Risiko dan Manajemennya (Risk & The

Risk Management)
Posted on Maret 14, 2013 by imadjidi

Risiko dan Manajemennya (Risk & The Risk

Management)
Setelah diketahui Persyaratan Manajemen Risiko Badan Usaha Milik Negara, timbul
pertanyaan bagaimana memenuhi dan melaksanakannya?. Untuk itu perlu dipahami lebih dulu
apa itu risiko dan manajemen risiko kemudian memahami langkah-langkah penerapannya.

Terdapat beberapa beberapa standar manajemen risiko dengan definisi mengenai risk atau risiko
dan manajemen risiko masing-masing.

Beberapa standar itu antara lain :

1. COSO (Committee of Sponsoring Organizations of the Treadway Commission), suatu

himpunan dari beberapa organisasi profesi di negara AS, al. American Accounting
Association, American Institute of Certified Public Accountants, Financial Executives
International, Institute of Management Accountants, The Institute of Internal Auditors.
2. ISO 31000 Risk management Principles and guidelines

1. COSO Enterprise Risk Management

COSO pada tahun 2004 menerbitkan Enterprise risk management Integrated Framework,
dengan beberapa pengertian antara lain sebagai berikut :

Events Risks and Opportunities (Kejadian Risiko dan Peluang)

Events can have negative impact, positive impact, or both. Events with a negative impact
represent risks, which can prevent value creation or erode existing value. Events with positive
impact may offset negative impacts or represent opportunities. Opportunities are the possibility
that an event will occur and positively affect the achievement of objectives, supporting value
creation or preservation. Management channels opportunities back to its strategy or objective-
setting processes, formulating plans to seize the opportunities.

Suatu kejadian bisa mempunyai dampak negatif, dampak positif atau keduanya. Kejadian
dengan dampak negatif dinamakan risiko, yang dapat mencegah kreasi nilai atau mengurangi
nilai yang ada. Kejadian dengan dampak positif dapat mengurangi dampak negatif atau
dinamakan peluang. Peluang adalah kemungkinan kejadian yang akan menjadikan pencapaian
tujuan atau yang berakibat posistif untuk pencapaian tujuan, yang mendukung kreasi nilai atau
pemeliharaan nilai. Manajemen mengaitkan peluang-peluang dengan strategi atau proses
penetapan tujuan dan menformulasikan rencana-rencana sesuai dengan peluang-peluang itu.

Enterprise Risk Management Defined (Manajemen Risiko Perusahaan

didefinisikan sebagai) :

Enterprise risk management deals with risks and opportunities affecting value creation or
preservation, defined as follows:

Enterprise risk management is a process, effected by an entitys board of directors, management

and other personnel, applied in strategy setting and across the enterprise, designed to identify
potential events that may affect the entity, and manage risk to be within its risk appetite, to
provide reasonable assurance regarding the achievement of entity objectives.

Manajemen Risiko Perusahaan adalah berhubungan dengan risiko-risiko dan peluang-peluang

yang mempengaruhi kresi nilai atau pemelihataannya, yang didefinsikan sebagai berikut :

Manajemen Risiko Perusahaan adalah suatu proses, yang dijalankan oleh dewan
komisaris/pengawas, manajemen (dewan direksi) dan personel yang lain, yang diterapkan dalam
penetapan strategi dan diterapkan n di seluruh perusahaan, yang dirancang untuk
mengidentifikasi potensi kejadian-kejadian yang bisa mempengaruhi perusahaan dan mengelola
risiko-risiko itu di dalam selera risiko perusahaan, untuk menjamin secara rasional pencapaian
tujuan-tujuan perusahaan.

Komponen Enterprise Risk Management (ERM) COSO :

Komponen digambarkan sebagai sebuah kubus, yang mempunyai tiga permukaan yang tampak.
Ketiga permukaan itu adalah :

Permukaan dari sisi kanan adalah komponen entitas perusahaan yaitu :

 Entity-Level (Level Perusahaan).
Division (Divisi).
Business Unit (Unit Bisnis).
Subsidiary (Anak Perusahaan).

Permukaan dari sisi atas adalah komponen tujuan Manajemen risiko perusahaan yaitu :

Strategic (Strategis).
Operation (Operasi).
Reporting (Pelaporan).
Compliance (Kepatuhan).

Permukaan dari sisi depan adalah komponen proses Manajemen risiko perusahaan yaitu :

Internal Environment (Kondisi Lingkungan Internal).

