http://www.mulyono-tausiah.blogspot.

com

Enterprise Risk Management (ERM)

Enterprise manajemen risiko (ERM) dalam bisnis meliputi metode dan proses yang digunakan oleh
organisasi untuk mengelola risiko dan meraih peluang yang berkaitan dengan pencapaian tujuan
mereka. ERM menyediakan kerangka kerja manajemen risiko, yang biasanya melibatkan identifikasi
peristiwa tertentu atau keadaan relevan dengan tujuan organisasi (risiko dan peluang), menilai mereka
dalam hal kemungkinan dan besarnya dampak, menentukan strategi respon, dan kemajuan
pemantauan. Dengan mengidentifikasi dan proaktif mengatasi risiko dan peluang, usaha usaha
melindungi dan menciptakan nilai bagi stakeholders, termasuk pemilik, karyawan, pelanggan,
regulator, dan masyarakat secara keseluruhan. (ERM)
ERM juga dapat digambarkan sebagai pendekatan berbasis risiko untuk mengelola perusahaan,
mengintegrasikan konsep pengendalian internal, Sarbanes-Oxley Act, dan perencanaan strategis. ERM
berkembang untuk mengatasi kebutuhan dari berbagai pihak, yang ingin memahami spektrum yang luas
risiko yang dihadapi organisasi yang kompleks untuk memastikan mereka tepat dikelola. Regulator dan
lembaga rating utang telah meningkatkan pengawasan mereka pada proses manajemen risiko
perusahaan.
Kerangka ERM didefinisikan
Ada berbagai kerangka ERM penting, masing-masing yang menggambarkan pendekatan untuk
mengidentifikasi, menganalisis, menanggapi, dan pemantauan risiko dan peluang, dalam lingkungan
internal dan eksternal yang dihadapi perusahaan. Manajemen memilih strategi respon risiko untuk
risiko spesifik diidentifikasi dan dianalisis, yang dapat meliputi:
1. Penghindaran: keluar dari kegiatan sehingga menimbulkan risiko
2. Pengurangan: mengambil tindakan untuk mengurangi kemungkinan atau dampak yang berkaitan
dengan risiko
3. Saham atau menjamin: mentransfer atau berbagi sebagian risiko, untuk menguranginya
4. Terima: tidak ada tindakan yang diambil, karena keputusan / biaya manfaat
Monitoring biasanya dilakukan oleh manajemen sebagai bagian dari kegiatan internal kontrol, seperti
review laporan analitis atau pertemuan komite manajemen dengan pakar yang relevan, untuk
memahami bagaimana strategi respon risiko bekerja dan apakah tujuan yang telah ditetapkan.
Casualty aktuarial Masyarakat kerangka
Pada tahun 2003, Kecelakaan aktuarial Society (CAS) didefinisikan ERM sebagai disiplin dengan mana
sebuah organisasi dalam industri apa pun menilai, kontrol, eksploitasi, keuangan, dan memantau risiko
dari semua sumber untuk tujuan meningkatkan nilai organisasi jangka pendek dan jangka panjang
kepada para pemangku kepentingan "dikonseptualisasikan CAS ERM sebagai melanjutkan di dua dimensi
jenis risiko dan jenis risiko processes.The manajemen risiko dan contoh-contoh termasuk.:
Risiko bahaya
Kewajiban torts, Properti kerusakan, bencana alam
Risiko keuangan
Harga risiko, Aset, risiko mata uang, risiko likuiditas
Risiko operasional
Kepuasan pelanggan, gagal Produk, Integritas, risiko reputasi
Strategis risiko
Persaingan, Sosial tren, ketersediaan Modal
Proses manajemen risiko mencakup:
1. Menetapkan Konteks: ini termasuk pemahaman dari kondisi saat ini di mana organisasi beroperasi
pada konteks manajemen internal, eksternal dan risiko.
2. Mengidentifikasi Risiko: ini termasuk dokumentasi dari ancaman bahan untuk pencapaian tujuan
organisasi dan representasi daerah kepada organisasi dapat memanfaatkan untuk keunggulan
kompetitif.
3. Menganalisis / Mengkuantifikasi Risiko: ini mencakup kalibrasi dan, jika mungkin, penciptaan
distribusi probabilitas hasil untuk setiap risiko yang material.
4. Mengintegrasikan Risiko: ini mencakup agregasi dari semua distribusi risiko, korelasi mencerminkan
dan efek portofolio, dan perumusan hasil dalam hal dampak pada metrik kunci organisasi kinerja.
5. Menilai / Memprioritaskan Risiko: ini termasuk penentuan kontribusi masing-masing risiko dengan
profil risiko agregat, dan prioritas yang tepat.
6. Mengobati / Pemanfaatan Risiko: ini mencakup pengembangan strategi untuk mengendalikan dan
memanfaatkan berbagai risiko.
7. Monitoring dan review: ini mencakup pengukuran terus-menerus dan pemantauan lingkungan resiko
dan kinerja dari strategi manajemen risiko.
COSO ERM framework
The COSO "Enterprise Risk Management-Integrated Framework" diterbitkan pada tahun 2004
mendefinisikan ERM sebagai "... proses, dipengaruhi oleh dewan entitas direksi, manajemen, dan
personil lainnya, diterapkan dalam menetapkan strategi dan di seluruh perusahaan, yang dirancang
untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko
untuk berada dalam risk appetite, untuk memberikan keyakinan memadai tentang pencapaian tujuan
entitas. "
The COSO ERM Framework memiliki delapan Komponen dan empat tujuan kategori. Ini adalah perluasan
dari COSO Internal Control-Integrated Framework diterbitkan pada tahun 1992 dan diubah pada tahun
1994. Delapan komponen - komponen tambahan disorot - adalah:
• Lingkungan Internal
• Menetapkan Tujuan
• Identifikasi Event
• Penilaian Resiko
• Risiko Respon
• Kegiatan Pengendalian
• Informasi dan Komunikasi
• Monitoring
Empat tujuan kategori - komponen tambahan disorot - adalah:
• Strategi - tinggi tingkat tujuan, selaras dengan dan mendukung misi organisasi
• Operasi - penggunaan yang efektif dan efisien sumber daya
• Pelaporan Keuangan - keandalan pelaporan operasional dan keuangan
• Kepatuhan - kepatuhan terhadap hukum dan peraturan yang berlaku
Melaksanakan program ERM
Tujuan dari program ERM
Organisasi oleh alam mengelola risiko dan memiliki berbagai departemen yang ada atau fungsi ("fungsi
risiko") yang mengidentifikasi dan mengelola risiko tertentu. Namun, setiap fungsi risiko bervariasi
dalam kemampuan dan bagaimana berkoordinasi dengan fungsi risiko lainnya. Tujuan pusat dan
tantangan ERM adalah meningkatkan kemampuan dan koordinasi ini, sementara mengintegrasikan
output untuk memberikan gambaran terpadu risiko bagi para pemangku kepentingan dan meningkatkan
kemampuan organisasi untuk mengelola risiko secara efektif.
Khas fungsi risiko
Fungsi risiko utama dalam perusahaan besar yang mungkin berpartisipasi dalam program ERM biasanya
meliputi:
• Perencanaan Strategis - mengidentifikasi ancaman dan peluang eksternal kompetitif, bersama dengan
inisiatif strategis untuk mengatasinya
• Pemasaran - memahami pelanggan sasaran untuk memastikan produk / jasa keselarasan dengan
kebutuhan pelanggan
• Kepatuhan & Etika - memonitor kepatuhan dengan kode etik dan mengarahkan investigasi penipuan
• Akuntansi / Keuangan kepatuhan - mengarahkan Sarbanes-Oxley Section 302 dan 404 penilaian, yang
mengidentifikasi risiko pelaporan keuangan
• Departemen Hukum - mengelola litigasi dan analisis muncul tren hukum yang dapat mempengaruhi
organisasi
• Asuransi - menjamin perlindungan asuransi yang tepat bagi organisasi
• Treasury - memastikan tunai cukup untuk memenuhi kebutuhan bisnis, sementara mengelola risiko
terkait dengan harga komoditi atau valuta asing
• Jaminan Kualitas Operasional - memverifikasi output operasional berada dalam toleransi
• Manajemen Operasi - memastikan bisnis berjalan sehari-hari dan bahwa hambatan terkait muncul
untuk resolusi
• Kredit - memastikan setiap kredit yang diberikan kepada pelanggan sesuai dengan kemampuan
mereka untuk membayar
• Layanan pelanggan - memastikan keluhan pelanggan ditangani segera dan akar penyebab dilaporkan
pada operasi untuk resolusi
• Audit internal - mengevaluasi efektivitas masing-masing fungsi risiko di atas dan merekomendasikan
perbaikan
Common tantangan dalam penerapan ERM
Berbagai perusahaan konsultan memberikan saran untuk bagaimana melaksanakan program ERM. topik
umum dan tantangan meliputi:
• Mengidentifikasi sponsor eksekutif untuk ERM.
• Menetapkan bahasa risiko umum atau glosarium.
• Menggambarkan risk appetite entitas (misalnya, risiko itu akan dan tidak akan mengambil)
• Mengidentifikasi dan menjelaskan risiko pada suatu "persediaan risiko".
• Menerapkan metodologi risiko-peringkat untuk memprioritaskan risiko di dalam dan di seluruh fungsi.
• Pembentukan Komite Risiko dan atau Chief Risk Officer (CRO) untuk mengkoordinasikan kegiatan
tertentu dari fungsi risiko.
• Menetapkan kepemilikan untuk risiko tertentu dan tanggapan.
• Menunjukkan biaya-manfaat dari upaya manajemen risiko.
• Mengembangkan rencana aksi untuk memastikan risiko yang sesuai dikelola.
• Mengembangkan laporan konsolidasi untuk berbagai stakeholder.
• Monitoring hasil tindakan yang diambil untuk mengurangi risiko.
• Memastikan cakupan risiko efisien oleh auditor internal, tim konsultasi, dan entitas mengevaluasi
lainnya.
• Mengembangkan kerangka ERM teknis yang memungkinkan partisipasi aman dengan 3 pihak dan
karyawan terpencil.
Peran audit internal
Selain audit teknologi informasi, auditor internal memainkan peranan penting dalam mengevaluasi
proses manajemen risiko organisasi dan advokasi perbaikan yang berkelanjutan mereka. Namun, untuk
menjaga independensi organisasi dan penilaian yang obyektif, Internal Audit standar profesional
menunjukkan fungsi tidak harus bertanggung jawab langsung untuk membuat keputusan manajemen
risiko bagi perusahaan atau mengelola fungsi manajemen risiko.
Auditor internal biasanya melakukan penilaian risiko tahunan perusahaan, untuk mengembangkan
rencana penugasan audit untuk tahun mendatang. Rencana ini diperbarui pada berbagai frekuensi
dalam praktek. Hal ini biasanya melibatkan penelaahan terhadap berbagai penilaian risiko dilakukan
oleh perusahaan (misalnya, rencana strategis, benchmarking kompetitif, dan penilaian risiko SOX top-
down), pertimbangan audit sebelumnya, dan wawancara dengan berbagai manajemen senior. Hal ini
dirancang untuk mengidentifikasi proyek-proyek audit, bukan untuk mengidentifikasi, memprioritaskan,
dan mengelola risiko langsung untuk perusahaan.
Saat ini masalah di ERM
Proses manajemen risiko dari perusahaan-perusahaan AS berada di bawah pengawasan meningkatkan
regulasi dan swasta. Risiko adalah bagian penting dari bisnis apapun. Dikelola dengan baik, itu drive
pertumbuhan dan kesempatan. Eksekutif berjuang dengan tekanan bisnis yang mungkin sebagian atau
sepenuhnya di luar kendali langsung mereka, seperti pasar keuangan tertekan;, merger akuisisi dan
restrukturisasi; teknologi perubahan mengganggu; ketidakstabilan geopolitik, dan kenaikan harga
energi.
Sarbanes-Oxley Act persyaratan
Pasal 404 dari Undang-Undang Sarbanes-Oxley tahun 2002 diperlukan US publik yang diperdagangkan
perusahaan untuk menggunakan kerangka pengendalian dalam penilaian internal mereka kontrol.
Banyak memilih untuk Internal Control COSO Framework, yang mencakup unsur penilaian risiko. Selain
itu, panduan baru yang diterbitkan oleh Komisi Sekuritas dan Bursa (SEC) dan PCAOB pada tahun 2007
ditempatkan Meningkatkan pengawasan pada penilaian risiko top-down dan termasuk persyaratan
khusus untuk melakukan penilaian risiko penipuan. penilaian risiko Penipuan biasanya melibatkan
skenario mengidentifikasi potensi (atau mengalami) penipuan, eksposur yang terkait dengan organisasi,
kontrol terkait, dan setiap tindakan yang diambil sebagai hasilnya.
NYSE aturan tata kelola perusahaan
New York Stock Exchange memerlukan Komite Audit perusahaan yang terdaftar untuk "membahas
kebijakan terhadap penilaian risiko dan manajemen risiko." Komentar terkait melanjutkan: "Sementara
itu adalah tugas CEO dan manajemen senior untuk menilai dan mengelola risiko perusahaan untuk
risiko, komite audit harus mendiskusikan pedoman dan kebijakan untuk mengatur proses yang ini
ditangani Komite audit harus mendiskusikan. paparan utama perusahaan resiko keuangan dan
manajemen langkah-langkah telah diambil untuk memantau dan mengendalikan eksposur seperti
Komite Audit tidak perlu badan tunggal yang bertanggung jawab untuk penilaian risiko dan manajemen,
tetapi, seperti yang dinyatakan di atas., panitia harus mendiskusikan pedoman dan kebijakan untuk
mengatur proses di mana penilaian risiko dan manajemen dilakukan. Banyak perusahaan, terutama
perusahaan-perusahaan keuangan, mengelola dan menilai risiko melalui mekanisme selain komite
audit. Proses perusahaan-perusahaan ini telah di tempat sebaiknya ditinjau secara umum dengan audit
komite, tetapi mereka tidak perlu diganti oleh komite audit. "
ERM dan korporasi utang peringkat
Standard & Poor's (S & P), lembaga pemeringkat utang, berencana untuk memasukkan serangkaian
pertanyaan tentang manajemen risiko dalam proses evaluasi perusahaan. Ini akan rollout kepada
perusahaan keuangan pada tahun 2007. Hasil penyelidikan ini adalah salah satu dari banyak faktor yang
dipertimbangkan dalam rating utang, yang memiliki dampak yang sesuai pada pemberi pinjaman suku
bunga biaya perusahaan untuk pinjaman atau bonds.On 7 Mei 2008 S & P juga mengumumkan bahwa
mereka akan mulai termasuk penilaian ERM di perusahaan rating untuk perusahaan non-keuangan yang
dimulai pada tahun 2009, dengan komentar awal dalam laporan selama Q4 2008.
Emerging Standar
ISO 31000 adalah Standar Internasional untuk Manajemen Risiko yang diterbitkan baru-baru ini terakhir
November 13, 2009. Standar yang menyertainya, ISO 31010 - Risk Assessment Teknik, segera menyusul
publikasi (Desember 1 Januari 2009) bersama dengan Manajemen Risiko diperbarui kosakata ISO Guide
73.
Aktuarial respon
Casualty aktuarial Masyarakat
Pada tahun 2003, Komite Manajemen Risiko Perusahaan dari Kecelakaan Aktuaria Society (CAS)
mengeluarkan gambaran yang ERM. Tulisan ini ditata evolusi, pemikiran, definisi, dan kerangka kerja
untuk ERM dari perspektif korban aktuaria, dan juga termasuk latihan kosakata, konseptual dan teknis
yayasan, aktual dan aplikasi, dan studi kasus.
CAS memiliki tujuan spesifik ERM lain, termasuk menjadi "pemasok terkemuka internasional bahan
pendidikan yang berhubungan dengan Enterprise Risk Management (ERM) di arena properti asuransi
kecelakaan," dan memiliki disponsori penelitian, pengembangan, dan pelatihan aktuaris korban dalam
hal itu. CAS telah menahan diri dari mengeluarkan mandat sendiri, melainkan pada tahun 2007, Dewan
CAS memutuskan bahwa CAS harus berpartisipasi dalam inisiatif untuk mengembangkan sebuah
penunjukan ERM global, dan membuat keputusan akhir di kemudian hari.
Persatuan Aktuaris
Pada tahun 2007, Persatuan Aktuaris mengembangkan Chartered Enterprise Risk Analyst (CERA)
kredensial dalam menanggapi pertumbuhan bidang manajemen risiko perusahaan. Ini adalah credential
profesional pertama baru yang akan diperkenalkan oleh SOA sejak 1949. Sebuah studi CERA untuk
berfokus pada bagaimana berbagai risiko, termasuk operasional, investasi, strategis, dan reputasi
bergabung untuk mempengaruhi organisasi. CERAs bekerja di lingkungan luar asuransi, reasuransi dan
pasar konsultasi, termasuk jasa keuangan yang lebih luas, energi, transportasi, media, teknologi,
manufaktur dan kesehatan.
Diperlukan waktu sekitar tiga hingga empat tahun untuk menyelesaikan kurikulum CERA yang
menggabungkan ilmu aktuaria dasar, prinsip ERM dan kursus pada profesionalisme. Untuk mendapatkan
credential CERA, calon harus mengambil lima ujian, memenuhi syarat pengalaman pendidikan,
menyelesaikan satu kursus online, dan menghadiri satu kursus di-orang pada profesionalisme. CERAs
adalah anggota Persatuan Aktuaris.
Perusahaan Semakin Fokus pada ERM
Hal ini jelas bahwa perusahaan mengakui ERM sebagai masalah manajemen kritis. Hal ini ditunjukkan
melalui keunggulan ditugaskan untuk ERM dalam organisasi dan sumber daya yang ditujukan untuk
membangun kemampuan ERM. Dalam survei 2008 oleh Towers Perrin, di perusahaan asuransi jiwa yang
paling asuransi, tanggung jawab untuk ERM berada di dalam suite-C. Paling sering, risk officer kepala
(CRO) atau kepala keuangan (CFO) bertanggung jawab atas ERM, dan orang-orang ini biasanya
melaporkan langsung kepada chief executive officer. Dari sudut pandang mereka, CRO dan CFO dapat
melihat ke seberang organisasi dan mengembangkan perspektif tentang profil risiko perusahaan dan
bagaimana profil yang cocok dengan selera risikonya. Mereka bertindak sebagai driver untuk
meningkatkan keterampilan, alat dan proses untuk mengevaluasi risiko dan untuk menimbang berbagai
aksi untuk mengelola eksposur. Perusahaan juga aktif meningkatkan alat-alat ERM mereka dan
kemampuan. Tiga perempat dari perusahaan menanggapi mengatakan mereka memiliki alat untuk
khusus memantau dan mengelola risiko enterprise-wide. Alat ini digunakan terutama untuk
mengidentifikasi dan mengukur risiko dan untuk pengambilan keputusan manajemen. Responden juga
melaporkan bahwa mereka telah membuat kemajuan yang baik dalam membangun kemampuan ERM
mereka di daerah tertentu.
Dalam studi ini, lebih dari 80% dari responden melaporkan bahwa mereka saat ini memiliki kontrol yang
memadai atau lebih baik di tempat untuk risiko yang paling utama. Selain itu, sekitar 60% saat ini
memiliki proses koordinasi untuk pengelolaan risiko dan termasuk manajemen risiko dalam
pengambilan keputusan untuk mengoptimalkan kembali risiko disesuaikan.
Dalam sebuah survei yang dilakukan pada bulan Mei dan Juni 2008, dengan latar belakang krisis
 keuangan berkembang, enam temuan utama terungkap mengenai risiko dan pengelolaan modal antara
perusahaan asuransi di seluruh dunia:
• Menanamkan ERM ini membuktikan menjadi tantangan besar
• Perusahaan hal ukuran
• asuransi Eropa posisi yang lebih baik
• ERM mempengaruhi keputusan penting yang strategis
• Ekonomi standar modal yang mendapatkan tanah
• Risiko operasional tetap menjadi titik lemah

ERM (Enterprise Risk Management)

