ISO 31000

Oleh:

Adnan Pandu Praja S.H., S.Pn., LL.M., QRGP, QCRO, CCGO, CGOP

“membantu diskresi, mencegah ott bila tidak fraud”

Why ISO?

Stranas Pemberantasan Korupsi PP No. 54 Tahun 2018

Penerapan manajemen antisuap di sektor pemerintah dan swasta

Meningkatkan Index Persepsi Korupsi

Menyejajarkan dengan Standar Internasional

Telah diterapkan oleh Kementerian Keuangan dan Kementerian Kesehatan

Arti Risiko

Ketidakpastian (uncertainty) adalah kurangnya informasi (tidak jelas) mengenaisuatu peristiwa (event), seberapa besar tingkat kemungkinan terjadinya (likelihood) dan berapa besar dampaknya (effect) pada sasaran

Dampak : penyimpangan (deviasi) dari sasaran yang diharapkan. Dapat negatif ataupositif atau keduanya

Sasaran dapat mempunyai berbagai bentuk/kategori : finasial, penjualan, produksi, jasa dan bentuk lainnya

ketidakpastian yang berdampak pada sasaranRISIKOISO 31000 : 2018

Dampak(Kendali)

AkibatPenyebab Peristiwaiko

Kemungkinan(Kendali)

Diadopsi dari ERM - SOAR – Gregory Monahan

Ris

Arti Risiko

CRMS Indonesia

Keputusan/Aktivitas

Tindakan

Manajemenmasalah/ krisisKeputusan/

Aktivitas ••

Tidak ada kejutanPencapaian tujuan

Belum terjadi (potensi risiko)

Akibat keputusan saat ini

Risiko

Telah terjadiAkibat keputusan

masa lalu

Tindakan

Masalah Manajemen masalah/ krisis

Masa Lalu Masa Kini Masa Depan

Risiko vs. Masalah

Apakah Manajemen Risiko itu?

Manajemen Risiko adalah “Aktivitas terkoordinasi untuk mengarahkan dan

mengendalikan organisasi terkait risiko”

(Risk management is “coordinated activities to direct and control an

organization with regard to risk” – ISO Guide 73

Tujuan Manajemen Risiko

Penerapan Manajemen Risiko bertujuanuntuk:

• mengantisipasi dan menangani segala bentuk Risiko secara efektif dan efisien;

• meningkatkan kepatuhan terhadap regulasi;

• memberikan dasar pada setiap pengambilan keputusandan perencanaan; dan

• meningkatkan pencapaian tujuan dan peningkatankinerja.

Pasal 2

Manfaat Manajemen Risiko

ManfaatManajemen

Risiko

• meningkatnya mutuinformasi untukpengambilankeputusan;

• perlindungan kepadaunit kerja dan aparatur sipil negara; dan

• mengurangi kejutanatas Risiko yang tidak diinginkan.

Pasal 3

Prinsip, Kerangka Kerja, dan Proses

Prinsip

Kerangka Kerja

Proses

Inisiatif Pengembangan Budaya Sadar

Risiko

KomitmenPimpinanOrganisasi

Edukasi

Praktik

Komunikasi

PencatatanInsentif

Integrasi

Evaluasi

Contoh Selera Risiko

No Kategori Risiko Besaran Risiko yang Sebaiknya Dimitigasi

1 Risiko penerimaan ≥10

2 Risiko belanja ≥10

3 Risiko pembiayaan ≥10

4 Risiko strategis ≥9

5 Risiko fraud ≥4

6 Risiko kepatuhan ≥9

7 Risiko Operasional ≥15

8 Risiko reputasi ≥15

FRAUD Triangle

Kasus Cilegon

Ancaman

Integritas

AncamanIntegritas

Self-interest

Self-review

Advocacy

Familiarity

Intimidation

“Perilaku Tidak Jujur”

Dampak Hukum

→ Tergantung skala perilaku dan aturan yang dilanggar

• Titip absen → melanggar peraturan perusahaan

• Markup anggaran → melanggartipikor

Komite Kebijakan Risiko

Komite kebijakan risiko bertugas membantu dewan

komisaris dalam

Mengkaji system manajemen risiko yang disusun oleh direksi

Menilai toleransi risiko yang dapat diambil perusahaan

YANG HARUS DILAKUKAN KOMITE

Kebijakan Risiko

Berani melakukan pernyataan ”lugas”

Dissenting opinion bukanlah hal yang tabu

Mengedepankan integritas

Memahami “the big picture”

Memahami dinamika dan kekhususan setiap perusahaan

International BEST PRACTICES

Audit Vendor oleh Internal Audit

Peer ReviewRating kinerja

per divisi

Perlakuan Risiko

Mitigasi Risiko(Risk Mitigation)

Mengurangi KemungkinanMengurangi Dampak

Menghindari Risiko(Risk Avoidance) •

•OPSI

PERLAKUANRISIKO

Penerimaan Risiko(Risk Acceptance)

Berbagi Risiko(Risk Sharing)

Risk Exploit

Diadopsi dari Manajemen Risiko Berbasis ISO 31000 untuk Industri Non-Perbankan, Leo J. Susilo

The Traditional Three Lines of Defence

Business

Lines

Internal Audit

Internal Audit

1st Line of Defence

•Lack of Accountability

•Unclear understanding of new role

•Wrong tone from the top

2nd Line of Defence

• Absence of coordination

• Siloed Operations

• Dealing with first line's functions

• Limited use of data and technology

3rd Line of Defence

• Outdated data management and analytics

“If everybody responsible

no body acountable”

TERIMA KASIH