BAB II

LANDASAN TEORI

2.1. Enterprise Risk Management (ERM)
Pada bulan September 2004, Committee of Sponsoring Organizations
(COSOs) mempublikasikan proses Enterprise Risk Management (ERM) yang
merupakan pembaharuan dari COSO Framework yang telah berusia 25 tahun.
COSO mendifinisikan ERM sebagai berikut: :Enterprsie risk management is
a process, effected by an entitys board of directors, management and other
personnel, applied in strategy setting and across the enterprise, designed to identify
potential events that may affect the entity, and manage risk to be within its risk
appetite, to provide reasonable assurance regarding the achievement of entity
objectives
1

Dari definisi ini tercakup hal-hal penting mengenai ERM yaitu:
1. ERM adalah proses yang berjalan terus menerus dan mengalir melalui seluruh
sendi usaha dan organisasi;
2. ERM dipengaruhi oleh keterlibatan karyawan diseluruh tingkat organisasi;
3. Diaplikasikan dalam penentuan strategi usaha dan organisasi;
4. Dirancang untuk mengenali peluang kejadian yang jika terjadi akan
mempengaruhi jalannya usaha dan organisasi;
5. Mampu memberikan kepastian yang dapat dipahami oleh pimpinan organisasi.

ERM menyajikan empat kategori tujuan yaitu:
1. Strategi (strategic) ERM dilakukan untuk mencapai tujuan usaha dan
organisasi serta senantiasa selaras dengan apa yang telah direncanakan;
2. Operasional (operations) ERM dilaksanakan untuk memastikan pemanfaatan
sumberdaya dilakukan dengan efektif dan efisien;

1
Tarantino, Anthony, 2006, Managers Guide to Compliance Best Practices and Case
Studies, J ohn Wiley @ Sons, Inc, New J ersey.
6
7
3. Pelaporan (reporting) ERM menuntut dan mendorong pelaporan informasi
yang transparan;
4. Kepatuhan (compliance) ERM membantu pelaksanaan kegiatan usaha yang
beretika serta sesuai dengan peraturan dan hukum yang berlaku.

Tujuan ini disajikan dalam empat kolom vertikal didukung oleh delapan
komponen pada baris horizontal dan dipadankan dengan entitas organisai sebagai
dimensi ketiga dengan tujuan untuk memberikan keleluasaan dalam menganalisis
ERM dari berbagai sudut pandang organisasi, baik pada tingkat perusahaan, cabang
hingga unit kerja. ERM ini tidak mengubah apa yang telah ada pada kerangka kerja
COSO I sebelumnya namun melengkapinya dengan kerangka kerja yang lebih
strategik dan komprehensif (gambar 2.1)

