Ketika terjadi peristiwa bahaya, maka akan berdampak pada fitur-fitur organisasi
yang dapat menyebabkan gangguan. Untuk alasan ini, acara yang ditampilkan di
tengah dasi kupu-kupu akan dicantumkan dalam hal komponen organisasi yang
terkena dampak acara tersebut. Komponen-komponen ini adalah orang, tempat,
proses, dan produk (4P), seperti yang tercantum dalam Tabel 3.2. Perlu dicatat
bahwa 4P juga dapat dianggap sebagai sistem klasifikasi risiko.
Penggunaan dasi kupu-kupu untuk mewakili manajemen risiko telah menjadi
semakin umum. Gambar 11.1 memberikan contoh dasi kupu-kupu yang digunakan
untuk mewakili tiga komponen sumber risiko, peristiwa, dan dampak. Dalam
representasi tingkat tinggi ini, sumber risiko diidentifikasi sebagai strategis, taktis,
operasional, atau kepatuhan. Dampak direpresentasikan menggunakan kartu skor
risiko FIRM, seperti yang dijelaskan dalam Tabel 11.2. Di tengah dasi kupu-kupu
adalah acara, seperti yang dijelaskan oleh komponen organisasi yang akan
terpengaruh oleh acara tersebut. Komponen-komponen ini direpresentasikan
dengan cara yang sama seperti pada Tabel 3.2 seperti orang, tempat, proses, dan
produk.
Banyak organisasi berjuang untuk menemukan sistem klasifikasi risiko yang sesuai.
Seringkali, ini karena kurangnya perhatian yang diberikan pada sifat risiko yang sedang
diklasifikasikan. Representasi dasi kupu-kupu dari manajemen risiko
proses menggambarkan bahwa adalah mungkin untuk mengklasifikasikan risiko
sesuai dengan sumbernya, komponen organisasi yang terkena dampak
peristiwa dan dampak dan / atau konsekuensi dari risiko yang terwujud.
Klasifikasi risiko jangka pendek, menengah, dan panjang mewakili risiko
operasional, taktis, dan strategis yang dihadapi oleh organisasi. Kategori
gangguan terhadap organisasi yang dijelaskan pada Tabel 3.2 menggunakan
sistem klasifikasi sesuai dengan komponen organisasi yang terkena dampak. Ini
adalah sistem klasifikasi risiko orang, tempat, proses, dan produk (4P). Kartu
skor risiko FIRM yang dijelaskan dalam Tabel 11.2 mengklasifikasikan risiko
sesuai dengan dampaknya.
Tap
Keuangan Prasarana Reputasi i
Deskripsi: Ber
__________ Risiko yang dapat Risiko yang akan Risiko yang akan as
berdampak pada Memengaruhi
jalan masuk level dampak keinginan di
de
yang mana uang Pelanggan untuk ng
itu efisiensi berurusan an
be
atau perdagangan ka
dikelola dan dan disfungsi dan level s
profitabilitas
adalah di dalam inti Jumlah Pelanggan
Dicapai Proses retensi
Be
ka
Internal atau Intern Intern Eksternal s
Risiko
eksternal
Diukur Biasanya Kadang-kadang Tidak selalu Ma
ka
n
Keuntungan dan
Pengukuran kerugian Tingkat Sifat Inc
(kinerja dari internal efisiensi dalam publisitas dan co
Tap
indikator) kontrol keuangan proses dan efektivitas i
Operasi Profil pemasaran
Performa Prosedur Proses Persepsi Pra
Kegagalan untuk Lal
celah Kegagalan Kegagalan mencapai u
prosedur untuk proses untuk yang diinginkan Req
kontrol internal beroperasi tanpa Persepsi di
Risiko keuangan keributan
Menguasai Belanja Modal Proses Pemasaran
Mekanisme Standar menguasai Iklan
Intern Kehilangan Reputasi
menguasai menguasai dan merek
Delegasi Asuransi perlindungan
arab dan risiko
wewenang pembiayaan
Ada kesamaan dalam cara risiko diklasifikasikan oleh sistem klasifikasi risiko yang
berbeda. Namun, ada juga perbedaan, termasuk fakta bahwa risiko operasional
disebut sebagai risiko infrastruktur dalam kartu skor risiko FIRM. COSO mengambil
pandangan sempit tentang risiko keuangan, dengan penekanan khusus pada
pelaporan. Sistem yang berbeda telah dirancang dalam keadaan yang berbeda dan
oleh organisasi yang berbeda; oleh karena itu, kategorinya akan serupa tetapi tidak
identik. Dalam menjelaskan sistem klasifikasi risiko yang berbeda, Tabel 11.1
menggambarkan bahwa banyak sistem klasifikasi menawarkan kombinasi kategori
sumber, peristiwa, dampak dan konsekuensi.