Definisi Enterprise Risk Management
Enterprise Risk Management (ERM) adalah “suatu proses yang dipengaruhi oleh
board of director, dan personel lain dari suatu organisasi, diterapkan dalam setting strategi, dan
mencakup organisasi secara keseluruhan, didesain untuk mengidentifikasi kejadian potensial
yang mempengaruhi suatu organisasi, untuk memberikan jaminan yang cukup pantas berkaitan
dengan pencapaian tujuan organisasi” (COSO ERP, 2004).
Framework ERM
Dua buah framework Enterprise Risk Management (ERM) adalah COSO dan RIMS.
Keduanya mendeskripsikan pendekatan untuk mengidentifikasi, menganalisa, bertanggung
jawab, dan memonitor risiko ataupun peluang di dalam maupun di luar lingkungan yang dihadapi
perusahaan. COSO memiliki delapan komponen dan empat kategori objek. Delapan komponen
tersebut antara lain:
1) Lingkungan Internal
Komponen ini meliputi sikap manajemen di semua tingkatan terhadap operasi secara umum
dan konsep kontrol secara khusus. Hal ini mencakup: etika, kompetensi, serta integritas dan
kepentingan terhadap kesejahteraan organisasi. Juga tercakup struktur organisasi serta kebijakan
dan filosofi manajemen. Bagaimanapun, inti dari berbagai kegiatan adalah orangnya dan
lingkungan dimana dia beraktivitas. Faktor manusia yang dimaksudkan disini adalah atribut yang
melekat di orang tersebut, misalnya: integritas, nilai etika, dan kompetensi.
Lingkungan internal merupakan dasar dari seluruh komponen ERM yang menyajikan disiplin
dan struktur. Lingkungan internal mempengaruhi bagaimana strategi dan tujuan organisasi
ditetapkan, aktivitas kegiatan dibangun, dan bagaimana risiko diidentifikasi, dinilai, dan
 ditindaklanjuti. Lingkungan internal juga mempengaruhi bagaimana desain dan fungsi dari
aktivitas pengendalian, sistem informasi dan komunikasi, dan aktivitas pemantauan. Lingkungan
internal ini terbentuknya sangat dipengaruhi oleh latar belakang sejarah dan kultur atau budaya
orang dan masyarakat sekitar yang membentuknya.
Lingkungan internal terdiri dari berbagai sub komponen, yaitu:
a. Filosofi manajemen risiko yaitu seperangkat keyakinan dan sikap yang mencirikan bagaimana
organisasi memandang risiko organisasi dalam segala hal;
b. Harapan risiko yang diinginkan (risk appetite) yaitu besaran dan jumlah risiko yang diharapkan
dan diterima organisasi;
c. Pimpinan yaitu struktur, pengalaman, independensi, dan peran pengawasan (oversight) yang
dimainkan.
d. Integritas dan nilai etika yaitu preferensi, standar perilaku, dan gaya;
e. Komitmen kompetensi yaitu pengetahuan dan keahlian yang dibutuhkan untuk melaksanakan
tugas dan pekerjaan;
f. Struktur Organisasi yaitu kerangka fungsi manajemen yang berupa perencanaan, pelaksanaan,
pengendalian, dan aktivitas pemantauan;
g. Wewenang dan tanggung jawab yaitu tingkatan dimana individu dan tim di dalam organisasi
memiliki wewenang dan didorong untuk menggunakan inisiatifnya untuk mengarahkan berbagai
hal penting dan mengatasi permasalahan sebatas wewenang yang dimilikinya;
h. Standar SDM yaitu praktik-praktik berkaitan dengan rekrutasi, orientasi, training, evaluasi,
konseling, promosi, kompensasi, dan pengambilan tindakan perbaikan yang segera berkaitan
dengan masalah SDM.
2) Penetapan Tujuan
Tujuan ditetapkan pada tingkat strategis yang menjadi dasar untuk penetapan tujuan
operasional. Pelaporan, dan ketaatan. Setiap organisasi menghadapi berbagai risiko baik yang
bersumber dari internal maupun eksternal. Penetapan tujuan merupakan langkah awal untuk
nantinya dapat mengidentifikasi kejadian, menilai risiko, dan menentukan respon terhadap risiko.
3) Identifikasi Kejadian
 Manajemen mengidentifikasi kejadian potensial yang dapat mempengaruhi organisasi dalam
mencapai tujuannya dan juga memastikan apakah kejadian yang mempengaruhi kegiatan
organisasi dalam mencapai tujuannya, juga membuka peluang bagi organisasi untuk menerapkan
strategi yang lebih baik dalam upaya untuk mencapai tujuan organisasi. Umumnya, kejadian
yang mengakibatkan dampak negatif merupakan risiko yang harus dinilai dan direspon
manajemen untuk bagaimana mengurangi dampak risiko yang terjadi dan mencegah
kemungkinan terjadinya. Sedangkan kejadian yang memberikan dampak positif merupakan
peluang yang perlu dihubungkan strategi dan proses pencapaian tujuan.
Manajemen perlu mempertimbangkan faktor internal dan eksternal mengenai kemungkinan
terjadinya risiko dan peluang yang dapat dimanfaatkan organisasi. Dalam mengidentifikasi
kejadian (events), manajemen perlu mempertimbangkan berbagai faktor baik internal maupun
eksternal yang menimbulkan terjadinya risiko ataupun peluang yang mempengaruhi organisasi
dalam pencapaian tujuannya. Berikut beberapa contoh faktor eksternal yang dipertimbangkan:
a. Ekonomi, seperti perubahan harga, ketersediaan modal, perdagangan bebas, ekonomi global,
dan sebagainya;
b. Lingkungan alam, seperti banjir, kebakaran, gempa bumi, cuaca atau iklim, dan sebagainya;
c. Politik, seperti pemilihan umum, reformasi pemerintahan, peraturan perundang-undangan yang
baru, dan sebagainya;
d. Sosial, seperti perubahan demografi, kultur budaya dan masyarakat, gaya hidup individu dan
masyarakat, dan sebagainya;
e. Teknologi, seperti perubahan yang cepat peralatan komputer, proses penyimpanan data, dan
sebagainya.
Berikut beberapa contoh faktor internal yang dipertimbangkan:
a. Infrastruktur, seperti peningkatan alokasi modal untuk pemeliharaan dan dukungan kegiatan
operasional, dan sebagainya;
b. Personil, seperti kecelakaan di tempat kerja, kegiatan yang mengarah pada kecurangan dan
pelanggaran, unjuk rasa buruh atau tenaga kerja, dan sebagainya;
c. Proses, seperti modifikasi proses, kesalahan dalam pemrosesan, keputusan outsourcing, dan
sebagainya;
 d. Teknologi, seperti peningkatan sumber-sumber untuk menangani volume kerentanan yang
terjadi, pelanggaran dalam sistem pengamanan, sistem komputer mengalami kerusakan, dan
sebagainya.
4) Penilaian Risiko
Penilaian risiko memungkinkan setiap organisasi untuk mempertimbangkan luasnya
kejadian yang dapat mempengaruhi pencapaian tujuan organisasi. Untuk menilai kejadian yang
dapat menimbulkan risiko, manajemen menilainya dari dua perspektif, yaitu kemungkinan
terjadinya kejadian tersebut (likelihood) dan dampak yang ditimbulkan dari kejadian tersebut
(impact). Dampak dari kejadian harus diuji baik untuk masing-masing kejadian yang
mengandung risiko maupun kelompok risiko yang mempengaruhi kegiatan untuk pencapaian
tujuan organisasi. Risiko dinilai beik berdasarkan keberadaan risiko yang melekat (inherent risk)
maupun risiko yang tidak dapat dikurangi lagi kemungkinan terjadinya atau dampak yang
ditimbulkan (residual risk).
5) Respon terhadap Risiko (risk response)
Setelah risiko dinilai, manajemen menentukan bagaimana risiko direspon, yaitu bagaimana
tindakan-tindakan dilakukan untuk mengelola risiko yang terjadi atau berpotensi akan terjadi.
Strategi untuk mengelola risiko terbagi menjadi empat, yaitu:
a. Strategi menghindar (avoidance)
Keluar atau melepaskan diri dari kegiatan yang berisiko. Upaya-upaya yang dilakukan
melalui strategi ini, antara lain: keluar atau tidak ikut dalam produk atau pelayanan tertentu,
mengurangi perluasan pada areal pasar yang baru, atau menjual/melepaskan (divestasi) divisi
yang mengandung risiko tinggi;
b. Strategi mengurangi (reduction)
Tindakan yang diambil difokuskan pada bagaimana mengurangi kemungkinan terjadi,
dampak yang ditimbulkan, atau keduanya atas risiko yang sudah diidentifikasi dan dinilai.
Penerapan pengendalian internal yang efektif merupakan satu tindakan untuk mengurangi risiko
yang terjadi;
c. Strategi membagi/memindahkan (sharing/transfer)
 Mengurangi kemungkinan atau dampak risiko dengan membagi atau memindahkan risiko ke
area lain yang risikonya lebih rendah. Tindakan yang dilakukan meliputi: mengasuransikan
produk, jasa, atau kegiatan yang dilaksanakan, menggunakan jasa pihak lain untuk melakukan
kegiatan (outsourcing), dan sebagainya;
d. Strategi menerima (acceptance)
Tidak ada tindakan yang dilakukan untuk menangani risiko, baik berkaitan dengan
kemungkinan terjadi maupun dampak yang ditimbulkan. Artinya, kejadian yang terjadi diterima
apa adanya. Umumnya, strategi ini diambil terhadap kegiatan-kegiatan yang berisiko rendah.
Dalam mempertimbangkan strategi mengelola risiko (risk response) apa yang dipilih, harus
dinilai bagaimana pengaruh kemungkinan risiko dan dampak yang ditimbulkan, begitu pula
pertimbangan biaya dan manfaat yang ditimbulkan. Strategi mengelola risiko yang dipilih harus
mampu menghasilkan risiko residual dalam batas harapan risiko yang dapat ditolerir atau
diterima. Strategi mengelola risiko yang digunakan harus dapat membawa risiko dimaksud ke
dalam batas risiko yang diharapkan (risk appetite). Strategi menangani risiko tidak boleh
dilakukan secara individual atau parsial, melainkan harus menempatkan risiko dalam portofolio,
agregat, atau besarannya sebagai satu keseluruhan di dalam organisasi.
6) Aktivitas Pengendalian
Merupakan kebijakan dan prosedur yang membantu memastikan bahwa risk response yang
dipilih dilaksanakan dengan memadai. Meskipun aktivitas pengendalian umumnya dikenal
sebagai strategi untuk mengurangi risiko, namun aktivitas pengendalian tertentu juga dipakai
pada strategi risk response lain. Aktivitas pengendalian dipasangkan di seluruh organisasi, yaitu
disetiap tingkatan maupun fungsi dalam organisasi. Aktivitas pengendalian dikelompokkan
dalam berbagai ccara dan mencakup areal aktivitas yang mungkin bersifat preventif atau detektif,
manual atau terkomputerisasi, serta di tingkatan proses atau manajemen.
7) Informasi dan Komunikasi
Informasi diidentifikasi, diperoleh, dan dikomunikasikan dalam bentuk dan kerangka waktu
yang tepat dan sesuai sehingga memungkinkan setiap orang untuk dapat melaksanakan tugas dan
tanggung jawab yang dibebankan kepadanya. Informasi harus cukup atau sufisien dan konsisten
dengan kebutuhan organisasi untuk mengidentifikasi, menilai, dan merespon atau mengelola
 risiko, yaitu dengan tetap dalam batas toleransi risiko yang ditetapkan. Sistem informasi yang
menggunakan data dan informasi yang umumnya diperoleh dari sumber-sumber eksternal,
menyajikan informasi untuk mengelola risiko dan membuat keputusan berkenaan dengan tujuan
yang ingin dicapai organisasi. Di samping itu, informasi harus berkualitas dalam rangka untuk
mendukung pengambilan keputusan. Kualitas informassi yang dimaksud berhubungan dengan
beberapa hal berikut ini:
a. Isi harus sesuai dan kerincian informasi harus pada tingkat yang benar;
b. Informasi harus tepat waktu dan tersedia pada saat dibutuhkan;
c. Informasi harus selalu baru atau diperbarui yang mencerminkan informasi keuangan dan
operasional;
d. Informasi harus akurat dan dapat diandalkan;
e. Informasi dapat diakses oleh mereka yang membutuhkan.
Komunikasi yang efektif juga timbul dan menyebar ke seluruh organisasi. Setiap orang
menerima pesan yang jelas dari pimpinan bahwa tanggung jawab mengelola risiko harus
ditangani dengan serius atau sungguh-sungguh. Harus mendesain komunikasi yang efektif
dengan pihak luar, seperti: pelanggan, pemasok, dan pemangku kepentingan lain. Komunikasi
dapat mengambil berbagai bentuk, seperti: manual kebijakan, memoranda, email, buletin
organisasi dan pesan melalui video. Dalam hal pesan disampaikan secara lisan, maka baik nada
suara maupun gerak tubuh sangat mempengaruhi bagaimana pesan tersebut diinterpretasikan.
8) Monitoring
Penerapan manajemen risiko (ERM) dimonitor atau dipantau terus dalam rangka untuk
memastikan keberadaannya dan apakah komponen-komponennya berfungsi dengan memadai
setiap saat. Monitoring dapat dilakukan melalui berbagai bentuk, yaitu: monitoring terus-
menerus (on going), penilaian terpisah (separate evaluation), atau kombinasi diantara keduanya.
Monitoring terus-menerus terjadi dalam pelaksanaan aktivitas kegiatan yang dilakukan.
Sementara itu, ruang lingkup dan frekuensi penilaian terpisah tergantung pada hasil penilaian
(assessment) risiko dan efektivitas dari prosedur monitoring terus-menerus yang dilakukan.
Kekurangan-kekurangan dari penerapan strategi manajemen risiko dilaporkan ke pihak
yang lebih tinggi, sedangkan permasalahan yang sangat serius dan mendesak dilaporkan kepada
 pimpinan tertinggi di organisasi untuk ditetapkan keputusan strategisnya. Dari kedelapan
komponen yang telah diuraikan ini, intinya adalah bahwa komponen manajemen risiko (ERM)
ini menyajikan suatu garis besar untuk menjawab pertanyaan-pertanyaan umum berikut berkaitan
dengan pemikiran untuk penerapan konsep manajemen risiko.
Empat kategori objek antara lain:
a. Strategi-tujuan akhir, mendukung misi organisasi;
b. Operasi-menggunakan sumber daya secara efektif dan efisien;
c. Laporan finansial;
d. Pemenuhan (compliance)-sesuai dengan hukum dan regulasi yang berlaku.
RIMS (Risk and Insurance Management Society) mendefinisikan ERM sebagai kultur,
proses, dan perangkat untuk mengidentifikasi peluang yang strategis dan mengurangi
ketidakpastian. ERM merupakan kumpulan pandangan mengenai risiko dari sudut pandang
operasional maupun strategis dan merupakan proses yang mendukung pengurangan
ketidakpastian serta mempromosikan eksploitasi peluang. Menurut RIMS Risk Maturity Model
untuk ERM terdapat tujuh buah kompetensi utama sebaik apa manajemen risiko enterprise dapat
dicapai, berikut adalah tujuh kompetensi berdasarkan RIMS Risk Maturity Model:
a. ERM – berbasis pendekatan (based approach) – derajat dukungan untuk ERM dari segi kultur
perusahaan.
b. ERM manajemen proses (process management) – derajat bergolaknya proses ERM yang
mengacu pada proses bisnis dan menggunakan langkah proses ERM untuk mengidentifikasi,
memperkirakan, mengevaluasi, mengurangi, dan memonitor.
c. Manajemen risiko keinginan (risk appetite mangement) – derajat pemahaman akibat risiko
perdagangan pada bisnis perusahaan.
d. Akar kedisiplinan (root cause discipline) – derajat disiplin yang diaplikasikan untuk mengukur
akar permasalahan dan mendefinisikan event yang terkait pada proses bisnis sehingga dapat
mengurangi ketidakpastian, kumpulan informasi, dan mengukur keefektifan kontrol.
e. Risiko yang tidak di-cover (uncovering risk) – derajat kualitas dan cakupan penetrasi dari
aktivitas prediksi risiko dalam dokumentasi risiko dan peluang.
f. Manajemen performansi – derajat dijalankannya visi dan strategi, bekerja dari keuntungan
finansial, costumer, proses bisnis, dan pembelajaran perkembangan sudut pandang
seperti balanced scorecard dari Kaplan atau pendekatan sejenis lainnya.
g. Keterikatan dan dukungan bisnis (business resiliency and sustainability) – tingkatan pada aspek
dukungan proses ERM yang terintegrasi pada perencanaan operasional.
Empat kategori objek antara lain:
· Strategi – tujuan akhir, mendukung misi organisasi;
· Operasi – menggunakan sumber daya secara efekstif dan efisien;
· Laporan finansial - keandalan pelaporan operasional dan keuangan;
· Pemenuhan (Complience) – sesuai dengan hukum dan regulasi yang berlaku.

Definisi Manajemen Resiko

Menurut Smith, 1990 Manajemen Resiko didefinisikan sebagai proses identifikasi, pengukuran,
dan kontrol keuangan dari sebuah resiko yang mengancamaset dan penghasilan dari sebuah
perusahaan atau proyek yang dapat menimbulkan kerusakan atau kerugian pada perusahaan
tersebut.
Menurut Clough and Sears, 1994, Manajemen risiko didefinisikan sebagai suatu pendekatan
yang komprehensif untuk menangani semua kejadian yang menimbulkan kerugian.
Menurut William, et.al.,1995,p.27 Manajemen risiko juga merupakan suatu aplikasi
dari manajemen umum yang mencoba untuk mengidentifikasi, mengukur, dan menangani sebab
dan akibat dari ketidakpastian pada sebuah organisasi.
Dorfman, 1998, p. 9 Manajemen risiko dikatakan sebagai suatu proses logis dalam usahanya untuk
memahami eksposur terhadap suatu kerugian.

Tindakan manajemen resiko diambil oleh para praktisi untuk merespon bermacam-macam resiko.
Responden melakukan dua macam tindakan manajemen resiko yaitu mencegah dan memperbaiki.
Tindakan mencegah digunakan untuk mengurangi, menghindari, atau mentransfer resiko pada tahap
awal proyek konstruksi. Sedangkan tindakan memperbaiki adalah untuk mengurangi efek-efek ketika
resiko terjadi atau ketika resiko harus diambil (Shen, 1997).
Manajemen resiko adalah sebuah cara yang sistematis dalam memandang sebuah resiko dan
menentukan dengan tepat penanganan resiko tersebut. Ini merupakan sebuah sarana untuk
mengidentifikasi sumber dari resiko dan ketidakpastian, dan memperkirakan dampak yang
ditimbulkan dan mengembangkan respon yang harus dilakukan untuk menanggapi resiko
(Uher,1996).
Pendekatan sistematis mengenai manajemen risiko dibagi menjadi 3 stage utama, yaitu (Soeharto,
1999):
1. Identifikasi resiko
2. Analisa dan evaluasi resiko
3. Respon atau reaksi untuk menanggulangi resiko tersebut
Manfaat Manajemen Risiko
Manfaat yang diperoleh dengan menerapkan manajemen resiko antara lain (Mok et al., 1996)

Berguna untuk mengambil keputusan dalam menangani masalah-masalah yang rumit.

- Memudahkan estimasi biaya.
- Memberikan pendapat dan intuisi dalam pembuatan keputusan yang dihasilkan dalam cara yang
benar.
- Memungkinkan bagi para pembuat keputusan untuk menghadapi resiko dan ketidakpastian dalam
keadaan yang nyata.
- Memungkinkan bagi para pembuat keputusan untuk memutuskan berapa banyak informasi yang
dibutuhkan dalam menyelesaikan masalah.
- Meningkatkan pendekatan sistematis dan logika untuk membuat keputusan.
- Menyediakan pedoman untuk membantu perumusan masalah.
- Memungkinkan analisa yang cermat dari pilihan-pilihan alternatif.

Menurut Darmawi, (2005, p. 11) Manfaat manajemen risiko yang diberikan terhadap perusahaan
dapat dibagi dalam 5 (lima) kategori utama yaitu :
a. Manajemen risiko mungkin dapat mencegah perusahaan dari kegagalan.
b. Manajemen risiko menunjang secara langsung peningkatan laba.
c. Manajemen risiko dapat memberikan laba secara tidak langsung.
d. Adanya ketenangan pikiran bagi manajer yang disebabkan oleh adanya perlindungan terhadap
risiko murni, merupakan harta non material bagi perusahaan itu.
e. Manajemen risiko melindungi perusahaan dari risiko murni, dan karena kreditur pelanggan dan
pemasok lebih menyukai perusahaan yang dilindungi maka secara tidak langsung menolong
meningkatkan public image.

Manfaat manajemen risiko dalam perusahaan sangat jelas, maka secara implisit sudah terkandung
didalamnya satu atau lebih sasaran yang akan dicapai manajemen risiko antara lain sebagai berikut
ini (Darmawi, 2005, p. 13).
a. Survival
b. Kedamaian pikiran
c. Memperkecil biaya
d. Menstabilkan pendapatan perusahaan
e. Memperkecil atau meniadakan gangguan operasi perusahaan
f. Melanjutkan pertumbuhan perusahaan
g. Merumuskan tanggung jawab social perusahaan terhadap karyawan dan masyarakat.

