Beranda » Manajemen Risiko » Risiko dan Manajemennya (Risk & The Risk Management)

Risiko dan Manajemennya (Risk & The Risk Management)

Risiko dan Manajemennya (Risk & The Risk Management)

Setelah diketahui Persyaratan Manajemen Risiko Badan Usaha Milik Negara, timbul pertanyaan  ”bagaimana memenuhi dan melaksanakannya?”. Untuk itu perlu dipahami lebih dulu apa itu risiko dan manajemen risiko kemudian memahami langkah-langkah penerapannya.

Terdapat beberapa beberapa standar manajemen risiko dengan definisi mengenai risk atau risiko dan manajemen risiko masing-masing.

Beberapa standar itu antara lain :

  1. COSO (Committee of Sponsoring Organizations of the Treadway Commission), suatu himpunan dari beberapa organisasi profesi di negara AS, al. American Accounting Association, American Institute of Certified Public Accountants,  Financial Executives International, Institute of Management Accountants, The Institute of Internal Auditors. 
  2. ISO 31000 – Risk management — Principles and guidelines

1. COSO Enterprise Risk Management

COSO pada tahun 2004 menerbitkan  Enterprise risk management – Integrated Framework, dengan beberapa pengertian antara lain sebagai berikut :

Events – Risks and Opportunities (Kejadian – Risiko dan Peluang)

Events can have negative impact, positive impact, or both.  Events with a negative impact represent risks, which can prevent value creation or erode existing value.  Events with positive impact may offset negative impacts or represent opportunities.  Opportunities are the possibility that an event will occur and positively affect the achievement of objectives, supporting value creation or preservation. Management channels opportunities back to its strategy or objective-setting processes, formulating plans to seize the opportunities.

Suatu kejadian bisa mempunyai dampak negatif, dampak positif atau keduanya. Kejadian dengan dampak negatif dinamakan risiko, yang dapat mencegah kreasi nilai atau mengurangi nilai yang ada. Kejadian dengan dampak positif dapat mengurangi dampak negatif atau dinamakan peluang. Peluang adalah kemungkinan kejadian yang akan menjadikan pencapaian tujuan atau yang berakibat posistif untuk pencapaian tujuan, yang mendukung kreasi nilai atau pemeliharaan nilai. Manajemen mengaitkan peluang-peluang dengan strategi atau proses penetapan tujuan dan menformulasikan rencana-rencana sesuai dengan peluang-peluang itu.

Enterprise Risk Management Defined (Manajemen Risiko Perusahaan didefinisikan sebagai) :

Enterprise risk management deals with risks and opportunities affecting value creation or preservation, defined as follows:

Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.

Manajemen Risiko Perusahaan adalah berhubungan dengan risiko-risiko dan peluang-peluang yang mempengaruhi kresi nilai atau pemelihataannya, yang didefinsikan sebagai berikut :

Manajemen Risiko Perusahaan adalah suatu proses, yang dijalankan oleh dewan komisaris/pengawas, manajemen (dewan direksi) dan personel yang lain, yang diterapkan dalam penetapan strategi dan diterapkan n di seluruh perusahaan, yang dirancang untuk mengidentifikasi potensi kejadian-kejadian yang bisa mempengaruhi perusahaan dan mengelola risiko-risiko itu di dalam selera risiko perusahaan, untuk menjamin secara rasional pencapaian tujuan-tujuan perusahaan.

Komponen Enterprise Risk Management (ERM) COSO :

Komponen digambarkan sebagai sebuah kubus, yang mempunyai tiga permukaan yang tampak. Ketiga permukaan itu adalah :

COSO Cubejpg

Permukaan dari sisi kanan adalah komponen entitas perusahaan yaitu :

  • Entity-Level (Level Perusahaan).
  • Division (Divisi).
  • Business Unit (Unit  Bisnis).
  • Subsidiary (Anak Perusahaan).

Permukaan dari sisi atas adalah komponen tujuan Manajemen risiko perusahaan yaitu :

  • Strategic (Strategis).
  • Operation (Operasi).
  • Reporting (Pelaporan).
  • Compliance (Kepatuhan).

