MAKALAH

SISTEM PENGENDALIAN INTERNAL

“BUDAYA PERUSAHAAN DAN MANAJEMEN PORTOFOLIO RISIKO”

Dosen Pengampu :
Dr. Etna Nur Afri Yuyetta, S.E., M.Si., Akt.

Disusun oleh:
Ady Setyo Nugroho 12030117410051
Sergio Fernandes S 12030117410024
Selvy Widya Puspita 12030117410036
Stivan Harry Uniberua 12030117410005

MAGISTER AKUNTANSI
FAKULTAS EKONOMIKA DAN BISNIS
UNIVERSITAS DIPONEGORO
SEMARANG
2018
 KATA PENGANTAR

Puji syukur kami ucapkan kepada Tuhan Yang Maha Esa yang telah memberikan
karunianya sehingga kami dapat menyelesaikan makalah “Budaya Perusahann dan
Manajemen Portofolio Risiko” untuk memenuhi tugas mata kuliah Sistem Pengendalian
Internal Program Magister Akuntansi Universitas Diponegoro Angkatan 37 B.
Harapan kami semoga makalah ini membantu menambah pengetahuan dan pengalaman
bagi para pembaca. Penulis mengakui bahwa makalah ini masih banyak kekurangan
karena pengalaman yang kami miliki sangat kurang. Oleh kerena itu kami harapkan
kepada para pembaca untuk memberikan masukan-masukan yang bersifat membangun
untuk kesempurnaan makalah ini.

Semarang, 14 April 2018

Hormat kami,

Penyusun

ii
 DAFTAR ISI

MAKALAH ............................................................................................................................................ i
KATA PENGANTAR ........................................................................................................................... ii
DAFTAR ISI......................................................................................................................................... iii
BAB I ...................................................................................................................................................... 1
PENDAHULUAN ................................................................................................................................. 1
1.1. Latar Belakang .......................................................................................................... 1
1.2. Rumusan Masalah ..................................................................................................... 1
1.3. Tujuan Penelitian ...................................................................................................... 2
BAB II .................................................................................................................................................... 3
PEMBAHASAN .................................................................................................................................... 3
2.1. WHISTLEBLOWER DAN FUNGSI HOTLINE .................................................. 3
2.1.1. Peraturan Whistleblower Federal AS ..................................................................... 5
2.1.2. Menjalankan Bantuan Perusahaan atau Fungsi Hotline ...................................... 8
2.2. MANAJEMEN PORTOFOLIO RISIKO ............................................................... 9
2.2.1. Mengelola Risiko dengan Portofolio ...................................................................... 10
2.2.2. Teori Portofolio Modern ......................................................................................... 12
2.3. PENGELOLAAN RISIKO INSTALASI YANG TERPADU ............................. 14
BAB III ................................................................................................................................ 18
PENUTUP ........................................................................................................................... 18
DAFTAR PUSTAKA .......................................................................................................................... 19

iii
 BAB I
PENDAHULUAN

1.1. Latar Belakang

Setiap perusahaan dalam Sebuah bisnis akan menghadapi serangkaian risiko yang
berbeda. Beberapa pendekatan untuk mengelola dan mengatasi banyak risiko ini telah
dibahas dalam bab-bab sebelumnya. Bab 5 membahas berbagai pendekatan untuk
mengembangkan dan mengimplementasikan proses manajemen risiko yang efektif , dan bab
ini melihat tiga bidang penting untuk menerapkan budaya manajemen risiko yang efektif
dalam suatu perusahaan.
Bab ini pertama-tama akan membahas bantuan dan mendukung sumber daya untuk
kode etik perusahaan yang dibahas dalam Bab 5 dan akan meninjau peran fungsi-fungsi
whistleblower baik untuk mendukung persyaratan Sarbanes-Oxley (SOx) dan sebagai suatu
mekanisme pelarian untuk mengelola risiko perusahaan. Seorang pengungkap fakta biasanya
merupakan pemangku kepentingan perusahaan yang melihat ada sesuatu yang salah —
seringkali sangat salah — dalam suatuproses manajemen usaha tetapi menemukan bahwa
manajer langsungnya mengabaikan masalah itu, secara efektif memberi tahu para pemangku
kepentingan lain untuk duduk kembali dan tidak khawatir. Perusahaan membutuhkan fasilitas
untuk memungkinkan seorang pemangku kepentingan melaporkan masalah secara
independen tanpa pemberitahuan. Selain itu, harus ada beberapa bentuk fasilitas meja
bantuan untuk perusahaan yang lebih besar sehingga pemangku kepentingan di tingkat
manapun dapat mencari informasi lebih lanjut tentang beberapa aturan atau prosedur dan
meminta bantuan.
Topik kedua tetapi sangat penting pada bab ini adalah manajemen portofolio risiko.
Setiap perusahaan menghadapi berbagai risiko yang berbeda dari berbagai jenis dan
konsekuensi potensial. Agar dapat mengelolanya secara efektif, pendekatan yang efektif
adalah membagi risiko yang banyak dan beragam ini ke dalam kelompok-kelompok atau
portofolio terpisah dan kemudian mengakses dan mengelola risiko berdasarkan portofolio.
Bab ini berisi diskusi tentang manajemen risiko perusahaan yang terintegrasi.

1.2. Rumusan Masalah

Rumusan masalah dalam penelitian ini adalah :
1. Apakah yang dimaksud dengan whistleblower dan fungsi hotline?
2. Apakah yang dimaksud dengan manajemen portofolio risiko?

1
 3. Bagaimana pengelolaan risiko instansi yang terpadu?

