SEMINAR MANAJEMEN RISIKO risk mana

(1)

SEMINAR MANAJEMEN RISIKO

MANAJEMEN RISIKO:

DEFINISI, PRINSIP, DAN KERANGKA KONSEPTUAL

MENURUT COSO, AS/NZS, BASEL DAN PERATURAN

PERUNDANG-UNDANGAN DI INDONESIA

Disusun oleh: Agatha Raharjo (01); Bara Aji Anggara (09); Doni Iwan Prasetyo (14); Moch Reza Agung Y (22);

Muhammad Yusuf (23)

Semester VIII Program Diploma IV Kurikulum Khusus BPKP Angkatan II

(2)

Di Inggris, kesadaran untuk perlunya manajemen risiko untuk instansi pemerintahaan ternyata sudah dimulai dari tahun 2000 dan pada tahun 2001, HM Treasury menerbitkan panduan manajemen risiko bagi lembaga pemerintahaan dan dikenal sebagai “Orange Book” karena kulit luarnya yang berwarna oranye. Buku ini diperbarui pada tahun 2004 dengan judul “The Orange Book: Management of Risk - Principles and Concepts”. Selain itu juga ada Green Book yang berisikan “Appraisal and Evaluation in Central Government”. Perubahan terbesar dengan terbitnya

Orange Book adalah di tiap organisasi pemerintah kini telah diterapkan proses manajemen risiko sesuai dengan panduan dari Orange Book.

Di Amerika Serikat, General Accountability Office pada tahun 2007 menerbitkan “Homeland Security: Applying Risk Management Principles to Guide Federal Investments, GAO-07-386T” sebagai panduan bagi pembuat keputusan publik untuk melakukan asesmen risiko, alokasi sumber daya dan melakukan tindakan dalam kondisi yang tidak pasti (uncertainty). Sebelum itu

Department of Homeland Security, pada tahun 2006 menerbitkan National Infrastructure Protection Plan, yang lebih menekankan perlindungan risiko dalam aspek keamanan fisik.

Dalam tataran global ada sebuah lembaga nirlaba bernama International Risk Governance Council

(IRGC) yang berkedudukan di Jenewa, Swiss yang bertujuan membantu pemerintah, industri, LSM dan organisasi lainnya dalam upayanya untuk mengatasi risiko yang berskala besar dan tingkat global yang dihadapi masyarakat, serta sekaligus meningkatkan kemampuan publik dalam hal risk governance. Pada tahun 2005, IRGC menerbitkan “Risk Governance : Toward an Integrative Approach” sebagai panduan untuk menangani dan mengantisipasi risiko dengan skala besar dan berskala global, seperti misalnya endemi flu burung, masalah rekayasa genetik tanaman pangan,

global maritime infrastructure, dll.

Yang paling menarik adalah Australia, masing-masing negara bagian menerbitkan sendiri

Government Risk Management Framework/Guidelines (GRM Framework/Guidelines) dan mereka menggunakan Standar Manajemen Risiko Nasionalnya yaitu Australian Standard/New Zealand Standard 4360 : 2004 Risk Management sebagai acuan. Ketika standar nasional ini pada tahun 2010 mengalami perubahan menjadi AS/NZS ISO 31000:2010 maka GRM Framework/Guidelines

masing-masing negara bagian juga berubah menyesuaikan dengan standar nasional tersebut. Hal ini terlihat antara lain pada negara bagian Queensland, Victoria dan West Australia yang merevisi GRM Framework/Guidelines mereka pada tahun 2011 sesuai dengan AS/NZS ISO 31000:2010 tersebut.

Bagaimanakah dengan Indonesia? Apakah kita mempunyai Standar Nasional Manajemen Risiko? Dari informasi yang ada kita mempunyai sebuah panduan dan sebuah standar manajemen risiko nasional. Panduan tersebut adalah “Pedoman Manajemen Risiko Berbasis Governance” yang diterbitkan oleh Komite Nasional Kebijakan Governance (KNKG) pada tahun 2012 dan standar tersebut adalah “SNI ISO 31000:2011 Manajemen Risiko – Prinsip dan Panduan” yang diterbitkan oleh Badan Standarisasi Nasional dengan mengadopsi standar internasional ISO 31000:2009, sebagaimana dilakukan oleh Australia dan New Zealand, serta berbagai negara lain di dunia termasuk Amerika Serikat.

(3)

memahami adanya Standar Nasional Manajemen Risiko ini.

Dari kondisi lapangan di atas nampak bahwa masih diperlukan upaya yang cukup keras untuk menyosialisasikan SNI ISO 31000 sebagai Standar Nasional Manajemen Risiko.

Standar Nasional Indonesia untuk Manajemen Risiko dapat menjadi acuan dalam penyusunan panduan GRM masing-masing instansi pemerintah, apakah itu untuk masing-masing Kementerian ataukah untuk masing-masing Pemerintah Daerah maupun terhadap seluruh BUMN dan BUMD.

B. PENGERTIAN, PRINSIP, DAN KONSEP

1. Menurut COSO

Manajemen dari beberapa perusahaan dan entitas lain telah mengembangkan proses untuk mengidentifikasi dan mengelola risiko di seluruh perusahaan, dan banyak lainnya telah mulai pembangunan atau sedang mempertimbangkan untuk melakukannya. Sementara informasi yang cukup tentang manajemen risiko perusahaan tersedia, termasuk banyak literatur yang diterbitkan, tidak ada istilah umum ada, dan ada sedikit jika ada prinsip-prinsip yang diterima secara luas yang dapat digunakan oleh manajemen sebagai panduan dalam mengembangkan sebuah arsitektur manajemen risiko yang efektif.

Menyadari perlunya bimbingan definitif tentang manajemen risiko perusahaan, Komite Sponsoring Organizations of the Treadway Commission (COSO) memulai sebuah proyek untuk mengembangkan suatu kerangka kerja konseptual suara memberikan prinsip-prinsip terintegrasi, terminologi umum dan pedoman implementasi praktis mendukung program entitas 'untuk mengembangkan atau patokan proses manajemen risiko perusahaan mereka. Tujuan yang terkait adalah untuk kerangka ini dihasilkan untuk melayani sebagai dasar umum untuk manajemen, direksi, regulator, akademisi dan lain-lain untuk lebih memahami manajemen risiko perusahaan, manfaat dan keterbatasan, dan untuk secara efektif berkomunikasi tentang isu-isu manajemen risiko perusahaan.

1) Relevansi ERM

Premis yang mendasari manajemen risiko perusahaan adalah bahwa setiap entitas, baik untuk keuntungan, tidak-untuk-profit, atau badan pemerintah, ada untuk memberikan nilai bagi para pemangku kepentingannya. Semua entitas menghadapi ketidakpastian, dan tantangan bagi manajemen untuk menentukan berapa banyak ketidakpastian entitas siap untuk menerima karena berusaha untuk menumbuhkan nilai stakeholder. Ketidakpastian menyajikan baik risiko dan peluang, dengan potensi untuk mengikis atau meningkatkan nilai. Enterprise risk management menyediakan kerangka kerja bagi manajemen untuk secara efektif menangani ketidakpastian dan risiko yang terkait dan kesempatan dan dengan demikian meningkatkan kapasitasnya untuk membangun nilai.

(1) Ketidakpastian

(4)

kemungkinan bahwa peristiwa potensial akan terjadi dan hasil yang terkait.

(2) Nilai

Nilai diciptakan, diawetkan atau terkikis oleh keputusan manajemen mulai dari pengaturan strategi untuk operasi perusahaan sehari-hari. Melekat dalam keputusan merupakan pengakuan atas risiko dan peluang, mengharuskan manajemen menganggap informasi tentang lingkungan internal dan eksternal, menyebarkan sumber daya yang berharga dan recalibrates kegiatan usaha untuk mengubah keadaan.

Entitas mewujudkan nilai ketika para pemangku kepentingan memperoleh manfaat dikenali bahwa mereka nilai gilirannya. Bagi perusahaan, pemegang saham menyadari nilai ketika mereka mengakui penciptaan nilai dari pertumbuhan saham-nilai. Untuk entitas pemerintah, nilai direalisasikan ketika konstituen mengakui penerimaan jasa senilai dengan biaya yang dapat diterima. Pemangku kepentingan tidak-untuk entitas nirlaba menyadari nilai ketika mereka mengakui menerima manfaat sosial dihargai. Enterprise risk management memfasilitasi kemampuan manajemen untuk menciptakan nilai yang berkelanjutan baik dan mengkomunikasikan nilai yang diciptakan bagi para pemangku kepentingan.

2) Keunggulan ERM

Tidak ada entitas beroperasi dalam lingkungan yang bebas risiko, dan manajemen risiko perusahaan tidak menciptakan lingkungan seperti itu. Sebaliknya, enterprise risk management memungkinkan manajemen untuk beroperasi secara lebih efektif dalam lingkungan yang penuh dengan risiko.

Enterprise risk management memberikan peningkatan kemampuan untuk: (1) Menyelaraskan tingkat risiko dan strateginya

Risk appetite adalah tingkat risiko, pada tingkat berbasis luas, bahwa sebuah perusahaan atau badan lain yang bersedia menerima dalam mengejar tujuannya. Manajemen menganggap risk appetite entitas pertama dalam mengevaluasi alternatif strategi, maka dalam menetapkan tujuan selaras dengan strategi yang dipilih dan dalam mengembangkan mekanisme untuk mengelola risiko terkait.

