Sharing session dan workshop penerapan Enterprise Risk ...

Universitas Airlangga

November 2018

Sharing session dan

workshop penerapan

Enterprise Risk Management

(ERM)

Bangkit KuncoroPartner – Ernst & Young (EY)

Pengalaman Bekerja:

1.Bekerja selama 31 tahun di EY (sebagai Partner di EY selama 20 tahun).

2.Partner di Advisory Services / consulting (Risk Advisory & Performance Improvement).

3.Menangani consulting implementasi manajemen risiko dan internal control di lebih dari 50 perusahaan/lembaga

negara dalam 10 tahun terakhir. Saat ini sedang memimpin penugasan transformasi manajemen risiko terintegrasi

di beberapa lembaga negara dan perusahaan.

4. Klien-klien yang ditangani mencakup, antara lain :

a. Lembaga-lembaga pengawas industri dan beberapa kementerian

b. Bidang infrastruktur, antara lain : lembaga pengatur infrastruktur, perusahaan pendanaan pembangunan

infrastruktur, Badan Usaha Jalan Tol, penjaminan Infrastruktur, dan ketenagalistrikan

c. Perbankan, BUMN non bank, perusahaan swasta, dan perusahaan swasta multi-nasional.

5. Bidang keahlian dan pengalaman mencakup:

a. Risk Management, Internal Control; d. Organizational Transformation

b. Strategy Development; e. Governance;

c. Process Improvement; f. Program Management.

Pendidikan• Master of Science in Risk

Management, New York

University Leonard N. Stern

School of Business (2015-2016).

• Sarjana Akuntansi, FEB

Universitas Airlangga, lulus

1986.

Sertifikasi• Certified Public Accountant,

Certified Internal Auditor

• Mengikuti pelatihan di bidang

strategi, risk, finance, managing

professional services firm, talent

management, digital marketing

di Harvard Business School,

New York University, Oxford

University, INSEAD, The IRM &

internal EY.

Eriska Juwita SiregarManager – Ernst & Young (EY)

Pengalaman Bekerja:

1. Terlibat dalam proyek konsultasi manajemen risiko, pengendalian internal, audit internal, dan tata kelola di berbagai

industri, baik lembaga pemerintahan dan BUMN terkemuka ataupun swasta di Indonesia.

2. Daftar klien antara lain meliputi:

a. Regulator di berbagai industri seperti Bank Sentral, KSEI, dan Lembaga Penjamin Simpanan

b. Institusi Keuangan, seperti bank-bank BUMN, bank swasta, dan perusahaan multifinance

c. Sektor infrastruktur, seperti BUMN di bidang infrastruktur

d. BUMN non-bank dan perusahaan swasta non-bank

3. Bidang pengalaman dan keahlian mencakup:

a.Risk management review and enterprise risk assessment

b.Risk management maturity assessment

c. Risk management implementation

d.Risk capacity and risk appetite development

e.Internal audit transformation and integrated risk management

f. Risk based policy evaluation and risk based SOP development

g.Valuation of financial instrument and derivatives

Pendidikan

• Magister Manajemen,

Fakultas Ekonomi dan

Bisnis, Universitas

Indonesia

• Sarjana Kedokteran Gigi,

Fakultas Kedokteran

Gigi, Universitas

Indonesia

Raiditya Priatama RoebionoSenior – Ernst & Young (EY)

Pengalaman Bekerja:

1. Terlibat dalam proyek konsultasi manajemen risiko, pengendalian internal, audit internal, dan tata kelola di berbagai

industri, terutama lembaga pemerintahan dan BUMN terkemuka di Indonesia.

2. Daftar klien antara lain meliputi:

a. Bank Sentral, KSEI, Lembaga Penjamin Simpanan, Kemenkominfo, dan regulator keuangan lainnya

b. SKK Migas, PT PLN (Persero), Garuda Indonesia, PT Len (Persero), dan BUMN lainnya

3. Bidang pengalaman dan keahlian mencakup:

a.Risk management review

b.Enterprise risk assessment

c. Risk management implementation

d.Risk management maturity assessment

e.Risk assessment program preparation

f. Internal audit transformation and integrated risk management

g.Risk based SOP development and improvement

h.Valuation of financial instrument and derivatives

Pendidikan

• Sarjana Manajemen,

School of Business and

Management, Institut

Teknologi Bandung

Agenda

1 Modul 1: Mengenal risiko dan Enterprise Risk Management (ERM)

• Overview of risk

• Mengenal ERM

2 Modul 2: Principles of Risk Assessment

• Risk identification

• Risk assessment

• Risk mitigation

• Risk monitoring

3 Modul 3: Studi kasus: Top risks in selected industries

• Aerospace & Defense Industry

• Mining Industry

• Higher-education sector

• Telecommunication sector

Sharing session on Risk Management

FEB UI

Bangkit Kuncoro

August 2018

If there’s no reward

without risk, can risk

be a good thing?Some risks you can see, some you can

predict, some you can plan for, and the rest

you just have to embrace.

Let’s turn risk into result!

Tujuan dari Sosialisasi Penerapan Enterprise Risk Management (ERM)

► Peserta dapat memahami dan menjelaskan apa itu

risiko, sifat dasar risiko, dan kategori umum risiko.

► Peserta dapat memahami konsep dan implementasi

manajemen risiko, termasuk didalamnya kerangka kerja,

infrastruktur, dan proses ERM.

√

► Peserta dapat memahami tujuan dan proses ERM mulai dari

identifikasi, pengukuran dan penilaian, penanganan, serta

pemantauan dan pelaporan risiko.

√

√

► Peserta dapat memahami kaitan risiko dengan pencapaian

visi, misi, dan sasaran strategis organisasi.√

Modul 1: Mengenal risiko dan ERM

Part I: Overview of risk

What is risk?