1.3. Tujuan Penelitian

Tujuan yang ingin dicapai dalam penelitian ini adalah :
1. Untuk mengetahui whistleblower dan fungsi hotline
2. Untuk mengetahui manajemen portopolio risiko
3. Untuk mengetahui pengelolaan risiko instansi yang terpadu

2
 BAB II
PEMBAHASAN

2.1. WHISTLEBLOWER DAN FUNGSI HOTLINE

Hoffman and Robert (2008) whistleblowing didefinisikan sebagai suatu
pengungkapan oleh karyawan mengenai suatu informasi yang diyakini mengandung
pelanggaran hukum, peraturan, pedoman praktis atau pernyataan professional, atau berkaitan
dengan kesalahan prosedur, korupsi, penyalahgunaan wewenang, atau membahayakan publik
dan keselamatan tempat kerja. Elias (2008) menambahkan bahwa whistleblowing dapat
terjadi dari dalam (internal) maupun luar (eksternal).
Menurut Tuanakotta (2010), menyatakan bahwa pada dasarnya whistleblower adalah
karyawan dari organisasi itu sendiri (pihak internal), akan tetapi tidak tertutup adanya pelapor
berasal dari pihak eksternal (pelanggan, pemasok, masyarakat).
Fungsi whistleblower adalah fasilitas dimana karyawan atau pemangku kepentingan
lain yang melihat beberapa bentuk kesalahan dapat secara independen dan secara anonim
melaporkan tindakan tersebut kepada beberapa perusahaan atau otoritas regulator yang
independen. Seharusnya tidak ada pembalasan terhadap karyawan pelapor atau tindakan
hukum yang dilakukan untuk memulihkan kerusakan. Kasus-kasus whistleblower dapat
menimbulkan kerusakan serius pada reputasi perusahaan serta karir para manajer yang
dituduh melakukan beberapa bentuk kesalahan.
Program whistleblower biasanya ditemukan dalam hubungan kontrak atau masalah
akuntansi keuangan, tetapi mereka juga merupakan alat yang berguna dalam enterprise risk
management (ERM). Seperti yang disebutkan dalam pembahasan sebelumnya tentang
Sarbanes-Oxley dan Mengenai Enterprise Risk Management, SOx mengamanatkan bahwa
komite audit perusahaan mendirikan prosedur untuk “menangani informasi whistleblower
sehubungan dengan akuntansi yang dipertanyakan atau masalah audit”. Ketentuan
whistleblower ini adalah bagian penting dari SOx. Banyak praktik akuntansi yang
dipertanyakan yang semula memberikan reaksi kepada pengungkapan SOx, setidaknya
sebagian, sebagai akibat dari karyawan yang "meniup peluit/blew the whistle" dan
melaporkan kekhawatiran mereka. Bahkan sebelum skandal di Enron dan lainnya pecah,
perlindungan whistleblower telah menjadi bagian dari hukum perburuhan federal sebagai
sarana untuk membantu regulator dalam mencari tahu pelanggaran dan kesalahan. Sebuah
ketentuan perusahaan whistleblower yang terbuka juga dapat menjadi sebuah mekanisme

3
bagi stakeholders untuk meningkatkan perhatian tentang risiko yang ada atau menyoroti area
dimana identifikasi risiko tidak mendapatkan perhatian yang memadai.
Sementara itu, program whistleblower di Amerika Serikat yang mendukung hukum
kontrak federal, regulasi kesehatan dan keselamatan, dan lain-lain telah ada selama beberapa
tahun, SOx memindahkan aturan-aturan ini ke kantor-kantor bisnis di semua perusahaan
Amerika Serikat yang diperdagangkan secara publik. Sementara komite audit diperlukan
untuk menetapkan prosedur whistleblower, fungsi-fungsi lain, seperti departemen etika,
sumber daya manusia/human resources, atau audit internal, harus benar-benar mengatur
segalanya.
Perusahaan perlu mempertimbangkan dalam mendirikan sebuah layanan fasilitas
penyesuaian informasi atau fasilitas telepon sebagai penyesuaian pedoman yang baik untuk
pertanyaan-pertanyaan etika dan laporan-laporan whistleblowers. Hal ini sering disebut
sebagai hotline.
Sebuah perusahaan harus mendirikan sebuah hotline telepon atau internet atau serupa
dengan layanan pertanyaan in-house untuk menjawab pertanyaan-pertanyaan stakeholder atau
kekhawatiran-kekhawatiran dan untuk mengizinkan mereka melaporkan masalah-masalah
atau pelanggaran-pelanggaran potensial. Agar sesuai dengan berbagai macam area seperti
sebuah fasilitas yang dapar melayani, kami telah memberi mereka nama umum dari hotline
etika. Fasilitas respon stakeholder ini dapat menyediakan sebuah titik awal sebagai fungsi
dari whistleblower perusahaan, tapi hal ini juga harus diperhatikan, direncanakan, dan diatur
dengan baik agar menjadi fasilitas yang efektif. Terlalu sering, kejadian yang dilaporkan
mungkin tidak dapat diinvestigasi dengan cara yang tepat atau kerahasiaan tidak sekuat yang
diperlukan. Kekeliruan disini dapat menyebabkan masalah yang besar bagi perusahaan jika
whistleblowing stakeholders merasa masalah-masalah belum diselesaikan atau kerahasiaan
individu telah dikompromikan. Fungsi manajemen risiko perusahaan berperan besar dalam
melaksanakan proses yang efektif melalui ulasan tentang setiap proses yang ada,
merekomendasikan kontrol yang tepat, dan memberikan bimbingan kepada komite audit.
Fungsi whistleblower telah diamanatkan oleh hukum di Amerika Serikat untuk setiap
perusahaan yang terlibat dalam kontrak federal dan peraturan federal lainnya. Setiap
karyawan atau pemangku kepentingan yang mengamati beberapa jenis kegiatan yang tidak
pantas dapat ''meniup peluit/blew the whistle'' dan melaporkan kejadian yang tidak pantas
tersebut. Tindakan selanjutnya yakni perlu diselidiki, dikoreksi jika dugaan terbukti benar,
dan dalam beberapa kasus, whistleblower asli dapat menerima hadiah yang proporsional dari
tabungan. Seorang whistleblower karyawan, misalnya, dapat mengamati bahwa suatu kontrak

4
mengharuskan pengencang pada suatu bagian harus memiliki ukuran baja tertentu. Seorang
pekerja di bagian perakitan dapat menemukan bahwa perusahaan menggunakan pengukur
baja yang lebih murah dan dapat menyebabkan kerusakan atau kegagalan dan dapat ''meniup
peluit/blew the whistle'' pada majikan atas praktik yang ditemukan. Demikian pula,
whistleblower dapat menunjukkan hal-hal seperti pelanggaran terhadap kode api yang dapat
memperburuk risiko bagi suatu perusahaan.
Risiko perusahaan menyangkut program whistleblower dapat memberikan tantangan
baru pada fungsi manajemen risiko perusahaan. Meskipun fungsi ERM mungkin telah
membentuk banyak proses tata kelola, risiko, dan kepatuhan (GRC) yang efektif, mereka
mungkin tidak menyadari proses yang diperlukan untuk membentuk program whistleblower
yang efektif. Fungsi manajemen risiko perusahaan harus membentuk program pelapor ERM
dan GRC terkait yang efektif.

