AS/NZS 4360 COSO 2004 ISO 31000: 2009

Australian/New Zealand Standard

RISK MANAGEMENT

Sesi 4
Standar Manajemen Risiko
AS/NZS 4360, COSO 2004 & ISO 31000: 2009

1
 ENTERPRISE RISK MANAGEMENT (ERM)

 Business Plan merupakan Sasaran Kunci dan Indikator

Kinerja Kunci.
 Risk, Opportunity memiliki hubungan penting
 Manajemen Risiko tidak hanya Governance dan Compliance,
tetapi juga lebih menekankan pada Business Performance dan
Business Improvement.
 Manajemen Risiko mengidentifikasikan semua tipe risiko
dan menghilangkan hambatan antar fungsi/unit di dalam
perusahaan.
 Manajemen risiko membutuhkan “bahasa” yang sama dan
 membangun kebersamaan.
 Manajemen risiko membantu proses pembuatan keputusan
dan memperbaiki strategik dan perencanaan keuangan.
ENTERPRISE RISK MANAGEMENT (ERM)
 Suatu proses yang berkelanjutan dan berkesinambungan
pada seluruh aspek aktifitas perusahaan.
 Dipengaruhi oleh seluruh manusia pada setiap tingkat atau
jabatan dalam organisasi.
 Digunakan dalam penentuan strategi perusahaan.
 Diterapkan pada seluruh aspek perusahaan, pada berbagai
jabatan dan unit kerja, serta seluruh portofolio perusahaan.
 Dirancang untuk mengidentifikasi potensi kejadian yang
berpengaruh terhadap perusahaan dan untuk mengelola risiko
berada dalam toleransi perusahaan.
 Sebagai jaminan bagi manajemen dan Dewan Direksi dalam
mencapai tujuan strategis perusahaan.

Source: COSO (2004) “Enterprise Risk Management – Integrated

Framework”.
TUJUAN ENTERPRISE RISK MANAGEMENT
(ERM)
 Keunggulan Daya Saing
 Meminimalkan volatilitas anggaran
 Mengurangi biaya pemindahan risiko
 Risiko sangat dipertimbangkan dalam proses pembuatan
keputusan
 Mengantisipasi terjadinya hal tidak pernah diperhitungkan dan
kerugian yang dapat diprediksi
 Menyelaraskan kerugian dari suatu risiko dengan program
penanganan risiko
 Mengintegrasi Manajemen Risiko Perusahaan dengan proses
perencanaan strategis
 Traditional RM vs ERM
No Manajemen Risiko Tradisional Manajemen Risiko Perusahaan
(ERM)
1 Pemantauan risiko adalah fungsi tingkat rendah dari Pemantauan risiko adalah CEO (dengan pengawasan
auditor internal Dewan Direksi)
2 Risiko sebagai faktor negatif yang dikendalikan Risiko sebagai faktor ancaman yang dikendalikan
sebagai suatu peluang
3 Risiko dikelola secara terpisah dalam fungsi atau unit Risiko dikelola secara terpadu (enterprise-wide
dalam perusahaan moda)
4 Tanggung jawab atas manajemen risiko Manajemen risiko adalah tanggung jawab senior
didelegasikan kepada tingkat yang lebih rendah manajemen
5 Pengukuran risiko adalah subjektif Pengukuran risiko secara kuantifikasi

6 Tidak terstruktur dan fungsi-fungsi manajemen risiko Manajemen risiko dibangun ke dalam semua sistem
yang berbeda manajemen perusahaan
 KERANGKA KERJA ERM
 Pernyataan Misi dan Visi
 Sasaran dan Strategi
 Struktur Organisasi
 Peran dan tanggung jawab
 Kebijakan dan Prosedur
 Peralatan dan Teknik
 Keseragaman Bahasa
 Penempatan kerangka kerja yang telah ada
 Mengintegrasikan ke dalam organisasi
perusahaan
Perkembangan ERM

