com
Tindakan manajemen resiko diambil oleh para praktisi untuk merespon bermacam-macam resiko.
Responden melakukan dua macam tindakan manajemen resiko yaitu mencegah dan memperbaiki.
Tindakan mencegah digunakan untuk mengurangi, menghindari, atau mentransfer resiko pada tahap
awal proyek konstruksi. Sedangkan tindakan memperbaiki adalah untuk mengurangi efek-efek ketika
resiko terjadi atau ketika resiko harus diambil (Shen, 1997).
Manajemen resiko adalah sebuah cara yang sistematis dalam memandang sebuah resiko dan
menentukan dengan tepat penanganan resiko tersebut. Ini merupakan sebuah sarana untuk
mengidentifikasi sumber dari resiko dan ketidakpastian, dan memperkirakan dampak yang
ditimbulkan dan mengembangkan respon yang harus dilakukan untuk menanggapi resiko
(Uher,1996).
Pendekatan sistematis mengenai manajemen risiko dibagi menjadi 3 stage utama, yaitu (Soeharto,
1999):
1. Identifikasi resiko
2. Analisa dan evaluasi resiko
3. Respon atau reaksi untuk menanggulangi resiko tersebut
Manfaat Manajemen Risiko
Manfaat yang diperoleh dengan menerapkan manajemen resiko antara lain (Mok et al., 1996)
Menurut Darmawi, (2005, p. 11) Manfaat manajemen risiko yang diberikan terhadap perusahaan
dapat dibagi dalam 5 (lima) kategori utama yaitu :
a. Manajemen risiko mungkin dapat mencegah perusahaan dari kegagalan.
b. Manajemen risiko menunjang secara langsung peningkatan laba.
c. Manajemen risiko dapat memberikan laba secara tidak langsung.
d. Adanya ketenangan pikiran bagi manajer yang disebabkan oleh adanya perlindungan terhadap
risiko murni, merupakan harta non material bagi perusahaan itu.
e. Manajemen risiko melindungi perusahaan dari risiko murni, dan karena kreditur pelanggan dan
pemasok lebih menyukai perusahaan yang dilindungi maka secara tidak langsung menolong
meningkatkan public image.
Manfaat manajemen risiko dalam perusahaan sangat jelas, maka secara implisit sudah terkandung
didalamnya satu atau lebih sasaran yang akan dicapai manajemen risiko antara lain sebagai berikut
ini (Darmawi, 2005, p. 13).
a. Survival
b. Kedamaian pikiran
c. Memperkecil biaya
d. Menstabilkan pendapatan perusahaan
e. Memperkecil atau meniadakan gangguan operasi perusahaan
f. Melanjutkan pertumbuhan perusahaan
g. Merumuskan tanggung jawab social perusahaan terhadap karyawan dan masyarakat.
Menurut Smith : 1990, manajemen risiko didefinisikan sebagai proses identifikasi, pengukuran,
dan kontrol keuangan dari sebuah risiko yang mengancam aset dan penghasilan dari sebuah
perusahaan atau proyek yang dapat menimbulkan kerusakan atau kerugian pada perusahaan
tersebut. Dengan kata lain, manajemen risiko adalah suatu cara dalam mengorganisir suatu
risiko yang akan dihadapi baik itu sudah diketahui maupun yang belum diketahui atau yang tak
terpikirkan yaitu dengan cara memindahkan risiko kepada pihak lain, menghindari risiko,
mengurangi efek negatif risiko, dan menampung sebagian atau semua konsekuensi risiko
tertentu. Manajemen risiko juga bisa disebut suatu pendekatan terstruktur dalam mengelola
ketidakpastian yang berkaitan dengan ancaman. Oleh karena itu, melalui manajemen risiko,
diharapkan kerugian yang ditimbulkan dari ketidakpastian dapat dikurangi bahkan dihilangkan
untuk kelangsungan kegiatan di bidangnya.
1. Menurut Smith, 1990 Manajemen Resiko didefinisikan sebagai proses identifikasi, pengukuran, dan
kontrol keuangan dari sebuah resiko yang mengancam aset dan penghasilan dari sebuah perusahaan
atau proyek yang dapat menimbulkan kerusakan atau kerugian pada perusahaan tersebut.
2. Menurut Clough and Sears, 1994, Manajemen risiko didefinisikan sebagai suatu pendekatan yang
komprehensif untuk menangani semua kejadian yang menimbulkan kerugian.
3. Menurut William, et.al.,1995,p.27 Manajemen risiko juga merupakan suatu aplikasi dari manajemen
umum yang mencoba untuk mengidentifikasi, mengukur, dan menangani sebab dan akibat dari
ketidakpastian pada sebuah organisasi.
4. Menurut Dorfman, 1998, p. 9 Manajemen risiko dikatakan sebagai suatu proses logis dalam
usahanya untuk memahami eksposur terhadap suatu kerugian.
Sehingga dapat diambil kesimpulan bahwa resiko bisnis dapat menyebabkan kinerja
perusahaan menjadi rendah, resiko tersebut bisa timbul dari dalam perusahaan maupun
pengaruh dari luar perusahaan.Manajemen resiko adalah menyangkut identifikasi atas
kemungkinan resiko yang akan dihadapinya dan berusaha melakukan proteksi agar pengaruh
resiko tersebut dapat diminimalisasi, bahkan ditiadakan sama sekali
1. Manfaat yang diperoleh dengan menerapkan manajemen resiko antara lain (Mok et al., 1996)
Berguna untuk mengambil keputusan dalam menangani masalah-masalah yang rumit.
Memudahkan estimasi biaya.
Memberikan pendapat dan intuisi dalam pembuatan keputusan yang dihasilkan dalam cara yang
benar.
Memungkinkan bagi para pembuat keputusan untuk menghadapi resiko dan ketidakpastian dalam
keadaan yang nyata.
Memungkinkan bagi para pembuat keputusan untuk memutuskan berapa banyak informasi yang
dibutuhkan dalam menyelesaikan masalah.
Meningkatkan pendekatan sistematis dan logika untuk membuat keputusan.
Menyediakan pedoman untuk membantu perumusan masalah.
Memungkinkan analisa yang cermat dari pilihan-pilihan alternatif.
1. Menurut Darmawi, (2005, p. 11) Manfaat manajemen risiko yang diberikan terhadap perusahaan
dapat dibagi dalam 5 (lima) kategori utama yaitu :
Manajemen risiko mungkin dapat mencegah perusahaan dari kegagalan.
Manajemen risiko menunjang secara langsung peningkatan laba.
Manajemen risiko dapat memberikan laba secara tidak langsung.
Adanya ketenangan pikiran bagi manajer yang disebabkan oleh adanya perlindungan terhadap risiko
murni, merupakan harta non material bagi perusahaan itu.
Manajemen risiko melindungi perusahaan dari risiko murni, dan karena kreditur pelanggan dan
pemasok lebih menyukai perusahaan yang dilindungi maka secara tidak langsung menolong
meningkatkan public image.
1. Manfaat manajemen risiko dalam perusahaan sangat jelas, maka secara implisit sudah terkandung
didalamnya satu atau lebih sasaran yang akan dicapai manajemen risiko antara lain sebagai berikut
ini (Darmawi, 2005, p. 13).
Survival
Kedamaian pikiran
Memperkecil biaya
Menstabilkan pendapatan perusahaan
Memperkecil atau meniadakan gangguan operasi perusahaan
Melanjutkan pertumbuhan perusahaan
Merumuskan tanggung jawab social perusahaan terhadap karyawan dan masyarakat.
Derajat risiko – degree of risk adalah ukuran risiko lebih besar atau risiko lebih kecil. Jika suatu
risiko diartikan sebagai ketidakpastian, maka risiko terbesar akan terjadi bila terdapat dua
kemungkinan hasil yang masing-masing mempunyai kemungkinan yang sama untuk
terjadi.Klasifikasi Risiko sebagai berikut :
Risiko yang dapat diukur dan risiko yang tidak dapat diukur
Risiko financial dan risiko non financial
Risiko statis dan risiko dinamis
Risiko fundamental dan risiko khusus
Risiko murni dan risiko spekulatif
2.4 Klasifikasi Manajemen Resiko :
a) Risiko operasional adalah risiko yang timbul karena tidak berfungsinya sistem internal
yang berlaku, kesalahan manusia, atau kegagalan sistem. Sumber terjadinya risiko operasional
paling luas dibanding risiko lainnya yakni selain bersumber dari aktivitas di atas juga bersumber
dari kegiatan operasional dan jasa, akuntansi, sistem tekhnologi informasi, sistem informasi
manajemen atau sistem pengelolaan sumber daya manusia.
b) Risiko eksternal factor –faktor yang mempengaruhi akibat akibat yang ditimbulkan dari
suatu peristiwa. Lingkungan eksternal menimbulkan kondisi yang kondusif terhadp bencana
yang menimbulkan kerugian. Dan kerugian adalah penyimpangan yang tidak diharapkan.
Walaupun ada beberapa overlapping (tumpang tindih) di antara kategori-kategori ini, namun
sumber penyebab kerugian (dan risiko) dapat diklasifikasikan sebagai risiko sosial, risiko fisik,
dan risiko ekonomi. Menentukan sumber risiko adalah penting karena mempengaruhi cara
penanganannya.
c) Risiko Finansial adalah resiko yang diderita oleh investor sebagai akibat dari
ketidakmampuan emiten saham dan obligasi memenuhi kewajiban pembayaran deviden atau
bunga atau bunga serta pokok pinjaman.
d) Risiko strategic adalah risiko terjadinya serangkaian kondisi yang tidak terduga yang dapat
mengurangi kemampuan manajer untuk mengimplementasikan strateginya secara signifikan.
