Manajemen Risiko
Gede Ngurah Piter
Facilitator
S1 Degree from Mathematics Institut Teknologi
Bandung
Experience :
Direktur PT Kagum Advisa Selaras, Bandung
Risk Management Head PT Rutraindo Perkasa Industri,
Jakarta
Business Director PT Bicka Jasa Utama, Bandung
Executive Facilitator Markplus Institute, Jakarta
Credit Policy Manager PT Bank Tabungan Pensiunan
Nasional, Tbk, Jakarta
Manager for East Timor Relief Program Team
Commpassion Indonesia, Bandung
Account Officer PT Bank Danamon Indonesia Tbk, Bandung
Expertise :
Marketing Strategic, Banking Operational, Risk
Management, Leadership, Research and Communication.
Definisi
Model kerangka kerja ERM adalah sebuah budaya perusahaan. Jika sebuah
perusahaan tidak memiliki budaya yang tepat dan kepemimpinan yang kuat di
manajemen puncak, tidak ada unsur lain yang penting.
Sederhananya, perusahaan yang memahami dan mengadopsi ERM menjadikan
sebuah budaya di perusahaan biasanya memiliki kredibilitas yang baik.
Strategi
Pada akhirnya, strategi manajemen risiko perusahaan dapat memberikan jawaban atas
tiga pertanyaan dasar bisnis:
1. Haruskah kita melakukannya (selaras dengan strategi bisnis, risk appetite,
culture, values, dan ethics)?
2. Bisakah kita melakukannya (manusia, proses, struktur, dan kemampuan
teknologi)?
3. Apakah kita melakukannya (penilaian hasil yang diharapkan, pembelajaran
terus-menerus, dan sistem checks and balances yang kuat)?
Kerangka ERM
Kerangka ERM ini dirancang untuk membantu manajemen dan dewan direksi menjawab
pertanyaan bisnis sebagai berikut:
1. Apa saja risikonya terhadap strategi dan operasi bisnis (coverage)?
2. Seberapa besar risiko yang akan diambil (risk appetite)?
3. Bagaimana kita mengatur pengambilan risiko (budaya, pemerintahan, dan kebijakan)?
4. Bagaimana kita menangkap informasi yang kita butuhkan untuk mengelola risiko ini
(data risiko dan infrastruktur)?
5. Bagaimana kita mengendalikan risiko (control environment)?
6. Bagaimana kita mengetahui ukuran berbagai risiko (pengukuran dan evaluasi)?
7. Apa yang seharusnya kita lakukan terhadap risiko ini (respon)?
8. Hal apa yang mungkin menghambat dalam proses bisnis perusahaan (stress testing)?
9. Bagaimana risiko tersebut saling terkait (stress testing)?
8 Komponen ERM
1. Lingkungan internal
Komponen lingkungan internal dalam ERM mencakup hal-hal seperti karakter organisasi dan
penetapan dasar bagaimana risiko dilihat dan ditangani oleh entitas manajemen dalam suatu
perusahaan. Lingkungan internal perusahaan ini juga termasuk di dalamnya filosofi manajemen
risiko dan selera risiko, integritas dan nilai etika, serta lingkungan fisik perusahaan itu sendiri.
2. Penetapan tujuan
Tujuan merupakan komponen penting dalam ERM karena ia harus ada sebelum manajemen
dapat mengidentifikasi kejadian potensial yang nantinya memengaruhi pencapaian pihak
manajemen. ERM memastikan bahwa manajemen perusahaan memiliki proses untuk
menetapkan tujuan. Tak hanya itu, pihak manajemen juga diharapkan dapat menentukan tujuan
yang selaras dengan misi entitas bisnis dan secara konsisten mampu menelaah risiko dari tujuan
tersebut.
