Dasar-dasar

ENTERPRISE
RISK MANAGEMENT
Untuk Direktur dan
Komisaris

Disusun oleh:
Antonius Alijoyo
with Deddy Jacobus
 Dasar-dasar
ENTERPRISE
RISK MANAGEMENT
Untuk Direktur dan
Komisaris

Disusun oleh:
Antonius Alijoyo
with Deddy Jacobus
 DAFTAR ISI

DAFTAR ISI 1

SAMBUTAN KETUA LKDI 3

PROFIL LKDI 5

Bab I Pendahuluan 6
Mengapa ERM relevan dan penting bagi Direktur dan Komisaris
Kebutuhan akan kompetensi di bidang ERM bagi Direktur dan Komisaris
Prasyarat ERM
Pertanyaan kajian

Bab II Konsep, Prinsip dan Framework 16

Definisi, konsep dan komponen ERM
Berbagai framework ERM: AS/NZS and COSO
Pertanyaan kajian

Bab III ERM dalam Konteks 45

Lingkungan resiko
Manajemen resiko dan akuntabilitas Pengurus Perusahaan Risk appetite
dan risk tolerance
Peran komite-komite Dewan Komisaris dan fungsi audit perusahaan
Pertanyaan kajian

Bab IV Menerapkan ERM 53

Budaya resiko
Kapasitas internal
Penyelarasan dengan visi, misi dan strategi
Pertanyaan kajian

Bab V Ukuran-ukuran efektivitas 67

Peranti dan pendekatan dalam pengukuran
Daftar periksa sederhana

CONTOH KASUS 75

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 1

 SAMBUTAN KETUA LKDI

Lembaga Komisaris dan Direktur Indonesia (LKDI) dibentuk pada tahun 2001
dengan tujuan untuk menjadi wadah bagi para komisaris dan direktur dalam
meningkatkan kompetensi, pengetahuan dan integritas dalam menerapkan
prinsip- prinsip good corporate governance (GCG). Untuk itu sejak awal tahun
2005, LKDI secara intensif telah menyelenggarakan program "Training and
Directorship Certification for Commissioners and Directors". Disamping itu LKDI
juga menyelenggarakan program pendidikan profesional berkelanjutan bagi para
komisaris dan direktur yang muatannya menekankan pada pembelajaran
masalah- masalah yang fundamental dan mutakhir berkaitan dengan praktek
GCG terkini baik di tingkat nasional maupun internasional.

Dalam upaya meningkatkan kualitas program "Training and Directorship

Certification for Commissioners and Directors", LKDI menerbitkan modul yang
didukung pelaksanaannya oleh Center for International Private Enterprises (CIPE)
yang berkedudukan di Amerika Serikat. Dukungan CIPE ini merupakan bagian
dari suatu kerjasama dengan LKDI dalam melaksanakan serangkaian program
yang bertajuk "Strengthening Corporate Governance in Indonesia".

Modul tersebut merupakan acuan bagi para fasilitator dan peserta program
pelatihan LKDI sehingga menjadi suatu referensi yang telah terstandarisasi
dengan perbandingan pada kurikulum program kedirekturan yang juga
diselenggarakan oleh UK Institute of Directors, Australian Institute of Company
Directors, dan Singapore Institute of Directors.

Pada tahap pertama ini, LKDI menerbitkan lima modul yaitu: "GCG Concepts,
Principles and Practices", "Boards' Duties, Liabilities and Responsibilities",
"Enterprise Risk Management", "Corporate Social Responsibility", dan "High Quality
Corporate Reporting". Penyusunan modul-modul tersebut dilakukan oleh para
akademisi senior yang tergabung dalam Academic Network Indonesia on
Governance (ANIG) yang dibentuk dan berada dibawah naungan Komite Nasional
Kebijakan Governance (KNKG).

Akhirnya LKDI mengucapkan terimakasih kepada CIPE, KNKG dan ANIG atas
dukungannya dalam penerbitan modul pelatihan ini, dengan harapan kerjasama
yang baik ini akan dilanjutkan dalam rangka melaksanakan program-program
penguatan GCG di Indonesia.

Salam hormat,

Hoesein Wiriadinata
Ketua

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 3

 PROFIL LKDI

Komisaris dan Direktur adalah pihak yang berkepentingan dan secara langsung
mempunyai peranan strategis dalam keberhasilan implementasi Good Corporate
Governanace. Krisis tahun 1997 memberikan hikmah pelajaran yang sangat
berharga karena telah memberikan bukti yang tidak terbantahkan mengenai
rapuhnya struktur ekonomi dan berbagai praktek korporasi yang menyimpang.
Namun, demikian banyak perusahaan yang telah berinisiatif memperbaiki diri
menuju tata kelola yang lebih baik.

Adalah tanggung jawab sektor korporasi untuk memperbaiki praktek corporate

governance, Komisaris dan Direktur adalah pihak yang berkepentingan yang
harus memiliki kompeten dan berdaya guna untuk menjalankan peranan strategis
tersebut. Berdasarkan pemahaman tersebut, Komite Nasional Kebijakan
Governance (KNKG) mendirikan Lembaga Komisaris dan Direktur Indonesia (LKDI)
di tahun 2000. Dan secara sah dihadapan notaris Imas Fatimah, SH No. Pada
tanggal 6 Juli 2001.

LKDI mempunyai tujuan untuk meningkatkan kualitas anggota sehingga

menjadikan barisan terdepan dalam penerapan praktik corporate governance
lewat pengembangan jaringan (network) dan pengembangan program pendidikan
yang berkesinambungan.

Pendiri : Komite Nasional Kebijakan

Governance Penasehat : Mar'ie Muhammad

Badan Pembina : Amrin Siregar Kartini Muljadi

Gunarni Soeworo Ratnawati
Prasodjo Mas Achmad Daniri

Badan Pengurus : Hoesein Wiriadinata (Ketua)

Eva Riyanti Hutapea (Wakil
Ketua) Fachry Aly
Fred B.G.Tumbuan
Jos F. Luhukay
Partomuan Pohan
Irwan M. Habsjah
Adi Rahman
Adiwoso

Dasar-dasar ENTERPRISE RISK MANAGEMENT Untuk Direktur dan Komisaris 5

 BAB I PENDAHULUAN

Resiko adalah fungsi dari atau berhubungan dengan berbagai

ketidakpastian dan tingkat eksposur suatu entitas terhadap ketidakpastian
tersebut. Semakin tinggi tingkat ketidakpastian dan eksposur yang
dihadapi suatu organisasi, semakin tinggi pula konsekuensi dan
kemungkinan terjadinya.

Resiko bersifat inheren di dalam segala sesuatu yang kita lakukan, baik
ketika kita tengah bersepeda, mengelola suatu proyek, menghadapi klien,
menetapkan prioritas, membeli sistem dan perlengkapan baru, dan
mengambil keputusan tentang masa depan atau memutuskan untuk tidak
mengambil tindakan apapun.

Sadar atau tidak kita senantiasa berurusan dengan resiko. Kebutuhan

untuk mengelola resiko secara sistematis berlaku bagi setiap organisasi dan
individu. Demikian juga halnya bagi setiap fungsi dan kegiatan di dalam
perusahaan. Kebutuhan ini harus dipandang sebagai sesuatu yang sangat
penting bagi para Direktur dan Komisaris.

Alternatif bagi manajemen resiko adalah manajemen beresiko, atau

pembuatan keputusan yang gegabah, keputusan yang tidak didasarkan
pada pertimbangan yang matang atas fakta-fakta yang ada. Manajemen
beresiko tidak dapat memastikan tercapainya hasil-hasil yang diharapkan.

Sebaliknya, manajemen resiko membantu suatu entitas untuk mencapai

target kinerja dan profitabilitas, serta mencegah terjadinya kerugian sumber
daya. Manajemen resiko membantu terwujudnya pelaporan yang efektif,
kepatuhan terhadap hukum dan peraturan yang berlaku, mencegah
kerusakan reputasi perusahaan dan konsekuensi-konsekuensi lainnya.
Secara singkat, manajemen resiko membantu perusahaan mencapai tujuan
yang diinginkannya dan terhindar dari berbagai jebakan dan kejutan di
sepanjang perjalanan menuju tujuan tersebut.

Dari sudut pandang risk and return, manajemen resiko membantu kita
menyeimbangkan keduanya. Konsep "no risk, no return" telah diterima luas
di dunia bisnis. Konsekuensi dari konsep tersebut adalah "higher risk,
higher return." Namun, dalam dunia nyata, tidak ada resiko dan return yang
bersifat
absolut. Pada titik tertentu, resiko yang berlebihan akan mendatangkan
bencana dan bukan return. Artinya, kita harus dapat mengoptimalkan
profil risk and return organisasi kita. Permasalahannya sebagian besar
perusahaan tidak memiliki informasi yang memadai mengenai eksposur
resiko yang menyeluruh (dengan kata lain, mereka tidak memahami
apakah mereka berlebihan atau sebaliknya sangat kurang dalam
pengambilan resiko. Untuk menjawab kebutuhan tersebut,
diperkenalkanlah konsep dan pengertian enterprise risk management.

Apa yang dimaksud dengan enterprise risk management

Premis mendasar enterprise risk management adalah bahwa setiap entitas,

baik yang berorientasi laba maupun nirlaba, atau suatu lembaga
pemerintahan, didirikan untuk mendatangkan nilai bagi para pemangku
kepentingan (stakeholders). Setiap entitas menghadapi ketidakpastian, dan
tantangan bagi manajemen adalah bagaimana memutuskan seberapa besar
tingkat kepastian yang siap diterima entitas dalam upayanya meningkatkan
nilai bagi para pemangku kepentingan. Ketidakpastian menghadapkan kita
pada resiko dan kesempatan, dengan potensi mengikis atau memperkuat
nilai. Enterprise risk management merupakan framework bagi manajemen
dalam menghadapi ketidakpastian dan resiko-resiko yang terkait serta
peluang yang ada dengan efektif, sehingga meningkatkan kapasitasnya
untuk membangun nilai.

Enterprise risk management (ERM) didefinisikan dengan sangat baik oleh

Committee of Sponsoring Organizations of the Treadway Commission (COSO)
dalam Enterprise Risk Management Integrated Framework (2004). COSO
menginisiasi suatu proyek untuk mengembangkan suatu framework yang
sehat secara konseptual. Framework ini mengintegrasikan prinsip,
terminologi, dan pedoman implementasi praktis untuk mendukung
program entitas dalam mengembangkan atau mem-benchmark proses
enterprise risk management yang mereka terapkan.

Enterprise risk management didefinisikan sebagai berikut :

Enterprise risk management is a process, effected by an entity's board of
directors, management and other personnel, applied in strategy setting and
across the enterprise, designed to identify potential events that may affect the
entity, and manage risks to be within its risk appetite, to provide reasonable
assurance regarding the achievement of entity objectives.
Sebagai suatu proses, enterprise risk management adalah sarana untuk
mencapai tujuan, dan bukan tujuan itu sendiri. ERM bukan sekadar
kebijakan, isian survei dan formulir, tetapi melibatkan orang di berbagai
aras organisasi. Applied in strategy setting, diterapkan dalam penyusunan
strategi, across the enterprise, bersifat menyeluruh di setiap tingkat dan
unit organisasi, termasuk keharusan untuk memandang resiko tingkat
entitas secara portofolio. Enterprise risk management dirancang untuk
mengidentifikasi peristiwa-peristiwa potensial yang mempengaruhi entitas
dan mengelola resiko agar senantiasa berada dalam risk appetite organisasi.
Tujuannya adalah untuk memberikan reasonable assurance (kepastian
secara wajar) bagi manajemen dan pengurus perusahaan terkait dengan
achievement of objectives, pencapaian tujuan, dalam satu atau beberapa
kategori terpisah yang juga bisa bersifat tumpang tindih.

Manfaat enterprise risk management

Tidak ada entitas yang beroperasi dalam lingkungan yang bebas resiko dan
enterprise risk management tidak menciptakan lingkungan yang demikian.
Akan tetapi, enterprise risk management memungkinkan manajemen untuk
beroperasi secara lebih efektif dalam lingkungan yang penuh dengan resiko.

Enterprise risk management meningkatkan kemampuan organisasi untuk :

Menyelaraskan risk appetite dan strategi

Risk appetite adalah tingkat resiko, pada aras yang berbasis luas, yang
dapat diterima oleh suatu perusahaan atau entitas dalam mengejar
sasaran- sasarannya. Manajemen terlebih dahulu mempertimbangkan risk
appetite entitas dalam mengevaluasi alternatif strategik, kemudian dalam
menetapkan objektif yang diselaraskan dengan strategi yang telah
ditetapkan dan dalam mengembangkan mekanisme untuk mengelola
resiko-resiko terkait.

Mengaitkan antara pertumbuhan, resiko dan return

Entitas menerima resiko sebagai bagian dari penciptaan dan pemeliharaan
nilai, dan mendapatkan return sesuai resiko yang diambilnya. Enterprise
risk management meningkatkan kemampuan entitas dalam mengidentifikasi
dan menelaah (assess) resiko, menetapkan tingkat resiko yang dapat
diterima, relatif terhadap objektif pertumbuhan dan return yang
dikehendaki.

Meningkatkan kualitas keputusan dalam merespon resiko

Enterprise risk management mempertajam ketepatan dalam mengidentifikasi
dan memilih alternatif respon terhadap resiko menghindari (avoid),
mereduksi (reduce), membagi (share) dan menerima (accept) risiko.
Enterprise risk management memberikan manajemen metodologi dan teknik
untuk membuat keputusan-keputusan tersebut.

Meminimalisasi kejutan dan kerugian operasional

Entitas akan memiliki kapabilitas yang lebih tinggi untuk mengidentifikasi
peristiwa-peristiwa potensial, menelaah resiko dan menetapkan respon.
Dengan demikian entitas dapat mereduksi kemungkinan terjadinya kejutan
atau kerugian.

Mengidentifikasi dan mengelola resiko secara menyeluruh (cross-

enterprise risks)
Setiap entitas menghadapi tidak terhitung resiko yang mempengaruhi
berbagai bagian dalam organisasi. Manajemen bukan hanya harus
mengelola resiko-resiko tersebut satu persatu, tetapi juga harus memahami
keterkaitan dampak resiko-resiko tersebut.

Memberikan respon terpadu terhadap resiko berganda

Proses bisnis mengandung di dalamnya banyak resiko inheren, dan
enterprise risk management memungkinkan manajemen memberikan solusi
terpadu untuk mengelola resiko-resiko tersebut.

Menangkap peluang
Manajemen bukan hanya harus memperhatikan resiko tetapi juga
peristiwa- peristiwa potensial. Dengan mempertimbangkan rangkaian
peristiwa terkait secara menyeluruh, manajemen dapat memiliki
pemahaman tentang peristiwa-peristiwa yang menjanjikan peluang.

Merasionalisasi kapital
Informasi yang lebih andal terkait dengan total resiko entitas
memungkinkan Direktur dan Komisaris serta manajemen perusahaan
menelaah secara lebih efektif kebutuhan modal perusahaan secara
menyeluruh dan meningkatkan ketepatan alokasi modal.

Enterprise risk management bukanlah tujuan, melainkan sarana yang

penting. ERM tidak berjalan terpisah dalam suatu entitas, melainkan lebih
merupakan enabler proses manajemen. Enterprise risk management saling
terkait dengan corporate governance dengan memberikan informasi kepada
pengurus perusahaan (Direksi dan Komisaris) mengenai resiko-resiko yang
paling signifikan dan bagaimana resiko-resiko tersebut dikelola. Dan ERM
saling terkait dengan manajemen kinerja dengan memberikan ukuran-
ukuran berbobot resiko (risk-adjusted measures), dan dengan pengendalian
internal, yang merupakan bagian tidak terpisahkan dari enterprise risk
management.

Kebutuhan akan kompetensi di bidang ERM bagi Direktur dan

Komisaris Sejarah berulangkali memperlihatkan bagaimana hal-hal yang
buruk dapat dan telah menimpa perusahaan-perusahaan yang baik. Dalam
bagian ini akan dibahas betapa pentingnya manajemen resiko bagi Direksi
dan Komisaris sehingga kompetensi dalam bidang enterprise risk
management kini telah menjadi suatu keharusan.

Bencana-bencana korporasi dapat muncul dalam berbagai bentuk dan

dapat menimpa perusahaan dan industri apapun. Di samping kerugian
finansial murni, pengelolaan resiko dapat berakibat rusaknya reputasi
perusahaan, atau kemunduran perjalanan karir para eksekutifnya. Eskalasi
kerusakan dapat berlangsung dengan cepat hingga perusahaan yang
tadinya sehat tiba- tiba menghadapi kebangkrutan ; seringkali peristiwa
kerusakan ini dapat menggoncangkan pondasi industri dan pasar dengan
parah. Tabel 1.1 memperlihatkan pengalaman kerugian finansial yang luar
biasa yang dialami perusahaan-perusahaan yang sebelumnya dikenal
sebagai perusahaan- perusahaan yang baik dan terkemuka dalam
industrinya masing-masing.

Tabel 1.1 List of misfurtune

Kerugian
Perusahaan Industri Permasalahan (USD)
Cendant Korporasi Fraud di bidang akunting $ 300 juta

Bausch
& Lombs Korporasi Kesalahan laporan revenu $ 42 juta

Pharmor Korporasi Charge-off $ 350 juta

PCA Perusahaan
energi Klaim $ 236 juta

MG Perusahaan
energi Kerugian perdagangan $1 miliar
 Llyod's Asuransi Settlement 3.2 miliar

Confed Life Asuransi Kerugian real estate $ 1.3 miliar

Morgan Grenfell Manajemen Perdagangan yang

aset meragukan $ 300 miliar

LTCM Manajemen
aset Rescue fund required $ 3.5 miliar

Barings Bank Kerugian perdagangan $1 miliar

Bankers Trust Bank Gugatan hukum $ 737 juta

Sumber: James Lam, Enterprise Risk Management, From Incentives to Controls, JWS, 2003, p. 10.

Pada sebagian besar kasus di atas, in most of the above cases, yang terjadi
adalah baik pengurus perusahaan menerima informasi yang menyesatkan
atau adanya kegagalan proses penyampaian informasi kepada pengurus dan
pemangku kepentingan. Dalam banyak hal, kegagalan tersebut melibatkan
rekayasa keuangan dan resiko-resiko ekonomi yang bersifat non-disklosur
serta penyelewengan dan penyalahgunaan wewenang yang luar biasa parah.

Kehancuran dramatis keyakinan publik yang disebabkan oleh berbagai

skandal dan bencana ini menimbulkan tekanan terhadap pengurus
perusahaan dan manajemen untuk meningkatkan tanggung jawab mereka
dalam hal corporate governance dan manajemen resiko secara lebih efektif.
Lembaga-lembaga regulasi dan pemeringkat juga menghadapi tekanan yang
berat untuk meningkatkan kapabilitas mereka untuk melindungi seluruh
pemangku kepentingan.

Kita tidak kekurangan bahan pelajaran. Seakan-akan bencana-bencana

besar tersebut terjadi setiap beberapa bulan, dan ini mengingatkan kita
bahwa bahaya mengintai setiap perusahaan. Organisasi-organisasi yang
cukup beruntung untuk terhindar dari krisis yang besar seringkali
mengalami permasalahan-permasalahan yang lebih kecil atau "near misses"
yang memperlihatkan adanya eksposur terhadap resiko.

Bagi para Direksi dan Komisaris perusahaan-perusahaan Indonesia, For

Indonesian boards of directors and commissioners, the implementation of
enterprise risk management is a part of corporate governance regulatory
requirement and best practices. OECD requires that corporate boards to
implement appropriate system and policies for risk management. It is a key
responsibility of the board. (OECD Principles of Corporate Governance.
Principles V.D.1 and V.D.5)

Prasyarat ERM
Telah disebutkan sebelumnya bahwa tujuan dari ERM adalah setiap
bagian, baik untuk profit atau untuk non-profit, atau badan pemerintahan,
ada untuk menyediakan nilai bagi pada pemegang sahamnya. Semua yang
terlibat menghadapi ketidakpastian dan tantangan untuk manajemen
adalah untuk menentukan seberapa banyak ketidakpastian yang siap
untuk diterima dalam rangka mengembangkan nilai pemegang saham.
Ketidakpastian menimbulkan resiko dan peluang, dengan potensi untuk
menurunkan atau meningkatkan nilai. ERM meyediakan bingkai kerja
untuk manajemen untuk secara efektif menangani ketidakpastian dan
resiko yang berhubungan dan peluang dan arena itu meningkatkan
kemampuan untuk meningkatkan nilai.

