IMPLEMENTING

AN EFFECTIVE
ERM PROGRAM
KELOMPOK 3
 Group Member
Armadani Komang Adhitanaya
243221009 243221023
 01

Chapter 5:
IMPLEMENTING AN
EFFECTIVE ERM PROGRAM
ROLES AND RESPONSIBILITIES OF AN
ERM FUNCTION
● CRO dan fungsi risiko perusahaan modern harus memberikan perhatian
terhadap setiap tingkat risiko yang berdampak pada semua tingkatan
perusahaan untuk medapatkan pengelolaan risiko yang efektif.
● Pentingnya kepemimpinan manajemen risiko yang berada pada tingkat
perusahaan yang dipimpin oleh CRO
Gambar 5.1 fungsi umum atau tanggung jawab ERM
 CRO Responsibilities

● Komponen kunci dari fungsi ERM yang efektif adalah memiliki tingkat
kepemimpinan perusahaan yang bertanggung jawab atas keseluruhan proses
manajemen risiko.
● Tanggung jawab utama CRO adalah mengelola proses penilaian risiko di seluruh
perusahaan, menerapkan tindakan korektif yang tepat, dan mengkomunikasikan
permasalahan dan kejadian risiko ke seluruh tingkat perusahaan.
 CRO Responsibilities

● General Responsibilities
Menilai semua risiko yang mungkin berdampak keuangan perusahaan,
operasional, terkait TI, dan lingkungan serta mengembangkan tindakan yang
tepat untuk meminimalkan risiko tersebut.
● CRO Reporting Relationships
Melapor langsung kepada chief financial officer (CFO) untuk tujuan
administratif, CRO melapor kepada ketua komite risiko dewan direksi untuk
mendapatkan panduan tindakan dan strategi.
 CRO Responsibilities
● Duties and Responsibilities
- Mengembangkan, memulai, memelihara, dan merevisi kebijakan dan prosedur
untuk pengoperasian umum program risiko perusahaan dan aktivitas terkait
untuk mencegah perilaku ilegal, tidak etis, atau tidak pantas. Mengelola
pengoperasian program sehari-hari.
- Melakukan penilaian menyeluruh terhadap semua risiko yang berdampak pada
perusahaan, dan melaporkan kepada komite risiko dewan direksi mengenai
status risiko tersebut dan tindakan yang diambil untuk mengendalikannya,
setidaknya setiap triwulan.
- Menanggapi semua ancaman fiskal, operasional, TI, atau lingkungan umum yang
teridentifikasi melalui koordinasi dengan manajer yang tepat dalam organisasi.
Mengembangkan dan mengawasi sistem untuk penanganan seragam terhadap
ancaman terkait risiko tersebut
 CRO Responsibilities
● Duties and Responsibilities (lanjutan)
- Bertindak sebagai badan peninjau dan evaluasi independen untuk memastikan
bahwa masalah/masalah risiko utama dalam organisasi dievaluasi, diselidiki, dan
diselesaikan dengan tepat.
- Memantau dan, jika diperlukan, mengoordinasikan aktivitas risiko perusahaan
pada unit organisasi untuk tetap mengikuti status seluruh aktivitas risiko
perusahaan dan untuk mengidentifikasi permasalahan dan tren.
- Mengidentifikasi potensi area kerentanan dan risiko risiko perusahaan;
mengembangkan/menerapkan rencana tindakan perbaikan untuk penyelesaian
masalah, dan memberikan panduan umum tentang cara menghindari atau
menangani situasi serupa di masa depan.
- Memberikan laporan secara teratur, dan sesuai arahan atau permintaan, agar
komite risiko perusahaan dan manajemen senior tetap mendapat informasi
mengenai operasi dan kemajuan upaya risiko perusahaan.
Perbedaan audit internal dan ERM adalah aktivitasnya
terhadap risiko.
Audit internal hanya melaporkan untuk perbaikan, ERM terlibat aktif dalam melakukan
perbaikan terkait pengendalian internal perusahaan.
 Risk Management Enterprise
Governance and Oversight
● Di masa lalu, manajemen risiko sering terkait dengan fungsi asuransi dan
kecelakaan perusahaan.
● Di bawah kerangka kerja Committee of Sponsoring Organizations' enterprise
risk management (COSO ERM), manajemen risiko diharapkan untuk berperan
dalam isu risiko perusahaan secara menyeluruh.
● Fungsi manajemen risiko yang efektif harus dipimpin oleh Chief Risk Officer
(CRO) dan melaporkan kepada tingkat manajemen senior dalam perusahaan.
● Dalam pengambilan keputusan risiko, harus selalu ada tingkat pengawasan dan
tata kelola perusahaan.
 ERM Activity Scope and
Review Planning
● Terdapat berbagai aktivitas ERM seperti proses untuk mengestimasi
kemungkinan dan konsekuensi dari berbagai risiko yang dihadapi perusahaan.
● ERM yang efektif harus mengikuti rencana tinjauan risiko yang mencakup
periode waktu yang lebih panjang.
● ERM harus mengembangkan pemahaman dan dokumentasi mengenai
lingkup risiko dalam operasionalnya.
● Informasi mengenai lingkup risiko tidak perlu dikomunikasikan kepada seluruh
perusahaan.
● ERM harus mengembangkan pendekatan pemantauan atau tinjauan
berkelanjutan terhadap risiko yang ada dalam cakupan mereka.
 Pendekatan dalam fungsi ERM

