Peran dan Tanggung Jawab

Setiap orang dalam entitas mempunyai tanggung jawab tertentu dalam ERM. Direktur
Utama (Chief Executive Officer) pada akhirnya bertanggung jawab sebagai pemilik ERM. Para
manajer mendukung falsafah ERM, mendorong ketaatan terhadap risk appetite, dan mengelola
risiko dalam wilayah tanggung jawab mereka sejalan dengan risk tolerances. Seorang pejabat
dengan taggung jawab khusus atas risiko (risk officer), pejabat di bidang keuangan (financial
officer), auditor internal, dan orang-orang tertentu lainnya yang mempunyai tanggung jawab
kunci.

Personalia lain bertanggung jawab melaksanakan ERM sesuai dengan petunjuk dan
aratokol yang telah ditetapkan (established directives and protocols). Direksi/Dewan Komisaris
mempunyai peran memimpin dan mengawasi ERM, dan memahami serta menyetujui risk
appetite entitas tersebut.

Sejumlah pihak luar, seperti para pelanggan, vendors (supplier), partner bisnis, auditor
eksternal, regulator, dan analis keuangan (financial analysts) sering kali memberikan informasi
vang bermanfaat dalam melaksanakan ERM. Namun, mereka tidak bertanggung jawab atas
berjalannya ERM. Mereka juga bukan pihak-pihak menjadi bagian dari ERM.

Gambar 6.3 diambil dari China Aviation Oil (Singapore) Corporation Ltd. Perusahaan ini
melaksanakan ERM dengan tiga tingkat (Three-Tier Management), yakni a) Risk Management
Committee ("RMC") di tingkat Direksi/Dewan Komisaris, b) Company Risk Meeting ("CRM")
di tingkat manajemen, dan c) Risk Management Department di tingkat operasional.
Penggunaan Laporan Ini

Saran pemakaian laporan ini bergantung pada posisi dan peran dari pihak-pihak yang
terlibat seperti:

Board of Directors (Direksi/Dewan Komisaris disingkat Dewan)-Dewan harus

membahas dengan senior management status ERM dan memberikan masukan dan pandangan
yang diperlukan, Dewan harus memastikan bahwa Dewan mendapat masukan mengenai risiko
yang paling signifikan, bersama dengan tindakan yang diambil manajemen dan bagaimana ERM
dipastikan berjalan secara efektif. Dewan harus mempertimbangkan mendapat masukan dari para
auditor internal, audit eksternal, dan pihak-pihak lain.

Senior Management-Kajian ini menyarankan agar Direktur Utama (the chief executive)
menilai kemampuan ERM. Salah satu pendekatannya ialah, Dirut mengumpulkan kepala-kepala
bidang dan staf fungsional yang penting untuk membahas penilaian awal dari kemampuan dan
efektifnya ERM. Apa pun pendekatannya, penilaian awal seyogianya menentukan ada/tidaknya
kebutuhan dan bagaimana melakukan evaluasi yang lebih mendalam.

Personalia Lainnya-Para manajer dan personalia lain harus ikut memikirkan bagaimana
mereka melaksanakan tanggung jawab mereka dari sudut pandang framework ini dan
membahasnya dengan atasan yang lebih senior untuk merumuskan gagasan yang memperkuat
ERM. Para auditor internal harus memahami tanggung jawab mereka dalam ERM.

Regulator-Kerangka acuan ini dapat memperkuat pendapat yang dianut oleh berbagai
pihak mengenai manajemen risiko perusahaan, termasuk hal-hal yang dapat dilakuka dan
hambatan-hambatannya. Para regulator dapat mengacu pada kerangka acuan ini, untuk
menciptakan pendapat dan ekspektasi mengenai manajemen risiko perusahaan dikalangan
entitas-entitas yang mereka awasi, baik melalui aturan maupun petunjuk yang dikeluarkan
regulator tersebut.

Professional Organizations-Organisasi profesional, termasuk yang menerbitkan aturan,

dapat memberikan petunjuk-petunjuk mengenai manajemen keuangan (financial management),
auditing, dan topik terkait lainnya, dapat mempertimbangkan standar dan petunjuk ERM ini.

