Enterprise Risk Management

Definisi ERM:
“suatu proses yang berpengaruh pada sebuah entitas,
jajaran direksi, pihak manajemen, dan personel lain
yang diaplikasikan pada penetapan strategy
perusahaan, didisain untuk mengidentifikasi kejadian
yang potensial yang dapat berpengaruh pada entitas,
dan mengelola risiko yang dapat diterima, dan
memberikan jaminan keamanan yang beralasan
dalam rangka mencapai tujuan perusahaan

Source: COSO Enterprise Risk Management –

Integrated Framework. 2004. COSO.
COSO (COMITEE OF SPONSORING ORGANIZATIONS OF
THE TREADWAY COMMISSION)
Kenapa ERM penting
Prinsip yang melandasi
• Setiap entitas (individu) untuk memberikan suatu nilai bagi
stakeholder
• Nilai ini sangat tergantung pada keputusan manajemen
mulai dari perumusan strategy sampai dengan kegiatan
operasional setiap hari

ERM mendukung penciptaan nilai dengan memudahkan

manajemen untuk :
• Menghadapi kejadian potensial yang menciptakan
ketidakpastian
• Memberikan respon yang tepat untuk mengurangi risiko
yang dapat mempengaruhi hasil
Framework ERM
1. Framework ini mendefinisikan komponen penting, penyamaan
bahasa, dan memberikan arahan dan bimbingan yang jelas bagi
enterprise risk management.

2. Objektif bisa dilihat bisa dilihat dalam empat kategori

 Strategic
 Operations
 Reporting
 Compliance (kepatuhan)
Framework ERM

ERM mempertimbangkan akivitas seluruh level

organisasi

– Enterprise-level
– Division atau subsidiary
– Proses Business Unit
Framework ERM
• ERM memerlukan sebuah entitas melihat
portofolio dari risiko
• Management mempertimbangkan
bagaimana risiko individual saling
berkaitan

• Management mengembangkan suatu cara

melihat portofolio dari dua perspektif:
- Level Business Unit
- Level Entity
Framework ERM

Terdapat delapan
komponen dari framework
yang saling berkaitan
Internal Environment
• Membuat philosophy sehubungan dengan risk
management. Baik untuk kejadian yang
diharapkan atau tidak diharapkan yang mungkin
terjadi

• Buat budaya risiko entitas

• Pertimbangkan selalu aspek bagaimana tindakan

organisasi yang mungkin berakibat pada budaya
risiko tersebut
Objective Setting
• Digunakan ketika management
mempertimbangkan strategy risiko dalam
penetapan objektif

• Bentuk ‘risk appetite’ dari entity — helicopter viw

dari berapa besar risk management dan BOD
dapat menerima risiko

• Toleransi Risiko, tingkat penerimaan dalam variasi

risiko dari objektif yang sejalan dengan ‘risk
appetite’
Event Identification
• Pembedaan antara risiko dan peluang

• Kejadian yang dapat memberikan pengaruh negatif yang

menggambarkan risiko

• Kejadian yang dapat memberikan pengaruh positif yang

menggambarkan oportunity  kembali ke penetapan
strategy

• Termasuk dalam mengidentifikasikan kejadian ini, baik

internal maupun eksternal yang dapat mempengaruhi
strategy dan pencapaian objektif

• Menentukan bagaimana faktor internal dan eksternal

bersatu dan berinteraksi mempengaruhi profile risiko
Risk Assessment
• Memperkenankan entity untuk memahami sampai di
mana kejadian potensial yang dapat berpengaruh
terhadap objektif

• Penilaian risiko dari dua perspektif

- Likelihood (kemungkinan terjadi)
- Impact (pengaruh)

• Adalah biasa menilai risiko dan hal normal pula dalam mengukur
risiko terkait dengan objektif