1 2 3
Memulai Meninjau Area Berkolaborasi
Tindakan Risiko dan dengan Audit
Langsung untuk Mengusulkan Internal
Menyelesaikan Tindakan
Risiko Korektif
Pendekatan dalam fungsi ERM

4 5
Memantau Area Mengembangkan
Risiko Secara Rencana Tindakan
Berkelanjutan Pasif
 Risk Management
Policies, Standards, and
Strategies
Langkah untuk mengelola risiko
di seluruh tingkatan pada
perusahaan
Building a risk-awareness
culture
Membangun budaya etis yang
efektif dalam suatu perusahaan,
“tone at the top”” dari para
eksekutif senior kepada orang lain
di perusahaan sangatlah penting.
Creating the enterprise-wide risk
management enterprise
Selain hanya satu individu dengan
jabatan CRO, penting untuk
membangun staf ERM yang efektif
atau serangkaian sumber daya
untuk mendukung CRO tersebut
Langkah untuk mengelola risiko
di seluruh tingkatan pada
perusahaan

Enterprise risk management policies and standards

Sebuah metode yang efektif untuk memperkenalkan kesadaran risiko di seluruh

perusahaan adalah dengan mengembangkan dan mendistribusikan formulir
persetujuan pedoman penilaian risiko yang diminta untuk dipertimbangkan oleh
para pemangku kepentingan setiap kali membuat keputusan untuk perusahaan
 Business, IT, and Risk Transfer
Processes
● General Business Operations Risks.
Sebelum COSO ERM, area risiko ini umumnya dipertimbangkan dengan
cara atau urutan berikut:
1. Fokus manajemen risiko. Penekanannya adalah pada risiko keuangan yang
terkait dengan gangguan pengendalian akuntansi internal.
2. Ruang lingkup operasi bisnis dan tujuan risiko. Melindungi nilai perusahaan,
dengan penekanan pada perbendaharaan dan asuransi.
3. Penekanan pada manajemen risiko. Operasi keuangan dan bisnis lainnya
hanya mencakup area risiko, operasi, dan proses yang terbatas.

COSO ERM telah memperluas faktor-faktor risiko tradisional ini dan beralih ke
serangkaian pertimbangan di tingkat entitas secara keseluruhan.
● IT General and Application-Specific Risks
Dua aspek unik dalam bidang ini adalah perlunya pemantauan lingkungan
risiko yang berkelanjutan dan real-time serta persyaratan keterampilan teknis
dan alat untuk merespons dan bereaksi.
● Alternative Risk Transfer and Facility-Related Risks
Keamanan gedung dan fasilitas. Kategori ini dapat mencakup semua
keamanan di luar fasilitas TI dan keamanan jaringan dan mencakup kontrol
keamanan perimeter pabrik, lencana karyawan, dan banyak hal terkait lainnya
Risiko hukum dan peraturan. Baik itu tindakan litigasi terhadap perusahaan
atau undang-undang baru yang sedang dipertimbangkan oleh badan
legislatif, perusahaan harus memiliki pemahaman yang baik tentang
perkembangan dan permasalahan hukum dan peraturan di wilayah
operasinya.
 Risk Assessment Reviews and
Corrective Action Practices
● ERM sebagai pemeriksa.
● RAR dapat meningkatkan aktivitas audit internal dan membantu dalam
pemahaman risiko yang signifikan.
● Tinjauan risiko yang dilakukan oleh ERM harus mengikuti serangkaian langkah
yang standar.
● Setelah tinjauan selesai, ERM akan menerbitkan laporan RAR.
● Konsep RAR memerlukan koordinasi dengan pihak-pihak terkait.
 ERM COMMUNICATIONS
APPROACHES
Pertimbangan dan pendekatan untuk melaksanakan proses RAR yang efektif meliputi:
● Perhatian Dewan atau Manajemen Senior,
● Proses Pelaporan RAR, dan
● Program Kesadaran Risiko Perusahaan.
CRO AND AN EFFECTIVE ENTERPRISE
RISK MANAGEMENT FUNCTION
● CRO adalah orang yang memimpin dan memandu perusahaan dalam
mengidentifikasi, mengukur, memantau, dan mengelola risiko.
● Fungsi ERM adalah untuk mendukung CRO dalam melakukan tanggung jawabnya.
● CRO dan fungsi manajemen risiko yang ditunjuk memiliki tanggung jawab dalam
meluncurkan dan mengelola kerangka kerja COSO ERM.
● Perusahaan perlu membangun struktur tim dan tanggung jawab yang efektif
untuk mengelola risiko dengan baik.
● ERM yang efektif, dipimpin oleh CRO yang kuat dengan tanggung jawab
pelaporan tingkat tinggi.
 Article