1.1 LATAR BELAKANG

Kejadian sesungguhnya kadang-kadang menyimpang dari perkiraan (expectation) ke salah satu

dari dua arah, artinya, ada kemungkinan penyimpangan yang menguntungkan dan ada pula
penyimpangan yang merugikan. Menurut Wideman, ketidakpastian yang menimbulkan
kemungkinan menguntungkan dikenal dengan istilah peluang (opportunity), sedangkan
ketidakpastian yang menimbulkan akibat yang merugikan dikenal dengan istilah risiko (risk).
Sedangkan kerugian adalah penyimpangan yang tidak diharapkan karena mengandung risiko.
Risiko berhubungan dengan ketidakpastian terjadi karena kurang atau tidak tersedianya cukup
informasi tentang apa yang akan terjadi. Secara umum risiko dapat diartikan sebagai suatu
keadaan yang dihadapi seseorang atau perusahaan dimana terdapat kemungkinan yang
merugikan. Begitupun dalam ,segala kegiatan didalamnya juga mengandung risiko yang harus
ditangani agar tidak menimbulkan kerugian yang fatal. Untuk menangani risiko tersebut bisa
dilakukan dengan manajemen risiko.

Menurut Smith : 1990, manajemen risiko didefinisikan sebagai proses identifikasi, pengukuran,
dan kontrol keuangan dari sebuah risiko yang mengancam aset dan penghasilan dari sebuah
perusahaan atau proyek yang dapat menimbulkan kerusakan atau kerugian pada perusahaan
tersebut. Dengan kata lain, manajemen risiko adalah suatu cara dalam mengorganisir suatu
risiko yang akan dihadapi baik itu sudah diketahui maupun yang belum diketahui atau yang tak
terpikirkan yaitu dengan cara memindahkan risiko kepada pihak lain, menghindari risiko,
mengurangi efek negatif risiko, dan menampung sebagian atau semua konsekuensi risiko
tertentu. Manajemen risiko juga bisa disebut suatu pendekatan terstruktur dalam mengelola
ketidakpastian yang berkaitan dengan ancaman. Oleh karena itu, melalui manajemen risiko,
diharapkan kerugian yang ditimbulkan dari ketidakpastian dapat dikurangi bahkan dihilangkan
untuk kelangsungan kegiatan di bidangnya.

1.2 RUMUSAN MASALAH

1. Jelaskan tentang definisi manajemen resiko!

2. Sebutkan dan jelaskan manfaat dari manajemen resiko!
3. Apa yang dimaksud dengan derajat resiko!
4. Sebutkan dan jelaskan klasifikasi dari manajemen resiko!
5. Jelaskan bagaimana mengidentifikasi timbulnya resiko!
6. Jelaskan proses dari manajemen resiko!
1.3 MANFAAT DAN TUJUAN

1. Agar dapat menjelaskan tentang definisi dari manajemen resiko.

2. Agar dapat menjelaskan manfaat dari manajemen resiko.
3. Mengetahui pengertian derajat resiko.
4. Agar dapat mengetahui klasifikasi dari manajemen resiko.
5. Agar dapat mengidentifikasi timbulnya resiko.
6. Untuk mengetahui lebih jelas tentang proses dari manajemen resiko.
BAB II

HASIL DAN PEMBAHASAN

2.1 Definisi Manajemen Resiko

1. Menurut Smith, 1990 Manajemen Resiko didefinisikan sebagai proses identifikasi, pengukuran, dan
kontrol keuangan dari sebuah resiko yang mengancam aset dan penghasilan dari sebuah perusahaan
atau proyek yang dapat menimbulkan kerusakan atau kerugian pada perusahaan tersebut.
2. Menurut Clough and Sears, 1994, Manajemen risiko didefinisikan sebagai suatu pendekatan yang
komprehensif untuk menangani semua kejadian yang menimbulkan kerugian.
3. Menurut William, et.al.,1995,p.27 Manajemen risiko juga merupakan suatu aplikasi dari manajemen
umum yang mencoba untuk mengidentifikasi, mengukur, dan menangani sebab dan akibat dari
ketidakpastian pada sebuah organisasi.
4. Menurut Dorfman, 1998, p. 9 Manajemen risiko dikatakan sebagai suatu proses logis dalam
usahanya untuk memahami eksposur terhadap suatu kerugian.
Sehingga dapat diambil kesimpulan bahwa resiko bisnis dapat menyebabkan kinerja
perusahaan menjadi rendah, resiko tersebut bisa timbul dari dalam perusahaan maupun
pengaruh dari luar perusahaan.Manajemen resiko adalah menyangkut identifikasi atas
kemungkinan resiko yang akan dihadapinya dan berusaha melakukan proteksi agar pengaruh
resiko tersebut dapat diminimalisasi, bahkan ditiadakan sama sekali

2.2 Manfaat Manajemen Resiko

1. Manfaat yang diperoleh dengan menerapkan manajemen resiko antara lain (Mok et al., 1996)
 Berguna untuk mengambil keputusan dalam menangani masalah-masalah yang rumit.
 Memudahkan estimasi biaya.
 Memberikan pendapat dan intuisi dalam pembuatan keputusan yang dihasilkan dalam cara yang
benar.
 Memungkinkan bagi para pembuat keputusan untuk menghadapi resiko dan ketidakpastian dalam
keadaan yang nyata.
 Memungkinkan bagi para pembuat keputusan untuk memutuskan berapa banyak informasi yang
dibutuhkan dalam menyelesaikan masalah.
 Meningkatkan pendekatan sistematis dan logika untuk membuat keputusan.
 Menyediakan pedoman untuk membantu perumusan masalah.
 Memungkinkan analisa yang cermat dari pilihan-pilihan alternatif.
1. Menurut Darmawi, (2005, p. 11) Manfaat manajemen risiko yang diberikan terhadap perusahaan
dapat dibagi dalam 5 (lima) kategori utama yaitu :
  Manajemen risiko mungkin dapat mencegah perusahaan dari kegagalan.
 Manajemen risiko menunjang secara langsung peningkatan laba.
 Manajemen risiko dapat memberikan laba secara tidak langsung.
 Adanya ketenangan pikiran bagi manajer yang disebabkan oleh adanya perlindungan terhadap risiko
murni, merupakan harta non material bagi perusahaan itu.
 Manajemen risiko melindungi perusahaan dari risiko murni, dan karena kreditur pelanggan dan
pemasok lebih menyukai perusahaan yang dilindungi maka secara tidak langsung menolong
meningkatkan public image.
1. Manfaat manajemen risiko dalam perusahaan sangat jelas, maka secara implisit sudah terkandung
didalamnya satu atau lebih sasaran yang akan dicapai manajemen risiko antara lain sebagai berikut
ini (Darmawi, 2005, p. 13).
 Survival
 Kedamaian pikiran
 Memperkecil biaya
 Menstabilkan pendapatan perusahaan
 Memperkecil atau meniadakan gangguan operasi perusahaan
 Melanjutkan pertumbuhan perusahaan
 Merumuskan tanggung jawab social perusahaan terhadap karyawan dan masyarakat.

2.3 Derajat Resiko

Derajat risiko – degree of risk adalah ukuran risiko lebih besar atau risiko lebih kecil. Jika suatu
risiko diartikan sebagai ketidakpastian, maka risiko terbesar akan terjadi bila terdapat dua
kemungkinan hasil yang masing-masing mempunyai kemungkinan yang sama untuk
terjadi.Klasifikasi Risiko sebagai berikut :

 Risiko yang dapat diukur dan risiko yang tidak dapat diukur
 Risiko financial dan risiko non financial
 Risiko statis dan risiko dinamis
 Risiko fundamental dan risiko khusus
 Risiko murni dan risiko spekulatif
2.4 Klasifikasi Manajemen Resiko :

a) Risiko operasional adalah risiko yang timbul karena tidak berfungsinya sistem internal
yang berlaku, kesalahan manusia, atau kegagalan sistem. Sumber terjadinya risiko operasional
paling luas dibanding risiko lainnya yakni selain bersumber dari aktivitas di atas juga bersumber
dari kegiatan operasional dan jasa, akuntansi, sistem tekhnologi informasi, sistem informasi
manajemen atau sistem pengelolaan sumber daya manusia.

b) Risiko eksternal factor –faktor yang mempengaruhi akibat akibat yang ditimbulkan dari
suatu peristiwa. Lingkungan eksternal menimbulkan kondisi yang kondusif terhadp bencana
yang menimbulkan kerugian. Dan kerugian adalah penyimpangan yang tidak diharapkan.
Walaupun ada beberapa overlapping (tumpang tindih) di antara kategori-kategori ini, namun
sumber penyebab kerugian (dan risiko) dapat diklasifikasikan sebagai risiko sosial, risiko fisik,
dan risiko ekonomi. Menentukan sumber risiko adalah penting karena mempengaruhi cara
penanganannya.

c) Risiko Finansial adalah resiko yang diderita oleh investor sebagai akibat dari
ketidakmampuan emiten saham dan obligasi memenuhi kewajiban pembayaran deviden atau
bunga atau bunga serta pokok pinjaman.

d) Risiko strategic adalah risiko terjadinya serangkaian kondisi yang tidak terduga yang dapat
mengurangi kemampuan manajer untuk mengimplementasikan strateginya secara signifikan.

2.5 Mengidentifikasi Timbulnya Resiko

2.6 Proses Manajemen Resiko

Pemahaman risk management memungkinkan manajemen untuk terlibat secara efektif dalam
menghadapi uncertainty dengan risiko dan peluang yang berhubungan dan meningkatkan
kemampuan organisasi untuk memberikan nilai tambah. Menurut COSO, proses manajemen
risiko dapat dibagi ke dalam 8 komponen (tahap)

1. Internal environment (Lingkungan internal)

Komponen ini berkaitan dengan lingkungan dimana instansi Pemerintah berada dan beroperasi.
Cakupannya adalah risk-management philosophy (kultur manajemen tentang risiko), integrity
(integritas), risk-perspective (perspektif terhadap risiko), risk-appetite (selera atau penerimaan
terhadap risiko), ethical values (nilai moral), struktur organisasi, dan pendelegasian wewenang.

1. Objective setting (Penentuan tujuan)

Manajemen harus menetapkan objectives (tujuan-tujuan) dari organisasi agar dapat
mengidentifikasi, mengakses, dan mengelola risiko. Objective dapat diklasifikasikan menjadi
strategic objective dan activity objective. Strategic objective di instansi Pemerintah berhubungan
dengan pencapaian dan peningkatan kinerja instansi dalam jangka menengah dan panjang,
dan merupakan implementasi dari visi dan misi instansi tersebut. Sementara itu, activity
objective dapat dipilah menjadi 3 kategori, yaitu (1) operations objectives; (2) reporting
objectives; dan (3) compliance objectives.
Sumber daya manusia (SDM) yang dimiliki organisasi yang ada pada seluruh divisi dan bagian
haruslah dilibatkan dan mengerti risiko yang dihadapi. Penglibatan tersebut terkait dengan
pandangan bahwa setiap pejabat/pegawai adalah pemilik dari risiko. Demikian pula, dalam
penentuan tujuan organisasi, hendaknya menggunakan pendekatan SMART , dan ditentukan
risk appetite and risk tolerance (variasi dari tujuan yang dapat diterima).

Risk tolerance dapat diartikan sebagai variation dalam pencapaian objective yang dapat
diterima oleh manajemen. Dalam penerapan pelayanan pajak modern seperti pengiriman SPT
WP secara elektronik, diperkirakan 80% Wajib Pajak (WP) Besar akan
mengimplementasikannya. Bila ditentukan risk tolerance sebesar 10%, dalam hal 72% WP
Besar telah melaksanakannya, berarti tujuan penyediaan fasilitas tersebut telah terpenuhi.
Disamping itu, terdapat pula aktivitas suatu organisasi seperti peluncuran roket berawak
dengan risk tolerance adalah 0%.

1. Event identification (Identifikasi risiko)

Komponen ini mengidentifikasi kejadian-kejadian potensial baik yang terjadi di lingkungan
internal maupun eksternal organisasi yang mempengaruhi strategi atau pencapaian tujuan dari
organisasi. Kejadian tersebut bisa berdampak positif (opportunities), namun dapat pula
sebaliknya atau negative (risks).
Terdapat 4 model dalam identifikasi risiko, yaitu (1) Exposure analysis; (2) Environmental
analysis; (3) Threat scenario; (4) Brainstorming questions. Salah satu model, yaitu exposure
analysis, mencoba mengidentifikasi risiko dari sumber daya organisasi yang meliputi financial
assetsphysical assets seperti tanah dan bangunan, human assets yang mencakup
pengetahuan dan keahlian, dan intangible assets seperti reputasi dan penguasaan informasi.
Atas setiap sumber daya yang dimiliki organisasi dilakukan penilaian risiko kehilangan dan
risiko penurunan. seperti kas dan simpanan di bank,

1. Risk assessment (Penilaian risiko)

Komponen ini menilai sejauhmana dampak dari events (kejadian atau keadaan) dapat
mengganggu pencapaian dari objectives. Besarnya dampak dapat diketahui dari inherent dan
residual risk, dan dapat dianalisis dalam dua perspektif, yaitu: likelihood (kecenderungan atau
peluang) dan impact/consequence (besaran dari terealisirnya risiko). Dengan demikian,
besarnya risiko atas setiap kegiatan organisasi merupakan perkalian antara likelihood dan
consequence.

Penilaian risiko dapat menggunakan dua teknik, yaitu: (1) qualitative techniques; dan (2)
quantitative techniques. Qualitative techniques menggunakan beberapa tools seperti self-
assessment (low, medium, high), questionnaires, dan internal audit reviews. Sementara itu,
quantitative techniques data berbentuk angka yang diperoleh dari tools seperti probability
based, non-probabilistic models (optimalkan hanya asumsi consequence), dan benchmarking.

penilaian risiko atas setiap aktivitas organisasi akan menghasilkan informasi berupa peta dan
angka risiko. Aktivitas yang paling kecil risikonya ada pada aktivitas a dan e, dan aktivitas yang
paling berisiko tinggi dengan kemungkinan terjadi tinggi ada pada aktivitas d. Sedangkan
aktivitas c, walaupun memiliki dampak yang besar, namun memiliki risiko terjadi yang rendah.

Yang perlu dicermati adalah events relationships atau hubungan antar kejadian/keadaan.
Events yang terpisah mungkin memiliki risiko kecil. Namun, bila digabungkan bisa menjadi
signifikan. Demikian pula, risiko yang mempengaruhi banyak business units perlu
dikelompokkan dalam common event categories, dan dinilai secara aggregate.

1. Risk response (Sikap atas risiko)

Organisasi harus menentukan sikap atas hasil penilaian risiko. Risk response dari organisasi
dapat berupa: (1) avoidance, yaitu dihentikannya aktivitas atau pelayanan yang menyebabkan
risiko; (2) reduction, yaitu mengambil langkah-langkah mengurangi likelihood atau impact dari
risiko; (3) sharing, yaitu mengalihkan atau menanggung bersama risiko atau sebagian dari risiko
dengan pihak lain; (4) acceptance, yaitu menerima risiko yang terjadi (biasanya risiko yang
kecil), dan tidak ada upaya khusus yang dilakukan.

Dalam memilih sikap (response), perlu dipertimbangkan faktor-faktor seperti pengaruh tiap
response terhadap risk likelihood dan impact, response yang optimal sehingga bersinergi
dengan pemenuhan risk appetite and tolerances, analis cost versus benefits, dan kemungkinan
peluang (opportunities) yang dapat timbul dari setiap risk response.

1. Control activities (Aktifitas-aktifitas pengendalian)

Komponen ini berperanan dalam penyusunan kebijakan-kebijakan (policies) dan prosedur-
prosedur untuk menjamin risk response terlaksana dengan efektif. Aktifitas pengendalian
memerlukan lingkungan pengendalian yang meliputi: (1) integritas dan nilai etika; (2)
kompetensi; (3) kebijakan dan praktik-praktik SDM; (4) budaya organisasi; (5) filosofi dan gaya
kepemimpinan manajemen; (6) struktur organisasi; dan (7) wewenang dan tanggung jawab.

Dari pemahaman atas lingkungan pengendalian, dapat ditentukan jenis dan aktifitas
pengendalian. Terdapat beberapa jenis pengendalian, diantaranya adalah preventive, detective,
corrective, dan directive. Sementara aktifitas pengendalian berupa: (1) pembuatan kebijakan
dan prosedur; (2) pengamanan kekayaan organisasi; (3) delegasi wewenang dan pemisahan
fungsi; dan (4) supervisi atasan. Aktifitas pengendalian hendaknya terintegrasi dengan
manajemen risiko sehingga pengalokasian sumber daya yang dimiliki organisasi dapat menjadi
optimal.

1. Information and communication (Informasi dan komunikasi)

Fokus dari komponen ini adalah menyampaikan informasi yang relevan kepada pihak terkait
melalui media komunikasi yang sesuai. Faktor-faktor yang perlu diperhatikan dalam
penyampaiaan informasi dan komunikasi adalah kualitas informasi, arah komunikasi, dan alat
komunikasi

Informasi yang disajikan tergantung dari kualitas informasi yang ingin disampaikan, dan kualitas
informasi dapat dipilah menjadi: (1) appropriate; (2) timely; (3) current; (4) accurate; dan (5)
accessible. Arah komunikasi dapat bersifat internal dan eksternal. Sedangkan alat komunikasi
berupa diantaranya manual, memo, buletin, dan pesan-pesan melalui media elektronis.

1. Monitoring
Monitoring dapat dilaksanakan baik secara terus menerus (ongoing) maupun terpisah (separate
evaluation). Aktifitas monitoring ongoing tercermin pada aktivitas supervisi, rekonsiliasi, dan
aktivitas rutin lainnya. Monitoring terpisah biasanya dilakukan untuk penugasan tertentu
(kasuistis). Pada monitoring ini ditentukan scope tugas, frekuensi, proses evaluasi metodologi,
dokumentasi, dan action plan.

Pada proses monitoring, perlu dicermati adanya kendala seperti reporting deficiencies, yaitu
pelaporan yang tidak lengkap atau bahkan berlebihan (tidak relevan). Kendala ini timbul dari
berbagai faktor seperti sumber informasi, materi pelaporan, pihak yang disampaikan laporan,
dan arahan bagi pelaporan.

BAB III

PENUTUP
3.1 KESIMPULAN

Jadi, manajemen risiko adalah suatu pendekatan terstruktur/metodologi dalam

mengelola ketidakpastian yang berkaitan dengan ancaman; suatu rangkaian aktivitas manusia
termasuk: Penilaian risiko, pengembangan strategi untuk mengelolanya dan mitigasi risiko
dengan menggunakan pemberdayaan/pengelolaan sumberdaya. Strategi yang dapat diambil
antara lain adalah memindahkan risiko kepada pihak lain, menghindari risiko, mengurangi efek
negatif risiko, dan menampung sebagian atau semua konsekuensi risiko tertentu. Manajemen
risiko tradisional terfokus pada risiko-risiko yang timbul oleh penyebab fisik atau legal (seperti
bencana alam atau kebakaran, kematian, serta tuntutan hukum. Manajemen risiko keuangan, di
sisi lain, terfokus pada risiko yang dapat dikelola dengan menggunakan instrumen-instrumen
keuangan.

Sasaran dari pelaksanaan manajemen risiko adalah untuk mengurangi risiko yang berbeda-
beda yang berkaitan dengan bidang yang telah dipilih pada tingkat yang dapat diterima oleh
masyarakat. Hal ini dapat berupa berbagai jenis ancaman yang disebabkan oleh lingkungan,
teknologi, manusia, organisasi dan politik. Di sisi lain pelaksanaan manajemen risiko melibatkan
segala cara yang tersedia bagi manusia, khususnya, bagi entitas manajemen risiko (manusia,
staff, dan organisasi).