Definisi risikoDefinisi risiko

berdasarkan berbagai

sumberRischio

Italy, 15th

Century

Today Statistics

Finance

Webster

Bankers

Investment

Source: Ingo Walter. NYU STERN; Investopedia

DefinitionSource

► “Possible damage and negative”

► “Consequences due to unpredictable

circumstances”

► “Standard deviation of a frequency distribution”

► “The likelihood of loss”

► “Possibility of loss or injury

► “The probability of a credit event”

► “Probable recoveries”

► “The chance that an investment's actual return will

be different than expected”

► “The possibility of losing some or all of the original

investment”

Definisi risikoDefinisi risiko

berdasarkan standar

internasional/ COSO ERM

2017

“The possibility that events will occur and affect the achievement of

strategy and business objectives."

ISO 31000:

2018

“Risk as the effect of uncertainty on objectives. An effect is a

deviation from the expected. It can be positive, negative or both,

and can address, create or result in opportunities and threats.”

IIA“Risk is defined as the possibility that an event will occur, which will

impact an organization's achievement of objectives.”

Source: COSO ERM 2017 – Integrating with Strategy and Performance; ISO 31000:2018; IIA

The Nature of Risks (By Kaplan & Mikes)

Risiko dan Sifatnya

Risiko Eksternal (external risk)

Adalah risiko yang muncul dari kejadian yang berada diluar kontrol dan pengaruhinstitusi,

Contoh: Perubahan regulasi dari Pemerintahan Pusat yang mempengaruhi alurproses bisnis perusahaan

Risiko yang dapat dicegah (preventable risk)

Adalah risiko yang muncul dari kejadian yang berada dalam institusi. institusi

dapat mencegah risiko ini dengan meningkatkan kebijakan dan prosedur,

pemantauan reguler, sosialisasi, dan sebagainya.

Contoh: Kerusakan sarana, asset, dan fasilitas penunjang aktivitasoperasional perusahaan.

Risiko strategis (strategic risk)

Adalah risiko yang diambil oleh institusi untuk mendapatkan imbal balik strategis

yang lebih tinggi.

Contoh: Kegagalan eksekusi pelaksanaan program strategis perusahan.

Risk “meta-language”

SOURCES

(cause)

RISK

(uncertain event)

IMPACTS

(consequence

+ve/-ve)

time

OBJECTIVES / CONTEXT

SOURCES

(cause)

As a result of ..

Existing

condition

LANGUAGE

Is, do, has, has

not…[present condition]

IMPACTS

(consequenc

e+ve/-ve)

Which would lead

to… effect on

objectives.

LANGUAGE

Would, could…[conditional future]

RISK

(uncertain

event)

An uncertain

event.. may occur

LANGUAGE

May, might,

possibly…[uncertain future]

Source: Embedding Risk Management – The Institute of Risk Management

Quiz 1:Sifat dan Kategori Risiko

No Risiko Sifat Risiko

1. Kebakaran gedung head office

2.Perubahan regulasi Pemerintah

Pusat

3.Kesalahan dalam Pengelolaan

Keuangan Perusahaan

4.Ketidakoptimalan Pengelolaan

hardware sistem Perusahaan

5.Keterlambatan penyelesaian

Program Strategis Perusahaan

Overview mengenai berbagai jenis/kategori risiko

Financial risk

Financial risk types

Credit risk

Credit risk

The credit risk management framework is a cycle consisting of five integrated steps that create a feedback loop

necessary for effective risk management

Identify

► Counterparty entity, ownership, and oversight

► Transaction details

► Credit Risk Mitigants (collateral, guarantees)

Measure

► Expected Loss metrics (PD, LGD, EAD)

► Forecasts and Stress Scenarios

Monitor

► Establishing credit limits

► Investigating and escalating breeches

Report

► Senior management and executives

► Business line and risk functions

Control

► Three lines of defense

Liquidity risk

Liquidity riskOverview

Liquidity riskTypes of liquidity risk

Liquidity riskSources of liquidity risk

Market risk

Market riskOverview

Market risk is defined as the risk of adverse change to the economic condition of a firm due to variations in prices, rates, implied

volatilities or correlations of market risk factors (e.g., interest rates, FX, market liquidity, commodities, traded credit spreads,

mortgage OAS).

Direct market risk is market risk where changes in market risk factors have an immediate impact on the economic condition

of firms.

Indirect market risk is market risk where changes in market risk factors impact a firm’s economic condition as expressed

through non-market risk measures (e.g., credit risk, business risk) or via the occurrence of non-market risk events.

Firms define economic condition as changes to capital, earnings or both.

It is the responsibility of the business unit and risk management to identify market risks associated with the business’ activities,

including new, large or emerging risks.

Direct market risk examples Indirect market risk examples

Exposure due to securities, derivatives and funds that

are undertaken as part of trading activities

Exposure to the change in value of financial collateral

underlying secured financing positions upon the default of a

counterparty

Exposure from lending activities and the related

treasury asset liability interest rate risk and foreign

exchange exposure management activities

Exposure to market risk as a result of an operational risk

event, such as the inaccurate capture of a position in a system

Exposure from seed capital, private equity and other

equity investment activities; and other similar activities

Exposure to the change in net asset value of money-market

mutual funds supported by a firm

Market riskFramework

Identify

► Types of market risk factors and market risks

► Activities and business units that generate market risk

► market risk factor exposures

Measure

► Positions

► Risk factor sensitivities

► VaR

► Expected shortfall

► Stress tests/worst of worst analysis

Monitor

► Position and risk analysis

► Risk limits and independent oversight

► Reconciliation and exception handling

► Emerging risks

Report

► Production of summaries for management

► Attestation and sign-off

Control

► Analyze and explain risk measurement results

► Work with front office, finance and other functions to analyze and identify large, concentrated and/or emerging risks

► Escalate and work with lines of business to remediate limit and guidelines breaches or potential breaches

► Approve large/non-standard transactions

The market risk management framework is a cycle consisting of five integrated steps that create a feedback loop necessary

for effective risk management.

