Anda di halaman 1dari 78

Dasar-dasar

ENTERPRISE
RISK MANAGEMENT
Untuk Direktur dan Komisaris

Disusun oleh:
Antonius Alijoyo
with Deddy Jacobus
Dasar-dasar
ENTERPRISE
RISK MANAGEMENT
Untuk Direktur dan Komisaris

Disusun oleh:
Antonius Alijoyo
with Deddy Jacobus
DAFTAR ISI

DAFTAR ISI 1

SAMBUTAN KETUA LKDI 3

PROFIL LKDI 5

Bab I Pendahuluan 6
Mengapa ERM relevan dan penting bagi Direktur dan Komisaris
Kebutuhan akan kompetensi di bidang ERM bagi Direktur dan Komisaris
Prasyarat ERM
Pertanyaan kajian

Bab II Konsep, Prinsip dan Framework 16


Definisi, konsep dan komponen ERM
Berbagai framework ERM: AS/NZS and COSO
Pertanyaan kajian

Bab III ERM dalam Konteks 45


Lingkungan resiko
Manajemen resiko dan akuntabilitas Pengurus Perusahaan Risk appetite
dan risk tolerance
Peran komite-komite Dewan Komisaris dan fungsi audit perusahaan
Pertanyaan kajian

Bab IV Menerapkan ERM 53


Budaya resiko
Kapasitas internal
Penyelarasan dengan visi, misi dan strategi
Pertanyaan kajian

Bab V Ukuran-ukuran efektivitas 67


Peranti dan pendekatan dalam pengukuran
Daftar periksa sederhana

CONTOH KASUS 75

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 1


SAMBUTAN KETUA LKDI

Lembaga Komisaris dan Direktur Indonesia (LKDI) dibentuk pada tahun 2001
dengan tujuan untuk menjadi wadah bagi para komisaris dan direktur dalam
meningkatkan kompetensi, pengetahuan dan integritas dalam menerapkan prinsip-
prinsip good corporate governance (GCG). Untuk itu sejak awal tahun 2005, LKDI
secara intensif telah menyelenggarakan program "Training and Directorship
Certification for Commissioners and Directors". Disamping itu LKDI juga
menyelenggarakan program pendidikan profesional berkelanjutan bagi para
komisaris dan direktur yang muatannya menekankan pada pembelajaran masalah-
masalah yang fundamental dan mutakhir berkaitan dengan praktek GCG terkini
baik di tingkat nasional maupun internasional.

Dalam upaya meningkatkan kualitas program "Training and Directorship


Certification for Commissioners and Directors", LKDI menerbitkan modul yang
didukung pelaksanaannya oleh Center for International Private Enterprises (CIPE)
yang berkedudukan di Amerika Serikat. Dukungan CIPE ini merupakan bagian dari
suatu kerjasama dengan LKDI dalam melaksanakan serangkaian program yang
bertajuk "Strengthening Corporate Governance in Indonesia".

Modul tersebut merupakan acuan bagi para fasilitator dan peserta program
pelatihan LKDI sehingga menjadi suatu referensi yang telah terstandarisasi dengan
perbandingan pada kurikulum program kedirekturan yang juga diselenggarakan
oleh UK Institute of Directors, Australian Institute of Company Directors, dan
Singapore Institute of Directors.

Pada tahap pertama ini, LKDI menerbitkan lima modul yaitu: "GCG Concepts,
Principles and Practices", "Boards' Duties, Liabilities and Responsibilities",
"Enterprise Risk Management", "Corporate Social Responsibility", dan "High Quality
Corporate Reporting". Penyusunan modul-modul tersebut dilakukan oleh para
akademisi senior yang tergabung dalam Academic Network Indonesia on Governance
(ANIG) yang dibentuk dan berada dibawah naungan Komite Nasional Kebijakan
Governance (KNKG).

Akhirnya LKDI mengucapkan terimakasih kepada CIPE, KNKG dan ANIG atas
dukungannya dalam penerbitan modul pelatihan ini, dengan harapan kerjasama
yang baik ini akan dilanjutkan dalam rangka melaksanakan program-program
penguatan GCG di Indonesia.

Salam hormat,

Hoesein Wiriadinata
Ketua

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 3


PROFIL LKDI

Komisaris dan Direktur adalah pihak yang berkepentingan dan secara langsung
mempunyai peranan strategis dalam keberhasilan implementasi Good Corporate
Governanace. Krisis tahun 1997 memberikan hikmah pelajaran yang sangat
berharga karena telah memberikan bukti yang tidak terbantahkan mengenai
rapuhnya struktur ekonomi dan berbagai praktek korporasi yang menyimpang.
Namun, demikian banyak perusahaan yang telah berinisiatif memperbaiki diri
menuju tata kelola yang lebih baik.

Adalah tanggung jawab sektor korporasi untuk memperbaiki praktek corporate


governance, Komisaris dan Direktur adalah pihak yang berkepentingan yang harus
memiliki kompeten dan berdaya guna untuk menjalankan peranan strategis
tersebut. Berdasarkan pemahaman tersebut, Komite Nasional Kebijakan
Governance (KNKG) mendirikan Lembaga Komisaris dan Direktur Indonesia (LKDI)
di tahun 2000. Dan secara sah dihadapan notaris Imas Fatimah, SH No. Pada tanggal
6 Juli 2001.

LKDI mempunyai tujuan untuk meningkatkan kualitas anggota sehingga


menjadikan barisan terdepan dalam penerapan praktik corporate governance lewat
pengembangan jaringan (network) dan pengembangan program pendidikan yang
berkesinambungan.

Pendiri : Komite Nasional Kebijakan Governance

Penasehat : Mar'ie Muhammad

Badan Pembina : Amrin Siregar Kartini Muljadi


Gunarni Soeworo Ratnawati Prasodjo
Mas Achmad Daniri

Badan Pengurus : Hoesein Wiriadinata (Ketua)


Eva Riyanti Hutapea (Wakil Ketua)
Fachry Aly
Fred B.G.Tumbuan
Jos F. Luhukay
Partomuan Pohan
Irwan M. Habsjah
Adi Rahman Adiwoso

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 5


BAB I PENDAHULUAN

Resiko adalah fungsi dari atau berhubungan dengan berbagai ketidakpastian


dan tingkat eksposur suatu entitas terhadap ketidakpastian tersebut.
Semakin tinggi tingkat ketidakpastian dan eksposur yang dihadapi suatu
organisasi, semakin tinggi pula konsekuensi dan kemungkinan terjadinya.

Resiko bersifat inheren di dalam segala sesuatu yang kita lakukan, baik ketika
kita tengah bersepeda, mengelola suatu proyek, menghadapi klien,
menetapkan prioritas, membeli sistem dan perlengkapan baru, dan
mengambil keputusan tentang masa depan atau memutuskan untuk tidak
mengambil tindakan apapun.

Sadar atau tidak kita senantiasa berurusan dengan resiko. Kebutuhan untuk
mengelola resiko secara sistematis berlaku bagi setiap organisasi dan
individu. Demikian juga halnya bagi setiap fungsi dan kegiatan di dalam
perusahaan. Kebutuhan ini harus dipandang sebagai sesuatu yang sangat
penting bagi para Direktur dan Komisaris.

Alternatif bagi manajemen resiko adalah manajemen beresiko, atau


pembuatan keputusan yang gegabah, keputusan yang tidak didasarkan pada
pertimbangan yang matang atas fakta-fakta yang ada. Manajemen beresiko
tidak dapat memastikan tercapainya hasil-hasil yang diharapkan.

Sebaliknya, manajemen resiko membantu suatu entitas untuk mencapai


target kinerja dan profitabilitas, serta mencegah terjadinya kerugian sumber
daya. Manajemen resiko membantu terwujudnya pelaporan yang efektif,
kepatuhan terhadap hukum dan peraturan yang berlaku, mencegah
kerusakan reputasi perusahaan dan konsekuensi-konsekuensi lainnya.
Secara singkat, manajemen resiko membantu perusahaan mencapai tujuan
yang diinginkannya dan terhindar dari berbagai jebakan dan kejutan di
sepanjang perjalanan menuju tujuan tersebut.

Dari sudut pandang risk and return, manajemen resiko membantu kita
menyeimbangkan keduanya. Konsep "no risk, no return" telah diterima luas di
dunia bisnis. Konsekuensi dari konsep tersebut adalah "higher risk, higher
return." Namun, dalam dunia nyata, tidak ada resiko dan return yang bersifat

6 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


absolut. Pada titik tertentu, resiko yang berlebihan akan mendatangkan
bencana dan bukan return. Artinya, kita harus dapat mengoptimalkan profil
risk and return organisasi kita. Permasalahannya sebagian besar perusahaan
tidak memiliki informasi yang memadai mengenai eksposur resiko yang
menyeluruh (dengan kata lain, mereka tidak memahami apakah mereka
berlebihan atau sebaliknya sangat kurang dalam pengambilan resiko. Untuk
menjawab kebutuhan tersebut, diperkenalkanlah konsep dan pengertian
enterprise risk management.

Apa yang dimaksud dengan enterprise risk management

Premis mendasar enterprise risk management adalah bahwa setiap entitas,


baik yang berorientasi laba maupun nirlaba, atau suatu lembaga
pemerintahan, didirikan untuk mendatangkan nilai bagi para pemangku
kepentingan (stakeholders). Setiap entitas menghadapi ketidakpastian, dan
tantangan bagi manajemen adalah bagaimana memutuskan seberapa besar
tingkat kepastian yang siap diterima entitas dalam upayanya meningkatkan
nilai bagi para pemangku kepentingan. Ketidakpastian menghadapkan kita
pada resiko dan kesempatan, dengan potensi mengikis atau memperkuat
nilai. Enterprise risk management merupakan framework bagi manajemen
dalam menghadapi ketidakpastian dan resiko-resiko yang terkait serta
peluang yang ada dengan efektif, sehingga meningkatkan kapasitasnya untuk
membangun nilai.

Enterprise risk management (ERM) didefinisikan dengan sangat baik oleh


Committee of Sponsoring Organizations of the Treadway Commission (COSO)
dalam Enterprise Risk Management Integrated Framework (2004). COSO
menginisiasi suatu proyek untuk mengembangkan suatu framework yang
sehat secara konseptual. Framework ini mengintegrasikan prinsip,
terminologi, dan pedoman implementasi praktis untuk mendukung program
entitas dalam mengembangkan atau mem-benchmark proses enterprise risk
management yang mereka terapkan.

Enterprise risk management didefinisikan sebagai berikut :


Enterprise risk management is a process, effected by an entity's board of
directors, management and other personnel, applied in strategy setting and
across the enterprise, designed to identify potential events that may affect the
entity, and manage risks to be within its risk appetite, to provide reasonable
assurance regarding the achievement of entity objectives.

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 7


Sebagai suatu proses, enterprise risk management adalah sarana untuk
mencapai tujuan, dan bukan tujuan itu sendiri. ERM bukan sekadar
kebijakan, isian survei dan formulir, tetapi melibatkan orang di berbagai aras
organisasi. Applied in strategy setting, diterapkan dalam penyusunan strategi,
across the enterprise, bersifat menyeluruh di setiap tingkat dan unit
organisasi, termasuk keharusan untuk memandang resiko tingkat entitas
secara portofolio. Enterprise risk management dirancang untuk
mengidentifikasi peristiwa-peristiwa potensial yang mempengaruhi entitas
dan mengelola resiko agar senantiasa berada dalam risk appetite organisasi.
Tujuannya adalah untuk memberikan reasonable assurance (kepastian
secara wajar) bagi manajemen dan pengurus perusahaan terkait dengan
achievement of objectives, pencapaian tujuan, dalam satu atau beberapa
kategori terpisah yang juga bisa bersifat tumpang tindih.

Manfaat enterprise risk management


Tidak ada entitas yang beroperasi dalam lingkungan yang bebas resiko dan
enterprise risk management tidak menciptakan lingkungan yang demikian.
Akan tetapi, enterprise risk management memungkinkan manajemen untuk
beroperasi secara lebih efektif dalam lingkungan yang penuh dengan resiko.

Enterprise risk management meningkatkan kemampuan organisasi untuk :

Menyelaraskan risk appetite dan strategi


Risk appetite adalah tingkat resiko, pada aras yang berbasis luas, yang dapat
diterima oleh suatu perusahaan atau entitas dalam mengejar sasaran-
sasarannya. Manajemen terlebih dahulu mempertimbangkan risk appetite
entitas dalam mengevaluasi alternatif strategik, kemudian dalam menetapkan
objektif yang diselaraskan dengan strategi yang telah ditetapkan dan dalam
mengembangkan mekanisme untuk mengelola resiko-resiko terkait.

Mengaitkan antara pertumbuhan, resiko dan return


Entitas menerima resiko sebagai bagian dari penciptaan dan pemeliharaan
nilai, dan mendapatkan return sesuai resiko yang diambilnya. Enterprise risk
management meningkatkan kemampuan entitas dalam mengidentifikasi dan
menelaah (assess) resiko, menetapkan tingkat resiko yang dapat diterima,
relatif terhadap objektif pertumbuhan dan return yang dikehendaki.

Meningkatkan kualitas keputusan dalam merespon resiko


Enterprise risk management mempertajam ketepatan dalam mengidentifikasi

8 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


dan memilih alternatif respon terhadap resiko menghindari (avoid),
mereduksi (reduce), membagi (share) dan menerima (accept) risiko. Enterprise
risk management memberikan manajemen metodologi dan teknik untuk
membuat keputusan-keputusan tersebut.

Meminimalisasi kejutan dan kerugian operasional


Entitas akan memiliki kapabilitas yang lebih tinggi untuk mengidentifikasi
peristiwa-peristiwa potensial, menelaah resiko dan menetapkan respon.
Dengan demikian entitas dapat mereduksi kemungkinan terjadinya kejutan
atau kerugian.

Mengidentifikasi dan mengelola resiko secara menyeluruh (cross-


enterprise risks)
Setiap entitas menghadapi tidak terhitung resiko yang mempengaruhi
berbagai bagian dalam organisasi. Manajemen bukan hanya harus mengelola
resiko-resiko tersebut satu persatu, tetapi juga harus memahami keterkaitan
dampak resiko-resiko tersebut.

Memberikan respon terpadu terhadap resiko berganda


Proses bisnis mengandung di dalamnya banyak resiko inheren, dan
enterprise risk management memungkinkan manajemen memberikan solusi
terpadu untuk mengelola resiko-resiko tersebut.

Menangkap peluang
Manajemen bukan hanya harus memperhatikan resiko tetapi juga peristiwa-
peristiwa potensial. Dengan mempertimbangkan rangkaian peristiwa terkait
secara menyeluruh, manajemen dapat memiliki pemahaman tentang
peristiwa-peristiwa yang menjanjikan peluang.

Merasionalisasi kapital
Informasi yang lebih andal terkait dengan total resiko entitas memungkinkan
Direktur dan Komisaris serta manajemen perusahaan menelaah secara lebih
efektif kebutuhan modal perusahaan secara menyeluruh dan meningkatkan
ketepatan alokasi modal.

Enterprise risk management bukanlah tujuan, melainkan sarana yang


penting. ERM tidak berjalan terpisah dalam suatu entitas, melainkan lebih
merupakan enabler proses manajemen. Enterprise risk management saling
terkait dengan corporate governance dengan memberikan informasi kepada

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 9


pengurus perusahaan (Direksi dan Komisaris) mengenai resiko-resiko yang
paling signifikan dan bagaimana resiko-resiko tersebut dikelola. Dan ERM
saling terkait dengan manajemen kinerja dengan memberikan ukuran-
ukuran berbobot resiko (risk-adjusted measures), dan dengan pengendalian
internal, yang merupakan bagian tidak terpisahkan dari enterprise risk
management.

Kebutuhan akan kompetensi di bidang ERM bagi Direktur dan Komisaris


Sejarah berulangkali memperlihatkan bagaimana hal-hal yang buruk dapat
dan telah menimpa perusahaan-perusahaan yang baik. Dalam bagian ini
akan dibahas betapa pentingnya manajemen resiko bagi Direksi dan
Komisaris sehingga kompetensi dalam bidang enterprise risk management
kini telah menjadi suatu keharusan.

Bencana-bencana korporasi dapat muncul dalam berbagai bentuk dan dapat


menimpa perusahaan dan industri apapun. Di samping kerugian finansial
murni, pengelolaan resiko dapat berakibat rusaknya reputasi perusahaan,
atau kemunduran perjalanan karir para eksekutifnya. Eskalasi kerusakan
dapat berlangsung dengan cepat hingga perusahaan yang tadinya sehat tiba-
tiba menghadapi kebangkrutan ; seringkali peristiwa kerusakan ini dapat
menggoncangkan pondasi industri dan pasar dengan parah. Tabel 1.1
memperlihatkan pengalaman kerugian finansial yang luar biasa yang dialami
perusahaan-perusahaan yang sebelumnya dikenal sebagai perusahaan-
perusahaan yang baik dan terkemuka dalam industrinya masing-masing.

Tabel 1.1 List of misfurtune


Kerugian
Perusahaan Industri Permasalahan
(USD)
Cendant Korporasi Fraud di bidang akunting $ 300 juta

Bausch
& Lombs Korporasi Kesalahan laporan revenu $ 42 juta

Pharmor Korporasi Charge-off $ 350 juta

PCA Perusahaan
energi Klaim $ 236 juta

MG Perusahaan
energi Kerugian perdagangan $1 miliar

10 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


Llyod's Asuransi Settlement 3.2 miliar

Confed Life Asuransi Kerugian real estate $ 1.3 miliar

Morgan Grenfell Manajemen Perdagangan yang


aset meragukan $ 300 miliar

LTCM Manajemen
aset Rescue fund required $ 3.5 miliar

Barings Bank Kerugian perdagangan $1 miliar

Bankers Trust Bank Gugatan hukum $ 737 juta

Sumber: James Lam, Enterprise Risk Management, From Incentives to Controls, JWS, 2003, p. 10.

Pada sebagian besar kasus di atas, in most of the above cases, yang terjadi
adalah baik pengurus perusahaan menerima informasi yang menyesatkan
atau adanya kegagalan proses penyampaian informasi kepada pengurus dan
pemangku kepentingan. Dalam banyak hal, kegagalan tersebut melibatkan
rekayasa keuangan dan resiko-resiko ekonomi yang bersifat non-disklosur
serta penyelewengan dan penyalahgunaan wewenang yang luar biasa parah.

Kehancuran dramatis keyakinan publik yang disebabkan oleh berbagai


skandal dan bencana ini menimbulkan tekanan terhadap pengurus
perusahaan dan manajemen untuk meningkatkan tanggung jawab mereka
dalam hal corporate governance dan manajemen resiko secara lebih efektif.
Lembaga-lembaga regulasi dan pemeringkat juga menghadapi tekanan yang
berat untuk meningkatkan kapabilitas mereka untuk melindungi seluruh
pemangku kepentingan.

Kita tidak kekurangan bahan pelajaran. Seakan-akan bencana-bencana besar


tersebut terjadi setiap beberapa bulan, dan ini mengingatkan kita bahwa
bahaya mengintai setiap perusahaan. Organisasi-organisasi yang cukup
beruntung untuk terhindar dari krisis yang besar seringkali mengalami
permasalahan-permasalahan yang lebih kecil atau "near misses" yang
memperlihatkan adanya eksposur terhadap resiko.

Bagi para Direksi dan Komisaris perusahaan-perusahaan Indonesia, For


Indonesian boards of directors and commissioners, the implementation of

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 11


enterprise risk management is a part of corporate governance regulatory
requirement and best practices. OECD requires that corporate boards to
implement appropriate system and policies for risk management. It is a key
responsibility of the board. (OECD Principles of Corporate Governance.
Principles V.D.1 and V.D.5)

Prasyarat ERM
Telah disebutkan sebelumnya bahwa tujuan dari ERM adalah setiap bagian,
baik untuk profit atau untuk non-profit, atau badan pemerintahan, ada
untuk menyediakan nilai bagi pada pemegang sahamnya. Semua yang
terlibat menghadapi ketidakpastian dan tantangan untuk manajemen adalah
untuk menentukan seberapa banyak ketidakpastian yang siap untuk
diterima dalam rangka mengembangkan nilai pemegang saham.
Ketidakpastian menimbulkan resiko dan peluang, dengan potensi untuk
menurunkan atau meningkatkan nilai. ERM meyediakan bingkai kerja untuk
manajemen untuk secara efektif menangani ketidakpastian dan resiko yang
berhubungan dan peluang dan arena itu meningkatkan kemampuan untuk
meningkatkan nilai.

