Penilaian Risiko
Download
Report
Transcript Penilaian Risiko
PENILAIAN RISIKO
13 - 1
Agenda
Mendalami
IC dan (Penilaian) Risiko
Pengantar Implementasi Penilaian Risiko:
Identifikasi tujuan
Identifikasi risiko
(termasuk identifikasi sebab & dampak terjadinya risiko)
Tidak termasuk merancang pengendalian (control)
13 - 2
COSO PYRAMID & CUBE
13 - 3
MENDALAMI IC DAN
PENILAIAN RISIKO
13 - 4
Sumber IC
COSO
GoM
COSO
ICIF
1992
(Draft
2008)
Other
Sources
IC
13 - 5
COSO’s Internal Control Publications
1992
2006
2009
2013
13 - 6
COSO – Pengembang IC dan RM
13 - 7
Why update what works – The Framework has become the most
widely adopted control framework worldwide.
Original
Framework
Refresh
Objectives
COSO’s Internal Control–Integrated Framework (1992 Edition)
Reflect changes in
Expand operations and
Articulate principles to
business & operating
reporting objectives
facilitate effective
environments
Enhancements
Updated
Framework
Updates
Context
internal control
Broadens Application
Clarifies Requirements
COSO’s Internal Control–Integrated Framework (2013 Edition)
13 - 8
Summary of COSO – 3 Updates
Codification of 17 principles embedded in the original Framework
Control Environment
Risk Assessment
Control Activities
1.
2.
3.
4.
5.
Demonstrates commitment to integrity and ethical values
Exercises oversight responsibility
Establishes structure, authority and responsibility
Demonstrates commitment to competence
Enforces accountability
6.
7.
8.
9.
Specifies relevant objectives
Identifies and analyzes risk
Assesses fraud risk
Identifies and analyzes significant change
10. Selects and develops control activities
11. Selects and develops general controls over technology
12. Deploys through policies and procedures
Information &
Communication
13. Uses relevant information
14. Communicates internally
15. Communicates externally
Monitoring Activities
16. Conducts ongoing and/or separate evaluations
17. Evaluates and communicates deficiencies
13 - 9
Update articulates principles of effective internal
control (continued)
1. Organisasi menunjukkan komitmen terhadap
integritas dan nilai-nilai etika.
Control Environment
2. Dewan pengawas menunjukkan independensi thd
manajemen dan melaksanakan pengawasan
terhadap perkembangan dan kinerja pengendalian
internal.
3. Manajemen menetapkan, dengan pengawasan
dewan, struktur, jalur pelaporan, dan pihak yang
berwenang dan tanggung jawab dalam mencapai
tujuan.
4. Organisasi menunjukkan komitmen untuk menarik,
mengembangkan, dan mempertahankan individu
yang kompeten sejalan dengan tujuan.
5. Organisasi mendorong individu bertanggung jawab
thd pengendalian internal mereka dalam mencapai
tujuan.
13 - 10
Update articulates principles of effective internal
control (continued)
Risk Assessment
6. Organisasi menetapkan tujuan dengan kejelasan
yang cukup untuk memungkinkan identifikasi dan
penilaian risiko yang berkaitan dengan tujuan.
7. Organisasi mengidentifikasi risiko terhadap
pencapaian tujuan di seluruh entitas dan
menganalisa resiko sebagai dasar untuk
menentukan bagaimana risiko harus dikelola.
8. Organisasi mempertimbangkan potensi terjadinya
fraud dalam menilai risiko terhadap pencapaian
tujuan.
9. Organisasi mengidentifikasi dan mengevaluasi
perubahan yang signifikan yang dapat
mempengaruhi sistem pengendalian internal.
13 - 11
Update articulates principles of effective internal
control (continued)
Control Activities
10. Organisasi memilih dan mengembangkan
kegiatan pengendalian yang berkontribusi
terhadap mitigasi risiko sampai tingkat yang
dapat diterima terhadap pencapaian sasaran.