Ketidakpastian
Perusahaan beroperasi dalam lingkungan dimana faktor seperti globalisasi,
teknologi, peraturan, restrukturisasi, pasar yang berubah dan kompetisi
menimbulkan ketidakpastian. Ketidakpastian timbul dari ketidakmampuan
untuk secara tepat menentukan kemungkinan kejadian-kejadian potensial
akan terjadi dan hasil-hasil dari kejadian tersebut.

Nilai
Nilai dibentuk, dilindungi atau dirusak oleh keputusan-keputusan
manajemen berkisar dari penentuan strategi hingga pengoperasian
perusahaan hari demi hari. Erat hubungannya dengan keputusan adalah
pengenalan resiko dan kesempatan, membutuhkan manajemen
mempertimbangkan informasi tentang lingkungan internal dan eksternal,
menyebarkan sumber daya yang berharga dan mengkalibrasi ulang
aktivitas perusahaan dan perubahan keadaan.

Entitas menyadari nilai ketika pemegang saham memperoleh keuntungan

yang pada gilirannya akan dihargai. Untuk perusahaan-perusahaan,
pemegang saham menyadari nilai ketika mereka menyadari pembentukan
nilai dari pertumbuhan nilai saham. Untuk entitas pemerintahan, nilai
dihargai ketika unsur pokok menyadari penerimaan dari layanan dalam
biaya yang dapat diterima. Pemegang saham dari badan non-profit
menghargai nilai bilamana mereka menyadari penerimaan dari keuntungan
sosial yang mereka anggap berharga. ERM memfasilitasi kemampuan
manajemen untuk membentuk nilai yang kokoh dan mengkomunikasikan
nilai yang mereka buat itu kepada pemegang saham.

Untuk dapat menerapkan ERM secara efektif, dari sudut pandang dewan,
pertama-tama harus ada komitmen yang kuat dari pucuk pimpinan,
sebuah definisi jelas dari risk appetite perusahaan dalam artian
kebijaksanaan resiko dan toleransi resiko, struktur organisasi, dan
kesadaran bahwa mereka perlu untuk memastikan bahwa perilaku mereka
sejalan dengan kebijakan manajemen resiko. Hal ini untuk memastikan
integrasi resiko ke dalam budaya dan nilai perusahaan.

Dewan tidak dapat memonitor atau mengontrol kondisi finansial dari

institusi pengambil resiko tanpa manajemen resiko yang tangguh dan
matriks resiko. Sementara itu, fungsi manajemen resiko bergantung pada
sponsor pada level eksekutif senior dan dewan untuk memperoleh investasi
yang dibutuhkan dan mempengaruhi kebutuhan-kebutuhannya untuk
menyeimbangkan pemimpin-pemimpin bisnis yang kuat.

Komite Resiko dari institusi juga perlu dilibatkan, pada taraf tertentu,
dalam penentuan metodologi manajemen resiko dasar yang diterapkan oleh
institusi. Penting bagi penerapan manajemen resiko untuk mengerti
kekuatan dan kelemahan dari matriks resiko operasional kalau mereka
akan memahami laporan resiko.

Implementasi manajemen resiko perusahaan yang sukses juga

membutuhkan manajemen resiko melalui integrasi dari ERM ke dalam
perencanaan strategi, proses bisnis, pengukuran performa, dan kompensasi
pendorong. Semua ini akan dibahas kemudian dalam bagian utama buku
ini.

Pertanyaan review
Lima pertanyaan multiple choices untuk mereview materi dari Bab 1.

1. Mengapa ERM penting untuk baik Direktur atau Komisaris ?

(a) Pertumbuhan dan keuntungan dapat menjadi materi perusak dari
performa jika tidak ada pengendalian resiko dan manajemen resiko.
 (b) Enterprise Risk Management (ERM) dapat membantu Direktur dan
Komisaris untuk mengembangkan pola pikir dan alat untuk
mengeksplorasi dimensi-dimensi dari resiko yang berhubungan
dengan setiap aktifitas dan kesempatan sehingga mereka dapat
menyeimbangkan dengan imbalan yang jelas.
(c) Manajemen resiko perusahaan yang didesign dan dijalankan
dengan baik dapat menyediakan jaminan bagi manajemen dan
Dewan Direksi sehubungan dengan pencapaian tujuan-tujuan.
(d) Semua jawaban di atas benar.

2. Pernyataan berikut memberikan pengertian yang benar mengenai resiko

yang ditentukan oleh AS/NZS 4360: 2004, kecuali :
(a) Resiko adalah "kesempatan untuk sesuatu terjadi yang akan
memberi dampak pada tujuan".
(b) Resiko sering dispesifikasikan sebagai kejadian atau situasi dan
konsekuensi yang akan diterima dari kejadian atau situasi
tersebut.
(c) Resiko diukur dengan jalan mengkombinasi antara konsekuensi
dan kejadian dan kemungkinannya.
(d) Resiko selalu berhubungan dengan dampak negatif.

3. Pernyataan berikut ini memberikan pengertian yang benar tentang ERM

menurut COSO, kecuali:
(a) ERM adalah proses yang dipengaruhi oleh Dewan Direksi suatu
perusahaan, manajemen dan personil lainnya.
(b) Diterapkan dalam strategi dan seluruh perusahaan.
(c) Didesign untuk mengidentifikasi kejadian potensial yang mungkin
mempengaruhi perusahaan dan mengatur resiko sehingga berada
dalam risk appetite.
(d) Untuk menyediakan data yang tidak bias sehubungan dengan
meraih tujuan perusahaan.

4. Mengapa kompetensi dari ERM di antara Direktur dan Komisaris

perusahaan sangat penting ?
(a) Sejarah mencatat berulang-ulang bagaimana hal buruk dapat dan
pasti terjadi pada perusahaan yang baik. Di balik kerugian
finansial, mismanagement dari resiko dapat mengakibatkan
kerusakan reputasi dari perusahaan atau pukulan mundur bagi
karir individu para eksekutif.
(b) Kejatuhan dramatis dari keyakinan publik disebabkan oleh skandal
 perusahaan dan bencana terus-menerus menekan dewan dan
manajemen untuk memimpin perusahaan dan bertanggung jawab
terhadap manajemen resiko dalam cara yang lebih efektif.
(c) Untuk Dewan Direksi dan Komisioner Indonesia, penerapan ERM
adalah bagian dari prasyarat peraturan kepemimpinan perusahaan
dan praktek yang baik.
(d) Semua jawaban di atas benar.

5. Berikut adalah dasar dari ERM yang efektif kecuali :

(a) Harus ada komitmen yang kuat dari pucuk pimpinan.
(b) Definisi jelas dari risk appetite organisasi sehubungan dengan
kebijakan resiko dan toleransi resiko.
(c) Struktur organisasi yang sesuai, dan kesadaran bahwa mereka
memerlukan untuk memastikan bahwa perilaku mereka sejalan
dengan kebijakan manajemen resiko.

Manajemen resiko seharusnya tidak diintegrasikan ke dalam budaya dan

nilai perusahaan karena hal itu merupakan proses yang berdiri sendiri.
 KONSEP, PRINSIP
BAB II DAN FRAMEWORK

Dalam bab ini, kita akan mendiskusikan lebih jauh konsep-konsep,

rancangan kerja, serta perlunya mengintegrasi program enterprise risk
management ke dalam proses bisnis, dan kita juga akan melihat bagaimana
manajemen resiko tersusun dari sebuah fungsi kendali dan memusatkan
perhatian pada usaha meminimalisasi resiko yang buruk menjadi sesuatu
yang dapat mengoptimalkan kinerja.

Resiko Definisi Dan Konsep

Bagian ini akan merinci lebih lanjut akan kerangka-kerangka kerja yang
ada, yang telah digunakan di seluruh penjuru dunia, terutama standar
AS/NZS 4360:2004, dan Enterprise Risk Management Integrated
Framework oleh COSO. Kita akan membahas definisi ERM, konsep resiko,
dan komponen-komponen kunci/tiang penyangga ERM, seperti
penguasaan resiko, infrastruktur resiko, proses manajemen resiko,
penyampaian dan pelaporan resiko.

Konsep Resiko
Resiko dalam pengertian yang luas bukanlah hal baru dalam dunia bisnis.
Semua perusahaan dihadapkan kepada resiko-resiko tradisional dalam
bisnis : naik turunnya pendapatan akibat berbagai hal seperti perubahan
dalam lingkungan bisnis, kecenderungan alami untuk bersaing, dalam
teknologi produksi, dan dalam faktor-faktor yang berpengaruh terhadap
para penyalur. Hal tersebut merupakan suatu pemahaman klasik mengenai
resiko.

Resiko datang dalam berbagai bentuk dan ukuran. Pada bagian

sebelumnya, resiko digambarkan sebagai "kesempatan akan terjadinya
sesuatu yang akan membawa dampak pada tujuan." Dalam pengertian
tersebut, resiko seringkali dikaitkan dengan sebuah peristiwa dan
konsekuensi-konsekuensi yang mungkin terjadi karenanya. Resiko diukur
dengan kombinasi dari konsekuensi dari suatu peristiwa dan berbagai
kemungkinan yang akan terjadi karena peristiwa tersebut. Resiko dapat
membawa dampak yang positif atau negatif.
Secara tradisional, para profesional resiko mengenal tiga jenis utama resiko
: resiko pasar, resiko kredit, dan resiko operasional. Resiko Pasar adalah
resiko perpindahan atau pergerakan harga yang menghasilkan
konsekuensi negatif bagi suatu perusahaan; Resiko Kredit adalah resiko di
mana pelanggan, partner bisnis, atau, pemasok lalai dalam memenuhi
kewajiban; dan Resiko Operasional adalah resiko dimana orang-orang,
proses, atau suatu sistem akan melakukan kekeliruan, atau terjadinya
suatu peristiwa-peristiwa eksternal (mis. Gempa bumi, kebakaran, banjir)
yang berdampak negatif pada perusahaan. Selain itu, ada juga tipe-tipe
resiko yang lain seperti Resiko Legal, Resiko Bisnis, Resiko Strategis dan
Resiko Reputasi ( lihat Figure 2.1).

Figure 2.1- Klasifikasi Resiko

}
Resiko Pasar

Resiko Operasional
Resiko Resiko Hukum dan
peraturan
Resiko Bisnis

Resiko Reputasi

Walaupun ada kesamaan dan ketergantungan antar resiko-resiko tersebut,

masing-masing resiko tersebut memerlukan perhatian khusus. Dan
masing- masing jenis resiko tersebut, meliputi sejumlah besar resiko
individu. Sebagai contoh, Resiko Kredit meliputi semuanya, dari kelalaian
peminjam sampai keterlambatan pemasok karena permasalahan kredit.

Resiko perlu dikenali dan diperkirakan dengan cara yang relatif mudah
untuk dipahami. Bagaimana pun hal ini membutuhkan pelatihan-pelatihan
dan pendidikan yang substansial. Banyak pemimpin, stafbaik junior
maupun senior, akan merasa tidak familiar dengan manajemen resiko ini,
khususnya dengan format analisis resiko yang kuantitatif. Untungnya, ada
beberapa konsep resiko utama yang akan membantu kita untuk
memahami resiko tersebut dengan lebih baik dan menerapkannya pada
resiko-resiko berbagai macam bisnis, yang pasti menghasilkan program
manajemen resiko yang efektif.
Uncertainty Resiko tidak sama dengan ketidakpastian. Resiko
(ketidakpastian) merupakan variabilitas yang masih bisa diukur
dengan kemungkinan-kemungkinan, sedangkan
ketidak- pastian merupakan variabilitas yang tidak
bisa diukur sama sekali.

Exposure Jumlah kerusakan yang akan diderita jika beberapa

(penelaahan) peristiwa terjadi. Sebagai contoh, orang yang
meminjamkan akan dihadapkan pada resiko kelalaian
si peminjam. Penumpang pesawat terbang
dihadapkan pada resiko tabrakan pesawat terbang

Event Kejadian yang merupakan sekelompok keadaan

(peristiwa) khusus (AS/NZS 4360:2004)
Peristiwa tersebut bisa bersifat pasti maupun
tidak pasti.
Peristiwa tersebut bisa jadi merupakan
kejadian tunggal atau serangkaian kejadian.

Likelihood Penjelasan umum tentang probabilitas atau frekuensi

(kemungkinan) ( AS/ NZS 4360 : 2004 ) . Li ke li h o o d m e wa k i li
kemungkinan yang ada jika suatu peristiwa terjadi
(COSO). Seberapa besar kemungkinan tersebut terjadi
jika suatu peristiwa yang beresiko benar-benar terjadi
? Semakin besar kemungkinan peristiwa tersebut
terjadidengan kata lain semakin tinggi probabilitas
atau frekuensisemakin besar resikonya.

Likelihood dapat digambarkan secara kuantitatif

maupun kualitatif

Volatility Variabilitas dari hasil-hasil yang potensial. Volatility

(volatilitas) merupakan jawaban dari pertanyaan 'seberapa pasti
masa depan itu?' Umumnya, semakin besar volatility,
semakin besar resiko

Consequence Hasil atau dampak dari sebuah peristiwa (AS/NZS

(konsekuensi) 4360 2004). Pengaruh dari terjadinya sebuah
peristiwa (COSO).

Sebuah peristiwa bisa jadi memiliki lebih dari satu

consequence. Consequence bisa mencakup sesuatu
 yang positif atau negatif. Consequence dapat
digambarkan secara kualitatif maupun kuantitatif.
Consequence dianggap memiliki hubungan dengan
pencapaian tujuan.

Loss Semua consequence yang negatife atau dampak yang

(kerugian) merugikan, baik dalam keuangan maupun yang lain.

Probability Sebuah ukuran mengenai kesempatan terjadinya

(probabilitas) sesuatu hal, yang digambarkan dengan angka, antara
0 sampai 1.

Time Horizon Berapa lama kita akan dihadapkan pada resiko.

(horizon waktu) Semakin lama durasinya, semakin tinggi resikonya.

Correlation Relasi-relasi di antara resiko-resiko yang mungkin

(korelasi) terjadi dalam bisnis maupun entitas. Jika dua resiko
terjadi secara persis, maka resiko tersebut
diperkirakan terjadi karena alasan yang sama, atau
misalnya dengan jumlah yang samamereka
dipertimbangkan memiliki korelasi yang tinggi

Rancangan Kerja yang tersedia dalam ERM : AS/NZS 4360:2004 dan

COSO Enterprise Risk Management Integrated Framework

Manajemen di beberapa perusahaan dan entitas lain telah mengembangkan

proses-proses untuk mengidentifikasi dan mengelola resiko-resiko dalam
perusahaan, dan banyak manajemen lainnya telah memulai pengembangan
tersebut, atau setidaknya mempertimbangkan untuk melakukan
pengembangan tesebut. Selama informasi-informasi yang dibutuhkan
sebagai bahan pertimbangan dalam ERM tersedia, termasuk literatur-
literatur terbitan, maka tidak akan ada lagi istilah umum yang tersedia dan
ada sedikit prinsip-prinsip yang telah diterima secara luas, yang dapat
digunakan oleh manajemen sebagai panduan pengembangan arsitektur
manajemen resiko yang efektif.

Paling tidak ada dua rancangan kerja yang dapat diterima secara luas dan
dapat digunakan oleh bagian perencanaan institusi sebagai inisiatif
Enterprise Risk Management. Kedua standar rancangan kerja tersebut
adalah AS/NZS 4360:2004 dan COSO Enterprise Risk Management
Integrated Framework.
Mari kita membahas kedua rancangan tersebut satu persatu.

AS/NZS 4360:2004
AS/NZS 4360:2004 adalah sebuah standar Joint Australian/New Zealand
tentang manajemen resiko. Standar ini menyediakan panduan umum
untuk mengelola resiko. Standar ini bisa diterapkan secara luas dalam
aktivitas- aktivitas, pengambilan keputusan-keputusan, atau operasi-
operasi dalam berbagai perusahaan baik umum, swasta, perusahaan
rakyat, dalam grup, maupun untuk individual.

Standar ini membahas lebih spesifik tentang elemen-elemen proses

manajemen resiko yang harus diterapkan di semua tahap aktivitas, fungsi,
proyek, produk, atau aset. Manfaat maksimal biasanya didapat dengan
menerapkan proses manajemen resiko dari awal.

Tujuan dari standar ini adalah untuk menyediakan panduan yang akan
memungkinkan perusahaan-perusahaan umum, swasta, dan masyarakat,
grup-grup dan individu untuk mencapai :
Dasar-dasar yang tepat dan pasti dalam perencanaan dan
pengambilan keputusan;
Identifikasi yang lebih baik tentang kesempatan-kesempatan
dan ancaman yang ada;
Nilai tambah dari uncertainity (ketidakpastian) dan variabilitas;
Manajemen yang proaktif, dan bukannya yang reaktif;
Alokasi dan penggunaan sumber-sumber daya yang lebih efektif;
Manajemen insiden yang lebih baik dan pengurangan kerugian
serta resiko yang harus ditanggung, termasuk premi asuransi komersil;
Peningkatan kepercayaan dari para pemangku kepentingan;
Peningkatan pemenuhan dengan undang-undang yang relevan;
Penguasaan perusahaan yang lebih baik;

AS/NZS 4360:2004 Risk Management Process Overview (Proses

Peninjauan Manajemen Resiko)
Dalam bagian ini, akan dijelaskan secara singkat tentang proses manajemen
resiko berdasarkan AS/NZS 4360 : 2004.
Elemen-elemen utama proses manajemen resiko adalah:
Komunikasi dan Perundingan
Penentuan Konteks
Identifikasi Resiko
Analisa Resiko
Evaluasi Resiko
Penanganan Resiko
Pengawasan dan Peninjauan

Manajemen resiko dapat diterapkan di berbagai level dalam organisasi.

Manajemen ini dapat diterapkan di level strategis serta level-level taktis dan
operasional. Manajemen ini juga dapat diterapkan pada proyek-proyek yang
spesifik, untuk menolong dalam pengambilan keputusan yang spesifik atau
untuk mengelola area resiko yang spesifik.

Setiap tahap dalam proses manajemen resiko tersebut harus

didokumentasikan sehingga keputusan-keputusan yang diambil dapat
dengan mudah dipahami sebagai bagian dari proses perbaikan yang
berkelanjutan.