British Standard BS 31100 menetapkan keuntungan memiliki sistem
klasifikasi risiko. Manfaat ini termasuk membantu mendefinisikan ruang
lingkup manajemen risiko dalam organisasi, menyediakan struktur dan
kerangka kerja untuk identifikasi risiko, dan memberikan kesempatan untuk
menggabungkan jenis risiko serupa di seluruh organisasi. ISO 31000 tidak
menyarankan sistem klasifikasi risiko. Singkatnya, contoh keuntungan memiliki
sistem klasifikasi risiko, meliputi:
Akumulasi risiko yang dapat merusak ketergantungan utama atau tujuan bisnis
dan membuatnya rentan dapat lebih mudah diidentifikasi.
Tanggung jawab untuk meningkatkan manajemen dari setiap jenis risiko
yang berbeda dapat lebih mudah diidentifikasi / dialokasikan jika risiko
diklasifikasikan.
Keputusan dan pengetahuan tentang jenis kontrol yang akan diterapkan
dapat diambil secara lebih terstruktur dan terinformasi.
Keadaan di mana selera risiko organisasi sedang dilampaui (atau kriteria risiko tidak
diterapkan) dapat lebih mudah diidentifikasi.
British Standard menyatakan bahwa jumlah dan jenis kategori risiko yang
digunakan harus dipilih agar sesuai dengan ukuran, tujuan, sifat, kompleksitas,
dan konteks organisasi. Kategori tersebut juga harus mencerminkan
kematangan manajemen risiko dalam organisasi. Mungkin sistem klasifikasi
risiko yang paling umum digunakan adalah yang ditawarkan oleh kubus COSO
ERM dan oleh standar manajemen risiko IRM.
Namun, sistem klasifikasi risiko COSO tidak selalu membantu dan
mengandung beberapa kelemahan. Misalnya, risiko strategis juga dapat hadir
dalam operasi dan dalam pelaporan dan kepatuhan. Terlepas dari kelemahan
ini, kubus COSO ERM digunakan secara luas, karena merupakan pendekatan
yang diakui dan direkomendasikan untuk kepatuhan terhadap persyaratan
Sarbanes– Oxley Act.
Perlu dicatat bahwa kubus COSO ERM (2004) adalah versi COSO yang lebih
luas, dan juga mencakup persyaratan kubus Kontrol Internal COSO yang baru
saja diperbarui (2013). Komponen pelaporan kubus Pengendalian Internal
COSO secara khusus berkaitan dengan keakuratan pelaporan data keuangan
dan dirancang untuk memenuhi persyaratan bagian 404 dari Sarbanes–Oxley
Act.
F Keuangan;
I Infrastruktur;
R Reputasi;
M Pasar.
Fitur-fitur kartu skor risiko FIRM diatur dalam Tabel 11.2. Risiko keuangan dan
infrastruktur dianggap internal organisasi, sedangkan risiko reputasi dan pasar
bersifat eksternal. Selain itu, risiko keuangan dan pasar dapat dengan mudah
diukur dalam hal keuangan, sedangkan risiko infrastruktur dan reputasi lebih sulit
untuk diukur.
Dimasukkannya risiko reputasi sebagai kategori risiko terpisah dalam kartu skor risiko
FIRM tidak diterima secara universal. Kadang-kadang diperdebatkan bahwa kerusakan
reputasi adalah konsekuensi dari risiko lain yang terwujud dan tidak boleh dianggap
sebagai kategori risiko yang terpisah. Namun, jika pandangan yang lebih luas tentang
risiko diambil, menjadi jelas bahwa reputasi sangat penting. Ini sangat penting ketika
organisasi berusaha menggunakan nama merek mereka untuk memasuki pasar
tambahan, atau mencapai 'peregangan merek' seperti yang kadang-kadang disebut.
