PENILAIAN risiko
Mendalami IC dan (Penilaian) Risiko Agenda Mendalami IC dan (Penilaian) Risiko Pengantar Implementasi Penilaian Risiko: Identifikasi tujuan Identifikasi risiko (termasuk identifikasi sebab & dampak terjadinya risiko) Tidak termasuk merancang pengendalian (control)
COSO PYRAMID & CUBE
Mendalami IC dan Penilaian Risiko
Sumber IC IC Other Sources COSO GoM (Draft 2008) COSO ICIF 1992
COSO’s Internal Control Publications 1992 2006 2009 2013
COSO – Pengembang IC dan RM
Why update what works – The Framework has become the most widely adopted control framework worldwide. COSO’s Internal Control–Integrated Framework (1992 Edition) Original Framework Articulate principles to facilitate effective internal control Broadens Application Clarifies Requirements Reflect changes in business & operating environments Expand operations and reporting objectives Refresh Objectives Updates Context Enhancements Updated Framework COSO’s Internal Control–Integrated Framework (2013 Edition)
Summary of COSO – 3 Updates Codification of 17 principles embedded in the original Framework Control Environment Demonstrates commitment to integrity and ethical values Exercises oversight responsibility Establishes structure, authority and responsibility Demonstrates commitment to competence Enforces accountability Risk Assessment Specifies relevant objectives Identifies and analyzes risk Assesses fraud risk Identifies and analyzes significant change Control Activities Selects and develops control activities 11. Selects and develops general controls over technology Deploys through policies and procedures Information & Communication Uses relevant information Communicates internally Communicates externally Monitoring Activities Conducts ongoing and/or separate evaluations Evaluates and communicates deficiencies
Update articulates principles of effective internal control (continued) Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika. Dewan pengawas menunjukkan independensi thd manajemen dan melaksanakan pengawasan terhadap perkembangan dan kinerja pengendalian internal. Manajemen menetapkan, dengan pengawasan dewan, struktur, jalur pelaporan, dan pihak yang berwenang dan tanggung jawab dalam mencapai tujuan. Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten sejalan dengan tujuan. Organisasi mendorong individu bertanggung jawab thd pengendalian internal mereka dalam mencapai tujuan. Control Environment
Update articulates principles of effective internal control (continued) Risk Assessment 6. Organisasi menetapkan tujuan dengan kejelasan yang cukup untuk memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan. 7. Organisasi mengidentifikasi risiko terhadap pencapaian tujuan di seluruh entitas dan menganalisa resiko sebagai dasar untuk menentukan bagaimana risiko harus dikelola. 8. Organisasi mempertimbangkan potensi terjadinya fraud dalam menilai risiko terhadap pencapaian tujuan. 9. Organisasi mengidentifikasi dan mengevaluasi perubahan yang signifikan yang dapat mempengaruhi sistem pengendalian internal.
Update articulates principles of effective internal control (continued) Control Activities 10. Organisasi memilih dan mengembangkan kegiatan pengendalian yang berkontribusi terhadap mitigasi risiko sampai tingkat yang dapat diterima terhadap pencapaian sasaran. 11. Organisasi memilih dan mengembangkan kegiatan pengendalian umum atas teknologi informasi untuk mendukung tercapainya tujuan. 12. Organisasi menerapkan kegiatan pengendalian melalui kebijakan yang menetapkan apa yang diharapkan dan prosedur untuk menerapkan kebijakan pada praktiknya.
Information & Communication Update articulates principles of effective internal control (continued) Information & Communication 13. Organisasi memperoleh atau menghasilkan dan menggunakan, informasi yang ber kualitas dan relevan untuk mendukung fungsi pengendalian internal. 14. Organisasi mengkomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab untuk pengendalian internal, yang diperlukan untuk mendukung fungsi pengendalian internal. 15. Organisasi berkomunikasi dengan pihak luar mengenai hal yang mempengaruhi fungsi pengendalian internal.
Monitoring Activities Update articulates principles of effective internal control (continued) Monitoring Activities 16. Organisasi memilih, mengembangkan, dan melakukan evaluasi berkelanjutan dan / atau terpisah untuk memastikan apakah komponen pengendalian internal eksis dan berfungsi baik. 17. Organisasi mengevaluasi dan mengkomunikasikan kekurangan pengendalian internal secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif, termasuk manajemen senior dan dewan direksi.