11. Organisasi memilih dan mengembangkan
kegiatan pengendalian umum atas teknologi
informasi untuk mendukung tercapainya tujuan.
12. Organisasi menerapkan kegiatan pengendalian
melalui kebijakan yang menetapkan apa yang
diharapkan dan prosedur untuk menerapkan
kebijakan pada praktiknya.
13 - 12
Update articulates principles of effective internal
control (continued)
Information &
Communication
13. Organisasi memperoleh atau menghasilkan dan
menggunakan, informasi yang ber kualitas dan
relevan untuk mendukung fungsi pengendalian
internal.
14. Organisasi mengkomunikasikan informasi
secara internal, termasuk tujuan dan tanggung
jawab untuk pengendalian internal, yang
diperlukan untuk mendukung fungsi
pengendalian internal.
15. Organisasi berkomunikasi dengan pihak luar
mengenai hal yang mempengaruhi fungsi
pengendalian internal.
13 - 13
Update articulates principles of effective internal
control (continued)
Monitoring Activities
16. Organisasi memilih, mengembangkan, dan
melakukan evaluasi berkelanjutan dan / atau
terpisah untuk memastikan apakah
komponen pengendalian internal eksis dan
berfungsi baik.
17. Organisasi mengevaluasi dan
mengkomunikasikan kekurangan
pengendalian internal secara tepat waktu
kepada pihak-pihak yang bertanggung jawab
untuk mengambil tindakan korektif, termasuk
manajemen senior dan dewan direksi.
13 - 14
Bagaimana mem-”bumi”-kan IC?
13 - 15
Konsep Dasar IC
Merupakan suatu proses, yang terdiri dari aktivitas
berkelanjutan. Bukan tujuan akhir tetapi alat untuk mencapai
tujuan.
Dipengaruhi oleh “orang” di seluruh organisasi, bukan sematamata prosedur, form, system. (Menggeser hard-control ke softcontrol).
Memberi keyakinan yang masuk akal (bukan keyakinan
mutlak) bahwa tujuan organisasi akan tercapai.
Dirancang untuk mendukung pencapaian 3 kategori tujuan
yang saling mempengaruhi (efisiensi-termasuk keamanan aset,
pelaporan, ketaatan).
Dapat diterapkan pada berbagai organisasi.
13 - 16
Hard Control vs Soft Control
13 - 17
Keterbatasan IC
Dipengaruhi oleh “prakondisi IC” (inherent
limitation)
Dipengaruhi oleh “judgment operator”
Dipengaruhi oleh “human’s breakdowns”
Dipengaruhi oleh “management override”
(pengabaian manajemen)
Dipengaruhi oleh “collusion”
13 - 18
Unsur Terpenting –
Lingkungan Pengendalian
Lingkungan pengendalian menjadi pondasi seluruh bangunan
IC.
LP membentuk iklim dan kesadaran akan pentingnya IC.
Tanpa LP yang sehat, mustahil IC dapat tumbuh kembang.
13 - 19
3 Pilar Keberhasilan IC
Soft control
Lingkungan
pengendalian.
Tone at
the top
Integritas dan
etika
13 - 20
Disain Control harus Mempertimbangkan
Cost-benefit
13 - 21
Peran Internal Auditor dalam IC
13 - 22
Posisi Internal Auditor dalam IC
13 - 23
Perkembangan MR (IC) sbg Management Tools
MR merupakan tools
manajemen populer sbg
pendamping tools2 lainnya.
Organisasi2 terkemuka di dunia
saat ini sangat peduli akan
risiko. Risiko telah menjadi isu
sentral dalam ilmu manajemen
saat ini.
Konsultan manajemen risiko
telah berkembang pesat.
Aplikasi MR berbasis IT telah
berkembang pesat dalam dunia
bisnis.
Manajemen memiliki tools untuk
memonitor risiko dengan KRI
dan Risk Event Data Base. 13 - 24
Perkembangan MR (IC) sbg Management Tools
Organisasi yang piawai
dalam mengelola risiko,
tumbuh menjadi organisasi
berkelas dunia.
