Penyusunan RKAP Berbasis Risiko bagi BUMN

Berbagi praktik bedah RKAP BUMN dari pandangan pribadi sebagai pemerhati BUMN Indonesia berdasarkan beberapa pertanyaan dasar dari rekan-rekan BUMN.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

Setiap BUMN wajib menyusun RKAP sesuai dengan ketentuan dari Kementerian Keuangan dan Kementerian BUMN, yaitu:

  1. Keputusan Menteri Keuangan Nomor 196/KMK.016/1998 Tentang RKAP BUMN. Setiap BUMN wajib menyusun RKAP dan RKAPUKK yang mana permohonan persetujuan atas RKAP dan RKAPUKK untuk PERSERO disampaikan oleh Direksi kepada RUPS selambat-lambatnya dalam waktu 60 hari sebelum memasuki tahun anggaran Perusahaan, sedangkan untuk PERUM disampaikan oleh Direksi kepada Menteri Keuangan melalui Menteri Teknis yang bersangkutan selambat-lambatnya dalam waktu 60 hari sebelum memasuki tahun anggaran Perusahaan
  2. Keputusan Menteri BUMN Nomor KEP-101/MBU/2002 Tentang Penyusunan RKAP BUMN. Dalam menyusun Rencana Kerja harus secara tegas dipisahkan antara Rencana Kerja untuk melaksanakan Penugasan Pemerintah dengan Rencana Kerja untuk pencapaian misi perusahaan. Anggaran Perusahaan merupakan penjabaran program kegiatan usaha dalam satuan uang berdasarkan penerimaan/pengeluaran secara tunai dari program kegiatan untuk melaksanakan penugasan pemerintah/pemegang saham dan kegiatan komersil.

—————————————————————————————————————

RKAP berbasis risiko adalah RKAP yang menyajikan kajian pengelolaan risiko atas setiap sasaran strategis perusahaan.

—————————————————————————————————————

Mengapa BUMN harus menyusun RKAP berbasis risiko?

Perkembangan ini timbul sehubungan dengan adanya pembaharuan hukum di bidang perseroan terbatas dan badan usaha milik negara, serta memperhatikan perkembangan dunia usaha yang semakin dinamis dan kompetitif, maka untuk lebih meningkatkan penerapan tata kelola perusahaan yang baik (Good Corporate Governance), KBUMN melakukan penyesuaian terhadap Keputusan Menteri BUMN Nomor Kep-117/M-MBU/2002 tanggal 31 Juli 2002 menjadi Peraturan Menteri Negara BUMN Nomor Per-01/MBU/2011 tanggal 01 Agustus 2011. Dalam Permen tersebut dinyatakan bahwa dalam rangka penerapan GCG, Direksi, dalam setiap pengambilan keputusan/tindakan harus mempertimbangkan risiko usaha.dan wajib membangun serta melaksanakan program manajemen risiko korporasi secara terpadu yang merupakan bagian dari pelaksanaan program GCG. Salah satu keluaran dari Permen tersebut adalah RKAP berbasis risiko

Bagaimana RKAP berbasis risiko disusun?

Menurut Kepmen 101/2002, RKAP perusahaan BUMN saya ilustrasikan dalam bagan berikut ini.

RKAP Kepmen 101_2002

RKAP berbasis risiko dibuat atas setiap sasaran usaha dalam bagian rencana kerja perusahaan, seperti yang saya ilustrasikan berikut ini.

RKAP berbasis risiko Kepmen 101_2002

Untuk setiap sasaran strategis perusahaan, perlu dilakukan kajian risiko yang meliputi minimum:

  1. Identifikasi risiko merujuk pada setiap sasaran yang ditetapkan
  2. Pengukuran eksposur risiko berdasarkan pada paramater risiko yang telah ditetapkan
  3. Rencana tindak lanjut/mitigasi risiko yang teridentifikasi dengan memperhitungan kapabilitas sumber daya perusahaan
Biasanya perusahaan melakukan konsinyeering pada saat akan melakukan penyusunan RKAP berbasis risiko agar tercipta konsistensi atas metodologi manajemen risiko yang dipergunakan dan memudahkan para pihak yang terlibat dalam memberikan makna serta pemahaman persepsi secara korporat/terintegrasi bukan silo.