02 Does the hiring of chief risk officers align

with the COSO/ISO enterprise risk
management frameworks?

Erastus Karanja
 Introduction

Tujuan
Kontribusi dari penelitian
penelitian
Mengeksplorasi sejauh Menggabungkan kerangka kerja ERM COSO
mana keselarasan dan ISO 31000:2009,
antara kerangka kerja Memberikan wawasan tentang area yang
ERM dan proses ERM menjadi fokus perusahaan selama
di perusahaan yang implementasi ERM, dan
telah mengangkat Memusatkan perhatian pada tanggung jawab
CRO sebagai proxy CRO.
implementasi ERM.
 Background

● Terjadi selama krisis keuangan mendorong perubahan dalam regulasi dan praktik
bisnis.
● Undang-undang SOX yang berkaitan dengan kerangka kerja ERM dalam COSO
(2004), mengharuskan perusahaan untuk mengendalikan risiko internal,
terutama yang terkait dengan teknologi informasi.
● Adanya inkonsistenan hasil pada penelitian terdahulu terkait ERM.
 Enterprise risk management
frameworks
Kerangka Kerja ERM COSO, 2004
● Kerangka kerja ERM berfokus pada pencapaian tujuan perusahaan dan harus selaras
dengan strategi perusahaan: tujuan tingkat tinggi yang mendukung misi, visi, dan
operasi, serta ditunjukkan melalui efektivitas dan penggunaan sumber daya yang
efisien, keandalan dalam sistem pelaporan, dan kepatuhan terhadap hukum dan regulasi
yang berlaku (COSO, 2004).
Kerangka Kerja ERM ISO 31000:2009
● Kerangka kerja manajemen risiko adalah seperangkat komponen yang menyediakan
dasar dan pengaturan organisasi untuk merancang, mengimplementasikan, memantau,
meninjau, dan terus meningkatkan manajemen risiko di seluruh organisasi. Kerangka
kerja ERM ini tertanam dalam kebijakan dan praktik strategis dan operasional organisasi
secara keseluruhan.
Integrated ERM framework
 Research method
● Mengadopsi proses yang disarankan oleh Krippendorff (1980; 2004) untuk content
analysis
● menjawab pertanyaan tentang data yang dianalisis, bagaimana data didefinisikan,
populasi yang diteliti, konteks data di mana data dianalisis, batasan analisis, dan sasaran
kesimpulan
● Data penelitian diperoleh dari perusahaan-perusahaan yang berbasis di AS yang
diidentifikasi berdasarkan terjadinya peristiwa organisasi (perekrutan CRO) dari
LexisNexis (LexisNexis Academic, 2015).
● Pencarian menggunakan kata kunci “new” or “create” bersama dengan berbagai variasi
judul dan akronim CRO dilakukan.
 Result and Discussions
● Terdapat berbagai nama jabatan untuk kepala manajemen risiko seperti Chief Risk
Officer, Vice President dan Chief Risk Officer, Senior Executive dan Chief Risk Officer,
Executive Vice President dan Chief Risk Officer, serta Global Chief Risk Officer.
● Dari 122 CRO yang direkrut, 26 persennya adalah perempuan
● Dari 122 karyawan CRO tersebut, 49 persen dipekerjakan dari luar perusahaan, 46
persen dipekerjakan dari dalam perusahaan (termasuk 11 persen yang dipromosikan ke
posisi CRO dari dalam) dan 5 persen tidak dapat dipastikan apakah mereka dipekerjakan
atau tidak
● Terdapat data eksplisit (112) tentang pengalaman bertahun-tahun CRO dengan
rata-rata 3,9 tahun.
● terdapat data pelaporan untuk 108 karyawan CRO dengan 91 persen CRO melapor
kepada CEO, presiden, atau Pimpinan
● Jurusan dominan akuntansi, ekonomi, administrasi bisnis, keuangan dan beberapa ilmu
aktuaria. Di tingkat pascasarjana adalah MBA dan sebagian besar CRO memiliki
sertifikasi CPA
 Result and Discussions

