manajemen risiko coso-erm, as/nzs ISO 31000, basel, pbi, spip

6,045 views
5,880 views

Published on

PENGERTIAN, PRINSIP, DAN KERANGKA KONSEPTUAL MANAJEMEN RISIKO MENURUT COSO-ERM, COSO, BASEL, AS/NZS, ISO 31000/2009, RISK MANAGEMENT, MANAJEMEN RISIKO, PBI, SPIP, BPKP

Published in: Economy & Finance

manajemen risiko coso-erm, as/nzs ISO 31000, basel, pbi, spip

  1. 1. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 1 SEMINAR MANAJEMEN RISIKO MANAJEMEN RISIKO: DEFINISI, PRINSIP, DAN KERANGKA KONSEPTUAL MENURUT COSO, AS/NZS, BASEL DAN PERATURAN PERUNDANG-UNDANGAN DI INDONESIA Disusun oleh: Agatha Raharjo (01); Bara Aji Anggara (09); Doni Iwan Prasetyo (14); Moch Reza Agung Y (22); Muhammad Yusuf (23) Semester VIII Program Diploma IV Kurikulum Khusus BPKP Angkatan II
  2. 2. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 2 A. PENDAHULUAN Di Inggris, kesadaran untuk perlunya manajemen risiko untuk instansi pemerintahaan ternyata sudah dimulai dari tahun 2000 dan pada tahun 2001, HM Treasury menerbitkan panduan manajemen risiko bagi lembaga pemerintahaan dan dikenal sebagai “Orange Book” karena kulit luarnya yang berwarna oranye. Buku ini diperbarui pada tahun 2004 dengan judul “The Orange Book: Management of Risk - Principles and Concepts”. Selain itu juga ada Green Book yang berisikan “Appraisal and Evaluation in Central Government”. Perubahan terbesar dengan terbitnya Orange Book adalah di tiap organisasi pemerintah kini telah diterapkan proses manajemen risiko sesuai dengan panduan dari Orange Book. Di Amerika Serikat, General Accountability Office pada tahun 2007 menerbitkan “Homeland Security: Applying Risk Management Principles to Guide Federal Investments, GAO-07-386T” sebagai panduan bagi pembuat keputusan publik untuk melakukan asesmen risiko, alokasi sumber daya dan melakukan tindakan dalam kondisi yang tidak pasti (uncertainty). Sebelum itu Department of Homeland Security, pada tahun 2006 menerbitkan National Infrastructure Protection Plan, yang lebih menekankan perlindungan risiko dalam aspek keamanan fisik. Dalam tataran global ada sebuah lembaga nirlaba bernama International Risk Governance Council (IRGC) yang berkedudukan di Jenewa, Swiss yang bertujuan membantu pemerintah, industri, LSM dan organisasi lainnya dalam upayanya untuk mengatasi risiko yang berskala besar dan tingkat global yang dihadapi masyarakat, serta sekaligus meningkatkan kemampuan publik dalam hal risk governance. Pada tahun 2005, IRGC menerbitkan “Risk Governance : Toward an Integrative Approach” sebagai panduan untuk menangani dan mengantisipasi risiko dengan skala besar dan berskala global, seperti misalnya endemi flu burung, masalah rekayasa genetik tanaman pangan, global maritime infrastructure, dll. Yang paling menarik adalah Australia, masing-masing negara bagian menerbitkan sendiri Government Risk Management Framework/Guidelines (GRM Framework/Guidelines) dan mereka menggunakan Standar Manajemen Risiko Nasionalnya yaitu Australian Standard/New Zealand Standard 4360 : 2004 Risk Management sebagai acuan. Ketika standar nasional ini pada tahun 2010 mengalami perubahan menjadi AS/NZS ISO 31000:2010 maka GRM Framework/Guidelines masing-masing negara bagian juga berubah menyesuaikan dengan standar nasional tersebut. Hal ini terlihat antara lain pada negara bagian Queensland, Victoria dan West Australia yang merevisi GRM Framework/Guidelines mereka pada tahun 2011 sesuai dengan AS/NZS ISO 31000:2010 tersebut. Bagaimanakah dengan Indonesia?Apakah kita mempunyai Standar Nasional Manajemen Risiko?Dari informasi yang ada kita mempunyai sebuah panduan dan sebuah standar manajemen risiko nasional. Panduan tersebut adalah “Pedoman Manajemen Risiko Berbasis Governance” yang diterbitkan oleh Komite Nasional Kebijakan Governance (KNKG) pada tahun 2012 dan standar tersebut adalah “SNI ISO 31000:2011 Manajemen Risiko – Prinsip dan Panduan” yang diterbitkan oleh Badan Standarisasi Nasional dengan mengadopsi standar internasional ISO 31000:2009, sebagaimana dilakukan oleh Australia dan New Zealand, serta berbagai negara lain di dunia termasuk Amerika Serikat. Pertanyaannya adalah seberapa jauh instansi-instansi pemerintah mengetahui keberadaan SNI ISO 31000 ini?Dari pemantauan di lapangan maka terlihat bahwa pertama Kementerian BUMN yang telah mewajibkan penerapan manajemen risiko pada setiap BUMN sesuai dengan Peraturan Menteri BUMN Nomor 01/2011, belum mewajibkan penggunaan Standar Nasional SNI ISO 31000:2011 ini.Kedua beberapa konsultan penerapan manajemen risiko yang berasal dari akuntan publik masih lebih senang menggunakan standar/panduan manajemen risiko yang lainnya dan bukan Standar Nasional ini.Ketiga Badan Pengawas Pasar Modal juga belum sepenuhnya memahami adanya Standar Nasional Manajemen Risiko ini.