Permukaan dari sisi depan adalah komponen proses Manajemen risiko perusahaan yaitu :

  • Internal Environment (Kondisi Lingkungan Internal).
  • Objective Setting (Penetapan Tujuan).
  • Event Identification (Identifikasi Kejadian).
  • Risk Assessment (Asesmen Risiko).
  • Risk Response (Penanggapan Risiko).
  • Control Activities (Aktifitas Pengendalian).
  • Information & Communication (Informasi & komunikasi)
  • Monitoring (Pemantauan).

 

———–+—————-

2. ISO 31000:2009  – Risk management — Principles and guidelines

ISO 31000:2009, Risk management – Principles and guidelines, berisi prinsip-prinsip, framework dan proses untuk mengelola risiko.  Standar ini dapat digunakan oleh setiap organisasi (bagaimanapun besarnya, apapun aktifitasnya atau sektornya). Penerapan ISO 31000 dapat membantu organisasi menaikkan kemungkinan pencapaian tujuan, memperbaiki identifikasi peluang-peluang dan ancaman-ancaman. Penerapan ISO 31000 dapat membantu organisasi serta secara efektif mengalokasikan & menggunakan sumber daya untuk perlakuan risiko.

ISO 31000 tidak digunakan untuk tujuan sertifikasi, artinya tidak/belum ada sertifikat ISO 31000 untuk suatu organisasi, tetapi ISO 31000 bisa digunakan untuk program audit/asesmen manajemen risiko. Organisasi yang menerapkan standar ini dapat membandingkan praktek manajemen risikonya dengan organisasi lain (bencmarking). Organisasi yang menerapkan standar ini dapat terbantu mewujudkan manajemen yang efektif dan bertata-kelola lebih baik (GCG/Good Corporate Governance). (Ref. http://www.iso.org/iso/home/standards/iso31000.htm).

Definisi risiko dan manajemen risiko menurut ISO 31000:2009.

  • Risiko adalah dampak dari ketidakpastian terhadap pencapaian obyektif. Dampak menurut ISO 31000 adalah deviasi dari apa yang diharapkan, bisa bersifat positif dan/atau negatif.
  • Manajemen risiko adalah aktivitas-aktivitas yang terkoordinasi untuk mengarahkan dan mengendalikan sebuah organisasi yang berkaitan dengan risiko.

Manajemen risiko di dalam suatu organisasi digambarkan sebagai suatu skema/diagram kaitan antara prinsip-prinsip, kerangka kerja, dan proses-proses manajemen risiko.

ISO31000 RM principles framework process

Prinsip-Prinsip Manajemen Risiko ISO 31000:2009

Supaya manajemen risiko dapat efektif dilaksanakan, maka organisasi di semua tingkatan harus memenuhi prinsip-prinsip, yaitu :

  1. Manajemen risiko menciptakan dan melindungi nilai yang berkontribusi untuk pencapaian obyektif dan perbaikan organisasi.
  2. Manajemen risiko merupakan bagian yang terintegrasi dengan keseluruhan proses dalam organisasi dan menjadi bagian dari tanggung jawab manajemen.
  3. Manajemen risiko merupakan bagian dari proses pengambilan keputusan melalui peranannya dalam memberikan pilihan kepada pengambil keputusan.
  4. Manajemen risiko secara eksplisit memperhitungkan ketidakpastian dan sifat ketidak pastian itu, serta berusaha mengurangi ketidakpastian dalam setiap aktivitasnya dalam memastikan pencapaian obyektif organisasi.
  5. Manajemen risiko adalah suatu yang sistematis, terstruktur, dan tepat waktu agar dapat berkontribusi secara efisien dan secara konsisten menghasilkan sesuatu yang dapat diperbandingkan dan diandalkan
  6. Manajemen risiko berdasarkan ketersediaan informasi yang terbaik seperti data historis, pengalaman, umpan balik pemangku kepentingan, observasi, perkiraan ke depan (forecasts) dan pertimbangan para ahli sehingga. Tetapi para pengambil keputusan masih dapat melihat dan mempertimbangkan keterbatasan data atau pemodelan yang digunakan atau adanya kemungkinan divergensi pendapat diantara para ahli.
  7. Manajemen risiko memerlukan penyesuaian sesuai dengan konteks eksternal dan internal organisasi dan profil risiko organisasi itu.
  8. Manajemen risiko memperhitungkan faktor manusia dan budayanya yang merupakan kemampuan, persepsi dan kemauan individu eksternal maupun internal dari suatu organisasi yang dapat mendukung atau merongrong pencapaian obyektifnya.
  9. Manajemen risiko adalah transparan dan inklusif melibatkan semua pemangku kepentingan terutama pengambil keputusan dalam menentukan kriteria risiko.
  10. Manajemen risiko adalah dinamis, iteratif, dan responsif terhadap perubahan, eksternal  dan internal.
  11. Manajemen risiko memfasilitasi perbaikan berkelanjutan organisasi  yang diukur dari tingkat kematangan manajemen risikonya.