Proses tersebut dapat dilihat dalam Figure 2.2

Elemen-elemen utama dari proses manajemen resiko, seperti yang terlihat

dalam Figure 2.2, dapat diuraikan seperti berikut :
(a) Komunikasi dan Perundingan - Keterlibatan anggota yang lain, atau
setidaknya melihat sesuatu dari sudut pandang yang berbeda,
merupakan unsur yang penting dan krusial dari sebuah pendekatan
manajemen resiko. Oleh karena itu, komunikasi dan perundingan
dengan pemangku kepentingan internal dan eksternal harus
dipertimbangkan di setiap tahap proses manajemen resiko.
(b) Menentukan konteks - Fokus dari tahap ini adalah memahami latar
belakang organisasi beserta resikonya, membatasi ruang lingkup dari
aktivitas manajemen resiko, dan mengembangkan kerangka kerja yang
harus diikuti.
(c) Identifikasi resiko - Tahap ini mengidentifikasi resiko-resiko untuk
dikelola. Identifikasi yang luas dengan proses yang terstruktur dan
sistematis sangat dibutuhkan karena resiko-resiko yang tidak
teridentifikasi dalam tahap ini mungkin tidak akan teridentifikasi dalam
analisa yang lebih jauh. Identifikasi haruslah mencakup resiko-resiko
yang ada di dalam, maupun di luar organisasi.
(d) Analisa Resiko - Analisa resiko adalah mengenai pengembangan
sebuah pemahaman tentang resiko. Proses ini menghasilkan masukan
untuk memutuskan apakah resiko tersebut perlu ditangani atau tidak,
dan juga untuk memutuskan strategi yang tepat dan efektif. Analisa
resiko melibatkan konsekuensi-konsekuensi yang mungkin dihadapi
dan besarnya kemungkinan konsekuensi tersebut akan terjadi. Jika
faktor- faktor yang mempengaruhi konsekuensi dan kemungkinan
tersebut teridentifikasi, resiko dapat dianalisa dengan
mengkombinasikan konsekuensi tersebut dengan kemungkinannya.
Umumnya, kontrol- kontrol yang ada diperhitungkan
Table 2.2 - Contoh matriks level resiko sederhana
Konsekuensi

Kemungkinan Besar Sedang Kecil

Sangat mungkin Merah Merah Kuning

Mungkin Merah Kuning Hijau

Tidak mungkin Kuning Hijau Hijau

Figure 2.3. - Contoh pemahaman resiko sebagai hasil dari proses

analisa resiko dengan ruang lingkup hasil.
Tinggi

Masalah
Ruang
lingkup hasil yang dapat dipercaya

Kemungkinan

"Catastrophe

Rendah
Rendah Tinggi
Konsekuensi
(e) Evaluasi Resiko - Tujuan dari evaluasi resiko adalah untuk membuat
keputusan-keputusan berdasarkan hasil dari analisa resiko, mengenai
resiko-resiko yang mana yang harus ditangani, serta prioritas
penanganannya.
(f) Penanganan Resiko - Penanganan Resiko melibatkan pemilihan cara-
cara untuk penanganan resiko, memperkirakan cara-cara tersebut
beserta persiapan serta rencana penerapannya. Titik awal dari
identifikasi cara- cara penanganan resiko seringkali merupakan
peninjauan kembali panduan penanganan resiko jenis tertentu, yang
sudah ada. Sebagai contoh, di kebanyakan area yang berkaitan dengan
keselamatan seseorang, ada kebutuhan-kebutuhan untuk disusunnya
hukum dan standar-standar. Namun, hukum dan standar tersebut
tetap perlu ditinjau ulang untuk kesempurnaannya dan kesesuaiannya.
(g) Pengawasan dan peninjauan - peninjauan yang berkelanjutan penting
untuk memastikan bahwa perencanaan manajemen tetap relevan.
Faktor- faktor yang mungkin mempengaruhi consequence dan likelihood
sebuah hasil bisa berubah, seperti halnya faktor-faktor yang
mempengaruhi kesesuaian atau pembiayaan cara-cara penanganan
yang telah dipilih. Oleh karena itu, penting bagi entitas untuk
mengulangi siklus manajemen resiko secara tetap.
(h) Dokumentasi proses manajemen resiko - Masing-masing tahap proses
manajemen resiko harus didokumentasikan secara layak. Asumsi,
metode, sumber-sumber data, analisa-analisa, hasil-hasil, dan alasan-
alasan pengambilan keputusan harus didokumentasikan.

Enterprise Risk Management Integrated Framework (COSO)

Mengingat kebutuhan akan pedoman yang pasti dalam enterprise risk
management, The Committee of Sponsoring Organizations of the Treadway
Commission (COSO) memprakarsai sebuah proyek untuk mengembangkan
rancangan kerja yang secara konseptual menyediakan prinsip-prinsip
terintegrasi, istilah-istilah umum, dan pedoman implementasi praktis yang
mendukung program-program entitas untuk mengembangkan atau
meningkatkan proses manajemen resiko di perusahaan mereka.

Kita mengenal rancangan kerja tersebut sebagai The Enterprise Risk

Management Integrated Framewokr. Rancangan kerja ini bertidak sebagai
dasar umum manajemen, Direktur, pembuat undang-udang, bagian
akademik, dan yang lainnya, untuk secara lebih baik memahami enterprise
risk management, manfaat dan pembatasannya, dan untuk secara efektif
menyampaikan permasalahan-permasalahan enterprise risk management.
Seperti yang sudah kita diskusikan di bab 1, rancangan kerja COSO
mendefinisikan enterprise risk management sebagai :
...sebuah proses, yang dipengaruhi oleh jajaran Direktur entitas,
manajemen dan personil lain, yang diterapkan dalam penentuan strategi
dalam perusahaan, didesain untuk mengidentifikasi kemungkinan-
kemungkinan yang potensial yang mungkin mempengaruhi entitas, dan
mengelola resiko-resiko dan kecenderungan resiko yang mungkin terjadi,
untuk menyediakan jaminan yang layak mengenai pencapaian tujuan
entitas.

Definisi tersebut merefleksikan beberapa konsep pokok. Enterprise Risk

Management :
Adalah suatu proses. Hal itu berarti ERM merupakan cara
untuk mencapai suatu akhir, dan bukan merupakan akhir itu sendiri.
Dipengaruhi oleh orang-orang hal ini bukan hanya berarti
melalui kebijakan, survey, maupun formulir belaka, tetapi
melibatkan orang- orang dari berbagai level dalam organisasi.
Diterapkan dalam pengaturan strategi
Diterapkan di seluruh penjuru perusahaan, di setiap level dan
unit, termasuk mengamati sudut pandang akan resiko di tiap level-
entitas.
Didesain untuk mengidentifikasi hal-hal yang berpotensi
mempengaruhi entitas dan mengelola resiko dalam risk appetite-nya
Menyediakan jaminan yang layak untuk pimipinan dan
manajemen entitas.
Diperlengkapi untuk pencapaian tujuan di satu atau lebih kategori
yang terpisah namun saling melengkapi.

Definisi ini menangkap beberapa konsep kunci yang fundamental tentang

bagaimana perusahaan dan organisasi lain mengelola resiko, menyediakan
dasar untuk aplikasi di beberapa tipe organisasi, industri, dan sektor yang
berbeda. Konsep-konsep tersebut terfokus secara langsung pada
pencapaian tujuan entitas. Definisi tersebut juga menyediakan dasar
penentuan keefektifan enterprise risk management.

Mari kita diskusikan garis besar konsep-konsep fundamental di atas

dengan lebih detail.
Sebuah Proses
Enterprise Risk Management bukanlah sebuah peristiwa atau keadaan,
namun merupakan serangkaian tindakan yang terintegrasi dalam kegiatan-
kegiatan entitas. Tindakan-tindakan ini bersifat menyatu dan tidak dapat
dipisahkan dari pelaksanaan bisnis oleh manajemen.
Enterprise risk management berbeda dari perspektif dari beberapa pengamat
yang melihat ERM sebagai sebuah tambahan dalam aktivitas entitas, atau
sebagai sebuah beban yang penting. Bukan berarti ERM yang efektif tidak
membutuhkan usaha-usaha tambahan. Untuk instansi, penaksiran resiko
mungkin membutuhkan usaha-usaha tambahan untuk mengembangkan
model-model yang diperlukan dan membuat perhitungan dan analisa yang
penting. Bagaimana pun, hal-hal tersebut dan mekanisme ERM yang lain
terjalin dengan aktivitas operasi entitas dan ada untuk alasan-alasan bisnis
yang fundamental.

Enterprise risk management akan lebih efektif ketika mekanisme ERM

tersebut dibangun dalam infrastruktur entitas dan menjadi bagian penting
dalam perusahaan. Dengan membangun sebuah enterprise risk
management, sebuah entitas dapat menerapkan strateginya secara
langsung dan mencapai visi misinya.

Membangun enterprise risk management juga memiliki implikasi-implikasi

penting untuk penekanan biaya, khususnya dalam persaingan pasar yang
tinggi yang dihadapi banyak perusahaan. Penambahan prosedur baru yang
terpisah dari prosedurprosedur yang sudah ada akan mengingkatkan biaya.
Dengan berfokus pada operasi-operasi yang ada dan kontribusinya pada
enterprise risk management yang efektif, dan mengintegrasikan manajemen
resiko dengan kegiatan-kegiatan operasi dasar, sebuah perusahaan dapat
menghindarkan prosedur-prosedur dan biaya-biaya yang tidak perlu. Dan,
praktek pembangunan enterprise risk management dalam struktur operasi
membantu mengidentifikasi kesempatan-kesempatan baru untuk
menumbuhkan bisnis.

Dipengaruhi oleh Orang-orang

Enterprise risk management dipengaruhi oleh jajaran Direktur, manajemen,
dan personil yang lain. ERM disempurnakan oleh orang-orang yang ada
dalam organisasi, melalui apa yang mereka lakukan dan katakan ;
Orang-orang membangun visi misi, strategi, dan tujuan entitas dan
menempatkan enterprise risk management di tempatnya.
People establish the entity's mission/vision, strategy and objectives and put
enterprise risk management mechanisms in place.

Dengan cara yang sama, enterprise risk management mempengaruhi

tindakan orang-orang. Enterprise risk management memahami bahwa
orang- orang tidak selalu mengerti, menyampaikan, atau bertindak dengan
konsisten. Tiap-tiap individu memiliki latar belakang dan kemampuan
teknik yang unik, serta kebutuhan dan prioritas yang berbeda.

Kenyataan-kenyataan tersebut mempengaruhi dan dipengaruhi oleh

enterprise risk management. Setiap orang memiliki referensi khusus yang
mempengaruhi bagaimana mereka mengidentifikasi, menaksir, dan
merespon resiko. Enterprise risk management menyediakan mekanisme
yang dibutuhkan untuk membentuk orang-orang mengerti resiko dalam
konteks yang sesuai dengan tujuan perusahaan. Orang-orang harus
mengetahui tanggung jawab mereka dan batas wewenang mereka. Oleh
karena itu, perlu ada sebuah jalinan yang jelas dan tertutup di antara
kewajiban dan tujuan orang-orang tersebut

Orang-orang dalam organisasi juga termasuk jajaran Direktur dan Dewan

Komisaris, seperti halnya manajemen dan personil lain. Meskipun
terkadang Dewan Komisaris melakukan kelalaian, mereka juga
memberikan bimbingan dan bersama dengan jajaran Direktur, mereka
menyetujui strategi dan transaksi serta kebijakan tertentu. Dengan
demikian, Dewan Komisaris juga merupakan elemen yang penting dalam
enterprise risk management

Diterapkan dalam Penentuan Strategi

Sebuah entitas mengedepankan visi/misi dan menyusun tujuan strategi
yang mampu sejalan dengan visi dan misinya itu. Entitas menyusun
sebuah strategi untuk mencapai tujuan-tujuan strategisnya. Selain itu,
entitas juga menyusun tujuan-tujuan terkait yang ingin dicapainya,
berawal dari strategi, lalu mengalir ke unit-unit bisnis, divisi-divisi, dan
proses-proses. Dalam menentukan strategi, manajemen
mempertimbangkan resiko-resiko sehubungan dengan strategi-strategi
alternatif.

Diterapkan di Seluruh Penjuru Perusahaan

Agar sukses dalam menerapkan enterprise risk management, sebuah
entitas harus mempertimbangkan seluruh ruang lingkup kegiatannya.
Enterprise risk management meliputi kegiatan-kegiatan di semua level
dalam organisasi,
dari level enterprise seperti perencanaan strategis dan alokasi sumber daya,
sampai ke kegiatan-kegiatan unit bisnis seperti marketing dan sumber daya
manusia, juga proses-proses bisnis seperti produksi dan peninjauan kredit
pelanggan baru. Enterprise risk management juga diterapkan pada proyek-
proyek khusus dan usaha-usaha baru yang mungkin belum disusun dalam
hirarkhi entitas atau tabel organisasi.

Enterprise risk management membutuhkan entitas untuk mengumpulkan

berbagai sudut pandang mengenai resiko dalam entitas. Hal ini melibatkan
tanggung jawab setiap Manajer untuk unit-unit bisnis, fungsi, proses, atau
aktivitas lain untuk mengembangkan sebuah penaksiran resiko untuk unit
tersebut. Perkiraan tersebut bisa jadi bersifat kuantitatif atau kualitatif.
Dengan melihat sudut pandang tiap level dalam organisasi, jajaran Direktur
akan menentukan apakah seluruh profil resiko entitas sudah sepadan
dengan risk appetite-nya.

Manajemen mempertimbangkan resiko-resiko yang saling berhubungan

dari sudut pandang tiap level dalam entitas. Resiko-resiko yang saling
berhubungan itu perlu diidentifikasi dan ditangani untuk membawa
seluruh resiko yang bersangkutan ke dalam risk appetite perusahaan.
Resiko-resiko untuk unit-unit individual dalam entitas mungkin masih bisa
ditoleransi, namun dengan menanganinya bersama-sama dengan resiko
yang lain akan memungkinkan risk appetite perusahaan terlampaui.
Keseluruhan risk appetite mencerminkan akhir dari suatu entitas melalui
toleransi resiko yang terbentuk untuk tujuan khusus.

Risk Appetite
Risk appetite adalah jumlah resiko yang bisa diterima entitas dalam
pengejaran nilai. Entitas seringkali memperhitungkan risk appetite secara
kualitatif, dengan kategori-kategori seperti tinggi, sedang, atau rendah, dan
biasanya entitas melakukan pendekatan-pendekatan secara kuantitatif,
menggambarkan dan menyeimbangkan sasaran-sasaran untuk
pertumbuhan, hasil, dan resiko.

Risk appetite secara langsung terkait dengan strategi entitas. Risk appetite
dipertimbangkan dalam penentuan strategi, di mana hasil yang diinginkan
dari sebuah strategi harus diarahkan agar sejalan dengan risk appetite
entitas. Strategi-strategi yang berbeda akan membawa entitas pada resiko-
resiko yang berbeda. Penerapan enterprise risk management dalam
penentuan strategi akan membantu manajemen dalam memilih strategi
yang konsisten dengan risk appetite perusahaan.

Risk appetite entitas juga dapat menjadi pemandu dalam pengalokasian

sumber daya entitas. Manajemen mengalokasikan sumber-sumber daya
untuk semua unit bisnis dengan mempertimbangkan risk appetite
perusahaan dan strategi unit-unit bisnis individual untuk mewujudkan
hasil yang diinginkan dari sumber-sumber daya yang diinvestasikan.
Manajemen mempertimbangkan risk appetite yang sejalan dengan
organisasi, orang- orang dan proses-proses, dan mendesain infrastruktur
yang penting untuk merespon dan memonitor resiko secara efektif.

Risk tolerances are the acceptable level of variation relative to the

achievement of objectives. In setting specific risk tolerances, management
considers the relative importance of the related objectives and aligns risk
tolerances with its risk appetite. Operating within risk tolerances provides
management greater assurance that the entity will remain within its risk
appetite and, in turn, provides a higher degree of comfort that the entity will
achieve its objectives.

Toleransi resiko adalah level resiko yang dapat diterima, terkait dengan
pencapaian tujuan. Dalam menentukan toleransi resiko yang spesifik,
manajemen mempertimbangkan kaitan penting antara tujuan.

Menyediakan Jaminan yang Layak

Enterprise risk manajemen yang didesain dan dijalankan dengan baik dapat
menyediakan jaminan yang layak manajemen dan para pimpinan
perusahan akan pencapaian tujuan entitas. Melalui pelaksanaan enterprise
risk management yang efektif di tiap kategori tujuan entitas, para pemimpin
dan manajemen akan memperoleh jaminan layak bahwa :
Mereka memahami tingkat pencapaian tujuan strategis
Mereka memahami sejauh mana tujuan operasi entitas telah tercapai
Pelaporan entitas dapat diandalkan
Peraturan dan hukum-hukum yang digunakan telah dipenuhi.

Jaminan yang layak mencerminkan gagasan bahwa ketidakpastian dan

resiko berkaitan dengan masa depan, yang tidak dapat diprediksi dengan
pasti. Keterbatasan-keterbatasan juga merupakan hasil dari kenyataan
bahwa penilaian manusia dalam pengambilan bisa salah. Keputusan dalam
merespon resiko, dan pembangunan kendali perlu mempertimbangkan
manfaat dan biaya-biaya relatif. Gangguan dapat terjadi karena kesalahan
manusia seperti kesalahan-kesalahan sederhana, kendali dapat dikacaukan
oleh kolusi dua orang atau lebih, dan manajemen memiliki kemampuan
untuk mengesampingkan keputusan enterprise risk management.
Keterbatasan- keterbatasan tersebut menghalangi jajaran Direktur dan
Komisaris untuk mencapai tujuan.

Pencapaian Tujuan
Enterprise risk management yang efektif dapat diandalkan untuk
memberikan jaminan yang layak tentang pencapaian tujuan, berkaitan
dengan pelaporan yang dapat dipercaya dan pemenuhan peraturan dan
hukum yang ada. Pencapaian kategori-kategori tujuan tersebut ada dalam
kendali entitas dan tergantung pada seberapa baik kegiatan-kegiatan
entitas yang berkaitan dilaksanakan.

Bagaimanapun, pencapaian tujuan strategis dan operasi tidak selalu

berada dalam kendali entitas. Enterprise risk management dapat
memberikan jaminan yang layak hanya jika jajaran Direktur dan Dewan
Komisaris menyadari kelalaian mereka tepat pada waktunya, bersamaan
dengan pergerakan entitas untuk mencapai tujuan.

Komponen-komponen Enterprise Risk Management

Berdasaran rancangan kerja ini, enterprise risk management terdiri dari
delapan komponen yang saling berkaitan. Komponen-komponen tersebut
diperoleh dari pelaksanaan bisnis oleh manajemen dan terintegrasi dengan
proses manajemen. Komponen-komponen itu antara lain :
a) Lingkungan Internal
b) Pengaturan Tujuan
c) Identifikasi Peristiwa
d) Penaksiran Resiko
e) Tanggapan terhadap Resiko
f) Informasi dan Komunikasi
g) Pengawasan

Mari kita membahas tiap-tiap komponen tersebut.

Lingkungan Internal
Lingkungan internal entitas adalah dasar dari semua komponen lain dalam
enterprise risk management, yang menyediakan disiplin dan struktur.
Lingkungan internal mempengaruhi bagaimana strategi dan tujuan
ditentukan, kegiatan bisnis disusun, dan resiko-resiko diidentifikasi,
diperkirakan, dan diangkat ke permukaan. Lingkungan internal juga
mempengaruhi desain dan menjalankan aktivitas-aktivitas kontrol, sistem
informasi dan komunikasi, dan pengawasan aktivitas.

Lingkungan internal terdiri dari banyak elemen, termasuk nilai etis entitas,
kompetensi dan pengembangan personil, corak pelaksanaan manajemen,
dan bagaimana penentuan wewenang dan tanggung jawab. Jajaran
Direktur dan Komisaris adalah bagian-bagian penting dalam lingkungan
internal, yang secara signifikan mampu mempengaruhi elemen-elemen
lingkungan internal yang lain.

Sebagai bagian dari lingkungan internal, jajaran perusahaan menentukan

filosofi manajemen resiko, risk appetite entitas, membentuk sebuah budaya
resiko dan mengintegrasikan enterprise risk management dengan inisiatif-
inisiatif terkait.

Filosofi manajemen resiko yang dipahami oleh seluruh personil akan

mempermudah pengenalan kemampuan karyawan dan mengelola resiko
secara efektif. Filosofi tersebutkepercayaan entitas tentang resiko dan
bagaimana hal tersebut dipilih untuk mengontrol aktivitas-aktivitas yang
ada dan menangani resikomencerminkan nilai yang dicari entitas dari
enterprise risk management dan mempengaruhi bagaimana komponen-
komponen enterprise risk management akan diterapkan. Jajaran
Direktur menyampaikan filosofi tersebut pada karyawan melalui
pernyataan- pernyataan kebijakan dan penyampaian lain. Yang penting,
jajaran Direktur menanamkan filosofi tersebut bukan hanya dengan kata-
kata, namun juga dengan tindakan nyata tiap harinya.

Risk appetite, yang disusun oleh jajaran Direktur dan ditinjau oleh Dewan
Komisionaris, merupakan tonggak dalam penentuan strategi. Biasanya
beberapa strategi yang berbeda dapat didesain untuk mencapai
pertumbuhan dan hasil yang diinginkan, dan masing-masing strategi
memiliki resiko terkait yang berbeda-beda. Enterprise risk management,
diterapkan dalam penentuan strategi, membantu manajemen untuk
memilih
strategi yang sesuai dengan risk appetite. Manajemen terlihat mengatur
organisasi, masyarakat, proses dan infrastruktur untuk strategi yang
sukses.