Ketidakpastian
Perusahaan beroperasi dalam lingkungan dimana faktor seperti globalisasi,
teknologi, peraturan, restrukturisasi, pasar yang berubah dan kompetisi
menimbulkan ketidakpastian. Ketidakpastian timbul dari ketidakmampuan
untuk secara tepat menentukan kemungkinan kejadian-kejadian potensial
akan terjadi dan hasil-hasil dari kejadian tersebut.

Nilai
Nilai dibentuk, dilindungi atau dirusak oleh keputusan-keputusan
manajemen berkisar dari penentuan strategi hingga pengoperasian
perusahaan hari demi hari. Erat hubungannya dengan keputusan adalah
pengenalan resiko dan kesempatan, membutuhkan manajemen
mempertimbangkan informasi tentang lingkungan internal dan eksternal,
menyebarkan sumber daya yang berharga dan mengkalibrasi ulang aktivitas
perusahaan dan perubahan keadaan.

Entitas menyadari nilai ketika pemegang saham memperoleh keuntungan


yang pada gilirannya akan dihargai. Untuk perusahaan-perusahaan,
pemegang saham menyadari nilai ketika mereka menyadari pembentukan
nilai dari pertumbuhan nilai saham. Untuk entitas pemerintahan, nilai

12 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


dihargai ketika unsur pokok menyadari penerimaan dari layanan dalam biaya
yang dapat diterima. Pemegang saham dari badan non-profit menghargai nilai
bilamana mereka menyadari penerimaan dari keuntungan sosial yang mereka
anggap berharga. ERM memfasilitasi kemampuan manajemen untuk
membentuk nilai yang kokoh dan mengkomunikasikan nilai yang mereka
buat itu kepada pemegang saham.

Untuk dapat menerapkan ERM secara efektif, dari sudut pandang dewan,
pertama-tama harus ada komitmen yang kuat dari pucuk pimpinan, sebuah
definisi jelas dari risk appetite perusahaan dalam artian kebijaksanaan resiko
dan toleransi resiko, struktur organisasi, dan kesadaran bahwa mereka perlu
untuk memastikan bahwa perilaku mereka sejalan dengan kebijakan
manajemen resiko. Hal ini untuk memastikan integrasi resiko ke dalam
budaya dan nilai perusahaan.

Dewan tidak dapat memonitor atau mengontrol kondisi finansial dari institusi
pengambil resiko tanpa manajemen resiko yang tangguh dan matriks resiko.
Sementara itu, fungsi manajemen resiko bergantung pada sponsor pada level
eksekutif senior dan dewan untuk memperoleh investasi yang dibutuhkan
dan mempengaruhi kebutuhan-kebutuhannya untuk menyeimbangkan
pemimpin-pemimpin bisnis yang kuat.

Komite Resiko dari institusi juga perlu dilibatkan, pada taraf tertentu, dalam
penentuan metodologi manajemen resiko dasar yang diterapkan oleh
institusi. Penting bagi penerapan manajemen resiko untuk mengerti kekuatan
dan kelemahan dari matriks resiko operasional kalau mereka akan
memahami laporan resiko.

Implementasi manajemen resiko perusahaan yang sukses juga


membutuhkan manajemen resiko melalui integrasi dari ERM ke dalam
perencanaan strategi, proses bisnis, pengukuran performa, dan kompensasi
pendorong. Semua ini akan dibahas kemudian dalam bagian utama buku ini.

Pertanyaan review
Lima pertanyaan multiple choices untuk mereview materi dari Bab 1.

1. Mengapa ERM penting untuk baik Direktur atau Komisaris ?


(a) Pertumbuhan dan keuntungan dapat menjadi materi perusak dari
performa jika tidak ada pengendalian resiko dan manajemen resiko.

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 13


(b) Enterprise Risk Management (ERM) dapat membantu Direktur dan
Komisaris untuk mengembangkan pola pikir dan alat untuk
mengeksplorasi dimensi-dimensi dari resiko yang berhubungan
dengan setiap aktifitas dan kesempatan sehingga mereka dapat
menyeimbangkan dengan imbalan yang jelas.
(c) Manajemen resiko perusahaan yang didesign dan dijalankan dengan
baik dapat menyediakan jaminan bagi manajemen dan Dewan Direksi
sehubungan dengan pencapaian tujuan-tujuan.
(d) Semua jawaban di atas benar.

2. Pernyataan berikut memberikan pengertian yang benar mengenai resiko


yang ditentukan oleh AS/NZS 4360: 2004, kecuali :
(a) Resiko adalah "kesempatan untuk sesuatu terjadi yang akan memberi
dampak pada tujuan".
(b) Resiko sering dispesifikasikan sebagai kejadian atau situasi dan
konsekuensi yang akan diterima dari kejadian atau situasi tersebut.
(c) Resiko diukur dengan jalan mengkombinasi antara konsekuensi dan
kejadian dan kemungkinannya.
(d) Resiko selalu berhubungan dengan dampak negatif.

3. Pernyataan berikut ini memberikan pengertian yang benar tentang ERM


menurut COSO, kecuali:
(a) ERM adalah proses yang dipengaruhi oleh Dewan Direksi suatu
perusahaan, manajemen dan personil lainnya.
(b) Diterapkan dalam strategi dan seluruh perusahaan.
(c) Didesign untuk mengidentifikasi kejadian potensial yang mungkin
mempengaruhi perusahaan dan mengatur resiko sehingga berada
dalam risk appetite.
(d) Untuk menyediakan data yang tidak bias sehubungan dengan meraih
tujuan perusahaan.

4. Mengapa kompetensi dari ERM di antara Direktur dan Komisaris


perusahaan sangat penting ?
(a) Sejarah mencatat berulang-ulang bagaimana hal buruk dapat dan
pasti terjadi pada perusahaan yang baik. Di balik kerugian finansial,
mismanagement dari resiko dapat mengakibatkan kerusakan
reputasi dari perusahaan atau pukulan mundur bagi karir individu
para eksekutif.
(b) Kejatuhan dramatis dari keyakinan publik disebabkan oleh skandal

14 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


perusahaan dan bencana terus-menerus menekan dewan dan
manajemen untuk memimpin perusahaan dan bertanggung jawab
terhadap manajemen resiko dalam cara yang lebih efektif.
(c) Untuk Dewan Direksi dan Komisioner Indonesia, penerapan ERM
adalah bagian dari prasyarat peraturan kepemimpinan perusahaan
dan praktek yang baik.
(d) Semua jawaban di atas benar.

5. Berikut adalah dasar dari ERM yang efektif kecuali :


(a) Harus ada komitmen yang kuat dari pucuk pimpinan.
(b) Definisi jelas dari risk appetite organisasi sehubungan dengan
kebijakan resiko dan toleransi resiko.
(c) Struktur organisasi yang sesuai, dan kesadaran bahwa mereka
memerlukan untuk memastikan bahwa perilaku mereka sejalan
dengan kebijakan manajemen resiko.

Manajemen resiko seharusnya tidak diintegrasikan ke dalam budaya dan nilai


perusahaan karena hal itu merupakan proses yang berdiri sendiri.

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 15


KONSEP, PRINSIP
BAB II
DAN FRAMEWORK

Dalam bab ini, kita akan mendiskusikan lebih jauh konsep-konsep,


rancangan kerja, serta perlunya mengintegrasi program enterprise risk
management ke dalam proses bisnis, dan kita juga akan melihat bagaimana
manajemen resiko tersusun dari sebuah fungsi kendali dan memusatkan
perhatian pada usaha meminimalisasi resiko yang buruk menjadi sesuatu
yang dapat mengoptimalkan kinerja.

Resiko Definisi Dan Konsep


Bagian ini akan merinci lebih lanjut akan kerangka-kerangka kerja yang
ada, yang telah digunakan di seluruh penjuru dunia, terutama standar
AS/NZS 4360:2004, dan Enterprise Risk Management Integrated Framework
oleh COSO. Kita akan membahas definisi ERM, konsep resiko, dan
komponen-komponen kunci/tiang penyangga ERM, seperti penguasaan
resiko, infrastruktur resiko, proses manajemen resiko, penyampaian dan
pelaporan resiko.

Konsep Resiko
Resiko dalam pengertian yang luas bukanlah hal baru dalam dunia bisnis.
Semua perusahaan dihadapkan kepada resiko-resiko tradisional dalam
bisnis : naik turunnya pendapatan akibat berbagai hal seperti perubahan
dalam lingkungan bisnis, kecenderungan alami untuk bersaing, dalam
teknologi produksi, dan dalam faktor-faktor yang berpengaruh terhadap para
penyalur. Hal tersebut merupakan suatu pemahaman klasik mengenai
resiko.

Resiko datang dalam berbagai bentuk dan ukuran. Pada bagian sebelumnya,
resiko digambarkan sebagai "kesempatan akan terjadinya sesuatu yang akan
membawa dampak pada tujuan." Dalam pengertian tersebut, resiko
seringkali dikaitkan dengan sebuah peristiwa dan konsekuensi-konsekuensi
yang mungkin terjadi karenanya. Resiko diukur dengan kombinasi dari
konsekuensi dari suatu peristiwa dan berbagai kemungkinan yang akan
terjadi karena peristiwa tersebut. Resiko dapat membawa dampak yang
positif atau negatif.

16 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


Secara tradisional, para profesional resiko mengenal tiga jenis utama resiko :
resiko pasar, resiko kredit, dan resiko operasional. Resiko Pasar adalah resiko
perpindahan atau pergerakan harga yang menghasilkan konsekuensi negatif
bagi suatu perusahaan; Resiko Kredit adalah resiko di mana pelanggan,
partner bisnis, atau, pemasok lalai dalam memenuhi kewajiban; dan Resiko
Operasional adalah resiko dimana orang-orang, proses, atau suatu sistem
akan melakukan kekeliruan, atau terjadinya suatu peristiwa-peristiwa
eksternal (mis. Gempa bumi, kebakaran, banjir) yang berdampak negatif
pada perusahaan. Selain itu, ada juga tipe-tipe resiko yang lain seperti Resiko
Legal, Resiko Bisnis, Resiko Strategis dan Resiko Reputasi ( lihat Figure 2.1).

Figure 2.1- Klasifikasi Resiko

Resiko Pasar

Resiko Operasional
}
Resiko Hukum dan
Resiko peraturan
Resiko Bisnis

Resiko Reputasi

Walaupun ada kesamaan dan ketergantungan antar resiko-resiko tersebut,


masing-masing resiko tersebut memerlukan perhatian khusus. Dan masing-
masing jenis resiko tersebut, meliputi sejumlah besar resiko individu. Sebagai
contoh, Resiko Kredit meliputi semuanya, dari kelalaian peminjam sampai
keterlambatan pemasok karena permasalahan kredit.

Resiko perlu dikenali dan diperkirakan dengan cara yang relatif mudah untuk
dipahami. Bagaimana pun hal ini membutuhkan pelatihan-pelatihan dan
pendidikan yang substansial. Banyak pemimpin, stafbaik junior maupun
senior, akan merasa tidak familiar dengan manajemen resiko ini, khususnya
dengan format analisis resiko yang kuantitatif. Untungnya, ada beberapa
konsep resiko utama yang akan membantu kita untuk memahami resiko
tersebut dengan lebih baik dan menerapkannya pada resiko-resiko berbagai
macam bisnis, yang pasti menghasilkan program manajemen resiko yang
efektif.

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 17


Uncertainty Resiko tidak sama dengan ketidakpastian. Resiko
(ketidakpastian) merupakan variabilitas yang masih bisa diukur dengan
kemungkinan-kemungkinan, sedangkan ketidak-
pastian merupakan variabilitas yang tidak bisa diukur
sama sekali.

Exposure Jumlah kerusakan yang akan diderita jika beberapa


(penelaahan) peristiwa terjadi. Sebagai contoh, orang yang
meminjamkan akan dihadapkan pada resiko kelalaian
si peminjam. Penumpang pesawat terbang dihadapkan
pada resiko tabrakan pesawat terbang

Event Kejadian yang merupakan sekelompok keadaan


(peristiwa) khusus (AS/NZS 4360:2004)
Peristiwa tersebut bisa bersifat pasti maupun tidak
pasti.
Peristiwa tersebut bisa jadi merupakan kejadian
tunggal atau serangkaian kejadian.

Likelihood Penjelasan umum tentang probabilitas atau frekuensi


(kemungkinan) (AS/NZS 4360:2004). Likelihood mewakili
kemungkinan yang ada jika suatu peristiwa terjadi
(COSO). Seberapa besar kemungkinan tersebut terjadi
jika suatu peristiwa yang beresiko benar-benar terjadi ?
Semakin besar kemungkinan peristiwa tersebut
terjadidengan kata lain semakin tinggi probabilitas
atau frekuensisemakin besar resikonya.

Likelihood dapat digambarkan secara kuantitatif


maupun kualitatif

Volatility Variabilitas dari hasil-hasil yang potensial. Volatility


(volatilitas) merupakan jawaban dari pertanyaan 'seberapa pasti
masa depan itu?' Umumnya, semakin besar volatility,
semakin besar resiko

Consequence Hasil atau dampak dari sebuah peristiwa (AS/NZS 4360


(konsekuensi) 2004). Pengaruh dari terjadinya sebuah peristiwa
(COSO).

Sebuah peristiwa bisa jadi memiliki lebih dari satu


consequence. Consequence bisa mencakup sesuatu

18 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


yang positif atau negatif. Consequence dapat
digambarkan secara kualitatif maupun kuantitatif.
Consequence dianggap memiliki hubungan dengan
pencapaian tujuan.

Loss Semua consequence yang negatife atau dampak yang


(kerugian) merugikan, baik dalam keuangan maupun yang lain.

Probability Sebuah ukuran mengenai kesempatan terjadinya


(probabilitas) sesuatu hal, yang digambarkan dengan angka, antara 0
sampai 1.

Time Horizon Berapa lama kita akan dihadapkan pada resiko.


(horizon waktu) Semakin lama durasinya, semakin tinggi resikonya.

Correlation Relasi-relasi di antara resiko-resiko yang mungkin


(korelasi) terjadi dalam bisnis maupun entitas. Jika dua resiko
terjadi secara persis, maka resiko tersebut
diperkirakan terjadi karena alasan yang sama, atau
misalnya dengan jumlah yang samamereka
dipertimbangkan memiliki korelasi yang tinggi

Rancangan Kerja yang tersedia dalam ERM : AS/NZS 4360:2004 dan


COSO Enterprise Risk Management Integrated Framework

Manajemen di beberapa perusahaan dan entitas lain telah mengembangkan


proses-proses untuk mengidentifikasi dan mengelola resiko-resiko dalam
perusahaan, dan banyak manajemen lainnya telah memulai pengembangan
tersebut, atau setidaknya mempertimbangkan untuk melakukan
pengembangan tesebut. Selama informasi-informasi yang dibutuhkan
sebagai bahan pertimbangan dalam ERM tersedia, termasuk literatur-
literatur terbitan, maka tidak akan ada lagi istilah umum yang tersedia dan
ada sedikit prinsip-prinsip yang telah diterima secara luas, yang dapat
digunakan oleh manajemen sebagai panduan pengembangan arsitektur
manajemen resiko yang efektif.

Paling tidak ada dua rancangan kerja yang dapat diterima secara luas dan
dapat digunakan oleh bagian perencanaan institusi sebagai inisiatif
Enterprise Risk Management. Kedua standar rancangan kerja tersebut adalah
AS/NZS 4360:2004 dan COSO Enterprise Risk Management Integrated
Framework.

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 19


Mari kita membahas kedua rancangan tersebut satu persatu.

AS/NZS 4360:2004
AS/NZS 4360:2004 adalah sebuah standar Joint Australian/New Zealand
tentang manajemen resiko. Standar ini menyediakan panduan umum untuk
mengelola resiko. Standar ini bisa diterapkan secara luas dalam aktivitas-
aktivitas, pengambilan keputusan-keputusan, atau operasi-operasi dalam
berbagai perusahaan baik umum, swasta, perusahaan rakyat, dalam grup,
maupun untuk individual.

Standar ini membahas lebih spesifik tentang elemen-elemen proses


manajemen resiko yang harus diterapkan di semua tahap aktivitas, fungsi,
proyek, produk, atau aset. Manfaat maksimal biasanya didapat dengan
menerapkan proses manajemen resiko dari awal.

Tujuan dari standar ini adalah untuk menyediakan panduan yang akan
memungkinkan perusahaan-perusahaan umum, swasta, dan masyarakat,
grup-grup dan individu untuk mencapai :
Dasar-dasar yang tepat dan pasti dalam perencanaan dan pengambilan
keputusan;
Identifikasi yang lebih baik tentang kesempatan-kesempatan dan
ancaman yang ada;
Nilai tambah dari uncertainity (ketidakpastian) dan variabilitas;
Manajemen yang proaktif, dan bukannya yang reaktif;
Alokasi dan penggunaan sumber-sumber daya yang lebih efektif;
Manajemen insiden yang lebih baik dan pengurangan kerugian serta
resiko yang harus ditanggung, termasuk premi asuransi komersil;
Peningkatan kepercayaan dari para pemangku kepentingan;
Peningkatan pemenuhan dengan undang-undang yang relevan;
Penguasaan perusahaan yang lebih baik;

AS/NZS 4360:2004 Risk Management Process Overview (Proses


Peninjauan Manajemen Resiko)
Dalam bagian ini, akan dijelaskan secara singkat tentang proses manajemen
resiko berdasarkan AS/NZS 4360 : 2004.
Elemen-elemen utama proses manajemen resiko adalah:
Komunikasi dan Perundingan
Penentuan Konteks

20 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


Identifikasi Resiko
Analisa Resiko
Evaluasi Resiko
Penanganan Resiko
Pengawasan dan Peninjauan

Manajemen resiko dapat diterapkan di berbagai level dalam organisasi.


Manajemen ini dapat diterapkan di level strategis serta level-level taktis dan
operasional. Manajemen ini juga dapat diterapkan pada proyek-proyek yang
spesifik, untuk menolong dalam pengambilan keputusan yang spesifik atau
untuk mengelola area resiko yang spesifik.

Setiap tahap dalam proses manajemen resiko tersebut harus


didokumentasikan sehingga keputusan-keputusan yang diambil dapat
dengan mudah dipahami sebagai bagian dari proses perbaikan yang
berkelanjutan.

Proses tersebut dapat dilihat dalam Figure 2.2

Elemen-elemen utama dari proses manajemen resiko, seperti yang terlihat


dalam Figure 2.2, dapat diuraikan seperti berikut :
(a) Komunikasi dan Perundingan - Keterlibatan anggota yang lain, atau
setidaknya melihat sesuatu dari sudut pandang yang berbeda,
merupakan unsur yang penting dan krusial dari sebuah pendekatan
manajemen resiko. Oleh karena itu, komunikasi dan perundingan dengan
pemangku kepentingan internal dan eksternal harus dipertimbangkan di
setiap tahap proses manajemen resiko.
(b) Menentukan konteks - Fokus dari tahap ini adalah memahami latar
belakang organisasi beserta resikonya, membatasi ruang lingkup dari
aktivitas manajemen resiko, dan mengembangkan kerangka kerja yang
harus diikuti.
(c) Identifikasi resiko - Tahap ini mengidentifikasi resiko-resiko untuk
dikelola. Identifikasi yang luas dengan proses yang terstruktur dan
sistematis sangat dibutuhkan karena resiko-resiko yang tidak
teridentifikasi dalam tahap ini mungkin tidak akan teridentifikasi dalam
analisa yang lebih jauh. Identifikasi haruslah mencakup resiko-resiko
yang ada di dalam, maupun di luar organisasi.

