Risk, Strategy, and Objective-Setting

Setiap organisasi memiliki strategi untuk mencapai misi dan visinya. Setiap organisasi
memiliki tantangan untuk menilai apakah strategi dan tujuan yang ingin dicapai akan selaras
dengan misi, visi, dan nilai-nilai organisasi. Dengan mengintegrasikan manajemen risiko
perusahaan dengan proses perumusan strategi, organisasi akan memperoleh gambaran terkait
profil risiko yang terkait dengan pengelolaan proses bisnisnya. Berikut ini adalah prinsip-
prinsip dari COSO Enterprise Risk Management yang berhubungan dengan bahasan Risk,
Strategy, and Objective Setting
1. Prinsip 7: Adapts to Business Context (The organization considers potential effects of
business context on risk profile).
a. Memahami Konteks Bisnis.
Suatu organisasi mempertimbangkan konteks bisnis ketika mengembangkan
strategi untuk mendukung misi, visi, dan nilai-nilai organisasi tersebut. "Konteks
bisnis" mengacu pada tren, hubungan, dan faktor-faktor lain yang memengaruhi atau
menyebabkan perubahan strategi dan tujuan bisnis organisasi saat ini dan di masa
depan. Konteks bisnis merupakan suatu hal yang dinamis, kompleks, dan tidak dapat
diprediksi.
b. Mempertimbangkan Lingkungan Eksternal dan Stakeholder Eksternal.
Lingkungan eksternal adalah bagian dari sebuah konteks bisnis. Lingkungan
eskternal adalah segala yang berada di luar lingkungan internal organisasi yang dapat
memengaruhi kemampuan organisasi untuk mencapai strategi dan tujuan bisnisnya.
Stakeholder merupakan bagian dari lingkungan eksternal yang dapat memberikan
pengaruh terhadap kebijakan perusahaan. Contohnya adalah investor yang
memberikan modal kepada organisasi dan dapat memutuskan untuk mengalihkan
modalnya jika tidak setuju dengan tujuan strategis dan kinerja organisasi. Sebuah
organisasi harus mengidentifikasi lingkungan eksternal dan stakeholder yang ada dan
sejauh mana pengaruhnya terhadap bisnis untuk mengantisipasi dan beradaptasi jika
terjadi perubahan.
c. Mempertimbangkan Lingkungan Internal dan Stakeholder Internal.
Lingkungan internal organisasi adalah apa pun di dalam organisasi yang dapat
memengaruhi kemampuan organisasi untuk mencapai strategi dan tujuan bisnisnya.
Stakeholder internal adalah orang-orang yang bekerja di dalam organisasi yang secara
langsung mempengaruhi organisasi (dewan direksi, manajemen, dan personel
 lainnya). Karena organisasi sangat bervariasi dalam ukuran dan struktur, stakeholder
internal dapat memengaruhi organisasi secara berbeda secara keseluruhan dari tingkat
divisi maupun unit operasional.
d. Bagaimana Konteks Bisnis Mempengaruhi Profil Risiko.
Efek konteks bisnis pada profil risiko organisasi dapat dilihat dalam tiga bagian,
yaitu berdasarkan kinerja masa lalu, masa sekarang, dan masa depan. Melihat kembali
kinerja masa lalu dapat memberikan informasi penting kepada organisasi untuk
digunakan dalam membentuk profil risikonya. Melihat kinerja saat ini dapat
menunjukkan kepada organisasi bagaimana tren, hubungan, dan faktor lainnya yang
saat ini memengaruhi profil risiko organisasi. Selanjutnya, dengan memikirkan seperti
apa faktor-faktor konteks bisnis di masa depan, organisasi dapat mempertimbangkan
bagaimana profil risikonya akan berubah dalam kaitannya dengan tujuan yang ingin
dicapai.

2. Prinsip 8: Defines Risk Appetite (The organization defines risk appetite in the context of
creating, preserving, and realizing value).
a. Menentukan Risk Appetite.
Risk Appetite memberikan panduan bagi organisasi dalam menentukan jenis dan
jumlah risiko yang dapat diterima. Tidak ada standar yang baku bagi Risk Appetite
yang berlaku sama untuk semua organisasi. Manajemen dan dewan direksi memilih
Risk Appetite dengan memiliki pemahaman penuh mengenai trade-off yang dapat
muncul. Risk Appetite merupakan gambaran tunggal dari jenis dan jumlah risiko yang
dapat diterima dan secara kolektif menyelaraskan sesuai visi dan misi organisasi.
