Risk Management)
Posted on Maret 14, 2013 by imadjidi
Terdapat beberapa beberapa standar manajemen risiko dengan definisi mengenai risk atau risiko
dan manajemen risiko masing-masing.
Events can have negative impact, positive impact, or both. Events with a negative impact
represent risks, which can prevent value creation or erode existing value. Events with positive
impact may offset negative impacts or represent opportunities. Opportunities are the possibility
that an event will occur and positively affect the achievement of objectives, supporting value
creation or preservation. Management channels opportunities back to its strategy or objective-
setting processes, formulating plans to seize the opportunities.
Suatu kejadian bisa mempunyai dampak negatif, dampak positif atau keduanya. Kejadian
dengan dampak negatif dinamakan risiko, yang dapat mencegah kreasi nilai atau mengurangi
nilai yang ada. Kejadian dengan dampak positif dapat mengurangi dampak negatif atau
dinamakan peluang. Peluang adalah kemungkinan kejadian yang akan menjadikan pencapaian
tujuan atau yang berakibat posistif untuk pencapaian tujuan, yang mendukung kreasi nilai atau
pemeliharaan nilai. Manajemen mengaitkan peluang-peluang dengan strategi atau proses
penetapan tujuan dan menformulasikan rencana-rencana sesuai dengan peluang-peluang itu.
Enterprise risk management deals with risks and opportunities affecting value creation or
preservation, defined as follows:
Manajemen Risiko Perusahaan adalah suatu proses, yang dijalankan oleh dewan
komisaris/pengawas, manajemen (dewan direksi) dan personel yang lain, yang diterapkan dalam
penetapan strategi dan diterapkan n di seluruh perusahaan, yang dirancang untuk
mengidentifikasi potensi kejadian-kejadian yang bisa mempengaruhi perusahaan dan mengelola
risiko-risiko itu di dalam selera risiko perusahaan, untuk menjamin secara rasional pencapaian
tujuan-tujuan perusahaan.
Komponen digambarkan sebagai sebuah kubus, yang mempunyai tiga permukaan yang tampak.
Ketiga permukaan itu adalah :
Permukaan dari sisi atas adalah komponen tujuan Manajemen risiko perusahaan yaitu :
Strategic (Strategis).
Operation (Operasi).
Reporting (Pelaporan).
Compliance (Kepatuhan).
Permukaan dari sisi depan adalah komponen proses Manajemen risiko perusahaan yaitu :
+-
ISO 31000 tidak digunakan untuk tujuan sertifikasi, artinya tidak/belum ada sertifikat ISO 31000
untuk suatu organisasi, tetapi ISO 31000 bisa digunakan untuk program audit/asesmen
manajemen risiko. Organisasi yang menerapkan standar ini dapat membandingkan praktek
manajemen risikonya dengan organisasi lain (bencmarking). Organisasi yang menerapkan
standar ini dapat terbantu mewujudkan manajemen yang efektif dan bertata-kelola lebih baik
(GCG/Good Corporate Governance). (Ref.
http://www.iso.org/iso/home/standards/iso31000.htm).
Definisi risiko dan manajemen risiko menurut ISO 31000:2009.
Manajemen risiko di dalam suatu organisasi digambarkan sebagai suatu skema/diagram kaitan
antara prinsip-prinsip, kerangka kerja, dan proses-proses manajemen risiko.
Supaya manajemen risiko dapat efektif dilaksanakan, maka organisasi di semua tingkatan harus
memenuhi prinsip-prinsip, yaitu :
Framework Manajemen Risiko ISO 31000:2009 dalam klausul 4 (lihat gambar di bawah) terdiri
atas :
Framework Manajemen Risiko ISO 31000:2009 menggunakan PDCA atau Plan Do Check
Action, untuk perbaikan berkelanjutan (continual improvement) sebagai basis framework dan
proses manajemen risiko. PDCA ini digambarkan secara jelas pada gambar di bawah.
Plan mendefinisikan dan analisis suatu masalah serta mengidentifikasi akar masalahnya.
