Disusun oleh :
2021
BAB I
PENDAHULUAN
Latar Belakang
Sesuai teori agensi, fenomena risiko bisnis terjadi pada perusahaan Enron, WordCom,
dan Krisis Global disebabkan karena adanya konflik kepentingan. Pihak principal
berkepentingan agar perusahaan memiliki risiko seminimal mungkin sedangkan pihak agent
berkepentingan untuk mendapatkan penilaian yang baik dari principal. Satu cara yang
dilakukan pihak principal yaitu melakukan kecurangan dalam pengelolaan laporan keuangan.
Hal ini dimungkinkan terjadi karena adanya keadaan asimetri informasi. Satu faktor penting
untuk mengurangi konflik yang terjadi yaitu dengan melakukan pengungkapan manajemen
risiko perusahaan. Enterprise Risk Management telah banyak menyita perhatian praktisi
dunia bisnis sebagai salah satu metode terbaik dalam proses tata kelola perusahaan yang baik.
Kemampuan pengelolaan risiko yang andal merupakan salah satu kompetensi inti
yang harus dimiliki oleh manajemen untuk menciptakan nilai (value creation) bagi suatu
perusahaan. Manajemen harus berupaya untuk mencari keseimbangan yang tepat antara
pertumbuhan perusahaan dengan risiko-risiko yang akan dihadapi, hal ini menjadi tantangan
bagi manajemen untuk mampu menerapkan manajemen risiko atau dikenal dengan Enterprise
Risk Management (ERM) secara efektif. Kenyataannya penerapan ERM, baik di
mancanegara maupun di Indonesia belum efektif, hal ini terbukti dari banyaknya perusahaan
yang mengalami masalah keuangan yang berakhir pada kebangkrutan seperti Enron dan
WorldCom. Selain itu ketika krisis keuangan global pada tahun 2008 banyak perusahaan
yang tidak mampuan menghadapi krisis tersebut, hal ini disinyalir bahwa perusahaan belum
membangun sistem ERM yang handal.
Tujuan dari penulisan makalah ini untuk memenuhi tugas dalam mata kuliah Tata Kelola
Manajemen dan untuk mempelajari tentang Penerapan ERM di perusahaan
BAB II
PEMBAHASAN
Risiko merupakan suatu kondisi yang terjadi akibat ketidakpastian. Dalam dunia
bisnis sesuatu yang tidak pasti itu sangat rentan terjadi sehingga perusahaan akan berpikir
untuk bagaimana mengelola risiko dengan baik agar memiliki manfaat dimasa yang akan
datang. Dalam mengelola risiko penting bagi perusahaan untuk menerapkan ERM terlebih
dahulu. Hery (2015) dalam bukunya menjelaskan bahwa ERM merupakan suatu proses yang
sistematis dan berkelanjutan yang dirancang dan dijalankan oleh manajemen guna
memberikan keyakinan yang memadai bahwa semua risiko yang berpotensi memberikan
dampak negatif telah dikelola sedemikian rupa sesuai dengan tingkat risiko yang bersedia
diambil perusahaan.
Definisi ini mencerminkan konsep dasar bahwa manajemen risiko perusahaan adalah
(Sari, 2013):
Sedangkan menurut Romney dan Steinbart (2011), Pengendalian intern menurut COSO
ERM merupakan suatu proses yang dipengaruhioleh dewan komisaris perusahaan,
manajemen dan personel lainnya, diterapkan dalam penetapan strategi yang meliputi
keseluruhanperusahaan, yang dirancang untuk mengidentifikasi kejadian potensialyang
mungkin mempengaruhi organisasi dan mengelola perusahaansesuai dengan risk appetite
perusahaan untuk menyediakan keyakinanyang memadai terkait pencapaian tujuan
perusahaan (Setiawan, 2012)
Dunia bisnis di Amerika terguncang dengan adanya kasus Enron yang terkuak pada akhir
tahun 2001. Sebuah kasus rekayasa keuangan dan malpraktik akuntansi, yang kemudian
diikuti oleh terkuaknya kasus-kasus lain sejenis seperti kasus WorldCom, Merck, dan
sebagainya. Salah satu faktor penting yang menyebabkan itu semua, menurut Hamilton dan
Francis (2003) mengutip laporan William C. Powers, Dekan Law School University of
Texas, yang juga mengetuai Komite Investigasi Khusus-Board of Directors Enron
Corporation, adalah kelemahan sistem pengendalian intern dan proses manajemen risiko
dalam memitigasi risiko.