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 21


(d) Analisa Resiko - Analisa resiko adalah mengenai pengembangan sebuah
pemahaman tentang resiko. Proses ini menghasilkan masukan untuk
memutuskan apakah resiko tersebut perlu ditangani atau tidak, dan
juga untuk memutuskan strategi yang tepat dan efektif. Analisa resiko
melibatkan konsekuensi-konsekuensi yang mungkin dihadapi dan
besarnya kemungkinan konsekuensi tersebut akan terjadi. Jika faktor-
faktor yang mempengaruhi konsekuensi dan kemungkinan tersebut
teridentifikasi, resiko dapat dianalisa dengan mengkombinasikan
konsekuensi tersebut dengan kemungkinannya. Umumnya, kontrol-
kontrol yang ada diperhitungkan
Table 2.2 - Contoh matriks level resiko sederhana
Konsekuensi

Kemungkinan Besar Sedang Kecil

Sangat mungkin Merah Merah Kuning

Mungkin Merah Kuning Hijau

Tidak mungkin Kuning Hijau Hijau

Figure 2.3. - Contoh pemahaman resiko sebagai hasil dari proses


analisa resiko dengan ruang lingkup hasil.
Tinggi

Masalah
Ruang
lingkup hasil
yang dapat
dipercaya

Kemungkinan

"Catastrophe

Rendah
Rendah Tinggi
Konsekuensi

22 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


(e) Evaluasi Resiko - Tujuan dari evaluasi resiko adalah untuk membuat
keputusan-keputusan berdasarkan hasil dari analisa resiko, mengenai
resiko-resiko yang mana yang harus ditangani, serta prioritas
penanganannya.
(f) Penanganan Resiko - Penanganan Resiko melibatkan pemilihan cara-cara
untuk penanganan resiko, memperkirakan cara-cara tersebut beserta
persiapan serta rencana penerapannya. Titik awal dari identifikasi cara-
cara penanganan resiko seringkali merupakan peninjauan kembali
panduan penanganan resiko jenis tertentu, yang sudah ada. Sebagai
contoh, di kebanyakan area yang berkaitan dengan keselamatan
seseorang, ada kebutuhan-kebutuhan untuk disusunnya hukum dan
standar-standar. Namun, hukum dan standar tersebut tetap perlu
ditinjau ulang untuk kesempurnaannya dan kesesuaiannya.
(g) Pengawasan dan peninjauan - peninjauan yang berkelanjutan penting
untuk memastikan bahwa perencanaan manajemen tetap relevan. Faktor-
faktor yang mungkin mempengaruhi consequence dan likelihood sebuah
hasil bisa berubah, seperti halnya faktor-faktor yang mempengaruhi
kesesuaian atau pembiayaan cara-cara penanganan yang telah dipilih.
Oleh karena itu, penting bagi entitas untuk mengulangi siklus manajemen
resiko secara tetap.
(h) Dokumentasi proses manajemen resiko - Masing-masing tahap proses
manajemen resiko harus didokumentasikan secara layak. Asumsi,
metode, sumber-sumber data, analisa-analisa, hasil-hasil, dan alasan-
alasan pengambilan keputusan harus didokumentasikan.

Enterprise Risk Management Integrated Framework (COSO)


Mengingat kebutuhan akan pedoman yang pasti dalam enterprise risk
management, The Committee of Sponsoring Organizations of the Treadway
Commission (COSO) memprakarsai sebuah proyek untuk mengembangkan
rancangan kerja yang secara konseptual menyediakan prinsip-prinsip
terintegrasi, istilah-istilah umum, dan pedoman implementasi praktis yang
mendukung program-program entitas untuk mengembangkan atau
meningkatkan proses manajemen resiko di perusahaan mereka.

Kita mengenal rancangan kerja tersebut sebagai The Enterprise Risk


Management Integrated Framewokr. Rancangan kerja ini bertidak sebagai
dasar umum manajemen, Direktur, pembuat undang-udang, bagian
akademik, dan yang lainnya, untuk secara lebih baik memahami enterprise
risk management, manfaat dan pembatasannya, dan untuk secara efektif
menyampaikan permasalahan-permasalahan enterprise risk management.

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 23


Seperti yang sudah kita diskusikan di bab 1, rancangan kerja COSO
mendefinisikan enterprise risk management sebagai :
...sebuah proses, yang dipengaruhi oleh jajaran Direktur entitas,
manajemen dan personil lain, yang diterapkan dalam penentuan strategi
dalam perusahaan, didesain untuk mengidentifikasi kemungkinan-
kemungkinan yang potensial yang mungkin mempengaruhi entitas, dan
mengelola resiko-resiko dan kecenderungan resiko yang mungkin terjadi,
untuk menyediakan jaminan yang layak mengenai pencapaian tujuan
entitas.

Definisi tersebut merefleksikan beberapa konsep pokok. Enterprise Risk


Management :
Adalah suatu proses. Hal itu berarti ERM merupakan cara untuk
mencapai suatu akhir, dan bukan merupakan akhir itu sendiri.
Dipengaruhi oleh orang-orang hal ini bukan hanya berarti melalui
kebijakan, survey, maupun formulir belaka, tetapi melibatkan orang-
orang dari berbagai level dalam organisasi.
Diterapkan dalam pengaturan strategi
Diterapkan di seluruh penjuru perusahaan, di setiap level dan unit,
termasuk mengamati sudut pandang akan resiko di tiap level-entitas.
Didesain untuk mengidentifikasi hal-hal yang berpotensi mempengaruhi
entitas dan mengelola resiko dalam risk appetite-nya
Menyediakan jaminan yang layak untuk pimipinan dan manajemen
entitas.
Diperlengkapi untuk pencapaian tujuan di satu atau lebih kategori yang
terpisah namun saling melengkapi.

Definisi ini menangkap beberapa konsep kunci yang fundamental tentang


bagaimana perusahaan dan organisasi lain mengelola resiko, menyediakan
dasar untuk aplikasi di beberapa tipe organisasi, industri, dan sektor yang
berbeda. Konsep-konsep tersebut terfokus secara langsung pada pencapaian
tujuan entitas. Definisi tersebut juga menyediakan dasar penentuan
keefektifan enterprise risk management.

Mari kita diskusikan garis besar konsep-konsep fundamental di atas dengan


lebih detail.

24 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


Sebuah Proses
Enterprise Risk Management bukanlah sebuah peristiwa atau keadaan,
namun merupakan serangkaian tindakan yang terintegrasi dalam kegiatan-
kegiatan entitas. Tindakan-tindakan ini bersifat menyatu dan tidak dapat
dipisahkan dari pelaksanaan bisnis oleh manajemen.
Enterprise risk management berbeda dari perspektif dari beberapa pengamat
yang melihat ERM sebagai sebuah tambahan dalam aktivitas entitas, atau
sebagai sebuah beban yang penting. Bukan berarti ERM yang efektif tidak
membutuhkan usaha-usaha tambahan. Untuk instansi, penaksiran resiko
mungkin membutuhkan usaha-usaha tambahan untuk mengembangkan
model-model yang diperlukan dan membuat perhitungan dan analisa yang
penting. Bagaimana pun, hal-hal tersebut dan mekanisme ERM yang lain
terjalin dengan aktivitas operasi entitas dan ada untuk alasan-alasan bisnis
yang fundamental.

Enterprise risk management akan lebih efektif ketika mekanisme ERM


tersebut dibangun dalam infrastruktur entitas dan menjadi bagian penting
dalam perusahaan. Dengan membangun sebuah enterprise risk management,
sebuah entitas dapat menerapkan strateginya secara langsung dan mencapai
visi misinya.

Membangun enterprise risk management juga memiliki implikasi-implikasi


penting untuk penekanan biaya, khususnya dalam persaingan pasar yang
tinggi yang dihadapi banyak perusahaan. Penambahan prosedur baru yang
terpisah dari prosedurprosedur yang sudah ada akan mengingkatkan biaya.
Dengan berfokus pada operasi-operasi yang ada dan kontribusinya pada
enterprise risk management yang efektif, dan mengintegrasikan manajemen
resiko dengan kegiatan-kegiatan operasi dasar, sebuah perusahaan dapat
menghindarkan prosedur-prosedur dan biaya-biaya yang tidak perlu. Dan,
praktek pembangunan enterprise risk management dalam struktur operasi
membantu mengidentifikasi kesempatan-kesempatan baru untuk
menumbuhkan bisnis.

Dipengaruhi oleh Orang-orang


Enterprise risk management dipengaruhi oleh jajaran Direktur, manajemen,
dan personil yang lain. ERM disempurnakan oleh orang-orang yang ada dalam
organisasi, melalui apa yang mereka lakukan dan katakan ;
Orang-orang membangun visi misi, strategi, dan tujuan entitas dan
menempatkan enterprise risk management di tempatnya.

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 25


People establish the entity's mission/vision, strategy and objectives and put
enterprise risk management mechanisms in place.

Dengan cara yang sama, enterprise risk management mempengaruhi


tindakan orang-orang. Enterprise risk management memahami bahwa orang-
orang tidak selalu mengerti, menyampaikan, atau bertindak dengan
konsisten. Tiap-tiap individu memiliki latar belakang dan kemampuan teknik
yang unik, serta kebutuhan dan prioritas yang berbeda.

Kenyataan-kenyataan tersebut mempengaruhi dan dipengaruhi oleh


enterprise risk management. Setiap orang memiliki referensi khusus yang
mempengaruhi bagaimana mereka mengidentifikasi, menaksir, dan
merespon resiko. Enterprise risk management menyediakan mekanisme yang
dibutuhkan untuk membentuk orang-orang mengerti resiko dalam konteks
yang sesuai dengan tujuan perusahaan. Orang-orang harus mengetahui
tanggung jawab mereka dan batas wewenang mereka. Oleh karena itu, perlu
ada sebuah jalinan yang jelas dan tertutup di antara kewajiban dan tujuan
orang-orang tersebut

Orang-orang dalam organisasi juga termasuk jajaran Direktur dan Dewan


Komisaris, seperti halnya manajemen dan personil lain. Meskipun terkadang
Dewan Komisaris melakukan kelalaian, mereka juga memberikan bimbingan
dan bersama dengan jajaran Direktur, mereka menyetujui strategi dan
transaksi serta kebijakan tertentu. Dengan demikian, Dewan Komisaris juga
merupakan elemen yang penting dalam enterprise risk management

Diterapkan dalam Penentuan Strategi


Sebuah entitas mengedepankan visi/misi dan menyusun tujuan strategi yang
mampu sejalan dengan visi dan misinya itu. Entitas menyusun sebuah
strategi untuk mencapai tujuan-tujuan strategisnya. Selain itu, entitas juga
menyusun tujuan-tujuan terkait yang ingin dicapainya, berawal dari strategi,
lalu mengalir ke unit-unit bisnis, divisi-divisi, dan proses-proses. Dalam
menentukan strategi, manajemen mempertimbangkan resiko-resiko
sehubungan dengan strategi-strategi alternatif.

Diterapkan di Seluruh Penjuru Perusahaan


Agar sukses dalam menerapkan enterprise risk management, sebuah entitas
harus mempertimbangkan seluruh ruang lingkup kegiatannya. Enterprise
risk management meliputi kegiatan-kegiatan di semua level dalam organisasi,

26 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


dari level enterprise seperti perencanaan strategis dan alokasi sumber daya,
sampai ke kegiatan-kegiatan unit bisnis seperti marketing dan sumber daya
manusia, juga proses-proses bisnis seperti produksi dan peninjauan kredit
pelanggan baru. Enterprise risk management juga diterapkan pada proyek-
proyek khusus dan usaha-usaha baru yang mungkin belum disusun dalam
hirarkhi entitas atau tabel organisasi.

Enterprise risk management membutuhkan entitas untuk mengumpulkan


berbagai sudut pandang mengenai resiko dalam entitas. Hal ini melibatkan
tanggung jawab setiap Manajer untuk unit-unit bisnis, fungsi, proses, atau
aktivitas lain untuk mengembangkan sebuah penaksiran resiko untuk unit
tersebut. Perkiraan tersebut bisa jadi bersifat kuantitatif atau kualitatif.
Dengan melihat sudut pandang tiap level dalam organisasi, jajaran Direktur
akan menentukan apakah seluruh profil resiko entitas sudah sepadan dengan
risk appetite-nya.

Manajemen mempertimbangkan resiko-resiko yang saling berhubungan dari


sudut pandang tiap level dalam entitas. Resiko-resiko yang saling
berhubungan itu perlu diidentifikasi dan ditangani untuk membawa seluruh
resiko yang bersangkutan ke dalam risk appetite perusahaan. Resiko-resiko
untuk unit-unit individual dalam entitas mungkin masih bisa ditoleransi,
namun dengan menanganinya bersama-sama dengan resiko yang lain akan
memungkinkan risk appetite perusahaan terlampaui. Keseluruhan risk
appetite mencerminkan akhir dari suatu entitas melalui toleransi resiko yang
terbentuk untuk tujuan khusus.

Risk Appetite
Risk appetite adalah jumlah resiko yang bisa diterima entitas dalam
pengejaran nilai. Entitas seringkali memperhitungkan risk appetite secara
kualitatif, dengan kategori-kategori seperti tinggi, sedang, atau rendah, dan
biasanya entitas melakukan pendekatan-pendekatan secara kuantitatif,
menggambarkan dan menyeimbangkan sasaran-sasaran untuk
pertumbuhan, hasil, dan resiko.

Risk appetite secara langsung terkait dengan strategi entitas. Risk appetite
dipertimbangkan dalam penentuan strategi, di mana hasil yang diinginkan
dari sebuah strategi harus diarahkan agar sejalan dengan risk appetite
entitas. Strategi-strategi yang berbeda akan membawa entitas pada resiko-
resiko yang berbeda. Penerapan enterprise risk management dalam

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 27


penentuan strategi akan membantu manajemen dalam memilih strategi yang
konsisten dengan risk appetite perusahaan.

Risk appetite entitas juga dapat menjadi pemandu dalam pengalokasian


sumber daya entitas. Manajemen mengalokasikan sumber-sumber daya
untuk semua unit bisnis dengan mempertimbangkan risk appetite
perusahaan dan strategi unit-unit bisnis individual untuk mewujudkan hasil
yang diinginkan dari sumber-sumber daya yang diinvestasikan. Manajemen
mempertimbangkan risk appetite yang sejalan dengan organisasi, orang-
orang dan proses-proses, dan mendesain infrastruktur yang penting untuk
merespon dan memonitor resiko secara efektif.

Risk tolerances are the acceptable level of variation relative to the achievement
of objectives. In setting specific risk tolerances, management considers the
relative importance of the related objectives and aligns risk tolerances with its
risk appetite. Operating within risk tolerances provides management greater
assurance that the entity will remain within its risk appetite and, in turn,
provides a higher degree of comfort that the entity will achieve its objectives.

Toleransi resiko adalah level resiko yang dapat diterima, terkait dengan
pencapaian tujuan. Dalam menentukan toleransi resiko yang spesifik,
manajemen mempertimbangkan kaitan penting antara tujuan.

Menyediakan Jaminan yang Layak


Enterprise risk manajemen yang didesain dan dijalankan dengan baik dapat
menyediakan jaminan yang layak manajemen dan para pimpinan perusahan
akan pencapaian tujuan entitas. Melalui pelaksanaan enterprise risk
management yang efektif di tiap kategori tujuan entitas, para pemimpin dan
manajemen akan memperoleh jaminan layak bahwa :
Mereka memahami tingkat pencapaian tujuan strategis
Mereka memahami sejauh mana tujuan operasi entitas telah tercapai
Pelaporan entitas dapat diandalkan
Peraturan dan hukum-hukum yang digunakan telah dipenuhi.

Jaminan yang layak mencerminkan gagasan bahwa ketidakpastian dan


resiko berkaitan dengan masa depan, yang tidak dapat diprediksi dengan
pasti. Keterbatasan-keterbatasan juga merupakan hasil dari kenyataan
bahwa penilaian manusia dalam pengambilan bisa salah. Keputusan dalam

28 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


merespon resiko, dan pembangunan kendali perlu mempertimbangkan
manfaat dan biaya-biaya relatif. Gangguan dapat terjadi karena kesalahan
manusia seperti kesalahan-kesalahan sederhana, kendali dapat dikacaukan
oleh kolusi dua orang atau lebih, dan manajemen memiliki kemampuan untuk
mengesampingkan keputusan enterprise risk management. Keterbatasan-
keterbatasan tersebut menghalangi jajaran Direktur dan Komisaris untuk
mencapai tujuan.

Pencapaian Tujuan
Enterprise risk management yang efektif dapat diandalkan untuk
memberikan jaminan yang layak tentang pencapaian tujuan, berkaitan
dengan pelaporan yang dapat dipercaya dan pemenuhan peraturan dan
hukum yang ada. Pencapaian kategori-kategori tujuan tersebut ada dalam
kendali entitas dan tergantung pada seberapa baik kegiatan-kegiatan entitas
yang berkaitan dilaksanakan.

Bagaimanapun, pencapaian tujuan strategis dan operasi tidak selalu berada


dalam kendali entitas. Enterprise risk management dapat memberikan
jaminan yang layak hanya jika jajaran Direktur dan Dewan Komisaris
menyadari kelalaian mereka tepat pada waktunya, bersamaan dengan
pergerakan entitas untuk mencapai tujuan.

Komponen-komponen Enterprise Risk Management


Berdasaran rancangan kerja ini, enterprise risk management terdiri dari
delapan komponen yang saling berkaitan. Komponen-komponen tersebut
diperoleh dari pelaksanaan bisnis oleh manajemen dan terintegrasi dengan
proses manajemen. Komponen-komponen itu antara lain :
a) Lingkungan Internal
b) Pengaturan Tujuan
c) Identifikasi Peristiwa
d) Penaksiran Resiko
e) Tanggapan terhadap Resiko
f) Informasi dan Komunikasi
g) Pengawasan

Mari kita membahas tiap-tiap komponen tersebut.

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 29


Lingkungan Internal
Lingkungan internal entitas adalah dasar dari semua komponen lain dalam
enterprise risk management, yang menyediakan disiplin dan struktur.
Lingkungan internal mempengaruhi bagaimana strategi dan tujuan
ditentukan, kegiatan bisnis disusun, dan resiko-resiko diidentifikasi,
diperkirakan, dan diangkat ke permukaan. Lingkungan internal juga
mempengaruhi desain dan menjalankan aktivitas-aktivitas kontrol, sistem
informasi dan komunikasi, dan pengawasan aktivitas.

Lingkungan internal terdiri dari banyak elemen, termasuk nilai etis entitas,
kompetensi dan pengembangan personil, corak pelaksanaan manajemen,
dan bagaimana penentuan wewenang dan tanggung jawab. Jajaran Direktur
dan Komisaris adalah bagian-bagian penting dalam lingkungan internal,
yang secara signifikan mampu mempengaruhi elemen-elemen lingkungan
internal yang lain.

Sebagai bagian dari lingkungan internal, jajaran perusahaan menentukan


filosofi manajemen resiko, risk appetite entitas, membentuk sebuah budaya
resiko dan mengintegrasikan enterprise risk management dengan inisiatif-
inisiatif terkait.

Filosofi manajemen resiko yang dipahami oleh seluruh personil akan


mempermudah pengenalan kemampuan karyawan dan mengelola resiko
secara efektif. Filosofi tersebutkepercayaan entitas tentang resiko dan
bagaimana hal tersebut dipilih untuk mengontrol aktivitas-aktivitas yang ada
dan menangani resikomencerminkan nilai yang dicari entitas dari enterprise
risk management dan mempengaruhi bagaimana komponen-komponen
enterprise risk management akan diterapkan. Jajaran Direktur
menyampaikan filosofi tersebut pada karyawan melalui pernyataan-
pernyataan kebijakan dan penyampaian lain. Yang penting, jajaran Direktur
menanamkan filosofi tersebut bukan hanya dengan kata-kata, namun juga
dengan tindakan nyata tiap harinya.

Risk appetite, yang disusun oleh jajaran Direktur dan ditinjau oleh Dewan
Komisionaris, merupakan tonggak dalam penentuan strategi. Biasanya
beberapa strategi yang berbeda dapat didesain untuk mencapai
pertumbuhan dan hasil yang diinginkan, dan masing-masing strategi
memiliki resiko terkait yang berbeda-beda. Enterprise risk management,
diterapkan dalam penentuan strategi, membantu manajemen untuk memilih

30 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


strategi yang sesuai dengan risk appetite. Manajemen terlihat mengatur
organisasi, masyarakat, proses dan infrastruktur untuk strategi yang sukses.

Resiko Kultur adalah satuan sikap bersama, nilai-nilai dan praktek yang
menandai bagaimana suatu kesatuan mempertimbangkan resiko dalam
aktivitas sehari-hari nya. Karena banyaknya perusahaan, kultur resiko
mengalir dari filosofi resiko kesatuan dan selera resiko. Untuk yang kesatuan
yang tidak dengan tegas menggambarkan filosofi resiko mereka, resiko kultur
boleh membentuk secara tidak benar, menghasilkan kultur resiko dengan
mantap berbeda di dalam suatu perusahaan atau bahkan di dalam unit bisnis
tertentu, fungsi atau departemen.