  3. 3. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 3 Dari kondisi lapangan di atas nampak bahwa masih diperlukan upaya yang cukup keras untuk menyosialisasikan SNI ISO 31000 sebagai Standar Nasional Manajemen Risiko. Standar Nasional Indonesia untuk Manajemen Risiko dapat menjadi acuan dalam penyusunan panduan GRM masing-masing instansi pemerintah, apakah itu untuk masing-masing Kementerian ataukah untuk masing-masing Pemerintah Daerah maupun terhadap seluruh BUMN dan BUMD. B. PENGERTIAN, PRINSIP, DAN KONSEP 1. Menurut COSO Manajemen dari beberapa perusahaan dan entitas lain telah mengembangkan proses untuk mengidentifikasi dan mengelola risiko di seluruh perusahaan, dan banyak lainnya telah mulai pembangunan atau sedang mempertimbangkan untuk melakukannya. Sementara informasi yang cukup tentang manajemen risiko perusahaan tersedia, termasuk banyak literatur yang diterbitkan, tidak ada istilah umum ada, dan ada sedikit jika ada prinsip-prinsip yang diterima secara luas yang dapat digunakan oleh manajemen sebagai panduan dalam mengembangkan sebuah arsitektur manajemen risiko yang efektif. Menyadari perlunya bimbingan definitif tentang manajemen risiko perusahaan, Komite Sponsoring Organizations of the Treadway Commission (COSO) memulai sebuah proyek untuk mengembangkan suatu kerangka kerja konseptual suara memberikan prinsip-prinsip terintegrasi, terminologi umum dan pedoman implementasi praktis mendukung program entitas 'untuk mengembangkan atau patokan proses manajemen risiko perusahaan mereka.Tujuan yang terkait adalah untuk kerangka ini dihasilkan untuk melayani sebagai dasar umum untuk manajemen, direksi, regulator, akademisi dan lain-lain untuk lebih memahami manajemen risiko perusahaan, manfaat dan keterbatasan, dan untuk secara efektif berkomunikasi tentang isu-isu manajemen risiko perusahaan. 1) Relevansi ERM Premis yang mendasari manajemen risiko perusahaan adalah bahwa setiap entitas, baik untuk keuntungan, tidak-untuk-profit, atau badan pemerintah, ada untuk memberikan nilai bagi para pemangku kepentingannya.Semua entitas menghadapi ketidakpastian, dan tantangan bagi manajemen untuk menentukan berapa banyak ketidakpastian entitas siap untuk menerima karena berusaha untuk menumbuhkan nilai stakeholder.Ketidakpastian menyajikan baik risiko dan peluang, dengan potensi untuk mengikis atau meningkatkan nilai. Enterprise risk management menyediakan kerangka kerja bagi manajemen untuk secara efektif menangani ketidakpastian dan risiko yang terkait dan kesempatan dan dengan demikian meningkatkan kapasitasnya untuk membangun nilai. (1) Ketidakpastian Usaha beroperasi di lingkungan di mana faktor-faktor seperti globalisasi, teknologi, regulasi, restrukturisasi, perubahan pasar, dan persaingan menciptakan ketidakpastian. Ketidakpastian berasal dari ketidakmampuan untuk secara tepat menentukan kemungkinan bahwa peristiwa potensial akan terjadi dan hasil yang terkait. (2) Nilai Nilai diciptakan, diawetkan atau terkikis oleh keputusan manajemen mulai dari pengaturan strategi untuk operasi perusahaan sehari-hari. Melekat dalam keputusan merupakan pengakuan atas risiko dan peluang, mengharuskan manajemen menganggap informasi tentang lingkungan internal dan eksternal, menyebarkan sumber
  4. 4. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 4 daya yang berharga dan recalibrates kegiatan usaha untuk mengubah keadaan. Entitas mewujudkan nilai ketika para pemangku kepentingan memperoleh manfaat dikenali bahwa mereka nilai gilirannya.Bagi perusahaan, pemegang saham menyadari nilai ketika mereka mengakui penciptaan nilai dari pertumbuhan saham-nilai.Untuk entitas pemerintah, nilai direalisasikan ketika konstituen mengakui penerimaan jasa senilai dengan biaya yang dapat diterima.Pemangku kepentingan tidak-untuk entitas nirlaba menyadari nilai ketika mereka mengakui menerima manfaat sosial dihargai. Enterprise risk management memfasilitasi kemampuan manajemen untuk menciptakan nilai yang berkelanjutan baik dan mengkomunikasikan nilai yang diciptakan bagi para pemangku kepentingan. 2) Keunggulan ERM Tidak ada entitas beroperasi dalam lingkungan yang bebas risiko, dan manajemen risiko perusahaan tidak menciptakan lingkungan seperti itu.Sebaliknya, enterprise risk management memungkinkan manajemen untuk beroperasi secara lebih efektif dalam lingkungan yang penuh dengan risiko. Enterprise risk management memberikan peningkatan kemampuan untuk: (1) Menyelaraskan tingkat risiko dan strateginya Risk appetite adalah tingkat risiko, pada tingkat berbasis luas, bahwa sebuah perusahaan atau badan lain yang bersedia menerima dalam mengejar tujuannya. Manajemen menganggap risk appetite entitas pertama dalam mengevaluasi alternatif strategi, maka dalam menetapkan tujuan selaras dengan strategi yang dipilih dan dalam mengembangkan mekanisme untuk mengelola risiko terkait. (2) Pertumbuhan Link, risiko dan return Entitas menerima resiko sebagai bagian dari penciptaan nilai dan pelestarian, dan mereka berharap kembali sepadan dengan risiko. Enterprise risk management menyediakan kemampuan ditingkatkan untuk mengidentifikasi dan menilai risiko, dan menetapkan tingkat risiko yang dapat diterima relatif terhadap pertumbuhan dan kembali tujuan. (3) Meningkatkan keputusan respon risiko Manajemen risiko perusahaan memberikan kekakuan untuk mengidentifikasi dan memilih di antara respon risiko alternatif - penghindaran risiko, pengurangan, pembagian dan penerimaan.Manajemen risiko perusahaan menyediakan metodologi dan teknik untuk membuat keputusan ini. (4) Minimalkan kejutan dan kerugian operasional Entitas telah meningkatkan kemampuan untuk mengidentifikasi kejadian potensial, menilai risiko dan membangun respon, sehingga mengurangi terjadinya kejutan dan biaya atau kerugian yang terkait.
