Enterprise Risk Management - COSO Framework

1. Understanding
Learning Center
Pengantar COSO Framework
I Nyoman Wisnu Wardhana
Senior Officer – Risk Management - PT. Telkom

2. Pengantar COSO Framework
• Objective modul :
Peserta mampu menjelaskan objective, tahapan
dan ruang lingkup pengelolaan risiko berbasis
COSO Framework.
• Durasi : 1 JP
• Pre-requisite Modul :
1.Pengantar ERM

3. Topik Bahasan
1. Pengertian COSO
2. 8 Langkah COSO
3. 4 Tujuan Strategis
4. Lingkup Entitas

4. Pengantar
COSO Framework
Pengertian COSO

5. Risk Management sangat
terkait dengan tujuan
perusahaan.
Proses utama manajemen
risiko meliputi identifikasi risiko,
asesmen tingkat risiko,
evaluasi penerimaan risiko,
penyusunan kontrol.
Perlu adanya proses
pengawasan terhadap
implementasi kontrol,
komunikasi dan monitoring
proses implemetasi.
Proses ERM adalah proses
yang berkelanjutan dalam
rangka mencari yang lebih
baik.
Risk Management diterapkan
pada semua tingkatan unit
disuatu organisasi.
Prinsip-prinsip dalam implementasi risk management
Pengertian COSO

6. Pengertian COSO
 COSO singkatan dari Commitee of Sponsoring Organizations of the Treadway
Commission, yaitu sebuah badan berskala dunia berkedudukan di Amerika
Serikat yang mensponsori dan menyebarkan guidance dan framework terkait
tata laksana organizational governance, business ethics, internal control,
enterprise risk management, fraud, and financial reporting.
Sponsoring organizations:
 American Accounting Association.
 American Institute of CPAs.
 Financial Executives International.
 The Association for Accountants and Financial Professionals in Business.
 The Institute of International Auditors.
 Telkom menggunakan COSO Sebagai framework ERM karena beberapa
alasan:
 Telkom listing di NYSE
 Telkom terlebih dahulu mengimplementasikan SOX yang berbasis COSO
 Agar terjadi alignment antara ERM dan SOX.
 Memudahkan pihak eksternal pada saat melakukan audit.

7. 1. Conditioning Internal Environment
(Tone at the top/BOD/BOC, Etika
bisnis, GCG, Organisasi CRM, Risk
Management Policy)
2. Objective Setting
(alignment objektif unit terhadap
objektif perusahaan)
3. Risk Identification
4. Risk Assessment
(require Risk Acceptance Criteria)
5. Risk Response (Mitigation)
6. Control Activities
(kendali efektivitas mitigasi)
7. Information & Communication
8. Monitoring
Risk & Control Self
Assessment
(RCSA)
Pengelolaan risiko perusahaan menggunakan framework COSO, meliputi empat
tujuan perusahaan di seluruh unit melalui delapan tahapan, yaitu :
Pengertian COSO

8. Pengatar COSO Framework
Delapan
Langkah COSO

9. Delapan Langkah COSO
1. Internal Environment
2. Objective Setting
3. Risk Identification
4. Risk Assessment
5. Risk Response
6. Control Activity
7. Information & Communication
8. Monitoring

10. Kondisi lingkungan internal yang mendukung
meliputi:
1. Filosofi Manajemen Risiko Perusahaan
2. Risk Appetite Perusahaan
3. Pengawasan dari Dewan Komisaris
4. Penerapan Integritas dan Nilai-Nilai Etika
5. Komitmen Manajemen terhadap Kompetensi
6. Struktur Organisasi
7. Pendelegasian Wewenang dan Tanggung
Jawab
8. Kebijakan Sumber Daya Manusia
Internal Environment
Control
Activities
Risk
Response
Risk
Assessment
Event
Identification
1
4
5
6
Objective
Setting
2
3
InformationandCommunication
Monitoring
6 7
Internal Environment