Penentuan Tujuan
Dalam konteks penyusunan visi misi, jajaran Direktur juga menyusun
tujuan-tujuan strategis, memilih strategi dan menyusun tujuan terkait,
mengalirkannya melalui perusahaan dan meluruskan serta mengaitkannya
dengan strategi. Tujuan harus ada sebelum manajemen dapat
mengidentifikasi hal-hal yang berpotensi mempengaruhi pencapaian mereka.
Enterprise risk management memastikan jajaran Direktur dan manajemen
menyusun tujuan dan meluruskan tujuan-tujuan tersebut dengan visi misi,
serta bersikap konsisten terhadap risk appetite entitas.

Berdasarkan rancangan kerja COSO, ada 4 kategori tujuan yakni tujuan


strategis, operasional, pelaporan, dan pemenuhan, seperti yang terlihan di
Figure 2.4.

Figure 2.4 Kategori tujuan


Tujuan Strategis Tujuan Operasi

Berkaitan dengan sasaran-sasaran Berkaitan dengan keefektifan dan


tingkat tinggi, mendukung dan efisiensi operasi entitas, termasuk
sejalan dengan visi misi entitas. kinerja dan sasaran yang
menguntungkan. Tujuan ini bervariasi
tergantung dari struktur dan kinerja
yang dipilih oleh jajaran Direktur.

Tujuan Pemenuhan Tujuan Pelaporan

Berkaitan dengan pemenuhan hukum Berkaitan dengan keefektifan


dan aturan yang berlaku dalam pelaporan entitas. Meliputi pelaporan
entitas. internal dan eksternal dan mungkin
juga melibatkan informasi finansial
maupun non-finansial.

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 31


Pengkategorian tujuan entitas di atas (Figure 2.4.) memungkinkan jajaran
Direktur dan Komisaris untuk berpusat pada aspek-aspek yang berbeda
dalam enterprise risk management. Kategori-kategori yang berbeda namun
berkesinambungan tersebutsebuah tujuan khusus bisa dimasukkan dalam
lebih dari satu kategorimenunjuk pada kebutuhan-kebutuhan entitas yang
berbeda dan juga tanggung jawab langsung dari eksekutif yang berbeda.
Pengkategorian ini juga menunjukan perbedaan antara apa yang bisa
diharapkan dari setiap kategori tujuan.

Some entities use another category of objectives, "safeguarding of resources,"


sometimes referred to as "safeguarding of assets." Viewed broadly, these deal
with prevention of loss of an entity's assets or resources, whether through
theft, waste, inefficiency or what turns out to be simply bad business decisions
- such as selling product at too low a price, failing to retain key employees or
prevent patent infringement, or incurring unforeseen liabilities. This broad-
based safeguarding of assets category may be narrowed for certain reporting
purposes, where the safeguarding concept applies only to the prevention or
timely detection of unauthorized acquisition, use, or disposition of the entity's
assets.

Beberapa entity menggunakan kategori sasaran hasil yang lain,


"perlindungan sumber daya," kadang-kadang dikenal sebagai "perlindungan
asset." yang dipandang secara luas ini, berhadapan dengan pencegahan
hilangnya suatu sumber daya atau asset kesatuan, apakah pencurian, barang
sisa, pemborosan atau apapun yang ternyata adalah keputusan bisnis yang
tidak baik seperti menjual produk terlalu rendah pada suatu harga,
kekurangan untuk mempertahankan karyawan kunci atau mencegah
pelanggaran hak paten, atau memberikan kewajiban tak terduga.
Perlindungan asset yang tidak benar ini dikategorikan sebagai batas untuk
melaporkan tujuan. Jika konsep perlindungan berlaku hanya untuk
pencegahan atau pendeteksian yang tepat waktu tentang adanya
ketidaksahan, penggunaan, atau disposisi asset kesatuan tersebut.

Event Identification
Jajaran Direktur mengetahui bahwa ketidakpastian adabahwa mereka tidak
dapat mengetahui dengan pasti apakah dan kapankah sebuah peristiwa akan
terjadi, atau hasilnya. Sebagai bagian dari event identification, jajaran
Direktur dan manajemen mempertimbangkan faktor-faktor eksternal dan
internal yang mempengaruhi terjadinya suatu peristiwa. Faktor-faktor

32 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


eksternal meliputi faktor-faktor ekonomi, bisnis, lingkungan alami, politik,
sosial dan teknologi. Faktor-faktor internal mencerminkan pilihan-pilihan
manajemen dan meliputi hal-hal seperti infrastruktur, personil, proses dan
teknologi.

Metode event identification terdiri dari kombinasi teknik-teknik dengan alat-


alat pendukung. Teknik-teknik event identification melihat masa lalu dan
masa depan. Teknik-teknik yang berfokus ke peristiwa-peristiwa dan
kecenderungan-kecenderungan di masa lalu berbicara tentang hal-hal
seperti sejarah kelalaian pembayaran, perubahan harga komoditas, dan
keterlambatan-keterlambatan. Teknik-teknik yang berfokus pada masa
depan bicara mengenai hal-hal seperti perubahan demografis, pasar-pasar
baru, dan tindakan pesaing.

Hal tersebut mungkin berguna untuk mengelompokkan peristiwa-peristiwa


potensial ke dalam kategori-kategori. Dengan mengumpulkan peristiwa-
peristiwa secara horizontal di seluruh penjuru entitas dan secara vertikal ke
dalam unit-unit operasi, jajaran Direktur dan manajemen mengembangkan
pengertian hubungan timbal balik antar peristiwa, meningkatkan informasi
sebagai dasar penaksiran resiko.

Peristiwa-peristiwa biasanya memiliki dampak negatif, dampak positif, atau


keduanya. Peristiwa yang berpotensi menghasilkan dampak negatif
memunculkan resiko-resiko yang perlu ditaksir dan ditanggapi oleh
manajemen. Karena itu, resiko didefinisikan sebagai kemungkinan bahwa
suatu peristiwa akan terjadi dan membawa pengaruh buruk bagi pencapaian
tujuan.

Peristiwa yang berpotensi menghasilkan dampak positif akan memunculkan


kesempatan-kesempatan atau mengimbangi dampak negatif dari resiko-
resiko yang ada. Kesempatan yang dihadirkan oleh peristiwa-peristiwa
tersebut disalurkan kembali pada strategi manajemen atau proses
penyusunan tujuan, sehingga tindakan-tindakan tersebut bisa dirumuskan
untuk meraih kesempatan-kesempatan yang ada. Peristiwa-peristiwa yang
berpotensi mengimbangi dampak negatif resiko-resiko tersebut
dipertimbangkan dalam penaksiran dan respon manajemen resiko.

Risk Assessment
Risk assessment (penaksiran resiko) memungkinkan entitas untuk

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 33


mempertimbangkan seberapa besar potensi sebuah peristiwa mungkin
mempengaruhi pencapaian tujuan. Manajemen menaksir peristiwa-peristiwa
dari dua perspektif : Kemungkinan dan Dampak.

Likelihood menunjukkan kemungkinan sebuah peristiwa akan terjadi,


sedangkan Dampak menunjuk pada efek yang timbul saat peristiwa tersebut
terjadi. Perkiraan dampak dan kemungkinan resiko seringkali ditentukan
dengan menggunakan data dari pengamatan peristiwa-peristiwa lampau,
yang dapat memberikan dasar yang lebih obyektif dibandingkan perkiraan-
perkiraan subyektif lain. Secara internal, data yang dihasilkan dari
pengalaman entitas dapat lebih mencerminkan data yang tidak subyektif, dan
menyediakan hasil yang lebih baik dibanding data dari sumber luar.
Bagaimanapun, meskipun data yang dihasilkan secara internal merupakan
input utama, eksternal data dapat berguna sebagai checkpoint atau untuk
meningkatkan analisa. Pengguna harus berhati-hati dalam menggunakan
peristiwa-peristiwa lampau untuk memprediksikan masa depan, mengingat
faktor-faktor yang mempengaruhi peristiwa-peristiwa tersebut bisa berganti
seiring dengan waktu.

Sebuah metodologi penaksiran resiko secara umum terdiri dari kombinasi


teknik kuantitatif dan kualitatif. Manajemen seringkali menggunakan teknik
penaksiran kualitatif saat resiko-resiko yang ada tidak masuk hitungan, atau
ketika data-data yang dibutuhkan untuk penaksiran kuantitatif tidak cukup
terpercaya atau tidak tersedia, atau jika pembiayaan analisa dan
pengumpulan data tidak efektif.

Teknik kuantitatif secara khusus lebih teliti dan digunakan dalam kegiatan-
kegiatan yang lebih rumit dan canggih untuk memperlengkapi teknik
kualitatif. Sebuah entitas hendaknya tidak menggunakan teknik penaksiran
yang umum untuk semua unit bisnis. Sebaliknya, pemilihan teknik
penaksiran tersebut harus mencerminkan kebutuhan akan detail dan budaya
dari unit bisnis. Dalam setiap peristiwa, metode-metode yang digunakan oleh
unit-unit bisnis individual harus memudahkan perkiraan resiko di seluruh
entitas.

Manajemen seringkali menggunakan pengukuran kinerja dalam menentukan


sejauh mana tujuan tercapai. Penggunaan unit pengukuran tersebut
mungkin juga akan berguna saat mempertimbangkan dampak potensial
resiko dalam pencapaian tujuan yang spesifik.

34 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


Manajemen dapat memperkirakan bagaimana peristiwa-peristiwa berkaitan
jika rangkaian peristiwa tersebut bergabung dan berinteraksi untuk
membentuk kemungkinan atau dampak yang berbeda. Ketika dampak dari
sebuah peristiwa tunggal tidak terlalu besar, sebuah rangkaian peristiwa
mungkin diperlukan untuk memberi dampak yang lebih signifikan. Ketika
peristiwa-peristiwa yang potensial tidak secara langsung terkait, manajemen
menaksirkan mereka secara individual, di mana resiko mungkin terjadi
dalam penggabungan unit-unit bisnis, manajemen boleh menilai dan
menggolongkan peristiwa yang dikenali ke dalam kategori umum.

Pada umumnya, nilai kemungkinan berhubungan dengan suatu peristiwa


yang mempunyai potensi, sehingga manajemen mempertimbangkannya
sebagai suatu landasan untuk mengembangkan suatu tanggapan resiko.
Sambil menilai resiko, manajemen juga harus mempertimbangkan hal positif
dan konsekwensi negatif dari suatu potensi peristiwa, secara individu atau
berdasarkan kategorinya, dengan mengesampingkan entity-nya.

Karena resiko-resiko ditaksir dalam konteks strategi dan tujuan entitas,


manajemen seringkali memiliki kecenderungan untuk berfokus pada resiko
jangka pendek sampai jangka menengah. Namun, beberapa elemen dari
petunjuk dan tujuan yang strategis meluas secara jangka panjang. Sebagai
hasilnya, manajemen perlu menyadari perlunya pemikiran jangka panjang
tersebut dan tidak mengabaikan resiko-resiko jangka panjang yang mungkin
terjadi.

Perkiraan resiko diterapkan lebih dahulu pada inherent riskresiko yang


menuju kepada entitas dimana tidak ditemukan berbagai aksi manajemen
mungkin dimungkinkan berpindah ke resiko likelihood maupun dampak.
Saat resiko di tanggapi secara berkelanjutan, manajemen kemudian
menggunakan teknik penilaian resiko untuk menentukan resiko bersifat
residual-riskresiko yang tersisa setelah tindakan manajemen untuk
mengatasi kemungkinan resiko atau dampak.

Respon terhadap Resiko


Manajemen mengidentifikasi pilihan-pilihan respon terhadap resiko dan
mempertimbangkan tiap efeknya, peristiwa-peristiwa dan dampak yang
mungkin terjadi, dalam kaitannya untuk menentukan toleransi resiko dan
pengeluaran yang diperlukan, dan mendesain serta menerapkan pilihan-
pilihan tanggapan tersebut. Pertimbangan dalam menentukan tanggapan

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 35


terhadap resiko dan pemilahan dan penerapannya. Dalam enterprise risk
management yang efektif, manajemen perlu memilih tanggapan terhadap
resiko yang diharapkan akan dapat membawa kemungkinan dan dampak-
dampak resiko ke dalam toleransi resiko entitas.

Risk responses fall within the categories of risk avoidance, reduction, sharing
and acceptance (see Figure 2.5). As part of enterprise risk management, for
each significant risk an entity considers potential responses from a range of
response categories. This gives sufficient depth to response selection and also
challenges the "status quo."

Tanggapan-tanggapan terhadap resiko dibagi ke dalam kategori-kategori


Pengelakan resiko, reduksi, sharing, dan penerimaan resiko (lihat dapa Figure
2.5). Sebagai bagian dari enterprise risk management, entitas
mempertimbangkan tanggapan-tanggapan yang potensial bagi tiap resiko
yang signifikan, dari cakupan kategori-kategori tanggapan. Hal ini memberi
kejelasan yang cukup untuk menanggapi pemilihan dan juga menghadapi
tantangan tersebut " keadaan tetap pada "status quo.

Figure 2.5 Categories of risk responses


Pengelakan Reduksi

Pengelakan berarti mengambil Reduksi berarti mengurangi


tindakan untuk berhenti dari aktivitas- kemungkinan resiko, dampak resiko,
aktivitas yang memungkinkan atau keduanya.
terjadinya resiko.

Risk Acceptance Sharing


Penerimaan Resiko berarti tidak Sharing berarti mengurangi
melakukan apapun untuk kemungkinan dan dampak resiko
mempengaruhi kemungkinan- dengan memindahkan atau membagi
kemungkinan dan dampak yang akan porsi resiko.
terjadi.

Dengan memilih tanggapan terhadap resiko, manajemen menyesuaikan


kembali resiko-resiko tersebut di basis sisa. Jajaran Direktur
mempertimbangkan resiko-resiko dari seluruh entitas, atau sudut-sudut
pandang yang ada. Para pemimpin tersebut mungkin melakukan pendekatan
di mana tiap Manajer bertanggungjawab atas departemennya, dan unit serta
fungsi bisnis mengembangkan sebuah penaksiran gabungan akan resiko dan
tanggapan terhadap resiko di unit tersebut. Hal ini mencerminkan profil

36 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


resiko sebagai unit yang berhubungan dengan sasaran dan hasil yang dicapai
dan toleransi resiko. Dengan melihat resiko pada unit individu, Dewan
Direktur diposisikan untuk mengambil suatu sudut pandang, untuk
menentukan apakah profil resiko entitas tersebut adalah setara dengan
keseluruhan appetite resiko sehubungan dengan sasaran dan hasil.

Jajaran Direktur dan manajemen seharusnya menyadari bahwa beberapa


level dari resiko residual akan selalu ada, bukan karena sumber-sumber
dayanya terbatas, namun juga karena ketidakpastian dan keterbatasan-
keterbatasan yang melekat di semua aktivitas.

Aktivitas-aktivitas Kontrol
Merupakan kebijakan dan prosedur-prosedur yang membantu memastikan
bahwa tanggapan terhadap resiko dijalankan dengan layak. Aktivitas-
aktivitas kontrol terjadi di seluruh organisasi di berbagai level dan fungsi.
Aktivitas kontrol adalah bagian dari proses di mana perusahaan berusaha
mencapai tujuan bisnisnya. Aktivitas ini biasanya melibatkan dua elemen :
kebijakan tentang apa yang harus dilakukan, dan prosedur-prosedur untuk
menjalankan kebijakan tersebut.

Dengan kepercayaan akan sistem informasi yang sudah tersebar luas, kontrol
diperlukan dalam sistem-sistem yang signifikan. Dua pengelompokan
aktivitas kontrol sistem informasi yang luas dapat digunakan. Pertama,
kontrol-kontrol umum, yang diterapkan di banyak/semua sistem, yang
membantu menjamin kesinambungan sistem dan memastikan bahwa
aplikasi-aplikasi sistem tersebut tetap dioperasikan dengan layak. Kedua,
kontrol-kontrol aplikasi, yang mengandung tahap-tahap komputerisasi
dalam software aplikasi untuk mengendalikan teknologi aplikasi. Kombinasi
dengan proses manual lainnya dapat mengendalikan kebutuhan,
pengendalian tersebut tidak selalu berhasil, tepat dan rinci.

Kendali umum meliputi kendali atas manajemen teknologi informasi,


infrastruktur teknologi informasi, manajemen keamanan dan didapatnya
perangkat lunak, pengembangan dan pemeliharaan. Kendali ini berlaku bagi
semua sistemmulai dari mainframe ke client/server sampai desktop dengan
memperhitungkan ingkungan. Kendali umum meliputi manajemen
pengendalian teknologi informasi yang menunjukan proses kesalahan
teknologi informasi tersebut, monitoring dan melaporkan aktivitas teknologi
informasi, dan prakarsa peningkatan bisnis.

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 37


Kendali Aplikasi dirancang untuk memastikan kelengkapan, ketelitian,
otorisasi dan kebenaran data dalam menangkap dan proses transaksi.
Aplikasi individu boleh bersandar pada operasi yang efektif yang
mengendalikan sistem informasi untuk memastikan bahwa data alat
penghubung dihasilkan ketika diperlukan, pendukung aplikasi ada tersedia
dan kesalahan alat penghubung dideteksi dengan cepat.

Karena masing-masing kesatuan mempunyai satuan sasaran hasil dan


pendekatan implementasi sendiri, akan ada perbedaan dalam sasaran dan
hasil, struktur dan hal ini berhubungan dengan aktivitas kendali. Sekali pun
dua kesatuan mempunyai struktur dan sasaran hasil serupa, kendali mereka
terhadap aktivitas akan mungkin berbeda. Masing-Masing kesatuan diatur
oleh orang yang berbeda, yang menggunakan pertimbangan individu di dalam
pengawasan intern. Lebih dari itu, kendali mencerminkan industri dan
lingkungan tersebut, di mana suatu kesatuan beroperasi, seperti halnya
kompleksitas tentang organisasi, sejarah dan kulturnya.

Informasi dan Komunikasi


Informasi dibutuhkan di setiap level organisasi untuk mengidentifikasi,
menaksir, dan memberikan tanggapan yang tepat akan resiko, dan selain itu
untuk menjalankan entitas dan mencapai tujuan. Informasi yang relevanbaik
dari sumber-sumber dalam maupun luarharus diidentifikasi, ditangkap, dan
dikomunikasikan dalam bentuk dan rangkaian waktu yang memungkinkan
personil untuk menyelesaikan tanggung jawab mereka. Aliran informasi ini
bermula di organisasi, menurun dan menyebar ke entitas, dan ke bagian-
bagian eksternal seperti pelanggan, pemasok, pengatur, dan para pemegang
saham.

Tantangan manajemen adalah untuk memproses dan menyuling sejumlah


besar data ke dalam informasi-informasi yang bermanfaat. Tantangan ini
dijumpai dengan menyusun sebuah infrastruktur sistem informasi untuk
menngumpulkan, menangkap, memproses, menganalisa dan melaporan
infomasi yang relevan. Sistem-sistem informasi inibiasanya terkomputerisasi
namun juga melibatkan masukan-masukan atau interface yang
manualseringkali dipadang dalam konteks memproses data yang dihasilkan
secara internal, yang terkait dengan transaksi-transaksi.

Untuk mendukung enterprise risk management yang efektif, sebuah entitas


menangkap dan menggunakan data-data yang aktual dan data-data historis.

38 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


Data historis memungkinkan entitas menjajaki kinerja-kinerja nyata yang
tidak sesuai dengan target, rencana, dan harapan. Hal tersebut akan
memberikan pandangan tentang bagaimana entitas beroperasi di bawah
kondisi-kondisi yang berbeda, sehingga akan memungkinkan manajemen
untuk mengidentifikasi korelasi dan kecenderungan-kecenderungan yang
ada untuk meramalkan kinerja ke depannya. Data historis juga dapat
memberikan peringatan awal akan peristiwa-peristiwa potensial yang
mungkin terjadi yang membutuhkan perhatian dari manajemen.

Data aktual dan terkini memungkinkan entitas untuk menaksir resiko-resiko


dalam waktu yang spesifik dalam toleransi resiko yang terbentuk. Data-data
aktual memungkinkan manajemen untuk membuat gambaran yang real-time
akan resiko-resiko yang ada dan melekat dalam proses, fungsi, atau unit, dan
untuk mengidentifikasi variasi dari harapan-harapan. Hal tersebut akan
memberikan sebuah gambaran akan profil resiko entitas, memungkinkan
manajemen untuk mengubah aktivitas-aktivitas seperlunya, untuk
menyesuaikannya dengan risk appetite.

