5. Risk Management sangat
terkait dengan tujuan
perusahaan.
Proses utama manajemen
risiko meliputi identifikasi risiko,
asesmen tingkat risiko,
evaluasi penerimaan risiko,
penyusunan kontrol.
Perlu adanya proses
pengawasan terhadap
implementasi kontrol,
komunikasi dan monitoring
proses implemetasi.
Proses ERM adalah proses
yang berkelanjutan dalam
rangka mencari yang lebih
baik.
Risk Management diterapkan
pada semua tingkatan unit
disuatu organisasi.
Prinsip-prinsip dalam implementasi risk management
Pengertian COSO
6. Pengertian COSO
COSO singkatan dari Commitee of Sponsoring Organizations of the Treadway
Commission, yaitu sebuah badan berskala dunia berkedudukan di Amerika
Serikat yang mensponsori dan menyebarkan guidance dan framework terkait
tata laksana organizational governance, business ethics, internal control,
enterprise risk management, fraud, and financial reporting.
Sponsoring organizations:
American Accounting Association.
American Institute of CPAs.
Financial Executives International.
The Association for Accountants and Financial Professionals in Business.
The Institute of International Auditors.
Telkom menggunakan COSO Sebagai framework ERM karena beberapa
alasan:
Telkom listing di NYSE
Telkom terlebih dahulu mengimplementasikan SOX yang berbasis COSO
Agar terjadi alignment antara ERM dan SOX.
Memudahkan pihak eksternal pada saat melakukan audit.
7. 1. Conditioning Internal Environment
(Tone at the top/BOD/BOC, Etika
bisnis, GCG, Organisasi CRM, Risk
Management Policy)
2. Objective Setting
(alignment objektif unit terhadap
objektif perusahaan)
3. Risk Identification
4. Risk Assessment
(require Risk Acceptance Criteria)
5. Risk Response (Mitigation)
6. Control Activities
(kendali efektivitas mitigasi)
7. Information & Communication
8. Monitoring
Risk & Control Self
Assessment
(RCSA)
Pengelolaan risiko perusahaan menggunakan framework COSO, meliputi empat
tujuan perusahaan di seluruh unit melalui delapan tahapan, yaitu :
Pengertian COSO
9. Delapan Langkah COSO
1. Internal Environment
2. Objective Setting
3. Risk Identification
4. Risk Assessment
5. Risk Response
6. Control Activity
7. Information & Communication
8. Monitoring
10. Kondisi lingkungan internal yang mendukung
meliputi:
1. Filosofi Manajemen Risiko Perusahaan
2. Risk Appetite Perusahaan
3. Pengawasan dari Dewan Komisaris
4. Penerapan Integritas dan Nilai-Nilai Etika
5. Komitmen Manajemen terhadap Kompetensi
6. Struktur Organisasi
7. Pendelegasian Wewenang dan Tanggung
Jawab
8. Kebijakan Sumber Daya Manusia
Internal Environment
Control
Activities
Risk
Response
Risk
Assessment
Event
Identification
1
4
5
6
Objective
Setting
2
3
InformationandCommunication
Monitoring
6 7
Internal Environment
11. Pada proses ini, dilakukan identifikasi
tujuan dari suatu strategi atau kegiatan
yang akan melalui proses Manajemen
Risiko Perusahaan.
Tujuan dari suatu strategi atau kegiatan ini
harus diselaraskan dengan Risk Appetite
yang disepakati, dimana dapat tercermin
dari strategi Perusahaan.
Internal Environment
Control
Activities
Risk
Response
Risk
Assessment
Event
Identification
1
4
5
6
Objective
Setting
2
3
InformationandCommunication
Monitoring
6 7
Objective Setting
12. Pada Proses ini dilakukan identifikasi terhadap
kejadian-kejadian potensial yang mempengaruhi
pencapaian tujuan Perusahaan.
Kejadian yang mungkin muncul bisa berpengaruh
positif, bisa berpengaruh negatif. Kejadian yang
mendukung disebut opportunity, sementara yang
menghambat disebut risiko.
Internal Environment
Control
Activities
Risk
Response
Risk
Assessment
Event
Identification
1
4
5
6
Objective
Setting
2
3
InformationandCommunication
Monitoring
6 7
Event Identification
13. Pada proses Penilaian Risiko dilakukan penilaian terhadap risiko-
risiko yang ada dalam Perusahaan, mencakup:
- impact
- likelihood
Penilaian terhadap risiko dilakukan dalam tiga tahap, yaitu:
1. Inherent Risk
2. Residual Risk
3. Expected Risk
Internal Environment
Control
Activities
Risk
Response
Risk
Assessment
Event
Identification
1
4
5
6
Objective
Setting
2
3
InformationandCommunication
Monitoring
6 7
Risk Assessment
14. Pada proses ini dilakukan:
1. identifikasi pilihan-pilihan untuk menangani risiko
2. menilai pilihan-pilihan penanganannya
3. menetapkan pilihan penanganan risiko
4. mempersiapkan rencana penanganan risiko
5. mengimplementasikan rencana penanganan risiko
Beberapa pilihan penanganan risiko (risk response) adalah:
1. menerima risiko
2. menghindari risiko
3. mengurangi kemungkinan terjadinya risiko
4. mengurangi dampak akibat terjadinya suatu risiko
5. membagi risiko kepada pihak ketiga
Tanggung jawab development Risk Response:
1. Dalam lingkup internal unit
2. Menjadi tanggung jawab unit lain.
Internal Environment
Control
Activities
Risk
Response
Risk
Assessment
Event
Identification
1
4
5
6
Objective
Setting
2
3
InformationandCommunication
Monitoring
6 7
Risk Response
15. Proses Risk Response
Risk Assessment
Low Risk?
