sharing session dan workshop penerapan enterprise risk
TRANSCRIPT
Universitas Airlangga
November 2018
Sharing session dan
workshop penerapan
Enterprise Risk Management
(ERM)
Bangkit KuncoroPartner – Ernst & Young (EY)
Pengalaman Bekerja:
1.Bekerja selama 31 tahun di EY (sebagai Partner di EY selama 20 tahun).
2.Partner di Advisory Services / consulting (Risk Advisory & Performance Improvement).
3.Menangani consulting implementasi manajemen risiko dan internal control di lebih dari 50 perusahaan/lembaga
negara dalam 10 tahun terakhir. Saat ini sedang memimpin penugasan transformasi manajemen risiko terintegrasi
di beberapa lembaga negara dan perusahaan.
4. Klien-klien yang ditangani mencakup, antara lain :
a. Lembaga-lembaga pengawas industri dan beberapa kementerian
b. Bidang infrastruktur, antara lain : lembaga pengatur infrastruktur, perusahaan pendanaan pembangunan
infrastruktur, Badan Usaha Jalan Tol, penjaminan Infrastruktur, dan ketenagalistrikan
c. Perbankan, BUMN non bank, perusahaan swasta, dan perusahaan swasta multi-nasional.
5. Bidang keahlian dan pengalaman mencakup:
a. Risk Management, Internal Control; d. Organizational Transformation
b. Strategy Development; e. Governance;
c. Process Improvement; f. Program Management.
Pendidikan• Master of Science in Risk
Management, New York
University Leonard N. Stern
School of Business (2015-2016).
• Sarjana Akuntansi, FEB
Universitas Airlangga, lulus
1986.
Sertifikasi• Certified Public Accountant,
Certified Internal Auditor
• Mengikuti pelatihan di bidang
strategi, risk, finance, managing
professional services firm, talent
management, digital marketing
di Harvard Business School,
New York University, Oxford
University, INSEAD, The IRM &
internal EY.
Eriska Juwita SiregarManager – Ernst & Young (EY)
Pengalaman Bekerja:
1. Terlibat dalam proyek konsultasi manajemen risiko, pengendalian internal, audit internal, dan tata kelola di berbagai
industri, baik lembaga pemerintahan dan BUMN terkemuka ataupun swasta di Indonesia.
2. Daftar klien antara lain meliputi:
a. Regulator di berbagai industri seperti Bank Sentral, KSEI, dan Lembaga Penjamin Simpanan
b. Institusi Keuangan, seperti bank-bank BUMN, bank swasta, dan perusahaan multifinance
c. Sektor infrastruktur, seperti BUMN di bidang infrastruktur
d. BUMN non-bank dan perusahaan swasta non-bank
3. Bidang pengalaman dan keahlian mencakup:
a.Risk management review and enterprise risk assessment
b.Risk management maturity assessment
c. Risk management implementation
d.Risk capacity and risk appetite development
e.Internal audit transformation and integrated risk management
f. Risk based policy evaluation and risk based SOP development
g.Valuation of financial instrument and derivatives
Pendidikan
• Magister Manajemen,
Fakultas Ekonomi dan
Bisnis, Universitas
Indonesia
• Sarjana Kedokteran Gigi,
Fakultas Kedokteran
Gigi, Universitas
Indonesia
Raiditya Priatama RoebionoSenior – Ernst & Young (EY)
Pengalaman Bekerja:
1. Terlibat dalam proyek konsultasi manajemen risiko, pengendalian internal, audit internal, dan tata kelola di berbagai
industri, terutama lembaga pemerintahan dan BUMN terkemuka di Indonesia.
2. Daftar klien antara lain meliputi:
a. Bank Sentral, KSEI, Lembaga Penjamin Simpanan, Kemenkominfo, dan regulator keuangan lainnya
b. SKK Migas, PT PLN (Persero), Garuda Indonesia, PT Len (Persero), dan BUMN lainnya
3. Bidang pengalaman dan keahlian mencakup:
a.Risk management review
b.Enterprise risk assessment
c. Risk management implementation
d.Risk management maturity assessment
e.Risk assessment program preparation
f. Internal audit transformation and integrated risk management
g.Risk based SOP development and improvement
h.Valuation of financial instrument and derivatives
Pendidikan
• Sarjana Manajemen,
School of Business and
Management, Institut
Teknologi Bandung
Agenda
1 Modul 1: Mengenal risiko dan Enterprise Risk Management (ERM)
• Overview of risk
• Mengenal ERM
2 Modul 2: Principles of Risk Assessment
• Risk identification
• Risk assessment
• Risk mitigation
• Risk monitoring
3 Modul 3: Studi kasus: Top risks in selected industries
• Aerospace & Defense Industry
• Mining Industry
• Higher-education sector
• Telecommunication sector
Sharing session on Risk Management
FEB UI
Bangkit Kuncoro
August 2018
If there’s no reward
without risk, can risk
be a good thing?Some risks you can see, some you can
predict, some you can plan for, and the rest
you just have to embrace.
Let’s turn risk into result!
Tujuan dari Sosialisasi Penerapan Enterprise Risk Management (ERM)
► Peserta dapat memahami dan menjelaskan apa itu
risiko, sifat dasar risiko, dan kategori umum risiko.
► Peserta dapat memahami konsep dan implementasi
manajemen risiko, termasuk didalamnya kerangka kerja,
infrastruktur, dan proses ERM.
√
► Peserta dapat memahami tujuan dan proses ERM mulai dari
identifikasi, pengukuran dan penilaian, penanganan, serta
pemantauan dan pelaporan risiko.
