Tujuan :
Model Pelatihan :
Pengaruh ini berkaitan dengan penyimpangan dari yang diharapkan baik positif atau negatif.
Tujuan dapat memiliki aspek berbeda (tujuan keuangan,kesehatan, keselamatan, dan
lingkungan) yang dapat diterapkan pada tingkat yang berbeda (seperti strategis, di seluruh
organisasi, proyek, produk dan proses).
Risiko sering ditandai dengan referensi ke peristiwa potensial dan konsekuensi, dan
kombinasi dari keduanya. Risiko sering dinyatakan dalam kombinasi konsekuensi dalam
suatu peristiwa (termasuk perubahan keadaan) dan kemungkinan terjadinya yang terkait.
Ketidakpastian adalah keadaan, bahkan sebagian dari kekurangan informasi yang terkait
dengan pemahaman atau peristiwa , konsekuensi dan kemungkinan.
Manajemen Risiko adalah kegiatan yang terkoordinasi untuk mengarahkan dan
mengendalikan organisasi yang terkait dengan risiko. Terdapat standar dari manajemen
risiko, yaitu dimulai dari Australia dan Selandia Baru yang menyusun AS/NZS 4360:1995
sebagai standar Australia bagi standar manajemen risiko di dunia, Standar berikutnya yang
banyak diadopsi ialah COSO 2004, Enterprise Risk Management (ERM) Integrated
Framework. Namun kemudian terbit ISO 310000:2009 sebagai standar baru manajemen
risiko
yang diterapkan banyak negara, termasuk Indonesia yang mengadopsinya menjadi SNI ISO
31000 : 2011. Sejak tahun 2018, ISO telah memperbaharui standar dan panduan manajemen
risiko dengan terbitnya ISO 31000 : 2018.
Mengelola risiko dilakukan secara berulang dan membantu organisasi dalam menetapkan
strategi, mencapai tujuan dan membuat keputusan berdasarkan informasi terbaik yang
tersedia. Mengelola risiko merupakan bagian dari tata kelola dan kepemimpinan, yang
merupakan dasar dari bagaimana organisasi dikelola di semua tingkatan. Hal ini berkontribusi
pada peningkatan sistem manajemen. Mengelola risiko merupakan semua kegiatan yang
terkait dengan suatu organisasi dan termasuk integrase dengan para pemangku kepentingan.
Mengelola risiko juga berkaitan dengan melakukan pertimbangan konteks organisasi dan
internal organisasi, termasuk perilaku manusia dan faktor budaya.
Kerangka Umum Manajemen Risiko ISO 31000 : 2018 meliputi :
1. Prinsip Manajemen Risiko.
2. Kerangka Kerja Manajemen Risiko
3. Proses Manajemen Risiko
Prinsip Manajemen Risiko Manajemen risiko bertujuan untuk penciptaan dan perlindungan
nilai. Hal ini untuk meningkatkan kinerja, mendorong inovasi dan mendukung pencapaian
tujuan dari perusahaan. Prinsip-prinsip ini memiliki tujuan dalam memberikan panduan
tentang karakteristik manajemen risiko yang efektif dan efisien, mengkomunikasikan nilainya
dan menjelaskan maksud dan tujuan. Prinsip manajemen risiko adalah dasar untuk mengelola
risiko dengan mempertimbangkan kerangka kerja dan proses manajemen risiko organisasi.
Prinsip-prinsip ini harus memungkinkan organisasi untuk mengelola dampak ketidakpastian
pada tujuannya. Berikut ini merupakan prinsip dari manajemen risiko, yaitu :
1. Terintegrasi
Manajemen risiko adalah bagian integral dari semua kegiatan organisasi.
2. Terstruktur dan komprehensif
Pendekatan terstruktur dan komprehensif untuk manajemen risiko berkontribusi pada
hasil yang konsisten dan dapat dibandingkan.
3. Dapat disesuaikan
Kerangka kerja dan proses manajemen risiko disesuaikan dengan proporsional dengan
konteks eksternal dan internal organisasi terkait dengan tujuannya.
4. Inklusif
Keterlibatan pemangku kepentingan yang tepat dan tepat waktu memungkinkan
pengetahuan, pandangan, dan persepsi mereka dipertimbangkan. Ini menghasilkan
peningkatan kesadaran dan manajemen risiko informasi.
5. Dinamis
Risiko dapat muncul, berubah atau menghilang ketika dalam konteks eksternal dan
internal organisasi berubah. Manajemen risiko mengantisipasi, mendeteksi, mengakui
dan merespon perubahan dan peristiwa tersebut secara tepat dan tepat waktu.
6. Berdasarkan informasi terbaik yang tersedia
Input untuk manajemen risiko didasarkan pada informasi historis dan saat ini, serta
harapan masa depan. Manajemen risiko secara eksplisit memperhitungkan segala
batasan dan ketidakpastian yang terkait dengan informasi dan harapan tersebut.
Informasi harus tepat waktu, jelas dan tersedia untuk pemangku kepentingan terkait.
7. Faktor manusia dan budaya
Perilaku dan budaya manusia secara signifikan mempengaruhi semua aspek
manajemen risiko di setiap tingkatan dan tahap.
8. Berdasarkan peningkatan Manajemen risiko terus ditingkatkan melalui pembelajaran
dan pengalaman.
