Yang tercantum dalam definisi risiko coso
kepanjangan ini bisa agak luar
dan iso adalah kunci tertentu, poin
mendasar yang harus dipahami sebelum
mengolah konsep manajemen risiko:
- risiko dimulai dengan perumusan strategi dan
penetapan tujuan. sebuah organisasi dalam
bisnis untuk mencapai strategi dan tujuan
tertentu, dan risiko merupakan hambatan untuk
berhasil mencapai tujuan tersebut. Oleh karena
itu, karena setiap organisasi memiliki strategi
dan tujuan yang agak berbeda, mereka juga
akan menghadapi berbagai jenis risiko.
- risiko tidak mewakili estimasi titik tunggal
(misalnya, hasil yang paling mungkin).
melainkan mewakili berbagai kemungkinan
hasil. karena banyak hasil yang berbeda
dimungkinkan, konsep kisaran adalah yang
menciptakan ketidakpastian ketika memahami
dan mengevaluasi risiko.
-risk mungkin berhubungan dengan mencegah
hal-hal buruk terjadi (mitigasi risiko), atau
gagal memastikan hal-hal baik terjadi (yaitu,
mengeksploitasi atau mengejar peluang).
kebanyakan orang fokus pada pencegahan hasil
yang buruk- misalnya, bahaya yang perlu
dikurangi atau dihilangkan. sementara banyak
risiko, pada kenyataannya, menghadirkan
ancaman bagi organisasi, kegagalan untuk
mencapai hasil positif juga dapat menciptakan
penghalang bagi pencapaian tujuan dan juga
risiko.
- risiko melekat dalam semua aspek kehidupan
- yaitu, di mana pun ketidakpastian ada, satu
risiko atau lebih ada. contoh-contoh yang
diberikan pada bagian sebelumnya tentang
sejarah risiko menggambarkan bagaimana
pemahaman risiko telah berkembang. risiko-
risiko yang secara spesifik terkait dengan
organisasi yang melakukan suatu bentuk bisnis
pada umumnya dianggap sebagai risiko bisnis.
ini dapat dianggap sebagai istilah sederhana
yang tidak pasti: ketidakpastian mengenai
ancaman terhadap pencapaian tujuan bisnis
dianggap sebagai risiko bisnis.
menggunakan deskripsi risiko, menjadi jelas
bahwa ada sejumlah besar risiko yang dihadapi
organisasi ketika mereka mencoba untuk
mengeksekusi strategi mereka dan mencapai
tujuan mereka.
biasa, yang membawa apresiasi yang lebih
besar untuk kebutuhan untuk memiliki proses
untuk secara efektif memahami dan mengelola
risiko di seluruh organisasi. kebutuhan ini dapat
diatasi melalui manajemen risiko perusahaan.
Coso mendefinisikan erm sebagai proses,
yang dilakukan oleh dewan direksi,
manajemen, dan personel lainnya, yang
diterapkan dalam penetapan strategi dan di
seluruh perusahaan, yang dirancang untuk
mengidentifikasi peristiwa potensial yang dapat
memengaruhi entitiy, dan mengelola risiko agar
sesuai dengan selera risiko, untuk memberikan
jaminan yang masuk akal mengenai pencapaian
tujuan yang diinginkan.
Coso menjelaskan bahwa definisi ini
mencerminkan konsep dasar tertentu. ERM
adalah:
- proses yang sedang berlangsung dan
mengalir di seluruh organisasi.
- Dipengaruhi oleh orang (karyawan) di setiap
tingkat organisasi.
- diterapkan ketika menetapkan strategi
organisasi.
- diterapkan di seluruh organisasi, di setiap
level dan unit.
- Berfokus pada pandangan risiko portofolio
tingkat entitas.
- dirancang untuk mengidentifikasi peristiwa
potensial yang, jika terjadi, akan
mempengaruhi organisasi.
- Sarana untuk memungkinkan manajemen
risiko dalam manajemen organisasi di dewan
direksi.
- diarahkan pencapaian tujuan dalam satu atau
lebih kategori yang terpisah tetapi tumpang
tindih.