Dalam merumuskan Risk Appetite, organisasi dapat menggunakan beberapa parameter
seperti parameter strategis, parameter keuangan, dan parameter operasional.
Manajemen juga dapat mempertimbangkan profil risiko perusahaan, kapasitas risiko
yang dapat diterima, dan kemampuan perusahaan dalam menerima risiko ketika
menentukan selera risiko.
b. Mengartikulasikan Risk Appetite.
Suatu organisasi dapat mengartikulasikan Risk Appetite secara terperinci dalam
bentuk :
• Strategi dan sasaran bisnis yang selaras dengan misi, visi, dan nilai-nilai inti.
• Sasaran bisnis17 kategori.
• Target kinerja entitas.
 Risk Appetite dikomunikasikan oleh manajemen, didukung oleh dewan, dan
disebarluaskan ke seluruh elemen organisasi. Mensosialisasikan Risk Appetite
merupakan hal yang penting, karena bertujuan supaya pembuat keputusan memahami
Risk Appetite yang harus dipertimbangkan dalam mengambil keputusan dan supaya
proses operasional dapat disesuaikan dengan Risk Appetite.
c. Menerapkan Risk Appetite.
Risk Appetite memberikan panduan bagaimana suatu organisasi mengalokasikan
sumber daya, baik secara keseluruhan oragnisasi dan pada masing-masing unit
operasional. Tujuannya adalah untuk menyelaraskan alokasi sumber daya dengan
misi, visi, dan nilai-nilai organisasi. Oleh karena itu, ketika manajemen
mengalokasikan sumber daya di seluruh unit operasional, hal tersebut dibarengi
denagn mempertimbangkan Risk Appetite organisasi dan perencanaan kegiatan
operasional masing-masing unit. Manajemen juga harus menyelaraskan sumber daya
manusia, proses, dan infrastruktur untuk berhasil menerapkan strategi dengan tetap
memperhatikan Risk Appetite.

3. Prinsip 9: Evaluates Alternative Strategies (The organization evaluates alternative

strategies and impact on risk profile).
Organisasi harus mengevaluasi strategi alternatif sebagai bagian dari proses penetapan
strategi, penilaian risiko dan peluang dari setiap pilihan yang ada. Strategi alternatif dinilai
dalam konteks sumber daya dan kemampuan organisasi untuk menciptakan, melestarikan,
dan mewujudkan nilai-nilai organisasi. Bagian dari manajemen risiko perusahaan mencakup
evaluasi strategi dari dua perspektif risiko yang berbeda, yaitu (1) kemungkinan bahwa
strategi tersebut tidak selaras dengan misi, visi, dan nilai-nilai organisasi dan (2) implikasi
dari strategi yang dipilih.
a. Pentingnya Menyelaraskan Strategi.
Strategi harus mendukung misi dan visi, nilai-nilai organisasi, selaras dengan
budaya organisasi dan Risk Appetite. Jika tidak, organisasi kemungkinan tidak
berhasil mencapai visi dan misinya. Strategi yang tidak selaras meningkatkan risiko
bagi para stakeholder karena reputasi organisasi dapat ikut terpengaruh.
b. Memahami Implikasi dari Alternatif Strategi.
Ketika mengevaluasi alternative strategi, organisasi berupaya mengidentifikasi
dan memahami potensi risiko dari setiap strategi yang ada. Risiko yang teridentifikasi
secara kolektif membentuk profil risiko untuk setiap pilihan yang ada, yaitu strategi
 yang berbeda menghasilkan profil risiko yang berbeda. Manajemen dan dewan
menggunakan profil risiko ini ketika memutuskan strategi terbaik untuk diadopsi,
dengan memperhatikan Risk Appetite organisasi.
Setelah profil risiko ditetapkan untuk strategi yang dipilih, manajemen dapat
mempertimbangkan jenis dan jumlah risiko yang akan dihadapi dalam melaksanakan
strategi itu. Secara khusus, mengetahui profil risiko memungkinkan manajemen untuk
menentukan sumber daya apa yang akan dibutuhkan dan dialokasikan untuk
mendukung pelaksanaan strategi dengan tetap memperhatikan Risk Appetite.