Educators-Kerangka ERM ini bisa menjadi bahan diskusi, analisis dan penelitian
akademis, yang memungkinkan pengembangan lebih lanjut di kemudian hari. Dengan asumsi
bahwa laporan ERM ini diterima sebagai landasan bersama untuk suatu pemahaman (common
ground for understanding), konsep-konsep dan istilah dalam laporan ini akan menemukan jalan
masuk ke kurikulum universitas.

Hubungan antara Audit Internal dan ERM

Berikut ini tutorial dari Broadleaf Capital International Pty Ltd berjudul Relationahip batasen
internal audit and risk management.

Selama bertahun-tahun audit internal memanfaatkan informasi tentang risiko secara tepat,
yakni sebagai input utama dalam perencanaan audit. Untuk organisasi yang belum mempunyai
fungsi ERM yang efektif, misalnya ERM masih pada tahap awal pengembangan audit internal
terpaksa melaksanakan penilaian risiko (risk assessments) sendiri. Dan dalam banyak hal audit
internal telah melaksanakan penilaiannya sendiri dalam rangka pengecekan ERM secara
independen.

Audit internal juga harus mengaudit kerangka ERM, untuk memberikan asurans kepada
Direksi/Dewan Komisaris dan senior management mengenai kecukupan dan efektifnya ERM. Ini
adalah keharusan dalam standar IIA (Professional Practices Standards).
 Diagram kipas ini memberi ilustrasi tentang pandangan masa kini mengenai peranan
audit internal dan ERM. Bagian kiri dari diagram ini, berwarna biru muda, merupakan wilayah
berisi peran inti audit internal. Bagian berwarna biru di bagian tengah diagram, merupakan
wilayah audit internal asal ada pengaman. Bagian kanan dari kipas ini menggambarkan wilayah
yang tidak boleh dimasuki audit internal. Secara umum ada kesepakatan untuk bagian kiri dan
kanan diagram ini, dan ada perbadaan pendapat mengenai bagian tengah.

Broadleaf Capital International Pty Ltd yang menerbitkan tulisan ini, berpendapat bahwa
bagian tengah dari diagram kipas ini harus dilepaskan dari fungsi audit internal. Menurutnya,
dalam kebanyakan organisasi, wilayah ini jelas-jelas mencerminkan benturan kepentingan antara
audit internal dan ERM. Beberapa peran dan kegiatan tertentu yang dapat menyebabkan benturan
kepentingan disajikan dalam 6.1
 Dapat dibayangkan betapa sulitnya bagi seorang manajer yang membawahi fungsi audit
internal dan fungsi ERM. Kedua fungsi ini melapor kepadanya. Dan selanjutnya ia
menyampaikan dua perangkat laporan (laporan audit dan laporan ERM) kepada Direksi/Dewan
Komisaris (the Board) atau Komite Audit & Risiko yang berada di bawah Direksi/Dewan
Komisaris (Board Audit and Risk Committee).

Meskipun fungsi audit internal dan fungsi ERM bekerja sama, mereka seharusnya
melaporkan kepada dua manajemen senior yang berbeda, untuk tujuan tata kelola yang jelas
(clear governance purposes) dan untuk memastikan kedua fungsi ini tidak terkontaminasi. Dalam
praktiknya, di mana hanya ada satu pejabat (yang dikenal sebagai Chief Risk Officer), pejabat ini
harus berjuang habis-habisan dalam mencari keseimbangan antara urusan audit internal, ERM,
dan kepatuhan.

Di samping masalah tata kelola yang jelas, ada alasan manajemen dan budaya untuk
memisahkan fungsi audit internal dan ERM. ERM adalah fungsi manajemen lini (line
management function) –manajemen lini atau line managers pada akhirnya yang bertanggung
jawab menghasilkan (delivering business outcomes), dan merekalah yang bertanggungjawab
untuk mengelola risiko organisasi. Jika ERM terpisah dari fungsi lini dan dipusatkan di wilayah
yang terkait kepatuhan (compiliances-related area) akan mengirimkan pesan tidak baik ke
seluruh organisasi.
Risk Appetite, Risk Tolerance, dan Risk Maturity

Contoh dan Penjelasan Sederhana

Contoh : memperluas pasar ke luar negeri membawa risiko bagi perusahaan, dan pada
saat yang sama ada peluang untuk meningkatkan pendapatan dan labanya.

