MAKALAH
AUDIT INTERNAL II “AUDIT INTERNAL and RISK MANAGEMENT”
OLEH NELLY YULINDA (1710246650)
Dosen: PROGRAM PASCASARJANA MAGISTER AKUNTANSI FAKULTAS EKONOMI UNIVERSITAS RIAU PEKANBARU 2019
KATA PENGANTAR
Puji syukur saya panjatkan kehadirat Tuhan Yang Maha Esa atas limpahan rahmat dan hidayahnya, sehingga kami dapat menyelesaikan makalah ini sesuai dengan yang diharapkan. Dalam kesempatan ini tidak lupa kami mengucapkan terima kasih
kepada
............................ selaku dosen mata kuliah Audit Internal II serta semua pihak yang telah memberikan saran-saran kepada kami dalam membuat makalah ini. Dalam penyusunan makalah “Audit Internal II” dengan judul “AUDIT INTERNAL and RISK MANAGEMENT”, kami menyadari bahwa makalah yang kami buat masih jauh dari sempurna, walaupun kami berusaha dengan sekuat tenaga. Maka, dengan segala kerendahan hati, kami mengharapkan saran serta kritik yang menuju kearah perbaikan serta penyempurnaan makalah ini dari para pembaca sekalian. Semoga makalah ini dapat bermanfaat bagi para pembaca sekalian.
Pekanbaru, Maret 2019 Penyusun
Nelly Yulinda
1
DAFTAR ISI
Kata Pengantar Daftar Isi BAB I
PENDAHULUAN 1.1 Latar Belakang ............................................................................................3 1.2 Rumusan Masalah .......................................................................................4 1.3 Tujuan Penulisan ..........................................................................................4
BAB II PEMBAHASAN 2.1 Pengertian Auditor Internal .......................................................................5 2.2 pengertian Resiko........................................................................................7 2.3 Tantangan Resiko........................................................................................8 2.4 Risk Management and Residual Risk .........................................................9 2.5 risk appetite dan Internal Audit...................................................................18 BAB III KESIMPULAN 3.1 Kesimpulan .................................................................................................23
DAFTAR PUSTAKA
2
BAB I PENDAHULUAN
1.1 Latar Belakang Dalam dunia yang semakin berkembang ini, sudah pastinya kita sudah sering kali mendengar kata resiko dalam kehidupan sehari-hari kita. Resiko merupakan bagian dari kehidupan kerja individual maupun organisasi.
Berbagai macam resiko, seperti resiko
kebakaran, tertabrak kendaraan lain di jalan, resiko terkena banjir di musim hujan dan sebagainya, dapat menyebabkan kita menanggung kerugian jika resiko - resiko tersebut tidak kita antisipasi dari awal. Resiko dikaitkan dengan kemungkinan kejadian atau keadaan yang dapat mengancam pencapaian tujuan dan sasaran organisasi. Sebagaimana kita pahami dan sepakati bersama bahwa tujuan perusahaan adalah membangun dan memperluas keuntungan kompetitif organisasi. Resiko berhubungan dengan ketidakpastian ini terjadi karena kurang atau tidak tersedianya cukup informasi tentang apa yang akan terjadi. Sesuatu yang tidak pasti (uncertain) dapat berakibat menguntungkan atau merugikan. Menurut Wideman, ketidakpastian yang menimbulkan kemungkinan menguntungkan dikenal dengan istilah peluang (opportunity), sedangkan ketidakpastian yang menimbulkan akibat yang merugikan disebut dengan istilah risiko (risk). Dalam beberapa tahun terakhir, manajemen resiko menjadi trend utama baik dalam perbincangan, praktik, maupun pelatihan kerja. Hal ini secara konkret menunjukkan pentingnya manajemen resiko dalam bisnis pada masa kini. Oleh sebab itu resiko sangat perlu diolah karena resiko mengandung biaya yang tidak sedikit.
Bayangkan suatu kejadian di mana suatu perusahaan sepatu yang mengalami
kebakaran. Kerugian langsung dari peristiwa tersebut adalah kerugian finansial akibat asset yang terbakar (misalnya gedung, material, sepatu setengah jadi, maupun sepatu yang siap untuk dijual). Namun juga dilihat kerugian tidak langsungnya, seperti tidak bisa beroperasinya perusahaan selama beberapa bulan sehingga menghentikan arus kas. Akibat lainnya adalah macetnya pembayaran hutang kepada supplier dan kreditor karena terhentinya arus kas yang akhirnya akan menurunkan kredibilitas dan hubungan baik perusahaan dengan partner bisnis tersebut.Resiko dapat dikurangi dan bahkan dihilangkan melalui manajemen resiko. Peran dari manajemen resiko diharapkan dapat mengantisipasi terjadinya resiko yang sangat berlebihan yang dapat membuat perusahaan gulung tikar, oleh sebab itu kita perlu melakukan ha-hal yang lebih terarah, salah satunya dengan mengukur dimensi resiko yang akan terjadi pada diri sendiri pada khususnya dan pada perusahaan pada umunya. 3
1.2 Rumusan Masalah 1. apa itu Audit internal ? 2. Bagaimana tugas dan tanggung jawab audit internal ? 3. Apa itu Risk ? 4. Apa tantangan resiko? 5. Apa itu Risk Management and residual Risk ? 6. Apa itu Mitigation through Control ? 7. Apa itu risk register dan Risk appeties ? 8. 1.3 Tujuan Penulisan 1. Untuk mengetahui pengertian Audit Internal 2. Untuk mengetahui tugas dan tanggung jawab audit internal 3. Untuk mengetahui pengertian Risk 4. Untuk mengetahui tantangan resiko 5. Untuk mengetahui Risk Management and residual Risk 6. Untuk mengetahui Mitigation through Control 7. Untuk mengetahui risk register dan Risk appeties
4
BAB II PEMBAHASAN
2.1 PENGERTIAN AUDITOR INTERNAL Berikut adalah pengertian mengenai audit internal Menurut IIA, Internal Audit adalah kegiatan independen penjaminan dan konsultasi yang bersifat independen dan objektif dan dirancang untuk memberikan nilai tambah bagi organisasi dengan meningkatkan kegiatan operasi organisasi untuk mencapai tujuannya, melalui suatu pendekatan yang sistematis dan teratur untuk mengevaluasi dan meningkatkan efektivitas manajemen resiko, pengendalian dan pengelolaan.
2.1.1 TUGAS DAN TANGGUNG JAWAB AUDITOR INTERNAL Berdasarkan ISO31000; 2009 Risk Management-Principles and Guidelines, praktik terbaik manajemen resiko melibatkan seluruh bagian dari organisasi. Keterlibatan organisasi secara keseluruhan pada kegiatan manajemen resiko menuntut adanya pembagian peran dan tanggung jawab yang jelas, dengan turut mempertimbangkan kompetensi dan peran lain dari tiap unit tersebut. Hal ini diperlukan agar tidak terjadi tumpang tindih, missing link, atau inefisiensi pada kegiatan manajemen resiko. Dua fungsi esensial yang memiliki keterkaitan erat pada kegiatan manajemen resiko adalah fungsi manajemen resiko dan internal audit. Kedua fungsi ini memiliki peran dalam menjamin efektivitas penerapan manajemen resiko organisasi. Perbedaan fundamental dari kedua fungsi tersebut terletak pada delegasi tangggung jawab. Fungsi manajemen resiko bertugas untuk mengarahkan praktik enterprise risk management pada organisasi, terutama menghadapi resiko-resiko utama yang dapat mengganggu pencapaian sasaran organisasi. Di sisi lain, fungsi internal audit bertugas untuk memonitor, memantau, dan menilai efektivitas pengendalian internal dan manajemen resiko. Tugas inti auditor internal berkaitan dengan manajemen resiko adalah untuk memberikan kepastian bahwa kegiatan manajemen resiko telah berjalan dengan efektif dalam memberikan jaminan yang wajar terhadap pencapaian sasaran organisasi. Dua cara penting untuk menjalankan tugasnya adalah dengan:
5
1. Memastikan bahwa resiko utama dari bisnis telah ditangani dengan baik; dan 2. Memastikan bahwa kegiatan manajemen resiko dan pengendalian internal telah berjalan dengan efektif. David McNamee dan Georges Salim (1998) mendefenisikan tiga langkah dalam perkembangan audit internal yaitu : 1. Menghitung dan mengamati 2. Sistem Pengendalian Internal 3. Proses audit bisnis berfokus pada resiko. Perubahan paradigma dari dua langkah menjadi tiga langkah merubah internal audit yang sebelumnya focus pada kejadian sebelum dan sekarang menjadi sekarang dan masa depan. Pengendalian transaksi yang dilakukan oleh auditor internal mengamati dan memeriksa kejadian yang telah lalu dari nilai yang diperoleh oleh perusahaan. Dengan berfokus pada resiko sekarang dan masa depan, auditor internal bekerja untuk pencapaian tujuan organisasi. Menurut Brilliant mengelompokkan resiko secara garis besar berhubungan dengan kegiatan sebagai berikut: -
Memahami produk perusahaan
-
Mengenal lokasi pasar dan adat
-
Memeriksa proses resiko bisnis
-
Perilaku manusia
-
Kualitas manajemen
-
Perubahan lingkungan Peran dan tanggungjawab auditor internal sehubungan resiko menjadi topik hangat dalam
diskuisi profesi tahun-tahun terakhir. Sebelum auditor internal mengelola resiko atau memutuskan alokasi sumber daya yang terlibat dalam manajemen resiko, hubungan lebih cepat antar manajemen resiko beberapa pengamat menyarankan bahwa titik awal perencanaan audit internal haruslah resiko organisasional, atau ancaman bagi pencapaian tujuan usaha. Tindakan yang telah dilakukan Dewan Standar IIA telah menjadi pedoman bagi profesi menuju keterlibatan yang lebih besar dalam lingkungan resiko usaha (Practice Advisory 10.A1-1 dan standar 2210.A1, “penentuan resiko dalam rencana penugasan”). Standar baru-baru ini mengharapkan kecermatan professional- hal yang diharapkan dari seorang auditor internal yang kompeten dan berhati-hati. Standar ini tidak berarti bahwa auditor internal menjadi seorang yang maha tahu atau menjadi pelindung atas semua kesalahan yang 6
mungkin terjadi. Standar mensyaratkan kecermatan kecermatan yang wajar dan ketaatan bukan kinerja yang bebas salah atau luar biasa. Kecermatan professional mencakup atas ketidakwajaran dan ketidakpatuhan yang material. Kapan pun auditor internal melakukan audit, mereka harus menyadari resiko jebakan potensial-bagaikan batu yang dibawahnya terdapat kalajengking berbisa yang siap menerkam. Yang dibutukan adalah kompetensi professional, bukan kehati-hatian dan kecakapan tak terbatas. Orang awam mungkin tidak masalah bila pemesanan dan penerimaan persediaan dilakukan oleh orang yang sama, tetapi auditor internal harus segera menyadari resiko bawaan yang mungkin terjadi dari aktivitas tersebut. Auditor internal akan mampu dengan jelas mengidentifikasi resiko dalam beberapa aktivitas. Kesalahan yang disengaja bukan satu-satunya atau yang paling berbahaya bagi organisasi. Catatan atau transaksi diselewengkan lebih karena kesalahan pegawai, bukan karena ketidakjujuran atau niat jahat. Mereka mungkin tidak mengikuti aturan, tidak memahami perintah, atau tidak berhati-hati; dan mungkin tidak diawasi dengan layak. 2.2 PENGERTIAN RESIKO Menurut Peter L.Beinstein resiko berasal dari bahasa Italia yang berarti “berani”. Dalam hal ini resiko adalah pilihan bukan nasib. Tindakan berani untuk mengambil pilihan. Menurut Peter L. Bernstein 'Resiko' berasal dari kata risicare pada jaman Italia awal, yang berarti 'berani'. Dalam pengertian ini, resiko adalah pilihan bukan nasib. Tindakan berani untuk mengambil pilihan, tergantung pada seberapa bebas kita harus membuat pilihan. konsep pilihan ketika datang ke resiko - tidak hanya menjadi resiko sebagai bagian dari kehidupan, namun yang bertanggung jawab atas nasib seseorang maupun orang banyak. Intinya adalah bahwa keberhasilan dalam bisnis dan sektor publik erat kaitannya dengan tindakan mengambil resiko. Resiko timbul dari ketidakpastian dan kontrol yang didasarkan pada pengurangan ketidakpastian dimana sangat mungkin dan diperlukan dalam sebuah kehidupan. HM Treasury mendefinisikan resiko sebagai 'ketidakpastian hasil dalam rentang eksposur yang timbul dari kombinasi dampak dan probabilitas dari peristiwa potensial '. Sementara Daftar Istilah IIA mendefinisikan resiko sebagai 'ketidakpastian suatu peristiwa yang terjadi bisa memiliki dampak pada pencapaian tujuan. Resiko diukur dalam hal konsekuensi dan kemungkinan.