DC|2012

 

.

Pengelolaan Risiko: 3 Kategori Risiko (1)

Smart companies match their approach to the nature of the threats they face by Robert S. Kaplan and Anette Mikes.

Diadopsi dari Harvard Business Review, June 2012

Kaplan dan Mikes, membagi risiko dan pengelolaan risiko menjadi 3 kategori berdasarkan perilaku organisasi dalam melakukan identifikasi dan mengelola risiko, yaitu:

  1. Risiko internal
  2. Risiko strategis
  3. Risiko eksternal

Risiko internal merupakan risiko yang dari dalam internal organisasi dan tidak mempunyai nilai tambah pada pencapaian tujuan organisasi. Risiko ini dapat dikelola melalui penegakan aturan, nilai, dan standar kepatuhan. Sedangkan risiko strategis dan eksternal merupakan risiko yang mempunyai dampak pada pencapaian tujuan organisasi sehingga pengelolaan atas kedua risiko ini memerlukan proses yang lebih spesifik dan mendorong manajemen di organisasi untuk lebih terbuka berdiskusi dalam mengelola risiko dengan tetap memerhatikan segi biaya-manfaat pada saat akan menurunkan tingkat kemungkinan atau memitigasi dampak risikonya.

Bagaimana model pengendalian/kontrol, peranan fungsi manajemen risiko, dan hubungan keterkaitan fungsi manajemen risiko dengan unit bisnis lain bagi setiap kategori akan dibahas pada penulisan berikutnya.
DC

Hubungan Keterkaitan antara ERM (Enterprise Risk Management), BSC (Balance Scorecard), dan KPI (Key Performance Indicator)

Penerapan ERM harus dimulai dengan pemahaman hubungan keterkaitan antara risiko dengan tujuan yang hendak dicapai. Penyusunan tujuan organisasi bisa menggunakan berbagai pendekatan dan salah satu pendekatan yang paling banyak digunakan di Indonesia adalah pendekatan kartu skor berimbang (Balance Scorecard-BSC). ERM berkontribusi terhadap setiap target yang ditetapkan berdasarkan 4 perspektif BSC (pelanggan, proses internal, inovasi dan pembelajaran, serta keuangan) yang dituangkan lebih lanjut dalam bentuk KPI.

  • Proses identifikasi dan analisis risiko dilakukan terhadap setiap KPI berdasarkan 4 perspektif BSC.
  • Efektivitas rencana mitigasi digunakan manajemen untuk memantau tercapainya KPI.

dc|2011

Prepare a Simple and Communicative Risk Profile (Part2)

“ the secret lies in keeping risk profile simple and easy to communicate

 

This second part will describe how to prepare a risk profile based on The Top 10 Risk Profile. In the preparation, consolidation, and documentation the top 10 risk profile there are 8 steps need to be taken in sequential order illustrated below.

the approach in preparing top 10 risk profile

PREPARATION PHASE

It’s critical to develop a plan of action before getting on the actual interviews in terms of duration, resource requirement, and detail level of information want to be achieved. Several questions could be taken as references as follows:

  • How often should a Top 10 Risk Profile be prepared?
  • Who should be interviewed?
  • How should interviews be scheduled?
  • What to consider when interviewing the CEO?
  • What background information needs to be gathered?