(2) Pertumbuhan Link, risiko dan return

Entitas menerima resiko sebagai bagian dari penciptaan nilai dan pelestarian, dan mereka berharap kembali sepadan dengan risiko. Enterprise risk management menyediakan kemampuan ditingkatkan untuk mengidentifikasi dan menilai risiko, dan menetapkan tingkat risiko yang dapat diterima relatif terhadap pertumbuhan dan kembali tujuan.

(3) Meningkatkan keputusan respon risiko

Manajemen risiko perusahaan memberikan kekakuan untuk mengidentifikasi dan memilih di antara respon risiko alternatif - penghindaran risiko, pengurangan, pembagian dan penerimaan. Manajemen risiko perusahaan menyediakan metodologi dan teknik untuk membuat keputusan ini.

(4) Minimalkan kejutan dan kerugian operasional

Entitas telah meningkatkan kemampuan untuk mengidentifikasi kejadian potensial, menilai risiko dan membangun respon, sehingga mengurangi terjadinya kejutan dan biaya atau kerugian yang terkait. 1_{Sementara istilah "manajemen" digunakan dalam hal} ini dan kemudian diskusi, banyak kegiatan manajemen risiko perusahaan yang dilakukan oleh petugas non-manajemen.

(5) Mengidentifikasi dan mengelola risiko lintas-perusahaan

(5)

organisasi. Manajemen perlu tidak hanya mengelola risiko individu, tetapi juga memahami dampak yang saling terkait.

(6) Memberikan respon terpadu untuk beberapa risiko

Proses bisnis membawa banyak risiko yang melekat, dan manajemen risiko perusahaan memungkinkan solusi terintegrasi untuk mengelola risiko.

(7) Menangkap peluang

Manajemen menganggap peristiwa potensial, bukan hanya risiko, dan dengan mempertimbangkan berbagai macam acara, manajemen keuntungan pemahaman tentang bagaimana peristiwa tertentu merupakan peluang.

(8) Merasionalisasi modal

Informasi lebih lanjut yang kuat pada risiko total entitas memungkinkan manajemen untuk lebih efektif menilai kebutuhan modal secara keseluruhan dan meningkatkan alokasi modal.

Enterprise risk management bukanlah tujuan itu sendiri, melainkan merupakan sarana penting. Hal ini tidak bisa dan tidak beroperasi secara terpisah di suatu entitas, melainkan merupakan enabler dari proses manajemen. Enterprise risk management yang saling terkait dengan tata kelola perusahaan dengan memberikan informasi kepada dewan direksi pada risiko yang paling signifikan dan bagaimana mereka dikelola. Dan, itu interrelates dengan manajemen kinerja dengan memberikan tindakan risiko disesuaikan, dan dengan pengendalian internal, yang merupakan bagian integral dari manajemen risiko perusahaan.

Enterprise risk management membantu entitas mencapai kinerja dan profitabilitas target, dan mencegah hilangnya sumber daya. Ini membantu memastikan pelaporan yang efektif. Dan, hal ini membantu memastikan bahwa entitas mematuhi hukum dan peraturan, menghindari kerusakan pada reputasi dan konsekuensi lainnya. Singkatnya, hal ini membantu suatu entitas sampai ke mana ia ingin pergi dan menghindari perangkap dan kejutan sepanjang jalan.

3) Definisi ERM

Enterprise risk management adalah sebuah proses, dipengaruhi oleh dewan entitas direksi, manajemen dan personil lainnya, diterapkan dalam pengaturan strategi dan di seluruh

(1) Sebagai Sebuah Proses (Sarana untuk mencapai tujuan, bukan tujuan itu sendiri) Sebuah Proses Manajemen risiko perusahaan bukan merupakan salah satu peristiwa atau keadaan, melainkan serangkaian tindakan yang menyerap kegiatan entitas. Tindakan ini meresap dan melekat dalam cara manajemen menjalankan bisnis.

(6)

mempengaruhi kemampuan untuk melaksanakan strategi dan mencapai visi atau misinya. Membangun enterprise risk management juga memiliki implikasi penting bagi pengendalian biaya, terutama di pasar yang sangat kompetitif banyak perusahaan hadapi. Menambah prosedur baru yang terpisah dari yang sudah ada menambah biaya. Dengan berfokus pada operasi yang ada dan kontribusinya pada enterprise risk management yang efektif, dan mengintegrasikan manajemen risiko ke dalam kegiatan operasi dasar, tetapi melibatkan orang pada setiap jenjang organisasi)

Enterprise risk management dipengaruhi oleh dewan direksi, manajemen dan personel lain. Hal ini dilakukan oleh orang-orang dari sebuah organisasi, dengan apa yang mereka lakukan dan katakan.Orang-orang mendirikan entitas misi / visi, strategi dan tujuan dan menempatkan mekanisme manajemen risiko perusahaan di tempat. Demikian pula, manajemen risiko perusahaan mempengaruhi tindakan masyarakat. Enterprise risk management mengakui bahwa orang tidak selalu mengerti, berkomunikasi atau melakukan secara konsisten. Setiap individu membawa ke tempat kerja latar belakang yang unik dan kemampuan teknis, dan memiliki kebutuhan dan prioritas yang berbeda. Realitas ini mempengaruhi, dan dipengaruhi oleh, manajemen risiko perusahaan. Setiap orang memiliki titik unik dari referensi yang mempengaruhi bagaimana mereka mengidentifikasi, menilai dan menanggapi risiko. Enterprise risk management menyediakan mekanisme yang diperlukan untuk membantu orang memahami resiko dalam konteks tujuan entitas. Orang-orang harus tahu tanggung jawab dan batas-batas kewenangannya. Dengan demikian, hubungan yang jelas dan dekat perlu ada antara tugas masyarakat dan cara di mana mereka dilakukan, serta dengan strategi dan tujuan entitas.

Orang organisasi termasuk dewan direksi, serta manajemen dan personil lainnya. Meskipun direksi terutama memberikan pengawasan, mereka juga memberikan arahan dan menyetujui strategi dan transaksi serta kebijakan tertentu. Dengan demikian, dewan direksi merupakan elemen penting dari manajemen risiko perusahaan.

(3) Diterapkan dalam pengaturan strategi

Entitas menetapkan misinya atau visi dan menetapkan tujuan strategis, yang merupakan tujuan tingkat tinggi yang sejalan dengan dan mendukung visi atau misi. Entitas menetapkan strategi untuk mencapai tujuan strategisnya. Hal ini juga menetapkan tujuan terkait yang ingin dicapai, mengalir dari strategi, mengalir ke unit bisnis, divisi dan proses. Dalam menetapkan strategi, manajemen mempertimbangkan risiko relatif terhadap strategi alternatif

(4) Diterapkan di seluruh perusahaan, di setiap tingkat dan unit, dan termasuk mengambil pandangan portofolio entitas-tingkat risiko

(7)

Enterprise risk management membutuhkan entitas untuk mengambil pandangan portofolio risiko. Hal ini mungkin melibatkan setiap manajer yang bertanggung jawab atas unit bisnis, fungsi, proses atau kegiatan lain mengembangkan penilaian risiko untuk unit. Penilaian tersebut mungkin bersifat kuantitatif atau kualitatif. Dengan tampilan komposit pada setiap tingkat berhasil organisasi, manajemen senior diposisikan untuk membuat penentuan apakah profil risiko entitas secara keseluruhan sepadan dengan risk appetite. Manajemen menganggap risiko saling terkait dari perspektif portofolio entitas-tingkat. Risiko terkait perlu diidentifikasi dan ditindaklanjuti untuk membawa keseluruhan risiko dalam risk appetite entitas. Risiko untuk masing-masing unit entitas mungkin dalam toleransi risiko unit ', tetapi secara bersama-sama dapat melebihi risk appetite entitas secara keseluruhan. Risk appetite secara keseluruhan tercermin hilir suatu entitas melalui toleransi risiko yang ditetapkan untuk tujuan khusus.

(5) Dirancang untuk mengidentifikasi kejadian yang berpotensi mempengaruhi entitas dan mengelola risiko dalam risk appetite

Risk appetite adalah jumlah resiko entitas bersedia menerima dalam mengejar nilai. Entitas sering menganggap risk appetite secara kualitatif, dengan kategori seperti tinggi, sedang atau rendah, atau mereka dapat mengambil pendekatan kuantitatif, yang mencerminkan dan menyeimbangkan tujuan untuk pertumbuhan, pengembalian dan risiko.

Risk appetite secara langsung berkaitan dengan strategi entitas. Hal ini dianggap dalam pengaturan strategi, di mana hasil yang diinginkan dari sebuah strategi harus sejajar dengan risk appetite entitas. Strategi yang berbeda akan mengekspos entitas untuk risiko yang berbeda. Manajemen risiko perusahaan, diterapkan dalam pengaturan strategi, membantu manajemen memilih strategi yang konsisten dengan risk appetite entitas. Risk appetite entitas memandu alokasi sumber daya. Manajemen mengalokasikan sumber daya di seluruh unit bisnis dengan mempertimbangkan risk appetite entitas dan strategi unit bisnis individu untuk menghasilkan pengembalian yang diinginkan pada sumber daya yang diinvestasikan. Manajemen mempertimbangkan risk appetite karena sejalan organisasi, orang dan proses, dan desain infrastruktur yang diperlukan untuk secara efektif merespon dan memantau risiko.