Do melaksanakan solusi, membuat rencana kerja secara terinci dan menarapkannya secara
sistematis.
Mengendalikan asuransi/penjaminannya.
Kemajuan rencana manajemen risiko.
Pelaporan taka kelola.
Benchmarking / study banding.
Kriteria unjuk kerja.
Act Menstandarisasi solusi. Mengkaji ulang dan mendefinisikan masalah-masalah yang akan
datang.
Komitmen dan Mandat dari atasan kepada bawahannya, mulai dari pemegang saham,
Komisaris, Direksi, sampai dengan karyawan level terendah dalam masalah manajemen
risiko.
Secara lebih detail klausul 4 dengan PDCA nya digambarkan dengan gambar berikut ini :
Proses Manajemen Risiko ISO 31000:2009 digambarkan kembali secara lebih detail
sebagaimana gambar di bawah ini.
Proses pertama adalah Establishing The Context (Menetapkan Konteks). Dalam proses
manajemen risiko langkah awal yang sangat penting adalah Establishing The Context .
Menetapkan konteks ini meliputi penetapan tujuan, strategi, ruang lingkup dan parameter-
parameter lain yang berhubungan dengan proses pengelolaan risiko suatu organisasi. Penetapan
konteks ini menunjukkan hubungan antara masalah atau hal yang akan dikelola risikonya dengan
lingkungan organisasi (eksternal & internal), proses manajemen risiko dan ukuran atau kriteria
risiko yang dijadikan standar. Dalam penetapan konteks ini ditetapkan pula sumber daya,
struktur organisasi (tanggung jawab dan wewenang) yang diperlukan dalam pengeloaan risiko.
Dalam dokumen rencana risk manajemen (Risk Management Plan), penetapan konteks ini dapat
dijadikan bab Latar Belakang Masalah, bab struktur organisasi pengeloaan risiko dan bab
Kriteria Risiko.
Kriteria risiko atau Risk Criteria adalah ukuran standar seberapa besar dampak atau konsekwensi
yang mungkin akan terjadi dan seberapa besar kemungkinan atau frekeunsi atau likelihood risiko
akan terjadi. Gambar di bawah semoga dapat dijadikan contoh kriteria risiko itu.
Dalam tulisan yang lain insya Alloh akan kami uraiakan kriteria risiko ini.
Proses kedua adalah Risk Identification atau identifikasi risiko, yaitu melakukan identifikasi
risiko-risiko yang dapat terjadi di masa yang akan datang (yaitu : risiko apa, kapan, di mana,
bagaimana, mengapa suatu risiko bisa terjadi). Identifikasi ini termasuk pengidentifikasian
poses-proses/tugas-tugas/aktifitas-aktifitas kritikal atau kunci, pengenalan area-area risiko dan
katagorinya.
Proses ketiga adalah Risk Analysis atau analisis risiko-risiko, yaitu proses menentukan berapa
besar dampak (impact atau consequences) dan kemungkinan (frequency atau likelihood) risiko-
risiko yang akan terjadi, serta menghitung berapa besar level risikonya dengan mengalikan
antara besar dampak dan besar kemungkinan (Risk = Consequences x Likelihood).
Proses keempat adalah Risk Evaluation atau membandingkan risiko-risiko yang sudah dihitung
diatas dengan Kriteria Risiko yang sudah distandarkan (menempatkan posisi risiko-risiko pada
gambar kriteria risiko), apakah risiko-risiko itu acceptable/dapat diterima, menjadi
issue/diwaspadai, atau unacceptable/tidak diterima, serta memprioritaskan mitigasi atau
penangannya. Lihat gambar di bawah ini, risiko nomor 1 dan 5 terletak di daerah warna merah
Unacceptable Risk dan menjadi prioritas untuk dilakukan penanganan atau mitigasinya.