In preparing the interview tools, there’re several things needs to be considered:

  • Obtaining identified clearly articulated documented corporate business objectives
  • Having an environmental scan by compiling papers, report, or articles depicting events that have happened and could impact the organization or its stakeholders
  • Providing a prior list of past and potential risks for interviewees.

risk profile interview sheet

CONSOLIDATION PHASE

Once all the interviews have been completed it is time to summarize the findings and become a summary of the key facts and description, thus providing the basis for compiling or updating the risk profile. When summarizing for each major risk, we need to prepare individual sheets with 2 columns: 1) risk sources and cause for any increase in identified risk; 2} mitigation efforts and cause for any decreases in risks.

In the process, interviewees sometimes give new ratings and/or trends for a risk and the ERM group should explore and validate all findings from the interviews and other evidence before make a decision whether the overall ratings or trends should indeed be changed.

DOCUMENTATION PHASE

Subsequent phase after the result summarized, the risk manager is challenged on how to  create a communicative document and any related presentations. Some helpful principles are given as follows:

  • Keep it simple, written in plain language, combine descriptions, and easy to understand chart
  • The draft consist of 3 key fundamental elements: 1) basic information such as the process followed, the number of interviews completed, the time frame for the assessment (e.g., three years forward), and the risks that have been removed from or added to the profile since the previous one; 2) top risks matrix show the current ratings, trends, and previous rating for comparison, references the risk descriptions on subsequent pages; 3) half-page narrative for each 10 risks describes the sources of the risk, the business objectives impacted, and the mitigations in place or planned.

Once the draft risk profile has been updated by the ERM group, then it is presented to a management committee lead by the CEO, takes as the ownership of risk profile by accepting or approving it.

COMMUNICATION PHASE

The primary purpose of the corporate risk profile is to share the risks facing the organization with the board and provide an important base for strategic planning “how the existing risks might then be affected by new strategic directions”.

As part of good corporate governance, the board should insist on viewing updated profiles on a periodic basis or requesting interim updates during a crisis.

In assuring the accuracy and usefulness of the corporate risk profile, the board also need to  monitor how money and resources are allocate relative to the top 10 risk identified.


CONCLUSION

The corporate risk profile plays a vital role in overall ERM process. Having a simple and communicative risk profile is essential for ERM as a practical management and governance tool that :

  • Helps to align the understanding of business objectives and related risks between the board, senior management, and line management
  • Helps to ensure significant risks are understood in a structured and consistent framework
  • Plays an integral part in strategic planning and resource allocation
  • Assists in marketing the value of ERM by demonstrating how the process works and how it adds value.

DC/2011

Prepare a Simple and Communicative Risk Profile (Part1)

“A right ERM risk profile should be holistic and reflect all risks to the organization’s business objectives

 

Preparing and sharing corporate risk profile as one of the key building block of ERM process should be regarded as a helping tool in communicating with the board. How a profile is prepared, how frequently it is prepared, and with whom it is shared are all subject to different treatments in each organization. A corporate risk profile should be prepared for use by the management of an organization as part of the ERM process.

There are 3 different types of commonly used corporate risk profile: the top 10 list, the risk map, and the heat map.

  • The “Top 10” List. This type is the simplest method of identifying, ranking, and sharing top risks in organization due to its simplicity, familiarity, easily understood, and denotes a short yet important list of risks.
  • The Risk Map. This type is one of the most widely described ways to present the largest risks facing an organization. It consists of two axis: the vertical axis showing the potential impact of the risk and the horizontal axis showing the estimated likelihood of the risk occurring. Risk map are ideally best prepared during risk workshop using voting technology.
  • The Heat Map. This type can list the organizational entities such as departments, locations, or product lines in the first column while, next to each entities are color-coded squares identifying the level of each risk. A heat map is usually color-coded to show the levels and risks and mitigations in a matrix format. dc | 2011

Pemahaman Dasar Praktik Internal Audit berbasis Risiko (Risk-based Audit)

Risk-based Auditing is auditing in which audit objectives and audit planning are driven by a risk assessment philosophy.