3. Identifikasi peristiwa
Melakukan identifikasi terhadap peristiwa atau kejadian, baik secara internal maupun eksternal, dapat memengaruhi
pencapaian tujuan entitas bisnis suatu perusahaan. Hal ini akan mempermudah ERM untuk membedakan antara
risiko dan peluang. Peluang ini dapat disalurkan kembali ke strategi manajemen maupun juga dijadikan pasis
terbentuknya proses penetapan tujuan oleh pihak manajemen,
4. Penilaian risiko
Analisa risiko lewat ERM dapat menghasilkan penilaian dan pertimbangan akan adanya kemungkinan dan dampak
dari risiko tersebut. Hal ini nantinya akan dijadikan sebagai dasar untuk menentukan bagaimana risiko tersebut
harus dikelola. Risiko dinilai atas dasar inheren atau hubungan erat dan pengendapannya dalam suatu proses bisnis.
5. Respons risiko
Adanya ERM dapat memungkinkan pihak manajemen untuk memilih respons tertentu terhadap risiko yang
ditemukan. Respons ini dapat meliputi berbagai hal seperti menghindari, menerima, mengurangi, atau bahkan
berbagi risiko. Pengembangan serangkaian tindakan ini dilakukan untuk menyelaraskan risiko dengan entitas
toleransi terhadap bisnis dan selera risiko yang ditentukan pimpinan perusahaan.
6. Pengendalian aktivitas
Pengendalian aktivitas merupakan komponen ERM yang diterapkan melalui kebijakan dan prosedur
perusahaan atau manajemen. Pengendalian aktivitas dilakukan untuk membantu manajemen dalam
memastikan respons risiko di perusahaan terlaksana secara efektif.
8. Pemantauan (monitoring)
Komponen terakhir dari ERM adalah monitoring. Hal ini dilakukan untuk memantau keseluruhan proses
ERM dan lantas menghasilkan evaluasi untuk dimodifikasi selaras kepentingan perusahaan, Pemantauan
dilakukan melalui kegiatan manajemen yang berkelanjutan dan evaluasi terpisah.
Tujuan ERM
Masih menurut COSO, ERM memiliki tujuan yang ditentukan berdasarkan visi dan
misi entitas bisnis melalui pihak manajemen perusahaan. Hal ini umumnya
dilakukan dengan penentuan tujuan strategis, memilih strategi, dan menetapkan
tujuan yang selaras dan mengalir lewat operasional perusahaan. Setiap kerangka
kerja ERM diarahkan untuk mencapai empat kategori utama tujuan yaitu:
1. Strategis, yaitu tujuan tingkat tinggi yang selaras dengan misi bisnis perusahaan
2. Operasi, meliputi penggunaan sumber daya secara efektif dan efisien untuk tujuan
keuntungan bisnis
3. Pelaporan, ERM bertujuan agar pelaporan perusahaan lebih berkualitas dan dapat
diandalkan
4. Kepatuhan, salah satu tujuan utama ERM adalah memastikan proyek bisnis atau misi
bisnis suatu perusahaan patuh terhadap hukum dan peraturan ekonomi yang berlaku.
Tujuan ERM
Dalam hal pencapaian tujuan entitas bisnis dalam suatu perusahaan tersebut, ERM mencakup
beberapa hal berikut ini:
Penghindaran, jika ketersediaan SDM tidak mendukung dan risiko terlalu riskan
bagi organisasi maka pilihan paling mudah adalah menghindari risiko tersebut.
Meski begitu, cara ini dianggap tidak optimal karena penghindaran hanya akan
mengulur waktu bagi perusahaan untuk menghadapi suatu risiko tertentu.
Transfer, ketika suatu organisasi tertentu tidak ingin menanggung risiko tertentu,
maka organisasi itu akan melakukan transfer risiko ke pihak lain yang dirasa
mampu menghadapi risiko tersebut. Hal ini juga disebut sebagai pengalihan risiko
antar pihak sesuai kesepakatan dan persyaratan yang disetujui bersama.