7
Risk
Impact
Gambar 1. Manajemen Resiko 2.3 TANTANGAN RESIKO Bagi COSO, pengukuran penetapan resiko adalah kegiatan penting bagi manajemen dan auditor internal perusahaan, sehingga auditor internal harus paham proses dan sarana untuk identifikasi, penilaian, pengukuran dan penetapan tingkat resiko.Sebagai dasar menyusun prosedur audit internal, COSO menyatakan bahwa setiap entitas menghadapi resiko internal dari luar bahwa resiko-resiko tersebut harus diidentifikasi dan dinilai diukur terfokus pada pengamanan sasaran strategis perusahaan. Perubahan social-politik-ekonomi-industri-hukum dan perubahan kondisi operasional perusahaan teraudit mengandung resiko. Manajemen perusahaan harus membentuk mekanisme untuk mengenali dan menghadapi perubahan tersebut. Basis utama manajemen resiko adalah assessment resiko. Untuk keberlangsungan usaha, assessment resiko merupakan tanggungjawab manajemen yang bersifat integral dan terus menerus, karena manajemen tidak dapat menformulasikan sasaran dengan asumsi sasaran akan tercapai tanpa resiko atau hambatan. Contoh resiko, bahaya, ancaman, atau hambatan mencapai sasaran perusahaan adalah : 1. pesaing meluncurkan produk baru 2. perubahan teknologi menyebabkan jasa atau produk tidak laku 3. manajer andalan tiba-tiba mengundurkan diri sebagai karyawan 4. formula rahasia dicuri dan dijual oleh karyawan kepada pesaing. 5. KKN menggerus laba dan membuat perusahaan keropos.
8
Tugas auditor internal antara lain adalah mengaudit resiko, melakukan evaluasi resiko, mengusulkan pendirian manajemen resiko sambil menjelaskan manfaat manajemen resiko atau menyatakan dukungan atas program manajemen resiko. Auditor internal menerima instruksi dan bagian peran audit internal dalam manajemen resiko dari dewan audit atau komite audit, agar secara independen auditor mengevaluasi manajemen resiko dan program memerangi resiko. Auditor internal pada umumnya bersikap apstain untuk manajemen resiko departemen auditor internal sendiri, kecuali diminta dewan audit untuk melakukan self assessment.
Risk
Threats
Objectives
Opportunities
Impact
Konsep lain yang perlu dipertimbangkan adalah resiko yang dalam konteks pencapaian tujuan, memiliki untung dan rugi dan merupakan ancaman dan peluang. Hal ini dapat berhubungan dengan kekuatan yang berdampak negatif pada tujuan, sehingga menimbulkan ancaman. Resiko terbalik, di sisi lain merupakan peluang yang dicapai tetapi mungkin terlewatkan atau diabaikan, sehingga berarti kita tidak melebihi harapan. Inilah sebabnya mengapa manajemen resiko tidak benar-benar tentang membangun sebuah organisasi yang bagus
2.4 RISK MANAGEMENT AND RESIDUAL RISK Manajemen resiko adalah proses dinamis untuk mengambil semua langkah yang wajar untuk mengetahui dan menangani resiko yang berdampak pada tujuan. Ini adalah respon terhadap resiko dan keputusan yang dibuat sehubungan pilihan yang tersedia dalam hubungannya dengan sumber daya yang tersedia. Jadi sumber daya organisasi dan proses yang
9
selaras dapat menangani resiko di mana pun saat diidentifikasi. Proyek standar manajemen untuk pedoman manfaat manajemen resiko sistematis yang meliputi: •
Realistis bisnis dan perencanaan proyek
•
Tindakan dilaksanakan dalam waktu efektif
•
Besar kepastian mencapai tujuan bisnis dan tujuan proyek
•
Apresiasi,
dan
kesiapan
untuk
mengeksploitasi,
semua
peluang
yang
menguntungkan •
Meningkatkan pengawasan kerugian
•
Meningkatkan pengendalian biaya proyek dan bisnis
•
Peningkatan fleksibilitas sebagai akibat dari pemahaman semua pilihan dan resiko yang terkait
•
Sedikit kejutan melalui kontingensi yang efektif dan perencanaan yang transparan
Laporan dari manajemen untuk dewan erat kaitannya dengan wilayah yang dicakup oleh mereka, memberikan penilaian yang seimbang dari resiko secara signifikan dan efektivitas sistem internal kontrol dalam mengelola resiko-resiko tersebut. Setiap kegagalan kontrol signifikan atau kelemahan yang diidentifikasi harus dibahas dalam laporan, termasuk dampak, pada perusahaan dan tindakan yang diambil untuk memperbaiki hal tersebut. Adanya keterbukaan komunikasi antara manajemen dengan dewan mengenai hal-hal yang berkaitan dengan resiko dan kontrol. Ketika meninjau laporan sepanjang tahun, dewan harus: •
mempertimbangkan apa saja risiko yang signifikan dan menilai bagaimana mereka diidentifikasi, dievaluasi dan dikelola;
•
menilai keefektifan sistem pengendalian intern yang terkait dalam pengelolaan yang signifikan risiko, dengan memperhatikan, khususnya, terhadap kegagalan atau kelemahan yang signifikan dalam pengendalian internal yang telah dilaporkan;
•
mempertimbangkan apakah tindakan yang diperlukan segera dilakukan untuk memperbaiki kegagalan signifikan apapun atau kelemahan; dan
•
mempertimbangkan apakah temuan tersebut mengindikasikan perlunya pemantauan sistem yang lebih ekstensif dari kontrol internal
Tahapan manajemen risiko umumnya dikenal sebagai: 1. Identifikasi -- Identifikasi Proses manajemen risiko dimulai dengan suatu metode untuk mengidentifikasi semua risiko yang menghadapi sebuah organisasi. Hal ini harus melibatkan semua pihak yang memiliki keahlian, tanggung jawab dan berpengaruh atas 10
wilayah dipengaruhi oleh risiko yang bersangkutan. Semua risiko dibayangkan harus diidentifikasi dan dicatat. Resiko bisnis adalah benar-benar tentang jenis masalah, dan bukan hanya bencana yang lebih terkenal, tindakan Tuhan atau risiko terhadap keselamatan pribadi. Penilaian Tahap berikutnya adalah untuk menilai pentingnya risiko yang telah diidentifikasi. 2. assessment--Penilaian Tahap selanjutnya adalah menilai signifikansi risiko yang telah diidentifikasi. Ini harus berkisar pada dampak dua dimensi, kemungkinan pertimbangan yang kita miliki 3. Management-- Berbekal pengetahuan tentang risiko apa yang signifikan dan mana yang kurang,Prosesnya memerlukan pengembangan strategi untuk mengelola risiko dampak tinggi dan berisiko tinggi. Hal ini memastikan bahwa semua risiko utama ditangani dan sumber daya disalurkan ke area yang paling banyak keprihatinan, yang telah diidentifikasi melalui metodologi terstruktur. 4. Review -- keseluruhan proses dan keluaran manajemen risiko harus ditinjau dan ditinjau kembali dasar yang terus-menerus. Ini harus melibatkan pembaharuan strategi manajemen risiko dan mengkaji ulang validitas proses yang sedang diterapkan di seluruh organisasi.
2.4.1 Mitigation through Controls Manajemen risiko merupakan bagian penting dari siklus resiko, karena memungkinkan organisasi untuk menetapkan dan meninjau kontrol internal mereka, dan melaporkan kembali ke pemegang. Kerangka pengendalian internal terdiri dari semua pengaturan, dan rutinitas kontrol tertentu dan proses yang mendorong sebuah organisasi untuk mencapai tujuan. Mengelola risiko harus memprioritaskan perubahan kontrol, dengan mempertimbangkan dampak pada kegiatan dan ketersediaan sumber daya. Perubahan kontrol yang dipilih harus dialokasikan risiko pemilik respon dan jadwal pelaksanaannya harus disiapkan. Kemajuan terhadap pelaksanaan pengendalian perubahan harus
dipantau.
Pengendalian yang diterapkan harus didokumentasikan. Setelah perubahan kontrol telah dilaksanakan dan menjadi mungkin untuk mengumpulkan data tentang risiko residual yang sebenarnya, tingkat risiko residual harus dinilai.
11
Monitoring performance of controls Setelah perubahan kontrol telah dilaksanakan dan menjadi mungkin untuk mengumpulkan data di Risiko residual aktual, tingkat risiko residual harus dinilai. proses keputusan yang sama seharusnya digunakan untuk memutuskan apakah akan mempertahankan risiko residual atau apakah melakukan perubahan kontrol lebih lanjut .Prosesnya harus diulang sampai tingkat risiko residual berada dalam risiko disesuaikan dan mengejar perubahan kontrol lebih lanjut tampaknya tidak bermanfaat. Organisasi harus monitor dan uji kontrolnya untuk memastikan:
Penerapannya tidak menimbulkan risiko tambahan yang tidak dapat diterima;
beroperasi seperti yang dirancang, masing-masing bermanfaat, dan secara kolektif mereka mengelola risikonya tingkat yang dapat diterima;
Mereka tetap hemat biaya; dan
Bahwa di mana kekurangan dalam pelaksanaan atau operasi pengendalian diidentifikasi:
Implikasi dari kekurangan kontrol yang tidak diperbaiki telah ditetapkan dan pilihan untuk resolusi diidentifikasi;
Mereka dilaporkan sehingga konsekuensi profil risiko dapat dinilai; dan
Resolusi defisiensi kontrol direncanakan dan dilaksanakan
12
Mengidentifikasi, menganalisa dan merencanakan suatu risiko merupakan bagian penting dalam perencanaan suatu proyek. Namun, manajemen risiko tidaklah berhenti sampai disana saja. Praktek, pengalaman dan terjadinya kerugian akan membutuhkan suatu perubahan dalam rencana dan keputusan mengenai penanganan suatu risiko. Sangatlah penting untuk selalu memonitor proses dari awal mulai dari identifikasi risiko dan pengukuran risiko untuk mengetahui keefektifitas respon yang telah dipilih dan untuk mengidentifikasi adanya risiko yang baru maupun berubah. Sehingga, ketika suatu risiko terjadi maka respon yang dipilih akan sesuai dan diimplementasikan secara efektif. Tanggapan selanjutnya dijelaskan:
1. Terminate Sebuah keputusan dibuat untuk tidak melakukan aktivitas yang cenderung memicu risiko. Bila risiko lebih besar daripada kemungkinan manfaatnya, hentikan risiko dengan melakukan sesuatu secara berbeda dan dengan demikian keluarkan risikonya metode paling sederhana dan paling sering diabaikan dalam menangani risiko. Ini adalah pendekatan yang paling disukai bila memungkinkan dan hanya melibatkan penghapusan risiko. Hal ini dapat dilakukan dengan mengubah suatu proses atau praktik yang secara inheren berisiko untuk menghilangkan risiko tersebut. Hal yang sama dapat digunakan saat meninjau praktik dan proses di semua area bisnis. Jika item menyajikan risiko dan dapat diubah atau dihapus tanpa itu secara material mempengaruhi bisnis, maka menghapus risiko harus menjadi pilihan pertama yang dipertimbangkan; daripada mencoba mengobati, mentolerir atau mentransfernya.