Gambar 2.1. Model ERM COSO

Model ini menampilkan kubus 3 dimensi untuk menunjukkan bahwa
manajemen risiko bukan merupakan proses serial namun merupakan proses yang
multidirectional dan iteratif dimana satu komponen mempengaruhi komponen yang
8
lainnya. ERM COSO menjelaskan bahwa manajemen risiko perusahaan
memungkinkan pimpinan perusahaan untuk menangani ketidakpastian, risiko
terkait dan peluang yang meningkatkan kapasitas untuk membangun nilai tambah.
Nilai tambah ini akan semakin besar ketika pimpinan perusahaan menetapkan
strategi dan tujuan untuk mencapai keseimbangan yang optimal antara pertumbuhan
usaha dengan risiko yang ada.
Dibandingkan dengan pendahulunya, ERM COSO menambahkan konsep baru
yaitu event management. Konsep ini dianggap sebagai perubahan penting terhadap
COSO I yang sangat baik untuk diterapkan pada proses atau kegiatan berulang
(repetitive). Namun justru risiko timbul jika terjadi hal diluar dari proses atau
kegiatan berulang tadi. Kejadian khusus atau special event ini dapat memberikan
dampak negatif, positif atau keduanya. Kejadian dengan dampak negatif
menimbulkan kerugian (risiko) yang dapat mengurangi atau menghambat
peningkatan nilai tambah. Kejadian dengan dampak positif sebaliknya, dapat
menutupi dampak negatif atau menyajikan peluang baru. Peluang itu sendiri
merupakan kemungkinan yang diharapkan akan terjadi dan secara positif
mempengaruhi pencapaian tujuan organisasi serta mendukung peningkatan nilai
tambah. Pimpinan mengembalikan kembali peluang tersebut kepada jalur strategi
yang telah direncanakan, kemudian merumuskan rencana untuk merealisasikannya.
Selain empat kategori tujuan tersebut, ERM juga dibangun di atas delapan
komponen yang saling terkait dan merepresentasikan pendekatan pengelolaan
organisasi dan proses. Komponen-komponen tersebut adalah:
1. Lingkungan internal. Hal ini berkaitan erat dengan budaya organisasi,
khususnya budaya pengambilan keputusan para pemimpinnya, sifat alamiah
industri bersangkutan, budaya kerja, filosofi manajemen risiko, integritas, nilai-
nilai etika usaha dan lingkungan dimana organisasi tersebut beroperasi;
2. Penentuan tujuan. Mengenali dan menentukan prioritas tujuan adalah langkah
esensi yang harus diselesaikan sebelum merambah kepada identifikasi risiko
dan kejadian-kejadian yang dapat mempengaruhi tujuan usaha dan organisasi;
3. Mengenali kejadian. Kejadian internal atau eksternal seperti dijelaskan
sebelumnya mempengaruhi kinerja usaha dan oganisasi. Untuk itu kejadian
9
tersebut haruslah dapat dikenali sedini mungkin agar dapat dibedakan kejadian
mana yang menimbulkan risiko dan mana yang membuka peluang baru. Kedua
jenis kejadian ini haruslah dikembalikan kepada strategi perusahaan agar dapat
bereaksi dengan tepat;
4. Risk Assessment. Risiko yang ada hendaknya dianalisis mengingat kemungkinan
terjadi dan dampaknya sebagai landasan untuk menentukan bagaimana risiko
tersebut harus dikelola. J enis risiko yang dikelola adalah inherent dan residual.
Manajemen risiko inherent atau biasa disebut gross atau absolute risk
memperhatikan konsekuensi dan kemungkinan terjadinya risiko sebelum
dilakuan tindakan pengendalian atau pencegahan. Manajemen risiko residual
yang juga disebut net atau controlled risk memperhatikan konsekuensi dan
kemungkinan terjadinya risiko setelah dilakuan tindakan pengendalian atau
pencegahan;
5. Reaksi terhadap risiko. Pimpinan memilih dan menetapkan cara bereaksi
terhadap risiko (menghindari, menerima, mengurangi atau membagi risiko)
dengan membangun rangkaian tindakan untuk menyelaraskan risiko dengan
tingkat toleransi organisasi terhadap risiko. Bagian penting dari penentuan
reaksi terhadap risiko ini adalah mengevaluasi biaya dan manfaat dari berbagai
pilihan cara penanganan;
6. Pengendalian. Kebijakan dan prosedur harus dibuat dan diterapkan untuk
membantu pemastian reaksi terhadap risiko dilaksanakan dengan efektif dan
tidak menimbulkan risiko baru;
7. Informasi dan komunikasi. Informasi yang berkesuaian harus diketahui,
dikumpulkan dan dikomunikasikan dalam bentuk dan kurun waktu tertentu agar
dapat dipahami oleh semua pihak yang terkait dengan kegiatan manajemen
risiko;
8. Pemantauan. Seluruh kegiatan manajemen risiko dipantau dan disesuaikan
sesuai kebutuhan. Pemantauan dicapai melalui serangkaian proses rutin atau
evaluasi terpisah seperti audit.


