Enterprise Risk Management

1
Enterprise Risk Management
Bahan dari Committee of Sponsoring Organization
(COSO) of Tradeway commission
2
Definisi ERM

• suatu proses yang berpengaruh pada sebuah
  entitas, jajaran direksi, pihak manajemen, dan
  personel lain yang diaplikasikan pada penetapan
  strategy perusahaan, didisain untuk
  mengidentifikasi kejadian yang potensial yang
  dapat berpengaruh pada entitas, dan mengelola
  risiko yang dapat diterima, dan memberikan
  jaminan keamanan yang beralasan dalam rangaka
  mencapai tujuan perusahaan
• Source COSO Enterprise Risk Management
  Integrated Framework. 2004. COSO.

3
Kenapa ERM penting

• Prinsip yang melandasi
• Setiap entitas untuk memberikan suatu nilai bagi
  stakeholder
• Nilai ini sangat tergantung pada keputusan
  manajemen mulai dari perumusan strategy sampai
  dengan kegiatan operasional setiap hari
• ERM mendukung penciptaan nilai dengan memudahkan
  manajemen untuk
• Menghadapi kejadian potensial yang menciptakan
  ketidakpastian
• Memberikan respon yang tepat untuk mengurangi
  risiko yang dapat mempengaruhi hasil

4
Framework ERM

• Framework ini mendefinisikan komponen penting,
  penyamaan bahasa, dan memberikan arahan dan
  bimbingan yang jelas bagi enterprise risk
  management.
• Objektif bisa dilihat bisa dilihat dalam empat
  kategori
• Strategic
• Operations
• Reporting
• Compliance

5
Framework ERM

• ERM mempertimbangkan akivitas seluruh level
  organisasi
• Enterprise-level
• Division atau subsidiary
• Proses Business Unit

6
Framework ERM

• ERM memerlukan sebuah entitas melihat portofolio
  dari risiko
• Management mempertimbangkan bagaimana risiko
  individual saling berkaitan
• Management mengmebangkan suatu cara melihat
  portofolio dari dua perspektif
• - Level Business Unit
• - Level Entity

7
Framework ERM

• Terdapat delapan komponen dari framwork yang
  saling berkaitan

8
Internal Environment

• Membuat philosophy sehubungan dengan risk
  management. Baik untuk kejadian yang diarapkan
  atau tidak diharapkan yang mungkin terjadi
• Buat budaya risiko entitas
• Pertimbangkan selalu aspek bagaimana tindakan
  organisasi yang mungkin berakibat pada budaya
  risiko tersebut

9
Objective Setting

• Digunakan ketika management mempertimbangkan
  strategy risiko dalam penetapan objektif
• Bentuk risk appetite dari entity helicopter
  viw dari berapa besar risk management dan BOD
  dapat menerima risiko
• Toleransi Risiko, tingkat penerimaan dalam
  variasi risiko dari objektif yang sejalan dengan
  risk appetite

10
Event Identification

• Pembedaan antara risiko dan peluang
• Kejadian yang dapat memberikan pengaruh negatif
  yang menggambarkan risiko
• Kejadian yang dapat memberikan pengaruh positif
  yang menggambarkan oportunity ? kembali ke
  penetapan stratgy
• Termasuk dalam mengidentifikasikan kejadian ini,
  baik internal maupun eksternal yang dapat
  mempengaruhi strategy dan pencapaian objektif
• Menentukan bagaimana faktor internal dan
  eksternal bersatu dan berinteraksi mempengaruhi
  profile risiko

11
Risk Assessment

• Memperkenankan entity untuk memahami sampai di
  mana kejadian potensial yang dapat berpengaruh
  terhadap objektif
• Penilaian risiko dari dua perspektif
• - Likelihood (kemungkinan terjadi)
• - Impact (pengaruh)
• Adalah biasa menilai risiko dan hal normal pula
  dalam mengukur risiko terkait dengan objektif
• Lakukan penilaian kalitatif dan kuantitatif dalam
  penilaian risiko
• Kaitkan jangka waktu dengan jangka waktu objktif
• Nilai risiko baik yang melekat (inherent) dan
  risiko residual

