Definisi Enterprise
Risk Management
Enterprise Risk Management (ERM) adalah “suatu proses
yang dipengaruhi oleh board of director, dan personel lain dari suatu
organisasi, diterapkan dalam setting strategi, dan mencakup organisasi secara
keseluruhan, didesain untuk mengidentifikasi kejadian potensial yang
mempengaruhi suatu organisasi, untuk memberikan jaminan yang cukup pantas
berkaitan dengan pencapaian tujuan organisasi” (COSO ERP, 2004).
Framework ERM
Dua buah framework Enterprise Risk
Management (ERM) adalah COSO dan RIMS. Keduanya mendeskripsikan pendekatan
untuk mengidentifikasi, menganalisa, bertanggung jawab, dan memonitor risiko
ataupun peluang di dalam maupun di luar lingkungan yang dihadapi perusahaan.
COSO memiliki delapan komponen dan empat kategori objek. Delapan
komponen tersebut antara lain:
1)
Lingkungan
Internal
Komponen
ini meliputi sikap manajemen di semua tingkatan terhadap operasi secara umum
dan konsep kontrol secara khusus. Hal ini mencakup: etika, kompetensi, serta
integritas dan kepentingan terhadap kesejahteraan organisasi. Juga tercakup
struktur organisasi serta kebijakan dan filosofi manajemen. Bagaimanapun, inti dari berbagai kegiatan adalah
orangnya dan lingkungan dimana dia beraktivitas. Faktor manusia yang
dimaksudkan disini adalah atribut yang melekat di orang tersebut, misalnya:
integritas, nilai etika, dan kompetensi.
Lingkungan internal merupakan dasar dari seluruh komponen ERM
yang menyajikan disiplin dan struktur. Lingkungan internal mempengaruhi
bagaimana strategi dan tujuan organisasi ditetapkan, aktivitas kegiatan
dibangun, dan bagaimana risiko diidentifikasi, dinilai, dan ditindaklanjuti.
Lingkungan internal juga mempengaruhi bagaimana desain dan fungsi dari
aktivitas pengendalian, sistem informasi dan komunikasi, dan aktivitas
pemantauan. Lingkungan internal ini terbentuknya sangat dipengaruhi oleh latar
belakang sejarah dan kultur atau budaya orang dan masyarakat sekitar yang
membentuknya.
Lingkungan internal terdiri dari berbagai sub komponen, yaitu:
a.
Filosofi
manajemen risiko yaitu seperangkat keyakinan dan sikap yang mencirikan
bagaimana organisasi memandang risiko organisasi dalam segala hal;
b.
Harapan risiko
yang diinginkan (risk appetite) yaitu besaran dan jumlah risiko yang diharapkan
dan diterima organisasi;
c.
Pimpinan yaitu
struktur, pengalaman, independensi, dan peran pengawasan (oversight) yang
dimainkan.
d.
Integritas dan
nilai etika yaitu preferensi, standar perilaku, dan gaya;
e.
Komitmen
kompetensi yaitu pengetahuan dan keahlian yang dibutuhkan untuk melaksanakan
tugas dan pekerjaan;
f.
Struktur
Organisasi yaitu kerangka fungsi manajemen yang berupa perencanaan,
pelaksanaan, pengendalian, dan aktivitas pemantauan;
g.
Wewenang dan
tanggung jawab yaitu tingkatan dimana individu dan tim di dalam organisasi
memiliki wewenang dan didorong untuk menggunakan inisiatifnya untuk mengarahkan
berbagai hal penting dan mengatasi permasalahan sebatas wewenang yang
dimilikinya;
h.
Standar SDM
yaitu praktik-praktik berkaitan dengan rekrutasi, orientasi, training,
evaluasi, konseling, promosi, kompensasi, dan pengambilan tindakan perbaikan
yang segera berkaitan dengan masalah SDM.
2)
Penetapan Tujuan
Tujuan
ditetapkan pada tingkat strategis yang menjadi dasar untuk penetapan tujuan
operasional. Pelaporan, dan ketaatan. Setiap organisasi menghadapi berbagai
risiko baik yang bersumber dari internal maupun eksternal. Penetapan tujuan
merupakan langkah awal untuk nantinya dapat mengidentifikasi kejadian, menilai
risiko, dan menentukan respon terhadap risiko.
