SEMINAR MANAJEMEN RISIKO risk mana
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
SEMINAR MANAJEMEN RISIKO
MANAJEMEN RISIKO:
DEFINISI, PRINSIP, DAN KERANGKA KONSEPTUAL
MENURUT COSO, AS/NZS, BASEL DAN PERATURAN
PERUNDANG-UNDANGAN DI INDONESIA
Disusun oleh:
Agatha Raharjo (01);
Bara Aji Anggara (09);
Doni Iwan Prasetyo (14);
Moch Reza Agung Y (22);
Muhammad Yusuf (23)
Semester VIII Program Diploma IV Kurikulum Khusus BPKP Angkatan II
A. PENDAHULUAN
1
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
Di Inggris, kesadaran untuk perlunya manajemen risiko untuk instansi pemerintahaan ternyata
sudah dimulai dari tahun 2000 dan pada tahun 2001, HM Treasury menerbitkan panduan
manajemen risiko bagi lembaga pemerintahaan dan dikenal sebagai “Orange Book” karena kulit
luarnya yang berwarna oranye. Buku ini diperbarui pada tahun 2004 dengan judul “The Orange
Book: Management of Risk - Principles and Concepts”. Selain itu juga ada Green Book yang
berisikan “Appraisal and Evaluation in Central Government”. Perubahan terbesar dengan terbitnya
Orange Book adalah di tiap organisasi pemerintah kini telah diterapkan proses manajemen risiko
sesuai dengan panduan dari Orange Book.
Di Amerika Serikat, General Accountability Office pada tahun 2007 menerbitkan “Homeland
Security: Applying Risk Management Principles to Guide Federal Investments, GAO-07-386T”
sebagai panduan bagi pembuat keputusan publik untuk melakukan asesmen risiko, alokasi sumber
daya dan melakukan tindakan dalam kondisi yang tidak pasti (uncertainty). Sebelum itu
Department of Homeland Security, pada tahun 2006 menerbitkan National Infrastructure Protection
Plan, yang lebih menekankan perlindungan risiko dalam aspek keamanan fisik.
Dalam tataran global ada sebuah lembaga nirlaba bernama International Risk Governance Council
(IRGC) yang berkedudukan di Jenewa, Swiss yang bertujuan membantu pemerintah, industri, LSM
dan organisasi lainnya dalam upayanya untuk mengatasi risiko yang berskala besar dan tingkat
global yang dihadapi masyarakat, serta sekaligus meningkatkan kemampuan publik dalam hal risk
governance. Pada tahun 2005, IRGC menerbitkan “Risk Governance : Toward an Integrative
Approach” sebagai panduan untuk menangani dan mengantisipasi risiko dengan skala besar dan
berskala global, seperti misalnya endemi flu burung, masalah rekayasa genetik tanaman pangan,
global maritime infrastructure, dll.
Yang paling menarik adalah Australia, masing-masing negara bagian menerbitkan sendiri
Government Risk Management Framework/Guidelines (GRM Framework/Guidelines) dan mereka
menggunakan Standar Manajemen Risiko Nasionalnya yaitu Australian Standard/New Zealand
Standard 4360 : 2004 Risk Management sebagai acuan. Ketika standar nasional ini pada tahun
2010 mengalami perubahan menjadi AS/NZS ISO 31000:2010 maka GRM Framework/Guidelines
masing-masing negara bagian juga berubah menyesuaikan dengan standar nasional tersebut. Hal
ini terlihat antara lain pada negara bagian Queensland, Victoria dan West Australia yang merevisi
GRM Framework/Guidelines mereka pada tahun 2011 sesuai dengan AS/NZS ISO 31000:2010
tersebut.
Bagaimanakah dengan Indonesia? Apakah kita mempunyai Standar Nasional Manajemen Risiko?
Dari informasi yang ada kita mempunyai sebuah panduan dan sebuah standar manajemen risiko
nasional. Panduan tersebut adalah “Pedoman Manajemen Risiko Berbasis Governance” yang
diterbitkan oleh Komite Nasional Kebijakan Governance (KNKG) pada tahun 2012 dan standar
tersebut adalah “SNI ISO 31000:2011 Manajemen Risiko – Prinsip dan Panduan” yang diterbitkan
oleh Badan Standarisasi Nasional dengan mengadopsi standar internasional ISO 31000:2009,
sebagaimana dilakukan oleh Australia dan New Zealand, serta berbagai negara lain di dunia
termasuk Amerika Serikat.
Pertanyaannya adalah seberapa jauh instansi-instansi pemerintah mengetahui keberadaan SNI
ISO 31000 ini? Dari pemantauan di lapangan maka terlihat bahwa pertama Kementerian BUMN
yang telah mewajibkan penerapan manajemen risiko pada setiap BUMN sesuai dengan Peraturan
Menteri BUMN Nomor 01/2011, belum mewajibkan penggunaan Standar Nasional SNI ISO
31000:2011 ini. Kedua beberapa konsultan penerapan manajemen risiko yang berasal dari
akuntan publik masih lebih senang menggunakan standar/panduan manajemen risiko yang lainnya
dan bukan Standar Nasional ini. Ketiga Badan Pengawas Pasar Modal juga belum sepenuhnya
2
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
memahami adanya Standar Nasional Manajemen Risiko ini.
Dari kondisi lapangan di atas nampak bahwa masih diperlukan upaya yang cukup keras untuk
menyosialisasikan SNI ISO 31000 sebagai Standar Nasional Manajemen Risiko.
Standar Nasional Indonesia untuk Manajemen Risiko dapat menjadi acuan dalam penyusunan
panduan GRM masing-masing instansi pemerintah, apakah itu untuk masing-masing Kementerian
ataukah untuk masing-masing Pemerintah Daerah maupun terhadap seluruh BUMN dan BUMD.
B. PENGERTIAN, PRINSIP, DAN KONSEP
1. Menurut COSO
Manajemen dari beberapa perusahaan dan entitas lain telah mengembangkan proses untuk
mengidentifikasi dan mengelola risiko di seluruh perusahaan, dan banyak lainnya telah mulai
pembangunan atau sedang mempertimbangkan untuk melakukannya. Sementara informasi
yang cukup tentang manajemen risiko perusahaan tersedia, termasuk banyak literatur yang
diterbitkan, tidak ada istilah umum ada, dan ada sedikit jika ada prinsip-prinsip yang diterima
secara luas yang dapat digunakan oleh manajemen sebagai panduan dalam mengembangkan
sebuah arsitektur manajemen risiko yang efektif.
Menyadari perlunya bimbingan definitif tentang manajemen risiko perusahaan, Komite
Sponsoring Organizations of the Treadway Commission (COSO) memulai sebuah proyek untuk
mengembangkan
suatu
kerangka
kerja
konseptual
suara
memberikan
prinsip-prinsip
terintegrasi, terminologi umum dan pedoman implementasi praktis mendukung program entitas
'untuk mengembangkan atau patokan proses manajemen risiko perusahaan mereka. Tujuan
yang terkait adalah untuk kerangka ini dihasilkan untuk melayani sebagai dasar umum untuk
manajemen, direksi, regulator, akademisi dan lain-lain untuk lebih memahami manajemen risiko
perusahaan, manfaat dan keterbatasan, dan untuk secara efektif berkomunikasi tentang isu-isu
manajemen risiko perusahaan.
1) Relevansi ERM
Premis yang mendasari manajemen risiko perusahaan adalah bahwa setiap entitas, baik
untuk keuntungan, tidak-untuk-profit, atau badan pemerintah, ada untuk memberikan nilai
bagi para pemangku kepentingannya. Semua entitas menghadapi ketidakpastian, dan
tantangan bagi manajemen untuk menentukan berapa banyak ketidakpastian entitas siap
untuk menerima karena berusaha untuk menumbuhkan nilai stakeholder. Ketidakpastian
menyajikan baik risiko dan peluang, dengan potensi untuk mengikis atau meningkatkan nilai.
Enterprise risk management menyediakan kerangka kerja bagi manajemen untuk secara
efektif menangani ketidakpastian dan risiko yang terkait dan kesempatan dan dengan
demikian meningkatkan kapasitasnya untuk membangun nilai.
(1) Ketidakpastian
Usaha beroperasi di lingkungan di mana faktor-faktor seperti globalisasi, teknologi,
regulasi, restrukturisasi, perubahan pasar, dan persaingan menciptakan ketidakpastian.
Ketidakpastian berasal dari ketidakmampuan untuk secara tepat menentukan
3
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
kemungkinan bahwa peristiwa potensial akan terjadi dan hasil yang terkait.
(2) Nilai
Nilai diciptakan, diawetkan atau terkikis oleh keputusan manajemen mulai dari
pengaturan strategi untuk operasi perusahaan sehari-hari. Melekat dalam keputusan
merupakan pengakuan atas risiko dan peluang, mengharuskan manajemen
menganggap informasi tentang lingkungan internal dan eksternal, menyebarkan sumber
daya yang berharga dan recalibrates kegiatan usaha untuk mengubah keadaan.
Entitas mewujudkan nilai ketika para pemangku kepentingan memperoleh manfaat
dikenali bahwa mereka nilai gilirannya. Bagi perusahaan, pemegang saham menyadari
nilai ketika mereka mengakui penciptaan nilai dari pertumbuhan saham-nilai. Untuk
entitas pemerintah, nilai direalisasikan ketika konstituen mengakui penerimaan jasa
senilai dengan biaya yang dapat diterima. Pemangku kepentingan tidak-untuk entitas
nirlaba menyadari nilai ketika mereka mengakui menerima manfaat sosial dihargai.
Enterprise risk management memfasilitasi kemampuan manajemen untuk menciptakan
nilai yang berkelanjutan baik dan mengkomunikasikan nilai yang diciptakan bagi para
pemangku kepentingan.
2) Keunggulan ERM
Tidak ada entitas beroperasi dalam lingkungan yang bebas risiko, dan manajemen risiko
perusahaan tidak menciptakan lingkungan seperti itu. Sebaliknya, enterprise risk
management memungkinkan manajemen untuk beroperasi secara lebih efektif dalam
lingkungan yang penuh dengan risiko.
Enterprise risk management memberikan peningkatan kemampuan untuk:
(1) Menyelaraskan tingkat risiko dan strateginya
Risk appetite adalah tingkat risiko, pada tingkat berbasis luas, bahwa sebuah
perusahaan atau badan lain yang bersedia menerima dalam mengejar tujuannya.
Manajemen menganggap risk appetite entitas pertama dalam mengevaluasi alternatif
strategi, maka dalam menetapkan tujuan selaras dengan strategi yang dipilih dan dalam
mengembangkan mekanisme untuk mengelola risiko terkait.
(2) Pertumbuhan Link, risiko dan return
Entitas menerima resiko sebagai bagian dari penciptaan nilai dan pelestarian, dan
mereka berharap kembali sepadan dengan risiko. Enterprise risk management
menyediakan kemampuan ditingkatkan untuk mengidentifikasi dan menilai risiko, dan
menetapkan tingkat risiko yang dapat diterima relatif terhadap pertumbuhan dan kembali
tujuan.
(3) Meningkatkan keputusan respon risiko
Manajemen risiko perusahaan memberikan kekakuan untuk mengidentifikasi dan
memilih di antara respon risiko alternatif - penghindaran risiko, pengurangan, pembagian
dan penerimaan. Manajemen risiko perusahaan menyediakan metodologi dan teknik
untuk membuat keputusan ini.
(4) Minimalkan kejutan dan kerugian operasional
Entitas telah meningkatkan kemampuan untuk mengidentifikasi kejadian potensial,
menilai risiko dan membangun respon, sehingga mengurangi terjadinya kejutan dan
biaya atau kerugian yang terkait. 1 Sementara istilah "manajemen" digunakan dalam hal
ini dan kemudian diskusi, banyak kegiatan manajemen risiko perusahaan yang dilakukan
oleh petugas non-manajemen.
(5) Mengidentifikasi dan mengelola risiko lintas-perusahaan
Setiap entitas menghadapi berbagai risiko yang mempengaruhi berbagai bagian
4
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
organisasi. Manajemen perlu tidak hanya mengelola risiko individu, tetapi juga
memahami dampak yang saling terkait.
(6) Memberikan respon terpadu untuk beberapa risiko
Proses bisnis membawa banyak risiko yang melekat, dan manajemen risiko perusahaan
memungkinkan solusi terintegrasi untuk mengelola risiko.
(7) Menangkap peluang
Manajemen menganggap peristiwa potensial, bukan hanya risiko, dan dengan
mempertimbangkan berbagai macam acara, manajemen keuntungan pemahaman
tentang bagaimana peristiwa tertentu merupakan peluang.
(8) Merasionalisasi modal
Informasi lebih lanjut yang kuat pada risiko total entitas memungkinkan manajemen
untuk lebih efektif menilai kebutuhan modal secara keseluruhan dan meningkatkan
alokasi modal.
Enterprise risk management bukanlah tujuan itu sendiri, melainkan merupakan sarana
penting. Hal ini tidak bisa dan tidak beroperasi secara terpisah di suatu entitas,
melainkan merupakan enabler dari proses manajemen. Enterprise risk management
yang saling terkait dengan tata kelola perusahaan dengan memberikan informasi kepada
dewan direksi pada risiko yang paling signifikan dan bagaimana mereka dikelola. Dan,
itu interrelates dengan manajemen kinerja dengan memberikan tindakan risiko
disesuaikan, dan dengan pengendalian internal, yang merupakan bagian integral dari
manajemen risiko perusahaan.
Enterprise risk management membantu entitas mencapai kinerja dan profitabilitas target,
dan mencegah hilangnya sumber daya. Ini membantu memastikan pelaporan yang
efektif. Dan, hal ini membantu memastikan bahwa entitas mematuhi hukum dan
peraturan, menghindari kerusakan pada reputasi dan konsekuensi lainnya. Singkatnya,
hal ini membantu suatu entitas sampai ke mana ia ingin pergi dan menghindari
perangkap dan kejutan sepanjang jalan.