Setiap kegiatan usaha pada dasarnya akan selalu diliputi dengan ketidakpastian yang
dipenuhi dengan berbagai risiko yang saling berkaitan dalam arti satu kegiatan tidak hanya
memiliki satu jenis risiko saja, tetapi dapat menyebabkan risiko-risiko lain. Misalnya sebuah
permasalahan hukum yang dihadapi oleh perusahaan tidak hanya memiliki risiko hukum
semata, tetapi juga memiliki risiko reputasi pada saat yang bersamaan. Karenanya menjadi
penting untuk menerapkan sebuah konsep penanganan risiko secara menyeluruh dan
terintegrasi satu sama lain. Konsep tersebut adalah konsep yang kita kenal dengan istilah
Enterprise Risk Management Integrated Framework yang diterbitkan oleh The Committee of
Sponsoring Organizations of the Treadway Commission (COSO).
Manfaat dari penerapan Enterprise Risk Management adalah meningkatkan kemampuan
sebuah perusahaan untuk dapat menyelaraskan risk appetite dengan strategi dan arah
kebijakan perusahaan sehingga dapat meningkatkan kualitas keputusan yang diambil oleh
manajemen perusahaan dalam merespon risiko. ERM juga dapat mengidentifikasi dan
mengelola risiko secara menyeluruh dan karenanya dapat meminimalisasi kejutan dan
kerugian operasional. Perlu diingat bahwa ERM bukanlah sebuah tujuan, melainkan sarana
untuk mendukung penerapan tata kelola perusahaan. Jadi tugas unit manajemen risiko
tidaklah selesai dengan hanya sebatas telah memiliki sistem Enterprise Risk Management.
ERM versi COSO terdiri dari 8 komponen yang saling terkait. Kedelapan komponen ini
diturunkan dari bagaimana manajemen menjalankan perusahaan dan diintegrasikan dengan
proses manajemen. Kedelapan komponen ini diperlukan untuk mencapai tujuan-tujuan
perusahaan, baik tujuan strategis, operasional, pelaporan keuangan, maupun kepatuhan
terhadap ketentuan perundang-undangan. Komponen-komponen tersebut adalah :
Lingkungan internal yang dipengaruhi oleh sejarah organisasi dan budaya terdiri dari
banyak unsur, termasuk pembahasan COSO yang lebih rinci,yaitu:
o Filosofi resiko manajemen, yang merupakan kesatuan keyakinan bersama dan
sikap yang mencerminkan bagaimana organisasi tersebut menganggap sebuah
resiko dalam segala hal.
o Resiko appetite, yang merupakan jumlah risiko, pada tingkat yang luas,
dimana sebuah organisasi bersedia menerima
o Dewan direksi, yang menyediakan struktur, pengalaman, kemandirian, dan
peran pengawasan yang dimainkan oleh badan utama organisasi pemerintahan
o Nilai-nilai integritas dan etika, yang mencerminkan preferensi, standar
perilaku, dan gaya
o Komitmen untuk kompetensi, termasuk pengetahuan dan keterampilan yang
diperlukan untuk melakukan tugas yang diberikan
o Struktur organisasi, seperti ditandai oleh kerangka kerja untuk merencanakan,
melaksanakan, mengendalikan, dan memantau kegiatan
o Adanya wewenang dan tanggung jawab, yang mencerminkan sejauh mana
individu dan tim yang berwenang dan didorong untuk menggunakan inisiatif
untuk mengatasi masalah dan memecahkan masalah, serta batas-batas otoritas
mereka.
o Standar Sumber Daya Manusia, terdiri dari praktek-praktek yang berkaitan
dengan perekrutan, orientasi, pelatihan, evaluasi, konseling, promosi,
kompensasi danmengambil tindakan perbaikan.
Tujuan harus selaras dengan risk appetite sebuah organisasi, yang akan mengarahkan
tingkat risk tolerance untuk sebuah organisasi. Toleransi resiko adalah tingkat dari
ukuran dan variasi relative yang dapat diterima terhadap pencapaian suatu tujuan, dan
harus selaras dengan risk appetite organisasi.