3)
Identifikasi
Kejadian
Manajemen
mengidentifikasi kejadian potensial yang dapat mempengaruhi organisasi dalam
mencapai tujuannya dan juga memastikan apakah kejadian yang mempengaruhi
kegiatan organisasi dalam mencapai tujuannya, juga membuka peluang bagi
organisasi untuk menerapkan strategi yang lebih baik dalam upaya untuk mencapai
tujuan organisasi. Umumnya, kejadian yang mengakibatkan dampak negatif
merupakan risiko yang harus dinilai dan direspon manajemen untuk bagaimana
mengurangi dampak risiko yang terjadi dan mencegah kemungkinan terjadinya.
Sedangkan kejadian yang memberikan dampak positif merupakan peluang yang perlu
dihubungkan strategi dan proses pencapaian tujuan.
Manajemen
perlu mempertimbangkan faktor internal dan eksternal mengenai kemungkinan
terjadinya risiko dan peluang yang dapat dimanfaatkan organisasi. Dalam
mengidentifikasi kejadian (events), manajemen perlu mempertimbangkan berbagai
faktor baik internal maupun eksternal yang menimbulkan terjadinya risiko
ataupun peluang yang mempengaruhi organisasi dalam pencapaian tujuannya.
Berikut beberapa contoh faktor eksternal yang dipertimbangkan:
a.
Ekonomi, seperti
perubahan harga, ketersediaan modal, perdagangan bebas, ekonomi global, dan
sebagainya;
b.
Lingkungan alam,
seperti banjir, kebakaran, gempa bumi, cuaca atau iklim, dan sebagainya;
c.
Politik, seperti
pemilihan umum, reformasi pemerintahan, peraturan perundang-undangan yang baru,
dan sebagainya;
d.
Sosial, seperti
perubahan demografi, kultur budaya dan masyarakat, gaya hidup individu dan
masyarakat, dan sebagainya;
e.
Teknologi,
seperti perubahan yang cepat peralatan komputer, proses penyimpanan data, dan
sebagainya.
Berikut beberapa contoh faktor internal yang
dipertimbangkan:
a.
Infrastruktur,
seperti peningkatan alokasi modal untuk pemeliharaan dan dukungan kegiatan
operasional, dan sebagainya;
b.
Personil,
seperti kecelakaan di tempat kerja, kegiatan yang mengarah pada kecurangan dan
pelanggaran, unjuk rasa buruh atau tenaga kerja, dan sebagainya;
c.
Proses, seperti
modifikasi proses, kesalahan dalam pemrosesan, keputusan outsourcing, dan
sebagainya;
d.
Teknologi,
seperti peningkatan sumber-sumber untuk menangani volume kerentanan yang
terjadi, pelanggaran dalam sistem pengamanan, sistem komputer mengalami
kerusakan, dan sebagainya.
4)
Penilaian Risiko
Penilaian
risiko memungkinkan setiap organisasi untuk mempertimbangkan luasnya kejadian
yang dapat mempengaruhi pencapaian tujuan organisasi. Untuk menilai kejadian
yang dapat menimbulkan risiko, manajemen menilainya dari dua perspektif, yaitu
kemungkinan terjadinya kejadian tersebut (likelihood) dan dampak yang
ditimbulkan dari kejadian tersebut (impact). Dampak dari kejadian harus diuji
baik untuk masing-masing kejadian yang mengandung risiko maupun kelompok risiko
yang mempengaruhi kegiatan untuk pencapaian tujuan organisasi. Risiko dinilai
beik berdasarkan keberadaan risiko yang melekat (inherent risk) maupun risiko
yang tidak dapat dikurangi lagi kemungkinan terjadinya atau dampak yang
ditimbulkan (residual risk).
5)
Respon terhadap
Risiko (risk response)
Setelah
risiko dinilai, manajemen menentukan bagaimana risiko direspon, yaitu bagaimana
tindakan-tindakan dilakukan untuk mengelola risiko yang terjadi atau berpotensi
akan terjadi. Strategi untuk mengelola risiko terbagi menjadi empat, yaitu:
a.
Strategi
menghindar (avoidance)
Keluar atau
melepaskan diri dari kegiatan yang berisiko. Upaya-upaya yang dilakukan melalui
strategi ini, antara lain: keluar atau tidak ikut dalam produk atau pelayanan
tertentu, mengurangi perluasan pada areal pasar yang baru, atau
menjual/melepaskan (divestasi) divisi yang mengandung risiko tinggi;
b.