3) Definisi ERM
Enterprise risk management adalah sebuah proses, dipengaruhi oleh dewan entitas direksi,
manajemen dan personil lainnya, diterapkan dalam pengaturan strategi dan di seluruh
perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat
mempengaruhi entitas, dan mengelola risiko berada dalam risiko nafsu makan, untuk
memberikan keyakinan memadai tentang pencapaian tujuan entitas. Definisi ini
mencerminkan konsep dasar tertentu. Definisi ini mencerminkan konsep dasar tertentu.
Manajemen risiko perusahaan:
(1) Sebagai Sebuah Proses (Sarana untuk mencapai tujuan, bukan tujuan itu sendiri)
Sebuah Proses Manajemen risiko perusahaan bukan merupakan salah satu peristiwa
atau keadaan, melainkan serangkaian tindakan yang menyerap kegiatan entitas. Tindakan
ini meresap dan melekat dalam cara manajemen menjalankan bisnis.
Enterprise risk management berbeda dari perspektif beberapa pengamat yang melihatnya
sebagai sesuatu yang ditambahkan pada kegiatan suatu entitas, atau sebagai beban yang
diperlukan. Itu bukan untuk mengatakan enterprise risk management yang efektif tidak
memerlukan upaya tambahan. Misalnya, penilaian risiko mungkin memerlukan upaya
tambahan untuk mengembangkan model yang dibutuhkan dan membuat analisis dan
perhitungan yang diperlukan. Namun, ini dan mekanisme manajemen risiko perusahaan
lain yang terkait dengan aktivitas operasi entitas dan ada untuk alasan bisnis yang
mendasar. Enterprise risk management yang paling efektif ketika mekanisme ini dibangun
ke dalam infrastruktur entitas dan merupakan bagian dari inti dari perusahaan. Dengan
membangun dalam manajemen risiko perusahaan, suatu entitas dapat secara langsung
5
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
mempengaruhi kemampuan untuk melaksanakan strategi dan mencapai visi atau misinya.
Membangun enterprise risk management juga memiliki implikasi penting bagi
pengendalian biaya, terutama di pasar yang sangat kompetitif banyak perusahaan hadapi.
Menambah prosedur baru yang terpisah dari yang sudah ada menambah biaya. Dengan
berfokus pada operasi yang ada dan kontribusinya pada enterprise risk management yang
efektif, dan mengintegrasikan manajemen risiko ke dalam kegiatan operasi dasar,
perusahaan dapat menghindari prosedur yang tidak perlu dan biaya. Dan, praktik
membangun manajemen risiko perusahaan ke dalam kain operasi membantu
mengidentifikasi peluang-peluang baru bagi manajemen untuk merebut dalam
menumbuhkan bisnis.
(2) Dipengaruhi oleh orang-orang (ERM bukan hanya kebijakan, survei dan bentuk,
tetapi melibatkan orang pada setiap jenjang organisasi)
Enterprise risk management dipengaruhi oleh dewan direksi, manajemen dan personel
lain. Hal ini dilakukan oleh orang-orang dari sebuah organisasi, dengan apa yang mereka
lakukan dan katakan.Orang-orang mendirikan entitas misi / visi, strategi dan tujuan dan
menempatkan mekanisme manajemen risiko perusahaan di tempat. Demikian pula,
manajemen risiko perusahaan mempengaruhi tindakan masyarakat. Enterprise risk
management mengakui bahwa orang tidak selalu mengerti, berkomunikasi atau
melakukan secara konsisten. Setiap individu membawa ke tempat kerja latar belakang
yang unik dan kemampuan teknis, dan memiliki kebutuhan dan prioritas yang berbeda.
Realitas ini mempengaruhi, dan dipengaruhi oleh, manajemen risiko perusahaan. Setiap
orang memiliki titik unik dari referensi yang mempengaruhi bagaimana mereka
mengidentifikasi, menilai dan menanggapi risiko. Enterprise risk management
menyediakan mekanisme yang diperlukan untuk membantu orang memahami resiko
dalam konteks tujuan entitas. Orang-orang harus tahu tanggung jawab dan batas-batas
kewenangannya. Dengan demikian, hubungan yang jelas dan dekat perlu ada antara
tugas masyarakat dan cara di mana mereka dilakukan, serta dengan strategi dan tujuan
entitas.
Orang organisasi termasuk dewan direksi, serta manajemen dan personil lainnya.
Meskipun direksi terutama memberikan pengawasan, mereka juga memberikan arahan
dan menyetujui strategi dan transaksi serta kebijakan tertentu. Dengan demikian, dewan
direksi merupakan elemen penting dari manajemen risiko perusahaan.
(3) Diterapkan dalam pengaturan strategi
Entitas menetapkan misinya atau visi dan menetapkan tujuan strategis, yang merupakan
tujuan tingkat tinggi yang sejalan dengan dan mendukung visi atau misi. Entitas
menetapkan strategi untuk mencapai tujuan strategisnya. Hal ini juga menetapkan tujuan
terkait yang ingin dicapai, mengalir dari strategi, mengalir ke unit bisnis, divisi dan proses.
Dalam menetapkan strategi, manajemen mempertimbangkan risiko relatif terhadap
strategi alternatif
(4) Diterapkan di seluruh perusahaan, di setiap tingkat dan unit, dan termasuk
mengambil pandangan portofolio entitas-tingkat risiko
Untuk berhasil menerapkan manajemen risiko perusahaan, entitas harus
mempertimbangkan seluruh ruang lingkup kegiatan. Enterprise risk management
menganggap kegiatan di semua tingkat organisasi, dari kegiatan perusahaan-tingkat
seperti perencanaan strategis dan alokasi sumber daya, untuk kegiatan unit bisnis seperti
pemasaran dan sumber daya manusia, proses bisnis seperti produksi dan peninjauan
kredit pelanggan baru. Manajemen risiko perusahaan juga berlaku untuk proyek-proyek
khusus dan inisiatif baru yang mungkin belum memiliki tempat yang ditunjuk dalam hirarki
atau struktur organisasi entitas.
6
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
Enterprise risk management membutuhkan entitas untuk mengambil pandangan portofolio
risiko. Hal ini mungkin melibatkan setiap manajer yang bertanggung jawab atas unit
bisnis, fungsi, proses atau kegiatan lain mengembangkan penilaian risiko untuk unit.
Penilaian tersebut mungkin bersifat kuantitatif atau kualitatif. Dengan tampilan komposit
pada setiap tingkat berhasil organisasi, manajemen senior diposisikan untuk membuat
penentuan apakah profil risiko entitas secara keseluruhan sepadan dengan risk appetite.
Manajemen menganggap risiko saling terkait dari perspektif portofolio entitas-tingkat.
Risiko terkait perlu diidentifikasi dan ditindaklanjuti untuk membawa keseluruhan risiko
dalam risk appetite entitas. Risiko untuk masing-masing unit entitas mungkin dalam
toleransi risiko unit ', tetapi secara bersama-sama dapat melebihi risk appetite entitas
secara keseluruhan. Risk appetite secara keseluruhan tercermin hilir suatu entitas melalui
toleransi risiko yang ditetapkan untuk tujuan khusus.
(5) Dirancang untuk mengidentifikasi kejadian yang berpotensi mempengaruhi entitas
dan mengelola risiko dalam risk appetite
Risk appetite adalah jumlah resiko entitas bersedia menerima dalam mengejar nilai.
Entitas sering menganggap risk appetite secara kualitatif, dengan kategori seperti tinggi,
sedang atau rendah, atau mereka dapat mengambil pendekatan kuantitatif, yang
mencerminkan dan menyeimbangkan tujuan untuk pertumbuhan, pengembalian dan
risiko.
Risk appetite secara langsung berkaitan dengan strategi entitas. Hal ini dianggap dalam
pengaturan strategi, di mana hasil yang diinginkan dari sebuah strategi harus sejajar
dengan risk appetite entitas. Strategi yang berbeda akan mengekspos entitas untuk risiko
yang berbeda. Manajemen risiko perusahaan, diterapkan dalam pengaturan strategi,
membantu manajemen memilih strategi yang konsisten dengan risk appetite entitas.
Risk appetite entitas memandu alokasi sumber daya. Manajemen mengalokasikan
sumber daya di seluruh unit bisnis dengan mempertimbangkan risk appetite entitas dan
strategi unit bisnis individu untuk menghasilkan pengembalian yang diinginkan pada
sumber daya yang diinvestasikan. Manajemen mempertimbangkan risk appetite karena
sejalan organisasi, orang dan proses, dan desain infrastruktur yang diperlukan untuk
secara efektif merespon dan memantau risiko.
Toleransi risiko adalah tingkat yang dapat diterima variasi relatif terhadap pencapaian
tujuan. Dalam menetapkan toleransi risiko tertentu, manajemen mempertimbangkan
kepentingan relatif dari tujuan terkait dan sejalan toleransi risiko dengan risk appetite.
Operasi dalam toleransi risiko menyediakan manajemen jaminan yang lebih besar bahwa
entitas akan tetap dalam risk appetite dan, pada gilirannya, memberikan tingkat
kenyamanan yang lebih tinggi bahwa entitas akan mencapai tujuannya.
(6) Menyediakan keyakinan memadai kepada manajemen entitas dan dewan direksi
Dirancang dengan baik dan dioperasikan manajemen risiko perusahaan dapat
menyediakan manajemen dan dewan direksi keyakinan memadai tentang pencapaian
tujuan entitas. Sebagai hasil dari manajemen risiko perusahaan bertekad untuk menjadi
efektif, di setiap kategori tujuan entitas, dewan direksi dan keuntungan manajemen
keyakinan memadai bahwa:
a. Mereka memahami sejauh mana tujuan strategis entitas 's sedang dicapai,
b. Mereka memahami sejauh mana tujuan operasi entitas yang telah ditetapkan,
c. Pelaporan entitas dapat diandalkan, dan
d. Hukum dan peraturan yang berlaku sedang dipenuhi.
Keyakinan memadai mencerminkan gagasan bahwa ketidakpastian dan risiko berkaitan
dengan masa depan, yang tidak ada yang bisa memprediksi dengan pasti. Keterbatasan
juga hasil dari kenyataan bahwa penilaian manusia dalam pengambilan keputusan dapat
rusak, keputusan respon risiko dan kontrol mendirikan perlu mempertimbangkan biaya
7
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
dan manfaat relatif, kerusakan dapat terjadi karena kegagalan manusia seperti kesalahan
sederhana atau kesalahan, kontrol dapat dielakkan oleh kolusi dari dua orang atau lebih,
dan manajemen memiliki kemampuan untuk mengesampingkan keputusan manajemen
risiko perusahaan. Keterbatasan ini menghalangi papan dan manajemen dari memiliki
jaminan mutlak bahwa tujuan akan tercapai.
(7) Diarahkan untuk pencapaian tujuan dalam satu atau lebih yang terpisah namun
tumpang tindih kategori
Pencapaian Tujuan Enterprise risk management yang efektif dapat diharapkan untuk
memberikan keyakinan memadai untuk mencapai tujuan yang berkaitan dengan
keandalan pelaporan dan kepatuhan terhadap hukum dan peraturan. Pencapaian
kategori-kategori tujuan berada dalam entitas 'kontrol dan tergantung pada seberapa baik
entitas' kegiatan terkait s dilakukan. Namun, pencapaian tujuan strategis dan operasi tidak
selalu berada dalam kendali entitas. Untuk tujuan tersebut, manajemen risiko perusahaan
dapat memberikan keyakinan memadai hanya itu manajemen, dan dewan dalam fungsi
pengawasannya, disadarkan, pada waktu yang tepat, dari sejauh mana entitas bergerak
menuju pencapaian tujuan.
4) Komponen ERM
Komponen Enterprise Risk Management Enterprise risk management terdiri dari delapan
komponen yang saling terkait. Ini berasal dari cara manajemen menjalankan bisnis, dan
terintegrasi dengan proses manajemen sebagai berikut:
(1) Internal Environment
Lingkungan internal entitas adalah dasar untuk semua komponen lain dari manajemen
risiko perusahaan, menyediakan disiplin dan struktur. Lingkungan internal
mempengaruhi bagaimana strategi dan tujuan ditetapkan, kegiatan usaha yang
terstruktur dan risiko diidentifikasi, dinilai dan ditindaklanjuti. Ini mempengaruhi desain
dan fungsi kegiatan pengendalian, sistem informasi dan komunikasi, dan pemantauan.
Lingkungan internal terdiri dari banyak unsur, termasuk entitas 's nilai-nilai etika,
kompetensi dan pengembangan personil, manajemen' gaya operasi dan bagaimana hal
itu memberikan kewenangan dan tanggung jawab. Sebuah dewan direksi adalah bagian
penting dari lingkungan internal dan secara signifikan mempengaruhi unsur-unsur
lingkungan internal lainnya. Sebagai bagian dari lingkungan internal, manajemen
menetapkan filosofi manajemen risiko, menetapkan risk appetite entitas, membentuk
budaya risiko dan mengintegrasikan manajemen risiko perusahaan dengan inisiatif
terkait.
Sebuah filosofi manajemen risiko perusahaan yang dipahami oleh semua personil
memfasilitasi kemampuan karyawan untuk mengenali dan secara efektif mengelola
risiko. Filosofi - keyakinan entitas tentang risiko dan bagaimana memilih untuk
melakukan kegiatan dan menangani risiko - mencerminkan nilai entitas berusaha dari
enterprise risk management dan mempengaruhi bagaimana komponen enterprise risk
management akan diterapkan. Manajemen mengkomunikasikan filosofi manajemen
risiko perusahaan kepada karyawan melalui pernyataan kebijakan dan komunikasi
lainnya. Yang penting, manajemen memperkuat filosofi tidak hanya dengan kata-kata
tetapi dengan tindakan sehari-hari juga.