COSO mengutip faktor eksternal, bersamaan dengan contoh dari peristiwa terkait,
termasuk didalamnya:
COSO juga mengutip faktor-faktor internal, bersamaan dengan contoh dari peristiwa
terkait, termasuk didalamnya:
Setelah menilai risiko yang relevan, manajemen menentukan bagaimana cara untuk
merespon risiko tersebut. Bentuk respon ini dapat berupa penghindaran, pengurangan,
pembagian, dan penerimaan risiko.Dalam mempertimbangkan bagaimana untuk
merespon risiko, manajemen menilai efek dari kemungkinan dan dampak risiko, serta
biaya dan manfaat, dan kemudian memilih respon yang membawa risiko residual
dalam toleransi risiko yang diinginkan.Manajemen mengidentifikasi setiap peluang
yang mungkin tersedia, mempertimbangkan lingkup entitas atau portofolio, melihat
risiko, menentukan apakah risiko residu keseluruhan masih berada dalam risk appetite
entitas.
o Top-level review adalah kontrol yang biasanya dijalankan pada tingkat entitas
seperti review kinerja terhadap anggaran, prakiraan diperbarui, pemantauan
tindakan pesaing, atau inisiatif penahanan biaya
o Direct functional or activity management adalah pengendalian yang dijalankan
oleh manajer dengan menjalankan fungsi spesifik atau kegiatan, seperti
memeriksa laporan kinerja untuk daerah atau mengawasi pelaksanaan kontrol
tingkat rinci (misalnya, rekonsiliasi).
o Information processing control dirancang untuk memeriksa akurasi, kelengkapan,
dan otorisasi transaksi. Selain itu pada area ini termasuk kontrol prasarana umum,
seperti keamanan fisik dan logis, kontrol atas implementasi sistem, upgrade, atau
modifikasi, pemulihan bencana, dan operasi sistem control.
o Physical Control meliputi: (1) penghitungan fisik uang tunai, surat berharga,
persediaan, peralatan, atau aset tetap lainnya, dan membandingkan mereka
menghitung dengan jumlah yang dicatat dalam buku dan catatan, dan (2)
hambatan fisik atau pembatasan seperti pagar dan kunci
o Performance Indicators melibatkan menganalisis dan menindaklanjuti
penyimpangan dari norma-norma kinerja expectd atau ditargetkan.
o Segregation of duties (pemisahan tugas) yaitu melibatkan memisahkan tugas-tugas
dari orang yang berbeda untuk mengurangi resiko kesalahan atau penipuan.
Sebagai contoh, individu yang membentuk sebuah vendor baru dalam sistem
seharusnya tidak dapat untuk mengotorisasi transaksi untuk membayar vendor
tersebut.
Kebijakan dan prosedur yang ditetapkan dan diimplementasikan untuk membantu
memastikan respons risiko berjalan dengan efektif.
7. Informasi dan komunikasi (Information and Communication)
Informasi yang berkaitan dengan pencapaian perusahaan diidentifikasi apakah
berdampak langsung atau tidak, dikelompokkan ke dalam berbagai jenisnya, dan
didistribusikan atau dikomunikasikan melalui media komunikasi yang tepat dengan
waktu yangtepat pula sehingga setiap individu perusahaan dapat menjalankan tugas
dan tanggung jawabnya dengan lebih baik."Informasi yang relevan diidentifikasi,
ditangkap, dan dikomunikasikan dalam bentuk dan kerangka waktu yang
memungkinkan orang untuk melaksanakan tanggung jawab mereka. Informasi
haruslah secara cukup dalam konsisten dengan kebutuhan organisasi untuk
mengidentifikasi, menilai, dan merespon resiko dan menjaganya dalam level toleransi
tertentu. Sistem informasi memproses data internal dan eksternal menjadi informasi
yang berguna dalam mengelola resiko. Terakhir infromasi haruslah cukup berkualitas
untuk mendukung pengambilan keputusan.
COSO goes on the state “Komunikasi yang efektif juga terjadi, bergerak ke bawah,
samping dan ke atas organisasi. Seluruh personil menerima pesan yang jelas dari top
manajemen bahwa tanggung jawab ERM harus diperlakukan dengan serius. Mereka
mengerti peran masing-masing dalam ERM sebagaimana aktivitas individual dalam
pekerjaan berhubungan dengan yang lainnya. Mereka harus mempunyai makna dalam
mengkomunikasikan informasi signifikan upstream.Ada pula efektif komunikasi
dengan pihak eksternal seperti pelanggan, supllier, regulator, dan pemilik
saham/kepentingan.