13 - 25
IT Based Dashboard Monitoring of RM
13 - 26
IT Based Dashboard Monitoring of RM
13 - 27
Risk Management Maturity Model
13 - 28
Risk Management Maturity Model
13 - 29
Risk Management Maturity Model
13 - 30
Risk Management Maturity Model
13 - 31
Risk Management Maturity Model
13 - 32
PENGANTAR IMPLEMENTASI
PENILAIAN RISIKO
13 - 33
Risks
13 - 34
Risk Appetite vs Risk Tolerance
13 - 35
Risk Appetite vs Risk Tolerance
13 - 36
Inherent Risk vs Residual Risk
13 - 37
Inherent Risk vs Residual Risk
Inherent
Risk
Control
Residual
Risk
13 - 38
Risk Profile
13 - 39
Risk Profile
13 - 40
Risk Profile
13 - 41
3 Dimension Risk Profile
13 - 42
3 Dimension Risk Profile
13 - 43
13 - 44
No Risk – No Gain
13 - 45
TRILOGI PENGELOLAAN RISIKO
OBJECTIVE
RISK
CONTROL
13 - 46
TRILOGI PENGELOLAAN RISIKO
OBJECTIVE
PENYEBAB
RISIKO
Memitigasi
Penyebab
Risiko
RISK
AKIBAT
RISIKO
CONTROL
Memitigasi
Akibat
Risiko
13 - 47
Extreme
5
5
10
15
20
25
IMPACT / DAMPAK
R1
High
4
4
8
12
16
20
Medium
3
3
6
9
12
15
Low
2
2
4
6
8
10
Negligible
1
1
2
3
4
5
1
2
3
4
5
Remote
(0 – 10%)
Unlikely
(10-25%)
Possible
(25-50%)
Probable
(50-90%)
Certain
(90-100%)
Score
R11
LIKELIHOOD / PROBABILITY
13 - 48
Kategori Risiko
13 - 49
Expanded - Small Cyclus in RM Process:
ORC
Identifikasi
tujuan
kegiatan (O)
Assess risiko
sisa
(residual risk)
Identifikasi
risiko (R)
Mitigasi
risiko /
Disain
Control (C)
Identifikasi
penyebab &
akibat risiko
Assess risiko
inherent
13 - 50
Identifikasi
tujuan
kegiatan (O)
Assess risiko
sisa
(residual risk)
Identifikasi
risiko (R)
Mitigasi
risiko /
Disain
Control (C)
Identifikasi
penyebab &
akibat risiko
Assess risiko
inherent
Identifikasi Tujuan
Kegiatan
13 - 51
Sub Proses Identifikasi Tujuan Kegiatan
Visi-Misi
Analisis
Kegiatan
(Proses
Bisnis)
Identifikasi
Tujuan
Kegiatan
13 - 52
Contoh Sederhana
Menganalisis Kegiatan
13 - 53
Flowcharts - Garis Besar :
“Datang tepat waktu ke ruang kuliah pukul 8.00 pagi”.
Persiapkan
seluruh bahan
kuliah
Perjalanan
menuju
kampus
Tidur
Bangun
dan siapsiap
Tiba di ruang
kelas
13 - 54
Flowcharts - Rinci :
“Datang tepat waktu ke ruang kuliah pukul 8.00 pagi”.
Start
Bangun
Persiapkan
seluruh bahan
kuliah
Mandi &
berpakaian
Setel alarm
pukul 6
Ambil tas
Tidur
Naik
bis ?
Alarm
bunyi ?
Setir mobil
Cari parkir
Jalan ke halte
Menunggu bis
Naik bis
Jalan ke kelas
Turun di halte
tujuan
Menuju
lingkungan
kampus
Tiba di ruang
kelas
13 - 55
Tiga jenis proses bisnis
Operating
processes
• Merupakan proses inti organisasi dalam mencapai tujuannya.
• Misalnya: membuat dan menjual produk (barang dan jasa)
Management and
support processes
• Merupakan kegiatan dalam rangka mengawasi dan
mendukung proses penciptaan nilai inti organisasi.