Kerangka kerja ERM secara grafis
digambarkan sebagai matriks tiga dimensi,
dalam bentuk kubus, dibuat ulang dalam
pameran 4-2. Penggambaran ini menunjukkan
keterkaitan antara jenis tujuan (kolom vertikal
di bagian atas kubus), komponen ERM (baris
horizontal), dan struktur bisnis organisasi (sisi
kubus). Ini menggambarkan kemampuan
untuk fokus pada keseluruhan ERM
organisasi, atau berdasarkan jenis objektif,
komponen, unit organisasi, atau setiap bagian
daripadanya.
Jenis Tujuan
Ketika suatu organisasi menetapkan misi dan
visinya, manajemen juga menetapkan berbagai
tujuan yang mendukung misi tersebut dan
diselaraskan serta mengalir di seluruh
organisasi. Seperti dibahas dalam bab 1,
"Pengantar Audit Internal", kerangka kerja
ERM diarahkan untuk mencapai tujuan
organisasi dalam empat kategori berikut:
- Tujuan strategis. Sasaran tingkat tinggi yang
selaras dan mendukung misi organisasi.
- Tujuan operasi. Tujuan luas yang
mempromosikan penggunaan sumber daya
secara efektif dan efisien.
- Melaporkan keberatan. Sasaran yang
berfokus pada keandalan pelaporan (baik
eksternal maupun internal).
- Tujuan kepatuhan. Tujuan menegakkan
kepatuhan dengan hukum dan peraturan yang
berlaku.
COSO menyatakan hal berikut tentang
pencapaian tujuan: "Karena tujuan yang
berkaitan dengan keandalan pelaporan dan
kepatuhan terhadap undang-undang dan
peraturan berada dalam kendali entitas,
manajemen risiko perusahaan dapat diharapkan
memberikan jaminan yang wajar untuk
mencapai tujuan tersebut. Pencapaian tujuan
strategis dan operasi tujuan, bagaimanapun,
tunduk pada peristiwa eksternal tidak selalu
berada dalam kendali entitas, sehingga, untuk
tujuan ini, ERM dapat memberikan jaminan
yang masuk akal bahwa manajemen, dan dewan
dalam peran pengawasannya, dibuat sadar,
pada waktu yang tepat, sejauh dimana entitiy
bergerak menuju pencapaian tujuan.
Komponen ERM
COSO ERM terdiri dari delapan komponen
yang saling terkait. Ini berasal dari cara
manajemen menjalankan perusahaan dan
terintegrasi dengan proses manajemen.
Komponen-komponen ini adalah:
- Lingkungan internal. "Manajemen
menetapkan filosofi mengenai risiko dan
menetapkan selera risiko. Lingkungan internal
mencakup nada organisasi, dan menetapkan
dasar untuk bagaimana risiko dan kontrol
dilihat dan ditangani oleh karyawan entitas.
Inti dari setiap bisnis adalah karyawannya-
atribut masing-masing, termasuk integritas,
nilai-nilai etika, dan kompetensi-dan
lingkungan di mana mereka beroperasi. "
COSO selanjutnya menyatakan bahwa,
"Lingkungan internal adalah dasar untuk
semua komponen ERM lainnya, memberikan
disiplin dan struktur. Ini dalam mempengaruhi
bagaimana strategi dan tujuan ditetapkan,
kegiatan bisnis disusun, dan risiko
diidentifikasi, dinilai, dan ditindaklanjuti. juga
mempengaruhi desain dan fungsi kegiatan
kontrol, sistem informasi dan komunikasi, dan
kegiatan pemantauan.
Lingkungan internal dipengaruhi oleh sejarah
dan budaya organisasi. Ini terdiri dari banyak
elemen, termasuk yang berikut, yang dibahas
COSO secara lebih rinci:
- Filosofi manajemen risiko, yang mewakili
seperangkat keyakinan dan sikap bersama
yang menandai bagaimana organisasi
menganggap risiko dalam segala hal yang
dilakukannya.
Nafsu makan -Risiko, yang mewakili jumlah
risiko, pada tingkat yang luas, organisasi
bersedia menerima.
- Dewan direksi, yang menyediakan struktur,
pengalaman, independensi, dan peran
pengawasan yang dimainkan oleh badan
pengatur utama organisasi.
- Integritas dan nilai-nilai etika, yang
mencerminkan preferensi, standar perilaku,
dan gaya.
- Komitmen terhadap kompetensi, termasuk
pengetahuan dan keterampilan yang
dibutuhkan untuk melakukan tugas yang
ditugaskan.