Bagaimana mem-”bumi”-kan IC?
Konsep Dasar IC Merupakan suatu proses, yang terdiri dari aktivitas berkelanjutan. Bukan tujuan akhir tetapi alat untuk mencapai tujuan. Dipengaruhi oleh “orang” di seluruh organisasi, bukan semata-mata prosedur, form, system. (Menggeser hard-control ke soft-control). Memberi keyakinan yang masuk akal (bukan keyakinan mutlak) bahwa tujuan organisasi akan tercapai. Dirancang untuk mendukung pencapaian 3 kategori tujuan yang saling mempengaruhi (efisiensi-termasuk keamanan aset, pelaporan, ketaatan). Dapat diterapkan pada berbagai organisasi.
Hard Control vs Soft Control
Keterbatasan IC Dipengaruhi oleh “prakondisi IC” (inherent limitation) Dipengaruhi oleh “judgment operator” Dipengaruhi oleh “human’s breakdowns” Dipengaruhi oleh “management override” (pengabaian manajemen) Dipengaruhi oleh “collusion”
Unsur Terpenting – Lingkungan Pengendalian Lingkungan pengendalian menjadi pondasi seluruh bangunan IC. LP membentuk iklim dan kesadaran akan pentingnya IC. Tanpa LP yang sehat, mustahil IC dapat tumbuh kembang.
Soft control Lingkungan pengendalian. 3 Pilar Keberhasilan IC Integri-tas dan etika Tone at the top Soft control Lingkungan pengendalian.
Disain Control harus Mempertimbangkan Cost-benefit
Peran Internal Auditor dalam IC
Posisi Internal Auditor dalam IC
Perkembangan MR (IC) sbg Management Tools MR merupakan tools manajemen populer sbg pendamping tools2 lainnya. Organisasi2 terkemuka di dunia saat ini sangat peduli akan risiko. Risiko telah menjadi isu sentral dalam ilmu manajemen saat ini. Konsultan manajemen risiko telah berkembang pesat. Aplikasi MR berbasis IT telah berkembang pesat dalam dunia bisnis. Manajemen memiliki tools untuk memonitor risiko dengan KRI dan Risk Event Data Base.
Perkembangan MR (IC) sbg Management Tools Organisasi yang piawai dalam mengelola risiko, tumbuh menjadi organisasi berkelas dunia.
IT Based Dashboard Monitoring of RM
IT Based Dashboard Monitoring of RM
Risk Management Maturity Model
Risk Management Maturity Model
Risk Management Maturity Model
Risk Management Maturity Model
Risk Management Maturity Model
PENGANTAR Implementasi Penilaian Risiko
Risks
Risk Appetite vs Risk Tolerance
Risk Appetite vs Risk Tolerance
Inherent Risk vs Residual Risk
Inherent Risk vs Residual Risk Control Residual Risk
Risk Profile
Risk Profile
Risk Profile
3 Dimension Risk Profile
3 Dimension Risk Profile
No Risk – No Gain
TRILOGI PENGELOLAAN RISIKO OBJECTIVE CONTROL RISK
TRILOGI PENGELOLAAN RISIKO OBJECTIVE CONTROL RISK PENYEBAB RISIKO Memitigasi Penyebab Risiko AKIBAT RISIKO Memitigasi Akibat Risiko
R1 R11
Kategori Risiko
Expanded - Small Cyclus in RM Process: ORC Identifikasi tujuan kegiatan (O) Identifikasi risiko (R) Identifikasi penyebab & akibat risiko Assess risiko inherent Mitigasi risiko / Disain Control (C) Assess risiko sisa (residual risk)
Identifikasi Tujuan Kegiatan Identifikasi tujuan kegiatan (O) Identifikasi risiko (R) Identifikasi penyebab & akibat risiko Assess risiko inherent Mitigasi risiko / Disain Control (C) Assess risiko sisa (residual risk) Identifikasi Tujuan Kegiatan
Sub Proses Identifikasi Tujuan Kegiatan Visi-Misi Analisis Kegiatan (Proses Bisnis) Identifikasi Tujuan Kegiatan
Contoh Sederhana Menganalisis Kegiatan
Tidur Flowcharts - Garis Besar : Persiapkan seluruh bahan kuliah “Datang tepat waktu ke ruang kuliah pukul 8.00 pagi”. Persiapkan seluruh bahan kuliah Tidur Bangun dan siap-siap Perjalanan menuju kampus Tiba di ruang kelas
