Wisnu Haryo Pramudya, S.E., M.Si., Ak., CA GOVERNANCE AND RISK MANAGEMENT Wisnu Haryo Pramudya, S.E., M.Si., Ak., CA
KONSEP GOVERNANCE Keseluruhan perangkat yang digunakan oleh organisasi untuk menjalankan kegiatan operasionalnya secara efektif dan efisien disebut dengan corporate governance, yang secara umum disebut dengan governance. Governance dapat pula didefinisikan sebagai proses yang dijalankan oleh dewan komisaris untuk mengotorisasi, mengarahkan, dan mengawasi manajemen dalam mencapai tujuan organisasi.
KONSEP GOVERNANCE Definisi governance menurut the Paris-Based forum of democratic markets, melalui wadah organisasinya OECD (the Organisation for Economic Co-operation and Development) Corporate governance mencakup kerjasama antara manajemen, dewan komisaris, pemegang saham, dan stakeholder lain (dalam upaya mencapai tujuan organisasi). Corporate governance juga memberikan struktur terhadap perumusan tujuan organisasi, termasuk perangkat untuk mencapai tujuan organisasi dan monitoring kinerja organisasi.
KONSEP GOVERNANCE Elemen umum yang ada di hampir definisi governance: kebijakan, proses, dan struktur yang digunakan oleh organisasi untuk mengarahkan dan mengendalikan aktivitas, untuk mencapai tujuan, dan melindungi organisasi dari berbagai macam kepentingan kelompok stakeholder, melalui cara-cara yang sesuai dengan standard etika yang tepat.
GOVERNANCE ELEMENTS Governance Risk Management Internal Control
PAYUNG GOVERNANCE Strategic Direction Governance Oversight Governance Umbrella Board of Directors Strategic Direction Governance Oversight
KOMPONEN KUNCI PERMANTAUAN GOVERNANCE Stakeholders Governance Umbrella Board of Directors Risk Management Senior Management Risk Owners Assurance Internal eksternal
Senior Management dan Risk Owners Tanggungjawab senior management adalah: Memastikan pemahaman secara penuh terhadap arahan dan otoritas yang didelegasikan dewan komisaris, dalam rangka memenuhi harapan dewan. Mengidentifikasi proses dan aktivitas yang penting untuk dijalankan dalam rangka melaksanakan arahan dewan komisaris, misalnya melalui identifikasi:
Senior Management dan Risk Owners Berbagai risiko khusus yang dapat mengganggu outcome. Penanggungjawab atas manajemen masing-masing kategori risiko. Cara-cara yang dipandang efektif untuk manajemen risiko. Memastikan kecukupan informasi dari risk owner. Risk owners, adalah staf yang bertanggungjawab terhadap manajemen risiko dalam aktivitas harian organisasi.
KUNCI PENTING GOVERNANCE Governance dimulai dari dewan komisaris dan komite-komitenya. Dewan berfungsi sebagai payung dari tanggungjawab governance (governance oversight) untuk keseluruhan organisasi. Dewan memberikan arahan kepada manajemen, memberi otoritas untuk membuat keputusan dan tindakan, dan mengawasi hasil dari kegiatan operasional. Dewan harus memahami dan fokus pada kebutuhan stakeholder kunci. Stakeholders adalah satu-satunya pihak yang berhak menerima pertanggungjawaban dewan.
KUNCI PENTING GOVERNANCE Secara harian, governance dilaksanakan oleh manajemen. Manajer puncak sampai manajer pelaksana memiliki peran penting dalam governance melalui aktivitas manajemen risiko. Auditor internal dan auditor independen berperan untuk memberikan jaminan kepada manajemen dan dewan komisaris tentang efektifitas dari aktivitas governance.
STAKEHOLDER ORGANISASI Stakeholder adalah semua fihak yang berkepentingan dengan aktivitas dan keluaran (outcome) dari organisasi, baik langsung maupun tidak langsung. Pengelompokan stakeholders: Stakeholder langsung (direct stakeholders). Semua pihak yang terlibat langsung dalam aktivitas organisasi. Stakeholder tidak langsung (indirect stakeholders). Semua pihak yang tidak terlibat langsung dalam organisasi tetapi terpengaruh oleh sukses dan outcome dari organisasi.
STAKEHOLDER ORGANISASI Stakeholder berpengaruh (influencing stakeholders). Semua pihak yang tidak terlibat langsung dalam organisasi dan terpengaruh oleh organisasi, tetapi berpengaruh terhadap aspek-aspek bisnis serta sukses organisasi. Contoh stakeholders Pegawai Pelanggan Pemasok Pemegang saham/investor
STAKEHOLDER ORGANISASI Contoh stakeholders Regulatory agencies (lembaga-lembaga pembuat aturan), baik sebagai indirect stakeholders mupun sebagai influencing stakeholders, seperti: Bapepam, the Environmental Protection Agency (EPA), dan seterusnya. Lembaga keuangan (financial institutions). Influencing stakeholders lain, seperti lembaga pemeringkat (rating agency), asosiasi industri, dan kompetitor.