Operational risk

Operational risk: definition

Seven main categories of operational risk as defined by Basel II:

Internal Fraud1

External Fraud2

Employment Practices and Workplace Safety3

Clients, Products, and Business Practices4

Damage to Physical Assets5

Business Disruption and System Failures6

Business Disruption and System Failures7

Operational risk:

“The risk of loss resulting from inadequate or failed processes, people and systems or from external events. This

includes legal risk, but excludes strategic and reputational risk” – Basel II

Scope of operational risk

► Breach of fiduciary

responsibility

► Money laundering

► Sale of unauthorized

products

► Breach of privacy/Misuse of confidential customer information

► Cyber

threats/Hacking

► Misrepresentation

of information

► Theft

► Forgery

Operational risk

Execution, delivery, and

process management

Business disruption

and system failures

Damage to physical assets

Employment practices and

workplace safety

Internal fraud

External fraud

Clients, products and

business practices

► Settlement error

► Data input error

► Collateral management failures

► Hardware and software

failures

► Telecommunication

issues

► Utility outages

► Unauthorized/Rogue

Trading

► Theft/Embezzlement

► Bribery/Misconduct

► Natural disasters

► Failure to maintain

physical assets

► Workers’ compensation claims

► Violation of employee health and

safety

► Discrimination claims

Operational risk framework

Reporting

Measurement and Modelling

Risk and

Control Self-

assessment

Scenario

Analysis

Key Risk

Indicators

Internal

Loss Data

External

Loss Data

Policies and Procedures

Culture and Awareness

Go

ve

rna

nc

e

Ris

k A

pp

eti

te

Penerapan Operational Risk Managemnt di PerusahaanNear Miss, Loss Event, dan Key Risk Indicators (KRI)

Kondisi yang tidakaman

Tindakan yang tidak aman

Near Miss Loss Event

Sering diperlukannya maintenance terhadap lifting gear dapat mengindikasikan ada yang tidak beresdengan lifting gear tersebut.

“Batasan maksimum frekuensi maintenance lifting gear dalam suatu waktu” merupakan contoh KRI.

Near-Miss Management

Near Miss Management is a process of documenting and managing near miss event, which is

related to operational risks, but do not result in financial loss.

Example:

Corroded oil pipeline were discovered and repaired before inflicted any

accidents.

The benefit of Near-Miss Management for Organization:

► Near-miss event database that can be used as a lesson learned.

► As a tools to ensure that all near-miss events have been managed

well.

► As a consideration in risk identification process.

► As a reporting tools for near-miss events that almost caused a

financial loss to the organization.

Source: http://www.proshieldsafetysigns.co.uk/signs/A_near_miss_today_poster_58183.html

Near-Miss Event Examples

Source: energitoday.com

Loss Event Management

Loss Event Management (LEM) is a process of documenting and managing all events which has

resulted in actual loss (Loss Events).

Example:

Oil spill

Workplace accident

The benefit of Loss-Event Management for organization:

► Loss-event database that can be used as a lesson learned.

► As a tools to ensure that all loss-events have been managed well.

► As a consideration in risk identification process.

► As a reporting tools for loss-events that caused a financial loss to the organization. So that, such a loss

can be prevented.

Loss Event Management Examples

Source: http://www.telegraph.co.uk

Source: http://www.theguardian.com

Source: http://www.abc.net.au

Source: http://allafrica.com

Source: http://abc7.com

Study case: Air asia

*Source: Kemenhub, Reuters, Kompas

“Hal apakah yang menjadi penyebab utama kecelakaan Air Asia QZ8501?”

What actually happened? (1/2)Hasil investigasi Komite Nasional Keselamatan Transportasi (KNKT)

*Source: National Geographic, Antaranews

► Dalam laporan yang dipublikasikan oleh KNKT, salah satu modul elektronik pengontrol Rudder Travel Limitter Unit

(RTLU) memiliki retakan panjang di sekeliling solderan di papan PCB yang memutus arus listrik secara terus-menerus

dan membuat RTLU gagal berfungsi.

► Disimpulkan, keretakan tersebut bisa diakibatkan oleh siklus panas yang dihasilkan saat perangkat menyala dan

dimatikan, serta perbedaan kondisi lingkungan di darat dan di udara.

► Terputusnya arus listrik dalam papan sirkuit yang mengontrol RTLU inilah yang memunculkan pesan di kokpit yang

berulang-ulang.

► Data FDR (flight data recorder) menunjukkan bahwa komputer penerbangan di-reset saat berada di udara dengan cara

mencabut kedua sekring yang ada di kokpit setelah pesan peringatan RTLU muncul ke empat kalinya sepanjang

penerbangan.

► Dengan me-reset komputer penerbangan, beberapa proteksi terhadap attitude pesawat menjadi mati, termasuk proteksi

yang menjaga agar pesawat tidak bergerak di luar batas kendali.

► Pesawat kemudian banking (miring) ke kiri dua kali hingga 54 derajat, dan sempat menanjak hingga ketinggain 38.000

kaki dengan sudut serang (angle of attack) tinggi, nyaris 50 derajat ke atas sehingga menyebabkan pesawat kehilangan

daya angkat, fenomena yang disebut stall.

What actually happened? (2/2)Hasil investigasi Komite Nasional Keselamatan Transportasi (KNKT)

*Source: National Geographic, Antaranews

► Investigasi KNKT menunjukkan gangguan pada sistem RTL sebelumnya sudah pernah terjadi dan dialami pilot QZ8501

dan pada saat itu dapat diatasi oleh teknisi pesawat, salah satunya dengan melakukan reset terhadap Circuit Breaker

(CB) pada Flight Augmentation Computer (FAC).

► Investigator KNKT menduga, penanganan berbeda dilakukan pilot setelah mengingat apa yang dilakukan teknisi

beberapa hari sebelumnya.

► Kemungkinan pilot melakukan reset ulang CB untuk mengatasi gangguan pada RTL. Hal tersebut ternyata

menonaktifkan Flight Augmentation Computer (FAC) 1 dan 2. Dugaan muncul bahwa pilot ingin melakukan suatu

improvisasi untuk mengatasi tanda peringatan yang terus menyala meski sudah dimatikan sebanyak tiga kali.