 1 Sementara istilah "manajemen" digunakan dalam hal ini dan kemudian diskusi, banyak kegiatan manajemen risiko perusahaan yang dilakukan oleh petugas non-manajemen. (5) Mengidentifikasi dan mengelola risiko lintas-perusahaan Setiap entitas menghadapi berbagai risiko yang mempengaruhi berbagai bagian organisasi.Manajemen perlu tidak hanya mengelola risiko individu, tetapi juga memahami dampak yang saling terkait. (6) Memberikan respon terpadu untuk beberapa risiko Proses bisnis membawa banyak risiko yang melekat, dan manajemen risiko perusahaan memungkinkan solusi terintegrasi untuk mengelola risiko. (7) Menangkap peluang Manajemen menganggap peristiwa potensial, bukan hanya risiko, dan dengan mempertimbangkan berbagai macam acara, manajemen keuntungan pemahaman
  5. 5. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 5 tentang bagaimana peristiwa tertentu merupakan peluang. (8) Merasionalisasi modal Informasi lebih lanjut yang kuat pada risiko total entitas memungkinkan manajemen untuk lebih efektif menilai kebutuhan modal secara keseluruhan dan meningkatkan alokasi modal. 
 Enterprise risk management bukanlah tujuan itu sendiri, melainkan merupakan sarana penting. Hal ini tidak bisa dan tidak beroperasi secara terpisah di suatu entitas, melainkan merupakan enabler dari proses manajemen. Enterprise risk management yang saling terkait dengan tata kelola perusahaan dengan memberikan informasi kepada dewan direksi pada risiko yang paling signifikan dan bagaimana mereka dikelola. Dan, itu interrelates dengan manajemen kinerja dengan memberikan tindakan risiko disesuaikan, dan dengan pengendalian internal, yang merupakan bagian integral dari manajemen risiko perusahaan. 
 Enterprise risk management membantu entitas mencapai kinerja dan profitabilitas target, dan mencegah hilangnya sumber daya. Ini membantu memastikan pelaporan yang efektif.Dan, hal ini membantu memastikan bahwa entitas mematuhi hukum dan peraturan, menghindari kerusakan pada reputasi dan konsekuensi lainnya. Singkatnya, hal ini membantu suatu entitas sampai ke mana ia ingin pergi dan menghindari perangkap dan kejutan sepanjang jalan. 
 3) Definisi ERM Enterprise risk management adalah sebuah proses, dipengaruhi oleh dewan entitas direksi, manajemen dan personil lainnya, diterapkan dalam pengaturan strategi dan di seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko berada dalam risiko nafsu makan, untuk memberikan keyakinan memadai tentang pencapaian tujuan entitas. 
 Definisi ini mencerminkan konsep dasar tertentu.Definisi ini mencerminkan konsep dasar tertentu. Manajemen risiko perusahaan: (1) Sebagai Sebuah Proses (Sarana untuk mencapai tujuan, bukan tujuan itu sendiri) Sebuah Proses 
 Manajemen risiko perusahaan bukan merupakan salah satu peristiwa atau keadaan, melainkan serangkaian tindakan yang menyerap kegiatan entitas. Tindakan ini meresap dan melekat dalam cara manajemen menjalankan bisnis. Enterprise risk management berbeda dari perspektif beberapa pengamat yang melihatnya sebagai sesuatu yang ditambahkan pada kegiatan suatu entitas, atau sebagai beban yang diperlukan. Itu bukan untuk mengatakan enterprise risk management yang efektif tidak memerlukan upaya tambahan. Misalnya, penilaian risiko mungkin memerlukan upaya tambahan untuk mengembangkan model yang dibutuhkan dan membuat analisis dan perhitungan yang diperlukan. Namun, ini dan mekanisme manajemen risiko perusahaan lain yang terkait dengan aktivitas operasi entitas dan ada untuk alasan bisnis yang mendasar. Enterprise risk management yang paling efektif ketika mekanisme ini dibangun ke dalam infrastruktur entitas dan merupakan bagian dari inti dari perusahaan. Dengan membangun dalam manajemen risiko perusahaan, suatu entitas dapat secara langsung mempengaruhi kemampuan untuk melaksanakan strategi dan mencapai visi atau misinya. Membangun enterprise risk management juga memiliki implikasi penting bagi pengendalian biaya, terutama di pasar yang sangat kompetitif banyak perusahaan hadapi. Menambah prosedur baru yang terpisah dari yang sudah ada menambah biaya. Dengan berfokus pada operasi yang ada dan kontribusinya pada enterprise risk management yang efektif, dan mengintegrasikan manajemen risiko ke dalam kegiatan operasi dasar, perusahaan dapat menghindari prosedur yang tidak perlu dan biaya. Dan, praktik membangun manajemen risiko perusahaan ke dalam kain operasi membantu