10
Secara ringkas, ruang lingkup ERM COSO ini meliputi:
1. Penyelarasan risk appetite dengan strategi organisasi. Pimpinan perusahaan
meperhatikan risk appetite dalam mengevaluasi pilihan-pilihan keputusan
strategis, menetapkan tujuan terkait dan mengembangkan mekanisme untuk
mengelola risiko tersebut;
2. Meningkatkan kemampuan menanggapi risiko. Manajemen risiko memberikan
kemampuan yang sangat rinci untuk mengidentifikasi dan memilih alternatif
cara untuk menanggapi risiko, seperti menghindari , mengurangi , membagi dan
menerima risiko;
3. Mengurangi kerugian operasional. Entitas usaha memperoleh kemampuan yang
lebih baik untuk mengenali potensi kejadian tak terduga dan mempersiapkan
tindakan yang diperlukan untuk mengurangi biaya atau kerugian yang mungkin
timbul;
4. Mengenali dan mengelola risiko ganda dan risiko antar entitas usaha. Setiap
perusahaan menghadapi banyak sekali risiko yang mempengaruhi bagian
organisasi yang berbeda. Manajemen risiko yang baik memfasilitasi
kemampuan menangani risiko dengan dampak yang saling terkait dan
penanganan terpadu untuk beragam jenis risiko;
5. Menangkap peluang. Dengan memerhatikan seluruh potensi risiko, pimpinan
diposisikan untuk mengenali dan secara proaktif merealisasikan peluang
tersebut;
6. Mendorong penyertaan modal. Dengan mendapatkan informasi risiko yang
akurat dan memadai memungkinkan pimpinan untuk secara efektif meng-assess
kebutuhan modal dan peningkatan modal jika diperlukan secara tepat.

2.2. US SOX Section 404: Internal Controls
Tidak ada bagian dari Sarbanes-Oxley Act 2002 yang sangat menjadi
perhatian dan kontroversi kecuali bagian 404 yang mengharuskan penyusunan dan
pemeliharaan proses pengendalian internal yang berfungsi baik. Selama lebih dari
10 tahun Security Exchange Commission (SEC) Amerika Serikat telah
mengharuskan proses pengendalian internal dilaksanakan termasuk didalamnya
11
kebijakan, prosedur, pelatihan dan proses lainnya diluar pengendalian keuangan.
Perusahaan di Amerika Serikat diwajibkan untuk mendokumentasikan dan menguji
tingkat kecukupan proses pengendalian internal. Dalam merancang ketentuan ini
SEC mengadopsi kerangka kerja COSO (ERM) yang telah diakui sebagai acuan
industri di Amerika Serikat bahkan dunia. Mengacu pada kerangka kerja COSO
pengendalian internal adalah proses yang dipengaruhi oleh upaya pimpinan dan
seluruh karyawan yang dirancang untuk memberikan kepastian yang terukur
berkaitan dengan pencapaian:
1. Kegiatan operasional yang efektif dan efisien;
2. Akurasi pelaporan keuangan;
3. Kepatuhan terhadap hukum dan peraturan yang berlaku

