Tujuan kerangka kerja Manajemen Risiko adalah untuk membantu organisasi dalam mengintegrasikan
Manajemen Risiko ke dalam aktivitas dan fungsi yang signifikan. Efektivitas Manajemen Risiko akan
tergantung pada integrasinya ke dalam governansi organisasi, termasuk pengambilan keputusan. Berikut
kerangka kerja manajemen risiko:
1. Kepemimpinan dan Komitmen.
Top Management dan Badan Pengawas harus memastikan bahwa Manajemen Risiko terintegrasi ke
dalam semua kegiatan organisasi dan harus menunjukkan kepemimpinan dan komitmen dengan:
a. Menyesuaikan dan mengimplementasikan seluruh komponen yang terdapat di dalam kerangka
kerja;
b. Mengeluarkan pernyataan atau kebijakan yang menjabarkan komitmen, rencana dan aksi
perusahaan terkait Manajemen Risiko;
c. Memastikan tersedianya sumber daya untuk mengelola risiko;
d. Memberikan kewenangan, tanggung jawab dan akuntabilitas di seluruh level perusahaan sesuai
dengan perannya masing-masing;
2. Integrasi
Mengintegrasikan Manajemen Risiko ke dalam organisasi adalah proses yang dinamis dan berulang,
dan harus disesuaikan dengan kebutuhan dan budaya organisasi.
Kerangka Kerja Manajemen Risiko Berdasarkan ISO 31000:2018
3. Disain
a. Memahami Organisasi dan konteksnya. Ketika merancang kerangka kerja untuk mengelola risiko, organisasi harus memeriksa dan
memahami konteks eksternal dan internal.
b. Mengartikulasikan komitmen Manajemen Risiko. Top Management dan Badan Pengawas harus menunjukkan dan
mengartikulasikan komitmen berkelanjutan mereka terhadap Manajemen Risiko melalui kebijakan, pernyataan atau bentuk lain
yang secara jelas menyampaikan tujuan dan komitmen organisasi terhadap Manajemen Risiko.
c. Menetapkan peran, otoritas, tanggung jawab dan akuntabilitas organisasi. Top Management dan Badan Pengawas harus memastikan
bahwa otoritas, tanggung jawab dan akuntabilitas untuk peran yang relevan sehubungan dengan Manajemen Risiko ditugaskan dan
dikomunikasikan di semua tingkat organisasi, dan harus:
- menekankan bahwa Manajemen Risiko adalah tanggung jawab utama;
- mengidentifikasi individu yang memiliki akuntabilitas dan otoritas untuk mengelola risiko (pemilik risiko).
d. Alokasi Sumber Daya. Top Management dan Badan Pengawas harus memastikan alokasi sumber daya yang tepat untuk Manajemen
Risiko, yang dapat mencakup, tetapi tidak terbatas pada:
- orang, keterampilan, pengalaman, dan kompetensi;
- proses, metode, dan alat organisasi yang akan digunakan untuk mengelola risiko;
- proses dan prosedur yang terdokumentasi;
- sistem informasi dan manajemen pengetahuan;
- pengembangan profesional dan kebutuhan pelatihan.
e. Membangun komunikasi dan konsultasi. Organisasi harus menetapkan pendekatan yang disetujui untuk komunikasi dan konsultasi
untuk mendukung kerangka kerja dan memfasilitasi penerapan Manajemen Risiko yang efektif.
Kerangka Kerja Manajemen Risiko Berdasarkan ISO 31000:2018
4. Implementasi
Organisasi harus menerapkan kerangka kerja Manajemen Risiko dengan:
a. mengembangkan rencana yang sesuai termasuk waktu dan sumber daya;
b. mengidentifikasi dimana, kapan, siapa yang berwenang dan bagaimana proses pengambilan keputusan akan dilakukan di seluruh
organisasi;
c. memodifikasi proses pengambilan keputusan yang berlaku bila perlu;
d. memastikan bahwa pengaturan organisasi untuk mengelola risiko dipahami dan dipraktikkan dengan jelas.