Kerangka Kerja Manajemen Risiko
Kerangka kerja manajemen risiko bertujuan untuk membantu organisasi dalam
mengintegrasikan manajemen risiko dalam kegiatan dan fungsi yang
signifikan. Efektivitas manajemen risiko akan tergantung pada integrasinya dalam tata kelola
organisasi, termasuk pengambilan keputusan. Ini membutuhkan dukungan dari para
pemangku kepentingan, terutama manajemen puncak. Pengembangan kerangka kerja
manajemen risiko mencakup :
1. Pengintegrasian
2. Desain
3. Implementasi
4. Evaluasi
5. Peningkatan Manajemen Risiko di seluruh organisasi
Organisasi harus mengevaluasi praktik dan proses manajemen risiko yang
ada, mengevaluasi setiap kesenjangan dan mengatasi kesenjangan tersebut dalam kerangka
kerja. Komponen kerangka kerja dan cara mereka bekerja harus disesuaikan dengan
kebutuhan organisasi. Inti dari kerangka kerja manajemen risiko adalah leadership and
commitment. Jika ada manajemen puncak dan badan pengawas harus memastikan bahwa
manajemen risiko terintegrasi ke dalam semua kegiatan organisasi dan harus menunjukkan
kepemimpinan dan komitmen dengan menyesuaikan dan mengimplementasikan semua
komponen kerangka kerja,
mengeluarkan pernyataan atau kebijakan yang menetapkan pendekatan, rencana atau
tindakan manajemen risiko, memastikan bahwa sumber daya yang diperlukan dialokasikan
untuk mengelola risiko, memberikan otoritas, tanggung jawab dan akuntabilitas pada tingkat
yang sesuai dengan organisasi. Kepemimpinan dan komitmen akan membantu organisasi
untuk :
1. Menyelaraskan manajemen risiko dengan tujuan strategi dan budaya organisasi
2. Mengakui dan menangani semua kewajiban serta komitmen sukarela
3. Menetapkan jumlah dan jenis risiko yang mungkin tidak diambil untuk memandu
pengembangan kriteria risiko, memastikan bahwa mereka dikomunikasikan kepada
organisasi dan pemangku kepentingannya
Bagian 5
Identifikasi Risiko
Proses manajemen risiko diawali dengan identifikasi risiko. Proses
manajemen
risiko ada 4 tahapan manajemen risiko yang harus dilakukan secara terus
menerus dan berkesinambungan, yaitu :
1. Identifikasi
2. Pengukuran
3. Monitoring
4. Mitigasi
Dalam konteks identifikasi risiko, terdapat 2 faktor besar dalam risiko, yaitu
faktor internal (bisa dikendalikan) dan eksternal (hal-hal yang tidak bisa
dikendalikan). Faktor internal berkaitan dengan kondisi masing-masing
perusahaan , antara lain yaitu :
1. Faktor bisnis
2. Manusia
3. Permodalan
4. Produk
Sedangkan contoh dari sumber risiko eksternal ialah :
1. Faktor bencana alam
2. Kebijakan politik
3. Lingkungan
4. Persaingan
5. Model bisnis
6. Makro ekonomi
Untuk itu kita harus melakukan langkah-langkah identifikasi risiko.
Identifikasi risiko tidak bisa dilakukan tersendiri karena identifikasi
merupakan sebagai proses dari manajemen risiko. Setelah melakukan risk
identifikasi, tentu diperlukan mencari poin dari Causes (sumber), Event
(kejadian) dan Impact (dampak). Hal tersebut merupakan identifikasi
termudah dalam melakukan identifikasi.
Sebagai contoh kejadian sebuah bank mengalami penurunan CAR (Capital
Adequacy Ratio). Berarti kejadiannya ialah CAR turun, dampaknya ialah
ROA (Return of Asset) dan ROE (Return On Equity) turun dan bank tidak
mendapatkan keuntungan yang banyak. Sumbernya bisa terjadi karena
risiko kredit atau kredit macet sehingga berdampak pada peningkatan
cadangan atau CKPN. Tentu peningkatan cadangan akan menggerus laba.
Laba turun akan membuat CAR nya turun sehingga dalam konteks
identifikasi risiko harus selalu mencari penyebab yang paling
dominan terhadap kemungkinan risiko itu terjadi.
Setelah melakukan langkah diatas, maka dilakukan risk analysis dan risk
evaluation. Risk analysis (analisa risiko) yaitu analisa terhadap seberapa
sering frekuensi terjadi dan bagaimana dampaknya, sehingga akan muncul
profil risiko .Hasil dari profil risiko akan dianalisa melalui risk evaluation,
yang
dibandingkan antara benchmark parameter dari risiko yang ada dengan
kemampuan mengendalikan. Asal muasal dari pengendalian risiko dimulai
dari identifikasi risiko. Jika gagal dalam proses identifikasi ini, maka
berikutnya tidak akan berhasil karena tidak menemukan faktor penyebab
utamanya.
Jenis-Jenis Risiko
Terdapat macam-macam jenis risiko, yaitu standarisasi yang sangat
penting yaitu ada di perbankan sementara di industri lain mengacu pada
ISO 31:000. Pada dasarnya ada 4 jenis risiko secara global. Tentu ini
berkaitan dengan:
1. Hazard
a. Penurunan aktiva produktif
b. Bencana alam
c. Down time failure
2. Operasional
a. Proses bisnis
b. Manusia
c. Organisasi
d. Teknologi
3. Finansial
a. Credit
b. Likuiditas
c. Market Place
4. Strategic
a. Legal
b. Reputasi
c. strategic & Business
Berikut diatas adalah 4 jenis risiko secara global. Namun bisa dilihat beberapa
perusahaan tentu memiliki definisi risiko yang berbeda. Contohnya ialah
perbankan. Di perbankan mengarah pada BASEL sebagai standarnya kita
anut Indonesia sebagai anggota BASEL dan OJK adalah regulatornya.
Terdapat 4 jenis risiko utama yang harus dikendalikan, yaitu :
1. Risiko Kredit
2. Risiko Pasar
3. Risiko Likuiditas
4. Risiko operasional
Dari 4 risiko utama diatas, dampaknya tentu akan muncul risiko lainnya, yaitu
sebagai berikut :
1. Risiko Kepatuhan
2. Risiko Hukum
3. Risiko Reputasi
4. Risiko Strategic
Dalam bank Syariah , terdapat 2 jenis risiko tambahan, yaitu :
1. Risiko Investasi
2. Risiko Timbal Hasil
- Legal/Regulatory Risk
Risiko Makro
- Contagion Risk
- Procyclicality
- Excess Volatility
- Systematic Importance
Bagian 6
Definisi Kriteria Risiko (1)
Proses manajemen risiko adalah kegiatan yang sangat kritis.
Manajemen
risiko ialah proses esensial dalam organisasi untuk memberikan jaminan
yang wajar terhadap pencapaian tujuan organisasi. Penentuan Kriteria risiko
bisa dua arah, yaitu top down dan bottom up. Dimana kesepakatan ini
menjadi dasar penentuan kriteria risiko. Terdapat dua hal besar, yaitu berapa
kali terjadi dan berapa besar dampak bagi institusi atau perusahaan yang
sedang diterapkan manajemen risiko tersebut terhadap penilaian risiko atau
risk assessment.ISO
Penilaian risiko terdiri atas :
1. Identifikasi risiko
Identifikasi melihat apa saja yang dapat mempengaruhi pencapaian
sasaran organisasi dan melekat dalam proses.
2. Analisis risiko
Analisa dilakukan dengan menganalisis kemungkinan dan dampak dari
risiko yang telah diidentifikasi.
3. Evaluasi risiko
Membandingkan hasil analisis risiko dengan kriteria risiko untuk
menentukan bagaimana penanganan risiko yang akan diterapkan.
Ketiga proses besar diatas didampingi oleh dua proses lainnya, yaitu
komunikasi dan mentoring serta review.
Penanganan risiko (risk treatment) terdapat macamnya, yaitu :
1. Menghindari risiko (risk avoidance)
2. Mitigasi risiko (risk reduction)
3. Transfer risiko terhadap pihak ketiga (risk
sharing)
4. Menerima risiko (risk acceptance)
Definisi Kriteria Risiko (2)
Proses manajemen ISO 31000:2018 terdiri atas Scope, Konteks dan
Kriteria yang terdiri dari Risk Assessment, Risk Identification, Risk
Analysis, Risk Evaluation, Risk Treatment.
