AS/NZS 4360 COSO ISO 31000: 2009

Australian/New Zealand Standard

RISK MANAGEMENT

Sesi 4
Standar Manajemen Risiko
AS/NZS 4360, COSO & ISO 31000: 2009
SEJARAH STANDAR MANAJEMEN RISIKO

2018: ISO
Perkembangan ERM

❖ Casualty and Actuarial Society (CAS) 2001

❖ COSO II - 2004 Enterprise Risk Management
❖ Australia/New Zealand (AS/NZS) Standard 4360
2004
❖ Di Indonesia: PP No. 60 tahun 2008 tentang
Sistem Pengendalian Intern Pemerintah
❖ ISO 31000:2009
❖ ISO 31000:2018
 TUJUAN ENTERPRISE RISK
MANAGEMENT (ERM)
1. Keunggulan Daya Saing
2. Meminimalkan volatilitas anggaran
3. Mengurangi biaya pemindahan risiko
4. Risiko sangat dipertimbangkan dalam proses pembuatan
keputusan
5. Mengantisipasi terjadinya hal tidak pernah diperhitungkan
dan kerugian yang dapat diprediksi
6. Menyelaraskan kerugian dari suatu risiko dengan program
penanganan risiko
7. Mengintegrasi Manajemen Risiko Perusahaan dengan proses
perencanaan strategis
 Traditional RM vs ERM

No Manajemen Risiko Tradisional Manajemen Risiko Perusahaan

(ERM)
1 Pemantauan risiko adalah fungsi tingkat Pemantauan risiko adalah CEO
rendah dari auditor internal (dengan pengawasan Dewan Direksi)
2 Risiko sebagai faktor negatif yang Risiko sebagai faktor ancaman yang
dikendalikan dikendalikan sebagai suatu peluang
3 Risiko dikelola secara terpisah dalam Risiko dikelola secara terpadu
fungsi atau unit dalam perusahaan (enterprise-wide moda)
4 Tanggung jawab atas manajemen risiko Manajemen risiko adalah tanggung
didelegasikan kepada tingkat yang lebih jawab senior manajemen
rendah
5 Pengukuran risiko adalah subjektif Pengukuran risiko secara kuantifikasi
6 Tidak terstruktur dan fungsi-fungsi Manajemen risiko dibangun ke dalam
manajemen risiko yang berbeda semua sistem manajemen perusahaan
COMMITTEE OF SPONSORING ORGANIZATIONS
(COSO): 2004
8 komponen dalam COSO
Enterprise Risk Management,
yaitu:

1. Internal Environment
2. Objective Setting
3. Event Identification
4. Risk Assessment
5. Risk Response
6. Control Activities
7. Information and
Communication
8. Monitoring
COMMITTEE OF SPONSORING ORGANIZATIONS
(COSO): 2004
Tujuan perusahaan dapat dilihat
dari empat kategori, yaitu:
1. Strategis
2. Operasi
3. Pelaporan
4. Kepatuhan

Sedangkan tingkatan dalam

organisasi adalah:
1. Enterprise-level
2. Divisi
3. Subsidiary
4. Unit bisnis
The COSO Board released in September 2017 an update to the
2004 Enterprise Risk Management–Integrated Framework

Components of ERM – 2017

COSO Standard
The COSO Board released in September 2017 an update to the
2004 Enterprise Risk Management–Integrated Framework
 Proses Manajemen Risiko
Australia/New Zealand (AS/NZS) Standard 4360: 2004

Menentukan Konteks

Risk Assessment
Komunikasi & Konsultasi

Monitoring & Review

Identifikasi Risiko

Analisis Risiko

Evaluasi Risiko

Perlakuan Risiko
 Likelihood/Probabilitas/Frekuensi
Australia/New Zealand (AS/NZS) Standard 4360: 2004