Toleransi risiko adalah tingkat yang dapat diterima variasi relatif terhadap pencapaian tujuan. Dalam menetapkan toleransi risiko tertentu, manajemen mempertimbangkan kepentingan relatif dari tujuan terkait dan sejalan toleransi risiko dengan risk appetite. Operasi dalam toleransi risiko menyediakan manajemen jaminan yang lebih besar bahwa entitas akan tetap dalam risk appetite dan, pada gilirannya, memberikan tingkat kenyamanan yang lebih tinggi bahwa entitas akan mencapai tujuannya.

(6) Menyediakan keyakinan memadai kepada manajemen entitas dan dewan direksi Dirancang dengan baik dan dioperasikan manajemen risiko perusahaan dapat menyediakan manajemen dan dewan direksi keyakinan memadai tentang pencapaian tujuan entitas. Sebagai hasil dari manajemen risiko perusahaan bertekad untuk menjadi efektif, di setiap kategori tujuan entitas, dewan direksi dan keuntungan manajemen keyakinan memadai bahwa:

a. Mereka memahami sejauh mana tujuan strategis entitas 's sedang dicapai, b. Mereka memahami sejauh mana tujuan operasi entitas yang telah ditetapkan, c. Pelaporan entitas dapat diandalkan, dan

d. Hukum dan peraturan yang berlaku sedang dipenuhi.

(8)

dan manfaat relatif, kerusakan dapat terjadi karena kegagalan manusia seperti kesalahan sederhana atau kesalahan, kontrol dapat dielakkan oleh kolusi dari dua orang atau lebih, dan manajemen memiliki kemampuan untuk mengesampingkan keputusan manajemen risiko perusahaan. Keterbatasan ini menghalangi papan dan manajemen dari memiliki jaminan mutlak bahwa tujuan akan tercapai.

(7) Diarahkan untuk pencapaian tujuan dalam satu atau lebih yang terpisah namun tumpang tindih kategori

Pencapaian Tujuan Enterprise risk management yang efektif dapat diharapkan untuk memberikan keyakinan memadai untuk mencapai tujuan yang berkaitan dengan keandalan pelaporan dan kepatuhan terhadap hukum dan peraturan. Pencapaian kategori-kategori tujuan berada dalam entitas 'kontrol dan tergantung pada seberapa baik entitas' kegiatan terkait s dilakukan. Namun, pencapaian tujuan strategis dan operasi tidak selalu berada dalam kendali entitas. Untuk tujuan tersebut, manajemen risiko perusahaan dapat memberikan keyakinan memadai hanya itu manajemen, dan dewan dalam fungsi pengawasannya, disadarkan, pada waktu yang tepat, dari sejauh mana entitas bergerak menuju pencapaian tujuan.

4) Komponen ERM

Komponen Enterprise Risk Management Enterprise risk management terdiri dari delapan komponen yang saling terkait. Ini berasal dari cara manajemen menjalankan bisnis, dan terintegrasi dengan proses manajemen sebagai berikut:

(1) Internal Environment

Lingkungan internal entitas adalah dasar untuk semua komponen lain dari manajemen risiko perusahaan, menyediakan disiplin dan struktur. Lingkungan internal mempengaruhi bagaimana strategi dan tujuan ditetapkan, kegiatan usaha yang terstruktur dan risiko diidentifikasi, dinilai dan ditindaklanjuti. Ini mempengaruhi desain dan fungsi kegiatan pengendalian, sistem informasi dan komunikasi, dan pemantauan. Lingkungan internal terdiri dari banyak unsur, termasuk entitas 's nilai-nilai etika, kompetensi dan pengembangan personil, manajemen' gaya operasi dan bagaimana hal itu memberikan kewenangan dan tanggung jawab. Sebuah dewan direksi adalah bagian penting dari lingkungan internal dan secara signifikan mempengaruhi unsur-unsur lingkungan internal lainnya. Sebagai bagian dari lingkungan internal, manajemen menetapkan filosofi manajemen risiko, menetapkan risk appetite entitas, membentuk budaya risiko dan mengintegrasikan manajemen risiko perusahaan dengan inisiatif terkait.

Sebuah filosofi manajemen risiko perusahaan yang dipahami oleh semua personil memfasilitasi kemampuan karyawan untuk mengenali dan secara efektif mengelola risiko. Filosofi - keyakinan entitas tentang risiko dan bagaimana memilih untuk melakukan kegiatan dan menangani risiko - mencerminkan nilai entitas berusaha dari enterprise risk management dan mempengaruhi bagaimana komponen enterprise risk management akan diterapkan. Manajemen mengkomunikasikan filosofi manajemen risiko perusahaan kepada karyawan melalui pernyataan kebijakan dan komunikasi lainnya. Yang penting, manajemen memperkuat filosofi tidak hanya dengan kata-kata tetapi dengan tindakan sehari-hari juga.

(9)

kembali gol, masing-masing memiliki risiko yang terkait berbeda. Manajemen risiko perusahaan, diterapkan dalam pengaturan strategi, membantu manajemen memilih strategi yang konsisten dengan risk appetite. Manajemen terlihat untuk menyelaraskan organisasi, manusia, proses dan infrastruktur untuk memfasilitasi pelaksanaan strategi yang berhasil dan memungkinkan entitas untuk tetap dalam risk appetite.

Budaya risiko adalah seperangkat sikap bersama, nilai-nilai dan praktik yang mencirikan bagaimana entitas mempertimbangkan resiko dalam kegiatannya sehari-hari. Bagi banyak perusahaan, budaya resiko mengalir dari filosofi risiko entitas dan risk appetite. Bagi entitas yang tidak secara eksplisit mendefinisikan filosofi risiko, budaya risiko dapat membentuk sembarangan, sehingga budaya risiko yang berbeda secara signifikan dalam suatu perusahaan atau bahkan dalam unit bisnis tertentu, fungsi atau departemen.

(2) Objective Setting

Dalam konteks misi atau visi yang ditetapkan, manajemen menetapkan tujuan strategis, memilih strategi dan menetapkan tujuan yang terkait, mengalir melalui perusahaan dan selaras dengan dan terkait dengan strategi. Tujuan harus ada sebelum manajemen dapat mengidentifikasi peristiwa yang berpotensi mempengaruhi prestasi mereka. Enterprise risk management memastikan bahwa manajemen memiliki proses di tempat untuk kedua set tujuan dan menyelaraskan tujuan dengan entitas misi / visi dan konsisten dengan risk appetite entitas.

Tujuan entitas dapat dilihat dalam konteks empat kategori:

a. Strategis - yang berkaitan dengan tujuan tingkat tinggi, sejalan dengan dan mendukung misi entitas / visi.

b. Operasi - berkaitan dengan efektivitas dan efisiensi operasi entitas, termasuk kinerja dan profitabilitas gol. Mereka bervariasi berdasarkan pilihan manajemen tentang struktur dan kinerja.

c. Pelaporan - berkaitan dengan efektivitas pelaporan entitas. Mereka termasuk pelaporan internal dan eksternal dan mungkin melibatkan informasi keuangan atau non-keuangan.

d. Kepatuhan - berkaitan dengan kepatuhan entitas dengan undang-undang dan peraturan yang berlaku.

Kategorisasi tujuan entitas memungkinkan manajemen dan dewan untuk fokus pada aspek-aspek yang terpisah dari manajemen risiko perusahaan. Ini berbeda tetapi tumpang tindih kategori tujuan tertentu dapat jatuh di bawah lebih dari satu kategori -memenuhi kebutuhan entitas yang berbeda dan mungkin menjadi tanggung jawab langsung dari eksekutif yang berbeda. Kategorisasi ini juga memungkinkan membedakan antara apa yang dapat diharapkan dari setiap kategori tujuan. Beberapa entitas menggunakan kategori lain tujuan, "pengamanan sumber daya," kadang-kadang disebut sebagai "pengamanan aset." Dilihat secara luas, kesepakatan ini dengan pencegahan hilangnya aset suatu entitas atau sumber daya, baik melalui pencurian, pemborosan, inefisiensi atau apa yang ternyata menjadi keputusan bisnis yang cukup buruk - seperti menjual produk dengan harga terlalu rendah, gagal untuk mempertahankan karyawan kunci atau mencegah pelanggaran paten, atau menimbulkan kewajiban yang tak terduga. Ini pengamanan berbasis luas dari kategori aset dapat dipersempit untuk tujuan pelaporan tertentu, di mana konsep pengamanan hanya berlaku untuk pencegahan atau deteksi yang tepat terhadap akuisisi, penggunaan, atau disposisi aset entitas.

(3) Event Identification

(10)

mempertimbangkan faktor-faktor eksternal dan internal yang mempengaruhi terjadinya peristiwa. Faktor eksternal meliputi ekonomi, bisnis, lingkungan alam, faktor-faktor politik, sosial dan teknologi. Faktor internal mencerminkan pilihan manajemen dan meliputi hal-hal seperti infrastruktur, personil, proses dan teknologi. Metodologi identifikasi kejadian entitas dapat terdiri dari kombinasi teknik bersama-sama dengan alat-alat pendukung. Teknik identifikasi kejadian melihat ke baik masa lalu dan masa depan. Teknik yang berfokus pada peristiwa masa lalu dan tren mempertimbangkan hal-hal seperti sejarah gagal bayar, perubahan harga komoditas dan kecelakaan kehilangan waktu. Teknik yang berfokus pada eksposur di masa depan mempertimbangkan hal-hal seperti pergeseran demografi, pasar baru dan tindakan pesaing. Ini mungkin berguna untuk kelompok peristiwa potensial ke dalam kategori. Dengan menggabungkan peristiwa horizontal di suatu entitas dan secara vertikal dalam unit-unit operasi, manajemen mengembangkan pemahaman tentang keterkaitan antara peristiwa, memperoleh informasi ditingkatkan sebagai dasar untuk penilaian risiko.