Tujuan dari Scope, Konteks dan Kriteria ialah untuk merancang proses
manajemen risiko yang khas sesuai dengan kebutuhan penggunanya
untuk
menunjang assessment risiko yang efektif. Perlu diingat jika semakin
banyak tingkatan organisasi dalam perusahaan maka manajemen
risikonya semakin kompleks.
Karena ini kita bisa melihat ada 3 penerapan daripada konteks, ialah
level
strategis operasional dan taktikal maka penting memperjelas ruang lingkup
pelaksanaan proses manajemen risiko. Sasaran unit pengelola risiko dan
keselarannya dengan sasaran organisasi.
Dalam menentukan scope ada beberapa hal yang harus
dipertimbangkan, antara lain ialah sasaran dan keputusan yang harus
dibuat, hasil yang diharapkan dari tiap tahap yang dihasilkan dalam proses,
waktu, lokasi, hal spesifik yang perlu dilibatkan dan tidak perlu teknik dan
metode asesmen risiko yang tepat, sumber daya yang diperlukan ,
pembagian tanggung jawab yang harus disimpan dan tata hubungan
antara proyek proses dan aktivitas yang berkaitan.
Ini adalah pertimbangan-pertimbangan dalam menentukan scope. Ingat
bahwa manajemen adalah sifatnya khas bagi setiap perusahaan. Konteks
eksternal dan internal adalah lingkungan dimana organisasi menetapkan
dan mencapai sasaran. Konteks proses manajemen risiko harus dibangun
berdasarkan pemahaman terhadap lingkungan eksternal dan internal
dimana organisasi beroperasi dan harus merefleksikan 5 spesifik dan
aktivitas dimana proses manajemen risiko diterapkan. Dapat dilihat
beberapa industry walaupun secara garis besar sama tapi risiko-risiko
kriteria ditentukan bisa berbeda.
Misalkan antara perbankan ,asuransi dan kemudian industri lain
misalkan infrastruktur dan sebagainya. Termasuk risiko pada manajemen
proyek karena konteksnya faktor internal dan eksternal berbeda.
Contohnya ialah dalam perbankan mengacu pada BASEL. Maka BASEL
telah menetapkan kriteria risiko yang terbagi atas beberapa risiko yang
spesifik. Pemahaman terhadap konteks merupakan hal yang penting
karena manajemen risiko terjadi pada konteks sasaran dan aktivitas
organisasi. Faktor-faktor organisasi dapat menjadi sumber risiko. Tujuan
dan lingkup proses manajemen risiko memiliki keterkaitan dengan berbagai
sasaran organisasi secara keseluruhan.
Kriteria risiko sangat penting untuk menentukan kriteria risiko itu
berdasarkan pada appetite kemudian tolerance. Organisasi harus bisa
melakukan perincian secara khusus besaran dan jenis risiko yang dapat
diambil atau tidak. Hal ini berkaitan dengan kapabilitas sebuah
perusahaan. Sebagai contoh jika kapabilitas perusahaan itu adalah lebih
kecil daripada risiko yang diambil maka kemungkinan yang terjadi adalah
kegagalan dalam
operasional.
Sementara jika sebuah perusahaan menentukan kriteria risiko
berdasarkan appetite nya dibawah atau lebih rendah daripada kapabilitas
organisasi.Setelah itu akan terjadi perlakuan risiko yang baik. Organisasi
harus mendapat kriteria untuk mengevaluasi tingkat penilaian risiko dan
menunjang proses pengambilan keputusan. Kriteria risiko harus selaras
dari
kerangka manajemen risiko dan berisikan tujuan khusus serta lingkup
kegiatan yang terkait.
Kriteria risiko harus bisa merefleksikan nilai sasaran dan sumber daya
organisasi serta konsisten dengan kebijakan dan pernyataan kebijakan
manajemen risiko.Kriteria risiko harus ditetapkan
denganmempertimbangkan kewajiban organisasi. Dari sudut pandang para
stakeholder, manajemen risiko harus bisa menjamin pencapaian dari bisnis
atau target perusahaan secara wajar. Walaupun kriteria risiko harus dibuat
pada awal proses manajemen risiko, kriteria ini bersifat dinamis sehingga
harus dikaji ulang terus menerus dan disesuaikan dengan perkembangan
kebutuhan.
Bagian 7
Menentukan Skala Prioritas terhadap Risiko-Risiko
Selanjutnya kombinasi level dampak dan level kemungkinan ini
menghadirkan besaran risiko. Masih ingat besaran risiko dari kriteria
risiko secara perspektif terbagi menjadi 5 , yaitu penuangan besaran
risiko dilakukan dalam matriks bisa dilakukan dalam matriks panas
risiko atau headmap. Berikut ini ialah 5 risiko berdasarkan tingkatan dan
warnanya, yaitu :
Misalkan jika berada dalam level 1 pada sisi berapa kali terjadi, sementara
dampaknya adalah tidak signifikan, maka diberi warna biru. Kemudian jika
dampaknya adalah minor kemudian frekuensinya jarang terjadi tetap diberi
warna biru.
Jika kalau kemungkinan adalah sementara tidak signifikan dampaknya maka
sudah menjadi warna biru menuju hijau. Kemudian jika kemungkinan sering
terjadi dampaknya adalah minor maka masuk kedalam warna kuning.
Kemudian sebagai contoh dampaknya adalah moderat kemungkinan sering
terjadi maka diberi warna oren. Kemudian jika sering terjadi atau hampir pasti
terjadi sedangkan dampaknya adalah signifikan dan sangat signifikan maka
diberi warna merah.
Selanjutnya, kapan menentukan toleransi risiko?. Biasanya dalam
menentukan perubahan dari warna biru, hijau, kuning, oren dan merah, hijau ke
warna kuning batas toleransi, namun biasanya jarang sekali terjadi.
Misalkan warna sudah menuju ke kuning sebelum sampai pada oren maka
dilakukan treatment risiko supaya kembali ke warna kuning, atau juga ada
perusahaan yang risk taker. Risk taker adalah berani dalam mengambil risiko,
misalkan dari warna kuning ke oren hampir menuju ke merah untuk
melakukan mitigasi.
Jadi tingkat dari toleransi kita tergantung pada jenis organisasinya, apakah
organisasinya adalah organisasi yang suka menghindari risiko atau yang
suka mengambil risiko. Intinya ada 2 yaitu pembagian peringkat dari
kemungkinan risiko itu terjadi, dan dampak dari risiko itu terjadi. Biasanya
dibagi pada 5 skala baik pada kemungkinan maupun pada dampaknya.