2.1.1. Peraturan Whistleblower Federal AS

The U.S. Department of Labor (DOL) atau Departemen Tenaga Kerja AS mengelola
dan memberlakukan lebih dari 180 undang-undang federal yang mencakup banyak kegiatan
di tempat kerja untuk lebih dari 10 juta pengusaha dan 125 juta pekerja. Sebagian besar
undang-undang ketenagakerjaan dan keselamatan publik, dan banyak undang-undang
lingkungan mengamanatkan perlindungan whistleblower bagi karyawan yang dapat
mengeluh tentang pelanggaran hukum oleh majikan mereka. Undang-undang perlindungan
whistleblower federal seperti SOx berlaku untuk semua karyawan perusahaan Securities and
Exchange Commission (SEC), dan perusahaan publik perlu memberi perhatian khusus pada
perlindungan ini untuk whistleblower perusahaan. SOx Bagian 806 menetapkan perlindungan
whistleblower untuk saham-saham di perusahaan-perusahaan publik, yang memungkinkan
bahwa tidak ada perusahaan publik atau pejabat, karyawan, kontraktor, atau agen dari
perusahaan tersebut ''dapat membebaskan, menurunkan, menangguhkan, mengancam,
melecehkan, atau dalam cara lain mendiskriminasi karyawan dalam syarat dan ketentuan
kerja karena tindakan hukum apa pun yang dilakukan oleh karyawan.'' Tindakan yang sah itu
adalah ketika karyawan memberikan informasi atau membantu dalam penyelidikan yang
dilakukan oleh badan penegak hukum atau penegak hukum federal, Kongres, atau personel
yang berkompeten mengenai perilaku apa pun yang dianggap "melanggar kepercayaan" oleh
karyawan, merupakan pelanggaran terhadap peraturan dan peraturan SEC atau undang-
undang kecurangan; atau file, memberi kesaksian, berpartisipasi dalam, atau membantu
dalam proses selanjutnya, tertunda atau akan diajukan, terkait dengan dugaan pelanggaran.

5
Dengan kata lain, karyawan atau pemangku kepentingan yang merasakan beberapa kesalahan
keuangan dan kemudian melaporkan bahwa masalah ini dilindungi secara hukum selama
penyelidikan dan penyelesaiannya.
Dalam banyak hal, ketentuan whistleblower dirancang untuk melindungi karyawan
yang berpikir mereka telah menemukan beberapa kesalahan daripada ketentuan untuk
meningkatkan kontrol internal perusahaan atau untuk menutupi risiko yang teridentifikasi.
Hampir semua tindakan personel yang dilakukan terhadap karyawan whistleblower, termasuk
penurunan jabatan atau penangguhan, dapat berpotensi dikenakan tindakan hukum di bawah
ketentuan ini. Meskipun telah ada pengalaman whistleblower yang sangat terbatas terkait
dengan peristiwa pelanggaran risiko, ada harapan bahwa SEC dan DOL akan melindungi
karyawan yang berhubungan dengan whistleblower. Ini mengatakan bahwa seorang
karyawan atau stakeholders yang mendaftarkan pengaduan pengadu, apakah serius atau tidak
sembrono, akan dilindungi sampai masalah ini diselesaikan.
Di bawah aturan whistleblower ini, adalah kejahatan bagi siapa saja yang “sengaja,
dengan maksud untuk membalas,” untuk mengganggu pekerjaan atau mata pencaharian
seseorang (seorang pengungkap fakta) yang memberikan informasi yang jujur kepada petugas
penegak hukum yang berkaitan dengan kemungkinan komisi delik pelanggaran. Setiap
karyawan whistleblower yang kemudian menghadapi aksi ketenagakerjaan yang merugikan
dapat berpotensi menjadi saksi “informan yang dilindungi”. Beberapa sumber hukum telah
menekankan bahwa undang-undang perlindungan karyawan ini bersifat luar biasa
(extraordinary) dan menggarisbawahi keseriusan yang mana Kongres memandang hal ini.
Ketika suatu perusahaan mendirikan suatu fasilitas whistleblower, perusahaan harus
menetapkan suatu proses untuk penerimaan dan perlakuan atas keluhan yang diterima
mengenai masalah-masalah yang terkait dengan risiko, akuntansi, pengendalian akuntansi
internal, atau masalah-masalah audit; dan untuk ''pengungkapan rahasia, anonim oleh
karyawan'' mengenai masalah akuntansi atau audit yang dipertanyakan . Stakeholders yang
percaya bahwa mereka telah diberhentikan secara tidak sah atau terdiskriminasi, karena
tindakan whistleblower mereka, dapat meminta bantuan dengan mengajukan keluhan, dalam
waktu 90 hari setelah tanggal pelanggaran, dengan DOL atau memulai pengadilan distrik
federal . Orang yang dirugikan biasanya perlu mendapatkan bantuan hukum untuk mencari
bantuan, tetapi banyak firma hukum selalu menjadi sumber daya untuk terlibat. Prosesnya
bisa memakan waktu dan biaya yang mahal untuk perusahaan yang dituduh. Aturan
prosuderal disini, termasuk beban pembuktian untuk majikan dan karyawan, akan mengikuti
apa yang disebut the Air 21 statute yang semula didirikan untuk karyawan pada maskapai