Resiko Kultur adalah satuan sikap bersama, nilai-nilai dan praktek yang
menandai bagaimana suatu kesatuan mempertimbangkan resiko dalam
aktivitas sehari-hari nya. Karena banyaknya perusahaan, kultur resiko
mengalir dari filosofi resiko kesatuan dan selera resiko. Untuk yang
kesatuan yang tidak dengan tegas menggambarkan filosofi resiko mereka,
resiko kultur boleh membentuk secara tidak benar, menghasilkan kultur
resiko dengan mantap berbeda di dalam suatu perusahaan atau bahkan di
dalam unit bisnis tertentu, fungsi atau departemen.

Penentuan Tujuan
Dalam konteks penyusunan visi misi, jajaran Direktur juga menyusun
tujuan-tujuan strategis, memilih strategi dan menyusun tujuan terkait,
mengalirkannya melalui perusahaan dan meluruskan serta mengaitkannya
dengan strategi. Tujuan harus ada sebelum manajemen dapat
mengidentifikasi hal-hal yang berpotensi mempengaruhi pencapaian
mereka. Enterprise risk management memastikan jajaran Direktur dan
manajemen menyusun tujuan dan meluruskan tujuan-tujuan tersebut
dengan visi misi, serta bersikap konsisten terhadap risk appetite entitas.

Berdasarkan rancangan kerja COSO, ada 4 kategori tujuan yakni tujuan

strategis, operasional, pelaporan, dan pemenuhan, seperti yang terlihan di
Figure 2.4.

Figure 2.4 Kategori tujuan

Tujuan Strategis Tujuan Operasi

Berkaitan dengan sasaran-sasaran Berkaitan dengan keefektifan dan

tingkat tinggi, mendukung dan
sejalan dengan visi misi entitas.
efisiensi operasi entitas, termasuk
kinerja dan sasaran yang
menguntungkan. Tujuan ini bervariasi
tergantung dari struktur dan kinerja
yang dipilih oleh jajaran Direktur.

Tujuan Pemenuhan Tujuan Pelaporan

Berkaitan dengan pemenuhan hukum Berkaitan dengan keefektifan

dan aturan yang berlaku dalam pelaporan entitas. Meliputi pelaporan
entitas. internal dan eksternal dan mungkin
juga melibatkan informasi finansial
maupun non-finansial.
Pengkategorian tujuan entitas di atas (Figure 2.4.) memungkinkan jajaran
Direktur dan Komisaris untuk berpusat pada aspek-aspek yang berbeda
dalam enterprise risk management. Kategori-kategori yang berbeda namun
berkesinambungan tersebutsebuah tujuan khusus bisa dimasukkan dalam
lebih dari satu kategorimenunjuk pada kebutuhan-kebutuhan entitas yang
berbeda dan juga tanggung jawab langsung dari eksekutif yang berbeda.
Pengkategorian ini juga menunjukan perbedaan antara apa yang bisa
diharapkan dari setiap kategori tujuan.

Some entities use another category of objectives, "safeguarding of

resources," sometimes referred to as "safeguarding of assets." Viewed
broadly, these deal with prevention of loss of an entity's assets or resources,
whether through theft, waste, inefficiency or what turns out to be simply
bad business decisions
- such as selling product at too low a price, failing to retain key employees
or prevent patent infringement, or incurring unforeseen liabilities. This
broad- based safeguarding of assets category may be narrowed for certain
reporting purposes, where the safeguarding concept applies only to the
prevention or timely detection of unauthorized acquisition, use, or
disposition of the entity's assets.

Beberapa entity menggunakan kategori sasaran hasil yang lain,

"perlindungan sumber daya," kadang-kadang dikenal sebagai "perlindungan
asset." yang dipandang secara luas ini, berhadapan dengan pencegahan
hilangnya suatu sumber daya atau asset kesatuan, apakah pencurian,
barang sisa, pemborosan atau apapun yang ternyata adalah keputusan
bisnis yang tidak baik seperti menjual produk terlalu rendah pada suatu
harga, kekurangan untuk mempertahankan karyawan kunci atau
mencegah pelanggaran hak paten, atau memberikan kewajiban tak terduga.
Perlindungan asset yang tidak benar ini dikategorikan sebagai batas untuk
melaporkan tujuan. Jika konsep perlindungan berlaku hanya untuk
pencegahan atau pendeteksian yang tepat waktu tentang adanya
ketidaksahan, penggunaan, atau disposisi asset kesatuan tersebut.

Event Identification
Jajaran Direktur mengetahui bahwa ketidakpastian adabahwa mereka
tidak dapat mengetahui dengan pasti apakah dan kapankah sebuah
peristiwa akan terjadi, atau hasilnya. Sebagai bagian dari event
identification, jajaran Direktur dan manajemen mempertimbangkan faktor-
faktor eksternal dan internal yang mempengaruhi terjadinya suatu
peristiwa. Faktor-faktor
eksternal meliputi faktor-faktor ekonomi, bisnis, lingkungan alami, politik,
sosial dan teknologi. Faktor-faktor internal mencerminkan pilihan-pilihan
manajemen dan meliputi hal-hal seperti infrastruktur, personil, proses dan
teknologi.

Metode event identification terdiri dari kombinasi teknik-teknik dengan alat-

alat pendukung. Teknik-teknik event identification melihat masa lalu dan
masa depan. Teknik-teknik yang berfokus ke peristiwa-peristiwa dan
kecenderungan-kecenderungan di masa lalu berbicara tentang hal-hal
seperti sejarah kelalaian pembayaran, perubahan harga komoditas, dan
keterlambatan-keterlambatan. Teknik-teknik yang berfokus pada masa
depan bicara mengenai hal-hal seperti perubahan demografis, pasar-pasar
baru, dan tindakan pesaing.

Hal tersebut mungkin berguna untuk mengelompokkan peristiwa-peristiwa

potensial ke dalam kategori-kategori. Dengan mengumpulkan peristiwa-
peristiwa secara horizontal di seluruh penjuru entitas dan secara vertikal
ke dalam unit-unit operasi, jajaran Direktur dan manajemen
mengembangkan pengertian hubungan timbal balik antar peristiwa,
meningkatkan informasi sebagai dasar penaksiran resiko.

Peristiwa-peristiwa biasanya memiliki dampak negatif, dampak positif, atau

keduanya. Peristiwa yang berpotensi menghasilkan dampak negatif
memunculkan resiko-resiko yang perlu ditaksir dan ditanggapi oleh
manajemen. Karena itu, resiko didefinisikan sebagai kemungkinan bahwa
suatu peristiwa akan terjadi dan membawa pengaruh buruk bagi
pencapaian tujuan.

Peristiwa yang berpotensi menghasilkan dampak positif akan

memunculkan kesempatan-kesempatan atau mengimbangi dampak negatif
dari resiko- resiko yang ada. Kesempatan yang dihadirkan oleh peristiwa-
peristiwa tersebut disalurkan kembali pada strategi manajemen atau
proses penyusunan tujuan, sehingga tindakan-tindakan tersebut bisa
dirumuskan untuk meraih kesempatan-kesempatan yang ada. Peristiwa-
peristiwa yang berpotensi mengimbangi dampak negatif resiko-resiko
tersebut dipertimbangkan dalam penaksiran dan respon manajemen
resiko.

Risk Assessment
Risk assessment (penaksiran resiko) memungkinkan entitas untuk
mempertimbangkan seberapa besar potensi sebuah peristiwa mungkin
mempengaruhi pencapaian tujuan. Manajemen menaksir peristiwa-
peristiwa dari dua perspektif : Kemungkinan dan Dampak.

Likelihood menunjukkan kemungkinan sebuah peristiwa akan terjadi,

sedangkan Dampak menunjuk pada efek yang timbul saat peristiwa
tersebut terjadi. Perkiraan dampak dan kemungkinan resiko seringkali
ditentukan dengan menggunakan data dari pengamatan peristiwa-peristiwa
lampau, yang dapat memberikan dasar yang lebih obyektif dibandingkan
perkiraan- perkiraan subyektif lain. Secara internal, data yang dihasilkan
dari pengalaman entitas dapat lebih mencerminkan data yang tidak
subyektif, dan menyediakan hasil yang lebih baik dibanding data dari
sumber luar. Bagaimanapun, meskipun data yang dihasilkan secara
internal merupakan input utama, eksternal data dapat berguna sebagai
checkpoint atau untuk meningkatkan analisa. Pengguna harus berhati-hati
dalam menggunakan peristiwa-peristiwa lampau untuk memprediksikan
masa depan, mengingat faktor-faktor yang mempengaruhi peristiwa-
peristiwa tersebut bisa berganti seiring dengan waktu.

Sebuah metodologi penaksiran resiko secara umum terdiri dari kombinasi

teknik kuantitatif dan kualitatif. Manajemen seringkali menggunakan
teknik penaksiran kualitatif saat resiko-resiko yang ada tidak masuk
hitungan, atau ketika data-data yang dibutuhkan untuk penaksiran
kuantitatif tidak cukup terpercaya atau tidak tersedia, atau jika
pembiayaan analisa dan pengumpulan data tidak efektif.

Teknik kuantitatif secara khusus lebih teliti dan digunakan dalam kegiatan-
kegiatan yang lebih rumit dan canggih untuk memperlengkapi teknik
kualitatif. Sebuah entitas hendaknya tidak menggunakan teknik
penaksiran yang umum untuk semua unit bisnis. Sebaliknya, pemilihan
teknik penaksiran tersebut harus mencerminkan kebutuhan akan detail
dan budaya dari unit bisnis. Dalam setiap peristiwa, metode-metode yang
digunakan oleh unit-unit bisnis individual harus memudahkan perkiraan
resiko di seluruh entitas.

Manajemen seringkali menggunakan pengukuran kinerja dalam

menentukan sejauh mana tujuan tercapai. Penggunaan unit pengukuran
tersebut mungkin juga akan berguna saat mempertimbangkan dampak
potensial resiko dalam pencapaian tujuan yang spesifik.
Manajemen dapat memperkirakan bagaimana peristiwa-peristiwa berkaitan
jika rangkaian peristiwa tersebut bergabung dan berinteraksi untuk
membentuk kemungkinan atau dampak yang berbeda. Ketika dampak dari
sebuah peristiwa tunggal tidak terlalu besar, sebuah rangkaian peristiwa
mungkin diperlukan untuk memberi dampak yang lebih signifikan. Ketika
peristiwa-peristiwa yang potensial tidak secara langsung terkait,
manajemen menaksirkan mereka secara individual, di mana resiko
mungkin terjadi dalam penggabungan unit-unit bisnis, manajemen boleh
menilai dan menggolongkan peristiwa yang dikenali ke dalam kategori
umum.

Pada umumnya, nilai kemungkinan berhubungan dengan suatu peristiwa

yang mempunyai potensi, sehingga manajemen mempertimbangkannya
sebagai suatu landasan untuk mengembangkan suatu tanggapan resiko.
Sambil menilai resiko, manajemen juga harus mempertimbangkan hal
positif dan konsekwensi negatif dari suatu potensi peristiwa, secara
individu atau berdasarkan kategorinya, dengan mengesampingkan entity-
nya.

Karena resiko-resiko ditaksir dalam konteks strategi dan tujuan entitas,

manajemen seringkali memiliki kecenderungan untuk berfokus pada resiko
jangka pendek sampai jangka menengah. Namun, beberapa elemen dari
petunjuk dan tujuan yang strategis meluas secara jangka panjang. Sebagai
hasilnya, manajemen perlu menyadari perlunya pemikiran jangka panjang
tersebut dan tidak mengabaikan resiko-resiko jangka panjang yang
mungkin terjadi.

Perkiraan resiko diterapkan lebih dahulu pada inherent riskresiko yang

menuju kepada entitas dimana tidak ditemukan berbagai aksi manajemen
mungkin dimungkinkan berpindah ke resiko likelihood maupun dampak.
Saat resiko di tanggapi secara berkelanjutan, manajemen kemudian
menggunakan teknik penilaian resiko untuk menentukan resiko bersifat
residual-riskresiko yang tersisa setelah tindakan manajemen untuk
mengatasi kemungkinan resiko atau dampak.

Respon terhadap Resiko

Manajemen mengidentifikasi pilihan-pilihan respon terhadap resiko dan
mempertimbangkan tiap efeknya, peristiwa-peristiwa dan dampak yang
mungkin terjadi, dalam kaitannya untuk menentukan toleransi resiko dan
pengeluaran yang diperlukan, dan mendesain serta menerapkan pilihan-
pilihan tanggapan tersebut. Pertimbangan dalam menentukan tanggapan
terhadap resiko dan pemilahan dan penerapannya. Dalam enterprise risk
management yang efektif, manajemen perlu memilih tanggapan terhadap
resiko yang diharapkan akan dapat membawa kemungkinan dan dampak-
dampak resiko ke dalam toleransi resiko entitas.

Risk responses fall within the categories of risk avoidance, reduction,

sharing and acceptance (see Figure 2.5). As part of enterprise risk
management, for each significant risk an entity considers potential
responses from a range of response categories. This gives sufficient depth to
response selection and also challenges the "status quo."

Tanggapan-tanggapan terhadap resiko dibagi ke dalam kategori-kategori

Pengelakan resiko, reduksi, sharing, dan penerimaan resiko (lihat dapa
Figure 2.5). Sebagai bagian dari enterprise risk management, entitas
mempertimbangkan tanggapan-tanggapan yang potensial bagi tiap resiko
yang signifikan, dari cakupan kategori-kategori tanggapan. Hal ini memberi
kejelasan yang cukup untuk menanggapi pemilihan dan juga menghadapi
tantangan tersebut " keadaan tetap pada "status quo.

Figure 2.5 Categories of risk responses

Pengelakan Reduksi

Pengelakan berarti mengambil Reduksi berarti mengurangi

tindakan untuk berhenti dari aktivitas- kemungkinan resiko, dampak resiko,
aktivitas yang memungkinkan atau keduanya.
terjadinya resiko.

Risk Acceptance Sharing

Penerimaan Resiko berarti tidak Sharing berarti mengurangi

melakukan apapun untuk kemungkinan dan dampak resiko
mempengaruhi kemungkinan- dengan memindahkan atau membagi
kemungkinan dan dampak yang akan porsi resiko.
terjadi.

Dengan memilih tanggapan terhadap resiko, manajemen menyesuaikan

kembali resiko-resiko tersebut di basis sisa. Jajaran Direktur
mempertimbangkan resiko-resiko dari seluruh entitas, atau sudut-sudut
pandang yang ada. Para pemimpin tersebut mungkin melakukan
pendekatan di mana tiap Manajer bertanggungjawab atas departemennya,
dan unit serta fungsi bisnis mengembangkan sebuah penaksiran gabungan
akan resiko dan tanggapan terhadap resiko di unit tersebut. Hal ini
mencerminkan profil
resiko sebagai unit yang berhubungan dengan sasaran dan hasil yang
dicapai dan toleransi resiko. Dengan melihat resiko pada unit individu,
Dewan Direktur diposisikan untuk mengambil suatu sudut pandang,
untuk menentukan apakah profil resiko entitas tersebut adalah setara
dengan keseluruhan appetite resiko sehubungan dengan sasaran dan hasil.

Jajaran Direktur dan manajemen seharusnya menyadari bahwa beberapa

level dari resiko residual akan selalu ada, bukan karena sumber-sumber
dayanya terbatas, namun juga karena ketidakpastian dan keterbatasan-
keterbatasan yang melekat di semua aktivitas.

Aktivitas-aktivitas Kontrol
Merupakan kebijakan dan prosedur-prosedur yang membantu memastikan
bahwa tanggapan terhadap resiko dijalankan dengan layak. Aktivitas-
aktivitas kontrol terjadi di seluruh organisasi di berbagai level dan fungsi.
Aktivitas kontrol adalah bagian dari proses di mana perusahaan berusaha
mencapai tujuan bisnisnya. Aktivitas ini biasanya melibatkan dua elemen :
kebijakan tentang apa yang harus dilakukan, dan prosedur-prosedur
untuk menjalankan kebijakan tersebut.

Dengan kepercayaan akan sistem informasi yang sudah tersebar luas,

kontrol diperlukan dalam sistem-sistem yang signifikan. Dua
pengelompokan aktivitas kontrol sistem informasi yang luas dapat
digunakan. Pertama, kontrol-kontrol umum, yang diterapkan di
banyak/semua sistem, yang membantu menjamin kesinambungan sistem
dan memastikan bahwa aplikasi-aplikasi sistem tersebut tetap
dioperasikan dengan layak. Kedua, kontrol-kontrol aplikasi, yang
mengandung tahap-tahap komputerisasi dalam software aplikasi untuk
mengendalikan teknologi aplikasi. Kombinasi dengan proses manual
lainnya dapat mengendalikan kebutuhan, pengendalian tersebut tidak
selalu berhasil, tepat dan rinci.

Kendali umum meliputi kendali atas manajemen teknologi informasi,

infrastruktur teknologi informasi, manajemen keamanan dan didapatnya
perangkat lunak, pengembangan dan pemeliharaan. Kendali ini berlaku
bagi semua sistemmulai dari mainframe ke client/server sampai desktop
dengan memperhitungkan ingkungan. Kendali umum meliputi
manajemen pengendalian teknologi informasi yang menunjukan proses
kesalahan teknologi informasi tersebut, monitoring dan melaporkan
aktivitas teknologi informasi, dan prakarsa peningkatan bisnis.
Kendali Aplikasi dirancang untuk memastikan kelengkapan, ketelitian,
otorisasi dan kebenaran data dalam menangkap dan proses transaksi.
Aplikasi individu boleh bersandar pada operasi yang efektif yang
mengendalikan sistem informasi untuk memastikan bahwa data alat
penghubung dihasilkan ketika diperlukan, pendukung aplikasi ada tersedia
dan kesalahan alat penghubung dideteksi dengan cepat.

Karena masing-masing kesatuan mempunyai satuan sasaran hasil dan

pendekatan implementasi sendiri, akan ada perbedaan dalam sasaran dan
hasil, struktur dan hal ini berhubungan dengan aktivitas kendali. Sekali
pun dua kesatuan mempunyai struktur dan sasaran hasil serupa, kendali
mereka terhadap aktivitas akan mungkin berbeda. Masing-Masing kesatuan
diatur oleh orang yang berbeda, yang menggunakan pertimbangan individu
di dalam pengawasan intern. Lebih dari itu, kendali mencerminkan industri
dan lingkungan tersebut, di mana suatu kesatuan beroperasi, seperti
halnya kompleksitas tentang organisasi, sejarah dan kulturnya.

Informasi dan Komunikasi

Informasi dibutuhkan di setiap level organisasi untuk mengidentifikasi,
menaksir, dan memberikan tanggapan yang tepat akan resiko, dan selain
itu untuk menjalankan entitas dan mencapai tujuan. Informasi yang
relevanbaik dari sumber-sumber dalam maupun luarharus diidentifikasi,
ditangkap, dan dikomunikasikan dalam bentuk dan rangkaian waktu yang
memungkinkan personil untuk menyelesaikan tanggung jawab mereka.
Aliran informasi ini bermula di organisasi, menurun dan menyebar ke
entitas, dan ke bagian- bagian eksternal seperti pelanggan, pemasok,
pengatur, dan para pemegang saham.

Tantangan manajemen adalah untuk memproses dan menyuling sejumlah

besar data ke dalam informasi-informasi yang bermanfaat. Tantangan ini
dijumpai dengan menyusun sebuah infrastruktur sistem informasi untuk
menngumpulkan, menangkap, memproses, menganalisa dan melaporan
infomasi yang relevan. Sistem-sistem informasi inibiasanya
terkomputerisasi namun juga melibatkan masukan-masukan atau
interface yang manualseringkali dipadang dalam konteks memproses data
yang dihasilkan secara internal, yang terkait dengan transaksi-transaksi.

Untuk mendukung enterprise risk management yang efektif, sebuah entitas

menangkap dan menggunakan data-data yang aktual dan data-data
historis.
Data historis memungkinkan entitas menjajaki kinerja-kinerja nyata yang
tidak sesuai dengan target, rencana, dan harapan. Hal tersebut akan
memberikan pandangan tentang bagaimana entitas beroperasi di bawah
kondisi-kondisi yang berbeda, sehingga akan memungkinkan manajemen
untuk mengidentifikasi korelasi dan kecenderungan-kecenderungan yang
ada untuk meramalkan kinerja ke depannya. Data historis juga dapat
memberikan peringatan awal akan peristiwa-peristiwa potensial yang
mungkin terjadi yang membutuhkan perhatian dari manajemen.