Framework (Pola kerja ) Manajemen Risiko ISO 31000:2009

Framework Manajemen Risiko ISO 31000:2009 dalam klausul 4 (lihat gambar di bawah) terdiri atas :

Framework RM ISO31000

Mandat (pemberian wewenang) dan  komitmen (amanah) di klausul 4.2.

  1. Rancangan Pola kerja untuk mengelola risiko di klausul 4.3.
  2. Penerapan manajemen risiko di klausul 4.4.
  3. Pemantauan dan review terhadap framework di klausul 4.5.
  4. Perbaikan framework berkelanjutan di klausul 4.2.

Framework Manajemen Risiko ISO 31000:2009 menggunakan PDCA atau Plan Do Check Action, untuk perbaikan berkelanjutan (continual improvement) sebagai basis framework dan proses manajemen risiko. PDCA ini digambarkan secara jelas pada gambar di bawah.

PDCA Principle

Plan – mendefinisikan dan analisis suatu masalah serta mengidentifikasi akar masalahnya.

Yang masuk dalam Plan ini antara lain :

·        Mengkomunikasikan dan melatih.

  • Rencana komunikasi dan pelaporan.
  • Strategi training.
  • Jaringan manajemen risiko.

Do – melaksanakan solusi, membuat rencana kerja secara terinci dan menarapkannya secara sistematis.

Yang masuk dalam Do ini antara lain :

·        Mengelola dan mengalokasikan

  • Komite manajemen risiko komisaris/dewan pengawas.
  • Komite manajemen risiko eksekutif /direksi.
  • Manajer manajemen risiko.
  • RM Champions.
  • Risiko, pengendaliannya, ownernya.
  • Penyedia asuransi/penjaminannya.

Check – Memeriksa hasil kerja dibandingkan dengan rencananya dan mengidentifikasi penyimpangannya serta masalah-masalahnya.

Yang masuk dalam Check ini antara lain :

·        Mengukur dan mengkaji.

  • Mengendalikan asuransi/penjaminannya.
  • Kemajuan rencana manajemen risiko.
  • Pelaporan taka kelola.
  • Benchmarking / study banding.
  • Kriteria unjuk kerja.

Act – Menstandarisasi solusi. Mengkaji ulang dan mendefinisikan masalah-masalah yang akan datang.

Yang masuk dalam Act ini antara lain :

·        Komitmen dan Mandat dari atasan kepada bawahannya, mulai dari pemegang saham, Komisaris, Direksi, sampai dengan karyawan level terendah dalam masalah manajemen risiko.

  • Pernyataan kebijakan manajemen risiko.
  • Rencana manajemen risiko.
  • Rencana Asuransi.
  • Standar-standar manajemen risiko.
  • Prosedur dan petunjuk-petunjuk kerja.

Secara lebih detail klausul 4 dengan PDCA nya digambarkan dengan gambar berikut ini :

PDCA ISO31000

Proses Manajemen Risiko ISO 31000:2009

Proses Manajemen Risiko ISO 31000:2009 digambarkan kembali secara lebih detail sebagaimana gambar di bawah ini.

ISO31000 RM Detail Process

Proses pertama adalah Establishing The Context  (Menetapkan Konteks). Dalam proses manajemen risiko langkah awal yang sangat penting adalah Establishing The Context . Menetapkan konteks ini meliputi penetapan tujuan, strategi, ruang lingkup dan parameter-parameter lain yang berhubungan dengan proses pengelolaan risiko suatu organisasi. Penetapan konteks ini menunjukkan hubungan antara masalah atau hal yang akan dikelola risikonya dengan lingkungan organisasi (eksternal & internal), proses manajemen risiko dan ukuran atau kriteria risiko yang dijadikan standar. Dalam penetapan konteks ini ditetapkan pula sumber daya, struktur organisasi (tanggung jawab dan wewenang) yang diperlukan dalam pengeloaan risiko. Dalam dokumen rencana risk manajemen (Risk Management Plan), penetapan konteks ini dapat dijadikan bab Latar Belakang Masalah, bab struktur organisasi pengeloaan risiko dan bab Kriteria Risiko.

