untuk direktur dan komisaris - lkdi. · pdf filecontoh kasus 1 3 5 6 45 53 ... kebijakan,...

Untuk Direktur dan Komisaris

Dasar-dasar

ENTERPRISERISK MANAGEMENT


Disusun oleh:

Antonius Alijoyowith Deddy Jacobus

Disusun oleh:


Untuk Direktur dan Komisaris

Dasar-dasar


Disusun oleh:


1

DAFTAR ISI

DAFTAR ISI

SAMBUTAN KETUA LKDI

PROFIL LKDI

Bab I Pendahuluan

Mengapa ERM relevan dan penting bagi Direktur dan Komisaris

Kebutuhan akan kompetensi di bidang ERM bagi Direktur dan Komisaris

Prasyarat ERM

Pertanyaan kajian

Bab II Konsep, Prinsip dan Framework

Definisi, konsep dan komponen ERM

Berbagai framework ERM: AS/NZS and COSO

Pertanyaan kajian

Bab III ERM dalam Konteks

Lingkungan resiko

Manajemen resiko dan akuntabilitas Pengurus Perusahaan Risk appetite

dan risk tolerance

Peran komite-komite Dewan Komisaris dan fungsi audit perusahaan

Pertanyaan kajian

Bab IV Menerapkan ERM

Budaya resiko

Kapasitas internal

Penyelarasan dengan visi, misi dan strategi

Pertanyaan kajian

Bab V Ukuran-ukuran efektivitas

Peranti dan pendekatan dalam pengukuran

Daftar periksa sederhana

CONTOH KASUS

1

3

5

6

16

45

53

ENTERPRISE RISK MANAGEMENTDasar-dasar Untuk Direktur dan Komisaris

67

75

SAMBUTAN KETUA LKDI

3ENTERPRISE RISK MANAGEMENTDasar-dasar Untuk Direktur dan Komisaris

Lembaga Komisaris dan Direktur Indonesia (LKDI) dibentuk pada tahun 2001

dengan tujuan untuk menjadi wadah bagi para komisaris dan direktur dalam

meningkatkan kompetensi, pengetahuan dan integritas dalam menerapkan prinsip-

prinsip good corporate governance (GCG). Untuk itu sejak awal tahun 2005, LKDI

secara intensif telah menyelenggarakan program "Training and Directorship

Certification for Commissioners and Directors". Disamping itu LKDI juga

menyelenggarakan program pendidikan profesional berkelanjutan bagi para

komisaris dan direktur yang muatannya menekankan pada pembelajaran masalah-

masalah yang fundamental dan mutakhir berkaitan dengan praktek GCG terkini

baik di tingkat nasional maupun internasional.

Dalam upaya meningkatkan kualitas program "Training and Directorship

Certification for Commissioners and Directors", LKDI menerbitkan modul yang

didukung pelaksanaannya oleh Center for International Private Enterprises (CIPE)

yang berkedudukan di Amerika Serikat. Dukungan CIPE ini merupakan bagian dari

suatu kerjasama dengan LKDI dalam melaksanakan serangkaian program yang

bertajuk "Strengthening Corporate Governance in Indonesia".

Modul tersebut merupakan acuan bagi para fasilitator dan peserta program

pelatihan LKDI sehingga menjadi suatu referensi yang telah terstandarisasi dengan

perbandingan pada kurikulum program kedirekturan yang juga diselenggarakan

oleh UK Institute of Directors, Australian Institute of Company Directors, dan

Singapore Institute of Directors.

Pada tahap pertama ini, LKDI menerbitkan lima modul yaitu: "GCG Concepts,

Principles and Practices", "Boards' Duties, Liabilities and Responsibilities",

"Enterprise Risk Management", "Corporate Social Responsibility", dan "High Quality

Corporate Reporting". Penyusunan modul-modul tersebut dilakukan oleh para

akademisi senior yang tergabung dalam Academic Network Indonesia on Governance

(ANIG) yang dibentuk dan berada dibawah naungan Komite Nasional Kebijakan

Governance (KNKG).

Akhirnya LKDI mengucapkan terimakasih kepada CIPE, KNKG dan ANIG atas

dukungannya dalam penerbitan modul pelatihan ini, dengan harapan kerjasama

yang baik ini akan dilanjutkan dalam rangka melaksanakan program-program

penguatan GCG di Indonesia.

Salam hormat,

Hoesein Wiriadinata

Ketua

PROFIL LKDI


Komisaris dan Direktur adalah pihak yang berkepentingan dan secara langsung

mempunyai peranan strategis dalam keberhasilan implementasi Good Corporate

Governanace. Krisis tahun 1997 memberikan hikmah pelajaran yang sangat

berharga karena telah memberikan bukti yang tidak terbantahkan mengenai

rapuhnya struktur ekonomi dan berbagai praktek korporasi yang menyimpang.

Namun, demikian banyak perusahaan yang telah berinisiatif memperbaiki diri

menuju tata kelola yang lebih baik.

Adalah tanggung jawab sektor korporasi untuk memperbaiki praktek corporate

governance, Komisaris dan Direktur adalah pihak yang berkepentingan yang harus

memiliki kompeten dan berdaya guna untuk menjalankan peranan strategis

tersebut. Berdasarkan pemahaman tersebut, Komite Nasional Kebijakan

Governance (KNKG) mendirikan Lembaga Komisaris dan Direktur Indonesia (LKDI)

di tahun 2000. Dan secara sah dihadapan notaris Imas Fatimah, SH No. Pada tanggal

6 Juli 2001.

LKDI mempunyai tujuan untuk meningkatkan kualitas anggota sehingga

menjadikan barisan terdepan dalam penerapan praktik corporate governance lewat

pengembangan jaringan (network) dan pengembangan program pendidikan yang

berkesinambungan.

Pendiri : Komite Nasional Kebijakan Governance

Penasehat : Mar'ie Muhammad

Badan Pembina : Amrin Siregar Kartini Muljadi

Gunarni Soeworo Ratnawati Prasodjo

Mas Achmad Daniri

Badan Pengurus : Hoesein Wiriadinata (Ketua)

Eva Riyanti Hutapea (Wakil Ketua)

Fachry Aly

Fred B.G.Tumbuan

Jos F. Luhukay

Partomuan Pohan

Irwan M. Habsjah

Adi Rahman Adiwoso

Resiko adalah fungsi dari atau berhubungan dengan berbagai ketidakpastian

dan tingkat eksposur suatu entitas terhadap ketidakpastian tersebut.

Semakin tinggi tingkat ketidakpastian dan eksposur yang dihadapi suatu

organisasi, semakin tinggi pula konsekuensi dan kemungkinan terjadinya.

Resiko bersifat inheren di dalam segala sesuatu yang kita lakukan, baik ketika

kita tengah bersepeda, mengelola suatu proyek, menghadapi klien,

menetapkan prioritas, membeli sistem dan perlengkapan baru, dan

mengambil keputusan tentang masa depan atau memutuskan untuk tidak

mengambil tindakan apapun.

Sadar atau tidak kita senantiasa berurusan dengan resiko. Kebutuhan untuk

mengelola resiko secara sistematis berlaku bagi setiap organisasi dan

individu. Demikian juga halnya bagi setiap fungsi dan kegiatan di dalam

perusahaan. Kebutuhan ini harus dipandang sebagai sesuatu yang sangat

penting bagi para Direktur dan Komisaris.

Alternatif bagi manajemen resiko adalah manajemen beresiko, atau

pembuatan keputusan yang gegabah, keputusan yang tidak didasarkan pada

pertimbangan yang matang atas fakta-fakta yang ada. Manajemen beresiko

tidak dapat memastikan tercapainya hasil-hasil yang diharapkan.

Sebaliknya, manajemen resiko membantu suatu entitas untuk mencapai

target kinerja dan profitabilitas, serta mencegah terjadinya kerugian sumber

daya. Manajemen resiko membantu terwujudnya pelaporan yang efektif,

kepatuhan terhadap hukum dan peraturan yang berlaku, mencegah

kerusakan reputasi perusahaan dan konsekuensi-konsekuensi lainnya.

Secara singkat, manajemen resiko membantu perusahaan mencapai tujuan

yang diinginkannya dan terhindar dari berbagai jebakan dan kejutan di

sepanjang perjalanan menuju tujuan tersebut.

Dari sudut pandang risk and return, manajemen resiko membantu kita

menyeimbangkan keduanya. Konsep "no risk, no return" telah diterima luas di

dunia bisnis. Konsekuensi dari konsep tersebut adalah "higher risk, higher

return." Namun, dalam dunia nyata, tidak ada resiko dan return yang bersifat

BAB I PENDAHULUAN

6 ENTERPRISE RISK MANAGEMENTDasar-dasar Untuk Direktur dan Komisaris

absolut. Pada titik tertentu, resiko yang berlebihan akan mendatangkan

bencana dan bukan return. Artinya, kita harus dapat mengoptimalkan profil

risk and return organisasi kita. Permasalahannya sebagian besar perusahaan

tidak memiliki informasi yang memadai mengenai eksposur resiko yang

menyeluruh (dengan kata lain, mereka tidak memahami apakah mereka

berlebihan atau sebaliknya sangat kurang dalam pengambilan resiko. Untuk

menjawab kebutuhan tersebut, diperkenalkanlah konsep dan pengertian

enterprise risk management.

Apa yang dimaksud dengan enterprise risk management

Premis mendasar enterprise risk management adalah bahwa setiap entitas,

baik yang berorientasi laba maupun nirlaba, atau suatu lembaga

pemerintahan, didirikan untuk mendatangkan nilai bagi para pemangku

kepentingan (stakeholders). Setiap entitas menghadapi ketidakpastian, dan

tantangan bagi manajemen adalah bagaimana memutuskan seberapa besar

tingkat kepastian yang siap diterima entitas dalam upayanya meningkatkan

nilai bagi para pemangku kepentingan. Ketidakpastian menghadapkan kita

pada resiko dan kesempatan, dengan potensi mengikis atau memperkuat

nilai. Enterprise risk management merupakan framework bagi manajemen

dalam menghadapi ketidakpastian dan resiko-resiko yang terkait serta

peluang yang ada dengan efektif, sehingga meningkatkan kapasitasnya untuk

membangun nilai.

Enterprise risk management (ERM) didefinisikan dengan sangat baik oleh

Committee of Sponsoring Organizations of the Treadway Commission (COSO)

dalam Enterprise Risk Management Integrated Framework (2004). COSO

menginisiasi suatu proyek untuk mengembangkan suatu framework yang

sehat secara konseptual. Framework ini mengintegrasikan prinsip,

terminologi, dan pedoman implementasi praktis untuk mendukung program

entitas dalam mengembangkan atau mem-benchmark proses enterprise risk

management yang mereka terapkan.

Enterprise risk management didefinisikan sebagai berikut :

Enterprise risk management is a process, effected by an entity's board of

directors, management and other personnel, applied in strategy setting and

across the enterprise, designed to identify potential events that may affect the

entity, and manage risks to be within its risk appetite, to provide reasonable

assurance regarding the achievement of entity objectives.


Sebagai suatu proses, enterprise risk management adalah sarana untuk

mencapai tujuan, dan bukan tujuan itu sendiri. ERM bukan sekadar

kebijakan, isian survei dan formulir, tetapi melibatkan orang di berbagai aras

organisasi. Applied in strategy setting, diterapkan dalam penyusunan strategi,

across the enterprise, bersifat menyeluruh di setiap tingkat dan unit

organisasi, termasuk keharusan untuk memandang resiko tingkat entitas

secara portofolio. Enterprise risk management dirancang untuk

mengidentifikasi peristiwa-peristiwa potensial yang mempengaruhi entitas

dan mengelola resiko agar senantiasa berada dalam risk appetite organisasi.

Tujuannya adalah untuk memberikan reasonable assurance (kepastian

secara wajar) bagi manajemen dan pengurus perusahaan terkait dengan

achievement of objectives, pencapaian tujuan, dalam satu atau beberapa

kategori terpisah yang juga bisa bersifat tumpang tindih.

Manfaat enterprise risk management

Tidak ada entitas yang beroperasi dalam lingkungan yang bebas resiko dan

enterprise risk management tidak menciptakan lingkungan yang demikian.

Akan tetapi, enterprise risk management memungkinkan manajemen untuk

beroperasi secara lebih efektif dalam lingkungan yang penuh dengan resiko.

Enterprise risk management meningkatkan kemampuan organisasi untuk :

Menyelaraskan risk appetite dan strategi

Risk appetite adalah tingkat resiko, pada aras yang berbasis luas, yang dapat

diterima oleh suatu perusahaan atau entitas dalam mengejar sasaran-

sasarannya. Manajemen terlebih dahulu mempertimbangkan risk appetite

entitas dalam mengevaluasi alternatif strategik, kemudian dalam menetapkan

objektif yang diselaraskan dengan strategi yang telah ditetapkan dan dalam

mengembangkan mekanisme untuk mengelola resiko-resiko terkait.

Mengaitkan antara pertumbuhan, resiko dan return

Entitas menerima resiko sebagai bagian dari penciptaan dan pemeliharaan

nilai, dan mendapatkan return sesuai resiko yang diambilnya. Enterprise risk

management meningkatkan kemampuan entitas dalam mengidentifikasi dan

menelaah (assess) resiko, menetapkan tingkat resiko yang dapat diterima,

relatif terhadap objektif pertumbuhan dan return yang dikehendaki.

Meningkatkan kualitas keputusan dalam merespon resiko

Enterprise risk management mempertajam ketepatan dalam mengidentifikasi


dan memilih alternatif respon terhadap resiko menghindari (avoid),

mereduksi (reduce), membagi (share) dan menerima (accept) risiko. Enterprise

risk management memberikan manajemen metodologi dan teknik untuk

membuat keputusan-keputusan tersebut.

Meminimalisasi kejutan dan kerugian operasional

Entitas akan memiliki kapabilitas yang lebih tinggi untuk mengidentifikasi

peristiwa-peristiwa potensial, menelaah resiko dan menetapkan respon.

Dengan demikian entitas dapat mereduksi kemungkinan terjadinya kejutan

atau kerugian.

Mengidentifikasi dan mengelola resiko secara menyeluruh (cross-

enterprise risks)

Setiap entitas menghadapi tidak terhitung resiko yang mempengaruhi

berbagai bagian dalam organisasi. Manajemen bukan hanya harus mengelola

resiko-resiko tersebut satu persatu, tetapi juga harus memahami keterkaitan

dampak resiko-resiko tersebut.

Memberikan respon terpadu terhadap resiko berganda

Proses bisnis mengandung di dalamnya banyak resiko inheren, dan

enterprise risk management memungkinkan manajemen memberikan solusi

terpadu untuk mengelola resiko-resiko tersebut.

Menangkap peluang

Manajemen bukan hanya harus memperhatikan resiko tetapi juga peristiwa-

peristiwa potensial. Dengan mempertimbangkan rangkaian peristiwa terkait

secara menyeluruh, manajemen dapat memiliki pemahaman tentang

peristiwa-peristiwa yang menjanjikan peluang.

Merasionalisasi kapital

Informasi yang lebih andal terkait dengan total resiko entitas memungkinkan

Direktur dan Komisaris serta manajemen perusahaan menelaah secara lebih

efektif kebutuhan modal perusahaan secara menyeluruh dan meningkatkan

ketepatan alokasi modal.

Enterprise risk management bukanlah tujuan, melainkan sarana yang

penting. ERM tidak berjalan terpisah dalam suatu entitas, melainkan lebih

merupakan enabler proses manajemen. Enterprise risk management saling

terkait dengan corporate governance dengan memberikan informasi kepada


pengurus perusahaan (Direksi dan Komisaris) mengenai resiko-resiko yang

paling signifikan dan bagaimana resiko-resiko tersebut dikelola. Dan ERM

saling terkait dengan manajemen kinerja dengan memberikan ukuran-

ukuran berbobot resiko (risk-adjusted measures), dan dengan pengendalian

internal, yang merupakan bagian tidak terpisahkan dari enterprise risk

management.

Kebutuhan akan kompetensi di bidang ERM bagi Direktur dan Komisaris

Sejarah berulangkali memperlihatkan bagaimana hal-hal yang buruk dapat

dan telah menimpa perusahaan-perusahaan yang baik. Dalam bagian ini

akan dibahas betapa pentingnya manajemen resiko bagi Direksi dan

Komisaris sehingga kompetensi dalam bidang enterprise risk management

kini telah menjadi suatu keharusan.

Bencana-bencana korporasi dapat muncul dalam berbagai bentuk dan dapat

menimpa perusahaan dan industri apapun. Di samping kerugian finansial

murni, pengelolaan resiko dapat berakibat rusaknya reputasi perusahaan,

atau kemunduran perjalanan karir para eksekutifnya. Eskalasi kerusakan

dapat berlangsung dengan cepat hingga perusahaan yang tadinya sehat tiba-

tiba menghadapi kebangkrutan ; seringkali peristiwa kerusakan ini dapat

menggoncangkan pondasi industri dan pasar dengan parah. Tabel 1.1

memperlihatkan pengalaman kerugian finansial yang luar biasa yang dialami

perusahaan-perusahaan yang sebelumnya dikenal sebagai perusahaan-

perusahaan yang baik dan terkemuka dalam industrinya masing-masing.

Cendant Korporasi Fraud di bidang akunting $ 300 juta

Bausch & Lombs Korporasi Kesalahan laporan revenu $ 42 juta

Pharmor Korporasi Charge-off $ 350 juta

PCA Perusahaan energi Klaim $ 236 juta

MG Perusahaan energi Kerugian perdagangan $ 1 miliar

Perusahaan Industri PermasalahanKerugian

(USD)

Tabel 1.1 List of misfurtune


Pada sebagian besar kasus di atas, in most of the above cases, yang terjadi

adalah baik pengurus perusahaan menerima informasi yang menyesatkan

atau adanya kegagalan proses penyampaian informasi kepada pengurus dan

pemangku kepentingan. Dalam banyak hal, kegagalan tersebut melibatkan

rekayasa keuangan dan resiko-resiko ekonomi yang bersifat non-disklosur

serta penyelewengan dan penyalahgunaan wewenang yang luar biasa parah.

Kehancuran dramatis keyakinan publik yang disebabkan oleh berbagai

skandal dan bencana ini menimbulkan tekanan terhadap pengurus

perusahaan dan manajemen untuk meningkatkan tanggung jawab mereka

dalam hal corporate governance dan manajemen resiko secara lebih efektif.

Lembaga-lembaga regulasi dan pemeringkat juga menghadapi tekanan yang

berat untuk meningkatkan kapabilitas mereka untuk melindungi seluruh

pemangku kepentingan.

Kita tidak kekurangan bahan pelajaran. Seakan-akan bencana-bencana besar

tersebut terjadi setiap beberapa bulan, dan ini mengingatkan kita bahwa

bahaya mengintai setiap perusahaan. Organisasi-organisasi yang cukup

beruntung untuk terhindar dari krisis yang besar seringkali mengalami

permasalahan-permasalahan yang lebih kecil atau "near misses" yang

memperlihatkan adanya eksposur terhadap resiko.

Bagi para Direksi dan Komisaris perusahaan-perusahaan Indonesia, For

Indonesian boards of directors and commissioners, the implementation of

Llyod's Asuransi Settlement £ 3.2 miliar

Confed Life Asuransi Kerugian real estate $ 1.3 miliar

Morgan Grenfell Manajemen Perdagangan yang aset meragukan $ 300 miliar

LTCM Manajemen aset Rescue fund required $ 3.5 miliar

Barings Bank Kerugian perdagangan $ 1 miliar

Bankers Trust Bank Gugatan hukum $ 737 juta

Sumber: James Lam, Enterprise Risk Management, From Incentives to Controls, JWS, 2003, p. 10.


enterprise risk management is a part of corporate governance regulatory

requirement and best practices. OECD requires that corporate boards to

implement appropriate system and policies for risk management. It is a key

responsibility of the board. (OECD Principles of Corporate Governance.

Principles V.D.1 and V.D.5)

Prasyarat ERM

Telah disebutkan sebelumnya bahwa tujuan dari ERM adalah setiap bagian,

baik untuk profit atau untuk non-profit, atau badan pemerintahan, ada

untuk menyediakan nilai bagi pada pemegang sahamnya. Semua yang

terlibat menghadapi ketidakpastian dan tantangan untuk manajemen adalah

untuk menentukan seberapa banyak ketidakpastian yang siap untuk

diterima dalam rangka mengembangkan nilai pemegang saham.