Objective Setting (Penetapan Tujuan).
Event Identification (Identifikasi Kejadian).
Risk Assessment (Asesmen Risiko).
Risk Response (Penanggapan Risiko).
Control Activities (Aktifitas Pengendalian).
Information & Communication (Informasi & komunikasi)
Monitoring (Pemantauan).

+-

2. ISO 31000:2009 Risk management Principles and

guidelines
ISO 31000:2009, Risk management Principles and guidelines, berisi prinsip-prinsip,
framework dan proses untuk mengelola risiko. Standar ini dapat digunakan oleh setiap
organisasi (bagaimanapun besarnya, apapun aktifitasnya atau sektornya). Penerapan ISO 31000
dapat membantu organisasi menaikkan kemungkinan pencapaian tujuan, memperbaiki
identifikasi peluang-peluang dan ancaman-ancaman. Penerapan ISO 31000 dapat membantu
organisasi serta secara efektif mengalokasikan & menggunakan sumber daya untuk perlakuan
risiko.

ISO 31000 tidak digunakan untuk tujuan sertifikasi, artinya tidak/belum ada sertifikat ISO 31000
untuk suatu organisasi, tetapi ISO 31000 bisa digunakan untuk program audit/asesmen
manajemen risiko. Organisasi yang menerapkan standar ini dapat membandingkan praktek
manajemen risikonya dengan organisasi lain (bencmarking). Organisasi yang menerapkan
standar ini dapat terbantu mewujudkan manajemen yang efektif dan bertata-kelola lebih baik
(GCG/Good Corporate Governance). (Ref.
http://www.iso.org/iso/home/standards/iso31000.htm).
Definisi risiko dan manajemen risiko menurut ISO 31000:2009.

Risiko adalah dampak dari ketidakpastian terhadap pencapaian obyektif. Dampak

menurut ISO 31000 adalah deviasi dari apa yang diharapkan, bisa bersifat positif
dan/atau negatif.
Manajemen risiko adalah aktivitas-aktivitas yang terkoordinasi untuk mengarahkan dan
mengendalikan sebuah organisasi yang berkaitan dengan risiko.

Manajemen risiko di dalam suatu organisasi digambarkan sebagai suatu skema/diagram kaitan
antara prinsip-prinsip, kerangka kerja, dan proses-proses manajemen risiko.

Prinsip-Prinsip Manajemen Risiko ISO 31000:2009

Supaya manajemen risiko dapat efektif dilaksanakan, maka organisasi di semua tingkatan harus
memenuhi prinsip-prinsip, yaitu :

1. Manajemen risiko menciptakan dan melindungi nilai yang berkontribusi untuk

pencapaian obyektif dan perbaikan organisasi.
2. Manajemen risiko merupakan bagian yang terintegrasi dengan keseluruhan proses
dalam organisasi dan menjadi bagian dari tanggung jawab manajemen.
3. Manajemen risiko merupakan bagian dari proses pengambilan keputusan melalui
peranannya dalam memberikan pilihan kepada pengambil keputusan.
4. Manajemen risiko secara eksplisit memperhitungkan ketidakpastian dan sifat
ketidak pastian itu, serta berusaha mengurangi ketidakpastian dalam setiap aktivitasnya
dalam memastikan pencapaian obyektif organisasi.
5. Manajemen risiko adalah suatu yang sistematis, terstruktur, dan tepat waktu agar
dapat berkontribusi secara efisien dan secara konsisten menghasilkan sesuatu yang dapat
diperbandingkan dan diandalkan
6. Manajemen risiko berdasarkan ketersediaan informasi yang terbaik seperti data
historis, pengalaman, umpan balik pemangku kepentingan, observasi, perkiraan ke depan
(forecasts) dan pertimbangan para ahli sehingga. Tetapi para pengambil keputusan masih
dapat melihat dan mempertimbangkan keterbatasan data atau pemodelan yang digunakan
atau adanya kemungkinan divergensi pendapat diantara para ahli.
 7. Manajemen risiko memerlukan penyesuaian sesuai dengan konteks eksternal dan
internal organisasi dan profil risiko organisasi itu.
8. Manajemen risiko memperhitungkan faktor manusia dan budayanya yang
merupakan kemampuan, persepsi dan kemauan individu eksternal maupun internal dari
suatu organisasi yang dapat mendukung atau merongrong pencapaian obyektifnya.
9. Manajemen risiko adalah transparan dan inklusif melibatkan semua pemangku
kepentingan terutama pengambil keputusan dalam menentukan kriteria risiko.
10. Manajemen risiko adalah dinamis, iteratif, dan responsif terhadap perubahan,
eksternal dan internal.
11. Manajemen risiko memfasilitasi perbaikan berkelanjutan organisasi yang diukur
dari tingkat kematangan manajemen risikonya.