12
Risk Response

• Identifikasai dan evaluasi kemungkinan respon
  atas risiko
• Evaluasi pilihan terkait dengan risk appetite
  entity, cost dan benefit dari respon risiko
  potensial, dan tingkat di mana respon akan
  menurunkan pengaruh atau kemungkinannya
• Pilih dan lakukan respon atas evaluasi dari
  portofolio risiko dan respon

13
Control Activities

• Policy dan prosedur yang menjamin respon terhadap
  risiko, seperti halnya arahan lain dari entity
• Terjadi pada seluruh organisasi, pada selruh
  level dan fungsi
• Termasuk aplikasi dan informasi umum kontrol
  teknologi

14
Information Communication

• Identifikasi manajemen, mendapatkan dan
  mengkomunikasikan informasi yang berhubungan
  dalam bentuk ddan jangka waktu yang memungkinan
  yang bertanggungjawab menjalanakan kewajibannya.
• Komunikasi berlangsung dalam pengertian luas,
  mengalir ke bawah, antar dan ke atas oraganisasi

15
Monitoring

• Efektifitas dari komponen ERM yang lain dimonitor
  melalui
• Aktivitas monitoring terus-menerus
• Evaluasi terpisah
• Kombinasi dari keduanya

16
Internal Control

• Sistem kontrol internal yang kuat adalah sangat
  penting dalam keefektifan ERM

17
Internal Auditor

• Memegang peranan penting dalam memonitor ERM,
  tapi tidak merupakan kewajiban utama untuk
  implementasi dan pemeliharaannya
• Membantu manajemen dan BOD atau komite audit pada
  proses
• - Monitoring - Evaluasi
• - Pemeriksaan - Reporting
• - Recomendasi perbaikan

18
ERM Roles Responsibilities

• Management
• The board of directors
• Risk officers
• Internal auditors

19
Key Implementation Factors

1. Disain organisasi dari bisnis
2. Membentuk organisasi ERM
3. Melakukan penilaian risiko
4. Menentukan risk appetite keseluruhan
5. Mengidentifikasi respon risiko
6. Komunikasi hasil risiko
7. Monitoring
8. Pengawasan dan review rutin oleh manajemen

20
Organizational Design

• Strategy dari bisnis
• Objektif utama dari bisnis
• Obektif terkait yang diturunkan ke bawah
  organisasi dari objktif utama bisnis
• Menugaskan elemen organisasi dan pimpinan yang
  bertanggungjawab

21
Contoh Keterkaitan

• Misi
• To provide high-quality accessible and
  affordable community-based health care
• Objectif Strategic
• To be the first or second largest, full-service
  health care provider in mid-size metropolitan
  markets
• Objectif Terkait
• To initiate dialogue with leadership of 10 top
  under-performing hospitals and negotiate
  agreements with two this year

22
Membentuk ERM

• Menentukan pilisophy risiko
• Survey budaya risiko
• Pertimbangkan integritas organisasi dan nilai
  etika
• Putuskan peran dan tanggung jawab

23
Contoh Organisasi ERM
Vice President andChief Risk Officer
ERM Director
Corporate Credit Risk Manager
Insurance Risk Manager
FES Commodity Risk Mg. Director
ERMManager
ERMManager
Staff
Staff
Staff
24
Penilaian Risiko

• Penilaian Risiko adalah identifikasi dan analisis
  dari risiko untuk mencapai objektif bisnis. Ini
  menjadi dasar untuk menentukan bagaimana risiko
  itu dikelola

25
Contoh Model Risiko

• Risiko Environmental
• Capital Availability
• Regulatory, Political, and Legal
• Financial Markets and Shareholder Relations
• Risiko Proses
• Risiko Operations
• Risiko Empowerment
• Risiko Information Processing / Technology
• Risiko Integrity
• Risiko Financial
• Information for Decision Making
• Risiko Operational
• Risiko Financial
• Risiko Strategic