Informasi adalah dasar dari komunikasi, yang harus mempertemukan


harapan-harapan dari grup-grup dan individu-individu, memungkinkan
mereka untuk secara efektif menyelesaikan tanggung jawab mereka. Di
antara jalur-jalur komunikasi yang ada, jalur yang paling penting adalah
antara jajaran Direktur/top manajemen dan jajaran Komisaris. Jajaran
Direktur dan manajemen harus memastikan jajaran Komisaris agar tidak
tertinggal dalam kinerja, pengembangan-pengembangan, resiko-resiko dan
fungsi-fungsi dalam ERM, dan peristiwa serta masalah relevan ayng lain.
Semakin baik komunikasi, semakin efektif pula jajaran Komisaris
menyelesaikan tanggung jawab mereka, dalam bertindak sebagai penyuara
masalah-masalah yang penting dan memberikan nasihat-nasihat, konseling,
dan petunjuk. Selain itu, Dewan Komisaris juga harus menyampaikan
informasi-informasi yang dibutuhkan pada jajaran Direktur/manajemen,
serta memberikan tanggapan dan petunjuk.

Jajaran Direktur memberikan penyampaian yang spesifik dan terarah


mengenai sikap yang diharapkan dan tanggung jawab dari para personil.
Penyampaian tersebut mengandung pernyataan dari filosofi enterprise risk
management entitas, dan pendekatan serta pendelegasian wewenang.
Komunikasi tentang proses dan prosedur harus diarahkan agar sejalan dan
dapat menyokong budaya resiko yang diharapkan. Sebagai tambahan,

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 39


komunikasi seharusnya 'terbingkai' dengan pantaspresentasi informasi dapat
secara signifikan mempengaruhi bagaimana informasi tersebut ditafsirkan
dan bagaimana resiko-resiko terkait atau kesempatan-kesempatan
dipandang.

Komunikasi seharusnya meningkatkan kesadaran tentang kepentingan dan


relevansi enterprise risk management yang efektif, menyampaikan risk
appetite dan toleransi resiko perusahaan, dan mendukung bahasa resiko
yang umum, dan menasehati para personel akan peranan dan tanggung jawab
mereka dalam mempengaruhi dan mendukung komponen-komponen
enterprise risk management.

Saluran-saluran komunikasi juga harus dipastikan agar memungkinkan para


personel untuk menyampaikan resiko dari informasi di seluruh unit bisnis,
gudang-gudang proses dan fungsional. Umumnya, jalur pelaporan dalam
sebuah organisasi adalah saluran yang tepat untuk komunikasi. Di beberapa
kondisi, bagaimanapun, jalur-jalur komunikasi yang terpisah diperlukan
untuk bertindak sebagai mekanisme fail-safe selama jalur-jalur normal
lainnya tidak beroperasi. Penting bagi personil untuk memahami bahwa tidak
akan ada imbalan untuk melaporkan informasi yang relevan.

Saluran-saluran komunikasi eksternal dapat memberi masukan yang sangat


signifikan bagi desain atau kualitas produk dan layanan. Manajemen
mempertimbangkan bagaimana risk appetite dan toleransi resiko sejalan
dengan para pelanggan, pemasok, dan partner-partner bisnis, serta
memastikan bahwa hal-hal tersebut tidak membawa banyak resiko dari
interaksi bisnis. Komunikasi dari luar sering menyediakan informasi penting
yang berguna untuk manajemen resiko perusahaan.

Monitoring
Enterprise risk management diawasiproses untuk menaksir baik kehadiran
maupun fungsi dari komponen-komponennya dan kualitas kinerjanya dari
waktu ke waktu. Pengawasan dapat dilakukan dalam dua cara : melalui
kegiatan yang terus-menerus atau melalui evaluasi-evaluasi terpisah. Kedua
macam pengawasan tersebut bermanfaat untuk memastikan bahwa
enterprise risk management tetap diterapkan di semua level di seluruh bagian
entitas.

40 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


Pengawasan berkelanjutan dibentuk dalam kegiatan entitas yang
berkelanjutan dari hari ke hari. Pengawasan berkelanjutan dilaksanakan
atas dasar real-time, bereaksi secara dinamis pada perubahan kondisi dan
berurat akar dalam entitas. Sebagai hasilnya, pengawasan jenis ini lebih
efektif daripada evaluasi-evaluasi terpisah. Karena evaluasi terpisah
dilakukan setelah suatu kejadian terjadi, masalah akan diidentifikasi lebih
cepat dengan pengawasan berkelanjutan. Namun banyak entitas yang juga
menerapkan evaluasi terpisah, di samping menerapkan pengawasan
berkelanjutan.

Frekwensi dari evaluasi yang terpisah adalah suatu pertimbangan


manajemen. Di dalam membuat ketentuan, pertimbangan ditujukan kepada
derajat perubahan dan keasliannya, dari kedua-duanya baik peristiwa
internal dan eksternal, dan hubungan resiko mereka; kemampuan dan
pengalaman personil yang menerapkan tanggapan resiko dan hubungan yang
terkendali; dan hasil pemantauan yang berkelanjutan tersebut. Pada
umumnya, beberapa kombinasi dari pemantauan berkelanjutan dan evaluasi
akan memastikan bahwa manajemen resiko suatu perusahaan telah
memelihara efektivitas nya dari waktu ke waktu.

Tingkat dokumentasi dari suatu manajemen resiko perusahaan bervariasi


menurut ukuran entitasnya, kerumitan yang terjadi dan faktor-faktor
serupa. Fakta menunjukkan bahwa unsur-unsur manajemen resiko
perusahaan yang tidak termonitor bukan berarti tidak efektif atau bahwa
mereka tidak bisa dievaluasi. Bagaimana pun, suatu tingkatan dokumentasi
yang sesuai pada umumnya membuat monitoring lebih efisien dan efektif.
Jika manajemen berniat untuk membuat suatu pernyataan ke luar mengenai
efektivitas manajemen resiko perusahaan, sudah seharusnya
mempertimbangkan perkembangan dan menyimpan dokumentasi untuk
mendukung pernyataan tersebut.

Semua kekurangan manajemen resiko perusahaan yang mempengaruhi


suatu kemampuan entity untuk mengembangkan, menerapkan strategi dan
untuk mencapai sasaran, hasil yang dibentuknya harus dilaporkan untuk
memposisikan dan mengambil tindakan yang dibutuhkan. Lazimnya
berbagai hal yang dikomunikasikan akan berubah tergantung pada otoritas
individu atas keadaan yang terjadi. Istilah "kekurangan" mengacu pada suatu
kondisi di dalam manajemen resiko perusahaan yang kekurangan perhatian.
Suatu kekurangan, mungkin menciptakan suatu perhatian, potensi atau

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 41


kelemahan, atau suatu kesempatan untuk memperkuat proses tersebut
untuk meningkatkan kemungkinan hasil entitas yang akan tercapai.
Informasi dihasilkan selama beroperasi pada umumnya dilaporkan melalui
saluran normal. Saluran Komunikasi Alternatif juga perlu ada untuk
melaporkan informasi yang sensitif seperti tindakan tidak pantas atau tidak
sah.

Penyediaan informasi diperlukan pada kelemahan manajemen resiko


perusahaan saat keadaan kritis. Protokol harus dibentuk untuk
mengidentifikasi informasi yang diperlukan di kondisi tertentu untuk
pengambilan keputusan efektif. Sebagaimana pula protokol mencerminkan
aturan umum seorang manajer dirasa perlu menerima informasi yang
mempengaruhi tindakan atau perilaku bawahan serta tanggung jawab nya,
seperti halnya informasi yang diperlukan untuk mencapai sasaran khusus.

Penguasaan resiko
Semua diskusi di atas memberi kita pemahaman yang menyeluruh tentang
bagaimana penguasaan resiko harus dibangun dalam sebuah organisasi.
Sudah jelas bahwa tanggung jawab utama dari pimpinan perusahaan (jajaran
Direktur dan Dewan Komisaris) adalah untuk memastikan bahwa mereka
telah mengembangkan sebuah pemahaman yang jelas tentang strategi bisnis
perusahaan dan resiko-resiko yang fundamental. Pimpinan perusahaan juga
perlu memastikan transparansi resiko bagi semua pemangku kepentingan
melalui penyingkapan internal dan eksternal yang memadai.

Meskipun Dewan Komisaris sedang tidak berada di tempat untuk mengelola


bisnisnya, adalah tetap merupakan tanggung jawabnya untuk mengawasi
manajemen dan menjaganya agar tetap dapat dipertanggungjawabkan.
Dewan Komisaris juga harus turut berpartisipasi dalam mengembangkan
keseluruhan rencana kerja firma, mempertimbangkan bagaimana
perubahan-perubahan akan mempengaruhi kesempatan dan strategi bisnis
dalam firma. Oleh karena itu, dibutuhkan informasi tentang tingkat dan tipe
resiko yang dapat diterima oleh firma. Sebagai contoh, pimpinan harus
menggolongkan 'risk appetie' yang layak untuk firma.

Secara khusus, pimpinan harus memastikan bahwa strategi-strategi bisnis


dan manajemen resiko lebih diarahkan ke ekonomi dibandingkan kinerja
akuntansinya, berkebalikan dengan kondisi yang terjadi di Enron dan
beberapa firma lain yang terlibat dalam skandal kekuasaan perusahaan yang
telah dipublikasikan.

42 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


Untuk memenuhi kewajiban penguasaan resiko, Dewan Komisaris bersama
dengan jajaran Direktur harus memastikan bahwa firma telah membuat
program untuk menempatkan enterprise risk management yang efektif
dengan tepat, yang konsisten dengan pilihan-pilihan risk appetite dan
strategi-strategi fundamental. Dan harus dipastikan bahwa kebijakan,
metode, dan infrastrukturnya tetap berjalan dengan layak. Infrastrukur,
seperti yang sudah disebutkan sebelumnya mengandung elemen-elemen
operasi (contoh : software yang canggih, hardware, data, proses operasional)
dan personal.

Sebuah Dewan Komisaris yang efektif akan membangun standar-standar etik


yang kuat. Beberapa praktik terbaik di bank dewasa ini telah menyusun
Komite Etik untuk mencoba memastikan resiko-resiko yang kecil seperti
praktek bisnis yang tidak etis tidak menjatuhkan mereka dalam rancangan
kerja pelaporan resiko mereka.

Suatu Dewan Komisaris selalu memastikan bahwa suatu informasi yang


didapat tentang manajemen resiko selalu tepat dan dan dapat dipercaya.
Dewan Komisaris mempertunjukkan kepercayaan dan memerlukan
informasi dari suatu masalah dengan banyak mengetahui dari nara sumber
yang dapat dipercaya, seperti CEO, manajemen senior, dan auditor internal
dan eksternal. Komisaris harus disiapkan untuk dapat bertanya secara rinci,
dan mereka harus membuat diri mereka mampu memahami jawaban
tersebut.

Suatu Dewan Komisaris, bagaimanapun harus dapat menangani


resikodengan manajemen resikoyang tidak tertangani dari hari ke hari.
Selain itu, mereka juga harus memastikan bahwa semua mekanisme
berfungsi untuk membuat keputusan manajemen resiko berfungsi secara
layak.

Pertanyaan tinjauan
5 pertanyaan pilihan ganda sebagai bahan kajian bab 2

1. Sebutkan 3 tipe utama dari resiko yang dikenal secara tradisional :


(a) Resiko pasar, Resiko kredit, and Resiko keuangan.
(b) Resiko pasar, Resiko keuangan, and Resiko operasional.

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 43


(c) Resiko bisnis, Resiko pasar, and Resiko keuangan.
(d) Resiko pasar, Resiko kredit, and Resiko operasional.

2. Berikut ini merupakan elemen yang benar dari proses manajemen


resiko berdasarkan AS/NZS 4360:2004 , kecuali :
(a) Menyusun konteks.
(b) Mengidentifikasi dan menganalisa resiko
(c) Menangani resiko, mengawasi dan meninjau ulang
(d) Lingkungan internal

3. Tanggapan-tanggapan pengurangan resiko berarti :


(a) Mengambil tindakan dengan berhenti melakukan aktivitas yang
meningkatkan resiko
(b Mengurangi likelihood resiko atau dampaknya dengan memindahkan
atau membagi resiko dengan bagian yang lain.
(c) Tidak mengambil tindakan apapun untuk mempengaruhi likelihood
atau dampak
(d) Mengurangi likelihood resiko, dampak, atau keduanya.

4. Dalam konteks Indonesia, berdasarkan COSO Enterprise Risk


Management Framework, siapa yang bertanggung jawab untuk
membangun risk appetite entitas?
(a) Manajemen dan ditinjau ulang oleh jajaran Direktur dan Dewan
Komisaris
(b) Dewan komisaris
(c) Jajaran Direktur
(d) Jajaran Direktur, dan ditinjau ulang oleh Dewan Komisaris

5. Berikut ini merupakan komponen enterprise risk management


berdasarkan rancangan kerja COSO, kecuali :
(a) Lingkungan internal
(b) Penyusunan tujuan
(c) Penaksiran resiko
(d) Penguasaan resiko

44 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


ENTERPRISE RISK
BAB III MANAGEMENT
DALAM KONTEKS

Bab tiga adalah usaha kita untuk menerapkan ERM ke dalam konteks
Indonesia, peraturan-peraturan perusahaan yang terkait baik milik pribadi,
umum atau milik negara, resiko legalitas dan tuntutan hukum, budaya dan
situasinya. Bab ini memberi pembaca pengertian kontekstual bagaimana
relevansi dan pentingnya ERM dalam lingkungan bisnis dan pemerintahan
Indonesia saat ini. Pada akhir bab ini kami juga membahas tentang peran
penting dari pihak terkait dalam memastikan bahwa kebijaksanaan dan
strategi manajemen (contohnya kemampuan untuk mengambil resiko dan
toleransi) dilaksanakan dan diawasi sampai pada garis paling bawah.

Lingkungan Resiko
Karena sebuah perusahaan tidak beroperasi dalam kondisi vakum, tetapi
keberadaannya adalah pemberian dari lingkungan, perusahaan menjadi
sasaran atau terpapar kepada peraturan yang
terkait. Untuk alasan itu, lingkungan peraturan
dan tindakan pengaturan menjadi penting untuk
dipertimbangkan dan dipahami. Faktanya, syarat
dasar dari praktek sound risk management
adalah sebuah perusahaan berjalan selaras
dengan peraturan yang relevan dan terkait.

Untuk perusahaan milik negara (SOE), sebagai


contohnya, lingkungan peraturan dan tindakan pengaturan mungkin sangat
luas sehingga perlu diatur oleh undang-undang, UUPT, UU BUMN, UU Pasar
Modal, peraturan pasar modal, peraturan umum dan sebagainya. Perhatikan
Gambar 3.1. Jika ini sebuah bank, maka bank tersebut menjadi subjek dari
peraturan yang dikeluarkan oleh bank sentral seperti Peraturan Bank
Indonesia (PBI). Peraturan ini ada kalanya tidak sesuai bahkan bertolak
belakang satu sama lain. Dengan demikian resiko dari SOE ini cukup tinggi.

Luasnya lingkungan legal dan pengaturan ini diklasifikasikan secara spesifik


sebagai resiko legal dan peraturan. Dampak pengambilan resiko ini dapat
berbentuk pelanggaran, seperti terlibat dalam transaksi ilegal, hingga potensi
karena perubahan hukum. Perubahan hukum perpajakan, sebagai

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 45


contohnya, dapat menciptakan kerugian tidak terduga, seperti ketika
Pemerintah Inggris mengubah kode pajak untuk menghilangkan keuntungan
pajak selama musim panas tahun 1997, sebuah bank investasi besar
menderita kerugian yang besar.

Kita perlu menyadari bahwa resiko juga berhubungan dengan resiko reputasi.
Sebuah pelanggaran hukum akan memberi dampak langsung kepada
reputasi Anda, baik perusahaan ataupun pribadi. Resiko reputasi memberi
ancaman tersendiri pada institusi keuangan karena melibatkan natur dari
bisnis, kepercayaan pelanggan, kreditor, pembuat peraturan dan pasar pada
umumnya. Sebuah survey yang di keluarkan pada Agustus 2004 oleh Price
Waterhouse Coopers (PWC) dan Economist Intelligence Unit (EIU), 34 persen
dari 134 bank internasional yang menjadi responden meyakini bahwa resiko
reputasi adalah resiko terbesar bagi pasar dan pemegang saham dari bank
tersebut. Sementara resiko pasar dan kredit memiliki angka masing-masing
25 persen.

Manajemen Resiko dan Akuntabilitas Pengurus Perusahaan


Peraturan-peraturan yang baru dikeluarkan baik dari berbagai sektor,
perbankan, perusahaan dan pemerintahan, didasari persoalan pengaturan
perusahaan, telah membawa pemahaman yang lebih baik tentang tugas dari
pengurus perusahaan di Indonesia. Lebih dari sebelumnya, pengurus
perusahaan diharapkan untuk lebih bertanggung jawab dalam menjalankan
Figure 3.2 - Indonesias limited
companys organ
perusahaan mereka dan fakta ini membuat
mereka terbuka untuk resiko legal dan perkara
hukum.

Perusahaan apapun misalnya perseroan


terbatas, terikat Undang-undang Republik
Indonesia No. 1 Tahun 1995, sementara buku
ini ditulis sedang dalam proses amandemen.
Hukum perusahaan memperkenalkan dua
ruang pengurus, bukan satu ruang pengurus
seperti sistem anglo-saxon pada umumnya.
Dua ruang tersebut adalah eksekutif/direktur dan komisioner. Keduanya
bertanggung jawab kepada pemegang saham dalam Rapat Umum Pemegang
Saham. Pengurus perusahaan dan hubungan satu sama lain dan pemegang
saham dapat di lihat pada gambar 3.2.

46 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


Model dua ruang pengurus sebenarnya adalah lingkungan yang kondusif dan
menyeimbangkan mekanisme antara peran eksekutif dari pengurus
perusahaan dan peran pengawas dari komisioner sehingga dapat berjalan
dengan efektif. Jika berjalan dengan efektif, mekanisme ini akan memberikan
lingkungan kontrol yang kuat, mulai dari atas. Jika tidak, hal ini dapat
menyebabkan gesekan dan perlawanan yang datang dari dua sisi atau situasi
hubungan abusive yang akan menimbulkan resiko terhadap proses
pengambilan keputusan yang efektif.

Lebih jauh lagi, menurut hukum, memimpin dan mengatur perusahaan


adalah eksekusi dari tugas tanggung jawab kedua pengurusan. Tugas ini
adalah doktrin penting dalam peraturan perusahaan kita. Hal itu untuk
memastikan bahwa perusahaan akan dipimpin dan diatur secara
bertanggung jawab dan anggota pengurus akan bertanggung jawab terhadap
tindakan dari perusahaan.

Risk Appetite dan Risk Tolerance


Karena kedua sektor memiliki karakteristik masing-masing, dikendalikan
oleh semua peraturan dan keunikan pasar yang terkait, pengurus
perusahaan Indonesia dibutuhkan untuk dapat mengembangkan risk
appetite dan tolerance yang sesuai, menyeimbangkan antara pengembalian
dan profil resiko dari perusahaan.
Risk appetite dan risk tolerance (dalam batasan) beserta pernyataan
komitmen terhadap manajemen resiko diformulasikan sebagai
kebijaksanaan resiko dari perusahaan. Kita telah menyebutkan bahwa dalam
praktek terbaik dalam suatu institusi, semua berjalan dari menajemen resiko
yang jelas dan disetujui pada pimpinan. Oleh karena itu, penting bagi para
pengurus perusahaan untuk menyetujui dengan jelas risk appetite dari
perusahaan dan bagaimana hal ini dapat berhubungan dengan batasan
sistem dan ukuran resiko.

Tanpa landasan seperti ini, akan sangat sukar bagi manager resiko di bagian
bawah rantai manajemen untuk membuat keputusan kunci dalam
bagaimana melakukan pendekatan dan pengukuran resiko. Contohnya,
tanpa komunikasi jelas tentang konsep dari risk appetite institusi, bagaimana
manager resiko menjabarkan "kasus resiko terburuk" dalam analisa skenario
resiko ekstrim?

