Risiko Dan Manajemennya
12
Risiko dan Manajemennya (Risk & The Risk Management) Setelah diketahui Persyaratan Manajemen Risiko Badan Usaha Milik Negara, timbul pertanyaan ”bagaimana memenuhi dan melaksanakannya?”. Untuk itu perlu dipahami lebih dulu apa itu risiko dan manajemen risiko kemudian memahami langkah-langkah penerapannya. Terdapat beberapa beberapa standar manajemen risiko dengan definisi mengenai risk atau risiko dan manajemen risiko masing-masing. Beberapa standar itu antara lain : 1. COSO (Committee of Sponsoring Organizations of the Treadway Commission), suatu himpunan dari beberapa organisasi profesi di negara AS, al. American Accounting Association, American Institute of Certified Public Accountants, Financial Executives International, Institute of Management Accountants, The Institute of Internal Auditors. 2. ISO 31000 – Risk management — Principles and guidelines 1. COSO Enterprise Risk Management COSO pada tahun 2004 menerbitkan Enterprise risk management – Integrated Framework, dengan beberapa pengertian antara lain sebagai berikut : Events – Risks and Opportunities (Kejadian – Risiko dan Peluang) Events can have negative impact, positive impact, or both. Events with a negative impact represent risks, which can prevent value creation or erode existing value. Events with positive impact may offset negative impacts or represent opportunities. Opportunities are the possibility that an event will occur and positively affect the achievement of objectives, supporting value creation or preservation. Management channels opportunities back to its strategy or objective- setting processes, formulating plans to seize the opportunities. Suatu kejadian bisa mempunyai dampak negatif, dampak positif atau keduanya. Kejadian dengan dampak negatif dinamakan risiko, yang dapat mencegah kreasi nilai atau mengurangi nilai yang ada. Kejadian dengan dampak positif dapat mengurangi dampak negatif atau dinamakan peluang. Peluang adalah kemungkinan kejadian yang akan menjadikan pencapaian tujuan atau yang berakibat posistif untuk pencapaian tujuan, yang mendukung kreasi nilai atau pemeliharaan nilai. Manajemen mengaitkan peluang-peluang dengan strategi atau proses penetapan tujuan dan menformulasikan rencana-rencana sesuai dengan peluang-peluang itu. Enterprise Risk Management Defined (Manajemen Risiko Perusahaan didefinisikan sebagai) : Enterprise risk management deals with risks and opportunities affecting value creation or preservation, defined as follows: Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.
description
Manajemen Resiko
Transcript of Risiko Dan Manajemennya
Risiko dan Manajemennya (Risk & The Risk Management)
Setelah diketahui Persyaratan Manajemen Risiko Badan Usaha Milik Negara, timbul
pertanyaan ”bagaimana memenuhi dan melaksanakannya?”. Untuk itu perlu dipahami lebih dulu
apa itu risiko dan manajemen risiko kemudian memahami langkah-langkah penerapannya.
Terdapat beberapa beberapa standar manajemen risiko dengan definisi mengenai risk atau risiko
dan manajemen risiko masing-masing.
Beberapa standar itu antara lain :
1. COSO (Committee of Sponsoring Organizations of the Treadway Commission), suatu
himpunan dari beberapa organisasi profesi di negara AS, al. American Accounting
Association, American Institute of Certified Public Accountants, Financial Executives
International, Institute of Management Accountants, The Institute of Internal Auditors.
2. ISO 31000 – Risk management — Principles and guidelines
1. COSO Enterprise Risk Management
COSO pada tahun 2004 menerbitkan Enterprise risk management – Integrated Framework,
dengan beberapa pengertian antara lain sebagai berikut :
Events – Risks and Opportunities (Kejadian – Risiko dan Peluang)
Events can have negative impact, positive impact, or both. Events with a negative impact
represent risks, which can prevent value creation or erode existing value. Events with positive
impact may offset negative impacts or represent opportunities. Opportunities are the possibility
that an event will occur and positively affect the achievement of objectives, supporting value
creation or preservation. Management channels opportunities back to its strategy or objective-
setting processes, formulating plans to seize the opportunities.
Suatu kejadian bisa mempunyai dampak negatif, dampak positif atau keduanya.Kejadian
dengan dampak negatif dinamakan risiko, yang dapat mencegah kreasi nilai atau mengurangi
nilai yang ada. Kejadian dengan dampak positif dapat mengurangi dampak negatif atau
dinamakan peluang. Peluang adalah kemungkinan kejadian yang akan menjadikan pencapaian
tujuan atau yang berakibat posistif untuk pencapaian tujuan, yang mendukung kreasi nilai atau
pemeliharaan nilai. Manajemen mengaitkan peluang-peluang dengan strategi atau proses
penetapan tujuan dan menformulasikan rencana-rencana sesuai dengan peluang-peluang itu.