Ketidakpastian menimbulkan resiko dan peluang, dengan potensi untuk

menurunkan atau meningkatkan nilai. ERM meyediakan bingkai kerja untuk

manajemen untuk secara efektif menangani ketidakpastian dan resiko yang

berhubungan dan peluang dan arena itu meningkatkan kemampuan untuk

meningkatkan nilai.

Ketidakpastian

Perusahaan beroperasi dalam lingkungan dimana faktor seperti globalisasi,

teknologi, peraturan, restrukturisasi, pasar yang berubah dan kompetisi

menimbulkan ketidakpastian. Ketidakpastian timbul dari ketidakmampuan

untuk secara tepat menentukan kemungkinan kejadian-kejadian potensial

akan terjadi dan hasil-hasil dari kejadian tersebut.

Nilai

Nilai dibentuk, dilindungi atau dirusak oleh keputusan-keputusan

manajemen berkisar dari penentuan strategi hingga pengoperasian

perusahaan hari demi hari. Erat hubungannya dengan keputusan adalah

pengenalan resiko dan kesempatan, membutuhkan manajemen

mempertimbangkan informasi tentang lingkungan internal dan eksternal,

menyebarkan sumber daya yang berharga dan mengkalibrasi ulang aktivitas

perusahaan dan perubahan keadaan.

Entitas menyadari nilai ketika pemegang saham memperoleh keuntungan

yang pada gilirannya akan dihargai. Untuk perusahaan-perusahaan,

pemegang saham menyadari nilai ketika mereka menyadari pembentukan

nilai dari pertumbuhan nilai saham. Untuk entitas pemerintahan, nilai


dihargai ketika unsur pokok menyadari penerimaan dari layanan dalam biaya

yang dapat diterima. Pemegang saham dari badan non-profit menghargai nilai

bilamana mereka menyadari penerimaan dari keuntungan sosial yang mereka

anggap berharga. ERM memfasilitasi kemampuan manajemen untuk

membentuk nilai yang kokoh dan mengkomunikasikan nilai yang mereka

buat itu kepada pemegang saham.

Untuk dapat menerapkan ERM secara efektif, dari sudut pandang dewan,

pertama-tama harus ada komitmen yang kuat dari pucuk pimpinan, sebuah

definisi jelas dari risk appetite perusahaan dalam artian kebijaksanaan resiko

dan toleransi resiko, struktur organisasi, dan kesadaran bahwa mereka perlu

untuk memastikan bahwa perilaku mereka sejalan dengan kebijakan

manajemen resiko. Hal ini untuk memastikan integrasi resiko ke dalam

budaya dan nilai perusahaan.

Dewan tidak dapat memonitor atau mengontrol kondisi finansial dari institusi

pengambil resiko tanpa manajemen resiko yang tangguh dan matriks resiko.

Sementara itu, fungsi manajemen resiko bergantung pada sponsor pada level

eksekutif senior dan dewan untuk memperoleh investasi yang dibutuhkan

dan mempengaruhi kebutuhan-kebutuhannya untuk menyeimbangkan

pemimpin-pemimpin bisnis yang kuat.

Komite Resiko dari institusi juga perlu dilibatkan, pada taraf tertentu, dalam

penentuan metodologi manajemen resiko dasar yang diterapkan oleh

institusi. Penting bagi penerapan manajemen resiko untuk mengerti kekuatan

dan kelemahan dari matriks resiko operasional kalau mereka akan

memahami laporan resiko.

Implementasi manajemen resiko perusahaan yang sukses juga

membutuhkan manajemen resiko melalui integrasi dari ERM ke dalam

perencanaan strategi, proses bisnis, pengukuran performa, dan kompensasi

pendorong. Semua ini akan dibahas kemudian dalam bagian utama buku ini.

Pertanyaan review

Lima pertanyaan multiple choices untuk mereview materi dari Bab 1.

1. Mengapa ERM penting untuk baik Direktur atau Komisaris ?

(a) Pertumbuhan dan keuntungan dapat menjadi materi perusak dari

performa jika tidak ada pengendalian resiko dan manajemen resiko.


(b) Enterprise Risk Management (ERM) dapat membantu Direktur dan

Komisaris untuk mengembangkan pola pikir dan alat untuk

mengeksplorasi dimensi-dimensi dari resiko yang berhubungan

dengan setiap aktifitas dan kesempatan sehingga mereka dapat

menyeimbangkan dengan imbalan yang jelas.

(c) Manajemen resiko perusahaan yang didesign dan dijalankan dengan

baik dapat menyediakan jaminan bagi manajemen dan Dewan Direksi

sehubungan dengan pencapaian tujuan-tujuan.

(d) Semua jawaban di atas benar.

2. Pernyataan berikut memberikan pengertian yang benar mengenai resiko

yang ditentukan oleh AS/NZS 4360: 2004, kecuali :

(a) Resiko adalah "kesempatan untuk sesuatu terjadi yang akan memberi

dampak pada tujuan".

(b) Resiko sering dispesifikasikan sebagai kejadian atau situasi dan

konsekuensi yang akan diterima dari kejadian atau situasi tersebut.

(c) Resiko diukur dengan jalan mengkombinasi antara konsekuensi dan

kejadian dan kemungkinannya.

(d) Resiko selalu berhubungan dengan dampak negatif.

3. Pernyataan berikut ini memberikan pengertian yang benar tentang ERM

menurut COSO, kecuali:

(a) ERM adalah proses yang dipengaruhi oleh Dewan Direksi suatu

perusahaan, manajemen dan personil lainnya.

(b) Diterapkan dalam strategi dan seluruh perusahaan.

(c) Didesign untuk mengidentifikasi kejadian potensial yang mungkin

mempengaruhi perusahaan dan mengatur resiko sehingga berada

dalam risk appetite.

(d) Untuk menyediakan data yang tidak bias sehubungan dengan meraih

tujuan perusahaan.

4. Mengapa kompetensi dari ERM di antara Direktur dan Komisaris

perusahaan sangat penting ?

(a) Sejarah mencatat berulang-ulang bagaimana hal buruk dapat dan

pasti terjadi pada perusahaan yang baik. Di balik kerugian finansial,

mismanagement dari resiko dapat mengakibatkan kerusakan

reputasi dari perusahaan atau pukulan mundur bagi karir individu

para eksekutif.

(b) Kejatuhan dramatis dari keyakinan publik disebabkan oleh skandal


perusahaan dan bencana terus-menerus menekan dewan dan

manajemen untuk memimpin perusahaan dan bertanggung jawab

terhadap manajemen resiko dalam cara yang lebih efektif.

(c) Untuk Dewan Direksi dan Komisioner Indonesia, penerapan ERM

adalah bagian dari prasyarat peraturan kepemimpinan perusahaan

dan praktek yang baik.


5. Berikut adalah dasar dari ERM yang efektif kecuali :

(a) Harus ada komitmen yang kuat dari pucuk pimpinan.

(b) Definisi jelas dari risk appetite organisasi sehubungan dengan

kebijakan resiko dan toleransi resiko.

(c) Struktur organisasi yang sesuai, dan kesadaran bahwa mereka

memerlukan untuk memastikan bahwa perilaku mereka sejalan

dengan kebijakan manajemen resiko.

Manajemen resiko seharusnya tidak diintegrasikan ke dalam budaya dan nilai

perusahaan karena hal itu merupakan proses yang berdiri sendiri.


Dalam bab ini, kita akan mendiskusikan lebih jauh konsep-konsep,

rancangan kerja, serta perlunya mengintegrasi program enterprise risk

management ke dalam proses bisnis, dan kita juga akan melihat bagaimana

manajemen resiko tersusun dari sebuah fungsi kendali dan memusatkan

perhatian pada usaha meminimalisasi resiko yang buruk menjadi sesuatu

yang dapat mengoptimalkan kinerja.

Resiko Definisi Dan Konsep

Bagian ini akan merinci lebih lanjut akan kerangka-kerangka kerja yang

ada, yang telah digunakan di seluruh penjuru dunia, terutama standar

AS/NZS 4360:2004, dan Enterprise Risk Management Integrated Framework

oleh COSO. Kita akan membahas definisi ERM, konsep resiko, dan

komponen-komponen kunci/tiang penyangga ERM, seperti penguasaan

resiko, infrastruktur resiko, proses manajemen resiko, penyampaian dan

pelaporan resiko.

Konsep Resiko

Resiko dalam pengertian yang luas bukanlah hal baru dalam dunia bisnis.

Semua perusahaan dihadapkan kepada resiko-resiko tradisional dalam

bisnis : naik turunnya pendapatan akibat berbagai hal seperti perubahan

dalam lingkungan bisnis, kecenderungan alami untuk bersaing, dalam

teknologi produksi, dan dalam faktor-faktor yang berpengaruh terhadap para

penyalur. Hal tersebut merupakan suatu pemahaman klasik mengenai

resiko.

Resiko datang dalam berbagai bentuk dan ukuran. Pada bagian sebelumnya,

resiko digambarkan sebagai "kesempatan akan terjadinya sesuatu yang akan

membawa dampak pada tujuan." Dalam pengertian tersebut, resiko

seringkali dikaitkan dengan sebuah peristiwa dan konsekuensi-konsekuensi

yang mungkin terjadi karenanya. Resiko diukur dengan kombinasi dari

konsekuensi dari suatu peristiwa dan berbagai kemungkinan yang akan

terjadi karena peristiwa tersebut. Resiko dapat membawa dampak yang

positif atau negatif.

BAB IIKONSEP, PRINSIP DAN FRAMEWORK


Secara tradisional, para profesional resiko mengenal tiga jenis utama resiko :

resiko pasar, resiko kredit, dan resiko operasional. Resiko Pasar adalah resiko

perpindahan atau pergerakan harga yang menghasilkan konsekuensi negatif

bagi suatu perusahaan; Resiko Kredit adalah resiko di mana pelanggan,

partner bisnis, atau, pemasok lalai dalam memenuhi kewajiban; dan Resiko

Operasional adalah resiko dimana orang-orang, proses, atau suatu sistem

akan melakukan kekeliruan, atau terjadinya suatu peristiwa-peristiwa

eksternal (mis. Gempa bumi, kebakaran, banjir) yang berdampak negatif

pada perusahaan. Selain itu, ada juga tipe-tipe resiko yang lain seperti Resiko

Legal, Resiko Bisnis, Resiko Strategis dan Resiko Reputasi ( lihat Figure 2.1).

Walaupun ada kesamaan dan ketergantungan antar resiko-resiko tersebut,

masing-masing resiko tersebut memerlukan perhatian khusus. Dan masing-

masing jenis resiko tersebut, meliputi sejumlah besar resiko individu. Sebagai

contoh, Resiko Kredit meliputi semuanya, dari kelalaian peminjam sampai

keterlambatan pemasok karena permasalahan kredit.

Resiko perlu dikenali dan diperkirakan dengan cara yang relatif mudah untuk

dipahami. Bagaimana pun hal ini membutuhkan pelatihan-pelatihan dan

pendidikan yang substansial. Banyak pemimpin, stafbaik junior maupun

senior, akan merasa tidak familiar dengan manajemen resiko ini, khususnya

dengan format analisis resiko yang kuantitatif. Untungnya, ada beberapa

konsep resiko utama yang akan membantu kita untuk memahami resiko

tersebut dengan lebih baik dan menerapkannya pada resiko-resiko berbagai

macam bisnis, yang pasti menghasilkan program manajemen resiko yang

efektif.

Resiko Pasar

Resiko Operasional

Resiko Hukum dan peraturan

Resiko Bisnis

Resiko Reputasi

Resiko

Figure 2.1- Klasifikasi Resiko

}


Uncertainty(ketidakpastian)

Exposure(penelaahan)

Event(peristiwa)

Likelihood(kemungkinan)

Volatility (volatilitas)

Consequence(konsekuensi)

Resiko tidak sama dengan ketidakpastian. Resiko merupakan variabilitas yang masih bisa diukur dengan kemungkinan-kemungkinan, sedangkan ketidak-pastian merupakan variabilitas yang tidak bisa diukur sama sekali.

Jumlah kerusakan yang akan diderita jika beberapa peristiwa terjadi. Sebagai contoh, orang yang meminjamkan akan dihadapkan pada resiko kelalaian si peminjam. Penumpang pesawat terbang dihadapkan pada resiko tabrakan pesawat terbang

Kejadian yang merupakan sekelompok keadaan khusus (AS/NZS 4360:2004)

·Peristiwa tersebut bisa bersifat pasti maupun tidak pasti.

·Peristiwa tersebut bisa jadi merupakan kejadian tunggal atau serangkaian kejadian.

Penjelasan umum tentang probabilitas atau frekuensi (AS/NZS 4360:2004) . Likel ihood mewaki l i kemungkinan yang ada jika suatu peristiwa terjadi (COSO). Seberapa besar kemungkinan tersebut terjadi jika suatu peristiwa yang beresiko benar-benar terjadi ? Semakin besar kemungkinan peristiwa tersebut terjadidengan kata lain semakin tinggi probabilitas atau frekuensisemakin besar resikonya.

Likelihood dapat digambarkan secara kuantitatif maupun kualitatif

Variabilitas dari hasil-hasil yang potensial. Volatility merupakan jawaban dari pertanyaan 'seberapa pasti masa depan itu?' Umumnya, semakin besar volatility, semakin besar resiko

Hasil atau dampak dari sebuah peristiwa (AS/NZS 4360 2004). Pengaruh dari terjadinya sebuah peristiwa (COSO).

Sebuah peristiwa bisa jadi memiliki lebih dari satu consequence. Consequence bisa mencakup sesuatu


Rancangan Kerja yang tersedia dalam ERM : AS/NZS 4360:2004 dan

COSO Enterprise Risk Management Integrated Framework

Manajemen di beberapa perusahaan dan entitas lain telah mengembangkan

proses-proses untuk mengidentifikasi dan mengelola resiko-resiko dalam

perusahaan, dan banyak manajemen lainnya telah memulai pengembangan

tersebut, atau setidaknya mempertimbangkan untuk melakukan

pengembangan tesebut. Selama informasi-informasi yang dibutuhkan

sebagai bahan pertimbangan dalam ERM tersedia, termasuk literatur-

literatur terbitan, maka tidak akan ada lagi istilah umum yang tersedia dan

ada sedikit prinsip-prinsip yang telah diterima secara luas, yang dapat

digunakan oleh manajemen sebagai panduan pengembangan arsitektur

manajemen resiko yang efektif.

Paling tidak ada dua rancangan kerja yang dapat diterima secara luas dan

dapat digunakan oleh bagian perencanaan institusi sebagai inisiatif

Enterprise Risk Management. Kedua standar rancangan kerja tersebut adalah

AS/NZS 4360:2004 dan COSO Enterprise Risk Management Integrated

Framework.

Loss(kerugian)

Probability(probabilitas)

Time Horizon(horizon waktu)

Correlation(korelasi)

yang positif atau negatif. Consequence dapat digambarkan secara kualitatif maupun kuantitatif. Consequence dianggap memiliki hubungan dengan pencapaian tujuan.

Semua consequence yang negatife atau dampak yang merugikan, baik dalam keuangan maupun yang lain.

Sebuah ukuran mengenai kesempatan terjadinya sesuatu hal, yang digambarkan dengan angka, antara 0 sampai 1.

Berapa lama kita akan dihadapkan pada resiko. Semakin lama durasinya, semakin tinggi resikonya.

Relasi-relasi di antara resiko-resiko yang mungkin terjadi dalam bisnis maupun entitas. Jika dua resiko terjadi secara persis, maka resiko tersebut diperkirakan terjadi karena alasan yang sama, atau misalnya dengan jumlah yang samamereka dipertimbangkan memiliki korelasi yang tinggi


Mari kita membahas kedua rancangan tersebut satu persatu.

AS/NZS 4360:2004

AS/NZS 4360:2004 adalah sebuah standar Joint Australian/New Zealand

tentang manajemen resiko. Standar ini menyediakan panduan umum untuk

mengelola resiko. Standar ini bisa diterapkan secara luas dalam aktivitas-

aktivitas, pengambilan keputusan-keputusan, atau operasi-operasi dalam

berbagai perusahaan baik umum, swasta, perusahaan rakyat, dalam grup,

maupun untuk individual.

Standar ini membahas lebih spesifik tentang elemen-elemen proses

manajemen resiko yang harus diterapkan di semua tahap aktivitas, fungsi,

proyek, produk, atau aset. Manfaat maksimal biasanya didapat dengan

menerapkan proses manajemen resiko dari awal.

Tujuan dari standar ini adalah untuk menyediakan panduan yang akan

memungkinkan perusahaan-perusahaan umum, swasta, dan masyarakat,

grup-grup dan individu untuk mencapai :

·Dasar-dasar yang tepat dan pasti dalam perencanaan dan pengambilan

keputusan;

·Identifikasi yang lebih baik tentang kesempatan-kesempatan dan

ancaman yang ada;

·Nilai tambah dari uncertainity (ketidakpastian) dan variabilitas;

·Manajemen yang proaktif, dan bukannya yang reaktif;

·Alokasi dan penggunaan sumber-sumber daya yang lebih efektif;

·Manajemen insiden yang lebih baik dan pengurangan kerugian serta

resiko yang harus ditanggung, termasuk premi asuransi komersil;

·Peningkatan kepercayaan dari para pemangku kepentingan;

·Peningkatan pemenuhan dengan undang-undang yang relevan;

·Penguasaan perusahaan yang lebih baik;

AS/NZS 4360:2004 Risk Management Process Overview (Proses

Peninjauan Manajemen Resiko)

Dalam bagian ini, akan dijelaskan secara singkat tentang proses manajemen

resiko berdasarkan AS/NZS 4360 : 2004.

Elemen-elemen utama proses manajemen resiko adalah:

·Komunikasi dan Perundingan

·Penentuan Konteks


·Identifikasi Resiko

·Analisa Resiko

·Evaluasi Resiko

·Penanganan Resiko

·Pengawasan dan Peninjauan

Manajemen resiko dapat diterapkan di berbagai level dalam organisasi.

Manajemen ini dapat diterapkan di level strategis serta level-level taktis dan

operasional. Manajemen ini juga dapat diterapkan pada proyek-proyek yang

spesifik, untuk menolong dalam pengambilan keputusan yang spesifik atau

untuk mengelola area resiko yang spesifik.

Setiap tahap dalam proses manajemen resiko tersebut harus

didokumentasikan sehingga keputusan-keputusan yang diambil dapat

dengan mudah dipahami sebagai bagian dari proses perbaikan yang

berkelanjutan.

Proses tersebut dapat dilihat dalam Figure 2.2

Elemen-elemen utama dari proses manajemen resiko, seperti yang terlihat

dalam Figure 2.2, dapat diuraikan seperti berikut :

(a) Komunikasi dan Perundingan - Keterlibatan anggota yang lain, atau

setidaknya melihat sesuatu dari sudut pandang yang berbeda,

merupakan unsur yang penting dan krusial dari sebuah pendekatan

manajemen resiko. Oleh karena itu, komunikasi dan perundingan dengan

pemangku kepentingan internal dan eksternal harus dipertimbangkan di

setiap tahap proses manajemen resiko.

(b) Menentukan konteks - Fokus dari tahap ini adalah memahami latar

belakang organisasi beserta resikonya, membatasi ruang lingkup dari

aktivitas manajemen resiko, dan mengembangkan kerangka kerja yang

harus diikuti.

(c) Identifikasi resiko - Tahap ini mengidentifikasi resiko-resiko untuk

dikelola. Identifikasi yang luas dengan proses yang terstruktur dan

sistematis sangat dibutuhkan karena resiko-resiko yang tidak

teridentifikasi dalam tahap ini mungkin tidak akan teridentifikasi dalam

analisa yang lebih jauh. Identifikasi haruslah mencakup resiko-resiko

yang ada di dalam, maupun di luar organisasi.


(d) Analisa Resiko - Analisa resiko adalah mengenai pengembangan sebuah

pemahaman tentang resiko. Proses ini menghasilkan masukan untuk

memutuskan apakah resiko tersebut perlu ditangani atau tidak, dan

juga untuk memutuskan strategi yang tepat dan efektif. Analisa resiko

melibatkan konsekuensi-konsekuensi yang mungkin dihadapi dan

besarnya kemungkinan konsekuensi tersebut akan terjadi. Jika faktor-

faktor yang mempengaruhi konsekuensi dan kemungkinan tersebut

teridentifikasi, resiko dapat dianalisa dengan mengkombinasikan

konsekuensi tersebut dengan kemungkinannya. Umumnya, kontrol-

kontrol yang ada diperhitungkan

Kemungkinan Besar Sedang Kecil

Sangat mungkin Merah Merah Kuning

Mungkin Merah Kuning Hijau

Tidak mungkin Kuning Hijau Hijau

Konsekuensi

Table 2.2 - Contoh matriks level resiko sederhana

Figure 2.3. - Contoh pemahaman resiko sebagai hasil dari proses analisa resiko dengan ruang lingkup hasil.