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 47


Risk appetite adalah derajat resiko, dalam level yang luas, sebuah perusahaan
atau badan bersedia untuk menerima dalam mencapai tujuan. Sementara
risk tolerance adalah tingkat penerimaan dari variasi relatif untuk mencapai
tujuan. Dalam menentukan toleransi resiko yang spesifik, manajemen
mempertimbangkan kepentingan relatif dari tujuan yang terkait dan
menyejajarkan risk tolerance dengan risk appetite, dan pada gilirannya,
menyediakan tingkat kenyamanan yang lebih tinggi bahwa perusahaan
tersebut akan mencapai tujuan-tujuannya.

Dewan Direktur mempertimbangkan risk appetite dari perusahaan dengan


pertama-tama mengevaluasi alternatif-alternatif strategis, kemudian dalam
menetapkan tujuan disejajarkan dengan strategi yang dipilih dan dalam
mengembangkan mekanisme untuk mengatur resiko terkait.

Dengan demikian jelas bahwa risk appetite berhubungan langsung dengan


strategi perusahaan. Hal ini dipertimbangkan dalam penetapan strategi,
dimana hasil yang diharapkan dari strategi seharusnya sejajar dengan risk
appetite dari perusahaan. Strategi berbeda akan mengakibatkan resiko yang
berbeda.

Risk appetite perusahaan mengatur alokasi sumber daya. Manajemen


mengalokasikan sumber daya pada unit usaha dengan pertimbangan bahwa
risk appetite perusahaan dan strategi unit bisnis individu untuk
menghasilkan hasil yang diharapkan dalam sumber daya yang
diinvestasikan. Manajemen mempertimbangkan risk appetite karena hal itu
membawa organisasi, orang, proses dan design infrastruktur yang diperlukan
untuk secara efektif merespon dan memonitor resiko.

Definisi jelas dari risk appetite sebuah organisasi dalam kebijaksanaan resiko
dan toleransi resiko membentuk sebuah elemen yang memiliki komitmen kuat
mulai dari paling atas struktur organisasi dan kesadaran bahwa dewan butuh
untuk memastikan bahwa sikap mereka sejajar dengan kebijaksanaan
manajemen resiko. Seperti sudah dijelaskan sebelumnya, hal ini untuk
memastikan integrasi dari resiko ke dalam budaya dan nilai perusahaan.

Dewan Direksi dengan pemahaman yang kuat akan profil resiko dari
keberadaan atau jalur bisnis yang terantisipasi dapat mendukung keputusan
strategis yang agresif dengan lebih percaya diri. Adopsi dari resiko yang

48 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


memadai seperti Value-at-Risk (VaR) dan penawaran modal ekonomi dapat
sangat bermanfaat. Dalam hal ini, tidak hanya sebagai pengaturan batasan
resiko tetapi juga membantu perusahaan memutuskan jalur bisnis mana
yang sesuai (setelah resiko dipikirkan lebih dahulu).

Karena dewan harus mampu untuk mempertimbangkan resiko dari seluruh


perusahaan, atau portofolio, perspektif, mempertimbangkan semua
peraturan yang terkait, mereka perlu untuk mendirikan proses dimana para
Manager yang ditugaskan untuk merancang perkiraan dari resiko dan respon
dari resiko untuk unit yang menjadi tanggung jawab mereka. Hasil dari
proses adalah profil resiko dari unit yang terkait dengan tujuan dan toleransi
resiko. Dengan beberapa resiko untuk unit individu, Dewan Direksi
diposisikan untuk mengambil pandangan portofolio dan untuk menentukan
apakah profil resiko perusahaan sepadan dengan risk appetite keseluruhan.

Peran Komite-Komite Dewan Komisaris dan Fungsi Audit Perusahaan


Untuk memperoleh praktek terbaik dari kepemimpinan perusahaan, sebuah
perusahaan harus mampu untuk menjalin toleransi yang telah disetujui oleh
dewan dengan strategi bisnis tertentu. Ini artinya, pada gilirannya, batasan
tertentu dan wewenang harus dikembangkan untuk tiap portofolio dari bisnis
dan untuk setiap tipe resiko (dalam tiap portofolio bisnis), seperti halnya juga
untuk keseluruhan portofolio.

Tantangannya tetap : bagaimana bisa risk appetite dan toleransi yang telah
disetujui disiarkan kepada manager bisnis sedemikian sehingga dapat
dimonitor dan masuk akal dalam keputusan bisnis hari lepas hari ?
Bagaimana Dewan Komisaris tahu bahwa Manager Eksekutif dan Bisnis
dapat memiliki kemampuan legal dan peraturan minimun, sebagai contoh.

Di sini jelas bahwa tugas dari dewan bagaimana pun juga tidak untuk
menangani managemen resiko berbasis hari lepas hari, tetapi untuk
memastikan bahwa semua mekanisme yang digunakan untuk
mendelegasikan keputusan manajemen resiko sudah berfungsi dengan
benar.

Dalam banyak kasus, Dewan Komisaris dapat menugaskan kepada komisi


utama, contoh komisi audit dan menagement resiko, dengan mereview dan
memeriksa kebijaksanaan utama dan prosedur terkait dalam aktivitas
managemen resiko perusahaan. Komisi-komisi ini juga memastikan bahwa

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 49


penerapan kebijakan utama ini berjalan efektif.
Komisi-komisi juga dapat membantu merekomendasikan jalan terbaik untuk
menerjemahkan risk appetite perusahaan keseluruhan, disetujui oleh Dewan
Direksi dan Komisaris, ke dalam seperangkat batasan yang mengalir turun
melalui pejabat eksekutif dan divisi bisnis.

Secara spesifik penting untuk disebutkan di sini adalah tentang peran dari
Komisi Audit, karena komisi ini sekarang ditemukan di kebanyakan
perusahaan terbatas di Indonesia, baik pribadi atau publik, SOE atau non
SOE. Peran dari Komisi Audit sangat penting bagi pandangan keseluruhan
dewan tentang perusahaan. Menurut manual Komisi Audit yang dikeluarkan
oleh Ikatan Komite Audit Indonesia, Komite Audit bertanggung jawab tidak
hanya untuk keakuratan laporan keuangan perusahaan, tetapi juga untuk
memastikan bahwa perusahaan memenuhi standar praktek minimum atau
terbaik dalam aktivitas kunci lainnya, seperti pengaturan, legal, compliance
dan aktivitas manajemen.

Satuan pengawas intern atau internal audit seharusnya juga diperkuat untuk
membantu komite-komite dalam mengatur penyelidikan periodik yang
dilakukan di seluruh perusahaan. Peran utama dari internal audit adalah
untuk menyediakan penilaian independen dari design dan implementasi
manajemen resiko perusahaan. Hal ini berarti bahwa internal audit harus
menunjuk pada kecukupan dokumentasi, efektifitas proses, integritas dari
sistem manajemen resiko, integrasi dari pengaturan resiko dalam manajemen
resiko harian, dan selanjutnya.

Audit juga seharusnya mengevaluasi kekuatan dari informasi elemen


manajemen resiko, seperti proses yang digunakan untuk mengkode dan
mengimplementasikan internal model (untuk bank). Ini seharusnya
melibatkan kontrol pemeriksaan terhadap pengambilan data posisi pasar,
seperti halnya kontrol parameter estimasi (seperti volatilitas dan asumsi
korelasi). Hal itu juga harus menguji dokumentasi sehubungan dengan
keutuhan pemenuhan dan kriteria kualitatif/kuantitatif digarisbesarkan
dalam peraturan. Juga seharusnya memberi komentar pada kepercayaan
laporan nilai terhadap resiko dari bingkai kerja.

50 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


Pertanyaan Review
Lima pertanyaan multiple choices untuk materi Bab 3.

1. Berdasarkan Undang-undang Perseroan Terbatas, Persoran Terbatas


memiliki :
(a) Dua ruang dewan: Rapat Umum Pemegang Saham dan Dewan
Komisaris.
(b) Tiga ruang dewan: Rapat Umum Pemegang Saham, Dewan
Komisioner dan Dewan Direksi.
(c) Satu ruang dewan: Dewan Direksi
(d) Dua ruang dewan: Dewan Direksi dan Dewan Komisioner

2. Sebutkan dua komite yang membantu Dewan Komisioner dalam


mengawasi manajemen resiko dalam satu perusahaan :
(a) Komite Audit dan pemimpin perusahaan
(b) Komite Manajemen Resiko dan pemimpin perusahaan
(c) Komite pemimpin perusahaan dan remunerasi dan nominasi
(d) Komite Audit dan manajemen resiko

3. Pernyataan berikut ini benar kecuali :


(a) Dewan Komisioner bertanggung jawab untuk mereview kebijakan
manajemen resiko perusahaan.
(b) Dewan Komisioner dapat menugaskan Komite Audit untuk
mereview kualitas dari kebijakan management resiko dan
prosedurnya.
(c) Dewan Komisioner harus terlibat dalam mereview risk appetite
dari perusahaan.
(d) Dewan Komisioner harus terlibat dalam proses implementasi
manajemen resiko hari lepas hari perusahaan.

4. Dewan Direksi memastikan bahwa :


(a) Manajemen resiko yang baik sudah terlaksana
(b) Fungsi audit berjalan dengan efektif
(c) Profil resiko perusahaan ada di dalam risk appetite
(d) Semua jawaban di atas benar

5. Berdasar pada praktek terbaik, pernyataan berikut adalah peran dari


komite manajemen resiko, kecuali:

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 51


(a) Secara independent mereview proses manajemen resiko
(b) Mereview kecukupan garis besar kebijakan dan sistem
(c) Bekerja sama dengan Komite Audit untuk mereview kejadian
yang berhubungan dengan resiko operasional
(d) Mendirikan risk appetite dari perusahaan

52 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


BAB IV IMPLEMENTING ERM

Rancangan kerja ERM membutuhkan terintegrasinya proses manajemen


resiko dalam semua aspek kehidupan perusahaanbudayanya, visi misi dan
strateginya, sama halnya dengan proses bisnisnya. Semua itu pada gilirannya
membutuhkan kapasitas internal untuk menyelesaikan prosesnya secara
efektif. Masalah-masalah tersebut akan didiskusikan di bagian tengah bab
ini.

Budaya Resiko
Banyak fokus manajemen resiko diarahkan pada membangun infrastruktur
seperti fungsi-fungsi resiko yang independen dan Komite Resiko; audit dan
penaksiran resiko; prosedur dan kebijakan manajemen resiko; model-model
dan sistem; ukuran dan laporan-laporan; serta batas-batas resiko dan proses
pengecualian. Namun, adalah sama pentingnya bahwa perusahaan-
perusahaan juga berfokus pada sisi lain, "sisi lembut" dari manajemen resiko

Nilai-nilai budaya resiko merupakan "sisi lembut" yang penting dalam


manajemen resiko, namun seringkali nilai-nilai tersebut diabaikan.
Pengaturan dan pengembangan nilai-nilai dan budaya resiko yang benar
dalam perusahaan, merupakan sebuah keharusan dalam penerapan ERM
yang sukses. Seperti halnya dengan keseluruhan budaya perusahaan bisa
menjadi suatu hal yang penting dalam menentukan seberapa sukses
perusahaan tersebut. Demikian juga budaya resikonya akan menentukan
seberapa sukses ERM di perusahaan tersebut. Budaya resiko yang lemah
adalah jika para karyawannya mempunyai pemahaman yang dangkal tentang
pentingnya manajemen resiko dan peranan mereka dalam menajemen resiko
tersebut. Jika di pihak lain, manajemen resiko di lihat sebagai pusat operasi
perusahaan dari hari ke hari, besar kemungkinan bahwa perusahaan
tersebut juga memiliki budaya resiko yang kuat juga. Seperti sebuah
lingkungan yang memungkinkan diterapkannya manajemen resiko yang
efektif

Budaya resiko merupakan sekumpulan sikap, nilai, dan praktek-praktek


yang mencerminkan bagaimana sebuah entitas memikirkan resiko dalam

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 53


aktivitas sehari-hari mereka. Untuk kebanyakan perusahaan, budaya resiko
mengalir dari filosofi resiko perusahaan dan risk appetite-nya. Untuk entitas-
entitas yang tidak memiliki filosofi resiko yang jelas, budaya resiko bisa
berbentuk sembarangan, menghasilkan budaya resiko yang benar-benar
berbeda dalam sebuah perusahaan atau bahkan dalam unit bisnis, fungsi,
atau departemen tertentu.

Oleh karena itu, penting bagi pimpinan untuk memperkenalkan budaya


resiko dan nilai-nilai perusahaan yang benar, melalui sikap-sikap dan
kebijakan-kebijakan tertulis yang relevan. Seperti semuap permasalahan
budaya, faktor kuncinya adalah apakah manajemen "menjalani perjalanan"
sebaik "membicarakan pembicaraan." Sebagai contoh, bagaimana
manajemen senior beraksi ketika produsen dengan pendapatan yang besar
secara nyata melanggar kebijakan manajemen resiko? Apakah mereka
mengambil tindakan perbaikan atau dengan mudahnya membalikkan
punggung atas permasalahan itu? Keputusan-keputusan dan tindakan
jajaran Direktur dan manajemen senior akan memberikan lebih banyak
pengaruh dibandingkan kebijakan tertulis manapun. Penting bahwa mereka
bertindak sesuai dengan kebijakan tersebut.
Berkaitan dengan hal ini, Dewan Direktur harus memastikan aliran
komunikasi melalui saluran komunikasi yang efektif sudah berjalan sesuai
rencana. Komunikasi tersebut harus menyampaikan sikap-sikap yang
diharapkan dan tanggung jawab para personil. Komunikasi tersebut
seharusnya juga memudahkan penyaluran pernyataan dan pendekatan
filosofi enterprise risk management entitas serta pendelegasian wewenang.
Selain itu, komunikasi juga harus memfasilitasi diskusi-diskusi terbuka
tentang permasalahan-permasalahan resiko, meningkatkan penelaahan, dan
memfasilitasi sharing pelajaran yang telah dipelajari dan praktek-prakter
terbaik. Penyampaian proses dan prosedur-prosedur harus sejalan dan
menyokong budaya resiko yang diinginkan.

Budaya resiko, bersama dengan nilai-nilai etis entitas, kemampuan dan


perkembangan personil, corak operasi manajemen dan bagaimana
manajemen mendelegasikan wewenang dan tanggung jawab, akan
membentuk apa yang kita ketahui sebagai lingkungan internal dalam ERM
integrated framework of COSO. Lingkungan internal entitas merupakan
fondasi untuk seluruh komponen enterprise risk management yang lain, yang
menyediakan disiplin dan struktur bagi entitas. Lingkungan internal
mempengaruhi bagaimana strategi dan tujuan disusun,bagaimana aktivitas

54 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


bisnis disusun dan resiko diidentifikasi, diperkirakan, dan ditangani.
Lingkungan internal mempengaruhi design dan fungsi aktivitas-aktivitas
kontrol, sistem-sistem komunikasi dan informasi, dan memonitor aktivitas-
aktivitas.

Kapasitas Internal
Pada akhirnya, manajemen resiko berbicara tentang orang-orang, proses, dan
infrastruktur, misalnya kapasitas internal perusahaan untuk mengelola
resiko. Kesalahan dalam menentukan ketiga komponen tersebut akan
membawa bencana besar bagi perusahaan.

Orang-orang
Orang-orang, kemampuan, budaya, nilai-nilai, dan insentif-insentif
merupakan 'sisi lembut' manajemen resiko. Komponen-komponen ini telah
diakui sebagai kunci-kunci pengendali aktivitas-aktivitas pengambilan
resiko. Dalam definisi COSO tentang enterprise risk management dikatakan
bahwa ERM dipengaruhi oleh orang-orang di mana itu bukan hanya sekedar
kebijakan, survey dan formulir belaka, namun benar-benar melibatkan
orang-orang di setiap level organisasi.

Kualitas yang dihasilkan proses manajemen resiko sangat dipengaruhi realita


bahwa penilaian manusia dalam pengambilan keputusan bisa jadi salah, dan
gangguan-gangguan dapat terjadi karena kelalaian-kelalaian manusia seperti
kesalahan-kesalahan sederhana, kendali dapat dielakan oleh kolusi dari dua
orang atau lebih, dan manajemen memiliki kemampuan untuk menolak
keputusan enterprise risk management.

Oleh karena itu, sifat pimpinan serta pendidikan dan pelatihan orang-orang
dalam manajemen resiko merupakan bagian yang penting dalam membangun
kapasitas internal perusahaan untuk menerapkan program enterprise risk
management yang sukses.

Resiko ada dalam berbagai bentuk dan ukuran, seperti cairan. Dalam bab
dua, kita telah mendiskusikan tentang berbagai tipe resiko seperti resiko
pasar, resiko kredit, resiko operasional, resiko hukum dan peraturan, resiko
bisnis, resiko strategis, dan resiko reputasi. Pertanyaannya adalah bagaimana
seorang Manajer yang bertanggung jawab atas resiko seluruh perusahaan
dapat bertahan mengatasi segala resiko itu? Tidaklah mungkin untuk
mempekerjakan tenaga-tenaga ahli untuk setiap resiko tersebutmengingat

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 55


resiko tersebut merupakan bagian dari tiap keputusan bisnis. Pendekatan ini
akan membutuhkan Manajer resiko untuk setiap Manajer bisnis.
Untuk alasan itu, sebuah proses sistem untuk menangkap dan belajar dari
insiden-insiden dan kerugian harus berjalan pada tempatnya. Sebuah
organisasi yang terbuka untuk belajar, memiliki kemungkinan yang kecil
untuk mengulangi kesalahan, dan cenderung mendapat manfaat dari
perkembangan dan inovasi-inovasi baru dalam bidang manajemen
resikoyaitu dengan menjadi pintar dan bijaksana, dan dengan tidak
membodohi dirinya sendiri. Pelajaran yang dipelajari dari kesalahan-
kesalahan dari praktek-praktek terbaik perusahaan lain bisa menjadi
tambahan yang berharga dibandingkan pembelajaran dari pemeriksaan
operasi perusahaan sendiri.

Enterprise risk management membutuhkan kita untuk menjadikan resiko


sebagai bagian dari pemikiran dan tanggung jawab kerja setiap karyawan.
Namun hal tersebut membutuhkan usaha yang keras dalam pelatihan dan
pendidikan. Banyak staf, baik junior maupun senior, akan merasa tidak
nyaman dengan manajemen resiko, khususnya dengan formulir-formulir
kuantitatif untuk analisa resiko. Meskipun analisa-analisa kuantitatif
tersebut seringkali sangat penting, mereka tidak terlatih untuk setiap jenis
resiko, dan oleh karena itu, karyawan-karyawan umum perlu diajari untuk
mengenali dan menaksir resiko dengan cara-cara yang relatif mudah untuk
dimengerti. Diskusi kita pada konsep resiko di bab dua merupakan hal yang
bagus untuk memulainya.

Pelatihan kesadaran terhadap resiko merupakan titik awal kesuksesan


program manajemen resiko. Tujuan dari pelatihan-pelatihan semacam itu
adalah untuk memastikan bahwa setiap orang dalam bisnis mampu untuk
secara proaktif, mengidentifikasi resiko-resiko kunci bagi perusahaan; secara
serius berpikir tentang konsekuensi-konsekuensi dari resiko-resiko yang
menjadi tanggung jawabnya; menyampaikan pada bagian-bagian lain dalam
organisasi, resiko-resiko yang membutuhkan perhatian dari bagian-bagian
lain tersebut. Dalam sebuah lingkungan risk-aware, kebanyakan
permasalahan manajemen resiko akan dialamatkan dengan cepat dan tepat
sebelum permasalahan tersebut menjadi lebih besar lagi.