- Struktur organisasi, sebagaimana dicirikan
oleh kerangka kerja untuk merencanakan,
melaksanakan, mengendalikan, dan memantau
kegiatan.
- Penugasan wewenang dan tanggung jawab,
yang mencerminkan sejauh mana individu dan
tim diberi wewenang dan didorong untuk
menggunakan inisiatif untuk mengatasi
masalah dan menyelesaikan masalah, serta
batasan untuk otoritas mereka.
- Standar sumber daya manusia, terdiri dari
praktik-praktik yang berkaitan dengan
perekrutan, orientasi, pelatihan, evaluasi,
konseling, promosi, kompensasi, dan
mengambil tindakan remidial.
Pengaturan obyektif. "Tujuan ditetapkan
pada tingkat strategis, menetapkan dasar untuk
tujuan operasi, pelaporan, dan kepatuhan.
Setiap entitas menghadapi berbagai risiko dari
sumber eksternal dan internal, dan prasyarat
untuk identifikasi, penilaian risiko, dan
respons risiko yang efektif secara efektif.
tujuan. "
Tujuan harus diselaraskan dengan selera risiko
organisasi, yang mendorong tingkat toleransi
risiko bagi organisasi. Torelan risiko adalah
tingkat ukuran dan variasi yang dapat diterima
relatif terhadap pencapaian tujuan, dan harus
selaras dengan selera risiko organisasi.
Identifikasi acara. "Manajemen
mengidentifikasi peristiwa potensial yang, jika
terjadi, akan memengaruhi entitiy, dan
menentukan apakah peristiwa ini mewakili
peluang atau apakah mereka dapat
memengaruhi kemampuan entitas untuk
berhasil mengimplementasikan strategi dan
mencapai tujuan. Acara dengan dampak
negatif mewakili risiko, yang memerlukan
manajemen penilaian dan respons. Acara
dengan dampak positif mewakili peluang,
yang manajemen salurkan kembali ke dalam
strategi dan proses penetapan tujuan. Ketika
mengidentifikasi peristiwa, manajemen
mempertimbangkan berbagai faktor internal
dan eksternal yang dapat menimbulkan risiko
dan peluang, dalam konteks ruang lingkup
risiko penuh organisasi.
Indonesia
COSO mengutip faktor eksternal, bersama
dengan contoh acara terkait, termasuk:
- Peristiwa ekonomi, seperti pergerakan harga,
ketersediaan modal, atau hambatan yang lebih
rendah untuk memasuki persaingan.
- Peristiwa lingkungan alami, seperti banjir,
kebakaran, gempa bumi, atau peristiwa terkait
cuaca.
- Acara politik, seperti pemilihan pejabat
pemerintah dengan agenda politik baru, atau
diberlakukannya undang-undang dan peraturan
baru.
- Acara sosial, seperti perubahan demografi,
adat istiadat sosial, struktur keluarga, atau
prioritas pekerjaan / kehidupan.
- Acara teknologi, seperti cara baru
perdagangan elektronik, penyimpanan, atau
pemrosesan.
COSO mengutip faktor eksternal, bersama
dengan contoh acara terkait, termasuk:
- Faktor infrastruktur, seperti meningkatnya
alokasi modal untuk pemeliharaan preventif
atau dukungan call center.
- Faktor-faktor personalia, seperti kecelakaan
di tempat kerja, aktivitas penipuan, atau
konspirasi perjanjian kerja.
Faktor proses, seperti modifikasi proses,
kesalahan eksekusi proses, atau keputusan
outsourcing.
- Faktor teknologi, seperti meningkatnya
sumber daya untuk menangani volatilitas
volume, pelanggaran keamanan, atau
downtime sistem.