David Galloway, IIA, 2004

 

Audit Berbasis Risiko adalah metodologi pemeriksaan yang dipergunakan untuk memberikan jaminan bahwa risiko telah dikelola di dalam batasan risiko yang telah ditetapkan manajemen pada tingkatan korporasi.

 

Ada 2 hal utama yang harus dipahami oleh internal auditor:

  • Aspek pengendalian dari setiap proses bisnis yang terkait
  • Risiko dan faktor-faktor pengendalian guna mendukung pencapaian sasaran perusahaan

Peranan internal auditor dalam praktik audit berbasis risiko antara lain:

  • MULAI dari memfokuskan pekerjaan audit pada risiko signifikan korporasi, yang telah diidentifikasi oleh fungsi manajemen risiko korporasi dan melakukan audit atas proses manajemen risiko lintas organisasi guna memastikan pengelolaan risiko yang telah teridentifikasi
  • UNTUK berperan aktif sebagai konsultan internal yang melakukan training dan edukasi bagi staf lini dalam memastikan efektivitas pengendalian internal
  • UNTUK memberikan dukungan dan partisipasi aktif dalam proses pengendalian internal perusahaan
  • UNTUK melalukan koordinasi pelaporan audit berbasis risiko kepada Direksi dan Dewan Komisaris, dan Komite Audit

Alokasi waktu pemeriksaan untuk setiap tahapan audit tradisional vs audit berbasis risiko diilustrasikan sebagai berikut:

 

Audit Process Time Allocation

 

Pendekatan dan metodologi audit berbasis risiko diilustrasikan dalam 3 tahapan besar yaitu:

1. ASESMEN RISIKO

Tahapan yang digunakan untuk menentukan frekuensi, intensitas, dan waktu audit dengan cara mengidentifikasi, mengukur, dan menentukan prioritas risiko agar keterbatasan sumber daya yang kita miliki dapat diarahkan ke area dengan bobot risiko tinggi. Tahap ini dapat ditiadakan bilamana profil risiko yang dihasilkan oleh unit Manajemen Risiko Korporasi sudah tersedia dan dapat diyakini keandalannya

Pada tahap ini, internal auditor juga perlu menetapkan kriteria auditable units antara lain:

  • Unit tersebut memberikan kontribusi yang berdampak cukup besar pada tujuan perusahaan
  • Justifikasi biaya pengendalian atas unit yang memiliki potensi kerugian yang lebih besar daripada biaya yang dikeluarkan untuk pengendalian termasuk biaya audit.

2. PENYUSUNAN PROGRAM AUDIT INTERNAL

Berdasarkan hasil asesmen risiko, masing-masing auditable units ditetapkan nilai akhirnya menggunakan faktor risiko seperti:

  • Audit Assurance; Melihat relevansi hasil kajian audit periode sebelumnya atas area yang memiliki risiko dengan rating tinggi
  • Materialistis; Mengkaji area yang memiliki dampak risiko tinggi dengan menggunakan parameter keuangan maupun non keuangan
  • Residual Risk; Nilai risiko yang telah memperhitungkan faktor positif yang dimiliki perusahaan seperti pengendalian internal
  • Audit Judgement; Pertimbangan auditor atas perubahan sistem dan prosedur, restrukturisasi organisasi yang mempunyai dampak kepada area tertentu