ENTERPRISE RISK MANAGEMENT -
karakteristik
(5) Berhasil menanggapi perubahan lingkungan bisnis seperti lingkungan bisnis yang terus berubah dan
mempercepat laju perubahan, organisasi harus menjadi lebih baik dalam mengidentifikasi,
memprioritaskan dan perencanaan risiko
ERM membantu manajemen dengan mengevaluasi asumsi-asumsi yang mendasari model bisnis yang
sudah ada, efektivitas strategi, mengeksekusi model dan informasi yang tersedia untuk pengambilan
keputusan
ENTERPRISE RISK MANAGEMENT –
tujuan dan manfaat
Easy to apply (less than 30 pages) Very complicate (over 200 pages)
Applicable to organizations in all industries, large or Better suited for large financial organization
small
More clearly written and terms are explicity defined COSO is not easy to understand
Wider acceptance as reference for risk management Limited acceptance, mainly in the US within
in existing and future standards financial industry
No need to redesign existing management system to Major system modification is required to comply
apply with COSO
Apply to all level of organization for any type of Focus on negative risk at corporate level, often very
risk, both positive and negative consequences confusing when apply at operation level
RISK RESPONSE AND MONITOR
RISK RESPONSE AND MONITOR
HINDARI
TREAT TRANSFER
MITIGASI
RISIKO
TERIMA
NO TREAT
CREATE RECORD
RISK RESPONSE AND MONITOR
Risiko yang tidak di treat harus dicatat dan dijelaskan mengapa tidak di
treat
Opsi Menghindari :
Hanya dapat dilakukan bila risiko tersebut belum terjadi atau timbul dari
suatu operasi tertentu yang dapat dihindari oleh organisasi
Bila risiko tersebut sudah lama ada, umumnya tidak dapat dihindari karena
sudah merupakan bagian dari bisnis
Perlu dianalisa berapa manfaat yang hilang dengan menghindari risiko
tersebut
Menghindari satu risiko dapat mendatangkan risiko lain. ‘No action is an
action’
RISK RESPONSE AND MONITOR
Opsi Mitigasi
Adalah opsi yang paling banyak digunakan untuk mengelola beragam
jenis risiko
Opsi ini perlu diperhitungkan dengan matang cost benefit serta
kebutuhan sumber daya dan waktunya
Biaya dan upaya harus dibandingkan dengan hasil yang terbentuk
besaran penurunan tingkat kegawatan risiko
Risiko harus diprioritaskan terutama yang berada di zona merah.
RISK RESPONSE AND MONITOR
Opsi menerima
Risiko yang tidak dapat dimitigasi sama sekali karena memang sudah
merupakan bagian bisnis dari organisasi
Upaya untuk memitigasi akan sangat namun mahal atau sukar dilaksanakan
Opsi diterima HANYA dapat diambil bila benar-benar risiko ini dapat dipikirkan
untuk treatment dengan berbagai cara namun tidak memungkinkan
Harus ada alasan kuat sebelum memutuskan sebuah risiko harus diterima
Risiko seringkali signifikan namun tidak bisa di treat
RISK RESPONSE AND MONITOR
Anggaran
Besaran estimasi biaya yang dikeluarkan untuk melakukan perlakuan atas
suatu risiko
Stakeholder View
Pandangan stakeholder (pemangku kepentingan)
RISK RESPONSE AND MONITOR
Prioritize
Membuat peta untuk menentukan risiko dan proses bisnis yang memerlukan tindakan
segera
Track Progress
Secara otomatis melacak kemajuan langkah langkah kunci untuk suksesnya
Enterprise Risk Management
Risk Control Self Assessment
Risiko operasional
Risiko operasional adalah risiko kerugian akibat tidak memadainya atau gagalnya
proses internal, orang atau sistem, atau dari peristiwa eksternal.
Ini mencakup risiko reputasi dan waralaba yang terkait dengan praktik bisnis bank
atau perilaku pasar. Ini juga termasuk risiko kegagalan untuk mematuhi undang-
undang, peraturan, Tindakan Administratif Regulasi yang berlaku, atau kebijakan
bank.
Risiko operasional tidak termasuk risiko stratejik atau risiko kerugian yang timbul
semata-mata dari penilaian yang dibuat sehubungan dengan pengambilan risiko
kredit, pasar, suku bunga, likuiditas, atau asuransi.
RCSA
OPERATIONAL RISK
Risiko Operational dapat dibagi menjadi 3 kategori :
Risiko Operasional
Ada sejumlah insiden (disebut Loss Events) yang terjadi di semua kategori di atas.