2. control Salah satu senjata utama untuk mengatasi risiko adalah kontrol yang lebih baik. Perhatikan bahwa ini adalah pokok bahasan bab berikutnya. Sebagai contoh, terapkan staf penjualan di luar negeri menilai lokasi tertentu sebagai risiko pribadi yang tinggi, kita akan terus mempertimbangkan tindakan apa Saat ini berada di tempat dan memutuskan apakah melakukan cukup. Kontrol bisa meliputi lokal survei, petugas keamanan, panduan formal untuk bersosialisasi, katakan di malam hari, prosedur untuk bepergian dan penggunaan driver atau pemandu, seminar kesadaran tentang cara mengurangi peluang menjadi target, pengaturan komunikasi pribadi yang baik dan sebagainya. Tingkat tindakan Diadopsi mungkin tergantung pada penilaian tingkat risiko dan perubahan keadaan peringatan. Pengendalian risiko mengacu pada asumsi risiko namun mengambil langkah untuk mengurangi, atau mengelola dampak atau kemungkinannya. Pengendalian risiko dapat berupa 13
pemasangan sistem pengumpulan data atau peringatan dini yang memberikan informasi untuk menilai secara lebih akurat dampak, kemungkinan, atau waktu suatu risiko. Jika peringatan suatu risiko dapat diperoleh cukup dini untuk mengambil tindakan terhadapnya, maka pengumpulan informasi mungkin lebih baik daripada tindakan yang lebih nyata dan mungkin lebih mahal.
3. transfer Dimana risikonya dinilai sebagai dampak yang tinggi namun kemungkinannya rendah, mungkin saja kita menginginkannya mengadopsi strategi penyebaran risiko, sedapat mungkin. Risiko kemungkinan tinggi akan sulit untuk ditransfer karena semua pihak yang terlibat ingin sepenuhnya diberi kompensasi penuh terhadap dampaknya risiko. Hanya di situ ada beberapa ketidakpastian bahwa transfer lebih tepat. Beralih lagi Untuk contoh yang sedang berjalan, kita bisa menyebarkan dampak resikonya dengan memiliki polis asuransi itu mencakup staf di luar negeri. Atau kita bisa menggunakan firma internasional atau agensi lokal untuk melakukan peran penjualan di negara-negara berisiko tinggi. membagikan eksposur, baik sebagian atau seluruhnya, dengan pasangan atau kontraktor, atau melalui asuransi. Setiap kemitraan perlu dimonitor secara hati-hati karena tidak mungkin mengalihkan semua risiko dan aspek-aspek tertentu mungkin tetap ada, seperti kehilangan reputasi.Transferensi adalah strategi manajemen risiko yang tidak sering digunakan dan cenderung lebih umum dalam proyek dimana ada beberapa pihak. Intinya, Anda mentransfer dampak dan pengelolaan risiko kepada orang lain. Misalnya, jika Anda memiliki pihak ketiga yang dikontrak untuk menulis kode perangkat lunak Anda, Anda dapat mentransfer risiko bahwa akan ada kesalahan dalam kode tersebut kepada mereka. Mereka kemudian akan bertanggung jawab untuk mengelola risiko ini, mungkin melalui pelatihan tambahan. Biasanya pengaturan transferensi ditulis menjadi kontrak proyek. Asuransi adalah contoh bagus lainnya. Jika Anda mengangkut peralatan sebagai bagian dari proyek Anda dan dalam kecelakaan, perusahaan asuransi akan bertanggung jawab untuk menyediakan peralatan baru untuk mengganti barang yang rusak. Tim proyek mengakui bahwa kecelakaan itu mungkin terjadi, namun mereka tidak bertanggung jawab untuk menangani peralatan pengganti, memindahkannya ke lokasi yang benar atau membayarnya karena hal itu sekarang menjadi tanggung jawab perusahaan asuransi.
14
4. contingencies Respon yang berguna terhadap risiko yang berdampak tinggi lagi, kemungkinan rendah didasarkan sekitar membuat pengaturan kontingensi jika terjadi kejadian. Kontinjensi akan fokus pada dampak yang mempengaruhi kelangsungan bisnis, sehingga bahkan setelahnya Setelah memasang kontrol preventif, masih ada kemungkinan risiko tersebut terwujud. Itu Tim penjualan luar negeri dapat ditutupi oleh prosedur evakuasi jika risiko sipil kerusuhan terwujud. Ini mungkin melibatkan akses ke pesawat charter khusus yang bisa disediakan sangat cepat. Rencana kontingensi juga mencakup kelangsungan bisnis untuk jalur penjualan itu mungkin terganggu oleh keresahan. Banyak orang awam memandang manajemen risiko sebagaimana adanya perencanaan kontingensi. Artinya, pandangan risiko mereka yang agak sempit tidak melekat pada pencapaian tujuan bisnis strategis dan kebutuhan akan proses untuk menangani semua risiko material.
5. Take More Salah satu dimensi strategi manajemen risiko berasal dari sisi atas sudut pandang risiko Dimana dampaknya, kemungkinan rating menunjukkan operasi yang berada di rendah / rendah Kedua faktor, ini tidak berarti semua baik-baik saja. Manajemen risiko adalah tentang mengetahui dimana menghabiskan waktu berharga dan tahu ke mana harus menghabiskan sumber daya berharga. Daerah rendah / rendah sudah matang untuk investasi lebih lanjut (untuk kepentingan komersial) atau matang untuk pengembangan inovatif lebih lanjut (untuk layanan sektor publik). Dalam contoh penjualan di luar negeri, kami mungkin ingin mengirimkan tim ke negara-negara yang memiliki reputasi ketidakstabilan, namun perlahan-lahan menetap dan terbuka untuk bisnis. 'Inti dari manajemen risiko terletak pada memaksimalkan area dimana kita memiliki beberapa kontrol Hasilnya sambil meminimalkan area dimana kita sama sekali tidak memiliki kendali atas hasilnya dan keterkaitan antara efek dan sebab tersembunyi dari kita
6. communicate Mengkomunikasikan risiko adalah disiplin yang benar-benar terpisah dan pasar saham yang sensitif dan layanan publik berprofil tinggi memiliki tugas yang sulit dalam mengelola ekspektasi, menangani informasi sensitif harga dan menjaga politisi dan media senang. Beberapa berpendapat bahwa skandal salah saji keuangan pada tahun 2002 didorong oleh pasar yang menuntut pertumbuhan laba cepat dan linier dan membenci berita buruk. Sukses di Mengkomunikasikan risiko terutama didasarkan pada hubungan kepercayaan antara pemberi 15
dan penerima dan tingkat konsistensi dalam pesan yang diberikan tentang risiko yang diketahui sebelum mereka menerima tugas. Komunikasi risiko merupakan bagian integral dari penilaian risiko proses, yang biasanya mencakup proses komunikasi antar lembaga dan antara lembaga dan organisasi yang bertanggung jawab atas penilaian dan pengelolaan lokasi. Komunikasi risiko juga mencakup komunikasi dengan berbagai pihak yang berpotensi berisiko dari lokasi atau tertarik dengan situs ini. Secara keseluruhan, proses komunikasi risiko dirancang untuk menjadi iteratif dan untuk menginformasikan penilaian risiko dan manajemen risiko Tujuan komunikasi risiko adalah agar semua pemangku kepentingan memiliki pemahaman yang sama tentang proses dan asumsi yang digunakan dalam penilaian risiko. Seringkali, bagaimanapun, masalah komunikasi risiko hanya dapat diminimalkan, tidak dihindari.
7. tolerate Kemampuan tindakan yang efektif terhadap beberapa risiko mungkin terbatas atau biaya untuk mengambil tindakan semacam itu mungkin tidak proporsional dengan potensi keuntungan yang didapat dimana tidak ada tindakan yang diambil untuk mengurangi atau mengurangi risiko. Ini mungkin karena biaya untuk melembagakan pengurangan risiko atau kegiatan mitigasi tidak efektif biaya atau risiko dampaknya sangat rendah sehingga dianggap dapat diterima oleh bisnis. Bahkan bila risiko ini ditolerir, mereka harus dipantau karena perubahan di masa depan mungkin akan membuatnya tidak dapat ditolerir lagi.
8. Penelitian komisi Sistem manajemen risiko yang lebih berkembang akan memberikan waktu berpikir, di mana satu keputusan mungkin diambil dan mencari tahu lebih lanjut tentang risiko, dampaknya dan apakah itu mungkin akan terjadi — yaitu untuk meminta penelitian lebih lanjut.
9. tell someone Beberapa risiko tinggi / tinggi membuat penyumbatan, karena hanya bisa benar-benar terjadi diselesaikan oleh pihak-pihak di luar mereka yang berpartisipasi dalam latihan manajemen risiko. Banyak itu Latihan berhenti untuk berhenti karena tanggung jawab untuk mengelola risiko yang dipertanyakan tidak berada dengan orang-orang yang merancang strategi risikonya. Respon yang lebih baik adalah menetapkan yang tidak dijaga mengambil risiko dan menyusun strategi untuk menyampaikan posisi ini kepada pihak yang dapat mengatasinya dan juga lihat hasilnya sampai melalui garis Terkadang, jika pihak luar 16
tidak menyadari bahwa kelambanan mereka telah menghentikan kemajuan di bidang lain, mereka tidak memiliki alasan untuk mengatasi masalah tersebut. Menggunakan kami Contoh tim penjualan, kami mungkin berpendapat bahwa dorongan penjualan dipengaruhi oleh komunikasi yang tidak dapat diandalkan antara kantor pusat dan penilaian risiko bisnis dapat menjadikannya hambatan utama untuk berhasil mendapatkan perintah ditempatkan dan berbalik. Strategi manajemen mungkin menyarankan adanya. Tidak ada yang bisa dilakukan karena jaringan komunikasi dijalankan oleh negara yang bersangkutan.sebuah Respon yang lebih baik adalah menyampaikan informasi ini ke dewan direksi dan perhatikan bahwa ada bahaya hilang tujuan pertumbuhan strategis jika dibiarkan tanpa dijaga. Dewan mungkin bisa melobi pemerintah yang bersangkutan atau mendukung tawaran ke badan pembangunan internasional untuk proyek itu memperbaiki komunikasi global Sementara gerakan ini mungkin tidak mengarah pada perbaikan secara langsung, Mungkin seiring waktu memfasilitasi kemajuan.
10. check compliance Senjata terakhir respon risiko sering diabaikan. Ini adalah untuk fokus pada area di mana kontrol sangat penting untuk mengurangi risiko yang signifikan, dan untuk memastikannya bahwa mereka benar-benar bekerja sebagaimana mestinya. Kontrol yang melawan lebih dari satu risiko material sangat penting Kontrol ini dapat diperiksa dan diuji oleh auditor internal atau tim spesialis kepatuhan atas perintah manajemen. Kami bisa melakukan kunjungan terakhir untuk penjualan kami tim, misalnya, kontrol kunci atas tim mungkin merupakan koordinator regional yang memastikan kelancaran transportasi antar negara dan membuat setiap orang tetap berhubungan dengan perkembangan produk. Mungkin penting bahwa koordinator mematuhi persyaratan kesepakatan mereka dan kekurangan apapun akan terjadi menyebabkan eksposur yang signifikan. Respons manajemen risiko mungkin didasarkan pada ketergantungan pada kunci Kendalikan itu, asalkan berhasil, berarti risikonya dikurangi - strateginya kemudian fokus pada kontrol yang ada dan memperkuatnya jika memungkinkan, dan memastikan hal itu dilakukan untuk melakukan apa yang seharusnya dilakukan.
17
2.5 RISK APPETITE DAN INTERNAL AUDIT Risk appetite termasuk dalam remit dan lingkup audit internal. Ini merupakan bagian dari peran audit internal untuk mengevaluasi keefektifan dan berkontribusi pada peningkatan proses manajemen risiko. Hal ini relevan :
Dimana audit internal diperlukan untuk memberikan laporan tahunan dan opini untuk mendukung keseluruhan pernyataan dewan mengenai system menajemen dan pengendalian risiko organisasi.
Jika audit internal melakukan tinjauan manajemen risiko yang lebih luas.