√
√
► Peserta dapat memahami kaitan risiko dengan pencapaian
visi, misi, dan sasaran strategis organisasi.√
Definisi risikoDefinisi risiko
berdasarkan berbagai
sumberRischio
Italy, 15th
Century
Today Statistics
Finance
Webster
Bankers
Investment
Source: Ingo Walter. NYU STERN; Investopedia
DefinitionSource
► “Possible damage and negative”
► “Consequences due to unpredictable
circumstances”
► “Standard deviation of a frequency distribution”
► “The likelihood of loss”
► “Possibility of loss or injury
► “The probability of a credit event”
► “Probable recoveries”
► “The chance that an investment's actual return will
be different than expected”
► “The possibility of losing some or all of the original
investment”
Definisi risikoDefinisi risiko
berdasarkan standar
internasional/ COSO ERM
2017
“The possibility that events will occur and affect the achievement of
strategy and business objectives."
ISO 31000:
2018
“Risk as the effect of uncertainty on objectives. An effect is a
deviation from the expected. It can be positive, negative or both,
and can address, create or result in opportunities and threats.”
IIA“Risk is defined as the possibility that an event will occur, which will
impact an organization's achievement of objectives.”
Source: COSO ERM 2017 – Integrating with Strategy and Performance; ISO 31000:2018; IIA
Risiko dan Sifatnya
Risiko Eksternal (external risk)
Adalah risiko yang muncul dari kejadian yang berada diluar kontrol dan pengaruhinstitusi,
Contoh: Perubahan regulasi dari Pemerintahan Pusat yang mempengaruhi alurproses bisnis perusahaan
Risiko yang dapat dicegah (preventable risk)
Adalah risiko yang muncul dari kejadian yang berada dalam institusi. institusi
dapat mencegah risiko ini dengan meningkatkan kebijakan dan prosedur,
pemantauan reguler, sosialisasi, dan sebagainya.
Contoh: Kerusakan sarana, asset, dan fasilitas penunjang aktivitasoperasional perusahaan.
Risiko strategis (strategic risk)
Adalah risiko yang diambil oleh institusi untuk mendapatkan imbal balik strategis
yang lebih tinggi.
Contoh: Kegagalan eksekusi pelaksanaan program strategis perusahan.
Risk “meta-language”
SOURCES
(cause)
RISK
(uncertain event)
IMPACTS
(consequence
+ve/-ve)
time
OBJECTIVES / CONTEXT
SOURCES
(cause)
As a result of ..
Existing
condition
LANGUAGE
Is, do, has, has
not…[present condition]
IMPACTS
(consequenc
e+ve/-ve)
Which would lead
to… effect on
objectives.
LANGUAGE
Would, could…[conditional future]
RISK
(uncertain
event)
An uncertain
event.. may occur
LANGUAGE
May, might,
possibly…[uncertain future]
Source: Embedding Risk Management – The Institute of Risk Management
Quiz 1:Sifat dan Kategori Risiko
No Risiko Sifat Risiko
1. Kebakaran gedung head office
2.Perubahan regulasi Pemerintah
Pusat
3.Kesalahan dalam Pengelolaan
Keuangan Perusahaan
4.Ketidakoptimalan Pengelolaan
hardware sistem Perusahaan
5.Keterlambatan penyelesaian
Program Strategis Perusahaan
Credit risk
The credit risk management framework is a cycle consisting of five integrated steps that create a feedback loop
necessary for effective risk management
Identify
► Counterparty entity, ownership, and oversight
► Transaction details
► Credit Risk Mitigants (collateral, guarantees)
Measure
► Expected Loss metrics (PD, LGD, EAD)
► Forecasts and Stress Scenarios
Monitor
► Establishing credit limits
► Investigating and escalating breeches
Report
► Senior management and executives
► Business line and risk functions
Control
► Three lines of defense
Market riskOverview
Market risk is defined as the risk of adverse change to the economic condition of a firm due to variations in prices, rates, implied
volatilities or correlations of market risk factors (e.g., interest rates, FX, market liquidity, commodities, traded credit spreads,
mortgage OAS).
Direct market risk is market risk where changes in market risk factors have an immediate impact on the economic condition
of firms.
Indirect market risk is market risk where changes in market risk factors impact a firm’s economic condition as expressed
through non-market risk measures (e.g., credit risk, business risk) or via the occurrence of non-market risk events.
Firms define economic condition as changes to capital, earnings or both.
It is the responsibility of the business unit and risk management to identify market risks associated with the business’ activities,
including new, large or emerging risks.
Direct market risk examples Indirect market risk examples
Exposure due to securities, derivatives and funds that
are undertaken as part of trading activities
Exposure to the change in value of financial collateral
underlying secured financing positions upon the default of a
counterparty
Exposure from lending activities and the related
treasury asset liability interest rate risk and foreign
exchange exposure management activities
Exposure to market risk as a result of an operational risk
event, such as the inaccurate capture of a position in a system
Exposure from seed capital, private equity and other
equity investment activities; and other similar activities
Exposure to the change in net asset value of money-market
mutual funds supported by a firm
Market riskFramework
Identify
► Types of market risk factors and market risks
► Activities and business units that generate market risk
► market risk factor exposures
Measure
► Positions
► Risk factor sensitivities
► VaR
► Expected shortfall
► Stress tests/worst of worst analysis
Monitor
► Position and risk analysis
► Risk limits and independent oversight
► Reconciliation and exception handling
► Emerging risks
Report
► Production of summaries for management
► Attestation and sign-off
Control
► Analyze and explain risk measurement results
► Work with front office, finance and other functions to analyze and identify large, concentrated and/or emerging risks
► Escalate and work with lines of business to remediate limit and guidelines breaches or potential breaches
► Approve large/non-standard transactions
The market risk management framework is a cycle consisting of five integrated steps that create a feedback loop necessary
for effective risk management.