Tinggi

Rendah

Kemungkinan

Rendah Tinggi

Konsekuensi

“Masalah”

Ruang lingkup hasil yang dapat dipercaya

"Catastrophe”


(e) Evaluasi Resiko - Tujuan dari evaluasi resiko adalah untuk membuat

keputusan-keputusan berdasarkan hasil dari analisa resiko, mengenai

resiko-resiko yang mana yang harus ditangani, serta prioritas

penanganannya.

(f) Penanganan Resiko - Penanganan Resiko melibatkan pemilihan cara-cara

untuk penanganan resiko, memperkirakan cara-cara tersebut beserta

persiapan serta rencana penerapannya. Titik awal dari identifikasi cara-

cara penanganan resiko seringkali merupakan peninjauan kembali

panduan penanganan resiko jenis tertentu, yang sudah ada. Sebagai

contoh, di kebanyakan area yang berkaitan dengan keselamatan

seseorang, ada kebutuhan-kebutuhan untuk disusunnya hukum dan

standar-standar. Namun, hukum dan standar tersebut tetap perlu

ditinjau ulang untuk kesempurnaannya dan kesesuaiannya.

(g) Pengawasan dan peninjauan - peninjauan yang berkelanjutan penting

untuk memastikan bahwa perencanaan manajemen tetap relevan. Faktor-

faktor yang mungkin mempengaruhi consequence dan likelihood sebuah

hasil bisa berubah, seperti halnya faktor-faktor yang mempengaruhi

kesesuaian atau pembiayaan cara-cara penanganan yang telah dipilih.

Oleh karena itu, penting bagi entitas untuk mengulangi siklus manajemen

resiko secara tetap.

(h) Dokumentasi proses manajemen resiko - Masing-masing tahap proses

manajemen resiko harus didokumentasikan secara layak. Asumsi,

metode, sumber-sumber data, analisa-analisa, hasil-hasil, dan alasan-

alasan pengambilan keputusan harus didokumentasikan.

Enterprise Risk Management Integrated Framework (COSO)

Mengingat kebutuhan akan pedoman yang pasti dalam enterprise risk

management, The Committee of Sponsoring Organizations of the Treadway

Commission (COSO) memprakarsai sebuah proyek untuk mengembangkan

rancangan kerja yang secara konseptual menyediakan prinsip-prinsip

terintegrasi, istilah-istilah umum, dan pedoman implementasi praktis yang

mendukung program-program entitas untuk mengembangkan atau

meningkatkan proses manajemen resiko di perusahaan mereka.

Kita mengenal rancangan kerja tersebut sebagai The Enterprise Risk

Management Integrated Framewokr. Rancangan kerja ini bertidak sebagai

dasar umum manajemen, Direktur, pembuat undang-udang, bagian

akademik, dan yang lainnya, untuk secara lebih baik memahami enterprise

risk management, manfaat dan pembatasannya, dan untuk secara efektif

menyampaikan permasalahan-permasalahan enterprise risk management.


Seperti yang sudah kita diskusikan di bab 1, rancangan kerja COSO

mendefinisikan enterprise risk management sebagai :

...sebuah proses, yang dipengaruhi oleh jajaran Direktur entitas,

manajemen dan personil lain, yang diterapkan dalam penentuan strategi

dalam perusahaan, didesain untuk mengidentifikasi kemungkinan-

kemungkinan yang potensial yang mungkin mempengaruhi entitas, dan

mengelola resiko-resiko dan kecenderungan resiko yang mungkin terjadi,

untuk menyediakan jaminan yang layak mengenai pencapaian tujuan

entitas.

Definisi tersebut merefleksikan beberapa konsep pokok. Enterprise Risk

Management :

·Adalah suatu proses. Hal itu berarti ERM merupakan cara untuk

mencapai suatu akhir, dan bukan merupakan akhir itu sendiri.

·Dipengaruhi oleh orang-orang hal ini bukan hanya berarti melalui

kebijakan, survey, maupun formulir belaka, tetapi melibatkan orang-

orang dari berbagai level dalam organisasi.

·Diterapkan dalam pengaturan strategi

·Diterapkan di seluruh penjuru perusahaan, di setiap level dan unit,

termasuk mengamati sudut pandang akan resiko di tiap level-entitas.

·Didesain untuk mengidentifikasi hal-hal yang berpotensi mempengaruhi

entitas dan mengelola resiko dalam risk appetite-nya

·Menyediakan jaminan yang layak untuk pimipinan dan manajemen

entitas.

·Diperlengkapi untuk pencapaian tujuan di satu atau lebih kategori yang

terpisah namun saling melengkapi.

Definisi ini menangkap beberapa konsep kunci yang fundamental tentang

bagaimana perusahaan dan organisasi lain mengelola resiko, menyediakan

dasar untuk aplikasi di beberapa tipe organisasi, industri, dan sektor yang

berbeda. Konsep-konsep tersebut terfokus secara langsung pada pencapaian

tujuan entitas. Definisi tersebut juga menyediakan dasar penentuan

keefektifan enterprise risk management.

Mari kita diskusikan garis besar konsep-konsep fundamental di atas dengan

lebih detail.


Sebuah Proses

Enterprise Risk Management bukanlah sebuah peristiwa atau keadaan,

namun merupakan serangkaian tindakan yang terintegrasi dalam kegiatan-

kegiatan entitas. Tindakan-tindakan ini bersifat menyatu dan tidak dapat

dipisahkan dari pelaksanaan bisnis oleh manajemen.

Enterprise risk management berbeda dari perspektif dari beberapa pengamat

yang melihat ERM sebagai sebuah tambahan dalam aktivitas entitas, atau

sebagai sebuah beban yang penting. Bukan berarti ERM yang efektif tidak

membutuhkan usaha-usaha tambahan. Untuk instansi, penaksiran resiko

mungkin membutuhkan usaha-usaha tambahan untuk mengembangkan

model-model yang diperlukan dan membuat perhitungan dan analisa yang

penting. Bagaimana pun, hal-hal tersebut dan mekanisme ERM yang lain

terjalin dengan aktivitas operasi entitas dan ada untuk alasan-alasan bisnis

yang fundamental.

Enterprise risk management akan lebih efektif ketika mekanisme ERM

tersebut dibangun dalam infrastruktur entitas dan menjadi bagian penting

dalam perusahaan. Dengan membangun sebuah enterprise risk management,

sebuah entitas dapat menerapkan strateginya secara langsung dan mencapai

visi misinya.

Membangun enterprise risk management juga memiliki implikasi-implikasi

penting untuk penekanan biaya, khususnya dalam persaingan pasar yang

tinggi yang dihadapi banyak perusahaan. Penambahan prosedur baru yang

terpisah dari prosedurprosedur yang sudah ada akan mengingkatkan biaya.

Dengan berfokus pada operasi-operasi yang ada dan kontribusinya pada

enterprise risk management yang efektif, dan mengintegrasikan manajemen

resiko dengan kegiatan-kegiatan operasi dasar, sebuah perusahaan dapat

menghindarkan prosedur-prosedur dan biaya-biaya yang tidak perlu. Dan,

praktek pembangunan enterprise risk management dalam struktur operasi

membantu mengidentifikasi kesempatan-kesempatan baru untuk

menumbuhkan bisnis.

Dipengaruhi oleh Orang-orang

Enterprise risk management dipengaruhi oleh jajaran Direktur, manajemen,

dan personil yang lain. ERM disempurnakan oleh orang-orang yang ada dalam

organisasi, melalui apa yang mereka lakukan dan katakan ;

Orang-orang membangun visi misi, strategi, dan tujuan entitas dan

menempatkan enterprise risk management di tempatnya.


People establish the entity's mission/vision, strategy and objectives and put

enterprise risk management mechanisms in place.

Dengan cara yang sama, enterprise risk management mempengaruhi

tindakan orang-orang. Enterprise risk management memahami bahwa orang-

orang tidak selalu mengerti, menyampaikan, atau bertindak dengan

konsisten. Tiap-tiap individu memiliki latar belakang dan kemampuan teknik

yang unik, serta kebutuhan dan prioritas yang berbeda.

Kenyataan-kenyataan tersebut mempengaruhi dan dipengaruhi oleh

enterprise risk management. Setiap orang memiliki referensi khusus yang

mempengaruhi bagaimana mereka mengidentifikasi, menaksir, dan

merespon resiko. Enterprise risk management menyediakan mekanisme yang

dibutuhkan untuk membentuk orang-orang mengerti resiko dalam konteks

yang sesuai dengan tujuan perusahaan. Orang-orang harus mengetahui

tanggung jawab mereka dan batas wewenang mereka. Oleh karena itu, perlu

ada sebuah jalinan yang jelas dan tertutup di antara kewajiban dan tujuan

orang-orang tersebut

Orang-orang dalam organisasi juga termasuk jajaran Direktur dan Dewan

Komisaris, seperti halnya manajemen dan personil lain. Meskipun terkadang

Dewan Komisaris melakukan kelalaian, mereka juga memberikan bimbingan

dan bersama dengan jajaran Direktur, mereka menyetujui strategi dan

transaksi serta kebijakan tertentu. Dengan demikian, Dewan Komisaris juga

merupakan elemen yang penting dalam enterprise risk management

Diterapkan dalam Penentuan Strategi

Sebuah entitas mengedepankan visi/misi dan menyusun tujuan strategi yang

mampu sejalan dengan visi dan misinya itu. Entitas menyusun sebuah

strategi untuk mencapai tujuan-tujuan strategisnya. Selain itu, entitas juga

menyusun tujuan-tujuan terkait yang ingin dicapainya, berawal dari strategi,

lalu mengalir ke unit-unit bisnis, divisi-divisi, dan proses-proses. Dalam

menentukan strategi, manajemen mempertimbangkan resiko-resiko

sehubungan dengan strategi-strategi alternatif.

Diterapkan di Seluruh Penjuru Perusahaan

Agar sukses dalam menerapkan enterprise risk management, sebuah entitas

harus mempertimbangkan seluruh ruang lingkup kegiatannya. Enterprise

risk management meliputi kegiatan-kegiatan di semua level dalam organisasi,


dari level enterprise seperti perencanaan strategis dan alokasi sumber daya,

sampai ke kegiatan-kegiatan unit bisnis seperti marketing dan sumber daya

manusia, juga proses-proses bisnis seperti produksi dan peninjauan kredit

pelanggan baru. Enterprise risk management juga diterapkan pada proyek-

proyek khusus dan usaha-usaha baru yang mungkin belum disusun dalam

hirarkhi entitas atau tabel organisasi.

Enterprise risk management membutuhkan entitas untuk mengumpulkan

berbagai sudut pandang mengenai resiko dalam entitas. Hal ini melibatkan

tanggung jawab setiap Manajer untuk unit-unit bisnis, fungsi, proses, atau

aktivitas lain untuk mengembangkan sebuah penaksiran resiko untuk unit

tersebut. Perkiraan tersebut bisa jadi bersifat kuantitatif atau kualitatif.

Dengan melihat sudut pandang tiap level dalam organisasi, jajaran Direktur

akan menentukan apakah seluruh profil resiko entitas sudah sepadan dengan

risk appetite-nya.

Manajemen mempertimbangkan resiko-resiko yang saling berhubungan dari

sudut pandang tiap level dalam entitas. Resiko-resiko yang saling

berhubungan itu perlu diidentifikasi dan ditangani untuk membawa seluruh

resiko yang bersangkutan ke dalam risk appetite perusahaan. Resiko-resiko

untuk unit-unit individual dalam entitas mungkin masih bisa ditoleransi,

namun dengan menanganinya bersama-sama dengan resiko yang lain akan

memungkinkan risk appetite perusahaan terlampaui. Keseluruhan risk

appetite mencerminkan akhir dari suatu entitas melalui toleransi resiko yang

terbentuk untuk tujuan khusus.

Risk Appetite

Risk appetite adalah jumlah resiko yang bisa diterima entitas dalam

pengejaran nilai. Entitas seringkali memperhitungkan risk appetite secara

kualitatif, dengan kategori-kategori seperti tinggi, sedang, atau rendah, dan

biasanya entitas melakukan pendekatan-pendekatan secara kuantitatif,

menggambarkan dan menyeimbangkan sasaran-sasaran untuk

pertumbuhan, hasil, dan resiko.

Risk appetite secara langsung terkait dengan strategi entitas. Risk appetite

dipertimbangkan dalam penentuan strategi, di mana hasil yang diinginkan

dari sebuah strategi harus diarahkan agar sejalan dengan risk appetite

entitas. Strategi-strategi yang berbeda akan membawa entitas pada resiko-

resiko yang berbeda. Penerapan enterprise risk management dalam


penentuan strategi akan membantu manajemen dalam memilih strategi yang

konsisten dengan risk appetite perusahaan.

Risk appetite entitas juga dapat menjadi pemandu dalam pengalokasian

sumber daya entitas. Manajemen mengalokasikan sumber-sumber daya

untuk semua unit bisnis dengan mempertimbangkan risk appetite

perusahaan dan strategi unit-unit bisnis individual untuk mewujudkan hasil

yang diinginkan dari sumber-sumber daya yang diinvestasikan. Manajemen

mempertimbangkan risk appetite yang sejalan dengan organisasi, orang-

orang dan proses-proses, dan mendesain infrastruktur yang penting untuk

merespon dan memonitor resiko secara efektif.

Risk tolerances are the acceptable level of variation relative to the achievement

of objectives. In setting specific risk tolerances, management considers the

relative importance of the related objectives and aligns risk tolerances with its

risk appetite. Operating within risk tolerances provides management greater

assurance that the entity will remain within its risk appetite and, in turn,

provides a higher degree of comfort that the entity will achieve its objectives.

Toleransi resiko adalah level resiko yang dapat diterima, terkait dengan

pencapaian tujuan. Dalam menentukan toleransi resiko yang spesifik,

manajemen mempertimbangkan kaitan penting antara tujuan.

Menyediakan Jaminan yang Layak

Enterprise risk manajemen yang didesain dan dijalankan dengan baik dapat

menyediakan jaminan yang layak manajemen dan para pimpinan perusahan

akan pencapaian tujuan entitas. Melalui pelaksanaan enterprise risk

management yang efektif di tiap kategori tujuan entitas, para pemimpin dan

manajemen akan memperoleh jaminan layak bahwa :

·Mereka memahami tingkat pencapaian tujuan strategis

·Mereka memahami sejauh mana tujuan operasi entitas telah tercapai

·Pelaporan entitas dapat diandalkan

·Peraturan dan hukum-hukum yang digunakan telah dipenuhi.

Jaminan yang layak mencerminkan gagasan bahwa ketidakpastian dan

resiko berkaitan dengan masa depan, yang tidak dapat diprediksi dengan

pasti. Keterbatasan-keterbatasan juga merupakan hasil dari kenyataan

bahwa penilaian manusia dalam pengambilan bisa salah. Keputusan dalam


merespon resiko, dan pembangunan kendali perlu mempertimbangkan

manfaat dan biaya-biaya relatif. Gangguan dapat terjadi karena kesalahan

manusia seperti kesalahan-kesalahan sederhana, kendali dapat dikacaukan

oleh kolusi dua orang atau lebih, dan manajemen memiliki kemampuan untuk

mengesampingkan keputusan enterprise risk management. Keterbatasan-

keterbatasan tersebut menghalangi jajaran Direktur dan Komisaris untuk

mencapai tujuan.

Pencapaian Tujuan

Enterprise risk management yang efektif dapat diandalkan untuk

memberikan jaminan yang layak tentang pencapaian tujuan, berkaitan

dengan pelaporan yang dapat dipercaya dan pemenuhan peraturan dan

hukum yang ada. Pencapaian kategori-kategori tujuan tersebut ada dalam

kendali entitas dan tergantung pada seberapa baik kegiatan-kegiatan entitas

yang berkaitan dilaksanakan.

Bagaimanapun, pencapaian tujuan strategis dan operasi tidak selalu berada

dalam kendali entitas. Enterprise risk management dapat memberikan

jaminan yang layak hanya jika jajaran Direktur dan Dewan Komisaris

menyadari kelalaian mereka tepat pada waktunya, bersamaan dengan

pergerakan entitas untuk mencapai tujuan.

Komponen-komponen Enterprise Risk Management

Berdasaran rancangan kerja ini, enterprise risk management terdiri dari

delapan komponen yang saling berkaitan. Komponen-komponen tersebut

diperoleh dari pelaksanaan bisnis oleh manajemen dan terintegrasi dengan

proses manajemen. Komponen-komponen itu antara lain :

a) Lingkungan Internal

b) Pengaturan Tujuan

c) Identifikasi Peristiwa

d) Penaksiran Resiko

e) Tanggapan terhadap Resiko

f) Informasi dan Komunikasi

g) Pengawasan

Mari kita membahas tiap-tiap komponen tersebut.


Lingkungan Internal

Lingkungan internal entitas adalah dasar dari semua komponen lain dalam

enterprise risk management, yang menyediakan disiplin dan struktur.

Lingkungan internal mempengaruhi bagaimana strategi dan tujuan

ditentukan, kegiatan bisnis disusun, dan resiko-resiko diidentifikasi,

diperkirakan, dan diangkat ke permukaan. Lingkungan internal juga

mempengaruhi desain dan menjalankan aktivitas-aktivitas kontrol, sistem

informasi dan komunikasi, dan pengawasan aktivitas.

Lingkungan internal terdiri dari banyak elemen, termasuk nilai etis entitas,

kompetensi dan pengembangan personil, corak pelaksanaan manajemen,

dan bagaimana penentuan wewenang dan tanggung jawab. Jajaran Direktur

dan Komisaris adalah bagian-bagian penting dalam lingkungan internal,

yang secara signifikan mampu mempengaruhi elemen-elemen lingkungan

internal yang lain.

Sebagai bagian dari lingkungan internal, jajaran perusahaan menentukan

filosofi manajemen resiko, risk appetite entitas, membentuk sebuah budaya

resiko dan mengintegrasikan enterprise risk management dengan inisiatif-

inisiatif terkait.

Filosofi manajemen resiko yang dipahami oleh seluruh personil akan

mempermudah pengenalan kemampuan karyawan dan mengelola resiko

secara efektif. Filosofi tersebutkepercayaan entitas tentang resiko dan

bagaimana hal tersebut dipilih untuk mengontrol aktivitas-aktivitas yang ada

dan menangani resikomencerminkan nilai yang dicari entitas dari enterprise

risk management dan mempengaruhi bagaimana komponen-komponen

enterprise risk management akan diterapkan. Jajaran Direktur

menyampaikan filosofi tersebut pada karyawan melalui pernyataan-

pernyataan kebijakan dan penyampaian lain. Yang penting, jajaran Direktur

menanamkan filosofi tersebut bukan hanya dengan kata-kata, namun juga

dengan tindakan nyata tiap harinya.

Risk appetite, yang disusun oleh jajaran Direktur dan ditinjau oleh Dewan

Komisionaris, merupakan tonggak dalam penentuan strategi. Biasanya

beberapa strategi yang berbeda dapat didesain untuk mencapai

pertumbuhan dan hasil yang diinginkan, dan masing-masing strategi

memiliki resiko terkait yang berbeda-beda. Enterprise risk management,

diterapkan dalam penentuan strategi, membantu manajemen untuk memilih


Tujuan Pelaporan

Berkaitan dengan sasaran-sasaran tingkat tinggi, mendukung dan sejalan dengan visi misi entitas.

Berkaitan dengan keefektifan dan efisiensi operasi entitas, termasuk kinerja dan sasaran yang menguntungkan. Tujuan ini bervariasi tergantung dari struktur dan kinerja yang dipilih oleh jajaran Direktur.

Berkaitan dengan pemenuhan hukum dan aturan yang berlaku dalam entitas.

Berkaitan dengan keefektifan pelaporan entitas. Meliputi pelaporan internal dan eksternal dan mungkin juga melibatkan informasi finansial maupun non-finansial.

Tujuan Strategis Tujuan Operasi

Tujuan Pemenuhan

Figure 2.4 Kategori tujuan

strategi yang sesuai dengan risk appetite. Manajemen terlihat mengatur

organisasi, masyarakat, proses dan infrastruktur untuk strategi yang sukses.