Beberapa contoh pelanggaran pengendalian internal menjadi sorotan Section
404 ini antara lain:
1. Sistem keuangan dan perencanaan yang berbeda. Banyak perusahaan yang
menggunakan sistem keuangan dan perencanaan yang berbeda untuk melakukan
kegiatan usahanya. Misalnya menerapkan sistem Enterprise Resource Planning
(ERP) yang tidak terintegrasi dengan Customer Relationship Management
(CRM), logistik dan keuangan. Walaupun tujuan awal penggunaan sistem ini
amatlah baik namun pada akhirnya banyak masalah integrasi informasi dan
pengendalian informasi yang timbul, misalnya harus melakukan data entry
ulang untuk menggabungkan berbagai informasi dari berbagai sistem. Tentu
saja proses data entry ini sangat rentan terhadap kesalahan dan sulit untuk
dipastikan akurasinya.
2. Rekonisiliasi akun perusahaan tidak dilakukan secara berkala. Transaksi bulan
berjalan antar unit kerja biasanya tercatat sebagai neraca yang memerlukan
rekonisiliasi setiap bulan untuk memastikan keseimbangan antara penerimaan
dengan pengeluaran/kewajiban. Setiap perusahaan seharusnya menerapkan
kebijakan yang ketat untuk memastikan rekonsiliasi ini dilaksanakan secara
berkala untuk menghindari kesalahan pelaporan posisi keuangan.
12
3. Lemahnya pengendalian informasi dan fisik aset. Perusahaan membelanjakan
modal untuk memperoleh aset sebagai alat produksi yang mungkin saja tidak
dikelola dengan baik. Dalam melaksanakan kegiatan usaha tidak sedikit terjadi
pergerakan aset baik secara fisik, status dan nilai nya terkait dengan penyusutan
dan sebagainya. Pengendalian yang lemah dapat mengakibatkan kesalahan
laporan inventori, baik itu kelebihan maupun kekurangan.
4. Lemahnya pengendalian Purchase Order atau Customer Order. Kelemahan
pengendalian kedua hal ini dapat mengakibatkan akumulasi kebutuhan cash
yang seolah-olah menggelembung yang mengganggu upaya perencanaan cash
flow.
5. Lemahnya pengendalian informasi pelanggan dan pemasok. Hal ini merupakan
kelemahan yang paling sering ditemui pada banyak organisasi, misalnya saja
tidak ada standar terhadap pencatatan nama perusahan, contact person, alamat
dan sebagainya. Akibat informasi yang tidak akurat dapat terjadi laporan
berulang untuk beberapa pelanggan atau pemasok yang sebetulnya merupakan
satu entitas.
6. Lemahnya pengendalian informasi barang / parts. Maraknya merger dan
akuisisi serta konsolidasi dan penggunaan fasilitas bersama (misalnya melalui
outsourcing atau co-sourcing) dapat mengakibatkan satu jenis barang / parts
tercatat beberapa kali dengan kode berbeda. Perbedaan kode ini dengan mudah
menyebabkan gangguan pada pengelolaan inventori. Misalnya saja barang
XYZ001 sama dengan ABC001 (barang sama kode berbeda). Ketika bill of
material suatu produk mensyaratkan safety stock XYZ001 pada tingkat tertentu
maka inventori harus memastikan barang tersebut tersedia, walaupun
sebenarnya tidak diperlukan pembelian baru karena barang ABC001 masih
tersedia.
7. Inventory Write-Off. Kelemahan forecast dan kelemahan pengelolaan product
life-cycle sering mengakibatkan kelebihan inventori yang menyebabkan harus
dilakukan penghapusan. Penghapusan inventori dalam jumlah besar akibat,
misalnya, melebihi usia simpan dan sebagainya menimbulkan kerugian finansial
yang tidak sedikit dan langsung mengganggu irama kegiatan produksi.
13
8. Tidak memahami hubungan antara demand dan supply. Banyak perusahaan
yang ternyata tidak memiliki proses dan sistem untuk memberikan informasi
hubungan demand dan supply, kalaupun ada masih banyak perusahaan yang
belum mampu mengendalikan kondisi khusus seperti kondisi over demand atau
over supply. Ketidakmampuan ini mengakibatkan dampak yang tidak sedikit
terhadap kondisi keuangan misalnya harus melakukan pembelian bahan baku
pada saat yang tidak tepat dengan harga tinggi. Selain itu, perusahaan juga dapat
mengalami kerugian akibat kesalahan bernegosiasi untuk kontrak pembelian
jangka panjang dengan para pemasoknya.
9. Tidak melaksanakan pemisahan tugas dan kewenangan (Segregation of Duties).
Pemisahan tugas dan kewenangan sering diabaikan dengan alasan kekurangan
sumberdaya manusia. Banyak perusahaan yang menganggap hal ini menjadi
beban dengan harus menambah banyak karyawan untuk memastikan pemisahan
tugas dan kewenangan. Contoh pelanggaran segregation of duties misalnya hak
untuk membuat Purchase Order dan melakukan pembayaran dilakukan oleh
orang yang sama.

