Navigating Risk Management

February 6, 2012 at 12:17 pm Leave a comment


     The International Standards for The professional Practice of Internal Auditing, yakni standar internasional untuk praktik profesional para audit internal, telah mensyaratkan para audit internal untuk memberikan jaminan memadai dalam manajemen risiko perusahaan (Enterprise Risk Management-ERM). Meskipun demikian, ternyata masih sedikit auditor internal yang telah menjalankan fungsi audit atas program manajemen risiko secara menyeluruh. Audit ERM tampaknya belum menjadi tradisi atau kompetensi inti dari audit internal.

Bagaimana pun juga, kegagalan jasa keuangan dan perusahaan-perusahaan lain di seluruh dunia yang telah menyebabkan krisis ekonomi dan resesi telah banyak dikaitkan dengan kurangnya kombinasi antara tata kelola dan manajemen risiko perusahaan. Bahkan bisa dikatakan,  risiko terbesar untuk sebuah organisasi adalah kurang efektifnya program ERM yang dijalankan. Menurut laporan The Committee of Sponsoring Organizations of the Treadway Commission’s (COSO) 2010 dalam ERM : Current State of Enterprise Risk Oversight and Market Perceptions of COSO’s ERM Framework, hanya 3,4 persen responden menilai kematangan proses ERM perusahaan mereka berada dalam tingkatan “sangat mature” dengan 17,4 persen menilainya dalam tingkatan “agak mature”.

Audit internal sendiri memiliki tiga peran utama, yakni :

  1. menilai kecukupan manajemen risiko,
  2. melaporkan kondisi program (mencakup manajemen risiko terhadap dewan direksi dan manajemen eksekutif), dan
  3. memungkinkan peningkatan proses manajemen risiko melalui nilai tambah rekomendasi.

Peran audit internal juga mencakup pelaporan atas kerangka kerja manajemen risiko (yakni kebijakan, organisasi, dan proses). Seperti dinyatakan dalam IIA Standards 2012 : “Aktivitas audit internal harus mengevaluasi efektivitas dan berkontribusi dalam peningkatan proses manajemen risiko.”

Dalam menjalankan perannya, audit internal tidak berarti harus memeriksa isi laporan risiko milik manajemen untuk mengkonfirmasi bahwa laporan-laporan tersebut lengkap dan akurat (dimana penilaian atas laporan tersebut akan menggantikan penilaian untuk manajemen). Sebaliknya, audit internal harus berkonsentrasi untuk memeriksa bagaimana manajemen menjalankan manajemen risiko. Apakah program manajemen risiko memenuhi kebutuhan organisasi? Apakah program manajemen risiko memberikan keyakinan yang memadai bahwa risiko dapat dikelola dalam kisaran yang diinginkan? Apakah program manajemen risiko memungkinkan organisasi untuk mencapai strategi-strategi dan tujuan-tujuan yang telah ditetapkan?

Ada dua pendekatan utama yang dapat dilakukan untuk memeriksa program manajemen  risiko. Pertama adalah dengan menguji kepatuhan elemen-elemen dalam program manajemen risiko terhadap International Organization for Standardization (ISO) 31000:2009 atau standar-standar COSO-ERM. Kedua adalah dengan menilai apakah program manajemen risiko memenuhi kebutuhan-kebutuhan organisasi.

MEMAHAMI KEBUTUHAN ORGANISASI

Manajemen risiko membantu organisasi untuk melihat situasi dan mengambil tindakan tepat di tengah ketidakpastian-ketidakpastian yang berkaitan dengan pencapaian tujuan organisasi. Ketidakpastian tersebut dapat berupa hambatan potensial (seperti dampak bencana alam, pencurian, atau kerugian karena informasi rahasia perusahaan yang terungkap) maupun peluang (seperti kegagalan kompetitor atau kemampuan perusahaan untuk mempekerjakan pegawai dengan bakat yang luar biasa). Dengan mengelola ketidakpastian-ketidakpastian ini maka organisasi dimungkinkan untuk lebih mampu menjalankan strategi dan mencapai tujuan yang telah ditetapkan.

Manfaat dari manajemen risiko tidak hanya melindungi nilai-nilai perusahaan tetapi juga memungkinkan perusahaan untuk mengoptimalkan kinerja secara berkelanjutan. COSO ERM-Integrated Framework menyatakan bahwa “Dalam ketidakpastian terdapat risiko maupun peluang, yakni potensi untuk melongsorkan maupun meningkatkan nilai perusahaan. ERM menyediakan sebuah kerangka kerja bagi manajemen untuk menangani ketidakpastian tersebut sehingga entitas mampu untuk meningkatkan kapasitasnya dalam membangun nilai-nilai perusahaan.” COSO juga menyatakan secara ringkas bahwa “ERM membantu entitas untuk mendapatkan arah kemana ia ingin pergi dan menghindari perangkap serta kejutan-kejutan sepanjang perjalanan organisasi.”