Sehubungan dengan tugas audit individual dimana tujuan keseluruhannya adalah untuk memastikan risiko yang signifikan diidentifikasi dan dinilai dengan respons risiko yang sesuai dengan selera risiko organisasi. Pendekatan yang diambil oleh audit internal akan bergantung pada kematangan
manajemen risiko organisasi termasuk apakah risk appetite didefinisikan secara penuh, dikomunikasikan dan dipahami di semua tingkat organisasi. Jika ini benar dalam organisasi maka fokus perhatian audit internal harus dilakukan saat aplikasi dan update Risk appetite. Hal ini dapat dilakukan berdasarkan audit atau melalui tinjauan manajemen risiko perusahaan secara menyeluruh. Namun, beberapa organisasi baru memulai perjalanan manajemen risiko mereka dan karena alasan ini, tinjauan spesifik terhadap selera risiko, baik keseluruhan jaminan maupun konsultasi, mungkin merupakan hal yang tepat dan berguna untuk dilakukan. Dengan mempertimbangkan kematangan risiko organisasi, itulah tempat yang baik untuk memulai. a. Risk Appetite Terdapat banyak definisi dari “Risk appetite’, tetapi semua mengarah ke berapa banyak sebuah organisasi mau mengambil risiko. Risk appetite biasanya dibahas berkaitan dengan keputusan investasi. Investor mempertimbangkan Risk appetite-nya ketika memilih berbagai pilihan investasi yang memperlihatkan perimbangan antara imbal hasil dan risiko yang berbeda. Risk appetite sering didefinisikan sebagai dua suku kata yang bertujuan untuk mendeskripsikan di mana Dewan Direksi di Perusahaan menganggap dirinya berada pada suatu spectrum : Kesedian untuk mengambil atau menerima risiko ketidakpastian atau keengganan
18
untuk mengambil risiko. Lebih dalam, Risk appetite sering didefinisikan sebagai jumlah risiko yang mau diambil perusahaan untuk mencapai visi atau misinya. Secara awam menurut definisinya, Risk appetite yang jika diterjemahkan secara langsung berarti selera terhadap risiko. Risk appetite lebih bersifat strategis. Contoh, yang dimaksudkan sebagai Risk appetite perusahaan menetapkan faktor risiko pada bidang-bidang tertentu. Pernyataan mengenai Risk appetite bisa dinyatakan secara kuantitaif dan atau secara kualitatif. J David Dean dan Andrew E Griffin dalam bukunya What’s your Risk appetite menyebutkan Risk appetite adalah jumlah dari total risiko yang dihadap sebuah organisasi yang bisa diterima atau dipertahankan berdasarkan imblan hasilnya. Risk appetite juga mencerminkan strategi, strategi risiko dan harapan pemangku kepentingan. Ditetapkan dan disetujui oleh Dewan Direksi melalui diskusi dengan manajemen. Dalam upaya mencapai tujuan, suatu organisasi pasti menghadapi risiko setiap harinya. Dalam tanggung jawab sebagai pimpinan puncak organisasi. Board (di Indonesia sering dikenal dengan Dewan Direksi) harus berurusan dengan pertanyaan yang mendasar : risiko apa yang dapat diterima dalam mencapai tujuan organisasi tersebut ? kemudian, seberapa banyak dan seberapa besar risiko tersebut diterima ? Risiko yang dapat diterima, dalam dunia manajemen risiko lebih popular dikenal dengan istilah Risk appetite. Bukan sebuah istilah yang akrab di telinga masyarakat umum memang hal itulah yang melandasi mencoba memberikan perkenalan kepada khalayak tentang istilah ini. Apakah Risk appetite itu ? Menurut Oxford dictionaries, appetite memiliki arti A’ natural desire to satisfy a badily need, especially for food. Tidak jauh berbeda dari arti secara harfiah tersebut, dalam keilmuan Risk Management, istilah appetite diartikan sebagai selera board dalam memandang risiko organisasi. Menurut COSO ERM, Risk appetite adalah sejumlah risiko, pada tingkatan manajemen board, di mana sebuah organisasi bersedia menerima risiko tersebut. Sampai saat ini, masih banyak organisasi melihat Risk appetite sebagai subjek diskusi teoritis menarik tentang risiko dan manajemen risiko, tetapi tidak pernah secara efektif mengintegrasikan konsep tersebut dalam perencanaan strategis pengambilan keputusan seharihari, terlebih dalam penerapan manajemen risiko. Padahal, jika Risk appetite dikomunikasikan dengan baik, Risk appetite memberikan batas yang jelas tentang jumlah risiko suatu organisasi yang dapat diterima, sehingga mampu memberikan arahan yang jelas kepada manajemen selaku pelaksana. Sebuah organisasi dengan Risk appetite yang agresif atau tinggi maka 19
mungkin menetapkan tujuan yang agresif, sementara sebuah organisasi yang menghindari risiko, biasanya Risk appetite akan ditetapkan rendah dan mungkin menetapkan tujuan yang konservatif. Ketika dikomunikasikan dengan baik, Risk appetite dapat dijadikan sebagai panduan manajemen dalam menetapkan tujuan dan membuat keputusan sehingga organisasi lebih mungkin untuk mencapai tujuannya. Sebuah organisasi harus mempertimbangkan Risk appetite bersamaan dengan ditetapkannya tujuan organisasi dan taktik operasional untuk mencapai tujuan tersebut. Untuk menentukan Risk appetite, manajemen dengan persetujuan dari board, harus mengambil tiga langkah : 1. Mengembangkan Risk appetite Mengembangkan Risk appetite bukan berarti menghindarkan risiko sebagai bagian dari insilatif strategi oraganisasi. Justru sebaliknya, ketika organisasi menetapkan tujuan yang berbeda maka mereka akan mengembangkan Risk appetite yang berbeda pula, mengikuti tujuan yang ditetapkan. Sebagai catatan, manajemen dan board harus sangat paham trade-off dari Risk appetite yang ditetapkan, baik Risk appetite tinggi maupun rendah, sehingga tidak salah langkah. 2. Mengkomunikasikan Risk appetite Mengkomuniskasikan
Risk
appetite.
Ada
banyak
pendekatan
dalam
mengkomunikasikan Risk appetite. Salah satunya adalah menetapkan seluruh Risk appetite dalam bentuk pernyataan dari board yang dideskripsikan dengan jelas dan dapat dipahami oleh unit-unit di dalam organisasi guna mengelola risiko masingmasing unit yang sejalan dengan Risk appetite tersebut. 3. Memantau dan memperbarui Risk appetite. Memantau
dan
memperbaiki
Risk
appetite.
Ketika
Risk
appetite
telah
dikomunikasikan, maka manajemen dibantu oleh board perlu melihat lagi dan menguatkan lagi Risk appetite tersebut. Artinya, Risk appetite tidak boleh diperlakukan semena-mena, tidak hanya sebuah dokumen formalitas semata, ditetapkan lalu ditinggalkan sendirian begitu saja tanpa perhatian lebih lanjut. Kebalikannya, Risk appetite harus direviu dan disinergikan dengan kinerja operasional organisasi, terutama jika terjadi perubahan-perubahan yang besar di dalam organisasi. Kegiatan ini dapat juga dibantu oleh auditor internal. Sebagai tambahan, ketika melakukan pemantauan Risk appetite, harus difokuskan pada penciptaan kultur risk –aware dan konsisten 20
dengan tujuan organisasi. Terdapat lima karakteristik membuat pernyataan Risk appetite yang efektif, diantaranya :
Menyatu dengan tujuan organisasi
Adanya sarana untuk memonitor risiko
Ditetapkan dengan kecermatan atau ketelitian yang cukup
Dukungan SDM, proses dan infrastruktur untuk mencapai tujuan dengan risiko yang diterima
Menetapkan risiko toleransi yang diterima, dengan mengidentifikasi parameter dari risiko yang diterima.
Berbicara tentang Risk appetite, tidak lepas dari istilah yang tak kalah terkenalnya. Risk Tolerance berhubungan dengan Risk appetite namun terpisah oleh hal yang fundamental, risk tolerance mempresentasikan penerapan Risk appetite dari suatu tujuan, Risk appetite ditetapkan oleh board. Sedangkan risk tolerance lebih praktikal dan operasional. Risk tolerance harus diekspresikan dengan cara :
Dilakukan mapping dengan ukuran yang sama dengan ukuran kesuksesan yang digunakan oleh organisasi.
Diaplikasikan pada keempat kategori tujuan yaitu stratejik, operasional, pelaporan, dan kepatuhan.
Di implementasikan oleh personil operasional di dalam organisasi.
Risk tolerance adalah tingkatan yang diterima dari adanya variasi dalam pencapaian tujuan organisasi yang spesifik dan biasanya diukur dengan ukuran yang sama dengan ukuran yang digunakan untuk mengukur tujuan terkait. Risk tolerance dinyatakan secara kuantitatif yang bisa dipantau dan sering dinyatakan dalam outcome atau level risiko yang bisa diterima atau tidak bisa diterima. Risk tolerance berkaitan dengan tujuan perusahaan. Dalam menetapkan risk tolerance, manajemen mempertimbangkan pentingnya masing-masing tujuan yang terkait dan menyelaraskan risk tolerance dengan Risk appetite. Beroperasi di dalam risk tolerance membantu dalam memastikan bahwa perusahaan tetap berada di dalam Risk appetite dan dapat mencapai tujuanya. Risk appetite dan risk tolerance Kedua sektor ini memeliki karakteristik masing-masing, dikendalikan oleh semua peraturan dan keunikan pasar yang terkait, pengurus
21
perusahaan Indonesia dibutuhkan untuk dapat mengembangkan Risk appetite dan tolerance yang sesuai, menyeimbangkan antara pengembalian dan profil dari perusahaan. Risk appetite dan risk tolerance beserta pernyataan komitmen terhadap manajemen resiko diformulasikan sebagai kebijakan resiko dari perusahaan. Kita telah menyebutkan bahwa dalam praktek terbaik dalam suatu institusi, semua berjalan dari manajemen resiko yang jelas dan disetujui pada pimpinan. Oleh karena itu, penting bagi para pengurus perusahaan untuk menyetujui dengan jelas Risk appetite dari perusahaan dan bagaimana hal ini dapat berhubungan dengan batasan system dan ukuran resiko. Tanpa landasan seperti ini, akan sangat sukar bagi manager resiko di bagian bawah rantai manajemen untuk membuat keputusan kunci dalam bagaimana melakukan pendekatan dan pengukuran resiko. Contohnya, tanpa komunikasi jelas tentang konsep dari Risk appetite institusi, bagaimana manager resiko menjabarkan “kasus resiko terburuk’ dalam analisa scenario resiko ekstrim. Risk appetite adalah derajat resiko, dalam level yang luas, sebuah perusahaan atau badan bersedia untuk menerima dalam mencapai tujuan. Sementara risk tolerance adalah tingkat penerimaan dari variasi relative untuk mencapai tujuan. Dalam menentukan toleransi resiko yang spesifik, manajemen mempertimbangkan risk tolerance dengan Risk appetite, dan pada gilirannya, menyediakan tingkat kenyamanan yang lebih tinggi bahwa perusahaan tersebut akan mencapai tujuan-tujuannya. Dewan Direktur mempertimbangkan Risk appetite dari perusahaan dengan pertama-tama mengevaluasi alternatif-alternatif strategis, kemudian dalam menetapkan tujuan disejajarkan dengan strategi yang dipilih dan dalam mengembangkan mekanisme untuk mengatur resiko terkait. Dengan demikian, jelas bahwa Risk appetite berhubungan langsung dengan strategi perusahaan. Hal ini dipertimbangkan dalam penetapan strategi, dimana hasil yang diharapkan dari strategi seharusnya sejajar dengan Risk appetite dari perusahaan. Strategi berbeda akan mengakibatkan resiko yang berbeda. 2.6 KEBIJAKAN Di beberapa organisasi, sebagian dari laporan dibuat untuk tim-tim utama sebagai tanggapan terhadap kecenderungan-program-program CRSA, sering kali didukung oleh penilaian dari auditor atau konsultan eksternal. Tim Pembicaraan, berbicara tentang masalah dan bagaimana hal itu dikelola dalam pakaian mereka dan keluar dari daftar masalah yang diajukan dan poin yang diberikan kepada manajer yang ditunjuk. Latihan tahunan ini menawarkan cukup untuk memuaskan auditor dan seseorang dalam organisasi yang diminta mendaftar register risiko ke dalam basis data dan akhirn ya pelaporan keuangan untuk manajemen puncak dan dewan direksi. Model yang lebih baik menggunakan kunci untuk 22
memperbesar, lebih tinggi, mungkin kemudian berubah respon cepat dari dewan yang ingin tahu tentang cara yang sekarang diambil untuk memperbaiki kunci. Dewan kemudian melaporkan bahwa mereka telah menyetujui sistem kontrol internal, sebagian melalui proses penggunaan Pengaturan yang cukup khas ini memiliki jumlah kekurangan: • Banyak staf tidak tahu tentang mereka yang terlibat dalam lokakarya dan hanya diundang sebagai ahli untuk auditor. • Banyak manajer enggan menghabiskan waktu di bengkel karena mereka sibuk mengerjakan 'pekerjaan nyata'. • Banyak yang diatur di luar penyelarasan strategis, restrukturisasi dan perubahan penting yang merupakan fitur dari sebagian besar organisasi besar. • • • • • •
• •
•
Banyak yang dapat dilihat sebagai perangkat yang bisa mendapatkan lebih banyak pekerjaan dari staf yang lebih sedikit. Banyak dari program yang dibuat menghasilkan informasi yang tidak mungkin untuk dikoordinasikan atau dibuat satu. Banyak poin yang keluar dari pelatihan digantikan oleh acara-acara berikutnya dan perkembangan baru. Sebagian besar pengembangan dikembangkan di luar sistem manajemen perbaikan dan ada sedikit insentif untuk mengambil tugas tambahan yang tidak perlu KPI. Banyak yang melihat kontrol diri hanya terkait dengan operasi keuangan. Banyak peserta yang telah melakukan pembicaraan mengenai bidang kesehatan dan keselamatan, keamanan, manajemen proyek, keselamatan hukum, dan bidang bisnis lainnya. Seringkali fasilitator meluncurkan Pelatihan ini sebagai latihan terpisah tanpa membantah dengan Arah strategis organisasi. Banyak peserta yang memikirkan tentang partisipasi yang berlebihan dan telah menghabiskan banyak waktu dalam acara, pertemuan, pertemuan, program perubahan, pelatihan anggaran, pelatihan mengumpulkan, proyek e-bisnis dan sebagainya. Banyak peserta telah meningkatkan budaya di mana-ide bagus dari staf tidak pernah pergi ke mana pun dan tingkat motivasi yang cukup rendah.