No Tingkat Probabilitas Penjelasan

1 Jarang Mungkin terjadi hanya pada kondisi tidak normal

2 Kemungkinan Kecil Mungkin terjadi pada banyak waktu
3 Kemungkinan Sedang Dapat terjadi pada beberapa waktu
4 Kemungkinan Besar Akan mungkin terjadi pada banyak keadaan
5 Hampir Pasti Dapat terjadi pada banyak keadaan
 Konsekuensi/Dampak/Severity
Australia/New Zealand (AS/NZS) Standard 4360: 2004

No Tingkat Dampak Penjelasan

1 Tidak Signifikan Tidak ada cedera, kerugian finansial yang tidak

berarti
2 Rendah Penanganan pertolongan pertama, kerugian finansial
sedang, tingkat politis rendah
3 Menengah Diperlukan penanganan medis, kerugian finansial
cukup besar, tingkat politis sedang
4 Besar Cidera yang meluas, kerugian finansial besar, tingkat
politis yang besar
5 Luar Biasa Kematian, kerugian finansial sangat besar,
kekacauan politis tingkat tinggi
 Prinsip Manajemen Risiko
ISO 31000: 2009
1. Nilai tambah
2. Bagian terpadu dari proses organisasi
3. Bagian dari pengambilan keputusan
4. Secara khusus menangani ketidakpastian
5. Sistematis, terstruktur dam tepat waktu
6. Berdasarkan informasi terbaik yang ada
7. Bersifat khas untuk organisasi
8. Mempertimbangkan faktor manusia dan budaya
9. Transparan dan inklusif
10. Dinamis, berulang dan responsif terhadap perubahan
11. Memfasilitasi perbaikan berkesinambungan dan peningkatan
kinerja organisasi
Kerangka Manajemen Risiko
ISO 31000: 2009
Mandat dan Komitmen

Desain kerangka
kerja untuk
mengelola risiko

Perbaikan Penerapan
bersinambungan manajemen risiko
atas kerangka
kerja

Pemantauan dan
kaji ulang
kerangka kerja
 Proses Manajemen Risiko
ISO 31000: 2009
Menentukan Konteks

Risk Assessment
Komunikasi & Konsultasi

Monitoring & Review

Identifikasi Risiko

Analisis Risiko

Evaluasi Risiko

Perlakuan Risiko
 Perbandingan Standar
Manajemen Risiko
❖ Standar Australia / New Zealand AS/NZS 4360: 2004
dan COSO Enterprise Risk Management merupakan
standar yang mengatur pendekatan yang sistematis
untuk mengelola risiko untuk mencapai tujuan bagi
suatu organisasi.
❖ Standar AS/NZS 4360: 2004 berlaku untuk “semua
jenis organisasi”, sedangkan COSO Enterprise Risk
Management menekankan pada “organisasi bisnis”.
❖ Persamaan dan perbedaan yang terdapat antara kedua
standar tersebut memiliki pengaruh berbeda pada saat
penerapan manajemen risiko di suatu organisasi.
 Perbandingan Standar Manajemen Risiko

❖ Perusahaan yang telah menerapkan standar manajemen risiko

AS/NZS 4360: 2004, memiliki kemiripan antara proses
manajemen risiko yang diperkenalkan ISO 31000:2009.
❖ Perumusan COSO ERM ditujukan untuk memperkuat
pencegahan fraud atas pelaporan keuangan perusahaan publik di
Amerika, dan bukan sebagai standar internasional.
❖ ISO 31000:2009 mengadopsi proses manajemen risiko AS/NZS
4360: 2004 untuk mendukung kerangka kerja yang
dikembangkannya.
❖ ISO 31000 merupakan suatu standar penerapan manajemen risiko
yang komprehensif diterbitkan oleh International Organization for
Standardization (ISO) pada tahun 2009.
❖ ISO 31000: 2009 merupakan standar yang mengadopsi juga dan
meng-update dari Standar Manajemen Risiko COSO: 2004.
Beberapa keunggulan ISO 31000 dibandingkan
dengan COSO, adalah:
1. ISO 31000 sepenuhnya sesuai dengan COSO ERM,
2. ISO 31000 lebih praktis,
3. Mudah untuk diaplikasikan (kurang dari 30 halaman),
4. Dapat diaplikasikan untuk perusahaan dari semua industri baik
perusahaan besar ataupun perusahaan kecil,
5. Lebih jelas dan konkret penulisan dan definisinya,
6. Sebagai referensi untuk standar manajemen risiko,
7. Tidak perlu merancang ulang sistem manajemen yang telah ada,
8. Dapat diterapkan pada semua level dalam perusahaan untuk setiap
jenis risiko, baik berdampak positif atau negatif,
9. Terbuka untuk perbaikan standar manajemen risiko yang akan datang.
 Likelihood/Probabilitas/Frekuensi
ISO 31000: 2009