Pemahaman risk management memungkinkan manajemen untuk terlibat secara efektif dalam
menghadapi uncertainty dengan risiko dan peluang yang berhubungan dan meningkatkan
kemampuan organisasi untuk memberikan nilai tambah. Menurut COSO, proses manajemen
risiko dapat dibagi ke dalam 8 komponen (tahap)
Risk tolerance dapat diartikan sebagai variation dalam pencapaian objective yang dapat
diterima oleh manajemen. Dalam penerapan pelayanan pajak modern seperti pengiriman SPT
WP secara elektronik, diperkirakan 80% Wajib Pajak (WP) Besar akan
mengimplementasikannya. Bila ditentukan risk tolerance sebesar 10%, dalam hal 72% WP
Besar telah melaksanakannya, berarti tujuan penyediaan fasilitas tersebut telah terpenuhi.
Disamping itu, terdapat pula aktivitas suatu organisasi seperti peluncuran roket berawak
dengan risk tolerance adalah 0%.
Penilaian risiko dapat menggunakan dua teknik, yaitu: (1) qualitative techniques; dan (2)
quantitative techniques. Qualitative techniques menggunakan beberapa tools seperti self-
assessment (low, medium, high), questionnaires, dan internal audit reviews. Sementara itu,
quantitative techniques data berbentuk angka yang diperoleh dari tools seperti probability
based, non-probabilistic models (optimalkan hanya asumsi consequence), dan benchmarking.
penilaian risiko atas setiap aktivitas organisasi akan menghasilkan informasi berupa peta dan
angka risiko. Aktivitas yang paling kecil risikonya ada pada aktivitas a dan e, dan aktivitas yang
paling berisiko tinggi dengan kemungkinan terjadi tinggi ada pada aktivitas d. Sedangkan
aktivitas c, walaupun memiliki dampak yang besar, namun memiliki risiko terjadi yang rendah.
Yang perlu dicermati adalah events relationships atau hubungan antar kejadian/keadaan.
Events yang terpisah mungkin memiliki risiko kecil. Namun, bila digabungkan bisa menjadi
signifikan. Demikian pula, risiko yang mempengaruhi banyak business units perlu
dikelompokkan dalam common event categories, dan dinilai secara aggregate.
Dalam memilih sikap (response), perlu dipertimbangkan faktor-faktor seperti pengaruh tiap
response terhadap risk likelihood dan impact, response yang optimal sehingga bersinergi
dengan pemenuhan risk appetite and tolerances, analis cost versus benefits, dan kemungkinan
peluang (opportunities) yang dapat timbul dari setiap risk response.
Dari pemahaman atas lingkungan pengendalian, dapat ditentukan jenis dan aktifitas
pengendalian. Terdapat beberapa jenis pengendalian, diantaranya adalah preventive, detective,
corrective, dan directive. Sementara aktifitas pengendalian berupa: (1) pembuatan kebijakan
dan prosedur; (2) pengamanan kekayaan organisasi; (3) delegasi wewenang dan pemisahan
fungsi; dan (4) supervisi atasan. Aktifitas pengendalian hendaknya terintegrasi dengan
manajemen risiko sehingga pengalokasian sumber daya yang dimiliki organisasi dapat menjadi
optimal.
Informasi yang disajikan tergantung dari kualitas informasi yang ingin disampaikan, dan kualitas
informasi dapat dipilah menjadi: (1) appropriate; (2) timely; (3) current; (4) accurate; dan (5)
accessible. Arah komunikasi dapat bersifat internal dan eksternal. Sedangkan alat komunikasi
berupa diantaranya manual, memo, buletin, dan pesan-pesan melalui media elektronis.
1. Monitoring
Monitoring dapat dilaksanakan baik secara terus menerus (ongoing) maupun terpisah (separate
evaluation). Aktifitas monitoring ongoing tercermin pada aktivitas supervisi, rekonsiliasi, dan
aktivitas rutin lainnya. Monitoring terpisah biasanya dilakukan untuk penugasan tertentu
(kasuistis). Pada monitoring ini ditentukan scope tugas, frekuensi, proses evaluasi metodologi,
dokumentasi, dan action plan.
Pada proses monitoring, perlu dicermati adanya kendala seperti reporting deficiencies, yaitu
pelaporan yang tidak lengkap atau bahkan berlebihan (tidak relevan). Kendala ini timbul dari
berbagai faktor seperti sumber informasi, materi pelaporan, pihak yang disampaikan laporan,
dan arahan bagi pelaporan.
BAB III
PENUTUP
3.1 KESIMPULAN
Sasaran dari pelaksanaan manajemen risiko adalah untuk mengurangi risiko yang berbeda-
beda yang berkaitan dengan bidang yang telah dipilih pada tingkat yang dapat diterima oleh
masyarakat. Hal ini dapat berupa berbagai jenis ancaman yang disebabkan oleh lingkungan,
teknologi, manusia, organisasi dan politik. Di sisi lain pelaksanaan manajemen risiko melibatkan
segala cara yang tersedia bagi manusia, khususnya, bagi entitas manajemen risiko (manusia,
staff, dan organisasi).
• Risiko Operasional
• Risiko Eksternal
• Risiko Finansial
• Risiko Strategik
Hal ini menimbulkan ide untuk menerapkan pelaksanaan Manajemen Risiko Terintegrasi
Korporasi (Enterprise Risk Management). Manajemen Risiko dimulai dari proses identifikasi
risiko, penilaian risiko, mitigasi,monitoring dan evaluasi. Risiko dapat terjadi pada pelayanan,
kinerja, dan reputasi dari institusi yang bersangkutan. Risiko yang terjadi dapat disebabkan oleh
berbagai faktor antara lain kejadian alam, operasional, manusia, politik, teknologi, pegawai,
keuangan, hukum, dan manajemen dari organisasi.
Suatu risiko yang terjadi dapat berasal dari risiko lainnya, dan dapat disebabkan oleh berbagai
faktor. Risiko rendahnya kinerja suatu instansi berasal dari risiko rendahnya mutu pelayanan
kepada publik. Risiko terakhir disebabkan oleh faktor-faktor sumber daya manusia yang dimiliki
organisasi dan operasional seperti keterbatan fasilitas kantor. Risiko yang terjadi akan
berdampak pada tidak tercapainya misi dan tujuan dari instansi tersebut, dan timbulnya
ketidakpercayaan dari publik.
Risiko diyakini tidak dapat dihindari. Berkenaan dengan sektor publik yang menuntut
transparansi dan peningkatan kinerja dengan dana yang terbatas, risiko yang dihadapi instansi
Pemerintah akan semakin bertambah dan meningkat. Oleh karenanya, pemahaman terhadap
risiko menjadi keniscayaan untuk dapat menentukan prioritas strategi dan program dalam
pencapaian tujuan organisasi.
Risiko dapat dikurangi dan bahkan dihilangkan melalui manajemen risiko. Peran dari
manajemen risiko diharapkan dapat mengantisipasi lingkungan cepat berubah,
mengembangkan corporate governance, mengoptimalkan penyusunan strategic management,
mengamankan sumber daya dan asset yang dimiliki organisasi, dan mengurangi reactive
decision making dari manajemen puncak.
Usaha Penjaminan seperti halnya jasa Asuransi dikategorikan sebagai usaha yang berisiko dan
produk utamanya adalah menjamin risiko dari kegagalan bayar nasabahnya (Terjamin) yang
memanfaatkan jasa perbankan atau proyek dari pihak lain. Risiko usaha penjaminan
diperkirakan lebih besar dibandingkan dengan usaha perbankan karena dalam usaha
penjaminan melibatkan tiga pihak yaitu Penjamin, Penerima Jaminan dan Terjamin sementara
usaha perbankan pada produk utamanya hanya melibatkan dua pihak yaitu kreditur dan debitur.
Lembaga penjaminan di Indonesia maupun di Asia yang menjalankan penjaminan kredit untuk
medukung program pemerintah dalam pengembangan UMKM sebagian besar merugi karena
berdasarkan data empiris dan secara nature penjaminan kredit UMKM ini memiliki tingkat
kegagalan yang relatif tinggi. Disisi lain, lembaga penjaminan yang berbentuk Perseroan
Terbatas (PT) di Indonesia dituntut tetap sustain (berkelanjutan) dan memberikan manfaat
ekonomi kepada pemerintah dan perekonomian nasional. Strategi Lembaga Penjaminan dalam
bentuk PT maupun Perusahaan Umum (Perum) agar tetap sustain adalah melakukan usaha
diversifikasi usaha yang berorientasi profit dan mengelola risiko usaha penjaminan agar dapat
mereduksi kerugian pada tingkat yang diterima oleh perusahaan.
Konsekuensi usaha penjaminan yang terdiri dari tiga pihak menuntut adanya pengelolaan risiko
yang bersumber dari ketiga pihak terkait. Ketiga pihak tersebut memiliki potensi hazard yang
dapat mempengaruhi besaran peluang munculnya risiko dan mempengaruhi pencapaian tujuan
perusahaan. Pihak Penjamin selaku Lembaga Penjaminan yang memberikan penjaminan
memiliki potensi hazard tersendiri yang dapat mempengaruhi pencapaian tujuan penjaminan
(premi meningkat dan tingkat klaim rendah) seperti adanya praktek kolusi dan kelalaian dalam
proses underwriting dan proses pendukung usaha lainnya. Begitu pula Penerima Jaminan
(misal perbankan) dan Terjamin memiliki potensi hazard yang relatif tinggi yang dapat
mempengaruhi pencapaian tujuan penjaminan kredit itu sendiri. Belum lagi bila ada potensi
hazard dari pihak external yang berasal dari industri penjaminan dan regulator, sudah tentu
pengelolan risiko menjadi demikian penting dan tidak dapat diabaikan peranannya.