Framework (Pola kerja ) Manajemen Risiko ISO 31000:2009

Framework Manajemen Risiko ISO 31000:2009 dalam klausul 4 (lihat gambar di bawah) terdiri
atas :

Mandat (pemberian wewenang) dan komitmen (amanah) di klausul 4.2.

1. Rancangan Pola kerja untuk mengelola risiko di klausul 4.3.

2. Penerapan manajemen risiko di klausul 4.4.
3. Pemantauan dan review terhadap framework di klausul 4.5.
4. Perbaikan framework berkelanjutan di klausul 4.2.

Framework Manajemen Risiko ISO 31000:2009 menggunakan PDCA atau Plan Do Check
Action, untuk perbaikan berkelanjutan (continual improvement) sebagai basis framework dan
proses manajemen risiko. PDCA ini digambarkan secara jelas pada gambar di bawah.
Plan mendefinisikan dan analisis suatu masalah serta mengidentifikasi akar masalahnya.

Mengkomunikasikan dan melatih.

Rencana komunikasi dan pelaporan.

Strategi training.
Jaringan manajemen risiko.

Do melaksanakan solusi, membuat rencana kerja secara terinci dan menarapkannya secara
sistematis.

Yang masuk dalam Do ini antara lain :

Mengelola dan mengalokasikan

Komite manajemen risiko komisaris/dewan pengawas.

Komite manajemen risiko eksekutif /direksi.
Manajer manajemen risiko.
RM Champions.
Risiko, pengendaliannya, ownernya.
Penyedia asuransi/penjaminannya.

Check Memeriksa hasil kerja dibandingkan dengan rencananya dan mengidentifikasi

penyimpangannya serta masalah-masalahnya.

Yang masuk dalam Check ini antara lain :

Mengukur dan mengkaji.

Mengendalikan asuransi/penjaminannya.
Kemajuan rencana manajemen risiko.
Pelaporan taka kelola.
Benchmarking / study banding.
 Kriteria unjuk kerja.

Act Menstandarisasi solusi. Mengkaji ulang dan mendefinisikan masalah-masalah yang akan
datang.

Yang masuk dalam Act ini antara lain :

Komitmen dan Mandat dari atasan kepada bawahannya, mulai dari pemegang saham,
Komisaris, Direksi, sampai dengan karyawan level terendah dalam masalah manajemen
risiko.

Pernyataan kebijakan manajemen risiko.

Rencana manajemen risiko.
Rencana Asuransi.
Standar-standar manajemen risiko.
Prosedur dan petunjuk-petunjuk kerja.

Secara lebih detail klausul 4 dengan PDCA nya digambarkan dengan gambar berikut ini :

Proses Manajemen Risiko ISO 31000:2009

Proses Manajemen Risiko ISO 31000:2009 digambarkan kembali secara lebih detail
sebagaimana gambar di bawah ini.
Proses pertama adalah Establishing The Context (Menetapkan Konteks). Dalam proses
manajemen risiko langkah awal yang sangat penting adalah Establishing The Context .
Menetapkan konteks ini meliputi penetapan tujuan, strategi, ruang lingkup dan parameter-
parameter lain yang berhubungan dengan proses pengelolaan risiko suatu organisasi. Penetapan
konteks ini menunjukkan hubungan antara masalah atau hal yang akan dikelola risikonya dengan
lingkungan organisasi (eksternal & internal), proses manajemen risiko dan ukuran atau kriteria
risiko yang dijadikan standar. Dalam penetapan konteks ini ditetapkan pula sumber daya,
struktur organisasi (tanggung jawab dan wewenang) yang diperlukan dalam pengeloaan risiko.
Dalam dokumen rencana risk manajemen (Risk Management Plan), penetapan konteks ini dapat
dijadikan bab Latar Belakang Masalah, bab struktur organisasi pengeloaan risiko dan bab
Kriteria Risiko.