► Menurut KNKT, gangguan tiba-tiba pada RTL sebenarnya bukan masalah signifikan yang membahayakan penerbangan

saat itu. Pesawat dapat tetap melanjutkan perjalanan seperti biasa jika pilot mendiamkan sinyal peringatan yang

menunjukkan gangguan RTL.

► KNKT juga menemukan bahwa terjadi 23 kali gangguan yang terkait sistem RTL di dalam pesawat AirAsia QZ8501 dalam

12 bulan terakhir pada 2014 dan selang waktu antara kejadian menjadi lebih pendek dalam tiga bulan terakhir.

► KNKT mengatakan sistem perawatan yang ada saat itu belum memanfaatkan post flight report (PFR) secara optimal,

sehingga gangguan RTL yang berulang tidak terselesaikan secara tuntas.

Reputational risk

Reputation is driven as much by

perception as performance, and it is

multidimensional

Each group of stakeholders will

have its own view of the reputation

of the company, based on the

particular aspects of the function

that is relevant to the stakeholder.

Reputational risk

*Source: Reputational Risk Management in Central Banks, Vardy, Jill, Bank of Canada, 2015-16

The conduct of company’s operational activities inherently involves several types of risk that can influence the perceptions of stakeholders

and the broader public about the credibility and performance of the Company, creating a reputational risk.

How well stakeholder

understand, support

and trust company’s

operation

Behavior of company’s

senior leadership

Responsiveness to

public enquiries

Emergency procedures

preparedness

Reputation is affected by:

Transparency

Employment practices

Political risk

Political risk - What is “Political risk”?

Sumber: Global political risk and its impacts on business, an Executive Education Short Course EurasiaGroup Politics First NYU Stern, 2016

Political risk is any change or event that alters the expected value of given economic action

Unpacking political risk: drivers

Sumber: Global political risk and its impacts on business, an Executive Education Short Course EurasiaGroup Politics First NYU Stern, 2016

Project risk

Project risk managementOverview

► Project Risk is an uncertain event or condition that, if occurs, has a positive or negative impact on one or more

project objectives such as scope, schedule, cost, and quality.

► Project Risk Management process includes :

Project Risk

Management

Processes

Plan Risk Management

Identify Risks

Perform Qualitative Risk

Analysis

Perform Quantitative

Risk Analysis

Plan Risk Responses

Control Risks

1

2

3

4

5

6

Source: PMBOK Guide

Individual project risks are different from overall project risks. Overall project risk represents the effect of uncertainty on the project as a whole. It is more than the sum of the individual risks within a project.

Objectives of project risk management :

and

Decrease the likelihood and impact of negative events

Increase the likelihood and impact of positive events

Part II: Mengenal Enterprise Risk Management (ERM)

Manajemen RisikoPengertian dan Manfaat

Manajemen Risiko adalah suatu sistem yang dirancang untuk mengidentifikasi, menganalisa, dan

mengendalikan risiko yang mungkin terjadi pada setiap proses bisnis institusi, baik yang timbul karena faktor

eksternal maupun internal, yang berpotensi menghambat pencapaian tujuan institusi.

Tujuan

1Memastikan risiko-risiko institusi telah teridentifikasi dan diukur tingkat signifikansinya, serta dibuatkan

rencana mitigasinya.

2Memastikan rencana mitigasi telah dilaksanakan sehingga dapat meminimalisasi dampak dan

kemungkinan terjadinya risiko-risiko institusi secara efektif.

3Memberikan rekomendasi kepada manajemen institusi mengenai risiko-risiko yang mungkin terjadi serta

usulan penanganannya.

Definisi Enterprise Risk Management (ERM)

Definisi ini dapat diartikan bahwa:

► Setiap karyawan perusahaan wajib melakukan identifikasi, penilaian,

penanganan dan pemantauan risiko secara proaktif.

► Setiap karyawan bertanggung jawab untuk mengelola risiko.

► Pimpinan Perusahaan untuk mengkaji dan sadar akan risiko yang signifikan

terhadap institusi.

Secara singkat, ERM adalah:

1. Mengetahui semua “risks that matter”.

2. Menangani risiko secara sistematis.

3. Memantau penanganan risiko secara rutin dan berkala.

4. Melaporkan secara rutin mengenai “risks that matter”.

5. Mengomunikasikan kepada seluruh pemangku kepentingan.

Identifikasi

Risiko

Pengukuran dan

penilaian Risiko

Pelaporan dan

Pemantauan

Penanganan

Risiko

1

23

4

Apakahterdapatrisiko?

Apa yang harusdilakukan?

Seberapa besarrisikonya?

Memantau danmenemukancara kelolayang baru

Reviu dan perbaikan risiko daripimpinan organisasi

“The culture, capabilities, and practices, integrated with

strategy-setting and performance, that organizations rely on

to manage risk in creating, preserving, and realizing value”

Source: COSO ERM 2017: Integrating With Strategy and Performance

Menurut COSO ERM 2017 :

ERM Berperan untuk Mengidentifikasi Akar Permasalahan dari Sebuah Risiko

Identifikasi

penyebab

Identifikasi akar

permasalahan

Sumber daya manusia yang terlibatdalam proses

Bagaimana proses dilakukan dankebutuhan khusus untukpengerjaannya (seperti: kebijakan, prosedur, peraturan dan hukum)

Peralatan yang dibutuhkan untukmenyelesaikan pekerjaan (seperti: komputer, peralatan lainnya)

Bahan baku yang digunakan untukmemproduksi produk akhir (seperti: kertas, pulpen, suku cadang, dsb)

Kondisi lingkungan tempat beroperasi(seperti: lokasi, waktu, temperaturdan budaya) Lingkungan

Material

Peralatan

Sumberdaya

Manusia

Metodologi

Mengukur akar

permasalahan

Manfaat ERM bagi Institusi

Pencapaian tujuan strategis institusi

Peningkatan efektivitas tata kelola institusi

Potensi pengurangan cost dan losses

Pengambilan keputusan bisnis yang lebih baik

Manajemen risiko yang sistematis

No adverse surprise!!