Dalam perkembangannya Risiko-risiko yang dibahas dalam manajemen risiko dapat

diklasifikasi menjadi

• Risiko Operasional

• Risiko Eksternal

• Risiko Finansial

• Risiko Strategik

Hal ini menimbulkan ide untuk menerapkan pelaksanaan Manajemen Risiko Terintegrasi
Korporasi (Enterprise Risk Management). Manajemen Risiko dimulai dari proses identifikasi
risiko, penilaian risiko, mitigasi,monitoring dan evaluasi. Risiko dapat terjadi pada pelayanan,
kinerja, dan reputasi dari institusi yang bersangkutan. Risiko yang terjadi dapat disebabkan oleh
berbagai faktor antara lain kejadian alam, operasional, manusia, politik, teknologi, pegawai,
keuangan, hukum, dan manajemen dari organisasi.
Suatu risiko yang terjadi dapat berasal dari risiko lainnya, dan dapat disebabkan oleh berbagai
faktor. Risiko rendahnya kinerja suatu instansi berasal dari risiko rendahnya mutu pelayanan
kepada publik. Risiko terakhir disebabkan oleh faktor-faktor sumber daya manusia yang dimiliki
organisasi dan operasional seperti keterbatan fasilitas kantor. Risiko yang terjadi akan
berdampak pada tidak tercapainya misi dan tujuan dari instansi tersebut, dan timbulnya
ketidakpercayaan dari publik.

Risiko diyakini tidak dapat dihindari. Berkenaan dengan sektor publik yang menuntut
transparansi dan peningkatan kinerja dengan dana yang terbatas, risiko yang dihadapi instansi
Pemerintah akan semakin bertambah dan meningkat. Oleh karenanya, pemahaman terhadap
risiko menjadi keniscayaan untuk dapat menentukan prioritas strategi dan program dalam
pencapaian tujuan organisasi.

Risiko dapat dikurangi dan bahkan dihilangkan melalui manajemen risiko. Peran dari
manajemen risiko diharapkan dapat mengantisipasi lingkungan cepat berubah,
mengembangkan corporate governance, mengoptimalkan penyusunan strategic management,
mengamankan sumber daya dan asset yang dimiliki organisasi, dan mengurangi reactive
decision making dari manajemen puncak.

PENERAPAN ENTERPRISE RISK MANAGEMENT DALAM USAHA

PENJAMINAN
PENDAHULUAN
Perkembangan industri jasa asuransi dan penjaminan di Indonesia dari tahun ke tahun terus
meningkat dan telah memberikan kontribusi yang relatif besar terhadap perekonomian nasional.
Jasa penjaminan di Indonesia masih dianggap sebagai industri jasa yang baru berkembang dan
sebagai bagian dari jasa asuransi di Indonesia walaupun skim penjaminan kredit telah
digunakan sejak tahun 1971. Dari sisi regulasi yang dikeluarkan pemerintah tentang usaha
penjaminan saat ini masih ada keterkaitan antara usaha asuransi dan penjaminan walaupun
regulasi usaha penjaminan pada tingkat Undang-Undang sedang dalam proses
penyusunannya.

Usaha Penjaminan seperti halnya jasa Asuransi dikategorikan sebagai usaha yang berisiko dan
produk utamanya adalah menjamin risiko dari kegagalan bayar nasabahnya (Terjamin) yang
memanfaatkan jasa perbankan atau proyek dari pihak lain. Risiko usaha penjaminan
diperkirakan lebih besar dibandingkan dengan usaha perbankan karena dalam usaha
penjaminan melibatkan tiga pihak yaitu Penjamin, Penerima Jaminan dan Terjamin sementara
usaha perbankan pada produk utamanya hanya melibatkan dua pihak yaitu kreditur dan debitur.

Lembaga penjaminan di Indonesia maupun di Asia yang menjalankan penjaminan kredit untuk
medukung program pemerintah dalam pengembangan UMKM sebagian besar merugi karena
berdasarkan data empiris dan secara nature penjaminan kredit UMKM ini memiliki tingkat
kegagalan yang relatif tinggi. Disisi lain, lembaga penjaminan yang berbentuk Perseroan
Terbatas (PT) di Indonesia dituntut tetap sustain (berkelanjutan) dan memberikan manfaat
ekonomi kepada pemerintah dan perekonomian nasional. Strategi Lembaga Penjaminan dalam
bentuk PT maupun Perusahaan Umum (Perum) agar tetap sustain adalah melakukan usaha
diversifikasi usaha yang berorientasi profit dan mengelola risiko usaha penjaminan agar dapat
mereduksi kerugian pada tingkat yang diterima oleh perusahaan.

Konsekuensi usaha penjaminan yang terdiri dari tiga pihak menuntut adanya pengelolaan risiko
yang bersumber dari ketiga pihak terkait. Ketiga pihak tersebut memiliki potensi hazard yang
dapat mempengaruhi besaran peluang munculnya risiko dan mempengaruhi pencapaian tujuan
perusahaan. Pihak Penjamin selaku Lembaga Penjaminan yang memberikan penjaminan
memiliki potensi hazard tersendiri yang dapat mempengaruhi pencapaian tujuan penjaminan
(premi meningkat dan tingkat klaim rendah) seperti adanya praktek kolusi dan kelalaian dalam
proses underwriting dan proses pendukung usaha lainnya. Begitu pula Penerima Jaminan
(misal perbankan) dan Terjamin memiliki potensi hazard yang relatif tinggi yang dapat
mempengaruhi pencapaian tujuan penjaminan kredit itu sendiri. Belum lagi bila ada potensi
hazard dari pihak external yang berasal dari industri penjaminan dan regulator, sudah tentu
pengelolan risiko menjadi demikian penting dan tidak dapat diabaikan peranannya.

Potensi hazard yang bersumber dari ketiga pihak yang terlibat dalam usaha penjaminan dapat
memperbesar peluang timbulnya risiko di masa depan sehingga akan mempengaruhi kinerja
usaha penjaminan. Pengelolaan risiko yang efektif dan efisien serta melibatkan seluruh
komponen perusahaan mulai dari BOD, manajemen senior dan seluruh karyawan diperlukan
agar kerugian yang timbul dalam usaha penjaminan kredit dapat dikendalikan dan dapat
diterima oleh perusahaan.

Dalam industri usaha penjaminan di Indonesia, belum ada perusahaan/lembaga penjaminan

yang melakukan pengelolaan risiko korporat yang berkarakteristik usaha penjaminan seperti
halnya di perbankan. Walaupun sudah ada perusahaan asuransi di Indonesia yang
menjalankan pengelolaan manajemen risiko namun masih menggunakan pendekatan
manajemen risiko perbankan. Sungguh aneh jika di perbankan yang risikonya relatif lebih
rendah dibandingkan dengan usaha penjaminan sudah memiliki suatu sistem penerapanan
manajemen risiko korporat yang berdasarkan pada aturan Basel I dan II serta PBI, sedangkan
lembaga penjaminan dalam menjalankan usaha penjaminan yang relatif lebih berisiko belum
memiliki sistem penerapan manajemen risiko korporat.

Urgensi penerapan manajemen risiko korporat saat ini sudah merupakan tuntutan perusahaan
untuk mengendalikan risiko penjaminan dan memenuhi tuntutan regulator terkait dengan
penerapan tata kelola perusahaan yang baik (Good Corporate Governance (GCG)).
Pengelolaan manajemen risiko korporat merupakan salah satu pilar penting penerapan GCG
yang dapat memberikan peluang besar agar perusahaan dapat didorong untuk memenuhi
seluruh aspek ketentuan dan peraturan internal maupun eksternal (comply) dengan
memperhatikan risiko yang terindentifikasi dengan baik dari seluruh aspek bisnis dan
pendukungnya.

Model penerapan ERM yang akan diuraikan berikut adalah diadopsi dari kasus penerapan ERM
PT Asuransi Kredit Indonesia (PT Askrindo) yang menjalankan usaha penjaminan sekaligus
usaha asuransi dengan framework COSO (Committe of Sponsoring Organization).
PT Asuransi Kredit Indonesia adalah suatu entitas bisnis di Indonesia yang unik dan mungkin
satu-satunya di Indonesia yang dapat mengkolaborasi secara baik antara usaha berorientasi
profit dengan berorientasi public service dalam bentuk usaha penjaminan dan asuransi. PT
Askrindo dikatakan menjalankan usaha asuransi karena regulasi di Indonesia masih
menganggap bahwa surety bond, customs bond, asuransi kredit perdagangan dan penjaminan
kredit tergolong dalam usaha asuransi walaupun skim yang digunakan adalah skim penjaminan.
Saat ini regulasi penjaminan masih pada tarap peraturan pemerintah atau keputuasan menteri
keuangan sedangan regulasi setingkat Undang-Undang sedang dalam proses penyusunan.
Disatu sisi PT Askrindo berusaha mendukung program pemerintah mengembangkan UMKM
dengan karateristik usaha yang cenderung merugi, namun di sisi lain PT Askrindo dituntut untuk
memperoleh profit dengan menjalankan usaha penjaminan dan asuransi dalam bentuk
diversifikasi produk yang meliputi produk surety bond, customs bond, asuransi kredit
perdagangan (Askredag) dan reasuransi. Demikian kompleks usaha yang dijalankan oleh PT
Askrindo dan untuk memenuhi tuntutan regulator yang mewajibakan perusahaan BUMN
memiliki unit manajemen risiko, PT Askrindo mulai taun 2010 harus dan sudah mulai
menerapkan Enterprise Risk Management (ERM) dengan pendekatan kaidah-kaidah dan
prinsip penjaminan dan asuransi.

FUNGSI DAN MANFAAT ERM

Penerapan ERM di perusahaan penjaminan memiliki fungsi dan manfaat sebagai berikut:

1. Peningkatan efektifitas organisasi

Adanya koordinasi yang lebih baik antara beberapa fungsi pengelolaan risiko serta
meningkatkan ruang lingkup pengelolaan risiko (meningkatkan efisiensi proses pengelolaan
risiko secara terintegrasi yaitu mencakup semua bisnis dan organisasi serta mencakup semua
jenis risiko yang dihadapi). Pengelolaan risiko secara terintegrasi ini akan memperbesar
peluang pencapaian tujuan perusahaan yang pada akhirnya akan meningkatkan value
perusahaan.
2. Meningkatkan ketahanan Organisasi
Penerapan ERM akan memberikan perusahaan suatu langkah antisipasi/mitigasi risiko dalam
menghadapi berbagai risiko yang akan dihadapi perusahaan (corporate risk) sehingga
memberikan early warning system yang efektif dalam menghadapi keadaan yang tersulit bagi
perusahaan.
3. Mendukung dan meningkatkan kualitas penerapan tata kelola perusahaan yang baik (Good
Corporate Governance (GCG)). ERM adalah salah satu pilar penting dalam mendukung
terciptanya GCG.
4. Adanya sinergi antara strategi perusahaan dan tingkat risiko yang diterima (Risk Appetite)
untuk mencapai tujuan (improved outcomes).
5. Mendorong manajemen yang proaktif dan bukan reaktif.
6. Meningkatkan keselamatan dan pencegahan insiden
7. meningkatkan kepercayaan para pemangku kepentingan

Gambar 1. Hubungan ERM dengan GCG

FRAMEWORK ERM
Enterprise Risk Management (ERM) merupakan suatu proses yang melibatkan perusahaan,
termasuk BOD, manajemen, dan seluruh karyawan Perusahaan dalam mengidentifikasi suatu
kejadian atau potensi kejadian yang menimbulkan suatu dampak (kerugian) , mengelolanya
secara komprehensif dalam besaran / ukuran yang dapat diterima oleh perusahaan, serta untuk
memastikan pencapaian tujuan perusahaan. Di berbagai usaha ekonomi di dunia dikenal
berbagai macam kerangka kerja penerapan ERM yang sesuai dengan sudut pandang
pengelolaan risiko dan sosial budaya suatu bangsa. Model kerangka kerja ERM yang
digunakan oleh berbagai industri sampai saat ini adalah BS, British Standarts – IRGC (BS6079-
3) (2000), International Risk Governance Council (IRGC) 2004, COSO (Committee of
 Sponsoring Organizations), AS/NZ, Australia & New Zealand Standart (AS/NZS) 4360, ISO
(International Standarts Organization) 31000 (2009). Perbedaan kerangka kerja ERM dapat
dilihat pada tabel di bawah ini.

BS6079-3 IRGC 2004 COSO (2004) AS/NZS 4360 ISO 31000(2009)

1. Context 1. Pre-assessment 1. 1. Context 1.
Environment Mandate/commitment
2. 2. Appraisal 2. Objectives 2. Identification 2. Context
Identification
3. Analysis 3. Tolerability and 3. 3. Analysis 3. Identification
acceptability Identification
judgement
4. Evaluation 4. Risk 4. Assesment 4. Evaluation 4. Analysis
Management
5. Treatment 5. Communicate 5. Response 5. Treatment 5. Evaluation
6. 6. Control 6. 6. Treatment
Communicate Communicate/consult
7. 7. 7. Monitor/review 7. Communicate
Review/upadte Communicate
8. Monitoring 8. Consult
9. Monitor/review

Komponen ERM Framework COSO

Pada kerangka kerja dari lima model diatas, ada persamaan pokok dari penerapan proses ERM
yaitu meliputi kegiatan identifikasi risiko, pengukuran risiko, pemetaan risiko dan mitigasi risiko.
Proses manajemen risiko yang pokok tersebut akan diaktualisasikan dan diimplikasikan oleh
perusahaan sesuai dengan tujuan, ukuran perusahaan dan regulasi yang ditetapkan oleh
pemerintah.

DASAR PEMILIHAN FRAMEWORK ERM

Berbagai macam framework ERM yang digunakan oleh perusahaan di berbagai sektor ekonomi
memiliki karakteristik tersendiri dan dibangun atas dasar sudut pandang manajement dan sosial
budaya setempat. Pemilihan framework ERM yang sesuai dengan best practise dimana
perusahaan melakukan aktivitas usaha dapat didasarkan pada pertimbangan sebagai berikut:

1. Tujuan dan misi perusahaan

2. Kebutuhan organisasi dan karakteristik bisnis yang dijalankan
3. Tuntutan dan kebutuhan regulasi & ketentuan yang berlaku
4. Ukuran perusahaan (size of company) termasuk di dalamnya sumber daya yang tersedia
dalam penerapan ERM

KUNCI KEBERHASILAN PENERAPAN ERM

Keberhasilan penerapan ERM sangat tergantung pada sumber daya manusia yang terlibat di
dalam kegiatan ERM (effective by people). Kecanggihan sistem dan mekanisme penerapan
ERM tidak akan menjamin bahwa tujuan perusahaan akan tercapai apabila tidak didukung oleh
kualitas dan integritas sumber daya manusia perusahaan. Kunci utama keberhasilan dalam
penerapan ERM adalah tergantung pada kualitas dan integritas sumber daya manusia.
Keberhasilan penerapan ERM pada umumnya akan ditentukan oleh beberapa faktor penting
yaitu:

1. Adanya komitmen dari Board of Director (BOD), Board of Commisioner (BOC) dan senior
manajemen. Komitmen BOD merupakan faktor yang dominan untuk menentukan keberhasilan
penerapan ERM karena ERM tidak akan dapat diterapkan jika BOD tidak mendukung
sepenuhnya.
2. adanya kebijakan, sistem dan proses kontrol yang ditunjang dengan budaya risiko (risk
culture) (perduli terhadap risiko) yang kuat.
3. Adanya kejelasan dalam penentuan risk appetite & risk tolerance sesuai dengan kemampuan
perusahaan (clear limits on delegated authority)
4. Adanya komunikasi dan pembelajaran yang terus menerus
5. Adanya integrasi antara ERM ke dalam strategic planning, proses bisnis, penilaian
karya/kinerja dan kompetensi (rewards system dikaitkan dengan risk based performance).
6. Adanya organisasi manajemen risiko yang permanen
7. Adanya akuntabilitas dan responsibilitas yang jelas (including clear ownership of risk)

Integritas dan kualitas SDM sangat menentukan keberhasilan penerapan ERM sehingga perlu
dilakukan pendidikan dan pelatihan yang dapat meningkat Intelegencia Quotient (IQ), Emotional
Quotient (EQ) dan Spritual Quotient (SQ) melalui pelatihan yang bersifat agamis dan motivasi
etos kerja dan loyalitas karyawan terhadap perusahaan. Pelatihan sejenis tersebut harus
dilakukan secara rutin dan periodik agar SDM selalu diberikan awareness atas andil integritas
dan kapasitas SDM dalam mencapai tujuan perusahaan.

ELEMEN IMPLEMENTASI ERM

Dalam pembangunan ERM, ada 3 (tiga) elemen yang harus dibangun dan dipersiapkan agar
penerapan ERM dapat berjalan secara efektif seperti pada gambar di bawah ini yaitu:

1. Framework (Risk Governance)

Pembangunan elemen framework yang harus harus dipersiapkan antara lian meliputi komitmen
Direksi, budaya risiko dan kesadaran penerapan risiko, penetapan risk appetite dan risk
tolerance, struktur dan fungsi organisasi dan kebijakan. Elemen framework ini merupakan
elemen dasar yang menjadi penentu keberhasilan penerapan ERM yang semuanya tergantung
pada kualitas dan integritas sumber daya manusia.

2. Infrastruktur
Implementasi ERM memerlukan sarana dan prasarana dalam memfasilitasi penerapan ERM di
perusahaan. Infrastruktur yang diperlukan untuk menerapkan ERM adalah metodologi
penerapan ERM, Teknologi terutama sistem informasi yang digunakan untuk mengolah data
risiko, Prosedur ( SOP penerapan ERM dan Pedoman ERM) dan Sistem informasi yang dapat
memberikan pelaporan ERM secara kontinue kepada manajemen.

Gambar 2. 3 Elemen Implementasi ERM

3. Proses
Penerapan ERM adalah suatu proses yang dilakukan secara terus menerus, terintegrasi dan
melibatkan seluruh karyawan dalam mengelola risiko sehingga dapat memperbesar peluang
pencapaian tujuan. Proses manajemen risiko yang pokok dilakukan dalam ERM adalah proses
identifikasi, pengukuran, pemetaaan dan mitigasi risiko. Proses manajemen risiko lain yang tak
kalah pentingnya adalah proses monitoring, komunikasi, pelaporan dan pengendalian
manajemen risiko. Untuk melaksanakan proses manajemen risiko tersebut diperlukan suatu
sistem dan sumber daya yang relatif cukup baik yang bersifat teknologi maupun manual.

ROAD MAP ERM

Rencana jangka panjang penerapan ERM harus ditetapkan oleh perusahaan agar perusahaan
dapat memperoleh arah, strategi yang jelas dan target yang akan dicapai perusahaan pada
periode tertentu. Rencana penerapan ERM dapat dijabarkan tiga tahunan atau lima tahunan
dalam bentuk Road Map sesuai dengan kapasitas perusahaan dan perkiraan perubahan
lingkungan. Kualitas perumusan rencana jangka panjang ERM menentukan perjalanan
keberhasilan penerapan ERM perusahaan sehingga dalam perumusannya harus
dipertimbangkan secara cermat dan matang berbagai aspek yang berkaitan dengan kapasitas
perusahaan dan perubahan lingkungan internal dan eksternal selama periode Road Map.
Tujuan akhir penerapan ERM pada rencana jangka panjang pertama dapat berupa penerapan
ERM menjadi budaya risiko perusahaan dalam proses bisnis dan pendukungnya yang dapat
meningkatkan value perusahaan.

PENERAPAN ERM DALAM USAHA PENJAMINAN

PT Askrindo sejak pertengahan tahun 2010 telah memiliki elemen implementasi ERM yang
relatif lengkap dan jajaran manajemen termasuk BOD telah memberikan komitmen atas
penerapan ERM di perusahaan. Disamping itu, PT Askrindo juga telah memiliki Risk Contact
Person atau Risk Champion di seluruh unit kerja baik di kantor Pusat maupun Kantor Cabang
untuk mendukung implementasi ERM dengan bantuan sistem informasi manajemen risiko
berbasis Web.
Penerapan ERM di PT Askrindo yang bergerak pada usaha penjaminan merupakan
perusahaan pioner yang menerapkan ERM dalam usaha penjaminan di Indonesia dan dapat
dikatakan baru satu-satunya ERM berkarakteristik usaha penjaminan di Indonesia.
Konsep manajemen risiko yang diterapkan adalah berwawasan dan berprinsip pada
manajemen risiko korporat terintegrasi. Manajemen risiko korporat terintegrasi adalah suatu
proses pengelolaan risiko yang dimulai dari proses identifikasi, pengukuran, pemetaan, mitigasi
dan evaluasi serta monitoring yang melibatkan manajemen perusahaan dalam proses
penentuan strategi di seluruh unit kerja secara terintegrasi. Konsep manajemen risiko dirancang
untuk mengidentifikasikan peristiwa-peristiwa (events) yang berpengaruh negatif bagi
perusahaan dan mengelola risiko agar selalu berada di dalam batas toleransi manajemen
risiko.
Dengan demikian manajemen selalu memiliki keyakinan yang memadai bahwa sasaran
perusahaan akan dapat dicapai tanpa halangan dan ancaman yang signifikan.
Manajemen perusahaan akan meningkatkan seoptimal mungkin nilai perusahaan melalui:

• Penetapan strategi dan sasaran-sasaran yang menghasilkan keseimbangan optimal antara

target pertumbuhan, keuntungan dan risiko-risiko inherennya.
• Pemanfaatan seluruh sumber daya yang tersedia secara efisien dan efektif untuk mencapai
sasaran-sasaran perusahaan.