Dalam usahanya untuk memajukan kesadaran resiko, pelatihan juga harus


ditargetkan untuk memperlengkapi karyawan-karyawan dengan kemampuan
dan alat-alat yang mereka butuhkan untuk mengelola resiko yang menjadi

56 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


tanggung jawab mereka.
Pendidikan resiko harus dimulai pada orientasi, dengan memperkenalkan
karyawan-karyawan baru pada konsep manajemen resiko dan memberi
penerangan pada mereka mengenai berbagai fungsi resiko dalam perusahaan
sama seperti memperkenalkan mereka pada fungsi-fungsi operasional yang
lain. Pendidikan resiko tersebut seharusnya juga mengandung program
pelatihan yang berkelanjutan, yang dibuat untuk meningkatkan
kemampuan-kemampuan yang dibutuhkan individu-individu tersebut dalam
mengemban tanggung jawab kerjanya. Adalah penting bahwa karyawan-
karyawan tersebut diperlengkapi untuk menghadapi tantangan-tantangan
berupa masalah-masalah dan resiko-resiko yang terjadi sepanjang
perubahan entitas, dan menjadi lebih kompleksdiarahkan dalam
bagiandengan mengubah teknologi-teknologi dan meningkatkan persaingan
dengan cepat. Pelatihan dan pendidikan, baik dalam bentuk instruksi kelas,
belajar sendiri, atau pelatihan yang didapat dalam pekerjaan, harus
membantu personil untuk tetap melangkah dan dapat secara efektif
beradaptasi dengan lingkungan yang berkembang. Mempekerjakan orang-
orang yang kompeten dan mengadakan pelatihan sekali saja tidaklah cukup.
Kita membutuhkan proses pendidikan yang berkelanjutan.

Orang-orang biasanya lebih memperhatikan apa saja yang menjadi tanggung


jawab pekerjaan mereka dan bagaimana intensif-intensif keuangan mereka
dihubungkan dengan kinerja mereka. Kesadaran resiko yang jelas dapat
ditanamkan dengan lebih kuat dengan memastikan para karyawan mengerti
bahwa manajemen resiko merupakan bagian dari pekerjaan mereka, dan
bahwa kompensasi insentif mereka terkait dengan kinerja resiko dan bisnis
pada tingkat bisnis dan individual. Penting bagi para karyawan untuk
melihat sendiri fakta-fakta tersebut. Jika ada persepsi bahwa landasan yang
sama untuk aturan tidak berlaku bagi semua karyawan (terutama karyawan
senior), maka karyawan yang lain akan segera berhenti melihat peraturan-
peraturan sebagai sesuatu yang bisa dielakkan dalam pengejaran karir.

Proses
Enterprise risk management berbeda dari perspektif beberapa pengamat,
yang memandang hal tersebut sebagai sesuatu yang ditambahkan pada
aktivitas perusahaan, atau sebagai beban yang dibutuhkan. Enterprise risk
management paling efektif ketika dibangun dalam infrastruktur entitas dan
menjadi bagian yang penting dalam perusahaan. Ada tiga proses yang penting
yang harus terlaksana pada tempatnya untuk memastikan terlaksananya

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 57


proses enterprise risk management kita dengan tepat :
Menghubungkan komponen-komponen ERM dengan tujuan perusahaan
Evaluasi reguler mengenai proses manajemen resiko
Dokumentasi proses manajemen resiko

Menghubungkan komponen-komponen ERM dan tujuan perusahaan


Delapan komponen enterprise risk management yang saling berhubungan
(berdasarkan ERM integrated framework COSO, yang telah didiskusikan di
tengah bab dua, misalnya lingkungan internal, penyusunan tujuan,
identifikasi peristiwa, penaksiran resiko, tanggapan resiko, aktivitas control,
informasi dan komunikasi, monitoring) harus diintegrasikan dengan proses
manajemen. Sebuah model yang bagus, yang menggambarkan bagaimana
integrasi itu akan terjadi, yaitu hubungan antara komponen enterprise risk
management dengan tujuan-tujuan entitas (strategis, operasi, pelaporan, dan
pemenuhan) dan level-level (entitas, divisi, unit bisnis, dan cabang) seperti
yang diberikan COSO dapat kita lihat dalam Figure 4.1.

Model COSO ini menunjukkan bahwa ada


hubungan langsung antara tujuan dan usaha
entitas untuk mencapainya, serta komponen-
komponen enterprise risk management, yang
menggambarkan apa yang dibutuhkan untuk
mencapai tujuan-tujuan itu. Hubungan tersebut
digambarkan dalam matriks 3D, dalam bentuk
kubus. Keempat kategori tujuanstrategis, operasi,
Figure 4.1 Risk Management pelaporan, dan pemenuhandigambarkan dengan
Components and Linkages
COSO ERM Integrated Framework
kolom-kolom vertikal. Sedangkan kedelapan
komponen digambarkan dengan baris-baris horizontal. Dan entitas serta
unitnya digambarkan oleh matriks 3D.

Model tersebut menunjukan bahwa masing-masing komponen ERM tersebut


diterapkan pada keempat kategori tujuan. Sebagai contoh, data finansial dan
non-finansial yang dihasilkan dari sumber-sumber internal dan eksternal,
yang merupakan bagian dari komponen informasi dan komunikasi,
dibutuhkan dalam pengaturan strategi dan untuk mengelola operasi bisnis
secara efektif, melaporkan secara efektif dan menentukan bahwa entitas
menaati hukum yang berlaku. Demikian pula dengan kategori-katogori
tujuan, delapan komponen-komponennya saling relevan satu sama lain.

58 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


Sebagai contoh, untuk kategori tujuan keefektifan dan efisiensi operasi,
diperlukan delapan komponen yang lain untuk pencapaian tujuan tersebut.
Evaluasi proses manajemen resiko
Salah satu proses yang penting adalah proses evaluasi proses manajemen
resiko itu sendiri. Ketika pendekatan atau teknik-teknik yang digunakan
berubah, sebuah disiplin seharusnya dibawa ke dalam proses, dengan dasar-
dasar pasti yang melekat di dalamnya.

Evaluasi seharusnya ada untuk memastikan apakah proses manajemen


resiko kita (bersama dengan pirantinya, metodologi dan prosedurnya) masih
sesuai dengan standar yang dibentuk manajemen untuk masing-masing
komponen, dengan tujuan akhir untuk menentukan apakah proses dapat
menyediakan jaminan yang layak berkenaan dengan sasaran yang
dinyatakan.

Dokumentasi proses manajemen resiko


Proses penting lainnya adalah merekam proses manajemen resiko. Asumsi,
metode, sumber data, analisa, hasil-hasil dan alasan-alasan pengambilan
resiko harus didokumentasikan semua.

Documentation of the risk management process


Another important process is recoding the risk management process.
Assumptions, methods, data sources, analyses, results and reasons for
decisions should all be recorded.

Rekaman proses-proses tersebut merupakan aspek yang penting dari


pengaturan perusahaan.
Keputusan-keputusan mengenai pembuatan dokumentasi harus
mempertimbangkan :
Hukum dan kebutuhan-kebutuhan bisnis akan dokumentasi tersebut
Biaya pembuatan dan pengelolaannya
Manfaat-manfaat adanya dokuementasitersebut

Dokumentasi proses manajemen resiko penting untuk :


1. Menunjukkan pada para pemangku kepentingan bahwa proses tersebut
telah dilaksanakan dengan semestinya.

2. Memberikan bukti-bukti pendekatan sistematis untuk identifikasi dan

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 59


analisa resiko.

3. Memungkinkan diadakannya peninjauan ulang proses tersebut atau


keputusan-keputusan yang diambil.
4. Menyediakan dokumentasi resiko dan untuk mengembangkan database
pengetahuan organisasi.
5. Untuk memperlengkapi para pembuat keputusan dengan rencana
manajemen resiko, untuk persetujuan dan kemudian penerapannya.
6. Memudahkan pengawasan berkelanjutan dan peninjauan ulang.
7. Menyediakan jejak audit.
8. Membagi dan menyampaikan informasi.

Infrastruktur
Proses enterprise risk management membutuhkan infrastruktur resiko yang
didesign dengan baik. Infrastruktur diperlukan untuk menanggapi dan
memonitor resiko secara efektif. Tetapi harus diingat bahwa meskipun
infrastruktur tersebut tersebut penting, itu tidak berarti bahwa dengan
adanya infrastruktur itu saja sudah cukup. Hanya dengan memiliki orang-
orang dan proses yang tepat, infrastruktur tersebut baru akan memberikan
manfaat-manfaat yang nyata. Infrastruktur resiko mencakup semua
infrastruktur manajemen seperti infrastruktur kendali dan infrastruktur
sistem informasi. Tantangan manajemen adalah untuk memproses dan
menyuling data dalam jumlah besar menjadi informasi-informasi yang bisa
dikerjakan. Tantangan tersebut dapat ditemui dengan membangun sebuah
infrastruktur sistem informasi untuk mengumpulkan, menangkap,
memproses, menganalisa, dan melaporkan informasi yang relevan.

Bagaimanapun, institusi harus bergerak ke arah solusi resiko dan


mengkhususkan teknologi-teknologi komputasi yang mampu memfasilitasi
komputasi dan distribusi informasi resiko secara cepat (termasuk sekelompok
besar jaringan komputer yang cepat). Infrastruktur informasi ini harus
melayani Dewan Direktur sebagai dasbor ERM yang menyediakan jawaban-
jawaban untuk pertanyaan-pertanyaan strategis berikut :
1. Apakah ada tujuan bisnis kita yang beresiko ?
2. Apakah kita sudah memenuhi kebijaksanaan dan peraturan-peraturan
3. yang ada ?
4. Kejadian resiko apa saja yang sudah diperluas ?
5. Apakah KRI dan kecenderungan-kecenderungannya butuh segera
diperhatikan ?

60 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


6. Penaksiran resiko apa yang harus ditinjau ulang ?

Sejalan dengan visi, misi, dan strategi


ERM pada dasarnya merupakan inisiatif top down dan seharusnya dimulai
dari para pimpinan, dan disejalankan dengan visi, misi, dan strategi. Dewan
Komisaris dan Direktur adalah bagian penting dalam proses ini. Karena
merekalah yang membagikan kewajiban perumusan dan menyetujui seluruh
strategi perusahaan. Sudah sangat jelas bahwa mereka harus memastikan
bahwa resiko telah terintegrasi dengan strategi perusahaan. Target-target
manajemen resiko harus dimasukkan ke dalam sasaran-sasaran perusahaan
dan inisiatif perusahaan yang utama harus menggabungkan penaksiran
resiko dan strategi-strategi kelonggaran resiko.

Manajemen, sebagai bagian dari enterprise risk management, harus


memastikan bahwa entitas telah memilih tujuan-tujuan dan
mempertimbangkan bagaimana tujuan tersebut mendukung visi/misi dan
strategi entitas. Tujuan-tujuan entitas juga harus sejalan dengan risk
appetite entitas. Tidak sejalannya, atau sebaliknya menerima resiko yang
tidak semestinya. Lihat Figure 4.2.

Enterprise risk management yang efektif tidak mendikte tujuan apa yang
harus dipilih oleh jajaran Direktur
dan manajemen, namun
manajemen tersebut memiliki
proses untuk menyejajarkan
Kesejajaran
tujuan entitas dengan misi dan
dengan risk
appetite entitas strateginya dan tujuan-tujuan yang
telah dipilih tersebut konsisten
Ketaksejajaran 1 Ketaksejajaran 2 dengan risk appetite entitas.
tidak mengambil Menerima resiko
resiko yang cukup - yang tidak layak

Zona pengambilan
resiko optimum

Figure 4.2 Ketidaksejajaran dan


kesejajaran tujuan dan risk appetite
sebuah entitas

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 61


- Untuk menyediakan pelayanan kesehatan masyarakat yang berkualitas tinggi,
Vision/Mission
mudah diakses, dan bisa diusahakan.

Strategic - Menjadi yang pertama atau terbesar kedua, provider pelayanan kesehatan dengan
Objectives servis penuh dalam pasar metropolitan level menengah.

- Menduduki peringkat atas dalam kualitas pelayanan medis kami.


Strategies - Dikenal dalam pasar lokal sebagai pemimpin harga/kualitas.

- Sejajar dengan rumah sakit swasta pada target pasar yang mana kita
- Align with stand-alone hospitals in the target markets in which we do not currently
have a presence.
- Acquire high-quality under-performing service providers in target markets where
feasible. Otherwise, consider lesser programs to revamp and rebuild.
- Develop ownership participation or profit-sharing programs to attract top local
medical talent.
- Develop tailored, targeted marketing programs for large and middle market
businesses in target markets.
- Bring our state-of-the-art infrastructure systems to provide effective management
and cost control.
Related Objectives
- Achieve leading track record of compliance with all healthcare and other applicable
- Operations laws and regulations.

- Initiate dialogue with leadership of 10 top under-performing hospitals and negotiate


agreements with two this year.
- Target 10 other programs in key target markets and execute agreements with five
this year.
- Identify needs and motivations of leading practitioners in major markets and
structure alternative model terms.
- Ensure at least one top medical talent is on board in each core discipline in at least
- Reporting
five major markets this year.
- Hold focus groups with business leaders in key markets to determine program
needs.
- Develop alternative model programs for business customers
- Develop methodologies for quick-start implementation of information and
operational systems in acquired/rebuilt hospitals.
- Set protocols for migration from existing systems.
- Implement new systems in one new location to serve as model going forward.

- Install our foundation systems in newly acquired facilities to provide management


reports on key performance measures, with exception and trend line analysis, within
four working days of month-end.
- Ensure all facilities accurately and timely report compliance performance and issues
for management review
- Compliance
- Establish uniform reporting system/accounts for assembly of accurate and complete
information required for external reporting

- Establish compliance office with charter, leadership and staffing centrally, providing
support to local units.
- Ensure line recognizes its primary compliance responsibilities, building into HR
objectives and performance assessments.
- Develop company-wide protocols for medical procedures, drug storage and
dispensing, staffing assignments and schedules, and all aspects of patient care.
- Review privacy policies and practices and benchmark against federal requirements
and best practices

Source: Enterprise Integrated Framework (COSO, 2004)

Figure 4.3 Linking corporate objectives with strategy and mission

62 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


Setiap entitas menghadapi resiko yang bervariasi dari sumber-sumber
eksternal dan internal, dan prasyarat untuk proses manajemen resiko yang
efektif yaitu identifikasi resiko, penaksiran resiko dan tanggapan resiko,
pembentukan tujuan, terhubung dengan level yang berbeda dan hal-hal
tersebut harus bersifat konsisten secara internal. Tujuan-tujuan tersebut
tersusun pada level strategis, membangun sebuah tujuan-tujuan dasar
operasi, pelaporan, dan pemenuhan. Tujuan-tujuan harus disejajarkan
dengan risk appetite entitas, yang mengendalikan level toleransi resiko pada
aktivitas entitas. Lihat Figure 4.3.

Misi entitas (yang lain seringkali menyebutnya dengan visi atau tujuan) dalam
arti luas adalah cita-cita yang ingin dicapai oleh entitas, atau alas an
dibentuknya sebuah entitas. Merupakan kewajiban Dewan Direkturdengan
kelalaian Dewan Komisarisuntuk membentuk misi yang jelas. Dari misi
tersebut, Dewan Direktur dan manajemen mengatur tujuan-tujuan strategis,
merumuskan strategi dan membentuk tujuan-tujuan yang berkaitan dengan
organisasi. Ketika misi entitas dan tujuan-tujuan strategis sudah stabil,
tujuan terkait dan strateginya akan lebih dinamis dan disusun untuk
mengubah kondisi-kondisi internal dan eksternal.

Tujuan-tujuan strategis merupakan sasaran tingkat tinggi, sejajar dan


mendukung visi/misi entitas. Tujuan-tujuan strategis mencerminkan pilihan
Dewan Direktur sebagai cara entitas menciptakan nilai untuk para
pemangku kepentingan. Dalam mempertimbangkan strategi-strategi
alternatif untuk mencapai tujuan-tujuan strategis, Dewan Direktur dan
manajemen mengidentifikasi resiko yang terkait dengan pilihan-pilihan
strategi dan mempertimbangkan implikasi-implikasinya. Teknik-teknik
identifikasi berbagai peristiwa dan penaksiran resiko dapat digunakan dalam
proses pengaturan strategi. Dengan cara ini, teknik enterprise risk
management digunakan dalam pengaturan strategi dan tujuan.

Penyusunan tujuan merupakan komponen dari enterprise risk management.


Meskipun tujuan-tujuan tersebut memberikan target-target yang terukur ke
arah yang dituju oleh entitas. Mereka bisa jadi memiliki kepentingan dan
prioritas yang berbeda. Meskipun entitas seharusnya memiliki jaminan yang
layak akan tujuan yang akan dicapai, mungkin jaminan tersebut tidak bisa
diterapkan untuk semua tujuan.

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 63


Enterprise risk management yang efektif akan memberikan jaminan yang
layak bahwa pelaporan dan pemenuhan tujuan entitas akan tercapai.
Pencapaian pelaporan dan pemenuhan tujuan adalah sepenuhnya dalam
kendali entitas. Maksudnya, sekali tujuan telah ditentukan, entitas memiliki
kendali atas kemampuannya untuk melakukan apa saja yang diperlukan
untuk mencapainya.

Namun untuk sejumlah alasan, ada perbedaan yang terjadi ketika kita bicara
tentang tujuan-tujuan operasi. Sebuah entitas bisa jadi sudah terselenggara
seperti yang dimaksudkan, namun hal serupa yang dilaksanakan entitas
tersebut sudah dilakukan oleh pesaingnya. Hal itu menunjuk pada peristiwa-
peristiwa eksternal seperti perubahan dalam pemerintahan, cuaca yang
buruk dan semacamnyaketika sebuah kejadian terjadi di luar kendali. Hal
tersebut mungkin sudah dipertimbangkan di beberapa peristiwa dalam
proses penyusunan tujuannya dan ditangani seolah-olah hal tersebut
mungkin terjadi, dengan rencana kemungkinan-kemungkinan jika hal-hal
tersebut benar-benar terjadi. Namun, rencana-rencana tersebut hanya dapat
mengurangi dampak dari peristiwa-peristiwa eksternal. Hal tersebut tidak
dapat memastikan tercapainya tujuan-tujuan.
Enterprise risk management untuk operasi terutama berfokus pada :
Mengembangkan konsistensi tujuan dan sasaran di seluruh organisasi;
Mengidentifikasi faktor-faktor sukses kunci dan resiko ;
Menaksir resiko dan membuat tanggapan-tanggapan yang
diinformasikan;
Menerapkan tanggapan-tanggapan resiko yang pantas;
Menetapkan kendali-kendali yang diperlukan; dan
Melaporakan kinerja dan harapan-harapan pada waktunya.

Untuk tujuan-tujuan ini, enterprise risk management mampu memberikan


jaminan yang layak bahwa manajemen, Dewan Direktur dan Dewan
Komisaris sadar, pada waktu yang tepat, tentang arah pergerakan entitas.

Singkatnya, risk appetite yang disusun oleh Dewan Direktur dan ditinjau
ulang oleh Dewan Komisaris harus menjadi tonggak panduan dalam proses
pengaturan strategi ini. Strategi-strategi yang berbeda memiliki resiko-resiko
terkait yang berbeda pula. Enterprise risk management harus diterapkan
dalam pengaturan strategi, dan itu akan membantu manajemen dalam
memilih strategi yang konsisten dengan risk appetite-nya. Manajemen

64 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


kemudian harus menyelaraskan strategi tersebut dengan organisasi, orang-
orang, proses-proses dan infrastruktur untuk memudahkan penerapan
strategi yang sukses dan memungkinkan entitas untuk tinggal dalam risk
appetite.

Pertanyaan-Pertanyaan Tinjauan
5 pertanyaan pilihan ganda sebagai bahan kajian bab empat.

1. Berikut ini adalah pernyataan-pernyataan yang benar tentang


budaya resiko kecuali :
(a) Budaya resiko berperan penting bagi pimpinan untuk
memperkenalkan nilai-nilai perusahaan dan budaya resiko
yang benar, melalui kelakuan yang relevan dan kebijakan-kebijakan
tertulis.
(b) Nilai-nilai perusahaan dan budaya resiko merupakan "sisi lembut"
manajemen resiko, namun seringkali diabaikan.
(c) Budaya resiko adalah sekumpulan sikap-sikap, nilai-nilai, dan
praktek-praktek yang menunjukkan bagaimana entitas
mempertimbangkan resiko dalam aktivitas sehari-harinya.
(d) Budaya resiko merupakan resiko yang disebabkan oleh kelemahan
entitas dalam kebudayaan yang relevan.

2. Pilih jawaban yang benar, tujuan dari pelatihan kesadaran resiko


adalah untuk memastikan bahwa :
(a) Setiap orang dalam bisnis dapat secara proaktif mengidentifikasi
resiko-resiko kunci bagi perusahaan.
(b) Secara serius memikirkan konsekuensi-konsekuensi resiko yang
menjadi tanggung jawabnya.
(c) Mengkomunikasikan ke atas dan ke bawah dalam organisasi, resiko-
resiko yang membutuhkan perhatian dari personil yang lain.
(d) Semua jawaban di atas benar.