26
Analisis Risiko
27
Menentukan RISK APPETITE

• Risk appetite adalah nilai risiko dalam
  pengertian luas kemampuan entity dalam menerima
  nilai risiko
• Menggunakan terminologi kuantitative dan
  kualitative (seperti pendapatan atas risiko vs
  risiko reputasi), dan pertimbangkan toleransi
  risiko (variasi yang dapat diterima)
• Pertanyaan utama
• Risiko apa yang tidak bisa diterima organisasi ?
• (misal lingkungan atau kompromi kualitas)
• Risiko apa yang akan diambil organisasi pada
  inisiatif baru ?
• (misal line product baru)
• Risiko apa yang dapat diterima orgnisasi untuk
  menantang objektif ?
• (misal gross profit vs. market share?)

28
IDENTIFIKASI RESPON RISIKO

• Kuantifikasi besarnya risiko
• Pilihan yang tersedia
• - Accept monitor
• - Avoid hilangkan
• - Reduce lakukan kontrol
• - Share kerjasama dengan pihak lain
• (sperti asuransi)
• Risiko Residual (risiko yang tdk bisa dimitigasi
  penyusutan)

29
Pengaruh vs. Peluang
Tinggi
Risiko Tinggi
Risiko Sedang
P E N G A R U H
Share
Mitigate Control
Risiko Sedang
Risiko Rendah
Control
Accept
Rendah
Tinggi
PELUANG
30
Contoh Penilaian risiko Call Center
Tinggi
Risiko Tinggi
Risiko Sedang
P E N G A R U H

• Kehilangan telpon
• Kehilangan komputer

• Credit risk
• Customer menunggu lama
• Customer tidak tersambung
• Customer tidak dapat jawaban

Risiko Sedang
Risoko Rendah

• Salah Entry
• Peralatan usang
• Call berulang atas problem yang sama

• Fraud
• Hilang transaksi
• Moral karyawan

Rendah
Tinggi
PELUANG
31
Contoh Proses Account Payable
Objektif Risiko Aktivitas Kontrol Kontrol
Kelengkapan Transaksi Accrual dari material
tidak open liabilities tercatat Invois
di- accrued setelah closing
32
Komunikasi Hasil

• Dashboard risiko dan respon terkait (status
  visual dari posisi risiko utama relatif terhadap
  toleransi risiko)
• Flowchart dari proses dengan kontrol utama
  tercatat
• Penjelasan objektif bisnis dishubungkan dengan
  risiko operasional dan respon
• List dari risiko utama yang dimonitor atau
  digunakan
• Pemahaman Manajemen atas tanggung jawab risiko
  dan pengkomunikasian tugas

33
Monitor

• Kumpulkan dan tampilkan informasi
• Lakukan analisis
• - Risiko yang ditangani dengan baik
• - Kontrol yang dilakukan untuk menghilangkan
  risiko

34
Pengawasan Manajemen Review Rutin

• Accountability atas risiko
• Ownership
• Update
• - Perubahan pada objektif bisnis
• - Perubahan pada sistem
• - Perubahan pada proses

35
Nilai Tambah dari Internal auditor

• Review sistem critical control dan proses
  manajemen risiko.
• Lakukan review dari penilaian manajemen risiko
  yang efektif dan kontrol internal.
• Berikan advice atas perbaikan dan disain sistem
  kontrol dan strategi mitigasi risiko
• Terapkan penkatan risk-based dalam perencanaan
  dan eksekusi proses internal audit.
• Menjamin bahwa sumber daya internal audit
  diarahkan pada area yang sangat penting dalam
  organisasi
• Tantang dasar dalam penilaian manajmen risiko dan
  evaluasi kecukupan dan efektivitas penyajian
  strategy risiko
• Fasilitasi Workshop ERM.
• Mendefinisikan risk toleransi risiko yang belum
  diidentifikasi atas dasar pengalaman internal
  audit, pertimbangan dan konsultasi dengan
  manajemen