Kriteria risiko atau Risk Criteria adalah ukuran standar seberapa besar dampak atau konsekwensi yang mungkin akan terjadi dan seberapa besar kemungkinan atau frekeunsi atau likelihood risiko akan terjadi. Gambar di bawah semoga dapat dijadikan contoh kriteria risiko itu.

Risk criteria

Dalam tulisan yang lain insya Alloh akan kami uraiakan kriteria risiko ini.

Proses kedua adalah Risk Identification atau identifikasi risiko, yaitu  melakukan identifikasi risiko-risiko yang dapat terjadi di masa yang akan datang (yaitu : risiko apa, kapan, di mana, bagaimana, mengapa suatu risiko bisa terjadi). Identifikasi ini termasuk pengidentifikasian poses-proses/tugas-tugas/aktifitas-aktifitas kritikal atau kunci, pengenalan area-area risiko dan katagorinya.

Proses ketiga adalah Risk Analysis atau analisis risiko-risiko, yaitu proses menentukan berapa besar dampak (impact atau consequences) dan kemungkinan (frequency atau likelihood) risiko-risiko yang akan terjadi, serta menghitung berapa besar level risikonya dengan mengalikan antara besar dampak dan besar kemungkinan (Risk = Consequences x Likelihood).

Proses keempat adalah Risk Evaluation atau membandingkan risiko-risiko yang sudah dihitung diatas dengan Kriteria Risiko yang sudah distandarkan (menempatkan posisi risiko-risiko pada gambar kriteria risiko), apakah risiko-risiko itu acceptable/dapat diterima, menjadi issue/diwaspadai, atau unacceptable/tidak diterima, serta memprioritaskan mitigasi atau penangannya. Lihat gambar di bawah ini, risiko nomor 1 dan 5 terletak di daerah warna merah Unacceptable Risk dan menjadi prioritas untuk dilakukan penanganan atau mitigasinya.

Risks Vs Risk Criteria

Proses kelima adalah Risk Treatment atau mitigasi risiko-risiko. Mitigasi risiko-risiko harus direncanakan sebaik-baiknya dan dipertimbangkan semua alternatif solusinya, sebelum dilaksanakan mitigasinya,  agar mendapatkan hasil yang diharapkan ecara efektif dan efisien. Beberapa alternatif bisa dipertimbangkan untuk digunakan, seperti :

  • membagi risiko,
  • mengurangi likeliihood dan/atau  mengurangi konsekwensi,
  • menghindari risiko atau membatalkan aktifitas yg berisiko tinggi,
  • menerima risiko.

Proses keenam adalah Monitor & Review  (Pemantauan & Pengkajian Ulang). Pemantauan & Pengkajian Ulang dilaksanakan terhadap seluruh proses manajemen risiko termasuk konteksnya (lingkungan, proses, organisasi, strategi, stakeholder dsb.). Catatan-catatan hasil Pemantauan & Pengkajian Ulang disimpan sebagai bukti dan laporna bahwa aktifitas itu telah dilaksanakan dan sebagai masukan bagi Risk Management Framework  yang telah disiapkan sebelumnya.

Selama melaksanakan ke enam proses manajemen risiko itu Communication & Consultation (komunikasi dan konsultasi) selalu dilaksanakan kepada semua stakeholder, secara kontinyu dan iterative.

Skema lain yang menambah kejelasan mengenai langkah-langkah penerapan proses manajemen risiko ISO 31000:2009 dapat dilihat pada gambar di bawah.

Steps RM Process ISO31000

Referensi :

  1. COSO ERM Executive Summary  (http://www.coso.org/documents/coso_erm_executivesummary.pdf ).
  2. International Organization for Standardization (ISO). “ISO 13000:2009—Risk Management: Principles and Guidelines.” Geneva, 2009.  (http://www.iso.org/iso/home/standards/iso31000.htm).
  3. Kevin W Knight AM “Applying ISO 31000:2009 in Regulatory Work”.
  4. Diane Christina “Asesmen Manajemen Risiko berbasis COSO ERM“.
  5. Diane Christina “Asesmen Manajemen Risiko berbasis ISO 31000:2009“.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s