3. Pernyataan-pernyataan tentang pentingnya dokumentasi resiko


dalam proses manajemen resiko berikut adalah benar, kecuali :
(a) Untuk menunjukkan pada pemangku kepentingan tentang proses-
proses yang dilaksanakan dengan semestinya.
(b) Untuk menyediakan bukti-bukti pendekatan sistematis dalam
analisa dan identifikasi resiko.

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 65


(c) Untuk memungkinkan peninjauan ulang proses-proses atau
pengambilan keputusan.
(d) Untuk menambahi pekerjaan sehari-hari jajaran manajer dengan
beban yang tidak perlu.

4. "Dasbor ERM" dimaksudkan untuk memperlengkapi Dewan Direktur


dan manajemen dengan informasi-informasi tentang :
(a) Apakah tujuan-tujuan bisnis terkait dengan resiko yang ada.
(b) Tingkat pemenuhan kebijakan-kebijakan dan peraturan-peraturan.
(c) Insiden-insiden yang terjadi.
(d) Semua pilihan di atas benar.

5. Mengapa proses enterprise risk management tidak dapat


menyediakan jaminan yang layak dalam pencapaian tujuan operasi,
dibanding dengan tujuan-tujuan seperti tujuan pelaporan dan
pemenuhan? Semua jawaban di bawah ini benar, kecuali :
(a) Sebuah entitas dapat berjalan seperti yang dimaksudkan, namun hal
itu telah dilakukan sebelumnya oleh pesaingnya.
(b) Proses tersebut ditujukan untuk peristiwa-peristiwa eksternal.
(c) Kemungkinan rencana-rencana yang disusun hanya mengurangi
dampak dari peristiwa-peristiwa eksternal.
(d) Pelaporan dan pemenuhan tujuan sangat mudah dicapai.

66 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


UKURAN
BAB V
DARI EFEKTIFITAS

Bab ini di ditujukan untuk menggali peralatan yang tersedia dan mengukur
kesuksesan pelaksanaan dari ERM. Kami juga akan memberikan daftar
kepada pembaca yang mana akan memakainya untuk evalusi mandiri sejauh
inisiatif ERM.

Alat pengukur dan Pendekatannya


Kinerja Pengukuran adalah sesuatu yang penting dalam mengatur resiko.
Bagian ini akan menyediakan suatu peta perencanaan dari alat yang tersedia
dan melakukan pendekatan untuk mengukur efektivitas inisiatif ERM.

ERM secara jelas menghubungkan manajemen resiko tersebut dengan nilai


yang diciptakan suatu organisasi dan menyatakan resiko dalam kaitannya
dengan dampak pada sasaran sutu organisasi. Suatu aspek penting ERM
yang kemudian berhubungan secara kuat antara ukuran resiko dan ukuran
kinerja organisasi secara keseluruhan. Hal ini sangat penting untuk
pimpinan, terutama untuk memastikan bahwa kinerja tersebut telah terukur
dengan menggunakan risk based metrics, reflecting capital consumption,
return, and volatility.

ERM
Pada tabel di bawah ditunjukan suatu kinerja badan perusahaan baik
finansialnya maupun non-finansial yang dapat dihubungkan dengan
pengukuran efektivitas pelaksanaan ERM. Pengukuran finansial ini
mempunyai dasar pikiran yaitu modal harus sudah kembali sebelum tercipta
nilai. Namun, pengukuran finansial tidak selalu digunakan sebagai satu-
satunya wakil dari suatu nilai.

Salah satu pendekatan yang paling umum untuk mengukur efektivitas


kinerja ERM adalah dengan membandingkan program ERM tersebut dengan
batas pengembangan modal ERM berdasarkan pada praktek industri. Di
dalam bagian ini, kami memperkenalkan pengembangan modal ERM yang
dikembangkan oleh James Lam, CRO yang pertama di dunia dan salah satu
pengamat ERM hari ini. Maturity model adalah suatu aktivitas dasar dari
benchmarks dan diperoleh dari berbagai proyek ERM dan pembelajaran

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 67


benchmarking yang diselenggarakan oleh Yakobus Larian Lam pada lebih dari
sepuluh tahun, seperti halnya kedua tinjauan ulang survei global yang
diselenggarakan oleh Dewan Konferensi tahun 2005 dan Mercer Oliver
Wyman dan Konferensi Dewan Eksekutif. Tujuan ERM Maturity ini adalah
untuk memungkinkan perusahaan untuk melakukan penilaian diri sendiri
akan program manajemen resiko perusahaan mereka sehubungan dengan
industri benchmarks. Lihat gambar 5.1.

Table 5.1 Pengukuran kinerja finansial untuk industri-industri non-finansial

ROE Operating EBITDA CFROI WACC EVA- Economic value


return on equity earnings Earnings Cashflow return Weighted avarage added. Ukuran kinerja
before interest, on investment. cost of capital. perusahaan yang
(keuntungan (pendapatan tax, depreciation, menitik beratkan pada
modal) operasional) and amortization EBITDA dibagi Jumlah kemampuan untuk
dengan keuntungan mencapai return
(pendapatan aset nyata pasar yang melampaui modal
sebelum bunga, dibutuhkan perusahaan. Hal ini
pajak, masing-masing seringkali dimulai
depresiasi komponen dari sebagai batas
dan amortisasi) permodalan keuntungan setelah
perusahaan, pajak dikurangi
yang dipengaruhi dengan modal yang
oleh pembagian dibutuhkan dikali
modal biaya menghasilkan
keseluruhan modal rata-rata.

Table 5.2 Financial (performance) measures for financial industries

RORAC - Return on risk adjusted ECAP - Economic capital. Embedded value CAR
capital; RAROC Risk adjusted Nilai pasar untuk aset sebuah pengukuran Capital Adequacy
return on capital; RARORAC Risk dikurangi nilai passiva. nilai bisnis tertentu Ratio;
adjusted return on risk adjusted Digunakan dalam dalam buku
capital. praktek sebagai ukuran perusahaan RBC
modal, khususnya asuransi. Risk based capital
RORAC adalah target pengukuran jumlah modal yang
ROE di mana denominatornya dibutuhkan untuk CAR atau RBC
disusun tergantung pada resiko menghasilkan batas adalah kebutuhan
yang terkait dengan instrumen atau kemampuan pembayaran modal yang spesifik.
proyek. yang eksplisit (misalnya CAR untuk bank-bank
kemungkinan yang dan RBC untuk
RARORAC adalah kombinasi RAROC pasti akan kejatuhan) perusahaan-
dan RORAC di mana numerator dan perusahaan asuransi.
denominator nya disesuaikan (untuk
resiko yang berbeda)

68 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


Stage 1: White-belt company
Tahap pertama pengembangan ERM
Fokus pengembangan ERM : definisi, organisasi, dan perencanaan.
Kebanyakan perusahaan menghabiskan sekitar enam bulan sampai satu tahun pada
tahap ini.
Dalam tahap ini, perusahaanmu baru mulai mencari tahu bagaimana untuk
mendefinisikan, mengembangkan, dan menerapkan ERM.

Stage 2: Yellow-belt company


Tahap kedua dalam pengembangan ERM.
Fokus pengembangan ERM : identifikasi resiko dan proses penaksiran.
Kebanyakan perusahaan menghabiskan antara setahun sampai dua tahun pada tahap ini.
Pada tahap ini, perusahaanmu berada di belakang perusahaan-perusahaan sebayanya
yang lain dalam bidang ERM

Stage 3: Green-belt company


Tahap ketiga dalam pengembangan ERM.
Fokus pengembangan ERM : kuantifikasi dan pelaporan ERM.
Kebanyakan perusahaan menghabiskan antara dua sampai tiga tahun pada tahap ini.
Dalam tahap ini, perusahaanmu selevel dengan perusahaan-perusahaan sebayanya
dalam bidang ERM.

Stage 4: Perusahaan sabuk-coklat


Tahap keempat dalam pengembangan ERM
Fokus pengembangan ERM : mengintegrasikan ERM dalam proses-proses bisnis kunci.
Perusahaan yang ingin mencapai manajemen resiko dengan "pelatihan terbaik" mungkin
menghabiskan sekitar dua atau tiga tahun pada tahap ini, lalu kemudian naik ke tingkat
selanjutnya. Namun kebanyakan perusahaan sudah cukup puas untuk memiliki manajemen
resiko "yang terbaik di kelas" dan mengelola ERM mereka pada level ini.
Dalam tahap ini, perusahaanmu melebihi perusahaan-perusahaan lainnya dalam
penerapan ERM.

Stage 5: Perusahaan sabuk-hitam


Tahap kelima dan terakhir dalam pengembangan ERM.
Fokus pengembangan ERM : optimasi kinerja bisnis.
Dalam tahap ini akan diambil sumber-sumber daya yang penting dan menghabiskan banyak
tahun bagi
perusahaan untuk mencapai level ini dalam pengembangan ERM.
Dalam tahap ini, perusahaanmu menjadi pemimpin dalam pelaksanaan ERM

Figure 5.1 ERM maturity model based on James Lam model

Metode peninjauan kinerja ERM ada dalam daftar berikut (lihat pada table 5.3
dan 5.4)
Penilaian diri sendiri.
Pemeriksaan menyeluruh pada badan kerja.
Pemeriksaan dan pengawasan keberhasilan kerja.

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 69


Pemeriksaan keuangan dan penaksiran kembali resiko pada pencapaian
tujuan khusus.
Perjanjian penting dan batas waktu untuk permulaan program dan
komunikasi, pengawasan, pelaporan dan peninjauan.

Seperti yang telah bahas pada bab sebelumnya, kinerja pengawasan


enterprise risk management dapat ditempuh dengan 2 cara : melalui aktivitas
yang berkelanjutan atau evalusi terpisah. Mekanisme enterprise risk
management biasanya disusun untuk mengawasi diri mereka sendiri secara
berkelanjutan, setidaknya sampai suatu tahap tertentu. Semakin besar
tingkat dan efektivitas dari pengawasan berkelanjutan, maka evaluasi
terpisah makin sedikit diperlukan. Pada umumnya, beberapa kombinasi dari
pengawasan berkelanjutan dan pemisahan evaluasi akan memastikan bahwa
manajemen resiko perusahaan telah memelihara efektivitasnya dari waktu ke
waktu. Lihat tabel 5.3 dan 5.4 sebagai contoh monitoring berkelanjutan dan
pemisahan evaluasi aktivitas dan berbagai alat untuk mengukur efektivitas
dari program manajemen resiko perusahaan anda.

Table 5.3 Pengawasan ERM yang berkelanjutan (aktivitas dan sarana-sarana)

Laporan dan komunikasi dari Model nilai pada Para penasehat dan auditor Seminar-seminar
internal dan eksternal. resiko digunakan internal dan eksternal dapat pelatihan, sesi-
untuk mengevaluasi memberikan rekomendasi sesi perencanaan
Contoh : dampak pergerakan untuk memperkuat enterprise dan pertemuan-
Sebuah tinjauan perusahaan pasar yang potensial risk management. pertemuan lain
asuransi akan kebijakan dan praktek- pada posisi memberikan
praktek keselamatan memberikan keuangan Para auditor dapat timbal balik pada
informasi tentang fungsi enterprise perusahaan. memperkirakan resiko-resiko manajemen
risk management, dari keselamatan kunci perusahaan atau unit, mengenai apakah
operasional dan perspektif-perspektif Model-model ini pemilihan respon resiko dan enterprise risk
pemenuhan. Oleh karena itu dapat bertindak desain kendali terkait, dan management
melayani sebagai teknik pengawasan. sebagai sarana- pada pengujian tersebut efektif.
sarana yang efektif keefektifannya.
Para pengatur juga dapat dalam menentukan
menyampaikan pada entitas apakah unit bisnis Kelemahan potensial mungkin
mengenai pemenuhan atau masalah- atau fungsi-fungis teridentifikasi dan tindakan-
masalah lain yang mencerminkan bisnis tinggal dalam tindakan alternatif
fungsi proses enterprise risk toleransi resiko yang direkomendasikan pada
management. teridentifikasi. manajemen, disertai dengan
informasi yang berguna dalam
penentuan pembiayaan yang
bermanfaat.

70 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


Table 5.4 Separate evaluations on ERM performance monitoring .

Scope and Frequency Who Evaluates The Evaluation Process Methodology


Scope and frequency Person in charge:
Understand each of the entity
Checklists,

depends on the significance self-assessments activities and each of the questionnaires
of risks and importance of (where persons components of enterprise risk and flowcharting
the risk responses and responsible for a management being addressed. techniques.
related controls in managing particular unit or
the risks. Higher-priority function determine Focus on how enterprise risk
Comparing or

risk areas and responses the effectiveness of management purportedly benchmarking
should be evaluated more enterprise risk functions ? this is sometimes enterprise risk
often. management for their referred to as the system or management
activities.) process design. process against
Evaluation of the entirety of those of other
enterprise risk management Internal auditors:
Determine how the system
entities.
will be needed less internal auditors actually works. Procedures
frequently than the normally perform designed to operate in a An entity may,
assessment of specific parts, evaluations as part of particular way may be modified for example,
prompted by a number their regular duties, over time to operate differently measure its process
of reasons: or at the specific or may no longer be performed. against those of
Major strategy or
request of senior Sometimes new procedures are companies with
management change, management, the board established but are not known reputations for
Major acquisitions or
or subsidiary or to those who described the having particularly
dispositions, divisional executives. process and are not included in good enterprise risk
Significant change in
available documentation. management.
economic or political External auditors:

conditions, or input for management Discussions with personnel
Comparisons might
Significant changes in
who perform or are affected by be done directly
operations or methods of enterprise risk management, with another
processing information. by examining records on company or under
performance or a combination the auspices of
Note: When a decision is of procedures. trade or industry
made to undertake a associations.
comprehensive evaluation of Analyze the enterprise risk
Other organizations
an entity's enterprise risk management process design may provide
management, attention and the results of tests comparative
should be directed to performed. The analysis is information, and
addressing its application in conducted against the peer review
strategy setting as well as backdrop of management's functions in some
with respect to significant established standards for each industries can help
activities. component, with the ultimate a company evaluate
goal of determining whether the its process against
The evaluation scope also process provides reasonable those of its peers.
will depend on which assurance with respect to the
objectives categories stated objectives. Note: When
strategic, operations, conducting
reporting and compliance comparisons,
are to be addressed. consideration must
be given to
differences that
always exist in
objectives,
facts and
circumstances

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 71


Sebagai kesimpulan, peninjauan ulang suatu proses sebaiknya dihubungkan
dengan indikator kinerja utama pada suatu organisasi. Rencana manajemen
resiko sebaiknya berhubungan dengan kinerja perorangan dan pengendali
utama dan dapat memastikan bahwa mereka bekerja dengan baik pada
semua level di organisasi. Pengawasan dan peninjauan kembali sebaiknya
memastikan bahwa program manajemen resiko yang efektif selalu
mengindikasikan hemat biaya hasil resiko dan menggambarkan suatu
strategi dan cara kerja yang baik serta tujuan dari suatu organisasi.

Daftar sederhana
Kebanyakan perusahaan tertarik akan bagaimana program manajemen
resiko perusahaan mereka dibandingkan dengan praktek industri.
Pengembangan suatu daftar yang berdasar pada pengalaman internasional
adalah salah satu pendekatan secara luas yang telah diadopsi dari
pengalaman ini.

Daftar menurun ini disediakan untuk evaluasi pribadi dan taksiran pribadi
yang mana dapat digunakan untuk Direktur dan Komisaris untuk
mengevalusi atau menaksirkan sumbangan serta efektifitas mereka dalam
memimpin suatu ERM dalam perusahaan mereka melawan pengalaman
internasional.

Daftar ini dibagi menjadi lima tahap berbeda yang saling berkaitan untuk
pengembangan ERM untuk perusahaan tersebut.

Formulation and initiation checklist

Sebagai dewan pengurus pada suatu badan organisasi, apakah anda


mewajibkan manajemen untuk memimpin penemuan atas syarat
pengaturan dan pengalaman industri dalam aspek ini ?
Sudahkah anda membantu manajemen dengan menetapkan jangkauan
untuk manajemen resiko perusahaan ( mencakup kredit, pasar, dan resiko
operasional) ?
Sudahkah anda mengembangkan strategi enterprise risk management
secara menyeluruh dan merencanakannya ?
Sudahkah anda menetapkan sebuah tim untuk memimpin proses
pengumpulan data bersama perusahaan mitra ?

72 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


Sudahkah anda memberikan pengajaran akan resiko pada badan
perusahaan dan para pelaksana bisnis anda ?
Sudahkah anda mengangkat chief risk officer (CRO) dan membentuk staf
kerja CRO ?
Sudahkah anda menetapkan kerangka kerja enterprise risk management,
termasuk pembagiannya ?
Sudahkah anda menetapkan panitia manajemen resiko sebagai bagian
dari panitia komisi ?

Early implementation checklist

Sudahkah anda menetapkan suatu kebijakan ERM, termasuk peraturan


dan pertanggungjawabannya ?
Sudahkah anda mewajibkan manajemen untuk melakukan perhitungan
pajak pada seluruh unit bisnis ?
Sudahkah anda mewajibkan manajemen untuk menggabungkan proses
identifikasi resiko pada seluruh manajemen resiko, pemeriksaan
keuangan, pemenuhan, dan berbagai kekeliruan yang terjadi ?
Sebagai anggota dewan suatu perusahaan, sudahkah anda
memperlengkapi diri anda dengan pengetahuan tetang resiko serta
mewajibkan manajemen untuk memperlengkapi pelatihan tentang resiko
untuk kelompok pekerja yang besar ?
Sudahkah anda mewajibkan manajemen untuk menetapkan fungsi resiko
pada seluruh unit bisnis ?

Controlling and monitoring checklist

Sudahkah anda menetapkan manajemen untuk membuat model


pengukuran resiko dan database ?
Sudahkah anda menetapkan dan mengawasi proses pembuatan KRI dan
melaporkannya resiko perusahaan setiap laporan bulanan ?
Sudahkah anda menetapkan manajemen untuk membuat metodologi
pengukuran kinerja resiko yang disesuaikan ?
Sudahkah anda menetapkan manajemen supaya memperbaharui
taksiran pada diri sendiri pada triwulan atau awal bulan ?

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 73


Integration process checklist

Sudahkah anda mewajibkan dan memimpin proses pengembangan


cakupan ERM secara finansial (pasar dan resiko kredit) maupun resiko
non-finansial (operasional, bisnis, dan resiko hukum dan resiko
reputasional yang mungkin terjadi) ?
Sudahkah anda memimpin penggabungan peninjauan resiko ke dalam
pengembangan bisnis dan proses persetujuan produk/servis ?
Sudahkah anda mewajibkan manajemen untuk melaporkan ERM secara
otomatis pada laporan bulanan pada pedoman elektronik yang meliputi
customizes quires dan peningkatan yang nyata ?
Sudahkah anda menetapkan "trigger points" untuk membuat keputusan
bisnis, peringanan resiko dan jalan keluarnya secara tepat waktu ?
Sudahkah anda menghubungkan kinerja manajemen resiko dengan upah
eksekutif ?

Optimization checklist

Sudahkah anda memperluas jangkauan ERM beserta resiko strateginya ?


Sudahkah anda mewajibkan manajemen untuk menggabungkan ERM
kedalam proses perencanaan strategi ?
Sudahkah anda memaksimalkan nilai para pemegang saham
memanajemen alokasi sumber daya bisnis [itu] di "efficient frontie" secara
aktif ?
Sudahkah anda menetapkan mekanisme untuk proses transparasi resiko
s e b a g a i k u n c i p a r a p e m a n g k u k e p e n t i n g a n i n v e s t o r, a g e n
terkemukasepenuhnya menelaah resiko keseluruhan dan pengendali
resiko masa depan ?
Sudahkah anda mewajibkan manajemen meningkatkan kemampuan
manajemen resiko, peralatan, dan informasi untuk mempererat tali
kerjasama dengan cara membantu mereka mengelola resiko mereka ?

74 Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris


STUDI KASUS

PT Astra Internasional Tbk akan terpilih secara menyeluruh tetapi membuka


studi kasus diakhiri untuk mengijinkan suatu pertanyaan [yang] diakhiri
terbuka untuk diskusi. Kasus akan [jadi] ditargetkan untuk para Direktur
dan Komisaris, mengundang praktis dan experiential berdebat antar
[mereka/nya].

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 75