Tugas beresiko. "Penilaian risiko
memungkinkan suatu entitas untuk
mempertimbangkan sejauh mana peristiwa
potensial memiliki dampak pada pencapaian
tujuan. Manajemen menilai peristiwa dari dua
perspektif - kemungkinan dan dampak - dan
biasanya menggunakan kombinasi metode
kualitatif dan kuantitatif. Dampak positif dan
negatif dari peristiwa potensial harus
diperiksa, secara individu atau berdasarkan
kategori, di seluruh entitas. Risiko dinilai pada
dasar yang inheren dan residual. "
Secara sederhana, risiko inheren merupakan
risiko kotor sedangkan risiko residual adalah
risiko bersih. Risiko yang melekat adalah
risiko bagi suatu organisasi tanpa adanya
tindakan yang mungkin diambil manajemen
untuk mengubah kemungkinan atau dampak
risiko tersebut. Risiko dapat melekat dalam
model bisnis organisasi atau terkait dengan
keputusan yang diambil manajemen mengenai
cara mengoperasikan dan menjalankan model
bisnis tersebut. Risiko residual adalah risiko
yang tetap ada setelah respons manajemen
terhadap risiko (misalnya, untuk mengurangi
atau mentransfer risiko). Penilaian risiko harus
diterapkan terlebih dahulu ke risiko yang
melekat. Setelah respons risiko dikembangkan,
manajemen kemudian mempertimbangkan
risiko residual.
Ada banyak cara berbeda untuk menilai
dampak dan kemungkinan risiko, mulai dari
memperoleh penilaian dan perspektif individu
secara keseluruhan, hingga pembandingan
terhadap perusahaan lain, hingga menjalankan
model probabilistik yang canggih. Terlepas
dari opsi mana, atau kombinasi opsi yang
digunakan, penting bahwa penilaian
mempertimbangkan hubungan antara risiko.
Artinya, dampak kasus terburuk yang realistis
dan kemungkinan peristiwa risiko mungkin
tergantung pada bagaimana kombinasi risiko
saling terkait. Menilai masing-masing risiko
dengan sendirinya dapat mengabaikan
skenario realistis terburuk yang perlu
dipertimbangkan organisasi.
Respon risiko. "Setelah menilai risiko yang
relevan, manajemen menentukan bagaimana
hal itu akan merespons. Tanggapan mencakup
penghindaran risiko, pengurangan, pembagian,
dan penerimaan. Dalam mempertimbangkan
tanggapannya, manajemen menilai dampak
pada kemungkinan dan dampak risiko, serta
biaya dan manfaat, memilih respons yang
membawa risiko residual dalam toleransi
risiko yang diinginkan.
Manajemen mengidentifikasi segala peluang
yang mungkin tersedia, dan mengambil
pandangan seluruh entitas, atau portofolio,
risiko, menentukan apakah keseluruhan risiko
residual berada dalam selera risiko entitas. "
Seperti yang ditunjukkan, risiko repson
termasuk dalam empat kategori, yang
didefinisikan COSO sebagai:
- Penghindaran. Menghentikan atau
melepaskan aktivitas yang memberikan risiko.
Penghindaran risiko dapat melibatkan keluar
dari lini produk, penurunan ekspansi ke pasar
geografis baru, atau penjualan divisi.
- Pengurangan. Tindakan diambil untuk
mengurangi kemungkinan risiko atau dampak,
atau keduanya. Ini biasanya melibatkan
banyak sekali keputusan bisnis sehari-hari
(seperti menerapkan kontrol).
- Berbagi. Mengurangi kemungkinan risiko
atau dampak dengan mentransfer atau
membagi sebagian risiko. Teknik umum
termasuk membeli produk asuransi, terlibat
dalam transaksi lindung nilai, atau outsourcing
kegiatan.
- Penerimaan. Tidak ada tindakan yang
diambil untuk memengaruhi kemungkinan
atau dampak risiko. (Akibatnya, organisasi
bersedia menerima risiko pada tingkat saat ini
daripada menghabiskan sumber daya yang
berharga untuk menggunakan salah satu opsi
respons risiko lainnya.)
Penting untuk mempertimbangkan portofolio,
atau agregat, efek dari respons risiko. Dalam
beberapa kasus, respons risiko tertentu
mungkin tidak tampak sebagai respons terbaik
atau paling hemat biaya untuk risiko tertentu.
Namun, jika respons risiko itu membantu
mengelola risiko lain, manfaat bagi organisasi
dapat membenarkan pemilihan opsi tertentu
itu. Dengan melihat risiko dari perspektif
portofolio, manajemen dapat memastikan
bahwa risiko dikelola secara optimal ketika
selera risiko yang ditetapkan organisasi.
Mengontrol kegiatan. "Aktivitas kontrol
adalah kebijakan dan prosedur yang membantu
memastikan bahwa respons risiko manajemen
dilakukan. Aktivitas kontrol terjadi di seluruh
organisasi, di semua tingkatan dan dalam
semua fungsi."