Aplikasinya adalah pada skala prioritas.
Bagian 8
Melakukan Pengukuran Probabilitas Dan Dampak Dari Setiap Risiko (1)
Dalam ISO:31000 terdapat 3 hal besar, yaitu konteks scoop, risk assessment
dan risk treatment. Dalam konteks risk assessment setelah identifikasi
dilakukan pengukuran terhadap probabilitas dan pengukuran terhadap
dampak. Dua hal besar tersebut adalah cara kita dalam melakukan matriks
analisis risiko, baik dalam register atau munculnya profil risiko. Dalam konteks
probabilitas dibagi 5 skor : 1,2,3,4,5 Ukuran disampaikan ini bukan ukuran
standar, yang pasti harus dipakai. Sebagai contoh, dalam penentuan standar
probabilitas ini adalah kerjasama antara organisasi manajemen risiko
dengan bagian unit atau bisnis. Kedua belah pihak harus bertemu untuk
berdiskusi terkait dengan ukuran-ukuran, sebagai contoh yang dipakai
dengan skor 1-5. Berikut ini adalah ukurannya :
1. 0-20% - Sangat tidak mungkin atau hampir mustahil
2. 20-50% - Kemungkinan terjadi
3. 50-90% - Sering terjadi
4. >90% - Hampir pasti terjadi
5. 100% - Pasti terjadi
Skor 1-5 dalam probabilitas. Biasanya tumbuh pada low, low to
moderat,moderat,moderat to high, kemudian high. Kemudian ukuran kualitatif
bisa diterjemahkan dalam deskripsi yang lain. Sebagai contoh :
- Level 1 sangat jarang yaitu contohnya adalah kejadian muncul
dalam
keadaan tertentu. Frekuensi terjadi sekali dalam lebih dari 5 tahun.
- level 2 jarang yaitu kejadiannya dapat muncul pada saat yang sama,
mungkin terjadi setiap 1-5 tahun
- Level 3 sering yaitu kejadiannya mungkin muncul pada kebanyakan
situasi frekuensinya adalah mungkin terjadi setiap 1 bulan-1 tahun
- level 4 hampir sering yaitu kejadiannya diharapkan muncul pada
kebanyakan situasi dan frekuensinya adalah mungkin terjadi setiap
minggu atau bulan
Salah satu contoh dalam konteks risiko operasional dimana kita melihat
adalah risiko yang timbul karena fraud. Dapat dilihat fraud yang sering
muncul terjadi, apakah bisa dengan ukuran berbeda jumlah misalkan
dibawah 1-5 juta, 5-10 juta atau diatas 10 juta, atau diatas 100 juta, atau lebih
dari 1 M.
Maka biasanya dapat dilihat dengan data historis dalam rangka menentukan
probabilitas. Probabilitas ini dapat diambil data 3 atau 5 tahun kebelakang.
Dalam menentukan probabilitas juga bisa dihitung dengan data kualitatif
atau kuantitatif.
Bagian 9
Melakukan Evaluasi (1)
Dalam penentuan evaluasi, tentu tidak bisa lepas dari yang namanya Risk
Appetite , Risk Tolerance dan Risk Criteria.
Risk Appetite adalah besaran risiko yang masih atau bersedia untuk
diambil
Risk Tolerance adalah ukuran-ukuran yang secara kualitatif dan
kuantitatif bisa diterapkan dalam pengambilan batas toleransi
terhadap risiko atau keteguhan organisasi dalam menangani risiko.
Dasar penentuan toleransi risiko diawali dengan menentukan dahulu risk
appetite nya. Ini dapat diterapkan dalam pasar modal, pasar uang atau
perbankan.
Saat ini pasar modal telah mengenal obligasi saham dan lainnya. Pasar uang
saat ini telah mengenal surat hutang dan lainnya. Tentu hal ini tidak akan
lepas dari selera risiko, misalkan berapa besar capital gain, kemudian kupon
atau yield yang akan diterima dan bagaimana diskon atau rate yang
diterima. Dalam konteks ini biasanya setiap orang atau organisasi punya
batasan toleransi risiko terhadap naik turunnya hasil investasi yang
diharapkan.
Jadi dalam penentuan risk appetite dan risk tolerance tidak bisa lepas dari
faktor historis. Faktor historis ialah asal dana untuk investasi , tujuan investasi,
riwayat daripada investasi itu sendiri. Sebagai pribadi atau organisasi
biasanya ditetapkan dahulu, dengan melihat bagaimana visi dan misi
perusahaan, objektif, target sasaran dan program yang akan dilakukan
seperti apa. Kemudian risk appetite besaran-besarannya seperti apa, dan
diturunkan dalam bentuk toleransi.
Toleransi tersebut merupakan batasan pada saat risiko itu masih bisa
diterima atau tidak. Sebagai contoh penyebab volatilitas berapa persen
dalam setahun. Kenaikan atau penurunan saham masih dalam batas
toleransi, atau juga dengan Capital Gain atau Investasi. Kira-kira target
investasi dengan langkah yang dilakukan kira-kira misalkan dalam setahun,
harusnya menghasilkan 10% dan sudah mendekati penurunan 5%. Maka bisa
dilakukan langkah-langkah mitigasi.
Toleransi ini didasarkan pada penurunan data daripada risk appetite.
Nanti setelah risk tolerance biasanya dalam praktek diturunkan kriteria
resikonya seperti apa. Kemudian limitnya berapa sehingga total akhir dari
hasil pencapaian perusahaan masih dalam batas toleransi risiko yang masih
bisa diterima.
Bagian 10
Menetapkan Tindakan Risiko
Dalam perbankan terdapat istilah risiko kredit, risiko pasar, risiko operasional,
risiko likuiditas, risiko kepatuhan, risiko strategi, risiko hukum, dan risiko
reputasi serta ada risiko yang lain di syariah seperti risiko investasi dan risiko
imbal hasil, sementara di pasar modal terdapat istilah risiko power buying
kemudian risiko likuiditas juga ada risiko market dan risiko suku bunga.
Risiko dapat dikenal sebagai prinsip dasar dalam melakukan identifikasi.
Dalam konteks manajemen risiko dapat dikenal dalam 3 hal besar. Pertama
adalah menetapkan konteks baik faktor internal atau eksternal, kemudian
melakukan risk assessment. Ini adalah melakukan identifikasi, melakukan
analisa dan melakukan evaluasi risiko, dan melakukan treatment.
Dalam melakukan identifikasi, tentu perlu dilihat apa dan bagaimana risiko itu
terjadi, apa yang menjadi sumber-sumber risiko sehingga risiko itu terjadi.
Dalam hal ini, diperlukan mengenal sumber risiko, kejadian dan dampak dari
risiko. Proses bisnis selalu mengandung resiko, dalam setiap proses bisa
terjadi kejadian risiko.
