahaman aktivitas/bisnis perusahaan Memahami bagaimana rancangan proses manajemen risiko dilaksanakan Menerapkan metode yang disetujui untuk mengevaluasi proses manajemen risiko Menganalisis hasil Mendokumentasikan adanya kekurangan dan usulan perbaikan Mereviu dan memvalidasi temuan dengan personil yang tepat Pelaporan dan Tindakan Perbaikan Mereviu hasil penyusunan laporan dengan manajemen Memperoleh tanggapan dan rencana perbaikan dari manajemen Memperoleh umpan balik manajemen menjadi laporan evaluasi final COSO memberikan contoh langkah melakukan evaluasi terpisah atas efektivitas manajemen risiko perusahaan mulai dari tahap perencanaan, pelaksanaan, dan pelaporan. 4/3/2017 Tim MR BPKP
Audit Internal Memainkan peran penting dalam pemantauan ERM, tetapi tidak memiliki tanggungjawab utama dalam implementasi dan pelaksanaan selanjutnya. Membantu manajemen dan dewan komisaris atau komite audit dengan: Melakukan pemantauan Melakukan evaluasi Melakukan pemeriksaan Menyampaikan laporan Memberi rekomendasi perbaikan
Standards Audit Internal 2010.A1 – Rencana penugasan aktivitas audit internal harus didasarkan pada suatu penaksiran risiko, yang dilaksanakan sekurang-kurangnya setahun sekali. 2120.A1 – Berdasarkan hasil penaksiran risiko tersebut, aktivitas audit internal mengevaluasi kecukupan dan efektivitas pengendalian yang mencakup tata kelola, kegiatan operasi, dan sistem informasi organisasi. 2210.A1 – Pada saat merencanakan penugasan, auditor internal harus mengidentifikasi dan menaksir risiko yang relevan dengan aktivitas yang direviu. Tujuan penugasan harus merefleksikan hasil penaksiran risiko dimaksud.
Metodologi Evaluasi Evaluator mengidentifikasi metodologi dan alat yang dibutuhkan untuk mendukung proses evaluasi Faktor yang perlu dipertimbangkan memilih metodologi dan alat evaluasi adalah apakah metodologi dan alat evaluasi dapat digunakan oleh personil yang melakukan evaluasi, relevan dengan lingkup evaluasi, dan sesuai dengan sifat dan frekuensi evaluasi Contoh metodologi dan alat evaluasi yang digunakan berupa bagan arus proses, matrik risiko dan pengendalian, benchmark, workshop self assessment risiko dan pengendalian, kuestionair, sesi fasilitasi Contoh metodologi dan alat evaluasi yang digunakan seperti yang sedang diujicobakan pada PT Pusri. Bisa ditampilkan contoh parameter evaluasi MR COSO di PT Pusri. 4/3/2017 Tim MR BPKP
Melaporkan Adanya Kekurangan Pelaksanaan ERM Seluruh kekurangan ERM yang mempengaruhi kemampuan perusahaan untuk mengembangkan dan melaksanakan strategi dan mencapai tujuannya harus dilaporkan Temuan adanya kekurangan ERM harus dilaporkan tidak hanya kepada individu yang bertanggung jawab atas fungsi/aktivitas terkait, tetapi juga kepada manajemen satu tingkat diatasnya. Tujuannya untuk memberikan dukungan atau pemantauan atas tindakan perbaikan yang diambil. 4/3/2017 Tim MR BPKP
AKHIR PRESENTASI 4/3/2017 Tim MR BPKP