Potensi hazard yang bersumber dari ketiga pihak yang terlibat dalam usaha penjaminan dapat
memperbesar peluang timbulnya risiko di masa depan sehingga akan mempengaruhi kinerja
usaha penjaminan. Pengelolaan risiko yang efektif dan efisien serta melibatkan seluruh
komponen perusahaan mulai dari BOD, manajemen senior dan seluruh karyawan diperlukan
agar kerugian yang timbul dalam usaha penjaminan kredit dapat dikendalikan dan dapat
diterima oleh perusahaan.
Urgensi penerapan manajemen risiko korporat saat ini sudah merupakan tuntutan perusahaan
untuk mengendalikan risiko penjaminan dan memenuhi tuntutan regulator terkait dengan
penerapan tata kelola perusahaan yang baik (Good Corporate Governance (GCG)).
Pengelolaan manajemen risiko korporat merupakan salah satu pilar penting penerapan GCG
yang dapat memberikan peluang besar agar perusahaan dapat didorong untuk memenuhi
seluruh aspek ketentuan dan peraturan internal maupun eksternal (comply) dengan
memperhatikan risiko yang terindentifikasi dengan baik dari seluruh aspek bisnis dan
pendukungnya.
Model penerapan ERM yang akan diuraikan berikut adalah diadopsi dari kasus penerapan ERM
PT Asuransi Kredit Indonesia (PT Askrindo) yang menjalankan usaha penjaminan sekaligus
usaha asuransi dengan framework COSO (Committe of Sponsoring Organization).
PT Asuransi Kredit Indonesia adalah suatu entitas bisnis di Indonesia yang unik dan mungkin
satu-satunya di Indonesia yang dapat mengkolaborasi secara baik antara usaha berorientasi
profit dengan berorientasi public service dalam bentuk usaha penjaminan dan asuransi. PT
Askrindo dikatakan menjalankan usaha asuransi karena regulasi di Indonesia masih
menganggap bahwa surety bond, customs bond, asuransi kredit perdagangan dan penjaminan
kredit tergolong dalam usaha asuransi walaupun skim yang digunakan adalah skim penjaminan.
Saat ini regulasi penjaminan masih pada tarap peraturan pemerintah atau keputuasan menteri
keuangan sedangan regulasi setingkat Undang-Undang sedang dalam proses penyusunan.
Disatu sisi PT Askrindo berusaha mendukung program pemerintah mengembangkan UMKM
dengan karateristik usaha yang cenderung merugi, namun di sisi lain PT Askrindo dituntut untuk
memperoleh profit dengan menjalankan usaha penjaminan dan asuransi dalam bentuk
diversifikasi produk yang meliputi produk surety bond, customs bond, asuransi kredit
perdagangan (Askredag) dan reasuransi. Demikian kompleks usaha yang dijalankan oleh PT
Askrindo dan untuk memenuhi tuntutan regulator yang mewajibakan perusahaan BUMN
memiliki unit manajemen risiko, PT Askrindo mulai taun 2010 harus dan sudah mulai
menerapkan Enterprise Risk Management (ERM) dengan pendekatan kaidah-kaidah dan
prinsip penjaminan dan asuransi.
FRAMEWORK ERM
Enterprise Risk Management (ERM) merupakan suatu proses yang melibatkan perusahaan,
termasuk BOD, manajemen, dan seluruh karyawan Perusahaan dalam mengidentifikasi suatu
kejadian atau potensi kejadian yang menimbulkan suatu dampak (kerugian) , mengelolanya
secara komprehensif dalam besaran / ukuran yang dapat diterima oleh perusahaan, serta untuk
memastikan pencapaian tujuan perusahaan. Di berbagai usaha ekonomi di dunia dikenal
berbagai macam kerangka kerja penerapan ERM yang sesuai dengan sudut pandang
pengelolaan risiko dan sosial budaya suatu bangsa. Model kerangka kerja ERM yang
digunakan oleh berbagai industri sampai saat ini adalah BS, British Standarts – IRGC (BS6079-
3) (2000), International Risk Governance Council (IRGC) 2004, COSO (Committee of
Sponsoring Organizations), AS/NZ, Australia & New Zealand Standart (AS/NZS) 4360, ISO
(International Standarts Organization) 31000 (2009). Perbedaan kerangka kerja ERM dapat
dilihat pada tabel di bawah ini.
Pada kerangka kerja dari lima model diatas, ada persamaan pokok dari penerapan proses ERM
yaitu meliputi kegiatan identifikasi risiko, pengukuran risiko, pemetaan risiko dan mitigasi risiko.
Proses manajemen risiko yang pokok tersebut akan diaktualisasikan dan diimplikasikan oleh
perusahaan sesuai dengan tujuan, ukuran perusahaan dan regulasi yang ditetapkan oleh
pemerintah.
1. Adanya komitmen dari Board of Director (BOD), Board of Commisioner (BOC) dan senior
manajemen. Komitmen BOD merupakan faktor yang dominan untuk menentukan keberhasilan
penerapan ERM karena ERM tidak akan dapat diterapkan jika BOD tidak mendukung
sepenuhnya.
2. adanya kebijakan, sistem dan proses kontrol yang ditunjang dengan budaya risiko (risk
culture) (perduli terhadap risiko) yang kuat.
3. Adanya kejelasan dalam penentuan risk appetite & risk tolerance sesuai dengan kemampuan
perusahaan (clear limits on delegated authority)
4. Adanya komunikasi dan pembelajaran yang terus menerus
5. Adanya integrasi antara ERM ke dalam strategic planning, proses bisnis, penilaian
karya/kinerja dan kompetensi (rewards system dikaitkan dengan risk based performance).
6. Adanya organisasi manajemen risiko yang permanen
7. Adanya akuntabilitas dan responsibilitas yang jelas (including clear ownership of risk)
Integritas dan kualitas SDM sangat menentukan keberhasilan penerapan ERM sehingga perlu
dilakukan pendidikan dan pelatihan yang dapat meningkat Intelegencia Quotient (IQ), Emotional
Quotient (EQ) dan Spritual Quotient (SQ) melalui pelatihan yang bersifat agamis dan motivasi
etos kerja dan loyalitas karyawan terhadap perusahaan. Pelatihan sejenis tersebut harus
dilakukan secara rutin dan periodik agar SDM selalu diberikan awareness atas andil integritas
dan kapasitas SDM dalam mencapai tujuan perusahaan.
Dalam pembangunan ERM, ada 3 (tiga) elemen yang harus dibangun dan dipersiapkan agar
penerapan ERM dapat berjalan secara efektif seperti pada gambar di bawah ini yaitu:
2. Infrastruktur
Implementasi ERM memerlukan sarana dan prasarana dalam memfasilitasi penerapan ERM di
perusahaan. Infrastruktur yang diperlukan untuk menerapkan ERM adalah metodologi
penerapan ERM, Teknologi terutama sistem informasi yang digunakan untuk mengolah data
risiko, Prosedur ( SOP penerapan ERM dan Pedoman ERM) dan Sistem informasi yang dapat
memberikan pelaporan ERM secara kontinue kepada manajemen.
3. Proses
Penerapan ERM adalah suatu proses yang dilakukan secara terus menerus, terintegrasi dan
melibatkan seluruh karyawan dalam mengelola risiko sehingga dapat memperbesar peluang
pencapaian tujuan. Proses manajemen risiko yang pokok dilakukan dalam ERM adalah proses
identifikasi, pengukuran, pemetaaan dan mitigasi risiko. Proses manajemen risiko lain yang tak
kalah pentingnya adalah proses monitoring, komunikasi, pelaporan dan pengendalian
manajemen risiko. Untuk melaksanakan proses manajemen risiko tersebut diperlukan suatu
sistem dan sumber daya yang relatif cukup baik yang bersifat teknologi maupun manual.
Ketiga tahap kegiatan tersebut dapat dijabarkan lebih rinci dalam langkah-langkah penerapan
ERM sebagai berikut berikut:
Jika digambarkan dalam bentuk bagan, maka langkah-langkah Penerapan tersebut dapat
diilustrasikan sebagai berikut:
Setelah mempersiapkan elemen implementasi ERM seperti diatas maka langkah selajutnya
melakukan pengelolaan risiko secara terus menerus sesuai dengan kerangka kerja ERM yang
telah ditetapkan dengan berbasis sistem komputerisasi.
1. Pada proses penentuan risk appetite dan risk tolerance, dasar yang dapat digunakan adalah
Risk Based Capital (RBC) atau Gearing ratio. Besaran nilai klaim yang dapat diterima oleh
perusahaan juga dapat dijadikan dasar penetapan Risk Appetite dan Risk Tolerance. Dasar
penentuan Risk Appetite ini disesuaikan dengan kapasitas perusahaan dalam menanggung
risiko maksimal yang akan terjadi dan kemampuan manajemen dalam menangani risiko
tersebut serta tuntutan regulasi dan ketentuan yang berlaku. Pada perusahaan asuransi juga
diarahkan pada penggunan RBC sebagai dasar peneratap risk appetite, namun di Indonesia
penerapan ERM pada perusahaan asuransi masih berbasis pada perbankan.
