Bab
13
Enterprise
risk management
Definisi Enterprise Risk Management
Enterprise Risk Management (ERM) adalah “suatu
proses yang dipengaruhi oleh board of director, dan personel lain dari suatu
organisasi, diterapkan dalam setting strategi, dan mencakup organisasi secara
keseluruhan, didesain untuk mengidentifikasi kejadian potensial yang
mempengaruhi suatu organisasi, untuk memberikan jaminan yang cukup pantas
berkaitan dengan pencapaian tujuan organisasi” (COSO ERP, 2004).
Framework ERM
Dua buah framework Enterprise Risk
Management (ERM) adalah COSO dan RIMS. Keduanya mendeskripsikan pendekatan
untuk mengidentifikasi, menganalisa, bertanggung jawab, dan memonitor risiko
ataupun peluang di dalam maupun di luar lingkungan yang dihadapi perusahaan.
COSO memiliki delapan komponen dan empat kategori objek. Delapan komponen
tersebut antara lain:
1)
Lingkungan Internal
Komponen ini meliputi sikap
manajemen di semua tingkatan terhadap operasi secara umum dan konsep kontrol
secara khusus. Hal ini mencakup: etika, kompetensi, serta integritas dan
kepentingan terhadap kesejahteraan organisasi. Juga tercakup struktur
organisasi serta kebijakan dan filosofi manajemen. Bagaimanapun, inti dari
berbagai kegiatan adalah orangnya dan lingkungan dimana dia beraktivitas.
Faktor manusia yang dimaksudkan disini adalah atribut yang melekat di orang
tersebut, misalnya: integritas, nilai etika, dan kompetensi.
Lingkungan internal merupakan
dasar dari seluruh komponen ERM yang menyajikan disiplin dan struktur.
Lingkungan internal mempengaruhi bagaimana strategi dan tujuan organisasi
ditetapkan, aktivitas kegiatan dibangun, dan bagaimana risiko diidentifikasi,
dinilai, dan ditindaklanjuti. Lingkungan internal juga mempengaruhi bagaimana
desain dan fungsi dari aktivitas pengendalian, sistem informasi dan komunikasi,
dan aktivitas pemantauan. Lingkungan internal ini terbentuknya sangat
dipengaruhi oleh latar belakang sejarah dan kultur atau budaya orang dan
masyarakat sekitar yang membentuknya.
Lingkungan internal terdiri
dari berbagai sub komponen, yaitu:
a. Filosofi
manajemen risiko yaitu seperangkat keyakinan dan sikap yang mencirikan
bagaimana organisasi memandang risiko organisasi dalam segala hal;
b. Harapan risiko
yang diinginkan (risk appetite) yaitu besaran dan jumlah risiko yang diharapkan
dan diterima organisasi;
c. Pimpinan yaitu
struktur, pengalaman, independensi, dan peran pengawasan (oversight) yang
dimainkan.
d. Integritas dan nilai
etika yaitu preferensi, standar perilaku, dan gaya;
e. Komitmen
kompetensi yaitu pengetahuan dan keahlian yang dibutuhkan untuk melaksanakan
tugas dan pekerjaan;
f. Struktur
Organisasi yaitu kerangka fungsi manajemen yang berupa perencanaan,
pelaksanaan, pengendalian, dan aktivitas pemantauan;
g. Wewenang dan
tanggung jawab yaitu tingkatan dimana individu dan tim di dalam organisasi
memiliki wewenang dan didorong untuk menggunakan inisiatifnya untuk mengarahkan
berbagai hal penting dan mengatasi permasalahan sebatas wewenang yang
dimilikinya;
h. Standar SDM
yaitu praktik-praktik berkaitan dengan rekrutasi, orientasi, training,
evaluasi, konseling, promosi, kompensasi, dan pengambilan tindakan perbaikan
yang segera berkaitan dengan masalah SDM.
2)
Penetapan Tujuan
Tujuan ditetapkan pada tingkat
strategis yang menjadi dasar untuk penetapan tujuan operasional. Pelaporan, dan
ketaatan. Setiap organisasi menghadapi berbagai risiko baik yang bersumber dari
internal maupun eksternal. Penetapan tujuan merupakan langkah awal untuk
nantinya dapat mengidentifikasi kejadian, menilai risiko, dan menentukan respon
terhadap risiko.