Bagaimanapun, ada argumen yang lebih luas bahwa semua risiko adalah
konsekuensi dari keputusan bisnis yang lebih luas. Mengadopsi strategi
tertentu, melakukan proyek dan / atau melanjutkan operasi yang sudah mapan
semuanya melibatkan risiko. Jika organisasi tidak melakukan kegiatan strategis,
taktis atau operasional ini, risiko tidak akan ada.
Sistem klasifikasi risiko PESTLE sering dipandang paling relevan dengan analisis
risiko eksternal. Risiko eksternal dalam konteks ini dimaksudkan untuk merujuk
pada konteks eksternal yang tidak sepenuhnya berada dalam kendali organisasi
tetapi di mana tindakan dapat diambil untuk mengurangi risiko. Sering disarankan
bahwa sistem klasifikasi risiko PESTLE harus digunakan bersama dengan analisis
kekuatan, kelemahan, peluang dan ancaman (SWOT) yang dihadapi organisasi.
Analisis SWOT dari masing-masing dari enam kategori PESTLE direkomendasikan
oleh Orange Book.
Keuntungan dari sistem klasifikasi risiko PESTLE adalah memberikan analisis yang
jelas tentang masalah yang harus ditangani dalam konteks eksternal. Pendekatan
PESTLE mungkin paling dapat diterapkan di sektor publik, karena faktor eksternal yang
dianalisis oleh pendekatan PESTLE sangat relevan.
Analisis PESTLE adalah struktur yang umum digunakan untuk tujuan identifikasi risiko
dalam lokakarya penilaian risiko. PEST juga dapat dipertimbangkan untuk
menjadi sistem klasifikasi risiko dengan penekanan pada risiko bahaya. Ada
beberapa kelebihan dan kekurangan dari pendekatan PESTLE. Keuntungannya
adalah sebagai berikut:
Namun, ada kerugian tertentu yang terkait dengan penggunaan analisis PESTLE sebagai
sarana untuk mengidentifikasi risiko. Kerugian ini adalah sebagai berikut:
Tidak ada sistem klasifikasi risiko standar yang dapat digunakan oleh semua jenis organisasi.
Bank menghadapi sejumlah besar risiko dan ini biasanya dibagi menjadi tiga kategori utama
risiko pasar, risiko kredit dan risiko operasional. Seringkali, kerangka kerja dan arsitektur
manajemen risiko akan berbeda untuk berbagai jenis risiko.
Risiko pasar adalah risiko yang terjadi akibat fluktuasi pasar keuangan. Aset dan liabilitas
bank terkena berbagai jenis volatilitas pasar, seperti perubahan suku bunga dan nilai tukar
mata uang asing. Risiko pasar terutama merupakan risiko peluang yang dianut oleh bank.
Ketika bank meminjamkan kepada klien ada risiko yang melekat pada uang tidak kembali,
dan ini adalah risiko kredit. Risiko kredit hanyalah kemungkinan kondisi buruk di mana klien
tidak membayar kembali jumlah pinjaman. Ini terutama merupakan risiko pengendalian yang
harus dikelola.
Risiko operasional berkaitan dengan kegagalan sistem internal, proses, teknologi dan
manusia, dan faktor eksternal seperti bencana alam, kebakaran, dll. Basel II mendefinisikan
risiko operasional sebagai 'risiko kerugian langsung atau tidak langsung yang diakibatkan oleh
proses internal, orang, dan sistem yang tidak memadai atau gagal atau dari peristiwa eksternal'.
Risiko operasional telah mendapatkan profil karena kebutuhan untuk mengukur eksposur risiko
operasional, peningkatan penggunaan teknologi dan pengakuan atas peran penting yang
dimainkan oleh orang-orang dalam proses sektor keuangan. Risiko operasional terutama
merupakan risiko bahaya yang harus dimitigasi.