Selain itu, ERM juga membantu manajemen untuk membuat keputusan yang lebih baik. Saat keputusan dibuat dengan sebuah pemahaman berdasarkan informasi-informasi yang relevan (berupa risiko dan peluang) maka keputusan yang diambil pun akan lebih berkualitas dan membawa kinerja perusahaan ke arah yang lebih baik.

Risiko adalah sesuatu yang butuh dikelola secara terus-menerus, dimana tingkat risiko berubah sedangkan risiko-risiko baru bermunculan. Operasi dari suatu perusahaan (termasuk keputusan-keputusan penting) tidak dapat menunggu sampai sebuah reviu periodik dan penilaian risiko selesai. Namun, frekuensi dari aktivitas risiko itu sendiri (seperti pemantauan risiko dan penilaian bervariasi dari bisnis ke bisnis) harus terus disesuaikan dengan kebutuhan spesifik organisasi.

ISO 31000:2009 menetapkan prinsip-prinsip untuk manajemen risiko yang efektif, yakni meliputi :

  1. Manajemen risiko menciptakan dan melindungi nilai,
  2. Manajemen risiko adalah bagian integral dari proses organisai,
  3. Manajemen risiko adalah bagian dari pembuatan keputusan,
  4. Manajemen risiko secara eksplisit menangani ketidakpastian,
  5. Manajemen risiko didasarkan pada informasi terbaik yang tersedia,
  6. Manajemen risiko bersifat dinamis, berulang, dan responsif terhadap perubahan,
  7. Manajemen risiko bersifat dapat disesuaikan.

Prinsip-prinsip ini diambil dari IIA Practice Guide : Assesing the Adequacy of Risk Management Using ISO 31000, meskipun prinsip-prinsip dalam panduan ini berlaku untuk organisasi yang menggunakan kerangka kerja manajemen risiko lainnya (selain ERM COSO). Standar ISO menjelaskan bahwa ketika manajemen sedang mengembangkan program manajemen risiko, adalah penting untuk memahami bisnis dan lingkungan dimana perusahaan beroperasi. Hal ini membantu untuk mendefinisikan apa kebutuhan manajemen dari pogram ERM perusahaan, yang kemudian disesuaikan dengan syarat manajemen risiko yang efektif seperti disebutkan di atas. Kegiatan ini dilakukan dengan cara yang sama seperti saat auditor menilai apakah desain pengendalian internal cukup untuk mengelola risiko-risiko bisnis. Auditor dalam melakukan audit program ERM akan menilai pula apakah organisasi telah merancang program manajemen risiko secara memadai dalam rangka memenuhi kebutuhan-kebutuhan organisasi. Jika memungkinkan, auditor dapat mulai mereviu proses manajemen risiko dan mengikuti proses di dalamnya sejak perancangan program manajemen risiko dimulai.

Dalam menilai program manajemen risiko, ada beberapa hal yang harus diperhatikan oleh auditor internal.

a)      Apakah standar atau kerangka kerja yang menjadi dasar pembuatan program manajemen risiko telah diikuti oleh semua elemen perusahaan?

Program manajemen risiko akan lebih efektif jika proses yang diuraikan dalam standar (ERM COSO atau ISO 31000) telah diikuti dengan baik oleh semua elemen perusahaan. Pun ketika kerangka kerja yang dianut ternyata disesuai dengan kebutuhan perusahaan, maka perubahan apa saja yang dilakukan dan alasan perubahan tersebut perlu didokumentasikan.

b)      Bagaimanakah sifat dari risiko yang dikelola dalam rangka mencapai tujuan perusahaan?

       Auditor dalam hal ini harus mempertimbangkan :

(i)       Bagaimana organisasi mencapai nilai dan strategi-strategi apa saja yang digunakan untuk memberikan nilai yang optimal. Sebagai contoh, dewan kota memberikan nilai melalui pelayanan kepada penduduk. Risiko yang ada di dalamnya bisa jadi termasuk cuaca dan biaya bahan bakar. Sebuah perusahaan produk konsumen mungkin lebih berfokus pada risiko yang berkaitan dengan pendapatan, keuntungan, dan harga saham.