Resiko Kultur adalah satuan sikap bersama, nilai-nilai dan praktek yang

menandai bagaimana suatu kesatuan mempertimbangkan resiko dalam

aktivitas sehari-hari nya. Karena banyaknya perusahaan, kultur resiko

mengalir dari filosofi resiko kesatuan dan selera resiko. Untuk yang kesatuan

yang tidak dengan tegas menggambarkan filosofi resiko mereka, resiko kultur

boleh membentuk secara tidak benar, menghasilkan kultur resiko dengan

mantap berbeda di dalam suatu perusahaan atau bahkan di dalam unit bisnis

tertentu, fungsi atau departemen.

Penentuan Tujuan

Dalam konteks penyusunan visi misi, jajaran Direktur juga menyusun

tujuan-tujuan strategis, memilih strategi dan menyusun tujuan terkait,

mengalirkannya melalui perusahaan dan meluruskan serta mengaitkannya

dengan strategi. Tujuan harus ada sebelum manajemen dapat

mengidentifikasi hal-hal yang berpotensi mempengaruhi pencapaian mereka.

Enterprise risk management memastikan jajaran Direktur dan manajemen

menyusun tujuan dan meluruskan tujuan-tujuan tersebut dengan visi misi,

serta bersikap konsisten terhadap risk appetite entitas.

Berdasarkan rancangan kerja COSO, ada 4 kategori tujuan yakni tujuan

strategis, operasional, pelaporan, dan pemenuhan, seperti yang terlihan di

Figure 2.4.


Pengkategorian tujuan entitas di atas (Figure 2.4.) memungkinkan jajaran

Direktur dan Komisaris untuk berpusat pada aspek-aspek yang berbeda

dalam enterprise risk management. Kategori-kategori yang berbeda namun

berkesinambungan tersebutsebuah tujuan khusus bisa dimasukkan dalam

lebih dari satu kategorimenunjuk pada kebutuhan-kebutuhan entitas yang

berbeda dan juga tanggung jawab langsung dari eksekutif yang berbeda.

Pengkategorian ini juga menunjukan perbedaan antara apa yang bisa

diharapkan dari setiap kategori tujuan.

Some entities use another category of objectives, "safeguarding of resources,"

sometimes referred to as "safeguarding of assets." Viewed broadly, these deal

with prevention of loss of an entity's assets or resources, whether through

theft, waste, inefficiency or what turns out to be simply bad business decisions

- such as selling product at too low a price, failing to retain key employees or

prevent patent infringement, or incurring unforeseen liabilities. This broad-

based safeguarding of assets category may be narrowed for certain reporting

purposes, where the safeguarding concept applies only to the prevention or

timely detection of unauthorized acquisition, use, or disposition of the entity's

assets.

Beberapa entity menggunakan kategori sasaran hasil yang lain,

"perlindungan sumber daya," kadang-kadang dikenal sebagai "perlindungan

asset." yang dipandang secara luas ini, berhadapan dengan pencegahan

hilangnya suatu sumber daya atau asset kesatuan, apakah pencurian, barang

sisa, pemborosan atau apapun yang ternyata adalah keputusan bisnis yang

tidak baik seperti menjual produk terlalu rendah pada suatu harga,

kekurangan untuk mempertahankan karyawan kunci atau mencegah

pelanggaran hak paten, atau memberikan kewajiban tak terduga.

Perlindungan asset yang tidak benar ini dikategorikan sebagai batas untuk

melaporkan tujuan. Jika konsep perlindungan berlaku hanya untuk

pencegahan atau pendeteksian yang tepat waktu tentang adanya

ketidaksahan, penggunaan, atau disposisi asset kesatuan tersebut.

Event Identification

Jajaran Direktur mengetahui bahwa ketidakpastian adabahwa mereka tidak

dapat mengetahui dengan pasti apakah dan kapankah sebuah peristiwa akan

terjadi, atau hasilnya. Sebagai bagian dari event identification, jajaran

Direktur dan manajemen mempertimbangkan faktor-faktor eksternal dan

internal yang mempengaruhi terjadinya suatu peristiwa. Faktor-faktor


eksternal meliputi faktor-faktor ekonomi, bisnis, lingkungan alami, politik,

sosial dan teknologi. Faktor-faktor internal mencerminkan pilihan-pilihan

manajemen dan meliputi hal-hal seperti infrastruktur, personil, proses dan

teknologi.

Metode event identification terdiri dari kombinasi teknik-teknik dengan alat-

alat pendukung. Teknik-teknik event identification melihat masa lalu dan

masa depan. Teknik-teknik yang berfokus ke peristiwa-peristiwa dan

kecenderungan-kecenderungan di masa lalu berbicara tentang hal-hal

seperti sejarah kelalaian pembayaran, perubahan harga komoditas, dan

keterlambatan-keterlambatan. Teknik-teknik yang berfokus pada masa

depan bicara mengenai hal-hal seperti perubahan demografis, pasar-pasar

baru, dan tindakan pesaing.

Hal tersebut mungkin berguna untuk mengelompokkan peristiwa-peristiwa

potensial ke dalam kategori-kategori. Dengan mengumpulkan peristiwa-

peristiwa secara horizontal di seluruh penjuru entitas dan secara vertikal ke

dalam unit-unit operasi, jajaran Direktur dan manajemen mengembangkan

pengertian hubungan timbal balik antar peristiwa, meningkatkan informasi

sebagai dasar penaksiran resiko.

Peristiwa-peristiwa biasanya memiliki dampak negatif, dampak positif, atau

keduanya. Peristiwa yang berpotensi menghasilkan dampak negatif

memunculkan resiko-resiko yang perlu ditaksir dan ditanggapi oleh

manajemen. Karena itu, resiko didefinisikan sebagai kemungkinan bahwa

suatu peristiwa akan terjadi dan membawa pengaruh buruk bagi pencapaian

tujuan.

Peristiwa yang berpotensi menghasilkan dampak positif akan memunculkan

kesempatan-kesempatan atau mengimbangi dampak negatif dari resiko-

resiko yang ada. Kesempatan yang dihadirkan oleh peristiwa-peristiwa

tersebut disalurkan kembali pada strategi manajemen atau proses

penyusunan tujuan, sehingga tindakan-tindakan tersebut bisa dirumuskan

untuk meraih kesempatan-kesempatan yang ada. Peristiwa-peristiwa yang

berpotensi mengimbangi dampak negatif resiko-resiko tersebut

dipertimbangkan dalam penaksiran dan respon manajemen resiko.

Risk Assessment

Risk assessment (penaksiran resiko) memungkinkan entitas untuk


mempertimbangkan seberapa besar potensi sebuah peristiwa mungkin

mempengaruhi pencapaian tujuan. Manajemen menaksir peristiwa-peristiwa

dari dua perspektif : Kemungkinan dan Dampak.

Likelihood menunjukkan kemungkinan sebuah peristiwa akan terjadi,

sedangkan Dampak menunjuk pada efek yang timbul saat peristiwa tersebut

terjadi. Perkiraan dampak dan kemungkinan resiko seringkali ditentukan

dengan menggunakan data dari pengamatan peristiwa-peristiwa lampau,

yang dapat memberikan dasar yang lebih obyektif dibandingkan perkiraan-

perkiraan subyektif lain. Secara internal, data yang dihasilkan dari

pengalaman entitas dapat lebih mencerminkan data yang tidak subyektif, dan

menyediakan hasil yang lebih baik dibanding data dari sumber luar.

Bagaimanapun, meskipun data yang dihasilkan secara internal merupakan

input utama, eksternal data dapat berguna sebagai checkpoint atau untuk

meningkatkan analisa. Pengguna harus berhati-hati dalam menggunakan

peristiwa-peristiwa lampau untuk memprediksikan masa depan, mengingat

faktor-faktor yang mempengaruhi peristiwa-peristiwa tersebut bisa berganti

seiring dengan waktu.

Sebuah metodologi penaksiran resiko secara umum terdiri dari kombinasi

teknik kuantitatif dan kualitatif. Manajemen seringkali menggunakan teknik

penaksiran kualitatif saat resiko-resiko yang ada tidak masuk hitungan, atau

ketika data-data yang dibutuhkan untuk penaksiran kuantitatif tidak cukup

terpercaya atau tidak tersedia, atau jika pembiayaan analisa dan

pengumpulan data tidak efektif.

Teknik kuantitatif secara khusus lebih teliti dan digunakan dalam kegiatan-

kegiatan yang lebih rumit dan canggih untuk memperlengkapi teknik

kualitatif. Sebuah entitas hendaknya tidak menggunakan teknik penaksiran

yang umum untuk semua unit bisnis. Sebaliknya, pemilihan teknik

penaksiran tersebut harus mencerminkan kebutuhan akan detail dan budaya

dari unit bisnis. Dalam setiap peristiwa, metode-metode yang digunakan oleh

unit-unit bisnis individual harus memudahkan perkiraan resiko di seluruh

entitas.

Manajemen seringkali menggunakan pengukuran kinerja dalam menentukan

sejauh mana tujuan tercapai. Penggunaan unit pengukuran tersebut

mungkin juga akan berguna saat mempertimbangkan dampak potensial

resiko dalam pencapaian tujuan yang spesifik.


Manajemen dapat memperkirakan bagaimana peristiwa-peristiwa berkaitan

jika rangkaian peristiwa tersebut bergabung dan berinteraksi untuk

membentuk kemungkinan atau dampak yang berbeda. Ketika dampak dari

sebuah peristiwa tunggal tidak terlalu besar, sebuah rangkaian peristiwa

mungkin diperlukan untuk memberi dampak yang lebih signifikan. Ketika

peristiwa-peristiwa yang potensial tidak secara langsung terkait, manajemen

menaksirkan mereka secara individual, di mana resiko mungkin terjadi

dalam penggabungan unit-unit bisnis, manajemen boleh menilai dan

menggolongkan peristiwa yang dikenali ke dalam kategori umum.

Pada umumnya, nilai kemungkinan berhubungan dengan suatu peristiwa

yang mempunyai potensi, sehingga manajemen mempertimbangkannya

sebagai suatu landasan untuk mengembangkan suatu tanggapan resiko.

Sambil menilai resiko, manajemen juga harus mempertimbangkan hal positif

dan konsekwensi negatif dari suatu potensi peristiwa, secara individu atau

berdasarkan kategorinya, dengan mengesampingkan entity-nya.

Karena resiko-resiko ditaksir dalam konteks strategi dan tujuan entitas,

manajemen seringkali memiliki kecenderungan untuk berfokus pada resiko

jangka pendek sampai jangka menengah. Namun, beberapa elemen dari

petunjuk dan tujuan yang strategis meluas secara jangka panjang. Sebagai

hasilnya, manajemen perlu menyadari perlunya pemikiran jangka panjang

tersebut dan tidak mengabaikan resiko-resiko jangka panjang yang mungkin

terjadi.

Perkiraan resiko diterapkan lebih dahulu pada inherent riskresiko yang

menuju kepada entitas dimana tidak ditemukan berbagai aksi manajemen

mungkin dimungkinkan berpindah ke resiko likelihood maupun dampak.

Saat resiko di tanggapi secara berkelanjutan, manajemen kemudian

menggunakan teknik penilaian resiko untuk menentukan resiko bersifat

residual-riskresiko yang tersisa setelah tindakan manajemen untuk

mengatasi kemungkinan resiko atau dampak.

Respon terhadap Resiko

Manajemen mengidentifikasi pilihan-pilihan respon terhadap resiko dan

mempertimbangkan tiap efeknya, peristiwa-peristiwa dan dampak yang

mungkin terjadi, dalam kaitannya untuk menentukan toleransi resiko dan

pengeluaran yang diperlukan, dan mendesain serta menerapkan pilihan-

pilihan tanggapan tersebut. Pertimbangan dalam menentukan tanggapan


terhadap resiko dan pemilahan dan penerapannya. Dalam enterprise risk

management yang efektif, manajemen perlu memilih tanggapan terhadap

resiko yang diharapkan akan dapat membawa kemungkinan dan dampak-

dampak resiko ke dalam toleransi resiko entitas.

Risk responses fall within the categories of risk avoidance, reduction, sharing

and acceptance (see Figure 2.5). As part of enterprise risk management, for

each significant risk an entity considers potential responses from a range of

response categories. This gives sufficient depth to response selection and also

challenges the "status quo."

Tanggapan-tanggapan terhadap resiko dibagi ke dalam kategori-kategori

Pengelakan resiko, reduksi, sharing, dan penerimaan resiko (lihat dapa Figure

2.5). Sebagai bagian dari enterprise risk management, entitas

mempertimbangkan tanggapan-tanggapan yang potensial bagi tiap resiko

yang signifikan, dari cakupan kategori-kategori tanggapan. Hal ini memberi

kejelasan yang cukup untuk menanggapi pemilihan dan juga menghadapi

tantangan tersebut " keadaan tetap pada "status quo.”

Dengan memilih tanggapan terhadap resiko, manajemen menyesuaikan

kembali resiko-resiko tersebut di basis sisa. Jajaran Direktur

mempertimbangkan resiko-resiko dari seluruh entitas, atau sudut-sudut

pandang yang ada. Para pemimpin tersebut mungkin melakukan pendekatan

di mana tiap Manajer bertanggungjawab atas departemennya, dan unit serta

fungsi bisnis mengembangkan sebuah penaksiran gabungan akan resiko dan

tanggapan terhadap resiko di unit tersebut. Hal ini mencerminkan profil

Sharing

Pengelakan berarti mengambil tindakan untuk berhenti dari aktivitas-aktivitas yang memungkinkan terjadinya resiko.

Reduksi berarti mengurangi kemungkinan resiko, dampak resiko, atau keduanya.

Penerimaan Resiko berarti tidak melakukan apapun untuk mempengaruhi kemungkinan-kemungkinan dan dampak yang akan terjadi.

Sharing berarti mengurangi kemungkinan dan dampak resiko dengan memindahkan atau membagi porsi resiko.

Pengelakan Reduksi

Risk Acceptance

Figure 2.5 Categories of risk responses


resiko sebagai unit yang berhubungan dengan sasaran dan hasil yang dicapai

dan toleransi resiko. Dengan melihat resiko pada unit individu, Dewan

Direktur diposisikan untuk mengambil suatu sudut pandang, untuk

menentukan apakah profil resiko entitas tersebut adalah setara dengan

keseluruhan appetite resiko sehubungan dengan sasaran dan hasil.

Jajaran Direktur dan manajemen seharusnya menyadari bahwa beberapa

level dari resiko residual akan selalu ada, bukan karena sumber-sumber

dayanya terbatas, namun juga karena ketidakpastian dan keterbatasan-

keterbatasan yang melekat di semua aktivitas.

Aktivitas-aktivitas Kontrol

Merupakan kebijakan dan prosedur-prosedur yang membantu memastikan

bahwa tanggapan terhadap resiko dijalankan dengan layak. Aktivitas-

aktivitas kontrol terjadi di seluruh organisasi di berbagai level dan fungsi.

Aktivitas kontrol adalah bagian dari proses di mana perusahaan berusaha

mencapai tujuan bisnisnya. Aktivitas ini biasanya melibatkan dua elemen :

kebijakan tentang apa yang harus dilakukan, dan prosedur-prosedur untuk

menjalankan kebijakan tersebut.

Dengan kepercayaan akan sistem informasi yang sudah tersebar luas, kontrol

diperlukan dalam sistem-sistem yang signifikan. Dua pengelompokan

aktivitas kontrol sistem informasi yang luas dapat digunakan. Pertama,

kontrol-kontrol umum, yang diterapkan di banyak/semua sistem, yang

membantu menjamin kesinambungan sistem dan memastikan bahwa

aplikasi-aplikasi sistem tersebut tetap dioperasikan dengan layak. Kedua,

kontrol-kontrol aplikasi, yang mengandung tahap-tahap komputerisasi

dalam software aplikasi untuk mengendalikan teknologi aplikasi. Kombinasi

dengan proses manual lainnya dapat mengendalikan kebutuhan,

pengendalian tersebut tidak selalu berhasil, tepat dan rinci.

Kendali umum meliputi kendali atas manajemen teknologi informasi,

infrastruktur teknologi informasi, manajemen keamanan dan didapatnya

perangkat lunak, pengembangan dan pemeliharaan. Kendali ini berlaku bagi

semua sistemmulai dari mainframe ke client/server sampai desktop dengan

memperhitungkan ingkungan. Kendali umum meliputi manajemen

pengendalian teknologi informasi yang menunjukan proses kesalahan

teknologi informasi tersebut, monitoring dan melaporkan aktivitas teknologi

informasi, dan prakarsa peningkatan bisnis.


Kendali Aplikasi dirancang untuk memastikan kelengkapan, ketelitian,

otorisasi dan kebenaran data dalam menangkap dan proses transaksi.

Aplikasi individu boleh bersandar pada operasi yang efektif yang

mengendalikan sistem informasi untuk memastikan bahwa data alat

penghubung dihasilkan ketika diperlukan, pendukung aplikasi ada tersedia

dan kesalahan alat penghubung dideteksi dengan cepat.

Karena masing-masing kesatuan mempunyai satuan sasaran hasil dan

pendekatan implementasi sendiri, akan ada perbedaan dalam sasaran dan

hasil, struktur dan hal ini berhubungan dengan aktivitas kendali. Sekali pun

dua kesatuan mempunyai struktur dan sasaran hasil serupa, kendali mereka

terhadap aktivitas akan mungkin berbeda. Masing-Masing kesatuan diatur

oleh orang yang berbeda, yang menggunakan pertimbangan individu di dalam

pengawasan intern. Lebih dari itu, kendali mencerminkan industri dan

lingkungan tersebut, di mana suatu kesatuan beroperasi, seperti halnya

kompleksitas tentang organisasi, sejarah dan kulturnya.

Informasi dan Komunikasi

Informasi dibutuhkan di setiap level organisasi untuk mengidentifikasi,

menaksir, dan memberikan tanggapan yang tepat akan resiko, dan selain itu

untuk menjalankan entitas dan mencapai tujuan. Informasi yang relevanbaik

dari sumber-sumber dalam maupun luarharus diidentifikasi, ditangkap, dan

dikomunikasikan dalam bentuk dan rangkaian waktu yang memungkinkan

personil untuk menyelesaikan tanggung jawab mereka. Aliran informasi ini

bermula di organisasi, menurun dan menyebar ke entitas, dan ke bagian-

bagian eksternal seperti pelanggan, pemasok, pengatur, dan para pemegang

saham.

Tantangan manajemen adalah untuk memproses dan menyuling sejumlah

besar data ke dalam informasi-informasi yang bermanfaat. Tantangan ini

dijumpai dengan menyusun sebuah infrastruktur sistem informasi untuk

menngumpulkan, menangkap, memproses, menganalisa dan melaporan

infomasi yang relevan. Sistem-sistem informasi inibiasanya terkomputerisasi

namun juga melibatkan masukan-masukan atau interface yang

manualseringkali dipadang dalam konteks memproses data yang dihasilkan

secara internal, yang terkait dengan transaksi-transaksi.

Untuk mendukung enterprise risk management yang efektif, sebuah entitas

menangkap dan menggunakan data-data yang aktual dan data-data historis.


Data historis memungkinkan entitas menjajaki kinerja-kinerja nyata yang

tidak sesuai dengan target, rencana, dan harapan. Hal tersebut akan

memberikan pandangan tentang bagaimana entitas beroperasi di bawah

kondisi-kondisi yang berbeda, sehingga akan memungkinkan manajemen

untuk mengidentifikasi korelasi dan kecenderungan-kecenderungan yang

ada untuk meramalkan kinerja ke depannya. Data historis juga dapat

memberikan peringatan awal akan peristiwa-peristiwa potensial yang

mungkin terjadi yang membutuhkan perhatian dari manajemen.

Data aktual dan terkini memungkinkan entitas untuk menaksir resiko-resiko

dalam waktu yang spesifik dalam toleransi resiko yang terbentuk. Data-data

aktual memungkinkan manajemen untuk membuat gambaran yang real-time

akan resiko-resiko yang ada dan melekat dalam proses, fungsi, atau unit, dan

untuk mengidentifikasi variasi dari harapan-harapan. Hal tersebut akan

memberikan sebuah gambaran akan profil resiko entitas, memungkinkan

manajemen untuk mengubah aktivitas-aktivitas seperlunya, untuk

menyesuaikannya dengan risk appetite.