Risk appetite, yang didirikan oleh manajemen dan ditinjau oleh dewan direksi, adalah
sebuah tonggak dalam pengaturan strategi. Biasanya salah satu dari sejumlah strategi
yang berbeda dapat dirancang untuk mencapai pertumbuhan yang diinginkan dan
8
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
kembali gol, masing-masing memiliki risiko yang terkait berbeda. Manajemen risiko
perusahaan, diterapkan dalam pengaturan strategi, membantu manajemen memilih
strategi yang konsisten dengan risk appetite. Manajemen terlihat untuk menyelaraskan
organisasi, manusia, proses dan infrastruktur untuk memfasilitasi pelaksanaan strategi
yang berhasil dan memungkinkan entitas untuk tetap dalam risk appetite.
Budaya risiko adalah seperangkat sikap bersama, nilai-nilai dan praktik yang mencirikan
bagaimana entitas mempertimbangkan resiko dalam kegiatannya sehari-hari. Bagi
banyak perusahaan, budaya resiko mengalir dari filosofi risiko entitas dan risk appetite.
Bagi entitas yang tidak secara eksplisit mendefinisikan filosofi risiko, budaya risiko dapat
membentuk sembarangan, sehingga budaya risiko yang berbeda secara signifikan
dalam suatu perusahaan atau bahkan dalam unit bisnis tertentu, fungsi atau
departemen.
(2) Objective Setting
Dalam konteks misi atau visi yang ditetapkan, manajemen menetapkan tujuan strategis,
memilih strategi dan menetapkan tujuan yang terkait, mengalir melalui perusahaan dan
selaras dengan dan terkait dengan strategi. Tujuan harus ada sebelum manajemen
dapat mengidentifikasi peristiwa yang berpotensi mempengaruhi prestasi mereka.
Enterprise risk management memastikan bahwa manajemen memiliki proses di tempat
untuk kedua set tujuan dan menyelaraskan tujuan dengan entitas misi / visi dan
konsisten dengan risk appetite entitas.
Tujuan entitas dapat dilihat dalam konteks empat kategori:
a. Strategis - yang berkaitan dengan tujuan tingkat tinggi, sejalan dengan dan
mendukung misi entitas / visi.
b. Operasi - berkaitan dengan efektivitas dan efisiensi operasi entitas, termasuk kinerja
dan profitabilitas gol. Mereka bervariasi berdasarkan pilihan manajemen tentang
struktur dan kinerja.
c. Pelaporan - berkaitan dengan efektivitas pelaporan entitas. Mereka termasuk
pelaporan internal dan eksternal dan mungkin melibatkan informasi keuangan atau
non-keuangan.
d. Kepatuhan - berkaitan dengan kepatuhan entitas dengan undang-undang dan
peraturan yang berlaku.
Kategorisasi tujuan entitas memungkinkan manajemen dan dewan untuk fokus pada
aspek-aspek yang terpisah dari manajemen risiko perusahaan. Ini berbeda tetapi
tumpang tindih kategori - tujuan tertentu dapat jatuh di bawah lebih dari satu kategori memenuhi kebutuhan entitas yang berbeda dan mungkin menjadi tanggung jawab
langsung dari eksekutif yang berbeda. Kategorisasi ini juga memungkinkan
membedakan antara apa yang dapat diharapkan dari setiap kategori tujuan. Beberapa
entitas menggunakan kategori lain tujuan, "pengamanan sumber daya," kadang-kadang
disebut sebagai "pengamanan aset." Dilihat secara luas, kesepakatan ini dengan
pencegahan hilangnya aset suatu entitas atau sumber daya, baik melalui pencurian,
pemborosan, inefisiensi atau apa yang ternyata menjadi keputusan bisnis yang cukup
buruk - seperti menjual produk dengan harga terlalu rendah, gagal untuk
mempertahankan karyawan kunci atau mencegah pelanggaran paten, atau
menimbulkan kewajiban yang tak terduga. Ini pengamanan berbasis luas dari kategori
aset dapat dipersempit untuk tujuan pelaporan tertentu, di mana konsep pengamanan
hanya berlaku untuk pencegahan atau deteksi yang tepat terhadap akuisisi,
penggunaan, atau disposisi aset entitas.
(3) Event Identification
Kegiatan Identifikasi Manajemen mengakui bahwa ketidakpastian ada - bahwa ia tidak
dapat mengetahui secara pasti apakah dan kapan suatu peristiwa akan terjadi, atau
hasilnya harus itu terjadi. Sebagai bagian dari identifikasi kejadian, manajemen
9
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
mempertimbangkan faktor-faktor eksternal dan internal yang mempengaruhi terjadinya
peristiwa. Faktor eksternal meliputi ekonomi, bisnis, lingkungan alam, faktor-faktor politik,
sosial dan teknologi. Faktor internal mencerminkan pilihan manajemen dan meliputi halhal seperti infrastruktur, personil, proses dan teknologi. Metodologi identifikasi kejadian
entitas dapat terdiri dari kombinasi teknik bersama-sama dengan alat-alat pendukung.
Teknik identifikasi kejadian melihat ke baik masa lalu dan masa depan. Teknik yang
berfokus pada peristiwa masa lalu dan tren mempertimbangkan hal-hal seperti sejarah
gagal bayar, perubahan harga komoditas dan kecelakaan kehilangan waktu. Teknik yang
berfokus pada eksposur di masa depan mempertimbangkan hal-hal seperti pergeseran
demografi, pasar baru dan tindakan pesaing. Ini mungkin berguna untuk kelompok
peristiwa potensial ke dalam kategori. Dengan menggabungkan peristiwa horizontal di
suatu entitas dan secara vertikal dalam unit-unit operasi, manajemen mengembangkan
pemahaman tentang keterkaitan antara peristiwa, memperoleh informasi ditingkatkan
sebagai dasar untuk penilaian risiko.
Acara berpotensi memiliki dampak negatif, dampak positif atau keduanya. Peristiwa
yang memiliki dampak yang berpotensi negatif mencerminkan risiko, yang membutuhkan
penilaian manajemen dan respon. Dengan demikian, risiko didefinisikan sebagai
kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian tujuan.
Acara dengan potensi dampak positif merupakan peluang atau mengimbangi dampak
negatif dari risiko. Acara yang mewakili peluang disalurkan kembali ke strategi atau
tujuan-pengaturan proses manajemen, sehingga tindakan dapat dirumuskan untuk
merebut peluang. Acara berpotensi mengimbangi dampak negatif dari risiko yang
dipertimbangkan dalam penilaian risiko manajemen dan respon.
(4) Risk Assessment
Penilaian risiko memungkinkan suatu entitas untuk mempertimbangkan bagaimana
peristiwa potensial dapat mempengaruhi pencapaian tujuan. Manajemen menilai
peristiwa dari dua perspektif: kemungkinan dan dampak.
Kemungkinan mewakili kemungkinan bahwa peristiwa tertentu akan terjadi, sementara
dampak mewakili efeknya harus itu terjadi. Perkiraan kemungkinan risiko dan dampak
sering ditentukan dengan menggunakan data dari peristiwa masa lalu dapat diamati,
yang dapat memberikan dasar yang lebih obyektif daripada perkiraan sepenuhnya
subyektif. Data yang dihasilkan secara internal berdasarkan pengalaman entitas sendiri
mungkin mencerminkan bias pribadi kurang subyektif dan memberikan hasil yang lebih
baik daripada data dari sumber eksternal. Namun, bahkan di mana data yang dihasilkan
secara internal adalah input primer, data eksternal dapat berguna sebagai checkpoint
atau untuk meningkatkan analisis. Pengguna harus berhati-hati ketika menggunakan
peristiwa masa lalu untuk membuat prediksi tentang masa depan, sebagai faktor yang
mempengaruhi kejadian dapat berubah dari waktu ke waktu.
Metodologi penilaian risiko entitas biasanya terdiri dari kombinasi teknik kualitatif dan
kuantitatif. Manajemen sering menggunakan teknik penilaian kualitatif di mana risiko
tidak meminjamkan diri untuk kuantifikasi atau saat data kredibel yang cukup diperlukan
untuk penilaian kuantitatif baik tidak tersedia atau dengan praktis mendapatkan atau
menganalisis data yang tidak efektif. Teknik kuantitatif biasanya membawa lebih presisi
dan digunakan dalam kegiatan yang lebih kompleks dan canggih untuk melengkapi
teknik kualitatif. Sebuah entitas tidak perlu menggunakan teknik penilaian umum di
semua unit bisnis. Sebaliknya, pilihan teknik harus mencerminkan kebutuhan untuk
presisi dan budaya dari unit bisnis. Dalam hal apapun, metode yang digunakan oleh unit
bisnis individu harus memfasilitasi penilaian entitas risiko di seluruh entitas.
Manajemen sering menggunakan ukuran kinerja dalam menentukan sejauh mana tujuan
10
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
tercapai. Ini mungkin berguna untuk menggunakan satuan yang sama ukuran ketika
mempertimbangkan dampak potensial dari risiko terhadap pencapaian tujuan tertentu.
Manajemen dapat menetapkan bagaimana peristiwa berkorelasi, dimana urutan
peristiwa menggabungkan dan berinteraksi untuk menciptakan probabilitas yang
berbeda secara signifikan atau dampak. Sementara dampak dari satu acara mungkin
sedikit, urutan peristiwa mungkin memiliki dampak yang lebih signifikan. Dimana
peristiwa potensial tidak terkait langsung, manajemen menilai mereka secara individu;
dimana risiko yang mungkin terjadi dalam beberapa unit bisnis, manajemen dapat
menetapkan dan kelompok mengidentifikasi peristiwa ke dalam kategori umum.
Biasanya ada berbagai hasil yang mungkin terkait dengan peristiwa potensial, dan
manajemen menganggap mereka sebagai dasar untuk mengembangkan respon risiko.
Melalui penilaian risiko, manajemen mempertimbangkan konsekuensi positif dan negatif
dari peristiwa potensial, secara individu atau berdasarkan kategori, di seluruh entitas.
Karena risiko dinilai dalam konteks strategi dan tujuan entitas, manajemen sering
cenderung fokus pada risiko dengan cakrawala waktu jangka menengah pendek sampai.
Namun, beberapa elemen dari arah strategis dan tujuan memperpanjang untuk jangka
panjang. Akibatnya, manajemen perlu menyadari kerangka waktu yang lebih panjang,
dan tidak mengabaikan risiko yang mungkin lebih jauh.
Penilaian risiko diterapkan pertama yang inherent risk - risiko kepada entitas dalam tidak
adanya tindakan manajemen mungkin mengambil untuk mengubah baik kemungkinan
risiko atau dampak. Bila respon risiko telah dikembangkan, manajemen kemudian
menggunakan teknik penilaian risiko dalam menentukan risiko residual - risiko yang
tersisa setelah tindakan manajemen untuk mengubah kemungkinan risiko atau dampak.
(5) Risk Response
Manajemen mengidentifikasi pilihan respon risiko dan mempertimbangkan efeknya pada
acara kemungkinan dan dampak, dalam kaitannya dengan toleransi risiko dan biaya
dibandingkan manfaat, dan desain dan menerapkan pilihan jawaban. Pertimbangan
respon risiko dan memilih dan menerapkan respon risiko merupakan bagian integral dari
manajemen risiko perusahaan. Enterprise risk management yang efektif mensyaratkan
bahwa manajemen memilih respon yang diharapkan dapat membawa kemungkinan
risiko dan dampak dalam toleransi risiko entitas.
Respon risiko jatuh dalam kategori penghindaran risiko, pengurangan, pembagian dan
penerimaan. Tanggapan menghindari mengambil tindakan untuk keluar dari kegiatan
yang menimbulkan risiko. Tanggapan pengurangan mengurangi kemungkinan risiko,
dampak, atau keduanya. Berbagi tanggapan mengurangi kemungkinan risiko atau
dampak dengan mentransfer atau berbagi sebagian dari risiko. Tanggapan Penerimaan
tidak melakukan tindakan untuk mempengaruhi kemungkinan atau dampak. Sebagai
bagian dari manajemen risiko perusahaan, untuk setiap risiko yang signifikan entitas
mempertimbangkan tanggapan potensial dari berbagai kategori respon. Hal ini
memberikan kedalaman yang cukup untuk pemilihan respon dan juga menantang "status
quo."
Setelah memilih respon risiko, manajemen recalibrates risiko secara residual.
Manajemen menganggap resiko dari entitas-lebar, atau portofolio, perspektif.
Manajemen dapat mengambil pendekatan di mana manajer yang bertanggung jawab
untuk setiap departemen, fungsi atau unit bisnis mengembangkan penilaian komposit
risiko dan respon risiko untuk unit itu. Pandangan ini mencerminkan profil risiko dari unit
relatif terhadap tujuan dan toleransi risiko. Dengan pemandangan risiko untuk unit
individu, manajer paling senior dari perusahaan diposisikan untuk mengambil pandangan
portofolio, untuk menentukan apakah profil risiko entitas sepadan dengan risk appetite
11
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
yang relatif keseluruhan tujuannya.
Manajemen harus menyadari bahwa beberapa tingkat risiko residual akan selalu ada,
bukan hanya karena sumber daya yang terbatas, tetapi juga karena ketidakpastian masa
depan yang melekat dan keterbatasan yang melekat dalam semua kegiatan.
(6) Control Activities
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu memastikan
tanggapan risiko dijalankan dengan benar. Aktivitas pengendalian terjadi di seluruh
organisasi, di semua tingkat dan di semua fungsi. Aktivitas pengendalian merupakan
bagian dari proses dimana suatu perusahaan berusaha untuk mencapai tujuan
usahanya. Mereka biasanya melibatkan dua elemen: kebijakan menetapkan apa yang
harus dilakukan dan prosedur untuk mempengaruhi kebijakan.
Dengan ketergantungan luas pada sistem informasi, kontrol yang diperlukan melalui
sistem yang signifikan. Dua pengelompokan luas aktivitas pengendalian sistem informasi
dapat digunakan. Yang pertama adalah kontrol umum, yang berlaku untuk banyak jika
tidak semua sistem aplikasi dan membantu memastikan melanjutkan, operasi yang
tepat. Yang kedua adalah kontrol aplikasi, yang mencakup langkah-langkah
komputerisasi dalam perangkat lunak aplikasi untuk mengontrol aplikasi teknologi.