Jumlah upaya yang dikeluarkan dan tingkat ketelitian yang diperlukan dalam
mengevaluasi alternatif strategi akan bervariasi tergantung pada seberapa signifikan
keputusan itu, sumber daya dan kemampuan yang tersedia, dan jumlah strategi yang
dievaluasi. Semakin penting keputusan, semakin detail evaluasi yang akan dilakukan,
dan mungkin menggunakan beberapa pendekatan
c. Menyelaraskan Strategi dengan Risk Appetite.
Organisasi harus memastikan bahwa strategi yang dipilihnya dapat dieksekusi
pada Risk Appetite organisasi yang dipilih. Strategi harus selaras dengan Risk Appetite
yang ditetapkan. Jika risiko yang terkait dengan strategi tertentu tidak konsisten
dengan Risk Appetite atau kapasitas risiko yang bisa diterima organisasi, strategi perlu
direvisi atau alternatif strategi dapat dipilih, serta Risk Appetite dapat ditinjau
kembali.
d. Melakukan Perubahan pada Strategi.
Organisasi pada umumnya melakukan perencanaan strategi berkala untuk
menguraikan strategi jangka pendek dan jangka panjang. Perubahan strategi perlu
dilakukan jika organisasi menentukan bahwa strategi saat ini gagal untuk menciptakan
dan mempertahankan nilai-nilai organisasi atau perubahan dalam konteks bisnis
menyebabkan organisasi terlalu dekat dengan jumlah risiko maksimum yang dapat
diterima.
e. Mitigasi Bias.
Bias selalu ada, tetapi organisasi harus berusaha bersikap tidak memihak atau
mengurangi bias yang muncul ketika mengevaluasi alternatif strategi. Langkah
pertama adalah mengidentifikasi bias yang mungkin ada selama proses penetapan
strategi. Langkah selanjutnya adalah mengurangi bias yang diidentifikasi. Bias dapat
menghambat suatu organisasi memilih strategi terbaik untuk mendukung misi, visi,
nilai-nilai organisasi, dan menentulan Risk Appetite organisasi.
4. Prinsip 10: Considers Risk while Establishing Business Objectives (The organization
considers risk while establishing the business objectives at various levels that align and
support strategy).
a. Menetapkan Tujuan Bisnis.
Organisasi mengembangkan tujuan bisnis yang dapat diukur atau diamati, dapat
dicapai, dan relevan. Tujuan bisnis menyediakan panduan kepada praktik-praktik
dalam organisasi untuk mendukung pencapaian strategi. Tujuan bisnis terkait dengan
kinerja keuangan, aspirasi pelanggan, keunggulan operasional, kepatuhan terhadap
aturan yang berlaku, efisiensi kegiatan operasional, dan Inovasi pada pasar.
b. Menyelaraskan Tujuan Bisnis.
Penyelarasan tujuan bisnis dengan strategi mendukung organisasi dalam
mencapai misi dan visinya. Tujuan bisnis yang tidak selaras atau hanya selaras
sebagian saja dengan strategi, akan menghambat pencapaian visi dan misi serta dapat
menimbulkan risiko yang tidak perlu pada profil risiko organisasi.
Tujuan bisnis juga harus selaras dengan Risk Appetite organisasi. Jika tidak
semikian, maka organisasi mungkin menerima terlalu banyak atau terlalu sedikit
risiko. Oleh karena itu, ketika suatu organisasi mengevaluasi tujuan bisnis yang
diusulkan, organisasi harus mempertimbangkan potensi risiko yang mungkin terjadi
dan menentukan dampaknya terhadap profil risiko. Tujuan bisnis yang menyebabkan
organisasi melebihi Risk Appetite dapat dimodifikasi atau mungkin tidak digunakan.
c. Memahami Implikasi Tujuan Bisnis yang Dipilih.