3. PELAKSANAAN PROGRAM AUDIT INTERNAL

  • Mengkaji keselarasan sasaran unit operasional, direktorat, dan individu dengan tujuan perusahaan; Auditor Internal harus memastikan bahwa tujuan bisnis sudah diterapkan secara efektif dan telah dikomunikasikan ke seluruh tingkatan dalam organisasi.
  • Mengevaluasi efektivitas ketersediaan, kuantifikasi, dan penerapan selera dan batasan risiko (corporate risk appetite and risk tolerance) berdasarkan kebijakan dan prosedur di dalam perusahaan; Auditor Internal harus dapat memberikan keyakinan bahwa   manajemen bekerja dalam parameter risiko yang telah ditetapkan.
  • Mendeteksi analisis kesenjangan praktik manajemen risiko dan prosedurnya berdasarkan kerangka kerja yang telah ditetapkan; Auditor Internal harus melakukan evaluasi terhadap proses implementasi   kerangka   kerja penerapan manajemen risiko yang telah didokumentasikan   dan diyakini dapat memfasilitasi perubahan dinamis perusahaan.
  • Menguji efektivitas  dan perlindungan terhadap informasi dan akses terhadap pengendalian; Auditor Internal harus memahami rancangan pengendalian dan ketepatannya berhubungan dengan bagaimana suatu tindakan pengendalian   tersebut dilakukan secara konsisten sesuai dengan arah dan kebijakan perusahaan.
  • Menyediakan jaminan independen dan berfungsi sebagai konsultan internal dalam rangka memastikan pencapaian tujuan perusahaan; Auditor Internal harus memberikan jaminan yang obyektif kepada Direksi   bahwa risiko bisnis telah dikelola secara tepat dan pengendalian internal telah berjalan secara efektif

 

Last but not least… Intisari proses audit berbasis risiko:

 

Intisari Proses Audit Berbasis Risiko

DC | 2010

Pembelajaran Manajemen Risiko dari Sebuah Cerita Kecil…

Risk Management Ice Breaker for Today

“the other side of learning risk management….”

Sebuah cerita tentang bagaimana pendekatan manajemen risiko mempengaruhi pengelolaan risiko dan proses pencapaian tujuan akhir dari suatu proses. Ada tiga orang risk professional dan tiga orang akuntan bepergian dengan kereta api untuk mengunjungi sebuah ‘Konferensi Manajemen Risiko’. 

Cerita Awal Sebelum Konferensi Manajemen Risiko…

Di stasiun, ketiga akuntan tsb masing-masing membeli 1 tiket tetapi ketiga risk professional hanya membeli satu tiket.

“Hal ini terlihat sangat berisiko. Bagaimana tiga orang akan melakukan perjalanan dengan hanya satu tiket?” tanya salah satu akuntan. “Watch and you’ll see! Kami mempunyai pendekatan manajemen risiko yang baru” jawab salah satu risk professional.

Mereka semua naik kereta. Para akuntan duduk di kelas satu, tetapi ketiga risk professional pergi 1 ke kamar kecil dan menutup pintunya. Tak lama setelah kereta telah berangkat, kondektur datang sekitar mengumpulkan tiket. Dia mengetuk pintu toilet dan berkata, “Tiket.” Pintu terbuka kecil dan hanya satu lengan muncul dengan tiket di tangan dan Kondektur mengambil tiket tersebut dan bergegas pergi melanjutkan pemeriksaan tiket. Para akuntan itu sangat terkesan dengan pendekatan ketiga risk professional dan sepakat bahwa itu merupakan ide cerdas yang cukup tanpa risiko yang besar.

Cerita Lanjutan Setelah Konferensi Manajemen Risiko…

Sepulang dari “Konferensi Manajemen Risiko”, para akuntan sangat percaya diri akan keterampilan mengelola risiko yang diperoleh di Konferensi tersebut, sehingga para akuntan memutuskan untuk meniru pendekatan risiko para risk professional pada perjalanan pulang mereka dan menghemat uangnya (sesuai pepatah.. akuntan selalu pintar dengan uang mereka!). Ketika mereka sampai ke stasiun, mereka membeli 1 tiket saja untuk perjalanan pulang.