Dikombinasikan dengan kontrol proses manual lainnya jika diperlukan, kontrol ini
memastikan kelengkapan, akurasi dan validitas informasi.
Pengendalian umum meliputi pengendalian atas pengelolaan teknologi informasi,
infrastruktur teknologi informasi, manajemen keamanan dan perangkat lunak akuisisi,
pengembangan dan pemeliharaan. Kontrol ini berlaku untuk semua sistem - dari
mainframe ke client / server untuk lingkungan komputer desktop. Pengendalian umum
meliputi pengendalian manajemen teknologi informasi menangani proses pengawasan
teknologi informasi, pemantauan dan pelaporan kegiatan teknologi informasi, dan inisiatif
peningkatan bisnis.
Pengendalian aplikasi yang dirancang untuk memastikan kelengkapan, keakuratan,
otorisasi dan validitas data capture dan pengolahan transaksi. Aplikasi individu dapat
mengandalkan operasi yang efektif dari kontrol atas sistem informasi untuk memastikan
bahwa data antarmuka yang dihasilkan bila diperlukan, mendukung aplikasi yang
tersedia dan kesalahan antarmuka terdeteksi dengan cepat.
Karena setiap entitas telah menetapkan sendiri tujuan dan pendekatan implementasi,
akan ada perbedaan dalam tujuan, struktur dan kegiatan pengendalian terkait. Bahkan
jika dua entitas memiliki tujuan dan struktur identik, kegiatan pengendalian mereka
kemungkinan akan berbeda. Setiap entitas dikelola oleh orang yang berbeda yang
menggunakan penilaian individu dalam mempengaruhi pengendalian internal. Selain itu,
kontrol mencerminkan lingkungan dan industri di mana entitas beroperasi, serta
kompleksitas organisasi, sejarah dan budayanya.
(7) Information and Communication
Informasi terkait - dari sumber internal dan eksternal - harus diidentifikasi, ditangkap dan
dikomunikasikan dalam bentuk dan waktu yang memungkinkan personil untuk
melaksanakan tanggung jawab mereka. Komunikasi yang efektif juga terjadi dalam arti
luas, mengalir ke bawah, menemukan dan up entitas. Ada juga komunikasi dan
pertukaran informasi yang relevan dengan pihak luar, seperti pelanggan, pemasok,
regulator dan pemegang saham efektif.
Informasi yang dibutuhkan pada semua tingkat organisasi untuk mengidentifikasi,
menilai dan menanggapi risiko, dan jika tidak menjalankan entitas dan mencapai
tujuannya. Berbagai informasi yang digunakan, yang relevan dengan satu atau lebih
tujuan kategori. Informasi berasal dari berbagai sumber - internal dan eksternal, dan
12
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
dalam bentuk kuantitatif dan kualitatif - dan memungkinkan tanggapan manajemen risiko
perusahaan terhadap perubahan kondisi secara real time. Tantangan bagi manajemen
adalah untuk memproses dan memperbaiki volume data yang besar menjadi informasi
ditindaklanjuti. Tantangan ini dipenuhi dengan membangun infrastruktur sistem informasi
sumber, menangkap, memproses, menganalisis dan melaporkan informasi yang relevan.
Sistem informasi ini - biasanya terkomputerisasi tetapi juga melibatkan input manual atau
antarmuka - sering dilihat dalam konteks pengolahan internal data yang berhubungan
dengan transaksi.
Sistem informasi telah lama dirancang dan digunakan untuk mendukung strategi bisnis.
Peran ini menjadi penting sebagai perubahan kebutuhan bisnis dan teknologi
menciptakan peluang baru untuk keuntungan strategis.
Untuk mendukung manajemen risiko perusahaan yang efektif, suatu entitas menangkap
dan menggunakan data historis dan saat ini. Data historis memungkinkan entitas untuk
melacak kinerja aktual terhadap target, rencana dan harapan. Ini memberikan wawasan
mengenai bagaimana entitas dilakukan di bawah kondisi yang berbeda-beda, yang
memungkinkan manajemen untuk mengidentifikasi korelasi dan tren dan untuk
meramalkan kinerja masa depan. Data historis juga dapat memberikan peringatan dini
kejadian potensial yang membutuhkan perhatian manajemen.
Data keadaan sekarang atau saat ini memungkinkan suatu entitas untuk menilai risiko
yang pada titik tertentu dalam waktu dan tetap dalam toleransi risiko yang ditetapkan.
Data negara saat ini memungkinkan manajemen untuk mengambil pandangan real-time
dari risiko yang ada melekat dalam proses, fungsi atau unit dan untuk mengidentifikasi
variasi dari harapan. Ini memberikan pandangan profil risiko entitas, memungkinkan
manajemen untuk mengubah aktivitas yang diperlukan untuk mengkalibrasi ke risk
appetite.
Informasi merupakan dasar untuk komunikasi, yang harus memenuhi harapan kelompok
dan individu, yang memungkinkan mereka untuk secara efektif melaksanakan tanggung
jawab mereka. Di antara saluran komunikasi yang paling penting adalah bahwa antara
manajemen puncak dan dewan direksi. Manajemen harus menjaga papan up-to-date
pada kinerja, perkembangan, resiko dan fungsi manajemen risiko perusahaan, dan
acara lain yang relevan dan isu-isu. Semakin baik komunikasi, semakin efektif dewan
akan dalam menjalankan tanggung jawab pengawasannya, dalam bertindak sebagai
papan terdengar pada isu-isu kritis dan dalam memberikan saran, nasihat dan arah.
Dengan cara yang sama, dewan harus berkomunikasi dengan manajemen informasi apa
yang dibutuhkan dan memberikan umpan balik dan arah.
Manajemen menyediakan komunikasi spesifik dan diarahkan menangani harapan
perilaku dan tanggung jawab personel. Ini termasuk pernyataan yang jelas tentang
entitas perusahaan filosofi manajemen risiko dan pendekatan dan pendelegasian
wewenang. Komunikasi tentang proses dan prosedur harus sejalan dengan, dan
mendukung, budaya risiko yang diinginkan. Selain itu, komunikasi harus tepat "dibingkai"
- penyajian informasi secara signifikan dapat mempengaruhi bagaimana ditafsirkan dan
bagaimana resiko atau peluang yang terkait dipandang.
Komunikasi harus meningkatkan kesadaran tentang pentingnya dan relevansi enterprise
risk management yang efektif, mengkomunikasikan risk appetite entitas dan toleransi
risiko, melaksanakan dan mendukung bahasa resiko yang umum, dan menyarankan
personil peran dan tanggung jawab mereka dalam mempengaruhi dan mendukung
komponen manajemen risiko perusahaan .
Saluran komunikasi juga harus memastikan personil dapat mengkomunikasikan
informasi berbasis risiko di seluruh unit bisnis, proses atau silo fungsional. Dalam
13
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
kebanyakan kasus, jalur pelaporan yang normal dalam suatu organisasi adalah saluran
komunikasi yang sesuai. Dalam beberapa situasi, bagaimanapun, jalur komunikasi yang
terpisah diperlukan untuk melayani sebagai mekanisme gagal-aman dalam kasus
saluran normal tidak bekerja. Dalam semua kasus, adalah penting bahwa personel
memahami bahwa tidak akan ada pembalasan untuk melaporkan informasi yang
relevan.
Saluran komunikasi eksternal dapat memberikan masukan yang sangat signifikan pada
desain atau kualitas produk atau jasa. Manajemen mempertimbangkan bagaimana nya
risk appetite dan toleransi resiko sejalan dengan para pelanggan, pemasok dan mitra,
memastikan bahwa itu tidak sengaja mengambil terlalu banyak risiko melalui interaksi
bisnis. Komunikasi dari pihak eksternal sering memberikan informasi penting pada fungsi
manajemen risiko perusahaan.
(8) Monitoring
Enterprise risk management dipantau - sebuah proses yang menilai baik kehadiran dan
fungsi komponen dan kualitas kinerja mereka dari waktu ke waktu. Pemantauan dapat
dilakukan dengan dua cara: melalui kegiatan yang sedang berlangsung atau evaluasi
terpisah. Pemantauan dan terpisah memastikan bahwa manajemen risiko perusahaan
terus diterapkan di semua tingkatan dan di seluruh entitas.
Pemantauan dibangun ke normal, aktivitas operasi berulang dari suatu entitas.
Pemantauan dilakukan secara real-time, bereaksi secara dinamis terhadap perubahan
kondisi dan sudah mendarah daging dalam entitas. Akibatnya, itu lebih efektif daripada
evaluasi terpisah. Karena evaluasi terpisah dilakukan setelah fakta, masalah yang sering
akan diidentifikasi lebih cepat dengan rutinitas pemantauan. Banyak entitas dengan
suara kegiatan pemantauan tetap melakukan evaluasi terpisah dari manajemen risiko
perusahaan.
Frekuensi evaluasi terpisah adalah masalah pertimbangan manajemen. Dalam membuat
keputusan itu, pertimbangan diberikan kepada sifat dan tingkat perubahan, baik dari
kejadian internal dan eksternal, dan risiko yang terkait; kompetensi dan pengalaman
personil pelaksanaan respon risiko dan pengendalian terkait; dan hasil pemantauan.
Biasanya, beberapa kombinasi dari pemantauan dan evaluasi terpisah akan memastikan
bahwa manajemen risiko perusahaan mempertahankan efektivitas dari waktu ke waktu.
Tingkat dokumentasi manajemen risiko perusahaan entitas bervariasi tergantung ukuran
entitas, kompleksitas dan faktor-faktor yang sama. Fakta bahwa unsur-unsur manajemen
risiko perusahaan tidak didokumentasikan tidak berarti bahwa mereka tidak efektif atau
bahwa mereka tidak dapat dievaluasi. Namun, tingkat yang sesuai dokumentasi
biasanya membuat pengawasan yang lebih efektif dan efisien. Dimana manajemen
bermaksud untuk membuat pernyataan kepada pihak eksternal mengenai efektivitas
manajemen risiko perusahaan, harus mempertimbangkan untuk mengembangkan dan
mempertahankan dokumentasi untuk mendukung pernyataan tersebut.
Semua kekurangan manajemen resiko perusahaan yang mempengaruhi kemampuan
suatu entitas untuk mengembangkan dan menerapkan strategi dan untuk mencapai
tujuan yang telah ditetapkan harus dilaporkan kepada mereka diposisikan untuk
mengambil tindakan yang diperlukan. Sifat hal yang perlu dikomunikasikan akan
bervariasi tergantung pada otoritas individu untuk menangani situasi yang muncul dan
pada kegiatan pengawasan atasan. Istilah "kekurangan" mengacu pada suatu kondisi
dalam proses manajemen risiko perusahaan layak perhatian. Kekurangan A, oleh karena
itu, mungkin merupakan dirasakan, potensial atau kekurangan yang nyata, atau
kesempatan untuk memperkuat proses untuk meningkatkan kemungkinan bahwa tujuan
entitas akan tercapai. Informasi yang dihasilkan dalam rangka kegiatan operasi biasanya
14
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
dilaporkan melalui saluran normal. Saluran komunikasi alternatif juga harus ada untuk
melaporkan informasi yang sensitif seperti tindakan ilegal atau tidak benar.
Menyediakan membutuhkan informasi tentang kekurangan manajemen risiko
perusahaan kepada pihak yang tepat sangat penting. Protokol harus dibentuk untuk
mengidentifikasi informasi apa yang dibutuhkan pada tingkat tertentu untuk pengambilan
keputusan yang efektif. Protokol seperti mencerminkan aturan umum bahwa manajer
harus menerima informasi yang mempengaruhi tindakan atau perilaku personil di bawah
tanggung jawabnya, serta informasi yang dibutuhkan untuk mencapai tujuan tertentu.
Uraian di atas dapat disimpulkan dalam sebuah skema berikut ini:
Keterangan:
Empat tujuan kategori - strategis, operasi, pelaporan, dan kepatuhan - yang diwakili oleh
kolom vertikal
Kedelapan komponen diwakili oleh baris horizontal
Entitas dan unit yang digambarkan oleh dimensi ketiga dari kubus
2. Menurut AS/NZS ISO 31000/2009
1) Definisi risiko - 'efek ketidakpastian pada tujuan'
Definisi risiko telah berubah dari “kemungkinan terjadinya sesuatu yang akan berdampak
pada tujuan” menjadi “efek ketidakpastian pada tujuan”.
Sementara risk managers akan terus mempertimbangkan kemungkinan risiko yang terjadi,
mereka sekarang harus menerapkan pilihan perlakuan risiko untuk memastikan bahwa
ketidakpastian agensi mereka dalam memenuhi tujuannya akan dihindari, dikurangi, dihapus
atau diubah dan / atau dipertahankan.
2) Sebelas Prinsip Manajemen Risiko
(1) Menciptakan dan melindungi nilai
Manajemen risiko yang baik berkontribusi terhadap pencapaian tujuan sebuah instansi
15
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
melalui penelaahan terus menerus proses dan sistem.
(3) Menjadi bagian integral dari proses organisasi
Manajemen risiko perlu diintegrasikan dengan kerangka kerja tata kelola sebuah instansi
dan menjadi bagian dari proses perencanaan, baik di tingkat operasional dan strategis.
(4) Menjadi bagian dari pengambilan keputusan
Proses manajemen risiko membantu para pengambil keputusan untuk membuat pilihan
informasi, mengidentifikasi prioritas dan memilih tindakan yang paling tepat.
(5) Secara eksplisit memetakan ketidakpastian
Dengan mengidentifikasi potensi risiko, organisasi dapat menerapkan kontrol dan
perlakuan untuk memaksimalkan peluang keuntungan dan meminimalkan kemungkinan
kerugian.