2. Pada proses identifikasi dan pengukuran risiko, seluruh risiko yang di-assesment berasal dari
usaha penjaminan yang dilakukan oleh seluruh unit kerja operasional/produksi sehingga akan
terekam risiko yang memiliki klasifikasi risiko yang terkait dengan proses bisnis dalam
menjalankan usaha penjaminan. Hasil risk assesment ini akan memberikan suatu signal
mitigasi risiko yang juga berbasis pada kebijakan usaha penjaminan dan ketentuan & regulasi
yang mengaturnya.
i. Lingkungan Internal
Lingkungan internal yang kondusif, suportif, dan positif akan mempengaruhi secara langsung
budaya kerja perusahaan dalam melihat dan memitigasi suatu risiko, termasuk di dalamnya
filosofi manajemen risiko, toleransi risiko, nilai-nilai integritas dan etika serta lingkungan kerja.
Risiko inheren adalah risiko yang melekat pada setiap keputusan sebelum dilakukan perlakuan
risiko.
Risiko residual adalah risiko yang masih ada setelah dilaksanakan perlakuan risiko.
viii. Pemantauan
Pemantauan adalah efektivitas yang penting sehingga dapat diketahui modifikasi dan perbaikan
yang diperlukan pada sistem manajemen risiko korporat terintegrasi. Pemantauan dilaksanakan
melalui aktivitas manajemen yang berkelanjutan, evaluasi khusus, atau keduanya.
KLASIFIKASI RISIKO
Klasifikasi risiko yang menjadi sasaran pengelolaan risiko dalam penerapan ERM dapat
bervariasi tergantung pada hasil risk assesment yang inherent dalam perusahaan. Secara
umum dan teoritis seperti pada gambar di bawah ini, risiko diklasifikasikan menjadi dua
kelompok besar yaitu risiko finansial dan risiko non finansial.
Klasifikasi risiko yang menjadi sasaran pengelolaan risiko dalam penerarapan ERM PT
Askrindo memiliki karakteristik tersendiri karena sesuai dengan hasil risk assesment dan
karakteristik produk. Berdasarkan risk assesment yang dilakukan oleh unit manajemen risiko PT
Askrindo, secara umum ditemukan risiko yang berasal dari proses bisnis, aktivitas pendukung
usaha dan lingkungan eksternal terdiri dari:
a. Risiko Keuangan
Yaitu fluktuasi target keuangan atau ukuran moneter perusahaan karena gejolak berbagai
variabel makro. Risiko keuangan dapat berupa perubahan kebijakan, fluktuasi arus kas, risiko
pasar, risiko produk.
b. Risiko Operasional
Adalah potensi penyimpangan dari hasil yang diharapkan karena tidak berfungsinya suatu
sistem, SDM, teknologi, atau faktor lain. Risiko operasional bisa disebabkan oleh beberapa
faktor seperti: manusia (SDM), pencapaian kinerja, kepatuhan pada regulasi dan prosedur serta
kebijakan dalam industri penjaminan/asuransi.
c. Risiko Strategis
Adalah risiko yang dapat mempengaruhi eksposur korporat dan eksposur strategis sebagai
akibat keputusan strategis yang tidak sesuai dengan perubahan lingkungan eksternal dan
internal usaha. Risiko strategis bisa disebabkan oleh investasi perusahaan, perubahan teknoligi
dan informasi, turunnya reputasi perusahaan, dan tidak tercapainya sasaran strategis
perusahaan.
d. Risiko Eksternal
Adalah potensi penyimpangan hasil pada eksposur korporat dan strategis yang berdampak
pada potensi penutupan usaha akibat keadaan/tekanan eksternal. Yang termasuk risiko
eksternal antara lain: hukum dan perubahan kebijakan Pemerintah.
Dimana,
P (x) = kemungkinan terjadinya peristiwa x
μ = rata-rata kejadian dalam periode tertentu
е = 2,718
x! = faktorial dari x
Dimana:
x = Jumlah kejadian
n = banyaknya sampel data
N = banyaknya populasi data
p = peluang sukses dalam suatu usaha
1-p = peluang terjadinya suatu kegagalan dalam suatu usaha
O+4M+P
Probabilitas =
6
Dimana,
O = Nilai optimis, nilai tertinggi yang diperoleh.
M = Nilai moderat atau nilai tengah.
P = Nilai pesimis atau nilai terendah.
INDIKASI FREKUENSI
KRITERIA KETERANGAN
5
Hampir pasti terjadi setiap waktu
Hampir Pasti
4
Menurut pengalaman kejadian ini muncul beberapa kali
Mungkin Sekali
3
Menurut pengalaman baru terjadi satu kali
Mungkin
2
Kecil Pernah mendengar ada kejadian semacam itu
Kemungkinan
1
Belum pernah mendengar kejadian ini
Sangat Jarang
b. Dampak Risiko
Dampak risiko adalah suatu pertimbangan penilaian kuantitatif terhadap besarnya kerugian
(severity) yang akan diderita perusahaan atas suatu peristiwa risiko.
Kriteria dampak risiko adalah total kerugian yang diderita secara agregat atau total masing-
masing peristiwa risiko (hilangya peluang/opportunity loss) dari suatu kategori risiko yang
sama.
Besarnya toleransi risiko dapat dihitung atas dasar:
• Skala kapital (risk based capital)
• Skala perputaran usaha (gearing ratio)
• Skala kebutuhan solvabilitas minimum (BTSM)
• Skala pendapatan (premi penjaminan)
• Skala biaya operasional (underwriting)
Dimana masing-masing pendekatan ini merupakan pilihan, akan tetapi skalanya tetap dibuat
konsisten antara 1 sampai dengan 5
Dampak risiko juga dapat dinyatakan dalam hitungan rentang keuangan atau non keuangan.
Dampak risiko keuangan, artinya dampak suatu risiko dapat diukur dalam satuan mata uang
tertentu, misalnya rupiah atau dollar.
Dampak risiko non keuangan, artinya dampak risiko tersebut tidak dapat diukur dari sisi
keuangan saja, misalnya: dampak terhadap Strategi, Operasional, Kebijakan dan Pemasaran
serta Eksternal.
Selanjutnya dampak risiko keuangan dapat dipilah menjadi dua, yaitu dampak keuangan
langsung dan dampak keuangan tidak langsung.
Dampak keuangan langsung, adalah ukuran suatu dampak risiko dilihat dari sudut pandang jika
risiko tersebut benar-benar terjadi maka dampaknya akan menyebabkan kerugian langsung
bagi perusahaan sebesar sekian Rp/$. Hitungannya diukur dari sisi biaya langsung yang harus
dikeluarkan oleh perusahaan.
Dampak keuangan tidak langsung, adalah ukuran suatu dampak risiko dilihat dari sudut
pandang jika risiko tersebut benar-benar terjadi maka dampaknya akan menyebabkan kerugian
tidak langsung bagi perusahaan sebesar sekian Rp/$ karena ada kegiatan yang hilang/tidak
bisa dilaksanakan atau hilangnya waktu/kesempatan. Hitungannya diukur dari sisi biaya yang
harus dikeluarkan perusahaan terkait dengan peristiwa risiko tersebut.
a. Sebab Risiko
Sebab risiko adalah faktor yang menimbulkan terjadinya suatu peristiwa risiko, biasanya dapat
dicari dengan menggunakan pendekatan 6 M
• Man (manusia)
• Machine (mesin)
• Method (metoda kerja)
• Money (uang)
• Material (sumber daya perusahan lain yang mendukung pekerjaan)
• Market (pasar)
• Eksternal
Sebab risiko sebenarnya secara logika dapat dicari dengan menggunakan metoda diagram
tulang ikan (fish bone method)
b. Akibat Risiko
Adalah dampak yang disebabkan oleh terjadinya suatu peristiwa risiko, misalnya akibat
ketidakpatuhan manusia terhadap ketentuan yang berlaku maka akibat risikonya adalah
terjadinya penyimpangan kerja yang bisa berkahir pada suatu dampak terhadap regulasi/hukum
yang berlaku.
• Strategik
o Penempatan Investasi
o Hasil Pengembangan Investasi
o Informasi dan Teknologi
o Reputasi
o Pencapaian Sasaran Strategi Perusahaan
• Operasional
o Kehilangan Tenaga Ahli
o Motivasi Karyawan
o Pencapaian Kinerja (RKAP)
o Kepatuhan terhadap Regulasi Umum
o Kepatuhan terhadap Regulasi Khusus
o Penyampaian Laporan STOA
• Kebijakan dan Pemasaran
o Kebijakan Internal
o Kebijakan Limit Penutupan
o Pengembangan Produk dan Wilayah Baru
o Pengembangan Produk Yang Merugikan
• Eksternal
o Hukum dan Finansial
o Hukum non Finansial
o Perubahan Kebijakan Pemerintah
Pengendalian risiko dilakukan bersama-sama antar unit kerja dengan Unit Manajemen Risiko.
Proses pengendalian risiko dilakukan dengan memperhatikan beberapa aspek penting, seperti:
a. Kebenaran Input data risiko, yang dilengkapi dengan akurasi catatan dan data pendukung
setiap peristiwa risiko.
b. Akurasi pemilihan metoda pengukuran risiko
i. Probabilitas risiko: sesuai dengan pendekatan yang digunakan (poisson, binomial,
aproksimasi dan pembanding).
ii. Dampak risiko: sesuai ketepatan perhitungan dampak keuangan atau pendekatan non
keuangan
c. Kecepatan mengambil keputusan untuk menyetujui (approve) suatu peristiwa risiko.
d. Ketepatan memilih mitigasi risiko untuk mengurangi tingkat probabilitas dan dampak risiko
sampai menjadi risiko yang inherent.