Kriteria risiko atau Risk Criteria adalah ukuran standar seberapa besar dampak atau konsekwensi
yang mungkin akan terjadi dan seberapa besar kemungkinan atau frekeunsi atau likelihood risiko
akan terjadi. Gambar di bawah semoga dapat dijadikan contoh kriteria risiko itu.
Dalam tulisan yang lain insya Alloh akan kami uraiakan kriteria risiko ini.

Proses kedua adalah Risk Identification atau identifikasi risiko, yaitu melakukan identifikasi
risiko-risiko yang dapat terjadi di masa yang akan datang (yaitu : risiko apa, kapan, di mana,
bagaimana, mengapa suatu risiko bisa terjadi). Identifikasi ini termasuk pengidentifikasian
poses-proses/tugas-tugas/aktifitas-aktifitas kritikal atau kunci, pengenalan area-area risiko dan
katagorinya.

Proses ketiga adalah Risk Analysis atau analisis risiko-risiko, yaitu proses menentukan berapa
besar dampak (impact atau consequences) dan kemungkinan (frequency atau likelihood) risiko-
risiko yang akan terjadi, serta menghitung berapa besar level risikonya dengan mengalikan
antara besar dampak dan besar kemungkinan (Risk = Consequences x Likelihood).

Proses keempat adalah Risk Evaluation atau membandingkan risiko-risiko yang sudah dihitung
diatas dengan Kriteria Risiko yang sudah distandarkan (menempatkan posisi risiko-risiko pada
gambar kriteria risiko), apakah risiko-risiko itu acceptable/dapat diterima, menjadi
issue/diwaspadai, atau unacceptable/tidak diterima, serta memprioritaskan mitigasi atau
penangannya. Lihat gambar di bawah ini, risiko nomor 1 dan 5 terletak di daerah warna merah
Unacceptable Risk dan menjadi prioritas untuk dilakukan penanganan atau mitigasinya.

Proses kelima adalah Risk Treatment atau mitigasi risiko-risiko. Mitigasi risiko-risiko harus
direncanakan sebaik-baiknya dan dipertimbangkan semua alternatif solusinya, sebelum
dilaksanakan mitigasinya, agar mendapatkan hasil yang diharapkan ecara efektif dan efisien.
Beberapa alternatif bisa dipertimbangkan untuk digunakan, seperti :

membagi risiko,
mengurangi likeliihood dan/atau mengurangi konsekwensi,
menghindari risiko atau membatalkan aktifitas yg berisiko tinggi,
menerima risiko.

Proses keenam adalah Monitor & Review (Pemantauan & Pengkajian Ulang). Pemantauan &
Pengkajian Ulang dilaksanakan terhadap seluruh proses manajemen risiko termasuk konteksnya
(lingkungan, proses, organisasi, strategi, stakeholder dsb.). Catatan-catatan hasil Pemantauan &
Pengkajian Ulang disimpan sebagai bukti dan laporna bahwa aktifitas itu telah dilaksanakan dan
sebagai masukan bagi Risk Management Framework yang telah disiapkan sebelumnya.

Selama melaksanakan ke enam proses manajemen risiko itu Communication & Consultation
(komunikasi dan konsultasi) selalu dilaksanakan kepada semua stakeholder, secara kontinyu dan
iterative.

Skema lain yang menambah kejelasan mengenai langkah-langkah penerapan proses manajemen
risiko ISO 31000:2009 dapat dilihat pada gambar di bawah.

Referensi :

1. COSO ERM Executive

Summary (http://www.coso.org/documents/coso_erm_executivesummary.pdf ).
2. International Organization for Standardization (ISO). ISO 13000:2009Risk
Management: Principles and Guidelines. Geneva,
2009. (http://www.iso.org/iso/home/standards/iso31000.htm).
3. Kevin W Knight AM Applying ISO 31000:2009 in Regulatory Work.
4. Diane Christina Asesmen Manajemen Risiko berbasis COSO ERM.
5. Diane Christina Asesmen Manajemen Risiko berbasis ISO 31000:2009.
Perbandingan COSO ERM-Integrated
Framework dengan ISO31000: 2009 Risk
Management Principles and Guidelines
Disusun oleh: Charvin Kusuma Associate Researcher CRMS Indonesia

11 April 2014

Tidak dapat dipungkiri bahwa saat ini terdapat dua rujukan besar yang dijadikan kiblat penerapan
manajemen risiko. Kedua rujukan tersebut adalah Committee of Sponsoring Organizations of the
Treadway Commission (COSO) Enterprise Risk Management (ERM) Integrated Framework dan The
International Organization for Standardization (ISO) 31000: 2009 Risk Management Principles and
Guidelines. COSO ERM dan ISO 31000: 2009 merupakan rujukan manajemen risiko yang telah banyak
diadopsi oleh perusahaan-perusahaan dari berbagai belahan dunia. Kedua rujukan tersebut
menyediakan panduan penerapan manajemen risiko dengan tujuan mendukung efektivitas manajemen
risiko bagi para penggunanya. Walau disusun dengan tujuan serupa, kedua standar tersebut memiliki
perbedaan dalam berbagai aspek dan komponennya.