Strategi
mengurangi (reduction)
Tindakan
yang diambil difokuskan pada bagaimana mengurangi kemungkinan terjadi, dampak
yang ditimbulkan, atau keduanya atas risiko yang sudah diidentifikasi dan
dinilai. Penerapan pengendalian internal yang efektif merupakan satu tindakan
untuk mengurangi risiko yang terjadi;
c.
Strategi
membagi/memindahkan (sharing/transfer)
Mengurangi
kemungkinan atau dampak risiko dengan membagi atau memindahkan risiko ke area
lain yang risikonya lebih rendah. Tindakan yang dilakukan meliputi:
mengasuransikan produk, jasa, atau kegiatan yang dilaksanakan, menggunakan jasa
pihak lain untuk melakukan kegiatan (outsourcing), dan sebagainya;
d.
Strategi
menerima (acceptance)
Tidak ada
tindakan yang dilakukan untuk menangani risiko, baik berkaitan dengan
kemungkinan terjadi maupun dampak yang ditimbulkan. Artinya, kejadian yang terjadi
diterima apa adanya. Umumnya, strategi ini diambil terhadap kegiatan-kegiatan
yang berisiko rendah. Dalam mempertimbangkan strategi mengelola risiko (risk
response) apa yang dipilih, harus dinilai bagaimana pengaruh kemungkinan risiko
dan dampak yang ditimbulkan, begitu pula pertimbangan biaya dan manfaat yang
ditimbulkan. Strategi mengelola risiko yang dipilih harus mampu menghasilkan
risiko residual dalam batas harapan risiko yang dapat ditolerir atau diterima.
Strategi mengelola risiko yang digunakan harus dapat membawa risiko dimaksud ke
dalam batas risiko yang diharapkan (risk appetite). Strategi menangani risiko
tidak boleh dilakukan secara individual atau parsial, melainkan harus
menempatkan risiko dalam portofolio, agregat, atau besarannya sebagai satu
keseluruhan di dalam organisasi.
6)
Aktivitas
Pengendalian
Merupakan
kebijakan dan prosedur yang membantu memastikan bahwa risk response yang
dipilih dilaksanakan dengan memadai. Meskipun aktivitas pengendalian umumnya
dikenal sebagai strategi untuk mengurangi risiko, namun aktivitas pengendalian
tertentu juga dipakai pada strategi risk response lain. Aktivitas pengendalian
dipasangkan di seluruh organisasi, yaitu disetiap tingkatan maupun fungsi dalam
organisasi. Aktivitas pengendalian dikelompokkan dalam berbagai ccara dan
mencakup areal aktivitas yang mungkin bersifat preventif atau detektif, manual
atau terkomputerisasi, serta di tingkatan proses atau manajemen.
7)
Informasi dan
Komunikasi
Informasi
diidentifikasi, diperoleh, dan dikomunikasikan dalam bentuk dan kerangka waktu
yang tepat dan sesuai sehingga memungkinkan setiap orang untuk dapat
melaksanakan tugas dan tanggung jawab yang dibebankan kepadanya. Informasi
harus cukup atau sufisien dan konsisten dengan kebutuhan organisasi untuk
mengidentifikasi, menilai, dan merespon atau mengelola risiko, yaitu dengan
tetap dalam batas toleransi risiko yang ditetapkan. Sistem informasi yang
menggunakan data dan informasi yang umumnya diperoleh dari sumber-sumber
eksternal, menyajikan informasi untuk mengelola risiko dan membuat keputusan
berkenaan dengan tujuan yang ingin dicapai organisasi. Di samping itu,
informasi harus berkualitas dalam rangka untuk mendukung pengambilan keputusan.
Kualitas informassi yang dimaksud berhubungan dengan beberapa hal berikut ini:
a.
Isi harus sesuai
dan kerincian informasi harus pada tingkat yang benar;
b.
Informasi harus
tepat waktu dan tersedia pada saat dibutuhkan;
c.
Informasi harus
selalu baru atau diperbarui yang mencerminkan informasi keuangan dan
operasional;
d.
Informasi harus
akurat dan dapat diandalkan;
e.
Informasi dapat
diakses oleh mereka yang membutuhkan.
Komunikasi
yang efektif juga timbul dan menyebar ke seluruh organisasi. Setiap orang
menerima pesan yang jelas dari pimpinan bahwa tanggung jawab mengelola risiko
harus ditangani dengan serius atau sungguh-sungguh. Harus mendesain komunikasi
yang efektif dengan pihak luar, seperti: pelanggan, pemasok, dan pemangku
kepentingan lain. Komunikasi dapat mengambil berbagai bentuk, seperti: manual
kebijakan, memoranda, email, buletin organisasi dan pesan melalui video. Dalam
hal pesan disampaikan secara lisan, maka baik nada suara maupun gerak tubuh
sangat mempengaruhi bagaimana pesan tersebut diinterpretasikan.