Level Probabilitas Keterangan

1 Jarang Hanya terjadi dalam keadaan luar biasa, kurang
dari 10% kemungkinan terjadi
2 Kemungkinan Kecil Bisa terjadi pada suatu waktu, 10% - 30%
kemungkinan terjadi
3 Kemungkinan Sedang Mungkin terjadi pada suatu waktu, 30% - 60%
kemungkinan terjadi
4 Kemungkinan Besar Mungkin akan terjadi dalam banyak situasi, 60% -
85% kemungkinan terjadi
5 Hampir pasti Dapat dipastikan terjadi dalam banyak situasi,
lebih dari 85% kemungkinan terjadi
 Konsekuensi/Dampak/Severity
ISO 31000: 2009

Level Kerugian Dampak Kepercayaan Lingkungan Tujuan

Keuangan Personal Publik dan Perusahaan
pada Klien Reputasi (organisasi)
1 = Tidak < 5% Net Kecelakaan Dampak internal Rendah Dampaknya rendah
Income kecil, saja dampaknya
Signifikan
Pertolongan pada area
Pertama (P3K), minimal dan
bersifat tidak
administrasi signifikan

2 = Minor 5% - 10% dari Kejadian yang Berita lokal. Dampak kecil Penundaan
Net Income membutuhkan Publik lokal pada berpengaruh sedikit
perawatan lingkungan
medis, kurang biologi atau
dari 3 hari. fisik
Tekanan
emosional
 Konsekuensi/Dampak/Severity
ISO 31000: 2009

Level Kerugian Dampak Kepercayaan Lingkungan Tujuan

Keuangan Personal Publik dan Perusahaan
pada Klien Reputasi (organisasi)
3= 10% - 30% dari Masuk rumah Kerugian Moderat. Penundaan
Net Income sakit dan lebih terbatas pada Dampak berpengaruh
Moderat
3 hari absen. reputasi. Pers jangka moderat
Cedera semi lokal/regional pendek tetapi
permanen. tidak
Trauma berdampak
emosional fungsi
ekosistem
4= 30% - 80% dari Kematian. Kehilangan Dampak Penundaan
Net Income Cacat kredibilitas dan lingkungan berpengaruh
Signifikan
permanen kepercayaam jangka signifikan.
organisasi. Pers menengah Kinerja di bawah
nasional. target
Penyelidikan
eksternal
independen
 Konsekuensi/Dampak/Severity
ISO 31000: 2009

Level Kerugian Dampak Kepercayaan Lingkungan Tujuan

Keuangan Personal Publik dan Perusahaan
pada Klien Reputasi (organisasi)
5= Lebih 80% Beberapa Penyelidikan Sangat serius Target tidak
dari Net kematian. penuh publik. terhadap tercapai. Kinerja
Katastropik
Income Beberapa cacat Masyarakat luas kerusakan rendah di bawah
permanen fungsi target
ekosistem
Contoh Kriteria Risiko – Dampak Reputasi
ISO 31000: 2009

