RISIKO
WEEK -10
TUJUAN PEMBELAJARAN
Mahasiswa mampu memahami framework dan struktur ERM, serta
cakupan dan definisi dari risiko.
2
OUTLINE
1. Framework dan Struktur
Enterprise Risk
Management (ERM)
2. Definisi dan cakupan Risiko
3
DIFINISI & CAKUPAN
RISIKO
4
RISIKO
Risiko ?
5
RISIKO
Risk = Effect of uncertainty
ISO 31000 : 2018 on objectives *
6
RISIKO
Kemungkinan
Berpotensi
Terjadinya DAMPAK SASARAN
PERISTIWA
Risiko
Risiko
Risiko
Sasaran
8
SUMBER RISIKO
EXTERNAL INTERNAL
Teknologi Operasional
Usang Operasi, Pemeliharaan, Pendanaan
Peristiwa Alam
Banjir, Gempa bumi, Badai
9
PELUANG VS RISIKO
10
PELUANG VS RISIKO
Risiko adalah “dampak ketidakpastian pada sasaran”
(Risk is effect of uncertainty on objectives – ISO Guide 73)
11
PEMAHAMAN RISIKO
12
PEMAHAMAN RISIKO
13
RISIKO ATAU BUKAN?
TUJUAN :
Menempuh perjalanan dengan kereta api ke Jakarta untuk menghadiri rapat pada
pukul 9.00 pagi
Terlambat dan melewatkan rapat Ini adalah pernyataan DAMPAK sebuah Risiko
Ketinggalan kereta api shg menjadi Risiko! Dpt dikendalikan dgn memastikan msh
terlambat hadir mengikuti rapat banyak waktu utk mencapai stasiun
Cuaca buruk membuat kereta api tidak jadi Risiko! Tdk dpt dikendalikan, namun dapat
berangkat dibuat rencana kontinjensi / mitigasinya.
16
SIAPA PEMILIK RISIKO?
Pemilik Risiko menurut ISO 31000 adalah :
• Orang atau entitas yang dengan akuntabilitas dan kewenangan untuk
mengelola RISIKO
(Risk Owner is person or entity with the accountability and autihority
to manage risk – ISO Guide 73)
17
SIAPA PEMILIK RISIKO?
Tingkat berbeda
memiliki jenis risiko
yang berbeda
19
SIAPA PEMILIK RISIKO?
20
SIAPA PEMILIK RISIKO?
Risiko dan Proses Bisnis
Dalam setiap proses bisnis terdapat potensi risiko yang dapat
mengakibatkan kesalahan atau kegagalan proses menghasilkan
keluaran yang direncanakan
Dalam semua proses bisni harus dipastikan sudah terdapat proses
pengedalian risiko sehingga dapat memberikan jaminan yang
wajar atas hasil keluaran proses tersebut sesuai dengan rencana
21
MANAJEMEN RISIKO
ISO 31000:2018
22
MANAJEMEN RISIKO
ISO 31000 : 2018 Coordinated activities to direct and control
an organization with regard to risk
Manajemen risiko
dapat menjadi bahan masukan / referensi
dalam pengambilan keputusan.
(AS/NZS 4360:2004)
25
PENERAPAN MANAJEMEN RISIKO
26
STANDAR ACUAN MANAJEMEN RISIKO
ISO 31000:2009 27
STANDAR ACUAN MANAJEMEN RISIKO
ISO 31000:2009 28
STANDAR ACUAN MANAJEMEN RISIKO
29
PERUBAHAN ISO 31000 : 2018
Prinsip (Principles) Manajemen Risiko adalah fondasi untuk
manajemen risiko, saat menerapkan dan menjalankan pengaturan
manajemen risiko
30
PERUBAHAN ISO 31000 : 2018
Kerangka kerja (Framework) manajemen risiko mengelola
keseluruhan proses dan integrase proses dalam organisasi
31
PERUBAHAN ISO 31000 : 2018
Proses (Process) pengelolaan risiko berfokus pada tiap risiko atau
kelompok risiko, serta identifikasi, analisi, evaluasi dan perlakuan
terhadap mereka.