Informasi adalah dasar dari komunikasi, yang harus mempertemukan

harapan-harapan dari grup-grup dan individu-individu, memungkinkan

mereka untuk secara efektif menyelesaikan tanggung jawab mereka. Di

antara jalur-jalur komunikasi yang ada, jalur yang paling penting adalah

antara jajaran Direktur/top manajemen dan jajaran Komisaris. Jajaran

Direktur dan manajemen harus memastikan jajaran Komisaris agar tidak

tertinggal dalam kinerja, pengembangan-pengembangan, resiko-resiko dan

fungsi-fungsi dalam ERM, dan peristiwa serta masalah relevan ayng lain.

Semakin baik komunikasi, semakin efektif pula jajaran Komisaris

menyelesaikan tanggung jawab mereka, dalam bertindak sebagai penyuara

masalah-masalah yang penting dan memberikan nasihat-nasihat, konseling,

dan petunjuk. Selain itu, Dewan Komisaris juga harus menyampaikan

informasi-informasi yang dibutuhkan pada jajaran Direktur/manajemen,

serta memberikan tanggapan dan petunjuk.

Jajaran Direktur memberikan penyampaian yang spesifik dan terarah

mengenai sikap yang diharapkan dan tanggung jawab dari para personil.

Penyampaian tersebut mengandung pernyataan dari filosofi enterprise risk

management entitas, dan pendekatan serta pendelegasian wewenang.

Komunikasi tentang proses dan prosedur harus diarahkan agar sejalan dan

dapat menyokong budaya resiko yang diharapkan. Sebagai tambahan,


komunikasi seharusnya 'terbingkai' dengan pantaspresentasi informasi dapat

secara signifikan mempengaruhi bagaimana informasi tersebut ditafsirkan

dan bagaimana resiko-resiko terkait atau kesempatan-kesempatan

dipandang.

Komunikasi seharusnya meningkatkan kesadaran tentang kepentingan dan

relevansi enterprise risk management yang efektif, menyampaikan risk

appetite dan toleransi resiko perusahaan, dan mendukung bahasa resiko

yang umum, dan menasehati para personel akan peranan dan tanggung jawab

mereka dalam mempengaruhi dan mendukung komponen-komponen

enterprise risk management.

Saluran-saluran komunikasi juga harus dipastikan agar memungkinkan para

personel untuk menyampaikan resiko dari informasi di seluruh unit bisnis,

gudang-gudang proses dan fungsional. Umumnya, jalur pelaporan dalam

sebuah organisasi adalah saluran yang tepat untuk komunikasi. Di beberapa

kondisi, bagaimanapun, jalur-jalur komunikasi yang terpisah diperlukan

untuk bertindak sebagai mekanisme fail-safe selama jalur-jalur normal

lainnya tidak beroperasi. Penting bagi personil untuk memahami bahwa tidak

akan ada imbalan untuk melaporkan informasi yang relevan.

Saluran-saluran komunikasi eksternal dapat memberi masukan yang sangat

signifikan bagi desain atau kualitas produk dan layanan. Manajemen

mempertimbangkan bagaimana risk appetite dan toleransi resiko sejalan

dengan para pelanggan, pemasok, dan partner-partner bisnis, serta

memastikan bahwa hal-hal tersebut tidak membawa banyak resiko dari

interaksi bisnis. Komunikasi dari luar sering menyediakan informasi penting

yang berguna untuk manajemen resiko perusahaan.

Monitoring

Enterprise risk management diawasiproses untuk menaksir baik kehadiran

maupun fungsi dari komponen-komponennya dan kualitas kinerjanya dari

waktu ke waktu. Pengawasan dapat dilakukan dalam dua cara : melalui

kegiatan yang terus-menerus atau melalui evaluasi-evaluasi terpisah. Kedua

macam pengawasan tersebut bermanfaat untuk memastikan bahwa

enterprise risk management tetap diterapkan di semua level di seluruh bagian

entitas.


Pengawasan berkelanjutan dibentuk dalam kegiatan entitas yang

berkelanjutan dari hari ke hari. Pengawasan berkelanjutan dilaksanakan

atas dasar real-time, bereaksi secara dinamis pada perubahan kondisi dan

berurat akar dalam entitas. Sebagai hasilnya, pengawasan jenis ini lebih

efektif daripada evaluasi-evaluasi terpisah. Karena evaluasi terpisah

dilakukan setelah suatu kejadian terjadi, masalah akan diidentifikasi lebih

cepat dengan pengawasan berkelanjutan. Namun banyak entitas yang juga

menerapkan evaluasi terpisah, di samping menerapkan pengawasan

berkelanjutan.

Frekwensi dari evaluasi yang terpisah adalah suatu pertimbangan

manajemen. Di dalam membuat ketentuan, pertimbangan ditujukan kepada

derajat perubahan dan keasliannya, dari kedua-duanya baik peristiwa

internal dan eksternal, dan hubungan resiko mereka; kemampuan dan

pengalaman personil yang menerapkan tanggapan resiko dan hubungan yang

terkendali; dan hasil pemantauan yang berkelanjutan tersebut. Pada

umumnya, beberapa kombinasi dari pemantauan berkelanjutan dan evaluasi

akan memastikan bahwa manajemen resiko suatu perusahaan telah

memelihara efektivitas nya dari waktu ke waktu.

Tingkat dokumentasi dari suatu manajemen resiko perusahaan bervariasi

menurut ukuran entitasnya, kerumitan yang terjadi dan faktor-faktor

serupa. Fakta menunjukkan bahwa unsur-unsur manajemen resiko

perusahaan yang tidak termonitor bukan berarti tidak efektif atau bahwa

mereka tidak bisa dievaluasi. Bagaimana pun, suatu tingkatan dokumentasi

yang sesuai pada umumnya membuat monitoring lebih efisien dan efektif.

Jika manajemen berniat untuk membuat suatu pernyataan ke luar mengenai

efektivitas manajemen resiko perusahaan, sudah seharusnya

mempertimbangkan perkembangan dan menyimpan dokumentasi untuk

mendukung pernyataan tersebut.

Semua kekurangan manajemen resiko perusahaan yang mempengaruhi

suatu kemampuan entity untuk mengembangkan, menerapkan strategi dan

untuk mencapai sasaran, hasil yang dibentuknya harus dilaporkan untuk

memposisikan dan mengambil tindakan yang dibutuhkan. Lazimnya

berbagai hal yang dikomunikasikan akan berubah tergantung pada otoritas

individu atas keadaan yang terjadi. Istilah "kekurangan" mengacu pada suatu

kondisi di dalam manajemen resiko perusahaan yang kekurangan perhatian.

Suatu kekurangan, mungkin menciptakan suatu perhatian, potensi atau


kelemahan, atau suatu kesempatan untuk memperkuat proses tersebut

untuk meningkatkan kemungkinan hasil entitas yang akan tercapai.

Informasi dihasilkan selama beroperasi pada umumnya dilaporkan melalui

saluran normal. Saluran Komunikasi Alternatif juga perlu ada untuk

melaporkan informasi yang sensitif seperti tindakan tidak pantas atau tidak

sah.

Penyediaan informasi diperlukan pada kelemahan manajemen resiko

perusahaan saat keadaan kritis. Protokol harus dibentuk untuk

mengidentifikasi informasi yang diperlukan di kondisi tertentu untuk

pengambilan keputusan efektif. Sebagaimana pula protokol mencerminkan

aturan umum seorang manajer dirasa perlu menerima informasi yang

mempengaruhi tindakan atau perilaku bawahan serta tanggung jawab nya,

seperti halnya informasi yang diperlukan untuk mencapai sasaran khusus.

Penguasaan resiko

Semua diskusi di atas memberi kita pemahaman yang menyeluruh tentang

bagaimana penguasaan resiko harus dibangun dalam sebuah organisasi.

Sudah jelas bahwa tanggung jawab utama dari pimpinan perusahaan (jajaran

Direktur dan Dewan Komisaris) adalah untuk memastikan bahwa mereka

telah mengembangkan sebuah pemahaman yang jelas tentang strategi bisnis

perusahaan dan resiko-resiko yang fundamental. Pimpinan perusahaan juga

perlu memastikan transparansi resiko bagi semua pemangku kepentingan

melalui penyingkapan internal dan eksternal yang memadai.

Meskipun Dewan Komisaris sedang tidak berada di tempat untuk mengelola

bisnisnya, adalah tetap merupakan tanggung jawabnya untuk mengawasi

manajemen dan menjaganya agar tetap dapat dipertanggungjawabkan.

Dewan Komisaris juga harus turut berpartisipasi dalam mengembangkan

keseluruhan rencana kerja firma, mempertimbangkan bagaimana

perubahan-perubahan akan mempengaruhi kesempatan dan strategi bisnis

dalam firma. Oleh karena itu, dibutuhkan informasi tentang tingkat dan tipe

resiko yang dapat diterima oleh firma. Sebagai contoh, pimpinan harus

menggolongkan 'risk appetie' yang layak untuk firma.

Secara khusus, pimpinan harus memastikan bahwa strategi-strategi bisnis

dan manajemen resiko lebih diarahkan ke ekonomi dibandingkan kinerja

akuntansinya, berkebalikan dengan kondisi yang terjadi di Enron dan

beberapa firma lain yang terlibat dalam skandal kekuasaan perusahaan yang

telah dipublikasikan.


Untuk memenuhi kewajiban penguasaan resiko, Dewan Komisaris bersama

dengan jajaran Direktur harus memastikan bahwa firma telah membuat

program untuk menempatkan enterprise risk management yang efektif

dengan tepat, yang konsisten dengan pilihan-pilihan risk appetite dan

strategi-strategi fundamental. Dan harus dipastikan bahwa kebijakan,

metode, dan infrastrukturnya tetap berjalan dengan layak. Infrastrukur,

seperti yang sudah disebutkan sebelumnya mengandung elemen-elemen

operasi (contoh : software yang canggih, hardware, data, proses operasional)

dan personal.

Sebuah Dewan Komisaris yang efektif akan membangun standar-standar etik

yang kuat. Beberapa praktik terbaik di bank dewasa ini telah menyusun

Komite Etik untuk mencoba memastikan resiko-resiko yang kecil seperti

praktek bisnis yang tidak etis tidak menjatuhkan mereka dalam rancangan

kerja pelaporan resiko mereka.

Suatu Dewan Komisaris selalu memastikan bahwa suatu informasi yang

didapat tentang manajemen resiko selalu tepat dan dan dapat dipercaya.

Dewan Komisaris mempertunjukkan kepercayaan dan memerlukan

informasi dari suatu masalah dengan banyak mengetahui dari nara sumber

yang dapat dipercaya, seperti CEO, manajemen senior, dan auditor internal

dan eksternal. Komisaris harus disiapkan untuk dapat bertanya secara rinci,

dan mereka harus membuat diri mereka mampu memahami jawaban

tersebut.

Suatu Dewan Komisaris, bagaimanapun harus dapat menangani

resikodengan manajemen resikoyang tidak tertangani dari hari ke hari.

Selain itu, mereka juga harus memastikan bahwa semua mekanisme

berfungsi untuk membuat keputusan manajemen resiko berfungsi secara

layak.

Pertanyaan tinjauan

5 pertanyaan pilihan ganda sebagai bahan kajian bab 2

1. Sebutkan 3 tipe utama dari resiko yang dikenal secara tradisional :

(a) Resiko pasar, Resiko kredit, and Resiko keuangan.

(b) Resiko pasar, Resiko keuangan, and Resiko operasional.


(c) Resiko bisnis, Resiko pasar, and Resiko keuangan.

(d) Resiko pasar, Resiko kredit, and Resiko operasional.

2. Berikut ini merupakan elemen yang benar dari proses manajemen

resiko berdasarkan AS/NZS 4360:2004 , kecuali :

(a) Menyusun konteks.

(b) Mengidentifikasi dan menganalisa resiko

(c) Menangani resiko, mengawasi dan meninjau ulang

(d) Lingkungan internal

3. Tanggapan-tanggapan pengurangan resiko berarti :

(a) Mengambil tindakan dengan berhenti melakukan aktivitas yang

meningkatkan resiko

(b Mengurangi likelihood resiko atau dampaknya dengan memindahkan

atau membagi resiko dengan bagian yang lain.

(c) Tidak mengambil tindakan apapun untuk mempengaruhi likelihood

atau dampak

(d) Mengurangi likelihood resiko, dampak, atau keduanya.

4. Dalam konteks Indonesia, berdasarkan COSO Enterprise Risk

Management Framework, siapa yang bertanggung jawab untuk

membangun risk appetite entitas?

(a) Manajemen dan ditinjau ulang oleh jajaran Direktur dan Dewan

Komisaris

(b) Dewan komisaris

(c) Jajaran Direktur

(d) Jajaran Direktur, dan ditinjau ulang oleh Dewan Komisaris

5. Berikut ini merupakan komponen enterprise risk management

berdasarkan rancangan kerja COSO, kecuali :

(a) Lingkungan internal

(b) Penyusunan tujuan

(c) Penaksiran resiko

(d) Penguasaan resiko


Bab tiga adalah usaha kita untuk menerapkan ERM ke dalam konteks

Indonesia, peraturan-peraturan perusahaan yang terkait baik milik pribadi,

umum atau milik negara, resiko legalitas dan tuntutan hukum, budaya dan

situasinya. Bab ini memberi pembaca pengertian kontekstual bagaimana

relevansi dan pentingnya ERM dalam lingkungan bisnis dan pemerintahan

Indonesia saat ini. Pada akhir bab ini kami juga membahas tentang peran

penting dari pihak terkait dalam memastikan bahwa kebijaksanaan dan

strategi manajemen (contohnya kemampuan untuk mengambil resiko dan

toleransi) dilaksanakan dan diawasi sampai pada garis paling bawah.

Lingkungan Resiko

Karena sebuah perusahaan tidak beroperasi dalam kondisi vakum, tetapi

keberadaannya adalah pemberian dari lingkungan, perusahaan menjadi

sasaran atau terpapar kepada peraturan yang

terkait. Untuk alasan itu, lingkungan peraturan

dan tindakan pengaturan menjadi penting untuk

dipertimbangkan dan dipahami. Faktanya, syarat

dasar dari praktek sound risk management

adalah sebuah perusahaan berjalan selaras

dengan peraturan yang relevan dan terkait.

Untuk perusahaan milik negara (SOE), sebagai

contohnya, lingkungan peraturan dan tindakan pengaturan mungkin sangat

luas sehingga perlu diatur oleh undang-undang, UUPT, UU BUMN, UU Pasar

Modal, peraturan pasar modal, peraturan umum dan sebagainya. Perhatikan

Gambar 3.1. Jika ini sebuah bank, maka bank tersebut menjadi subjek dari

peraturan yang dikeluarkan oleh bank sentral seperti Peraturan Bank

Indonesia (PBI). Peraturan ini ada kalanya tidak sesuai bahkan bertolak

belakang satu sama lain. Dengan demikian resiko dari SOE ini cukup tinggi.

Luasnya lingkungan legal dan pengaturan ini diklasifikasikan secara spesifik

sebagai resiko legal dan peraturan. Dampak pengambilan resiko ini dapat

berbentuk pelanggaran, seperti terlibat dalam transaksi ilegal, hingga potensi

karena perubahan hukum. Perubahan hukum perpajakan, sebagai

BAB IIIENTERPRISE RISKMANAGEMENT DALAM KONTEKS


contohnya, dapat menciptakan kerugian tidak terduga, seperti ketika

Pemerintah Inggris mengubah kode pajak untuk menghilangkan keuntungan

pajak selama musim panas tahun 1997, sebuah bank investasi besar

menderita kerugian yang besar.

Kita perlu menyadari bahwa resiko juga berhubungan dengan resiko reputasi.

Sebuah pelanggaran hukum akan memberi dampak langsung kepada

reputasi Anda, baik perusahaan ataupun pribadi. Resiko reputasi memberi

ancaman tersendiri pada institusi keuangan karena melibatkan natur dari

bisnis, kepercayaan pelanggan, kreditor, pembuat peraturan dan pasar pada

umumnya. Sebuah survey yang di keluarkan pada Agustus 2004 oleh Price

Waterhouse Coopers (PWC) dan Economist Intelligence Unit (EIU), 34 persen

dari 134 bank internasional yang menjadi responden meyakini bahwa resiko

reputasi adalah resiko terbesar bagi pasar dan pemegang saham dari bank

tersebut. Sementara resiko pasar dan kredit memiliki angka masing-masing

25 persen.

Manajemen Resiko dan Akuntabilitas Pengurus Perusahaan

Peraturan-peraturan yang baru dikeluarkan baik dari berbagai sektor,

perbankan, perusahaan dan pemerintahan, didasari persoalan pengaturan

perusahaan, telah membawa pemahaman yang lebih baik tentang tugas dari

pengurus perusahaan di Indonesia. Lebih dari sebelumnya, pengurus

perusahaan diharapkan untuk lebih bertanggung jawab dalam menjalankan

perusahaan mereka dan fakta ini membuat

mereka terbuka untuk resiko legal dan perkara

hukum.

Perusahaan apapun misalnya perseroan

terbatas, terikat Undang-undang Republik

Indonesia No. 1 Tahun 1995, sementara buku

ini ditulis sedang dalam proses amandemen.

Hukum perusahaan memperkenalkan dua

ruang pengurus, bukan satu ruang pengurus

seperti sistem anglo-saxon pada umumnya.

Dua ruang tersebut adalah eksekutif/direktur dan komisioner. Keduanya

bertanggung jawab kepada pemegang saham dalam Rapat Umum Pemegang

Saham. Pengurus perusahaan dan hubungan satu sama lain dan pemegang

saham dapat di lihat pada gambar 3.2.

Figure 3.2 - Indonesia’s limited company’s organ


Model dua ruang pengurus sebenarnya adalah lingkungan yang kondusif dan

menyeimbangkan mekanisme antara peran eksekutif dari pengurus

perusahaan dan peran pengawas dari komisioner sehingga dapat berjalan

dengan efektif. Jika berjalan dengan efektif, mekanisme ini akan memberikan

lingkungan kontrol yang kuat, mulai dari atas. Jika tidak, hal ini dapat

menyebabkan gesekan dan perlawanan yang datang dari dua sisi atau situasi

hubungan abusive yang akan menimbulkan resiko terhadap proses

pengambilan keputusan yang efektif.

Lebih jauh lagi, menurut hukum, memimpin dan mengatur perusahaan

adalah eksekusi dari tugas tanggung jawab kedua pengurusan. Tugas ini

adalah doktrin penting dalam peraturan perusahaan kita. Hal itu untuk

memastikan bahwa perusahaan akan dipimpin dan diatur secara

bertanggung jawab dan anggota pengurus akan bertanggung jawab terhadap

tindakan dari perusahaan.

Risk Appetite dan Risk Tolerance

Karena kedua sektor memiliki karakteristik masing-masing, dikendalikan

oleh semua peraturan dan keunikan pasar yang terkait, pengurus

perusahaan Indonesia dibutuhkan untuk dapat mengembangkan risk

appetite dan tolerance yang sesuai, menyeimbangkan antara pengembalian

dan profil resiko dari perusahaan.

Risk appetite dan risk tolerance (dalam batasan) beserta pernyataan

komitmen terhadap manajemen resiko diformulasikan sebagai

kebijaksanaan resiko dari perusahaan. Kita telah menyebutkan bahwa dalam

praktek terbaik dalam suatu institusi, semua berjalan dari menajemen resiko

yang jelas dan disetujui pada pimpinan. Oleh karena itu, penting bagi para

pengurus perusahaan untuk menyetujui dengan jelas risk appetite dari

perusahaan dan bagaimana hal ini dapat berhubungan dengan batasan

sistem dan ukuran resiko.

Tanpa landasan seperti ini, akan sangat sukar bagi manager resiko di bagian

bawah rantai manajemen untuk membuat keputusan kunci dalam

bagaimana melakukan pendekatan dan pengukuran resiko. Contohnya,

tanpa komunikasi jelas tentang konsep dari risk appetite institusi, bagaimana

manager resiko menjabarkan "kasus resiko terburuk" dalam analisa skenario

resiko ekstrim?


Risk appetite adalah derajat resiko, dalam level yang luas, sebuah perusahaan

atau badan bersedia untuk menerima dalam mencapai tujuan. Sementara

risk tolerance adalah tingkat penerimaan dari variasi relatif untuk mencapai

tujuan. Dalam menentukan toleransi resiko yang spesifik, manajemen

mempertimbangkan kepentingan relatif dari tujuan yang terkait dan

menyejajarkan risk tolerance dengan risk appetite, dan pada gilirannya,

menyediakan tingkat kenyamanan yang lebih tinggi bahwa perusahaan

tersebut akan mencapai tujuan-tujuannya.