Enterprise Risk Management Defined (Manajemen Risiko Perusahaan didefinisikan sebagai) :
Enterprise risk management deals with risks and opportunities affecting value creation or
preservation, defined as follows:
Enterprise risk management is a process, effected by an entity’s board of directors, management
and other personnel, applied in strategy setting and across the enterprise, designed to identify
potential events that may affect the entity, and manage risk to be within its risk appetite, to
provide reasonable assurance regarding the achievement of entity objectives.
Manajemen Risiko Perusahaan adalah berhubungan dengan risiko-risiko dan peluang-peluang
yang mempengaruhi kresi nilai atau pemelihataannya, yang didefinsikan sebagai berikut :
Manajemen Risiko Perusahaan adalah suatu proses, yang dijalankan oleh dewan
komisaris/pengawas, manajemen (dewan direksi) dan personel yang lain, yang diterapkan dalam
penetapan strategi dan diterapkan n di seluruh perusahaan, yang dirancang untuk
mengidentifikasi potensi kejadian-kejadian yang bisa mempengaruhi perusahaan dan mengelola
risiko-risiko itu di dalam selera risiko perusahaan, untuk menjamin secara rasional pencapaian
tujuan-tujuan perusahaan.
Komponen Enterprise Risk Management (ERM) COSO :
Komponen digambarkan sebagai sebuah kubus, yang mempunyai tiga permukaan yang tampak.
Ketiga permukaan itu adalah :
Permukaan dari sisi kanan adalah komponen entitas perusahaan yaitu :
Entity-Level (Level Perusahaan).
Division (Divisi).
Business Unit (Unit Bisnis).
Subsidiary (Anak Perusahaan).
Permukaan dari sisi atas adalah komponen tujuan Manajemen risiko perusahaan yaitu :
Strategic (Strategis).
Operation (Operasi).
Reporting (Pelaporan).
Compliance (Kepatuhan).
Permukaan dari sisi depan adalah komponen proses Manajemen risiko perusahaan yaitu :
Internal Environment (Kondisi Lingkungan Internal).
Objective Setting (Penetapan Tujuan).
Event Identification (Identifikasi Kejadian).
Risk Assessment (Asesmen Risiko).
Risk Response (Penanggapan Risiko).
Control Activities (Aktifitas Pengendalian).
Information & Communication (Informasi & komunikasi)
Monitoring (Pemantauan).
2. ISO 31000:2009 – Risk management — Principles and guidelines
ISO 31000:2009, Risk management – Principles and guidelines, berisi prinsip-prinsip,
framework dan proses untuk mengelola risiko. Standar ini dapat digunakan oleh setiap
organisasi (bagaimanapun besarnya, apapun aktifitasnya atau sektornya). Penerapan ISO 31000
dapat membantu organisasi menaikkan kemungkinan pencapaian tujuan, memperbaiki
identifikasi peluang-peluang dan ancaman-ancaman. Penerapan ISO 31000 dapat membantu
organisasi serta secara efektif mengalokasikan & menggunakan sumber daya untuk perlakuan
risiko.
ISO 31000 tidak digunakan untuk tujuan sertifikasi, artinya tidak/belum ada sertifikat ISO 31000
untuk suatu organisasi, tetapi ISO 31000 bisa digunakan untuk program audit/asesmen
manajemen risiko. Organisasi yang menerapkan standar ini dapat membandingkan praktek
manajemen risikonya dengan organisasi lain (bencmarking). Organisasi yang menerapkan
standar ini dapat terbantu mewujudkan manajemen yang efektif dan bertata-kelola lebih baik
(GCG/Good Corporate Governance).
(Ref.http://www.iso.org/iso/home/standards/iso31000.htm).
Definisi risiko dan manajemen risiko menurut ISO 31000:2009.
Risiko adalah dampak dari ketidakpastian terhadap pencapaian obyektif. Dampak
menurut ISO 31000 adalah deviasi dari apa yang diharapkan, bisa bersifat positif dan/atau
negatif.
Manajemen risiko adalah aktivitas-aktivitas yang terkoordinasi untuk mengarahkan dan
mengendalikan sebuah organisasi yang berkaitan dengan risiko.
Manajemen risiko di dalam suatu organisasi digambarkan sebagai suatu skema/diagram kaitan
antara prinsip-prinsip, kerangka kerja, dan proses-proses manajemen risiko.
Prinsip-Prinsip Manajemen Risiko ISO 31000:2009
Supaya manajemen risiko dapat efektif dilaksanakan, maka organisasi di semua tingkatan harus
memenuhi prinsip-prinsip, yaitu :
1. Manajemen risiko menciptakan dan melindungi nilai yang berkontribusi untuk
pencapaian obyektif dan perbaikan organisasi.