Model dalam tiga faktor baru (berdasarkan kebijakan risiko), yaitu: dewan sponsor, pembelian orang-orang, dan seorang kepala risiko (CRO). Di bawah ini: Sponsor Dewan Jika tidak ada anggota dewan yang mengendalikan proses manajemen risiko, hal itu akan berisiko gagal. Dewan membuat laporan tentang sistem pengendalian internal dalam
23
laporan tahunan dan dewan yang melaporkan sistem ini telah ditinjau. Laporan King (dari Afrika Selatan) memperjelas hal ini: Dewan bertanggung jawab atas keseluruhan proses manajemen risiko, dan juga untuk membentuk pendapatnya sendiri tentang efektivitas proses. Manajemen bertanggung jawab kepada dewan untuk merancang, menerapkan, dan memantau proses manajemen risiko dan mengintegrasikannya ke dalam kegiatan sehari-hari perusahaan. (paragraf 3.1.1) Dewan harus menetapkan kebijakan strategi risiko sebagai penghubung dengan direktur eksekutif dan manajemen senior.Kebijakan ini harus dikomunikasikan dengan jelas kepada semua karyawan untuk memastikan bahwa strategi risiko dimasukkan ke dalam bahasa dan budaya perusahaan. (para. 3.1.1) People Buy In Masalah lain dengan banyak sistem manajemen risiko adalah bahwa mereka tidak berarti apa pun untuk orang-orang di bawah tingkat manajemen menengah. Mereka dipandang sebagai inisiatif manajemen lain yang 'dilakukan' untuk karyawan bersama dengan banyak alat dan teknik lain untuk meningkatkan kinerja dan menurunkan biaya. Paling buruk, karyawan terjepit di antara kinerja dan biaya dalam upaya untuk bekerja lebih keras untuk imbalan yang kurang atau sama. Dalam satu kebijakan manajemen risiko, organisasi telah menyiapkan diagram terperinci yang mencakup peran, tanggung jawab, dan hubungan dalam sistem manajemen risiko dengan komite, dewan, manajer risiko, fasilitator, auditor, dan analisis pemangku kepentingan. Di bagian bawah diagram adalah kata 'individu' tanpa detail lebih lanjut. Kesannya adalah bahwa proses manajemen risiko adalah sesuatu yang terjadi pada akhirnya . Individu benar-benar fondasi manajemen risiko, karena apa yang dilakukan orang dan bagaimana mereka berperilaku menentukan apakah suatu organisasi berhasil atau gagal. Akan lebih tepat untuk memulai dengan individu dan bekerja melalui bagaimana mereka masuk ke dalam proses manajemen risiko, atau lebih baik lagi, bagaimana manajemen risiko dapat menjadi bagian dari cara mereka bekerja di masa depan. Poin ini tidak hilang pada orang-orang yang menyiapkan panduan untuk manajemen risiko dan beberapa ekstrak menunjukkan pentingnya 'people buy-in' untuk manajemen risiko yang sukses. Kepala Risk Officer Orang ini secara proaktif mengarahkan upaya dan menyiapkan sistem yang menanamkan kebijakan risiko ke dalam kegiatan sehari-hari. Versi iklan pekerjaan untuk manajer risiko bisnis menggambarkan pentingnya peran baru: Melaporkan langsung ke Komite Audit dan Keuangan Grup, peran ini merupakan peluang langka untuk bergabung dengan perusahaan yang menarik dan melanjutkan pengembangan kerangka kerja Manajemen Risiko secara keseluruhan untuk bisnis secara global. Keterampilan meliputi: 24
• • • • •
Pengetahuan yang baik tentang teknik manajemen risiko, tata kelola perusahaan, dan jaminan audit. Keterampilan komunikasi dan presentasi yang sangat berkembang. Kemampuan untuk mengajukan pertanyaan yang tepat dan tetap mandiri. Kemampuan untuk membuat keputusan praktis yang tepat. Pendekatan yang berdedikasi, bersemangat, dan antusias, dan menjadi pemain tim yang sejati.
Para pendukung peran chief risk officer (CRO), seperti Tim Leech, mengakui perlunya seseorang untuk menyatukan teka-teki risiko dan memahami semuanya untuk dewan dan manajemen senior. Mereka berargumen bahwa kita perlu meluruskan laporan silo tentang risiko yang merupakan fitur dari sebagian besar organisasi besar. Yang lain, seperti Terry Cunnington, telah menggambarkan pengaturan di mana layanan jaminan risiko menyediakan manajemen risiko perusahaan, audit internal dan konsultasi risiko dari satu tim terintegrasi. Perlu ada seorang ahli internal yang dapat mengarahkan kebijakan risiko dan membuatnya berhasil dalam praktik. Peran mereka dapat meliputi: • Menerjemahkan visi dewan tentang manajemen risiko. • Membantu mengembangkan dan menerapkan kebijakan risiko perusahaan. • Memastikan pembelian yang disebutkan sebelumnya. • Memberikan pelatihan dan acara-acara penyadaran jika perlu. • • • •
• •
•
•
Membantu menanggapi persyaratan dari regulator yang berdampak pada sistem manajemen risiko. Membangun pendekatan strategis untuk manajemen risiko di seluruh organisasi dengan program, pendekatan yang sesuai, alat dan pengaturan pelaporan. Memastikan bahwa bisnis merespons dengan baik terhadap perubahan dan tantangan yang menciptakan risiko baru secara berkelanjutan. Menetapkan sistem pelaporan risiko dari manajer dalam organisasi yang dapat digunakan untuk memberikan jaminan yang mendukung tinjauan dewan terhadap pengendalian internal. Membantu memfasilitasi latihan dan program manajemen risiko. Menjadi pusat keunggulan dalam manajemen risiko dan terus mengembangkan infrastruktur dukungan on-line, berdasarkan teknologi terbaru yang dapat digunakan oleh semua bagian organisasi. Membantu mengoordinasikan kegiatan manajemen risiko seperti kesehatan dan keselamatan, keamanan, asuransi, kualitas produk, masalah lingkungan, pemulihan bencana, tim dan proyek kepatuhan, dan pengadaan. Memberikan saran tentang isu-isu sensitif seperti persepsi toleransi risiko dan konsistensi pesan di berbagai bagian organisasi. 25
•
Berusaha menerapkan manajemen risiko di seluruh perusahaan sebagai bagian terintegrasi dari proses yang ada seperti pengambilan keputusan, akuntabilitas, dan manajemen kinerja.
2.7 MANAJEMEN RISIKO SELURUH PERUSAHAAN Manajemen risiko di seluruh perusahaan atau manajemen risiko perusahaan (ERM) hanyalah perpanjangan dari manajemen risiko di seluruh organisasi secara terpadu. Ini berbeda dengan pendekatan lama di mana spesialis dari proses khusus seperti perencanaan kontinjensi dinilai risiko tetapi hanya pada tingkat lokal untuk proses tersebut. Sebelum kita mempelajari ERM lebih lanjut, ada poin terkait untuk mengklarifikasi dengan model risiko yang telah kita gunakan sepanjang bab ini. Di kotak tengah kami telah menambahkan strategi dan KPI ke faktor asli, tujuan . Kami mulai dengan tujuan sebagai pendorong manajemen risiko dan sudut pandang ini .Apa yang sedang kami upayakan adalah agar manajemen risiko menjadi bagian dari proses perencanaan strategis dan karenanya terintegrasi dalam sistem pengukuran kinerja. GAMBAR 3.12 Tahapan manajemen risiko. Model ini didasarkan pada siklus manajemen sederhana dengan misi yang diterjemahkan ke dalam strategi, yang ketika diimplementasikan berkaitan dengan ukuran kinerja yang digunakan untuk memantau kemajuan strategi yang diadopsi dan tindakan yang diambil untuk meninjau dan menyesuaikan. T di sini adalah lima fase pengembangan untuk penilaian risiko dalam siklus hanya sebagai dijelaskan. Masing-masing dari lima fase dicatat sebagai berikut: 1. Tidak ada penilaian risiko yang dilakukan dan siklus manajemen strategis (empat kotak putih pada Gambar 3.12) tidak memerlukan akses identifikasi formal dan penilaian risiko. Ada sangat sedikit organisasi yang masih pada tahap ini.Kebijakan tersebut dapat berjalan di sepanjang baris berikut: 'Lagi pula, banyak spesialis kami yang sudah melakukan penilaian risiko sendiri!' 2. Di sini risiko sebagai penilaian adalah peristiwa tahunan yang merupakan latihan terpisah yang dihilangkan dari strategi perusahaan. Ini dapat dilakukan sekali dan kemudian dibiarkan, atau dilakukan setiap tahun, terutama untuk persyaratan pengungkapan di mana organisasi melaporkan bahwa ia memiliki sistem manajemen risiko . Sekali lagi, ada sebagian kecil organisasi besar yang mengambil pandangan mekanis terhadap risiko. Kebijakan tersebut dapat berjalan di sepanjang baris berikut: 'penilaian risiko adalah latihan tahunan yang dilaporkan kembali ke dewan!' 3. Fase tiga membuat penilaian risiko di dalam siklus manajemen strategis. Sehingga ketika strategi ditinjau kembali selama tahun berjalan atau setiap kali ada perubahan besar dalam arah, penilaian risiko utama juga ditangani. Banyak organisasi berada pada fase ini, di mana risiko sebagai penilaian adalah aspek terpisah tetapi komponen dari strategi 26
pengembangan. Kebijakan tersebut dapat berjalan di sepanjang baris berikut: 'penilaian risiko dibangun ke dalam analisis strategis kami, dan seiring perubahan strategi, demikian pula respons manajemen risiko!' 4. Fase ini menempatkan penilaian risiko tepat di dalam hati perusahaan. Ini menggerakkan cara tujuan ditetapkan, kerangka kerja strategis, masalah kinerja dan pemantauan dan pengambilan keputusan. Ini melibatkan perubahan budaya menuju penanganan risiko secara formal sebagai bagian dari kehidupan bisnis. Di sini, semua keputusan utama, program perubahan, dan proyek-proyek pendukung serta pergeseran sumber daya berasal dari pertimbangan risiko sisi atas dan bawah.Organisasi yang mengklaim sistem ERM sudah ada akan tiba pada fase empat. Kebijakan tersebut dapat berjalan di sepanjang baris berikut: 'penilaian risiko adalah inti dari kegiatan kami dan mendorong penetapan tujuan, strategi dan ulasan kinerja!' 5. Fase terakhir menghilangkan istilah 'risiko' dan hilang sama sekali. Penilaian risiko begitu terbenam ke dalam budaya organisasi sehingga menjadi bagian implisit dari sistem nilai perusahaan dan pribadi untuk semua orang yang terlibat dalam organisasi. Tidak perlu lagi membicarakan manajemen risiko dan daftar risiko karena hal itu terjadi secara implisit. Th e kebijakan dapat berjalan sepanjang baris berikut: 'kita tidak lagi menyebutnya risiko manajemen, nilai-nilai kita hanya mengatakan bahwa orang-orang kami merawat bisnis atas nama para pemangku kepentingan kami!' Fitur utama dari model di atas adalah bahwa beberapa organisasi dalam bisnis berisiko tinggi seperti derivatif sudah pada tahap lima. Tetapi untuk tujuan pelaporan tata kelola perusahaan mereka harus memformalkan pengaturan mereka dengan merancang sistem manajemen risiko, menunjukkan bahwa itu bekerja dengan baik dan kemudian secara perlahan menempatkannya di dalam infrastruktur, seperti mesin kapal, secara perlahan berdenyut-denyut yang tak terlihat di latar belakang saat mendorong kirim ke depan. Salah satu perkembangan tengara yang mengkonsolidasikan pemikiran saat ini pada ERM adalah ERM COSO. COSO adalah singkatan dari Committee of Sponsoring or ganizations. COSO terdiri dari lima asosiasi profesional utama di AS dan dibentuk pada tahun 1985 untuk mensponsori Komisi Nasional Pelaporan Keuangan Fraudulent. Model COSO ERM diluncurkan pada September 2004 dan terdiri dari tiga dimensi. Yang pertama adalah empat kategori tujuan manajemen: Sebuah. Strategis. b. Operasi. c. Pelaporan. d. Pemenuhan. Tujuan-tujuan ini selaras dengan delapan komponen utama ERM: 1. Lingkungan internal. 27
2. Pengaturan obyektif. 3. Identifikasi acara. 4. Penilaian risiko. 5. Respon risiko. 6. Mengontrol kegiatan. 7. Informasi dan komunikasi. 8. Pemantauan. Dan delapan komponen ini, dalam mengejar empat tujuan utama, dijalankan di seluruh organisasi di berbagai tingkatan, yang digambarkan sebagai: • Tingkat entitas. • Divisi. • Unit bisnis. • Anak Perusahaan. COSO telah mengembangkan definisi ERM sendiri: Manajemen risiko perusahaan adalah suatu proses, yang dilakukan oleh dewan direksi, manajemen, dan personel lainnya, yang diterapkan dalam penetapan strategi dan di seluruh perusahaan, yang dirancang untuk mengidentifikasi peristiwa potensial yang dapat memengaruhi entitas, dan mengelola risiko agar sesuai dengan selera risikonya, untuk memberikan jaminan yang wajar mengenai pencapaian tujuan entitas. Dalam merangkum COSO ERM, penting untuk mengingat konsep di balik kerangka kerja, di dalamnya: • Merupakan suatu proses. • Dipengaruhi oleh orang-orang. • Diterapkan dalam pengaturan strategi. • Diterapkan di seluruh perusahaan. • Dirancang untuk mengidentifikasi peristiwa potensial. • Mengelola risiko sehingga masuk dalam selera risiko. • Hanya bisa memberikan jaminan yang masuk akal. • Mendukung pencapaian tujuan utama. N ote yang COSO ERM membuat referensi ke peran audit internal dan menunjukkan bahwa: 'auditor internal memainkan peran kunci dalam mengevaluasi efektivitas-dan merekomendasikan perbaikan-perusahaan manajemen risiko'.