NILAI URAIAN NILAI KETERANGAN

1 Sangat Ringan Tidak ada dampak eksternal
2 Ringan Belum ada liputan media massa dan media
sosial
3 Sedang Cakupan terbatas media lokal dan industri.
Keluhan dari klien
4 Berat Liputan media nasional dan media sosial,
meningkatnya keluhan dari beberapa klien,
teguran dan penyelidikan informal regulator
5 Sangat Berat Liputan media nasional dan intenasional.
Menjadi trending topik media sosial, beberapa
klien utama menghentikan kerja sama,
penyelidikan oleh regulator
Evaluasi Risiko

Matriks Risiko
ISO 31000: 2009
5 5 10 15 20 25
PROBABILITAS

4 4 8 12 16 20
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5

1 2 3 4 5
DAMPAK

Unacceptable (merah): Dibutuhkan tindakan sesegera mungkin untuk mengelola

risiko dan menjadi prioritas untuk dilakukan perlakuan atau mitigasi risiko
Issu (orange): Tindakan diperlukan untuk mengelola risiko
Supplementary Issue (hijau muda): Tindakan dianjurkan jika biaya efektif
Acceptable (hijau tua): Tidak ada tindakan yang dibutuhkan
 Likelihood/Probabilitas/Frekuensi
PP No 60 Tahun 2008
Kemungkinan/ Keterangan Nilai
Probabilitas
Sangat Jarang terjadi Peristiwa terjadi minimal sekali setiap 1
5 tahun atau lebih
Jarang terjadi Peristiwa terjadi minimal sekali setiap 2
4 tahun
Hampir/pasti terjadi Peristiwa terjadi minimal sekali setiap 3
3 tahun
Sering terjadi Peristiwa terjadi minimal sekali setiap 4
2 tahun
Sangat sering terjadi Peristiwa terjadi minimal sekali setiap 5
1 tahun
 Konsekuensi/Dampak/Severity
PP No 60 Tahun 2008
Tingkat Keterangan Nilai
Dampak
Sangat a. Tidak berdampak pada pencapaian tujuan 1
Rendah instansi/kegiatan secara signifikan
b. Tidak mengganggu pelayanan
c. Dampaknya dapat ditangani pada tahap kegiatan
rutin oleh pelaksana
d. Tidak ada kerugian material

Rendah a. Tidak berdampak langsung pada pencapaian tujuan 2

instansi/kegiatan secara signifikan
b. Tidak mengganggu pelayanan
c. Dampaknya dapat ditangani pada tahap kegiatab
rutin oleh Pejabata Eselon IV
d. Kerugian kurang material
 Konsekuensi/Dampak/Severity
PP No 60 Tahun 2008
Tingkat Keterangan Nilai
Dampak
Sedang a. Mengganggu pencapaian tujuan instansi/kegiatan 3
secara signifikan
b. Menggangu kegiatan pelayanan secara signifikan
c. Dampaknya dapat ditangani pada tahap kegiatan
rutin oleh Pejabata Eselon III
d. Mengganggu administrasi program
e. Kerugian material cukup besar bagi organisasi
maupun keuangan
Tinggi a. Sebagian besar tujuan organisasi gagal dilaksanakan 4
b. Terganggunya pelayanan 3 hari
c. Mengancam terhambatnya program
d. Dampaknya dapat ditangani pada tahap kegiatan
rutin pleu Pimpinan unit kerja
e. Kerugian keuangan cukup besar bagi organisasi dari
sisi keuangan maupun non keuangan
 Konsekuensi/Dampak/Severity
PP No 60 Tahun 2008
Tingkat Keterangan Nilai
Dampak

Sangat a. Semua pencapaian tujuan kegiatan gagal 5

Tinggi dilaksanakan
b. Terhentinya pelayanan
c. Mengancam terhambatnya program atau
kegiatan lain
d. Dampaknya dapat ditangani pada tahap
kegiatan rutin oleh Pimpinan Unit Kerja
e. Kerugian sangat besar bagi organsiasi dari
sisi keuangan maupun non keuangan
 Analisis Risiko
Tingkat Risiko Nilai Risiko
Sangat Rendah 1-5
Rendah 6-10
Sedang 11-15
Tinggi 16-20
Sangat Tinggi 21-25