Operational risk: definition
Seven main categories of operational risk as defined by Basel II:
Internal Fraud1
External Fraud2
Employment Practices and Workplace Safety3
Clients, Products, and Business Practices4
Damage to Physical Assets5
Business Disruption and System Failures6
Business Disruption and System Failures7
Operational risk:
“The risk of loss resulting from inadequate or failed processes, people and systems or from external events. This
includes legal risk, but excludes strategic and reputational risk” – Basel II
Scope of operational risk
► Breach of fiduciary
responsibility
► Money laundering
► Sale of unauthorized
products
► Breach of privacy/Misuse of confidential customer information
► Cyber
threats/Hacking
► Misrepresentation
of information
► Theft
► Forgery
Operational risk
Execution, delivery, and
process management
Business disruption
and system failures
Damage to physical assets
Employment practices and
workplace safety
Internal fraud
External fraud
Clients, products and
business practices
► Settlement error
► Data input error
► Collateral management failures
► Hardware and software
failures
► Telecommunication
issues
► Utility outages
► Unauthorized/Rogue
Trading
► Theft/Embezzlement
► Bribery/Misconduct
► Natural disasters
► Failure to maintain
physical assets
► Workers’ compensation claims
► Violation of employee health and
safety
► Discrimination claims
Operational risk framework
Reporting
Measurement and Modelling
Risk and
Control Self-
assessment
Scenario
Analysis
Key Risk
Indicators
Internal
Loss Data
External
Loss Data
Policies and Procedures
Culture and Awareness
Go
ve
rna
nc
e
Ris
k A
pp
eti
te
Penerapan Operational Risk Managemnt di PerusahaanNear Miss, Loss Event, dan Key Risk Indicators (KRI)
Kondisi yang tidakaman
Tindakan yang tidak aman
Near Miss Loss Event
Sering diperlukannya maintenance terhadap lifting gear dapat mengindikasikan ada yang tidak beresdengan lifting gear tersebut.
“Batasan maksimum frekuensi maintenance lifting gear dalam suatu waktu” merupakan contoh KRI.
Near-Miss Management
Near Miss Management is a process of documenting and managing near miss event, which is
related to operational risks, but do not result in financial loss.
Example:
Corroded oil pipeline were discovered and repaired before inflicted any
accidents.
The benefit of Near-Miss Management for Organization:
► Near-miss event database that can be used as a lesson learned.
► As a tools to ensure that all near-miss events have been managed
well.
► As a consideration in risk identification process.
► As a reporting tools for near-miss events that almost caused a
financial loss to the organization.
Source: http://www.proshieldsafetysigns.co.uk/signs/A_near_miss_today_poster_58183.html
Loss Event Management
Loss Event Management (LEM) is a process of documenting and managing all events which has
resulted in actual loss (Loss Events).
Example:
Oil spill
Workplace accident
The benefit of Loss-Event Management for organization:
► Loss-event database that can be used as a lesson learned.
► As a tools to ensure that all loss-events have been managed well.
► As a consideration in risk identification process.
► As a reporting tools for loss-events that caused a financial loss to the organization. So that, such a loss
can be prevented.
Loss Event Management Examples
Source: http://www.telegraph.co.uk
Source: http://www.theguardian.com
Source: http://www.abc.net.au
Source: http://allafrica.com
Source: http://abc7.com
Study case: Air asia
*Source: Kemenhub, Reuters, Kompas
“Hal apakah yang menjadi penyebab utama kecelakaan Air Asia QZ8501?”
What actually happened? (1/2)Hasil investigasi Komite Nasional Keselamatan Transportasi (KNKT)
*Source: National Geographic, Antaranews
► Dalam laporan yang dipublikasikan oleh KNKT, salah satu modul elektronik pengontrol Rudder Travel Limitter Unit
(RTLU) memiliki retakan panjang di sekeliling solderan di papan PCB yang memutus arus listrik secara terus-menerus
dan membuat RTLU gagal berfungsi.
► Disimpulkan, keretakan tersebut bisa diakibatkan oleh siklus panas yang dihasilkan saat perangkat menyala dan
dimatikan, serta perbedaan kondisi lingkungan di darat dan di udara.
► Terputusnya arus listrik dalam papan sirkuit yang mengontrol RTLU inilah yang memunculkan pesan di kokpit yang
berulang-ulang.
► Data FDR (flight data recorder) menunjukkan bahwa komputer penerbangan di-reset saat berada di udara dengan cara
mencabut kedua sekring yang ada di kokpit setelah pesan peringatan RTLU muncul ke empat kalinya sepanjang
penerbangan.
► Dengan me-reset komputer penerbangan, beberapa proteksi terhadap attitude pesawat menjadi mati, termasuk proteksi
yang menjaga agar pesawat tidak bergerak di luar batas kendali.
► Pesawat kemudian banking (miring) ke kiri dua kali hingga 54 derajat, dan sempat menanjak hingga ketinggain 38.000
kaki dengan sudut serang (angle of attack) tinggi, nyaris 50 derajat ke atas sehingga menyebabkan pesawat kehilangan
daya angkat, fenomena yang disebut stall.
What actually happened? (2/2)Hasil investigasi Komite Nasional Keselamatan Transportasi (KNKT)
*Source: National Geographic, Antaranews
► Investigasi KNKT menunjukkan gangguan pada sistem RTL sebelumnya sudah pernah terjadi dan dialami pilot QZ8501
dan pada saat itu dapat diatasi oleh teknisi pesawat, salah satunya dengan melakukan reset terhadap Circuit Breaker
(CB) pada Flight Augmentation Computer (FAC).
► Investigator KNKT menduga, penanganan berbeda dilakukan pilot setelah mengingat apa yang dilakukan teknisi
beberapa hari sebelumnya.
► Kemungkinan pilot melakukan reset ulang CB untuk mengatasi gangguan pada RTL. Hal tersebut ternyata
menonaktifkan Flight Augmentation Computer (FAC) 1 dan 2. Dugaan muncul bahwa pilot ingin melakukan suatu
improvisasi untuk mengatasi tanda peringatan yang terus menyala meski sudah dimatikan sebanyak tiga kali.