6
penerbangan. Sebagai contoh, untuk mengajukan keluhan sebelum DOL, karyawan harus
mendemonstrasikan bahwa alasan yang mendiskriminasikan adalah sebuah “faktor yang
berkontribusi” dalam tindakan personil yang tidak baik. Akan tetapi, bantuan akan ditolak,
jika majikan menunjukkan dengan ''bukti yang jelas dan meyakinkan'' bahwa pihaknya akan
mengambil tindakan personil yang sama tanpa adanya aktivitas yang dilindungi.
Seorang karyawan yang berlaku dalam tindakan seperti itu berhak atas kompensasi
ganti rugi penuh termasuk pemulihan, membayar kembali dengan bunga, dan kompensasi
untuk biaya litigasi dan biaya pengacara. Namun, jika DOL tidak mengeluarkan keputusan
akhir dalam 180 hari pengaduan, masalah dapat dipindahkan ke pengadilan distrik federal.
Lebih rumit lagi, pelapor yang dirugikan dapat mengambil tindakan di beberapa bidang,
mencari perlindungan di bawah hukum federal dan negara bagian serta perjanjian
perundingan bersama. Pengusaha terkena potensi ''bahaya ganda'' untuk tindakan pengungkap
fakta dengan pertanggungjawaban di bawah kedua ketentuan SOx serta hukum negara bagian
atau federal melepaskan tindakan yang melanggar hukum dan penyebab tindakan serupa.
Selain itu , whistleblower yang dirugikan dapat mencari ganti rugi melalui tindakan
pengadilan yang terpisah.
Berdasarkan pengalaman administratif dan yudisial dalam energi nuklir AS dan
industri penerbangan, hukum perlindungan whistleblower dapat menjadi ladang ranjau yang
potensial bagi perusahaan. Jika seorang karyawan mengajukan semacam pernyataan
akuntansi atau audit mengenai tindakan yang tidak pantas atau ilegal, whistleblower itu
benar-benar dilindungi sampai masalah diselidiki dan diselesaikan. Akan ada banyak
pengacara di pengadilan yang ingin membantu pelapor dan melakukan tindakan, terutama
terhadap perusahaan-perusahaan besar dengan “kantong dalam”. Selain itu, sejumlah besar
DOL dan preseden pengadilan ada di bidang ini untuk mendukung sanksi regulasi dan
pemulihan pribadi.
Berdasarkan sekitar 40 tahun pengalaman dengan undang-undang perlindungan
whistleblower, suatu perusahaan yang terkena dampak harus berusaha untuk mencapai
keseimbangan antara hak karyawan untuk meningkatkan kekhawatiran whistleblower dan
kemampuan untuk mengelola tenaga kerja. Lingkungan kerja yang positif diperlukan dimana
karyawan merasa bebas untuk menyampaikan kekhawatiran kepada manajemen ditambah
dengan mekanisme yang efektif untuk menangani setiap masalah yang diangkat. Program
yang berhubungan dengan etika yang kuat (termasuk pernyataan misi perusahaan dan kode
etik) akan mendukung strategi ini.

7
2.1.2. Menjalankan Bantuan Perusahaan atau Fungsi Hotline
Banyak perusahaan saat ini telah membentuk bantuan atau fungsi hotline. Sebagian
besar mencakup fasilitas saluran telepon rahasia yang dikelola melalui departemen etika,
sumber daya manusia, atau penyedia independen. Operasi telepon bebas pulsa ini, yang
sering beroperasi dalam 24 jam, 7 hari seminggu, memungkinkan karyawan atau pemangku
kepentingan untuk menelepon secara anonim dan mengajukan pertanyaan, melaporkan
kekhawatiran, atau '' meniup peluit '' pada beberapa masalah. Idenya adalah untuk
menyediakan fasilitas independen di mana semua pemangku kepentingan dapat mengajukan
pertanyaan atau melaporkan kemungkinan kesalahan di tingkat mana pun. Ini bukan fungsi
yang diharuskan secara hukum, tetapi fasilitas di mana karyawan atau pemangku kepentingan
lain dalam perusahaan besar dapat mengajukan pertanyaan, melaporkan kemungkinan
kesalahan, dan meminta saran. Item yang dilaporkan dapat berkisar dari dugaan pencurian
properti perusahaan, keluhan sumber daya manusia, bukti bahwa area risiko tertentu
diabaikan, atau hanya pertanyaan yang mengganggu. Dalam banyak kasus, operator telepon
atau penyedia internet akan mengambil semua informasi penting, mengajukan pertanyaan
bila diperlukan, dan kemudian meneruskan insiden yang dilaporkan ke otoritas yang tepat
untuk penyelidikan dan penyelesaian. Operator hotline biasanya akan menetapkan insiden
yang dilaporkan sebagai '' kasus '' sehingga pemanggil nanti dapat memeriksa resolusi.
Hotline karyawan ini didirikan di banyak perusahaan besar yang dimulai pada
pertengahan 1990-an. Mereka sering memiliki staf dengan veteran sumber daya manusia
yang berpengetahuan luas yang sangat terampil dalam menjawab masalah yang berhubungan
dengan sumber daya manusia , seperti perawatan di tempat kerja. Jika ada tuduhan
melakukan kesalahan, kasus yang tercatat digeser ke pihak lain untuk diselidiki, seperti ke
departemen hukum. Dalam beberapa kasus, garis-garis ini telah berubah menjadi lebih dari
sekadar garis '' snitch '' perusahaan di mana banyak keluhan atau pelanggaran kecil
dilaporkan, tetapi banyak yang lain pada umumnya sangat sukses.
Sebagian besar hotline etika yang didirikan pada tahun 1990-an dibentuk untuk
menjadi '' ramah '' dalam menjawab pertanyaan-pertanyaan karyawan dan memberikan
beberapa advice selain menyelidiki insiden yang dilaporkan. Menggunakan fasilitas yang
sudah ada untuk program GRC perusahaan dan peraturan kepatuhan federal menempatkan
beberapa kontrol dan tanggung jawab baru pada fungsi whistleblower yang sudah
mapan. Sementara aspek bantuan yang lebih ramah dari hotline etika masih berlaku,
peraturan whistleblower federal membutuhkan proses yang lebih formal, terutama di bidang-
bidang seperti kerahasiaan, persyaratan dokumentasi untuk semua catatan, dan pemrosesan