28
Aspek akhir ERM berkaitan dengan standar risiko. Standar Manajemen Risiko Australia / Selandia Baru diterbitkan kembali pada tahun 2004. Standar ini dibangun di sekitar tujuh elemen utama: • Berkomunikasi dan berkonsultasi Berkomunikasi dan berkonsultasi dengan pemangku kepentingan internal dan eksternal yang sesuai pada setiap tahap proses manajemen risiko dan mengenai proses secara keseluruhan. • Tetapkan konteks. Tetapkan konteks manajemen eksternal, internal, dan risiko di mana proses selanjutnya akan berlangsung. Kriteria terhadap risiko yang akan dievaluasi harus ditetapkan dan struktur analisis ditetapkan. • Identifikasi risiko. Identifikasi di mana, kapan, mengapa dan bagaimana peristiwa dapat mencegah, menurunkan keterlambatan atau meningkatkan pencapaian tujuan. • Menganalisis risiko Mengidentifikasi dan mengevaluasi kontrol yang ada. Tentukan konsekuensi dan kemungkinan dan karenanya tingkat risiko. Analisis ini harus mempertimbangkan berbagai konsekuensi potensial dan bagaimana ini dapat terjadi. • Mengevaluasi risiko Bandingkan perkiraan tingkat risiko terhadap kriteria yang telah ditetapkan sebelumnya dan pertimbangkan keseimbangan antara manfaat potensial dan hasil yang merugikan. Hal ini memungkinkan pengambilan keputusan tentang tingkat dan sifat perawatan yang diperlukan dan tentang prioritas . • Mengobati risiko. Mengembangkan dan menerapkan strategi dan rencana aksi hemat biaya khusus untuk meningkatkan potensi manfaat dan mengurangi biaya potensial. • Memantau dan meninjau Sangatlah penting untuk memantau efektivitas semua langkah proses manajemen risiko . Ini penting untuk perbaikan berkelanjutan. Risiko dan efektivitas tindakan pengobatan perlu dipantau untuk memastikan perubahan keadaan tidak mengubah prioritas. Yang cukup menarik, Stan dard Manajemen Risiko Australia / Selandia Baru dibangun dalam konteks tata kelola perusahaan sebagaimana dimaksud dalam pedoman yang dikeluarkan oleh Bursa Efek Australia (lihat bab dua). Panduan Australia / Selandia Baru menyediakan dokumen 43 halaman untuk penggunaan manajemen risiko dalam proses audit internal , dan ini menegaskan bahwa: Audit internal adalah fungsi organisasi, yang dibentuk oleh manajemen puncak untuk memantau manajemen risiko dan proses kontrol organisasi. Dengan mengkaji sistem kontrol kritis dan proses manajemen risiko , auditor internal dapat memberikan bantuan penting bagi manajemen organisasi. Inggris tidak lambat untuk mempersiapkan standar risiko dan Institut Manajemen Risiko, Asosiasi Asuransi dan Manajer Risiko dan Forum Nasional untuk atau Manajer Risiko di Sektor Publik (secara kolektif dikenal sebagai AIRMIC, ALARM, IRM) menyiapkan 29
manajemen risiko standar pada tahun 2002. Mereka merasa bahwa beberapa bentuk standar diperlukan untuk memastikan bahwa ada kesepakatan: • terminologi yang terkait dengan kata-kata yang digunakan; • prosedur yang dengannya manajemen risiko dapat dilakukan; • struktur organisasi untuk manajemen risiko; dan • tujuan untuk manajemen risiko. Standar Manajemen Risiko menetapkan proses yang terdiri dari: • Tujuan strategis organisasi. • Penilaian risiko : —Risiko analisis — identifikasi risiko, deskripsi dan estimasi. —Evaluasi cepat. • Pelaporan risiko. • Keputusan. • Perawatan risiko. • Pelaporan risiko residual. • Pemantauan. Ini diatur dengan modifikasi dan proses audit yang berjalan di masing-masing elemen ini. Bahkan ada bagian yang didedikasikan untuk peran audit internal yang menunjukkan bahwa ini dapat mencakup beberapa atau semua hal berikut: • Memfokuskan audit internal pada risiko signifikan, seperti yang diidentifikasi oleh manajemen, dan mengaudit proses manajemen risiko di seluruh organisasi. • Memberikan jaminan pada manajemen risiko. • Memberikan dukungan dan keterlibatan aktif dalam proses manajemen risiko. • identifikasi risiko Faci litating / penilaian dan mendidik staf lini dalam manajemen risiko dan pengendalian internal. • Mengkoordinasikan pelaporan risiko kepada dewan, komite audit, dll. Standar ini selanjutnya menyarankan bahwa dalam mendefinisikan peran mereka, audit internal harus memastikan bahwa persyaratan profesional untuk independensi dan obyektivitas tidak dilanggar. Mengintegrasikan Risiko Di masa lalu, risiko dianggap terpisah tetapi ERM berupaya mempertimbangkan risiko di seluruh organisasi bersama dengan penentuan bagaimana mereka cocok bersama. Gambaran besar ini benar-benar menggunakan seluruh organisasi sebagai kanvas untuk manajemen risiko. Sesuai dengan analogi ini, kami mungkin menyarankan bahwa kanvas dicat Merah,
30
Kuning dan Hijau untuk daerah berisiko tinggi, sedang dan rendah, yang dapat ditinjau pada tingkat papan seperti pada Gambar 3.13. GAMBAR 3.13 Penilaian risiko. Setiap bagian dari organisasi akan melakukan penilaian risiko dan menyusun daftar risiko yang berisi strategi manajemen risiko yang disepakati. Laporan dari setiap bagian akan dikumpulkan untuk membentuk versi ringkasan yang memberikan aktivitas, peringkat risiko, kode (Merah , Kuning, Hijau), pemilik dan tindakan yang diperlukan, menggunakan alat pelaporan yang sesuai pada Tabel 3.1. Kebijakan manajemen risiko harus sesuai dengan kebijakan manajemen kinerja dan setiap status risiko harus mendorong berbagai jenis tindakan sebagai respons terhadap paparan risiko yang diidentifikasi bersama, misalnya, baris berikut: Berisiko tinggi laporan tingkat dewan paparan-mendesak dan pemantauan. Paparan risiko besar — keterlibatan direktur — tinjauan cepat. Paparan risiko yang signifikan — intervensi manajer dan briefing ringkasan kepada direktur. Paparan risiko sedang — praktik manajemen dasar diterapkan. Paparan risiko rendah — tidak ada tindakan khusus. Sepele — tinjau apakah mampu menghapus sumber daya dari pemantauan. Dengan cara ini dewan dan manajemen puncak dapat memiliki pandangan tentang risiko lintas organisasi dan bagaimana penanganannya. Lihat bagian di atas pada risk appetite karena ini akan berdampak pada cara risiko ditinjau dan diprioritaskan. Mungkin diperlukan prosedur validasi untuk memastikan bahwa setiap daftar risiko valid dan ini adalah sesuatu yang CRO akan atasi. Perhatikan bahwa ada beberapa auditor internal yang menganggap validasi praktik manajemen risiko ini sebagai cara yang berguna untuk menerapkan sumber daya audit. Kategori Risiko Setiap organisasi akan memiliki interpretasi risiko sendiri. Dan interpretasi ini akan sesuai dengan pasar, budaya dan misi organisasi yang bersangkutan. Untuk membantu menyelaraskan proses manajemen risiko dengan sistem dan prosedur organisasi, banyak organisasi menangkap risiko secara terstruktur, melalui serangkaian kategori yang sesuai dengan mereka. Kami dapat meninjau beberapa panduan risiko yang dipublikasikan terkenal dan mempertimbangkan petunjuk yang dikandungnya pada kategorisasi. Laporan King menyarankan beberapa judul umum sebagai awal untuk mengatasi paparan perusahaan terhadap setidaknya hal-hal berikut : risiko fisik dan operasional, risiko sumber daya manusia, kelangsungan bisnis dan pemulihan bencana, risiko kredit dan pasar serta risiko kepatuhan. Panduan Perbendaharaan Pemerintah Inggris untuk pengelolaan risiko mengisolasi tiga kategori risiko utama: 31
• Eksternal Timbul dari lingkungan eksternal, tidak sepenuhnya dalam kendali organisasi, tetapi di mana tindakan dapat diambil untuk mengurangi risiko. Berisi risiko politik, ekonomi, sosial-budaya, teknologi, hukum / peraturan dan lingkungan. • Op erational Berkaitan dengan operasi-baik pengiriman saat ini sudah ada dan membangun dan memelihara kapasitas dan kapabilitas. Terdiri dari pengiriman, kegagalan layanan / produk, pengiriman proyek, kapasitas dan kemampuan, sumber daya, hubungan, operasi, reputasi, kinerja dan kemampuan manajemen risiko, tata kelola, pemindaian, ketahanan dan keamanan. • Ubah Risiko yang diciptakan oleh keputusan untuk mengejar upaya baru di luar kemampuan saat ini. Terdiri dari target, program perubahan, proyek baru dan kebijakan baru. 3.8 Kontrol Penilaian Diri Keberhasilan manajemen risiko di seluruh perusahaan tergantung pada proses terpadu untuk memastikan bahwa risiko dinilai dan dikelola di seluruh organisasi dengan cara yang dinamis dan bermakna. Ada banyak teknik untuk menjangkau semua bagian organisasi sehingga penilaian diri oleh staf garis depan menjadi norma. Beberapa orang berpendapat bahwa penyebaran kuesioner yang dilakukan oleh karyawan kunci sebagai cara untuk menilai apakah ada operasi yang berisiko dan apakah pengendalian menangani bidang-bidang risiko ini dengan benar. Teknik lain adalah penggunaan wawancara dengan manajer di unit bisnis tertentu untuk mengukur apakah area tersebut terkendali atau tidak. Pendekatan lebih lanjut adalah dengan menugaskan peninjauan komprehensif risiko di bagian profil tinggi organisasi biasanya dengan menggunakan konsultan eksternal, yang akan melaporkan kembali masalah yang ditemukan. Ketiga teknik ini cukup mudah karena melibatkan proses yang ditumpangkan pada operasi bisnis normal dan layanan pendukung. Sayangnya mereka memperkuat pendekatan ad-hoc silo dan muncul sebagai latihan satu kali yang dilakukan oleh tim kantor pusat tujuan khusus. Pendekatan yang lebih populer adalah penggunaan lokakarya penilaian diri kontrol, atau apa yang oleh beberapa orang disebut lokakarya penilaian diri dan risiko (CRSA). Forum CRSA Inggris terdiri dari jaringan praktisi CSRA dan orang-orang yang tertarik yang telah membentuk kelompok yang bertemu setiap kuartal. Misi mereka adalah: 'Berbagi, maju dan mempromosikan praktik terbaik dalam penilaian diri atas kontrol dan risiko di semua organisasi.' Pada setiap pertemuan biasanya ada beberapa presentasi oleh anggota kelompok tentang cara CRSA dioperasikan dalam organisasi yang bersangkutan. Para pendukung CRSA yakin bahwa satu-satunya cara untuk memasukkanmanajemen risiko ke dalam hati dan pikiran organisasi adalah untuk melibatkan semua orang secara partisipatif. CRSA dapat disebut banyak hal berbeda dalam organisasi yang berbeda. Di beberapa perusahaan, istilah risiko dan kontrol tidak menginspirasi orang dan istilah-istilah lain yang lebih 32