Proses kelima adalah Risk Treatment atau mitigasi risiko-risiko. Mitigasi risiko-risiko harus
direncanakan sebaik-baiknya dan dipertimbangkan semua alternatif solusinya, sebelum
dilaksanakan mitigasinya, agar mendapatkan hasil yang diharapkan ecara efektif dan efisien.
Beberapa alternatif bisa dipertimbangkan untuk digunakan, seperti :
membagi risiko,
mengurangi likeliihood dan/atau mengurangi konsekwensi,
menghindari risiko atau membatalkan aktifitas yg berisiko tinggi,
menerima risiko.
Proses keenam adalah Monitor & Review (Pemantauan & Pengkajian Ulang). Pemantauan &
Pengkajian Ulang dilaksanakan terhadap seluruh proses manajemen risiko termasuk konteksnya
(lingkungan, proses, organisasi, strategi, stakeholder dsb.). Catatan-catatan hasil Pemantauan &
Pengkajian Ulang disimpan sebagai bukti dan laporna bahwa aktifitas itu telah dilaksanakan dan
sebagai masukan bagi Risk Management Framework yang telah disiapkan sebelumnya.
Selama melaksanakan ke enam proses manajemen risiko itu Communication & Consultation
(komunikasi dan konsultasi) selalu dilaksanakan kepada semua stakeholder, secara kontinyu dan
iterative.
Skema lain yang menambah kejelasan mengenai langkah-langkah penerapan proses manajemen
risiko ISO 31000:2009 dapat dilihat pada gambar di bawah.
Referensi :
11 April 2014
Tidak dapat dipungkiri bahwa saat ini terdapat dua rujukan besar yang dijadikan kiblat penerapan
manajemen risiko. Kedua rujukan tersebut adalah Committee of Sponsoring Organizations of the
Treadway Commission (COSO) Enterprise Risk Management (ERM) Integrated Framework dan The
International Organization for Standardization (ISO) 31000: 2009 Risk Management Principles and
Guidelines. COSO ERM dan ISO 31000: 2009 merupakan rujukan manajemen risiko yang telah banyak
diadopsi oleh perusahaan-perusahaan dari berbagai belahan dunia. Kedua rujukan tersebut
menyediakan panduan penerapan manajemen risiko dengan tujuan mendukung efektivitas manajemen
risiko bagi para penggunanya. Walau disusun dengan tujuan serupa, kedua standar tersebut memiliki
perbedaan dalam berbagai aspek dan komponennya.
Keberadaan standar-standar manajemen risiko yang beragam ini melahirkan perdebatan mengenai
standar mana yang lebih baik. Standar manakah yang lebih baik dalam mendukung efektivitas
penerapan manajemen risiko? Apakah COSO ERM atau ISO31000:2009? Untuk menjawab pertanyaan
tersebut kita perlu memahami terlebih dahulu isi dari kedua standar tersebut.
Pada tahun 2001, COSO bekerjasama dengan Pricewaterhouse Coopers memulai proyek untuk
mengembangkan sebuah kerangka kerja manajemen risiko yang dapat digunakan untuk mengevaluasi
dan meningkatkan efektivitas ERM. Kerjasama ini membuahkan hasil pada tahun 2004 dengan dirilisnya
COSO ERM Integrated Framework, yang mendefinisikan manajemen risiko sebagai:
Proses yang dipengaruhi oleh Board of Directors, manajemen, dan personil lain dalam entitas,
diaplikasikan pada pembentukan strategi dan pada seluruh bagian perusahaan, dirancang untuk
mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko selaras
dengan risk appetite entitas, untuk menyediakan jaminan yang wajar terhadap pencapaian sasaran dari
entitas.
Dalam kerangka manajemen risikonya, COSO ERM menuntut perusahaan untuk dapat menentukan
terlebih dahulu sasaran perusahaannya, yang terdiri dari empat kategori yaitu:
Dalam COSO ERM, manajemen risiko terdiri dari delapan komponen yang saling terkait, yaitu:
1. Lingkungan internal
Mengidentifikasi kondisi internal perusahaan, meliputi kekuatan dan kelemahannya, serta
pandangan entitas terhadap risiko dan manajemen risiko.