► Menurut KNKT, gangguan tiba-tiba pada RTL sebenarnya bukan masalah signifikan yang membahayakan penerbangan
saat itu. Pesawat dapat tetap melanjutkan perjalanan seperti biasa jika pilot mendiamkan sinyal peringatan yang
menunjukkan gangguan RTL.
► KNKT juga menemukan bahwa terjadi 23 kali gangguan yang terkait sistem RTL di dalam pesawat AirAsia QZ8501 dalam
12 bulan terakhir pada 2014 dan selang waktu antara kejadian menjadi lebih pendek dalam tiga bulan terakhir.
► KNKT mengatakan sistem perawatan yang ada saat itu belum memanfaatkan post flight report (PFR) secara optimal,
sehingga gangguan RTL yang berulang tidak terselesaikan secara tuntas.
Reputation is driven as much by
perception as performance, and it is
multidimensional
Each group of stakeholders will
have its own view of the reputation
of the company, based on the
particular aspects of the function
that is relevant to the stakeholder.
Reputational risk
*Source: Reputational Risk Management in Central Banks, Vardy, Jill, Bank of Canada, 2015-16
The conduct of company’s operational activities inherently involves several types of risk that can influence the perceptions of stakeholders
and the broader public about the credibility and performance of the Company, creating a reputational risk.
How well stakeholder
understand, support
and trust company’s
operation
Behavior of company’s
senior leadership
Responsiveness to
public enquiries
Emergency procedures
preparedness
Reputation is affected by:
Transparency
Employment practices
Political risk - What is “Political risk”?
Sumber: Global political risk and its impacts on business, an Executive Education Short Course EurasiaGroup Politics First NYU Stern, 2016
Political risk is any change or event that alters the expected value of given economic action
Unpacking political risk: drivers
Sumber: Global political risk and its impacts on business, an Executive Education Short Course EurasiaGroup Politics First NYU Stern, 2016
Project risk managementOverview
► Project Risk is an uncertain event or condition that, if occurs, has a positive or negative impact on one or more
project objectives such as scope, schedule, cost, and quality.
► Project Risk Management process includes :
Project Risk
Management
Processes
Plan Risk Management
Identify Risks
Perform Qualitative Risk
Analysis
Perform Quantitative
Risk Analysis
Plan Risk Responses
Control Risks
1
2
3
4
5
6
Source: PMBOK Guide
Individual project risks are different from overall project risks. Overall project risk represents the effect of uncertainty on the project as a whole. It is more than the sum of the individual risks within a project.
Objectives of project risk management :
and
Decrease the likelihood and impact of negative events
Increase the likelihood and impact of positive events
Manajemen RisikoPengertian dan Manfaat
Manajemen Risiko adalah suatu sistem yang dirancang untuk mengidentifikasi, menganalisa, dan
mengendalikan risiko yang mungkin terjadi pada setiap proses bisnis institusi, baik yang timbul karena faktor
eksternal maupun internal, yang berpotensi menghambat pencapaian tujuan institusi.
Tujuan
1Memastikan risiko-risiko institusi telah teridentifikasi dan diukur tingkat signifikansinya, serta dibuatkan
rencana mitigasinya.
2Memastikan rencana mitigasi telah dilaksanakan sehingga dapat meminimalisasi dampak dan
kemungkinan terjadinya risiko-risiko institusi secara efektif.
3Memberikan rekomendasi kepada manajemen institusi mengenai risiko-risiko yang mungkin terjadi serta
usulan penanganannya.
Definisi Enterprise Risk Management (ERM)
Definisi ini dapat diartikan bahwa:
► Setiap karyawan perusahaan wajib melakukan identifikasi, penilaian,
penanganan dan pemantauan risiko secara proaktif.
► Setiap karyawan bertanggung jawab untuk mengelola risiko.
► Pimpinan Perusahaan untuk mengkaji dan sadar akan risiko yang signifikan
terhadap institusi.
Secara singkat, ERM adalah:
1. Mengetahui semua “risks that matter”.
2. Menangani risiko secara sistematis.
3. Memantau penanganan risiko secara rutin dan berkala.
4. Melaporkan secara rutin mengenai “risks that matter”.
5. Mengomunikasikan kepada seluruh pemangku kepentingan.
Identifikasi
Risiko
Pengukuran dan
penilaian Risiko
Pelaporan dan
Pemantauan
Penanganan
Risiko
1
23
4
Apakahterdapatrisiko?
Apa yang harusdilakukan?
Seberapa besarrisikonya?
Memantau danmenemukancara kelolayang baru
Reviu dan perbaikan risiko daripimpinan organisasi
“The culture, capabilities, and practices, integrated with
strategy-setting and performance, that organizations rely on
to manage risk in creating, preserving, and realizing value”
Source: COSO ERM 2017: Integrating With Strategy and Performance
Menurut COSO ERM 2017 :
ERM Berperan untuk Mengidentifikasi Akar Permasalahan dari Sebuah Risiko
Identifikasi
penyebab
Identifikasi akar
permasalahan
Sumber daya manusia yang terlibatdalam proses
Bagaimana proses dilakukan dankebutuhan khusus untukpengerjaannya (seperti: kebijakan, prosedur, peraturan dan hukum)
Peralatan yang dibutuhkan untukmenyelesaikan pekerjaan (seperti: komputer, peralatan lainnya)
Bahan baku yang digunakan untukmemproduksi produk akhir (seperti: kertas, pulpen, suku cadang, dsb)
Kondisi lingkungan tempat beroperasi(seperti: lokasi, waktu, temperaturdan budaya) Lingkungan
Material
Peralatan
Sumberdaya
Manusia
Metodologi
Mengukur akar
permasalahan
Manfaat ERM bagi Institusi
Pencapaian tujuan strategis institusi
Peningkatan efektivitas tata kelola institusi
Potensi pengurangan cost dan losses
Pengambilan keputusan bisnis yang lebih baik
Manajemen risiko yang sistematis
No adverse surprise!!