Terdapat banyak bentuk komunikasi yang berbeda seperti kebijakan, memo, email,
internet dan intranet, papan buletin, dan pesan video. Ketika pesan disampaikan
secara lisan, intonasi suara dan bahasa tubuh dapat mempengaruhi bagaimana pesan
tersebut diinterpretasikan/
Penerapan komponen dalam berbagai tujuan tersebut dapat dilakukan pada entity-
level, divisional, unit bisnis, dan/atau subsidiary. Hubungan antara ketiganya digambarkan
oleh COSO dalam kubus tiga dimensi sebagai berikut:
Tugas yang berkaitan dengan pengendalian dan manajemen risiko semakin meningkat seiring
dengan banyaknya departemen dan divisi dalam perusahaan, sehingga tugas tersebut harus
terkoordinasi supaya lebih efektif dan tidak terjadi duplikasi. Pelaksanaan pengendalian dan
manajemen risiko yang terkoordinasi akan menjamin proses pengendalian dan manajemen
berjalan sebagaimana yang direncanakan. Dalam kaitan ini, Three Lines of Defence Model
menyediakan cara sederhana dan efektif untuk meningkatkan komunikasi dalam
pengendalian dan manajemen risiko dengan memperjelas peran dan tugas penting masing-
masing pihak terkait sehingga meningkatkan efektivitas sistem manajemen risiko (The IIA,
2013: 4). Ketiga lini tersebut nampak pada Gambar 2 sebagai berikut:
Model The Three Lines of Defense tersebut di atas membedakan keterlibatan tiga kelompok
(lini) dalam rangka mewujudkan manajemen risiko yang efektif (The IIA, 2013). Menurut
The IIA (2013) lini pertama adalah sebagai pemegang fungsi yang memiliki dan mengelola
risiko (own and manage risks), lini kedua adalah sebagai pemegang fungsi yang mengawasi
risiko (oversee risks), dan lini ketiga sebagai pemegang fungsi yang memberikan jaminan
independen (independent assurance).
Menurut ACI (2006) Three Lines of Defence Model can be used as the primary means to
demonstrate and structure roles, responsibilities, and accountabilities, for decision making,
risk and control to achieve effective governance risk management and assurance. Dalam
kaitan ini, The IIA (2013) juga menyatakan bahwa Three Lines of Defense model can
enhance clarity regarding risks and controls and help improve the effectiveness of risk
management systems. Hal ini berarti, keberadaan Three Lines of Defence dalam perusahaan
berperan penting dalam mewujudkan efektivitas ERM pada perusahaan yang bersangkutan.
Agar efektif dan tidak terjadi duplikasi, dibutuhkan pembagian peran dari
three lines of defense dalam mengelola risiko sebagai berikut (The ECIIA, 2013):
Menurut Matruglio & Silberberg (2012) three lines of defense terlibat dalam keseluruhan
komponen ERM, namun agar pelaksanaan manajemen risiko bisa efektif, kadar fungsi
control dan assurance dari ketiganya perlu dibedakan. Fungsi control paling besar ada pada
the first line of defence, dan makin mengecil di the second line of defence, dan terkecil di the
third line of defence. Sementara fungsi assurance paling besar ada pada the third line of
defence, dan makin mengecil di the second line of defence, dan terkecil di the first line of
defence.
Sementara itu, ISO sebagaimana diterjemahkan secara bebas oleh Susilo et.al (2010)
membedakan kerangka manajemen risiko sendiri, dengan prinsip dan juga proses manajemen
risiko.
Menurut ISO, manajemen risiko suatu organisasi hanya dapat efektif bila mampu menganut
prinsip-prinsip bahwa manajemen risiko:
Selanjutnya, agar dapat berhasil baik, manajemen risiko harus diletakkan dalam suatu
kerangka manajemen risiko. Kerangka ini akan menjadi dasar dan penataan yang mencakup
seluruh kegiatan manajemen risiko di segala tingkatan organisasi. Kerangka manajemen
risiko ini disusun khas ISO yaitu berdasarkan siklus Plan (mendesain kerangka manajemen
risiko)-Do (mengimplementasikan kerangka manajemen risiko) -Check (memonitor dan
mereview kerangka manajemen risiko)-Act (perbaikan terus menerus kerangka manajemen
risiko), dengan sebelumnya harus mendapatkan mandat dan komitmen berlanjut dari
manajemen organisasi.