Acara berpotensi memiliki dampak negatif, dampak positif atau keduanya. Peristiwa yang memiliki dampak yang berpotensi negatif mencerminkan risiko, yang membutuhkan penilaian manajemen dan respon. Dengan demikian, risiko didefinisikan sebagai kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian tujuan. Acara dengan potensi dampak positif merupakan peluang atau mengimbangi dampak negatif dari risiko. Acara yang mewakili peluang disalurkan kembali ke strategi atau tujuan-pengaturan proses manajemen, sehingga tindakan dapat dirumuskan untuk merebut peluang. Acara berpotensi mengimbangi dampak negatif dari risiko yang dipertimbangkan dalam penilaian risiko manajemen dan respon.

(4) Risk Assessment

Penilaian risiko memungkinkan suatu entitas untuk mempertimbangkan bagaimana peristiwa potensial dapat mempengaruhi pencapaian tujuan. Manajemen menilai peristiwa dari dua perspektif: kemungkinan dan dampak.

Kemungkinan mewakili kemungkinan bahwa peristiwa tertentu akan terjadi, sementara dampak mewakili efeknya harus itu terjadi. Perkiraan kemungkinan risiko dan dampak sering ditentukan dengan menggunakan data dari peristiwa masa lalu dapat diamati, yang dapat memberikan dasar yang lebih obyektif daripada perkiraan sepenuhnya subyektif. Data yang dihasilkan secara internal berdasarkan pengalaman entitas sendiri mungkin mencerminkan bias pribadi kurang subyektif dan memberikan hasil yang lebih baik daripada data dari sumber eksternal. Namun, bahkan di mana data yang dihasilkan secara internal adalah input primer, data eksternal dapat berguna sebagai checkpoint atau untuk meningkatkan analisis. Pengguna harus berhati-hati ketika menggunakan peristiwa masa lalu untuk membuat prediksi tentang masa depan, sebagai faktor yang mempengaruhi kejadian dapat berubah dari waktu ke waktu.

Metodologi penilaian risiko entitas biasanya terdiri dari kombinasi teknik kualitatif dan kuantitatif. Manajemen sering menggunakan teknik penilaian kualitatif di mana risiko tidak meminjamkan diri untuk kuantifikasi atau saat data kredibel yang cukup diperlukan untuk penilaian kuantitatif baik tidak tersedia atau dengan praktis mendapatkan atau menganalisis data yang tidak efektif. Teknik kuantitatif biasanya membawa lebih presisi dan digunakan dalam kegiatan yang lebih kompleks dan canggih untuk melengkapi teknik kualitatif. Sebuah entitas tidak perlu menggunakan teknik penilaian umum di semua unit bisnis. Sebaliknya, pilihan teknik harus mencerminkan kebutuhan untuk presisi dan budaya dari unit bisnis. Dalam hal apapun, metode yang digunakan oleh unit bisnis individu harus memfasilitasi penilaian entitas risiko di seluruh entitas.

(11)

tercapai. Ini mungkin berguna untuk menggunakan satuan yang sama ukuran ketika mempertimbangkan dampak potensial dari risiko terhadap pencapaian tujuan tertentu. Manajemen dapat menetapkan bagaimana peristiwa berkorelasi, dimana urutan peristiwa menggabungkan dan berinteraksi untuk menciptakan probabilitas yang berbeda secara signifikan atau dampak. Sementara dampak dari satu acara mungkin sedikit, urutan peristiwa mungkin memiliki dampak yang lebih signifikan. Dimana peristiwa potensial tidak terkait langsung, manajemen menilai mereka secara individu; dimana risiko yang mungkin terjadi dalam beberapa unit bisnis, manajemen dapat menetapkan dan kelompok mengidentifikasi peristiwa ke dalam kategori umum.

Biasanya ada berbagai hasil yang mungkin terkait dengan peristiwa potensial, dan manajemen menganggap mereka sebagai dasar untuk mengembangkan respon risiko. Melalui penilaian risiko, manajemen mempertimbangkan konsekuensi positif dan negatif dari peristiwa potensial, secara individu atau berdasarkan kategori, di seluruh entitas. Karena risiko dinilai dalam konteks strategi dan tujuan entitas, manajemen sering cenderung fokus pada risiko dengan cakrawala waktu jangka menengah pendek sampai. Namun, beberapa elemen dari arah strategis dan tujuan memperpanjang untuk jangka panjang. Akibatnya, manajemen perlu menyadari kerangka waktu yang lebih panjang, dan tidak mengabaikan risiko yang mungkin lebih jauh.

Penilaian risiko diterapkan pertama yang inherent risk - risiko kepada entitas dalam tidak adanya tindakan manajemen mungkin mengambil untuk mengubah baik kemungkinan risiko atau dampak. Bila respon risiko telah dikembangkan, manajemen kemudian menggunakan teknik penilaian risiko dalam menentukan risiko residual - risiko yang tersisa setelah tindakan manajemen untuk mengubah kemungkinan risiko atau dampak. (5) Risk Response

Manajemen mengidentifikasi pilihan respon risiko dan mempertimbangkan efeknya pada acara kemungkinan dan dampak, dalam kaitannya dengan toleransi risiko dan biaya dibandingkan manfaat, dan desain dan menerapkan pilihan jawaban. Pertimbangan respon risiko dan memilih dan menerapkan respon risiko merupakan bagian integral dari manajemen risiko perusahaan. Enterprise risk management yang efektif mensyaratkan bahwa manajemen memilih respon yang diharapkan dapat membawa kemungkinan risiko dan dampak dalam toleransi risiko entitas.

Respon risiko jatuh dalam kategori penghindaran risiko, pengurangan, pembagian dan penerimaan. Tanggapan menghindari mengambil tindakan untuk keluar dari kegiatan yang menimbulkan risiko. Tanggapan pengurangan mengurangi kemungkinan risiko, dampak, atau keduanya. Berbagi tanggapan mengurangi kemungkinan risiko atau dampak dengan mentransfer atau berbagi sebagian dari risiko. Tanggapan Penerimaan tidak melakukan tindakan untuk mempengaruhi kemungkinan atau dampak. Sebagai bagian dari manajemen risiko perusahaan, untuk setiap risiko yang signifikan entitas mempertimbangkan tanggapan potensial dari berbagai kategori respon. Hal ini memberikan kedalaman yang cukup untuk pemilihan respon dan juga menantang "status quo."

(12)

yang relatif keseluruhan tujuannya.

Manajemen harus menyadari bahwa beberapa tingkat risiko residual akan selalu ada, bukan hanya karena sumber daya yang terbatas, tetapi juga karena ketidakpastian masa depan yang melekat dan keterbatasan yang melekat dalam semua kegiatan.

(6) Control Activities

Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu memastikan tanggapan risiko dijalankan dengan benar. Aktivitas pengendalian terjadi di seluruh organisasi, di semua tingkat dan di semua fungsi. Aktivitas pengendalian merupakan bagian dari proses dimana suatu perusahaan berusaha untuk mencapai tujuan usahanya. Mereka biasanya melibatkan dua elemen: kebijakan menetapkan apa yang harus dilakukan dan prosedur untuk mempengaruhi kebijakan.

Dengan ketergantungan luas pada sistem informasi, kontrol yang diperlukan melalui sistem yang signifikan. Dua pengelompokan luas aktivitas pengendalian sistem informasi dapat digunakan. Yang pertama adalah kontrol umum, yang berlaku untuk banyak jika tidak semua sistem aplikasi dan membantu memastikan melanjutkan, operasi yang tepat. Yang kedua adalah kontrol aplikasi, yang mencakup langkah-langkah komputerisasi dalam perangkat lunak aplikasi untuk mengontrol aplikasi teknologi. Dikombinasikan dengan kontrol proses manual lainnya jika diperlukan, kontrol ini memastikan kelengkapan, akurasi dan validitas informasi.

Pengendalian umum meliputi pengendalian atas pengelolaan teknologi informasi, infrastruktur teknologi informasi, manajemen keamanan dan perangkat lunak akuisisi, pengembangan dan pemeliharaan. Kontrol ini berlaku untuk semua sistem - dari mainframe ke client / server untuk lingkungan komputer desktop. Pengendalian umum meliputi pengendalian manajemen teknologi informasi menangani proses pengawasan teknologi informasi, pemantauan dan pelaporan kegiatan teknologi informasi, dan inisiatif peningkatan bisnis.

Pengendalian aplikasi yang dirancang untuk memastikan kelengkapan, keakuratan, otorisasi dan validitas data capture dan pengolahan transaksi. Aplikasi individu dapat mengandalkan operasi yang efektif dari kontrol atas sistem informasi untuk memastikan bahwa data antarmuka yang dihasilkan bila diperlukan, mendukung aplikasi yang tersedia dan kesalahan antarmuka terdeteksi dengan cepat.