Mereka dapat terjadi di unit mana pun di bank seperti cabang, departemen TI,
departemen Penjualan, departemen Kontrol – itu dapat terjadi di departemen mana
pun terlepas dari apakah itu pusat laba atau pusat kerugian.
Setiap insiden akan memiliki nilai kerugian moneter terkait yang terkait dengannya.
Frekuensi peristiwa kerugian dapat dikurangi dengan kontrol dan pengukuran
konstan dapat menghasilkan perhitungan frekuensi kerugian rata-rata dan nilai
kerugian rata-rata untuk periode waktu tertentu.
Proyeksi berdasarkan angka-angka ini menggunakan alat statistik dapat membantu
kita dalam menghitung beban modal seperti yang dijelaskan di bagian selanjutnya
dari dokumen ini.
Proses RCSA
RCSA adalah metode dinamis dan berulang untuk mengidentifikasi risiko operasional penting
dan Kontrol Kunci dan untuk menilai dan melaporkan efektivitasnya untuk setiap entitas RCSA.
Ketika kerusakan di lingkungan kontrol diidentifikasi, mereka dilacak secara proaktif hingga
diperbaiki.
Dalam contoh di atas, ketika kami ingin mengevaluasi RCSA motor XYZ, kami
harus mengambil RCSA dari semua divisinya – kami sekarang mencari dan
penjualan Mobil Bekas sebagai entitas yang menerbitkan Kontrol dan Risiko
tingkat Entitas dan setiap entitas RCSA harus memilih dan memberikan data yang
berkaitan dengan jumlah insiden, nilai kerugian selama periode pelaporan beserta
pengendaliannya untuk meminimalkan risiko dan efektivitasnya.
Dalam setiap entitas RCSA Anda dapat memiliki beberapa Unit Uji.
Entitas RCSA akan menyusun semua hasil unit pengujian di bawahnya untuk
pelaporan – pelaporan dilakukan di tingkat entitas RCSA.
Identifying Risk and Controls
Setiap unit sekarang akan mengevaluasi risiko dan kontrol di bawah tiga kategori
penting:
Risiko yang berasal dari entitas tingkat atas
Risiko Regulasi
Risiko tambahan yang tidak tercakup oleh risiko entitas tingkat atas
Assessment of Risks and Controls
Peringkat berikut harus digunakan untuk Kontrol Kunci setelah pengujian selesai:
Tidak Memuaskan: Masalah Bisnis (BI): Hasil menunjukkan bahwa Kontrol Kunci
tidak beroperasi secara efektif dan dapat berdampak negatif pada Entitas RCSA, atau
komponen signifikan dari Entitas RCSA.
Tidak Memuaskan: Major Business Issue (MBI): Hasil menunjukkan bahwa Kontrol
Kunci tidak beroperasi secara efektif dan dapat memiliki dampak negatif yang material
terhadap Entitas RCSA, atau komponen signifikan dari Entitas RCSA.
ASSESSMENT OF RISK AND CONTROL
Corrective Action Plan (CAP) diperlukan saat kontrol ditemukan tidak memadai untuk mengurangi
risiko.
CAP harus menentukan letak dimana kelemahan yang diidentifikasi selama pengujian tidak
memadai atau tidak efektif .
CAP diperlukan jika:
Jika CAP tidak diimplementasikan dalam jangka waktu yang ditetapkan, maka kontrol
sementara yang mengurangi risiko penting harus diidentifikasi atau ditempatkan sebagai
langkah sementara. Kontrol sementara harus diuji sampai key control yang merupakan subjek
dari tindakan korektif dapat diterapkan dan diuji.
ASSESSMENT OF RISK AND CONTROL
Rating juga dapat digunakan ketika CAP tidak dapat dicapai tanpa
secara signifikan mengalihkan sumber daya dari tujuan bisnis.
REVIEWING AND RATING
A Risk & Control Rating harus diberikan kepada entitas RCSA secara keseluruhan
dan merupakan tanggung jawab dari kepala unit entitas RCSA
Rating dari Risk & Control harus dgn : Acceptable, Acceptable with Concerns, or
Less-than-Acceptable.