Quiz 2:Overview ERM
1. Apakah definisi ERM?
2. Sebutkan secara singkat langkah-langkah dalam ERM!
3. Apa manfaat dari ERM untuk organisasi?
4 1
23
Source: COSO ERM 2017: Integrating with Strategy and Performance p. 4-5
The role of risk
in strategy
selection
Two aspects to enterprise risk
management that can have far
greater effect on an entity’s
value: the possibility of the
strategy not aligning, and the
implications from the strategy
chosen.
01 The possibility of the strategy not aligning with an
organization’s mission, vision, and core values.
A chosen strategy must support the organization’s mission and vision. A
misaligned strategy increases the possibility that the organization may not realize
its mission and vision, or may compromise its values, even if a strategy is
successfully carried out.
Therefore, enterprise risk management considers the possibility of strategy not
aligning with the mission and vision of the organization.
When management develops a strategy and works through alternatives with the
board, they make decisions on the trade-offs inherent in the strategy. Each
alternative strategy has its own risk profile*—these are the implications arising
from the strategy.
The board of directors and management need to determine if the strategy
works in tandem with the organization’s risk appetite, and how it will help drive
the organization to set objectives and ultimately allocate resources efficiently.
02 The implications from the strategy chosen.
Risk Capacity, Tolerance on Performance Target and Risk Appetite
Source: COSO ERM 2017: Integrating with Strategy and Performance p. 132, 212, and 213
1Risk Capacity
The maximum amount of risk that an entity is able to absorb in the pursuit of strategy and business objectives.
2Risk Appetite
The types and amount of risk, on a broad level, an organization is willing to accept in pursuit of value.
3Tolerance
The boundaries of acceptable variation in performance related to achieving business objectives.
4Risk Profile
A composite view of the risk assumed at a particular level of the entity, or aspect of the business that positions.
Risk Culture Framework
Budaya sadar risiko didefinisikan sebagai norma perilaku untuk individu dan kelompok dalam suatu organisasi yang
menentukan kemampuan kolektif untuk mengidentifikasi dan memahami, berdiskusi secara terbuka, dan bertindak
atas organisasi saat ini dan risiko masa depan.
Komponen Mekanisme Budaya Sadar Risiko
Leadership Tone from the top menetapkan perilaku yang diharapkan oleh Pimpinan dan
menyelaraskan dengan perilaku saat ini
Behavior model mencakup standar perilaku risiko yang ditetapkan, dinilai, dan
ditanamkan ke dalam proses manajemen kinerja
Organization Roles and responsibilities jelas diartikulasikan dan dipahami dengan baik, dan
akuntabilitas manajemen risiko telah didefinisikan dengan baik dan ditetapkan
Risk governance efektif dan dapat memfasilitasi komunikasi secara terbuka
Risk
framework
Risk appetite diartikulasikan dengan jelas dan dipahami dengan baik serta selaras
dengan strategi organisasi serta digunakan dalam pengambilan keputusan di
seluruh tingkatan di dalam organisasi
Risk transparency dilihat melalui adanya pelaporan risiko yang jelas dan
komprehensif, termasuk identifikasi dan agregasi risko yang bersifat forward
looking
Incentives Rewards mencakup pertimbangan aspek risiko dan perilaku dalam menentukan
kompensasi dan promosi pegawai
Employee life cycle mencakup proses rekrutmen, penerimaan pegawai baru,
sosialisasi atas perilaku yang diharapkan, dan manajemen risiko yang efektif
Risk biases
• Group Think—lack of diversity
• Framing/anchoring—being influenced by how questions are asked even when they amount to
the same thing
• Over-confidence—especially when you did the thinking (don't believe everything you think!)
• Recency effect—over-weighting things that happened recently
• Status quo—favoring the current situation even if it may be inferior; also change resistance
• Halo effect—thinking somebody is perfect because they do certain things well
• Tiny risks—ignoring tiny risks—especially if they are hard to understand or come in complex
chains or the impact is far away
• Fright factors—snakes and sharks
• Hindsight—overweighting the chance that something might have happened based on
knowledge that it did happen
• Confirmation bias—seeing only the points that confirm your view
• Availability—giving undue weight to scenarios that are that are easily to think of (are there more
words with R as a first or third letter?)
• Representation bias—falsely finding patterns and analogies
• Power effect—over-weighting the perceptions of people in power
Source: Embedding Risk Management, The Institute of Risk Management
Proses ERM
Pelaporan dan Pemantauan
Pemantauan dilakukan secara berkala dan hasilnya
dilaporkan kepada pimpinan.
Identifikasi Risiko
Identifikasi risiko mencakup:
► Identifikasi risiko secara top down
► Identifikasi risiko secara bottom up
► Identifikas emerging risk
Penanganan Risiko
Penanganan risiko untuk mengendalikan
eskposur risiko.
Pengukuran dan Penilaian Risiko
► Risiko dinilai dan diukur berdasarkan
signifikansi eksposur risiko.
► Risiko yang tidak dapat dikuatifikasi dilakukan
pengukuran dan penilaian secara kualitatif.
Identifikasi
Risiko
Pengukuran
dan Penilaian
Risiko
Pelaporan
dan
Pemantauan
Penanganan
Risiko
1
23
4
Melihat Lebih Dekat Proses ERM
► Penentuan kriteriadampak dankecenderungan
► Identifikasi risiko
► Mengukur tingkatdampak dankemungkinan atasrisiko-risiko
► Melaksanakanrencana mitigasi risikoyang sudah disusun.
► Pemantauan danpelaporan dari hasilkegiatan mitigasirisiko
Identifikasi
Risiko
Pengukuran
dan Penilaian
Risiko
Pelaporan
dan
Pemantauan
Penanganan
Risiko
1
23
4
Risikoapasaja?