• Contoh: perencanaan strategis, program etika dan kepatuhan,
aktifitas dewan komisaris, dll.
Project
• Aktifitas proses penciptaan nilai organisasi, dalam periode
waktu tertentu, seringkali urutannya sangat kompleks, dan
relatif unik dibandingkan dengan aktifitas normal bisnis.
• Contoh: Konstruksi, pengeboran usaha tambang.
13 - 56
Proses Bisnis
• Gambaran rangkaian proses bisnis
Operating Process
Menyusun
strategi
Memahami
lingkungan
Mendisain
produk/jasa
Memasarkan
dan menjual
Management &
Support Process
Pengelolaan SDM
Pengelolaan Sumber Daya
Keuangan
Pengelolaan Sumber Daya
Informasi
Projects
Proyek yang dioperasikan:
1.
Identifikasi & penilaian
2.
Pengembangan konsep
3.
Disain & sumber daya
4.
Eksekusi
5.
Operasi
6.
Pembubaran
Memproduk
si barang
Pengelolaan Sumber Daya Fisik
Menyerahkan
jasa
Membuat
invoice dan
menagih
Kepatuhan
Pengelolaan Hubungan
Eksternal
Proyek yang diserahkan:
1.
Identifikasi & penilaian
2.
Pengembangan konsep
3.
Disain & sumber daya
4.
Eksekusi
5.
Penyerahan hasil &
pembubaran
13 - 57
Contoh Lain Analisis Proses Bisnis
Dosen
Textbook
Delivery
Evaluasi
Kurikulum
Silabus
Cases
Ujian
Other
Services
Manajemen Pendidikan
World
Class
University
Pengembangan SDM dan Remunerasi
Riset, Laboratorium dan Perpustakaan
Setiap proses bisnis diidentifikasi tujuannya
13 - 58
Identifikasi
tujuan
kegiatan (O)
Assess risiko
sisa
(residual risk)
Identifikasi
risiko (R)
Mitigasi
risiko /
Disain
Control (C)
Identifikasi
penyebab &
akibat risiko
Assess risiko
inherent
Identifikasi RisikoBerbagai Risk Model
13 - 59
Model Risiko – The IIA
Risiko
strategis
Risiko
kepatuhan
Risiko
pelaporan
Risiko
operasional
Eksternal
Eksternal
Eksternal
Proses
Internal
Internal
Internal
Orang
Sumberdaya
informasi
Keuangan
13 - 60
Model Risiko – The IIA
Risiko
strategis
Risiko
kepatuhan
Risiko
pelaporan
Eksternal
Perubahan peraturan, kompetisi, dinamika
pasar, industri, teknologi.
Internal
Reputasi, fokus strategis, kepuasan konsumen,
tata kelola.
Eksternal
Kontrak, peraturan, tuntutan, perijinan.
Internal
Etika, kebijakan, kecurangan, kegiatan ilegal.
Eksternal
Laporan akuntansi dan keuangan, perpajakan.
Internal
Penganggaran, pengukuran kinerja,
pengendalian intern
Sumber daya
informasi
Akses, ketersediaan, integritas, infrastruktur,
kerahasiaan, hak milik.
13 - 61
Model Risiko – The IIA
Risiko
operasional
Proses
Rantai supply, kapasitas, eksekusi proses,
kesehatan dan keselamatan, keberlangsungan
usaha, waktu siklus, kejadian katastropis,
ketiadaan inovasi.
Orang
SDM, kepemimpinan, pegawai kunci, insentif,
pemberdayaan, perubahan kesamaptaan,
komunikasi.
Keuangan
Suku bunga, perubahan kurs, kapasitas,
konsentrasi, ketersediaan modal, manajemen
kas, kebijakan harga, durasi.