Karena setiap entitas telah menetapkan sendiri tujuan dan pendekatan implementasi, akan ada perbedaan dalam tujuan, struktur dan kegiatan pengendalian terkait. Bahkan jika dua entitas memiliki tujuan dan struktur identik, kegiatan pengendalian mereka kemungkinan akan berbeda. Setiap entitas dikelola oleh orang yang berbeda yang menggunakan penilaian individu dalam mempengaruhi pengendalian internal. Selain itu, kontrol mencerminkan lingkungan dan industri di mana entitas beroperasi, serta kompleksitas organisasi, sejarah dan budayanya.

(7) Information and Communication

Informasi terkait - dari sumber internal dan eksternal - harus diidentifikasi, ditangkap dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan personil untuk melaksanakan tanggung jawab mereka. Komunikasi yang efektif juga terjadi dalam arti luas, mengalir ke bawah, menemukan dan up entitas. Ada juga komunikasi dan pertukaran informasi yang relevan dengan pihak luar, seperti pelanggan, pemasok, regulator dan pemegang saham efektif.

(13)

dalam bentuk kuantitatif dan kualitatif - dan memungkinkan tanggapan manajemen risiko perusahaan terhadap perubahan kondisi secara real time. Tantangan bagi manajemen adalah untuk memproses dan memperbaiki volume data yang besar menjadi informasi ditindaklanjuti. Tantangan ini dipenuhi dengan membangun infrastruktur sistem informasi sumber, menangkap, memproses, menganalisis dan melaporkan informasi yang relevan. Sistem informasi ini - biasanya terkomputerisasi tetapi juga melibatkan input manual atau antarmuka - sering dilihat dalam konteks pengolahan internal data yang berhubungan dengan transaksi.

Sistem informasi telah lama dirancang dan digunakan untuk mendukung strategi bisnis. Peran ini menjadi penting sebagai perubahan kebutuhan bisnis dan teknologi menciptakan peluang baru untuk keuntungan strategis.

Untuk mendukung manajemen risiko perusahaan yang efektif, suatu entitas menangkap dan menggunakan data historis dan saat ini. Data historis memungkinkan entitas untuk melacak kinerja aktual terhadap target, rencana dan harapan. Ini memberikan wawasan mengenai bagaimana entitas dilakukan di bawah kondisi yang berbeda-beda, yang memungkinkan manajemen untuk mengidentifikasi korelasi dan tren dan untuk meramalkan kinerja masa depan. Data historis juga dapat memberikan peringatan dini kejadian potensial yang membutuhkan perhatian manajemen.

Data keadaan sekarang atau saat ini memungkinkan suatu entitas untuk menilai risiko yang pada titik tertentu dalam waktu dan tetap dalam toleransi risiko yang ditetapkan. Data negara saat ini memungkinkan manajemen untuk mengambil pandangan real-time dari risiko yang ada melekat dalam proses, fungsi atau unit dan untuk mengidentifikasi variasi dari harapan. Ini memberikan pandangan profil risiko entitas, memungkinkan manajemen untuk mengubah aktivitas yang diperlukan untuk mengkalibrasi ke risk appetite.

Informasi merupakan dasar untuk komunikasi, yang harus memenuhi harapan kelompok dan individu, yang memungkinkan mereka untuk secara efektif melaksanakan tanggung jawab mereka. Di antara saluran komunikasi yang paling penting adalah bahwa antara manajemen puncak dan dewan direksi. Manajemen harus menjaga papan up-to-date pada kinerja, perkembangan, resiko dan fungsi manajemen risiko perusahaan, dan acara lain yang relevan dan isu-isu. Semakin baik komunikasi, semakin efektif dewan akan dalam menjalankan tanggung jawab pengawasannya, dalam bertindak sebagai papan terdengar pada isu-isu kritis dan dalam memberikan saran, nasihat dan arah. Dengan cara yang sama, dewan harus berkomunikasi dengan manajemen informasi apa yang dibutuhkan dan memberikan umpan balik dan arah.

Manajemen menyediakan komunikasi spesifik dan diarahkan menangani harapan perilaku dan tanggung jawab personel. Ini termasuk pernyataan yang jelas tentang entitas perusahaan filosofi manajemen risiko dan pendekatan dan pendelegasian wewenang. Komunikasi tentang proses dan prosedur harus sejalan dengan, dan mendukung, budaya risiko yang diinginkan. Selain itu, komunikasi harus tepat "dibingkai" - penyajian informasi secara signifikan dapat mempengaruhi bagaimana ditafsirkan dan bagaimana resiko atau peluang yang terkait dipandang.

Komunikasi harus meningkatkan kesadaran tentang pentingnya dan relevansi enterprise risk management yang efektif, mengkomunikasikan risk appetite entitas dan toleransi risiko, melaksanakan dan mendukung bahasa resiko yang umum, dan menyarankan personil peran dan tanggung jawab mereka dalam mempengaruhi dan mendukung komponen manajemen risiko perusahaan .

(14)

kebanyakan kasus, jalur pelaporan yang normal dalam suatu organisasi adalah saluran komunikasi yang sesuai. Dalam beberapa situasi, bagaimanapun, jalur komunikasi yang terpisah diperlukan untuk melayani sebagai mekanisme gagal-aman dalam kasus saluran normal tidak bekerja. Dalam semua kasus, adalah penting bahwa personel memahami bahwa tidak akan ada pembalasan untuk melaporkan informasi yang relevan.

Saluran komunikasi eksternal dapat memberikan masukan yang sangat signifikan pada desain atau kualitas produk atau jasa. Manajemen mempertimbangkan bagaimana nya risk appetite dan toleransi resiko sejalan dengan para pelanggan, pemasok dan mitra, memastikan bahwa itu tidak sengaja mengambil terlalu banyak risiko melalui interaksi bisnis. Komunikasi dari pihak eksternal sering memberikan informasi penting pada fungsi manajemen risiko perusahaan.

(8) Monitoring

Enterprise risk management dipantau - sebuah proses yang menilai baik kehadiran dan fungsi komponen dan kualitas kinerja mereka dari waktu ke waktu. Pemantauan dapat dilakukan dengan dua cara: melalui kegiatan yang sedang berlangsung atau evaluasi terpisah. Pemantauan dan terpisah memastikan bahwa manajemen risiko perusahaan terus diterapkan di semua tingkatan dan di seluruh entitas.

Pemantauan dibangun ke normal, aktivitas operasi berulang dari suatu entitas. Pemantauan dilakukan secara real-time, bereaksi secara dinamis terhadap perubahan kondisi dan sudah mendarah daging dalam entitas. Akibatnya, itu lebih efektif daripada evaluasi terpisah. Karena evaluasi terpisah dilakukan setelah fakta, masalah yang sering akan diidentifikasi lebih cepat dengan rutinitas pemantauan. Banyak entitas dengan suara kegiatan pemantauan tetap melakukan evaluasi terpisah dari manajemen risiko perusahaan.

Frekuensi evaluasi terpisah adalah masalah pertimbangan manajemen. Dalam membuat keputusan itu, pertimbangan diberikan kepada sifat dan tingkat perubahan, baik dari kejadian internal dan eksternal, dan risiko yang terkait; kompetensi dan pengalaman personil pelaksanaan respon risiko dan pengendalian terkait; dan hasil pemantauan. Biasanya, beberapa kombinasi dari pemantauan dan evaluasi terpisah akan memastikan bahwa manajemen risiko perusahaan mempertahankan efektivitas dari waktu ke waktu. Tingkat dokumentasi manajemen risiko perusahaan entitas bervariasi tergantung ukuran entitas, kompleksitas dan faktor-faktor yang sama. Fakta bahwa unsur-unsur manajemen risiko perusahaan tidak didokumentasikan tidak berarti bahwa mereka tidak efektif atau bahwa mereka tidak dapat dievaluasi. Namun, tingkat yang sesuai dokumentasi biasanya membuat pengawasan yang lebih efektif dan efisien. Dimana manajemen bermaksud untuk membuat pernyataan kepada pihak eksternal mengenai efektivitas manajemen risiko perusahaan, harus mempertimbangkan untuk mengembangkan dan mempertahankan dokumentasi untuk mendukung pernyataan tersebut.

(15)

dilaporkan melalui saluran normal. Saluran komunikasi alternatif juga harus ada untuk melaporkan informasi yang sensitif seperti tindakan ilegal atau tidak benar.

Menyediakan membutuhkan informasi tentang kekurangan manajemen risiko perusahaan kepada pihak yang tepat sangat penting. Protokol harus dibentuk untuk mengidentifikasi informasi apa yang dibutuhkan pada tingkat tertentu untuk pengambilan keputusan yang efektif. Protokol seperti mencerminkan aturan umum bahwa manajer harus menerima informasi yang mempengaruhi tindakan atau perilaku personil di bawah tanggung jawabnya, serta informasi yang dibutuhkan untuk mencapai tujuan tertentu.

Uraian di atas dapat disimpulkan dalam sebuah skema berikut ini:

Keterangan:

 Empat tujuan kategori - strategis, operasi, pelaporan, dan kepatuhan - yang diwakili oleh kolom vertikal

 Kedelapan komponen diwakili oleh baris horizontal

 Entitas dan unit yang digambarkan oleh dimensi ketiga dari kubus

2. Menurut AS/NZS ISO 31000/2009

1) Definisi risiko - 'efek ketidakpastian pada tujuan'

Definisi risiko telah berubah dari “kemungkinan terjadinya sesuatu yang akan berdampak pada tujuan” menjadi “efek ketidakpastian pada tujuan”.