Rating entitas RCSA Risk dan Control ditetapkan setelah mempertimbangkan hal-hal
sebagai berikut
– Rating risk & control untuk setiap risiko penting
– Issue – issue lain yang diketahui
– Management’s judgment (penilaian dari manajemen)
REVIEWING AND RATING
Rating akhir entitas RCSA harus didasarkan pada aturan-aturan seperti terburuk
penilaian risiko atau rata-rata tertimbang penilaian risiko. Proses harus memiliki
otorisasi manual untuk tingkat akhir dari entitas RCSA
Risiko di bawah tingkat resiko tertentu dapat diabaikan karena tidak berlaku
untuk entitas RCSA atau sangat tidak mungkin terjadi. Risiko yang
diidentifikasi sebagai risiko penting atau kunci harus diawasi dan ditinjau
melalui proses RCSA.
Risiko utama yang serupa harus memiliki thresholds for escalation dan jika
resiko tersebut terus-menerus di bawah TFE tertentu untuk jangka waktu yang
cukup, peninjauan harus dilakukan untuk melihat apakah masih risiko penting
atau tidak
LOSS EVENT DATA
Setiap entitas RCSA akan dapat menangkap peristiwa actual loss event atau kejadian selama periode
pelaporan.
Kita dapat memperoleh katagori data yang lebih jelas untuk setiap peristiwa kerugian
dengan :
• Loss Events – Format yang dibutuhkan untuk laporan dapat bervariasi dari
setiap organisasi
• RCSA results summary at entity level – jumlah risiko dan metode yang
digunakan untuk keseluruhan rating
• Key Risks rating dan rating terkait dengan sampel unit dibawahnya untuk
sample test (jika dibutuhkan)
• Management Summary – free text
REPORTING
Data internal loss diketahui oleh organisasi (bank) dan eksternal loss data dapat
digunakan serta tambahan data mana internal data tidak ditemukan memadai.
AMA
Sejumlah besar skenario potensi loss diidentifikasi dan diukur (dari kombinasi dari loss data dan pendapat ahli). "Bank
harus menggunakan analisis dari pendapat ahli dalam hubungannya dengan data eksternal untuk mengevaluasi eksposur
untuk kejadian resiko tinggi.
Pendekatan ini berdasarkan pada pengetahuan tentang bisnis berpengalaman Manajer dan para ahli manajemen risiko
untuk memperoleh penilaian beralasan kerugian besar yang masuk akal. Skenario analisis melibatkan mengidentifikasi
peristiwa-peristiwa masa depan yang masuk akal dan membuat asumsi-asumsi yang valid untuk menghasilkan jawaban
dari pertanyaan "Bagaimana jika" dan memeriksa kemungkinan berdampak pada bisnis.
CAPITAL COMPUTATION
Skenario analisis dapat membantu manajemen untuk membuat contigency plan untuk
Mengurangi dampak dari skenario yang terjadi
Menerapkan atau memperkuat kontrol untuk mengurangi kemungkinan skenario
yang terjadi
RDCA
Under Risk Drivers and Control Approach, Modal dialokasikan ke unit berdasarkan
risiko masing-masing unit.
CAPITAL COMPUTATION
Menghitung rata-rata kerugian yang terkait dengan setiap peristiwa kerugian. Bobot yang
diberikan pada setiap peristiwa dapat berbeda - beda
Berdasarkan frekuensi kejadian selama jangka waktu tertentu, menghitung probabilitas terjadinya
peristiwa.
Periksa rating RCSA untuk risiko yang terkait dengan peristiwa kerugian. Associate a premium
on capital charge, if the risk rating is “Acceptable with Concerns” or “Less than Acceptable”
Bank/ perusahaan dapat menentukan modal minimum untuk risiko yang tidak memiliki loss event
Menghitung potensi kerugian untuk suatu peristiwa berdasarkan pendapat para ahli dan
menghubungkan dengan skenario kejadian.
Jumlah actual loss charge dan based charge scenario akan menjadi biaya risiko operasional.