Reduce Likelihood Reduce Impact Transfer Avoid Accept
Pertimbangkan cost benefit
Pilih Response
Reduce Likelihood Reduce Impact Transfer Avoid
Re-Assessment
Ya
Tidak
Level of Residual Risk
Response
Kelayakan
Penetapan
Develop &
Implementasi
16. Proses aktivitas pengendalian ini dilakukan untuk
memastikan bahwa penanganan risiko telah
dilakukan secara benar dan sesuai dengan risk
response yang telah disepakati.
Pada proses ini juga dilakukan penilaian terhadap
efektifitas risk response yang disepakati terhadap
pengurangan tingkat risiko.
.
Internal Environment
Control
Activities
Risk
Response
Risk
Assessment
Event
Identification
1
4
5
6
Objective
Setting
2
3
InformationandCommunication
Monitoring
6 7
Control Activities
17. Proses ini bertujuan untuk memastikan bahwa
setiap tahapan dalam proses Manajemen Risiko
Perusahaan telah diinformasikan dan
dikomunikasikan dengan baik di antara pihak-pihak
yang terlibat, baik di internal Perusahaan, maupun
antara pihak Perusahaan dengan pihak eksternal
seperti customer, supplier, regulator, dan
pemegang saham.
Internal Environment
Control
Activities
InformationandCommunication
Monitoring
Risk
Response
Risk
Assessment
Event
Identification
1
4
5
6
6 7
Objective
Setting
2
3
Information & Communication
18. Proses ini bertujuan untuk menilai efektivitas proses
Manajemen Risiko Perusahaan, termasuk di
dalamnya pelaporan perkembangan penanganan
risiko yang dilakukan oleh risk owner kepada Unit
Risk Management.
Proses monitoring ini menjadi tanggung jawab Unit
Risk Management, di mana bila diperlukan Unit
Internal Audit dapat dimintai bantuan untuk
melakukan pemantauan terhadap penilaian efektivitas
proses Manajemen Risiko Perusahaan.
Internal Environment
Control
Activities
InformationandCommunication
Monitoring
Risk
Response
Risk
Assessment
Event
Identification
1
4
5
6
6 7
Objective
Setting
2
3
Monitoring
22. Empat Tujuan Strategis
Tujuan Strategic.
Beberapa dokumen strategic dimana dalam dokumen dimaksud terdapat strategic
objective yang dapat dijadikan acuan dalam mengidentifiaksi risiko adalah :
•CSS
•CAM
•BGP
•MASTER PLAN
•BUSINESS PLAN
•RKM
Dari dokumen strategis dimaksud, bila dilakukan assessment dimungkinkan untuk
diidentifikasi risiko-risiko yang sangat significant, antara lain :
•Risiko Regulatory
•Risiko Merger and Acquisition
•Risiko Technology Shift
•dll
23. Empat Tujuan Strategis
Tujuan Operasional.
Beberapa dokumen yang terkait dengan Tujuan Operasional adalah :
• RKAP
• SLG
• SLA
• KM
• Laporan Manajeme
• dll.
Dari dokumen operasional ini, akan dapat diidentifikasi risiko-ririko yang sangat
transaksional seperti :
• Risiko Business Decline
• Risiko Revenue Leakage
• Risiko Discrepancies
• Risiko Business Interuption
• dll
24. Empat Tujuan Strategis
Tujuan Reporting
Beberapa dokumen yang terkait dengan Tujuan Reporting adalah :
• Laporan Keuangan Tahunan
• Laporan Keuangan Triwulanan.
• dll.
Dari dokumen Pelaporan ini, akan dapat diidentifikasi risiko-ririko yang sangat
transaksional terutama terkait dengan transparansi dan akuntabilitas laporan
keuangan, seperti :
• Risiko Ketidak akuratan data yang disampaikan
• Risiko tiadk validnya data laporan keuangan
• Risiko window-dressing
• Risiko tidak lengkapnya laporan keuangan
• dll
25. Empat Tujuan Strategis
Tujuan Compliance
Risiko-risiko yang terkait dengan tujuan compliance
bisanya berhubungan dengan kebijakan yang berlaku di
internal perusahaan dan regulasi dari regulator. Resiko-
resiko ini akan memberikan dampak reputasi yang sangat
significant bagi perusahaan.
Dengan teridentifikasinya semua risiko incompliancies,
maka dapat dipastikan semua aktifitas perusahaan berjalan
comply dengan kebijakan internal dan regulasi yang
berlaku.
28. Lingkup COSO
Agar objective dari perusahaan dapat dikendalikan
dengan baik, maka semua risiko di perusahaan harus
dapat diidentifikasi, meliputi :
• Risiko di kantor perusahaan
• Risiko di Dunit Bisnis/Divisi
• Risiko di Anak Perusahaan