Dewan Direktur mempertimbangkan risk appetite dari perusahaan dengan

pertama-tama mengevaluasi alternatif-alternatif strategis, kemudian dalam

menetapkan tujuan disejajarkan dengan strategi yang dipilih dan dalam

mengembangkan mekanisme untuk mengatur resiko terkait.

Dengan demikian jelas bahwa risk appetite berhubungan langsung dengan

strategi perusahaan. Hal ini dipertimbangkan dalam penetapan strategi,

dimana hasil yang diharapkan dari strategi seharusnya sejajar dengan risk

appetite dari perusahaan. Strategi berbeda akan mengakibatkan resiko yang

berbeda.

Risk appetite perusahaan mengatur alokasi sumber daya. Manajemen

mengalokasikan sumber daya pada unit usaha dengan pertimbangan bahwa

risk appetite perusahaan dan strategi unit bisnis individu untuk

menghasilkan hasil yang diharapkan dalam sumber daya yang

diinvestasikan. Manajemen mempertimbangkan risk appetite karena hal itu

membawa organisasi, orang, proses dan design infrastruktur yang diperlukan

untuk secara efektif merespon dan memonitor resiko.

Definisi jelas dari risk appetite sebuah organisasi dalam kebijaksanaan resiko

dan toleransi resiko membentuk sebuah elemen yang memiliki komitmen kuat

mulai dari paling atas struktur organisasi dan kesadaran bahwa dewan butuh

untuk memastikan bahwa sikap mereka sejajar dengan kebijaksanaan

manajemen resiko. Seperti sudah dijelaskan sebelumnya, hal ini untuk

memastikan integrasi dari resiko ke dalam budaya dan nilai perusahaan.

Dewan Direksi dengan pemahaman yang kuat akan profil resiko dari

keberadaan atau jalur bisnis yang terantisipasi dapat mendukung keputusan

strategis yang agresif dengan lebih percaya diri. Adopsi dari resiko yang


memadai seperti Value-at-Risk (VaR) dan penawaran modal ekonomi dapat

sangat bermanfaat. Dalam hal ini, tidak hanya sebagai pengaturan batasan

resiko tetapi juga membantu perusahaan memutuskan jalur bisnis mana

yang sesuai (setelah resiko dipikirkan lebih dahulu).

Karena dewan harus mampu untuk mempertimbangkan resiko dari seluruh

perusahaan, atau portofolio, perspektif, mempertimbangkan semua

peraturan yang terkait, mereka perlu untuk mendirikan proses dimana para

Manager yang ditugaskan untuk merancang perkiraan dari resiko dan respon

dari resiko untuk unit yang menjadi tanggung jawab mereka. Hasil dari

proses adalah profil resiko dari unit yang terkait dengan tujuan dan toleransi

resiko. Dengan beberapa resiko untuk unit individu, Dewan Direksi

diposisikan untuk mengambil pandangan portofolio dan untuk menentukan

apakah profil resiko perusahaan sepadan dengan risk appetite keseluruhan.

Peran Komite-Komite Dewan Komisaris dan Fungsi Audit Perusahaan

Untuk memperoleh praktek terbaik dari kepemimpinan perusahaan, sebuah

perusahaan harus mampu untuk menjalin toleransi yang telah disetujui oleh

dewan dengan strategi bisnis tertentu. Ini artinya, pada gilirannya, batasan

tertentu dan wewenang harus dikembangkan untuk tiap portofolio dari bisnis

dan untuk setiap tipe resiko (dalam tiap portofolio bisnis), seperti halnya juga

untuk keseluruhan portofolio.

Tantangannya tetap : bagaimana bisa risk appetite dan toleransi yang telah

disetujui disiarkan kepada manager bisnis sedemikian sehingga dapat

dimonitor dan masuk akal dalam keputusan bisnis hari lepas hari ?

Bagaimana Dewan Komisaris tahu bahwa Manager Eksekutif dan Bisnis

dapat memiliki kemampuan legal dan peraturan minimun, sebagai contoh.

Di sini jelas bahwa tugas dari dewan bagaimana pun juga tidak untuk

menangani managemen resiko berbasis hari lepas hari, tetapi untuk

memastikan bahwa semua mekanisme yang digunakan untuk

mendelegasikan keputusan manajemen resiko sudah berfungsi dengan

benar.

Dalam banyak kasus, Dewan Komisaris dapat menugaskan kepada komisi

utama, contoh komisi audit dan menagement resiko, dengan mereview dan

memeriksa kebijaksanaan utama dan prosedur terkait dalam aktivitas

managemen resiko perusahaan. Komisi-komisi ini juga memastikan bahwa


penerapan kebijakan utama ini berjalan efektif.

Komisi-komisi juga dapat membantu merekomendasikan jalan terbaik untuk

menerjemahkan risk appetite perusahaan keseluruhan, disetujui oleh Dewan

Direksi dan Komisaris, ke dalam seperangkat batasan yang mengalir turun

melalui pejabat eksekutif dan divisi bisnis.

Secara spesifik penting untuk disebutkan di sini adalah tentang peran dari

Komisi Audit, karena komisi ini sekarang ditemukan di kebanyakan

perusahaan terbatas di Indonesia, baik pribadi atau publik, SOE atau non

SOE. Peran dari Komisi Audit sangat penting bagi pandangan keseluruhan

dewan tentang perusahaan. Menurut manual Komisi Audit yang dikeluarkan

oleh Ikatan Komite Audit Indonesia, Komite Audit bertanggung jawab tidak

hanya untuk keakuratan laporan keuangan perusahaan, tetapi juga untuk

memastikan bahwa perusahaan memenuhi standar praktek minimum atau

terbaik dalam aktivitas kunci lainnya, seperti pengaturan, legal, compliance

dan aktivitas manajemen.

Satuan pengawas intern atau internal audit seharusnya juga diperkuat untuk

membantu komite-komite dalam mengatur penyelidikan periodik yang

dilakukan di seluruh perusahaan. Peran utama dari internal audit adalah

untuk menyediakan penilaian independen dari design dan implementasi

manajemen resiko perusahaan. Hal ini berarti bahwa internal audit harus

menunjuk pada kecukupan dokumentasi, efektifitas proses, integritas dari

sistem manajemen resiko, integrasi dari pengaturan resiko dalam manajemen

resiko harian, dan selanjutnya.

Audit juga seharusnya mengevaluasi kekuatan dari informasi elemen

manajemen resiko, seperti proses yang digunakan untuk mengkode dan

mengimplementasikan internal model (untuk bank). Ini seharusnya

melibatkan kontrol pemeriksaan terhadap pengambilan data posisi pasar,

seperti halnya kontrol parameter estimasi (seperti volatilitas dan asumsi

korelasi). Hal itu juga harus menguji dokumentasi sehubungan dengan

keutuhan pemenuhan dan kriteria kualitatif/kuantitatif digarisbesarkan

dalam peraturan. Juga seharusnya memberi komentar pada kepercayaan

laporan nilai terhadap resiko dari bingkai kerja.


Pertanyaan Review

Lima pertanyaan multiple choices untuk materi Bab 3.

1. Berdasarkan Undang-undang Perseroan Terbatas, Persoran Terbatas

memiliki :

(a) Dua ruang dewan: Rapat Umum Pemegang Saham dan Dewan

Komisaris.

(b) Tiga ruang dewan: Rapat Umum Pemegang Saham, Dewan

Komisioner dan Dewan Direksi.

(c) Satu ruang dewan: Dewan Direksi

(d) Dua ruang dewan: Dewan Direksi dan Dewan Komisioner

2. Sebutkan dua komite yang membantu Dewan Komisioner dalam

mengawasi manajemen resiko dalam satu perusahaan :

(a) Komite Audit dan pemimpin perusahaan

(b) Komite Manajemen Resiko dan pemimpin perusahaan

(c) Komite pemimpin perusahaan dan remunerasi dan nominasi

(d) Komite Audit dan manajemen resiko

3. Pernyataan berikut ini benar kecuali :

(a) Dewan Komisioner bertanggung jawab untuk mereview kebijakan

manajemen resiko perusahaan.

(b) Dewan Komisioner dapat menugaskan Komite Audit untuk

mereview kualitas dari kebijakan management resiko dan

prosedurnya.

(c) Dewan Komisioner harus terlibat dalam mereview risk appetite

dari perusahaan.

(d) Dewan Komisioner harus terlibat dalam proses implementasi

manajemen resiko hari lepas hari perusahaan.

4. Dewan Direksi memastikan bahwa :

(a) Manajemen resiko yang baik sudah terlaksana

(b) Fungsi audit berjalan dengan efektif

(c) Profil resiko perusahaan ada di dalam risk appetite

(d) Semua jawaban di atas benar

5. Berdasar pada praktek terbaik, pernyataan berikut adalah peran dari

komite manajemen resiko, kecuali:


(a) Secara independent mereview proses manajemen resiko

(b) Mereview kecukupan garis besar kebijakan dan sistem

(c) Bekerja sama dengan Komite Audit untuk mereview kejadian

yang berhubungan dengan resiko operasional

(d) Mendirikan risk appetite dari perusahaan


Rancangan kerja ERM membutuhkan terintegrasinya proses manajemen

resiko dalam semua aspek kehidupan perusahaanbudayanya, visi misi dan

strateginya, sama halnya dengan proses bisnisnya. Semua itu pada gilirannya

membutuhkan kapasitas internal untuk menyelesaikan prosesnya secara

efektif. Masalah-masalah tersebut akan didiskusikan di bagian tengah bab

ini.

Budaya Resiko

Banyak fokus manajemen resiko diarahkan pada membangun infrastruktur

seperti fungsi-fungsi resiko yang independen dan Komite Resiko; audit dan

penaksiran resiko; prosedur dan kebijakan manajemen resiko; model-model

dan sistem; ukuran dan laporan-laporan; serta batas-batas resiko dan proses

pengecualian. Namun, adalah sama pentingnya bahwa perusahaan-

perusahaan juga berfokus pada sisi lain, "sisi lembut" dari manajemen resiko

Nilai-nilai budaya resiko merupakan "sisi lembut" yang penting dalam

manajemen resiko, namun seringkali nilai-nilai tersebut diabaikan.

Pengaturan dan pengembangan nilai-nilai dan budaya resiko yang benar

dalam perusahaan, merupakan sebuah keharusan dalam penerapan ERM

yang sukses. Seperti halnya dengan keseluruhan budaya perusahaan bisa

menjadi suatu hal yang penting dalam menentukan seberapa sukses

perusahaan tersebut. Demikian juga budaya resikonya akan menentukan

seberapa sukses ERM di perusahaan tersebut. Budaya resiko yang lemah

adalah jika para karyawannya mempunyai pemahaman yang dangkal tentang

pentingnya manajemen resiko dan peranan mereka dalam menajemen resiko

tersebut. Jika di pihak lain, manajemen resiko di lihat sebagai pusat operasi

perusahaan dari hari ke hari, besar kemungkinan bahwa perusahaan

tersebut juga memiliki budaya resiko yang kuat juga. Seperti sebuah

lingkungan yang memungkinkan diterapkannya manajemen resiko yang

efektif

Budaya resiko merupakan sekumpulan sikap, nilai, dan praktek-praktek

yang mencerminkan bagaimana sebuah entitas memikirkan resiko dalam

BAB IV IMPLEMENTING ERM


aktivitas sehari-hari mereka. Untuk kebanyakan perusahaan, budaya resiko

mengalir dari filosofi resiko perusahaan dan risk appetite-nya. Untuk entitas-

entitas yang tidak memiliki filosofi resiko yang jelas, budaya resiko bisa

berbentuk sembarangan, menghasilkan budaya resiko yang benar-benar

berbeda dalam sebuah perusahaan atau bahkan dalam unit bisnis, fungsi,

atau departemen tertentu.

Oleh karena itu, penting bagi pimpinan untuk memperkenalkan budaya

resiko dan nilai-nilai perusahaan yang benar, melalui sikap-sikap dan

kebijakan-kebijakan tertulis yang relevan. Seperti semuap permasalahan

budaya, faktor kuncinya adalah apakah manajemen "menjalani perjalanan"

sebaik "membicarakan pembicaraan." Sebagai contoh, bagaimana

manajemen senior beraksi ketika produsen dengan pendapatan yang besar

secara nyata melanggar kebijakan manajemen resiko? Apakah mereka

mengambil tindakan perbaikan atau dengan mudahnya membalikkan

punggung atas permasalahan itu? Keputusan-keputusan dan tindakan

jajaran Direktur dan manajemen senior akan memberikan lebih banyak

pengaruh dibandingkan kebijakan tertulis manapun. Penting bahwa mereka

bertindak sesuai dengan kebijakan tersebut.

Berkaitan dengan hal ini, Dewan Direktur harus memastikan aliran

komunikasi melalui saluran komunikasi yang efektif sudah berjalan sesuai

rencana. Komunikasi tersebut harus menyampaikan sikap-sikap yang

diharapkan dan tanggung jawab para personil. Komunikasi tersebut

seharusnya juga memudahkan penyaluran pernyataan dan pendekatan

filosofi enterprise risk management entitas serta pendelegasian wewenang.

Selain itu, komunikasi juga harus memfasilitasi diskusi-diskusi terbuka

tentang permasalahan-permasalahan resiko, meningkatkan penelaahan, dan

memfasilitasi sharing pelajaran yang telah dipelajari dan praktek-prakter

terbaik. Penyampaian proses dan prosedur-prosedur harus sejalan dan

menyokong budaya resiko yang diinginkan.

Budaya resiko, bersama dengan nilai-nilai etis entitas, kemampuan dan

perkembangan personil, corak operasi manajemen dan bagaimana

manajemen mendelegasikan wewenang dan tanggung jawab, akan

membentuk apa yang kita ketahui sebagai lingkungan internal dalam ERM

integrated framework of COSO. Lingkungan internal entitas merupakan

fondasi untuk seluruh komponen enterprise risk management yang lain, yang

menyediakan disiplin dan struktur bagi entitas. Lingkungan internal

mempengaruhi bagaimana strategi dan tujuan disusun,bagaimana aktivitas


bisnis disusun dan resiko diidentifikasi, diperkirakan, dan ditangani.

Lingkungan internal mempengaruhi design dan fungsi aktivitas-aktivitas

kontrol, sistem-sistem komunikasi dan informasi, dan memonitor aktivitas-

aktivitas.

Kapasitas Internal

Pada akhirnya, manajemen resiko berbicara tentang orang-orang, proses, dan

infrastruktur, misalnya kapasitas internal perusahaan untuk mengelola

resiko. Kesalahan dalam menentukan ketiga komponen tersebut akan

membawa bencana besar bagi perusahaan.

Orang-orang

Orang-orang, kemampuan, budaya, nilai-nilai, dan insentif-insentif

merupakan 'sisi lembut' manajemen resiko. Komponen-komponen ini telah

diakui sebagai kunci-kunci pengendali aktivitas-aktivitas pengambilan

resiko. Dalam definisi COSO tentang enterprise risk management dikatakan

bahwa ERM dipengaruhi oleh orang-orang di mana itu bukan hanya sekedar

kebijakan, survey dan formulir belaka, namun benar-benar melibatkan

orang-orang di setiap level organisasi.

Kualitas yang dihasilkan proses manajemen resiko sangat dipengaruhi realita

bahwa penilaian manusia dalam pengambilan keputusan bisa jadi salah, dan

gangguan-gangguan dapat terjadi karena kelalaian-kelalaian manusia seperti

kesalahan-kesalahan sederhana, kendali dapat dielakan oleh kolusi dari dua

orang atau lebih, dan manajemen memiliki kemampuan untuk menolak

keputusan enterprise risk management.

Oleh karena itu, sifat pimpinan serta pendidikan dan pelatihan orang-orang

dalam manajemen resiko merupakan bagian yang penting dalam membangun

kapasitas internal perusahaan untuk menerapkan program enterprise risk

management yang sukses.

Resiko ada dalam berbagai bentuk dan ukuran, seperti cairan. Dalam bab

dua, kita telah mendiskusikan tentang berbagai tipe resiko seperti resiko

pasar, resiko kredit, resiko operasional, resiko hukum dan peraturan, resiko

bisnis, resiko strategis, dan resiko reputasi. Pertanyaannya adalah bagaimana

seorang Manajer yang bertanggung jawab atas resiko seluruh perusahaan

dapat bertahan mengatasi segala resiko itu? Tidaklah mungkin untuk

mempekerjakan tenaga-tenaga ahli untuk setiap resiko tersebutmengingat


resiko tersebut merupakan bagian dari tiap keputusan bisnis. Pendekatan ini

akan membutuhkan Manajer resiko untuk setiap Manajer bisnis.

Untuk alasan itu, sebuah proses sistem untuk menangkap dan belajar dari

insiden-insiden dan kerugian harus berjalan pada tempatnya. Sebuah

organisasi yang terbuka untuk belajar, memiliki kemungkinan yang kecil

untuk mengulangi kesalahan, dan cenderung mendapat manfaat dari

perkembangan dan inovasi-inovasi baru dalam bidang manajemen

resikoyaitu dengan menjadi pintar dan bijaksana, dan dengan tidak

membodohi dirinya sendiri. Pelajaran yang dipelajari dari kesalahan-

kesalahan dari praktek-praktek terbaik perusahaan lain bisa menjadi

tambahan yang berharga dibandingkan pembelajaran dari pemeriksaan

operasi perusahaan sendiri.

Enterprise risk management membutuhkan kita untuk menjadikan resiko

sebagai bagian dari pemikiran dan tanggung jawab kerja setiap karyawan.

Namun hal tersebut membutuhkan usaha yang keras dalam pelatihan dan

pendidikan. Banyak staf, baik junior maupun senior, akan merasa tidak

nyaman dengan manajemen resiko, khususnya dengan formulir-formulir

kuantitatif untuk analisa resiko. Meskipun analisa-analisa kuantitatif

tersebut seringkali sangat penting, mereka tidak terlatih untuk setiap jenis

resiko, dan oleh karena itu, karyawan-karyawan umum perlu diajari untuk

mengenali dan menaksir resiko dengan cara-cara yang relatif mudah untuk

dimengerti. Diskusi kita pada konsep resiko di bab dua merupakan hal yang

bagus untuk memulainya.

Pelatihan kesadaran terhadap resiko merupakan titik awal kesuksesan

program manajemen resiko. Tujuan dari pelatihan-pelatihan semacam itu

adalah untuk memastikan bahwa setiap orang dalam bisnis mampu untuk

secara proaktif, mengidentifikasi resiko-resiko kunci bagi perusahaan; secara

serius berpikir tentang konsekuensi-konsekuensi dari resiko-resiko yang

menjadi tanggung jawabnya; menyampaikan pada bagian-bagian lain dalam

organisasi, resiko-resiko yang membutuhkan perhatian dari bagian-bagian

lain tersebut. Dalam sebuah lingkungan risk-aware, kebanyakan

permasalahan manajemen resiko akan dialamatkan dengan cepat dan tepat

sebelum permasalahan tersebut menjadi lebih besar lagi.

Dalam usahanya untuk memajukan kesadaran resiko, pelatihan juga harus

ditargetkan untuk memperlengkapi karyawan-karyawan dengan kemampuan

dan alat-alat yang mereka butuhkan untuk mengelola resiko yang menjadi


tanggung jawab mereka.

Pendidikan resiko harus dimulai pada orientasi, dengan memperkenalkan

karyawan-karyawan baru pada konsep manajemen resiko dan memberi

penerangan pada mereka mengenai berbagai fungsi resiko dalam perusahaan

sama seperti memperkenalkan mereka pada fungsi-fungsi operasional yang

lain. Pendidikan resiko tersebut seharusnya juga mengandung program

pelatihan yang berkelanjutan, yang dibuat untuk meningkatkan

kemampuan-kemampuan yang dibutuhkan individu-individu tersebut dalam

mengemban tanggung jawab kerjanya. Adalah penting bahwa karyawan-

karyawan tersebut diperlengkapi untuk menghadapi tantangan-tantangan

berupa masalah-masalah dan resiko-resiko yang terjadi sepanjang

perubahan entitas, dan menjadi lebih kompleksdiarahkan dalam

bagiandengan mengubah teknologi-teknologi dan meningkatkan persaingan

dengan cepat. Pelatihan dan pendidikan, baik dalam bentuk instruksi kelas,

belajar sendiri, atau pelatihan yang didapat dalam pekerjaan, harus

membantu personil untuk tetap melangkah dan dapat secara efektif

beradaptasi dengan lingkungan yang berkembang. Mempekerjakan orang-

orang yang kompeten dan mengadakan pelatihan sekali saja tidaklah cukup.