8
yang efisien dari setiap invasi invasif. Selain itu, karyawan yang menelepon dalam tuduhan
whistleblower yang terkait dengan GRC dilindungi secara hukum dari setiap negara rekrutif
di masa depan. Dalam beberapa hal, apa yang disebut '' gelembung '' harus dienkapsulasi di
sekitar karyawan whistleblower sehingga tidak boleh ada tindakan apa pun yang diarahkan
pada whistleblower oleh pemberi kerja sampai dugaan teratasi. Sementara tidak terkait, ada
situasi di bawah undang-undang whistleblower federal lainnya di mana seorang karyawan
yang dipanggil dalam masalah itu mejanya pindah dan berhasil membawa tindakan hukum
untuk diskriminasi whistleblower. Tidak ada alasan untuk membuat jalur bantuan terpisah
dan garis peluit SOx. Penelepon akan bingung tentang yang harus dipanggil di acara apa
pun. Namun, dengan persyaratan whistleblower SOx, prosedur kontrol perlu ditingkatkan di
fasilitas hotline etika yang sudah ada. Sebagai bagian dari penggunaan disk kami untuk
Masalah Kepatuhan Perusahaan Dewasa ini, Bagan 7.7 memuat pedoman untuk membuat
program hotline etika yang akan berfungsi sebagai fasilitas whistleblower GRC dan ERM.Ini
adalah elemen penting untuk membangun budaya perusahaan secara keseluruhan.
Adanya fasilitas hotline dan whistleblower etika akan bernilai kecil kecuali jika
dikomunikasikan dan 'dijual' kepada semua anggota perusahaan. Cara yang baik untuk
memulai proses ini adalah melalui kode perilaku karyawan, yang telah
dibahas sebelumnya. Bahkan jika hotline seperti itu telah diluncurkan, fakta bahwa garis
tersebut dapat digunakan untuk potensi pelapor perlu dikomunikasikan. Tujuannya harus
menyelidiki dan segera menyelesaikan semua panggilan — dan terutama panggilan
whistleblower — untuk mencegah penyelidik dan pengacara dari luar.

2.2. MANAJEMEN PORTOFOLIO RISIKO

Setiap perusahaan menghadapi sejumlah besar berbagai risiko, beberapa yang
signifikan dan yang lain memiliki konsekuensi minimal yang potensial. Bab 5 membahas hal-
hal seperti memahami selera risiko dan memahami serta menilai berbagai risiko yang
dihadapi perusahaan. Tanggung jawab untuk mengelola berbagai risiko ini akan
bervariasi; namun, beberapa di antaranya dikelola dengan baik di tingkat departemen karena
mencakup beberapa area operasi tertentu. Lainnya jauh lebih besar dan harus dikontrol dan
dikelola pada tingkat perusahaan secara keseluruhan.
Bagan 10.1 menunjukkan jenis risiko yang dihadapi perusahaan dan fungsi ERM-
nya. ERM ditampilkan di pusat dengan tanggung jawab di sini untuk orang, proses, sistem,
dan risiko peristiwa eksternal. Unsur-unsur atau jenis-jenis risiko ini dapat diperluas, tetapi
bagan ini hanya menunjukkan empat bidang utama yang menjadi perhatian risiko. Pameran

9
menunjukkan empat bidang risiko utama yang berdampak pada dasarnya semua perusahaan:
kredit, pasar, likuiditas, dan kepatuhan terhadap risiko hukum. Keempatnya merupakan
elemen penting dari konsep GRC tetapi agak mengarah ke beberapa elemen utama yang
menjadi perhatian risiko. Risiko kredit, misalnya, mencakup kekhawatiran bahwa suatu
perusahaan tidak akan dapat memperoleh pinjaman atau pembiayaan untuk mempromosikan
operasinya sehari- hari.
Pameran ini memunculkan empat konsep risiko yang tidak begitu mudah
dienkapsulasi. Mulai dari bagian atas diagram, ada risiko strategis yang terkait dengan harga
produk dan kekhawatiran penilaian. Bergerak searah jarum jam, hampir selalu ada risiko
yang terkait dengan layanan penjaminan , standar, dan dokumentasi pendukung. Pindah ke
pusat yang lebih rendah, kami memiliki berbagai risiko reputasi. Akhirnya, ke kiri pada
grafik, ada risiko kegagalan bisnis, penipuan, dan apa yang disebut risiko counterparty atau
risiko bahwa mitra bisnis tidak akan memenuhi persyaratan perjanjian atau kewajiban
mereka.
Tak satu pun dari risiko tingkat tinggi yang ditampilkan pada bagan ini benar-benar
independen. Hampir semuanya terhubung atau terkait satu sama lain. Jika suatu perusahaan
menderita risiko reputasi besar, misalnya, situasi tersebut dapat memengaruhi semua risiko
lain yang diperlihatkan pada grafik ini . Cara efektif untuk mengelola semua risiko ini adalah
memecahnya ke dalam portofolio yang berbeda dan mengelola risiko melalui pendekatan
manajemen portofolio.

2.2.1. Mengelola Risiko dengan Portofolio

Ketika disiplin manajemen risiko perusahaan berkembang, maka ERM dari
manajemen portofolio menjadi semakin penting untuk memahami dan secara efektif
mengelola risiko. Mengelola risiko dengan portofolio melibatkan menciptakan pemahaman
umum tentang sumber daya perusahaan, lingkungan bisnis di mana perusahaan
beroperasi, dan memahami bagaimana nilai yang terkait dengan sumber daya ini dibuat dan
disimpan. Perusahaan harus mengidentifikasi masalah risiko utama yang mendasari proposisi
nilai, bagaimana model bisnisnya sama dan berbeda, dan dimensi bisnis di mana perusahaan
beroperasi.
Pendekatan portofolio untuk mengelola analisis ini dan menggabungkan risiko
perusahaan berdasarkan jenis dan mencoba untuk mencapai keseimbangan risiko dan
pengembalian secara keseluruhan. Hal ini memerlukan analisis dari area risiko yang
diidentifikasi melalui pendekatan yang dijelaskan dalam Exhibit 10.1 dan kemudian