2. Penetapan sasaran
Sasaran kegiatan manajemen risiko harus sejalan dengan sasaran dari perusahaan, serta
konsisten dengan risk appetite perusahaan.
3. Identifikasi kejadian
Kejadian internal dan eksternal yang dapat mempengaruhi pencapaian sasaran perusahaan
harus diidentifikasi, meliputi risiko dengan kesempatan yang dapat muncul.
4. Penilaian risiko
Risiko dianalisis berdasarkan kemungkinan dan dampaknya. Hasil analisis risiko akan dijadikan
dasar untuk menentukan perlakuan risiko.
5. Perlakuan risiko
Terdapat empat alternatif pada perlakuan risiko, yaitu menghindari (avoidance), menerima
(acceptance), mengurangi (reduction), dan membagi risiko (sharing). Pemilihan perlakuan risiko
dilakukan dengan membandingkan hasil analisis risiko dengan risk appetite dan risk tolerance.
6. Aktivitas pengendalian
Membangun dan mengimplementasikan kebijakan dan prosedur untuk memastikan perlakuan
risiko diterapkan dengan efektif.
7. Informasi dan komunikasi
Informasi yang relevan diidentifikasi, diperoleh, dan dikomunikasikan dalam bentuk dan waktu
yang tepat agar personil dapat melakukan tanggung jawabnya dengan baik.
8. Pemantauan
Seluruh kegiatan ERM harus dipantau, dievaluasi dan dikembangkan.
Gambar 1. Ilustrasi keterkaitan sasaran, komponen ERM, dan unit kerja perusahaan
COSO ERM Integrated Framework juga mendeskripsikan peran dan tanggung jawab dari unit-unit kerja
perusahaan dalam penerapan manajemen risiko. Satu prinsip dasar yang ditanamkan COSO ERM adalah
bahwa semua bagian di dalam perusahaan memiliki tanggung jawab terhadap ERM, yang artinya
implementasi manajemen risiko harus mencakup entity-level, division, business unit, hingga subsidiary,
dan mencakup seluruh seluruh sumber daya manusia di dalamnya. Walau begitu, terdapat pembagian
peran dan tanggung jawab dalam penerapan ERM. Berikut adalah pembagian peran dan tanggung jawab
yang dijelaskan COSO ERM:
Board of Directors (BoD) memiliki tanggung jawab penting dalam melakukan pemantauan
terhadap penerapan manajemen risiko, dengan turut memperhitungkan risk appetite dari
entitas;
Chief Executive Officer (CEO) memiliki tanggung jawab untuk memastikan berjalannya ERM yang
efektif pada keseluruhan perusahaan;
Manajer memiliki tanggung jawab dalam mendukung penerapan prinsip ERM perusahaan,
memastikan pemenuhan ERM dengan risk appetite, dan mengelola risiko di ranah
kewenangannya agar konsisten dengan risk tolerance yang dimilikinya;
Risk officer, financial officer, dan internal audit memiliki peran kunci dalam mendukung
efektivitas penerapan manajemen risiko perusahaan;
Petugas operasional (atau biasa disebut risk coordinator) bertanggung jawab dalam menerapkan
manajemen risiko perusahaan sejalan dengan prosedur dan kebijakan manajemen risiko
perusahaan;
Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan pihak yang berperan dalam value
chain perusahaan) tidak memiliki tanggung jawab dalam memastikan efektivitas ERM dari
entitas, tetapi pihak-pihak tersebut berperan penting dalam menyediakan informasi yang dapat
mendukung efektivitas manajemen risiko.
Gambar 2. Hubungan Antara Prinsip, Kerangka Kerja, dan Proses Manajemen Risiko
Sumber: ISO 31000: 2009 Risk Management Principles and Guidelines
Prinsip manajemen risiko merupakan fondasi dari kerangka kerja dan proses manajemen risiko.