Flowcharts - Rinci : Start “Datang tepat waktu ke ruang kuliah pukul 8.00 pagi”. Alarm bunyi ? Persiapkan seluruh bahan kuliah Setel alarm pukul 6 Tidur Start Naik bis ? Bangun Mandi & berpakaian Ambil tas Setir mobil Cari parkir Jalan ke halte Menunggu bis Naik bis Jalan ke kelas Turun di halte tujuan Menuju lingkungan kampus Tiba di ruang kelas
Tiga jenis proses bisnis Operating processes Merupakan proses inti organisasi dalam mencapai tujuannya. Misalnya: membuat dan menjual produk (barang dan jasa) Management and support processes Merupakan kegiatan dalam rangka mengawasi dan mendukung proses penciptaan nilai inti organisasi. Contoh: perencanaan strategis, program etika dan kepatuhan, aktifitas dewan komisaris, dll. Project Aktifitas proses penciptaan nilai organisasi, dalam periode waktu tertentu, seringkali urutannya sangat kompleks, dan relatif unik dibandingkan dengan aktifitas normal bisnis. Contoh: Konstruksi, pengeboran usaha tambang.
Proses Bisnis Projects Gambaran rangkaian proses bisnis Operating Process Management & Support Process Projects Memahami lingkungan Menyusun strategi Pengelolaan SDM Proyek yang dioperasikan: Identifikasi & penilaian Pengembangan konsep Disain & sumber daya Eksekusi Operasi Pembubaran Pengelolaan Sumber Daya Keuangan Mendisain produk/jasa Memasarkan dan menjual Pengelolaan Sumber Daya Informasi Memproduksi barang Pengelolaan Sumber Daya Fisik Proyek yang diserahkan: Identifikasi & penilaian Pengembangan konsep Disain & sumber daya Eksekusi Penyerahan hasil & pembubaran Menyerahkan jasa Kepatuhan Pengelolaan Hubungan Eksternal Membuat invoice dan menagih
Contoh Lain Analisis Proses Bisnis Other Services Ujian Cases Kurikulum Silabus Evaluasi Delivery Textbook Dosen World Class University Manajemen Pendidikan Pengembangan SDM dan Remunerasi Riset, Laboratorium dan Perpustakaan Setiap proses bisnis diidentifikasi tujuannya
Identifikasi Risiko- Berbagai Risk Model Identifikasi tujuan kegiatan (O) Identifikasi risiko (R) Identifikasi penyebab & akibat risiko Assess risiko inherent Mitigasi risiko / Disain Control (C) Assess risiko sisa (residual risk) Identifikasi Risiko- Berbagai Risk Model
Model Risiko – The IIA Risiko strategis Risiko kepatuhan Eksternal Internal Risiko kepatuhan Risiko pelaporan Sumberdaya informasi Risiko operasional Proses Orang Keuangan
Model Risiko – The IIA Risiko strategis Eksternal Perubahan peraturan, kompetisi, dinamika pasar, industri, teknologi. Internal Reputasi, fokus strategis, kepuasan konsumen, tata kelola. Risiko kepatuhan Kontrak, peraturan, tuntutan, perijinan. Etika, kebijakan, kecurangan, kegiatan ilegal. Risiko pelaporan Laporan akuntansi dan keuangan, perpajakan. Penganggaran, pengukuran kinerja, pengendalian intern Sumber daya informasi Akses, ketersediaan, integritas, infrastruktur, kerahasiaan, hak milik.
Model Risiko – The IIA Risiko operasional Proses Rantai supply, kapasitas, eksekusi proses, kesehatan dan keselamatan, keberlangsungan usaha, waktu siklus, kejadian katastropis, ketiadaan inovasi. Orang SDM, kepemimpinan, pegawai kunci, insentif, pemberdayaan, perubahan kesamaptaan, komunikasi. Keuangan Suku bunga, perubahan kurs, kapasitas, konsentrasi, ketersediaan modal, manajemen kas, kebijakan harga, durasi.