Tetapi mereka heran, kali ini para risk professional tidak membeli tiket sama sekali. ”Ini suatu kecerobohan, bagaimana Anda akan bepergian tanpa tiket satupun?” tanya salah satu akuntan dengan bingungnya. “Watch and you’ll see! Kami sudah mempunyai pendekatan manajemen risiko yang terbaru hasil dari Konferensi Manajemen Risiko” jawab salah satu risk professional. Ketika mereka semua naik kereta ketiga akuntan menjejalkan diri ke 1 kamar kecil dan tiga risk professional lain ikut masuk di kamar kecil tersebut lalu Kereta itu berangkat.

Catatan Kecil dari Cerita ini…

  • Manajemen Risiko adalah sebuah proses pembelajaran yang tidak akan pernah ada akhirnya karena kehidupan kita baik personal maupun bisnis penuh dengan ketidakpastian, yang tetap harus dijalani dalam rangka mencapai suatu tujuan tertentu
  • Risk professional harus mempunyai integritas dan kreativitas yang dapat dipergunakan untuk mengeksploitasi peluang dan mengelola risiko pada saat yang sama
  • Nilai terbesar dari penerapan manajemen risiko hanya dapat diperoleh bilamana risk professional dan aktuaris bekerja sama (tidak berkompetisi) karena mereka mempunyai tujuan yang sama, Sama halnya dalam pengelolaan manajemen risiko di perusahaan, diperlukan kombinasi keahlian para professional di bidang manajemen risiko untuk mendukung pencapaian tujuan perusahaan.

Manajemen Risiko Publik (Public Risk Management in Brief)

Public Risk Management

Two side of coin by looking beyond the Enterprise Risk Management (ERM)

Manajemen Risiko Publik adalah proses pengelolaan risiko bagi perusahaan yang mempunyai tanggung jawab terhadap pelayanan umum yang dalam hal ini tidak hanya harus memperhitungkan risiko organisasi tetapi juga risiko sosial dalam melakukan identifikasi, pengukuran, pengendalian, dan pengawasan risikonya.

Saat ini manajemen risiko mulai dirasakan menjadi kebutuhan yang strategis dalam proses pengambilan keputusan dan penentuan arah perbaikan kinerja perusahaan melalui laporan profil risiko. Laporan profil risiko memberikan gambaran prioritas risiko, sebab risiko, dan pengendalian internal yang sudah dilakukan agar perusahaan dapat mengoptimalkan penggunaan sumber daya perusahaan yang terbatas dan melakukan monitoring atas setiap rencana mitigasi risiko sehingga tujuan perusahaan dapat tercapai dengan risiko yang paling minimal dan peluang bisnis dapat tereksploitasi.

Keunikan manajemen risiko publik yang tidak ditemui pada manajemen risiko korporasi (ERM) antara lain:

  • Sektor publik biasanya didominasi oleh Badan Usaha Milik Negara seperti Pupuk Sriwidjaya, Kereta Api Indonesia, Perusahaan Listrik Negara, Pertamina, Perusahaan Gas Negara, dll yang mempunyai tanggung jawab untuk menghasilkan keuntungan dalam menjalankan fungsinya sebagai korporasi sesuai dengan UU PT No 40 Tahun 2007 dan memberikan deviden bagi Negara yang dikoordinasi oleh Kementerian Negara BUMN sebagai bentuk kontribusi penghasilan bukan pajak, BUMN sektor publik juga harus bertanggung jawab sebagai institusi sosial yang mempunyai eksposur risiko sosial.
  • Keterbatasan dalam memilih alat mitigasi risiko, pilihan respons untuk menghindari risiko seperti yang dimiliki oleh sektor privat, tidak bisa menjadi pilihan untuk setiap risiko yang teridentifikasi dan terukur.
  • Kompleksitas kebijakan dan tata kelola publik (Public Policy & Governance) yang membuat ketidakpastian yang tinggi sehingga eksposur risiko juga berbeda dengan risiko korporasi pada umumnya

Kesadaran akan pentingnya manajemen risiko publik ini diharapkan dapat mengurangi kegagalan pencapaian tujuan dan misi perusahaan publik yang berdampak pada ketidakpercayaan publik atas pelayanan yang diberikan dan pada akhirnya dapat mengakibatkan ketidakstabilan ekonomi secara sistematis.