Apa yang harusdilakukan?
Seberapabesarrisikonya?
Memantaudanmenemukancara kelolayang baru
Proses ERM
yang
melibatkan
semua pihak
dalam
organisasi
Siklus ERM Dimulai dengan Proses Identifikasi Risiko
Dalam melakukan identifikasi risiko,
divisi/unit kerja dapat menggunakan
referensi-referensi sebagai berikut:
► Kasus-kasus yang memiliki
potensi untuk timbul sebagai
risiko.
► KPI/Target Quality Division
► Hasil/temuan audit
► Kejadian-kejadian di masa lalu
yang memiliki dampak terhadap
pencapaian tujuan organisasi.
► Titik risiko pada proses bisnis
► Proses identifikasi risiko bertujuan untuk menemukan, mengenali, dan mendeksripsikan
risiko-risiko yang dapat mempengaruhi pencapaian visi/misi/sasaran strategis organisasi.
1. Identifikasi RisikoPendekatan dalam Identifikasi Risiko (2/2)
Emerging risk dapat berupa kejadian baru dan tak terduga dan/atau evolusi dari risiko yang sudah ada sebelumnya, tetapi
belum sepenuhnya dapat dipahami atau belum terdapat di dalam proses bisnis.
Karakteristik
Utama
Sulit untuk dikuantifikasi dampaknya terhadap permodalan, pendapatan, likuiditas, dan reputasi
Sulit untuk diestimasi waktu keterjadiannya, misalnya dapat terjadi di tahun ini, tahun depan, atau tiga tahun ke depan
Pada umumnya timbul dikarenakan trend global dan seringnya di luar kendali dari organisasi
1. Identifikasi RisikoPendekatan dalam Identifikasi Risiko (2/2)
Dalam mengidentifikasi emerging risk dapat menggunakan pendekatan PESTLE (Political, Economic,Social, Technological,
Legal and Regulatory, and Environmental)
Political
Environmental
E
T
E
L S
Emerging
risks
drivers
► International and national environmental
issues/regulations
Legal and Regulatory
► Current and future legislation
► United States legislation/regulation
► Environmental lawsTechnological
► Technology development
► Internet access and availability
► Information and communication systems
Economic
► Exchange Rates
► Inflation
► Taxation
► Insurance industry cycle
Social
► Media views
► Demographics/ethics
► Buying trends
► Elections
► Government policies
► Terrorism
P
1. Identifikasi RisikoSumber Risiko
Risiko dapat bersumber dari kejadian yang sudah pernah terjadi, yang hampir terjadi (near-miss event) maupun kejadian yang belum pernah terjadi tapi merupakan kemungkinan kejadian yang bisa terjadi
Kategori Risiko menurut EY
LegalRegulatory
Code ofconduct
GovernancePlanning and
resource allocation
Major initiatives
Mergers,acquisitions and
divestitures
Accounting andreporting
Liquidityand credit
Physicalassets
Hazards
People andhuman
resourcesSupply chain
InformationTechnology
(IT)
Sales andmarketing
Compliance
Strategic
Communication and investor
relations
Marketdynamics
Market
Operations
Capitalstructure
Financial Tax
Revenuecycle
Researchand
development
Risk Universe
Sumber Risiko
► Dari kejadian insiden atau occurrence yang
sudah terjadi sebelumnya baik dari internal
maupun eksternal yang mempengaruhi tujuan
organisasi.
► Dari Near–miss event yang merupakan
serangkaian kejadian atau hasil observasi atas
kondisi yang tidak normal yang berpotensi
menimbulkan kerusakan.
► Dari kejadian-kejadian atau event yang belum
pernah terjadi namun memiliki potensi dapat
terjadi apabila risiko tersebut tidak ditangani.
Risk Register
No Risk Event Risk Owner Risk Cause Existing Control Dampak KecenderunganRencanaMitigasi
Ilustrasi Risk Register
Kejadian atau isu yang disebabkan oleh
faktor internal maupun eksternal yang
secara negatif mempengaruhi
pencapaian tujuan organisasi.
Aktivitas internal organisasi
atau faktor eksternal yang
dapat menyebabkan
organisasi terpapar terhadap
risiko.
Nilai kecenderungan dari
risiko yang diukur dengan
menggunakan kriteria
pengukur kecenderungan
risiko (contoh: low - very high)
Rencana mitigasi yang
disarankan/
direkomendasikan untuk
mengurangi eksposur risiko.
Nilai dampak dari risiko yang diukur
dengan menggunakan kriteria pengukur
dampak risiko (contoh: low- very high) –
Satu risiko dapat memiliki lebih dari satu
dampak.
Personil/ unit yang
paling dapat
memitigasi atau
mengoordinasi upaya
mitigasi risiko.
Inisiatif pengendalian
yang telah dilakukan
untuk mengurangi
tingkat dampak/
kecenderungan risiko
2. Pengukuran dan Penilaian RisikoTujuan Pengukuran dan Penilaian Risiko
Pengukuran danpenilaian risiko
Pengukuran danpenilaian risiko
Pengukuran danpenilaian risiko
Pengukuran dan penilaian risiko merupakan suatu
proses yang dirancang untuk menilai dan menganalisa
tingkat dampak (impact) dan kecenderungan
(likelihood) suatu risiko sehingga dapat diketahui
besarnya pengaruh risiko (risk exposure) tersebut
kepada organisasi.
Pengertian
Pengukuran risiko bertujuan untuk mengukur tingkat
dampak dan kecenderungannya. Penilaian risiko
bertujuan untuk mengidentifikasi nilai eksposur risiko-
risiko serta risiko yang mempunyai dampak signifikan
(risk that matter) terhadap organisasi.