(6) Sistematis, terstruktur dan tepat waktu
Proses manajemen risiko harus konsisten di seluruh divisi untuk menjamin efis
[SEMINAR MANAJEMEN RISIKO]
SEMINAR MANAJEMEN RISIKO
MANAJEMEN RISIKO:
DEFINISI, PRINSIP, DAN KERANGKA KONSEPTUAL
MENURUT COSO, AS/NZS, BASEL DAN PERATURAN
PERUNDANG-UNDANGAN DI INDONESIA
Disusun oleh:
Agatha Raharjo (01);
Bara Aji Anggara (09);
Doni Iwan Prasetyo (14);
Moch Reza Agung Y (22);
Muhammad Yusuf (23)
Semester VIII Program Diploma IV Kurikulum Khusus BPKP Angkatan II
A. PENDAHULUAN
1
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
Di Inggris, kesadaran untuk perlunya manajemen risiko untuk instansi pemerintahaan ternyata
sudah dimulai dari tahun 2000 dan pada tahun 2001, HM Treasury menerbitkan panduan
manajemen risiko bagi lembaga pemerintahaan dan dikenal sebagai “Orange Book” karena kulit
luarnya yang berwarna oranye. Buku ini diperbarui pada tahun 2004 dengan judul “The Orange
Book: Management of Risk - Principles and Concepts”. Selain itu juga ada Green Book yang
berisikan “Appraisal and Evaluation in Central Government”. Perubahan terbesar dengan terbitnya
Orange Book adalah di tiap organisasi pemerintah kini telah diterapkan proses manajemen risiko
sesuai dengan panduan dari Orange Book.
Di Amerika Serikat, General Accountability Office pada tahun 2007 menerbitkan “Homeland
Security: Applying Risk Management Principles to Guide Federal Investments, GAO-07-386T”
sebagai panduan bagi pembuat keputusan publik untuk melakukan asesmen risiko, alokasi sumber
daya dan melakukan tindakan dalam kondisi yang tidak pasti (uncertainty). Sebelum itu
Department of Homeland Security, pada tahun 2006 menerbitkan National Infrastructure Protection
Plan, yang lebih menekankan perlindungan risiko dalam aspek keamanan fisik.
Dalam tataran global ada sebuah lembaga nirlaba bernama International Risk Governance Council
(IRGC) yang berkedudukan di Jenewa, Swiss yang bertujuan membantu pemerintah, industri, LSM
dan organisasi lainnya dalam upayanya untuk mengatasi risiko yang berskala besar dan tingkat
global yang dihadapi masyarakat, serta sekaligus meningkatkan kemampuan publik dalam hal risk
governance. Pada tahun 2005, IRGC menerbitkan “Risk Governance : Toward an Integrative
Approach” sebagai panduan untuk menangani dan mengantisipasi risiko dengan skala besar dan
berskala global, seperti misalnya endemi flu burung, masalah rekayasa genetik tanaman pangan,
global maritime infrastructure, dll.
Yang paling menarik adalah Australia, masing-masing negara bagian menerbitkan sendiri
Government Risk Management Framework/Guidelines (GRM Framework/Guidelines) dan mereka
menggunakan Standar Manajemen Risiko Nasionalnya yaitu Australian Standard/New Zealand
Standard 4360 : 2004 Risk Management sebagai acuan. Ketika standar nasional ini pada tahun
2010 mengalami perubahan menjadi AS/NZS ISO 31000:2010 maka GRM Framework/Guidelines
masing-masing negara bagian juga berubah menyesuaikan dengan standar nasional tersebut. Hal
ini terlihat antara lain pada negara bagian Queensland, Victoria dan West Australia yang merevisi
GRM Framework/Guidelines mereka pada tahun 2011 sesuai dengan AS/NZS ISO 31000:2010
tersebut.
Bagaimanakah dengan Indonesia? Apakah kita mempunyai Standar Nasional Manajemen Risiko?
Dari informasi yang ada kita mempunyai sebuah panduan dan sebuah standar manajemen risiko
nasional. Panduan tersebut adalah “Pedoman Manajemen Risiko Berbasis Governance” yang
diterbitkan oleh Komite Nasional Kebijakan Governance (KNKG) pada tahun 2012 dan standar
tersebut adalah “SNI ISO 31000:2011 Manajemen Risiko – Prinsip dan Panduan” yang diterbitkan
oleh Badan Standarisasi Nasional dengan mengadopsi standar internasional ISO 31000:2009,
sebagaimana dilakukan oleh Australia dan New Zealand, serta berbagai negara lain di dunia
termasuk Amerika Serikat.
Pertanyaannya adalah seberapa jauh instansi-instansi pemerintah mengetahui keberadaan SNI
ISO 31000 ini? Dari pemantauan di lapangan maka terlihat bahwa pertama Kementerian BUMN
yang telah mewajibkan penerapan manajemen risiko pada setiap BUMN sesuai dengan Peraturan
Menteri BUMN Nomor 01/2011, belum mewajibkan penggunaan Standar Nasional SNI ISO
31000:2011 ini. Kedua beberapa konsultan penerapan manajemen risiko yang berasal dari
akuntan publik masih lebih senang menggunakan standar/panduan manajemen risiko yang lainnya
dan bukan Standar Nasional ini. Ketiga Badan Pengawas Pasar Modal juga belum sepenuhnya
2
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
memahami adanya Standar Nasional Manajemen Risiko ini.
Dari kondisi lapangan di atas nampak bahwa masih diperlukan upaya yang cukup keras untuk
menyosialisasikan SNI ISO 31000 sebagai Standar Nasional Manajemen Risiko.
Standar Nasional Indonesia untuk Manajemen Risiko dapat menjadi acuan dalam penyusunan
panduan GRM masing-masing instansi pemerintah, apakah itu untuk masing-masing Kementerian
ataukah untuk masing-masing Pemerintah Daerah maupun terhadap seluruh BUMN dan BUMD.
B. PENGERTIAN, PRINSIP, DAN KONSEP
1. Menurut COSO
Manajemen dari beberapa perusahaan dan entitas lain telah mengembangkan proses untuk
mengidentifikasi dan mengelola risiko di seluruh perusahaan, dan banyak lainnya telah mulai
pembangunan atau sedang mempertimbangkan untuk melakukannya. Sementara informasi
yang cukup tentang manajemen risiko perusahaan tersedia, termasuk banyak literatur yang
diterbitkan, tidak ada istilah umum ada, dan ada sedikit jika ada prinsip-prinsip yang diterima
secara luas yang dapat digunakan oleh manajemen sebagai panduan dalam mengembangkan
sebuah arsitektur manajemen risiko yang efektif.
Menyadari perlunya bimbingan definitif tentang manajemen risiko perusahaan, Komite
Sponsoring Organizations of the Treadway Commission (COSO) memulai sebuah proyek untuk
mengembangkan
suatu
kerangka
kerja
konseptual
suara
memberikan
prinsip-prinsip
terintegrasi, terminologi umum dan pedoman implementasi praktis mendukung program entitas
'untuk mengembangkan atau patokan proses manajemen risiko perusahaan mereka. Tujuan
yang terkait adalah untuk kerangka ini dihasilkan untuk melayani sebagai dasar umum untuk
manajemen, direksi, regulator, akademisi dan lain-lain untuk lebih memahami manajemen risiko
perusahaan, manfaat dan keterbatasan, dan untuk secara efektif berkomunikasi tentang isu-isu
manajemen risiko perusahaan.
1) Relevansi ERM
Premis yang mendasari manajemen risiko perusahaan adalah bahwa setiap entitas, baik
untuk keuntungan, tidak-untuk-profit, atau badan pemerintah, ada untuk memberikan nilai
bagi para pemangku kepentingannya. Semua entitas menghadapi ketidakpastian, dan
tantangan bagi manajemen untuk menentukan berapa banyak ketidakpastian entitas siap
untuk menerima karena berusaha untuk menumbuhkan nilai stakeholder. Ketidakpastian
menyajikan baik risiko dan peluang, dengan potensi untuk mengikis atau meningkatkan nilai.
Enterprise risk management menyediakan kerangka kerja bagi manajemen untuk secara
efektif menangani ketidakpastian dan risiko yang terkait dan kesempatan dan dengan
demikian meningkatkan kapasitasnya untuk membangun nilai.
(1) Ketidakpastian
Usaha beroperasi di lingkungan di mana faktor-faktor seperti globalisasi, teknologi,
regulasi, restrukturisasi, perubahan pasar, dan persaingan menciptakan ketidakpastian.
Ketidakpastian berasal dari ketidakmampuan untuk secara tepat menentukan
3
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
kemungkinan bahwa peristiwa potensial akan terjadi dan hasil yang terkait.
(2) Nilai
Nilai diciptakan, diawetkan atau terkikis oleh keputusan manajemen mulai dari
pengaturan strategi untuk operasi perusahaan sehari-hari. Melekat dalam keputusan
merupakan pengakuan atas risiko dan peluang, mengharuskan manajemen
menganggap informasi tentang lingkungan internal dan eksternal, menyebarkan sumber
daya yang berharga dan recalibrates kegiatan usaha untuk mengubah keadaan.
Entitas mewujudkan nilai ketika para pemangku kepentingan memperoleh manfaat
dikenali bahwa mereka nilai gilirannya. Bagi perusahaan, pemegang saham menyadari
nilai ketika mereka mengakui penciptaan nilai dari pertumbuhan saham-nilai. Untuk
entitas pemerintah, nilai direalisasikan ketika konstituen mengakui penerimaan jasa
senilai dengan biaya yang dapat diterima. Pemangku kepentingan tidak-untuk entitas
nirlaba menyadari nilai ketika mereka mengakui menerima manfaat sosial dihargai.
Enterprise risk management memfasilitasi kemampuan manajemen untuk menciptakan
nilai yang berkelanjutan baik dan mengkomunikasikan nilai yang diciptakan bagi para
pemangku kepentingan.
2) Keunggulan ERM
Tidak ada entitas beroperasi dalam lingkungan yang bebas risiko, dan manajemen risiko
perusahaan tidak menciptakan lingkungan seperti itu. Sebaliknya, enterprise risk
management memungkinkan manajemen untuk beroperasi secara lebih efektif dalam
lingkungan yang penuh dengan risiko.
Enterprise risk management memberikan peningkatan kemampuan untuk:
(1) Menyelaraskan tingkat risiko dan strateginya
Risk appetite adalah tingkat risiko, pada tingkat berbasis luas, bahwa sebuah
perusahaan atau badan lain yang bersedia menerima dalam mengejar tujuannya.
Manajemen menganggap risk appetite entitas pertama dalam mengevaluasi alternatif
strategi, maka dalam menetapkan tujuan selaras dengan strategi yang dipilih dan dalam
mengembangkan mekanisme untuk mengelola risiko terkait.
(2) Pertumbuhan Link, risiko dan return
Entitas menerima resiko sebagai bagian dari penciptaan nilai dan pelestarian, dan
mereka berharap kembali sepadan dengan risiko. Enterprise risk management
menyediakan kemampuan ditingkatkan untuk mengidentifikasi dan menilai risiko, dan
menetapkan tingkat risiko yang dapat diterima relatif terhadap pertumbuhan dan kembali
tujuan.
(3) Meningkatkan keputusan respon risiko
Manajemen risiko perusahaan memberikan kekakuan untuk mengidentifikasi dan
memilih di antara respon risiko alternatif - penghindaran risiko, pengurangan, pembagian
dan penerimaan. Manajemen risiko perusahaan menyediakan metodologi dan teknik
untuk membuat keputusan ini.
(4) Minimalkan kejutan dan kerugian operasional
Entitas telah meningkatkan kemampuan untuk mengidentifikasi kejadian potensial,
menilai risiko dan membangun respon, sehingga mengurangi terjadinya kejutan dan
biaya atau kerugian yang terkait. 1 Sementara istilah "manajemen" digunakan dalam hal
ini dan kemudian diskusi, banyak kegiatan manajemen risiko perusahaan yang dilakukan
oleh petugas non-manajemen.
(5) Mengidentifikasi dan mengelola risiko lintas-perusahaan
Setiap entitas menghadapi berbagai risiko yang mempengaruhi berbagai bagian
4
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
organisasi. Manajemen perlu tidak hanya mengelola risiko individu, tetapi juga
memahami dampak yang saling terkait.
(6) Memberikan respon terpadu untuk beberapa risiko
Proses bisnis membawa banyak risiko yang melekat, dan manajemen risiko perusahaan
memungkinkan solusi terintegrasi untuk mengelola risiko.
(7) Menangkap peluang
Manajemen menganggap peristiwa potensial, bukan hanya risiko, dan dengan
mempertimbangkan berbagai macam acara, manajemen keuntungan pemahaman
tentang bagaimana peristiwa tertentu merupakan peluang.
(8) Merasionalisasi modal
Informasi lebih lanjut yang kuat pada risiko total entitas memungkinkan manajemen
untuk lebih efektif menilai kebutuhan modal secara keseluruhan dan meningkatkan
alokasi modal.
Enterprise risk management bukanlah tujuan itu sendiri, melainkan merupakan sarana
penting. Hal ini tidak bisa dan tidak beroperasi secara terpisah di suatu entitas,
melainkan merupakan enabler dari proses manajemen. Enterprise risk management
yang saling terkait dengan tata kelola perusahaan dengan memberikan informasi kepada
dewan direksi pada risiko yang paling signifikan dan bagaimana mereka dikelola. Dan,
itu interrelates dengan manajemen kinerja dengan memberikan tindakan risiko
disesuaikan, dan dengan pengendalian internal, yang merupakan bagian integral dari
manajemen risiko perusahaan.
Enterprise risk management membantu entitas mencapai kinerja dan profitabilitas target,
dan mencegah hilangnya sumber daya. Ini membantu memastikan pelaporan yang
efektif. Dan, hal ini membantu memastikan bahwa entitas mematuhi hukum dan
peraturan, menghindari kerusakan pada reputasi dan konsekuensi lainnya. Singkatnya,
hal ini membantu suatu entitas sampai ke mana ia ingin pergi dan menghindari
perangkap dan kejutan sepanjang jalan.