Data aktual dan terkini memungkinkan entitas untuk menaksir resiko-

resiko dalam waktu yang spesifik dalam toleransi resiko yang terbentuk.
Data-data aktual memungkinkan manajemen untuk membuat gambaran
yang real-time akan resiko-resiko yang ada dan melekat dalam proses,
fungsi, atau unit, dan untuk mengidentifikasi variasi dari harapan-
harapan. Hal tersebut akan memberikan sebuah gambaran akan profil
resiko entitas, memungkinkan manajemen untuk mengubah aktivitas-
aktivitas seperlunya, untuk menyesuaikannya dengan risk appetite.

Informasi adalah dasar dari komunikasi, yang harus mempertemukan

harapan-harapan dari grup-grup dan individu-individu, memungkinkan
mereka untuk secara efektif menyelesaikan tanggung jawab mereka. Di
antara jalur-jalur komunikasi yang ada, jalur yang paling penting adalah
antara jajaran Direktur/top manajemen dan jajaran Komisaris. Jajaran
Direktur dan manajemen harus memastikan jajaran Komisaris agar tidak
tertinggal dalam kinerja, pengembangan-pengembangan, resiko-resiko dan
fungsi-fungsi dalam ERM, dan peristiwa serta masalah relevan ayng lain.
Semakin baik komunikasi, semakin efektif pula jajaran Komisaris
menyelesaikan tanggung jawab mereka, dalam bertindak sebagai penyuara
masalah-masalah yang penting dan memberikan nasihat-nasihat,
konseling, dan petunjuk. Selain itu, Dewan Komisaris juga harus
menyampaikan informasi-informasi yang dibutuhkan pada jajaran
Direktur/manajemen, serta memberikan tanggapan dan petunjuk.

Jajaran Direktur memberikan penyampaian yang spesifik dan terarah

mengenai sikap yang diharapkan dan tanggung jawab dari para personil.
Penyampaian tersebut mengandung pernyataan dari filosofi enterprise risk
management entitas, dan pendekatan serta pendelegasian wewenang.
Komunikasi tentang proses dan prosedur harus diarahkan agar sejalan dan
dapat menyokong budaya resiko yang diharapkan. Sebagai tambahan,
komunikasi seharusnya 'terbingkai' dengan pantaspresentasi informasi
dapat secara signifikan mempengaruhi bagaimana informasi tersebut
ditafsirkan dan bagaimana resiko-resiko terkait atau kesempatan-
kesempatan dipandang.

Komunikasi seharusnya meningkatkan kesadaran tentang kepentingan dan

relevansi enterprise risk management yang efektif, menyampaikan risk
appetite dan toleransi resiko perusahaan, dan mendukung bahasa resiko
yang umum, dan menasehati para personel akan peranan dan tanggung
jawab mereka dalam mempengaruhi dan mendukung komponen-komponen
enterprise risk management.

Saluran-saluran komunikasi juga harus dipastikan agar memungkinkan

para personel untuk menyampaikan resiko dari informasi di seluruh unit
bisnis, gudang-gudang proses dan fungsional. Umumnya, jalur pelaporan
dalam sebuah organisasi adalah saluran yang tepat untuk komunikasi. Di
beberapa kondisi, bagaimanapun, jalur-jalur komunikasi yang terpisah
diperlukan untuk bertindak sebagai mekanisme fail-safe selama jalur-jalur
normal lainnya tidak beroperasi. Penting bagi personil untuk memahami
bahwa tidak akan ada imbalan untuk melaporkan informasi yang relevan.

Saluran-saluran komunikasi eksternal dapat memberi masukan yang

sangat signifikan bagi desain atau kualitas produk dan layanan.
Manajemen mempertimbangkan bagaimana risk appetite dan toleransi
resiko sejalan dengan para pelanggan, pemasok, dan partner-partner
bisnis, serta memastikan bahwa hal-hal tersebut tidak membawa banyak
resiko dari interaksi bisnis. Komunikasi dari luar sering menyediakan
informasi penting yang berguna untuk manajemen resiko perusahaan.

Monitoring
Enterprise risk management diawasiproses untuk menaksir baik kehadiran
maupun fungsi dari komponen-komponennya dan kualitas kinerjanya dari
waktu ke waktu. Pengawasan dapat dilakukan dalam dua cara : melalui
kegiatan yang terus-menerus atau melalui evaluasi-evaluasi terpisah.
Kedua macam pengawasan tersebut bermanfaat untuk memastikan bahwa
enterprise risk management tetap diterapkan di semua level di seluruh
bagian entitas.
Pengawasan berkelanjutan dibentuk dalam kegiatan entitas yang
berkelanjutan dari hari ke hari. Pengawasan berkelanjutan dilaksanakan
atas dasar real-time, bereaksi secara dinamis pada perubahan kondisi dan
berurat akar dalam entitas. Sebagai hasilnya, pengawasan jenis ini lebih
efektif daripada evaluasi-evaluasi terpisah. Karena evaluasi terpisah
dilakukan setelah suatu kejadian terjadi, masalah akan diidentifikasi lebih
cepat dengan pengawasan berkelanjutan. Namun banyak entitas yang juga
menerapkan evaluasi terpisah, di samping menerapkan pengawasan
berkelanjutan.

Frekwensi dari evaluasi yang terpisah adalah suatu pertimbangan

manajemen. Di dalam membuat ketentuan, pertimbangan ditujukan
kepada derajat perubahan dan keasliannya, dari kedua-duanya baik
peristiwa internal dan eksternal, dan hubungan resiko mereka;
kemampuan dan pengalaman personil yang menerapkan tanggapan resiko
dan hubungan yang terkendali; dan hasil pemantauan yang berkelanjutan
tersebut. Pada umumnya, beberapa kombinasi dari pemantauan
berkelanjutan dan evaluasi akan memastikan bahwa manajemen resiko
suatu perusahaan telah memelihara efektivitas nya dari waktu ke waktu.

Tingkat dokumentasi dari suatu manajemen resiko perusahaan bervariasi

menurut ukuran entitasnya, kerumitan yang terjadi dan faktor-faktor
serupa. Fakta menunjukkan bahwa unsur-unsur manajemen resiko
perusahaan yang tidak termonitor bukan berarti tidak efektif atau bahwa
mereka tidak bisa dievaluasi. Bagaimana pun, suatu tingkatan
dokumentasi yang sesuai pada umumnya membuat monitoring lebih efisien
dan efektif. Jika manajemen berniat untuk membuat suatu pernyataan ke
luar mengenai efektivitas manajemen resiko perusahaan, sudah
seharusnya mempertimbangkan perkembangan dan menyimpan
dokumentasi untuk mendukung pernyataan tersebut.

Semua kekurangan manajemen resiko perusahaan yang mempengaruhi

suatu kemampuan entity untuk mengembangkan, menerapkan strategi dan
untuk mencapai sasaran, hasil yang dibentuknya harus dilaporkan untuk
memposisikan dan mengambil tindakan yang dibutuhkan. Lazimnya
berbagai hal yang dikomunikasikan akan berubah tergantung pada otoritas
individu atas keadaan yang terjadi. Istilah "kekurangan" mengacu pada
suatu kondisi di dalam manajemen resiko perusahaan yang kekurangan
perhatian. Suatu kekurangan, mungkin menciptakan suatu perhatian,
potensi atau
kelemahan, atau suatu kesempatan untuk memperkuat proses tersebut
untuk meningkatkan kemungkinan hasil entitas yang akan tercapai.
Informasi dihasilkan selama beroperasi pada umumnya dilaporkan melalui
saluran normal. Saluran Komunikasi Alternatif juga perlu ada untuk
melaporkan informasi yang sensitif seperti tindakan tidak pantas atau tidak
sah.

Penyediaan informasi diperlukan pada kelemahan manajemen resiko

perusahaan saat keadaan kritis. Protokol harus dibentuk untuk
mengidentifikasi informasi yang diperlukan di kondisi tertentu untuk
pengambilan keputusan efektif. Sebagaimana pula protokol mencerminkan
aturan umum seorang manajer dirasa perlu menerima informasi yang
mempengaruhi tindakan atau perilaku bawahan serta tanggung jawab nya,
seperti halnya informasi yang diperlukan untuk mencapai sasaran khusus.

Penguasaan resiko
Semua diskusi di atas memberi kita pemahaman yang menyeluruh tentang
bagaimana penguasaan resiko harus dibangun dalam sebuah organisasi.
Sudah jelas bahwa tanggung jawab utama dari pimpinan perusahaan
(jajaran Direktur dan Dewan Komisaris) adalah untuk memastikan bahwa
mereka telah mengembangkan sebuah pemahaman yang jelas tentang
strategi bisnis perusahaan dan resiko-resiko yang fundamental. Pimpinan
perusahaan juga perlu memastikan transparansi resiko bagi semua
pemangku kepentingan melalui penyingkapan internal dan eksternal yang
memadai.

Meskipun Dewan Komisaris sedang tidak berada di tempat untuk mengelola

bisnisnya, adalah tetap merupakan tanggung jawabnya untuk mengawasi
manajemen dan menjaganya agar tetap dapat dipertanggungjawabkan.
Dewan Komisaris juga harus turut berpartisipasi dalam mengembangkan
keseluruhan rencana kerja firma, mempertimbangkan bagaimana
perubahan-perubahan akan mempengaruhi kesempatan dan strategi bisnis
dalam firma. Oleh karena itu, dibutuhkan informasi tentang tingkat dan
tipe resiko yang dapat diterima oleh firma. Sebagai contoh, pimpinan harus
menggolongkan 'risk appetie' yang layak untuk firma.

Secara khusus, pimpinan harus memastikan bahwa strategi-strategi bisnis

dan manajemen resiko lebih diarahkan ke ekonomi dibandingkan kinerja
akuntansinya, berkebalikan dengan kondisi yang terjadi di Enron dan
beberapa firma lain yang terlibat dalam skandal kekuasaan perusahaan
yang telah dipublikasikan.
Untuk memenuhi kewajiban penguasaan resiko, Dewan Komisaris bersama
dengan jajaran Direktur harus memastikan bahwa firma telah membuat
program untuk menempatkan enterprise risk management yang efektif
dengan tepat, yang konsisten dengan pilihan-pilihan risk appetite dan
strategi-strategi fundamental. Dan harus dipastikan bahwa kebijakan,
metode, dan infrastrukturnya tetap berjalan dengan layak. Infrastrukur,
seperti yang sudah disebutkan sebelumnya mengandung elemen-elemen
operasi (contoh : software yang canggih, hardware, data, proses
operasional) dan personal.

Sebuah Dewan Komisaris yang efektif akan membangun standar-standar

etik yang kuat. Beberapa praktik terbaik di bank dewasa ini telah
menyusun Komite Etik untuk mencoba memastikan resiko-resiko yang
kecil seperti praktek bisnis yang tidak etis tidak menjatuhkan mereka
dalam rancangan kerja pelaporan resiko mereka.

Suatu Dewan Komisaris selalu memastikan bahwa suatu informasi yang

didapat tentang manajemen resiko selalu tepat dan dan dapat dipercaya.
Dewan Komisaris mempertunjukkan kepercayaan dan memerlukan
informasi dari suatu masalah dengan banyak mengetahui dari nara sumber
yang dapat dipercaya, seperti CEO, manajemen senior, dan auditor internal
dan eksternal. Komisaris harus disiapkan untuk dapat bertanya secara
rinci, dan mereka harus membuat diri mereka mampu memahami jawaban
tersebut.

Suatu Dewan Komisaris, bagaimanapun harus dapat menangani

resikodengan manajemen resikoyang tidak tertangani dari hari ke hari.
Selain itu, mereka juga harus memastikan bahwa semua mekanisme
berfungsi untuk membuat keputusan manajemen resiko berfungsi secara
layak.

Pertanyaan tinjauan
5 pertanyaan pilihan ganda sebagai bahan kajian bab 2

1. Sebutkan 3 tipe utama dari resiko yang dikenal secara tradisional :

(a) Resiko pasar, Resiko kredit, and Resiko keuangan.
(b) Resiko pasar, Resiko keuangan, and Resiko operasional.
 (c) Resiko bisnis, Resiko pasar, and Resiko keuangan.
(d) Resiko pasar, Resiko kredit, and Resiko operasional.

2. Berikut ini merupakan elemen yang benar dari proses manajemen

resiko berdasarkan AS/NZS 4360:2004 , kecuali :
(a) Menyusun konteks.
(b) Mengidentifikasi dan menganalisa resiko
(c) Menangani resiko, mengawasi dan meninjau ulang
(d) Lingkungan internal

3. Tanggapan-tanggapan pengurangan resiko berarti :

(a) Mengambil tindakan dengan berhenti melakukan aktivitas yang
meningkatkan resiko
(b Mengurangi likelihood resiko atau dampaknya dengan
memindahkan atau membagi resiko dengan bagian yang lain.
(c) Tidak mengambil tindakan apapun untuk mempengaruhi likelihood
atau dampak
(d) Mengurangi likelihood resiko, dampak, atau keduanya.

4. Dalam konteks Indonesia, berdasarkan COSO Enterprise Risk

Management Framework, siapa yang bertanggung jawab untuk
membangun risk appetite entitas?
(a) Manajemen dan ditinjau ulang oleh jajaran Direktur dan Dewan
Komisaris
(b) Dewan komisaris
(c) Jajaran Direktur
(d) Jajaran Direktur, dan ditinjau ulang oleh Dewan Komisaris

5. Berikut ini merupakan komponen enterprise risk management

berdasarkan rancangan kerja COSO, kecuali :
(a) Lingkungan internal
(b) Penyusunan tujuan
(c) Penaksiran resiko
(d) Penguasaan resiko

ENTERPRISE RISK
BAB MANAGEMENT
III DALAM KONTEKS
Bab tiga adalah usaha kita untuk menerapkan ERM ke dalam konteks
Indonesia, peraturan-peraturan perusahaan yang terkait baik milik pribadi,
umum atau milik negara, resiko legalitas dan tuntutan hukum, budaya dan
situasinya. Bab ini memberi pembaca pengertian kontekstual bagaimana
relevansi dan pentingnya ERM dalam lingkungan bisnis dan pemerintahan
Indonesia saat ini. Pada akhir bab ini kami juga membahas tentang peran
penting dari pihak terkait dalam memastikan bahwa kebijaksanaan dan
strategi manajemen (contohnya kemampuan untuk mengambil resiko dan
toleransi) dilaksanakan dan diawasi sampai pada garis paling bawah.

Lingkungan Resiko
Karena sebuah perusahaan tidak beroperasi dalam kondisi vakum, tetapi
keberadaannya adalah pemberian dari lingkungan, perusahaan menjadi
sasaran atau terpapar kepada peraturan yang
terkait. Untuk alasan itu, lingkungan peraturan
dan tindakan pengaturan menjadi penting
untuk dipertimbangkan dan dipahami.
Faktanya, syarat dasar dari praktek sound risk
management adalah sebuah perusahaan
berjalan selaras dengan peraturan yang relevan
dan terkait.

Untuk perusahaan milik negara (SOE), sebagai

contohnya, lingkungan peraturan dan tindakan pengaturan mungkin
sangat luas sehingga perlu diatur oleh undang-undang, UUPT, UU BUMN,
UU Pasar Modal, peraturan pasar modal, peraturan umum dan sebagainya.
Perhatikan Gambar 3.1. Jika ini sebuah bank, maka bank tersebut menjadi
subjek dari peraturan yang dikeluarkan oleh bank sentral seperti Peraturan
Bank Indonesia (PBI). Peraturan ini ada kalanya tidak sesuai bahkan
bertolak belakang satu sama lain. Dengan demikian resiko dari SOE ini
cukup tinggi.

Luasnya lingkungan legal dan pengaturan ini diklasifikasikan secara

spesifik sebagai resiko legal dan peraturan. Dampak pengambilan resiko ini
dapat berbentuk pelanggaran, seperti terlibat dalam transaksi ilegal, hingga
potensi karena perubahan hukum. Perubahan hukum perpajakan,
sebagai
contohnya, dapat menciptakan kerugian tidak terduga, seperti ketika
Pemerintah Inggris mengubah kode pajak untuk menghilangkan
keuntungan pajak selama musim panas tahun 1997, sebuah bank investasi
besar menderita kerugian yang besar.

Kita perlu menyadari bahwa resiko juga berhubungan dengan resiko

reputasi. Sebuah pelanggaran hukum akan memberi dampak langsung
kepada reputasi Anda, baik perusahaan ataupun pribadi. Resiko reputasi
memberi ancaman tersendiri pada institusi keuangan karena melibatkan
natur dari bisnis, kepercayaan pelanggan, kreditor, pembuat peraturan dan
pasar pada umumnya. Sebuah survey yang di keluarkan pada Agustus
2004 oleh Price Waterhouse Coopers (PWC) dan Economist Intelligence Unit
(EIU), 34 persen dari 134 bank internasional yang menjadi responden
meyakini bahwa resiko reputasi adalah resiko terbesar bagi pasar dan
pemegang saham dari bank tersebut. Sementara resiko pasar dan kredit
memiliki angka masing-masing 25 persen.

Manajemen Resiko dan Akuntabilitas Pengurus Perusahaan

Peraturan-peraturan yang baru dikeluarkan baik dari berbagai sektor,
perbankan, perusahaan dan pemerintahan, didasari persoalan pengaturan
perusahaan, telah membawa pemahaman yang lebih baik tentang tugas
dari pengurus perusahaan di Indonesia. Lebih dari sebelumnya, pengurus
perFuigsuareh3a.2an- Inddiohnaesriaasplkimainteduntuk lebih bertanggung jawab
dalam menjalankan
companys organ
perusahaan mereka dan fakta ini membuat
mereka terbuka untuk resiko legal dan
perkara hukum.

Perusahaan apapun misalnya perseroan

terbatas, terikat Undang-undang Republik
Indonesia No. 1 Tahun 1995, sementara buku
ini ditulis sedang dalam proses amandemen.
Hukum perusahaan memperkenalkan dua
ruang pengurus, bukan satu ruang pengurus
seperti sistem anglo-saxon pada umumnya.
Dua ruang tersebut adalah eksekutif/direktur dan komisioner. Keduanya
bertanggung jawab kepada pemegang saham dalam Rapat Umum Pemegang
Saham. Pengurus perusahaan dan hubungan satu sama lain dan pemegang
saham dapat di lihat pada gambar 3.2.
Model dua ruang pengurus sebenarnya adalah lingkungan yang kondusif
dan menyeimbangkan mekanisme antara peran eksekutif dari pengurus
perusahaan dan peran pengawas dari komisioner sehingga dapat berjalan
dengan efektif. Jika berjalan dengan efektif, mekanisme ini akan
memberikan lingkungan kontrol yang kuat, mulai dari atas. Jika tidak, hal
ini dapat menyebabkan gesekan dan perlawanan yang datang dari dua sisi
atau situasi hubungan abusive yang akan menimbulkan resiko terhadap
proses pengambilan keputusan yang efektif.

Lebih jauh lagi, menurut hukum, memimpin dan mengatur perusahaan

adalah eksekusi dari tugas tanggung jawab kedua pengurusan. Tugas ini
adalah doktrin penting dalam peraturan perusahaan kita. Hal itu untuk
memastikan bahwa perusahaan akan dipimpin dan diatur secara
bertanggung jawab dan anggota pengurus akan bertanggung jawab
terhadap tindakan dari perusahaan.

Risk Appetite dan Risk Tolerance

Karena kedua sektor memiliki karakteristik masing-masing, dikendalikan
oleh semua peraturan dan keunikan pasar yang terkait, pengurus
perusahaan Indonesia dibutuhkan untuk dapat mengembangkan risk
appetite dan tolerance yang sesuai, menyeimbangkan antara pengembalian
dan profil resiko dari perusahaan.
Risk appetite dan risk tolerance (dalam batasan) beserta pernyataan
komitmen terhadap manajemen resiko diformulasikan sebagai
kebijaksanaan resiko dari perusahaan. Kita telah menyebutkan bahwa
dalam praktek terbaik dalam suatu institusi, semua berjalan dari
menajemen resiko yang jelas dan disetujui pada pimpinan. Oleh karena itu,
penting bagi para pengurus perusahaan untuk menyetujui dengan jelas
risk appetite dari perusahaan dan bagaimana hal ini dapat berhubungan
dengan batasan sistem dan ukuran resiko.