Pengawasan risiko tahap awal dilakukan dengan melibatkan Risk Owner dari setiap unit kerja
baik operasional maupun non operasional. Setelah Risk Owner mengisi suatu peristiwa risiko,
maka harus disetujui (approve) oleh para atasannya masing-masing. Tujuan dari kegiatan ini
adalah untuk memastikan kebenaran data dan informasi risiko dan langkah-langkah mitigasi
yang tepat untuk mengatasi peristiwa risiko tersebut.
Unit Manajemen Risiko melakukan kaji ulang terhadap keakurasian data dan ketepatan
pemilihan metoda pengukuran serta keterkaitan dengan peristiwa risiko lainnya.
PELAPORAN RISIKO
Pelaporan risiko dilakukan dengan berbagai cara untuk memudahkan semua unit kerja yang
terkait dalam penerapan ERMi. Ada 4 (empat) jenis laporan manajemen risiko antara lain:
1) Laporan setiap waktu, melalui sistem informasi manajemen risiko korporat terintegrasi
dengan pendekatan teknologi informasi (software manajemen risiko), yang sudah dicanangkan
bersama.
2) Laporan bulanan, yang disajikan oleh Unit Manajemen Risiko berupa risk register , saran
mitigasi, peta risiko dan mutasi risiko dari seluruh peristiwa risiko.
3) Laporan triwulanan/kuartal, yang disajikan oleh Unit Manajemen Risiko. Berupa risk register,
peta risiko dan mitigasi risiko serta analisa risiko inherent.
Secara umum, perlakuan terhadap suatu risiko dapat berupa salah satu dari 4 jenis
pengelolaan risiko berikut:
a. Menghindari risiko, yang berarti tidak melaksanakan atau meneruskan kegiatan yang
menimbulkan risiko
b. Berbagi risiko, yaitu suatu tindakan untuk mengurangi kemungkinan timbulnya risiko atau
dampak risiko. Kegiatan yang dapat dilakukanantara lain melalui: asuransi, outsourcing,
subcontracting, lindung nilai transaksi.
c. Pengurangan risiko, yaitu melakukan tindakan/kegiatan untuk mengurangi kemungkinan
timbulnya risiko bila terjadi dalam bentuk probabilitas dan/ dampak risiko.
d. Menerima risiko, yaitu tidak melakukan apapun untuk menghindar, berbagi atau mengurangi
risiko tersebut.
PEMANTAUAN RISIKO
Proses pemantauan risiko dilakukan melalui berbagai tahap kegiatan, seperti tergambar dalam
bagan proses review internal dan eksternal dibawah ini. Adapun proses pemantauan risiko
dilakukan melalui tahap:
a. Penetapan strategi manajemen risiko, dalam setiap langkah strategi yang dipilih oleh
perusahaan tentu mengandung suatu risiko. Oleh sebab itu setiap pemilihan dan
pengembangan alternatif strategi diperlukan kajian yang menyangkut risiko terhadap keputusan
perusahaan.
b. Toleransi risiko, didalam proses pembuatan manual risiko maka diperlukan suatu kajian
berupa batasan tentang risiko, sebab, akibat dan dampak risiko. Toleransi risiko perlu
dipertimbangkan setiap 2 (dua) tahun sekali atau jika ada keadaan yang mendesak sehingga
memerlukan perbaikan.
d. Eksekusi operasional, dalam pelaksanaan setiap langkah strategi yang dilakukan oleh
perusahaan diperlukan input mengenai langkah-langkah pengamanan operasional dari setiap
risiko yang mungkin terjadi. Input informasi mengenai risiko tersebut dilakukan oleh Risk Owner,
yang selanjutnya akan dikaji oleh masing-masing unit kerja dan dipandu oleh Unit Manajemen
Risiko. Langkah pengamanan operasional ini dapat berupa pengurangan, penurunan atau
penghindaran terhadap suatu risiko atau biasa dinamakan tindakan mitigasi.
f. Preferensi Risiko, merupakan langkah bagian akhir dari pelaksanaan kegiatan manajemen
risiko. Dari beberapa bagian kegiatan dan langkah-langkah yang telah dijelaskan diatas, maka
akan timbul preferensi risiko yang berlaku di lingkungan perusahaan. Preferensi risiko ini
tentunya dari waktu ke waktu akan terus mengalami perubahan dan pengembangan, agar
mampu menjembatani antara kebutuhan internal dan perubahan serta kemauan eksternal
terhadap keberadaan perusahaan pada saat ini dan masa mendatang.
Pengolahan data risiko dan pembuatan laporan risiko secara periodik kepada BOD memerlukan
sistem informasi berbasis komputer. Dalam pembangunan sistem informasi manajemen risiko
dalam bentuk program aplikasi berbasis Web dilakukan beberapa langkah awal yaitu;
Langkah pertama yang dilakukan adalah mempelajari keinginan perusahaan tentang tujuan
dibuatnya software tersebut. Didalam langkah ini termasuk diantaranya adalah apa saja data
yang bisa diolah, bagaimana proses penginputan data, siapa saja yang sebaiknya dilibatkan
dalam proses penginputan data.
Langkah kedua, membuat kerangka dasar program. Kegiatan yang dilakukan adalah
membangun sendi dasar (pondasi) program,yang terdiri dari dimensi pengukuran dan
pengelompokkan data. Kemudian membuat penyangga program untuk memproses data, yang
terdiri dari: jenis data, format data, sistem approval dan jenis laporan. Berikutnya adalah
membangun atap dari rancang bangun program dalam bentuk output, berupa sistem pelaporan
manajemen risiko. Jika proses ini digambarkan maka dapat diilustrasikan seperti pada gambar
di bawah ini.
Langkah ketiga, adalah melakukan uji coba dan sosialisasi program. Langkah uji coba
dilakukan untuk mengurangi berbagai kemungkinan kesalahan dan kekurang-tepatan program
manajemen risiko. Sosialisasi program dilakukan agar setiap Risk Champion/Risk Contact
Person memahami bagaimana prosedur membuka program, menginput data/informasi peristiwa
risiko, melampirkan data/informasi yang diperlukan, mengolah peristiwa risiko hingga menjadi
laporan dan memanfaatkan program untuk keperluan evaluasi/monitoring.
Salah satu kunci keberhasilan penerapan ERM adalah ada organisasi manajemen risiko yang
memanage pengelolaan risiko secara terintegrasi yang melibatkan seluruh komponen
perusahaan mulai dari BOD dan seluruh karyawan. Organisasi unit manajemen risiko secara
best practice biasanya setingkat dengan divisi, namun apabila ukuran perusahaan sangat besar
dan kompleks maka unit manajemen risiko dapat setingkat Direktorat.
Unit manajemen risiko setingkat Divisi agar lebih efektif dan independen selayaknya berada
langsung di bawah Direktur Utama. Hal ini perlu unit manajemen risiko diposisikan demikian
untuk menghindari intervensi dari direktur lainnya dan bisa melakukan koordinasi dengan
mudah secara lintas direktorat.
Peranan dan tanggung jawab organisasi ERM secara umum dapat dilihat pada bagan di bawah
ini.
Dalam organisasi ERM, ada organ organisasi yang penting yaitu dkenal sebagai Risk Contact
Person atau Risk Owner atau Risk Champion. Pengertian Risk Owner adalah seluruh wakil dari
unit kerja yang telah ditunjuk yang ada di seluruh unit kerja yang terlibat secara langsung
dengan risiko dan bertindak sebagai pemilik risiko yang sesungguhnya (real Risk Owner) dari
setiap transaksi ataupun kegiatan yang dilakukannya. Risk Owner bertindak independen
terhadap Unit Manajemen Risiko.
Gambar 14. Hubungan Antara Kebijakan Strategis, pedoman, Prosedur Operasi dan Arsitektur
Sistem Informasi Manajemen Risiko
Berdasarkan ISO31000: 2009 Risk Management - Principles and Guidelines, praktik terbaik manajemen
risiko melibatkan seluruh bagian dari organisasi. Keterlibatan organisasi secara keseluruhan pada
kegiatan manajemen risiko menuntut adanya pembagian peran dan tanggung jawab yang jelas, dengan
turut mempertimbangkan kompetensi dan peran lain dari tiap unit tersebut. Hal ini diperlukan agar tidak
terjadi tumpang tindih, missing link, atau inefisiensi pada kegiatan manajemen risiko.
Dua fungsi esensial yang memiliki keterkaitan erat pada kegiatan manajemen risiko adalah fungsi
manajemen risiko dan internal audit. Kedua fungsi ini memiliki peran dalam menjamin efektivitas
penerapan manajemen risiko organisasi. Perbedaan fundamental dari kedua fungsi tersebut terletak
pada delegasi tanggung jawab. Fungsi manajemen risiko bertugas untuk mengarahkan praktik enterprise
risk management pada organisasi, terutama untuk menghadapi risiko-risiko utama yang dapat
mengganggu pencapaian sasaran organisasi. Di sisi lain, fungsi internal audit bertugas untuk memonitor,
memantau, dan menilai efektivitas pengendalian internal dan manajemen risiko.
Gambar 1 Perubahan Sasaran dan Aktivitas Kunci dari Fungsi Manajemen Risiko
Sumber: The Risk Perspective, Executive Summary (2012).