KERANGKA MANAJEMEN RISIKO ORGANISASI
Elemen yang lebih penting lagi adalah proses manajemen risiko. Proses atau fungsi
manajemen sering diterjemahkan ke dalam tiga langkah: perencanaan, pelaksanaan, dan
pengendalian. Mengikuti kebiasaan tersebut, proses manajemen risiko juga bisa dibagi ke
dalam tiga tahap yaitu perencanaan, pelaksanaan, dan pengendalian manajemen risiko.
1. Perencanaan
Perencanaan manajemen risiko bisa dimulai dengan menetapkan visi, misi, dan
tujuan, yang berkaitan dengan manajemen risiko. Kemudian perencanaan manajemen
risiko bisa diteruskan dengan penetapan target, kebijakan, dan prosedur yang
berkaitan dengan manajemen risiko. Akan lebih baik lagi jika visi, misi, kebijakan,
dan prosedur tersebut dituangkan secara tertulis. Dokumen tertulis semacam itu
memudahkan pengarahan, sekaligus menegaskan dukungan manajemen terhadap
program manajemen risiko.
2. Pelaksanaan
Pelaksanaan manajemen risiko meliputi aktivitas operasional yang berkaitan dengan
manajemen risiko. Proses identifikasi dan pengukuran risiko, kemudian diteruskan
dengan manajemen (pengelolaan) risiko merupakan aktivitas operasional yang utama
dari manajemen risiko. Identifikasi, pengukuran, dan manajemen risiko akan
dibicarakan lebih detil di bagian dua, tiga, dan empat, dari modul ini. Bagian empat
khusus membicarakan ilustrasi bagaimana perusahaan menerapkan manajemen risiko
secara terencana dan sistematis di organisasinya.
3. Pengendalian
Tahap berikutnya dari proses manajemen risiko adalah pengendalian yang meliputi
evaluasi secara periodik pelaksanaan manajemen risiko, output pelaporan yang
dihasilkan oleh manajemen risiko, dan umpan balik (feedback). Format pelaporan
manajemen risiko bervariasi dari satu organisasi ke organisasi lainnya, dan dari satu
kegiatan ke kegiatan lainnya. Sebagai contoh, bagan berikut ini menampilkan laporan
profil risiko regular (misal bulanan).
Bergerak di bidang bisnis banyak sektor dan variabel yang harus diperhatikan. Bisnis
tidak hanya tentang teknis industri, namun juga penguasaan pasar, riset dan pengembangan
produk, analisa kompetitor serta manajemen risiko. Pimpinan perusahaan bisa saja menyewa
tim peneliti untuk menilai pangsa pasar dan unit bisnisnya. Namun, ada juga yang lebih
memilih untuk menganalisa sendiri. Pada dasarnya, Enterprise Risk Management (ERM)
hadir untuk menawarkan pengelolaan keseimbangan antara risiko dan kesempatan untuk
menciptakan alternatif terbaik bagi unit bisnis. Konsep ERM yang cukup terkenal
dikembangkan oleh Committee of Sponsoring Organizations (COSO) di Treadway
Commission. Isinya mengarahkan pimpinan untuk menentukan level penerimaan risiko,
mengulas portofolio risiko perusahaan, mengetahui risiko paling signifikan dan responnya,
serta memahami ERM paling cocok untuk kondisi perusahaan.
Penerapan ERM pada suatu organisasi sudah barang tentu adalah sebuah kemewahan
yang manfaatnya sudah dijanjikan oleh pihak-pihak promotor model atau kerangka
manajemen risiko. Apakah janji pasti terealisasi? Tidak ada yang menggaransi. Apapun
model yang akan diterapkan, manajemen risiko yang intensional, sistematik dan terstruktur,
bukanlah projek yang mudah dan murah. Yang sudah pasti harus ada adalah komitmen dari
seluruh pihak di dalam organisasi yang berkelanjutan, yang merasuk dalam proses bisnis,
yang menjadi budaya dan gaya organisasi, bahwa risiko adalah ibarat sebuah pedang. Tanpa
risiko, organisasi akan stagnan karena tidak ada tantangan. Namun karena risiko pula,
organisasi akan bisa berjatuhan. Risiko harus ada, tapi harus pula dikelola. Untuk itulah
manajemen risiko.