  6. 6. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 6 mengidentifikasi peluang-peluang baru bagi manajemen untuk merebut dalam menumbuhkan bisnis. (2) Dipengaruhi oleh orang-orang (ERM bukan hanya kebijakan, survei dan bentuk, tetapi melibatkan orang pada setiap jenjang organisasi) Enterprise risk management dipengaruhi oleh dewan direksi, manajemen dan personel lain. Hal ini dilakukan oleh orang-orang dari sebuah organisasi, dengan apa yang mereka lakukan dan katakan.Orang-orang mendirikan entitas misi / visi, strategi dan tujuan dan menempatkan mekanisme manajemen risiko perusahaan di tempat. Demikian pula, manajemen risiko perusahaan mempengaruhi tindakan masyarakat. Enterprise risk management mengakui bahwa orang tidak selalu mengerti, berkomunikasi atau melakukan secara konsisten. Setiap individu membawa ke tempat kerja latar belakang yang unik dan kemampuan teknis, dan memiliki kebutuhan dan prioritas yang berbeda. Realitas ini mempengaruhi, dan dipengaruhi oleh, manajemen risiko perusahaan.Setiap orang memiliki titik unik dari referensi yang mempengaruhi bagaimana mereka mengidentifikasi, menilai dan menanggapi risiko. Enterprise risk management menyediakan mekanisme yang diperlukan untuk membantu orang memahami resiko dalam konteks tujuan entitas. Orang-orang harus tahu tanggung jawab dan batas-batas kewenangannya. Dengan demikian, hubungan yang jelas dan dekat perlu ada antara tugas masyarakat dan cara di mana mereka dilakukan, serta dengan strategi dan tujuan entitas. Orang organisasi termasuk dewan direksi, serta manajemen dan personil lainnya.Meskipun direksi terutama memberikan pengawasan, mereka juga memberikan arahan dan menyetujui strategi dan transaksi serta kebijakan tertentu.Dengan demikian, dewan direksi merupakan elemen penting dari manajemen risiko perusahaan. (3) Diterapkan dalam pengaturan strategi Entitas menetapkan misinya atau visi dan menetapkan tujuan strategis, yang merupakan tujuan tingkat tinggi yang sejalan dengan dan mendukung visi atau misi.Entitas menetapkan strategi untuk mencapai tujuan strategisnya.Hal ini juga menetapkan tujuan terkait yang ingin dicapai, mengalir dari strategi, mengalir ke unit bisnis, divisi dan proses. Dalam menetapkan strategi, manajemen mempertimbangkan risiko relatif terhadap strategi alternatif (4) Diterapkan di seluruh perusahaan, di setiap tingkat dan unit, dan termasuk mengambil pandangan portofolio entitas-tingkat risiko Untuk berhasil menerapkan manajemen risiko perusahaan, entitas harus mempertimbangkan seluruh ruang lingkup kegiatan. Enterprise risk management menganggap kegiatan di semua tingkat organisasi, dari kegiatan perusahaan-tingkat seperti perencanaan strategis dan alokasi sumber daya, untuk kegiatan unit bisnis seperti pemasaran dan sumber daya manusia, proses bisnis seperti produksi dan peninjauan kredit pelanggan baru. Manajemen risiko perusahaan juga berlaku untuk proyek-proyek khusus dan inisiatif baru yang mungkin belum memiliki tempat yang ditunjuk dalam hirarki atau struktur organisasi entitas. Enterprise risk management membutuhkan entitas untuk mengambil pandangan portofolio risiko. Hal ini mungkin melibatkan setiap manajer yang bertanggung jawab atas unit bisnis, fungsi, proses atau kegiatan lain mengembangkan penilaian risiko untuk unit. Penilaian tersebut mungkin bersifat kuantitatif atau kualitatif.Dengan tampilan komposit pada setiap tingkat berhasil organisasi, manajemen senior diposisikan untuk membuat penentuan apakah profil risiko entitas secara keseluruhan sepadan dengan risk appetite. Manajemen menganggap risiko saling terkait dari perspektif portofolio entitas-tingkat. Risiko terkait perlu diidentifikasi dan ditindaklanjuti untuk membawa keseluruhan risiko
  7. 7. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 7 dalam risk appetite entitas. Risiko untuk masing-masing unit entitas mungkin dalam toleransi risiko unit ', tetapi secara bersama-sama dapat melebihi risk appetite entitas secara keseluruhan.Risk appetite secara keseluruhan tercermin hilir suatu entitas melalui toleransi risiko yang ditetapkan untuk tujuan khusus. (5) Dirancang untuk mengidentifikasi kejadian yang berpotensi mempengaruhi entitas dan mengelola risiko dalam risk appetite Risk appetite adalah jumlah resiko entitas bersedia menerima dalam mengejar nilai. Entitas sering menganggap risk appetite secara kualitatif, dengan kategori seperti tinggi, sedang atau rendah, atau mereka dapat mengambil pendekatan kuantitatif, yang mencerminkan dan menyeimbangkan tujuan untuk pertumbuhan, pengembalian dan risiko. Risk appetite secara langsung berkaitan dengan strategi entitas.Hal ini dianggap dalam pengaturan strategi, di mana hasil yang diinginkan dari sebuah strategi harus sejajar dengan risk appetite entitas. Strategi yang berbeda akan mengekspos entitas untuk risiko yang berbeda. Manajemen risiko perusahaan, diterapkan dalam pengaturan strategi, membantu manajemen memilih strategi yang konsisten dengan risk appetite entitas. Risk appetite entitas memandu alokasi sumber daya. Manajemen mengalokasikan sumber daya di seluruh unit bisnis dengan mempertimbangkan risk appetite entitas dan strategi unit bisnis individu untuk menghasilkan pengembalian yang diinginkan pada sumber