Untuk mencapai tujuan perusahaana di atas, manajemen membangun dan mengintegrasikan

manajemen risiko ke dalam tata nilai dan proses bisnis dengan berpedoman kepada prinsip-
prinsip dasar:
a. Penyelarasan antara toleransi risiko dengan strategi manajemen akan selalu
memperhitungkan dan mempertimbangkan toleransi risiko perusahaan di dalam menetapkan
berbagai alternatif strategi bisnis, target bisnis, dan pengembangan mekanisme pengelolaan
risiko.
b. Secara berkelanjutan meningkatkan kualitas kesadaran atas suatu risiko dan menciptakan
budaya risiko.
c. Mereduksi ke tingkat serendah mungkin kejutan-kejutan dan kerugian-kerugian yang bisa
mempengaruhi keputusan operasional perusahaan.
d. Secara konsisten mengidentifikasi dan mengelola multi risiko serta risiko-risiko antar unit
kerja. Perusahaan akan menghadapi berbagai bentuk risiko yang banyak, yang secara
langsung maupun tidak langsung mempengaruhi berbagai kegiatan unit kerja dalam melakukan
kegiatan operasional. Oleh karena itu, perusahaan mengaplikasikan manajemen risiko agar
mampu memfasilitasi penentuan respon yang efektif atas dampak-dampak yang saling
berkaitan dan penetapan respon-respon yang terintegrasi atas multi risiko.
e. Menangkap peluang dengan mengetahui berbagai risiko yang potensial, manajemen akan
berada dalam posisi mudah mengidentifikasikan dan secara proaktif menangkap kemungkinan
terjadinya risiko di perusahaan.
f. Meningkatkan kualitas dan efektifitas pemanfaatan sumber daya perusahaan dengan
tersedianya beragam informasi risiko yang lengkap dan akurat akan membantu manajemen
secara efektif mengukur kemungkinan risiko yang terkait dengan bisnis perusahaan.

TAHAPAN AWAL PENERAPAN MANAJEMEN RISIKO

Pada awal pembangunan sistem dan mekanisme ERM, tahapan penerapan ERM dilakukan 3
tahapan kegiatan seperti berikut:

Gambar 3. Tahapan Awal Penerapan Manajemen Risiko

Ketiga tahap kegiatan tersebut dapat dijabarkan lebih rinci dalam langkah-langkah penerapan
ERM sebagai berikut berikut:

1) Mengidentifikasi semua risiko yang terkait

2) Merancang kriteria risiko dan sub kriteria risiko
3) Merancang sistem kontrol manajemen risiko dan membentuk Risk Owner
4) Melakukan asesmen terhadap risiko residual bersama Risk Owner
5) Menyusun detail kegiatan risiko yang signifikan untuk dikurangi
6) Melaporkan risiko signifikan kepada manajemen beserta saran mitigasinya
7) Mengalokasikan sumber daya untuk melakukan mitigasi risiko yang signifikan
8) Memantau proses mitigasi dan perkembangan mitigasi risiko signifikan.
9) Mengevaluasi pengelolaan risiko dan analisa hasil kegiatan mitigasi risiko
10) Menyusun pengelolaan risiko dalam kesepakatan karya (Key Performance Indicator (KPI))

Jika digambarkan dalam bentuk bagan, maka langkah-langkah Penerapan tersebut dapat
diilustrasikan sebagai berikut:

Gambar 4. Langkah-Langkah Penerapan ERM

Setelah mempersiapkan elemen implementasi ERM seperti diatas maka langkah selajutnya
melakukan pengelolaan risiko secara terus menerus sesuai dengan kerangka kerja ERM yang
telah ditetapkan dengan berbasis sistem komputerisasi.

PENERAPAN ERM BERBASIS USAHA PENJAMINAN

Penerapan ERM berbasis usaha penjaminan pada dasarnya dapat dibedakan dengan berbasis
perbankan dengan melihat beberapa faktor dalam proses manajemen risiko yaitu:

1. Pada proses penentuan risk appetite dan risk tolerance, dasar yang dapat digunakan adalah
Risk Based Capital (RBC) atau Gearing ratio. Besaran nilai klaim yang dapat diterima oleh
perusahaan juga dapat dijadikan dasar penetapan Risk Appetite dan Risk Tolerance. Dasar
penentuan Risk Appetite ini disesuaikan dengan kapasitas perusahaan dalam menanggung
risiko maksimal yang akan terjadi dan kemampuan manajemen dalam menangani risiko
tersebut serta tuntutan regulasi dan ketentuan yang berlaku. Pada perusahaan asuransi juga
diarahkan pada penggunan RBC sebagai dasar peneratap risk appetite, namun di Indonesia
penerapan ERM pada perusahaan asuransi masih berbasis pada perbankan.

2. Pada proses identifikasi dan pengukuran risiko, seluruh risiko yang di-assesment berasal dari
usaha penjaminan yang dilakukan oleh seluruh unit kerja operasional/produksi sehingga akan
terekam risiko yang memiliki klasifikasi risiko yang terkait dengan proses bisnis dalam
menjalankan usaha penjaminan. Hasil risk assesment ini akan memberikan suatu signal
mitigasi risiko yang juga berbasis pada kebijakan usaha penjaminan dan ketentuan & regulasi
yang mengaturnya.

Gambar 5. Ruang lingkup dan Cakupan ERM

KOMPONEN MANAJEMEN RISIKO

Manajemen risiko yang diterapkan oleh manajemen dengan framework COSO memiliki delapan
komponen yang saling terkait. Komponen-komponen ini dibangun dari tata kelola perusahaan
yang diintegrasikan dengan proses manajemen.
Delapan komponen pada framework COSO seperti pada gambar di bawah ini diintegrasikan
dengan strategi, operasi, sistem pelaporan, dan kepatuhan serta keberadaan berbagai unit
kerja yang terlibat dalam proses manajemen risiko korporat baik di kantor pusat maupun
dikantor cabang.

Gambar 6. Komponen ERM Framework COSO

i. Lingkungan Internal
Lingkungan internal yang kondusif, suportif, dan positif akan mempengaruhi secara langsung
budaya kerja perusahaan dalam melihat dan memitigasi suatu risiko, termasuk di dalamnya
filosofi manajemen risiko, toleransi risiko, nilai-nilai integritas dan etika serta lingkungan kerja.

ii. Penetapan Sasaran (target)

Penetapan sasaran dan target bisnis harus dilakukan dengan terlebih dahulu memperhatikan
risiko-risiko potensial yang mempengaruhi secara negatif upaya-upaya pencapaian
sasaran/target. Manajemen akan selalu menetapkan target bisnis dalam koridor toleransi risiko
perusahaan.
iii. Identifikasi Risiko
Manajemen akan mengidentifikasikan risiko-risiko internal dan eksternal yang dapat
mempengaruhi usaha pencapaian sasaran. Manajemen selalu berupaya memposisikan diri
pada suatu level sehingga dengan mudah dapat membedakan antara risiko dan peluang.
Setiap peluang yang berhasil ditangkap akan dimasukan ke dalam proses penetapan sasaran
Perusahaan.

iv. Penilaian risiko

Risiko-risiko dianalisis dan dipertimbangkan probabilitas terjadinya (likelihood) dan potensi
dampak kerugiannya (impact) sebagai acuan mengelolanya. Risiko diukur berdasarkan
pendekatan risiko inheren dan risiko residual.

Risiko inheren adalah risiko yang melekat pada setiap keputusan sebelum dilakukan perlakuan
risiko.

Risiko residual adalah risiko yang masih ada setelah dilaksanakan perlakuan risiko.

v. Tindak Lanjut Risiko

Manajemen akan menetapkan tindak lanjut dan respon yang efektif terhadap suatu risiko.
Spektrum respon menghindari, menerima, mereduksi, atau mentransfer risiko. Pilihan respon
akan dipengaruhi oleh toleransi dan hasrat risiko manajemen dan perusahaan.

vi. Pengendalian dan Pengawasan risiko

Sejumlah kebijakan dan pedoman dibuat, ditetapkan dan diterapkan untuk menciptakan suatu
sistem pengendalian dan pengawasan yang efektif sehingga memudahkan manajemen memilih
respon risiko yang efektif dan efisien.

vii. Sistem pelaporan dan software manajemen risiko

Berbagai informasi yang relevan diidentifikasikan, ditangkap, dan dikomunikasikan dalam
bentuk yang informatif, terstruktur dengan baik dan tepat waktu agar setiap penanggung jawab
organisasi dapat melaksanakan tanggung jawabnya masing-masing di dalam mencapai
sasaran perusahaan. Sistem pelaporan ini akan didukung dengan sistem informasi berbasis
komputer dengan menggunakan fasilitas Web. Manajemen memiliki prioritas yang tinggi untuk
mengembangkan dan memiliki kegiatan yang terintegrasi, efektif dan terhubung secara online
ke seluruh unit kerja di kantor pusat dan kantor cabang.

viii. Pemantauan
Pemantauan adalah efektivitas yang penting sehingga dapat diketahui modifikasi dan perbaikan
yang diperlukan pada sistem manajemen risiko korporat terintegrasi. Pemantauan dilaksanakan
melalui aktivitas manajemen yang berkelanjutan, evaluasi khusus, atau keduanya.

PROSES IDENTIFIKASI RISIKO

Identifikasi aktivitas dapat dilakukan dengan pendekatan melalui daftar peristiwa kerugian masa
lalu yang berpengaruh terhadap masa depan (loss event), analisis internal, indikator keadaan
tertentu, dan analisis alur proses bisnis perusahaan. Risk Owner/Risk Contact Person dapat
menyampaikan/ mengusulkan kejadian risiko dan kategorisasi risiko baru yang belum
terinformasi secara korporasi kepada unit Manajemen Risiko. Secara umum proses
pengidentifikasian risiko digambarkan sebagai berikut:
Gambar 7. Proses Identifikasi Risiko
Tindak lanjut kegiatan
Masukan dari Divisi, Cabang dan KUP

KLASIFIKASI RISIKO
Klasifikasi risiko yang menjadi sasaran pengelolaan risiko dalam penerapan ERM dapat
bervariasi tergantung pada hasil risk assesment yang inherent dalam perusahaan. Secara
umum dan teoritis seperti pada gambar di bawah ini, risiko diklasifikasikan menjadi dua
kelompok besar yaitu risiko finansial dan risiko non finansial.

Gambar 8. Klasifikasi Risiko Secara Umum

Klasifikasi risiko yang menjadi sasaran pengelolaan risiko dalam penerarapan ERM PT
Askrindo memiliki karakteristik tersendiri karena sesuai dengan hasil risk assesment dan
karakteristik produk. Berdasarkan risk assesment yang dilakukan oleh unit manajemen risiko PT
Askrindo, secara umum ditemukan risiko yang berasal dari proses bisnis, aktivitas pendukung
usaha dan lingkungan eksternal terdiri dari:

a. Risiko Keuangan
Yaitu fluktuasi target keuangan atau ukuran moneter perusahaan karena gejolak berbagai
variabel makro. Risiko keuangan dapat berupa perubahan kebijakan, fluktuasi arus kas, risiko
pasar, risiko produk.
b. Risiko Operasional
Adalah potensi penyimpangan dari hasil yang diharapkan karena tidak berfungsinya suatu
sistem, SDM, teknologi, atau faktor lain. Risiko operasional bisa disebabkan oleh beberapa
faktor seperti: manusia (SDM), pencapaian kinerja, kepatuhan pada regulasi dan prosedur serta
kebijakan dalam industri penjaminan/asuransi.
c. Risiko Strategis
Adalah risiko yang dapat mempengaruhi eksposur korporat dan eksposur strategis sebagai
akibat keputusan strategis yang tidak sesuai dengan perubahan lingkungan eksternal dan
internal usaha. Risiko strategis bisa disebabkan oleh investasi perusahaan, perubahan teknoligi
dan informasi, turunnya reputasi perusahaan, dan tidak tercapainya sasaran strategis
perusahaan.
d. Risiko Eksternal
Adalah potensi penyimpangan hasil pada eksposur korporat dan strategis yang berdampak
pada potensi penutupan usaha akibat keadaan/tekanan eksternal. Yang termasuk risiko
eksternal antara lain: hukum dan perubahan kebijakan Pemerintah.

PROSEDUR PENGUKURAN RISIKO

Dalam proses pengukuran risiko, penerapoan ERM berbasis usaha penjaminan akan terlihat
jelas berdasarkan indikator yang memiliki relevansi dengan usaha penjaminan. Berikut proses
pengukuran risiko dengan pendekatan usaha penjaminan:

a. Ukuran Probabilitas Risiko

Probabilitas adalah suatu penilaian kuantitatif terhadap kemungkinan peluang terjadinya suatu
peristiwa risiko. Dengan menggunakan analisa statistik metoda poisson, dapat diperoleh tingkat
probabilitas sebagai berikut:

(1) Probabilitas Risiko Metode Poisson

Distribusi Poisson berhubungan dengan distribusi dari kejadian-kejadian dalam suatu waktu
tertentu. Syarat dari metode Poisson antara lain:
• Ada data historis tentan peristiwa yang terjadi di suatu lokasi
• Data dalam bentuk diskrit
• Ada data periode waktu ke depan yang ditetapkan Jam/hari/minggu/bulan/tahun)

Formula Distribusi Poisson adalah sebagai berikut:

Dimana,
P (x) = kemungkinan terjadinya peristiwa x
μ = rata-rata kejadian dalam periode tertentu
е = 2,718
x! = faktorial dari x

(2) Distribusi Binomial

Adalah banyaknya sukses x dalam n usaha suatu percobaan binomial disebut suatu perubahan
acak binomial. Distribusi peluang perubahan acak binomial x disebut distribusi Binomial dan
dinyatakan dengan b (x;n,p).
Syarat distribusi binomial yaitu:
• Ada data historis tentan peristiwa yang terjadi di suatu lokasi
• Data dalam bentuk diskrit
• Ada data historis probabilitas berhasil dan gagal

Distribusi binomial dihitung dengan menggunakan formula:

Dimana:
x = Jumlah kejadian
n = banyaknya sampel data
N = banyaknya populasi data
p = peluang sukses dalam suatu usaha
1-p = peluang terjadinya suatu kegagalan dalam suatu usaha

(3) Metode Aproksimasi

Digunakan apabila tidak tersedia data masa lalu yang dapat digunakan untuk mengetahui
kemungkinan terjadinya sesuatu kejadian. Metode ini memerlukan 3 (tiga) perkiraan
kemungkinan (probabilitas) dari suatu risiko kepada orang lain dan diformulasikan dengan
pendekatan rata-rata tertimbang.
Adapun ketiga nilai kemungkinan tersebut diperoleh dari:
• Atasan, supervisor atau manajer yang mengerti tentang peristiwa risiko yang diangkat.
• Karyawan di unit lain yang terkait dengan peristiwa risiko tersebut.
• Karyawan yang terkait langsung dengan peristiwa risiko tersebut, misal karyawan yang
menggunakan peralatan yang rusak.
Hasil penilaian ketiga orang dimasukkan ke dalam formula di bawah ini untuk mendapatkan nilai
probabilitas suatu peristiwa risiko:

O+4M+P
Probabilitas =
6
Dimana,
O = Nilai optimis, nilai tertinggi yang diperoleh.
M = Nilai moderat atau nilai tengah.
P = Nilai pesimis atau nilai terendah.

(4) Metode Pembanding

Digunakan apabila tidak tersedia data masa lalu dan data lainnya yang dapat digunakan untuk
mengetahui kemungkinan terjadinya sesuatu kejadian. Metode ini memerlukan pembanding
kemungkinan (probabilitas) dari suatu risiko yang pernah terjadi di tempat lain dan yang sejenis
serta setara dengan probabilitas risiko yang tengah dihadapi perusahaan saat ini.

(5) Metoda Pendekatan Indikasi Frekuensi

Untuk memudahkan pengisian data/informasi probabilitas risiko pada awal kegiatan proses
identifikasi risiko dapat menggunakan pendekatan frekuensi. Berikut tabel probabilitas dengan
menggunakan pendekatan frekuensi:

INDIKASI FREKUENSI
KRITERIA KETERANGAN
5
Hampir pasti terjadi setiap waktu
Hampir Pasti
4
Menurut pengalaman kejadian ini muncul beberapa kali
Mungkin Sekali
3
Menurut pengalaman baru terjadi satu kali
Mungkin
2
Kecil Pernah mendengar ada kejadian semacam itu
Kemungkinan
1
Belum pernah mendengar kejadian ini
Sangat Jarang

b. Dampak Risiko
Dampak risiko adalah suatu pertimbangan penilaian kuantitatif terhadap besarnya kerugian
(severity) yang akan diderita perusahaan atas suatu peristiwa risiko.
Kriteria dampak risiko adalah total kerugian yang diderita secara agregat atau total masing-
masing peristiwa risiko (hilangya peluang/opportunity loss) dari suatu kategori risiko yang
sama.
Besarnya toleransi risiko dapat dihitung atas dasar:
• Skala kapital (risk based capital)
• Skala perputaran usaha (gearing ratio)
• Skala kebutuhan solvabilitas minimum (BTSM)
• Skala pendapatan (premi penjaminan)
• Skala biaya operasional (underwriting)
Dimana masing-masing pendekatan ini merupakan pilihan, akan tetapi skalanya tetap dibuat
konsisten antara 1 sampai dengan 5
Dampak risiko juga dapat dinyatakan dalam hitungan rentang keuangan atau non keuangan.

Dampak risiko keuangan, artinya dampak suatu risiko dapat diukur dalam satuan mata uang
tertentu, misalnya rupiah atau dollar.

Dampak risiko non keuangan, artinya dampak risiko tersebut tidak dapat diukur dari sisi
keuangan saja, misalnya: dampak terhadap Strategi, Operasional, Kebijakan dan Pemasaran
serta Eksternal.

Selanjutnya dampak risiko keuangan dapat dipilah menjadi dua, yaitu dampak keuangan
langsung dan dampak keuangan tidak langsung.

Dampak keuangan langsung, adalah ukuran suatu dampak risiko dilihat dari sudut pandang jika
risiko tersebut benar-benar terjadi maka dampaknya akan menyebabkan kerugian langsung
bagi perusahaan sebesar sekian Rp/$. Hitungannya diukur dari sisi biaya langsung yang harus
dikeluarkan oleh perusahaan.

Dampak keuangan tidak langsung, adalah ukuran suatu dampak risiko dilihat dari sudut
pandang jika risiko tersebut benar-benar terjadi maka dampaknya akan menyebabkan kerugian
tidak langsung bagi perusahaan sebesar sekian Rp/$ karena ada kegiatan yang hilang/tidak
bisa dilaksanakan atau hilangnya waktu/kesempatan. Hitungannya diukur dari sisi biaya yang
harus dikeluarkan perusahaan terkait dengan peristiwa risiko tersebut.

PROSEDUR TOLERANSI RISIKO

Prosedur penetapan toleransi (batasan) risiko dapat digambarkan sebagai berikut:
Gambar 9. Prosedur Penetapan Tolerasi Risiko

Faktor yang menjadi pertimbangan dalam menetapkan besaran toleransi risiko

(1) Kecukupan Dana Cadangan Risiko
Besaran toleransi dihitung berdasarkan besaran alokasi cadangan untuk menanggung kerugian
apabila skenario terburuk risiko terjadi. Salah satu pertimbangan yang dapat digunakan adalah
menganggarkan dana cadangan risiko perusahaan berdasarkan rata-rata rasio Batas Tingkat
Solvabilitas Minimum (BTSM) atau Risk Based Capital sesuai ketentuan dan regulasi yang
berlaku.
Semakin baik metodologi dan sistem pengukuran yang dipergunakan, maka semakin baik pula
pengukuran risiko yang dihasilkannya khususnya dalam menggambarkan situasi
sesungguhnya. Dengan demikian alokasi cadangan untuk menanggung risiko akan lebih
proporsional, tidak berlebih atau kekurangan.

(2) Kinerja Usaha

Besaran toleransi juga dapat dihitung berdasarkan tingkat prosentase tertentu dari salah satu
komponen pada laporan keuangan perusahaan. Contoh aplikasi pendekatan ini adalah dengan
ditetapkannya persentase toleransi risiko dari premi/Imbal Jasa Penjaminan (IJP) yang
dihasilkan sesuai ketentuan dan regulasi yang berlaku.