 Casualty and Actuarial Society (CAS) 2001

 COSO II - 2004 Enterprise Risk Management
 Australia/New Zealand (AS/NZS) Standard 4360
2004
 Di Indonesia: PP No. 60 tahun 2008 tentang
Sistem Pengendalian Intern Pemerintah
 ISO 31000:2009
 ISO 31000:2018
Konsep ERM
 Enterprise Risk Management dapat didefinisikan sebagai suatu
proses untuk mengelola risiko perusahaan secara menyeluruh (firm-
wide basis) yang menjangkau berbagai jenis risiko, lokasi dan lini
bisnis

 Tidak ada hal baru yang bersifat fundamental dalam konsep

Enterprise Risk Management

 Perangkat baru untuk mengelola risiko-risiko neraca

mencakup analisis risiko dan produk manajemen risiko
ERM dan Governance Risiko
 Ketersediaan perangkat analisis yang lebih maju dan produk-produk
manajemen risiko telah membawa pengaruh pada adanya struktur
governance baru
 Bank yang sebelumnya mengelola risiko-risiko keuangan (risiko suku
bunga, risiko mata uang dan risiko likuiditas) secara terintegrasi
melalui asset and liability commitee (ALCO) dan risiko kreditnya
melalui komite kredit senior, saat ini dapat mengelola seluruh risikonya
melalui satu komite risiko senior (senior risk committee) dimana
terdapat pasar yang luas dan likuid untuk produk-produk credit
derivative, pengelolaan risiko kredit akan sama dengan risiko pasar

 Tidak ada satupun struktur governance yang dapat dianggap

paling tepat
Sejarah ERM
 Krisis keuangan merupakan pencetus utama perkembangan sistem
informasi dan produk keuangan yang diperlukan untuk mengelola
neraca bank

 Keanggotaan ALCO (asset and liability committee) minimal harus

terdiri dari chief executive officer, treasurer, direktur keuangan
dan business division heads

 Pembentukan ALCO membantu bank untuk memahami dengan lebih

baik pentingnya pengelolaan neraca dan biaya dana
Standar COSO

 COSO juga melihat perlu adanya kerangka yang lebih luas yang
dapat menyediakan prinsip-prinsip adan konsep utama, bahasa yang
sama, arahan dan pedoman yang jelas atas proses manajemen
risiko yang lebih lengkap

 COSO mengembangkan “Enterprise risk management-

integrated network”, yang dipublikasikan pada tahun 2004

 COSO secara sengaja mengembangkan definisi yang luas

untuk ERM sehingga dapat diterapkan di berbagai organisasi,
industri dan sektor
 COSO mengidentifikasi hal-hal berikut sebagai sesuatu yang penting
dalam enterprise risk management :
 Menyelaraskan risk appetite dan strategi
 Meningkatkan kualitas keputusan yang terkait dengan risiko
 Mengurangi kejutan-kejutan operasional dan kerugian
 Mengidentifikasi dan mengelola banyak risiko yang bersifat
cross-enterprise
 Menangkap kesempatan
 Memperbaiki penggunaan modal