Tanpa landasan seperti ini, akan sangat sukar bagi manager resiko di
bagian bawah rantai manajemen untuk membuat keputusan kunci dalam
bagaimana melakukan pendekatan dan pengukuran resiko. Contohnya,
tanpa komunikasi jelas tentang konsep dari risk appetite institusi,
bagaimana manager resiko menjabarkan "kasus resiko terburuk" dalam
analisa skenario resiko ekstrim?
Risk appetite adalah derajat resiko, dalam level yang luas, sebuah
perusahaan atau badan bersedia untuk menerima dalam mencapai tujuan.
Sementara risk tolerance adalah tingkat penerimaan dari variasi relatif
untuk mencapai tujuan. Dalam menentukan toleransi resiko yang spesifik,
manajemen mempertimbangkan kepentingan relatif dari tujuan yang terkait
dan menyejajarkan risk tolerance dengan risk appetite, dan pada gilirannya,
menyediakan tingkat kenyamanan yang lebih tinggi bahwa perusahaan
tersebut akan mencapai tujuan-tujuannya.

Dewan Direktur mempertimbangkan risk appetite dari perusahaan dengan

pertama-tama mengevaluasi alternatif-alternatif strategis, kemudian dalam
menetapkan tujuan disejajarkan dengan strategi yang dipilih dan dalam
mengembangkan mekanisme untuk mengatur resiko terkait.

Dengan demikian jelas bahwa risk appetite berhubungan langsung dengan

strategi perusahaan. Hal ini dipertimbangkan dalam penetapan strategi,
dimana hasil yang diharapkan dari strategi seharusnya sejajar dengan risk
appetite dari perusahaan. Strategi berbeda akan mengakibatkan resiko yang
berbeda.

Risk appetite perusahaan mengatur alokasi sumber daya. Manajemen

mengalokasikan sumber daya pada unit usaha dengan pertimbangan
bahwa risk appetite perusahaan dan strategi unit bisnis individu untuk
menghasilkan hasil yang diharapkan dalam sumber daya yang
diinvestasikan. Manajemen mempertimbangkan risk appetite karena hal itu
membawa organisasi, orang, proses dan design infrastruktur yang
diperlukan untuk secara efektif merespon dan memonitor resiko.

Definisi jelas dari risk appetite sebuah organisasi dalam kebijaksanaan

resiko dan toleransi resiko membentuk sebuah elemen yang memiliki
komitmen kuat mulai dari paling atas struktur organisasi dan kesadaran
bahwa dewan butuh untuk memastikan bahwa sikap mereka sejajar
dengan kebijaksanaan manajemen resiko. Seperti sudah dijelaskan
sebelumnya, hal ini untuk memastikan integrasi dari resiko ke dalam
budaya dan nilai perusahaan.

Dewan Direksi dengan pemahaman yang kuat akan profil resiko dari
keberadaan atau jalur bisnis yang terantisipasi dapat mendukung
keputusan strategis yang agresif dengan lebih percaya diri. Adopsi dari
resiko yang
memadai seperti Value-at-Risk (VaR) dan penawaran modal ekonomi dapat
sangat bermanfaat. Dalam hal ini, tidak hanya sebagai pengaturan batasan
resiko tetapi juga membantu perusahaan memutuskan jalur bisnis mana
yang sesuai (setelah resiko dipikirkan lebih dahulu).

Karena dewan harus mampu untuk mempertimbangkan resiko dari

seluruh perusahaan, atau portofolio, perspektif, mempertimbangkan semua
peraturan yang terkait, mereka perlu untuk mendirikan proses dimana
para Manager yang ditugaskan untuk merancang perkiraan dari resiko dan
respon dari resiko untuk unit yang menjadi tanggung jawab mereka. Hasil
dari proses adalah profil resiko dari unit yang terkait dengan tujuan dan
toleransi resiko. Dengan beberapa resiko untuk unit individu, Dewan
Direksi diposisikan untuk mengambil pandangan portofolio dan untuk
menentukan apakah profil resiko perusahaan sepadan dengan risk appetite
keseluruhan.

Peran Komite-Komite Dewan Komisaris dan Fungsi Audit Perusahaan

Untuk memperoleh praktek terbaik dari kepemimpinan perusahaan,
sebuah perusahaan harus mampu untuk menjalin toleransi yang telah
disetujui oleh dewan dengan strategi bisnis tertentu. Ini artinya, pada
gilirannya, batasan tertentu dan wewenang harus dikembangkan untuk
tiap portofolio dari bisnis dan untuk setiap tipe resiko (dalam tiap portofolio
bisnis), seperti halnya juga untuk keseluruhan portofolio.

Tantangannya tetap : bagaimana bisa risk appetite dan toleransi yang telah
disetujui disiarkan kepada manager bisnis sedemikian sehingga dapat
dimonitor dan masuk akal dalam keputusan bisnis hari lepas hari ?
Bagaimana Dewan Komisaris tahu bahwa Manager Eksekutif dan Bisnis
dapat memiliki kemampuan legal dan peraturan minimun, sebagai contoh.

Di sini jelas bahwa tugas dari dewan bagaimana pun juga tidak untuk
menangani managemen resiko berbasis hari lepas hari, tetapi untuk
memastikan bahwa semua mekanisme yang digunakan untuk
mendelegasikan keputusan manajemen resiko sudah berfungsi dengan
benar.

Dalam banyak kasus, Dewan Komisaris dapat menugaskan kepada komisi

utama, contoh komisi audit dan menagement resiko, dengan mereview dan
memeriksa kebijaksanaan utama dan prosedur terkait dalam aktivitas
managemen resiko perusahaan. Komisi-komisi ini juga memastikan bahwa
penerapan kebijakan utama ini berjalan efektif.
Komisi-komisi juga dapat membantu merekomendasikan jalan terbaik
untuk menerjemahkan risk appetite perusahaan keseluruhan, disetujui oleh
Dewan Direksi dan Komisaris, ke dalam seperangkat batasan yang mengalir
turun melalui pejabat eksekutif dan divisi bisnis.

Secara spesifik penting untuk disebutkan di sini adalah tentang peran dari
Komisi Audit, karena komisi ini sekarang ditemukan di kebanyakan
perusahaan terbatas di Indonesia, baik pribadi atau publik, SOE atau non
SOE. Peran dari Komisi Audit sangat penting bagi pandangan keseluruhan
dewan tentang perusahaan. Menurut manual Komisi Audit yang
dikeluarkan oleh Ikatan Komite Audit Indonesia, Komite Audit bertanggung
jawab tidak hanya untuk keakuratan laporan keuangan perusahaan, tetapi
juga untuk memastikan bahwa perusahaan memenuhi standar praktek
minimum atau terbaik dalam aktivitas kunci lainnya, seperti pengaturan,
legal, compliance dan aktivitas manajemen.

Satuan pengawas intern atau internal audit seharusnya juga diperkuat

untuk membantu komite-komite dalam mengatur penyelidikan periodik
yang dilakukan di seluruh perusahaan. Peran utama dari internal audit
adalah untuk menyediakan penilaian independen dari design dan
implementasi manajemen resiko perusahaan. Hal ini berarti bahwa internal
audit harus menunjuk pada kecukupan dokumentasi, efektifitas proses,
integritas dari sistem manajemen resiko, integrasi dari pengaturan resiko
dalam manajemen resiko harian, dan selanjutnya.

Audit juga seharusnya mengevaluasi kekuatan dari informasi elemen

manajemen resiko, seperti proses yang digunakan untuk mengkode dan
mengimplementasikan internal model (untuk bank). Ini seharusnya
melibatkan kontrol pemeriksaan terhadap pengambilan data posisi pasar,
seperti halnya kontrol parameter estimasi (seperti volatilitas dan asumsi
korelasi). Hal itu juga harus menguji dokumentasi sehubungan dengan
keutuhan pemenuhan dan kriteria kualitatif/kuantitatif digarisbesarkan
dalam peraturan. Juga seharusnya memberi komentar pada kepercayaan
laporan nilai terhadap resiko dari bingkai kerja.
Pertanyaan Review
Lima pertanyaan multiple choices untuk materi Bab 3.

1. Berdasarkan Undang-undang Perseroan Terbatas, Persoran Terbatas

memiliki :
(a) Dua ruang dewan: Rapat Umum Pemegang Saham dan Dewan
Komisaris.
(b) Tiga ruang dewan: Rapat Umum Pemegang Saham, Dewan
Komisioner dan Dewan Direksi.
(c) Satu ruang dewan: Dewan Direksi
(d) Dua ruang dewan: Dewan Direksi dan Dewan Komisioner

2. Sebutkan dua komite yang membantu Dewan Komisioner dalam

mengawasi manajemen resiko dalam satu perusahaan :
(a) Komite Audit dan pemimpin perusahaan
(b) Komite Manajemen Resiko dan pemimpin perusahaan
(c) Komite pemimpin perusahaan dan remunerasi dan nominasi
(d) Komite Audit dan manajemen resiko

3. Pernyataan berikut ini benar kecuali :

(a) Dewan Komisioner bertanggung jawab untuk mereview kebijakan
manajemen resiko perusahaan.
(b) Dewan Komisioner dapat menugaskan Komite Audit untuk
mereview kualitas dari kebijakan management resiko dan
prosedurnya.
(c) Dewan Komisioner harus terlibat dalam mereview risk appetite
dari perusahaan.
(d) Dewan Komisioner harus terlibat dalam proses implementasi
manajemen resiko hari lepas hari perusahaan.

4. Dewan Direksi memastikan bahwa :

(a) Manajemen resiko yang baik sudah terlaksana
(b) Fungsi audit berjalan dengan efektif
(c) Profil resiko perusahaan ada di dalam risk appetite
(d) Semua jawaban di atas benar

5. Berdasar pada praktek terbaik, pernyataan berikut adalah peran dari

komite manajemen resiko, kecuali:
(a) Secara independent mereview proses manajemen resiko
(b) Mereview kecukupan garis besar kebijakan dan sistem
(c) Bekerja sama dengan Komite Audit untuk mereview kejadian
yang berhubungan dengan resiko operasional
(d) Mendirikan risk appetite dari perusahaan
 BAB IV IMPLEMENTING ERM

Rancangan kerja ERM membutuhkan terintegrasinya proses manajemen

resiko dalam semua aspek kehidupan perusahaanbudayanya, visi misi dan
strateginya, sama halnya dengan proses bisnisnya. Semua itu pada
gilirannya membutuhkan kapasitas internal untuk menyelesaikan
prosesnya secara efektif. Masalah-masalah tersebut akan didiskusikan di
bagian tengah bab ini.

Budaya Resiko
Banyak fokus manajemen resiko diarahkan pada membangun infrastruktur
seperti fungsi-fungsi resiko yang independen dan Komite Resiko; audit dan
penaksiran resiko; prosedur dan kebijakan manajemen resiko; model-model
dan sistem; ukuran dan laporan-laporan; serta batas-batas resiko dan
proses pengecualian. Namun, adalah sama pentingnya bahwa perusahaan-
perusahaan juga berfokus pada sisi lain, "sisi lembut" dari manajemen
resiko

Nilai-nilai budaya resiko merupakan "sisi lembut" yang penting dalam

manajemen resiko, namun seringkali nilai-nilai tersebut diabaikan.
Pengaturan dan pengembangan nilai-nilai dan budaya resiko yang benar
dalam perusahaan, merupakan sebuah keharusan dalam penerapan ERM
yang sukses. Seperti halnya dengan keseluruhan budaya perusahaan bisa
menjadi suatu hal yang penting dalam menentukan seberapa sukses
perusahaan tersebut. Demikian juga budaya resikonya akan menentukan
seberapa sukses ERM di perusahaan tersebut. Budaya resiko yang lemah
adalah jika para karyawannya mempunyai pemahaman yang dangkal
tentang pentingnya manajemen resiko dan peranan mereka dalam
menajemen resiko tersebut. Jika di pihak lain, manajemen resiko di lihat
sebagai pusat operasi perusahaan dari hari ke hari, besar kemungkinan
bahwa perusahaan tersebut juga memiliki budaya resiko yang kuat juga.
Seperti sebuah lingkungan yang memungkinkan diterapkannya manajemen
resiko yang efektif

Budaya resiko merupakan sekumpulan sikap, nilai, dan praktek-praktek

yang mencerminkan bagaimana sebuah entitas memikirkan resiko dalam
aktivitas sehari-hari mereka. Untuk kebanyakan perusahaan, budaya
resiko mengalir dari filosofi resiko perusahaan dan risk appetite-nya. Untuk
entitas- entitas yang tidak memiliki filosofi resiko yang jelas, budaya resiko
bisa berbentuk sembarangan, menghasilkan budaya resiko yang benar-
benar berbeda dalam sebuah perusahaan atau bahkan dalam unit bisnis,
fungsi, atau departemen tertentu.

Oleh karena itu, penting bagi pimpinan untuk memperkenalkan budaya

resiko dan nilai-nilai perusahaan yang benar, melalui sikap-sikap dan
kebijakan-kebijakan tertulis yang relevan. Seperti semuap permasalahan
budaya, faktor kuncinya adalah apakah manajemen "menjalani perjalanan"
sebaik "membicarakan pembicaraan." Sebagai contoh, bagaimana
manajemen senior beraksi ketika produsen dengan pendapatan yang besar
secara nyata melanggar kebijakan manajemen resiko? Apakah mereka
mengambil tindakan perbaikan atau dengan mudahnya membalikkan
punggung atas permasalahan itu? Keputusan-keputusan dan tindakan
jajaran Direktur dan manajemen senior akan memberikan lebih banyak
pengaruh dibandingkan kebijakan tertulis manapun. Penting bahwa
mereka bertindak sesuai dengan kebijakan tersebut.
Berkaitan dengan hal ini, Dewan Direktur harus memastikan aliran
komunikasi melalui saluran komunikasi yang efektif sudah berjalan sesuai
rencana. Komunikasi tersebut harus menyampaikan sikap-sikap yang
diharapkan dan tanggung jawab para personil. Komunikasi tersebut
seharusnya juga memudahkan penyaluran pernyataan dan pendekatan
filosofi enterprise risk management entitas serta pendelegasian wewenang.
Selain itu, komunikasi juga harus memfasilitasi diskusi-diskusi terbuka
tentang permasalahan-permasalahan resiko, meningkatkan penelaahan,
dan memfasilitasi sharing pelajaran yang telah dipelajari dan praktek-
prakter terbaik. Penyampaian proses dan prosedur-prosedur harus sejalan
dan menyokong budaya resiko yang diinginkan.

Budaya resiko, bersama dengan nilai-nilai etis entitas, kemampuan dan

perkembangan personil, corak operasi manajemen dan bagaimana
manajemen mendelegasikan wewenang dan tanggung jawab, akan
membentuk apa yang kita ketahui sebagai lingkungan internal dalam ERM
integrated framework of COSO. Lingkungan internal entitas merupakan
fondasi untuk seluruh komponen enterprise risk management yang lain,
yang menyediakan disiplin dan struktur bagi entitas. Lingkungan internal
mempengaruhi bagaimana strategi dan tujuan disusun,bagaimana aktivitas
bisnis disusun dan resiko diidentifikasi, diperkirakan, dan ditangani.
Lingkungan internal mempengaruhi design dan fungsi aktivitas-aktivitas
kontrol, sistem-sistem komunikasi dan informasi, dan memonitor aktivitas-
aktivitas.

Kapasitas Internal
Pada akhirnya, manajemen resiko berbicara tentang orang-orang, proses,
dan infrastruktur, misalnya kapasitas internal perusahaan untuk
mengelola resiko. Kesalahan dalam menentukan ketiga komponen tersebut
akan membawa bencana besar bagi perusahaan.

Orang-orang
Orang-orang, kemampuan, budaya, nilai-nilai, dan insentif-insentif
merupakan 'sisi lembut' manajemen resiko. Komponen-komponen ini telah
diakui sebagai kunci-kunci pengendali aktivitas-aktivitas pengambilan
resiko. Dalam definisi COSO tentang enterprise risk management dikatakan
bahwa ERM dipengaruhi oleh orang-orang di mana itu bukan hanya
sekedar kebijakan, survey dan formulir belaka, namun benar-benar
melibatkan orang-orang di setiap level organisasi.

Kualitas yang dihasilkan proses manajemen resiko sangat dipengaruhi

realita bahwa penilaian manusia dalam pengambilan keputusan bisa jadi
salah, dan gangguan-gangguan dapat terjadi karena kelalaian-kelalaian
manusia seperti kesalahan-kesalahan sederhana, kendali dapat dielakan
oleh kolusi dari dua orang atau lebih, dan manajemen memiliki
kemampuan untuk menolak keputusan enterprise risk management.

Oleh karena itu, sifat pimpinan serta pendidikan dan pelatihan orang-orang
dalam manajemen resiko merupakan bagian yang penting dalam
membangun kapasitas internal perusahaan untuk menerapkan program
enterprise risk management yang sukses.

Resiko ada dalam berbagai bentuk dan ukuran, seperti cairan. Dalam bab
dua, kita telah mendiskusikan tentang berbagai tipe resiko seperti resiko
pasar, resiko kredit, resiko operasional, resiko hukum dan peraturan,
resiko bisnis, resiko strategis, dan resiko reputasi. Pertanyaannya adalah
bagaimana seorang Manajer yang bertanggung jawab atas resiko seluruh
perusahaan dapat bertahan mengatasi segala resiko itu? Tidaklah mungkin
untuk mempekerjakan tenaga-tenaga ahli untuk setiap resiko
tersebutmengingat
resiko tersebut merupakan bagian dari tiap keputusan bisnis. Pendekatan
ini akan membutuhkan Manajer resiko untuk setiap Manajer bisnis.
Untuk alasan itu, sebuah proses sistem untuk menangkap dan belajar dari
insiden-insiden dan kerugian harus berjalan pada tempatnya. Sebuah
organisasi yang terbuka untuk belajar, memiliki kemungkinan yang kecil
untuk mengulangi kesalahan, dan cenderung mendapat manfaat dari
perkembangan dan inovasi-inovasi baru dalam bidang manajemen
resikoyaitu dengan menjadi pintar dan bijaksana, dan dengan tidak
membodohi dirinya sendiri. Pelajaran yang dipelajari dari kesalahan-
kesalahan dari praktek-praktek terbaik perusahaan lain bisa menjadi
tambahan yang berharga dibandingkan pembelajaran dari pemeriksaan
operasi perusahaan sendiri.

Enterprise risk management membutuhkan kita untuk menjadikan resiko

sebagai bagian dari pemikiran dan tanggung jawab kerja setiap karyawan.
Namun hal tersebut membutuhkan usaha yang keras dalam pelatihan dan
pendidikan. Banyak staf, baik junior maupun senior, akan merasa tidak
nyaman dengan manajemen resiko, khususnya dengan formulir-formulir
kuantitatif untuk analisa resiko. Meskipun analisa-analisa kuantitatif
tersebut seringkali sangat penting, mereka tidak terlatih untuk setiap jenis
resiko, dan oleh karena itu, karyawan-karyawan umum perlu diajari untuk
mengenali dan menaksir resiko dengan cara-cara yang relatif mudah untuk
dimengerti. Diskusi kita pada konsep resiko di bab dua merupakan hal
yang bagus untuk memulainya.

Pelatihan kesadaran terhadap resiko merupakan titik awal kesuksesan

program manajemen resiko. Tujuan dari pelatihan-pelatihan semacam itu
adalah untuk memastikan bahwa setiap orang dalam bisnis mampu untuk
secara proaktif, mengidentifikasi resiko-resiko kunci bagi perusahaan;
secara serius berpikir tentang konsekuensi-konsekuensi dari resiko-resiko
yang menjadi tanggung jawabnya; menyampaikan pada bagian-bagian lain
dalam organisasi, resiko-resiko yang membutuhkan perhatian dari bagian-
bagian lain tersebut. Dalam sebuah lingkungan risk-aware, kebanyakan
permasalahan manajemen resiko akan dialamatkan dengan cepat dan tepat
sebelum permasalahan tersebut menjadi lebih besar lagi.