Model Risko - Andersen Process Risk Sources of Uncertainty Uncertainties Affecting the Viability of Our Business Model Environment Risk Sources of Uncertainty Uncertainties Affecting the Execution of Our Business Model Process Risk There are three components of business risk that provide a broad foundation from which more specific categories of risk can be identified and detailed. These components are depicted here. [Talk through visual.] There are specific risk categories that apply to each component. Uncertainties Over the Relevance and Reliability of Information That Support Our Value Creation Decisions Information For Decision Making Risk
Model Risko - Andersen “Environment risk” arises when there are external forces that can affect a firm’s performance, or make its choices regarding its strategies, operations, customer and supplier relationships, organizational structure or financing obsolete or ineffective. These forces include the actions of competitors and regulators, shifts in market prices, technological innovation, changes in industry fundamentals, the availability of capital or other factors outside the company’s direct ability to control. Source: Enterprise-wide Risk Management: Strategies for linking risk and opportunity
Model Risko - Andersen “Process risk” arises when business processes do not achieve the objectives they were designed to achieve in supporting the firm’s business model. For example, characteristics of poorly performing processes, or process risks, include: Poor alignment with enterprise-wide business objectives and strategies, Ineffectiveness in satisfying customers, Inefficient operations, Dilution of (instead of creating or preserving) value and Failure to protect significant financial, physical, customer, employee/supplier, knowledge and information assets from unacceptable losses, risk-taking, misappropriation or misuse. There are five groups of process risks that you see on the slide. Each includes various risk categories. Source: Enterprise-wide Risk Management: Strategies for linking risk and opportunity
Model Risko - Andersen “Information for decision-making risk” arises when information used to support business decisions is incomplete, out of date, inaccurate, late or simply irrelevant to the decision-making process. Our research with the Economist Intelligence Unit in 1995, as updated by the New Dimensions on Business Risk project in the summer of 1998, indicates that a significant majority of companies (at least four out of every five) believe that their decision-support systems are far from optimal. There are three groups of information for decision making risks. Source: Enterprise-wide Risk Management: Strategies for linking risk and opportunity
Identifikasi Penyebab Terjadinya Risiko Penyebab penyebab paling hakiki Salah satu metode: Ishikawa Diagram / Fishbone Diagram / Root-caused Analysis Kategori Penyebab pada Fishbone Diagram: Man Money Method Material Machine Management Measurement
Ilustrasi Fishbone Diagram
Ilustrasi Fishbone Diagram
Respon/Mitigasi Risiko – Merancang Control Identifikasi tujuan kegiatan (O) Identifikasi risiko (R) Identifikasi penyebab & akibat risiko Assess risiko inherent Mitigasi risiko / Disain Control (C) Assess risiko sisa (residual risk) Respon/Mitigasi Risiko – Merancang Control
Respon/Mitigasi Risiko
Respon/Mitigasi Risiko Avoid-ance Exiting / divesting Reduc-tion / Miti-gate Reduce likelihood /impact Sharing Transferring / sharing a portion Accep-tance No action taken
Respon/Mitigasi Risiko
dan Desain Control Pengantar Workshop Identifikasi: Identifikasi tujuan kegiatan (O) Identifikasi risiko (R) Identifikasi penyebab & akibat risiko Assess risiko inherent Mitigasi risiko / Disain Control (C) Assess risiko sisa (residual risk) Pengantar Workshop Identifikasi: Tujuan - Risiko - Penyebab - Dampak. dan Desain Control
TRILOGI PENGELOLAAN RISIKO OBJECTIVE CONTROL RISK PENYEBAB RISIKO Memitigasi Penyebab Risiko AKIBAT RISIKO Memitigasi Akibat Risiko
IDENTIFIKASI RISIKO – 1 (INSPEKTORAT) Membantu manajemen agar dapat melakukan kegiatan secara efisien efektif CONTROL Kegagalan mengidentifikasi penyebab hakiki suatu kelemahan control Tim audit belum Tim audit belum memahami tools RCA Menyeleksi, melatih auditor Rekomendasi tdk berkualitas, tidak dapat di-TL dan kredibilitas auditor menurun Proses pemutakhiran temuan
IDENTIFIKASI RISIKO – 2 (BPN) Melayani masyarakat dalam penerbitan sertifikat tanah CONTROL Terjadi penerbitan sertifikat tanah ganda Tim audit belum Administrasi, data base dan teknologi tidak efektif Menerapkan teknologi informasi pertanahan BPN dituntut oleh masyarakat Disusun SOP untuk menangani tuntutan.