bersahabat diterapkan pada lokakarya. Perhatikan bahwa teknik ini dibahas dalam Bab 7 tentang pendekatan audit. Di sini kami hanya menyebutkan prinsip-prinsip utama yang berkaitan dengan CRSA sebagai bagian dari sistem manajemen risiko. Sebuah artikel oleh Paul Makosz di C SA Sentinel menguraikan pengembangan pendekatan CRSA: Ketika saya berada di Gulf Canada Resources, kami mulai menyadari bahwa inti dari banyak masalah dalam budaya perusahaan yang dapat secara langsung memengaruhi garis bawah; tetapi kami sayangnya tidak memiliki alat untuk membantu kami dalam mengidentifikasi risiko besar sebelum menjadi masalah. Bruce McCuaig, pendahulu saya di Gulf Canada Resources, berasal dari gagasan CSA. Dia telah mempelajari masalah terkait Watergate di perusahaan induk, Gulf Corp. Pada saat yang sama, penipuan manajemen seri telah ditemukan di anak perusahaan Gulf Canada, meskipun auditor internal baru saja ada di sana. Bruce terus bertanya, "Apa gunanya mengaudit hal-hal kecil jika budaya itu salah arah?" Gulf melewati begitu saya melakukan latihan produktivitas tim pada saat itu, jadi Bruce ingin mengajar tim tentang pengendalian internal dan meminta mereka menilai sendiri posisi mereka. Sisanya adalah sejarah. Bruce dan saya menulis tentang hal itu di 'Ripe for Renaissance,' sebuah artikel yang muncul di Auditor Internal edisi Desember 1990 . Poin penting yang perlu diperhatikan dalam bagian ini adalah kebutuhan untuk memadukan teknik CRSA ke dalam proses manajemen risiko secara umum. Pendekatan bertahap dapat diterapkan untuk tujuan ini sebagaimana diilustrasikan dalam Gambar 3.14. GAMBAR 3.14 Pendekatan risiko secara bertahap. Tahap pertama — minat umum: membangun minat dan memusatkannya pada dorongan proorganisasi untuk membuat tim spesialis yang berbeda berbicara tentang pendekatan mereka terhadap manajemen risiko. Tahap dua — kumpulan penelitian: kembangkan basis data pedoman praktik terbaik dan cari tahu apa yang dilakukan orang lain di sektor bisnis. Buat daftar periksa hal-hal yang harus ditangani dalam merumuskan dan menerapkan kebijakan risiko perusahaan. Tahap tiga — orang yang bertanggung jawab: menentukan peran dan tanggung jawab masingmasing , khususnya seorang pejuang untuk tujuan yang dapat menetapkan arah bagi organisasi. Tahap empat —penting minat manajemen: dapatkan sponsor di dewan yang dapat memastikan manajemen risiko berada di agenda perusahaan. Salah satu caranya adalah dengan meminta dewan (dan komite audit) untuk melakukan penilaian mereka sendiri untuk sampai pada sepuluh risiko teratas mereka untuk memulai proses. Tahap lima - seminar kesadaran: yang paling penting adalah menyatukan para pemain kunci di seluruh organisasi dalam serangkaian acara untuk memberikan pemahaman, 33
mempromosikan penerimaan dan memastikan setiap manajer menerima bahwa mereka memiliki tanggung jawab yang jelas dan langsung untuk mengelola risiko di area mereka. tanggung jawab. Tahap enam — pembangunan infrastruktur: sebagian besar dari ini akan berkisar pada membangun sistem informasi yang sesuai yang mengkategorikan dan menangkap kegiatan risiko ke dalam format pelaporan jaminan formal. Juga, kegiatan risiko harus diputuskan dan apakah ini akan terjadi di seluruh organisasi atau hanya di daerah profil tinggi. Tahap ketujuh — beresiko : di sini organisasi perlu melakukan survei dan / atau lokakarya yang difasilitasi dengan cara yang paling sesuai dengan struktur dan budaya bisnis. Tahap delapan - terintegrasi: banyak dari ini akan didasarkan pada pendefinisian peran dan kompetensi petugas risiko atau yang setara dan memastikan bahwa proses penilaian risiko ditinjau kembali dan diperbarui secara berkala dan kapan pun perubahan berdampak pada berbagai profil risiko. Masalah yang dihadapi beberapa organisasi adalah bahwa mereka memulai proses delapan tahap tanpa pemahaman yang jelas tentang pengembangan dan target tahap. Akibatnya, banyak yang terjebak pada tahap awal dan menulis semuanya sebagai awal yang salah. CRSA hanya benar-benar bekerja di mana organisasi telah tiba pada tahap tujuh. 3.9 Manajemen Risiko Tertanam Kami sekarang tiba di puncak praktik manajemen risiko terbaik. 'Manajemen risiko tertanam' yang banyak dicari. Sekali lagi, seperti banyak teori manajemen risiko, kedengarannya sederhana sebagai ideal dan Turnbull termasuk di antara kriteria untuk menilai kerangka kerja pengendalian internasional (pengaturan pemantauan) pertanyaan berikut: Apakah ada proses yang sedang berlangsung yang tertanam dalam keseluruhan operasi bisnis perusahaan, dan ditangani oleh manajemen senior, yang memantau penerapan kebijakan, proses, dan kegiatan yang efektif terkait dengan manajemen risiko pengendalian internal? ( Proses tersebut dapat mencakup kontrol penilaian sendiri, konfirmasi oleh personel kepatuhan dengan kebijakan dan kode etik, tinjauan audit internal atau ulasan manajemen lainnya.) Sebagian besar standar risiko, panduan, alat bantu, dan komentar mengandung ungkapan (atau istilah yang sama) yang melekat pada manajemen risiko . Gordon Hill memperingatkan tentang mencoba melakukan terlalu banyak terlalu cepat: Integrasi dengan proses yang ada adalah sama pentingnya tetapi menghadirkan tantangan yang berbeda murni karena proses tersebut akan operasional. Anda bisa memulai program meninjau semua proses untuk risiko. Namun, saya akan menjaga terhadap pendekatan ini berdasarkan 'jika tidak rusak jangan memperbaikinya'. Tunggu sampai ada masalah dalam proses yang menyarankan perubahan diperlukan; ini adalah waktu untuk memperkenalkan esai risiko dan 34
ini akan memastikan nilai terbesar diberikan. Jika manfaat diberikan maka staf akan memahami nilai intervensi risiko . . . Menyerang semuanya sekaligus bukanlah solusi praktis. Organisasi membutuhkan cara untuk memutuskan di mana harus intrat dan kapan. Menggunakan daftar risiko yang diprioritaskan dengan benar untuk fokus pada masalah terbesar adalah cara yang paling efektif untuk upaya penargetan. Dengan cara ini organisasi akan mencapai pengembalian tercepat dan komitmen terbesar dan pada akhirnya akan mendapatkan peta untuk budaya risiko yang dikelola. Sementara itu kita dapat menyelesaikan model risiko kita dengan memasukkan komponen yang tersisa dari manajemen risiko yang efektif, dengan pandangan untuk mengatasi kebutuhan untuk mendapatkan risiko dengan kuat di dalam proses organisasi. Dengan menambahkan beberapa fakta yang terdiri dari tiga kotak hitam (ERM / CRSA, SIC dan Stakeholder) dan empat kotak abu-abu (waktu, biaya, nilai, embed) kita dapat mencapai model manajemen risiko efektif yang dikembangkan sepenuhnya dalam Gambar. Dimulai dengan kotak hitam terlebih dahulu, tambahan ini dijelaskan di bawah ini: ERM / CRSA Sebagaimana dibahas di atas, harus ada proses yang memastikan risiko dipahami, diidentifikasi dan dikelola di tingkat akar rumput secara ideal melalui bentuk program penilaian diri risiko kontrol. Sementara itu, harus ada proses lebih lanjut untuk memastikan penilaian risiko dilakukan di seluruh bagian kunci, jika tidak semua, dari organisasi dan bahwa itu didorong dari atas dan mengalir ke bawah, melintasi dan di semua tingkatan manajemen. Chief risk officer (CRO) akan membantu mengoordinasi urusan ini. SIC Upaya risiko dan memastikan kontrol harus dimasukkan ke dalam pernyataan pengendalian internal (SIC) bahwa setiap organisasi yang lebih besar harus mempublikasikan secara resmi. Input ke SIC tahunan harus berasal dari sistem pelaporan jaminan yang sesuai (perha p berputar di sekitar register risiko lokal dan agregat). Stakeholder Organisasi harus memiliki proses formal untuk berkomunikasi dengan para pemangku kepentingan upaya sistem manajemen risiko dan informasi apa pun yang memberi nilai pada berbagai pihak yang berkepentingan . Sistem manajemen risiko harus membahas konsep toleransi risiko dan memperjelas bidang apa yang mungkin menjadi ancaman bagi organisasi, atau masyarakat umum yang sesuai dan sejauh mana strategi dan target kinerja mungkin akan sepenuhnya tercapai. Banyak kegunaan dari situs web Internet untuk mengkomunikasikan risiko secara publik. Waktu Model risiko didasarkan pada melakukan lebih banyak untuk meneliti, menganalisis dan mengatasi risiko yang berdampak pada organisasi. Dan memastikan ada transparansi dan kompetensi dalam cara risiko ini ditangani.