Setiap kejadian risiko akan menimbulkan dampak baik secara finansial
maupun non finansial. Setelah melakukan identifikasi maka dilakukan analisa,
yaitu proses analisa terhadap potensi risiko. Disini akan dilihat seberapa
besar kemungkinan risiko itu terjadi dan bagaimana dampaknya terhadap
perusahaan, atau dampaknya terhadap individu baik dari sisi finansial yang
terukur maupun non finansial.
Kemudian dapat melakukan analisa kualitatif ataupun kuantitatif dan
kontrol-kontrol yang ada. Setelah melakukan analisa risiko berikutnya dapat
melakukan evaluasi risiko. Evaluasi risiko ini penting yaitu sebagai dasar
pengambilan keputusan. Evaluasi risiko dalam evaluasi ini terdapat
perbandingan antara hasil analisa risiko dan kriteria risiko yang sudah
ditetapkan.
Sehingga dalam hasil evaluasi risiko ini akan menjadi dasar untuk proses
treatment risiko. Terdapat bond duration , marcovic, CAPM (Capital Asset
Pricing Modal), multiple factor model, backschools, ada binomial option, ada
raroc, limit, dan ATMR atau RISK WEIGHTED ASSET, stress testing.
VAR,var credit,risk metric, enterprise risk management.
Menetapkan Risiko-Risiko Yang Akan Dilakukan Tindakan Penanganan
Selanjutnya (1)
Alat analisis risiko adalah sebagai salah satu alat bantu untuk melihat
bagaimana kita melakukan analisa terhadap dampak dan seberapa
mungkin terjadi suatu risiko dan merupakan metode atau tindakan yang
dapat digunakan untuk mengurangi dampak risiko sehingga dari analisa
risiko dapat menuju kepada evaluasi risiko. Dalam evaluasi risiko, ada dua hal
besar yang perlu dilakukan, pertama ialah membandingkan tingkat risiko
saat ini dengan toleransi risiko yang sudah ditetapkan. Kedua ialah
menentukan tindakan yang diperlukan jika hasil analisis risiko. Hal tersebut
menunjukan bahwa melampaui daripada toleransi risiko.
Evaluasi risiko adalah sebuah alat pengambilan keputusan dimana dalam
pengambilan keputusan, tentu harus memperhatikan pada konteks internal
maupun eksternal dampaknya terhadap kejadian dan persepsi daripada
stakeholder, sehingga pada konteks ini perlu menetapkan suatu kriteria.
Tindakan lebih lanjut terhadap risiko apabila diperlukan. Kondisi ini akan
mengarah pada keputusan untuk tidak perlu melakukan apa-apa terhadap
risiko atau mempertimbankan opsi perlakuan risiko tertentu. Selanjutnya ialah
melakukan analisis lebih lanjut serta mempertimbangkan pengendalian risiko
yang sudah ada, dan proses bisnis yang sudah berjalan. Pada dasarnya
evaluasi risiko mengacu pada prinsip ALARP (AS LOW AS REASONABLY
PRACTICABLE). Dalam konteks ini treatment yang dilakukan dibagi menjadi
3
besar, yaitu :
Warna Hijau : Tingkat risiko yang sangat rendah yang tidak perlu
membutuhkan treatment.
Warna Kuning : Dilakukan tindakan risiko dengan mengacu pada cost
benefit analysis
Warna Merah : Suatu kondisi risiko yang melampaui dari toleransi
risiko,sehingga perlu langkah-langkah pencegahan secara ketat.
Warna diatas merupakan standar dari map tingkat risiko. Dalam praktiknya
pada perusahaan, biasanya tidak hanya dibagi menjadi 3 warna sebagai
penggolongan tingkat risiko, tetapi mengacu pada lima tingkatan risiko.
Dalam tingkatan risiko ada gradasi dari antara hijau dan kuning, dan kuning
ke merah.
Standarnya biasanya pada risiko yang betul-betul rendah diberi warna biru.
Kemudian pada risiko yang sangat rendah, dimasukan kedalam kelompok
warna hijau. Kemudian lebih tinggi lagi tingkat risikonya ditaruh pada warna
kuning (antara kuning ke merah ada gradasi warna orange). Hal tersebut
didasarkan pada penggabungan antara frekuensi dan dampak pada risiko.
Menetapkan Risiko-Risiko Yang Akan Dilakukan Tindakan Penanganan
Selanjutnya (2)
Pada konteks ini dapat dilihat dari mapping risiko maka besaran tingkat
kemungkinan dan dampak risiko dapat menghasilkan besaran risiko. Dimana
dapat disampaikan besaran risiko secara standar dibagi menjadi 5 tingkatan,
yaitu :
Bagian 12
Menyusun Rencana Tindakan Penanganan atas Risiko-Risiko
Dalam ISO 31:000 risk treatment adalah step ke-3 setelah ditentukan
konteks kemudian menentukan risk assessment. Yang ketiga adalah risk
treatment atau mitigasi risiko. Mitigasi risiko harus direncanakan sebaik-
baiknya dan dipertimbangkan semua alternatif solusinya. Sebelum
dilaksanakan
mitigasinya agar mendapatkan hasil, diharapkan secara efektif dan efisien.
Dalam konteks penanganan risiko maka harus bisa memilih apakah
dapat menerima risiko itu atau untuk menghindari risiko itu atau mengurangi
dan membagi risiko itu, atau mungkin kombinasi dari berbagai macam strategi
penanganan risiko.
Menentukan perlakukan risiko ada beberapa pertimbangan terhadap
biaya dan sumber daya yang tersedia di perusahaan. Ini tentu penting dalam
konteks biaya dan sumber daya. Ada beberapa jenis pilihan perlakuan risiko,
yaitu :
Pertama menghindari risiko, dilakukan dengan cara tidak melakukan
aktivitas yang dapat menimbulkan risiko tersebut ;
Kedua, risiko jauh melebihi manfaat dari aktivitas , atau risiko sulit
diukur;
Ketiga, perusahaan memiliki opsi untuk menghindari risiko ini;
Keempat, menghindar dari risiko seringkali menghilangkan
kesempatan.
Ingat, bahwa risiko dan bisnis sebetulnya saling berpasangan. Perlakuan
risiko
yang kedua adalah berbagi risiko. Perlakuan jenis risiko yang kedua adalah
berbagi risiko, yaitu :
Memecah proses menjadi tahapan yang ditangani oleh institusi lain
dan masing-masing bertanggung jawab atas tahapan kerjanya ;
Melakukan joint financing, joint venture ;
Harus dianalisa untuk menentukan apakah risiko dapat dibagi atau
sebaliknya
Perlakuan yang ketiga adalah mentransfer risiko. Sebagai contoh membeli
asuransi , reasuransi, melakukan hedging. Hal tersebut merupakan strategi
transfer risiko. Dalam perlakuan transfer risiko tentu harus dipastikan apakah
risiko benar-benar ditransfer secara recourse. Co : Konteks sekuritisasi.