11. Pada proses ini, dilakukan identifikasi
tujuan dari suatu strategi atau kegiatan
yang akan melalui proses Manajemen
Risiko Perusahaan.
Tujuan dari suatu strategi atau kegiatan ini
harus diselaraskan dengan Risk Appetite
yang disepakati, dimana dapat tercermin
dari strategi Perusahaan.
Internal Environment
Control
Activities
Risk
Response
Risk
Assessment
Event
Identification
1
4
5
6
Objective
Setting
2
3
InformationandCommunication
Monitoring
6 7
Objective Setting

12. Pada Proses ini dilakukan identifikasi terhadap
kejadian-kejadian potensial yang mempengaruhi
pencapaian tujuan Perusahaan.
Kejadian yang mungkin muncul bisa berpengaruh
positif, bisa berpengaruh negatif. Kejadian yang
mendukung disebut opportunity, sementara yang
menghambat disebut risiko.
Internal Environment
Control
Activities
Risk
Response
Risk
Assessment
Event
Identification
1
4
5
6
Objective
Setting
2
3
InformationandCommunication
Monitoring
6 7
Event Identification

13. Pada proses Penilaian Risiko dilakukan penilaian terhadap risiko-
risiko yang ada dalam Perusahaan, mencakup:
- impact
- likelihood
Penilaian terhadap risiko dilakukan dalam tiga tahap, yaitu:
1. Inherent Risk
2. Residual Risk
3. Expected Risk
Internal Environment
Control
Activities
Risk
Response
Risk
Assessment
Event
Identification
1
4
5
6
Objective
Setting
2
3
InformationandCommunication
Monitoring
6 7
Risk Assessment

14. Pada proses ini dilakukan:
1. identifikasi pilihan-pilihan untuk menangani risiko
2. menilai pilihan-pilihan penanganannya
3. menetapkan pilihan penanganan risiko
4. mempersiapkan rencana penanganan risiko
5. mengimplementasikan rencana penanganan risiko
Beberapa pilihan penanganan risiko (risk response) adalah:
1. menerima risiko
2. menghindari risiko
3. mengurangi kemungkinan terjadinya risiko
4. mengurangi dampak akibat terjadinya suatu risiko
5. membagi risiko kepada pihak ketiga
Tanggung jawab development Risk Response:
1. Dalam lingkup internal unit
2. Menjadi tanggung jawab unit lain.
Internal Environment
Control
Activities
Risk
Response
Risk
Assessment
Event
Identification
1
4
5
6
Objective
Setting
2
3
InformationandCommunication
Monitoring
6 7
Risk Response

15. Proses Risk Response
Risk Assessment
Low Risk?
Reduce Likelihood Reduce Impact Transfer Avoid Accept
Pertimbangkan cost benefit
Pilih Response
Reduce Likelihood Reduce Impact Transfer Avoid
Re-Assessment
Ya
Tidak
Level of Residual Risk
Response
Kelayakan
Penetapan
Develop &
Implementasi

16. Proses aktivitas pengendalian ini dilakukan untuk
memastikan bahwa penanganan risiko telah
dilakukan secara benar dan sesuai dengan risk
response yang telah disepakati.
Pada proses ini juga dilakukan penilaian terhadap
efektifitas risk response yang disepakati terhadap
pengurangan tingkat risiko.
.
Internal Environment
Control
Activities
Risk
Response
Risk
Assessment
Event
Identification
1
4
5
6
Objective
Setting
2
3
InformationandCommunication
Monitoring
6 7
Control Activities

17. Proses ini bertujuan untuk memastikan bahwa
setiap tahapan dalam proses Manajemen Risiko
Perusahaan telah diinformasikan dan
dikomunikasikan dengan baik di antara pihak-pihak
yang terlibat, baik di internal Perusahaan, maupun
antara pihak Perusahaan dengan pihak eksternal
seperti customer, supplier, regulator, dan
pemegang saham.
Internal Environment
Control
Activities
InformationandCommunication
Monitoring
Risk
Response
Risk
Assessment
Event
Identification
1
4
5
6
6 7
Objective
Setting
2
3
Information & Communication