2. Manajemen risiko merupakan bagian yang terintegrasi dengan keseluruhan proses
dalam organisasi dan menjadi bagian dari tanggung jawab manajemen.
3. Manajemen risiko merupakan bagian dari proses pengambilan keputusan melalui
peranannya dalam memberikan pilihan kepada pengambil keputusan.
4. Manajemen risiko secara eksplisit memperhitungkan ketidakpastian dan sifat ketidak
pastian itu, serta berusaha mengurangi ketidakpastian dalam setiap aktivitasnya dalam
memastikan pencapaian obyektif organisasi.
5. Manajemen risiko adalah suatu yang sistematis, terstruktur, dan tepat waktu agar
dapat berkontribusi secara efisien dan secara konsisten menghasilkan sesuatu yang dapat
diperbandingkan dan diandalkan
6. Manajemen risiko berdasarkan ketersediaan informasi yang terbaik seperti data
historis, pengalaman, umpan balik pemangku kepentingan, observasi, perkiraan ke depan
(forecasts) dan pertimbangan para ahli sehingga. Tetapi para pengambil keputusan masih
dapat melihat dan mempertimbangkan keterbatasan data atau pemodelan yang digunakan
atau adanya kemungkinan divergensi pendapat diantara para ahli.
7. Manajemen risiko memerlukan penyesuaian sesuai dengan konteks eksternal dan
internal organisasi dan profil risiko organisasi itu.
8. Manajemen risiko memperhitungkan faktor manusia dan budayanya yang
merupakan kemampuan, persepsi dan kemauan individu eksternal maupun internal dari
suatu organisasi yang dapat mendukung atau merongrong pencapaian obyektifnya.
9. Manajemen risiko adalah transparan dan inklusif melibatkan semua pemangku
kepentingan terutama pengambil keputusan dalam menentukan kriteria risiko.
10. Manajemen risiko adalah dinamis, iteratif, dan responsif terhadap
perubahan, eksternal dan internal.
11. Manajemen risiko memfasilitasi perbaikan berkelanjutan organisasi yang diukur dari
tingkat kematangan manajemen risikonya.
Framework (Pola kerja ) Manajemen Risiko ISO 31000:2009
Framework Manajemen Risiko ISO 31000:2009 dalam klausul 4 (lihat gambar di bawah) terdiri
atas :
Mandat (pemberian wewenang) dan komitmen (amanah) di klausul 4.2.
1. Rancangan Pola kerja untuk mengelola risiko di klausul 4.3.
2. Penerapan manajemen risiko di klausul 4.4.
3. Pemantauan dan review terhadap framework di klausul 4.5.
4. Perbaikan framework berkelanjutan di klausul 4.2.
Framework Manajemen Risiko ISO 31000:2009 menggunakan PDCA atau Plan Do Check
Action, untuk perbaikan berkelanjutan (continual improvement) sebagai basis framework dan
proses manajemen risiko. PDCA ini digambarkan secara jelas pada gambar di bawah.
Plan – mendefinisikan dan analisis suatu masalah serta mengidentifikasi akar masalahnya.
Mengkomunikasikan dan melatih.
Rencana komunikasi dan pelaporan.
Strategi training.
Jaringan manajemen risiko.
Do – melaksanakan solusi, membuat rencana kerja secara terinci dan menarapkannya secara
sistematis.
Yang masuk dalam Do ini antara lain :
· Mengelola dan mengalokaskan
Komite manajemen risiko komisaris/dewan pengawas.
Komite manajemen risiko eksekutif /direksi.
Manajer manajemen risiko.
RM Champions.
Risiko, pengendaliannya, ownernya.
Penyedia asuransi/penjaminannya.
Check – Memeriksa hasil kerja dibandingkan dengan rencananya dan mengidentifikasi
penyimpangannya serta masalah-masalahnya.
Yang masuk dalam Check ini antara lain :
· Mengukur dan mengkaji.
Mengendalikan asuransi/penjaminannya.
Kemajuan rencana manajemen risiko.
Pelaporan taka kelola.
Benchmarking / study banding.
Kriteria unjuk kerja.
Act – Menstandarisasi solusi. Mengkaji ulang dan mendefinisikan masalah-masalah yang akan
datang.
Yang masuk dalam Act ini antara lain :
· Komitmen dan Mandat dari atasan kepada bawahannya, mulai dari pemegang saham,
Komisaris, Direksi, sampai dengan karyawan level terendah dalam masalah manajemen
risiko.
Pernyataan kebijakan manajemen risiko.
Rencana manajemen risiko.
Rencana Asuransi.
Standar-standar manajemen risiko.
Prosedur dan petunjuk-petunjuk kerja.