3)
Identifikasi Kejadian
Manajemen mengidentifikasi kejadian
potensial yang dapat mempengaruhi organisasi dalam mencapai tujuannya dan juga
memastikan apakah kejadian yang mempengaruhi kegiatan organisasi dalam mencapai
tujuannya, juga membuka peluang bagi organisasi untuk menerapkan strategi yang
lebih baik dalam upaya untuk mencapai tujuan organisasi. Umumnya, kejadian yang
mengakibatkan dampak negatif merupakan risiko yang harus dinilai dan direspon
manajemen untuk bagaimana mengurangi dampak risiko yang terjadi dan mencegah
kemungkinan terjadinya. Sedangkan kejadian yang memberikan dampak positif
merupakan peluang yang perlu dihubungkan strategi dan proses pencapaian tujuan.
Manajemen perlu mempertimbangkan
faktor internal dan eksternal mengenai kemungkinan terjadinya risiko dan
peluang yang dapat dimanfaatkan organisasi. Dalam mengidentifikasi kejadian
(events), manajemen perlu mempertimbangkan berbagai faktor baik internal maupun
eksternal yang menimbulkan terjadinya risiko ataupun peluang yang mempengaruhi
organisasi dalam pencapaian tujuannya. Berikut beberapa contoh faktor eksternal
yang dipertimbangkan:
a. Ekonomi,
seperti perubahan harga, ketersediaan modal, perdagangan bebas, ekonomi global,
dan sebagainya;
b. Lingkungan
alam, seperti banjir, kebakaran, gempa bumi, cuaca atau iklim, dan sebagainya;
c. Politik,
seperti pemilihan umum, reformasi pemerintahan, peraturan perundang-undangan
yang baru, dan sebagainya;
d. Sosial, seperti
perubahan demografi, kultur budaya dan masyarakat, gaya hidup individu dan
masyarakat, dan sebagainya;
e. Teknologi,
seperti perubahan yang cepat peralatan komputer, proses penyimpanan data, dan
sebagainya.
Berikut beberapa contoh faktor internal yang
dipertimbangkan:
a. Infrastruktur,
seperti peningkatan alokasi modal untuk pemeliharaan dan dukungan kegiatan
operasional, dan sebagainya;
b. Personil,
seperti kecelakaan di tempat kerja, kegiatan yang mengarah pada kecurangan dan
pelanggaran, unjuk rasa buruh atau tenaga kerja, dan sebagainya;
c. Proses, seperti
modifikasi proses, kesalahan dalam pemrosesan, keputusan outsourcing, dan
sebagainya;
d. Teknologi, seperti
peningkatan sumber-sumber untuk menangani volume kerentanan yang terjadi,
pelanggaran dalam sistem pengamanan, sistem komputer mengalami kerusakan, dan
sebagainya.
4)
Penilaian Risiko
Penilaian risiko memungkinkan setiap
organisasi untuk mempertimbangkan luasnya kejadian yang dapat mempengaruhi
pencapaian tujuan organisasi. Untuk menilai kejadian yang dapat menimbulkan
risiko, manajemen menilainya dari dua perspektif, yaitu kemungkinan terjadinya
kejadian tersebut (likelihood) dan dampak yang ditimbulkan dari kejadian
tersebut (impact). Dampak dari kejadian harus diuji baik untuk masing-masing
kejadian yang mengandung risiko maupun kelompok risiko yang mempengaruhi
kegiatan untuk pencapaian tujuan organisasi. Risiko dinilai beik berdasarkan
keberadaan risiko yang melekat (inherent risk) maupun risiko yang tidak dapat
dikurangi lagi kemungkinan terjadinya atau dampak yang ditimbulkan (residual
risk).
5)
Respon terhadap Risiko (risk response)
Setelah risiko dinilai, manajemen
menentukan bagaimana risiko direspon, yaitu bagaimana tindakan-tindakan
dilakukan untuk mengelola risiko yang terjadi atau berpotensi akan terjadi.