Tujuan
Identifikasi Risiko
Pengukuran danpenilaian risiko
Pemilihan“Riskthat matter”
Unit Kerja 1 Unit Kerja 2 Unit Kerja 3 Unit Kerja 4
2. Pengukuran dan Penilaian RisikoRisk Assessment Criteria Matrix (RACM)
RACM digunakan untuk mengukur tingkateksposur risiko, sekaligus memahami untukmemahami bahasa risiko lintas organisasi.
Tujuan
• RACM ditentukan oleh pimpinan organisasi.
• Menggambarkan selera, toleransi, dan batasanrisiko.
• Digunakan sebagai penggaris umum yang mengukur risiko.
Ketentuan
RACM adalah penggaris risiko yang berisikankriteria dampak dan kriteria kecenderunganterjadi. Kriteria dampak mengukur seberapabesar dampak risiko terhadap organisasi, sedangkan kriteria kecenderungan akan mengukurpeluang terjadinya risiko.
Pengertian Matriks kriteria dampak
Matriks kriteria kecenderungan
2. Pengukuran dan Penilaian RisikoPemetaan dan Prioritas Risiko
No Risk Event Dampak Kecenderungan
Peringkat
Dampak x
Kecenderungan
1. Penurunan
peringkat dunia
High Kemungkinan akan
terjadi (Medium)
High
2 Plagiarisme riset
dan publikasi oleh
mahasiswa
Very High Kemungkinan
besar akan terjadi
(High)
Significant
3 Kenaikan harga
buku
Medium Kemungkinan akan
terjadi (Medium)
Medium
4 Radikalisme di
kalangan
organisasi
kemahasiswaan
High Kemungkinan
besar akan terjadi
(High)
Significant
1
* Risk event di atas hanya digunakan sebagai contoh untuk kebutuhan ilustrasi
2
3
4
Dengan mengukur dan menilai risiko, organisasi dapat mengetahui nilai eksposur risiko dan signifikansi risiko
3. Penanganan RisikoPrioritisasi dalam Penanganan Risiko
Saat memformulasikan rencana penanganan
risiko, manajemen dan pemilik risiko (risk
owner) harus memprioritaskan penanganan
risiko berdasarkan hasil pemetaan tingkat
dampak dan kecenderungan risiko ke
dalam peta risiko.
Prioritas utama diberikan kepada risiko-risiko
yang terletak pada area merah atau risiko-
risiko yang memiliki dampak significant.
Area yang menjadi perhatian
manajemen
3. Penanganan RisikoTujuan Penanganan Risiko
Peran semua karyawan dalam penanganan risiko:
• Memberikan masukan dan feedback terhadap rencana penanganan dan mitigasi risiko kepada atasan terkait (risk
owner)
• Membantu dalam memberikan masukan terkait dengan sumber daya/biaya yang dibutuhkan untuk rencana
penanganan dan mitigasi risiko
Penanganan risiko bertujuan untuk mengidentifikasi pilihan-pilihan yang dapat diambil untuk menangani
suatu risiko serta tahapan-tahapan pelaksanaannya dan sumberdaya yang dibutuhkan.
“Agar penanganan risiko dapat berjalan dengan baik, dibutuhkankerjasama dan koordinasi antara semua level karyawan dan atasan(risk owner) dan juga perwakilan unit manajemen risiko (risk officer)
di setiap unit kerja.
3. Penanganan RisikoPilihan dalam Penanganan Risiko
Beberapa pilihan penanganan risiko yang dapat dipertimbangkan :
ACCEPT
SHARE AVOID
Menghindari eksposur terhadap kejadian-
kejadian yang dapat menimbulkan risiko
tersebut di waktu mendatang. Opsi ini
dapat dipilih untuk risiko-risiko yang tidak
dapat ditoleransi organisasi karena
memiliki dampak signifikan tinggi.
REDUCE
Mengurangi eksposur risiko sampaikepada tingkat yang dapat diterimaorganisasi dengan cara memfokuskanupaya pengurangan impact dan likelihoodmelalui pembuatan rencana mitigasi risikodan melakukan pengendalian secara rutin.
PURSUE
Opsi penanganan risiko ditujukan untukmengurangi eksposur risiko dengancara memindahkan risiko kepada pihakketiga yang independen, misalnyaoutsourcing, membeli asuransi, dansebagainya.
Risiko diterima dengan tidak
mengambil langkah penanganan lebih
lanjut. Opsi ini dapat dipilih untuk
risiko-risiko yang dianggap tidak
signifikan atau memiliki tingkat
eksposur risiko rendah bagi organisasi.
Penanganan risiko dilakukan dengan
menerima eksposur risiko yang
meningkat dengan tujuan untuk
menghasilkan kinerja yang lebih baik.
4. Pemantauan dan Pelaporan RisikoTujuan Pelaporan dan Pemantauan Risiko
► Memperoleh informasi terkini yang akurat mengenai rencana mitigasi risiko yang dapat digunakan untuk
membantu pengambilan keputusan yang lebih baik.
► Memperoleh pemahaman mengenai jenis dan cakupan risiko untuk mencegah terjadinya risiko dan
menganalisis kerugian yang sudah terjadi sebelumnya (historical losses).