(3) Kualitas Pengawasan Internal

Satuan Pengawasan Internal bekerjasama dengan unit kerja lainnya harus memastikan Risk
Owner benar-benar mengetahui, memahami, dan mematuhi batasan toleransi risiko yang telah
ditetapkan oleh BOD. Oleh karena itu Unit Manajemen Risiko selalu mengembangkan sistem
informasi dan pelaporan dimana setiap pemilik risiko (Risk Owner) dapat dengan mudah
mengukur sendiri risiko yang ada di unitnya masing-masing dibandingkan dengan batas
toleransi risiko yang telah ditetapkan. Apabila terjadi pelanggaran terhadap batas toleransi
risiko, maka perlu dipertimbangkan kenaikan batasan toleransi risiko atau cadangan risiko
perusahaan. Secara sistem perusahaan sudah menerapkan sistem pengendalian intrenal,
sehingga semua data/informasi mengenai proses bisnis yang terkait dengan manajemen risiko
sebenarnya sudah dikelola dengan baik.

(4) Kemampuan sistem internal menyelesaikan permasalahan dan transaksi bisnis

Semakin baik kemampuan sistem internal menyelesaikan setiap permasalahan dan risiko yang
terjadi, maka semakin rendah dana cadangan risiko yang dialokasikan dan semakin ringan
beban perusahaan. Sebaliknya, sistem internal yang tidak efektif dalam menyelesaikan
permasalahan maka risiko-risiko inherent ada pada proses bisnis yang akan mengakibatkan
toleransi risiko semakin besar dan semakin membebani dana cadangan risiko perusahaan.

(5) Kecepatan perusahaan merespon adanya ancaman dari eksternal

Manajemen perusahaan perlu menciptakan sistem informasi yang efektif dan cepat sehingga
dapat mengantisipasi dengan perubahan eksternal yang mengancam perusahaan. Semakin
cepat risk awarness dibangun, semakin cepat pula perusahaan melakukan perhitungan
terhadap perubahan risiko yang ada dan mampu mengetahui kecukupan dan kekuatan dana
cadangan. Sehingga manajemen dapat dengan cepat mengantisipasi segala kejutan-kejutan
yang terjadi, bahkan bila diperlukan akan memberikan dukungan dalam bentuk dana cadangan
risiko baru.

SEBAB, AKIBAT DAN DAMPAK RISIKO NON KEUANGAN

a. Sebab Risiko
Sebab risiko adalah faktor yang menimbulkan terjadinya suatu peristiwa risiko, biasanya dapat
dicari dengan menggunakan pendekatan 6 M
• Man (manusia)
• Machine (mesin)
• Method (metoda kerja)
• Money (uang)
• Material (sumber daya perusahan lain yang mendukung pekerjaan)
• Market (pasar)
• Eksternal

Sebab risiko sebenarnya secara logika dapat dicari dengan menggunakan metoda diagram
tulang ikan (fish bone method)

b. Akibat Risiko

Adalah dampak yang disebabkan oleh terjadinya suatu peristiwa risiko, misalnya akibat
ketidakpatuhan manusia terhadap ketentuan yang berlaku maka akibat risikonya adalah
terjadinya penyimpangan kerja yang bisa berkahir pada suatu dampak terhadap regulasi/hukum
yang berlaku.

c. Dampak Risiko Non Keuangan

Adalah akibat dari suatu peristiwa risiko yang menyebabkan terjadinya penyimpangan atau
gagalnya suatu proses kerja sehingga tidak tercapainya tujuan perusahaan. Dampak risiko non
keuangan seringkali susah untuk diterjemahkan secara kuantitatif, namun untuk
memudahkannya dampak risiko non keuangan dibagi sebagai berikut:

• Strategik
o Penempatan Investasi
o Hasil Pengembangan Investasi
o Informasi dan Teknologi
o Reputasi
o Pencapaian Sasaran Strategi Perusahaan

• Operasional
o Kehilangan Tenaga Ahli
o Motivasi Karyawan
o Pencapaian Kinerja (RKAP)
o Kepatuhan terhadap Regulasi Umum
o Kepatuhan terhadap Regulasi Khusus
o Penyampaian Laporan STOA
• Kebijakan dan Pemasaran
o Kebijakan Internal
o Kebijakan Limit Penutupan
o Pengembangan Produk dan Wilayah Baru
o Pengembangan Produk Yang Merugikan

• Eksternal
o Hukum dan Finansial
o Hukum non Finansial
o Perubahan Kebijakan Pemerintah

PENGENDALIAN DAN PENGAWASAN RISIKO

Pengendalian risiko dilakukan bersama-sama antar unit kerja dengan Unit Manajemen Risiko.
Proses pengendalian risiko dilakukan dengan memperhatikan beberapa aspek penting, seperti:

a. Kebenaran Input data risiko, yang dilengkapi dengan akurasi catatan dan data pendukung
setiap peristiwa risiko.
b. Akurasi pemilihan metoda pengukuran risiko
i. Probabilitas risiko: sesuai dengan pendekatan yang digunakan (poisson, binomial,
aproksimasi dan pembanding).
ii. Dampak risiko: sesuai ketepatan perhitungan dampak keuangan atau pendekatan non
keuangan
c. Kecepatan mengambil keputusan untuk menyetujui (approve) suatu peristiwa risiko.
d. Ketepatan memilih mitigasi risiko untuk mengurangi tingkat probabilitas dan dampak risiko
sampai menjadi risiko yang inherent.

Pengawasan risiko tahap awal dilakukan dengan melibatkan Risk Owner dari setiap unit kerja
baik operasional maupun non operasional. Setelah Risk Owner mengisi suatu peristiwa risiko,
maka harus disetujui (approve) oleh para atasannya masing-masing. Tujuan dari kegiatan ini
adalah untuk memastikan kebenaran data dan informasi risiko dan langkah-langkah mitigasi
yang tepat untuk mengatasi peristiwa risiko tersebut.
Unit Manajemen Risiko melakukan kaji ulang terhadap keakurasian data dan ketepatan
pemilihan metoda pengukuran serta keterkaitan dengan peristiwa risiko lainnya.

PELAPORAN RISIKO

Pelaporan risiko dilakukan dengan berbagai cara untuk memudahkan semua unit kerja yang
terkait dalam penerapan ERMi. Ada 4 (empat) jenis laporan manajemen risiko antara lain:

1) Laporan setiap waktu, melalui sistem informasi manajemen risiko korporat terintegrasi
dengan pendekatan teknologi informasi (software manajemen risiko), yang sudah dicanangkan
bersama.
2) Laporan bulanan, yang disajikan oleh Unit Manajemen Risiko berupa risk register , saran
mitigasi, peta risiko dan mutasi risiko dari seluruh peristiwa risiko.
3) Laporan triwulanan/kuartal, yang disajikan oleh Unit Manajemen Risiko. Berupa risk register,
peta risiko dan mitigasi risiko serta analisa risiko inherent.

MITIGASI RISIKO (RISK RESPONSE)

Secara umum, perlakuan terhadap suatu risiko dapat berupa salah satu dari 4 jenis
pengelolaan risiko berikut:

a. Menghindari risiko, yang berarti tidak melaksanakan atau meneruskan kegiatan yang
menimbulkan risiko
b. Berbagi risiko, yaitu suatu tindakan untuk mengurangi kemungkinan timbulnya risiko atau
dampak risiko. Kegiatan yang dapat dilakukanantara lain melalui: asuransi, outsourcing,
subcontracting, lindung nilai transaksi.
c. Pengurangan risiko, yaitu melakukan tindakan/kegiatan untuk mengurangi kemungkinan
timbulnya risiko bila terjadi dalam bentuk probabilitas dan/ dampak risiko.
d. Menerima risiko, yaitu tidak melakukan apapun untuk menghindar, berbagi atau mengurangi
risiko tersebut.

Gambar 10. Probabilitas Dan Dampak Risiko

PEMANTAUAN RISIKO

Proses pemantauan risiko dilakukan melalui berbagai tahap kegiatan, seperti tergambar dalam
bagan proses review internal dan eksternal dibawah ini. Adapun proses pemantauan risiko
dilakukan melalui tahap:

a. Penetapan strategi manajemen risiko, dalam setiap langkah strategi yang dipilih oleh
perusahaan tentu mengandung suatu risiko. Oleh sebab itu setiap pemilihan dan
pengembangan alternatif strategi diperlukan kajian yang menyangkut risiko terhadap keputusan
perusahaan.

b. Toleransi risiko, didalam proses pembuatan manual risiko maka diperlukan suatu kajian
berupa batasan tentang risiko, sebab, akibat dan dampak risiko. Toleransi risiko perlu
dipertimbangkan setiap 2 (dua) tahun sekali atau jika ada keadaan yang mendesak sehingga
memerlukan perbaikan.

c. Eksekusi strategi, merupakan langkah pengamanan pertama yang dilakukan oleh

perusahaan dalam menanggapi masukan terhadap setiap pemilihan dan pengembangan
alternatif strategi.
Gambar 11. Proses Review Internal dan Eksternal

d. Eksekusi operasional, dalam pelaksanaan setiap langkah strategi yang dilakukan oleh
perusahaan diperlukan input mengenai langkah-langkah pengamanan operasional dari setiap
risiko yang mungkin terjadi. Input informasi mengenai risiko tersebut dilakukan oleh Risk Owner,
yang selanjutnya akan dikaji oleh masing-masing unit kerja dan dipandu oleh Unit Manajemen
Risiko. Langkah pengamanan operasional ini dapat berupa pengurangan, penurunan atau
penghindaran terhadap suatu risiko atau biasa dinamakan tindakan mitigasi.

e. Sistem Pengendalian, melalui suatu penilaian kinerja (business performance) Perusahaan

dapat mengetahui besaran pencapaian maupun biaya yang harus dikeluarkan di dalam setiap
kegiatan operasional. Dalam prakteknya setiap kegiatan tersebut seharusnya sudah
memasukan unsur pencadangan terhadap setiap risiko yang mungkin terjadi. Namun demikian
apabila masih terjadi juga suatu peristiwa risiko, maka langkah pengendalian selanjutnya
adalah mengupayakan tindakan mitigasi. Sistem pengendalian ini merupakan suatu proses
yang berkesinambungan dan dilakukan secara konsisten sehingga mencapai suatu risiko yang
inherent.

f. Preferensi Risiko, merupakan langkah bagian akhir dari pelaksanaan kegiatan manajemen
risiko. Dari beberapa bagian kegiatan dan langkah-langkah yang telah dijelaskan diatas, maka
akan timbul preferensi risiko yang berlaku di lingkungan perusahaan. Preferensi risiko ini
tentunya dari waktu ke waktu akan terus mengalami perubahan dan pengembangan, agar
mampu menjembatani antara kebutuhan internal dan perubahan serta kemauan eksternal
terhadap keberadaan perusahaan pada saat ini dan masa mendatang.

SISTEM INFORMASI MANAJEMEN RISIKO

Pengolahan data risiko dan pembuatan laporan risiko secara periodik kepada BOD memerlukan
sistem informasi berbasis komputer. Dalam pembangunan sistem informasi manajemen risiko
dalam bentuk program aplikasi berbasis Web dilakukan beberapa langkah awal yaitu;

Langkah pertama yang dilakukan adalah mempelajari keinginan perusahaan tentang tujuan
dibuatnya software tersebut. Didalam langkah ini termasuk diantaranya adalah apa saja data
yang bisa diolah, bagaimana proses penginputan data, siapa saja yang sebaiknya dilibatkan
dalam proses penginputan data.

Langkah kedua, membuat kerangka dasar program. Kegiatan yang dilakukan adalah
membangun sendi dasar (pondasi) program,yang terdiri dari dimensi pengukuran dan
pengelompokkan data. Kemudian membuat penyangga program untuk memproses data, yang
terdiri dari: jenis data, format data, sistem approval dan jenis laporan. Berikutnya adalah
membangun atap dari rancang bangun program dalam bentuk output, berupa sistem pelaporan
manajemen risiko. Jika proses ini digambarkan maka dapat diilustrasikan seperti pada gambar
di bawah ini.

Gambar 12. Rancang bangun software manajemen Risiko

Langkah ketiga, adalah melakukan uji coba dan sosialisasi program. Langkah uji coba
dilakukan untuk mengurangi berbagai kemungkinan kesalahan dan kekurang-tepatan program
manajemen risiko. Sosialisasi program dilakukan agar setiap Risk Champion/Risk Contact
Person memahami bagaimana prosedur membuka program, menginput data/informasi peristiwa
risiko, melampirkan data/informasi yang diperlukan, mengolah peristiwa risiko hingga menjadi
laporan dan memanfaatkan program untuk keperluan evaluasi/monitoring.

Tujuan pembuatan software manajemen risiko antara lain:

a. Mempercepat proses penginputan dan perekaman data/informasi identifikasi Manajeme

Risiko. Agar Risk Champion/Risk Contact Person lebih cepat dalam memasukkan data risiko,
maka diperlukan keseragaman alat bantu berupa sistem manual dan sarana teknologi informasi
dalam bentuk software.

b. Memudahkan pengukuran probabilitas dan dampak risiko

Untuk menyeragamkan sekaligus menyediakan alat bantu guna memudahkan pekerjaan Risk
Champion/Risk Contact Person dan para penanggungjawab Unit Kerja, maka diperlukan alat
yang sama dalam proses mengukur probabilitas dan dampak risiko.

c. Mempercepat penggambaran peta risiko,dan membuat risk register

Proses pencatatan peristiwa risiko yang dimulai dari input data risiko, menetapkan probabilitas
risiko sampai menghitung dampak risiko, telah dilakukan melalui software. Oleh karena itu data
base risiko yang sudah di input akan dipetakan, dan juga di catat kedalam suatu daftar risiko
yang disebut sebagai risk register.

d. Memudahkan proses pencatatan mitigasi risiko melalui risk register.

Risk register merupakan catatan semua informasi yang berisi data/informasi tentang peristiwa
risiko lengkap dengan langkah-langkah mitigasi risiko yang akan dan sudah dilakukan,
termasuk hasil akhirnya.

e. Mengintegrasikan risiko secara korporat.

Yaitu upaya mengelola semua peristiwa risiko yang ada dalam organisasi, mengkomunikasinya
dalam sarana teknologi informasi kepada setiap Unit Kerja, sehingga tercapainya sistem
pengendalian korporat yang terintegrasi.

ORGANISASI MANAJEMEN RISIKO

Salah satu kunci keberhasilan penerapan ERM adalah ada organisasi manajemen risiko yang
memanage pengelolaan risiko secara terintegrasi yang melibatkan seluruh komponen
perusahaan mulai dari BOD dan seluruh karyawan. Organisasi unit manajemen risiko secara
best practice biasanya setingkat dengan divisi, namun apabila ukuran perusahaan sangat besar
dan kompleks maka unit manajemen risiko dapat setingkat Direktorat.
Unit manajemen risiko setingkat Divisi agar lebih efektif dan independen selayaknya berada
langsung di bawah Direktur Utama. Hal ini perlu unit manajemen risiko diposisikan demikian
untuk menghindari intervensi dari direktur lainnya dan bisa melakukan koordinasi dengan
mudah secara lintas direktorat.
Peranan dan tanggung jawab organisasi ERM secara umum dapat dilihat pada bagan di bawah
ini.

Gambar 13. Peranan dan Tanggung Jawab Organisasi ERM

Dalam organisasi ERM, ada organ organisasi yang penting yaitu dkenal sebagai Risk Contact
Person atau Risk Owner atau Risk Champion. Pengertian Risk Owner adalah seluruh wakil dari
unit kerja yang telah ditunjuk yang ada di seluruh unit kerja yang terlibat secara langsung
dengan risiko dan bertindak sebagai pemilik risiko yang sesungguhnya (real Risk Owner) dari
setiap transaksi ataupun kegiatan yang dilakukannya. Risk Owner bertindak independen
terhadap Unit Manajemen Risiko.

STRUKTUR ORGANISASI MANAJEMEN RISIKO

Bagan berikut menggambarkan hubungan antara Kebijakan Strategis, Pedoman, Prosedur

Operasi dan Arsitektur Sistem Informasi Manajemen Risiko

Gambar 14. Hubungan Antara Kebijakan Strategis, pedoman, Prosedur Operasi dan Arsitektur
Sistem Informasi Manajemen Risiko
Berdasarkan ISO31000: 2009 Risk Management - Principles and Guidelines, praktik terbaik manajemen
risiko melibatkan seluruh bagian dari organisasi. Keterlibatan organisasi secara keseluruhan pada
kegiatan manajemen risiko menuntut adanya pembagian peran dan tanggung jawab yang jelas, dengan
turut mempertimbangkan kompetensi dan peran lain dari tiap unit tersebut. Hal ini diperlukan agar tidak
terjadi tumpang tindih, missing link, atau inefisiensi pada kegiatan manajemen risiko.

Dua fungsi esensial yang memiliki keterkaitan erat pada kegiatan manajemen risiko adalah fungsi
manajemen risiko dan internal audit. Kedua fungsi ini memiliki peran dalam menjamin efektivitas
penerapan manajemen risiko organisasi. Perbedaan fundamental dari kedua fungsi tersebut terletak
pada delegasi tanggung jawab. Fungsi manajemen risiko bertugas untuk mengarahkan praktik enterprise
risk management pada organisasi, terutama untuk menghadapi risiko-risiko utama yang dapat
mengganggu pencapaian sasaran organisasi. Di sisi lain, fungsi internal audit bertugas untuk memonitor,
memantau, dan menilai efektivitas pengendalian internal dan manajemen risiko.

Gambar 1 Perubahan Sasaran dan Aktivitas Kunci dari Fungsi Manajemen Risiko
Sumber: The Risk Perspective, Executive Summary (2012).

Gambar 1 mendeskripsikan perkembangan fungsi manajemen risiko yang dijelaskan oleh Risk and
Insurance Management Society (RIMS). Fungsi manajemen risiko bertanggung jawab untuk membentuk
kerangka kerja dan proses manajemen risiko dalam menghadapi risiko-risiko signifikan yang dapat
mempengaruhi pencapaian tujuan organisasi. Integrated risk management menerapkan kegiatan
pencegahan dan pengurangan dampak negatif dari risiko. Seiring berjalannya waktu, manajemen risiko
yang tadinya berperan untuk melindungi kegagalan organisasi, berubah menjadi komponen competitive
advantage bagi organisasi. Selain menciptakan kerangka kerja dan proses manajemen risiko dalam
menghadapi risiko, fungsi manajemen risiko juga meningkatkan kapabilitas organisasi dalam mengejar
peluang. Fungsi ini juga meningkatkan kemampuan pengambilan keputusan strategis organisasi melalui
penyediaan informasi yang relevan dan komprehensif. Dalam menciptakan manajemen risiko yang efektif
bagi organisasi, fungsi manajemen risiko berkolaborasi dengan fungsi internal audit.

Peran Internal Audit terkait Manajemen Risiko

Institute of Internal Auditors (IIA), menjelaskan kegiatan internal audit sebagai kegiatan independen yang
mendukung pencapaian sasaran organisasi, dan aktivitas konsultasi yang dirancang untuk memberikan
nilai tambah dan memperbaiki operasi organisasi. Aktivitas ini membantu organisasi untuk mencapai
tujuannya dengan membawa pendekatan sistematik dan disiplin untuk mengevaluasi dan meningkatkan
 efektivitas manajemen risiko, pengendalian, dan proses governance. Tugas inti auditor internal berkaitan
dengan manajemen risiko adalah untuk memberikan kepastian bahwa kegiatan manajemen risiko telah
berjalan dengan efektif dalam memberikan jaminan yang wajar terhadap pencapaian sasaran organisasi.
Dua cara penting untuk menjalankan tugasnya adalah dengan:
1. memastikan bahwa risiko utama dari bisnis telah ditangani dengan baik; dan
2. memastikan bahwa kegiatan manajemen risiko dan pengendalian internal telah berjalan dengan efektif.

Berikut adalah gambaran mengenai hal-hal yang menjadi, peran dan tanggung jawab auditor internal
terkait dengan manajemen risiko, yang dapat menjadi bagian dari tanggung jawab auditor internal, serta
yang seharusnya tidak menjadi tanggung jawabnya.

Gambar 2 Tanggung Jawab Internal Audit Terkait Manajemen Risiko

Sumber: The Role of Internal Auditing In E nterprise-Wide Risk Management. (2009).