Strategi untuk mengelola risiko terbagi menjadi empat, yaitu:
a. Strategi
menghindar (avoidance)
Keluar atau melepaskan diri dari
kegiatan yang berisiko. Upaya-upaya yang dilakukan melalui strategi ini, antara
lain: keluar atau tidak ikut dalam produk atau pelayanan tertentu, mengurangi
perluasan pada areal pasar yang baru, atau menjual/melepaskan (divestasi)
divisi yang mengandung risiko tinggi;
b. Strategi
mengurangi (reduction)
Tindakan yang diambil difokuskan
pada bagaimana mengurangi kemungkinan terjadi, dampak yang ditimbulkan, atau
keduanya atas risiko yang sudah diidentifikasi dan dinilai. Penerapan
pengendalian internal yang efektif merupakan satu tindakan untuk mengurangi
risiko yang terjadi;
c. Strategi
membagi/memindahkan (sharing/transfer)
Mengurangi kemungkinan atau dampak
risiko dengan membagi atau memindahkan risiko ke area lain yang risikonya lebih
rendah. Tindakan yang dilakukan meliputi: mengasuransikan produk, jasa, atau
kegiatan yang dilaksanakan, menggunakan jasa pihak lain untuk melakukan
kegiatan (outsourcing), dan sebagainya;
d. Strategi menerima (acceptance)
Tidak ada tindakan yang dilakukan
untuk menangani risiko, baik berkaitan dengan kemungkinan terjadi maupun dampak
yang ditimbulkan. Artinya, kejadian yang terjadi diterima apa adanya. Umumnya,
strategi ini diambil terhadap kegiatan-kegiatan yang berisiko rendah. Dalam
mempertimbangkan strategi mengelola risiko (risk response) apa yang dipilih,
harus dinilai bagaimana pengaruh kemungkinan risiko dan dampak yang
ditimbulkan, begitu pula pertimbangan biaya dan manfaat yang ditimbulkan.
Strategi mengelola risiko yang dipilih harus mampu menghasilkan risiko residual
dalam batas harapan risiko yang dapat ditolerir atau diterima. Strategi
mengelola risiko yang digunakan harus dapat membawa risiko dimaksud ke dalam
batas risiko yang diharapkan (risk appetite). Strategi menangani risiko tidak
boleh dilakukan secara individual atau parsial, melainkan harus menempatkan
risiko dalam portofolio, agregat, atau besarannya sebagai satu keseluruhan di
dalam organisasi.
RIMS (Risk and Insurance Management
Society) mendefinisikan ERM sebagai kultur, proses, dan perangkat untuk
mengidentifikasi peluang yang strategis dan mengurangi ketidakpastian. ERM
merupakan kumpulan pandangan mengenai risiko dari sudut pandang operasional
maupun strategis dan merupakan proses yang mendukung pengurangan ketidakpastian
serta mempromosikan eksploitasi peluang. Menurut RIMS Risk Maturity Model untuk
ERM terdapat tujuh buah kompetensi utama sebaik apa manajemen risiko enterprise
dapat dicapai, berikut adalah tujuh kompetensi berdasarkan RIMS Risk Maturity
Model:
a. ERM – berbasis
pendekatan (based approach) – derajat dukungan untuk ERM dari segi kultur
perusahaan.
b. ERM manajemen
proses (process management) – derajat bergolaknya proses ERM yang mengacu pada
proses bisnis dan menggunakan langkah proses ERM untuk mengidentifikasi,
memperkirakan, mengevaluasi, mengurangi, dan memonitor.
c. Manajemen
risiko keinginan (risk appetite mangement) – derajat pemahaman akibat risiko
perdagangan pada bisnis perusahaan.
d. Akar kedisiplinan (root
cause discipline) – derajat disiplin yang diaplikasikan untuk mengukur akar
permasalahan dan mendefinisikan event yang terkait pada proses bisnis sehingga
dapat mengurangi ketidakpastian, kumpulan informasi, dan mengukur keefektifan
kontrol.
e. Risiko yang
tidak di-cover (uncovering risk) – derajat kualitas dan cakupan penetrasi
dari aktivitas prediksi risiko dalam dokumentasi risiko dan peluang.
f. Manajemen
performansi – derajat dijalankannya visi dan strategi, bekerja dari keuntungan
finansial, costumer, proses bisnis, dan pembelajaran perkembangan sudut
pandang seperti balanced scorecard dari Kaplan atau pendekatan sejenis
lainnya.
g. Keterikatan dan
dukungan bisnis (business resiliency and sustainability) – tingkatan pada aspek
dukungan proses ERM yang terintegrasi pada perencanaan operasional.