Untuk menyediakan feedback terkait dengan efektivitas dan kinerja
proses ERM
Untuk memantau perkembangan dari implementasi penanganan risiko
Tahunan
(Annually)
Triwulanan
(Quarterly)
4. Pemantauan dan Pelaporan RisikoTujuan Pelaporan dan Pemantauan Risiko
• Menjalankan rencana penanganan dan mitigasi
risiko yang sudah disusun bersama dengan atasan
terkait (risk owner)
• Secara berkala melaporkan efektifitas dan
kecukupan dari penanganan dan mitigasi risiko
yang sudah dijalankan
• Mengidentifikasi risiko-risiko baru yang muncul dan
secara proaktif melaporkannya ke atasan terkait
(risk owner)
4. Pemantauan dan Pelaporan RisikoInformasi yang Dapat Diperoleh dari Proses Pemantauan dan Pelaporan Risiko
Pro
ses
pe
ma
nta
ua
nri
siko
Penanggung jawab yang memberikan persetujuan (sign off)
Justifikasi status penyelesaian
Kemajuan dari penyelesaian rencana mitigasi risiko
Tingkat eksposur risiko baru yang diharapkan
Pelaporan
Informasi yang setidaknya dapat dilaporkan dari proses pemantauan dan pelaporan risiko adalah:
Top risks in mining & metals sector
Source: https://www.ey.com/en_gl/mining-metals/10-business-risks-facing-mining-and-metals
Top 10 risks in mining & metals:
Digital effectiveness1
Competitive shareholder returns2
Cyber3
New world commodities4
Regulatory risk5
Cash optimization6
Social license to operate7
Resource replacement8
Access to and optimization of energy9
Managing joint ventures10
Top risks in telecommunication sector
Source: EY Top 10 risk in telecommunications revisited 2016 publication
Top 10 risks in telecommunication sector:
Failure to realize new roles in evolving industry ecosystems1
Lack of regulatory certainty on new market structures2
Ignoring new imperatives in privacy and security3
Failure to improve organizational agility4
Lack of data integrity to drive growth and efficiency5
Insufficient performance measurement to drive execution6
Failure to understand what customers value7
Inability to extract value from network assets8
Poorly defined inorganic growth agenda9
Failure to adopt new routes to innovation10
Top risks in aerospace & defense (A&D) sector
Source: EY publication on top 10 risks in aerospace and defense (A&D) – 2017
Top 10 risks in A&D:
Volatility in geopolitical and economic environment1
Managing the supply chain2
Competition in domestic and international markets3
Managing and retaining talent4
Ability to perform on key contracts5
Compliance to a wide range of regulations and restrictions6
Capacity to innovate7
Failure to realize the benefits of M&As and partnerships8
Exposure to cybersecurity events9
Foreign currency and commodity price fluctuations10
Aspek-aspek Penting dalam Penerapan ERM
0 10 20 7030 40 50 60
76
66
70
66
53
50
56
* EYI Global
Risk Survey
Q: Seberapa pentingkah faktor di bawah ini untuk kesuksesan manajemen risiko di suatu organisasi?
Kepemilikan risiko yang jelas
Keterlibatan manajemen
Pendekatan yang terintegrasi
Pemahaman di seluruh bagian organisasi
Mekanisme mendiskusikan atau mengkomunikasikan risiko
Fungsi pengelolaan risiko yang terdedikasi
Strategi manajemen risiko yang terdokumentasi
Pendekatan untuk Keberhasilan Penerapan ERM
Risk
Officer
Risk
Officer
Risk
Officer
Risk
Officer
Risk
Officer
Eskala
si
Apakah terdapat arahan yang jelas dari pimpinan organisasi?
Tone from the top adalah sebuah keharusan!
Risiko adalah tanggungjawab semua orang dan
kesadaran akan pentingnya nilai ERM adalah sebuah
kebutuhan
Bagaimana kita mengidentifikasi kejadian yang dapat
mempengaruhi kontinuitas bisnis?
Apakah kita sudah mendefinisikan nilai dalam implementasi
ERM dengan baik?
Identifikasi Risks that Matter akan meningkatkan
efektivitas alokasi sumber daya
ERM adalah tentang eskalasi risiko
Risiko apa yang harus mendapatkan prioritas?
Pimpinan Organisasi
Unit Manajemen Risiko
Risiko
Risiko
Risiko
Risiko
Risiko
Risiko
Risiko
Risk
Owner
Risk
Owner
Risk
Owner
Risk
Owner
Risk
Owner
ERM adalah Suatu Perjalanan
Rentang waktu
Perencanaan
Strategis
Sumber
Daya
Manusia
Pengawasan
Internal Keuangan
Operasional
Hukum
ERMERM
• Pengukuran dan pengelolaan risiko
pada tingkat fungsional ataupun unit
• Aktivitas pengukuran risiko yang
tidak dinamis
• Keterbatasan alih pengetahuan
terkait dengan risiko antara
fungsi/unit bisnis
Silos
• Unit manajemen risiko yang
independen
• Executive level sponsorship.
• Kerangka kerja ERM
• Risk universe yang bersifat umum.
• Pengukuran risiko organisasi
• Komite manajemen risiko
• Key risk indicators
• Kebijakan ERM
• Proses manajemen risiko yang
terintegrasi
• Pelaporan dan pengukuran risiko
secara sistematis dan terintegrasi
• Terhubungnya manajemen risiko
dengan alokasi modal
• Proses manajemen risiko berbasis
teknologi
• Risk universe digunakan di seluruh
komponen di organisasi
• Aktivitas manajemen risiko
terintegrasi dengan teknologi
• Pengukuran risiko yang tertanam
pada perencanaan strategis dan
penyusunan anggaran.
• Hasil pengukuran kuantitatif dan
kualitatif digunakan dengan
maksimal
IntegrationAwareness ERM
Lesson Learned
► ERM berperan sebagai media untuk melakukan komunikasi dan
kolaborasi yang lebih baik dalam organisasi.
► Mengalokasikan waktu untuk melakukan identifikasi, pengukuran
dan penilaian, penanganan, serta pemantauan dan pelaporan
risiko secara proaktif sehingga dapat memberikan nilai secara
jangka panjang.
► ERM yang efektif melibatkan semua pihak dalam organisasi.
Semakin banyak kolaborasi. maka semakin baik.
► Pengimplementasian ERM seharusnya menjadi tanggung jawab
semua pihak dalam organisasi sehingga kolaborasi dan
komunikasi antara pihak adalah kunci untuk mengimplementasikan
ERM dengan baik.