 Pada kerangka ERM, penilaian risiko pengendalian internal dibagi

kedalam: objective setting, event identificaion, risk
assessment dan risk response
 Karena ERM mencakup pula kerangka pengendalian internal, COSO
meyakini bahwa perusahaan dapat memutuskan mengadopsi
kerangka ERM untuk memenuhi kebutuhan pengendalian internalnya
dan berpindah menuju proses manajemen risiko yang lebih rinci
Efektivitas Proses Manajemen Risiko,
memerlukan:
 Komitmen dari chief executive dan executive management organisasi
 Penugasan tanggung jawab dalam organisasi
 Alokasi sumber-sumber yang tepat untuk pelatihan dan pengembangan
risk awareness yang lebih baik oleh seluruh stakeholder
 Standar di atas memuat fitur-fitur proses manajemen risiko sebagai berikut:
 Merupakan proses yang berkelanjutan dan berkembang serta terdapat
pada seluruh strategi organisasi dan implementasi dari strategi tersebut
 Mencakup secara sistematis seulurh risiko yang terdapat pada
aktivitas organisasi dimasa lalu, saat ini, dan khususnya di masa datang
 Terintegrasi dalam budaya organisasi dengan kebijakan yang
efektif dan program yang dipimpin oleh menajemen yang paling senior
 Menerjemahkan strategi menjadi tujuan taktis dan operasional,
menetapkan tanggung jawab di seluruh organisasi dimana setiap manajer
dan pegawai bertanggung jawab atas pengelolaan risiko sebagai bagian dari
job description
 Mendukung akuntabilitas, pengukuran kinerja dan penghargaan
serta mempromosikan efisiensi operasional di semua level
Kerangka Manajemen Risiko di Korporasi
dan Bank
 Fungsi manajemen risiko pada mulanya didirikan sebagai fungsi
pengendalian
 Definisi, interpretasi dan implementasi ERM dapat berbeda-beda dari
tiap korporasi dan bank
 Komponen pertama dari kerangka ERM adalah budaya
pengendalian dan pengawasan manajemen yang dibentuk dan
didefinisikan secara jelas
 Direksi dan manajemen senior menekankan filosofi manajemen
risiko dan pengendalian yang menetapkan ‘tone’ budaya
manajemen risiko
 Risk appetite ditetapkan oleh direksi dan manajemen senior
 Risiko didefinisikan untuk mencakup seluruh risiko yang
dihadapi
 Risiko dipertimbangkan berdasarkan portofolio – seluruh
jenis risiko dan seluruh unit bisnis
 Proses Manajemen Risiko
Australia/New Zealand (AS/NZS) Standard 4360: 2004
Menentukan Konteks

Risk Assessment
Komunikasi & Konsultasi

Monitoring & Review

Identifikasi Risiko

Analisis Risiko

Evaluasi Risiko

Perlakuan Risiko
 Likelihood/Probabilitas/Frekuensi
Australia/New Zealand (AS/NZS) Standard 4360: 2004

No Tingkat Probabilitas Penjelasan

1 Jarang Mungkin terjadi hanya pada kondisi tidak normal
2 Kemungkinan Kecil Mungkin terjadi pada banyak waktu
3 Kemungkinan Sedang Dapat terjadi pada beberapa waktu
4 Kemungkinan Besar Akan mungkin terjadi pada banyak keadaan
5 Hampir Pasti Dapat terjadi pada banyak keadaan
 Konsekuensi/Dampak/Severity
Australia/New Zealand (AS/NZS) Standard 4360: 2004

No Tingkat Dampak Penjelasan

1 Tidak Signifikan Tidak ada cedera, kerugian finansial yang tidak
berarti
2 Rendah Penanganan pertolongan pertama, kerugian finansial
sedang, tingkat politis rendah
3 Menengah Diperlukan penanganan medis, kerugian finansial
cukup besar, tingkat politis sedang
4 Besar Cidera yang meluas, kerugian finansial besar, tingkat
politis yang besar
5 Luar Biasa Kematian, kerugian finansial sangat besar,
kekacauan politis tingkat tinggi
COMMITTEE OF SPONSORING ORGANIZATIONS
(COSO): 2004
8 komponen dalam
COSO Enterprise Risk
Management, yaitu:

1. Internal Environment
2. Objective Setting
3. Event Identification
4. Risk Assessment
5. Risk Response
6. Control Activities
7. Information and
Communication
8. Monitoring
COMMITTEE OF SPONSORING ORGANIZATIONS
(COSO): 2004
Tujuan perusahaan dapat
dilihat dari empat
kategori, yaitu:
1. Strategis
2. Operasi
3. Pelaporan
4. Kepatuhan