Sementara kegiatan kontrol paling sering
dikaitkan dengan strategi pengurangan risiko,
kegiatan kontrol tertentu juga mungkin
diperlukan ketika menjalankan salah satu
respons risiko lainnya. Mereka
diklasifikasikan dalam berbagai cara dan
mencakup berbagai kegiatan yang dapat
bersifat preventif atau detektif, manual atau
otomatis, dan pada tingkat proses atau tingkat
manajemen. Lihat bab 6, "Kontrol Internal",
untuk diskusi lebih lanjut tentang berbagai
jenis kontrol. Berikut ini adalah beberapa
contoh kegiatan kontrol yang biasa digunakan
yang disediakan oleh COSO:
- Ulasan tingkat atas adalah kontrol yang
biasanya dijalankan pada tingkat entitiy,
seperti kinerja terhadap tinjauan anggaran,
perkiraan terbaru, pemantauan tindakan
pesaing, atau inisiatif penahanan biaya.
- Manajemen fungsional atau aktivitas
langsung adalah kontrol yang dijalankan oleh
manajer yang menjalankan fungsi atau
aktivitas tertentu, seperti meninjau laporan
kinerja untuk area tersebut atau mengawasi
pelaksanaan kontrol level terperinci (misalnya,
rekonsiliasi).
- Kontrol pemrosesan informasi dirancang
untuk memeriksa keakuratan, kelengkapan,
dan otorisasi transaksi. Selain itu, aea ini
mencakup kontrol infrastruktur umum, seperti
keamanan fisik dan logis; kontrol atas
implementasi sistem, peningkatan, atau
modifikasi; pemulihan bencana; dan kontrol
operasi sistem.
- Kontrol fisik meliputi (1) penghitungan fisik
uang tunai, sekuritas, inventaris, peralatan,
atau aset tetap lainnya, dan membandingkan
penghitungan tersebut dengan jumlah yang
dicatat dalam pembukuan dan catatan, dan (2)
penghalang atau pembatasan fisik seperti
pagar dan kunci.
- Indikator kinerja mencakup menganalisis dan
menindaklanjuti penyimpangan dari norma
kinerja yang diharapkan atau ditargetkan.
- Pemisahan tugas melibatkan pemisahan tugas
orang yang berbeda untuk mengurangi risiko
kesalahan atau penipuan. Misalnya, individu
yang membentuk vendor baru dalam sistem
seharusnya tidak dapat mengotorisasi transaksi
untuk membayar vendor tersebut.
Informasi dan Komunikasi. "Informasi
penting diidentifikasi, ditangkap, dan
dikomunikasikan dalam bentuk dan kerangka
waktu yang memungkinkan orang untuk
melaksanakan tanggung jawab mereka."
Informasi harus dalam kedalaman yang cukup
konsisten dengan kebutuhan organisasi untuk
mengidentifikasi, menilai, dan merespons
risiko, dan tetap berada dalam berbagai tingkat
toleransi risiko. Sistem informasi memproses
data yang dihasilkan secara internal dan
eksternal menjadi informasi yang berguna
untuk mengelola risiko. Akhirnya, informasi
harus memiliki kualitas yang memadai untuk
mendukung pengambilan keputusan. COSO
mencatat bahwa informasi harus:
- Tepat dan pada tingkat detail yang tepat.
- Tepat waktu dan tersedia saat dibutuhkan.
- Saat ini, mencerminkan informasi keuangan
atau operasional terbaru.
- Akurat dan dapat diandalkan.
- Dapat diakses oleh mereka yang
membutuhkannya.
COSO melanjutkan dengan menyatakan,
"Komunikasi yang efektif juga terjadi,
mengalir, melintasi, dan ke atas organisasi.
Semua personil menerima pesan yang jelas
dari manajemen puncak bahwa tanggung
jawab ERM harus ditanggapi dengan serius.
Mereka memahami peran mereka sendiri
dalam ERM, serta bagaimana kegiatan
individu berhubungan dengan pekerjaan orang
lain. Mereka harus memiliki sarana untuk
mengkomunikasikan informasi penting di
hulu. Ada juga komunikasi yang efektif
dengan pihak eksternal, seperti pelanggan,
pemasok, regulator, dan pemegang saham. "
Ada banyak bentuk komunikasi yang berbeda,
seperti manual kebijakan, memorandum,
email, situs internet dan intranet,
pemberitahuan papan pengumuman, dan pesan
video. Ketika pesan dikirimkan secara lisan,
nada suara dan bahasa tubuh dapat
mempengaruhi bagaimana pesan ditafsirkan.