13 - 62
Model Risko - Andersen
Environment Risk
Sources
of Uncertainty
Process Risk
Information For
Decision Making Risk
Uncertainties Affecting the
Viability of Our Business Model
Uncertainties Affecting the
Execution of Our Business Model
Uncertainties Over the
Relevance and Reliability of Information
That Support Our Value Creation
Decisions
13 - 63
Model Risko - Andersen
Source: Enterprise-wide Risk Management: Strategies for linking risk and opportunity
13 - 64
Model Risko - Andersen
Source: Enterprise-wide Risk Management: Strategies for linking risk and opportunity
13 - 65
Model Risko - Andersen
Source: Enterprise-wide Risk Management: Strategies for linking risk and opportunity
13 - 66
Identifikasi Penyebab Terjadinya Risiko
Penyebab penyebab paling hakiki
Salah satu metode: Ishikawa Diagram /
Fishbone Diagram / Root-caused Analysis
Kategori Penyebab pada Fishbone Diagram:
Man
Money
Method
Material
Machine
Management
Measurement
13 - 67
Ilustrasi Fishbone Diagram
13 - 68
Ilustrasi Fishbone Diagram
13 - 69
Identifikasi
tujuan
kegiatan (O)
Assess risiko
sisa
(residual risk)
Identifikasi
risiko (R)
Mitigasi
risiko /
Disain
Control (C)
Identifikasi
penyebab &
akibat risiko
Assess risiko
inherent
Respon/Mitigasi Risiko –
Merancang Control
13 - 70
Respon/Mitigasi Risiko
13 - 71
Respon/Mitigasi Risiko
• Exiting /
divesting
• No action
taken
• Reduce
likelihood
/impact
Avoidance
Reduction /
Mitigate
Acceptance
Sharing
• Transferring
/ sharing a
portion
13 - 72
Respon/Mitigasi Risiko
13 - 73
Identifikasi
tujuan
kegiatan (O)
Assess risiko
sisa
(residual risk)
Identifikasi
risiko (R)
Mitigasi
risiko /
Disain
Control (C)
Identifikasi
penyebab &
akibat risiko
Assess risiko
inherent
Pengantar Workshop Identifikasi:
Tujuan - Risiko - Penyebab - Dampak.
dan Desain Control
13 - 74
TRILOGI PENGELOLAAN RISIKO
OBJECTIVE
PENYEBAB
RISIKO
Memitigasi
Penyebab
Risiko
RISK
AKIBAT
RISIKO
CONTROL
Memitigasi
Akibat
Risiko
13 - 75
IDENTIFIKASI RISIKO – 1
(INSPEKTORAT)
Membantu manajemen
agar dapat melakukan
kegiatan secara efisien
efektif
Menyeleksi,
melatih
auditor
Tim audit belum
Tim audit belum
memahami tools RCA
Kegagalan
mengidentifikasi
penyebab hakiki suatu
kelemahan control
Rekomendasi tdk berkualitas,
tidak dapat di-TL
dan kredibilitas auditor
menurun
CONTROL
Proses
pemutakhiran
temuan
13 - 76
IDENTIFIKASI RISIKO – 2
(BPN)
Melayani masyarakat
dalam penerbitan
sertifikat tanah
Menerapkan
teknologi
informasi
pertanahan
Tim
Administrasi,
audit belum
data
base dan teknologi
tidak efektif
Terjadi penerbitan
sertifikat tanah ganda
BPN dituntut oleh
masyarakat
CONTROL
Disusun SOP
untuk
menangani
tuntutan.
13 - 77
IDENTIFIKASI RISIKO – 3
(Kepegawaian)
Memantau
kedisiplinan
pegawai
Tim
Disiplin
TimPenegak
audit belum
tidak memperoleh
data pegawai secara
lengkap
Menerapkan
mekanisme
pengawasan
thd TPD
Penerapan peraturan
disiplin pegawai yang
tidak sesuai
ketentuan
Pegawai memenangkan
tuntutan di PTUN, citra
organisasi terganggu
CONTROL
Mekanisme
punishment bagi
Tim Penegak
Disiplin
13 - 78
IDENTIFIKASI RISIKO – 4
(Kepolisian)
Memberkaskan
perkara pidana
untuk
penuntututan
Penerapan
proses
ekspose
Tim
Berkas
audit tuntutan
belum
kurang lengkap (bukti
kurang valid)
Terdakwa dituntut
bebas oleh hakim
Tingkat kejahatan
narkoba meningkat
CONTROL
Sosialisasi
dan
penegakan
hukum.