daya yang diinvestasikan. Manajemen mempertimbangkan risk appetite karena sejalan organisasi, orang dan proses, dan desain infrastruktur yang diperlukan untuk secara efektif merespon dan memantau risiko. Toleransi risiko adalah tingkat yang dapat diterima variasi relatif terhadap pencapaian tujuan.Dalam menetapkan toleransi risiko tertentu, manajemen mempertimbangkan kepentingan relatif dari tujuan terkait dan sejalan toleransi risiko dengan risk appetite. Operasi dalam toleransi risiko menyediakan manajemen jaminan yang lebih besar bahwa entitas akan tetap dalam risk appetite dan, pada gilirannya, memberikan tingkat kenyamanan yang lebih tinggi bahwa entitas akan mencapai tujuannya. (6) Menyediakan keyakinan memadai kepada manajemen entitas dan dewan direksi Dirancang dengan baik dan dioperasikan manajemen risiko perusahaan dapat menyediakan manajemen dan dewan direksi keyakinan memadai tentang pencapaian tujuan entitas. Sebagai hasil dari manajemen risiko perusahaan bertekad untuk menjadi efektif, di setiap kategori tujuan entitas, dewan direksi dan keuntungan manajemen keyakinan memadai bahwa: a. Mereka memahami sejauh mana tujuan strategis entitas 's sedang dicapai, b. Mereka memahami sejauh mana tujuan operasi entitas yang telah ditetapkan, c. Pelaporan entitas dapat diandalkan, dan d. Hukum dan peraturan yang berlaku sedang dipenuhi. Keyakinan memadai mencerminkan gagasan bahwa ketidakpastian dan risiko berkaitan dengan masa depan, yang tidak ada yang bisa memprediksi dengan pasti. Keterbatasan juga hasil dari kenyataan bahwa penilaian manusia dalam pengambilan keputusan dapat rusak, keputusan respon risiko dan kontrol mendirikan perlu mempertimbangkan biaya dan manfaat relatif, kerusakan dapat terjadi karena kegagalan manusia seperti kesalahan sederhana atau kesalahan, kontrol dapat dielakkan oleh kolusi dari dua orang atau lebih, dan manajemen memiliki kemampuan untuk mengesampingkan keputusan manajemen risiko perusahaan. Keterbatasan ini menghalangi papan dan manajemen dari memiliki jaminan mutlak bahwa tujuan akan tercapai.
  8. 8. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 8 (7) Diarahkan untuk pencapaian tujuan dalam satu atau lebih yang terpisah namun tumpang tindih 
 kategori 
 Pencapaian Tujuan 
 Enterprise risk management yang efektif dapat diharapkan untuk memberikan keyakinan memadai untuk mencapai tujuan yang berkaitan dengan keandalan pelaporan dan kepatuhan terhadap hukum dan peraturan. Pencapaian kategori-kategori tujuan berada dalam entitas 'kontrol dan tergantung pada seberapa baik entitas' kegiatan terkait s dilakukan.
 Namun, pencapaian tujuan strategis dan operasi tidak selalu berada dalam kendali entitas.Untuk tujuan tersebut, manajemen risiko perusahaan dapat memberikan keyakinan memadai hanya itu manajemen, dan dewan dalam fungsi pengawasannya, disadarkan, pada waktu yang tepat, dari sejauh mana entitas bergerak menuju pencapaian tujuan. 4) Komponen ERM Komponen Enterprise Risk Management 
 Enterprise risk management terdiri dari delapan komponen yang saling terkait. Ini berasal dari cara manajemen menjalankan bisnis, dan terintegrasi dengan proses manajemen sebagai berikut: (1) Internal Environment Lingkungan internal entitas adalah dasar untuk semua komponen lain dari manajemen risiko perusahaan, menyediakan disiplin dan struktur. Lingkungan internal mempengaruhi bagaimana strategi dan tujuan ditetapkan, kegiatan usaha yang terstruktur dan risiko diidentifikasi, dinilai dan ditindaklanjuti.Ini mempengaruhi desain dan fungsi kegiatan pengendalian, sistem informasi dan komunikasi, dan pemantauan. Lingkungan internal terdiri dari banyak unsur, termasuk entitas 's nilai-nilai etika, kompetensi dan pengembangan personil, manajemen' gaya operasi dan bagaimana hal itu memberikan kewenangan dan tanggung jawab. Sebuah dewan direksi adalah bagian penting dari lingkungan internal dan secara signifikan mempengaruhi unsur-unsur lingkungan internal lainnya.Sebagai bagian dari lingkungan internal, manajemen menetapkan filosofi manajemen risiko, menetapkan risk appetite entitas, membentuk budaya risiko dan mengintegrasikan manajemen risiko perusahaan dengan inisiatif terkait. Sebuah filosofi manajemen risiko perusahaan yang dipahami oleh semua personil memfasilitasi kemampuan karyawan untuk mengenali dan secara efektif mengelola risiko. Filosofi - keyakinan entitas tentang risiko dan bagaimana memilih untuk melakukan kegiatan dan menangani risiko - mencerminkan nilai entitas berusaha dari enterprise risk management dan mempengaruhi bagaimana komponen enterprise risk management akan diterapkan. Manajemen mengkomunikasikan filosofi manajemen risiko perusahaan kepada karyawan melalui pernyataan kebijakan dan komunikasi lainnya.Yang penting, manajemen memperkuat filosofi tidak hanya dengan kata-kata tetapi