32
PRINSIP MANAJEMEN RISIKO
Customized
Kerangka kerja dan proses
manajemen risiko harus disesuaikan
dengan konteks internal serta
eksternal termasuk juga terhadap
sasaran terkait
Inclusive
Keterlibatan para pemangku
kepentingan secara memadai dan
tepat waktu akan membuat mereka
mau berbagi pengetahuan,
pandangan dan persepsinya untuk
menjadi bahan pertimbangan.
34
PRINSIP MANAJEMEN RISIKO
Dynamic
Manajemen risiko harus
mengantisipasi, memindai dan
memahami serta menangani
perubahan dan peristiwa yang terjadi
secara memadai dan tepat waktu.
Best Available Information
Manajemen risiko secara tegas
menyatakan memahami
keterbatasan dan informasi yang
tersedia dan juga ketidakpastian yang
melekat pada informasi tersebut.
35
PRINSIP MANAJEMEN RISIKO
38
KERANGKA MANAJEMEN RISIKO
• Integration
Risiko harus dikelola pada
setiap bagian struktur
organisasi
39
KERANGKA MANAJEMEN RISIKO
Design
Penerapan kerangka kerja ini meliputi :
1. Memahami organisasi dan
konteksnya
2. Artikulasi penerapan manajemen
risiko
3. Penetapan peran dalam organisasi
kewenangan tanggung jawab dan
akuntabilitas
4. Alokasi sumber daya
5. Membangun metoda komunikasi
dan konsultasi
40
KERANGKA MANAJEMEN RISIKO
Implementation
Merincikan segala rencana dan
tahapan dalam rangka mencapai
tujuan
Evaluation
Memastikan efektifitas kerangka
kerja manajemen risiko
Improvement
Adaptasi dan perbaikan terhadap
kesenjangan
41
KERANGKA MANAJEMEN RISIKO
42
PROSES MANAJEMEN RISIKO
Proses manajemen risiko menurut ISO meliputi 5 kegiatan, yaitu:
1. Komunikasi dan konsultasi, yaitu komunikasi dan konsultasi di
antara para pemangku kepentingan, internal maupun eksternal,
yang harus dilakukan seekstensif mungkin sesuai dengan
kebutuhan dan pada setiap tahapan proses manajemen risiko.
2. Menentukan konteks, yaitu menentukan batasan atau parameter
internal dan eksternal yang akan dijadikan pertimbangan dalam
manajemen risiko, menentukan lingkup kerja, dan kriteria risiko
untuk proses-proses selanjutnya.
43
PROSES MANAJEMEN RISIKO
3. Asesmen risiko, yaitu mengidentifikasi risiko, menganalisis risiko,
serta mengevaluasi risiko. Mengidentifikasi risiko dilakukan
dengan mengidentifikasi sumber risiko, area dampak risiko,
peristiwa dan penyebabnya, serta potensi penyebabnya,
sehingga bisa didapatkan sebuah daftar risiko. Analisis risiko
adalah upaya memahami risiko yang sudah diidentifikasi secara
lebih mendalam yang hasilnya akan menjadi masukan bagi
evaluasi risiko. Sedangkan evaluasi risiko adalah menentukan
risiko-risiko mana yang memerlukan perlakuan dan bagaimana
prioritas implementasinya.
44
PROSES MANAJEMEN RISIKO
4. Perlakuan risiko, meliputi upaya untuk menyeleksi pilihan-pilihan
yang dapat mengurangi atau meniadakan dampak serta
kemungkinan terjadinya risiko, kemudian menerapkan pilihan
tersebut.
5. Monitoring dan review, bisa berupa pemeriksaan biasa atau
pengamatan terhadap apa yang sudah ada, baik secara berkala
atau secara khusus. Kedua bentuk ini harus dilakukan secara
terencana.
45
KOMUNIKASI & KONSULTASI
46
KOMUNIKASI & KONSULTASI
3 Line of Defence dan Manajemen Risiko
47
FRAMEWORK &
STRUKTUR ENTERPRISE
RISK MANAGEMENT (ERM)
COSO
48
MODEL/KERANGKA MANAJEMEN RISIKO
ORGANISASI
Ada beberapa kerangka (framework) yang dikembangkan oleh
beberapa pihak seperti oleh:
1. COSO (2004),
2. CAS (2003), atau oleh Miccolis dan
3. Shah (2000), dan
4. ISO (2018).
49
MODEL/KERANGKA MANAJEMEN RISIKO
ORGANISASI
• Kerangka yang dikembangkan oleh COSO telah menjadi leader
sejak tahun 2004 hingga saat ini. Hal ini dapat dimaklumi karena
kerangka dari COSO di-endorse oleh profesi-profesi terkait dengan
akuntansi dan keuangan serta pasar modal yang berpengaruh
secara global.