35
Biaya Faktor ini terkait dengan waktu. Membutuhkan uang untuk mengimplementasikan ideide baru bahkan ketika kita sedang membangun ide-ide ini ke dalam sistem kita yang ada. Nilai - nilai Cara terbaik untuk membangun manajemen risiko adalah dengan menghindari hanya memberikan serangkaian peraturan dalam bentuk hal-hal yang harus dilakukan untuk memenuhi persyaratan kebijakan. Sematkan Bagian akhir dari model ini keluar dari semua komponen lain dan terdiri dari konsep garis bawah menanamkan manajemen risiko ke dalam dan di dalam organisasi. 3.10 Peran Audit Internal dalam Manajemen Risiko Bab ini sejauh ini memberikan pengantar yang lebih luas untuk manajemen risiko — tren yang berkembang ke arah mengenali risiko sebagai pendorong utama untuk semua sistem yang mendukung organisasi yang sukses. Kita sekarang harus menyentuh cara audit internal masuk ke dalam persamaan risiko. Sebagai permulaan Standar Implikasi IIA menyatakan 1220.A3 menyatakan bahwa auditor internal harus memperhatikan risiko utama dan bahwa 'auditor internal harus waspada terhadap risiko signifikan yang mungkin mempengaruhi tujuan, operasi, atau sumber daya. Namun prosedur jaminan saja, bahkan ketika dilakukan dengan perawatan profesional yang tepat, tidak menjamin bahwa semua risiko signifikan akan diidentifikasi. ' Standar Kinerja 2100 berpendapat bahwa 'kegiatan audit internal harus mengevaluasi dan berkontribusi pada peningkatan proses manajemen risiko, pengendalian dan tata kelola dengan menggunakan pendekatan yang sistematis dan disiplin.' Sementara Standar Penerapan 2110.A1 memperjelas bahwa 'kegiatan audit internal harus memantau dan mengevaluasi efektivitas sistem manajemen risiko organisasi.' V ini iewpoint merupakan tantangan penting bagi auditor internal yang telah diminta untuk juara gerakan risiko sementara tetap mempertahankan peran jaminan independen. Model tersedia untuk membantu dalam keputusan kunci yang mendukung peran audit internal tampilan baru . Praktik Penasihat 2100-3 membahas Peran Audit Internal dalam Proses Manajemen Risiko; walaupun memperkuat poin bahwa manajemen risiko adalah tanggung jawab utama manajemen, ini menunjukkan bahwa peran audit internal dapat ditemukan di beberapa titik di sepanjang kontinum yang berkisar dari tahap 1 hingga tahap 4: 1. Tidak ada peran. 2. Mengaudit proses manajemen risiko (RM). 3. Dukungan terus menerus aktif dalam RM (komite pengawasan, pelaporan status). 4. Mengelola dan mengoordinasikan proses RM. Catatan pengarahan ditutup dengan pandangan bahwa, pada akhirnya, itu adalah peran manajemen eksekutif dan komite audit untuk menentukan peran audit internal dalam proses 36
RM. Ketika tidak ada sistem manajemen risiko di tempat, Penasihat Praktek lain (21 00-4) mengatakan bahwa tidak adanya proses manajemen risiko harus dibawa ke perhatian manajemen oleh audit internal, bersama dengan saran untuk membangun proses seperti itu jika diminta. Auditor internal dapat memainkan peran proaktif dalam membantu pembentukan awal proses tersebut tetapi mereka tidak boleh 'memiliki' atau bertanggung jawab atas pengelolaan risiko yang diidentifikasi. Ada Penasihat Praktek lain (2110-1) yang menjelaskan bagaimana audit internal harus menilai kecukupan proses manajemen risiko ses. Penasihat ini berpendapat bahwa proses manajemen risiko harus memastikan: 1. Risiko yang timbul dari strategi dan kegiatan bisnis diidentifikasi dan diprioritaskan. 2. Manajemen dan dewan telah menentukan tingkat risiko yang dapat diterima oleh organisasi . 3. Kegiatan mitigasi risiko dirancang dan diterapkan untuk mengurangi, atau mengelola, risiko pada tingkat yang ditentukan agar dapat diterima oleh manajemen dan dewan. 4. Kegiatan pemantauan yang berkelanjutan dilakukan untuk menilai kembali risiko dan efektivitas secara berkala kontrol untuk mengelola risiko. 5. Dewan dan manajemen menerima laporan berkala dari hasil proses RM. Auditor internal harus menambah nilai bagi organisasi dan Standar Kinerja IIA 2000 menyatakan dengan jelas bahwa 'CAE harus mengelola secara efektif kegiatan audit internal untuk memastikan hal itu menambah nilai bagi organisasi.' Sementara Standar Implementasi IIA 2010.C1 dibangun di atas kebutuhan ini untuk menambah nilai dan terlibat dengan mempromosikan manajemen risiko karena menyatakan bahwa 'CAE harus mempertimbangkan untuk menerima perjanjian konsultasi yang diusulkan berdasarkan potensi keterlibatan untuk meningkatkan manajemen risiko, menambah nilai, dan meningkatkan operasi organisasi. Keterlibatan yang telah diterima harus dimasukkan dalam rencana. ' Gambar 3.16 Layanan jaminan dan konsultasi.
Dimungkinkan untuk meringkas peran audit dalam manajemen risiko dengan menggunakan model baru pada Gambar 3.16. Sebelum kita membahas model Assurance and Consulting Services, dua poin penting perlu dibuat. Pertama, ulasan lebih dapat diandalkan di mana pengulas adalah imparti al. Kedua, nilai tambah berarti memberikan kontribusi keahlian spesialis untuk mempromosikan keberhasilan perusahaan. Ketika sebuah organisasi perlu menjalankan dan menjalankan sistem manajemen risiko, dan meminta bantuan dari auditor untuk mengatur, sulit bagi auditor yang sama untuk kemudian memberikan jaminan yang tidak memihak pada sistem yang sama ini. Sepintas kedua konsep tersebut tidak sesuai. Namun, ada berbagai cara agar ketidakkonsistenan yang nyata ini dapat dikelola. Model yang kami gunakan memiliki tujuh pendekatan:
37
1. Pendekatan tinjauan audit standar diadopsi. Di sini tim audit internal memantau cara manajemen risiko bisnis yang sistematis dibentuk dan diterapkan, dan kemudian meninjau apakah itu dapat diandalkan, kuat, dan memenuhi kebutuhan organisasi. Pada gilirannya, audit internal dapat memberikan jaminan independen kepada dewan tentang status manajemen risiko. 2. Ini mirip dengan pendekatan satu, dengan tambahan saran dan bimbingan ad-hoc disediakan berdasarkan permintaan. Audit internal dapat membuat presentasi kepada dewan dan mendatangi saya etings atau workshop di mana manajemen risiko sedang dibahas dan diputuskan, dan memberikan kontribusi sesuai kebutuhan. 3. Pendekatan tiga mengambil langkah lebih jauh dan auditor internal mulai terlibat dalam meningkatkan kesadaran. Fitur utama di sini adalah audit internal akan memimpin berbagai seminar dan acara yang mempromosikan tata kelola perusahaan, manajemen risiko, dan kontrol. 4. Tingkat berikutnya adalah ketika audit internal memfasilitasi lokakarya CSA dan membawa pesan risiko ke akar rumput di seluruh organisasi . Auditor memahami keterampilan fasilitasi dan memimpin tim kerja, tim proyek, atau kelompok kerja berbasis proses dan membantu tim menyiapkan daftar risiko yang sesuai untuk mencerminkan risiko dan rencana tindakan yang diprioritaskan. 5. Level lima berjalan sepanjang jalan. Di sini, audit internasional mengumpulkan basis data risiko perusahaan dari semua aktivitas berbasis risiko yang terjadi dalam organisasi. Audit akan terus mengembangkan sistem pelaporan yang menyediakan laporan teragregasi dan terpilah pada tingkat yang sesuai dalam organisasi . Peran yang diasumsikan sama dengan peran yang disebut chief risk officer organisasi. 6. Pendekatan level enam didasarkan pada pembentukan dua untai terpisah untuk layanan audit internal. Yang pertama berfokus pada jaminan utama dan peran review, meskipun ini sekarang cenderung berbasis risiko, berkonsentrasi pada risiko operasional yang telah diidentifikasi. Yang kedua melakukan peran konsultasi dalam memfasilitasi acara-acara CRSA. 7. Pendekatan terakhir adalah memainkan peran penuh dalam memulai dan mengembangkan manajemen risiko sistematis di seluruh organisasi agar proses berjalan. Kemudian, setelah membantu mengatur proses, audit internal bergerak menjauh dari layanan konsultasi dan kembali ke peran jaminan utama. Dengan cara ini, tanggung jawab berikutnya untuk membuat manajemen risiko berfungsi kembali ke garis. Strategi dasar di atas dapat digunakan sebagai platform untuk menyesuaikan layanan audit internal ke dalam pengembangan manajemen risiko di seluruh organisasi. Pendekatan dan gaya yang dipilih akan sesuai dengan organisasi dan tim audit yang bersangkutan. Kata terakhir tentang peran baru auditor internal dalam manajemen risiko perusahaan telah diberikan oleh 38
IIA Inggris dan Irlandia dalam pernyataan posisi 2004 mereka tentang topik ini. Panduan ini memperjelas peran jaminan audit inti yang dicatat sebagai: • Memberikan jaminan pada proses manajemen risiko. • Memberikan jaminan bahwa risiko dievaluasi dengan benar. • Mengevaluasi proses manajemen risiko. • Mengevaluasi pelaporan risiko utama s. • Meninjau manajemen risiko utama. Bergerak melalui berbagai layanan audit ini, serangkaian peran berikutnya dijelaskan sebagai dapat diterima, selama ada perlindungan yang sesuai untuk melindungi integritas peran audit inti: • Memfasilitasi identifikasi dan evaluasi risiko. • Melatih manajemen dalam menanggapi risiko. • Mengkoordinasikan kegiatan ERM. • Pelaporan konsolidasi risiko. • Memelihara dan mengembangkan kerangka kerja ERM. • Mempertahankan pendirian ERM. • Mengembangkan strategi manajemen risiko untuk persetujuan dewan. Safeguards yang diperlukan yang berarti peran konsultan tidak bertentangan dengan peran assurance tercantum di bawah ini: • Harus jelas bahwa manajemen tetap bertanggung jawab atas manajemen risiko. • Masa depan tanggung jawab audit internal harus didokumentasikan dalam piagam audit dan disetujui oleh Komite Audit. • Audit internal tidak boleh mengelola risiko apa pun atas nama manajemen. • Audit internal harus memberikan saran, tantangan dan dukungan untuk pengambilan keputusan manajemen, bukan mengambil keputusan manajemen risiko sendiri. • Audit internal juga tidak dapat memberikan jaminan obyektif pada bagian mana pun dari kerangka kerja ERM yang menjadi tanggung jawabnya. Jaminan tersebut harus disediakan oleh pihak lain yang berkualifikasi sesuai. • Setiap pekerjaan di luar kegiatan penjaminan harus diakui sebagai perikatan konsultasi dan standar implementasi yang terkait dengan perikatan tersebut harus diikuti. Untuk melengkapi lingkaran, pedoman ini menjelaskan bahwa ada peran tertentu yang benarbenar tidak sesuai dengan peran audit dan karenanya tidak boleh dilakukan oleh fungsi audit profesional: • Mengatur selera risiko. • Memberlakukan proses manajemen risiko. • Jaminan manajemen tentang risiko. 39
• Mengambil keputusan tentang respons risiko. • Menerapkan respons risiko atas nama manajemen. • Akuntabilitas untuk manajemen risiko. 16
BAB III KESIMPULAN
Manajemen risiko tidak benar-benar sebuah trend manajemen. Ini menyediakan platform untuk tata kelola perusahaan dengan memberikan kenyamanan kepada pemegang saham dan pemangku kepentingan lainnya bahwa risiko terhadap investasi mereka (atau jasa) yang dipahami oleh wakil-wakil mereka, papan dan sistematis ditangani oleh manajemen. Manajemen risiko yang benar adalah tentang mengubah budaya organisasi untuk mendapatkan orang untuk memeluk tanggung jawab mereka mengetahui bahwa alat ini akan membantu mereka mendapatkan sekitar masalah dan menggerakkan bisnis ke depan dengan cara yang dipertimbangkan. Peter Bernstein menimbulkan beberapa menarik masalah bagi mereka yang membuat penilaian risiko permainan angka.
40
DAFTAR PUSTAKA K.H. Spencer Pickett, The Internal Auditing Handbook,2003, 2 nd edition, John Wiley & Sons, New Jersey Lawrence B. Sawyer & Glen E. Sumners Sawyer’s Internal Auditing, 4Th edition, The Institute of Internal Auditors, 2005.
41