SEC tidak mengizinkan perusahaan untuk mengakui proses pengendalian
internal yang baik sampai seluruh bukti-bukti pendukungnya dikemukakan dengan
terbuka disertai dengan rencana perbaikan yang terdokumentasi dan dilaksanakan.
Untuk lebih memastikan kepatuhan perusahaan, SEC mensyaratkan pimpinan
tertinggi perusahaan Chief Executive Officer (CEO) dan Chief Financial Officer
(CFO) bertanggungjawab secara pribadi dan atas nama hukum untuk memastikan
kualitas dan efektifitas pengendalian internal perusahaan mereka.

2.3. Pengendalian Internal industri Keuangan
Pada tahun 2004, para gubernur bank sentral dan pimpinan organisasi
pengawas perbankan dari 10 negara (G10 Countries) mempublikasikan kerangka
kerja kecukupan modal yang disebut The International Convergence of Capital
Measurement and Capital Standard: A Revised Framework dikenal dengan
14
nama Basel II, sesuai dengan nama tempat pertemuan di kota Basel, Swiss. Basel II
merupakan perbaikan dari versi sebelumnya yang dipublikasikan pada tahun 1988.
Basel II mengatur secara rinci penguasaan modal minimum bank, termasuk
didalamnya:
1. Kerangka kerja untuk bank dalam mengevaluasi kecukupan modal dan
kecukupan dukungan terhadap potensi risiko yang akan timbul;
2. Kerangka kerja untuk bank dalam memperkuat pemahaman pasar dengan
meningkatkan transparansi laporan keuangan.

Komite penyusun Basel II menghendaki kerangka kerja baru ini diterapkan
pada lingkup wilayah hukum anggotanya mulai akhir tahun 2006. Tidak berbeda
dengan SOX Section 404, Basel II juga dilandasi oleh COSO (ERM) dan dirancang
untuk mencegah kegagalan pengendalian internal yang kritikal termasuk
didalamnya identifikasi dan mitigasi risiko.
Bagian 744 dan 745 Basel II mencakup proses evaluasi pengendalian internal.
Bagian 744 mengatakan struktur pengendalian internal bank sangat penting dan
mewarnai proses assessment modal. Pengendalian internal yang efektif termasuk
dilakukannya review independen dan jika dimungkinkan adanya keterlibatan pihak
audit internal atau eksternal. Pimpinan bank memiliki tanggungjawab untuk
memastikan adanya sistem untuk mengevaluasi berbagai risiko, membangun sistem
untuk menghubungkan risiko dengan tingkat modal bank dan mempersiapkan
metode pemantauan kepatuhan dengan kebijakan internal. Pimpinan perusahaan
secara berkala harus memeriksa ulang apakah sistem pengendalian internal telah
memadai untuk memastikan pelaksanaan kegiatan usaha yang bertanggungjawab.
Bagian 745 Basel II mengatakan bahwa bank harus melakukan evaluasi
berkala terhadap proses manajemen risiko untuk memastikan integritas, akurasi dan
kewajaran. Adapun area yang harus dievaluasi termasuk:
1. Kepantasan proses assessment modal bank disesuaikan dengan kondisi pasar,
ruang lingkup dan kompleksitas kegiatan usaha;
2. Identifikasi exposure yang besar dan adanya pengendapan atau konsentrasi
risiko pada proses atau bagian tertentu di perusahaan;
15
3. Akurasi dan kelengkapan input terhadap proses assessment;
4. Kewajaran dan keabsahan scenario yang digunakan untuk melakukan
assessment;
5. Pengujian input dan analisis yang terus menerus

Pada bagian lain, yaitu 751 dan 752 mencakup assessment terhadap
lingkungan pengendalian. Dijelaskan bahwa para Manager dan Supervisor harus
memperhatikan kualitas sistem informasi dan laporan yang melibatkan kegiatan
usaha dan risikonya serta informasi yang berkaitan dengan perubahan profil risiko.
Tingkat modal harus ditentukan sesuai dengan profil risio dan kecukupan proses
manajemen risiko dan pengendalian internal. Ditambah dengan faktor eksternal
seperti ekonomi makro, politik dan sebagainya.