• Lakukan penilaian kwalitatif dan kuantitatif dalam penilaian risiko

• Kaitkan jangka waktu dengan jangka waktu objektif

• Nilai risiko baik yang melekat (inherent) dan risiko residual

Risk Response
• Identifikasi dan evaluasi kemungkinan respon atas
risiko

• Evaluasi pilihan terkait dengan risk appetite entity,

cost dan benefit dari respon risiko potensial, dan
tingkat di mana respon akan menurunkan
pengaruh atau kemungkinannya

• Pilih dan lakukan respon atas evaluasi dari

portofolio risiko dan respon
Control Activities
• Policy dan prosedur yang menjamin respon
terhadap risiko, seperti halnya arahan lain dari
entity

• Terjadi pada seluruh organisasi, pada selruh level

dan fungsi

• Termasuk aplikasi dan informasi umum kontrol

teknologi
Information & Communication

• Identifikasi manajemen, mendapatkan dan

mengkomunikasikan informasi yang berhubungan
dalam bentuk ddan jangka waktu yang
memungkinan yang bertanggungjawab
menjalanakan kewajibannya.

• Komunikasi berlangsung dalam pengertian luas,

mengalir ke bawah, antar dan ke atas oraganisasi
Monitoring
Efektifitas dari komponen ERM yang lain dimonitor
melalui:

• Aktivitas monitoring terus-menerus

• Evaluasi terpisah

• Kombinasi dari keduanya

Internal Control

Sistem kontrol internal yang kuat adalah

sangat penting dalam keefektifan ERM
Internal Auditor

• Memegang peranan penting dalam memonitor ERM, tapi

tidak merupakan kewajiban utama untuk implementasi dan
pemeliharaannya
• Membantu manajemen dan BOD atau komite audit pada
proses :

- Monitoring - Evaluasi
- Pemeriksaan - Reporting
- Recomendasi perbaikan
ERM Roles & Responsibilities

• Management

• The board of directors

• Risk officers

• Internal auditors
Key Implementation Factors

1. Disain organisasi dari bisnis

2. Membentuk organisasi ERM
3. Melakukan penilaian risiko
4. Menentukan risk appetite keseluruhan
5. Mengidentifikasi respon risiko
6. Komunikasi hasil risiko
7. Monitoring
8. Pengawasan dan review rutin oleh
manajemen
Organizational Design
• Strategy dari bisnis
• Objektif utama dari bisnis
• Obektif terkait yang diturunkan ke bawah
organisasi dari objektif utama bisnis
• Menugaskan elemen organisasi dan pimpinan
yang bertanggungjawab
Contoh: Keterkaitan
• Misi
“To provide high-quality accessible and affordable
community-based health care”

• Objectif Strategic
“To be the first or second largest, full-service health
care provider in mid-size metropolitan markets”

• Objectif Terkait
“To initiate dialogue with leadership of 10 top under-
performing hospitals and negotiate agreements with
two this year”
Membentuk ERM
• Menentukan philisophy risiko

• Survey budaya risiko

• Pertimbangkan integritas organisasi dan nilai etika

• Putuskan peran dan tanggung jawab

Contoh: Organisasi ERM
Vice President and
Chief Risk Officer

Insurance ERM Corporate Credit

Risk Manager Director Risk Manager

FES
ERM ERM Commodity
Manager Manager Risk Mg.
Director

Staff Staff Staff

Penilaian Risiko

Penilaian Risiko adalah identifikasi dan

analisis dari risiko untuk mencapai
objektif bisnis. Ini menjadi dasar untuk
menentukan bagaimana risiko itu
dikelola
Contoh: Model Risiko
• Risiko Environmental
– Capital Availability
– Regulatory, Political, and Legal
– Financial Markets and Shareholder Relations

• Risiko Proses
– Risiko Operations
– Risiko Empowerment
– Risiko Information Processing / Technology
– Risiko Integrity
– Risiko Financial

• Information for Decision Making

– Risiko Operational
– Risiko Financial
– Risiko Strategic
 Analisis Risiko

Penilaian Manajemen Monitor Risiko

Risiko Risiko

Level Proses
Identifikasi Kontrol Risiko

Share atau Level Activitas

Pengukuran
Transfer Risiko

Diversify atau
Prioritas Level Entity
Avoid Risiko
Menentukan ‘RISK APPETITE’
• ‘Risk appetite’ adalah nilai risiko — dalam
pengertian luas — kemampuan entity dalam
menerima nilai risiko

• Menggunakan terminologi kuantitative dan

kualitative (seperti pendapatan atas risiko vs risiko
reputasi), dan pertimbangkan toleransi risiko
(variasi yang dapat diterima)
Menentukan ‘RISK APPETITE’
Pertanyaan utama:

• Risiko apa yang tidak bisa diterima organisasi ?