dengan tindakan sehari-hari juga. Risk appetite, yang didirikan oleh manajemen dan ditinjau oleh dewan direksi, adalah sebuah tonggak dalam pengaturan strategi.Biasanya salah satu dari sejumlah strategi yang berbeda dapat dirancang untuk mencapai pertumbuhan yang diinginkan dan kembali gol, masing-masing memiliki risiko yang terkait berbeda.Manajemen risiko perusahaan, diterapkan dalam pengaturan strategi, membantu manajemen memilih strategi yang konsisten dengan risk appetite. Manajemen terlihat untuk menyelaraskan organisasi, manusia, proses dan infrastruktur untuk memfasilitasi pelaksanaan strategi yang berhasil dan memungkinkan entitas untuk tetap dalam risk appetite. Budaya risiko adalah seperangkat sikap bersama, nilai-nilai dan praktik yang mencirikan bagaimana entitas mempertimbangkan resiko dalam kegiatannya sehari-hari.Bagi
  9. 9. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 9 banyak perusahaan, budaya resiko mengalir dari filosofi risiko entitas dan risk appetite.Bagi entitas yang tidak secara eksplisit mendefinisikan filosofi risiko, budaya risiko dapat membentuk sembarangan, sehingga budaya risiko yang berbeda secara signifikan dalam suatu perusahaan atau bahkan dalam unit bisnis tertentu, fungsi atau departemen. (2) Objective Setting Dalam konteks misi atau visi yang ditetapkan, manajemen menetapkan tujuan strategis, memilih strategi dan menetapkan tujuan yang terkait, mengalir melalui perusahaan dan selaras dengan dan terkait dengan strategi.Tujuan harus ada sebelum manajemen dapat mengidentifikasi peristiwa yang berpotensi mempengaruhi prestasi mereka. Enterprise risk management memastikan bahwa manajemen memiliki proses di tempat untuk kedua set tujuan dan menyelaraskan tujuan dengan entitas misi / visi dan konsisten dengan risk appetite entitas. Tujuan entitas dapat dilihat dalam konteks empat kategori: a. Strategis - yang berkaitan dengan tujuan tingkat tinggi, sejalan dengan dan mendukung misi entitas / visi. b. Operasi - berkaitan dengan efektivitas dan efisiensi operasi entitas, termasuk kinerja dan profitabilitas gol. Mereka bervariasi berdasarkan pilihan manajemen tentang struktur dan kinerja. c. Pelaporan - berkaitan dengan efektivitas pelaporan entitas. Mereka termasuk pelaporan internal dan eksternal dan mungkin melibatkan informasi keuangan atau non-keuangan. d. Kepatuhan - berkaitan dengan kepatuhan entitas dengan undang-undang dan peraturan yang berlaku. 
 Kategorisasi tujuan entitas memungkinkan manajemen dan dewan untuk fokus pada aspek-aspek yang terpisah dari manajemen risiko perusahaan.Ini berbeda tetapi tumpang tindih kategori - tujuan tertentu dapat jatuh di bawah lebih dari satu kategori - memenuhi kebutuhan entitas yang berbeda dan mungkin menjadi tanggung jawab langsung dari eksekutif yang berbeda. Kategorisasi ini juga memungkinkan membedakan antara apa yang dapat diharapkan dari setiap kategori tujuan. 
 Beberapa entitas menggunakan kategori lain tujuan, "pengamanan sumber daya," kadang-kadang disebut sebagai "pengamanan aset." Dilihat secara luas, kesepakatan ini dengan pencegahan hilangnya aset suatu entitas atau sumber daya, baik melalui pencurian, pemborosan, inefisiensi atau apa yang ternyata menjadi keputusan bisnis yang cukup buruk - seperti menjual produk dengan harga terlalu rendah, gagal untuk mempertahankan karyawan kunci atau mencegah pelanggaran paten, atau menimbulkan kewajiban yang tak terduga. Ini pengamanan berbasis luas dari kategori aset dapat dipersempit untuk tujuan pelaporan tertentu, di mana konsep pengamanan hanya berlaku untuk pencegahan atau deteksi yang tepat terhadap akuisisi, penggunaan, atau disposisi aset entitas. (3) Event Identification Kegiatan Identifikasi 
 Manajemen mengakui bahwa ketidakpastian ada - bahwa ia tidak dapat mengetahui secara pasti apakah dan kapan suatu peristiwa akan terjadi, atau hasilnya harus itu terjadi. Sebagai bagian dari identifikasi kejadian, manajemen mempertimbangkan faktor-faktor eksternal dan internal yang mempengaruhi terjadinya peristiwa.Faktor eksternal meliputi ekonomi, bisnis, lingkungan alam, faktor-faktor politik, sosial dan teknologi. Faktor internal mencerminkan pilihan manajemen dan meliputi hal- hal seperti infrastruktur, personil, proses dan teknologi. 
 Metodologi identifikasi kejadian entitas dapat terdiri dari kombinasi teknik bersama-sama dengan alat-alat pendukung. Teknik identifikasi kejadian melihat ke baik masa lalu dan masa depan. Teknik yang
  10. 10. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 10 berfokus pada peristiwa masa lalu dan tren mempertimbangkan hal-hal seperti sejarah gagal bayar, perubahan harga komoditas dan kecelakaan kehilangan waktu. Teknik yang berfokus pada eksposur di masa depan mempertimbangkan hal-hal seperti pergeseran demografi, pasar baru dan tindakan pesaing. 