IDENTIFIKASI RISIKO – 3 (Kepegawaian) Memantau kedisiplinan pegawai CONTROL Penerapan peraturan disiplin pegawai yang tidak sesuai ketentuan Tim audit belum Tim Penegak Disiplin tidak memperoleh data pegawai secara lengkap Menerapkan mekanisme pengawasan thd TPD Pegawai memenangkan tuntutan di PTUN, citra organisasi terganggu Mekanisme punishment bagi Tim Penegak Disiplin
IDENTIFIKASI RISIKO – 4 (Kepolisian) Memberkaskan perkara pidana untuk penuntututan CONTROL Terdakwa dituntut bebas oleh hakim Tim audit belum Berkas tuntutan kurang lengkap (bukti kurang valid) Penerapan proses ekspose Tingkat kejahatan narkoba meningkat Sosialisasi dan penegakan hukum.
IDENTIFIKASI RISIKO – 4a (Kepolisian) Mengamankan bukti dan tersangka CONTROL Tersangka melarikan diri Membangun ruang tahanan, menetapkan jadwal jaga Tim audit belum Ruang tahanan kurang memadai, tidak cukup petugas Terdapat tambahan DPO Disusun SOP buser DPO
IDENTIFIKASI RISIKO – 5 (Bagian Umum) Menjaga kesamaptaan kendaraan CONTROL Kendaraan mengalami kecelakaan (rem blong) Tim audit belum Kondisi kendaraan (rem) kurang terawat Preventive, detective control. Kerugian aset dan jiwa Corrective control.
IDENTIFIKASI RISIKO – 6 (Bagian Umum) Menjaga keamanan aset organisasi CONTROL Terjadi kebakaran gedung arsip Tim audit belum Kabel listrik tidak terawat, terdapat dapur dalam gedung. Preventive, detective control. Kerugian aset Corrective control (alarm, hydrant, asuransi).
IDENTIFIKASI RISIKO – 7 (Keuangan) Penyediaan dana kegiatan tepat waktu dan jmlh CONTROL Dana kegiatan dicuri dalam perjalanan Tim audit belum Pembawa uang tidak dikawal SOP pengambilan dana yang valid. Kerugian materiil dana kegiatan Asuransi
IDENTIFIKASI RISIKO – 8 (Akuntansi) Menyusun laporan keuangan yg valid, lengkap, ontime CONTROL Laporan keuangan di disclaimer oleh BPK Tim audit belum Sistem informasi manajemen yang belum memadai Menerap-kan IT Pelaksanaan kegiatan tahun berikutnya terhambat Menerapkan punishment, men-TL temuan
IDENTIFIKASI RISIKO – 9 (Pendidikan Tinggi) Melaksanakan ujian kelulusan mahasiswa yang aman dan tertib CONTROL Soal ujian bocor Tim audit belum Bagian penggandaan soal ujian kurang terawasi Pengamanan soal ujian Lulusan kurang berkualitas Ujian kompre-hensif diperketat
IDENTIFIKASI RISIKO – 10 (RS Kusta) Menurunkan gejala pasien sakit kusta CONTROL Obat tidak tersedia ketika dibutuhkan Tim audit belum Lemahnya manajemen apotik rumah sakit Menerap-kan IT Pasien menjadi semakin parah Menyusun SOP kondisi darurat
IDENTIFIKASI RISIKO – 11 (Dinas PU) Membangun jalan dan jembatan CONTROL Pengecoran beton tidak sesuai standar Tim audit belum Tidak terdapat sistem pengawasan pembangunan yang memadai Dst.. Spesifikasi bangunan rendah karena fraud di lapangan Dst..
IDENTIFIKASI RISIKO – 12 (PDAM) Menghitung pemakaian air pelanggan CONTROL Meter air tidak terbaca Tim audit belum Meter air sengaja dirusak pelanggan Dst.. PDAM mengalami kerugian materiil Dst..
Thank You ! AstraInt Sept 12
Thank You ! AstraInt Sept 12