Terdapat sebelas prinsip manajemen risiko yang harus dipegang teguh dan diterapkan saat membangun
kerangka kerja dan melakukan implementasi proses manajemen risiko. Kesebelas prinsip tersebut
adalah
Kerangka kerja manajemen risiko merupakan struktur pembangun proses manajemen risiko. Kerangka
kerja dimulai dengan pemberian mandat dan komitmen, lalu dilanjutkan dengan kerangka implementasi
Plan, Do, Check, Act, yang terdiri dari:
Proses manajemen risiko merupakan kegiatan kritikal dalam manajemen risiko, karena merupakan
penerapan daripada prinsip dan kerangka kerja yang telah dibangun. Proses manajemen risiko terdiri
dari 5 proses besar yaitu:
Implementasi secara mendetail dan menyeluruh pada prinsip, kerangka kerja dan proses manajemen
risiko berdasarkan ISO 31000: 2009 tersebut diharapkan dapat meningkatkan efektivitas manajemen
risiko organisasi.
Keunggulan dan Kelemahan dari COSO ERM Integrated Framework dan ISO 31000: 2009 Risk
Management Principles and Guidelines
Menyadari perbedaan yang ada pada COSO ERM Integrated Framework dan ISO 31000: 2009 Risk
Management Principles and Guidelines, tentunya terdapat keunggulan dan kelemahan tersendiri dari
kedua standar ini. Berikut adalah tabel yang menggambarkan perbedaan serta keunggulan dan
kelemahan dari kedua standar tersebut.
Memfasilitasi perbaikan
berkelanjutan pada keseluruhan
Perbaikan Perbaikan hanya dilakukan apabila diperlukan, kerangka kerja dan proses
berkelanjutan berdasarkan hasil pemantauan. manajemen risiko, sesuai dengan
kebutuhan organisasi dan
perkembangan konteks.
Perbedaan yang melekat pada kedua rujukan ini membawa keunggulan dan kelemahan tersendiri pada
COSO ERM Integrated Framework dan ISO 31000: 2009 Risk Management Principles and Guidelines
dari hasil pengamatan penulis, standar ISO 31000: 2009 memiliki keunggulan esensial dalam
memberikan panduan yang lebih mendetail dan komprehensif. Keberadaan prinsip manajemen risiko,
penetapan konteks eksternal, dan pemisahan antara kerangka kerja dengan proses manajemen risiko
menjadi keunggulan kompetitif yang dimiliki oleh ISO 31000: 2009. Fakta bahwa standar ISO 31000:
2009 telah diakui dan diadaptasi sebagai standar manajemen risiko di hingga 40 negara juga
menunjukkan bahwa ISO 31000: 2009 telah bertahan dari uji kelayakan oleh berbagai negara. Namun
pada akhirnya, dalam memilih standar terbaik untuk diimplementasikan, keunikan pada kedua standar
tersebut perlu dipertimbangkan dan disesuaikan dengan sasaran, karakteristik, dan regulasi yang
berlaku pada organisasi. Dalam penerapannya, organisasi juga dapat mengadaptasi dan
mengkombinasikan komponen-komponen tertentu pada kedua rujukan tersebut untuk membangun
sistem manajemen risiko tersendiri yang efektif bagi organisasinya.
Daftar Pustaka
International Standard for Organization (ISO) 31000:2009 Risk Management Principles and
Guidelines.
COSO Enterprise Risk Management (ERM) Integrated Framework (Executive Summary).
Diunduh dari http://www.coso.org/publications/erm/coso_erm_executivesummary.pdf
10 Reasons not to Like the COSO ERM Framework. Norman Marks on Governance, Risk
Management, and Audit. http://normanmarks.wordpress.com/2011/02/21/10-reasons-not-to-
like-the-c...
Comparing the COSO ERM Framework with ISO31000. Linkedin Discussion (dimulai oleh Alex
Dali, President at Global Institute for Risk Management Standards - G31000). Diunduh dari
http://www.linkedin.com/groups/Comparing-COSO-ERM-Framework-ISO-1834592....