Sementara risk managers akan terus mempertimbangkan kemungkinan risiko yang terjadi, mereka sekarang harus menerapkan pilihan perlakuan risiko untuk memastikan bahwa ketidakpastian agensi mereka dalam memenuhi tujuannya akan dihindari, dikurangi, dihapus atau diubah dan / atau dipertahankan.

2) Sebelas Prinsip Manajemen Risiko (1) Menciptakan dan melindungi nilai

(16)

melalui penelaahan terus menerus proses dan sistem. (3) Menjadi bagian integral dari proses organisasi

Manajemen risiko perlu diintegrasikan dengan kerangka kerja tata kelola sebuah instansi dan menjadi bagian dari proses perencanaan, baik di tingkat operasional dan strategis. (4) Menjadi bagian dari pengambilan keputusan

Proses manajemen risiko membantu para pengambil keputusan untuk membuat pilihan informasi, mengidentifikasi prioritas dan memilih tindakan yang paling tepat.

(5) Secara eksplisit memetakan ketidakpastian

Dengan mengidentifikasi potensi risiko, organisasi dapat menerapkan kontrol dan perlakuan untuk memaksimalkan peluang keuntungan dan meminimalkan kemungkinan kerugian.

(6) Sistematis, terstruktur dan tepat waktu

Proses manajemen risiko harus konsisten di seluruh divisi untuk menjamin efisiensi, konsistensi dan keandalan hasil.

(7) Berdasarkan informasi terbaik yang tersedia

Dalam mengelola risiko secara efektif penting untuk memahami dan mempertimbangkan semua informasi yang tersedia yang relevan dengan kegiatan dan menyadari bahwa mungkin ada keterbatasan pada informasi tersebut. Hal ini penting untuk memahami bagaimana semua informasi ini memberikan input terhadap proses manajemen risiko. (8) Disesuaikan

Kerangka kerja manajemen risiko sebuah instansi perlu menyertakan profil risiko, serta mempertimbangkan lingkungan operasi internal dan eksternal.

(9) Memperhitungkan faktor manusia dan budaya

Manajemen risiko perlu untuk mengakui kontribusi faktor manusia dan budaya terhadap pencapaian tujuan sebuah instansi.

(10)Transparan dan inklusif

Melibatkan para pemangku kepentingan, baik internal maupun eksternal, mengakui pada seluruh proses manajemen risiko bahwa komunikasi dan konsultasi adalah kunci untuk mengidentifikasi, menganalisis dan memantau risiko.

(11)Dinamis, berulang dan responsive terhadap perubahan

Proses pengelolaan resiko harus fleksibel. Usaha menantang lingkungan operasi dibutuhkan lembaga dalam mempertimbangkan konteks untuk mengelola risiko serta terus mengidentifikasi risiko baru yang muncul, dan membuat penunjang agar risiko-risiko tersebut tidak lagi ada.

(12)Memfasilitasi perbaikan berkesinambungan dari organisasi

Instansi dengan budaya manajemen risiko matang adalah mereka yang telah menginvestasikan sumber daya dari waktu ke waktu dan mampu menunjukkan prestasi yang terus-menerus dari tujuan mereka.

3) Proses Manajemen Risiko (1) Komunikasi dan konsultasi

(17)

eksternal yang sesuai baik pada setiap tahap dari proses manajemen risiko maupun terhadap proses secara keseluruhan.

(13)Menetapkan konteks

Menetapkan eksternal, internal dan konteks manajemen risiko di mana seluruh proses akan berlangsung. Kriteria terhadap risiko yang akan dievaluasi dan struktur analisis harus ditetapkan.

(14)Mengidentifikasi risiko

Mengidentifikasi di mana, kapan, mengapa dan bagaimana sebuah peristiwa bisa mencegah, menurunkan, menunda atau meningkatkan pencapaian tujuan.

(15)Analisis risiko

Mengidentifikasi dan mengevaluasi kontrol yang ada. Menentukan konsekuensi dan kemungkinan serta timbulnya tingkat risiko. Analisis ini harus mempertimbangkan berbagai konsekuensi potensial dan bagaimana hal ini bisa terjadi.

(16)Evaluasi risiko

membandingkan perkiraan tingkat risiko terhadap kriteria yang telah ditetapkan dan mempertimbangkan keseimbangan antara manfaat potensial dan kerugian yang ditimbulkan. Hal ini memungkinkan keputusan dibuat sesuai dengan peningkatan dan jenis perlakuan yang dibutuhkan serta adanya prioritas.

(17)Perlakukan risiko

Mengembangkan dan menerapkan strategi biaya efektif tertentu dan action plan untuk meningkatkan potensi manfaat dan mengurangi biaya potensial.

(18)Monitoring dan review

Hal ini diperlukan untuk memantau efektivitas semua langkah yang proses manajemen risiko serta penting untuk perbaikan berkesinambungan. Risiko dan efektivitas perlakuan terhadap risiko perlu dimonitor untuk memastikan perubahan terhadap keadaan tidak mengubah prioritas.

4) Lima Atribut untuk meningkatkan manajemen risiko

(1) Sebuah instansi harus sepenuhnya menerima akuntabilitas atas risiko mereka dan mengembangkan kontrol yang komprehensif dan strategi pencegahan.

(2) Peningkatan penekanan pada perbaikan terus-menerus di bidang manajemen risiko. Instansi harus menetapkan tujuan kinerja, langkah-langkah, dan kemudian meninjau dan memodifikasi proses yang diperlukan. Sebuah instansi juga harus meninjau dan memodifikasi sistem, sumber daya dan kemampuan/keterampilan untuk memastikan perbaikan terus-menerus.

(3) Mengidentifikasi Individu dengan akuntabilitas dalam bidang manajemen risiko. Orang-orang ini harus tepat terampil, memiliki sumber daya yang memadai untuk memeriksa dan memperbaiki kontrol, memonitor risiko, dan kemampuan untuk berkomunikasi secara efektif dengan semua pemangku kepentingan.

(4) Pengambilan keputusan dalam instansi, apa pun tingkat kepentingan dan signifikansi, harus mencakup pertimbangan risiko dan penerapan proses manajemen risiko yang sesuai.

(18)

harus disertakan dalam proses tata kelola instansi. Pelaporan ini akan berkelanjutan dan sangat terpantau.

5) Mengembangkan Kerangka Enterprise-wide Risk Management

Standar ini menguraikan pendekatan untuk mengembangkan kerangka kerja yang akan membantu instansi untuk mengintegrasikan manajemen risiko ke dalam sistem manajemen risiko perusahaan mereka secara menyeluruh. Instansi didorong untuk mempertimbangkan hubungan antara dasar-dasar kerangka kerja manajemen risiko dan tujuan organisasi.

Kerangka kerja manajemen risiko sebuah instansi perlu menyertakan tujuan kebijakan dan komitmen dalam manajemen risiko di samping tanggung jawab legislatifnya.

Kerangka manajemen risiko harus tertanam dalam kebijakan strategis dan operasional secara keseluruhan instansi dan praktek, serta mempertimbangkan hubungan internal dan eksternal, akuntabilitas, sumber daya, proses dan kegiatan.

6) Tujuan Manajemen Risiko (1) Tujuan strategis

Menjelaskan mengenai visi untuk pengelolaan risiko dan apa hasil yang menyeluruh akan tercapai, biasanya digunakan untuk jangka panjang. Eksekutif senior dalam suatu instansi bertanggung jawab untuk menyediakan arah strategis.

(19)Tujuan operasional

Rencana strategis yang dikembangkan pada tingkat ini menguraikan apa yang masing-masing unit bisnis harus lakukan untuk mencapai hasil mereka. Pada umumnya diperankan manajer menengah dari sebuah instansi yang bertanggung jawab untuk menyelaraskan tujuan strategis dengan operasi lembaga dalam mencapai hasil.

(20)Tujuan lini divisi

Rencana ini dijabarkan secara rinci mengenai bagaimana proses atau kegiatan akan dilaksanakan dan diselesaikan serta bersifat jangka pendek. Manajer lini bertanggung jawab untuk mengembangkan rencana strategis yang lebih spesifik untuk mencapai hasil.

7) ISO 31000:2009

ISO 31000:2009 Lahir dari adanya upaya untuk mendorong pengembangan standar internasional manajemen risiko yang kemudian akan diadopsi. Pada tahun 2005 International Standard Organization (ISO) membentuk kelompok kerja untuk mengembangkan standar manajemen risiko internasional pertama dengan menggunakan AS / NZS 4360:2004 sebagai draft pertama. Proses pengembangan standar menyertakan konsultasi publik yang luas di Australia dan Selandia Baru dan menghasilkan publikasi ISO 31000:2009.

Variasi utama AS / NZS 4360:2004, yang dituangkan dalam Pendahuluan, adalah sebagai berikut:

(1) Risiko sekarang didefinisikan dalam hal pengaruh ketidakpastian pada tujuan.

(19)

(22)Ada penekanan jauh lebih besar dan bimbingan tentang bagaimana manajemen risiko harus dilaksanakan dan diintegrasikan ke dalam organisasi melalui penciptaan dan perbaikan terus-menerus dari kerangka.

(23)Lampiran informatif menguraikan atribut dari manajemen risiko ditingkatkan dan mengakui bahwa sementara semua organisasi mengelola risiko dalam beberapa cara dan sampai batas tertentu ini mungkin tidak selalu optimal.