3) Definisi ERM
Enterprise risk management adalah sebuah proses, dipengaruhi oleh dewan entitas direksi,
manajemen dan personil lainnya, diterapkan dalam pengaturan strategi dan di seluruh
perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat
mempengaruhi entitas, dan mengelola risiko berada dalam risiko nafsu makan, untuk
memberikan keyakinan memadai tentang pencapaian tujuan entitas. Definisi ini
mencerminkan konsep dasar tertentu. Definisi ini mencerminkan konsep dasar tertentu.
Manajemen risiko perusahaan:
(1) Sebagai Sebuah Proses (Sarana untuk mencapai tujuan, bukan tujuan itu sendiri)
Sebuah Proses Manajemen risiko perusahaan bukan merupakan salah satu peristiwa
atau keadaan, melainkan serangkaian tindakan yang menyerap kegiatan entitas. Tindakan
ini meresap dan melekat dalam cara manajemen menjalankan bisnis.
Enterprise risk management berbeda dari perspektif beberapa pengamat yang melihatnya
sebagai sesuatu yang ditambahkan pada kegiatan suatu entitas, atau sebagai beban yang
diperlukan. Itu bukan untuk mengatakan enterprise risk management yang efektif tidak
memerlukan upaya tambahan. Misalnya, penilaian risiko mungkin memerlukan upaya
tambahan untuk mengembangkan model yang dibutuhkan dan membuat analisis dan
perhitungan yang diperlukan. Namun, ini dan mekanisme manajemen risiko perusahaan
lain yang terkait dengan aktivitas operasi entitas dan ada untuk alasan bisnis yang
mendasar. Enterprise risk management yang paling efektif ketika mekanisme ini dibangun
ke dalam infrastruktur entitas dan merupakan bagian dari inti dari perusahaan. Dengan
membangun dalam manajemen risiko perusahaan, suatu entitas dapat secara langsung
5
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
mempengaruhi kemampuan untuk melaksanakan strategi dan mencapai visi atau misinya.
Membangun enterprise risk management juga memiliki implikasi penting bagi
pengendalian biaya, terutama di pasar yang sangat kompetitif banyak perusahaan hadapi.
Menambah prosedur baru yang terpisah dari yang sudah ada menambah biaya. Dengan
berfokus pada operasi yang ada dan kontribusinya pada enterprise risk management yang
efektif, dan mengintegrasikan manajemen risiko ke dalam kegiatan operasi dasar,
perusahaan dapat menghindari prosedur yang tidak perlu dan biaya. Dan, praktik
membangun manajemen risiko perusahaan ke dalam kain operasi membantu
mengidentifikasi peluang-peluang baru bagi manajemen untuk merebut dalam
menumbuhkan bisnis.
(2) Dipengaruhi oleh orang-orang (ERM bukan hanya kebijakan, survei dan bentuk,
tetapi melibatkan orang pada setiap jenjang organisasi)
Enterprise risk management dipengaruhi oleh dewan direksi, manajemen dan personel
lain. Hal ini dilakukan oleh orang-orang dari sebuah organisasi, dengan apa yang mereka
lakukan dan katakan.Orang-orang mendirikan entitas misi / visi, strategi dan tujuan dan
menempatkan mekanisme manajemen risiko perusahaan di tempat. Demikian pula,
manajemen risiko perusahaan mempengaruhi tindakan masyarakat. Enterprise risk
management mengakui bahwa orang tidak selalu mengerti, berkomunikasi atau
melakukan secara konsisten. Setiap individu membawa ke tempat kerja latar belakang
yang unik dan kemampuan teknis, dan memiliki kebutuhan dan prioritas yang berbeda.
Realitas ini mempengaruhi, dan dipengaruhi oleh, manajemen risiko perusahaan. Setiap
orang memiliki titik unik dari referensi yang mempengaruhi bagaimana mereka
mengidentifikasi, menilai dan menanggapi risiko. Enterprise risk management
menyediakan mekanisme yang diperlukan untuk membantu orang memahami resiko
dalam konteks tujuan entitas. Orang-orang harus tahu tanggung jawab dan batas-batas
kewenangannya. Dengan demikian, hubungan yang jelas dan dekat perlu ada antara
tugas masyarakat dan cara di mana mereka dilakukan, serta dengan strategi dan tujuan
entitas.
Orang organisasi termasuk dewan direksi, serta manajemen dan personil lainnya.
Meskipun direksi terutama memberikan pengawasan, mereka juga memberikan arahan
dan menyetujui strategi dan transaksi serta kebijakan tertentu. Dengan demikian, dewan
direksi merupakan elemen penting dari manajemen risiko perusahaan.
(3) Diterapkan dalam pengaturan strategi
Entitas menetapkan misinya atau visi dan menetapkan tujuan strategis, yang merupakan
tujuan tingkat tinggi yang sejalan dengan dan mendukung visi atau misi. Entitas
menetapkan strategi untuk mencapai tujuan strategisnya. Hal ini juga menetapkan tujuan
terkait yang ingin dicapai, mengalir dari strategi, mengalir ke unit bisnis, divisi dan proses.
Dalam menetapkan strategi, manajemen mempertimbangkan risiko relatif terhadap
strategi alternatif
(4) Diterapkan di seluruh perusahaan, di setiap tingkat dan unit, dan termasuk
mengambil pandangan portofolio entitas-tingkat risiko
Untuk berhasil menerapkan manajemen risiko perusahaan, entitas harus
mempertimbangkan seluruh ruang lingkup kegiatan. Enterprise risk management
menganggap kegiatan di semua tingkat organisasi, dari kegiatan perusahaan-tingkat
seperti perencanaan strategis dan alokasi sumber daya, untuk kegiatan unit bisnis seperti
pemasaran dan sumber daya manusia, proses bisnis seperti produksi dan peninjauan
kredit pelanggan baru. Manajemen risiko perusahaan juga berlaku untuk proyek-proyek
khusus dan inisiatif baru yang mungkin belum memiliki tempat yang ditunjuk dalam hirarki
atau struktur organisasi entitas.
6
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
Enterprise risk management membutuhkan entitas untuk mengambil pandangan portofolio
risiko. Hal ini mungkin melibatkan setiap manajer yang bertanggung jawab atas unit
bisnis, fungsi, proses atau kegiatan lain mengembangkan penilaian risiko untuk unit.
Penilaian tersebut mungkin bersifat kuantitatif atau kualitatif. Dengan tampilan komposit
pada setiap tingkat berhasil organisasi, manajemen senior diposisikan untuk membuat
penentuan apakah profil risiko entitas secara keseluruhan sepadan dengan risk appetite.
Manajemen menganggap risiko saling terkait dari perspektif portofolio entitas-tingkat.
Risiko terkait perlu diidentifikasi dan ditindaklanjuti untuk membawa keseluruhan risiko
dalam risk appetite entitas. Risiko untuk masing-masing unit entitas mungkin dalam
toleransi risiko unit ', tetapi secara bersama-sama dapat melebihi risk appetite entitas
secara keseluruhan. Risk appetite secara keseluruhan tercermin hilir suatu entitas melalui
toleransi risiko yang ditetapkan untuk tujuan khusus.
(5) Dirancang untuk mengidentifikasi kejadian yang berpotensi mempengaruhi entitas
dan mengelola risiko dalam risk appetite
Risk appetite adalah jumlah resiko entitas bersedia menerima dalam mengejar nilai.
Entitas sering menganggap risk appetite secara kualitatif, dengan kategori seperti tinggi,
sedang atau rendah, atau mereka dapat mengambil pendekatan kuantitatif, yang
mencerminkan dan menyeimbangkan tujuan untuk pertumbuhan, pengembalian dan
risiko.
Risk appetite secara langsung berkaitan dengan strategi entitas. Hal ini dianggap dalam
pengaturan strategi, di mana hasil yang diinginkan dari sebuah strategi harus sejajar
dengan risk appetite entitas. Strategi yang berbeda akan mengekspos entitas untuk risiko
yang berbeda. Manajemen risiko perusahaan, diterapkan dalam pengaturan strategi,
membantu manajemen memilih strategi yang konsisten dengan risk appetite entitas.
Risk appetite entitas memandu alokasi sumber daya. Manajemen mengalokasikan
sumber daya di seluruh unit bisnis dengan mempertimbangkan risk appetite entitas dan
strategi unit bisnis individu untuk menghasilkan pengembalian yang diinginkan pada
sumber daya yang diinvestasikan. Manajemen mempertimbangkan risk appetite karena
sejalan organisasi, orang dan proses, dan desain infrastruktur yang diperlukan untuk
secara efektif merespon dan memantau risiko.
Toleransi risiko adalah tingkat yang dapat diterima variasi relatif terhadap pencapaian
tujuan. Dalam menetapkan toleransi risiko tertentu, manajemen mempertimbangkan
kepentingan relatif dari tujuan terkait dan sejalan toleransi risiko dengan risk appetite.
Operasi dalam toleransi risiko menyediakan manajemen jaminan yang lebih besar bahwa
entitas akan tetap dalam risk appetite dan, pada gilirannya, memberikan tingkat
kenyamanan yang lebih tinggi bahwa entitas akan mencapai tujuannya.
(6) Menyediakan keyakinan memadai kepada manajemen entitas dan dewan direksi
Dirancang dengan baik dan dioperasikan manajemen risiko perusahaan dapat
menyediakan manajemen dan dewan direksi keyakinan memadai tentang pencapaian
tujuan entitas. Sebagai hasil dari manajemen risiko perusahaan bertekad untuk menjadi
efektif, di setiap kategori tujuan entitas, dewan direksi dan keuntungan manajemen
keyakinan memadai bahwa:
a. Mereka memahami sejauh mana tujuan strategis entitas 's sedang dicapai,
b. Mereka memahami sejauh mana tujuan operasi entitas yang telah ditetapkan,
c. Pelaporan entitas dapat diandalkan, dan
d. Hukum dan peraturan yang berlaku sedang dipenuhi.
Keyakinan memadai mencerminkan gagasan bahwa ketidakpastian dan risiko berkaitan
dengan masa depan, yang tidak ada yang bisa memprediksi dengan pasti. Keterbatasan
juga hasil dari kenyataan bahwa penilaian manusia dalam pengambilan keputusan dapat
rusak, keputusan respon risiko dan kontrol mendirikan perlu mempertimbangkan biaya
7
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
dan manfaat relatif, kerusakan dapat terjadi karena kegagalan manusia seperti kesalahan
sederhana atau kesalahan, kontrol dapat dielakkan oleh kolusi dari dua orang atau lebih,
dan manajemen memiliki kemampuan untuk mengesampingkan keputusan manajemen
risiko perusahaan. Keterbatasan ini menghalangi papan dan manajemen dari memiliki
jaminan mutlak bahwa tujuan akan tercapai.
(7) Diarahkan untuk pencapaian tujuan dalam satu atau lebih yang terpisah namun
tumpang tindih kategori
Pencapaian Tujuan Enterprise risk management yang efektif dapat diharapkan untuk
memberikan keyakinan memadai untuk mencapai tujuan yang berkaitan dengan
keandalan pelaporan dan kepatuhan terhadap hukum dan peraturan. Pencapaian
kategori-kategori tujuan berada dalam entitas 'kontrol dan tergantung pada seberapa baik
entitas' kegiatan terkait s dilakukan. Namun, pencapaian tujuan strategis dan operasi tidak
selalu berada dalam kendali entitas. Untuk tujuan tersebut, manajemen risiko perusahaan
dapat memberikan keyakinan memadai hanya itu manajemen, dan dewan dalam fungsi
pengawasannya, disadarkan, pada waktu yang tepat, dari sejauh mana entitas bergerak
menuju pencapaian tujuan.
4) Komponen ERM
Komponen Enterprise Risk Management Enterprise risk management terdiri dari delapan
komponen yang saling terkait. Ini berasal dari cara manajemen menjalankan bisnis, dan
terintegrasi dengan proses manajemen sebagai berikut:
(1) Internal Environment
Lingkungan internal entitas adalah dasar untuk semua komponen lain dari manajemen
risiko perusahaan, menyediakan disiplin dan struktur. Lingkungan internal
mempengaruhi bagaimana strategi dan tujuan ditetapkan, kegiatan usaha yang
terstruktur dan risiko diidentifikasi, dinilai dan ditindaklanjuti. Ini mempengaruhi desain
dan fungsi kegiatan pengendalian, sistem informasi dan komunikasi, dan pemantauan.
Lingkungan internal terdiri dari banyak unsur, termasuk entitas 's nilai-nilai etika,
kompetensi dan pengembangan personil, manajemen' gaya operasi dan bagaimana hal
itu memberikan kewenangan dan tanggung jawab. Sebuah dewan direksi adalah bagian
penting dari lingkungan internal dan secara signifikan mempengaruhi unsur-unsur
lingkungan internal lainnya. Sebagai bagian dari lingkungan internal, manajemen
menetapkan filosofi manajemen risiko, menetapkan risk appetite entitas, membentuk
budaya risiko dan mengintegrasikan manajemen risiko perusahaan dengan inisiatif
terkait.
Sebuah filosofi manajemen risiko perusahaan yang dipahami oleh semua personil
memfasilitasi kemampuan karyawan untuk mengenali dan secara efektif mengelola
risiko. Filosofi - keyakinan entitas tentang risiko dan bagaimana memilih untuk
melakukan kegiatan dan menangani risiko - mencerminkan nilai entitas berusaha dari
enterprise risk management dan mempengaruhi bagaimana komponen enterprise risk
management akan diterapkan. Manajemen mengkomunikasikan filosofi manajemen
risiko perusahaan kepada karyawan melalui pernyataan kebijakan dan komunikasi
lainnya. Yang penting, manajemen memperkuat filosofi tidak hanya dengan kata-kata
tetapi dengan tindakan sehari-hari juga.