Keberadaan standar-standar manajemen risiko yang beragam ini melahirkan perdebatan mengenai
standar mana yang lebih baik. Standar manakah yang lebih baik dalam mendukung efektivitas
penerapan manajemen risiko? Apakah COSO ERM atau ISO31000:2009? Untuk menjawab pertanyaan
tersebut kita perlu memahami terlebih dahulu isi dari kedua standar tersebut.

COSO ERM Integrated Framework 2004

Pada tahun 2001, COSO bekerjasama dengan Pricewaterhouse Coopers memulai proyek untuk
mengembangkan sebuah kerangka kerja manajemen risiko yang dapat digunakan untuk mengevaluasi
dan meningkatkan efektivitas ERM. Kerjasama ini membuahkan hasil pada tahun 2004 dengan dirilisnya
COSO ERM Integrated Framework, yang mendefinisikan manajemen risiko sebagai:

Proses yang dipengaruhi oleh Board of Directors, manajemen, dan personil lain dalam entitas,
diaplikasikan pada pembentukan strategi dan pada seluruh bagian perusahaan, dirancang untuk
mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko selaras
dengan risk appetite entitas, untuk menyediakan jaminan yang wajar terhadap pencapaian sasaran dari
entitas.
Dalam kerangka manajemen risikonya, COSO ERM menuntut perusahaan untuk dapat menentukan
terlebih dahulu sasaran perusahaannya, yang terdiri dari empat kategori yaitu:

1. Strategis: sasaran yang mendukung dan selaras dengan misi perusahaan.

2. Operasi: efektivitas dan efisiensi dari penggunaan sumber daya perusahaan.
3. Pelaporan: keterpercayaan dari pelaporan.
4. Pemenuhan: pemenuhan terhadap hukum dan regulasi yang berlaku.

Dalam COSO ERM, manajemen risiko terdiri dari delapan komponen yang saling terkait, yaitu:

1. Lingkungan internal
Mengidentifikasi kondisi internal perusahaan, meliputi kekuatan dan kelemahannya, serta
pandangan entitas terhadap risiko dan manajemen risiko.
2. Penetapan sasaran
Sasaran kegiatan manajemen risiko harus sejalan dengan sasaran dari perusahaan, serta
konsisten dengan risk appetite perusahaan.
3. Identifikasi kejadian
Kejadian internal dan eksternal yang dapat mempengaruhi pencapaian sasaran perusahaan
harus diidentifikasi, meliputi risiko dengan kesempatan yang dapat muncul.
4. Penilaian risiko
Risiko dianalisis berdasarkan kemungkinan dan dampaknya. Hasil analisis risiko akan dijadikan
dasar untuk menentukan perlakuan risiko.
5. Perlakuan risiko
Terdapat empat alternatif pada perlakuan risiko, yaitu menghindari (avoidance), menerima
(acceptance), mengurangi (reduction), dan membagi risiko (sharing). Pemilihan perlakuan risiko
dilakukan dengan membandingkan hasil analisis risiko dengan risk appetite dan risk tolerance.
6. Aktivitas pengendalian
Membangun dan mengimplementasikan kebijakan dan prosedur untuk memastikan perlakuan
risiko diterapkan dengan efektif.
7. Informasi dan komunikasi
Informasi yang relevan diidentifikasi, diperoleh, dan dikomunikasikan dalam bentuk dan waktu
yang tepat agar personil dapat melakukan tanggung jawabnya dengan baik.
8. Pemantauan
Seluruh kegiatan ERM harus dipantau, dievaluasi dan dikembangkan.