Kita membutuhkan proses pendidikan yang berkelanjutan.

Orang-orang biasanya lebih memperhatikan apa saja yang menjadi tanggung

jawab pekerjaan mereka dan bagaimana intensif-intensif keuangan mereka

dihubungkan dengan kinerja mereka. Kesadaran resiko yang jelas dapat

ditanamkan dengan lebih kuat dengan memastikan para karyawan mengerti

bahwa manajemen resiko merupakan bagian dari pekerjaan mereka, dan

bahwa kompensasi insentif mereka terkait dengan kinerja resiko dan bisnis

pada tingkat bisnis dan individual. Penting bagi para karyawan untuk

melihat sendiri fakta-fakta tersebut. Jika ada persepsi bahwa landasan yang

sama untuk aturan tidak berlaku bagi semua karyawan (terutama karyawan

senior), maka karyawan yang lain akan segera berhenti melihat peraturan-

peraturan sebagai sesuatu yang bisa dielakkan dalam pengejaran karir.

Proses

Enterprise risk management berbeda dari perspektif beberapa pengamat,

yang memandang hal tersebut sebagai sesuatu yang ditambahkan pada

aktivitas perusahaan, atau sebagai beban yang dibutuhkan. Enterprise risk

management paling efektif ketika dibangun dalam infrastruktur entitas dan

menjadi bagian yang penting dalam perusahaan. Ada tiga proses yang penting

yang harus terlaksana pada tempatnya untuk memastikan terlaksananya


proses enterprise risk management kita dengan tepat :

·Menghubungkan komponen-komponen ERM dengan tujuan perusahaan

·Evaluasi reguler mengenai proses manajemen resiko

·Dokumentasi proses manajemen resiko

Menghubungkan komponen-komponen ERM dan tujuan perusahaan

Delapan komponen enterprise risk management yang saling berhubungan

(berdasarkan ERM integrated framework COSO, yang telah didiskusikan di

tengah bab dua, misalnya lingkungan internal, penyusunan tujuan,

identifikasi peristiwa, penaksiran resiko, tanggapan resiko, aktivitas control,

informasi dan komunikasi, monitoring) harus diintegrasikan dengan proses

manajemen. Sebuah model yang bagus, yang menggambarkan bagaimana

integrasi itu akan terjadi, yaitu hubungan antara komponen enterprise risk

management dengan tujuan-tujuan entitas (strategis, operasi, pelaporan, dan

pemenuhan) dan level-level (entitas, divisi, unit bisnis, dan cabang) seperti

yang diberikan COSO dapat kita lihat dalam Figure 4.1.

Model COSO ini menunjukkan bahwa ada

hubungan langsung antara tujuan dan usaha

entitas untuk mencapainya, serta komponen-

komponen enterprise risk management, yang

menggambarkan apa yang dibutuhkan untuk

mencapai tujuan-tujuan itu. Hubungan tersebut

digambarkan dalam matriks 3D, dalam bentuk

kubus. Keempat kategori tujuanstrategis, operasi,

pelaporan, dan pemenuhandigambarkan dengan

kolom-kolom vertikal. Sedangkan kedelapan

komponen digambarkan dengan baris-baris horizontal. Dan entitas serta

unitnya digambarkan oleh matriks 3D.

Model tersebut menunjukan bahwa masing-masing komponen ERM tersebut

diterapkan pada keempat kategori tujuan. Sebagai contoh, data finansial dan

non-finansial yang dihasilkan dari sumber-sumber internal dan eksternal,

yang merupakan bagian dari komponen informasi dan komunikasi,

dibutuhkan dalam pengaturan strategi dan untuk mengelola operasi bisnis

secara efektif, melaporkan secara efektif dan menentukan bahwa entitas

menaati hukum yang berlaku. Demikian pula dengan kategori-katogori

tujuan, delapan komponen-komponennya saling relevan satu sama lain.

Figure 4.1 Risk Management Components and Linkages COSO ERM Integrated Framework


Sebagai contoh, untuk kategori tujuan keefektifan dan efisiensi operasi,

diperlukan delapan komponen yang lain untuk pencapaian tujuan tersebut.

Evaluasi proses manajemen resiko

Salah satu proses yang penting adalah proses evaluasi proses manajemen

resiko itu sendiri. Ketika pendekatan atau teknik-teknik yang digunakan

berubah, sebuah disiplin seharusnya dibawa ke dalam proses, dengan dasar-

dasar pasti yang melekat di dalamnya.

Evaluasi seharusnya ada untuk memastikan apakah proses manajemen

resiko kita (bersama dengan pirantinya, metodologi dan prosedurnya) masih

sesuai dengan standar yang dibentuk manajemen untuk masing-masing

komponen, dengan tujuan akhir untuk menentukan apakah proses dapat

menyediakan jaminan yang layak berkenaan dengan sasaran yang

dinyatakan.

Dokumentasi proses manajemen resiko

Proses penting lainnya adalah merekam proses manajemen resiko. Asumsi,

metode, sumber data, analisa, hasil-hasil dan alasan-alasan pengambilan

resiko harus didokumentasikan semua.

Documentation of the risk management process

Another important process is recoding the risk management process.

Assumptions, methods, data sources, analyses, results and reasons for

decisions should all be recorded.

Rekaman proses-proses tersebut merupakan aspek yang penting dari

pengaturan perusahaan.

Keputusan-keputusan mengenai pembuatan dokumentasi harus

mempertimbangkan :

·Hukum dan kebutuhan-kebutuhan bisnis akan dokumentasi tersebut

·Biaya pembuatan dan pengelolaannya

·Manfaat-manfaat adanya dokuementasitersebut

Dokumentasi proses manajemen resiko penting untuk :

1. Menunjukkan pada para pemangku kepentingan bahwa proses tersebut

telah dilaksanakan dengan semestinya.

2. Memberikan bukti-bukti pendekatan sistematis untuk identifikasi dan


analisa resiko.

3. Memungkinkan diadakannya peninjauan ulang proses tersebut atau

keputusan-keputusan yang diambil.

4. Menyediakan dokumentasi resiko dan untuk mengembangkan database

pengetahuan organisasi.

5. Untuk memperlengkapi para pembuat keputusan dengan rencana

manajemen resiko, untuk persetujuan dan kemudian penerapannya.

6. Memudahkan pengawasan berkelanjutan dan peninjauan ulang.

7. Menyediakan jejak audit.

8. Membagi dan menyampaikan informasi.

Infrastruktur

Proses enterprise risk management membutuhkan infrastruktur resiko yang

didesign dengan baik. Infrastruktur diperlukan untuk menanggapi dan

memonitor resiko secara efektif. Tetapi harus diingat bahwa meskipun

infrastruktur tersebut tersebut penting, itu tidak berarti bahwa dengan

adanya infrastruktur itu saja sudah cukup. Hanya dengan memiliki orang-

orang dan proses yang tepat, infrastruktur tersebut baru akan memberikan

manfaat-manfaat yang nyata. Infrastruktur resiko mencakup semua

infrastruktur manajemen seperti infrastruktur kendali dan infrastruktur

sistem informasi. Tantangan manajemen adalah untuk memproses dan

menyuling data dalam jumlah besar menjadi informasi-informasi yang bisa

dikerjakan. Tantangan tersebut dapat ditemui dengan membangun sebuah

infrastruktur sistem informasi untuk mengumpulkan, menangkap,

memproses, menganalisa, dan melaporkan informasi yang relevan.

Bagaimanapun, institusi harus bergerak ke arah solusi resiko dan

mengkhususkan teknologi-teknologi komputasi yang mampu memfasilitasi

komputasi dan distribusi informasi resiko secara cepat (termasuk sekelompok

besar jaringan komputer yang cepat). Infrastruktur informasi ini harus

melayani Dewan Direktur sebagai dasbor ERM yang menyediakan jawaban-

jawaban untuk pertanyaan-pertanyaan strategis berikut :

1. Apakah ada tujuan bisnis kita yang beresiko ?

2. Apakah kita sudah memenuhi kebijaksanaan dan peraturan-peraturan

3. yang ada ?

4. Kejadian resiko apa saja yang sudah diperluas ?

5. Apakah KRI dan kecenderungan-kecenderungannya butuh segera

diperhatikan ?


6. Penaksiran resiko apa yang harus ditinjau ulang ?

Sejalan dengan visi, misi, dan strategi

ERM pada dasarnya merupakan inisiatif top down dan seharusnya dimulai

dari para pimpinan, dan disejalankan dengan visi, misi, dan strategi. Dewan

Komisaris dan Direktur adalah bagian penting dalam proses ini. Karena

merekalah yang membagikan kewajiban perumusan dan menyetujui seluruh

strategi perusahaan. Sudah sangat jelas bahwa mereka harus memastikan

bahwa resiko telah terintegrasi dengan strategi perusahaan. Target-target

manajemen resiko harus dimasukkan ke dalam sasaran-sasaran perusahaan

dan inisiatif perusahaan yang utama harus menggabungkan penaksiran

resiko dan strategi-strategi kelonggaran resiko.

Manajemen, sebagai bagian dari enterprise risk management, harus

memastikan bahwa entitas telah memilih tujuan-tujuan dan

mempertimbangkan bagaimana tujuan tersebut mendukung visi/misi dan

strategi entitas. Tujuan-tujuan entitas juga harus sejalan dengan risk

appetite entitas. Tidak sejalannya, atau sebaliknya menerima resiko yang

tidak semestinya. Lihat Figure 4.2.

Enterprise risk management yang efektif tidak mendikte tujuan apa yang

harus dipilih oleh jajaran Direktur

d a n m a n a j e m e n , n a m u n

manajemen tersebut memiliki

proses untuk menyejajarkan

tujuan entitas dengan misi dan

strateginya dan tujuan-tujuan yang

telah dipilih tersebut konsisten

dengan risk appetite entitas.

Kesejajaran

dengan risk

appetite entitas

Ketaksejajaran 1

– tidak mengambil

resiko yang cukup -

Ketaksejajaran 2

– Menerima resiko

yang tidak layak–

Zona pengambilan

resiko optimum

Figure 4.2 –Ketidaksejajaran dan kesejajaran tujuan dan risk appetite sebuah entitas


- Untuk menyediakan pelayanan kesehatan masyarakat yang berkualitas tinggi,

mudah diakses, dan bisa diusahakan.

- Menjadi yang pertama atau terbesar kedua, provider pelayanan kesehatan dengan

servis penuh dalam pasar metropolitan level menengah.

- Menduduki peringkat atas dalam kualitas pelayanan medis kami.

- Dikenal dalam pasar lokal sebagai pemimpin harga/kualitas.

- Sejajar dengan rumah sakit swasta pada target pasar yang mana kita

- Align with stand-alone hospitals in the target markets in which we do not currently

have a presence.

- Acquire high-quality under-performing service providers in target markets where

feasible. Otherwise, consider lesser programs to revamp and rebuild.

- Develop ownership participation or profit-sharing programs to attract top local

medical talent.

- Develop tailored, targeted marketing programs for large and middle market

businesses in target markets.

- Bring our state-of-the-art infrastructure systems to provide effective management

and cost control.

- Achieve leading track record of compliance with all healthcare and other applicable

laws and regulations.

- Initiate dialogue with leadership of 10 top under-performing hospitals and negotiate

agreements with two this year.

- Target 10 other programs in key target markets and execute agreements with five

this year.

- Identify needs and motivations of leading practitioners in major markets and

structure alternative model terms.

- Ensure at least one top medical talent is on board in each core discipline in at least

five major markets this year.

- Hold focus groups with business leaders in key markets to determine program

needs.

- Develop alternative model programs for business customers

- Develop methodologies for quick-start implementation of information and

operational systems in acquired/rebuilt hospitals.

- Set protocols for migration from existing systems.

- Implement new systems in one new location to serve as model going forward.

- Install our foundation systems in newly acquired facilities to provide management

reports on key performance measures, with exception and trend line analysis, within

four working days of month-end.

- Ensure all facilities accurately and timely report compliance performance and issues

for management review

- Establish uniform reporting system/accounts for assembly of accurate and complete

information required for external reporting

- Establish compliance office with charter, leadership and staffing centrally, providing

support to local units.

- Ensure line recognizes its primary compliance responsibilities, building into HR

objectives and performance assessments.

- Develop company-wide protocols for medical procedures, drug storage and

dispensing, staffing assignments and schedules, and all aspects of patient care.

- Review privacy policies and practices and benchmark against federal requirements

and best practices

Vision/Mission

Strategic

Objectives

Strategies

Related Objectives

- Operations

- Reporting

- Compliance

Source: Enterprise Integrated Framework (COSO, 2004)

Figure 4.3 Linking corporate objectives with strategy and mission


Setiap entitas menghadapi resiko yang bervariasi dari sumber-sumber

eksternal dan internal, dan prasyarat untuk proses manajemen resiko yang

efektif yaitu identifikasi resiko, penaksiran resiko dan tanggapan resiko,

pembentukan tujuan, terhubung dengan level yang berbeda dan hal-hal

tersebut harus bersifat konsisten secara internal. Tujuan-tujuan tersebut

tersusun pada level strategis, membangun sebuah tujuan-tujuan dasar

operasi, pelaporan, dan pemenuhan. Tujuan-tujuan harus disejajarkan

dengan risk appetite entitas, yang mengendalikan level toleransi resiko pada

aktivitas entitas. Lihat Figure 4.3.

Misi entitas (yang lain seringkali menyebutnya dengan visi atau tujuan) dalam

arti luas adalah cita-cita yang ingin dicapai oleh entitas, atau alas an

dibentuknya sebuah entitas. Merupakan kewajiban Dewan Direkturdengan

kelalaian Dewan Komisarisuntuk membentuk misi yang jelas. Dari misi

tersebut, Dewan Direktur dan manajemen mengatur tujuan-tujuan strategis,

merumuskan strategi dan membentuk tujuan-tujuan yang berkaitan dengan

organisasi. Ketika misi entitas dan tujuan-tujuan strategis sudah stabil,

tujuan terkait dan strateginya akan lebih dinamis dan disusun untuk

mengubah kondisi-kondisi internal dan eksternal.

Tujuan-tujuan strategis merupakan sasaran tingkat tinggi, sejajar dan

mendukung visi/misi entitas. Tujuan-tujuan strategis mencerminkan pilihan

Dewan Direktur sebagai cara entitas menciptakan nilai untuk para

pemangku kepentingan. Dalam mempertimbangkan strategi-strategi

alternatif untuk mencapai tujuan-tujuan strategis, Dewan Direktur dan

manajemen mengidentifikasi resiko yang terkait dengan pilihan-pilihan

strategi dan mempertimbangkan implikasi-implikasinya. Teknik-teknik

identifikasi berbagai peristiwa dan penaksiran resiko dapat digunakan dalam

proses pengaturan strategi. Dengan cara ini, teknik enterprise risk

management digunakan dalam pengaturan strategi dan tujuan.

Penyusunan tujuan merupakan komponen dari enterprise risk management.

Meskipun tujuan-tujuan tersebut memberikan target-target yang terukur ke

arah yang dituju oleh entitas. Mereka bisa jadi memiliki kepentingan dan

prioritas yang berbeda. Meskipun entitas seharusnya memiliki jaminan yang

layak akan tujuan yang akan dicapai, mungkin jaminan tersebut tidak bisa

diterapkan untuk semua tujuan.


Enterprise risk management yang efektif akan memberikan jaminan yang

layak bahwa pelaporan dan pemenuhan tujuan entitas akan tercapai.

Pencapaian pelaporan dan pemenuhan tujuan adalah sepenuhnya dalam

kendali entitas. Maksudnya, sekali tujuan telah ditentukan, entitas memiliki

kendali atas kemampuannya untuk melakukan apa saja yang diperlukan

untuk mencapainya.

Namun untuk sejumlah alasan, ada perbedaan yang terjadi ketika kita bicara

tentang tujuan-tujuan operasi. Sebuah entitas bisa jadi sudah terselenggara

seperti yang dimaksudkan, namun hal serupa yang dilaksanakan entitas

tersebut sudah dilakukan oleh pesaingnya. Hal itu menunjuk pada peristiwa-

peristiwa eksternal seperti perubahan dalam pemerintahan, cuaca yang

buruk dan semacamnyaketika sebuah kejadian terjadi di luar kendali. Hal

tersebut mungkin sudah dipertimbangkan di beberapa peristiwa dalam

proses penyusunan tujuannya dan ditangani seolah-olah hal tersebut

mungkin terjadi, dengan rencana kemungkinan-kemungkinan jika hal-hal

tersebut benar-benar terjadi. Namun, rencana-rencana tersebut hanya dapat

mengurangi dampak dari peristiwa-peristiwa eksternal. Hal tersebut tidak

dapat memastikan tercapainya tujuan-tujuan.

Enterprise risk management untuk operasi terutama berfokus pada :

·Mengembangkan konsistensi tujuan dan sasaran di seluruh organisasi;

·Mengidentifikasi faktor-faktor sukses kunci dan resiko ;

·Menaksir resiko dan membuat tanggapan-tanggapan yang

diinformasikan;

·Menerapkan tanggapan-tanggapan resiko yang pantas;

·Menetapkan kendali-kendali yang diperlukan; dan

·Melaporakan kinerja dan harapan-harapan pada waktunya.

Untuk tujuan-tujuan ini, enterprise risk management mampu memberikan

jaminan yang layak bahwa manajemen, Dewan Direktur dan Dewan

Komisaris sadar, pada waktu yang tepat, tentang arah pergerakan entitas.

Singkatnya, risk appetite yang disusun oleh Dewan Direktur dan ditinjau

ulang oleh Dewan Komisaris harus menjadi tonggak panduan dalam proses

pengaturan strategi ini. Strategi-strategi yang berbeda memiliki resiko-resiko

terkait yang berbeda pula. Enterprise risk management harus diterapkan

dalam pengaturan strategi, dan itu akan membantu manajemen dalam

memilih strategi yang konsisten dengan risk appetite-nya. Manajemen


kemudian harus menyelaraskan strategi tersebut dengan organisasi, orang-

orang, proses-proses dan infrastruktur untuk memudahkan penerapan

strategi yang sukses dan memungkinkan entitas untuk tinggal dalam risk

appetite.

Pertanyaan-Pertanyaan Tinjauan

5 pertanyaan pilihan ganda sebagai bahan kajian bab empat.

1. Berikut ini adalah pernyataan-pernyataan yang benar tentang

budaya resiko kecuali :

(a) Budaya resiko berperan penting bagi pimpinan untuk

memperkenalkan nilai-nilai perusahaan dan budaya resiko

yang benar, melalui kelakuan yang relevan dan kebijakan-kebijakan

tertulis.

(b) Nilai-nilai perusahaan dan budaya resiko merupakan "sisi lembut"

manajemen resiko, namun seringkali diabaikan.

(c) Budaya resiko adalah sekumpulan sikap-sikap, nilai-nilai, dan

praktek-praktek yang menunjukkan bagaimana entitas

mempertimbangkan resiko dalam aktivitas sehari-harinya.

(d) Budaya resiko merupakan resiko yang disebabkan oleh kelemahan

entitas dalam kebudayaan yang relevan.

2. Pilih jawaban yang benar, tujuan dari pelatihan kesadaran resiko

adalah untuk memastikan bahwa :

(a) Setiap orang dalam bisnis dapat secara proaktif mengidentifikasi

resiko-resiko kunci bagi perusahaan.

(b) Secara serius memikirkan konsekuensi-konsekuensi resiko yang

menjadi tanggung jawabnya.

(c) Mengkomunikasikan ke atas dan ke bawah dalam organisasi, resiko-

resiko yang membutuhkan perhatian dari personil yang lain.


3. Pernyataan-pernyataan tentang pentingnya dokumentasi resiko

dalam proses manajemen resiko berikut adalah benar, kecuali :

(a) Untuk menunjukkan pada pemangku kepentingan tentang proses-

proses yang dilaksanakan dengan semestinya.

(b) Untuk menyediakan bukti-bukti pendekatan sistematis dalam

analisa dan identifikasi resiko.


(c) Untuk memungkinkan peninjauan ulang proses-proses atau

pengambilan keputusan.