Selanjutnya adalah mentransfer risiko menimbulkan risiko baru bahwa pihak
yang menerima transfer dimama tidak melaksanakan kewajiban sesuai
kesepakatan.
Kemudian perlakuan risiko yang keempat adalah dengan mengurangi atau
memitigasi risiko. Pertama ialah mengurangi kemungkinan terjadinya risiko
melalui pembuatan prosedur dan pengawasan internal. Pelatihan, sosialisasi
internal, ini sangat penting dilakukan secara kontinu. Kemudian mitigasi risiko
juga dilakukan dengan cara mengurangi dampak. Kedua yaitu melalui
contingency plan, penyediaan cadangan dana dan meningkatkan public
relation.
Perlakuan risiko selanjutnya ialah menerima risiko. Menerima risiko dilakukan
jika risiko dapat dihindari atau dikurangi. Pertama, risiko tidak dapat dihindari
karena sudah merupakan bagian dari lingkup kerja perusahaan. Kedua,
sudah diamanatkan oleh undang-undang.
Berikutnya ialah risk transfer, dalam pilihan memberikan risiko atau risk
transfer. Pertama, dalam risk transfer perlu mengetahui jenis risiko yang
dapat ditransfer. Co : peristiwa kebakaran dapat ditransfer dengan mudah
tapi risiko fraud sangat sulit karena risiko fraud melibatkan faktor motivasi
manusia dan kesempatan. Kemudian risk transfer juga tergantung dari
perjanjian. Kekurang hati-hatian dalam menyusun perjanjian dapat
mengakibatkan suatu risiko tidak tertransfer sesuai rencana. Selanjutnya ialah
segala jenis risiko yang ditransfer akan berubah menjadi risiko counterparty
(tergantung pada integritas dan komitmen dari pihak lain dalam
menjalankan kewajibannya). Kemudian dalam risk transfer biaya menjadi
pertimbangan dimana besaran biaya tergantung dari besarnya risiko yang
ditransfer atau di share dan berapa besar kemungkinan risiko tersebut terjadi.
Berikutnya pilihan mitigasi risiko ialah opsi yang paling banyak
digunakan
untuk mengelola beragam jenis risiko. Selanjutnya, opsi ini perlu
diperhitungkan dengan matang cost benefit analysisnya serta kebutuhan
sumber daya dan waktunya. Biaya dan upaya harus dibandingkan dengan
hasil yang berbentuk besaran penurunan. Risiko harus diprioritaskan dalam
penanganannya. Selanjutnya ialah risiko harus diprioritaskan terutama yang
berada dalam zona merah Pada praktiknya prioritas risiko biasanya
diprioritaskan pada penanganan terkait risiko operasional, risiko likuiditas,
marketplace, legal risk, dan lain-lainnya. Dalam keempat pilihan dalam
memilih risiko, pilihan menerima risiko bisa dilakukan jika risiko tidak dapat di
mitigasi sama sekali karena memang sudah merupakan bagian dari bisnis
perusahaan. Upaya untuk memitigasi akan sangat mahal atau sukar
dilaksanakan. Opsi pilihan menerima risiko hanya dapat diterima dan diambil
bisa benar-benar risiko ini dipikirkan untuk diperlakukan dengan berbagai cara
namun tidak
memungkinkan.
Harus ada alasan yang kuat sebelum memutuskan sebuah risiko harus
diterima. Risiko yang diterima seringkali signifikan namun tidak bisa
diperlakukan untuk meminimalkan risiko. Tidak melakukan perlakuan risiko
bisa berarti belum diprioritaskan untuk diperlakukan atau memang tidak
signifikan.
Menyusun Rencana Tindakan Atas Penanganan Risiko (3)
Faktor-faktor yang perlu diperhatikan dalam menyusun perencanaan
perlakuan risiko. Pertama, aspek hukum dan compliance. Apakah treatment
plan sesuai dengan koridor hukum yang ada dan tidak bertentangan dengan
corporate governance yang telah ditetapkan. karena terkait dengan aspek,
hukum dan kepatuhan.
Kedua adalah social responsibility bagaimana melakukan treatment atas
suatu risiko yang seringkali meningkatkan risiko yang harus ditanggung oleh
publik. Perlu dilakukan social benefit analysis dan perlu rencana sosialisasi
bila membawa dampak bagi public. Yang ketiga adalah anggaran
ketersediaan perlu diperhitungkan karena beberapa opsi treatment plan akan
menelan biaya yang cukup besar. Yang keempat salah satu yang paling
utama ialah bagaimana stakeholder view. Apakah pandangan stakeholder
dalam hal ini regulator, legislatif, kementrian keuangan, penegak hukum dan
lain-lain.
Berpandangan terhadap treatment plan yang akan dilakukan karena penting
dalam treatment plan harus bisa melakukan satu langkah, jangan sampai
keputusan bisnis bisa membawa dampak kepada risiko hukum. Dalam
konteks bagaimana kita merencanakan treatment risk bisa di summarize.
Pertama, jika risiko akan diterima maka perlu memperhatikan judgement
atau dokumentasi prosedur dan policy. Jika risiko itu dihindari, maka harus
mempertimbangkan terkait dengan keberlanjutan daripada aktivitas.
Kemudian bagaimana terhadap penghindaran risiko tersebut dampaknya
terhadap bisnis perusahaan.
Jika risiko akan di share maka biasanya menggunakan insurance atau
outsourching. Sementara jika mengurangi risiko konsekuensinya ialah terkait
dengan PCB, bagaimana keberlanjutan bisnis, kelanjutan kontrak-kontrak,
langkah-langkah terkait dengan PR, dalam konteks reduce likehood maka
melihat bagaimana kontrolnya, perbaikan prosesnya, training dan
edukasinya, policy dan komunikasinya, audit dan kepatuhannya.
Bagian 13
Melaksanakan Penanganan Atas Risiko
Setelah melakukan langkah-langkah perencanaan terhadap tindakan risiko,
maka sekarang kembali pada langkah bagaimana perlakukan risiko akan
dijalankan. Tujuan utama dari perlakuan risiko adalah tindakan yang
dilakukan untuk meminimalkan risiko. Risiko yang melekat setiap proses
bisnis dinamakan inherent risk dengan dilaksanakan perlakuan risiko, kejadian
risiko dapat turun menjadi risiko sisa (residual risk). Dalam risk register,
terdapat beberapa tahap yang dilakukan , yaitu :
Bagian 14
Melakukan Evaluasi Konteks Internal dan Eksternal Perusahaan
Dalam ISO 31000:2009/2018 terdapat 3 hal besar, yaitu :
1. Establishing the context
Memiliki tujuan untuk mengidentifikasi dan mengungkapkan sasaran
organisasi, lingkungan dengan sasaran hendak dicapai, stakeholders
yang berkepentingan , dan keberagaman kriteria risiko dimana hal-hal
ini akan membantu mengungkapkan dan menilai sifat dari
kompleksitas risiko. Co : Kondisi procyclicality. Dalam konteks harus
tahu
apakah ini dalam ekonomi booming atau decline atau dalam kontrak
legal. Ini merupakan awal dari menentukan selera risiko agar dapat
memahami kondisi internal.