Sedangkan tingkatan
dalam organisasi adalah:
1. Enterprise-level
2. Divisi
3. Subsidiary
4. Unit bisnis
 Prinsip Manajemen Risiko
ISO 31000: 2009

1. Nilai tambah
2. Bagian terpadu dari proses organisasi
3. Bagian dari pengambilan keputusan
4. Secara khusus menangani ketidakpastian
5. Sistematis, terstruktur dam tepat waktu
6. Berdasarkan informasi terbaik yang ada
7. Bersifat khas untuk organisasi
8. Mempertimbangkan faktor manusia dan budaya
9. Transparan dan inklusif
10. Dinamis, berulang dan responsif terhadap perubahan
11. Memfasilitasi perbaikan berkesinambungan dan peningkatan
kinerja organisasi
Kerangka Manajemen Risiko
ISO 31000: 2009
Mandat dan Komitmen

Desain kerangka
kerja untuk
mengelola risiko

Perbaikan Penerapan
bersinambungan manajemen
atas kerangka risiko
kerja

Pemantauan dan
kaji ulang
kerangka kerja
 Proses Manajemen Risiko
ISO 31000: 2009

Menentukan Konteks

Risk Assessment
Komunikasi & Konsultasi

Monitoring & Review

Identifikasi Risiko

Analisis Risiko

Evaluasi Risiko

Perlakuan Risiko
 Perbandingan Standar Manajemen
Risiko
 Standar Australia / New Zealand AS/NZS 4360: 2004 dan
COSO Enterprise Risk Management merupakan standar
yang mengatur pendekatan yang sistematis untuk
mengelola risiko untuk mencapai tujuan bagi suatu
organisasi.
 Standar AS/NZS 4360: 2004 berlaku untuk “semua jenis
organisasi”, sedangkan COSO Enterprise Risk
Management menekankan pada “organisasi bisnis”.
 Persamaan dan perbedaan yang terdapat antara kedua
standar tersebut memiliki pengaruh berbeda pada saat
penerapan manajemen risiko di suatu organisasi.
 Perbandingan Standar Manajemen
Risiko
 Perusahaan yang telah menerapkan standar manajemen
risiko AS/NZS 4360: 2004, memiliki kemiripan antara
proses manajemen risiko yang diperkenalkan ISO
31000:2009.
 ISO 31000:2009 mengadopsi proses manajemen risiko
AS/NZS 4360: 2004 untuk mendukung kerangka kerja
yang dikembangkannya.
 ISO 31000 merupakan suatu standar penerapan
manajemen risiko yang komprehensif diterbitkan oleh
International Organization for Standardization (ISO) pada
tahun 2009.
 ISO 31000: 2009 merupakan standar yang mengadopsi
juga dan meng-update dari Standar Manajemen Risiko
COSO: 2004.
Beberapa keunggulan ISO 31000
dibandingkan dengan COSO, adalah:
1. ISO 31000 sepenuhnya sesuai dengan COSO ERM,
2. ISO 31000 lebih praktis,
3. Mudah untuk diaplikasikan (kurang dari 30 halaman),
4. Dapat diaplikasikan untuk perusahaan dari semua industri baik
perusahaan besar ataupun perusahaan kecil,
5. Lebih jelas dan konkret penulisan dan definisinya,
6. Sebagai referensi untuk standar manajemen risiko,
7. Tidak perlu merancang ulang sistem manajemen yang telah ada,
8. Dapat diterapkan pada semua level dalam perusahaan untuk setiap
jenis risiko, baik berdampak positif atau negatif,
9. Terbuka untuk perbaikan standar manajemen risiko yang akan datang.
 Likelihood/Probabilitas/Frekuensi
ISO 31000: 2009