Gambar 1. Ilustrasi keterkaitan sasaran, komponen ERM, dan unit kerja perusahaan

Sumber: COSO Enterprise Risk Management Integrated Framework (Executive Summary)

COSO ERM Integrated Framework juga mendeskripsikan peran dan tanggung jawab dari unit-unit kerja
perusahaan dalam penerapan manajemen risiko. Satu prinsip dasar yang ditanamkan COSO ERM adalah
bahwa semua bagian di dalam perusahaan memiliki tanggung jawab terhadap ERM, yang artinya
implementasi manajemen risiko harus mencakup entity-level, division, business unit, hingga subsidiary,
dan mencakup seluruh seluruh sumber daya manusia di dalamnya. Walau begitu, terdapat pembagian
peran dan tanggung jawab dalam penerapan ERM. Berikut adalah pembagian peran dan tanggung jawab
yang dijelaskan COSO ERM:

Board of Directors (BoD) memiliki tanggung jawab penting dalam melakukan pemantauan
terhadap penerapan manajemen risiko, dengan turut memperhitungkan risk appetite dari
entitas;
Chief Executive Officer (CEO) memiliki tanggung jawab untuk memastikan berjalannya ERM yang
efektif pada keseluruhan perusahaan;
Manajer memiliki tanggung jawab dalam mendukung penerapan prinsip ERM perusahaan,
memastikan pemenuhan ERM dengan risk appetite, dan mengelola risiko di ranah
kewenangannya agar konsisten dengan risk tolerance yang dimilikinya;
Risk officer, financial officer, dan internal audit memiliki peran kunci dalam mendukung
efektivitas penerapan manajemen risiko perusahaan;
Petugas operasional (atau biasa disebut risk coordinator) bertanggung jawab dalam menerapkan
manajemen risiko perusahaan sejalan dengan prosedur dan kebijakan manajemen risiko
perusahaan;
Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan pihak yang berperan dalam value
chain perusahaan) tidak memiliki tanggung jawab dalam memastikan efektivitas ERM dari
entitas, tetapi pihak-pihak tersebut berperan penting dalam menyediakan informasi yang dapat
mendukung efektivitas manajemen risiko.

ISO 31000: 2009 Risk Management Principles and Guidelines

ISO 31000: 2009 Risk Management Principles and Guidelines merupakan sebuah standar internasional
yang disusun dengan tujuan memberikan prinsip dan panduan generik untuk penerapan manajemen
risiko. Standar internasional yang diterbitkan pada 13 November 2009 ini dapat digunakan oleh segala
jenis organisasi dalam menghadapi berbagai risiko yang melekat pada aktivitas mereka. Walau ISO
31000: 2009 menyediakan panduan generik, standar ini tidak ditujukan untuk menyeragamkan
manajemen risiko lintas organisasi, tetapi ditujukan untuk memberikan standar pendukung penerapan
manajemen risiko dalam usaha memberikan jaminan terhadap pencapaian sasaran organisasi. ISO
31000: 2009 menyediakan prinsip, kerangka kerja, dan proses manajemen risiko yang dapat digunakan
sebagai arsitektur manajemen risiko dalam usaha menjamin penerapan manajemen risiko yang efektif.

Gambar 2. Hubungan Antara Prinsip, Kerangka Kerja, dan Proses Manajemen Risiko
Sumber: ISO 31000: 2009 Risk Management Principles and Guidelines
Prinsip manajemen risiko merupakan fondasi dari kerangka kerja dan proses manajemen risiko.
Terdapat sebelas prinsip manajemen risiko yang harus dipegang teguh dan diterapkan saat membangun
kerangka kerja dan melakukan implementasi proses manajemen risiko. Kesebelas prinsip tersebut
adalah

1. Memberikan nilai tambah dan melindungi nilai organsasi;

2. Bagian terpadu dari seluruh proses organisasi;
3. Bagian dari pengambilan keputusan;
4. Secara khusus menangani ketidakpastian;
5. Sistematis, terstruktur, dan tepat waktu;
6. Berdasarkan informasi terbaik yang tersedia;
7. Disesuaikan dengan kebutuhan organisasi;
8. Mempertimbangkan faktor budaya dan manusia;
9. Transparan dan inklusif;
10. Dinamis, berulang, dan responsif terhadap perubahan;
11. Memfasilitasi perbaikan sinambung dan peningkatan organisasi.

Kerangka kerja manajemen risiko merupakan struktur pembangun proses manajemen risiko. Kerangka
kerja dimulai dengan pemberian mandat dan komitmen, lalu dilanjutkan dengan kerangka implementasi
Plan, Do, Check, Act, yang terdiri dari:

1. Perencanaan kerangka kerja manajemen risiko;

2. Penerapan manajemen risiko;
3. Monitoring dan review terhadap kerangka kerja manajemen risiko;
4. Perbaikan kerangka kerja manajemen risiko secara berkelanjutan.