Gambar 1 mendeskripsikan perkembangan fungsi manajemen risiko yang dijelaskan oleh Risk and
Insurance Management Society (RIMS). Fungsi manajemen risiko bertanggung jawab untuk membentuk
kerangka kerja dan proses manajemen risiko dalam menghadapi risiko-risiko signifikan yang dapat
mempengaruhi pencapaian tujuan organisasi. Integrated risk management menerapkan kegiatan
pencegahan dan pengurangan dampak negatif dari risiko. Seiring berjalannya waktu, manajemen risiko
yang tadinya berperan untuk melindungi kegagalan organisasi, berubah menjadi komponen competitive
advantage bagi organisasi. Selain menciptakan kerangka kerja dan proses manajemen risiko dalam
menghadapi risiko, fungsi manajemen risiko juga meningkatkan kapabilitas organisasi dalam mengejar
peluang. Fungsi ini juga meningkatkan kemampuan pengambilan keputusan strategis organisasi melalui
penyediaan informasi yang relevan dan komprehensif. Dalam menciptakan manajemen risiko yang efektif
bagi organisasi, fungsi manajemen risiko berkolaborasi dengan fungsi internal audit.
Berikut adalah gambaran mengenai hal-hal yang menjadi, peran dan tanggung jawab auditor internal
terkait dengan manajemen risiko, yang dapat menjadi bagian dari tanggung jawab auditor internal, serta
yang seharusnya tidak menjadi tanggung jawabnya.
Hal yang perlu disoroti dari Gambar 2 adalah “tanggung jawab kegiatan manajemen risiko yang tidak
boleh didelegasikan kepada internal audit”. Untuk menjaga efektivitas kegiatan audit internal, tanggung
jawab yang diberikan terhadap auditor internal terkait kegiatan manajemen risiko harus didesain agar
tidak mengganggu independensinya. Hal ini dikarenakan internal audit memiliki peran penting dalam
melakukan pengawasan, pemantauan, dan penilaian terhadap efektivitas pengendalian internal dan
kegiatan manajemen risiko organisasi. Pemberian tanggung jawab kepada auditor internal untuk
menentukan risk appetite, membentuk risk management process, dan sebagainya dapat
menimbulkan clash of interest yang berpotensi untuk mengganggu penilaian mereka pada efektivitas
manajemen risiko.
Berikut adalah contoh yang menggambarkan kolaborasi fungsi manajemen risiko dan internal audit pada
beberapa perusahaan internasional:
1. Cisco Systems
Cisco Systems adalah sebuah perusahaan penyedia jasa dan peralatan networking, dimana struktur
utamanya dibentuk berdasarkan fungsi bisnis. Cisco membentuk Risk and Resilience Operating
Committee (RROC) sebagai kolaborasi antara 55 orang staf internal audit dengan 4 staf manajemen
risiko. Menurut Roush, ketua RROC, kolaborasi tersebut telah berhasil membangun kapabilitas yang
lebih tinggi pada kedua unit tersebut. Selain mengadakan koordinasi lintas fungsi, RROC juga melihat
inherent risks dari sudut pandang yang lebih luas. Beberapa tanggung jawab RROC adalah untuk
mengelola risiko yang berkaitan dengan ketahanan perusahaan, misalnya risiko dengan probabilitas
rendah namun memilikiimpact yang dapat menghentikan keberlangsungan perusahaan. Selain
pembentukan RROC, fungsi manajemen risiko dan internal audit juga berkolaborasi dalam
mengidentifikasi emerging risk dan menginisiasi perbaikan terhadap manajemen risiko perusahaan
berdasarkan laporan Enterprise Risk Assessment (ERA).
2. Hospital Corporation of America
Hospital Corporation of America (HCA) adalah perusahaan operator rumah sakit dan sistem kesehatan
pada beberapa negara bagian Amerika. Pada awalnya, tanggung jawab terhadap manajemen risiko HCA
didelegasikan kepada sebuah divisi yang bernama “divisi internal audit dan manajemen risiko”. Joe
Steakley, wakil presiden senior divisi internal audit dan manajemen risiko, menyadari bahwa tidak seluruh
risiko dapat diidentifikasi dari sudut pandang internal audit. Dia menyadari bahwa manajemen risiko
harus mengikutsertakan peran CEO, Board members, dan risk owner. Steakley bersama direkturnya,
David Hughes, membangun program untuk pembentukan ERM pada HCA. David Hughes ditunjuk
sebagai asisten wakil presiden ERM dan business continuity plan, bertanggung jawab untuk memberikan
laporan kepada Steakley, yang nantinya akan melapor kepada Komite Audit, dan lalu diberikan kepada
CEO. Hirarki ini memungkinkan Hughes, yang hanya memiliki tiga orang staf, untuk memanfaatkan 140
staf internal audit di bawah Steakley, dan akses terhadap partisipan lain dalam governance untuk tujuan
ERM. HCA telah memperoleh status sebagai perusahaan dengan manajemen risiko yang matang.
3. Whirlpool Corporation
Whirlpool Corporation merupakan perusahaan manufaktur peralatan rumah tangga. Whirlpool tidak
memiliki struktur yang menyatakan bahwa CEO manajemen risiko perlu memberikan laporan terhadap
internal audit, dan sebaliknya. Kedua fungsi tersebut memberikan laporan kepada Komite Audit. Namun
kedua CEO dari fungsi manajemen risiko dan internal audit melakukan pertemuan profesional secara
kontinu untuk melakukan information sharing dan review kegiatan manajemen risiko perusahaan.
Pertemuan ini memperdalam pemahaman dan pengetahuan mereka terhadap risiko dan pengelolaan
risiko yang ada pada perusahaan.
Merujuk pada praktik sukses yang digambarkan perusahaan-perusahaan di atas, kolaborasi antara fungsi
manajemen risiko dan internal audit merupakan sebuah inisiasi yang dapat mendatangkan manfaat pada
berbagai jenis perusahaan. Menurut RIMS dan IIA, manfaat-manfaat yang dapat diperoleh dari kolaborasi
tersebut berupa:
1. Memastikan bahwa risiko-risiko kritikal telah diidentifikasi secara efektif;
2. Penggunaan sumber daya langka dengan efisien;
3. Komunikasi yang dalam dan konsisten, terutama pada level Board dan manajemen;
4. Pengertian yang lebih dalam dan penanganan yang terfokus pada risiko yang paling signifikan terhadap
pencapaian tujuan organisasi.
Komunikasi secara terbuka dan konsisten merupakan metode utama yang dapat diterapkan dalam
kolaborasi kedua fungsi ini. Komunikasi dapat membangun pendalaman pandangan terhadap risiko-risiko
yang melekat pada organisasi dan meningkatkan kapabilatas tiap divisi untuk mengelola risiko-risiko
tersebut. Namun kolaborasi tersebut harus memiliki batasan yang jelas mengenai tanggung jawab dan
peran setiap fungsinya. Kolaborasi yang dilakukan juga harus disesuaikan dengan karakteristik dan
tujuan perusahaan.
Daftar Pustaka
(1) The Role of Internal Auditing in Enterprise-Wide Risk Management. (2009).
Diunduh dari:
https://na.theiia.org/standards-
guidance/Public%20Documents/PP%20The%20Role%20of%20Internal%20Auditing%20in%20Enterprise
%20Risk%20Management.pdf
(2) The Risk Perspective. Executive Summary. (2012). Risk Management and Internal Audit: Forging a
Collaborative Alliance.
Diunduh dari:
https://na.theiia.org/standards-
guidance/Public%20Documents/RIMS%20and%20The%20IIA%20Executive%20Report%20Forging%20
a%20Collaborative%20Alliance.pdf
Events can have negative impact, positive impact, or both. Events with a negative
impact represent risks, which can prevent value creation or erode existing value.
Events with positive impact may offset negative impacts or represent opportunities.
Opportunities are the possibility that an event will occur and positively affect the
achievement of objectives, supporting value creation or preservation. Management
channels opportunities back to its strategy or objective-setting processes, formulating
plans to seize the opportunities.
Enterprise risk management deals with risks and opportunities affecting value
creation or preservation, defined as follows:
Manajemen Risiko Perusahaan adalah suatu proses, yang dijalankan oleh dewan
komisaris/pengawas, manajemen (dewan direksi) dan personel yang lain, yang
diterapkan dalam penetapan strategi dan diterapkan n di seluruh perusahaan, yang
dirancang untuk mengidentifikasi potensi kejadian-kejadian yang bisa mempengaruhi
perusahaan dan mengelola risiko-risiko itu di dalam selera risiko perusahaan, untuk
menjamin secara rasional pencapaian tujuan-tujuan perusahaan.
Komponen digambarkan sebagai sebuah kubus, yang mempunyai tiga permukaan yang
tampak. Ketiga permukaan itu adalah :
Permukaan dari sisi kanan adalah komponen entitas perusahaan yaitu :
Strategic (Strategis).
Operation (Operasi).
Reporting (Pelaporan).
Compliance (Kepatuhan).
Permukaan dari sisi depan adalah komponen proses Manajemen risiko perusahaan
yaitu :
Mengkomunikasikan dan melatih.
Rencana komunikasi dan pelaporan.
Strategi training.
Jaringan manajemen risiko.
Do – melaksanakan solusi, membuat rencana kerja secara terinci dan menarapkannya
secara sistematis.
Komitmen dan Mandat dari atasan kepada bawahannya, mulai dari pemegang
saham, Komisaris, Direksi, sampai dengan karyawan level terendah dalam masalah
manajemen risiko.
Pernyataan kebijakan manajemen risiko.
Rencana manajemen risiko.
Rencana Asuransi.
Standar-standar manajemen risiko.
Prosedur dan petunjuk-petunjuk kerja.
Secara lebih detail klausul 4 dengan PDCA nya digambarkan dengan gambar berikut ini :
Proses Manajemen Risiko ISO 31000:2009 digambarkan kembali secara lebih detail
sebagaimana gambar di bawah ini.