Proses ini dijelaskan untuk mengelola risiko adalah identik dengan yang di AS / NZS 4360:2004.

Organisasi menghadapi berbagai faktor internal dan eksternal dan memberikan pengaruh yang tidakpasti apakah, kapan dan sejauh mana mereka akan mencapai atau melebihi tujuan mereka. Efek ketidakpastian ini terhadap tujuan organisasi adalah "risiko".

Semua kegiatan dari suatu organisasi melibatkan risiko. Organisasi mengelola risiko dengan mengantisipasi, memahami dan memutuskan apakah akan memodifikasinya. Selama proses ini mereka berkomunikasi dan berkonsultasi dengan para pemangku kepentingan dan memantau dan meninjau risiko serta mengontrol memodifikasi risiko. Standar ini menjelaskan proses yang sistematis dan logis secara rinci.

Semua organisasi mengelola risiko dengan derajat tertentu, pernyataan ini menetapkan sejumlah prinsip yang harus dipenuhi sebelum manajemen risiko akan berjalan efektif. Standar ini merekomendasikan bahwa organisasi harus memiliki kerangka kerja yang mengintegrasikan proses untuk mengelola risiko dalam keseluruhan tata kelola, strategi organisasi dan perencanaan, manajemen, proses pelaporan, kebijakan, nilai-nilai dan budaya.

Manajemen risiko dapat diterapkan di seluruh organisasi, untuk berbagai bidang dan tingkatan, serta fungsi-fungsi tertentu, proyek dan kegiatan.

Meskipun praktek manajemen risiko telah dikembangkan dari waktu ke waktu dan dalam berbagai sektor untuk memenuhi kebutuhan yang beragam, penerapan proses yang konsisten dalam kerangka kerja yang komprehensif membantu memastikan risiko yang dikelola secara efektif, efisien dan koheren di seluruh organisasi. Pendekatan generik yang diuraikan dalam Standar ini memberikan prinsip-prinsip dan pedoman untuk mengelola segala bentuk risiko secara sistematis, transparan dan kredibel dan dalam setiap lingkup dan konteks.

Ketika diterapkan dan ditindaklanjuti sesuai dengan standar ini, manajemen risiko memungkinkan semua organisasi untuk, misalnya :

(1) meningkatkan kemungkinan mencapai tujuan;

(24)mendorong manajemen proaktif;

(25)menyadari kebutuhan untuk mengidentifikasi dan mengobati resiko di seluruh organisasi;

(26)meningkatkan identifikasi peluang dan ancaman;

(27)mencapai praktek manajemen risiko kompatibel antara organisasi dan negara;

(28)mematuhi persyaratan hukum dan peraturan yang relevan dan norma-norma internasional;

(29)meningkatkan pelaporan keuangan;

(30)meningkatkan tata kelola;

(20)

(32)membangun dasar yang dapat diandalkan untuk pengambilan keputusan dan perencanaan;

(33)meningkatkan kontrol;

(34)secara efektif mengalokasikan dan menggunakan sumber daya untuk perbaikan risiko;

(35)meningkatkan efektivitas dan efisiensi operasional;

(36)meningkatkan kinerja kesehatan dan keselamatan serta perlindungan lingkungan;

(37)meningkatkan pencegahan kerugian dan manajemen insiden;

(38)meminimalkan kerugian;

(39)meningkatkan pembelajaran organisasi; dan

(40)meningkatkan ketahanan organisasi.

Standar ini dimaksudkan untuk memenuhi kebutuhan berbagai pemangku kepentingan antara lain:

(1) orang yang bertanggung jawab untuk mencapai tujuan dan karena itu memastikan risiko yang efektif dikelola dalam organisasi secara keseluruhan atau dalam wilayah, proyek atau kegiatan tertentu;

(41)mereka yang bertanggung jawab untuk mengembangkan kebijakan manajemen risiko dalam organisasi mereka;

(42)orang-orang yang membutuhkan untuk mengevaluasi efektivitas organisasi dalam mengelola risiko; dan

(43)pengembang standar, panduan, prosedur, dan kode praktek yang secara keseluruhan atau sebagian ditetapkan tentang bagaimana risiko harus dikelola dalam konteks khusus dokumen-dokumen ini.

Organisasi dengan proses manajemen risiko yang ada, dapat menggunakan Standar ini untuk meninjau secara kritis, menyelaraskan dan meningkatkan praktik yang ada. Mereka yang menggunakan kerangka kerja manajemen risiko telah didasarkan pada AS / NZS 4360:2004 akan mendapatkan keuntungan dari konsep tambahan dan praktek dalam standar ini.

(21)

(22)

3. Menurut BASEL 1) Basel I

Basel I adalah merupakan standar internasional bagi negara sebagai dasar untuk mengatur jumlah pendanaan atau minimal modal pada perbankan agar dapat menghadapi resiko keuangan dan operasional yang mungkin akan timbul. Basel I dibuat oleh Basel Committee on Banking Supervison (BCBS) yang digunakan untuk menghindari terjadinya masalah yang dihadapi komite saat terjadi likuidasi Bank Herstatt di Frankrut pada tahun 1974. Likuidasi tersebut bermasalah karena adanya transaksi yang tertinggal di New York pada saat bank tersebut dilikuidasi. Hal itu terjadi karena adanya perbedaan zona waktu sehingga pada saat bank itu dilikuidasi terdapat transaksi yang belum diselesaikan. Akibat dari kejadian pada Bank Hestatt pada tahun 1974, negara-negara yang tergabung dalam Group of Ten (G-10) mendirikan Basel Committe on Banking Supervison (BCBS) yang bertujuan untuk menyusun dan menetapkan berbagai aturan bagi industri perbankan termasuk kegiatan supervisi atas operasional perbankan dengan standar internasional. Komite Basel pada pengawasan perbankan, di bawah naungan Bank of International Settlement (BIS) yang terletak di Basel, Swiss.

Pada Juli 1988 Basel Committee mengeluarkan laporan berjudul International Convergence of Capital Measurement and Capital Standards (Accord 88 / Basel I) yang memuat beberapa rekomendasi a.l.:

(1) Perlunya lembaga perbankan (khususnya internationally active banks) memiliki modal minimum 8% untuk minimized insolvency dan memperkecil perbedaan kompetitif sehingga tercipta level of playing field.

(2) Perhitungan permodalan menggunakan konsep “forward looking” yaitu menggunakan credit risk dalam portfolio perbankan yang berpotensi merugikan bank

Selanjutnya Basel I menetapkan persentase modal yang harus dimiliki perbankan terhadap total asset tertimbang menurut risiko (risk-weighted assets), yaitu 8%.Perhitungan dilakukan dengan mengelompokkan aset bank ke dalam beberapa kategori risiko dan memberi bobot untuk setiap kategori menurut jenis debitur.

a) 0-10% : untuk pemerintah, bank sentral, dan negara-negara OECD b) 20% : untuk bank-bank

c) 50% : untuk kredit rumah (housing loan)

(23)

Tabel Risk-Weighted Assets Menurut Basel I

Bobot Risiko Jenis Tagihan

0% - Kas

- Tagihan kepada pemerintah dan Bank Sentral

- Tagihan lainnya kepada pemerintah negara-negara OECD

- Tagihan dengan agunan surat berharga yang diterbitkan atau dijamin oleh pemerintah negara-negara OECD

0,10%, 20% atau 50%

(national discretion)

- Tagihan kepada domestic public sector entities, diluar pemerintah pusat,

- Pinjaman yang dijamin lembaga-lembaga tersebut

50% - Tagihan kepada atau yang dijamin oleh multilateral development banks

- Tagihan keopada bank-bank di negara-negara OECD

- Tagihan kepada atau yang dijamin oleh non domestic OECD public sector entities, di luar pemerintah pusat.

- Uang tunai yang masih dalam proses penagihan

- Pinjaman yang dijamin sepenuhnya oleh mortgage on residential property yang akan digunakan atau disewakan oleh debitur.

100% - Tagihan kepada sektor swasta

- Tagihan kepada bank-bank di luar negara-negara OECD > 1tahun - Tagihan kepada Pemerintah pusat negara-negara non OECD

- Tagihan kepada perusahaan komersial yang dimiliki masyarakat umum

- Tanah, bangunan dan peralatan serta aktiva tetap lainnya

- Real estate dan investasi lainnya (termasuk non consolidated investment participation pada perusahaan lain).

- Instrumen permodalan yang diterbitkan oleh bank lain (kecuali dikeluarkan dari modal)

- Aktiva lainnya.

Ternyata dalam penerapan Basel I menuai banyak kritikan karena memiliki beberapa kelemahan yaitu :

(1) Kategori dalam pembobotan risiko sangat luas, sehingga tidak mencerminkan tingkatan risiko kredit yang sebenarnya.

(2) Mengabaikan implikasi diversifikasi portfolio

(3) Menciptakan pengaturan yang menempatkan bank pada posisi yang kurang menguntungkan dibanding pesaing non bank

(4) Belum mencakup perkembangan risiko keuangan dalam pasar modal

Pada tahun 1996 Basel I disempurnakan dengan Market Risk Amendments

(24)

risk.

2) Basel II

Basel II sendiri merupakan penyempurnaan dari Basel I,pada Basel II memberikan kerangka perhitungan modal yang bersifat lebih sensitif terhadap resiko serta memberikan resiko terhadap peningkatan kualitas penerapan manajemen resiko di bank.