• Kerangka ISO juga tampaknya akan segera menjadi alternatif
kerangka yang dapat dipakai dalam manajemen risiko, mengingat
ISO memiliki reputasi dan pengaruh yang besar dalam harmonisasi
standar di seluruh dunia. Berikut ini uraian ringkas kedua kerangka
tersebut.
50
MODEL COSO
Komponen ERM COSO digambarkan sebagai sebuah kubus yang
memepunyai tiga permukaan yang tampak.
1. Permukaan dari sisi kanan adalah komponen entitas perusahaan
yaitu : level perusahaan, divisi, unit bisnis, dan anak perusahaan.
2. Permukaan dari sisi atas adalah komponen tujuan manajemen
risiko perusahaan yaitu : strategis, operasi, pelaporan, dan
kepatuhan.
3. Permukaan dari sisi depan adalah komponenn proses
manajemen risiko perusahaan yaitu : kondisi lingkungan internal,
penetapan tujuan, identifikasi kejadian, penilaian risiko,
penanggapan risiko, aktivitas pengendalian, informasi dan
komunikasi, serta pemantauan. 51
MODEL COSO
Penerapan komponen dalam berbagai tujuan tersebut dapat
dilakukan pada entity-level, divisional, unit bisnis, dan/atau
subsidiary. Hubungan antara ketiganya digambarkan oleh COSO
dalam kubus tiga dimensi sebagai berikut :
52
Gambar 1. COSO - ERM
MODEL COSO
• ERM versi COSO terdiri dari 8 komponen yang saling terkait.
Kedelapan komponen ini diturunkan dari bagaimana manajemen
menjalankan perusahaan dan diintegrasikan dengan proses
manajemen.
• Kedelapan komponen ini diperlukan untuk mencapai tujuan-tujuan
perusahaan, baik tujuan strategis, operasional, pelaporan
keuangan, maupun kepatuhan terhadap ketentuan perundang-
undangan
53
MODEL COSO
Komponen-komponen tersebut adalah :
1. Lingkungan Internal (Internal Environment)
• Merupakan komponen yang berkaitan dengan lingkungan dimana perusahaan
berada dan beroprasi. Cakupanya adalah risk-manajement philosophy (kultur
manajemen tentang risiko), integrity (integritas), risk-perspective (perspektif
terhadap risiko), risk-appetite (selera atau penerimaan terhadap risiko),
ethical values (nilai moral), struktur organisasi dan pendelegasian wewenang.
• Lingkungan internal sangat menentukan warna dari sebuah organisasi dan
memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam
organisasi tersebut. Di dalam lingkungan internal ini termasuk, filosofi
manajemen risiko dan risk appetite, nilai-nilai etika dan integritas, dan
lingkungan di mana kesemuanya tersebut berjalan.
54
MODEL COSO
2. Penentuan Tujuan (Objective Setting)
Tujuan perusahaan harus ada terlebih dahulu sebelum manajemen
dapat mengidentifikasi kejadian-kejadian yang berpotensi
mempengaruhi pencapaian tujuan tersebut. ERM memastikan
bahwa manajemen memiliki sebuah proses untuk menetapkan
tujuan dan bahwa tujuan yang dipilih atau ditetapkan tersebut
terkait dan mendukung misi perusahaan dan konsisten dengan risk
appetite-nya.
55
MODEL COSO
3. Identifikasi Kejadian (Event Identification)
• Kejadian internal dan eksternal yang mempengaruhi pencapaian
tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko
dan peluang. Peluang dikembalikan (channeled back) kepada
proses penetapan strategi atau tujuan manajemen.
• Salah satu model yakni exposure analysis. Metode ini digunakan
untuk melakukan identifikasi risiko dari sumber daya organisasi
yang meliputi financial assets seperti kas dan simpanan di bank,
physical assets seperti tanah dna bangunan, human assets yang
mencakup pengetahuan dan keahlian, serta intangible assets
seperti reputasi dan penguasaan informasi.