1. Menentukan model analisa risiko yang tepat Ada dua model yang bisa dilakukan oleh
pimpinan dalam memetakan risiko usaha, yakni menjadikannya sebagai tanggung
jawab pimpinan, atau mendelegasikan tugas ini ke komite khusus. Dalam hal ini,
pertimbangan kemampuan pimpinan dalam area-area spesifik akan berpengaruh
besar. Kemudian, pelimpahan tugas juga perlu mengonsiderasikan kapasitas dan
kesediaan komite tersebut.
2. Menyamakan persepsi tentang risiko Dibutuhkan komunikasi yang baik antar
lembaga internal dan departemen perusahaan untuk bersama-sama menentukan level
risiko perusahaan. Selain itu, deviasi dari risiko serta tanggapan baliknya, seperti
ekspektasi investor, kondisi pasar, dan analisa sensitivitas, juga dinilai sebagai hal
penting dalam perumusan ERM.
3. Mengevaluasi ketersediaan sumber daya untuk tujuan tertentu Dalam mengontrol hal
ini, pimpinan perlu memastikan kemampuan para direkturnya masih cocok dengan
perkembangan jaman, punya ide inovatif yang konkret, serta punya kapabilitas secara
kepemimpinan dan pelaksanaan teknis.
Sesungguhnya, ERM lebih menekankan pada komunikasi dan penyatuan visi antar
pimpinan perusahaan. Kemudian, objektif ini akan dibawa untuk implementasi teknis oleh
para pekerja lapangan. Oleh karena itu, ERM yang efektif sangat bergantung pada model
komunikasi yang tepat serta hubungan yang baik.
Penerapan ERM di perusahaan penjaminan memiliki fungsi dan manfaat sebagai berikut:
1. Peningkatan efektifitas organisasi Adanya koordinasi yang lebih baik antara beberapa
fungsi pengelolaan risiko serta meningkatkan ruang lingkup pengelolaan risiko
(meningkatkan efisiensi proses pengelolaan risiko secara terintegrasi yaitu mencakup
semua bisnis dan organisasi serta mencakup semua jenis risiko yang dihadapi).
Pengelolaan risiko secara terintegrasi ini akan memperbesar peluang pencapaian
tujuan perusahaan yang pada akhirnya akan meningkatkan value perusahaan.
2. Meningkatkan ketahanan Organisasi Penerapan ERM akan memberikan perusahaan
suatu langkah antisipasi/mitigasi risiko dalam menghadapi berbagai risiko yang akan
dihadapi perusahaan (corporate risk) sehingga memberikan early warning system
yang efektif dalam menghadapi keadaan yang tersulit bagi perusahaan.
3. Mendukung dan meningkatkan kualitas penerapan tata kelola perusahaan yang baik
(Good Corporate Governance (GCG). ERM adalah salah satu pilar penting dalam
mendukung terciptanya GCG.
4. Adanya sinergi antara strategi perusahaan dan tingkat risiko yang diterima (Risk
Appetite) untuk mencapai tujuan (improved outcomes).
5. Mendorong manajemen yang proaktif dan bukan reaktif.
6. Meningkatkan keselamatan dan pencegahan insiden
7. Meningkatkan kepercayaan para pemangku kepentingan
BAB III
KESIMPULAN
DAFTAR PUSTAKA
Mulyono.2010. http://mulyono-oke.blogspot.com/2010/06/penerapan-enterprise-risk-
%20management.html. (18 Juni 2010, Jam 9.00)
Rojihasan,Hasan,Fahrurroji. 2015.
https://fakhrurrojihasan.wordpress.com/2015/12/07/memahami-coso-enterprise-risk-
%20management-integrated-framework/ (7 Desember 2015, Jam 9.00
Riyan. 2017.
https://repository.widyatama.ac.id/xmlui/bitstream/handle/123456789/601%207/Bab
%202.pdf?sequence=9. (2017, Jam 9.00)