Contoh ini menjelaskan makna “selera risiko” yang harus dipenuhi agar perusahaan
mencapai target pendapatan dan labanya. Pada tahap pertama, pasar luar negerinya terbatas
sampai ke negeri jiran (negara tetangga), tanpa menutup kemungkinan di tahun-tahun mendatang
untuk memperluas pasar sampai ke negara-negara yang lebih jauh, dengan risiko yang lebih
besar, antara lain risiko selisih kurs, dan juga ketentuan hukum dan suasana politik yang lebih
kompleks. Semuanya ini demi memenuhi “selera”.

Pada tingkat tertentu, entitas akan mencapai tahap kematangan (istilah yang dipakai
untuk buah sebelum membusuk) atau kemapanan (istilah yang dipakai untuk kenyamanan,
sebelum kehancuran karena terlalu banyak mengambil risiko). Inilah konsep risk maturity.

Apa itu risk Appetite?

Menurut Rittenberg dan Martens, risk appetite adalah jumlah risiko yang secara umum suatu
organisasi bersedia menerimanya dalam rangka meraih keuntungan. Setiap organisasi mengejar
tujuan atau target dalam rangka menambah nilai dan secara umum memahami risiko terkait yang
diambilnya.

Suatu organisasi yang mempunyai risk Appetite yang agresif akan menetapkan sasaran yang
agresif, sebaliknya organisasi yang risk-averse atau “alergi” terhadap risiko, dengan risk appetite
yang rendah, akan menetapkan sasaran yang konservatif.

Untuk menetapkan risk appetite, manajemen dengan reviu dan persetujuan Direksi/Dewan
Komisaris, perlu mengambil tiga langkah sebagai berikut:

1) Kembangkan risk appetite

Manajemen dan Direksi/Dewan Komisaris harus membuat keputusan diantara berbagai
pilihan dalam menentukan risk appetite, harus memahami trade-offs atau pertukaran yang
dilakukan antara mengambil lebih banyak risiko dan melebarkan peluang dengan
mengurangi risiko dan kesempatan.
2) Komunikasikan risk appetite
 Ada beberapa pendekatan umum dalam mengkomunikasikan risk appetite. Pertama,
dengan menciptakan pernyataan mengenai risk appetite yang menyeluruh (overall risk
appetite statement) yang cukup luas namun cukup deskriptif sehingga unit-unit organisasi
dapat mengelola risiko-risiko dibawah kendalinya, sesuai dengan pernyataan tersebut.
Kedua, komunikasikan risk appetite untuk setiap kelompok utama dalam tujuan
organisasi. Ketiga, komunikasikan risk appetite untuk setiap kategori risiko.
3) Pantau dan mutakhirkan risk appetite
Risk appetite harus direviu dalam hubungannya dengan bagaimana organisasi beroperasi,
khususnya ketika business model-nya berubah.

Contoh pernyataan tentang risk appetite (risk Appetite Statement)

Risk appetite statements sering kali diawali dengan pernyataan yang luas, kemudian lebih
spesifik ketika mengerucut ke dalam departemen-departemen dan unit-unit operasi dalam
organisasi.

Beberapa organisasi melihat bahwa penyataan yang luas dan umum seperti dalam istilah selera
rendah, sedang atau tinggi (“low”, “medium”, or “high” appetite) memenuhi syarat untuk
menyajikan ciri-ciri umum dalam suatu risk appetite statement. Sedangka organisasi lain ingin
pernyataan yang lebih tepat (more precise), seperti pernyataan “kami tidak dapat menerima
probabilitas lebih dari 10% kerugian, atau dengan menyebut angka yang tepat dalam rupiah,
untuk mencapai tujuan tertentu.

Pernyataan mana yang lebih cocok (luas/umum-umum saja atau spesifik) tergantung dari selera
organisasi yang bersangkutan dan putusan manajemen.