2.4. IT Risk Management (NIST 800-30)
National Institute of Standards and Techology (NIST) adalah badan yang
bertanggungjawab untuk menyusun panduan (guidelines) bidang Teknologi
Informasi bagi pemerintah federal di Amerika Serikat. NIST mempublikasikan
NISTs Special Publication 800-30 yang berjudul Risk Management Guide for
Information Technology Systems pada bulan J uli 2002. Panduan ini memberikan
rekomendasi cara manajemen risiko berkaitan dengan Teknologi Informasi (TI).
Lebih jauh lagi, panduan NIST ini juga diakui sebagai best practice untuk
meningkatkan pengendalian internal bagi usaha dan organisasi TI.
Berbeda dengan ERM COSO yang menggunakan pendekatan tiga dimensi,
panduan NIST 800-30 ini lebih sederhana dengan tiga proses utama yaitu:
1. Risk assessment, yang meliputi identifikasi dan evaluasi risiko dan dampak
risiko dan rekomendasi tindakan pengurangan risiko;
2. Risk mitigation, proses yang mengacu pada penentuan prioritas, implementasi
dan pemeliharaan tindakan pengurangan risiko sesuai dengan yang disarankan
oleh proses risk assessment;
3. Evaluasi dan assessment, adalah proses yang meliputi evaluasi terus menerus
terhadap keberhasilan penerapan tindakan pengurangan risiko.
16
Manajemen risiko adalah rangkaian proses yang memungkinkan pimpinan
organisasi untuk memperoleh keseimbangan antara biaya operasional dan biaya
ekonomi yang dikeluarkan untuk mengurangi risiko dan memperoleh manfaat
dengan melindungi sistem TI pendukung, data dan informasi yang digunakan
organisasi untuk mencapai tujuannya. Proses ini bukan merupakan proses unik yang
terpisah dari kegiatan TI pada umumnya, proses tersebut haruslah menjadi bagian
dari kegiatan pengelolaan TI keseluruhan.

Pihak-pihak yang terlibat pada proses manajemen risiko menurut panduan ini
adalah sebagai berikut:
1. Pimpinan perusahaan. Sudah selayaknya pimpinan perusahaan memegang
tanggungjawab tertinggi untuk memastikan pencapaian misi perusahaan.
Mereka juga harus memastikan ketersediaan sumberdaya yang diperlukan agar
secara efektif dapat melaksanakan rencana kerja perusahaan. Terkait dengan hal
ini maka pimpinan perusahaan juga harus memahami dan mengikutsertakan
hasil risk assessment kedalam proses pengambilan keputusan. Program
manajemen risiko yang secara terus menerus meng-assess dan mengurangi
risiko TI memerlukan dukungan dan keterlibatan pimpinan perusahaan;
2. Chief Information Officer (CIO). CIO yang pada umumnya memimpin unit
kerja TI bertanggungjawab terhadap perencanaan, penganggaran,
pengembangan dan pemeliharaan TI diperusahaan. Keputusan terkait dengan
hal tersebut haruslah didasari oleh program manajemen risiko yang baik;
3. Pemilik sistem dan informasi. Pemilik sistem dan informasi bertanggungjawab
untuk memastikan penerapan pengendalian yang memadai untuk menjaga
keterpaduan, kerahasiaan dan ketersediaan sistem dan informasi yang mereka
perlukan. Peran penting yang dilakukan untuk memastikan hal ini adalah
menyetujui dan mengawasi setiap perubahan penting yang terjadi pada sistem
dan informasi tersebut. Pemilik sistem dan informasi ini harus berperan aktif
dalam proses manajemen risiko;
4. Pemilik proses. Para pemilik proses adalah pelaksana kegiatan usaha baik
dengan maupun tanpa dukungan TI. Tindakan yang mereka lakukan atau
17
keputusan yang dibuat dapat berpengaruh secara langsung kepada gerak langkah
perusahaan. Untuk itu keterlibatan para pemilik proses dalam manajemen risiko
ini menjadi sangat penting yang memungkinan pengembangan sistem TI
dilakukan dengan menerapkan proses dan teknik kendali risiko yang memadai
dengan tetap memperhatikan unsur biaya yang dikeluarkan;
5. ISSO (Information System Security Officers). Bertangungjawab terhadap
program keamanan informasi perusahaan termasuk didalamnya manajemen
risiko. Oleh sebab itu ISSO memegang peranan penting dalam penyelenggaraan
proses manajemen risiko yang baik termasuk didalamnya menentukan
metodologi untuk mengenali, mengevaluasi dan mengurangi risiko terhadap
sistem TI perusahaan. ISSO juga berperan sebagai nara sumber bagi pimpinan
perusahaan untuk memastikan proses manajemen risiko berjalan sebagaimana
mestinya;
6. IT Security Practitioners. Para spesialis TI bertanggungjawab untuk
menerapkan cara pengendalian risiko dengan baik pada sistem TI yang mereka
kelola. Mereka juga bertanggungjawab untuk mengenali dan mengevaluasi
risiko ketika akan terjadi perubahan besar pada lingkungan dan sistem TI
perusahaan seperti penambahan kapasitas, perubahan sistem inti, penerapan
teknologi baru, serta menerapkan teknik pengendalian risiko yang sesuai;
7. Security Awareness Trainers. Untuk memastikan seluruh karyawan memahami
proses manajemen risiko maka diperlukan program peningkatan kepedulian dan
keahlian penanganan risiko secara terus menerus. Security Awareness Trainers
harus memahami proses manajemen risiko itu sendiri dengan baik sehingga
dapat merancang program pelatihan dan peningkatan kepedulian yang tepat.