Secara lebih detail klausul 4 dengan PDCA nya digambarkan dengan gambar berikut ini :
Proses Manajemen Risiko ISO 31000:2009
Proses Manajemen Risiko ISO 31000:2009 digambarkan kembali secara lebih detail
sebagaimana gambar di bawah ini.
Proses pertama adalah Establishing The Context (Menetapkan Konteks). Dalam proses
manajemen risiko langkah awal yang sangat penting adalah Establishing The Context .
Menetapkan konteks ini meliputi penetapan tujuan, strategi, ruang lingkup dan parameter-
parameter lain yang berhubungan dengan proses pengelolaan risiko suatu organisasi. Penetapan
konteks ini menunjukkan hubungan antara masalah atau hal yang akan dikelola risikonya dengan
lingkungan organisasi (eksternal & internal), proses manajemen risiko dan ukuran atau kriteria
risiko yang dijadikan standar. Dalam penetapan konteks ini ditetapkan pula sumber daya,
struktur organisasi (tanggung jawab dan wewenang) yang diperlukan dalam pengeloaan risiko.
Dalam dokumen rencana risk manajemen (Risk Management Plan), penetapan konteks ini dapat
dijadikan bab Latar Belakang Masalah, bab struktur organisasi pengeloaan risiko dan bab
Kriteria Risiko.
Kriteria risiko atau Risk Criteria adalah ukuran standar seberapa besar dampak atau konsekwensi
yang mungkin akan terjadi dan seberapa besar kemungkinan atau frekeunsi atau likelihood risiko
akan terjadi. Gambar di bawah semoga dapat dijadikan contoh kriteria risiko itu.
Dalam tulisan yang lain insya Alloh akan kami uraiakan kriteria risiko ini.
Proses kedua adalah Risk Identification atau identifikasi risiko, yaitu melakukan identifikasi
risiko-risiko yang dapat terjadi di masa yang akan datang (yaitu : risiko apa, kapan, di mana,
bagaimana, mengapa suatu risiko bisa terjadi). Identifikasi ini termasuk pengidentifikasian
poses-proses/tugas-tugas/aktifitas-aktifitas kritikal atau kunci, pengenalan area-area risiko dan
katagorinya.
Proses ketiga adalah Risk Analysis atau analisis risiko-risiko, yaitu proses menentukan berapa
besar dampak (impact atau consequences) dan kemungkinan (frequency atau likelihood) risiko-
risiko yang akan terjadi, serta menghitung berapa besar level risikonya dengan mengalikan
antara besar dampak dan besar kemungkinan (Risk = Consequences x Likelihood).
Proses keempat adalah Risk Evaluation atau membandingkan risiko-risiko yang sudah dihitung
diatas dengan Kriteria Risiko yang sudah distandarkan (menempatkan posisi risiko-risiko pada
gambar kriteria risiko), apakah risiko-risiko itu acceptable/dapat diterima,
menjadi issue/diwaspadai, atauunacceptable/tidak diterima, serta memprioritaskan mitigasi atau
penangannya. Lihat gambar di bawah ini, risiko nomor 1 dan 5 terletak di daerah warna merah
Unacceptable Risk dan menjadi prioritas untuk dilakukan penanganan atau mitigasinya.
Proses kelima adalah Risk Treatment atau mitigasi risiko-risiko. Mitigasi risiko-risiko harus
direncanakan sebaik-baiknya dan dipertimbangkan semua alternatif solusinya, sebelum
dilaksanakan mitigasinya, agar mendapatkan hasil yang diharapkan ecara efektif dan efisien.
Beberapa alternatif bisa dipertimbangkan untuk digunakan, seperti :
membagi risiko,
mengurangi likeliihood dan/atau mengurangi konsekwensi,
menghindari risiko atau membatalkan aktifitas yg berisiko tinggi,
menerima risiko.
Proses keenam adalah Monitor & Review (Pemantauan & Pengkajian Ulang). Pemantauan &
Pengkajian Ulang dilaksanakan terhadap seluruh proses manajemen risiko termasuk konteksnya
(lingkungan, proses, organisasi, strategi, stakeholder dsb.). Catatan-catatan hasil Pemantauan &
Pengkajian Ulang disimpan sebagai bukti dan laporna bahwa aktifitas itu telah dilaksanakan dan
sebagai masukan bagi Risk Management Framework yang telah disiapkan sebelumnya.
Selama melaksanakan ke enam proses manajemen risiko itu Communication &
Consultation (komunikasi dan konsultasi) selalu dilaksanakan kepada semua stakeholder, secara
kontinyu dan iterative.
Skema lain yang menambah kejelasan mengenai langkah-langkah penerapan proses manajemen
risiko ISO 31000:2009 dapat dilihat pada gambar di bawah.