Proses manajemen risiko merupakan kegiatan kritikal dalam manajemen risiko, karena merupakan
penerapan daripada prinsip dan kerangka kerja yang telah dibangun. Proses manajemen risiko terdiri
dari 5 proses besar yaitu:

1. Komunikasi dan konsultasi;

2. Penetapan konteks;
3. Penilaian risiko (terdiri dari identifikasi, analisis, dan evaluasi risiko);
4. Perlakuan risiko;
5. Monitoring dan review.

Implementasi secara mendetail dan menyeluruh pada prinsip, kerangka kerja dan proses manajemen
risiko berdasarkan ISO 31000: 2009 tersebut diharapkan dapat meningkatkan efektivitas manajemen
risiko organisasi.

Keunggulan dan Kelemahan dari COSO ERM Integrated Framework dan ISO 31000: 2009 Risk
Management Principles and Guidelines

Menyadari perbedaan yang ada pada COSO ERM Integrated Framework dan ISO 31000: 2009 Risk
Management Principles and Guidelines, tentunya terdapat keunggulan dan kelemahan tersendiri dari
 kedua standar ini. Berikut adalah tabel yang menggambarkan perbedaan serta keunggulan dan
kelemahan dari kedua standar tersebut.

ISO 31000: 2009 Risk

Perbedaan COSO ERM Integrated Framework Management Principles and
Guidelines

"Kemungkinan terjadinya sebuah event yang dapat

mempengaruhi pencapaian sasaran entitas."
Menurut Grant Purdy, seorang praktisi manajemen
"Efek dari ketidakpastian terhadap
Definisi risiko risiko veteran di Melbourne, definisi ini gagal
pencapaian sasaran organisasi."
menangkap potensi risiko yang dapat muncul
akibat perubahan kondisi yang terjadi secara
perlahan.

Proses yang dipengaruhi oleh Board of Directors,

manajemen, dan personil lain dalam entitas,
diaplikasikan pada pembentukan strategi dan pada "Aktivitas-aktivitas terkoordinasi
seluruh bagian perusahaan, dirancang untuk yang dilakukan dalam rangka
Definisimanajemen
mengidentifikasi kejadian potensial yang dapat mengelola dan mengontrol sebuah
risiko
mempengaruhi entitas, dan mengelola risiko organisasi terkait dengan risiko
selaras dengan risk appetite entitas, untuk yang dihadapinya."
menyediakan jaminan yang wajar terhadap
pencapaian sasaran dari entitas.

Memaparkan kerangka kerja dan

Proses dan kerangka kerja manajemen risiko tidak proses manajemen risiko secara
dipaparkan secara terpisah. Menurut Grant Purdy terpisah. ISO 31000: 2009 juga
hal ini dapat menimbulkan kebingungan dan menyediakan prinsip manajemen
Komponen inefektivitas terhadap manajemen risiko, dimana risiko yang harus diterapkan dalam
manajemen kerangka kerja seharusnya dirancang pada top kerangka kerja dan proses untuk
risiko level management, sedangkan proses manajemen mendukung efektivitas manajemen
risiko seharusnya diterapkan pada proses-proses risiko. Standar ini menekankan
organisasi. Standar ini menekankan pada penerapan manajemen risiko
pengembangan pengendalian internal sebagai sebagai alat penciptaan dan
upaya perusahaan dalam mengelola risiko. pelindung nilai organisasi.

Dimulai dengan membangun

Awal proses Dimulai dengan menetapkan sasaran perusahaan konteks untuk mengidentifikasi
manajemen yang terdiri dari empat kategori yaitu strategis, kondisi internal, kondisi eksternal,
risiko operasi, pelaporan, dan pemenuhan. konteks manajemen risiko, dan
kriteria risiko.
 Identifikasi
konteks Sedikit dilakukan. Dilakukan secara menyeluruh.
eksternal

Terdiri dari 8 komponen, yaitu:

Terdiri dari lima komponen besar,
(1) identifikasi lingkungan internal;
yaitu:
Komponen (2) penetapan sasaran manajemen risiko;
(1) komunikasi dan konsultasi;
proses (3) identifikasi kejadian;
(2) membangun konteks;
manajemen (4) penilaian risiko, perlakuan risiko;
(3) penilaian risiko;
risiko (5) aktivitas pengendalian;
(4) perlakuan risiko; dan
(6) informasi dan komunikasi;
(5)monitoring dan review.
(7) dan pemantauan.