Organisasi memiliki banyak pilihan ketika memutuskan tujuan bisnis. Misalnya,
organisasi yang diberi peluang untuk meningkatkan sistem operasi intinya dan
mendesain ulang infrastruktur IT yang ada. Salah satu pilihan adalah mengejar tujuan
bisnis untuk mengidentifikasi vendor yang sesuai dan mematuhi peraturan dari pihak
ketiga untuk mengembangkan sistem IT yang telah ditentukan. Pilihan lain adalah
organisasi membangun sistemnya sendiri secara internal dengan melakukan investasi
yang signifikan. Seperti halnya dengan penetapan strategi, dalam memilih tujuan
bisnis, organisasi perlu memiliki perkiraan yang masuk akal bahwa tujuan bisnis
dapat dicapai dengan memperhatikan Risk Appetite atau sumber daya yang tersedia
untuk organisasi. Perkiraan tersebut disesuaikan dengan kemampuan dan sumber daya
organisasi.
 d. Mengkategorikan Tujuan Bisnis.
Bagaimana organisasi mengkategorikan tujuan bisnisnya ditentukan oleh
manajemen. Terlepas dari bagaimana tujuan bisnis dikategorikan, tujuan bisnis harus
sejajar dengan aspek praktik bisnis, produk, geografi, atau aspek organisasi lainnya.
Dalam beberapa kasus, organisasi harus mematuhi persyaratan eksternal yang
menetapkan cara di mana tujuan bisnis dikategorikan untuk tujuan pelaporan. Sebagai
contoh, jika suatu organisasi diharuskan untuk melaporkan penilaian risiko
lingkungan sebagai bagian dari izin operasinya, maka organisasi tersebut akan secara
spesifik memasukkan persyaratan-persyaratan tersebut pada tujuan bisnisnya.
Organisasi harus berhati-hati untuk tidak salah dalam mengkategorikan sasaran bisnis
dengan kategori risiko. Kategori risiko berhubungan dengan pengelompokan dari
risiko yang berpotensi memengaruhi tujuan bisnis tersebut.
e. Mengatur Ukuran dan Target Kinerja.
Organisasi menetapkan target untuk memantau kinerja organisasi dan mendukung
pencapaian tujuan bisnis Dengan menetapkan target, organisasi dapat mempengaruhi
profil risiko organisasi. Target yang agresif dapat menghasilkan profil risiko yang
lebih besar untuk tujuan bisnis tersebut. Misalnya, sebuah organisasi dapat
menetapkan target pertumbuhan agresif yang meningkatkan risiko dalam
mencapainya. Sebaliknya, suatu organisasi dapat menetapkan target pertumbuhan
yang lebih konservatif yang akan menurunkan risiko mencapai target, tetapi juga
dapat mengakibatkan target tidak lagi selaras dengan pencapaian tujuan bisnis.

5. Prinsip 11: Defines Acceptable Variation in Performance (The organization defines

acceptable variation in performance relating to strategy and business objectives).
a. Variasi yang Dapat Diterima dalam Kinerja.
Variasi yang dapat diterima dalam kinerja terkait dengan risiko disebut sebagai
"risk tolerance". Hal ini merupakan hasil penilaian yang dapat diterima terkait dengan
tujuan bisnis dalam Risk Appetite yang sesuai. Hal tersebut juga memberikan petunjuk
untuk menentukan apakah strategi dan tujuan bisnis dapat diterima atau tidak dapat
diterima.
b. Ukuran Kinerja dan Variasi yang Dapat Diterima.
 Ukuran kinerja yang terkait dengan tujuan bisnis membantu mengkonfirmasi
bahwa kinerja aktual berada dalam variasi kinerja yang dapat diterima. Ukuran kinerja
dapat berupa kuantitatif atau kualitatif.
Variasi yang dapat diterima dalam kinerja juga mempertimbangkan variasi
berdasarkan ukuran kinerja yang positif maupun negatif. Adalah umum bagi
organisasi untuk berasumsi bahwa mencapai variasi positif dalam kinerja memberikan
manfaat bagi organisasi dan mencapai variasi negatif dalam kinerja merupakan hal
yang memiliki risiko. Melebihi target kinerja, pada umumnya menunjukkan efisiensi
atau kinerja yang baik. Tetapi tidak mencapai target, bukan selalu berarti kegagalani.
Hal itu tergantung pada target organisasi dan bagaimana variasi didefinisikan.
Organisasi juga harus memahami hubungan antara biaya dan variasi kinerja yang
dapat diterima sehingga mereka dapat menangani risiko dan peluang yang ada secara
efektif. Pada umumnya, semakin sempit variasi kinerja yang dapat diterima, semakin
banyak sumber daya yang diperlukan untuk beroperasi dalam tingkat kinerja itu.