Terdapat 4 konteks yang perlu ditentukan dalam penetapan konteks,
ialah :
Internal
Memperhatikan sisi internal organisasi seperti struktur organisasi,
'kultur dalam organisasi, dan hal-hal lain yang dapat
mempengaruhi pencapaian sasaran organisasi.
Eksternal
Memperhatikan sisi eksternal yaitu pesaing, otoritas,
perkembangan teknologi, dan hal-hal yang dapat mempengaruhi
pencapaian sasaran organisasi.
Manajemen risiko
Memperhatikan bagaimana manajemen risiko diberlakukan dan
bagaimana hal tersebut akan diterapkan di masa yang akan
datang.
Kriteria risiko
Dalam pembentukan manajemen risiko, organisasinya perlu
mendefinisikan parameter yang disepakati bersama untuk
digunakan sebagai kriteria risiko.
2. Risk Assement
Risk Assessment ialah kelanjutan setelah mendapatkan konteks. Jika
salah dalam mendapatkan konteks maka efektivitas dan efisiensi dalam
manajemen risiko akan menjadikan perusahaan tidak bisa optimal
dalam mencapai tujuan bisnisnya. Penilaian risiko (risk assessment)
terdiri dari :
Identifikasi risiko
mengidentifikasi risiko apa saja yang dapat mempengaruhi
pencapaian sasaran risiko.
Analisis risiko
Menganalisis kemungkinan dan dampak dari risiko yang telah
diidentifikasi.
Evaluasi risiko
Membandingkan hasil analisis risiko dengan kriteria risiko untuk
menentukan bagaimana penanganan risiko yang akan
diterapkan.
3. Risk Treatment
Dalam menangani risiko, terdapat 4 penanganan yang dilakukan
organisasi, yaitu :
Menghindari Risiko (Risk Avoidance)
Mitigasi Risiko (Risk Reduction)
Transfer risiko kepada pihak ke 3 (Risk Sharing)
Menerima Risiko (Risk Acceptance)
Dalam konteks ISO 31.000 perlu diperhatikan bahwa yang pertama adalah
bagaimana memperhatikan perubahan faktor eksternal karena setelah baru
menentukan bagaimana manajemen risiko harus diberlakukan karena harus
melihat bahwa dalam pencapaian bisnis tidak bisa lepas dari risiko-risiko
yang melekat baik dari dalam atau dari luar sehingga dalam hal ini perlu
ditentukan risiko yang sesuai dan memadai.
Contohnya ialah kondisi suku bunga menurun. Maka bagi
perusahaan-perusahaan swasta yang mencari pendanaan, tentu harus
bersaing dari obligasi yang dibuat oleh pemerintah. Suku bunga menurun dia
juga harus melakukan justifikasi terhadap suku bunga dari surat berharga
yang diterbitkan.
Salah satunya ialah menerbitkan surat berharga karena pemerintah
sekarang konteks membangun infrastruktur sebanyak-banyaknya, sehingga
perusahaan swasta dalam rangka mencari pendanaan haru menerbitkan
surat berharga sehingga harus bersaing karena surat berharganya harus
lebih tinggi dari pemerintah. Tentu, pemerintah risikonya pasti lebih rendah
dari perusahaan swasta.
Dalam hal ini akan terjadi kemungkinan pihak swasta tidak bisa mencari
pendanaannya. Itu sudah risiko dalam konteks. Tentu ini dapat dilihat karena
ekonomi menurun sehingga dapat bersaing dari sisi likuiditas. Semua
membutuhkan likuiditas sehingga apapun perusahaannya dalam konteks
yang ekonomi menurun. Maka salah satu risiko yang perlu diperhatikan
adalah risiko likuiditas.
Bagian 15
Evaluasi Konteks Pemetaan Kondisi Internal
Dalam ISO 31000 terdapat 3 hal besar yang harus dilakukan, yaitu :
1. Penetapan konteks scoop
2. Melakukan risk assessment
3. Risk Statement
Setelah konteks, scope, kriteria sudah ditentukan maka dalam perusahaan
secara aplikatif biasanya menentukan risk appetite. Risk appetite adalah
jumlah risiko yang diharapkan dapat diambil dalam rangka pencapaian
tujuan, yang juga mencerminkan kultur suatu instansi terhadap risiko, yaitu
lebih suka menghindari risiko (risk averse) atau pengambil risiko (risk taker).
Risk avoider kadang disebut sebagai risk averse, sementara juga ada risk
avoider. Dalam konteks tentu dapat mengambil risiko atau menghindari risiko,
maka dapat dilihat dari jenis organisasinya. Co: Ekonomi sedang menurun,
maka rata-rata perusahaan menjadi organisasi yang menghindari risiko,
karena dalam kondisi ekonomi menurun sebagai contoh perbankan, maka
akan lebih hati-hati dalam menyalurkan kredit.
Risk tolerance adalah ukuran spesifik tentang derajat ketidakpastian yang
diharapkan dapat diambil/ditoleransi dikaitkan dengan hambatan dalam
pencapaian tujuan, atau tingkat kemampuan suatu instansi dalam menahan
fluktuasi kejadian berisiko.
Pemetaan konteks dalam kondisi eksternal maupun internal, dilakukan
langkah SWOT, yaitu :
- Strenghs
- Weakness
- Opportunity
- Threat
Terdapat 4 kuadran SWOT, kuadran 1 ialah kondisi dimana perusahaan
memiliki banyak kekuatan, sementara bisnis memiliki banyak peluang
sehingga dalam kuadran 1 dilakukan pengembangan dari pertumbuhan
dimana kekuatan perusahaan lebih dominan dari kelemahan dan peluang
usaha yang tersedia. Sebagai contoh ialah sebuah perusahaan bank.
Misalnya bank perlu menetapkan prioritas lebih besar untuk meningkatkan
pertumbuhan usahanya. Maka dalam hal ini dapat mengambil risk appetite
di level moderat, karena dalam posisi agresif.