Inherent risk diartikan sebagai

Inherent risk diartikan sebagai eksposur
Pengertian eksposur perusahaan terhadap
perusahaan terhadap risiko secara utuh. (dampak
inherent risk risiko setelah dilakukan
dari existing control tidak diperhitungkan)
pengendalian internal.

Tersedia dan menjadi hal yang

Prinsip harus diterapkan pada kerangka
manajemen Tidak ada. kerja dan proses manajemen risiko
risiko untuk mendukung efektivitas
penerapan manajemen risiko.

Memfasilitasi perbaikan
berkelanjutan pada keseluruhan
Perbaikan Perbaikan hanya dilakukan apabila diperlukan, kerangka kerja dan proses
berkelanjutan berdasarkan hasil pemantauan. manajemen risiko, sesuai dengan
kebutuhan organisasi dan
perkembangan konteks.

Informasi mengenai risiko dan

Informasi hanya dikomunikasikan kepada pelaku
manajemen risiko untuk mendukung pencapaian
Penyaluran
sasaran unit-unit tersebut. Keterlibatan
Informasi
stakeholders eksternal tidak diungkapkan pada
standar ini.
manajemen risiko dikomunikasikan
dan dikonsultasikan dengan seluruh
stakeholders perusahaan, baik
internal maupun eksternal (sesuai
prinsip transparan dan inklusif).
Keterlibatan stakeholders
diperlukan untuk mengidentifikasi
kepentingan seluruh pihak agar
menjadi bahan pertimbangan
pengambilan keputusan.

Aspek manusia disebutkan sebagai batasan dari
Aspek manusia
manajemen risiko dalam memberikan jaminan
dan budaya
terhadap pencapaian sasaran organisasi.
Memperhitungkan aspek manusia
dan budaya ke dalam manajemen
risiko (prinsip mempertimbangkan
faktor budaya dan manusia).
Penerapan manajemen risiko turut
mempertimbangkan kultur,
persepsi, dan kapabilitas manusia,
termasuk memperhitungkan
perselisihan kepentingan antara
organisasi dengan individu di
dalamnya.

Perbedaan yang melekat pada kedua rujukan ini membawa keunggulan dan kelemahan tersendiri pada
COSO ERM Integrated Framework dan ISO 31000: 2009 Risk Management Principles and Guidelines
dari hasil pengamatan penulis, standar ISO 31000: 2009 memiliki keunggulan esensial dalam
memberikan panduan yang lebih mendetail dan komprehensif. Keberadaan prinsip manajemen risiko,
penetapan konteks eksternal, dan pemisahan antara kerangka kerja dengan proses manajemen risiko
menjadi keunggulan kompetitif yang dimiliki oleh ISO 31000: 2009. Fakta bahwa standar ISO 31000:
2009 telah diakui dan diadaptasi sebagai standar manajemen risiko di hingga 40 negara juga
menunjukkan bahwa ISO 31000: 2009 telah bertahan dari uji kelayakan oleh berbagai negara. Namun
pada akhirnya, dalam memilih standar terbaik untuk diimplementasikan, keunikan pada kedua standar
tersebut perlu dipertimbangkan dan disesuaikan dengan sasaran, karakteristik, dan regulasi yang
berlaku pada organisasi. Dalam penerapannya, organisasi juga dapat mengadaptasi dan
mengkombinasikan komponen-komponen tertentu pada kedua rujukan tersebut untuk membangun
sistem manajemen risiko tersendiri yang efektif bagi organisasinya.

Daftar Pustaka

International Standard for Organization (ISO) 31000:2009 Risk Management Principles and
Guidelines.
COSO Enterprise Risk Management (ERM) Integrated Framework (Executive Summary).
Diunduh dari http://www.coso.org/publications/erm/coso_erm_executivesummary.pdf
10 Reasons not to Like the COSO ERM Framework. Norman Marks on Governance, Risk
Management, and Audit. http://normanmarks.wordpress.com/2011/02/21/10-reasons-not-to-
like-the-c...
Comparing the COSO ERM Framework with ISO31000. Linkedin Discussion (dimulai oleh Alex
Dali, President at Global Institute for Risk Management Standards - G31000). Diunduh dari
http://www.linkedin.com/groups/Comparing-COSO-ERM-Framework-ISO-1834592....