Level Probabilitas Keterangan

1 Jarang Hanya terjadi dalam keadaan luar biasa, kurang
dari 10% kemungkinan terjadi
2 Kemungkinan Kecil Bisa terjadi pada suatu waktu, 10% - 30%
kemungkinan terjadi
3 Kemungkinan Sedang Mungkin terjadi pada suatu waktu, 30% - 60%
kemungkinan terjadi
4 Kemungkinan Besar Mungkin akan terjadi dalam banyak situasi, 60% -
85% kemungkinan terjadi
5 Hampir pasti Dapat dipastikan terjadi dalam banyak situasi,
lebih dari 85% kemungkinan terjadi
 Konsekuensi/Dampak/Severity
ISO 31000: 2009

Level Kerugian Dampak Kepercayaan Lingkungan Tujuan

Keuangan Personal Publik dan Perusahaan
pada Klien Reputasi (organisasi)
1 = Tidak < 5% Net Kecelakaan Dampak internal Rendah Dampaknya
Income kecil, saja dampaknya rendah
Signifikan
Pertolongan pada area
Pertama (P3K), minimal dan
bersifat tidak
administrasi signifikan

2 = Minor 5% - 10% dari Kejadian yang Berita lokal. Dampak kecil Penundaan
Net Income membutuhkan Publik lokal pada berpengaruh
perawatan lingkungan sedikit
medis, kurang biologi atau
dari 3 hari. fisik
Tekanan
emosional
 Konsekuensi/Dampak/Severity
ISO 31000: 2009

Level Kerugian Dampak Kepercayaan Lingkungan Tujuan

Keuangan Personal Publik dan Perusahaan
pada Klien Reputasi (organisasi)
3= 10% - 30% dari Masuk rumah Kerugian Moderat. Penundaan
Net Income sakit dan lebih terbatas pada Dampak berpengaruh
Moderat
3 hari absen. reputasi. Pers jangka moderat
Cedera semi lokal/regional pendek tetapi
permanen. tidak
Trauma berdampak
emosional fungsi
ekosistem
4= 30% - 80% dari Kematian. Kehilangan Dampak Penundaan
Net Income Cacat kredibilitas dan lingkungan berpengaruh
Signifikan
permanen kepercayaam jangka signifikan.
organisasi. Pers menengah Kinerja di bawah
nasional. target
Penyelidikan
eksternal
independen
 Konsekuensi/Dampak/Severity
ISO 31000: 2009

Level Kerugian Dampak Kepercayaan Lingkungan Tujuan

Keuangan Personal Publik dan Perusahaan
pada Klien Reputasi (organisasi)
5= Lebih 80% Beberapa Penyelidikan Sangat serius Target tidak
dari Net kematian. penuh publik. terhadap tercapai. Kinerja
Katastropik
Income Beberapa cacat Masyarakat luas kerusakan rendah di bawah
permanen fungsi target
ekosistem
Contoh Kriteria Risiko – Dampak Reputasi
ISO 31000: 2009

NILAI URAIAN NILAI KETERANGAN

1 Sangat Ringan Tidak ada dampak eksternal
2 Ringan Belum ada liputan media massa dan media
sosial
3 Sedang Cakupan terbatas media lokal dan industri.
Keluhan dari klien
4 Berat Liputan media nasional dan media sosial,
meningkatnya keluhan dari beberapa klien,
teguran dan penyelidikan informal regulator
5 Sangat Berat Liputan media nasional dan intenasional.
Menjadi trending topik media sosial, beberapa
klien utama menghentikan kerja sama,
penyelidikan oleh regulator
Evaluasi Risiko

Matriks Risiko
ISO 31000: 2009

5 5 10 15 20 25
PROBABILITAS

4 4 8 12 16 20
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5

1 2 3 4 5
DAMPAK

Unacceptable (merah): Dibutuhkan tindakan sesegera mungkin untuk mengelola

risiko dan menjadi prioritas untuk dilakukan perlakuan atau mitigasi risiko
Issu (orange): Tindakan diperlukan untuk mengelola risiko
Supplementary Issue (hijau muda): Tindakan dianjurkan jika biaya efektif
Acceptable (hijau tua): Tidak ada tindakan yang dibutuhkan
33