(d) Untuk menambahi pekerjaan sehari-hari jajaran manajer dengan

beban yang tidak perlu.

4. "Dasbor ERM" dimaksudkan untuk memperlengkapi Dewan Direktur

dan manajemen dengan informasi-informasi tentang :

(a) Apakah tujuan-tujuan bisnis terkait dengan resiko yang ada.

(b) Tingkat pemenuhan kebijakan-kebijakan dan peraturan-peraturan.

(c) Insiden-insiden yang terjadi.

(d) Semua pilihan di atas benar.

5. Mengapa proses enterprise risk management tidak dapat

menyediakan jaminan yang layak dalam pencapaian tujuan operasi,

dibanding dengan tujuan-tujuan seperti tujuan pelaporan dan

pemenuhan? Semua jawaban di bawah ini benar, kecuali :

(a) Sebuah entitas dapat berjalan seperti yang dimaksudkan, namun hal

itu telah dilakukan sebelumnya oleh pesaingnya.

(b) Proses tersebut ditujukan untuk peristiwa-peristiwa eksternal.

(c) Kemungkinan rencana-rencana yang disusun hanya mengurangi

dampak dari peristiwa-peristiwa eksternal.

(d) Pelaporan dan pemenuhan tujuan sangat mudah dicapai.


Bab ini di ditujukan untuk menggali peralatan yang tersedia dan mengukur

kesuksesan pelaksanaan dari ERM. Kami juga akan memberikan daftar

kepada pembaca yang mana akan memakainya untuk evalusi mandiri sejauh

inisiatif ERM.

Alat pengukur dan Pendekatannya

Kinerja Pengukuran adalah sesuatu yang penting dalam mengatur resiko.

Bagian ini akan menyediakan suatu peta perencanaan dari alat yang tersedia

dan melakukan pendekatan untuk mengukur efektivitas inisiatif ERM.

ERM secara jelas menghubungkan manajemen resiko tersebut dengan nilai

yang diciptakan suatu organisasi dan menyatakan resiko dalam kaitannya

dengan dampak pada sasaran sutu organisasi. Suatu aspek penting ERM

yang kemudian berhubungan secara kuat antara ukuran resiko dan ukuran

kinerja organisasi secara keseluruhan. Hal ini sangat penting untuk

pimpinan, terutama untuk memastikan bahwa kinerja tersebut telah terukur

dengan menggunakan risk based metrics, reflecting capital consumption,

return, and volatility.

ERM

Pada tabel di bawah ditunjukan suatu kinerja badan perusahaan baik

finansialnya maupun non-finansial yang dapat dihubungkan dengan

pengukuran efektivitas pelaksanaan ERM. Pengukuran finansial ini

mempunyai dasar pikiran yaitu modal harus sudah kembali sebelum tercipta

nilai. Namun, pengukuran finansial tidak selalu digunakan sebagai satu-

satunya wakil dari suatu nilai.

Salah satu pendekatan yang paling umum untuk mengukur efektivitas

kinerja ERM adalah dengan membandingkan program ERM tersebut dengan

batas pengembangan modal ERM berdasarkan pada praktek industri. Di

dalam bagian ini, kami memperkenalkan pengembangan modal ERM yang

dikembangkan oleh James Lam, CRO yang pertama di dunia dan salah satu

pengamat ERM hari ini. Maturity model adalah suatu aktivitas dasar dari

benchmarks dan diperoleh dari berbagai proyek ERM dan pembelajaran

BAB VUKURANDARI EFEKTIFITAS


benchmarking yang diselenggarakan oleh Yakobus Larian Lam pada lebih dari

sepuluh tahun, seperti halnya kedua tinjauan ulang survei global yang

diselenggarakan oleh Dewan Konferensi tahun 2005 dan Mercer Oliver

Wyman dan Konferensi Dewan Eksekutif. Tujuan ERM Maturity ini adalah

untuk memungkinkan perusahaan untuk melakukan penilaian diri sendiri

akan program manajemen resiko perusahaan mereka sehubungan dengan

industri benchmarks. Lihat gambar 5.1.

ROE

return on equity

(keuntungan

modal)

Operating

earnings

(pendapatan

operasional)

EBITDA

Earnings

before interest,

tax, depreciation,

and amortization

(pendapatan

sebelum bunga,

pajak,

depresiasi

dan amortisasi)

CFROI

Cashflow return

on investment.

EBITDA dibagi

dengan

aset nyata

WACC

Weighted avarage

cost of capital.

Jumlah

keuntungan

pasar yang

dibutuhkan

masing-masing

komponen dari

permodalan

perusahaan,

yang dipengaruhi

oleh pembagian

modal

keseluruhan

EVA- Economic value

added. Ukuran kinerja

perusahaan yang

menitik beratkan pada

kemampuan untuk

mencapai return

melampaui modal

perusahaan. Hal ini

seringkali dimulai

sebagai batas

keuntungan setelah

pajak dikurangi

dengan modal yang

dibutuhkan dikali

biaya menghasilkan

modal rata-rata.

Table 5.1 Pengukuran kinerja finansial untuk industri-industri non-finansial

RORAC - Return on risk adjusted

capital; RAROC Risk adjusted

return on capital; RARORAC Risk

adjusted return on risk adjusted

capital.

RORAC adalah target pengukuran

ROE di mana denominatornya

disusun tergantung pada resiko

yang terkait dengan instrumen atau

proyek.

RARORAC adalah kombinasi RAROC

dan RORAC di mana numerator dan

denominator nya disesuaikan (untuk

resiko yang berbeda)

ECAP - Economic capital.

Nilai pasar untuk aset

dikurangi nilai passiva.

Digunakan dalam

praktek sebagai ukuran

modal, khususnya

jumlah modal yang

dibutuhkan untuk

menghasilkan batas

kemampuan pembayaran

yang eksplisit (misalnya

kemungkinan yang

pasti akan kejatuhan)

Embedded value

sebuah pengukuran

nilai bisnis tertentu

dalam buku

perusahaan

asuransi.

CAR

Capital Adequacy

Ratio;

RBC

Risk based capital

CAR atau RBC

adalah kebutuhan

modal yang spesifik.

CAR untuk bank-bank

dan RBC untuk

perusahaan-

perusahaan asuransi.

Table 5.2 Financial (performance) measures for financial industries


Metode peninjauan kinerja ERM ada dalam daftar berikut (lihat pada table 5.3

dan 5.4)

·Penilaian diri sendiri.

·Pemeriksaan menyeluruh pada badan kerja.

·Pemeriksaan dan pengawasan keberhasilan kerja.

Stage 1: White-belt company

Tahap pertama pengembangan ERM

Fokus pengembangan ERM : definisi, organisasi, dan perencanaan.

Kebanyakan perusahaan menghabiskan sekitar enam bulan sampai satu tahun pada

tahap ini.

Dalam tahap ini, perusahaanmu baru mulai mencari tahu bagaimana untuk

mendefinisikan, mengembangkan, dan menerapkan ERM.

Stage 2: Yellow-belt company

Tahap kedua dalam pengembangan ERM.

Fokus pengembangan ERM : identifikasi resiko dan proses penaksiran.

Kebanyakan perusahaan menghabiskan antara setahun sampai dua tahun pada tahap ini.

Pada tahap ini, perusahaanmu berada di belakang perusahaan-perusahaan sebayanya

yang lain dalam bidang ERM

Stage 3: Green-belt company

Tahap ketiga dalam pengembangan ERM.

Fokus pengembangan ERM : kuantifikasi dan pelaporan ERM.

Kebanyakan perusahaan menghabiskan antara dua sampai tiga tahun pada tahap ini.

Dalam tahap ini, perusahaanmu selevel dengan perusahaan-perusahaan sebayanya

dalam bidang ERM.

Stage 4: Perusahaan sabuk-coklat

Tahap keempat dalam pengembangan ERM

Fokus pengembangan ERM : mengintegrasikan ERM dalam proses-proses bisnis kunci.

Perusahaan yang ingin mencapai manajemen resiko dengan "pelatihan terbaik" mungkin

menghabiskan sekitar dua atau tiga tahun pada tahap ini, lalu kemudian naik ke tingkat

selanjutnya. Namun kebanyakan perusahaan sudah cukup puas untuk memiliki manajemen

resiko "yang terbaik di kelas" dan mengelola ERM mereka pada level ini.

Dalam tahap ini, perusahaanmu melebihi perusahaan-perusahaan lainnya dalam

penerapan ERM.

Stage 5: Perusahaan sabuk-hitam

Tahap kelima dan terakhir dalam pengembangan ERM.

Fokus pengembangan ERM : optimasi kinerja bisnis.

Dalam tahap ini akan diambil sumber-sumber daya yang penting dan menghabiskan banyak

tahun bagi

perusahaan untuk mencapai level ini dalam pengembangan ERM.

Dalam tahap ini, perusahaanmu menjadi pemimpin dalam pelaksanaan ERM

Figure 5.1 ERM maturity model based on James Lam model


·Pemeriksaan keuangan dan penaksiran kembali resiko pada pencapaian

tujuan khusus.

·Perjanjian penting dan batas waktu untuk permulaan program dan

komunikasi, pengawasan, pelaporan dan peninjauan.

Seperti yang telah bahas pada bab sebelumnya, kinerja pengawasan

enterprise risk management dapat ditempuh dengan 2 cara : melalui aktivitas

yang berkelanjutan atau evalusi terpisah. Mekanisme enterprise risk

management biasanya disusun untuk mengawasi diri mereka sendiri secara

berkelanjutan, setidaknya sampai suatu tahap tertentu. Semakin besar

tingkat dan efektivitas dari pengawasan berkelanjutan, maka evaluasi

terpisah makin sedikit diperlukan. Pada umumnya, beberapa kombinasi dari

pengawasan berkelanjutan dan pemisahan evaluasi akan memastikan bahwa

manajemen resiko perusahaan telah memelihara efektivitasnya dari waktu ke

waktu. Lihat tabel 5.3 dan 5.4 sebagai contoh monitoring berkelanjutan dan

pemisahan evaluasi aktivitas dan berbagai alat untuk mengukur efektivitas

dari program manajemen resiko perusahaan anda.

Laporan dan komunikasi dari

internal dan eksternal.

Contoh :

Sebuah tinjauan perusahaan

asuransi akan kebijakan dan praktek-

praktek keselamatan memberikan

informasi tentang fungsi enterprise

risk management, dari keselamatan

operasional dan perspektif-perspektif

pemenuhan. Oleh karena itu

melayani sebagai teknik pengawasan.

Para pengatur juga dapat

menyampaikan pada entitas

mengenai pemenuhan atau masalah-

masalah lain yang mencerminkan

fungsi proses enterprise risk

management.

Para penasehat dan auditor

internal dan eksternal dapat

memberikan rekomendasi

untuk memperkuat enterprise

risk management.

Para auditor dapat

memperkirakan resiko-resiko

kunci perusahaan atau unit,

pemilihan respon resiko dan

desain kendali terkait, dan

pada pengujian

keefektifannya.

Kelemahan potensial mungkin

teridentifikasi dan tindakan-

tindakan alternatif

direkomendasikan pada

manajemen, disertai dengan

informasi yang berguna dalam

penentuan pembiayaan yang

bermanfaat.

Model nilai pada

resiko digunakan

untuk mengevaluasi

dampak pergerakan

pasar yang potensial

pada posisi

keuangan

perusahaan.

Model-model ini

dapat bertindak

sebagai sarana-

sarana yang efektif

dalam menentukan

apakah unit bisnis

atau fungsi-fungis

bisnis tinggal dalam

toleransi resiko yang

teridentifikasi.

Seminar-seminar

pelatihan, sesi-

sesi perencanaan

dan pertemuan-

pertemuan lain

memberikan

timbal balik pada

manajemen

mengenai apakah

enterprise risk

management

tersebut efektif.

Table 5.3 Pengawasan ERM yang berkelanjutan (aktivitas dan sarana-sarana)


Scope and Frequency

Scope and frequency

depends on the significance

of risks and importance of

the risk responses and

related controls in managing

the risks. Higher-priority

risk areas and responses

should be evaluated more

often.

Evaluation of the entirety of

enterprise risk management

will be needed less

frequently than the

assessment of specific parts,

prompted by a number

of reasons:

· Major strategy or

management change,

· Major acquisitions or

dispositions,

· Significant change in

economic or political

conditions, or

· Significant changes in

operations or methods of

processing information.

Note: When a decision is

made to undertake a

comprehensive evaluation of

an entity's enterprise risk

management, attention

should be directed to

addressing its application in

strategy setting as well as

with respect to significant

activities.

The evaluation scope also

will depend on which

objectives categories

strategic, operations,

reporting and compliance

are to be addressed.

The Evaluation Process

Understand each of the entity

activities and each of the

components of enterprise risk

management being addressed.

· Focus on how enterprise risk

management purportedly

functions ? this is sometimes

referred to as the system or

process design.

· Determine how the system

actually works. Procedures

designed to operate in a

particular way may be modified

over time to operate differently

or may no longer be performed.

Sometimes new procedures are

established but are not known

to those who described the

process and are not included in

available documentation.

· Discussions with personnel

who perform or are affected by

enterprise risk management,

by examining records on

performance or a combination

of procedures.

· Analyze the enterprise risk

management process design

and the results of tests

performed. The analysis is

conducted against the

backdrop of management's

established standards for each

component, with the ultimate

goal of determining whether the

process provides reasonable

assurance with respect to the

stated objectives.

·

Who Evaluates

Person in charge:

self-assessments

(where persons

responsible for a

particular unit or

function determine

the effectiveness of

enterprise risk

management for their

activities.)

· Internal auditors:

internal auditors

normally perform

evaluations as part of

their regular duties,

or at the specific

request of senior

management, the board

or subsidiary or

divisional executives.

· External auditors:

input for management

·

Methodology

Checklists,

questionnaires

and flowcharting

techniques.

· Comparing or

benchmarking

enterprise risk

management

process against

those of other

entities.

An entity may,

for example,

measure its process

against those of

companies with

reputations for

having particularly

good enterprise risk

management.

Comparisons might

be done directly

with another

company or under

the auspices of

trade or industry

associations.

Other organizations

may provide

comparative

information, and

peer review

functions in some

industries can help

a company evaluate

its process against

those of its peers.

Note: When

conducting

comparisons,

consideration must

be given to

differences that

always exist in

objectives,

facts and

circumstances

·

Table 5.4 Separate evaluations on ERM performance monitoring .


Sebagai kesimpulan, peninjauan ulang suatu proses sebaiknya dihubungkan

dengan indikator kinerja utama pada suatu organisasi. Rencana manajemen

resiko sebaiknya berhubungan dengan kinerja perorangan dan pengendali

utama dan dapat memastikan bahwa mereka bekerja dengan baik pada

semua level di organisasi. Pengawasan dan peninjauan kembali sebaiknya

memastikan bahwa program manajemen resiko yang efektif selalu

mengindikasikan hemat biaya hasil resiko dan menggambarkan suatu

strategi dan cara kerja yang baik serta tujuan dari suatu organisasi.

Daftar sederhana

Kebanyakan perusahaan tertarik akan bagaimana program manajemen

resiko perusahaan mereka dibandingkan dengan praktek industri.

Pengembangan suatu daftar yang berdasar pada pengalaman internasional

adalah salah satu pendekatan secara luas yang telah diadopsi dari

pengalaman ini.

Daftar menurun ini disediakan untuk evaluasi pribadi dan taksiran pribadi

yang mana dapat digunakan untuk Direktur dan Komisaris untuk

mengevalusi atau menaksirkan sumbangan serta efektifitas mereka dalam

memimpin suatu ERM dalam perusahaan mereka melawan pengalaman

internasional.

Daftar ini dibagi menjadi lima tahap berbeda yang saling berkaitan untuk

pengembangan ERM untuk perusahaan tersebut.

Formulation and initiation checklist

·Sebagai dewan pengurus pada suatu badan organisasi, apakah anda

mewajibkan manajemen untuk memimpin penemuan atas syarat

pengaturan dan pengalaman industri dalam aspek ini ?

·Sudahkah anda membantu manajemen dengan menetapkan jangkauan

untuk manajemen resiko perusahaan ( mencakup kredit, pasar, dan resiko

operasional) ?

·Sudahkah anda mengembangkan strategi enterprise risk management

secara menyeluruh dan merencanakannya ?

·Sudahkah anda menetapkan sebuah tim untuk memimpin proses

pengumpulan data bersama perusahaan mitra ?


·Sudahkah anda memberikan pengajaran akan resiko pada badan

perusahaan dan para pelaksana bisnis anda ?

·Sudahkah anda mengangkat chief risk officer (CRO) dan membentuk staf

kerja CRO ?

·Sudahkah anda menetapkan kerangka kerja enterprise risk management,

termasuk pembagiannya ?

·Sudahkah anda menetapkan panitia manajemen resiko sebagai bagian

dari panitia komisi ?

Early implementation checklist

·Sudahkah anda menetapkan suatu kebijakan ERM, termasuk peraturan

dan pertanggungjawabannya ?

·Sudahkah anda mewajibkan manajemen untuk melakukan perhitungan

pajak pada seluruh unit bisnis ?

·Sudahkah anda mewajibkan manajemen untuk menggabungkan proses

identifikasi resiko pada seluruh manajemen resiko, pemeriksaan

keuangan, pemenuhan, dan berbagai kekeliruan yang terjadi ?

·Sebagai anggota dewan suatu perusahaan, sudahkah anda

memperlengkapi diri anda dengan pengetahuan tetang resiko serta

mewajibkan manajemen untuk memperlengkapi pelatihan tentang resiko

untuk kelompok pekerja yang besar ?

·Sudahkah anda mewajibkan manajemen untuk menetapkan fungsi resiko

pada seluruh unit bisnis ?

Controlling and monitoring checklist

·Sudahkah anda menetapkan manajemen untuk membuat model

pengukuran resiko dan database ?

·Sudahkah anda menetapkan dan mengawasi proses pembuatan KRI dan

melaporkannya resiko perusahaan setiap laporan bulanan ?

·Sudahkah anda menetapkan manajemen untuk membuat metodologi

pengukuran kinerja resiko yang disesuaikan ?

·Sudahkah anda menetapkan manajemen supaya memperbaharui

taksiran pada diri sendiri pada triwulan atau awal bulan ?


Integration process checklist

·Sudahkah anda mewajibkan dan memimpin proses pengembangan

cakupan ERM secara finansial (pasar dan resiko kredit) maupun resiko

non-finansial (operasional, bisnis, dan resiko hukum dan resiko

reputasional yang mungkin terjadi) ?

·Sudahkah anda memimpin penggabungan peninjauan resiko ke dalam

pengembangan bisnis dan proses persetujuan produk/servis ?

·Sudahkah anda mewajibkan manajemen untuk melaporkan ERM secara

otomatis pada laporan bulanan pada pedoman elektronik yang meliputi

customizes quires dan peningkatan yang nyata ?

·Sudahkah anda menetapkan "trigger points" untuk membuat keputusan

bisnis, peringanan resiko dan jalan keluarnya secara tepat waktu ?

·Sudahkah anda menghubungkan kinerja manajemen resiko dengan upah

eksekutif ?

Optimization checklist

·Sudahkah anda memperluas jangkauan ERM beserta resiko strateginya ?

·Sudahkah anda mewajibkan manajemen untuk menggabungkan ERM

kedalam proses perencanaan strategi ?

·Sudahkah anda memaksimalkan nilai para pemegang saham

memanajemen alokasi sumber daya bisnis [itu] di "efficient frontie" secara

aktif ?

·Sudahkah anda menetapkan mekanisme untuk proses transparasi resiko

sebagai kunci para pemangku kepentinganinvestor, agen

terkemukasepenuhnya menelaah resiko keseluruhan dan pengendali

resiko masa depan ?

·Sudahkah anda mewajibkan manajemen meningkatkan kemampuan

manajemen resiko, peralatan, dan informasi untuk mempererat tali

kerjasama dengan cara membantu mereka mengelola resiko mereka ?


PT Astra Internasional Tbk akan terpilih secara menyeluruh tetapi membuka

studi kasus diakhiri untuk mengijinkan suatu pertanyaan [yang] diakhiri

terbuka untuk diskusi. Kasus akan [jadi] ditargetkan untuk para Direktur

dan Komisaris, mengundang praktis dan experiential berdebat antar

[mereka/nya].

STUDI KASUS


untuk direktur dan komisaris - lkdi. · pdf filecontoh kasus 1 3 5 6 45 53 ... kebijakan,...

Documents