“Manajemen Risiko Naik Kelas”

Komponen ERM yang terintegrasi

Quiz 2:Overview ERM

1. Apakah definisi ERM?

2. Sebutkan secara singkat langkah-langkah dalam ERM!

3. Apa manfaat dari ERM untuk organisasi?

4 1

23

The role of risk in strategy selection

Source: COSO ERM 2017: Integrating with Strategy and Performance p. 4-5

The role of risk

in strategy

selection

Two aspects to enterprise risk

management that can have far

greater effect on an entity’s

value: the possibility of the

strategy not aligning, and the

implications from the strategy

chosen.

01 The possibility of the strategy not aligning with an

organization’s mission, vision, and core values.

A chosen strategy must support the organization’s mission and vision. A

misaligned strategy increases the possibility that the organization may not realize

its mission and vision, or may compromise its values, even if a strategy is

successfully carried out.

Therefore, enterprise risk management considers the possibility of strategy not

aligning with the mission and vision of the organization.

When management develops a strategy and works through alternatives with the

board, they make decisions on the trade-offs inherent in the strategy. Each

alternative strategy has its own risk profile*—these are the implications arising

from the strategy.

The board of directors and management need to determine if the strategy

works in tandem with the organization’s risk appetite, and how it will help drive

the organization to set objectives and ultimately allocate resources efficiently.

02 The implications from the strategy chosen.

Risk Capacity, Tolerance on Performance Target and Risk Appetite

Source: COSO ERM 2017: Integrating with Strategy and Performance p. 132, 212, and 213

1Risk Capacity

The maximum amount of risk that an entity is able to absorb in the pursuit of strategy and business objectives.

2Risk Appetite

The types and amount of risk, on a broad level, an organization is willing to accept in pursuit of value.

3Tolerance

The boundaries of acceptable variation in performance related to achieving business objectives.

4Risk Profile

A composite view of the risk assumed at a particular level of the entity, or aspect of the business that positions.

Risk culture

Risk Culture Framework

Budaya sadar risiko didefinisikan sebagai norma perilaku untuk individu dan kelompok dalam suatu organisasi yang

menentukan kemampuan kolektif untuk mengidentifikasi dan memahami, berdiskusi secara terbuka, dan bertindak

atas organisasi saat ini dan risiko masa depan.

Komponen Mekanisme Budaya Sadar Risiko

Leadership Tone from the top menetapkan perilaku yang diharapkan oleh Pimpinan dan

menyelaraskan dengan perilaku saat ini

Behavior model mencakup standar perilaku risiko yang ditetapkan, dinilai, dan

ditanamkan ke dalam proses manajemen kinerja

Organization Roles and responsibilities jelas diartikulasikan dan dipahami dengan baik, dan

akuntabilitas manajemen risiko telah didefinisikan dengan baik dan ditetapkan

Risk governance efektif dan dapat memfasilitasi komunikasi secara terbuka

Risk

framework

Risk appetite diartikulasikan dengan jelas dan dipahami dengan baik serta selaras

dengan strategi organisasi serta digunakan dalam pengambilan keputusan di

seluruh tingkatan di dalam organisasi

Risk transparency dilihat melalui adanya pelaporan risiko yang jelas dan

komprehensif, termasuk identifikasi dan agregasi risko yang bersifat forward

looking

Incentives Rewards mencakup pertimbangan aspek risiko dan perilaku dalam menentukan

kompensasi dan promosi pegawai

Employee life cycle mencakup proses rekrutmen, penerimaan pegawai baru,

sosialisasi atas perilaku yang diharapkan, dan manajemen risiko yang efektif

Risk biases

• Group Think—lack of diversity

• Framing/anchoring—being influenced by how questions are asked even when they amount to

the same thing

• Over-confidence—especially when you did the thinking (don't believe everything you think!)

• Recency effect—over-weighting things that happened recently

• Status quo—favoring the current situation even if it may be inferior; also change resistance

• Halo effect—thinking somebody is perfect because they do certain things well

• Tiny risks—ignoring tiny risks—especially if they are hard to understand or come in complex

chains or the impact is far away

• Fright factors—snakes and sharks

• Hindsight—overweighting the chance that something might have happened based on

knowledge that it did happen

• Confirmation bias—seeing only the points that confirm your view

• Availability—giving undue weight to scenarios that are that are easily to think of (are there more

words with R as a first or third letter?)

• Representation bias—falsely finding patterns and analogies

• Power effect—over-weighting the perceptions of people in power

Source: Embedding Risk Management, The Institute of Risk Management

Modul 2: Principles in risk assessment

Proses ERM

Proses ERM

Pelaporan dan Pemantauan

Pemantauan dilakukan secara berkala dan hasilnya

dilaporkan kepada pimpinan.

Identifikasi Risiko

Identifikasi risiko mencakup:

► Identifikasi risiko secara top down

► Identifikasi risiko secara bottom up

► Identifikas emerging risk

Penanganan Risiko

Penanganan risiko untuk mengendalikan

eskposur risiko.

Pengukuran dan Penilaian Risiko

► Risiko dinilai dan diukur berdasarkan

signifikansi eksposur risiko.

► Risiko yang tidak dapat dikuatifikasi dilakukan

pengukuran dan penilaian secara kualitatif.

Identifikasi

Risiko

Pengukuran

dan Penilaian

Risiko

Pelaporan

dan

Pemantauan

Penanganan

Risiko

1

23

4

Melihat Lebih Dekat Proses ERM

► Penentuan kriteriadampak dankecenderungan

► Identifikasi risiko

► Mengukur tingkatdampak dankemungkinan atasrisiko-risiko

► Melaksanakanrencana mitigasi risikoyang sudah disusun.

► Pemantauan danpelaporan dari hasilkegiatan mitigasirisiko

Identifikasi

Risiko

Pengukuran

dan Penilaian

Risiko

Pelaporan

dan

Pemantauan

Penanganan

Risiko

1

23

4

Risikoapasaja?