18. Proses ini bertujuan untuk menilai efektivitas proses
Manajemen Risiko Perusahaan, termasuk di
dalamnya pelaporan perkembangan penanganan
risiko yang dilakukan oleh risk owner kepada Unit
Risk Management.
Proses monitoring ini menjadi tanggung jawab Unit
Risk Management, di mana bila diperlukan Unit
Internal Audit dapat dimintai bantuan untuk
melakukan pemantauan terhadap penilaian efektivitas
proses Manajemen Risiko Perusahaan.
Internal Environment
Control
Activities
InformationandCommunication
Monitoring
Risk
Response
Risk
Assessment
Event
Identification
1
4
5
6
6 7
Objective
Setting
2
3
Monitoring

19. Pengantar COSO Framework
Empat
Tujuan Strategis

20. Empat Tujuan Strategis
1. Tujuan Strategic
2. Tujuan Operasional
3. Tujuan Reporting
4. Tujuan Compliance

21. 7/31/2017 21
Objective
Perusahaan
Strategi
Perusahaan
Rencana Kerja
Perusahaan
Organisasi
Perusahaan
Proses Bisnis
Perusahaan
Kebijakan
Perusahaan
Performansi
Perusahaan
Risiko dari Keputusan
Perusahaan
Risiko dari Kegiatan
Fungsional Organisasi
Risiko dari Pencapaian
Performansi *)
*) Tidak diatur dalam KD 16/2006
Empat Tujuan Strategis

22. Empat Tujuan Strategis
Tujuan Strategic.
Beberapa dokumen strategic dimana dalam dokumen dimaksud terdapat strategic
objective yang dapat dijadikan acuan dalam mengidentifiaksi risiko adalah :
•CSS
•CAM
•BGP
•MASTER PLAN
•BUSINESS PLAN
•RKM
Dari dokumen strategis dimaksud, bila dilakukan assessment dimungkinkan untuk
diidentifikasi risiko-risiko yang sangat significant, antara lain :
•Risiko Regulatory
•Risiko Merger and Acquisition
•Risiko Technology Shift
•dll

23. Empat Tujuan Strategis
Tujuan Operasional.
Beberapa dokumen yang terkait dengan Tujuan Operasional adalah :
• RKAP
• SLG
• SLA
• KM
• Laporan Manajeme
• dll.
Dari dokumen operasional ini, akan dapat diidentifikasi risiko-ririko yang sangat
transaksional seperti :
• Risiko Business Decline
• Risiko Revenue Leakage
• Risiko Discrepancies
• Risiko Business Interuption
• dll

24. Empat Tujuan Strategis
Tujuan Reporting
Beberapa dokumen yang terkait dengan Tujuan Reporting adalah :
• Laporan Keuangan Tahunan
• Laporan Keuangan Triwulanan.
• dll.
Dari dokumen Pelaporan ini, akan dapat diidentifikasi risiko-ririko yang sangat
transaksional terutama terkait dengan transparansi dan akuntabilitas laporan
keuangan, seperti :
• Risiko Ketidak akuratan data yang disampaikan
• Risiko tiadk validnya data laporan keuangan
• Risiko window-dressing
• Risiko tidak lengkapnya laporan keuangan
• dll

25. Empat Tujuan Strategis
Tujuan Compliance
Risiko-risiko yang terkait dengan tujuan compliance
bisanya berhubungan dengan kebijakan yang berlaku di
internal perusahaan dan regulasi dari regulator. Resiko-
resiko ini akan memberikan dampak reputasi yang sangat
significant bagi perusahaan.
Dengan teridentifikasinya semua risiko incompliancies,
maka dapat dipastikan semua aktifitas perusahaan berjalan
comply dengan kebijakan internal dan regulasi yang
berlaku.

26. Pengantar COSO Framework
Lingkup COSO

27. Lingkup COSO
1. Entity
2. Divisi/Unit
3. Subsidiary
4. Yayasan

28. Lingkup COSO
Agar objective dari perusahaan dapat dikendalikan
dengan baik, maka semua risiko di perusahaan harus
dapat diidentifikasi, meliputi :
• Risiko di kantor perusahaan
• Risiko di Dunit Bisnis/Divisi
• Risiko di Anak Perusahaan