13 - 79
IDENTIFIKASI RISIKO – 4a
(Kepolisian)
Mengamankan
bukti dan
tersangka
Membangun
ruang tahanan,
menetapkan
jadwal jaga
Tim
Ruang
audittahanan
belum
kurang memadai,
tidak cukup petugas
Tersangka
melarikan diri
Terdapat tambahan
DPO
CONTROL
Disusun
SOP buser
DPO
13 - 80
IDENTIFIKASI RISIKO – 5
(Bagian Umum)
Menjaga
kesamaptaan
kendaraan
Preventive,
detective
control.
Tim audit belum
Kondisi kendaraan
(rem) kurang terawat
Kendaraan
mengalami
kecelakaan (rem
blong)
Kerugian aset dan
jiwa
CONTROL
Corrective
control.
13 - 81
IDENTIFIKASI RISIKO – 6
(Bagian Umum)
Menjaga
keamanan aset
organisasi
Preventive,
detective
control.
Tim
Kabel
audit
listrik
belum
tidak
terawat, terdapat
dapur dalam gedung.
Terjadi kebakaran
gedung arsip
Kerugian aset
CONTROL
Corrective
control (alarm,
hydrant,
asuransi).
13 - 82
IDENTIFIKASI RISIKO – 7
(Keuangan)
Penyediaan dana
kegiatan tepat
waktu dan jmlh
SOP
pengambilan
dana yang
valid.
Tim audit belum
Pembawa uang tidak
dikawal
Dana kegiatan
dicuri dalam
perjalanan
Kerugian materiil dana
kegiatan
CONTROL
Asuransi
13 - 83
IDENTIFIKASI RISIKO – 8
(Akuntansi)
Menyusun laporan
keuangan yg valid,
lengkap, ontime
Tim
Sistem
auditinformasi
belum
manajemen yang
belum memadai
Menerapkan IT
Laporan
keuangan di
disclaimer oleh
BPK
Pelaksanaan kegiatan
tahun berikutnya
terhambat
CONTROL
Menerapkan
punishment,
men-TL
temuan
13 - 84
IDENTIFIKASI RISIKO – 9
(Pendidikan Tinggi)
Melaksanakan ujian
kelulusan mahasiswa
yang aman dan tertib
Pengaman
an soal
ujian
Bagian
Tim audit
penggandaan
belum
soal ujian kurang
terawasi
Soal ujian bocor
Lulusan kurang
berkualitas
CONTROL
Ujian
komprehensif
diperketat
13 - 85
IDENTIFIKASI RISIKO – 10
(RS Kusta)
Menurunkan gejala
pasien sakit kusta
Tim audit
Lemahnya
belum
manajemen apotik
rumah sakit
Menerapkan IT
Obat tidak
tersedia ketika
dibutuhkan
Pasien menjadi
semakin parah
CONTROL
Menyusun
SOP kondisi
darurat
13 - 86
IDENTIFIKASI RISIKO – 11
(Dinas PU)
Membangun jalan
dan jembatan
Tidak
terdapat
sistem
Tim audit
belum
pengawasan
pembangunan yang
memadai
Dst..
Pengecoran
beton tidak
sesuai standar
Spesifikasi bangunan
rendah karena fraud
di lapangan
CONTROL
Dst..
13 - 87
IDENTIFIKASI RISIKO – 12
(PDAM)
Menghitung
pemakaian air
pelanggan
Tim audit belum
Meter air sengaja
dirusak pelanggan
Dst..
Meter air tidak
terbaca
PDAM mengalami
kerugian materiil
CONTROL
Dst..
13 - 88
89
AstraInt Sept 12
13 - 89
90
AstraInt Sept 12
13 - 90