Risk appetite, yang didirikan oleh manajemen dan ditinjau oleh dewan direksi, adalah
sebuah tonggak dalam pengaturan strategi. Biasanya salah satu dari sejumlah strategi
yang berbeda dapat dirancang untuk mencapai pertumbuhan yang diinginkan dan
8
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
kembali gol, masing-masing memiliki risiko yang terkait berbeda. Manajemen risiko
perusahaan, diterapkan dalam pengaturan strategi, membantu manajemen memilih
strategi yang konsisten dengan risk appetite. Manajemen terlihat untuk menyelaraskan
organisasi, manusia, proses dan infrastruktur untuk memfasilitasi pelaksanaan strategi
yang berhasil dan memungkinkan entitas untuk tetap dalam risk appetite.
Budaya risiko adalah seperangkat sikap bersama, nilai-nilai dan praktik yang mencirikan
bagaimana entitas mempertimbangkan resiko dalam kegiatannya sehari-hari. Bagi
banyak perusahaan, budaya resiko mengalir dari filosofi risiko entitas dan risk appetite.
Bagi entitas yang tidak secara eksplisit mendefinisikan filosofi risiko, budaya risiko dapat
membentuk sembarangan, sehingga budaya risiko yang berbeda secara signifikan
dalam suatu perusahaan atau bahkan dalam unit bisnis tertentu, fungsi atau
departemen.
(2) Objective Setting
Dalam konteks misi atau visi yang ditetapkan, manajemen menetapkan tujuan strategis,
memilih strategi dan menetapkan tujuan yang terkait, mengalir melalui perusahaan dan
selaras dengan dan terkait dengan strategi. Tujuan harus ada sebelum manajemen
dapat mengidentifikasi peristiwa yang berpotensi mempengaruhi prestasi mereka.
Enterprise risk management memastikan bahwa manajemen memiliki proses di tempat
untuk kedua set tujuan dan menyelaraskan tujuan dengan entitas misi / visi dan
konsisten dengan risk appetite entitas.
Tujuan entitas dapat dilihat dalam konteks empat kategori:
a. Strategis - yang berkaitan dengan tujuan tingkat tinggi, sejalan dengan dan
mendukung misi entitas / visi.
b. Operasi - berkaitan dengan efektivitas dan efisiensi operasi entitas, termasuk kinerja
dan profitabilitas gol. Mereka bervariasi berdasarkan pilihan manajemen tentang
struktur dan kinerja.
c. Pelaporan - berkaitan dengan efektivitas pelaporan entitas. Mereka termasuk
pelaporan internal dan eksternal dan mungkin melibatkan informasi keuangan atau
non-keuangan.
d. Kepatuhan - berkaitan dengan kepatuhan entitas dengan undang-undang dan
peraturan yang berlaku.
Kategorisasi tujuan entitas memungkinkan manajemen dan dewan untuk fokus pada
aspek-aspek yang terpisah dari manajemen risiko perusahaan. Ini berbeda tetapi
tumpang tindih kategori - tujuan tertentu dapat jatuh di bawah lebih dari satu kategori memenuhi kebutuhan entitas yang berbeda dan mungkin menjadi tanggung jawab
langsung dari eksekutif yang berbeda. Kategorisasi ini juga memungkinkan
membedakan antara apa yang dapat diharapkan dari setiap kategori tujuan. Beberapa
entitas menggunakan kategori lain tujuan, "pengamanan sumber daya," kadang-kadang
disebut sebagai "pengamanan aset." Dilihat secara luas, kesepakatan ini dengan
pencegahan hilangnya aset suatu entitas atau sumber daya, baik melalui pencurian,
pemborosan, inefisiensi atau apa yang ternyata menjadi keputusan bisnis yang cukup
buruk - seperti menjual produk dengan harga terlalu rendah, gagal untuk
mempertahankan karyawan kunci atau mencegah pelanggaran paten, atau
menimbulkan kewajiban yang tak terduga. Ini pengamanan berbasis luas dari kategori
aset dapat dipersempit untuk tujuan pelaporan tertentu, di mana konsep pengamanan
hanya berlaku untuk pencegahan atau deteksi yang tepat terhadap akuisisi,
penggunaan, atau disposisi aset entitas.
(3) Event Identification
Kegiatan Identifikasi Manajemen mengakui bahwa ketidakpastian ada - bahwa ia tidak
dapat mengetahui secara pasti apakah dan kapan suatu peristiwa akan terjadi, atau
hasilnya harus itu terjadi. Sebagai bagian dari identifikasi kejadian, manajemen
9
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
mempertimbangkan faktor-faktor eksternal dan internal yang mempengaruhi terjadinya
peristiwa. Faktor eksternal meliputi ekonomi, bisnis, lingkungan alam, faktor-faktor politik,
sosial dan teknologi. Faktor internal mencerminkan pilihan manajemen dan meliputi halhal seperti infrastruktur, personil, proses dan teknologi. Metodologi identifikasi kejadian
entitas dapat terdiri dari kombinasi teknik bersama-sama dengan alat-alat pendukung.
Teknik identifikasi kejadian melihat ke baik masa lalu dan masa depan. Teknik yang
berfokus pada peristiwa masa lalu dan tren mempertimbangkan hal-hal seperti sejarah
gagal bayar, perubahan harga komoditas dan kecelakaan kehilangan waktu. Teknik yang
berfokus pada eksposur di masa depan mempertimbangkan hal-hal seperti pergeseran
demografi, pasar baru dan tindakan pesaing. Ini mungkin berguna untuk kelompok
peristiwa potensial ke dalam kategori. Dengan menggabungkan peristiwa horizontal di
suatu entitas dan secara vertikal dalam unit-unit operasi, manajemen mengembangkan
pemahaman tentang keterkaitan antara peristiwa, memperoleh informasi ditingkatkan
sebagai dasar untuk penilaian risiko.
Acara berpotensi memiliki dampak negatif, dampak positif atau keduanya. Peristiwa
yang memiliki dampak yang berpotensi negatif mencerminkan risiko, yang membutuhkan
penilaian manajemen dan respon. Dengan demikian, risiko didefinisikan sebagai
kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian tujuan.
Acara dengan potensi dampak positif merupakan peluang atau mengimbangi dampak
negatif dari risiko. Acara yang mewakili peluang disalurkan kembali ke strategi atau
tujuan-pengaturan proses manajemen, sehingga tindakan dapat dirumuskan untuk
merebut peluang. Acara berpotensi mengimbangi dampak negatif dari risiko yang
dipertimbangkan dalam penilaian risiko manajemen dan respon.
(4) Risk Assessment
Penilaian risiko memungkinkan suatu entitas untuk mempertimbangkan bagaimana
peristiwa potensial dapat mempengaruhi pencapaian tujuan. Manajemen menilai
peristiwa dari dua perspektif: kemungkinan dan dampak.
Kemungkinan mewakili kemungkinan bahwa peristiwa tertentu akan terjadi, sementara
dampak mewakili efeknya harus itu terjadi. Perkiraan kemungkinan risiko dan dampak
sering ditentukan dengan menggunakan data dari peristiwa masa lalu dapat diamati,
yang dapat memberikan dasar yang lebih obyektif daripada perkiraan sepenuhnya
subyektif. Data yang dihasilkan secara internal berdasarkan pengalaman entitas sendiri
mungkin mencerminkan bias pribadi kurang subyektif dan memberikan hasil yang lebih
baik daripada data dari sumber eksternal. Namun, bahkan di mana data yang dihasilkan
secara internal adalah input primer, data eksternal dapat berguna sebagai checkpoint
atau untuk meningkatkan analisis. Pengguna harus berhati-hati ketika menggunakan
peristiwa masa lalu untuk membuat prediksi tentang masa depan, sebagai faktor yang
mempengaruhi kejadian dapat berubah dari waktu ke waktu.
Metodologi penilaian risiko entitas biasanya terdiri dari kombinasi teknik kualitatif dan
kuantitatif. Manajemen sering menggunakan teknik penilaian kualitatif di mana risiko
tidak meminjamkan diri untuk kuantifikasi atau saat data kredibel yang cukup diperlukan
untuk penilaian kuantitatif baik tidak tersedia atau dengan praktis mendapatkan atau
menganalisis data yang tidak efektif. Teknik kuantitatif biasanya membawa lebih presisi
dan digunakan dalam kegiatan yang lebih kompleks dan canggih untuk melengkapi
teknik kualitatif. Sebuah entitas tidak perlu menggunakan teknik penilaian umum di
semua unit bisnis. Sebaliknya, pilihan teknik harus mencerminkan kebutuhan untuk
presisi dan budaya dari unit bisnis. Dalam hal apapun, metode yang digunakan oleh unit
bisnis individu harus memfasilitasi penilaian entitas risiko di seluruh entitas.
Manajemen sering menggunakan ukuran kinerja dalam menentukan sejauh mana tujuan
10
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
tercapai. Ini mungkin berguna untuk menggunakan satuan yang sama ukuran ketika
mempertimbangkan dampak potensial dari risiko terhadap pencapaian tujuan tertentu.
Manajemen dapat menetapkan bagaimana peristiwa berkorelasi, dimana urutan
peristiwa menggabungkan dan berinteraksi untuk menciptakan probabilitas yang
berbeda secara signifikan atau dampak. Sementara dampak dari satu acara mungkin
sedikit, urutan peristiwa mungkin memiliki dampak yang lebih signifikan. Dimana
peristiwa potensial tidak terkait langsung, manajemen menilai mereka secara individu;
dimana risiko yang mungkin terjadi dalam beberapa unit bisnis, manajemen dapat
menetapkan dan kelompok mengidentifikasi peristiwa ke dalam kategori umum.
Biasanya ada berbagai hasil yang mungkin terkait dengan peristiwa potensial, dan
manajemen menganggap mereka sebagai dasar untuk mengembangkan respon risiko.
Melalui penilaian risiko, manajemen mempertimbangkan konsekuensi positif dan negatif
dari peristiwa potensial, secara individu atau berdasarkan kategori, di seluruh entitas.
Karena risiko dinilai dalam konteks strategi dan tujuan entitas, manajemen sering
cenderung fokus pada risiko dengan cakrawala waktu jangka menengah pendek sampai.
Namun, beberapa elemen dari arah strategis dan tujuan memperpanjang untuk jangka
panjang. Akibatnya, manajemen perlu menyadari kerangka waktu yang lebih panjang,
dan tidak mengabaikan risiko yang mungkin lebih jauh.
Penilaian risiko diterapkan pertama yang inherent risk - risiko kepada entitas dalam tidak
adanya tindakan manajemen mungkin mengambil untuk mengubah baik kemungkinan
risiko atau dampak. Bila respon risiko telah dikembangkan, manajemen kemudian
menggunakan teknik penilaian risiko dalam menentukan risiko residual - risiko yang
tersisa setelah tindakan manajemen untuk mengubah kemungkinan risiko atau dampak.
(5) Risk Response
Manajemen mengidentifikasi pilihan respon risiko dan mempertimbangkan efeknya pada
acara kemungkinan dan dampak, dalam kaitannya dengan toleransi risiko dan biaya
dibandingkan manfaat, dan desain dan menerapkan pilihan jawaban. Pertimbangan
respon risiko dan memilih dan menerapkan respon risiko merupakan bagian integral dari
manajemen risiko perusahaan. Enterprise risk management yang efektif mensyaratkan
bahwa manajemen memilih respon yang diharapkan dapat membawa kemungkinan
risiko dan dampak dalam toleransi risiko entitas.
Respon risiko jatuh dalam kategori penghindaran risiko, pengurangan, pembagian dan
penerimaan. Tanggapan menghindari mengambil tindakan untuk keluar dari kegiatan
yang menimbulkan risiko. Tanggapan pengurangan mengurangi kemungkinan risiko,
dampak, atau keduanya. Berbagi tanggapan mengurangi kemungkinan risiko atau
dampak dengan mentransfer atau berbagi sebagian dari risiko. Tanggapan Penerimaan
tidak melakukan tindakan untuk mempengaruhi kemungkinan atau dampak. Sebagai
bagian dari manajemen risiko perusahaan, untuk setiap risiko yang signifikan entitas
mempertimbangkan tanggapan potensial dari berbagai kategori respon. Hal ini
memberikan kedalaman yang cukup untuk pemilihan respon dan juga menantang "status
quo."
Setelah memilih respon risiko, manajemen recalibrates risiko secara residual.
Manajemen menganggap resiko dari entitas-lebar, atau portofolio, perspektif.
Manajemen dapat mengambil pendekatan di mana manajer yang bertanggung jawab
untuk setiap departemen, fungsi atau unit bisnis mengembangkan penilaian komposit
risiko dan respon risiko untuk unit itu. Pandangan ini mencerminkan profil risiko dari unit
relatif terhadap tujuan dan toleransi risiko. Dengan pemandangan risiko untuk unit
individu, manajer paling senior dari perusahaan diposisikan untuk mengambil pandangan
portofolio, untuk menentukan apakah profil risiko entitas sepadan dengan risk appetite
11
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
yang relatif keseluruhan tujuannya.
Manajemen harus menyadari bahwa beberapa tingkat risiko residual akan selalu ada,
bukan hanya karena sumber daya yang terbatas, tetapi juga karena ketidakpastian masa
depan yang melekat dan keterbatasan yang melekat dalam semua kegiatan.
(6) Control Activities
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu memastikan
tanggapan risiko dijalankan dengan benar. Aktivitas pengendalian terjadi di seluruh
organisasi, di semua tingkat dan di semua fungsi. Aktivitas pengendalian merupakan
bagian dari proses dimana suatu perusahaan berusaha untuk mencapai tujuan
usahanya. Mereka biasanya melibatkan dua elemen: kebijakan menetapkan apa yang
harus dilakukan dan prosedur untuk mempengaruhi kebijakan.
Dengan ketergantungan luas pada sistem informasi, kontrol yang diperlukan melalui
sistem yang signifikan. Dua pengelompokan luas aktivitas pengendalian sistem informasi
dapat digunakan. Yang pertama adalah kontrol umum, yang berlaku untuk banyak jika
tidak semua sistem aplikasi dan membantu memastikan melanjutkan, operasi yang
tepat. Yang kedua adalah kontrol aplikasi, yang mencakup langkah-langkah
komputerisasi dalam perangkat lunak aplikasi untuk mengontrol aplikasi teknologi.