(ii)     Sektor bisnis dimana organisasi beroperasi. Sebuah perusahaan jasa keuangan yang aktif dalam perdagangan efek atau portofolio asuransi umumnya akan menggunakan teknik manajemen risiko yang berbeda dengan perusahaan pertambangan emas atau perusahaan truk.

(iii)   Konteks eksternal dari suatu organisasi. Sebagai contoh peraturan tentang lingkungan, permintaan masyarakat, kehadiran pesaing, dan lingkungan ekonomi untuk setiap area geografis dimana organisasi beroperasi atau memiliki pelanggan.

(iv)   Strategi utama dan rencana organisasi. Apakah hal strategi dan rencana perusahaan berisiko tinggi? Apakah akan ada perubahan besar dalam bisnis, organisasi, pasar, dan lainnya? Seberapa kritis inisiatif-inisiatif strategi utama yang dimiliki perusahaan (seperti akuisisi, divestasi, peluncuran produk baru, proyek-proyek besar, dan proyek teknologi informasi)?

(v)      Seberapa stabil organisasi dalam hal kepemimpinan, retensi manajer, dan staf kunci?

c)       Apa yang diharapkan oleh pemangku kepentingan eksternal?

     Pemangku kepentingan eksternal meliputi regulator (dimana terdapat peraturan tentang manajemen risiko dan pengungkapannya), pemegang saham, pemilik perusahaan, dan masyarakat.

d)      Seberapa sering risiko yang dimiliki perusahaan perlu diidentifikasi dan dinilai?

     Biasanya hal ini akan bervariasi, dimana ada beberapa risiko yang perlu dikelola secara terus menerus (karena tingkat perubahan risiko, seperti dalam mata uang atau investasi portofolio) namun ada pula beberapa diantaranya yang jarang dikelola (karena risiko ini cenderung stabil, seperti dalam kasus terjadinya risiko gempa bumi).

Auditor dalam hal ini harus mempertimbangkan beberapa hal, yakni :

(i)        Siapa yang membutuhkan informasi risiko, dalam format seperti apa, dan seberapa sering informasi itu harus disajikan? Hal ini akan tergantung (sampai batas tertentu) pada bagaimana keputusan dibuat dan siapa yang “memiliki” manajemen risiko. Sebagai contoh, dalam organisasi yang lebih matang, setiap manajer diharapkan untuk mengelola risiko dalam wilayah operasionalnya masing-masing. Namun ternyata organisasi yang lain justru telah memutuskan untuk mengelola sejumlah risiko strategis secara terpusat. Patut diingat bahwa auditor tidak harus menerima pernyataan manajemen bahwa menilai risiko dalam jumlah yang terbatas secara berkala sudah cukup memadai (meskipun pernyataan ini berdasarkan rekomendasi dari konsultan yang terkenal). Auditor harus memiliki opini independen tentang bagaimana informasi risiko dan pengelolaan risiko mampu memberikan kontribusi bagi manajemen dan arah bisnis perusahaan, termasuk kualitas keputusan-keputusan yang diambil dalam setiap harinya. Tidaklah mungkin mengelola sejumlah risiko terbatas secara periodik akan memberikan informasi risiko yang cukup dan tepat waktu untuk mengelola risiko, mengoptimalkan kinerja, dan mencapai tujuan strategis perusahaan.

(ii)      Seberapa sering risiko baru bermunculan atau tingkat risiko berubah dalam derajat yang signifikan? Semakin sering kemungkinan-kemungkinan ini terjadi, maka semakin sering pula risiko tersebut perlu dipantau. Sebagai contoh, sebuah organisasi secara aktif memperdagangkan mata uang atau instrumen keuangan yang volatile, maka manajemen atas risiko-risiko perusahaan perlu dikelola secara berkesinambungan.

(iii)    Seberapa kritis dan seberapa dekat risiko-risiko tersebut dengan batas toleransi organisasi untuk menerima risiko. Semakin besar potensi bahaya yang dimiliki sebuah risiko maka pemantauan secara berkala akan semakin dibutuhkan.

(iv)    Bagaimana budaya organisasi selama ini saat berhadapan dengan risiko. Apakah perusahaan justru menitikberatkan pada kewirausahaan, dimana mengambil sebuah risiko justru dianjurkan sebagai jalan menuju sukses. Atau perusahaan justru terbiasa untuk tidak mau mengambil risiko dan hanya akan mengambilnya jika benar-benar telah melalui pencarian berbagai informasi dan data? Perihal budaya organisasi ini merupakan keputusan dewan, dimana peran audit internal adalah untuk memastikan dewan memiliki informasi yang dapat dipercaya tentang risiko-risiko yang diambilnya.