2.5. Analisa
Manajemen risiko oleh banyak pimpinan perusahaan sudah dianggap sangat
penting namun tidak sedikit juga yang menganggap manajemen risiko adalah
kegiatan yang tidak bernilai tambah. Berikut adalah beberapa pendapat mengenai
faktor pendorong dan penghambat manajemen risiko perusahaan.

18
Faktor-faktor pendorong manajemen risiko, antara lain:
1. Kerangka kerja manajemen risiko sudah sangat beragam dan dirancang untuk
memenuhi kebutuhan industri tertentu;
2. Tenaga ahli yang menguasai proses pengendalian risiko sudah semakin banyak
dengan kualitas yang baik;
3. Kompensasi tenaga ahli manajemen risiko semakin dihargai;
4. Alat bantu atau tool proses pengendalian risiko sudah terotomasi dengan
dukungan TI dan biaya yang relatif terjangkau perusahaan pada umumnya;
5. Munculnya banyak organisasi atau asosiasi yang memperhatikan proses
manajemen risiko baik dari segi regulasi hingga implementasi praktis;
6. Banyaknya inovasi teknik manajemen risiko yang lebih sesuai dengan tututan
bisnis saat ini;
7. Terjadi penggabungan teknik manajemen risiko antar industri yang
memperkaya proses manajemen risiko itu sendiri;
8. Penghargaan terhadap pejabat pengelola risiko semakin tinggi bahkan banyak
perusahaan global yang memiliki Chief Risk Officer sebagai anggota Board of
Director.

Faktor-faktor penghambat manajemen risiko, antara lain:
1. Pengelola risiko menghadapai tantangan untuk menyeimbangkan tugas
pemenuhan kepatuhan dengan pergerakan usaha yang sangat dinamis dan
agresif;
2. Manajemen risiko tidak mendatangkan pendapatan bagi perusahaan. Hal ini
menyebabkan pengendalian risiko tidak mendapat perhatian yang cukup bahkan
dari pimpinan perusahaan;
3. Tingginya tingkat kesulitan untuk menentukan cara pengukuran terhadap
kerugian atau pembobotan risiko;
4. Kuantifikasi exposure risiko pada skala perusahaan sangatlah sulit dilakukan
mengingat begitu banyak faktor yang terlibat;
5. Semakin luasnya tugas dan kewenangan mengakibatkan beban manajemen
risiko sepenuhnya diserahkan kepada manajer risiko. Para manajer cenderung
19
mentransfer kewajiban manajemen risiko ini kepada manajer atau bagian yang
ditugasi melakukan manajemen risiko.