Basel II bertujuan :

(1)meningkatkan keamanan dan kesehatan sistem keuangan, minimal pada tingkat permodalan yang berlaku saat ini;

(2)meningkatkan kesetaraan dalam persaingan (level playing field);

(3)menciptakan pendekatan yang lebih menyeluruh dalam mengantisipasi risiko;

(4)memberikan beberapa alternatif pendekatan dalam menghitung kecukupan modal

Framework Basel II disusun berdasarkan forward-looking approach yang memungkinkan untuk dilakukan penyempurnaan dan penyesuaian dari waktu ke waktu. Hal ini untuk memastikan bahwa framework Basel II dapat mengikuti perubahan yang terjadi di pasar maupun perkembangan-perkembangan dalam manajemen risiko.

Basel II menghitung kebutuhan modal yang sesuai dengan profil risiko bank, serta memberikan insentif bagi peningkatan kualitas dalam praktek manajemen risiko di perbankan.

Berikut ini penjelasan terkait 3 pilar BASEL II: (1)Pilar I

(25)

(regulatory capital) yang diperhitungkan untuk tiga komponen utama risiko yang dihadapi bank :

i. Risiko kredit (credit risk)

Risiko kredit yaitu memberikan klasifikasi penetapan bobot resiko didasarkan pada rating yang diberikan oleh rating agency yang telah memenuhi kualifikasi tertentu.

ii. Risiko pasar (market risk)

Risiko pasar yaitu risiko kehilangan yang terjadi karena kondisi pasar seperti risiko perubahan harga pasar, risiko perubahan harga suku bunga, risiko perubahan nilai tukar, risiko memegang posisi dalam komoditi, dll.

iii. Risiko operasional (operational risk)

Risiko operasional yang diartikan sebagai risiko yang dihasilkan dari kesalahan proses bisnis dalam perusahaan, manusia, dan kejadian-kejadian luar, termasuk risiko hukum. Pengecualian dari risiko ini adalah strategi dan risiko reputasi. Dengan menggunakan berbagai alternatif pendekatan (approaches) dalam mengukur risiko kredit (credit risk), risiko pasar (market risk) dan risiko operasional (operational risk), maka hasilnya adalah perhitungan modal bank yang lebih sensitif terhadap risiko (risk sensitive capital allocation).

(2)Pilar II

Pada pilar kedua ini menangani tanggapan pengawasan terhadap pilar pertama yang memberikan perkakas lanjut bagi pengawas. Pilar ini juga memberikan suatu kerangka kerja untuk menangani semua risiko lain yang mungkin dihadapi bank, seperti risiko sistemik, risiko pensiun, risiko konsentrasi, risiko strategik, risiko reputasi, risiko likuiditas, serta risiko hukum, yang digabungkan menjadi risiko residu.

Dalam menilai kelayakan modal bank, maka selain alokasi modal berdasarkan Pilar 1 harus turut pula dihitung alokasi modal untuk antisipasi kerugian karena risiko-risiko lain seperti risiko likuiditas (liquidity risk), risiko strategik (strategic risk), risiko suku bunga dibanking book (interest rate risk in the banking book) dan risiko-risiko lainnya. Pendekatan ini dirangkum dalam Pillar 2 – Supervisory Review Process dan disebut sebagai Individual Capital Adequacy Assessment Process (ICAAP) yang akan menjadi tantangan bagi bank dan pengawas. Diperlukan peningkatan kompetensi dan kapasitas pengawas yang didukung oleh perangkat ketentuan pengawasan sehingga pada waktunya dapat melakukan penilaian secara efektif atas risiko lain selain di Pilar 1 bahkan dapat meminta kesediaan bank untuk menambah modal apabila perhitungan modal bank tersebut dipandang belum memadai.

(3)Pilar III

(26)

terkait dari bank untuk memberikan harga dan menangani risiko tersebut dengan sepantasnya.

Selanjutnya, peran aktif masyarakat dalam mengawasi bank dipandang menentukan juga sehingga dari awal masyarakat diharapkan mampu pula menilai risiko yang dihadapi serta mengetahui tingkat kecukupan modal yang dimiliki oleh bank seperti terangkum dalam Pillar 3 - Market Discipline.

Sinergi penerapan dari ketiga Pilar yang terdapat dalam Basel II di atas tidak dapat dipisahkan dalam mencapai industri perbankan dan sistem keuangan yang sehat dan stabil.

3) Basel III

Basel III adalah regulasi standar kecukupan modal perbankan dan risiko likuiditas pasaryang disepakati oleh anggota Basel Committeee of Banking Supervision (BCBS) pada 2010 – 2011. Basel III rencananya akan diperkenalkan dari tahun 2013 – 2015, namun diubah dari 1 April 2013 dan diperpanjang pelaksanaannya sampai dengan 31 Maret 2018. Tidak seperti Basel I dan Basel II yang terutama terkait dengan tingkat yang diperlukan cadangan kerugian bank yang harus dipegang oleh bank-bank untuk berbagai kelas pinjaman dan investasi dan aset yang mereka miliki lainnya, Basel III terutama terkait dengan risiko bagi bank berjalan dengan mengharuskan tingkat yang berbeda cadangan untuk berbagai bentuk deposito bank dan pinjaman lainnya. Secara keseluruhan Basel III ini tidak menggantikan Basel II namun berjalan berdampingan dengan Basel II.

4. Menurut Peraturan Bank Indonesia (PBI)

Peraturan Bank Indonesia Nomor : 5/8/PBI/2013 tentang Penerapan Manajemen Risiko Bagi Bank Umum mendefinisikan resiko sebagai potensi terjadinya suatu peristiwa (events) yang dapat menimbulkan kerugian Bank. Sedangkan Manajemen Resiko didefinisikan sebagai serangkaian prosedur dan metodologi yang digunakan untuk mengidentifikasi, mengukur, memantau, dan mengendalikan risiko yang timbul dari kegiatan usaha Bank. Di dalam peraturan tersebut juga diklasifikasikan beberapa resiko yaitu :

1) Resiko Kredit

Risiko kredit diartikan sebagai Risiko yang timbul sebagai akibat kegagalan counterparty memenuhi kewajibannya (PBI) atau Risiko kerugian yang berhubungan dengan kemungkinan bahwa suatu Counterparty akan gagal untuk memenuhi kewajiban-kewajibannya ketika jatuh tempo (Basel II).

2) Resiko Pasar

(27)

Bank seperti kegiatan tresuri dan investasi dalam bentuk surat berharga dan pasar uang maupun penyertaan pada lembaga keuangan lainnya, penyediaan dana, dan kegiatan pendanaan dan penerbitan surat utang, serta kegiatan pembiayaan perdagangan.

3) Resiko Likuiditas

Risiko yang antara lain disebabkan karena bank tidak mampu memenuhi kewajiban yang telah jatuh waktu. Risiko likuiditas dikategorikan menjadi:

(1) Risiko Likuiditas Pasar, yaitu risiko yang timbul karena Bank tidak mampu melakukan Offsetting posisi tertentu dengan harga pasar karena kondisi likuiditas pasar yang tidak memadai atau gangguan pasar (market disruption)

(2) Risiko likuiditas pendanaan, yaitu risiko yang timbul karena bank tidak mampu mencairkan asetnya atau memperoleh pendanaan dari sumber dana lain.

4) Resiko Operasional

Risiko yang antara lain disebabkan oleh adanya ketidakcukupan dan atau tidak berfungsinya proses internal, kesalahan manusia, kegagalan sistem, atau adanya problem eksternal yang mempengaruhi operasional Bank. Risiko operasional melekat pada setiap aktivitas fungsional Bank, seperti kegiatan perkreditan, treasury dan investasi, operasional dan jasa, pembiayaan perdagangan, pendanaan dan instrumen utang, teknologi sistem informasi dan sistem informasi manajemen dan pengelolaan sumber daya manusia.

5) Resiko Hukum

Risiko yang disebabkan oleh adanya kelemahan aspek yuridis. Kelemahan aspek yuridis antara lain disebabkan oleh adanya tuntutan hukum, ketiadaan peraturan perundang-undangan yang mendukung atau kelemahan perikatan seperti tidak dipenuhinya syarat sahnya kontrak dan pengikatan agunan yang tidak sempurna. 6) Resiko Reputasi

Risiko yang antara lain disebabkan oleh adanya publikasi negatif yang terkait dengan kegiatan usaha bank atau persepsi negatif terhadap bank.

7) Resiko Strategik

Risiko yang antara lain disebabkan adanya penetapan dan pelaksanaan strategi bank yang tidak tepat, pengambilan keputusan bisnis yang tidak tepat atau kurang responsifnya bank terhadap perubahan eksternal.

8) Resiko Kepatuhan

Risiko yang disebabkan Bank tidak mematuhi atau tidak melaksanakan peraturan perundang-undangan dan ketentuan lain yang berlaku. Didalam prakteknya risiko kepatuhan melekat pada risiko bank yang terkait dengan peraturan perundang-undangan seperti risiko kredit terkait dengan ketentuan KPMM, KAP, PPAP, BMPK. Risiko Pasar terkait dengan Posisi Devisa Neto (PDN), risiko strategik terkait dengan ketentuan rencana kerja dan anggaran tahunan (RKAT) Bank dan risiko lainnya yang terkai dengan ketentuan tertentu.

5. Menurut Peraturan Perundang-undangan