Pada titik ini, auditor harus memiliki pemahaman tingkat tinggi mengenai bagaimana aktivitas manajemen risiko bermanfaat dalam pencapaian keberhasilan organisasi. Namun bisa jadi dalam tahap ini harapan manajemen justru berbeda. Sebuah diskusi antara auditor internal dengan manajemen eksekutif kemudian menjadi sangat penting, terlebih lagi ketika manajemen merasa puas dengan penilaian berkala atas sejumlah risiko dan tidak memahami bagaimana informasi risiko dapat meningkatkan pengambilan keputusan setiap harinya, pengaturan strategi, optimasi kinerja, dan jaminan kepatuhan terhadap hukum dan peraturan yang berlaku.

MENILAI PROGRAM DAN MELAPORKAN HASIL

Sebelum memulai penilaian, auditor harus memutuskan (dengan saran dari manajemen dan dewan) bagaimana hasil penilaian atas program manajemen risiko akan dilaporkan dan dalam format seperti apakah opini penilaian tersebut akan diambil. Salah satu caranya adalah dengan menilai apakah kesesuaian program dengan prinsip-prinsip yang ditetapkan dalam ISO 31000 telah tercapai. Cara lainnya adalah dengan menilai program manajemen risiko secara keseluruhan. Keduanya sama-sama berguna. Apapun cara yang dipilih harus digunakan ketika program diperiksa di tahun-tahun mendatang sehingga manajemen dapat menilai ketika ditemukan adanya sebuah kemajuan.

Ketika harapannya adalah program manajemen risiko yang matang dan mapan, maka laporan audit tradisional mungkin tepat. Namun, sebagian besar organisasi masih dalam suatu perjalanan menuju kematangan program yang mungkin memakan waktu beberapa tahun.

Maturity model merupakan alat yang berguna bagi auditor. Alat ini mengukur program yang dalam perjalanan sebelumnya tidak ada, kemudian menjadi ad hoc dengan manajemen risiko tidak terstruktur, menuju sebuah program manajemen risiko yang dikembangkan sepenuhnya dan matang, dimana pertimbangan risiko dipadukan ke dalam setiap proses bisnis dan pengambilan keputusan sehari-hari. Setiap tahap dalam perjalanan dianggap sebagai tingkat kematangan. Maturity model tidak menghukum atau menghakimi apakah kondisi manajemen risiko baik atau buruk, namun hanya menentukan di tingkat kematangan manakah suatu organisasi berada. Manajemen dan dewan direksi kemudian menentukan (dengan masukan dari auditor) apakah kemajuan tersebut memuaskan dan mencapai hasil yang diharapkan.

IIA’s practice guide membahas maturity model dan mereferensi The Carnegie Mellon University Capability Model. Sumber lain adalah The Risk and Insurance Management Society (RIMS) Maturity Model yang menilai atribut-atribut yang didefinisikan dalam program manajemen risiko dan menempatkan masing-masing pada satu dari enam tingkat kematangan, dari tidak ada menuju kepemimpinan. Maturity model digambarkan dalam “Risk Management Maturity Model” yang diambil dari berbagai sumber, termasuk The Chelan County (Wash.) Public Utilities District, dan menilai program manajemen risiko secara menyeluruh berdasarkan lima tingkatan.

Penilaian ini sendiri dapat mengikuti proses audit tradisional. Pertama, auditor akan menilai rancangan program manajemen risiko kemudian menguji apakah hal itu beroperasi secara efektif seperti yang dimaksudkan. Pertanyaan auditor harus mempertimbangkan beberapa hal, termasuk :