56
MODEL COSO
4. Penilaian Risiko (Risk Assessment)
• Komponen ini menilai sejauh mana dampak dari events (kejadian
atau keadaan) dapat mengangu pencapaian tujuan yang telah
ditetapkan. Besarnya dampak dapat diketahui dari inherent dan
residual risk, dan dapat dianalisis dalam dua perspektif yakni:
likelihood (kecenderungan/peluang) ada impact/consequence
(peluang dari besaran jika risiko terkait). Dengan demikian
besarnya risiko atas setiap kegiatan bisnis merupakan hasil kali
antara likelihood dan consequence.
57
MODEL COSO
• Hasil dari penilaian ini menentukan posisi dan tingkat risiko yang
diukur. Posisi dari risiko kemudian di petakan sehingga dapat
terlihat prioritas dari risiko-risiko yang ada dan dapat digunakan
sebagai dasar dari penentuan bagaimana risiko tersebut dikelola.
58
MODEL COSO
• Penilaian risiko sendiri dapat dilakuakan dengan menggunakan dua
teknik yakni: qualitative techniques dan quantitative techniques.
1. Qualitative techniques dapat menggunakan beberapa tools
seperti self –assessment (low, medium, high), questioaries, dan
internal audit reviews.
2. Sementara untuk metode quantitative techniques data
berbentuk angka yang diperoleh dari tools seperti probability
based, non-probabilitistic models (optimalkan hanya asumsi
consequence) dan benchmaring.
59
MODEL COSO
5. Respons Risiko (Risk Response)
Manajemen memilih respons risiko –menghindar (avoiding),
menerima (accepting), mengurangi (reducing), atau mengalihkan
(sharing risk) dan mengembangkan satu set kegiatan agar risiko
tersebut sesuai dengan toleransi (risk tolerance) dan risk appetite.
60
MODEL COSO
7. Informasi dan komunikasi (Information and Communication)
Informasi yang relevan diidentifikasi, ditangkap, dan
dikomunikasikan dalam bentuk dan waktu yang memungkinkan
setiap orang menjalankan tanggung jawabnya.
8. Pengawasan (Monitoring)
Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila
perlu. Pengawasan dilakukan secara melekat pada kegiatan
manajemen yang berjalan terus-menerus, melalui eveluasi secara
khusus, atau dengan keduanya.
61
MODEL COSO
• COSO ERM – Integrated Framework juga mendeskripsikan peran
dan tanggung jawab dari unit-unit kerja perusahaan dalam
penerapan manajemen risiko.
• Satu prinsip dasar yang ditanamkan COSO ERM adalah bahwa
“semua bagian di dalam perusahaan memiliki tanggung jawab
terhadap ERM”, yang artinya implementasi manajemen risiko
harus mencakup entity-level, division, business unit, hingga
subsidiary, dan mencakup seluruh seluruh sumber daya manusia di
dalamnya.
• Walau begitu, terdapat pembagian peran dan tanggung jawab
dalam penerapan ERM.
62
MODEL COSO
Berikut peran dan tanggung jawab yang dijelaskan COSO ERM:
1. Board of Directors (BoD) memiliki tanggung jawab penting dalam
melakukan pemantauan terhadap penerapan manajemen risiko,
dengan turut memperhitungkan risk appetite dari entitas;
2. Chief Executive Officer (CEO) memiliki tanggung jawab untuk
memastikan berjalannya ERM yang efektif pada keseluruhan
perusahaan;
3. Manajer memiliki tanggung jawab dalam mendukung penerapan
prinsip ERM perusahaan, memastikan pemenuhan ERM dengan
risk appetite, dan mengelola risiko di ranah kewenangannya agar
konsisten dengan risk tolerance yang dimilikinya;
63
MODEL COSO
4. Risk officer, financial officer, dan internal audit memiliki peran
kunci dalam mendukung efektivitas penerapan manajemen risiko
perusahaan;
5. Petugas operasional (atau biasa disebut risk coordinator)
bertanggung jawab dalam menerapkan manajemen risiko
perusahaan sejalan dengan prosedur dan kebijakan manajemen
risiko perusahaan;
6. Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan
pihak yang berperan dalam value chainperusahaan) tidak
memiliki tanggung jawab dalam memastikan efektivitas ERM dari
entitas, tetapi pihakpihak tersebut berperan penting dalam
menyediakan informasi yang dapat mendukung efektivitas
manajemen risiko. 64
THANK YOU