Merujuk pada pernyataan di atas, penerapan manajemen risiko publik di Indonesia sudah harus mulai dipertimbangkan antara lain karena telah banyak kritikan dan keluhan dari:

  • masyarakat atas pelayanan bumn sektor publik maupun instansi pemerintah dan perkembangan demokrasi yang menuntut transparansi dan akuntabilitas peningkatan pelayanan publik
  • investor asing atas pelayanan birokrasi terutama dari segi waktu dan biaya dibandingkan negara berkembang lain di kawasan yang samaUntuk insitusi pemerintah, penerapan manajemen risiko publik telah dimulai di Departemen Keuangan melalui penugasan Inspektorat Jenderal sebagai compliance office for risk management sejak tahun anggaran 2007 untuk membantu memastikan transparansi dan akuntabilitas pengelolaan keuangan negara.

Penerapan manajemen risiko publik ini sebenarnya juga sudah mulai dituangkan dalam bentuk peraturan baik undang-undang (UU), maupun keputusan menteri dan Arsitektur Perbankan Indonesia (API) untuk sektor perbankan nasional dengan menggunakan pendekatan internal audit dan kerangka kerja manajemen risiko dari COSO, antara lain:

  • UU No. 1 tahun 2004 tentang Perbendaharaan Negara pasal 58 menekankan perlunya sistem pengendalian intern (SPI) di lingkungan Pemerintah dan adanya manajemen risiko.
  • Keputusan Menteri Keuangan (Kepmenkeu) No. 464/KMK.01/2005 tanggal 29 September 2005 tentang Pedoman Strategi dan Kebijakan Departemen Keuangan (Road-map Departemen Keuangan) tahun 2005-2009, dengan manajemen risiko sebagai salah program utamanya.
  • Surat Edaran (SE) Menteri Pendayagunaan Aparatur Negara (Menpan) No. SE/15/M.PAN/9/2005 tentang Peningkatan Intensitas Pengawasan dalam Upaya Perbaikan Pelayanan Publik dengan mengurangi risiko seperti biaya ekstra atau pungutan liar dalam pemberian pelayanan publik.
  • Peraturan Bank Indonesia (PBI) No 11/25/PBI/2009 tentang Penerapan Manajemen Risiko bagi Bank Umum, yang termasuk program ke empat dari Arsitektur Perbankan Indonesia (API) berkenaan dengan Program Peningkatan Kualitas Manajemen dan Operasional Perbankan.

Contoh nyata saat ini adalah isu hangat mengenai kenaikan tarif dasar listrik (TDL) menjadi risiko yang tidak hanya harus dihadapi oleh PLN sebagai isu korporasi yang cukup ditangani dengan menggunakan pendekatan manajemen risiko korporasi (ERM) tetapi PLN harus mempu menerapkan beyond ERM dengan menggunakan pendekatan manajemen risiko publik yang juga memperhitungkan risiko sosial dan politik. Mitigasi atas risiko yang teridentifikasi dan terukur harus disesuaikan dengan kapabilitas internal terutama dalam melakukan komunikasi dan edukasi dengan pihak-pihak terkait. DC2010

Posted with WordPress for BlackBerry.

THE EDGE OF OPPORTUNITY OR CATASTROPHIC: THE INSIGHT OF RISK MANAGEMENT

Why would risk-averse individuals or entities ever expose themselves intentionally to risk and increase their exposure over time?

The quickest answer is VALUE CREATION


As individuals or entities, we must deal with risk that gives us an advantage in achieving a success over the competitions. It is true that risk exposes us to potential losses but risk also provides us with opportunities. Given an example of how Google could exploit the opportunity of the advertisement charge on the web. Google using different approach on calculating the advertisement charge based on actual number of site visit rather than using common business practice based on total traffic. The differences resulted in financial success.