10
pemahaman tentang bagaimana hubungan antara lingkungan internal dan eksternal
menghasilkan nilai, yang pada gilirannya menimbulkan masalah risiko. Perusahaan harus
menerapkan pendekatan manajemen portofolio risiko untuk mengidentifikasi dokumen dan
berbagai jenis risikonya di area internal dan eksternal utama. Manajemen portofolio risiko
yang efektif memerlukan langkah-langkah umum berikut:
Langkah 1 : Menetapkan proses manajemen proyek sebagaimana dibahas dalam Bab
14.
Langkah 2 : Tentukan beberapa kategori risiko internal dan eksternal umum untuk
mengklasifikasikannya ke dalam pengelompokan atau portofolio risiko.
Langkah 3 : Menetapkan beberapa prosedur tata kelola portofolio risiko sedemikian
rupa sehingga para manajer di berbagai unit bisnis memahami risiko yang
teridentifikasi dalam bidang tanggung jawab mereka.
Langkah 4 : Kembangkan metodologi yang konsisten untuk menganalisis risiko. Karena
unit bisnis dengan ukuran dan lokasi internasional yang berbeda
dapat terlibat dalam proses ini, semua harus setuju untuk mengikuti
pendekatan umum yang sama.
Langkah 5 : Lakukan analisis risiko yang konsisten untuk setiap portofolio mengikuti
proses yang dibahas dalam Bab 5.
Langkah 6 : Berdasarkan keseluruhan tujuan risiko dan penghargaan yang ditetapkan,
kelola risiko-risiko perusahaan ini pada portofolio berdasarkan portofolio.
Idenya di sini adalah bahwa perusahaan harus mengelola risiko individu pada risiko
berdasarkan risiko tetapi mengelompokkannya ke dalam portofolio yang kemudian dapat
dianalisis berdasarkan kelompok risiko terkait secara keseluruhan.Meskipun suatu portofolio
tertentu mungkin berisi beberapa area berisiko tinggi, mereka mungkin semua disatukan ke
dalam satu portofolio yang risikonya cukup rendah secara total. Suatu perusahaan
dapat memutuskan untuk melakukan sedikit tentang beberapa elemen risiko yang lebih tinggi
ini karena keseluruhan portofolio di mana mereka berada mungkin telah didefinisikan sebagai
risiko rendah bila dilihat sebagai total portofolio.

11
 Diskusi kami di sini tentang portofolio risiko sangat singkat tetapi menguraikan
pendekatan untuk pemahaman yang lebih baik dan mengelola sejumlah besar risiko yang
dihadapi perusahaan. Konsep teori portofolio investasi modern yang dibahas dalam bagian
berikut mendukung hal ini. Ini adalah konsep yang sama yang akan dipertimbangkan oleh
analis investasi reksadana ketika memutuskan sektor bisnis mana yang harus ditekankan
ketika berinvestasi dalam serangkaian saham yang beragam.

2.2.2. Teori Portofolio Modern

Manajemen efektif dari berbagai risiko portofolio didasarkan pada dua konsep yang
berakar pada analisis risiko asuransi dan manajemen investasi keuangan: manajemen
portofolio perusahaan (EPM) dan apa yang disebut teori portofolio modern (MPT). EPM
adalah rencana investasi strategis terpadu , analisis risiko portofolio, dan pendekatan operasi
untuk penjadwalan, penyelesaian, dan manajemen risiko yang memfasilitasi penyelarasan
yang ketat dari tujuan strategis dengan tindakan operasional, mencakup bisnis dan teknologi.
EPM bekerja dengan memungkinkan unit organisasi terpisah untuk menggunakan platform

12
informasi perusahaan umum, metodologi analitik perusahaan umum, dan kerangka dasar
pasar strategis perusahaan umum untuk keputusan bisnis dan teknologi yang optimal,
memastikan pelaksanaan strategi perusahaan korporat yang sukses.
Konsep EPM didasarkan pada konsep yang dikenal sebagai teori portofolio modern
(MPT), sebuah konsep yang pertama kali dikembangkan pada pertengahan 1950-an dan tentu
saja tidak ada yang modern tentang hari ini kecuali bahwa namanya telah macet. MPT adalah
teori investasi yang mencoba untuk memaksimalkan portofolio pengembalian investasi yang
diharapkan untuk sejumlah risiko portofolio tertentu, atau setara dengan meminimalkan risiko
untuk tingkat pengembalian yang diharapkan, dengan hati-hati memilih proporsi berbagai
aset. Meskipun MPT telah banyak digunakan dalam praktek di industri keuangan dan
beberapa penciptanya memenangkan hadiah peringatan Nobel untuk teori, 3 tujuan mereka
di sini bukan untuk menggambarkan teori di belakang MPT tetapi untuk memperkenalkannya
sebagai konsep pendukung ERM.
MPT adalah formulasi matematis dari konsep diversifikasi dalam berinvestasi, dengan
tujuan memilih koleksi aset investasi yang secara kolektif memiliki risiko lebih rendah
daripada aset individu. Bahwa ini mungkin dapat dilihat secara intuitif karena berbagai jenis
aset sering berubah nilainya dengan cara yang berlawanan. MPT memiliki dampak yang
nyata pada bagaimana kedua investor dan manajer risiko melihat risiko, pengembalian, dan
manajemen portofolio. Teori ini menunjukkan bahwa diversifikasi portofolio dapat
mengurangi risiko secara keseluruhan.
MPT membutuhkan manajer serangkaian risiko potensial untuk memikirkan kembali
gagasan-gagasan ini. Kadang-kadang menuntut manajemen mengambil tindakan berisiko
yang dianggap berisiko untuk mengurangi portofolio risiko secara keseluruhan. Itu bisa
menjadi penjualan yang sulit bagi manajemen senior yang tidak akrab dengan manfaat teknik
manajemen portofolio yang canggih. MPT mengasumsikan bahwa adalah mungkin untuk
fokus pada risiko-risiko yang teridentifikasi terpilih yang risiko individual vs prospek
pengembaliannya tidak bergantung pada orang lain dalam portofolio risiko.
MPT adalah konsep yang didukung oleh teori kuat yang mendukung manajemen
risiko portofolio. Inti dari MPT adalah bahwa pasar — apakah itu risiko portofolio atau
investasi — sulit dikalahkan dan bahwa orang-orang yang sering mengalahkan pasar adalah
mereka yang mengambil risiko di atas rata-rata. Juga tersirat bahwa pengambil risiko ini akan
mendapatkan pembalasan mereka ketika pasar menolak.