Dalam usahanya untuk memajukan kesadaran resiko, pelatihan juga harus

ditargetkan untuk memperlengkapi karyawan-karyawan dengan
kemampuan dan alat-alat yang mereka butuhkan untuk mengelola resiko
yang menjadi
tanggung jawab mereka.
Pendidikan resiko harus dimulai pada orientasi, dengan memperkenalkan
karyawan-karyawan baru pada konsep manajemen resiko dan memberi
penerangan pada mereka mengenai berbagai fungsi resiko dalam
perusahaan sama seperti memperkenalkan mereka pada fungsi-fungsi
operasional yang lain. Pendidikan resiko tersebut seharusnya juga
mengandung program pelatihan yang berkelanjutan, yang dibuat untuk
meningkatkan kemampuan-kemampuan yang dibutuhkan individu-
individu tersebut dalam mengemban tanggung jawab kerjanya. Adalah
penting bahwa karyawan- karyawan tersebut diperlengkapi untuk
menghadapi tantangan-tantangan berupa masalah-masalah dan resiko-
resiko yang terjadi sepanjang perubahan entitas, dan menjadi lebih
kompleksdiarahkan dalam bagiandengan mengubah teknologi-teknologi
dan meningkatkan persaingan dengan cepat. Pelatihan dan pendidikan,
baik dalam bentuk instruksi kelas, belajar sendiri, atau pelatihan yang
didapat dalam pekerjaan, harus membantu personil untuk tetap
melangkah dan dapat secara efektif beradaptasi dengan lingkungan yang
berkembang. Mempekerjakan orang- orang yang kompeten dan
mengadakan pelatihan sekali saja tidaklah cukup. Kita membutuhkan
proses pendidikan yang berkelanjutan.

Orang-orang biasanya lebih memperhatikan apa saja yang menjadi

tanggung jawab pekerjaan mereka dan bagaimana intensif-intensif
keuangan mereka dihubungkan dengan kinerja mereka. Kesadaran resiko
yang jelas dapat ditanamkan dengan lebih kuat dengan memastikan para
karyawan mengerti bahwa manajemen resiko merupakan bagian dari
pekerjaan mereka, dan bahwa kompensasi insentif mereka terkait dengan
kinerja resiko dan bisnis pada tingkat bisnis dan individual. Penting bagi
para karyawan untuk melihat sendiri fakta-fakta tersebut. Jika ada
persepsi bahwa landasan yang sama untuk aturan tidak berlaku bagi
semua karyawan (terutama karyawan senior), maka karyawan yang lain
akan segera berhenti melihat peraturan- peraturan sebagai sesuatu yang
bisa dielakkan dalam pengejaran karir.

Proses
Enterprise risk management berbeda dari perspektif beberapa pengamat,
yang memandang hal tersebut sebagai sesuatu yang ditambahkan pada
aktivitas perusahaan, atau sebagai beban yang dibutuhkan. Enterprise risk
management paling efektif ketika dibangun dalam infrastruktur entitas dan
menjadi bagian yang penting dalam perusahaan. Ada tiga proses yang
penting yang harus terlaksana pada tempatnya untuk memastikan
terlaksananya
proses enterprise risk management kita dengan tepat :
Menghubungkan komponen-komponen ERM dengan tujuan
perusahaan
Evaluasi reguler mengenai proses manajemen resiko
Dokumentasi proses manajemen resiko

Menghubungkan komponen-komponen ERM dan tujuan perusahaan

Delapan komponen enterprise risk management yang saling berhubungan
(berdasarkan ERM integrated framework COSO, yang telah didiskusikan di
tengah bab dua, misalnya lingkungan internal, penyusunan tujuan,
identifikasi peristiwa, penaksiran resiko, tanggapan resiko, aktivitas control,
informasi dan komunikasi, monitoring) harus diintegrasikan dengan proses
manajemen. Sebuah model yang bagus, yang menggambarkan bagaimana
integrasi itu akan terjadi, yaitu hubungan antara komponen enterprise risk
management dengan tujuan-tujuan entitas (strategis, operasi, pelaporan,
dan pemenuhan) dan level-level (entitas, divisi, unit bisnis, dan cabang)
seperti yang diberikan COSO dapat kita lihat dalam Figure 4.1.

Model COSO ini menunjukkan bahwa ada

hubungan langsung antara tujuan dan usaha
entitas untuk mencapainya, serta komponen-
komponen enterprise risk management, yang
menggambarkan apa yang dibutuhkan untuk
mencapai tujuan-tujuan itu. Hubungan tersebut
digambarkan dalam matriks 3D, dalam bentuk
kubus. Keempat kategori tujuanstrategis, operasi,
Figure 4.1 Risk Management pelaporan, dan pemenuhandigambarkan dengan
Components and Linkages
COSO ERM Integrated Framework
kolom-kolom vertikal. Sedangkan kedelapan
komponen digambarkan dengan baris-baris horizontal. Dan entitas serta
unitnya digambarkan oleh matriks 3D.

Model tersebut menunjukan bahwa masing-masing komponen ERM

tersebut diterapkan pada keempat kategori tujuan. Sebagai contoh, data
finansial dan non-finansial yang dihasilkan dari sumber-sumber internal
dan eksternal, yang merupakan bagian dari komponen informasi dan
komunikasi, dibutuhkan dalam pengaturan strategi dan untuk mengelola
operasi bisnis secara efektif, melaporkan secara efektif dan menentukan
bahwa entitas menaati hukum yang berlaku. Demikian pula dengan
kategori-katogori tujuan, delapan komponen-komponennya saling
relevan satu sama lain.
Sebagai contoh, untuk kategori tujuan keefektifan dan efisiensi operasi,
diperlukan delapan komponen yang lain untuk pencapaian tujuan tersebut.
Evaluasi proses manajemen resiko
Salah satu proses yang penting adalah proses evaluasi proses manajemen
resiko itu sendiri. Ketika pendekatan atau teknik-teknik yang digunakan
berubah, sebuah disiplin seharusnya dibawa ke dalam proses, dengan
dasar- dasar pasti yang melekat di dalamnya.

Evaluasi seharusnya ada untuk memastikan apakah proses manajemen

resiko kita (bersama dengan pirantinya, metodologi dan prosedurnya)
masih sesuai dengan standar yang dibentuk manajemen untuk masing-
masing komponen, dengan tujuan akhir untuk menentukan apakah proses
dapat menyediakan jaminan yang layak berkenaan dengan sasaran yang
dinyatakan.

Dokumentasi proses manajemen resiko

Proses penting lainnya adalah merekam proses manajemen resiko. Asumsi,
metode, sumber data, analisa, hasil-hasil dan alasan-alasan pengambilan
resiko harus didokumentasikan semua.

Documentation of the risk management process

Another important process is recoding the risk management process.
Assumptions, methods, data sources, analyses, results and reasons for
decisions should all be recorded.

Rekaman proses-proses tersebut merupakan aspek yang penting dari

pengaturan perusahaan.
Keputusan-keputusan mengenai pembuatan dokumentasi harus
mempertimbangkan :
Hukum dan kebutuhan-kebutuhan bisnis akan dokumentasi
tersebut
Biaya pembuatan dan pengelolaannya
Manfaat-manfaat adanya dokuementasitersebut

Dokumentasi proses manajemen resiko penting untuk :

1. Menunjukkan pada para pemangku kepentingan bahwa proses tersebut
telah dilaksanakan dengan semestinya.

2. Memberikan bukti-bukti pendekatan sistematis untuk identifikasi dan

 analisa resiko.

3. Memungkinkan diadakannya peninjauan ulang proses tersebut atau

keputusan-keputusan yang diambil.
4. Menyediakan dokumentasi resiko dan untuk mengembangkan database
pengetahuan organisasi.
5. Untuk memperlengkapi para pembuat keputusan dengan rencana
manajemen resiko, untuk persetujuan dan kemudian penerapannya.
6. Memudahkan pengawasan berkelanjutan dan peninjauan ulang.
7. Menyediakan jejak audit.
8. Membagi dan menyampaikan informasi.

Infrastruktur
Proses enterprise risk management membutuhkan infrastruktur resiko yang
didesign dengan baik. Infrastruktur diperlukan untuk menanggapi dan
memonitor resiko secara efektif. Tetapi harus diingat bahwa meskipun
infrastruktur tersebut tersebut penting, itu tidak berarti bahwa dengan
adanya infrastruktur itu saja sudah cukup. Hanya dengan memiliki orang-
orang dan proses yang tepat, infrastruktur tersebut baru akan memberikan
manfaat-manfaat yang nyata. Infrastruktur resiko mencakup semua
infrastruktur manajemen seperti infrastruktur kendali dan infrastruktur
sistem informasi. Tantangan manajemen adalah untuk memproses dan
menyuling data dalam jumlah besar menjadi informasi-informasi yang bisa
dikerjakan. Tantangan tersebut dapat ditemui dengan membangun sebuah
infrastruktur sistem informasi untuk mengumpulkan, menangkap,
memproses, menganalisa, dan melaporkan informasi yang relevan.

Bagaimanapun, institusi harus bergerak ke arah solusi resiko dan

mengkhususkan teknologi-teknologi komputasi yang mampu memfasilitasi
komputasi dan distribusi informasi resiko secara cepat (termasuk
sekelompok besar jaringan komputer yang cepat). Infrastruktur informasi
ini harus melayani Dewan Direktur sebagai dasbor ERM yang menyediakan
jawaban- jawaban untuk pertanyaan-pertanyaan strategis berikut :
1. Apakah ada tujuan bisnis kita yang beresiko ?
2. Apakah kita sudah memenuhi kebijaksanaan dan peraturan-peraturan
3. yang ada ?
4. Kejadian resiko apa saja yang sudah diperluas ?
5. Apakah KRI dan kecenderungan-kecenderungannya butuh segera
diperhatikan ?
 6. Penaksiran resiko apa yang harus ditinjau ulang ?

Sejalan dengan visi, misi, dan strategi

ERM pada dasarnya merupakan inisiatif top down dan seharusnya dimulai
dari para pimpinan, dan disejalankan dengan visi, misi, dan strategi.
Dewan Komisaris dan Direktur adalah bagian penting dalam proses ini.
Karena merekalah yang membagikan kewajiban perumusan dan
menyetujui seluruh strategi perusahaan. Sudah sangat jelas bahwa mereka
harus memastikan bahwa resiko telah terintegrasi dengan strategi
perusahaan. Target-target manajemen resiko harus dimasukkan ke dalam
sasaran-sasaran perusahaan dan inisiatif perusahaan yang utama harus
menggabungkan penaksiran resiko dan strategi-strategi kelonggaran
resiko.

Manajemen, sebagai bagian dari enterprise risk management, harus

memastikan bahwa entitas telah memilih tujuan-tujuan dan
mempertimbangkan bagaimana tujuan tersebut mendukung visi/misi dan
strategi entitas. Tujuan-tujuan entitas juga harus sejalan dengan risk
appetite entitas. Tidak sejalannya, atau sebaliknya menerima resiko yang
tidak semestinya. Lihat Figure 4.2.

Enterprise risk management yang efektif tidak mendikte tujuan apa yang
harus dipilih oleh jajaran Direktur
dan manajemen, namun
manajemen tersebut memiliki
proses untuk menyejajarkan
Kesejajaran
dengan risk appetite entitas
tujuan entitas dengan misi dan
strateginya dan tujuan-tujuan
yang telah dipilih tersebut
Ketaksejajaran 1 Ketaksejajaran 2 konsisten dengan risk appetite
tidak mengambil resiko yang cukup - Menerima resiko yang tidak layak
entitas.
- Untuk menyediakan pelayanan kesehatan masyarakat yang berkualitas tinggi,
Vision/Mission
mudah diakses, dan bisa diusahakan.

Strategic - Menjadi yang pertama atau terbesar kedua, provider pelayanan kesehatan dengan
Objectives servis penuh dalam pasar metropolitan level menengah.
Zona pengambilan
- optimum
resiko Menduduki peringkat atas dalam kualitas pelayanan medis kami.
Strategies - Dikenal dalam pasar lokal sebagai pemimpin harga/kualitas.

- Sejajar dengan rumah sakit swasta pada target pasar yang mana kita
Figure 4.2 Ketidaksejajaran dan kesejajaran
- Align tujuan
withdan risk appetitehospitals
stand-alone sebuah entitas
in the target markets in which we do not currently
have a presence.
 - Acquire high-quality under-performing service providers in target markets
where feasible. Otherwise, consider lesser programs to revamp and rebuild.
- Develop ownership participation or profit-sharing programs to attract top
local medical talent.
- Develop tailored, targeted marketing programs for large and middle market
businesses in target markets.
Related Objectives - Bring our state-of-the-art infrastructure systems to provide effective
- Operations management and cost control.
- Achieve leading track record of compliance with all healthcare and other applicable
laws and regulations.

- Initiate dialogue with leadership of 10 top under-performing hospitals and negotiate

agreements with two this year.
- Target 10 other programs in key target markets and execute agreements with five
this year.
- Identify needs and motivations of leading practitioners in major markets
- Reporting and structure alternative model terms.
- Ensure at least one top medical talent is on board in each core discipline in at least
five major markets this year.
- Hold focus groups with business leaders in key markets to determine program
needs.
- Develop alternative model programs for business customers
- Develop methodologies for quick-start implementation of information
and operational systems in acquired/rebuilt hospitals.
- Set protocols for migration from existing systems.
- Implement new systems in one new location to serve as model going forward.

- Install our foundation systems in newly acquired facilities to provide management

reports on key performance measures, with exception and trend line analysis, within
four working days of month-end.
- Compliance - Ensure all facilities accurately and timely report compliance performance and issues
for management review
- Establish uniform reporting system/accounts for assembly of accurate and complete
information required for external reporting

- Establish compliance office with charter, leadership and staffing centrally,

providing support to local units.
- Ensure line recognizes its primary compliance responsibilities, building into
HR objectives and performance assessments.
- Develop company-wide protocols for medical procedures, drug storage and
dispensing, staffing assignments and schedules, and all aspects of patient care.
- Review privacy policies and practices and benchmark against federal requirements
and best practices

Source: Enterprise Integrated Framework (COSO, 2004)

Figure 4.3 Linking corporate objectives with strategy and mission

Setiap entitas menghadapi resiko yang bervariasi dari sumber-sumber
eksternal dan internal, dan prasyarat untuk proses manajemen resiko yang
efektif yaitu identifikasi resiko, penaksiran resiko dan tanggapan resiko,
pembentukan tujuan, terhubung dengan level yang berbeda dan hal-hal
tersebut harus bersifat konsisten secara internal. Tujuan-tujuan tersebut
tersusun pada level strategis, membangun sebuah tujuan-tujuan dasar
operasi, pelaporan, dan pemenuhan. Tujuan-tujuan harus disejajarkan
dengan risk appetite entitas, yang mengendalikan level toleransi resiko
pada aktivitas entitas. Lihat Figure 4.3.

Misi entitas (yang lain seringkali menyebutnya dengan visi atau tujuan)
dalam arti luas adalah cita-cita yang ingin dicapai oleh entitas, atau alas
an dibentuknya sebuah entitas. Merupakan kewajiban Dewan
Direkturdengan kelalaian Dewan Komisarisuntuk membentuk misi yang
jelas. Dari misi tersebut, Dewan Direktur dan manajemen mengatur
tujuan-tujuan strategis, merumuskan strategi dan membentuk tujuan-
tujuan yang berkaitan dengan organisasi. Ketika misi entitas dan tujuan-
tujuan strategis sudah stabil, tujuan terkait dan strateginya akan lebih
dinamis dan disusun untuk mengubah kondisi-kondisi internal dan
eksternal.

Tujuan-tujuan strategis merupakan sasaran tingkat tinggi, sejajar dan

mendukung visi/misi entitas. Tujuan-tujuan strategis mencerminkan
pilihan Dewan Direktur sebagai cara entitas menciptakan nilai untuk para
pemangku kepentingan. Dalam mempertimbangkan strategi-strategi
alternatif untuk mencapai tujuan-tujuan strategis, Dewan Direktur dan
manajemen mengidentifikasi resiko yang terkait dengan pilihan-pilihan
strategi dan mempertimbangkan implikasi-implikasinya. Teknik-teknik
identifikasi berbagai peristiwa dan penaksiran resiko dapat digunakan
dalam proses pengaturan strategi. Dengan cara ini, teknik enterprise risk
management digunakan dalam pengaturan strategi dan tujuan.

Penyusunan tujuan merupakan komponen dari enterprise risk

management. Meskipun tujuan-tujuan tersebut memberikan target-target
yang terukur ke arah yang dituju oleh entitas. Mereka bisa jadi memiliki
kepentingan dan prioritas yang berbeda. Meskipun entitas seharusnya
memiliki jaminan yang layak akan tujuan yang akan dicapai, mungkin
jaminan tersebut tidak bisa diterapkan untuk semua tujuan.
Enterprise risk management yang efektif akan memberikan jaminan yang
layak bahwa pelaporan dan pemenuhan tujuan entitas akan tercapai.
Pencapaian pelaporan dan pemenuhan tujuan adalah sepenuhnya dalam
kendali entitas. Maksudnya, sekali tujuan telah ditentukan, entitas
memiliki kendali atas kemampuannya untuk melakukan apa saja yang
diperlukan untuk mencapainya.

Namun untuk sejumlah alasan, ada perbedaan yang terjadi ketika kita
bicara tentang tujuan-tujuan operasi. Sebuah entitas bisa jadi sudah
terselenggara seperti yang dimaksudkan, namun hal serupa yang
dilaksanakan entitas tersebut sudah dilakukan oleh pesaingnya. Hal itu
menunjuk pada peristiwa- peristiwa eksternal seperti perubahan dalam
pemerintahan, cuaca yang buruk dan semacamnyaketika sebuah kejadian
terjadi di luar kendali. Hal tersebut mungkin sudah dipertimbangkan di
beberapa peristiwa dalam proses penyusunan tujuannya dan ditangani
seolah-olah hal tersebut mungkin terjadi, dengan rencana kemungkinan-
kemungkinan jika hal-hal tersebut benar-benar terjadi. Namun, rencana-
rencana tersebut hanya dapat mengurangi dampak dari peristiwa-peristiwa
eksternal. Hal tersebut tidak dapat memastikan tercapainya tujuan-tujuan.
Enterprise risk management untuk operasi terutama berfokus pada :
Mengembangkan konsistensi tujuan dan sasaran di seluruh
organisasi;
Mengidentifikasi faktor-faktor sukses kunci dan resiko ;
Menaksir resiko dan membuat tanggapan- tanggapan
yang diinformasikan;
Menerapkan tanggapan-tanggapan resiko yang pantas;
Menetapkan kendali-kendali yang diperlukan; dan
Melaporakan kinerja dan harapan-harapan pada waktunya.

Untuk tujuan-tujuan ini, enterprise risk management mampu memberikan

jaminan yang layak bahwa manajemen, Dewan Direktur dan Dewan
Komisaris sadar, pada waktu yang tepat, tentang arah pergerakan entitas.

Singkatnya, risk appetite yang disusun oleh Dewan Direktur dan ditinjau
ulang oleh Dewan Komisaris harus menjadi tonggak panduan dalam proses
pengaturan strategi ini. Strategi-strategi yang berbeda memiliki resiko-
resiko terkait yang berbeda pula. Enterprise risk management harus
diterapkan dalam pengaturan strategi, dan itu akan membantu manajemen
dalam memilih strategi yang konsisten dengan risk appetite-nya.
Manajemen
kemudian harus menyelaraskan strategi tersebut dengan organisasi, orang-
orang, proses-proses dan infrastruktur untuk memudahkan penerapan
strategi yang sukses dan memungkinkan entitas untuk tinggal dalam risk
appetite.

Pertanyaan-Pertanyaan Tinjauan
5 pertanyaan pilihan ganda sebagai bahan kajian bab empat.

1. Berikut ini adalah pernyataan-pernyataan yang benar tentang

budaya resiko kecuali :
(a) Budaya resiko berperan penting bagi pimpinan untuk
memperkenalkan nilai-nilai perusahaan dan budaya resiko
yang benar, melalui kelakuan yang relevan dan kebijakan-
kebijakan tertulis.
(b) Nilai-nilai perusahaan dan budaya resiko merupakan "sisi lembut"
manajemen resiko, namun seringkali diabaikan.
(c) Budaya resiko adalah sekumpulan sikap-sikap, nilai-nilai, dan
praktek-praktek yang menunjukkan bagaimana entitas
mempertimbangkan resiko dalam aktivitas sehari-harinya.
(d) Budaya resiko merupakan resiko yang disebabkan oleh kelemahan
entitas dalam kebudayaan yang relevan.