Hal yang perlu disoroti dari Gambar 2 adalah “tanggung jawab kegiatan manajemen risiko yang tidak
boleh didelegasikan kepada internal audit”. Untuk menjaga efektivitas kegiatan audit internal, tanggung
jawab yang diberikan terhadap auditor internal terkait kegiatan manajemen risiko harus didesain agar
tidak mengganggu independensinya. Hal ini dikarenakan internal audit memiliki peran penting dalam
melakukan pengawasan, pemantauan, dan penilaian terhadap efektivitas pengendalian internal dan
 kegiatan manajemen risiko organisasi. Pemberian tanggung jawab kepada auditor internal untuk
menentukan risk appetite, membentuk risk management process, dan sebagainya dapat
menimbulkan clash of interest yang berpotensi untuk mengganggu penilaian mereka pada efektivitas
manajemen risiko.

Kolaborasi Fungsi Manajemen Risiko dan Internal Audit

Terdapat beberapa alasan yang mendasari paradigma bahwa fungsi manajemen risiko sebaiknya
berkolaborasi dengan fungsi internal audit. Berdasarkan case study yang dilakukan oleh RIMS dan IIA,
alasan-alasan tersebut adalah
 Untuk menghubungkan rencana audit dan penilaian risiko perusahaan, serta berbagi produk kerja
lainnya. Hal ini dibutuhkan untuk meningkatkan koordinasi dalam usaha menjamin bahwa risiko-risiko
utama dapat ditangani dengan efektif.
 Berbagi sumber daya-sumber daya tertentu untuk mendukung efisiensi. Sumber daya yang dimaksud
termasuk sumber daya keuangan, manusia, dan waktu.
 Saling meningkatkan kompetensi, peran, dan tanggung jawab setiap fungsi. Menyediakan infrastruktur
komunikasi yang konsisten.
 Menilai dan memantau risiko strategis. Dapat membentuk pemahaman yang lebih mendalam dan
treatment yang fokus untuk mengatasi risiko strategis. Berdasarkan pengalamannya, Irene Corbe
(Whirlpool Corp.)menyatakan bahwa pengadaan pertemuan dengan divisi manajemen risiko dapat
meningkatkan pemahaman fungsi audit internal terhadap profil risiko perusahaan.

Berikut adalah contoh yang menggambarkan kolaborasi fungsi manajemen risiko dan internal audit pada
beberapa perusahaan internasional:
1. Cisco Systems
 Cisco Systems adalah sebuah perusahaan penyedia jasa dan peralatan networking, dimana struktur
utamanya dibentuk berdasarkan fungsi bisnis. Cisco membentuk Risk and Resilience Operating
Committee (RROC) sebagai kolaborasi antara 55 orang staf internal audit dengan 4 staf manajemen
risiko. Menurut Roush, ketua RROC, kolaborasi tersebut telah berhasil membangun kapabilitas yang
lebih tinggi pada kedua unit tersebut. Selain mengadakan koordinasi lintas fungsi, RROC juga melihat
inherent risks dari sudut pandang yang lebih luas. Beberapa tanggung jawab RROC adalah untuk
mengelola risiko yang berkaitan dengan ketahanan perusahaan, misalnya risiko dengan probabilitas
rendah namun memilikiimpact yang dapat menghentikan keberlangsungan perusahaan. Selain
pembentukan RROC, fungsi manajemen risiko dan internal audit juga berkolaborasi dalam
mengidentifikasi emerging risk dan menginisiasi perbaikan terhadap manajemen risiko perusahaan
berdasarkan laporan Enterprise Risk Assessment (ERA).
2. Hospital Corporation of America

Hospital Corporation of America (HCA) adalah perusahaan operator rumah sakit dan sistem kesehatan
pada beberapa negara bagian Amerika. Pada awalnya, tanggung jawab terhadap manajemen risiko HCA
didelegasikan kepada sebuah divisi yang bernama “divisi internal audit dan manajemen risiko”. Joe
Steakley, wakil presiden senior divisi internal audit dan manajemen risiko, menyadari bahwa tidak seluruh
risiko dapat diidentifikasi dari sudut pandang internal audit. Dia menyadari bahwa manajemen risiko
harus mengikutsertakan peran CEO, Board members, dan risk owner. Steakley bersama direkturnya,
David Hughes, membangun program untuk pembentukan ERM pada HCA. David Hughes ditunjuk
sebagai asisten wakil presiden ERM dan business continuity plan, bertanggung jawab untuk memberikan
laporan kepada Steakley, yang nantinya akan melapor kepada Komite Audit, dan lalu diberikan kepada
CEO. Hirarki ini memungkinkan Hughes, yang hanya memiliki tiga orang staf, untuk memanfaatkan 140
staf internal audit di bawah Steakley, dan akses terhadap partisipan lain dalam governance untuk tujuan
ERM. HCA telah memperoleh status sebagai perusahaan dengan manajemen risiko yang matang.
3. Whirlpool Corporation

Whirlpool Corporation merupakan perusahaan manufaktur peralatan rumah tangga. Whirlpool tidak
memiliki struktur yang menyatakan bahwa CEO manajemen risiko perlu memberikan laporan terhadap
internal audit, dan sebaliknya. Kedua fungsi tersebut memberikan laporan kepada Komite Audit. Namun
 kedua CEO dari fungsi manajemen risiko dan internal audit melakukan pertemuan profesional secara
kontinu untuk melakukan information sharing dan review kegiatan manajemen risiko perusahaan.
Pertemuan ini memperdalam pemahaman dan pengetahuan mereka terhadap risiko dan pengelolaan
risiko yang ada pada perusahaan.
Merujuk pada praktik sukses yang digambarkan perusahaan-perusahaan di atas, kolaborasi antara fungsi
manajemen risiko dan internal audit merupakan sebuah inisiasi yang dapat mendatangkan manfaat pada
berbagai jenis perusahaan. Menurut RIMS dan IIA, manfaat-manfaat yang dapat diperoleh dari kolaborasi
tersebut berupa:
1. Memastikan bahwa risiko-risiko kritikal telah diidentifikasi secara efektif;
2. Penggunaan sumber daya langka dengan efisien;
3. Komunikasi yang dalam dan konsisten, terutama pada level Board dan manajemen;
4. Pengertian yang lebih dalam dan penanganan yang terfokus pada risiko yang paling signifikan terhadap
pencapaian tujuan organisasi.
Komunikasi secara terbuka dan konsisten merupakan metode utama yang dapat diterapkan dalam
kolaborasi kedua fungsi ini. Komunikasi dapat membangun pendalaman pandangan terhadap risiko-risiko
yang melekat pada organisasi dan meningkatkan kapabilatas tiap divisi untuk mengelola risiko-risiko
tersebut. Namun kolaborasi tersebut harus memiliki batasan yang jelas mengenai tanggung jawab dan
peran setiap fungsinya. Kolaborasi yang dilakukan juga harus disesuaikan dengan karakteristik dan
tujuan perusahaan.

Daftar Pustaka
(1) The Role of Internal Auditing in Enterprise-Wide Risk Management. (2009).
Diunduh dari:
https://na.theiia.org/standards-
guidance/Public%20Documents/PP%20The%20Role%20of%20Internal%20Auditing%20in%20Enterprise
%20Risk%20Management.pdf

(2) The Risk Perspective. Executive Summary. (2012). Risk Management and Internal Audit: Forging a
Collaborative Alliance.
Diunduh dari:
https://na.theiia.org/standards-
guidance/Public%20Documents/RIMS%20and%20The%20IIA%20Executive%20Report%20Forging%20
a%20Collaborative%20Alliance.pdf

(3) ISO31000 Risk Management – Principles and Guidelines. (2009).

Risiko dan Manajemennya (Risk & The Risk

Management)
Setelah diketahui Persyaratan Manajemen Risiko Badan Usaha Milik Negara, timbul
pertanyaan ”bagaimana memenuhi dan melaksanakannya?”. Untuk itu perlu dipahami
lebih dulu apa itu risiko dan manajemen risiko kemudian memahami langkah-langkah
penerapannya.
Terdapat beberapa beberapa standar manajemen risiko dengan definisi mengenai risk
atau risiko dan manajemen risiko masing-masing.

Beberapa standar itu antara lain :

1. COSO (Committee of Sponsoring Organizations of the Treadway Commission), suatu

himpunan dari beberapa organisasi profesi di negara AS, al. American Accounting
Association, American Institute of Certified Public Accountants, Financial Executives
International, Institute of Management Accountants, The Institute of Internal Auditors.
2. ISO 31000 – Risk management — Principles and guidelines

1. COSO Enterprise Risk Management

COSO pada tahun 2004 menerbitkan Enterprise risk management – Integrated
Framework, dengan beberapa pengertian antara lain sebagai berikut :

Events – Risks and Opportunities (Kejadian – Risiko dan Peluang)

Events can have negative impact, positive impact, or both. Events with a negative
impact represent risks, which can prevent value creation or erode existing value.
Events with positive impact may offset negative impacts or represent opportunities.
Opportunities are the possibility that an event will occur and positively affect the
achievement of objectives, supporting value creation or preservation. Management
channels opportunities back to its strategy or objective-setting processes, formulating
plans to seize the opportunities.

Suatu kejadian bisa mempunyai dampak negatif, dampak positif atau

keduanya.Kejadian dengan dampak negatif dinamakan risiko, yang dapat
mencegah kreasi nilai atau mengurangi nilai yang ada. Kejadian dengan dampak positif
dapat mengurangi dampak negatif atau dinamakan peluang. Peluang adalah
kemungkinan kejadian yang akan menjadikan pencapaian tujuan atau yang berakibat
posistif untuk pencapaian tujuan, yang mendukung kreasi nilai atau pemeliharaan nilai.
Manajemen mengaitkan peluang-peluang dengan strategi atau proses penetapan tujuan
dan menformulasikan rencana-rencana sesuai dengan peluang-peluang itu.

Enterprise Risk Management Defined (Manajemen Risiko Perusahaan didefinisikan

sebagai) :

Enterprise risk management deals with risks and opportunities affecting value
creation or preservation, defined as follows:

Enterprise risk management is a process, effected by an entity’s board of directors,

management and other personnel, applied in strategy setting and across the
enterprise, designed to identify potential events that may affect the entity, and manage
risk to be within its risk appetite, to provide reasonable assurance regarding the
achievement of entity objectives.

Manajemen Risiko Perusahaan adalah berhubungan dengan risiko-risiko dan peluang-

peluang yang mempengaruhi kresi nilai atau pemelihataannya, yang didefinsikan
sebagai berikut :

Manajemen Risiko Perusahaan adalah suatu proses, yang dijalankan oleh dewan
komisaris/pengawas, manajemen (dewan direksi) dan personel yang lain, yang
diterapkan dalam penetapan strategi dan diterapkan n di seluruh perusahaan, yang
dirancang untuk mengidentifikasi potensi kejadian-kejadian yang bisa mempengaruhi
perusahaan dan mengelola risiko-risiko itu di dalam selera risiko perusahaan, untuk
menjamin secara rasional pencapaian tujuan-tujuan perusahaan.

Komponen Enterprise Risk Management (ERM) COSO :

Komponen digambarkan sebagai sebuah kubus, yang mempunyai tiga permukaan yang
tampak. Ketiga permukaan itu adalah :
Permukaan dari sisi kanan adalah komponen entitas perusahaan yaitu :

 Entity-Level (Level Perusahaan).

 Division (Divisi).
 Business Unit (Unit Bisnis).
 Subsidiary (Anak Perusahaan).
Permukaan dari sisi atas adalah komponen tujuan Manajemen risiko perusahaan yaitu :

 Strategic (Strategis).
 Operation (Operasi).
 Reporting (Pelaporan).
 Compliance (Kepatuhan).
Permukaan dari sisi depan adalah komponen proses Manajemen risiko perusahaan
yaitu :

 Internal Environment (Kondisi Lingkungan Internal).

 Objective Setting (Penetapan Tujuan).
 Event Identification (Identifikasi Kejadian).
 Risk Assessment (Asesmen Risiko).
 Risk Response (Penanggapan Risiko).
 Control Activities (Aktifitas Pengendalian).
 Information & Communication (Informasi & komunikasi)
 Monitoring (Pemantauan).
———–+—————-

2. ISO 31000:2009 – Risk management — Principles

and guidelines
ISO 31000:2009, Risk management – Principles and guidelines, berisi prinsip-prinsip,
framework dan proses untuk mengelola risiko. Standar ini dapat digunakan oleh setiap
organisasi (bagaimanapun besarnya, apapun aktifitasnya atau sektornya). Penerapan
ISO 31000 dapat membantu organisasi menaikkan kemungkinan pencapaian tujuan,
memperbaiki identifikasi peluang-peluang dan ancaman-ancaman. Penerapan ISO
31000 dapat membantu organisasi serta secara efektif mengalokasikan & menggunakan
sumber daya untuk perlakuan risiko.
ISO 31000 tidak digunakan untuk tujuan sertifikasi, artinya tidak/belum ada sertifikat
ISO 31000 untuk suatu organisasi, tetapi ISO 31000 bisa digunakan untuk program
audit/asesmen manajemen risiko. Organisasi yang menerapkan standar ini dapat
membandingkan praktek manajemen risikonya dengan organisasi lain (bencmarking).
Organisasi yang menerapkan standar ini dapat terbantu mewujudkan manajemen yang
efektif dan bertata-kelola lebih baik (GCG/Good Corporate Governance).
(Ref.http://www.iso.org/iso/home/standards/iso31000.htm).

Definisi risiko dan manajemen risiko menurut ISO 31000:2009.

 Risiko adalah dampak dari ketidakpastian terhadap pencapaian obyektif. Dampak

menurut ISO 31000 adalah deviasi dari apa yang diharapkan, bisa bersifat positif dan/atau
negatif.
 Manajemen risiko adalah aktivitas-aktivitas yang terkoordinasi untuk mengarahkan dan
mengendalikan sebuah organisasi yang berkaitan dengan risiko.
Manajemen risiko di dalam suatu organisasi digambarkan sebagai suatu
skema/diagram kaitan antara prinsip-prinsip, kerangka kerja, dan proses-proses
manajemen risiko.
Prinsip-Prinsip Manajemen Risiko ISO 31000:2009

Supaya manajemen risiko dapat efektif dilaksanakan, maka organisasi di semua

tingkatan harus memenuhi prinsip-prinsip, yaitu :

1. Manajemen risiko menciptakan dan melindungi nilai yang berkontribusi untuk

pencapaian obyektif dan perbaikan organisasi.
2. Manajemen risiko merupakan bagian yang terintegrasi dengan keseluruhan proses
dalam organisasi dan menjadi bagian dari tanggung jawab manajemen.
3. Manajemen risiko merupakan bagian dari proses pengambilan keputusan melalui
peranannya dalam memberikan pilihan kepada pengambil keputusan.
4. Manajemen risiko secara eksplisit memperhitungkan ketidakpastian dan sifat ketidak
pastian itu, serta berusaha mengurangi ketidakpastian dalam setiap aktivitasnya dalam
memastikan pencapaian obyektif organisasi.
5. Manajemen risiko adalah suatu yang sistematis, terstruktur, dan tepat waktu agar
dapat berkontribusi secara efisien dan secara konsisten menghasilkan sesuatu yang dapat
diperbandingkan dan diandalkan
6. Manajemen risiko berdasarkan ketersediaan informasi yang terbaik seperti data
historis, pengalaman, umpan balik pemangku kepentingan, observasi, perkiraan ke depan
(forecasts) dan pertimbangan para ahli sehingga. Tetapi para pengambil keputusan masih
dapat melihat dan mempertimbangkan keterbatasan data atau pemodelan yang digunakan
atau adanya kemungkinan divergensi pendapat diantara para ahli.
7. Manajemen risiko memerlukan penyesuaian sesuai dengan konteks eksternal dan
internal organisasi dan profil risiko organisasi itu.
8. Manajemen risiko memperhitungkan faktor manusia dan budayanya yang
merupakan kemampuan, persepsi dan kemauan individu eksternal maupun internal dari
suatu organisasi yang dapat mendukung atau merongrong pencapaian obyektifnya.
 9. Manajemen risiko adalah transparan dan inklusif melibatkan semua pemangku
kepentingan terutama pengambil keputusan dalam menentukan kriteria risiko.
10. Manajemen risiko adalah dinamis, iteratif, dan responsif terhadap
perubahan, eksternal dan internal.
11. Manajemen risiko memfasilitasi perbaikan berkelanjutan organisasi yang diukur dari
tingkat kematangan manajemen risikonya.

Framework (Pola kerja ) Manajemen Risiko ISO 31000:2009

Framework Manajemen Risiko ISO 31000:2009 dalam klausul 4 (lihat gambar di

bawah) terdiri atas :

Mandat (pemberian wewenang) dan komitmen (amanah) di klausul 4.2.

1. Rancangan Pola kerja untuk mengelola risiko di klausul 4.3.

2. Penerapan manajemen risiko di klausul 4.4.
3. Pemantauan dan review terhadap framework di klausul 4.5.
4. Perbaikan framework berkelanjutan di klausul 4.2.
Framework Manajemen Risiko ISO 31000:2009 menggunakan PDCA atau Plan Do
Check Action, untuk perbaikan berkelanjutan (continual improvement) sebagai basis
framework dan proses manajemen risiko. PDCA ini digambarkan secara jelas pada
gambar di bawah.
Plan – mendefinisikan dan analisis suatu masalah serta mengidentifikasi akar
masalahnya.


 Mengkomunikasikan dan melatih.
 Rencana komunikasi dan pelaporan.
 Strategi training.
 Jaringan manajemen risiko.
Do – melaksanakan solusi, membuat rencana kerja secara terinci dan menarapkannya
secara sistematis.

Yang masuk dalam Do ini antara lain :

 Mengelola dan mengalokasikan

 Komite manajemen risiko komisaris/dewan pengawas.
 Komite manajemen risiko eksekutif /direksi.
 Manajer manajemen risiko.
 RM Champions.
 Risiko, pengendaliannya, ownernya.
 Penyedia asuransi/penjaminannya.
Check – Memeriksa hasil kerja dibandingkan dengan rencananya dan mengidentifikasi
penyimpangannya serta masalah-masalahnya.

Yang masuk dalam Check ini antara lain :

 Mengukur dan mengkaji.

 Mengendalikan asuransi/penjaminannya.
 Kemajuan rencana manajemen risiko.
  Pelaporan taka kelola.
 Benchmarking / study banding.
 Kriteria unjuk kerja.

Act – Menstandarisasi solusi. Mengkaji ulang dan mendefinisikan masalah-masalah

yang akan datang.

Yang masuk dalam Act ini antara lain :

 Komitmen dan Mandat dari atasan kepada bawahannya, mulai dari pemegang
saham, Komisaris, Direksi, sampai dengan karyawan level terendah dalam masalah
manajemen risiko.
 Pernyataan kebijakan manajemen risiko.
 Rencana manajemen risiko.
 Rencana Asuransi.
 Standar-standar manajemen risiko.
 Prosedur dan petunjuk-petunjuk kerja.
Secara lebih detail klausul 4 dengan PDCA nya digambarkan dengan gambar berikut ini :

Proses Manajemen Risiko ISO 31000:2009

Proses Manajemen Risiko ISO 31000:2009 digambarkan kembali secara lebih detail
sebagaimana gambar di bawah ini.
Proses pertama adalah Establishing The Context (Menetapkan Konteks). Dalam
proses manajemen risiko langkah awal yang sangat penting adalah Establishing The
Context . Menetapkan konteks ini meliputi penetapan tujuan, strategi, ruang lingkup
dan parameter-parameter lain yang berhubungan dengan proses pengelolaan risiko
suatu organisasi. Penetapan konteks ini menunjukkan hubungan antara masalah atau
hal yang akan dikelola risikonya dengan lingkungan organisasi (eksternal & internal),
proses manajemen risiko dan ukuran atau kriteria risiko yang dijadikan standar. Dalam
penetapan konteks ini ditetapkan pula sumber daya, struktur organisasi (tanggung
jawab dan wewenang) yang diperlukan dalam pengeloaan risiko. Dalam dokumen
rencana risk manajemen (Risk Management Plan), penetapan konteks ini dapat
dijadikan bab Latar Belakang Masalah, bab struktur organisasi pengeloaan risiko dan
bab Kriteria Risiko.

Kriteria risiko atau Risk Criteria adalah ukuran standar seberapa besar dampak atau
konsekwensi yang mungkin akan terjadi dan seberapa besar kemungkinan atau
frekeunsi atau likelihood risiko akan terjadi. Gambar di bawah semoga dapat dijadikan
contoh kriteria risiko itu.
Dalam tulisan yang lain insya Alloh akan kami uraiakan kriteria risiko ini.