13
2.3. PENGELOLAAN RISIKO INSTALASI YANG TERPADU
ERM adalah kumpulan konsep yang berkembang dan berkembang dengan organisasi
profesional lainnya yang melihat konsep manajemen risiko dan menerbitkan pendekatan yang
serupa tetapi sedikit berbeda. Tepat ketika buku ini siap untuk diterbitkan, agensi pemerintah
federal AS , Institut Sains dan Teknologi Nasional (NIST), menerbitkan panduan untuk
mengembangkan pendekatan manajemen risiko perusahaan. 4 Meskipun saat ini publikasi
hanya dalam bentuk draft dan dapat berubah dalam proses yang kadang-kadang lama sering
diambil untuk publikasi teknis federal untuk menjadi resmi, kami secara singkat merujuk dan
menggambarkan dokumen NIST ini di sini dan menyarankan agar para profesional mengkaji
ulang sebagai dokumen pendukung lain .

Dokumen NIST ini penting karena menyoroti pentingnya ERM dan konsep GRC
secara keseluruhan. Ini menunjukkan bahwa mengelola risiko adalah aktivitas yang kompleks
dan beragam yang memerlukan keterlibatan seluruh perusahaan — dari para pemimpin senior
/ eksekutif yang menyatukan visi strategis dan sasaran dan tujuan tingkat atas untuk
perusahaan; kepada para pemimpin tingkat menengah yang merencanakan, melaksanakan,
dan mengelola proyek; kepada individu di garis depan yang mengoperasikan sistem informasi
yang mendukung fungsi misi / bisnis organisasi . NIST menekankan bahwa manajemen risiko
adalah proses komprehensif yang mengharuskan perusahaan untuk: (1) membingkai risiko
(yaitu, menetapkan konteks untuk keputusan berbasis risiko); (2) menilai risiko; (3)
menanggapi risiko setelah ditentukan; dan (4) memantau risiko secara berkelanjutan dengan
menggunakan komunikasi organisasi yang efektif dan melalui umpan balik untuk perbaikan

14
secara berkesinambungan dalam kegiatan perusahaan yang terkait dengan risiko. Dengan
menggunakan kata-kata NIST, '' Manajemen risiko disusun sebagai aktivitas organisasi yang
menyeluruh dan holistik yang membahas risiko dari tingkat strategis hingga tingkat taktis,
memastikan bahwa pengambilan keputusan berbasis risiko terintegrasi ke dalam setiap aspek
organisasi. ''
Untuk mengintegrasikan prosedur manajemen risiko di seluruh perusahaan, dokumen
NIST mendefinisikan ERM sebagai pendekatan tiga-tingkatan, seperti ditunjukkan pada
Exhibit 10.2, yang membahas risiko pada (1) tingkat perusahaan ; (2) tingkat misi / proses
bisnis ; dan (3) tingkat sistem informasi . Proses manajemen risiko dilakukan tanpa hambatan
ketiga tingkatan ini dengan tujuan keseluruhan dari peningkatan berkelanjutan dalam
kegiatan-kegiatan yang terkait risiko dan komunikasi internal dan eksterior yang efektif di
antara semua pemangku kepentingan yang memiliki kepentingan bersama dalam keberhasilan
misi / bisnis. Berdasarkan pendekatan tiga-tingkatan untuk manajemen risiko ini, seperti
ditunjukkan dalam Exhibit 10.2, Tingkat 1membahas risiko dari perspektif organisasi. Ini
mendefinisikan risiko pembingkaian sebagai komponen pertama dari manajemen risiko untuk
membagi konteks untuk semua kegiatan manajemen risiko yang dilakukan oleh perusahaan.
Kegiatan manajemen risiko Tingkat 1 secara langsung mempengaruhi kegiatan yang
dilakukan pada Tingkat 2 dan 3. Misalnya, misi dan fungsi bisnis yang ditetapkan di Tingkat
1 memengaruhi desain dan pengembangan misi / proses bisnis yang dibuat di Tingkat 2 untuk
menyelesaikan tujuan / fungsi bisnis tersebut. Tingkat 1 memberikan prioritas tujuan / bisnis
fungsi, yang pada gilirannya mendorong strategi investasi dan keputusan pendanaan,
sehingga mempengaruhi pengembangan perusahaan dan arsitektur keamanan informasi di
Tingkat 2 dan alokasi dan penyebaran manajemen, operasional, dan kontrol keamanan teknis
di Tingkat 3. Contoh lain dari aktivitas Tingkat 1 yang mempengaruhi kegiatan Tingkat 2 dan
Tingkat 3 termasuk pemilihan kontrol umum, penyediaan panduan dari fungsi manajemen
risiko perusahaan untuk mengotorisasi pejabat, dan kerangka kerja dari pemulihan pesanan
untuk sistem informasi yang mendukung misi kritis dan operasi bisnis. Bagian 2.3 dari
dokumen NIST memberikan deskripsi yang lebih rinci tentang kegiatan spesifik yang terkait
dengan Tier 1.
Tingkat 2 membahas misi risiko dan perspektif proses bisnis dan diinformasikan oleh
konteks risiko, keputusan risiko, dan kegiatan risiko di Tier 1 Tier 2 kegiatan manajemen
risiko meliputi: (1) mendefinisikan misi / proses bisnis yang diperlukan untuk mendukung
misi dan fungsi inti perusahaan; (2) memprioritaskan misi / proses bisnis sehubungan dengan
tujuan strategis dan tujuan perusahaan; (3) mendefinisikan jenis-jenis informasi yang