Proses pertama adalah Establishing The Context (Menetapkan Konteks). Dalam
proses manajemen risiko langkah awal yang sangat penting adalah Establishing The
Context . Menetapkan konteks ini meliputi penetapan tujuan, strategi, ruang lingkup
dan parameter-parameter lain yang berhubungan dengan proses pengelolaan risiko
suatu organisasi. Penetapan konteks ini menunjukkan hubungan antara masalah atau
hal yang akan dikelola risikonya dengan lingkungan organisasi (eksternal & internal),
proses manajemen risiko dan ukuran atau kriteria risiko yang dijadikan standar. Dalam
penetapan konteks ini ditetapkan pula sumber daya, struktur organisasi (tanggung
jawab dan wewenang) yang diperlukan dalam pengeloaan risiko. Dalam dokumen
rencana risk manajemen (Risk Management Plan), penetapan konteks ini dapat
dijadikan bab Latar Belakang Masalah, bab struktur organisasi pengeloaan risiko dan
bab Kriteria Risiko.
Kriteria risiko atau Risk Criteria adalah ukuran standar seberapa besar dampak atau
konsekwensi yang mungkin akan terjadi dan seberapa besar kemungkinan atau
frekeunsi atau likelihood risiko akan terjadi. Gambar di bawah semoga dapat dijadikan
contoh kriteria risiko itu.
Dalam tulisan yang lain insya Alloh akan kami uraiakan kriteria risiko ini.
Proses kedua adalah Risk Identification atau identifikasi risiko, yaitu melakukan
identifikasi risiko-risiko yang dapat terjadi di masa yang akan datang (yaitu : risiko apa,
kapan, di mana, bagaimana, mengapa suatu risiko bisa terjadi). Identifikasi ini
termasuk pengidentifikasian poses-proses/tugas-tugas/aktifitas-aktifitas kritikal atau
kunci, pengenalan area-area risiko dan katagorinya.
Proses ketiga adalah Risk Analysis atau analisis risiko-risiko, yaitu proses
menentukan berapa besar dampak (impact atau consequences) dan kemungkinan
(frequency atau likelihood) risiko-risiko yang akan terjadi, serta menghitung berapa
besar level risikonya dengan mengalikan antara besar dampak dan besar kemungkinan
(Risk = Consequences x Likelihood).
membagi risiko,
mengurangi likeliihood dan/atau mengurangi konsekwensi,
menghindari risiko atau membatalkan aktifitas yg berisiko tinggi,
menerima risiko.
Proses keenam adalah Monitor & Review (Pemantauan & Pengkajian Ulang).
Pemantauan & Pengkajian Ulang dilaksanakan terhadap seluruh proses manajemen
risiko termasuk konteksnya (lingkungan, proses, organisasi, strategi, stakeholder dsb.).
Catatan-catatan hasil Pemantauan & Pengkajian Ulang disimpan sebagai bukti dan
laporna bahwa aktifitas itu telah dilaksanakan dan sebagai masukan bagi Risk
Management Framework yang telah disiapkan sebelumnya.
Sebagai respons atas kasus-kasus tersebut, kongres Amerika Serikat (AS) pada tanggal 23 Januari 2002
mengesahkan sebuah undang-undang perlindungan bagi para investor yang secara singkat disebut “Sarbanes-Oxley
Act of 2002” (SOA). Undang-undang ini merupakan reformasi pengaturan corporate governanceterbesar
setelah Securities Act of 1933 dan Securities Exhange Act of 1934. SOA menjadi sangat penting karena sifatnya
yang mengikat sebagai hukum positif. Dengan adanya kewajiban tersebut, perhatian berbagai kalangan terhadap
pengendalian intern, manajemen risiko, dan good governance, sesuai pengaturan Seksi 404 dari undang-undang
tersebut, semakin meningkat (DeLoach, 2003). Meningkatnya perhatian terhadap pengendalian intern, manajemen
risiko, dan good governance tersebut direspons oleh The Committee of Sponsoring Organizations of the Treadway
Commission (COSO) dengan menerbitkan Enterprise Risk Management (“ERM”) – Integrated Framework pada bulan
September 2004. Menyusul kemudian pada November 2009, International Organization for Standardization
(ISO) juga mengeluarkan ISO 31000: Risk Management – Principles and Guidelines on Implementation.
Terminologi
Dalam berbagai artikel, ERM kadangkala muncul dalam istilah lain seperti “strategic risk management”, “integrated
risk management”, atau “holistic risk management”. Semua istilah tersebut mengacu pada konsep yang sama yaitu
bahwa semuanya memandang risiko dan manajemen risiko secara komprehensif, bukan lagi dengan pendekatan
“silo” dimana risiko dikelola secara terpisah dan berbeda-beda di dalam organisasi. Lebih jauh lagi, adanya
kesamaan pandangan dalam berbagai istilah tersebut bahwa manajemen risiko bukan hanya merupakan proses
mitigasi risiko, namun juga penciptaan nilai (value-creating) (CAS, 2003). Selain istilah-istilah tersebut, D’Arcy dan
Brogan (2001) menyatakan bahwa ERM merupakan istilah mutakhir dari istilah-istilah tersebut, termasuk istilah
setara lainnya yaitu “corporate risk management” dan “business risk management”.
Sebagai sebuah terminologi yang relatif baru, belum terdapat sebuah definisi yang berlaku umum dan diakui oleh
semua kalangan, baik praktisi maupun akademisi. Kalangan akademisi seperti Meulbroek (2002), dengan
menggunakan istilah integrated risk management, mendefinisikannya sebagai identifikasi dan penilaian risiko-risiko
yang mungkin mempengaruhi nilai perusahaan secara kolektif, dan mengimplementasikan strategi pada tingkat
keseluruhan perusahaan untuk mengelola risiko-risiko tersebut. Sedangkan Vedpuriswar et.al. (2001)
mendefinisikannya sebagai suatu proses perencanaan, pengorganisasian, dan pengendalian kegiatan-kegiatan
organisasi dalam rangka meminimalkan pengaruh risiko terhadap perusahaan baik dalam jangka pendek maupun
dalam jangka panjang. Sementara itu, media massa yang melakukan riset terhadap praktik manajemen risiko seperti
majalah CFO (2002) mendefinisikan strategic risk management sebagai suatu metode manajemen risiko yang
menggunakan pendekatan pada tingkat keseluruhan perusahaan untuk mengawasi dan mengelola risiko dalam
rangka mendukung tujuan stratejiknya.
Sementara itu di kalangan praktisi aktuaria, sebagaimana didefinisikan oleh Casualty Actuarial Society (2003), ERM
adalah sebuah proses atau disiplin dengannya organisasi-organisasi di semua industri menaksir, mengendalikan,
mengeksploitasi, membiayai, dan mengawasi risiko dari semua sumbernya dengan tujuan untuk meningkatkan nilai
perusahaan baik dalam jangka pendek maupun jangka panjang. Sedangkan praktisi perbankan, sekuritas dan
asuransi, sebagaimana terlihat pada laporan survey yang dilakukan oleh joint forumantara Basel Committee on
Banking Supervision, International Organisation of Securities Commissions, danInternational Association of
Insurance Supervisors yang dikoordinasikan oleh Bank for International Settlements(2003), mendefinisikan integrated
risk management sebagai suatu sistem yang memastikan keberadaan dan berjalannya kebijakan dan prosedur yang
dirancang untuk meningkatkan perhatian dan tanggung jawab pemilikan risiko di seluruh perusahaan, serta untuk
mengembangkan perangkat-perangkat yang diperlukan untuk menangani risiko-risiko tersebut. Sedikit berbeda
dengan definisi tersebut, organisasi-organisasi praktisi akuntan dan auditor keuangan yang berpengaruh dan
tergabung dalam The Committee of Sponsoring Organizations of the Treadway Commission (COSO)(2004),
menyatakan bahwa ERM berhubungan dengan risiko dan peluang yang berpotensi mempengaruhi nilai, dan
mendefinisikannya sebagai berikut suatu proses yang dipengaruhi oleh dewan direktur, manajemen, dan pihak lain,
yang diaplikasikan dalam penentuan strategi perusahaan, yang dirancang untuk mengidentifikasi risiko-risiko yang
mungkin mempengaruhi perusahaan, dan mengelola risiko-risiko tersebut tetap berada pada selera risiko
perusahaan, serta memberikan pemastian yang memadai bahwa tujuan perusahaan dapat dicapai. Definisi paling
mutakhir diberikan oleh ISO, di mana manajemen risiko didefinisikan sebagai upaya terkoordinasi untuk
mengarahkan dan mengendalikan kegiatan-kegiatan organisasi terkait dengan risiko (ISO Guide 73).
Dari berbagai definisi tersebut, walaupun dari sisi redaksional berbeda, namun dapat diambil beberapa hal yang
relatif sama yang membedakannya dengan manajemen risiko tradisional, yaitu bahwa:
1. Proses dan sistem dari ERM bersifat komprehensif, integratif, dan lintas divisional. Pada manajemen
risiko tradisional, risiko dikelola secara parsial (silo-based).
2. Tujuan dari ERM bersifat strategis yaitu pencapaian tujuan perusahaan yang lebih baik dan pada akhirnya
menciptakan, menambah, dan atau melindungi nilai perusahaan. Pada manajemen risiko tradisional, tujuan
terbatas pada mitigasi risiko terbatas pada kegiatan atau unit bisnis tertentu.