Proses kedua adalah Risk Identification atau identifikasi risiko, yaitu melakukan
identifikasi risiko-risiko yang dapat terjadi di masa yang akan datang (yaitu : risiko apa,
kapan, di mana, bagaimana, mengapa suatu risiko bisa terjadi). Identifikasi ini
termasuk pengidentifikasian poses-proses/tugas-tugas/aktifitas-aktifitas kritikal atau
kunci, pengenalan area-area risiko dan katagorinya.

Proses ketiga adalah Risk Analysis atau analisis risiko-risiko, yaitu proses
menentukan berapa besar dampak (impact atau consequences) dan kemungkinan
(frequency atau likelihood) risiko-risiko yang akan terjadi, serta menghitung berapa
besar level risikonya dengan mengalikan antara besar dampak dan besar kemungkinan
(Risk = Consequences x Likelihood).

Proses keempat adalah Risk Evaluation atau membandingkan risiko-risiko yang

sudah dihitung diatas dengan Kriteria Risiko yang sudah distandarkan (menempatkan
posisi risiko-risiko pada gambar kriteria risiko), apakah risiko-risiko
itu acceptable/dapat diterima, menjadi issue/diwaspadai, atauunacceptable/tidak
diterima, serta memprioritaskan mitigasi atau penangannya. Lihat gambar di bawah ini,
risiko nomor 1 dan 5 terletak di daerah warna merah Unacceptable Risk dan menjadi
prioritas untuk dilakukan penanganan atau mitigasinya.
Proses kelima adalah Risk Treatment atau mitigasi risiko-risiko. Mitigasi risiko-risiko
harus direncanakan sebaik-baiknya dan dipertimbangkan semua alternatif solusinya,
sebelum dilaksanakan mitigasinya, agar mendapatkan hasil yang diharapkan ecara
efektif dan efisien. Beberapa alternatif bisa dipertimbangkan untuk digunakan, seperti :

 membagi risiko,
 mengurangi likeliihood dan/atau mengurangi konsekwensi,
 menghindari risiko atau membatalkan aktifitas yg berisiko tinggi,
 menerima risiko.
Proses keenam adalah Monitor & Review (Pemantauan & Pengkajian Ulang).
Pemantauan & Pengkajian Ulang dilaksanakan terhadap seluruh proses manajemen
risiko termasuk konteksnya (lingkungan, proses, organisasi, strategi, stakeholder dsb.).
Catatan-catatan hasil Pemantauan & Pengkajian Ulang disimpan sebagai bukti dan
laporna bahwa aktifitas itu telah dilaksanakan dan sebagai masukan bagi Risk
Management Framework yang telah disiapkan sebelumnya.

Selama melaksanakan ke enam proses manajemen risiko itu Communication &

Consultation (komunikasi dan konsultasi) selalu dilaksanakan kepada semua
stakeholder, secara kontinyu dan iterative.

Skema lain yang menambah kejelasan mengenai langkah-langkah penerapan proses

manajemen risiko ISO 31000:2009 dapat dilihat pada gambar di bawah.
Referensi :

1. COSO ERM Executive Summary

(http://www.coso.org/documents/coso_erm_executivesummary.pdf ).
2. International Organization for Standardization (ISO). “ISO 13000:2009—Risk
Management: Principles and Guidelines.” Geneva, 2009.
(http://www.iso.org/iso/home/standards/iso31000.htm).
3. Kevin W Knight AM “Applying ISO 31000:2009 in Regulatory Work”.
4. Diane Christina “Asesmen Manajemen Risiko berbasis COSO ERM“.
5. Diane Christina “Asesmen Manajemen Risiko berbasis ISO 31000:2009“.
Dunia bisnis di Amerika terguncang dengan adanya kasus Enron yang terkuak pada akhir tahun 2001. Sebuah kasus
rekayasa keuangan dan malpraktik akuntansi, yang kemudian diikuti oleh terkuaknya kasus-kasus lain sejenis seperti
kasus WorldCom, Merck, dan sebagainya. Salah satu faktor penting yang menyebabkan itu semua, menurut
Hamilton dan Francis (2003) mengutip laporan William C. Powers, Dekan Law School University of Texas, yang juga
mengetuai Komite Investigasi Khusus – Board of Directors Enron Corporation, adalah kelemahan sistem
pengendalian intern dan proses manajemen risiko dalam memitigasi risiko.

Sebagai respons atas kasus-kasus tersebut, kongres Amerika Serikat (AS) pada tanggal 23 Januari 2002
mengesahkan sebuah undang-undang perlindungan bagi para investor yang secara singkat disebut “Sarbanes-Oxley
Act of 2002” (SOA). Undang-undang ini merupakan reformasi pengaturan corporate governanceterbesar
setelah Securities Act of 1933 dan Securities Exhange Act of 1934. SOA menjadi sangat penting karena sifatnya
yang mengikat sebagai hukum positif. Dengan adanya kewajiban tersebut, perhatian berbagai kalangan terhadap
pengendalian intern, manajemen risiko, dan good governance, sesuai pengaturan Seksi 404 dari undang-undang
tersebut, semakin meningkat (DeLoach, 2003). Meningkatnya perhatian terhadap pengendalian intern, manajemen
risiko, dan good governance tersebut direspons oleh The Committee of Sponsoring Organizations of the Treadway
Commission (COSO) dengan menerbitkan Enterprise Risk Management (“ERM”) – Integrated Framework pada bulan
September 2004. Menyusul kemudian pada November 2009, International Organization for Standardization
(ISO) juga mengeluarkan ISO 31000: Risk Management – Principles and Guidelines on Implementation.

Terminologi

Dalam berbagai artikel, ERM kadangkala muncul dalam istilah lain seperti “strategic risk management”, “integrated
risk management”, atau “holistic risk management”. Semua istilah tersebut mengacu pada konsep yang sama yaitu
bahwa semuanya memandang risiko dan manajemen risiko secara komprehensif, bukan lagi dengan pendekatan
“silo” dimana risiko dikelola secara terpisah dan berbeda-beda di dalam organisasi. Lebih jauh lagi, adanya
kesamaan pandangan dalam berbagai istilah tersebut bahwa manajemen risiko bukan hanya merupakan proses
mitigasi risiko, namun juga penciptaan nilai (value-creating) (CAS, 2003). Selain istilah-istilah tersebut, D’Arcy dan
Brogan (2001) menyatakan bahwa ERM merupakan istilah mutakhir dari istilah-istilah tersebut, termasuk istilah
setara lainnya yaitu “corporate risk management” dan “business risk management”.

Sebagai sebuah terminologi yang relatif baru, belum terdapat sebuah definisi yang berlaku umum dan diakui oleh
semua kalangan, baik praktisi maupun akademisi. Kalangan akademisi seperti Meulbroek (2002), dengan
menggunakan istilah integrated risk management, mendefinisikannya sebagai identifikasi dan penilaian risiko-risiko
yang mungkin mempengaruhi nilai perusahaan secara kolektif, dan mengimplementasikan strategi pada tingkat
keseluruhan perusahaan untuk mengelola risiko-risiko tersebut. Sedangkan Vedpuriswar et.al. (2001)
mendefinisikannya sebagai suatu proses perencanaan, pengorganisasian, dan pengendalian kegiatan-kegiatan
organisasi dalam rangka meminimalkan pengaruh risiko terhadap perusahaan baik dalam jangka pendek maupun
dalam jangka panjang. Sementara itu, media massa yang melakukan riset terhadap praktik manajemen risiko seperti
majalah CFO (2002) mendefinisikan strategic risk management sebagai suatu metode manajemen risiko yang
menggunakan pendekatan pada tingkat keseluruhan perusahaan untuk mengawasi dan mengelola risiko dalam
rangka mendukung tujuan stratejiknya.

Sementara itu di kalangan praktisi aktuaria, sebagaimana didefinisikan oleh Casualty Actuarial Society (2003), ERM
adalah sebuah proses atau disiplin dengannya organisasi-organisasi di semua industri menaksir, mengendalikan,
mengeksploitasi, membiayai, dan mengawasi risiko dari semua sumbernya dengan tujuan untuk meningkatkan nilai
perusahaan baik dalam jangka pendek maupun jangka panjang. Sedangkan praktisi perbankan, sekuritas dan
asuransi, sebagaimana terlihat pada laporan survey yang dilakukan oleh joint forumantara Basel Committee on
Banking Supervision, International Organisation of Securities Commissions, danInternational Association of
Insurance Supervisors yang dikoordinasikan oleh Bank for International Settlements(2003), mendefinisikan integrated
risk management sebagai suatu sistem yang memastikan keberadaan dan berjalannya kebijakan dan prosedur yang
dirancang untuk meningkatkan perhatian dan tanggung jawab pemilikan risiko di seluruh perusahaan, serta untuk
mengembangkan perangkat-perangkat yang diperlukan untuk menangani risiko-risiko tersebut. Sedikit berbeda
dengan definisi tersebut, organisasi-organisasi praktisi akuntan dan auditor keuangan yang berpengaruh dan
tergabung dalam The Committee of Sponsoring Organizations of the Treadway Commission (COSO)(2004),
menyatakan bahwa ERM berhubungan dengan risiko dan peluang yang berpotensi mempengaruhi nilai, dan
mendefinisikannya sebagai berikut suatu proses yang dipengaruhi oleh dewan direktur, manajemen, dan pihak lain,
yang diaplikasikan dalam penentuan strategi perusahaan, yang dirancang untuk mengidentifikasi risiko-risiko yang
mungkin mempengaruhi perusahaan, dan mengelola risiko-risiko tersebut tetap berada pada selera risiko
perusahaan, serta memberikan pemastian yang memadai bahwa tujuan perusahaan dapat dicapai. Definisi paling
mutakhir diberikan oleh ISO, di mana manajemen risiko didefinisikan sebagai upaya terkoordinasi untuk
mengarahkan dan mengendalikan kegiatan-kegiatan organisasi terkait dengan risiko (ISO Guide 73).

Dari berbagai definisi tersebut, walaupun dari sisi redaksional berbeda, namun dapat diambil beberapa hal yang
relatif sama yang membedakannya dengan manajemen risiko tradisional, yaitu bahwa:

1. Proses dan sistem dari ERM bersifat komprehensif, integratif, dan lintas divisional. Pada manajemen
risiko tradisional, risiko dikelola secara parsial (silo-based).
2. Tujuan dari ERM bersifat strategis yaitu pencapaian tujuan perusahaan yang lebih baik dan pada akhirnya
menciptakan, menambah, dan atau melindungi nilai perusahaan. Pada manajemen risiko tradisional, tujuan
terbatas pada mitigasi risiko terbatas pada kegiatan atau unit bisnis tertentu.
Kerangka

Ada beberapa kerangka (framework) yang dikembangkan oleh beberapa pihak seperti oleh COSO (2004), CAS
(2003), atau oleh Miccolis dan Shah (2000), dan terakhir yang dikeluarkan oleh ISO (2009). Kerangka yang
dikembangkan oleh COSO telah menjadi leader sejak tahun 2004 hingga saat ini. Hal ini dapat dimaklumi karena
kerangka dari COSO di-endorse oleh profesi-profesi terkait dengan akuntansi dan keuangan serta pasar modal yang
berpengaruh secara global. Namun kerangka ISO juga tampaknya akan segera menjadi alternatif kerangka yang
dapat dipakai dalam manajemen risiko, mengingat ISO memiliki reputasi dan pengaruh yang besar dalam
harmonisasi standar di seluruh dunia. Berikut ini uraian ringkas kedua kerangka tersebut.

Model COSO

ERM versi COSO terdiri dari 8 komponen yang saling terkait. Kedelapan komponen ini diturunkan dari bagaimana
manajemen menjalankan perusahaan dan diintegrasikan dengan proses manajemen. Kedelapan komponen ini
diperlukan untuk mencapai tujuan-tujuan perusahaan, baik tujuan strategis, operasional, pelaporan keuangan,
maupun kepatuhan terhadap ketentuan perundang-undangan. Komponen-komponen tersebut adalah:

1. Lingkungan Internal (Internal Environment) – Lingkungan internal sangat menentukan warna dari sebuah
organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut.
Di dalam lingkungan internal ini termasuk, filosofi manajemen risiko dan risk appetite, nilai-nilai etika dan
integritas, dan lingkungan di mana kesemuanya tersebut berjalan.
2. Penentuan Tujuan (Objective Setting) – Tujuan perusahaan harus ada terlebih dahulu sebelum manajemen
dapat menidentifikasi kejadian-kejadian yang berpotensi mempengaruhi pencapaian tujuan tersebut. ERM
memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan ddan bahwa tujuan yang
dipilih atau ditetapkan tersebut terkait dan mendukung misi perusahaan dan konsisten dengan risk appetite-
nya.
3. Identifikasi Kejadian (Event Identification) – Kejadian internal dan eksternal yang mempengaruhi
pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang. Peluang
dikembalikan (channeled back) kepada proses penetapan strategi atau tujuan manajemen.
4. Penilaian Risiko (Risk Assessment) – Risiko dianalisis dengan memperhitungkan kemungkinan terjadi
(likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut
dikelola.
5. Respons Risiko (Risk Response) – Manajemen memilih respons risiko –menghindar (avoiding), menerima
(accepting), mengurangi (reducing), atau mengalihkan (sharing risk) – dan mengembangkan satu set
kegiatan agar risiko tersebut sesuai dengan toleransi (risk tolerance) dan risk appetite.
6. Kegiatan Pengendalian (Control Activities) – Kebijakan dan prosedur yang ditetapkan dan
diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif.
7. Informasi dan komunikasi (Information and Communication) – Informasi yang relevan diidentifikasi,
ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan
tanggung jawabnya.
8. Pengawasan (Monitoring) – Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu.
Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui
eveluasi secara khusus, atau dengan keduanya.

Penerapan komponen dalam berbagai tujuan tersebut dapat dilakukan pada entity-level, divisional, unit bisnis,
dan/atau subsidiary. Hubungan antara ketiganya digambarkan oleh COSO dalam kubus tiga dimensi sebagai berikut:
Model ISO

Sementara itu, ISO sebagaimana diterjemahkan secara bebas oleh Susilo et.al (2010) membedakan kerangka
manajemen risiko sendiri, dengan prinsip dan juga proses manajemen risiko.

Menurut ISO, manajemen risiko suatu organisasi hanya dapat efektif bila mampu menganut prinsip-prinsipbahwa
manajemen risiko:

1. harus memberi nilai tambah

2. adalah bagian terpadu dari proses organisasi
3. adalah bagian dari proses pengambilan keputusan
4. secara khusus menangani aspek ketidakpastian
5. bersifat sistematik, terstruktur, dan tepat waktu
6. berdasarkan pada informasi terbaik yang tersedia
7. adalah khas untuk penggunaannya
8. mempertimbangkan faktor manusia dan budaya
9. harus transparan dan inklusif
10. bersifat dinamis, berulang, dan tanggap terhadap perubahan
11. harus memfasilitasi terjadinya perbaikan dan peningkatan organisasi secara berlanjut.

Selanjutnya, agar dapat berhasil baik, manajemen risiko harus diletakkan dalam suatu kerangka manajemen risiko.
Kerangka ini akan menjadi dasar dan penataan yang mencakup seluruh kegiatan manajemen risiko di segala
tingkatan organisasi. Kerangka manajemen risiko ini disusun khas ISO yaitu berdasarkan siklus Plan(mendesain
kerangka manajemen risiko) – Do (mengimplementasikan kerangka manajemen risiko) – Check(memonitor dan
mereview kerangka manajemen risiko) – Act (perbaikan terus menerus kerangka manajemen risiko), dengan
sebelumnya harus mendapatkan mandat dan komitmen berlanjut dari manajemen organisasi. Siklus kerangka
manajemen risiko tersebut dapat digambarkan sebagai berikut:
Kerangka kerja ini akan membantu organisasi mengelola risiko secara efektif melalui penerapan proses manajemen
risiko. Proses manajemen risiko hendaknya merupakan bagian yang tak terpisahkan dari proses manajemen umum.
Manajemen risiko harus masuk dan menjadi bagian dari budaya organisasi, praktik terbaik organisasi, dan proses
bisnis organisasi.

Proses manajemen risiko menurut ISO meliputi 5 kegiatan, yaitu:

1. Komunikasi dan konsultasi, yaitu komunikasi dan konsultasi di antara para pemangku kepentingan, internal
maupun eksternal, yang harus dilakukan seekstensif mungkin sesuai dengan kebutuhan dan pada setiap
tahapan proses manajemen risiko.
2. Menentukan konteks, yaitu menentukan batasan atau parameter internal dan eksternal yang akan dijadikan
pertimbangan dalam manajemen risiko, menentukan lingkup kerja, dan kriteria risiko untuk proses-proses
selanjutnya.
3. Asesmen risiko, yaitu mengidentifikasi risiko, menganalisis risiko, serta mengevaluasi risiko.
Mengidentifikasi risiko dilakukan dengan mengidentifikasi sumber risiko, area dampak risiko, peristiwa dan
penyebabnya, serta potensi penyebabnya, sehingga bisa didapatkan sebuah daftar risiko. Analisis risiko
adalah upaya memahami risiko yang sudah diidentifikasi secara lebih mendalam yang hasilnya akan menjadi
masukan bagi evaluasi risiko. Sedangkan evaluasi risiko adalah menentukan risiko-risiko mana yang
memerlukan perlakuan dan bagaimana prioritas implementasinya.
4. Perlakuan risiko, meliputi upaya untuk menyeleksi pilihan-pilihan yang dapat mengurangi atau meniadakan
dampak serta kemungkinan terjadinya risiko, kemudian menerapkan pilihan tersebut.
5. Monitoring dan review, bisa berupa pemeriksaan biasa atau oengamatan terhadap apa yang sudah ada,
baik secara berkala atau secara khusus. Kedua bentuk ini harus dilakukan secara terencana.
Keseluruhan proses manajemen risiko menurut ISO tersebut dapat digambarkan sebagai berikut:

Implementasi?

Penerapan ERM pada suatu organisasi sudah barang tentu adalah sebuah kemewahan yang manfaatnya sudah
dijanjikan oleh pihak-pihak promotor model atau kerangka manajemen risiko. Apakah janji pasti terealisasi? Tidak
ada yang menggaransi. Apapun model yang akan diterapkan, manajemen risiko yang intensional, sistematik dan
terstruktur, bukanlah projek yang mudah dan murah. Yang sudah pasti harus ada adalah komitmen dari seluruh
pihak di dalam organisasi yang berkelanjutan, yang merasuk dalam proses bisnis, yang menjadi budaya dan gaya
organisasi, bahwa risiko adalah ibarat sebuah pedang. Tanpa risiko, organisasi akan stagnan karena tidak ada
tantangan. Namun karena risiko pula, organisasi akan bisa berjatuhan. Risiko harus ada, tapi harus pula dikelola.
Untuk itulah manajemen risiko.

Referensi:

 Basel Committee on Banking Supervision. The Joint Forum with International Association of Securities
Commissions and International Association of Insurance Supervisors. 2003. Trends in Risk Integration and
Aggregation. Bank for International Settlements. Basel, Switzerland.
 CAS (The Casualty Actuarial Society). Enterprise Risk Management Committee. 2003. Overview of Enterprise
Risk Management. http://www.casact.org
 COSO (The Committee of Sponsoring Organization) of the Treadway Commission. 2004a. Enterprise Risk
Management – Integrated Framework. PDF Version. http://www.coso.org
 COSO (The Committee of Sponsoring Organization) of the Treadway Commission. 2004b. Enterprise Risk
Management – Integrated Framework. Application Techniques. PDF Version. http://www.coso.org
 D’Arcy, S. P.dan J. C. Brogan. 2001.Enterprise Risk Management. Journal of Risk Management of Korea.
Volume 12, Number 1.
 DeLoach, J. W. 2003. Building Enterprise Risk Management on the Foundation Laid by Sarbanes-
Oxley.http://www.protiviti.com
 Hamilton, S., dan I. Francis. 2003. The Enron Collapse, International Institute for Management Development.
Lausanne. Swiss.
 Internal Auditor. 2005. ERM: a Status Report. February 2005. The Institute of Internal auditor. Florida.
 Meulbroek, L. K.2002. Integrated Risk Management for the Firm: A Senior Manager’s Guide (working paper
draft). Harvard Business School. Boston
 Miccolis, J. dan S. Shah. 2000. Enterprise Risk Management – An Analytic Approach. Tillinghast-Towers
Perrin. http://www.tillinghast.com
 Susilo, Leo J. dan Victor Riwu Kaho.2010. Manajemen Risiko Berbasis ISO 31000. Ppm Manajemen. Jakarta.
 Vedpuriswar, A.V, P. Madhav, dan N. V. Chowdary. 2001. A strategic approach to Enterprise Risk
Management. Icfaian School of Management. Hyderabad.