Terlepas dari pro dan kontra mengenai cara dan pengorganisasian proses
manajemen risiko, banyak kasus yang menarik untuk dikaji berkaitan dengan
kegagalan perusahaan pengelola risiko usahanya dengan baik, antara lain yang
dialami oleh Nokia dan Palm seperti dijelaskan berikut ini.
Nokia tahun 1999; Pada tahun ini Nokia meluncurkan program besar-besaran
untuk mengembangkan pasar telepon genggam yang memberikan fasilitas akses
Internet kepada pemakainya, termasuk didalamnya fitur untuk menonton film dan
bermain video games interaktif. Nokia mengeluarkan ratusan juta dolar untuk
meluncurkan suatu konsep smart phone, dimana 80% dari keseluruhan biaya riset
tersebut dialokasikan untuk membuat software yang memiliki kemampuan
menyerupai software PC. Hal ini tidak mengherankan karena pada saat yang
bersamaan Microsoft juga tengah mempersiapkan piranti sejenis. Dengan
latarbelakang penguasaan industri software yang baik, Microsoft tidak mengalami
kesulitan berarti untuk membawa kemampuan PC ke dunia mobile. Dengan
memperhatikan Microsoft sebagai pesaing utama pada segmen pasar ini Nokia
melupakan segmen pasar lainnya yang justru merupakan lapisan terkuat Nokia saat
itu, yaitu pasar menengah yang mengutamakan fitur dasar dengan tambahan fitur
kamera. Smart phone produksi Nokia ukurannya dianggap terlalu besar dan tidak
responsive. Pada saat lengah itulah Samsung dan Motorola berkesempatan mencuri
pangsa pasar menengah. Akibatnya penguasaan pasar Nokia turun dari 35%
menjadi 29% pada tahun 2003. Nokia hanya mampu menjual 5.5 juta smart phone
dari target 10 juta unit. Pada semester pertama tahun 2004 angka penjualan Nokia
turun 2% pada kondisi pasar yang tumbuh 40% dari tahun sebelumnya.
Palm adalah pionir hand-held computer diawal 90an. Pada bulan Desember
2000, Palm berhasil membukukan angka pertumbuhan penjualan yang fantastis
yaitu 165% lebih tinggi dari tahun sebelumnya. Namun hal ini tidak berlangsung
lama karena pada bulan Maret 2001 tanda-tanda penurunan penjualan sudah mulai
terlihat dengan jelas. Pimpinan Palm saat ini memutuskan cara perbaikan kinerja
20
penjualan dengan secepatnya meluncurkan produk model terbaru. CEO Palm, Carl
Yankowski mendapatkan informasi yang meyakinkan dari jajaran manajemen
bahwa model baru ini yang dikenal dengan seri m500 dapat diluncurkan dalam
waktu 2 minggu. Dengan informasi ini Palm mulai menginformasikan kepada
publik akan adanya produk seri baru yang akan diluncurkan. Hal ini kembali
menekan penjualan Palm karena pelanggan cenderung tidak melakukan pembelian
sampai model baru resmi diluncurkan. Permasalah timbul karena ternyata Palm
tidak mampu meluncurkan seri m500 dalam waktu dua minggu seperti yang
diperkirakan. Palm tidak memperhitungkan waktu uji coba yang lebih lama dari
perkiraan. Palm baru berhasil meluncurkan m500 dipasaran pada bulan Mei enam
minggu setelah rencana peluncuran di bulan Maret. Akibat penundaan ini, jumlah
produk lama yang tidak terjual semakin besar hingga penghapusan inventori
(inventory write off) mencapai angka 300 juta dolar yang membukukan kerugian
392 juta dolar pada akhir bulan J uni. Angka ini amatlah mencolok dibandingkan
dengan keuntungan sebesar 12.4 juta dolar pada tahun sebelumnya. Pesaing Palm
seperti RIM (BlackBerry) dan Microsoft meraup keuntungan dari kesalahan yang
dibuat Palm.