  1. Apakah ada budaya dalam organisasi (mulai dari ruang rapat hingga supervisor di garis depan) dimana risiko telah dipertimbangkan selama proses pengambilan keputusan?
  2. Apakah sikap organisasi saat mengambil sebuah risiko dan tingkat risiko yang dapat ditolerir telah ditetapkan, disetujui oleh manajemen eksekutif, dan dikomunikasikan kepada semua orang yang membutuhkan? Hal ini kerap disertakan dalam kebijakan manajemen risiko atau dokumentasi lainnya.
  3. Apakah praktik kriteria risiko telah memungkinkan manajer untuk secara efektif mempertimbangkan risiko dalam pengaturan strategi, mengoptimalkan kinerja, dan membuat keputusan sehari-hari?
  4. Apakah ada proses yang memadai untuk memastikan risiko telah diidentifikasi dan dianalisis secara cepat dan tepat? Adakah individu yang tepat terlibat dalam proses ini? Apakah jelas siapa yang bertanggung jawab dan memiliki wewenang mengelola risiko tersebut?
  5. Apakah ada proses yang memadai untuk mengevaluasi dan mengukur risiko, menentukan ambang toleransi risiko, dan memilih perlakuan yang tepat atas risiko? Apakah individu yang tepat terlibat dalam proses ini dan apakah mereka memiliki pemahaman yang memadai tentang prinsip dan teknik manajemen risiko? Apakah pilihan perlakuan atas risiko dipertimbangkan dan dievaluasi secara memadai, menggunakan teknik manajemen seperti halnya rencana skenario untuk memilih respon yang optimal?
  6. Apakah kontrol untuk mengelola risiko yang lebih signifikan telah diidentifikasi, dirancang secara memadai, dan dioperasikan secara efektif sehingga risiko itu dikelola dalam batas toleransi?
  7. Apakah pengawasan risiko oleh pimpinan eksekutif dan dewan telah cukup? Apakah mereka menerima informasi secara memadai dan tepat waktu?
  8. Apakah tindakan korektif (perlakuan atas risiko) telah diselesaikan tepat waktu?
  9. Apakah ada pemantauan yang tepat atas proses manajemen risiko untuk memastikan bahwa proses itu terus berfungsi sebagaimana dimaksudkan?
  10. Jika masing-masing departemen (seperti IT dan keuangan), geografis perusahaan, atau unit bisnis memiliki proses manajemen risiko sendiri, apakah hal ini dikoordinasikan untuk memberikan laporan yang konsisten di seluruh perusahaan?  Apakah manajer, eksekutif dan dewan memiliki visibilitas yang cukup atas risiko pada tingkat tanggung jawab mereka? Misalnya, apakah manajer-manajer departemen memiliki wawasan risiko yang sesuai untuk mengelola masing-masing departemennya, sementara manajer unit bisnis memiliki informasi untuk unit mereka masing-masing, dan para eksekutif puncak dan dewan memiliki informasi yang tepat waktu, andal, dan aktual tentang organisasi secara keseluruhan?
  11. Apakah sumber daya telah cukup didedikasikan untuk manajemen risiko, termasuk personel, peralatan, dan anggaran?
  12. Apakah manajemen risiko efisien? Apakah praktik terbaik, proses, dan peralatan  dibagikan ke seluruh organisasi?

Sebagai sumber tambahan, auditor dapat mempertimbangkan The UK Treasury’s Risk Management Assessment Framework : A Tool for Departments, yang dikembangkan untuk instansi pemerintah tetapi memiliki panduan berharga untuk menilai manajemen risiko di setiap organisasi. Model ini memasukkan pula lima tingkat dalam Maturity Level.

MEMBANGUN KOMPETENSI RISIKO

Auditor internal mungkin harus menjawab pertanyaan dari dewan, manajemen, dan para profesional risiko seperti apakah mereka kompeten dalam melakukan audit manajemen risiko dan memberikan saran konstruktif bagi perbaikan kinerja perusahaan. Ini adalah pertanyaan yang sama yang harus dijawab oleh auditor selama beberapa dekade berkaitan dengan audit sumber daya manusia, manajemen persediaan, dan kepatuhan. Pemahaman yang cukup dapat diperoleh untuk melakukan audit tanpa perlu menjadi seorang ahli.

Manajer audit harus memastikan bahwa tim yang dimilikinya kompeten untuk melakukan audit dan memberi nilai tambah bagi. Jika diperlukan, kompetensi tim dapat dicapai pula dengan menambahkan seorang yang ahli pada materi pokok yang menjadi objek audit. Namun, ada banyak materi pada manajeman risiko yang efektif yang akan memberi auditor internal berpengalaman banyak informasi yang relevan. Tentu saja, auditor harus membaca dan memahami kerangka atau standar yang diadopsi oleh organisasi. Mengingat pelajaran di masa lalu dan fakta bahwa ketidakefektifan manajemen risiko dapat menyebabkan sebuah organisasi gagal, maka manajemen risiko harus berada dalam urutan atas daftar “fungsi audit atas risiko” yang bermanfaat untuk pemeriksaan di tahun-tahun mendatang. (blog.kampuskeuangan)

taken from : IIA-Navigating Risk Management

translated by : Nurfita Kusuma Dewi

Entry filed under: risk management. Tags: , , .

Pelajaran dari Kasus KPS PLTP Karaha Bodas Pajak Wanita Kawin : Implikasi Pasal 8 Ayat (1) UU PPh terhadap Wanita yang Bekerja pada Suami

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Trackback this post  |  Subscribe to the comments via RSS Feed


The Shining Moon

Categories

Quotes of The Day

Visitors

  • 124,489 People

%d bloggers like this: