erm tm 9
TRANSCRIPT
ENTERPRISE RISK MANAGEMENT ISO 31000 - 2009
MOHAMAD HASSAN AK., MAFIS, QIA, CRMP, CRMA
ERM - ISO 31000
APAKAH RISIKO?
ISO 31000:2009
“Pengaruh ketidakpastian terhadap tujuan”
Penyimpangan dari yang diharapkan - positif atau negatif
Kekurangan informasi yang terkait dengan suatu peristiwa,
dampaknya, atau kemungkinannya
• Berbagai aspek, misal keuangan, keselamatan, lingkungan
• Berbagai level: strategi, projek, divisi
4
Bagaimana menjelaskan risiko?
Register Risiko
Sumber
risiko (hazard)
Peristiwa (kapan &
dimana?)
Outcome (konsekuensi)
Penyebab (bagaimana,
mengapa)
Api
(kebakaran)
Kebakaran di kantor
pusat
Kerugian Rp. 500
juta Arus pendek
Data
Minimum
Virus
Wabah H1N1 Gangguan operasi Pegawai
terkena kontak
5
Memahami risiko Jenis risiko Sumber
risiko Peristiwa atau
eksposure Konsekuensi Sebab Risk factor
Safety Bekerja di ketinggian
Jatuh Luka atau meninggal
Disain yang jelek
Ketinggian (dari tanah)
Kesehatan Chemical Kontak Cancer Tidak
memahami bahan kimia
Jumlah bahan kimia
Keuangan Suku bunga
Naik lebih
dari 2%
dalam satu tahun
Penurunan profit
Tekanan inflasi
Besarnya pinjaman
Projek Sumber pasokan
Pengiriman
spare part terlambat
Projek delay
Kebakaran
di gudang pemasok
Ada tidaknya
pemasok alternatif
Prinsip-prinsip Manajemen Risiko (3.0)
Menciptakan nilai tambah
Merupakan bagian integral dari proses
organisasi
Merupakan bagian dari pengambilan
keputusan
Seccara eksplisit mengatasi
ketidakpastian
Sistematik, terstruktur, dan
tepat waktu
Berdasarkan informasi terbaik
yang tersedia
Selaras dengan konteks organisasi
internal dan eksternal
Mempertimbangkan faktor manusia dan
budaya dalam organisasi
Transparan dan inklusif
Dinamis, iteratif, dan responsif
terhadap perubahan
Mendorong peningkatan secara berkesinambungan
6
Kerangka Manajemen Risiko
Pengembangan kerangka
Menerapkan manajemen
risiko
Monitoring dan review
Pengembangan berkelanjutan
Mandat dan
Komitmen
Mandat dan Komitmen
Menetapkan kebijakan manajemen risiko
Menetapkan indikator kinerja manajemen
risiko
Memastikan keselarasan dengan strategi dan tujuan
organisasi
Menetapkan akuntabilitas dan tanggungjawab
Memastikan alokasi sumberdaya
Mengomunikasikan manfaat kepada
stakeholders
Memastikan kepatuhan terhadap
hukum dan perundang-undangan
Memastikan Kerangka Manajemen Risiko Peruri tetap sesuai dengan kebutuhan
organisasi
8
Disain Kerangka untuk Mengelola Risiko
Memahami organisasi dan konteks-nya
Kebijakan manajemen risiko
Integrasi kepada proses organisasi
Akuntabilitas (atas proses maupun risiko)
Sumberdaya (SDM, keahlian, informasi, dokumentasi)
Menetapkan mekanisme komunikasi dan pelaporan
Menerapkan manajemen risiko
• Menetapkan timing dan strategi untuk menerapkan kerangka • Menerapkan kebijakan dan prosedur • Komunikasi dan konsultasi dengan stakeholders • Penyelarasan tujuan • Briefing dan training
Menerapkan Kerangka Manajemen Risiko Peruri
• Menerapkan Proses Manajemen Risiko dalam unit dan kegiatan Peruri
Menerapkan Proses Manajemen Risiko
Monitoring dan Peningkatan
• Menetapkan ukuran kinerja • Mengukur progres dibandingkan rencana • Secara periodik mereview kesesuaian Kerangka dengan
konteks organisasi • Review efektivitas Kerangka manajemen risiko
Monitoring dan review Kerangka Manajemen Risiko
Peningkatan Kerangka secara berkesinambungan
Tanggung jawab
Dewan Pengawas/Direksi:
• Menetapkan struktur manajemen risiko
• Menetapkan risk appetite
• Memahami risiko yang siginifican
• Mengelola organisasi pada saat krisis
Manajer unit:
• Membangun budaya ‘risk aware’ pada unit-nya
• Menyepakati target kinerja manajemen risiko
• Memastikan penerapan rekomendasi peningkatan
• Identifikasi dan melaporkan perubahan lingkungan mapun risiko
Setiap pegawai:
• Memahami, menerima dan menerapkan proses manajemen risiko
• Melaporkan pengendalian yang tidak efisien atau tidak dibutuhkan
• Melaporkan situasi loss event dan near miss
• Bekerjasama dengan manajemen dalam peningkatan manajemen risiko
12
Tanggungjawab
Manajer risiko:
• Mengembangkan dan mengupdate kebijakan manajemen risiko
• Mendokumentasikan kebijkan risiko dan struktur
• Mengkoordinasikan kegiatan manajemen risiko
• Mengkompilasi informasi risiko dan menyiapkan laporan untuk direksi/pengawas
Fungsi risk khusus:
• Membantu menetapkan kebijakan risiko khusus
• Mengembangkan rencana contingency dan recovery sesuai bidangnya
• Mengikuti perkembangan pada bidangnya
• Membantu investigasi kejadian dan near misses
Kepala SPI:
• Mengembangan program rsik-based internal audit
• Mengaudit proses manajemen risiko
• Menerima dan memberikan assurance atas pengelolaan risiko
• Melaporkan efektivitas dan efisiensi pengendalian internal
13
14
Risk 1st line 2nd line 3rd line
Status
Keuangan
K3 Overlap
Lingkungan Overlap
Kualitas
Kepatuhan Gap
SDM
Etik & Integrity
Gap
Fraud
Information security
Gap
15
Naive
Aware
Managed
Enabled
Define
ERM Maturity
Kedewasaan ERM
Risk Naïve
•Tidak ada pendekatan formal berkenaan dengan manajemen resiko.
Risk Aware
•Penerapan manajemen risiko tersebar secara tidak merata pada unit organisasi.
Risk Defined
• Strategi dan kebijakan mengenai manajemen resiko telah diterapkan. Tingkat resiko yang dapat diterima telah didefinisikan.
Risk Managed
•Manajemen resiko untuk seluruh organisasi telah diterapkan dan dikomunikasikan.
Risk Enabled
•Manajemen resiko dan pengendalian intern telah menyatu dengan organisasi.