 Ini mungkin berguna untuk kelompok peristiwa potensial ke dalam kategori.Dengan menggabungkan peristiwa horizontal di suatu entitas dan secara vertikal dalam unit-unit operasi, manajemen mengembangkan pemahaman tentang keterkaitan antara peristiwa, memperoleh informasi ditingkatkan sebagai dasar untuk penilaian risiko. Acara berpotensi memiliki dampak negatif, dampak positif atau keduanya.Peristiwa yang memiliki dampak yang berpotensi negatif mencerminkan risiko, yang membutuhkan penilaian manajemen dan respon. Dengan demikian, risiko didefinisikan sebagai kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian tujuan. Acara dengan potensi dampak positif merupakan peluang atau mengimbangi dampak negatif dari risiko. Acara yang mewakili peluang disalurkan kembali ke strategi atau tujuan-pengaturan proses manajemen, sehingga tindakan dapat dirumuskan untuk merebut peluang. Acara berpotensi mengimbangi dampak negatif dari risiko yang dipertimbangkan dalam penilaian risiko manajemen dan respon. (4) Risk Assessment Penilaian risiko memungkinkan suatu entitas untuk mempertimbangkan bagaimana peristiwa potensial dapat mempengaruhi pencapaian tujuan. Manajemen menilai peristiwa dari dua perspektif: kemungkinan dan dampak. Kemungkinan mewakili kemungkinan bahwa peristiwa tertentu akan terjadi, sementara dampak mewakili efeknya harus itu terjadi. Perkiraan kemungkinan risiko dan dampak sering ditentukan dengan menggunakan data dari peristiwa masa lalu dapat diamati, yang dapat memberikan dasar yang lebih obyektif daripada perkiraan sepenuhnya subyektif. Data yang dihasilkan secara internal berdasarkan pengalaman entitas sendiri mungkin mencerminkan bias pribadi kurang subyektif dan memberikan hasil yang lebih baik daripada data dari sumber eksternal. Namun, bahkan di mana data yang dihasilkan secara internal adalah input primer, data eksternal dapat berguna sebagai checkpoint atau untuk meningkatkan analisis. Pengguna harus berhati-hati ketika menggunakan peristiwa masa lalu untuk membuat prediksi tentang masa depan, sebagai faktor yang mempengaruhi kejadian dapat berubah dari waktu ke waktu. Metodologi penilaian risiko entitas biasanya terdiri dari kombinasi teknik kualitatif dan kuantitatif.Manajemen sering menggunakan teknik penilaian kualitatif di mana risiko tidak meminjamkan diri untuk kuantifikasi atau saat data kredibel yang cukup diperlukan untuk penilaian kuantitatif baik tidak tersedia atau dengan praktis mendapatkan atau menganalisis data yang tidak efektif.Teknik kuantitatif biasanya membawa lebih presisi dan digunakan dalam kegiatan yang lebih kompleks dan canggih untuk melengkapi teknik kualitatif.Sebuah entitas tidak perlu menggunakan teknik penilaian umum di semua unit bisnis.Sebaliknya, pilihan teknik harus mencerminkan kebutuhan untuk presisi dan budaya dari unit bisnis.Dalam hal apapun, metode yang digunakan oleh unit bisnis individu harus memfasilitasi penilaian entitas risiko di seluruh entitas. Manajemen sering menggunakan ukuran kinerja dalam menentukan sejauh mana tujuan tercapai. Ini mungkin berguna untuk menggunakan satuan yang sama ukuran ketika mempertimbangkan dampak potensial dari risiko terhadap pencapaian tujuan tertentu. Manajemen dapat menetapkan bagaimana peristiwa berkorelasi, dimana urutan peristiwa menggabungkan dan berinteraksi untuk menciptakan probabilitas yang berbeda secara signifikan atau dampak.Sementara dampak dari satu acara mungkin sedikit, urutan peristiwa mungkin memiliki dampak yang lebih signifikan.Dimana
  11. 11. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 11 peristiwa potensial tidak terkait langsung, manajemen menilai mereka secara individu; dimana risiko yang mungkin terjadi dalam beberapa unit bisnis, manajemen dapat menetapkan dan kelompok mengidentifikasi peristiwa ke dalam kategori umum. Biasanya ada berbagai hasil yang mungkin terkait dengan peristiwa potensial, dan manajemen menganggap mereka sebagai dasar untuk mengembangkan respon risiko.Melalui penilaian risiko, manajemen mempertimbangkan konsekuensi positif dan negatif dari peristiwa potensial, secara individu atau berdasarkan kategori, di seluruh entitas. Karena risiko dinilai dalam konteks strategi dan tujuan entitas, manajemen sering cenderung fokus pada risiko dengan cakrawala waktu jangka menengah pendek sampai.Namun, beberapa elemen dari arah strategis dan tujuan memperpanjang untuk jangka panjang.Akibatnya, manajemen perlu menyadari kerangka waktu yang lebih panjang, dan tidak mengabaikan risiko yang mungkin lebih jauh. Penilaian risiko diterapkan pertama yang inherent risk - risiko kepada entitas dalam tidak adanya tindakan manajemen mungkin mengambil untuk mengubah baik kemungkinan risiko atau dampak.Bila respon risiko telah dikembangkan, manajemen kemudian menggunakan teknik penilaian risiko dalam menentukan risiko residual - risiko yang tersisa setelah tindakan manajemen untuk mengubah kemungkinan risiko atau dampak. (5) Risk Response Manajemen mengidentifikasi pilihan respon risiko dan mempertimbangkan efeknya pada acara kemungkinan dan dampak, dalam kaitannya dengan toleransi risiko dan biaya dibandingkan manfaat, dan desain dan menerapkan pilihan jawaban.Pertimbangan respon risiko dan memilih dan menerapkan respon risiko merupakan bagian integral dari manajemen risiko perusahaan. Enterprise risk management yang efektif mensyaratkan bahwa manajemen memilih respon yang diharapkan dapat membawa kemungkinan risiko dan dampak dalam toleransi risiko entitas. Respon risiko jatuh dalam kategori penghindaran risiko, pengurangan, pembagian dan penerimaan.Tanggapan menghindari mengambil tindakan