● 122 perusahaan yang mempekerjakan CRO selama periode penelitian:

- 95 perusahaan secara eksplisit menyatakan arah strategis yang menjadi tujuan ERM,
- 99 perusahaan memiliki informasi terkait operasi,
- 22 perusahaan menyebutkan perlunya pelaporan yang andal,
- 73 perusahaan mengindikasikan bahwa ERM memfasilitasi kepatuhan,
- 105 menunjukkan fokus utama penerapan ERM.
Result and Discussions
 Result and Discussions

● Alignment with strategy

Dari siaran pers tersebut, para peneliti mengambil setiap referensi dari masing-masing
lima tujuan ERM dan memetakannya ke lima konsep model ERM COSO, 2004/ISO
31000:2009. Dengan 95 kecocokan, data mengungkapkan bahwa perusahaan
berinvestasi di ERM untuk memenuhi tujuan strategis.
“sebagai CRO, dia bertanggung jawab untuk mengembangkan dan memelihara proses
komprehensif untuk mengidentifikasi, menilai, mengukur, memantau, melaporkan dan,
jika diperlukan, mengurangi risiko terkait yang dapat mengganggu tujuan dan sasaran
perusahaan [...].”
 Result and Discussions

● Alignment with operations

Dari siaran persnya, peran ERM dalam mendukung operasional bisnis tergambar dalam
sejumlah pernyataan yang mencakup “[...] mengembangkan strategi Enterprise Risk
Management (ERM) perusahaan dan mendukung strategi akuisisi aktif [...]” dan “[...]
aktivitas manajemen risiko di seluruh perusahaan, audit internal, dan integrasi akuisisi
bisnis [...]” Perusahaan lain menggambarkan peran ERM dalam memungkinkan operasi
bisnis dengan menyatakan bahwa CRO akan “[...] bertanggung jawab untuk mengawasi
program manajemen risiko perusahaan perusahaan.
 Result and Discussions

● Alignment with reporting

Pelaporan tidak banyak disebutkan dalam siaran pers meskipun hal ini tidak mengurangi
pentingnya hal ini dalam proses ERM.
Dari siaran persnya, pelaporan yang mendukung ERM digambarkan dengan pernyataan
seperti “[...] bertanggung jawab untuk mengelola kerangka risiko perusahaan Encore dan
memastikan bahwa kebijakan, pengendalian, metodologi, dan pelaporan risiko
perusahaan akan terus mendukung pertumbuhan perusahaan [.. .]” atau “[...] terus
membangun kemampuan manajemen risiko perusahaan, termasuk mengintegrasikan
data risiko perusahaan, pelaporan, analisis [...].”
 Result and Discussions

● Alignment with compliance

Inisiatif kepatuhan yang mendukung ERM digambarkan dengan pernyataan seperti “[...]
bertanggung jawab atas manajemen risiko perusahaan, urusan kepatuhan dan
peraturan [...]” atau “[...] berkaitan dengan fungsi tata kelola dan kontrol perusahaan
utama lainnya, termasuk audit internal, penipuan, kepatuhan [...]” Perusahaan lain
melaporkan bahwa CRO akan “[...] memimpin Grup Manajemen Risiko, yang
bertanggung jawab atas seluruh spektrum manajemen risiko perusahaan, termasuk
Risiko Perusahaan, Risiko Kepatuhan [ ...]”
 Result and Discussions

● Alignment with entity

dalam penelitian ini, banyak perusahaan yang menerapkan program ERM di tingkat
perusahaan. Namun, ada beberapa kasus di mana penerapan ERM terjadi baik di tingkat
unit bisnis, divisi, perusahaan, atau global. Beberapa pernyataan yang menggambarkan
berbagai fokus ERM adalah “[...] membantu unit bisnis dan layanan bersama Icap untuk
terus menanamkan manajemen risiko dalam proses, proyek, dan praktik manajemen
perubahan mereka [...]” atau “[.. .] bertanggung jawab atas manajemen risiko di seluruh
perusahaan dengan aset senilai $22 miliar [...]”
 Conclusions

Program ERM mengikuti konsep yang dijabarkan dalam COSO 2004, ISO 31000:2009
dan kerangka ERM, yaitu analisis data perekrutan CRO menunjukkan adanya
keselarasan antara COSO 2004, ISO 31000:2009 dan program ERM yang
dilaksanakan oleh perusahaan-perusahaan.