2. Pilih jawaban yang benar, tujuan dari pelatihan kesadaran resiko

adalah untuk memastikan bahwa :
(a) Setiap orang dalam bisnis dapat secara proaktif mengidentifikasi
resiko-resiko kunci bagi perusahaan.
(b) Secara serius memikirkan konsekuensi-konsekuensi resiko yang
menjadi tanggung jawabnya.
(c) Mengkomunikasikan ke atas dan ke bawah dalam organisasi,
resiko- resiko yang membutuhkan perhatian dari personil yang
lain.
(d) Semua jawaban di atas benar.

3. Pernyataan-pernyataan tentang pentingnya dokumentasi resiko

dalam proses manajemen resiko berikut adalah benar, kecuali :
(a) Untuk menunjukkan pada pemangku kepentingan tentang proses-
proses yang dilaksanakan dengan semestinya.
(b) Untuk menyediakan bukti-bukti pendekatan sistematis dalam
analisa dan identifikasi resiko.
 (c) Untuk memungkinkan peninjauan ulang proses-proses atau
pengambilan keputusan.
(d) Untuk menambahi pekerjaan sehari-hari jajaran manajer dengan
beban yang tidak perlu.

4. "Dasbor ERM" dimaksudkan untuk memperlengkapi Dewan Direktur

dan manajemen dengan informasi-informasi tentang :
(a) Apakah tujuan-tujuan bisnis terkait dengan resiko yang ada.
(b) Tingkat pemenuhan kebijakan-kebijakan dan peraturan-peraturan.
(c) Insiden-insiden yang terjadi.
(d) Semua pilihan di atas benar.

5. Mengapa proses enterprise risk management tidak dapat

menyediakan jaminan yang layak dalam pencapaian tujuan operasi,
dibanding dengan tujuan-tujuan seperti tujuan pelaporan dan
pemenuhan? Semua jawaban di bawah ini benar, kecuali :
(a) Sebuah entitas dapat berjalan seperti yang dimaksudkan, namun
hal itu telah dilakukan sebelumnya oleh pesaingnya.
(b) Proses tersebut ditujukan untuk peristiwa-peristiwa eksternal.
(c) Kemungkinan rencana-rencana yang disusun hanya mengurangi
dampak dari peristiwa-peristiwa eksternal.
(d) Pelaporan dan pemenuhan tujuan sangat mudah dicapai.
 UKURAN
BAB V DARI EFEKTIFITAS

Bab ini di ditujukan untuk menggali peralatan yang tersedia dan mengukur
kesuksesan pelaksanaan dari ERM. Kami juga akan memberikan daftar
kepada pembaca yang mana akan memakainya untuk evalusi mandiri
sejauh inisiatif ERM.

Alat pengukur dan Pendekatannya

Kinerja Pengukuran adalah sesuatu yang penting dalam mengatur resiko.
Bagian ini akan menyediakan suatu peta perencanaan dari alat yang
tersedia dan melakukan pendekatan untuk mengukur efektivitas inisiatif
ERM.

ERM secara jelas menghubungkan manajemen resiko tersebut dengan nilai

yang diciptakan suatu organisasi dan menyatakan resiko dalam kaitannya
dengan dampak pada sasaran sutu organisasi. Suatu aspek penting ERM
yang kemudian berhubungan secara kuat antara ukuran resiko dan
ukuran kinerja organisasi secara keseluruhan. Hal ini sangat penting
untuk pimpinan, terutama untuk memastikan bahwa kinerja tersebut telah
terukur dengan menggunakan risk based metrics, reflecting capital
consumption, return, and volatility.

ERM
Pada tabel di bawah ditunjukan suatu kinerja badan perusahaan baik
finansialnya maupun non-finansial yang dapat dihubungkan dengan
pengukuran efektivitas pelaksanaan ERM. Pengukuran finansial ini
mempunyai dasar pikiran yaitu modal harus sudah kembali sebelum
tercipta nilai. Namun, pengukuran finansial tidak selalu digunakan sebagai
satu- satunya wakil dari suatu nilai.

Salah satu pendekatan yang paling umum untuk mengukur efektivitas

kinerja ERM adalah dengan membandingkan program ERM tersebut
dengan batas pengembangan modal ERM berdasarkan pada praktek
industri. Di dalam bagian ini, kami memperkenalkan pengembangan modal
ERM yang dikembangkan oleh James Lam, CRO yang pertama di dunia
dan salah satu pengamat ERM hari ini. Maturity model adalah suatu
aktivitas dasar dari benchmarks dan diperoleh dari berbagai proyek ERM
dan pembelajaran
benchmarking yang diselenggarakan oleh Yakobus Larian Lam pada lebih
dari sepuluh tahun, seperti halnya kedua tinjauan ulang survei global yang
diselenggarakan oleh Dewan Konferensi tahun 2005 dan Mercer Oliver
Wyman dan Konferensi Dewan Eksekutif. Tujuan ERM Maturity ini adalah
untuk memungkinkan perusahaan untuk melakukan penilaian diri sendiri
akan program manajemen resiko perusahaan mereka sehubungan dengan
industri benchmarks. Lihat gambar 5.1.

Table 5.1 Pengukuran kinerja finansial untuk industri-industri non-finansial

ROE Operating EBITDA CFROI WACC EVA- Economic value

return on equity earnings Earnings Cashflow return Weighted avarage added. Ukuran kinerja
before interest, on investment. cost of capital. perusahaan yang
(keuntungan (pendapatan tax, depreciation, menitik beratkan pada
modal) operasional) and amortization EBITDA dibagi Jumlah kemampuan untuk
dengan keuntungan mencapai return
(pendapatan aset nyata pasar yang melampaui modal
sebelum bunga, dibutuhkan perusahaan. Hal ini
pajak, masing-masing seringkali dimulai
depresiasi komponen dari sebagai batas
dan amortisasi) permodalan keuntungan setelah
perusahaan, pajak dikurangi
yang dipengaruhi dengan modal yang
oleh pembagian dibutuhkan dikali
modal biaya menghasilkan
keseluruhan modal rata-rata.

Table 5.2 Financial (performance) measures for financial industries

RORAC - Return on risk adjusted ECAP - Economic Embedded value CAR

capital; RAROC Risk adjusted capital.
Nilai pasar untuk aset sebuah pengukuran Capital Adequacy
return on capital; RARORAC Risk dikurangi nilai passiva. nilai bisnis tertentu Ratio;
adjusted return on risk adjusted Digunakan dalam dalam buku
capital. praktek sebagai ukuran perusahaan RBC
modal, khususnya asuransi. Risk based capital
RORAC adalah target pengukuran jumlah modal yang
ROE di mana denominatornya dibutuhkan untuk CAR atau RBC
disusun tergantung pada resiko menghasilkan batas adalah kebutuhan
yang terkait dengan instrumen atau kemampuan pembayaran modal yang spesifik.
proyek. yang eksplisit (misalnya CAR untuk bank-bank
kemungkinan yang dan RBC untuk
RARORAC adalah kombinasi RAROC pasti akan kejatuhan) perusahaan-
dan RORAC di mana numerator dan perusahaan asuransi.
denominator nya disesuaikan (untuk
resiko yang berbeda)
 Stage 1: White-belt company
Tahap pertama pengembangan ERM
Fokus pengembangan ERM : definisi, organisasi, dan perencanaan.
Kebanyakan perusahaan menghabiskan sekitar enam bulan sampai satu tahun pada tahap ini.
Dalam tahap ini, perusahaanmu baru mulai mencari tahu bagaimana untuk mendefinisikan, mengembangkan, dan menerapkan

Stage 2: Yellow-belt company

Tahap kedua dalam pengembangan ERM.
Fokus pengembangan ERM : identifikasi resiko dan proses penaksiran.
Kebanyakan perusahaan menghabiskan antara setahun sampai dua tahun pada tahap ini. Pada tahap ini, perusahaanmu berada di belakang pe

Stage 3: Green-belt company

Tahap ketiga dalam pengembangan ERM.
Fokus pengembangan ERM : kuantifikasi dan pelaporan ERM.
Kebanyakan perusahaan menghabiskan antara dua sampai tiga tahun pada tahap ini. Dalam tahap ini, perusahaanmu selevel dengan p

Stage 4: Perusahaan sabuk-coklat

Tahap keempat dalam pengembangan ERM
Fokus pengembangan ERM : mengintegrasikan ERM dalam proses-proses bisnis kunci. Perusahaan yang ingin mencapai manajemen resiko den
Dalam tahap ini, perusahaanmu melebihi perusahaan-perusahaan lainnya dalam penerapan ERM.

Figure 5.1 ERM maturity model based on James Lam model

Metode peninjauan kinerja ERM ada dalam daftar berikut (lihat pada table
5.3 dan 5.4)
Penilaian diri sendiri.
Pemeriksaan menyeluruh pada badan kerja.
Pemeriksaan dan pengawasan keberhasilan kerja.
Pemeriksaan keuangan dan penaksiran kembali resiko pada
pencapaian tujuan khusus.
Perjanjian penting dan batas waktu untuk permulaan program
dan komunikasi, pengawasan, pelaporan dan peninjauan.

Seperti yang telah bahas pada bab sebelumnya, kinerja pengawasan

enterprise risk management dapat ditempuh dengan 2 cara : melalui
aktivitas yang berkelanjutan atau evalusi terpisah. Mekanisme enterprise
risk management biasanya disusun untuk mengawasi diri mereka sendiri
secara berkelanjutan, setidaknya sampai suatu tahap tertentu. Semakin
besar tingkat dan efektivitas dari pengawasan berkelanjutan, maka evaluasi
terpisah makin sedikit diperlukan. Pada umumnya, beberapa kombinasi
dari pengawasan berkelanjutan dan pemisahan evaluasi akan memastikan
bahwa manajemen resiko perusahaan telah memelihara efektivitasnya dari
waktu ke waktu. Lihat tabel 5.3 dan 5.4 sebagai contoh monitoring
berkelanjutan dan pemisahan evaluasi aktivitas dan berbagai alat untuk
mengukur efektivitas dari program manajemen resiko perusahaan anda.

Table 5.3 Pengawasan ERM yang berkelanjutan (aktivitas dan sarana-sarana)

Laporan dan komunikasi dari Model nilai pada Para penasehat dan auditor Seminar-seminar
internal dan eksternal. resiko digunakan internal dan eksternal dapat pelatihan, sesi-
untuk mengevaluasi memberikan rekomendasi sesi perencanaan
Contoh : dampak pergerakan untuk memperkuat enterprise dan pertemuan-
Sebuah tinjauan perusahaan pasar yang potensial risk management. pertemuan lain
asuransi akan kebijakan dan praktek- pada posisi memberikan
praktek keselamatan memberikan keuangan Para auditor dapat timbal balik pada
informasi tentang fungsi enterprise perusahaan. memperkirakan resiko-resiko manajemen
risk management, dari keselamatan kunci perusahaan atau unit, mengenai apakah
operasional dan perspektif-perspektif Model-model ini pemilihan respon resiko dan enterprise risk
pemenuhan. Oleh karena itu dapat bertindak desain kendali terkait, dan management
melayani sebagai teknik pengawasan. sebagai sarana- pada pengujian tersebut efektif.
sarana yang efektif keefektifannya.
Para pengatur juga dapat dalam menentukan
menyampaikan pada entitas apakah unit bisnis Kelemahan potensial mungkin
mengenai pemenuhan atau masalah- atau fungsi-fungis teridentifikasi dan tindakan-
masalah lain yang mencerminkan bisnis tinggal dalam tindakan alternatif
fungsi proses enterprise risk toleransi resiko yang direkomendasikan pada
management. teridentifikasi. manajemen, disertai dengan
informasi yang berguna dalam
penentuan pembiayaan yang
bermanfaat.

Table 5.4 Separate evaluations on ERM performance monitoring .

Scope and Frequency
Scope and frequency
depends on the significance
of risks and importance of
the risk responses and
related controls in managing
the risks. Higher-priority
risk areas and responses
should be evaluated more
often.
Evaluation of the entirety of
enterprise risk management
will be needed less
frequently than the
assessment of specific parts,
prompted by a number
of reasons:
Major strategy
or management
change,
Major
acquisitions or
dispositions,
Significant
change in economic
or political
conditions, or
Significant
changes in operations
or methods of
processing information.
Note: When a decision is
made to undertake a
comprehensive evaluation of
an entity's enterprise risk
management, attention
should be directed to
addressing its application in
strategy setting as well as
with respect to significant
activities.
The evaluation scope also
will depend on which
objectives categories
strategic, operations,
reporting and compliance
are to be addressed.
Who Evaluates The Evaluation Process Methodology
Person in Understand each of the Checklists
charge: self- entity activities and each of , questionnaires
assessments the components of enterprise and flowcharting
(where persons risk management being techniques.
responsible for a addressed.
particular unit or Compari
function determine Focus on how ng or
the effectiveness of enterprise risk management benchmarking
enterprise risk purportedly functions ? this enterprise risk
management for their is sometimes referred to as management
activities.) the system or process process against
design. those of other
Internal entities.
auditors: internal Determine how the
auditors normally system actually works. An entity may,
perform evaluations Procedures designed to operate for example,
as part of their in a particular way may be measure its process
regular duties, or at modified over time to operate against those of
the specific request of differently or may no longer be companies with
senior performed. Sometimes new reputations for
management, the board procedures are established but having particularly
or subsidiary or are not known to those who good enterprise risk
divisional executives. described the process and are management.
not included in available
External documentation. Comparisons might
auditors: input for be done directly
management Discussions with with another
personnel who perform or are company or under
affected by enterprise risk the auspices of
management, by examining trade or industry
records on performance or a associations.
combination of procedures. Other organizations
may provide
Analyze the enterprise comparative
risk management process information, and
design and the results of tests peer review
performed. The analysis is functions in some
conducted against the industries can help
backdrop of management's a company evaluate
established standards for each its process against
component, with the ultimate those of its peers.
goal of determining whether the
process provides reasonable Note: When
assurance with respect to the conducting
stated objectives. comparisons,
consideration must
be given to
differences that
always exist in
objectives,
facts and
circumstances
Sebagai kesimpulan, peninjauan ulang suatu proses sebaiknya
dihubungkan dengan indikator kinerja utama pada suatu organisasi.
Rencana manajemen resiko sebaiknya berhubungan dengan kinerja
perorangan dan pengendali utama dan dapat memastikan bahwa mereka
bekerja dengan baik pada semua level di organisasi. Pengawasan dan
peninjauan kembali sebaiknya memastikan bahwa program manajemen
resiko yang efektif selalu mengindikasikan hemat biaya hasil resiko dan
menggambarkan suatu strategi dan cara kerja yang baik serta tujuan dari
suatu organisasi.

Daftar sederhana
Kebanyakan perusahaan tertarik akan bagaimana program manajemen
resiko perusahaan mereka dibandingkan dengan praktek industri.
Pengembangan suatu daftar yang berdasar pada pengalaman internasional
adalah salah satu pendekatan secara luas yang telah diadopsi dari
pengalaman ini.

Daftar menurun ini disediakan untuk evaluasi pribadi dan taksiran pribadi
yang mana dapat digunakan untuk Direktur dan Komisaris untuk
mengevalusi atau menaksirkan sumbangan serta efektifitas mereka dalam
memimpin suatu ERM dalam perusahaan mereka melawan pengalaman
internasional.

Daftar ini dibagi menjadi lima tahap berbeda yang saling berkaitan untuk
pengembangan ERM untuk perusahaan tersebut.

Formulation and initiation checklist

Sebagai dewan pengurus pada suatu badan organisasi,

apakah anda mewajibkan manajemen untuk memimpin penemuan
atas syarat pengaturan dan pengalaman industri dalam aspek ini ?
Sudahkah anda membantu manajemen dengan menetapkan
jangkauan untuk manajemen resiko perusahaan ( mencakup kredit,
pasar, dan resiko operasional) ?
Sudahkah anda mengembangkan strategi enterprise risk
management
secara menyeluruh dan merencanakannya ?
Sudahkah anda menetapkan sebuah tim untuk memimpin
proses pengumpulan data bersama perusahaan mitra ?
Sudahkah anda memberikan pengajaran akan resiko pada
badan perusahaan dan para pelaksana bisnis anda ?
Sudahkah anda mengangkat chief risk officer (CRO) dan
membentuk staf kerja CRO ?
Sudahkah anda menetapkan kerangka kerja enterprise risk
management, termasuk pembagiannya ?
Sudahkah anda menetapkan panitia manajemen resiko sebagai
bagian dari panitia komisi ?

Early implementation checklist

Sudahkah anda menetapkan suatu kebijakan ERM, termasuk

peraturan dan pertanggungjawabannya ?
Sudahkah anda mewajibkan manajemen untuk melakukan
perhitungan pajak pada seluruh unit bisnis ?
Sudahkah anda mewajibkan manajemen untuk menggabungkan
proses identifikasi resiko pada seluruh manajemen resiko,
pemeriksaan keuangan, pemenuhan, dan berbagai kekeliruan yang
terjadi ?
Sebagai anggota dewan suatu perusahaan, sudahkah
anda memperlengkapi diri anda dengan pengetahuan tetang resiko
serta mewajibkan manajemen untuk memperlengkapi pelatihan tentang
resiko untuk kelompok pekerja yang besar ?
Sudahkah anda mewajibkan manajemen untuk menetapkan fungsi
resiko pada seluruh unit bisnis ?

Controlling and monitoring checklist

Sudahkah anda menetapkan manajemen untuk membuat

model pengukuran resiko dan database ?
Sudahkah anda menetapkan dan mengawasi proses pembuatan
KRI dan melaporkannya resiko perusahaan setiap laporan bulanan ?
Sudahkah anda menetapkan manajemen untuk membuat
metodologi pengukuran kinerja resiko yang disesuaikan ?
Sudahkah anda menetapkan manajemen supaya
memperbaharui taksiran pada diri sendiri pada triwulan atau awal
bulan ?
Integration process checklist

Sudahkah anda mewajibkan dan memimpin proses

pengembangan cakupan ERM secara finansial (pasar dan resiko kredit)
maupun resiko non-finansial (operasional, bisnis, dan resiko
hukum dan resiko reputasional yang mungkin terjadi) ?
Sudahkah anda memimpin penggabungan peninjauan resiko ke
dalam pengembangan bisnis dan proses persetujuan produk/servis ?
Sudahkah anda mewajibkan manajemen untuk melaporkan ERM
secara otomatis pada laporan bulanan pada pedoman elektronik yang
meliputi customizes quires dan peningkatan yang nyata ?
Sudahkah anda menetapkan "trigger points" untuk membuat
keputusan bisnis, peringanan resiko dan jalan keluarnya secara tepat
waktu ?
Sudahkah anda menghubungkan kinerja manajemen resiko dengan
upah eksekutif ?

Optimization checklist

Sudahkah anda memperluas jangkauan ERM beserta resiko

strateginya ?
Sudahkah anda mewajibkan manajemen untuk menggabungkan
ERM kedalam proses perencanaan strategi ?
Sudahkah anda memaksimalkan nilai para pemegang
saham memanajemen alokasi sumber daya bisnis [itu] di "efficient
frontie" secara aktif ?
Sudahkah anda menetapkan mekanisme untuk proses transparasi
resiko sebagai kunci para pemangku kepentinganinvestor,
agen terkemukasepenuhnya menelaah resiko keseluruhan dan
pengendali resiko masa depan ?
Sudahkah anda mewajibkan manajemen meningkatkan
kemampuan manajemen resiko, peralatan, dan informasi untuk
mempererat tali kerjasama dengan cara membantu mereka mengelola
resiko mereka ?
 STUDI KASUS

PT Astra Internasional Tbk akan terpilih secara menyeluruh tetapi

membuka studi kasus diakhiri untuk mengijinkan suatu pertanyaan [yang]
diakhiri terbuka untuk diskusi. Kasus akan [jadi] ditargetkan untuk para
Direktur dan Komisaris, mengundang praktis dan experiential berdebat
antar [mereka/nya].