Dikombinasikan dengan kontrol proses manual lainnya jika diperlukan, kontrol ini
memastikan kelengkapan, akurasi dan validitas informasi.
Pengendalian umum meliputi pengendalian atas pengelolaan teknologi informasi,
infrastruktur teknologi informasi, manajemen keamanan dan perangkat lunak akuisisi,
pengembangan dan pemeliharaan. Kontrol ini berlaku untuk semua sistem - dari
mainframe ke client / server untuk lingkungan komputer desktop. Pengendalian umum
meliputi pengendalian manajemen teknologi informasi menangani proses pengawasan
teknologi informasi, pemantauan dan pelaporan kegiatan teknologi informasi, dan inisiatif
peningkatan bisnis.
Pengendalian aplikasi yang dirancang untuk memastikan kelengkapan, keakuratan,
otorisasi dan validitas data capture dan pengolahan transaksi. Aplikasi individu dapat
mengandalkan operasi yang efektif dari kontrol atas sistem informasi untuk memastikan
bahwa data antarmuka yang dihasilkan bila diperlukan, mendukung aplikasi yang
tersedia dan kesalahan antarmuka terdeteksi dengan cepat.
Karena setiap entitas telah menetapkan sendiri tujuan dan pendekatan implementasi,
akan ada perbedaan dalam tujuan, struktur dan kegiatan pengendalian terkait. Bahkan
jika dua entitas memiliki tujuan dan struktur identik, kegiatan pengendalian mereka
kemungkinan akan berbeda. Setiap entitas dikelola oleh orang yang berbeda yang
menggunakan penilaian individu dalam mempengaruhi pengendalian internal. Selain itu,
kontrol mencerminkan lingkungan dan industri di mana entitas beroperasi, serta
kompleksitas organisasi, sejarah dan budayanya.
(7) Information and Communication
Informasi terkait - dari sumber internal dan eksternal - harus diidentifikasi, ditangkap dan
dikomunikasikan dalam bentuk dan waktu yang memungkinkan personil untuk
melaksanakan tanggung jawab mereka. Komunikasi yang efektif juga terjadi dalam arti
luas, mengalir ke bawah, menemukan dan up entitas. Ada juga komunikasi dan
pertukaran informasi yang relevan dengan pihak luar, seperti pelanggan, pemasok,
regulator dan pemegang saham efektif.
Informasi yang dibutuhkan pada semua tingkat organisasi untuk mengidentifikasi,
menilai dan menanggapi risiko, dan jika tidak menjalankan entitas dan mencapai
tujuannya. Berbagai informasi yang digunakan, yang relevan dengan satu atau lebih
tujuan kategori. Informasi berasal dari berbagai sumber - internal dan eksternal, dan
12
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
dalam bentuk kuantitatif dan kualitatif - dan memungkinkan tanggapan manajemen risiko
perusahaan terhadap perubahan kondisi secara real time. Tantangan bagi manajemen
adalah untuk memproses dan memperbaiki volume data yang besar menjadi informasi
ditindaklanjuti. Tantangan ini dipenuhi dengan membangun infrastruktur sistem informasi
sumber, menangkap, memproses, menganalisis dan melaporkan informasi yang relevan.
Sistem informasi ini - biasanya terkomputerisasi tetapi juga melibatkan input manual atau
antarmuka - sering dilihat dalam konteks pengolahan internal data yang berhubungan
dengan transaksi.
Sistem informasi telah lama dirancang dan digunakan untuk mendukung strategi bisnis.
Peran ini menjadi penting sebagai perubahan kebutuhan bisnis dan teknologi
menciptakan peluang baru untuk keuntungan strategis.
Untuk mendukung manajemen risiko perusahaan yang efektif, suatu entitas menangkap
dan menggunakan data historis dan saat ini. Data historis memungkinkan entitas untuk
melacak kinerja aktual terhadap target, rencana dan harapan. Ini memberikan wawasan
mengenai bagaimana entitas dilakukan di bawah kondisi yang berbeda-beda, yang
memungkinkan manajemen untuk mengidentifikasi korelasi dan tren dan untuk
meramalkan kinerja masa depan. Data historis juga dapat memberikan peringatan dini
kejadian potensial yang membutuhkan perhatian manajemen.
Data keadaan sekarang atau saat ini memungkinkan suatu entitas untuk menilai risiko
yang pada titik tertentu dalam waktu dan tetap dalam toleransi risiko yang ditetapkan.
Data negara saat ini memungkinkan manajemen untuk mengambil pandangan real-time
dari risiko yang ada melekat dalam proses, fungsi atau unit dan untuk mengidentifikasi
variasi dari harapan. Ini memberikan pandangan profil risiko entitas, memungkinkan
manajemen untuk mengubah aktivitas yang diperlukan untuk mengkalibrasi ke risk
appetite.
Informasi merupakan dasar untuk komunikasi, yang harus memenuhi harapan kelompok
dan individu, yang memungkinkan mereka untuk secara efektif melaksanakan tanggung
jawab mereka. Di antara saluran komunikasi yang paling penting adalah bahwa antara
manajemen puncak dan dewan direksi. Manajemen harus menjaga papan up-to-date
pada kinerja, perkembangan, resiko dan fungsi manajemen risiko perusahaan, dan
acara lain yang relevan dan isu-isu. Semakin baik komunikasi, semakin efektif dewan
akan dalam menjalankan tanggung jawab pengawasannya, dalam bertindak sebagai
papan terdengar pada isu-isu kritis dan dalam memberikan saran, nasihat dan arah.
Dengan cara yang sama, dewan harus berkomunikasi dengan manajemen informasi apa
yang dibutuhkan dan memberikan umpan balik dan arah.
Manajemen menyediakan komunikasi spesifik dan diarahkan menangani harapan
perilaku dan tanggung jawab personel. Ini termasuk pernyataan yang jelas tentang
entitas perusahaan filosofi manajemen risiko dan pendekatan dan pendelegasian
wewenang. Komunikasi tentang proses dan prosedur harus sejalan dengan, dan
mendukung, budaya risiko yang diinginkan. Selain itu, komunikasi harus tepat "dibingkai"
- penyajian informasi secara signifikan dapat mempengaruhi bagaimana ditafsirkan dan
bagaimana resiko atau peluang yang terkait dipandang.
Komunikasi harus meningkatkan kesadaran tentang pentingnya dan relevansi enterprise
risk management yang efektif, mengkomunikasikan risk appetite entitas dan toleransi
risiko, melaksanakan dan mendukung bahasa resiko yang umum, dan menyarankan
personil peran dan tanggung jawab mereka dalam mempengaruhi dan mendukung
komponen manajemen risiko perusahaan .
Saluran komunikasi juga harus memastikan personil dapat mengkomunikasikan
informasi berbasis risiko di seluruh unit bisnis, proses atau silo fungsional. Dalam
13
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
kebanyakan kasus, jalur pelaporan yang normal dalam suatu organisasi adalah saluran
komunikasi yang sesuai. Dalam beberapa situasi, bagaimanapun, jalur komunikasi yang
terpisah diperlukan untuk melayani sebagai mekanisme gagal-aman dalam kasus
saluran normal tidak bekerja. Dalam semua kasus, adalah penting bahwa personel
memahami bahwa tidak akan ada pembalasan untuk melaporkan informasi yang
relevan.
Saluran komunikasi eksternal dapat memberikan masukan yang sangat signifikan pada
desain atau kualitas produk atau jasa. Manajemen mempertimbangkan bagaimana nya
risk appetite dan toleransi resiko sejalan dengan para pelanggan, pemasok dan mitra,
memastikan bahwa itu tidak sengaja mengambil terlalu banyak risiko melalui interaksi
bisnis. Komunikasi dari pihak eksternal sering memberikan informasi penting pada fungsi
manajemen risiko perusahaan.
(8) Monitoring
Enterprise risk management dipantau - sebuah proses yang menilai baik kehadiran dan
fungsi komponen dan kualitas kinerja mereka dari waktu ke waktu. Pemantauan dapat
dilakukan dengan dua cara: melalui kegiatan yang sedang berlangsung atau evaluasi
terpisah. Pemantauan dan terpisah memastikan bahwa manajemen risiko perusahaan
terus diterapkan di semua tingkatan dan di seluruh entitas.
Pemantauan dibangun ke normal, aktivitas operasi berulang dari suatu entitas.
Pemantauan dilakukan secara real-time, bereaksi secara dinamis terhadap perubahan
kondisi dan sudah mendarah daging dalam entitas. Akibatnya, itu lebih efektif daripada
evaluasi terpisah. Karena evaluasi terpisah dilakukan setelah fakta, masalah yang sering
akan diidentifikasi lebih cepat dengan rutinitas pemantauan. Banyak entitas dengan
suara kegiatan pemantauan tetap melakukan evaluasi terpisah dari manajemen risiko
perusahaan.
Frekuensi evaluasi terpisah adalah masalah pertimbangan manajemen. Dalam membuat
keputusan itu, pertimbangan diberikan kepada sifat dan tingkat perubahan, baik dari
kejadian internal dan eksternal, dan risiko yang terkait; kompetensi dan pengalaman
personil pelaksanaan respon risiko dan pengendalian terkait; dan hasil pemantauan.
Biasanya, beberapa kombinasi dari pemantauan dan evaluasi terpisah akan memastikan
bahwa manajemen risiko perusahaan mempertahankan efektivitas dari waktu ke waktu.
Tingkat dokumentasi manajemen risiko perusahaan entitas bervariasi tergantung ukuran
entitas, kompleksitas dan faktor-faktor yang sama. Fakta bahwa unsur-unsur manajemen
risiko perusahaan tidak didokumentasikan tidak berarti bahwa mereka tidak efektif atau
bahwa mereka tidak dapat dievaluasi. Namun, tingkat yang sesuai dokumentasi
biasanya membuat pengawasan yang lebih efektif dan efisien. Dimana manajemen
bermaksud untuk membuat pernyataan kepada pihak eksternal mengenai efektivitas
manajemen risiko perusahaan, harus mempertimbangkan untuk mengembangkan dan
mempertahankan dokumentasi untuk mendukung pernyataan tersebut.
Semua kekurangan manajemen resiko perusahaan yang mempengaruhi kemampuan
suatu entitas untuk mengembangkan dan menerapkan strategi dan untuk mencapai
tujuan yang telah ditetapkan harus dilaporkan kepada mereka diposisikan untuk
mengambil tindakan yang diperlukan. Sifat hal yang perlu dikomunikasikan akan
bervariasi tergantung pada otoritas individu untuk menangani situasi yang muncul dan
pada kegiatan pengawasan atasan. Istilah "kekurangan" mengacu pada suatu kondisi
dalam proses manajemen risiko perusahaan layak perhatian. Kekurangan A, oleh karena
itu, mungkin merupakan dirasakan, potensial atau kekurangan yang nyata, atau
kesempatan untuk memperkuat proses untuk meningkatkan kemungkinan bahwa tujuan
entitas akan tercapai. Informasi yang dihasilkan dalam rangka kegiatan operasi biasanya
14
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
dilaporkan melalui saluran normal. Saluran komunikasi alternatif juga harus ada untuk
melaporkan informasi yang sensitif seperti tindakan ilegal atau tidak benar.
Menyediakan membutuhkan informasi tentang kekurangan manajemen risiko
perusahaan kepada pihak yang tepat sangat penting. Protokol harus dibentuk untuk
mengidentifikasi informasi apa yang dibutuhkan pada tingkat tertentu untuk pengambilan
keputusan yang efektif. Protokol seperti mencerminkan aturan umum bahwa manajer
harus menerima informasi yang mempengaruhi tindakan atau perilaku personil di bawah
tanggung jawabnya, serta informasi yang dibutuhkan untuk mencapai tujuan tertentu.
Uraian di atas dapat disimpulkan dalam sebuah skema berikut ini:
Keterangan:
Empat tujuan kategori - strategis, operasi, pelaporan, dan kepatuhan - yang diwakili oleh
kolom vertikal
Kedelapan komponen diwakili oleh baris horizontal
Entitas dan unit yang digambarkan oleh dimensi ketiga dari kubus
2. Menurut AS/NZS ISO 31000/2009
1) Definisi risiko - 'efek ketidakpastian pada tujuan'
Definisi risiko telah berubah dari “kemungkinan terjadinya sesuatu yang akan berdampak
pada tujuan” menjadi “efek ketidakpastian pada tujuan”.
Sementara risk managers akan terus mempertimbangkan kemungkinan risiko yang terjadi,
mereka sekarang harus menerapkan pilihan perlakuan risiko untuk memastikan bahwa
ketidakpastian agensi mereka dalam memenuhi tujuannya akan dihindari, dikurangi, dihapus
atau diubah dan / atau dipertahankan.
2) Sebelas Prinsip Manajemen Risiko
(1) Menciptakan dan melindungi nilai
Manajemen risiko yang baik berkontribusi terhadap pencapaian tujuan sebuah instansi
15
20 Mei 2014
[SEMINAR MANAJEMEN RISIKO]
melalui penelaahan terus menerus proses dan sistem.
(3) Menjadi bagian integral dari proses organisasi
Manajemen risiko perlu diintegrasikan dengan kerangka kerja tata kelola sebuah instansi
dan menjadi bagian dari proses perencanaan, baik di tingkat operasional dan strategis.
(4) Menjadi bagian dari pengambilan keputusan
Proses manajemen risiko membantu para pengambil keputusan untuk membuat pilihan
informasi, mengidentifikasi prioritas dan memilih tindakan yang paling tepat.
(5) Secara eksplisit memetakan ketidakpastian
Dengan mengidentifikasi potensi risiko, organisasi dapat menerapkan kontrol dan
perlakuan untuk memaksimalkan peluang keuntungan dan meminimalkan kemungkinan
kerugian.
(6) Sistematis, terstruktur dan tepat waktu
Proses manajemen risiko harus konsisten di seluruh divisi untuk menjamin efis