Apa yang harusdilakukan?

Seberapabesarrisikonya?

Memantaudanmenemukancara kelolayang baru

Proses ERM

yang

melibatkan

semua pihak

dalam

organisasi

Langkah 1 – Identifikasi Risiko

Siklus ERM Dimulai dengan Proses Identifikasi Risiko

Dalam melakukan identifikasi risiko,

divisi/unit kerja dapat menggunakan

referensi-referensi sebagai berikut:

► Kasus-kasus yang memiliki

potensi untuk timbul sebagai

risiko.

► KPI/Target Quality Division

► Hasil/temuan audit

► Kejadian-kejadian di masa lalu

yang memiliki dampak terhadap

pencapaian tujuan organisasi.

► Titik risiko pada proses bisnis

► Proses identifikasi risiko bertujuan untuk menemukan, mengenali, dan mendeksripsikan

risiko-risiko yang dapat mempengaruhi pencapaian visi/misi/sasaran strategis organisasi.

1. Identifikasi RisikoPendekatan dalam Identifikasi Risiko (2/2)

Emerging risk dapat berupa kejadian baru dan tak terduga dan/atau evolusi dari risiko yang sudah ada sebelumnya, tetapi

belum sepenuhnya dapat dipahami atau belum terdapat di dalam proses bisnis.

Karakteristik

Utama

Sulit untuk dikuantifikasi dampaknya terhadap permodalan, pendapatan, likuiditas, dan reputasi

Sulit untuk diestimasi waktu keterjadiannya, misalnya dapat terjadi di tahun ini, tahun depan, atau tiga tahun ke depan

Pada umumnya timbul dikarenakan trend global dan seringnya di luar kendali dari organisasi

1. Identifikasi RisikoPendekatan dalam Identifikasi Risiko (2/2)

Dalam mengidentifikasi emerging risk dapat menggunakan pendekatan PESTLE (Political, Economic,Social, Technological,

Legal and Regulatory, and Environmental)

Political

Environmental

E

T

E

L S

Emerging

risks

drivers

► International and national environmental

issues/regulations

Legal and Regulatory

► Current and future legislation

► United States legislation/regulation

► Environmental lawsTechnological

► Technology development

► Internet access and availability

► Information and communication systems

Economic

► Exchange Rates

► Inflation

► Taxation

► Insurance industry cycle

Social

► Media views

► Demographics/ethics

► Buying trends

► Elections

► Government policies

► Terrorism

P

1. Identifikasi RisikoSumber Risiko

Risiko dapat bersumber dari kejadian yang sudah pernah terjadi, yang hampir terjadi (near-miss event) maupun kejadian yang belum pernah terjadi tapi merupakan kemungkinan kejadian yang bisa terjadi

Kategori Risiko menurut EY

LegalRegulatory

Code ofconduct

GovernancePlanning and

resource allocation

Major initiatives

Mergers,acquisitions and

divestitures

Accounting andreporting

Liquidityand credit

Physicalassets

Hazards

People andhuman

resourcesSupply chain

InformationTechnology

(IT)

Sales andmarketing

Compliance

Strategic

Communication and investor

relations

Marketdynamics

Market

Operations

Capitalstructure

Financial Tax

Revenuecycle

Researchand

development

Risk Universe

Sumber Risiko

► Dari kejadian insiden atau occurrence yang

sudah terjadi sebelumnya baik dari internal

maupun eksternal yang mempengaruhi tujuan

organisasi.

► Dari Near–miss event yang merupakan

serangkaian kejadian atau hasil observasi atas

kondisi yang tidak normal yang berpotensi

menimbulkan kerusakan.

► Dari kejadian-kejadian atau event yang belum

pernah terjadi namun memiliki potensi dapat

terjadi apabila risiko tersebut tidak ditangani.

Risk Register

No Risk Event Risk Owner Risk Cause Existing Control Dampak KecenderunganRencanaMitigasi

Ilustrasi Risk Register

Kejadian atau isu yang disebabkan oleh

faktor internal maupun eksternal yang

secara negatif mempengaruhi

pencapaian tujuan organisasi.

Aktivitas internal organisasi

atau faktor eksternal yang

dapat menyebabkan

organisasi terpapar terhadap

risiko.

Nilai kecenderungan dari

risiko yang diukur dengan

menggunakan kriteria

pengukur kecenderungan

risiko (contoh: low - very high)

Rencana mitigasi yang

disarankan/

direkomendasikan untuk

mengurangi eksposur risiko.

Nilai dampak dari risiko yang diukur

dengan menggunakan kriteria pengukur

dampak risiko (contoh: low- very high) –

Satu risiko dapat memiliki lebih dari satu

dampak.

Personil/ unit yang

paling dapat

memitigasi atau

mengoordinasi upaya

mitigasi risiko.

Inisiatif pengendalian

yang telah dilakukan

untuk mengurangi

tingkat dampak/

kecenderungan risiko

Langkah 2 – Pengukuran dan Penilaian Risiko

2. Pengukuran dan Penilaian RisikoTujuan Pengukuran dan Penilaian Risiko

Pengukuran danpenilaian risiko



Pengukuran dan penilaian risiko merupakan suatu

proses yang dirancang untuk menilai dan menganalisa

tingkat dampak (impact) dan kecenderungan

(likelihood) suatu risiko sehingga dapat diketahui

besarnya pengaruh risiko (risk exposure) tersebut

kepada organisasi.

Pengertian

Pengukuran risiko bertujuan untuk mengukur tingkat

dampak dan kecenderungannya. Penilaian risiko

bertujuan untuk mengidentifikasi nilai eksposur risiko-

risiko serta risiko yang mempunyai dampak signifikan

(risk that matter) terhadap organisasi.

Tujuan

Identifikasi Risiko


Pemilihan“Riskthat matter”

Unit Kerja 1 Unit Kerja 2 Unit Kerja 3 Unit Kerja 4

2. Pengukuran dan Penilaian RisikoRisk Assessment Criteria Matrix (RACM)

RACM digunakan untuk mengukur tingkateksposur risiko, sekaligus memahami untukmemahami bahasa risiko lintas organisasi.