8)
Monitoring
Penerapan
manajemen risiko (ERM) dimonitor atau dipantau terus dalam rangka untuk
memastikan keberadaannya dan apakah komponen-komponennya berfungsi dengan
memadai setiap saat. Monitoring dapat dilakukan melalui berbagai bentuk, yaitu:
monitoring terus-menerus (on going), penilaian terpisah (separate evaluation),
atau kombinasi diantara keduanya. Monitoring terus-menerus terjadi dalam
pelaksanaan aktivitas kegiatan yang dilakukan. Sementara itu, ruang lingkup dan
frekuensi penilaian terpisah tergantung pada hasil penilaian (assessment)
risiko dan efektivitas dari prosedur monitoring terus-menerus yang dilakukan.
Kekurangan-kekurangan
dari penerapan strategi manajemen risiko dilaporkan ke pihak yang lebih tinggi,
sedangkan permasalahan yang sangat serius dan mendesak dilaporkan kepada
pimpinan tertinggi di organisasi untuk ditetapkan keputusan strategisnya. Dari
kedelapan komponen yang telah diuraikan ini, intinya adalah bahwa komponen
manajemen risiko (ERM) ini menyajikan suatu garis besar untuk menjawab
pertanyaan-pertanyaan umum berikut berkaitan dengan pemikiran untuk penerapan
konsep manajemen risiko.
Empat kategori objek antara lain:
a.
Strategi-tujuan akhir, mendukung misi
organisasi;
b.
Operasi-menggunakan sumber daya secara
efektif dan efisien;
c.
Laporan finansial;
d.
Pemenuhan (compliance)-sesuai dengan
hukum dan regulasi yang berlaku.
RIMS (Risk and Insurance Management
Society) mendefinisikan ERM sebagai kultur, proses, dan perangkat untuk
mengidentifikasi peluang yang strategis dan mengurangi ketidakpastian. ERM
merupakan kumpulan pandangan mengenai risiko dari sudut pandang operasional
maupun strategis dan merupakan proses yang mendukung pengurangan ketidakpastian
serta mempromosikan eksploitasi peluang. Menurut RIMS Risk Maturity Model untuk
ERM terdapat tujuh buah kompetensi utama sebaik apa manajemen risiko enterprise
dapat dicapai, berikut adalah tujuh kompetensi berdasarkan RIMS Risk Maturity
Model:
a.
ERM – berbasis pendekatan (based
approach) – derajat dukungan untuk ERM dari segi kultur perusahaan.
b.
ERM manajemen proses (process
management) – derajat bergolaknya proses ERM yang mengacu pada proses bisnis
dan menggunakan langkah proses ERM untuk mengidentifikasi, memperkirakan,
mengevaluasi, mengurangi, dan memonitor.
c.
Manajemen risiko keinginan (risk
appetite mangement) – derajat pemahaman akibat risiko perdagangan pada bisnis
perusahaan.
d.
Akar kedisiplinan (root cause discipline) – derajat disiplin yang diaplikasikan untuk
mengukur akar permasalahan dan mendefinisikan event yang terkait pada proses
bisnis sehingga dapat mengurangi ketidakpastian, kumpulan informasi, dan
mengukur keefektifan kontrol.
e.
Risiko yang tidak di-cover (uncovering risk) – derajat kualitas dan
cakupan penetrasi dari aktivitas prediksi risiko dalam dokumentasi risiko dan
peluang.
f.
Manajemen performansi – derajat
dijalankannya visi dan strategi, bekerja dari keuntungan finansial, costumer, proses bisnis, dan
pembelajaran perkembangan sudut pandang seperti balanced scorecard dari Kaplan atau pendekatan sejenis lainnya.
g.
Keterikatan dan dukungan bisnis
(business resiliency and sustainability) – tingkatan pada aspek dukungan proses
ERM yang terintegrasi pada perencanaan operasional.
Empat kategori objek antara lain:
· Strategi
– tujuan akhir, mendukung misi organisasi;
· Operasi
– menggunakan sumber daya secara efekstif dan efisien;
· Laporan
finansial - keandalan pelaporan operasional dan keuangan;
· Pemenuhan
(Complience) – sesuai dengan hukum
dan regulasi yang berlaku.