Kerangka
Ada beberapa kerangka (framework) yang dikembangkan oleh beberapa pihak seperti oleh COSO (2004), CAS
(2003), atau oleh Miccolis dan Shah (2000), dan terakhir yang dikeluarkan oleh ISO (2009). Kerangka yang
dikembangkan oleh COSO telah menjadi leader sejak tahun 2004 hingga saat ini. Hal ini dapat dimaklumi karena
kerangka dari COSO di-endorse oleh profesi-profesi terkait dengan akuntansi dan keuangan serta pasar modal yang
berpengaruh secara global. Namun kerangka ISO juga tampaknya akan segera menjadi alternatif kerangka yang
dapat dipakai dalam manajemen risiko, mengingat ISO memiliki reputasi dan pengaruh yang besar dalam
harmonisasi standar di seluruh dunia. Berikut ini uraian ringkas kedua kerangka tersebut.
Model COSO
ERM versi COSO terdiri dari 8 komponen yang saling terkait. Kedelapan komponen ini diturunkan dari bagaimana
manajemen menjalankan perusahaan dan diintegrasikan dengan proses manajemen. Kedelapan komponen ini
diperlukan untuk mencapai tujuan-tujuan perusahaan, baik tujuan strategis, operasional, pelaporan keuangan,
maupun kepatuhan terhadap ketentuan perundang-undangan. Komponen-komponen tersebut adalah:
1. Lingkungan Internal (Internal Environment) – Lingkungan internal sangat menentukan warna dari sebuah
organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut.
Di dalam lingkungan internal ini termasuk, filosofi manajemen risiko dan risk appetite, nilai-nilai etika dan
integritas, dan lingkungan di mana kesemuanya tersebut berjalan.
2. Penentuan Tujuan (Objective Setting) – Tujuan perusahaan harus ada terlebih dahulu sebelum manajemen
dapat menidentifikasi kejadian-kejadian yang berpotensi mempengaruhi pencapaian tujuan tersebut. ERM
memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan ddan bahwa tujuan yang
dipilih atau ditetapkan tersebut terkait dan mendukung misi perusahaan dan konsisten dengan risk appetite-
nya.
3. Identifikasi Kejadian (Event Identification) – Kejadian internal dan eksternal yang mempengaruhi
pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang. Peluang
dikembalikan (channeled back) kepada proses penetapan strategi atau tujuan manajemen.
4. Penilaian Risiko (Risk Assessment) – Risiko dianalisis dengan memperhitungkan kemungkinan terjadi
(likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut
dikelola.
5. Respons Risiko (Risk Response) – Manajemen memilih respons risiko –menghindar (avoiding), menerima
(accepting), mengurangi (reducing), atau mengalihkan (sharing risk) – dan mengembangkan satu set
kegiatan agar risiko tersebut sesuai dengan toleransi (risk tolerance) dan risk appetite.
6. Kegiatan Pengendalian (Control Activities) – Kebijakan dan prosedur yang ditetapkan dan
diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif.
7. Informasi dan komunikasi (Information and Communication) – Informasi yang relevan diidentifikasi,
ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan
tanggung jawabnya.
8. Pengawasan (Monitoring) – Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu.
Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui
eveluasi secara khusus, atau dengan keduanya.
Penerapan komponen dalam berbagai tujuan tersebut dapat dilakukan pada entity-level, divisional, unit bisnis,
dan/atau subsidiary. Hubungan antara ketiganya digambarkan oleh COSO dalam kubus tiga dimensi sebagai berikut:
Model ISO
Sementara itu, ISO sebagaimana diterjemahkan secara bebas oleh Susilo et.al (2010) membedakan kerangka
manajemen risiko sendiri, dengan prinsip dan juga proses manajemen risiko.
Menurut ISO, manajemen risiko suatu organisasi hanya dapat efektif bila mampu menganut prinsip-prinsipbahwa
manajemen risiko:
Selanjutnya, agar dapat berhasil baik, manajemen risiko harus diletakkan dalam suatu kerangka manajemen risiko.
Kerangka ini akan menjadi dasar dan penataan yang mencakup seluruh kegiatan manajemen risiko di segala
tingkatan organisasi. Kerangka manajemen risiko ini disusun khas ISO yaitu berdasarkan siklus Plan(mendesain
kerangka manajemen risiko) – Do (mengimplementasikan kerangka manajemen risiko) – Check(memonitor dan
mereview kerangka manajemen risiko) – Act (perbaikan terus menerus kerangka manajemen risiko), dengan
sebelumnya harus mendapatkan mandat dan komitmen berlanjut dari manajemen organisasi. Siklus kerangka
manajemen risiko tersebut dapat digambarkan sebagai berikut:
Kerangka kerja ini akan membantu organisasi mengelola risiko secara efektif melalui penerapan proses manajemen
risiko. Proses manajemen risiko hendaknya merupakan bagian yang tak terpisahkan dari proses manajemen umum.
Manajemen risiko harus masuk dan menjadi bagian dari budaya organisasi, praktik terbaik organisasi, dan proses
bisnis organisasi.
1. Komunikasi dan konsultasi, yaitu komunikasi dan konsultasi di antara para pemangku kepentingan, internal
maupun eksternal, yang harus dilakukan seekstensif mungkin sesuai dengan kebutuhan dan pada setiap
tahapan proses manajemen risiko.
2. Menentukan konteks, yaitu menentukan batasan atau parameter internal dan eksternal yang akan dijadikan
pertimbangan dalam manajemen risiko, menentukan lingkup kerja, dan kriteria risiko untuk proses-proses
selanjutnya.
3. Asesmen risiko, yaitu mengidentifikasi risiko, menganalisis risiko, serta mengevaluasi risiko.
Mengidentifikasi risiko dilakukan dengan mengidentifikasi sumber risiko, area dampak risiko, peristiwa dan
penyebabnya, serta potensi penyebabnya, sehingga bisa didapatkan sebuah daftar risiko. Analisis risiko
adalah upaya memahami risiko yang sudah diidentifikasi secara lebih mendalam yang hasilnya akan menjadi
masukan bagi evaluasi risiko. Sedangkan evaluasi risiko adalah menentukan risiko-risiko mana yang
memerlukan perlakuan dan bagaimana prioritas implementasinya.
4. Perlakuan risiko, meliputi upaya untuk menyeleksi pilihan-pilihan yang dapat mengurangi atau meniadakan
dampak serta kemungkinan terjadinya risiko, kemudian menerapkan pilihan tersebut.
5. Monitoring dan review, bisa berupa pemeriksaan biasa atau oengamatan terhadap apa yang sudah ada,
baik secara berkala atau secara khusus. Kedua bentuk ini harus dilakukan secara terencana.
Keseluruhan proses manajemen risiko menurut ISO tersebut dapat digambarkan sebagai berikut:
Implementasi?
Penerapan ERM pada suatu organisasi sudah barang tentu adalah sebuah kemewahan yang manfaatnya sudah
dijanjikan oleh pihak-pihak promotor model atau kerangka manajemen risiko. Apakah janji pasti terealisasi? Tidak
ada yang menggaransi. Apapun model yang akan diterapkan, manajemen risiko yang intensional, sistematik dan
terstruktur, bukanlah projek yang mudah dan murah. Yang sudah pasti harus ada adalah komitmen dari seluruh
pihak di dalam organisasi yang berkelanjutan, yang merasuk dalam proses bisnis, yang menjadi budaya dan gaya
organisasi, bahwa risiko adalah ibarat sebuah pedang. Tanpa risiko, organisasi akan stagnan karena tidak ada
tantangan. Namun karena risiko pula, organisasi akan bisa berjatuhan. Risiko harus ada, tapi harus pula dikelola.
Untuk itulah manajemen risiko.
Referensi:
Basel Committee on Banking Supervision. The Joint Forum with International Association of Securities
Commissions and International Association of Insurance Supervisors. 2003. Trends in Risk Integration and
Aggregation. Bank for International Settlements. Basel, Switzerland.
CAS (The Casualty Actuarial Society). Enterprise Risk Management Committee. 2003. Overview of Enterprise
Risk Management. http://www.casact.org
COSO (The Committee of Sponsoring Organization) of the Treadway Commission. 2004a. Enterprise Risk
Management – Integrated Framework. PDF Version. http://www.coso.org
COSO (The Committee of Sponsoring Organization) of the Treadway Commission. 2004b. Enterprise Risk
Management – Integrated Framework. Application Techniques. PDF Version. http://www.coso.org
D’Arcy, S. P.dan J. C. Brogan. 2001.Enterprise Risk Management. Journal of Risk Management of Korea.
Volume 12, Number 1.
DeLoach, J. W. 2003. Building Enterprise Risk Management on the Foundation Laid by Sarbanes-
Oxley.http://www.protiviti.com
Hamilton, S., dan I. Francis. 2003. The Enron Collapse, International Institute for Management Development.
Lausanne. Swiss.
Internal Auditor. 2005. ERM: a Status Report. February 2005. The Institute of Internal auditor. Florida.
Meulbroek, L. K.2002. Integrated Risk Management for the Firm: A Senior Manager’s Guide (working paper
draft). Harvard Business School. Boston
Miccolis, J. dan S. Shah. 2000. Enterprise Risk Management – An Analytic Approach. Tillinghast-Towers
Perrin. http://www.tillinghast.com
Susilo, Leo J. dan Victor Riwu Kaho.2010. Manajemen Risiko Berbasis ISO 31000. Ppm Manajemen. Jakarta.
Vedpuriswar, A.V, P. Madhav, dan N. V. Chowdary. 2001. A strategic approach to Enterprise Risk
Management. Icfaian School of Management. Hyderabad.