(misal lingkungan atau kompromi kualitas)

• Risiko apa yang akan diambil organisasi pada

inisiatif baru ?
(misal line product baru)

• Risiko apa yang dapat diterima orgnisasi untuk

menantang objektif ?
• (misal gross profit vs. market share?)
IDENTIFIKASI RESPON RISIKO

• Kuantifikasi besarnya risiko

• Pilihan yang tersedia :

- Accept = monitor
- Avoid = hilangkan
- Reduce = lakukan kontrol
- Share = kerjasama dengan pihak lain
(sperti asuransi)

• Risiko Residual (risiko yang tdk bisa dimitigasi –

penyusutan)
 Pengaruh vs. Peluang
Tinggi
Risiko Sedang Risiko Tinggi

P
E
N
Share Mitigate & Control
G
A
R
U
Risiko Rendah Risiko Sedang
H

Accept Control

Rendah PELUANG Tinggi

Contoh : Penilaian risiko Call Center
Tinggi
Risiko Sedang Risiko Tinggi
P • Kehilangan telpon • Credit risk
E • Kehilangan komputer • Customer menunggu lama
N • Customer tidak tersambung
G • Customer tidak dapat jawaban
A
R
U Risoko Rendah Risiko Sedang
H
• Fraud (kecurangan) • Salah Entry
• Hilang transaksi • Peralatan usang
• Moral karyawan • Call berulang atas problem yang sama

Rendah PELUANG Tinggi

Contoh : Proses Account Payable

Objektif Risiko Aktivitas

Kontrol Kontrol
Kelengkapan Transaksi Accrual dari
material tidak open liabilities
tercatat
Invois di- accrued

setelah closing
Komunikasi Hasil
• Dashboard risiko dan respon terkait
(status visual dari posisi risiko utama relatif terhadap
toleransi risiko)

• Flowchart dari proses dengan kontrol utama tercatat

• Penjelasan objektif bisnis dishubungkan dengan risiko

operasional dan respon

• List dari risiko utama yang dimonitor atau digunakan

• Pemahaman Manajemen atas tanggung jawab risiko dan

pengkomunikasian tugas
Monitor

• Kumpulkan dan tampilkan informasi

• Lakukan analisis
- Risiko yang ditangani dengan baik
- Kontrol yang dilakukan untuk
menghilangkan risiko
Pengawasan Manajemen & Review Rutin

• Accountability atas risiko

• Ownership

• Update
- Perubahan pada objektif bisnis
- Perubahan pada sistem
- Perubahan pada proses
Nilai Tambah dari Internal auditor :

• Review sistem critical control dan proses

manajemen risiko.

• Lakukan review dari penilaian manajemen risiko

yang efektif dan kontrol internal.

• Berikan advice atas perbaikan dan disain sistem

kontrol dan strategi mitigasi risiko

• Terapkan penkatan risk-based dalam perencanaan

dan eksekusi proses internal audit.
Nilai Tambah dari Internal auditor :

Menjamin bahwa sumber daya internal audit

diarahkan pada area yang sangat penting dalam
organisasi
• Tantang dasar dalam penilaian manajmen risiko
dan evaluasi kecukupan dan efektivitas penyajian
strategy risiko
• Fasilitasi Workshop ERM.
• Mendefinisikan risk toleransi risiko yang belum
diidentifikasi atas dasar pengalaman internal
audit, pertimbangan dan konsultasi dengan
manajemen