JENIS OUTCOME ORGANISASI Masing-masing stakeholder memiliki kepentingan yang berbeda-beda terhadap outcome organisasi. Dewan harus mempertimbangkan beberapa kategori outcome sebagai berikut: Finansial, misalnya pendapatan per lembar saham. Kepatuhan (compliance), misalnya kepatuhan terhadap peraturan, ketentuan pelanggaran (code of conduct violations), restraining orders (perintah penghentian – terhadap praktik bisnis tertentu), investigasi pemerintah, dan seterusnya.
JENIS OUTCOME ORGANISASI Operation, misalnya tentang pencapaian tujuan, efisiensi penggunaan sumber daya, dan seterusnya. Strategic, misalnya tentang reputasi, keberlangsungan perusahaan, moral karyawan, dan kepuasan pelanggan.
AKTIVITAS PENJAMINAN Luas aktivitas penjaminan yang harus dilakukan oleh auditor internal tergantung pada: Ketentuan tentang fungsi dan peran auditor internal dalam penjaminan governance. Arahan khusus dari dewan komisaris. Terlepas dari dua faktor di atas, fungsi internal auditor mencakup: Evaluasi kecukupan desain manajemen risiko. Pengujian efektifitas desain menajemen risiko. Mengevaluasi validitas pelaporan efektifitas manajemen risiko dari risk owners ke senior management.
AKTIVITAS PENJAMINAN Mengevaluasi validitas pelaporan efektifitas manajemen risiko dari senior management ke dewan komisaris. Mengevaluasi ketepatan waktu dan efektifitas penyampaian informasi toleransi risiko (risk tolerance) dari dewan komisaris ke senior management, dan dari senior management ke risk owners. Toleransi risiko adalah batasan tingkat risiko yang bisa diterima untuk memastikan kemampuan organisasi dalam mencapai tujuan. Mengevaluasi kemungkinan adanya area risiko yang harus dikelola dengan tepat tetapi belum dimasukkan dalam proses governance.
AKTIVITAS PENJAMINAN Peran penting aditor internal dalam governance: Memahami secara penuh arahan dan harapan dewan komisaris. Mendukung program manajemen risiko yang dirancang oleh manajemen. Mengembangkan rencana audit secara tepat, mencakup keseluruhan aktivitas penjaminan governance dan menjembatani komunikasi dari risk owners ke senior manajemen serta dari senior manajemen ke dewan komisaris.
PENGERTIAN RISIKO COSO (Committee of Sponsoring Organizations) mendefinisikan risiko sebagai kemungkinan terjadinya peristiwa yang mengganggu pencapaian tujuan organisasi. Poin-poin penting yang perlu difahami: Risiko berawal dari perumusan strategi dan tujuan. Risiko tidak hanya merepresentasikan satu titik estimasi risiko, melainkan merepresentasikan sebuah kisaran risiko untuk sebuah kisaran outcome.
PENGERTIAN RISIKO Risiko berhubungan dengan pencegahan terhadap kejadian yang tidak diinginkan (risk may relate to preventing bad things from happening) Risiko ada dalam seluruh aspek kehidupan/aktivitas (risks are inherent in all aspect of life).
COSO ERM FRAMEWORK COSO mendefinisikan ERM (Enterprise Risk Management) sebagai: Proses yang dipengaruhi oleh dewan komisaris, manajemen, dan staf organisasi, dalam keseluruhan aktivitas organisasi, dalam rangka mengelola risiko proses bisnis agar berada dalam kisaran harapan manajemen, untuk menjamin pencapaian tujuan organisasi secara efektif dan efisien.
KATEGORI TUJUAN ORGANISASI Tujuan stratejik, adalah berhubungan dengan tujuan utama organisasi, sesuai dengan misi organisasi. Tujuan operasional, adalah berhubungan dengan tujuan pemanfaatan sumberdaya secara efektif dan efisien. Tujuan pelaporan, adalah berhubungan dengan tujuan penyajian laporan yang terpercaya, baik untuk kepentingan internal maupun eksternal. Tujuan kepatuhan, adalah berhubungan dengan tujuan kepatuhan terhadap pertaruran dan hukum yang berlaku.
KOMPONEN ERM Lingkungan Internal (Internal Environment) Ketetapan tujuan (Objective Setting) Identifikasi kejadian (Event Identification) Asesmen risiko (Risk Assessment) Respon risiko (Risk Response) Aktivitas pengawasan (Control Activities) Informasi dan komunikasi (Information and Communication) Monitoring (Monitoring)
KOMPONEN ERM Lingkungan internal Risk management philosophy, adalah pedoman untuk mempertimbangkan risio dalam setiap aktivitas organisasi. Risk appetite, yaitu tingkat risiko secara umum yang bisa diterima organisasi. Board of directors, yaitu struktur, pengalaman, independensi, pemanfaatan hak pengawasan oleh dewan komisaris. Integrity and ethical values, yaitu kententuan tentang standard perilaku dan gaya bertindak.