Are we willing to take that opportunity?

As a strategist, we should assure our capability in mapping out the actionable plan in response to risks in all phase. Otherwise, we will only be a follower or even worse it could turn our life into catastrophic.

Managing risk should be done in align with Strategic Planning or Execution since we must assure that we are going to exploit the opportunity not only managing or avoiding the risks. 5 critical capabilities that we must be ready to win the market or the competitors who are also exposed to same risk are:

1. having timely and reliable information to mapping out the action plan in response to risk

2. Using right speed of the response to risks

3. Learning from past experience and knowledge on the response to risks

4. Having adequate resources on capital, technology, personnel in response to risk

5. Having a flexibility on operating, production, financial to build the action plan in response to risk

Last but not least, we must build a good risk-taking-organization and align with their strategy to win the market.

[slideshare id=3879199&doc=theedgeofopportunityorcatastrophicstrategicriskseries-100427222732-phpapp02]

Legitimasi Peranan Internal Audit dalam rangka Penerapan Manajemen Risiko Korporasi

Menurut IIA (The Institute of Internal Auditors) on “The Role of Internal Auditing in Enterprise-wide Risk Management”, September 29, 2004


IA Role in ERM Implementation based on IIA

Peranan Internal Audit di dalam Penerapan Manajemen Risiko Korporasi

  • Memberikan jaminan yang memadai bahwa proses manajemen risiko yang telah berjalan sesuai dengan metodologi dan pendekatan yang telah ditetapkan oleh organisasi
  • Memberikan jaminan yang memadai bahwa risiko telah dievaluasi dengan metodologi dan pendekatan benar
  • Melakukan evaluasi kesesuaian atas proses manajemen risiko yang telah berjalan dengan metodologi dan pendekatan yang telah ditetapkan oleh organisasi
  • Melakukan evaluasi pengendalian internal atas pelaporan risiko-risiko kunci yang teridentifikasi dan diukur
  • Melakukan penelaahan pengelolaan risiko-risiko kunci sesuai dengan rencana mitigasi risiko yang telah ditetapkan

Peranan Internal Audit yang dapat dilakukan hanya pada tahap awal Penerapan Manajemen Risiko Korporasi

(bilamana penerapan manajemen risiko sudah berjalan, internal audit tidak boleh melakukan hal-hal berikut)

  • Memberikan fasilitasi proses identifikasi dan penilaian atas risiko kepada pemilik risiko di organisasi
  • Memberikan fasilitasi proses pengelolaan risiko kepada pemilik risiko di organisasi
  • Melakukan koordinasi aktivitas ERM
  • Melakukan konsolidasi pelaporan atas risiko
  • Memastikan dan mengembangkan kerangka kerja ERM yang sesuai dengan kebutuhan organisasi
  • Membangun perintis awal yang akan bertanggung jawab dalam penerapan ERM selanjutnya di organisasi
  • Mengembangkan strategi pengelolaan risiko di organisasi dan mendapatkan persetujuan Direksi maupun dewan Komisaris atas strategi yang telah dikembangkan

Peranan yang tidak boleh dilakukan oleh Internal Audit

(disarankan untuk dilakukan oleh unit manajemen risiko sebagai unit yang independen)

  • Menetapkan batasan dan selera risiko (risk appetite)
  • Memastikan terjadinya proses manajemen risiko di organisasi
  • Melakukan validasi atas risiko yang telah teridentifikasi dan terukur
  • Peranan yang tidak boleh dilakukan oleh Internal Audit ataupun unit manajemen risiko
  • Melakukan pengambilan keputusan atas bentuk pengelolaan/respon risiko
  • Menerapkan respon risiko dengan mengatasnamakan manajemen
  • Mengambil bentuk pertanggungjawaban atas penerapan manajemen risiko