Tujuan

• RACM ditentukan oleh pimpinan organisasi.

• Menggambarkan selera, toleransi, dan batasanrisiko.

• Digunakan sebagai penggaris umum yang mengukur risiko.

Ketentuan

RACM adalah penggaris risiko yang berisikankriteria dampak dan kriteria kecenderunganterjadi. Kriteria dampak mengukur seberapabesar dampak risiko terhadap organisasi, sedangkan kriteria kecenderungan akan mengukurpeluang terjadinya risiko.

Pengertian Matriks kriteria dampak

Matriks kriteria kecenderungan

2. Pengukuran dan Penilaian RisikoPemetaan dan Prioritas Risiko

No Risk Event Dampak Kecenderungan

Peringkat

Dampak x

Kecenderungan

1. Penurunan

peringkat dunia

High Kemungkinan akan

terjadi (Medium)

High

2 Plagiarisme riset

dan publikasi oleh

mahasiswa

Very High Kemungkinan

besar akan terjadi

(High)

Significant

3 Kenaikan harga

buku

Medium Kemungkinan akan

terjadi (Medium)

Medium

4 Radikalisme di

kalangan

organisasi

kemahasiswaan

High Kemungkinan

besar akan terjadi

(High)

Significant

1

* Risk event di atas hanya digunakan sebagai contoh untuk kebutuhan ilustrasi

2

3

4

Dengan mengukur dan menilai risiko, organisasi dapat mengetahui nilai eksposur risiko dan signifikansi risiko

Langkah 3 – Penanganan Risiko

3. Penanganan RisikoPrioritisasi dalam Penanganan Risiko

Saat memformulasikan rencana penanganan

risiko, manajemen dan pemilik risiko (risk

owner) harus memprioritaskan penanganan

risiko berdasarkan hasil pemetaan tingkat

dampak dan kecenderungan risiko ke

dalam peta risiko.

Prioritas utama diberikan kepada risiko-risiko

yang terletak pada area merah atau risiko-

risiko yang memiliki dampak significant.

Area yang menjadi perhatian

manajemen

3. Penanganan RisikoTujuan Penanganan Risiko

Peran semua karyawan dalam penanganan risiko:

• Memberikan masukan dan feedback terhadap rencana penanganan dan mitigasi risiko kepada atasan terkait (risk

owner)

• Membantu dalam memberikan masukan terkait dengan sumber daya/biaya yang dibutuhkan untuk rencana

penanganan dan mitigasi risiko

Penanganan risiko bertujuan untuk mengidentifikasi pilihan-pilihan yang dapat diambil untuk menangani

suatu risiko serta tahapan-tahapan pelaksanaannya dan sumberdaya yang dibutuhkan.

“Agar penanganan risiko dapat berjalan dengan baik, dibutuhkankerjasama dan koordinasi antara semua level karyawan dan atasan(risk owner) dan juga perwakilan unit manajemen risiko (risk officer)

di setiap unit kerja.

3. Penanganan RisikoPilihan dalam Penanganan Risiko

Beberapa pilihan penanganan risiko yang dapat dipertimbangkan :

ACCEPT

SHARE AVOID

Menghindari eksposur terhadap kejadian-

kejadian yang dapat menimbulkan risiko

tersebut di waktu mendatang. Opsi ini

dapat dipilih untuk risiko-risiko yang tidak

dapat ditoleransi organisasi karena

memiliki dampak signifikan tinggi.

REDUCE

Mengurangi eksposur risiko sampaikepada tingkat yang dapat diterimaorganisasi dengan cara memfokuskanupaya pengurangan impact dan likelihoodmelalui pembuatan rencana mitigasi risikodan melakukan pengendalian secara rutin.

PURSUE

Opsi penanganan risiko ditujukan untukmengurangi eksposur risiko dengancara memindahkan risiko kepada pihakketiga yang independen, misalnyaoutsourcing, membeli asuransi, dansebagainya.

Risiko diterima dengan tidak

mengambil langkah penanganan lebih

lanjut. Opsi ini dapat dipilih untuk

risiko-risiko yang dianggap tidak

signifikan atau memiliki tingkat

eksposur risiko rendah bagi organisasi.

Penanganan risiko dilakukan dengan

menerima eksposur risiko yang

meningkat dengan tujuan untuk

menghasilkan kinerja yang lebih baik.

Langkah 4 – Pemantauan dan Pelaporan Risiko

4. Pemantauan dan Pelaporan RisikoTujuan Pelaporan dan Pemantauan Risiko

► Memperoleh informasi terkini yang akurat mengenai rencana mitigasi risiko yang dapat digunakan untuk

membantu pengambilan keputusan yang lebih baik.

► Memperoleh pemahaman mengenai jenis dan cakupan risiko untuk mencegah terjadinya risiko dan

menganalisis kerugian yang sudah terjadi sebelumnya (historical losses).

Untuk menyediakan feedback terkait dengan efektivitas dan kinerja

proses ERM

Untuk memantau perkembangan dari implementasi penanganan risiko

Tahunan

(Annually)

Triwulanan

(Quarterly)

4. Pemantauan dan Pelaporan RisikoTujuan Pelaporan dan Pemantauan Risiko

• Menjalankan rencana penanganan dan mitigasi

risiko yang sudah disusun bersama dengan atasan

terkait (risk owner)

• Secara berkala melaporkan efektifitas dan

kecukupan dari penanganan dan mitigasi risiko

yang sudah dijalankan

• Mengidentifikasi risiko-risiko baru yang muncul dan

secara proaktif melaporkannya ke atasan terkait

(risk owner)

4. Pemantauan dan Pelaporan RisikoInformasi yang Dapat Diperoleh dari Proses Pemantauan dan Pelaporan Risiko

Pro

ses

pe

ma

nta

ua

nri

siko

Penanggung jawab yang memberikan persetujuan (sign off)