15
diperlukan untuk berhasil melaksanakan misi / proses bisnis, kritikalitas / sensitivitas
informasi, dan arus informasi baik internal maupun eksternal untuk perusahaan; (4)
menggabungkan permintaan keamanan informasi ke dalam misi / proses bisnis; dan (5)
membangun sekuritas perusahaan dan informasi sekuritas yang mempromosikan solusi
teknologi informasi yang efektif dan efisien yang konsisten dengan tujuan strategis dan
tujuan perusahaan dan ukuran kinerja. Kegiatan Tier 2 secara langsung mempengaruhi
kegiatan yang dilakukan di Tie r 3. Sebagai contoh, arsitektur keamanan informasi yang
dikembangkan di NIST's Tier 2 mempengaruhi dan memandu alokasi kebutuhan
perlindungan informasi yang, pada gilirannya, memandu alokasi kontrol keamanan ke
komponen tertentu sistem rmasi info perusahaan di Tier 3.
Keputusan pimpinan perusahaan di Tingkat 2 mempengaruhi desain sistem informasi
di Tingkat 3 termasuk jenis teknologi informasi yang dapat digunakan dalam
mengembangkan sistem tersebut. Kegiatan yang dilakukan di Tingkat 2 juga dapat
memberikan umpan balik yang berguna untuk Tingkat 1, kemungkinan menghasilkan revisi
kerangka risiko perusahaan atau mempengaruhi kegiatan manajemen risiko yang dilakukan di
Tingkat 1.
Tingkat 3 membahas risiko terutama dari perspektif TI dan dipandu oleh konteks
risiko , keputusan risiko, dan kegiatan risiko di Tingkat 1 dan 2. Kegiatan manajemen risiko
Tingkat 3 meliputi: (1) sistem informasi perusahaan; (2) mengalokasikan kontrol keamanan
ke sistem informasi perusahaan dan lingkungan di mana sistem tersebut beroperasi secara
konsisten dengan manager keamanan informasi yang ditetapkan perusahaan; dan (3)
mengelola seleksi, implementasi, penilaian, otorisasi, dan pemantauan berkelanjutan dari
kontrol keamanan yang dialokasikan sebagai bagian dari proses siklus hidup pengembangan
yang disiplin dan terstruktur yang dilaksanakan di seluruh perusahaan.
Di Tingkat 3, pemilik sistem informasi, penyedia kontrol umum adalah insinyur
sistem dan keamanan, dan petugas keamanan sistem informasi membuat keputusan berbasis
risiko terkait dengan implementasi , operasi, dan pemantauan sistem teknologi informasi
perusahaan (TI). Berdasarkan keputusan-keputusan berbasis risiko operasional sehari-hari ini,
memberi wewenang kepada pejabat untuk membuat keputusan berbasis risiko lanjutan
mengenai apakah sistem TI pada awalnya tidak dapat beroperasi di lingkungan operasi yang
ditentukan atau terus menerima otorisasi untuk beroperasi secara berkelanjutan. Keputusan
berbasis risiko yang sedang berlangsung ini diinformasikan oleh proses manajemen risiko
dengan panduan dari eksekutif risiko (fungsi) dan berbagai pertimbangan manager yang
mendukung tujuan / prosedur bisnis . Selain itu, kegiatan di Tingkat 3 memberikan umpan

16
balik yang penting untuk Tingkat 1 dan 2. Kerentanan baru yang ditemukan dalam sistem TI
perusahaan dapat memiliki implikasi sistemik yang meluas ke seluruh perusahaan.
Kerentanan yang sama tersebut dapat memicu perubahan manager perusahaan dan manager
keamanan informasi atau mungkin memerlukan penyesuaian terhadap toleransi risiko
perusahaan.
Deskripsi level teratas NIST 800-39 kami dari laporan ini mungkin terdengar rumit,
tetapi ada nilai dalam isinya. Sementara laporan ini hanya dalam bentuk draft pada saat
publikasi kami, ini menunjukkan arah dan minat orang lain dalam ERM. Pembaca yang
tertarik harus mengikuti status dan pengembangan dokumen NIST yang direferensikan ini
dan menggunakannya dalam mengembangkan proses ERM perusahaan .

17
 BAB III
PENUTUP

Risiko perusahaan menyangkut program whistleblower dapat memberikan tantangan

baru pada fungsi manajemen risiko perusahaan. Meskipun fungsi ERM mungkin telah
membentuk banyak proses tata kelola, risiko, dan kepatuhan (GRC) yang efektif, mereka
mungkin tidak menyadari proses yang diperlukan untuk membentuk program whistleblower
yang efektif. Fungsi manajemen risiko perusahaan harus membentuk program pelapor ERM
dan GRC terkait yang efektif.
Adanya fasilitas hotline dan whistleblower etika akan bernilai kecil kecuali jika
dikomunikasikan dan 'dijual' kepada semua anggota perusahaan. Cara yang baik untuk
memulai proses ini adalah melalui kode perilaku karyawan, yang telah
dibahas sebelumnya. Bahkan jika hotline seperti itu telah diluncurkan, fakta bahwa garis
tersebut dapat digunakan untuk potensi pelapor perlu dikomunikasikan. Tujuannya harus
menyelidiki dan segera menyelesaikan semua panggilan — dan terutama panggilan
whistleblower — untuk mencegah penyelidik dan pengacara dari luar.
Manajemen efektif dari berbagai risiko portofolio didasarkan pada dua konsep yang
berakar pada analisis risiko asuransi dan manajemen investasi keuangan: manajemen
portofolio perusahaan (EPM) dan apa yang disebut teori portofolio modern (MPT). MPT
adalah konsep yang didukung oleh teori kuat yang mendukung manajemen risiko portofolio.
Inti dari MPT adalah bahwa pasar — apakah itu risiko portofolio atau investasi — sulit
dikalahkan dan bahwa orang-orang yang sering mengalahkan pasar adalah mereka yang
mengambil risiko di atas rata-rata.
Dokumen NIST ini penting karena menyoroti pentingnya ERM dan konsep GRC
secara keseluruhan. NIST menekankan bahwa manajemen risiko adalah proses komprehensif
yang mengharuskan perusahaan untuk: (1) membingkai risiko (yaitu, menetapkan konteks
untuk keputusan berbasis risiko); (2) menilai risiko; (3) menanggapi risiko setelah ditentukan;
dan (4) memantau risiko secara berkelanjutan dengan menggunakan komunikasi organisasi
yang efektif dan melalui umpan balik untuk perbaikan secara berkesinambungan dalam
kegiatan perusahaan yang terkait dengan risiko.

18
 DAFTAR PUSTAKA

Moeller, R. R. (2011). COSO Enterprise Risk Management Establishing Effective

Governance, Risk, and Compliance Processes.

19