4. Evaluasi
Untuk mengevaluasi efektivitas kerangka kerja Manajemen Risiko, organisasi harus:
e. secara berkala mengukur kinerja kerangka kerja Manajemen Risiko terhadap tujuannya, rencana implementasi, indikator dan perilaku
yang diharapkan;
f. Menentukan apakah tetap memadai untuk mendukung pencapaian tujuan organisasi.
6. Perbaikan
a. Adaptasi. Organisasi harus terus memantau dan menyesuaikan kerangka kerja Manajemen Risiko untuk mengatasi perubahan
eksternal dan internal. Dengan demikian, organisasi dapat meningkatkan nilai dari organisasi itu sendiri.
b. Perbaikan Berkelanjutan. Organisasi harus terus meningkatkan kesesuaian, kecukupan dan efektivitas kerangka kerja Manajemen
Risiko dan integrasi proses Manajemen Risiko dilakukan.
Kerangka Kerja Manajemen Risiko Perusahaan Berdasarkan COSO ERM (2017)
Gambar tersebut juga menggambarkan bahwa ketika ERM terintegrasi di seluruh pengembangan strategi, perumusan tujuan bisnis, dan
implementasi dan kinerja, hal tersebut dapat meningkatkan nilai entitas. ERM tidak bersifat statis. Hal tersebut terintegrasi ke dalam
pengembangan strategi, perumusan tujuan bisnis, dan implementasi tujuan tersebut melalui pengambilan keputusan sehari-hari.
Kerangka Kerja Manajemen Risiko Perusahaan Berdasarkan COSO ERM (2017)
Berikut lima komponen kerangka kerja ERM:
1. Governansi dan Budaya.
Governansi dan budaya secara bersama-sama membentuk dasar untuk seluruh komponen ERM lainnya. Governansi menetapkan gaya
entitas, memperkuat pentingnya ERM, dan menetapkan pengawasan atas tanggung jawab untuk ERM. Sedangkan budaya tercermin
pada pengambilan keputusan.
2. Penetapan Strategi dan Tujuan.
ERM diintegrasikan ke dalam rencana strategis entitas melalui proses penetapan strategi dan tujuan bisnis. Dengan pemahaman
tentang bisnis atau industri entitas, organisasi dapat memperoleh wawasan tentang faktor internal dan eksternal dan pengaruhnya
terhadap risiko. Sebuah organisasi menetapkan selera risikonya dalam hubungannya dengan penetapan strategi. Tujuan bisnis
memungkinkan strategi untuk diimplementasikan dalam praktik dan bentuk operasi dan prioritas sehari-hari perusahaan.
3. Kinerja.
Organisasi mengidentifikasi dan menilai risiko yang dapat mempengaruhi kemampuan entitas untuk mencapai strategi dan tujuan
bisnisnya dengan memprioritaskan risiko sesuai dengan tingkat keparahannya dan mempertimbangkan selera risiko entitas. Organisasi
kemudian memilih respon terhadap risiko yang telah teridentifikasi sebelumnya dan memantau kinerja untuk perubahan. Dengan cara
ini, organisasi akan mengembangkan pandangan portofolio tentang jumlah risiko yang ditanggung entitas dalam mengejar strategi dan
tujuan bisnis tingkat entitas.
Kerangka Kerja Manajemen Risiko Perusahaan Berdasarkan COSO ERM (2017)
4. Tinjauan dan Revisi.
Dengan meninjau kapabilitas dan praktik manajemen risiko perusahaan, dan kinerja entitas relatif terhadap targetnya, organisasi dapat
mempertimbangkan seberapa baik peningkatan nilai kapabilitas dan praktik ERM dari waktu ke waktu dan akan terus mendorong nilai
mengingat perubahan substansial.
5. Informasi, Komunikasi, dan Pelaporan.
Komunikasi adalah proses berulang yang berkelanjutan untuk memperoleh informasi dan membagikannya ke seluruh entitas.
Manajemen menggunakan informasi yang relevan dari sumber internal dan eksternal untuk mendukung manajemen risiko perusahaan.
Organisasi memanfaatkan sistem informasi untuk menangkap, memproses, dan mengelola data dan informasi. Dengan menggunakan
informasi yang berlaku untuk semua komponen, organisasi melaporkan risiko, budaya, dan kinerja.