KOMPONEN ERM Lingkungan internal Commitment to competence, yaitu ketentuan persyaratan pengetahuan dan keterampilan untuk menjalankan tugas. Organizational structure, yaitu rerangka garis otoritas dan tanggungjawab untuk perencanaan, pelaksanaan, dan monitoring aktivitas. Assignment of authority and responsibility, yaitu aturan untuk pemberian otoritas dan tanggungjawab. Human resource standards, yaitu kebijakan dan praktik yang sehat untuk manajemen sumber daya manusia.
KOMPONEN ERM Objective setting, adalah tujuan yang bersifat strategis, sebagai pedoman untuk pencapaian tujuan operasional, pelaporan, dan kepatuhan. Event identification, adalah identifikasi atas berbagai kejadian yang berpotensi mengganggu pencapaian tujuan organisasi, seperti:
KOMPONEN ERM Faktor Internal (Internal factors): Faktor Eksternal (External factors): Peristiwa Ekonomi/Bencana Alam/Peristiwa Politik/Peristiwa Sosial/Perubahan Teknologi. Faktor Internal (Internal factors): Kebutuhan dukungan infrastruktur/kejadian-kejadian di bidang SDM)/perubahan proses, mencakup: modifikasi, kesalahan pelaksanaan, atau keputusan outsourcing/problem technology, seperti: kebutuhan peningkatan investasi teknologi, kerusakan sistem pengamanan, atau gangguan sistem yang lain.
KOMPONEN ERM Asesment Risiko, yaitu asesmen terhadap potensi risiko, baik dari perspektif kemungkinan maupun dampaknya bagi organisasi. Risk Response, yaitu cara merespon risiko, misalnya: menghindar (avoidence), menurunkan (reduction), membagi (sharing) misalnya melalui program asuransi, dan menerima risiko (acceptance).
KOMPONEN ERM Control Activities, yaitu kebijakan dan prosedur untuk memastikan ketepatan tindakan untuk merespon risiko, yang bisa mencakup: Top-level review, yaitu pengendalian yang dijalankan langsung oleh top manajemen. Direct management or activity management, yaitu pengendalian yang dijalankan oleh manajer pelaksana.
KOMPONEN ERM Information processing, yaitu pengendalian untuk menjamin keakuratan informasi. Physical controls, yaitu pengendalian atas fisik sumberdaya. Performance indicators, yaitu pengendalian melalui analisis indikator kinerja. Segregation of duties, yaitu pengendalian melalui pemisahan fungsi.
KOMPONEN ERM Information and Communication, yaitu pengendalian untuk memastikan bahwa data diidentifikasi, direkam, dan dikomunikasikan dalam bentuk dan waktu yang tepat, untuk memungkinkan pengguna informasi mampu menjalankan tugasnya dengan baik. Kriteria kualitas informasi antara lain: Isi dan detil informasi sesuai dengan kebutuhan. Informasi disajikan tepat waktu, dan tersedia pada saat dibutuhkan. Informasi merefleksikan keadaan keuangan dan aktivitas operasional yang terbaru (mutakhir) Informasi adalah akurat dan terpercaya. Informasi mudah diakses oleh penggunanya.
KOMPONEN ERM Monitoring. ERM harus dimonitor sepanjang waktu untuk dinilai tingkat efektifitas dan efisiensinya. ERM menyediakan garis besar untuk menjawab sejumlah pertanyaan umum sbb.: Apa yang akan dicapai oleh organisasi? Apa yang dapat menghentikan upaya pencapaian tujuan? Apa yang dapat dilakukan untuk mengatasi risiko? Apakah perusahaan memiliki kemampuan untuk menjalankan kegiatan dalam rangka mewujudkan tujuan? Bagaimana cara mengetahui pencapaian tujuan?
PIHAK-PIHAK YANG BERPERAN DALAM ERM Dewan komisaris Manajemen Risk officer Pelaksana bidang keuangan Auditor internal Personalia organisasi yang lain Auditor eksternal (independen) Pemerintah (legislators and regulators) Pihak luar yang lain: konsumen, kreditor, analis keuangan, penyedia jasa outsourcing.
POTENSI NILAI TAMBAH ERM MENURUT COSO Menyelaraskan akseptabilitas risiko dengan perencanaan strategis. Meningkatkan kualitas keputusan untuk merespon risiko. Menurunkan potensi kegiatan operasional mendadak dan juga potensi kerugian. Meningkatkan kemampuan identifikasi dan manajemen risko untuk organisasi secara keseluruhan. Memfasilitasi respon terhadap beragam risiko secara terintegerasi. Meningkatkan kemampuan pemanfaatan modal secara efektif.
PERAN INTERNAL AUDITOR DALAM ERM Peran Utama Internal Auditor: Memberikan jaminan atas proses manajemen risiko. Memberikan jaminan atas ketepatan evaluasi risiko. Mengevaluasi proses manajemen risiko. Mengevaluasi pelaporan risiko-risiko signifikan. Melakukan review atas manajemen risiko signifikan. Peran Konsultatif Internal Auditor: Memfasilitasi identifikasi dan evaluasi risiko. Memberikan pelatihan respon risiko kepada manajemen. Mengkoordinasi aktivitas ERM Mengkonsolidasi pelaporan risiko Menjaga dan mengambangkan rerangka ERM.
Terimakasih