Sementara dalam sebuah perusahaan dalam kondisi kuadran 2 yaitu adanya
kelemahan namun banyak peluang. Perusahaan dapat melakukan langkah
stabilisasi internal dan konsolidasi, karena masih ada kelemahan internal,
peluang untuk berkembang masih tersedia setelah melakukan stabilisasi
internal dan konsolidasi.
Sementara jika sebuah perusahaan dalam konteksnya ditemukan bahwa
dalam kuadran 3, yaitu fokus kepada aktivitas, dimana bank menghadapi
tantangan yang cukup berat karena kemungkinan untuk tumbuh tidak
tersedia.
Ini dapat dilihat dari industri keuangan perbankan khususnya pada
kondisi yang merger, dimana merger ditandai dengan banyak merger dan
konsolidasi pertumbuhan aset yang lambat atau pertumbuhan laba yang
lambat. Sementara perusahaan fintech baru grow sehingga konteks risikonya
berbeda.
Jika perusahaan perbankan sudah merger industrinya, maka langkah
selanjutnya ialah perbaikan internal untuk bertahan, sehingga rsik appetite
nya di posisi low. Sementara untuk perusahaan fintech lebih pada pdi posusu
moderat to high karena dia berbasis pada teknologi dan berani mengambil
risiko lebih besar dari sebuah industri yang sudah mature atau menuju
decline.Kalau dari sisi pemetaan dilihat dari kuadran 4 dalam SWOT, maka
perlu dilakukan langkah-langkah diversifikasi karena memiliki banyak
kekuatan, namun banyak tantangan dan ancaman. Kuadran 4 menunjukkan
diversifikasi aktivitas, dimana pasar relatif masih kecil dengan tingkat
pertumbuhan rendah, sehingga diperlukan diversifikasi usaha. Otomatis risk
appetite nya ditaruh di antara low to moderat, atau moderat to high,
tergantung pada jenis perusahaannya. Kemudian dapat dilihat, apa yang
membuat membedakan antara kuadran 1,2,3 dan 4.
Berikut ini adanya kekuatan antara lain ialah :
1. Keahlian dalam pemasaran produk
2. Keunggulan fitur
3. Kekuatan infrastruktur
4. Biaya yang lebih rendah
5. Kualitas proses dan prosedur yang lebih baik
6. Memiliki pembanding yang kuat
Berikut ini merupakan faktor kelemahan , antara lain :
1. Lemah dalam pemasaran
2. Produk dan jasa kurang ioovatif
3. Distribusi channel terbatas
4. Reputasi mengalami gangguan
Kemudian ada faktor kesempatan yaitu :
1. Pasar berkembang pesat
2. Kesempatan untuk merger, joint venture
3. Aliansi strategic
4. Target berupa segmen baru yang menarik
5. Pasar internasional yang baru
6. Kelonggaran dari sisi regulasi
7. Kebijakan hambatan pada perdagangan internasional
8. Pasar potensial yang dikuasai pesaing dinilai lemah
Faktor ancaman antara lain :
1. Adanya pesaing baru
2. Perang harga
3. Pesaing meluncurkan produk yang inovatif
4. Regulasi baru yang menghambat pertumbuhan usaha
5. Terdapat hambatan operasional yang disebarkan oleh faktor diluar bank
6. Kenaikan tarif pajak
Bagian 16
Mengkomunikasikan Manajemen Risiko
Profil risiko ialah gambaran keseluruhan risiko yang melekat pada operasional
atau aktivitas sebuah perusahaan bagaimana menentukan profil risiko yang
tepat. Sebenarnya profil risiko adalah sebagai penerjemahan dari proses
manajemen dan tingkat risiko yang diambil atau risk appetite.
Risk appetite adalah penerjemahan pada visi misi perusahaan. Visi misi
perusahaan tidak bisa mengabaikan dari kondisi faktor internal dan eksternal
adalah konteks. Tentu tidak bisa mengabaikan dari posisi di kuadran berapa
perusahaan itu berada dalam SWOT. 1 berarti harus agresif, 2 harus
bertahan,
3 harus defensif dan 4 harus diversifikasi. Itu semua diwujudkan dalam bentuk
risk appetite.
Sementara dalam profil risiko yang paling standar ada di perbankan
mengenai profil risiko perbankan yang ditentukan berdasarkan berikut, yaitu :
1. Permodalan (Capital)
2. Kualitas Aset (Asset Quality)
3. Manajemen (Management)
4. Rentabilitas (Earning)
5. Likuiditas (Liquidity)
6. Sensitivitas terhadap risiko pasar (Sensitivity to Market Risk)
Sementara tingkat kesehatan bank ditentukan berdasarkan RBBR (Risk-
Based
Bank Rating) adalah 4 parameter, yaitu :
1. Profil Risiko (Risk Profile)
2. Good Corporate Governance (GCG)
3. Rentabilitas (Earnings)
4. Permodalan (Capital)
Sementara untuk standar yang lain di industri belum selengkap di perbankan
perlu dilihat dalam konteks tingkat kesehatan berbasis risiko. Maka faktor
utama adalah GCG. GCG ini menentukan dari hasil didalam GCG yang
terdapat mekanisme, yaitu struktur proses outcome. Jika struktur yang tidak
memenuhi dari apa yang dibutuhkan perusahaan tidak memenuhi apa yang
dibutuhkan perusahaan maka prosesnya juga tidak akan optimal. Jika GCG
dan profil risiko bermasalah, maka akan mempengaruhi dampak terhadap
laba.
Sebagai contoh sebuah perusahaan, jika banyak mengalami risiko maka
pasti tingkat labanya menurun. Jika tingkat laba menurun, maka akan
mengganggu tingkat permodalan.Jika di bank sangat jelas bahwa ada
ketentuan terkait CAR minimal harus 8% , ditambah dengan buffer 2% ,
sementara tingkat risiko profil minimal harus 2 sehat.GCG juga minimal harus
2, sehingga tingkat kesehatan bank biasanya diarahkan pada 2 sehat atau
mungkin kalau bisa adalah sempurna sangat sehat. Dalam konteks profil
risiko, ada dua hal besar , yaitu risiko inherent, ke 2 adalah kualitas pada
penerapan manajemen risiko. Dalam konteks profil risiko ada 2 hal besar,
ialah :
- Risiko inherent (kuantitatif)
- Kualitas pada penerapan manajemen risiko (kualitatif)
Dalam konteks laporan profil risiko, bank sebagai contoh di perbankan. Tentu
ini dapat dilihat dari profil risiko dengan menggabungkan antara inheren risk
yaitu ada 8 risiko , yaitu risiko kredit, pasar, operasional, likuiditas, 4 risiko
tersebut tidak hanya untuk perbankan, namun juga bisa untuk industri lain ,
misalkan industri pasar modal. Misalkan industri lembaga keuangan non
perbankan, industri sektor real, semuanya terkait dengan kredit, dengan pasar
dan operasional maupun likuiditas.