Justifikasi status penyelesaian

Kemajuan dari penyelesaian rencana mitigasi risiko

Tingkat eksposur risiko baru yang diharapkan

Pelaporan

Informasi yang setidaknya dapat dilaporkan dari proses pemantauan dan pelaporan risiko adalah:

Modul 3: Studi kasus: Top risks in selected industries

Mining & metals

Top risks in mining & metals sector

Source: https://www.ey.com/en_gl/mining-metals/10-business-risks-facing-mining-and-metals

Top 10 risks in mining & metals:

Digital effectiveness1

Competitive shareholder returns2

Cyber3

New world commodities4

Regulatory risk5

Cash optimization6

Social license to operate7

Resource replacement8

Access to and optimization of energy9

Managing joint ventures10

Telecommunication

Top risks in telecommunication sector

Source: EY Top 10 risk in telecommunications revisited 2016 publication

Top 10 risks in telecommunication sector:

Failure to realize new roles in evolving industry ecosystems1

Lack of regulatory certainty on new market structures2

Ignoring new imperatives in privacy and security3

Failure to improve organizational agility4

Lack of data integrity to drive growth and efficiency5

Insufficient performance measurement to drive execution6

Failure to understand what customers value7

Inability to extract value from network assets8

Poorly defined inorganic growth agenda9

Failure to adopt new routes to innovation10

Aerospace & Defense

Top risks in aerospace & defense (A&D) sector

Source: EY publication on top 10 risks in aerospace and defense (A&D) – 2017

Top 10 risks in A&D:

Volatility in geopolitical and economic environment1

Managing the supply chain2

Competition in domestic and international markets3

Managing and retaining talent4

Ability to perform on key contracts5

Compliance to a wide range of regulations and restrictions6

Capacity to innovate7

Failure to realize the benefits of M&As and partnerships8

Exposure to cybersecurity events9

Foreign currency and commodity price fluctuations10

Higher-education

Kategori Risiko untuk Sektor Pendidikan Tinggi

Penutup: Kunci keberhasilan penerapan ERM

Aspek-aspek Penting dalam Penerapan ERM

0 10 20 7030 40 50 60

76

66

70

66

53

50

56

* EYI Global

Risk Survey

Q: Seberapa pentingkah faktor di bawah ini untuk kesuksesan manajemen risiko di suatu organisasi?

Kepemilikan risiko yang jelas

Keterlibatan manajemen

Pendekatan yang terintegrasi

Pemahaman di seluruh bagian organisasi

Mekanisme mendiskusikan atau mengkomunikasikan risiko

Fungsi pengelolaan risiko yang terdedikasi

Strategi manajemen risiko yang terdokumentasi

Pendekatan untuk Keberhasilan Penerapan ERM

Risk

Officer

Risk

Officer

Risk

Officer

Risk

Officer

Risk

Officer

Eskala

si

Apakah terdapat arahan yang jelas dari pimpinan organisasi?

Tone from the top adalah sebuah keharusan!

Risiko adalah tanggungjawab semua orang dan

kesadaran akan pentingnya nilai ERM adalah sebuah

kebutuhan

Bagaimana kita mengidentifikasi kejadian yang dapat

mempengaruhi kontinuitas bisnis?

Apakah kita sudah mendefinisikan nilai dalam implementasi

ERM dengan baik?

Identifikasi Risks that Matter akan meningkatkan

efektivitas alokasi sumber daya

ERM adalah tentang eskalasi risiko

Risiko apa yang harus mendapatkan prioritas?

Pimpinan Organisasi

Unit Manajemen Risiko

Risiko

Risiko

Risiko

Risiko

Risiko

Risiko

Risiko

Risk

Owner

Risk

Owner

Risk

Owner

Risk

Owner

Risk

Owner

Kesimpulan

ERM adalah Suatu Perjalanan

Rentang waktu

Perencanaan

Strategis

Sumber

Daya

Manusia

Pengawasan

Internal Keuangan

Operasional

Hukum

ERMERM

• Pengukuran dan pengelolaan risiko

pada tingkat fungsional ataupun unit

• Aktivitas pengukuran risiko yang

tidak dinamis

• Keterbatasan alih pengetahuan

terkait dengan risiko antara

fungsi/unit bisnis

Silos

• Unit manajemen risiko yang

independen

• Executive level sponsorship.

• Kerangka kerja ERM

• Risk universe yang bersifat umum.

• Pengukuran risiko organisasi

• Komite manajemen risiko

• Key risk indicators

• Kebijakan ERM

• Proses manajemen risiko yang

terintegrasi

• Pelaporan dan pengukuran risiko

secara sistematis dan terintegrasi

• Terhubungnya manajemen risiko

dengan alokasi modal

• Proses manajemen risiko berbasis

teknologi

• Risk universe digunakan di seluruh

komponen di organisasi

• Aktivitas manajemen risiko

terintegrasi dengan teknologi

• Pengukuran risiko yang tertanam

pada perencanaan strategis dan

penyusunan anggaran.

• Hasil pengukuran kuantitatif dan

kualitatif digunakan dengan

maksimal

IntegrationAwareness ERM

Lesson Learned

► ERM berperan sebagai media untuk melakukan komunikasi dan

kolaborasi yang lebih baik dalam organisasi.

► Mengalokasikan waktu untuk melakukan identifikasi, pengukuran

dan penilaian, penanganan, serta pemantauan dan pelaporan

risiko secara proaktif sehingga dapat memberikan nilai secara

jangka panjang.

► ERM yang efektif melibatkan semua pihak dalam organisasi.

Semakin banyak kolaborasi. maka semakin baik.

► Pengimplementasian ERM seharusnya menjadi tanggung jawab

semua pihak dalam organisasi sehingga kolaborasi dan

komunikasi antara pihak adalah kunci untuk mengimplementasikan

ERM dengan baik.

Sharing session on Risk Management

FEB UI

Bangkit Kuncoro

August 2018

Thank You!

Sharing session dan workshop penerapan Enterprise Risk ...

Documents

Transcript of Sharing session dan workshop penerapan Enterprise Risk ...