Pemantauan "Manajemen risiko perusahaan
dimonitor-menilai keberadaan dan fungsi
komponennya dari waktu ke waktu. Jenis
kontrol hilir ini dapat dicapai melalui kegiatan
pemantauan yang sedang berlangsung,
evaluasi terpisah, atau kombinasi dari
keduanya. Pemantauan yang sedang
berlangsung umumnya akan terjadi dalam
kegiatan normal kegiatan manajemen sehari-
hari Sifat, ruang lingkup, dan frekuensi
evaluasi terpisah akan tergantung terutama
pada penilaian manajemen terhadap risiko
yang mendasarinya dan efektivitas prosedur
pemantauan yang sedang berlangsung saat ini.
Kekurangan yang dicatat dari kegiatan
pemantauan ini dilaporkan di hulu, dengan hal
yang paling serius dilaporkan kepada
manajemen senior dan dewan direksi.
Selain kegiatan pemantauan manajemen yang
sedang berlangsung, individu lain mungkin
terlibat dalam proses pemantauan. Misalnya,
individu yang bertanggung jawab atas kinerja
kegiatan utama dapat melakukan penilaian
sendiri untuk mengevaluasi efektivitas
kegiatan manajemen risiko mereka. Auditor
internal biasanya merupakan bagian dari
sistem pemantauan keseluruhan, di mana hasil
audit individu membantu menilai efektivitas
kegiatan manajemen risiko terkait. Dalam
keadaan tertentu, pekerjaan yang dilakukan
oleh auditor luar independen juga dapat
mempengaruhi penilaian manajemen terhadap
efektivitas manajemen risiko yang
berkelanjutan.
Pada dasarnya, komponen ERM menyediakan
konteks untuk menjawab beberapa pertanyaan
umum sehari-hari yang meringkas masalah
manajemen risiko (sebagaimana terkait dengan
kerangka kerja ERM):
1. Apa yang ingin kita capai (apa tujuan kita)?
2. Apa yang bisa menghentikan kita dari
mencapainya (apa risikonya, seburuk apa
mereka, dan seberapa besar kemungkinan itu
terjadi)?
3. Opsi apa yang harus kita pastikan agar hal-
hal itu tidak terjadi (apa strategi manajemen
risiko, yaitu tanggapan)?
4. APAKAH kita memiliki kemampuan untuk
mengeksekusi opsi-opsi tersebut (kami telah
merancang dan melaksanakan kegiatan kontrol
untuk mengeruk strategi manajemen risiko)?
5. Bagaimana kita tahu bahwa kita telah
menyelesaikan apa yang ingin kita capai
(apakah informasi ada untuk bukti
keberhasilan, dan dapatkah kita memantau
kinerja untuk memverifikasi keberhasilan itu)?
Lima pertanyaan ini berlaku untuk lebih dari
sekedar manajemen risiko di dunia bisnis.
Mereka dapat berlaku untuk hampir semua
tujuan atau kehidupan keputusan. Menjawab
pertanyaan-pertanyaan ini menanamkan jenis
pemikiran dan disiplin berbasis manajemen
risiko yang selaras dengan COSO ERM dan
kerangka kerja manajemen risiko lainnya.
J David Dean dan Andrew E Griffin dalam
bukunya What’s Your Risk Appetite
menyebutkan risk appetite adalah jumlah dari
total risiko yang dihadap sebuah organisasi
yang bisa diterima atau dipertahankan
berdasarkan imbal hasilnya. Risk appetite juga
mencerminkan strategi, strategi risiko dan
harapan pemangku kepentingan. Ditetapkan
dan disetujui oleh Dewan Direksi melalui
diskusi dengan manejemen. Sedangkan risk
tolerance adalah jumlah risiko yang ingin
diambil sebuah organsiasi secara menyeluruh
atau terkadang dalam unit bisnis tertentu atau
untuk kategori risiko yang spesifik. Risk
tolerance dinyatakan secara kuantitatif yang
bisa dipantau dan sering dinyatakan dalam
outcome atau level risiko yang bisa diterima
atau tidak bisa diterima.