untuk keluar dari kegiatan yang menimbulkan risiko.Tanggapan pengurangan mengurangi kemungkinan risiko, dampak, atau keduanya.Berbagi tanggapan mengurangi kemungkinan risiko atau dampak dengan mentransfer atau berbagi sebagian dari risiko.Tanggapan Penerimaan tidak melakukan tindakan untuk mempengaruhi kemungkinan atau dampak.Sebagai bagian dari manajemen risiko perusahaan, untuk setiap risiko yang signifikan entitas mempertimbangkan tanggapan potensial dari berbagai kategori respon.Hal ini memberikan kedalaman yang cukup untuk pemilihan respon dan juga menantang "status quo." Setelah memilih respon risiko, manajemen recalibrates risiko secara residual. Manajemen menganggap resiko dari entitas-lebar, atau portofolio, perspektif.Manajemen dapat mengambil pendekatan di mana manajer yang bertanggung jawab untuk setiap departemen, fungsi atau unit bisnis mengembangkan penilaian komposit risiko dan respon risiko untuk unit itu.Pandangan ini mencerminkan profil risiko dari unit relatif terhadap tujuan dan toleransi risiko.Dengan pemandangan risiko untuk unit individu, manajer paling senior dari perusahaan diposisikan untuk mengambil pandangan portofolio, untuk menentukan apakah profil risiko entitas sepadan dengan risk appetite yang relatif keseluruhan tujuannya. Manajemen harus menyadari bahwa beberapa tingkat risiko residual akan selalu ada, bukan hanya karena sumber daya yang terbatas, tetapi juga karena ketidakpastian masa depan yang melekat dan keterbatasan yang melekat dalam semua kegiatan. (6) Control Activities
  12. 12. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 12 Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu memastikan tanggapan risiko dijalankan dengan benar.Aktivitas pengendalian terjadi di seluruh organisasi, di semua tingkat dan di semua fungsi. Aktivitas pengendalian merupakan bagian dari proses dimana suatu perusahaan berusaha untuk mencapai tujuan usahanya. Mereka biasanya melibatkan dua elemen: kebijakan menetapkan apa yang harus dilakukan dan prosedur untuk mempengaruhi kebijakan. Dengan ketergantungan luas pada sistem informasi, kontrol yang diperlukan melalui sistem yang signifikan.Dua pengelompokan luas aktivitas pengendalian sistem informasi dapat digunakan.Yang pertama adalah kontrol umum, yang berlaku untuk banyak jika tidak semua sistem aplikasi dan membantu memastikan melanjutkan, operasi yang tepat.Yang kedua adalah kontrol aplikasi, yang mencakup langkah-langkah komputerisasi dalam perangkat lunak aplikasi untuk mengontrol aplikasi teknologi. Dikombinasikan dengan kontrol proses manual lainnya jika diperlukan, kontrol ini memastikan kelengkapan, akurasi dan validitas informasi. Pengendalian umum meliputi pengendalian atas pengelolaan teknologi informasi, infrastruktur teknologi informasi, manajemen keamanan dan perangkat lunak akuisisi, pengembangan dan pemeliharaan.Kontrol ini berlaku untuk semua sistem - dari mainframe ke client / server untuk lingkungan komputer desktop. Pengendalian umum meliputi pengendalian manajemen teknologi informasi menangani proses pengawasan teknologi informasi, pemantauan dan pelaporan kegiatan teknologi informasi, dan inisiatif peningkatan bisnis. Pengendalian aplikasi yang dirancang untuk memastikan kelengkapan, keakuratan, otorisasi dan validitas data capture dan pengolahan transaksi. Aplikasi individu dapat mengandalkan operasi yang efektif dari kontrol atas sistem informasi untuk memastikan bahwa data antarmuka yang dihasilkan bila diperlukan, mendukung aplikasi yang tersedia dan kesalahan antarmuka terdeteksi dengan cepat. Karena setiap entitas telah menetapkan sendiri tujuan dan pendekatan implementasi, akan ada perbedaan dalam tujuan, struktur dan kegiatan pengendalian terkait. Bahkan jika dua entitas memiliki tujuan dan struktur identik, kegiatan pengendalian mereka kemungkinan akan berbeda. Setiap entitas dikelola oleh orang yang berbeda yang menggunakan penilaian individu dalam mempengaruhi pengendalian internal.Selain itu, kontrol mencerminkan lingkungan dan industri di mana entitas beroperasi, serta kompleksitas organisasi, sejarah dan budayanya. (7) Information and Communication Informasi terkait - dari sumber internal dan eksternal - harus diidentifikasi, ditangkap dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan personil untuk melaksanakan tanggung jawab mereka.Komunikasi yang efektif juga terjadi dalam arti luas, mengalir ke bawah, menemukan dan up entitas.Ada juga komunikasi dan pertukaran informasi yang relevan dengan pihak luar, seperti pelanggan, pemasok, regulator dan pemegang saham efektif. Informasi yang dibutuhkan pada semua tingkat organisasi untuk mengidentifikasi, menilai dan menanggapi risiko, dan jika tidak menjalankan entitas dan mencapai tujuannya.Berbagai informasi yang digunakan, yang relevan dengan satu atau lebih tujuan kategori.Informasi berasal dari berbagai sumber - internal dan eksternal, dan dalam bentuk kuantitatif dan kualitatif - dan memungkinkan tanggapan manajemen risiko perusahaan terhadap perubahan kondisi secara real time.Tantangan bagi manajemen adalah untuk memproses dan memperbaiki volume data yang besar menjadi informasi ditindaklanjuti.Tantangan ini dipenuhi dengan membangun infrastruktur sistem informasi sumber, menangkap, memproses, menganalisis dan melaporkan informasi yang relevan.
  13. 13. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 13 Sistem informasi ini - biasanya terkomputerisasi tetapi juga melibatkan input manual atau antarmuka - sering dilihat dalam konteks pengolahan internal data yang berhubungan dengan transaksi. Sistem informasi telah lama dirancang dan digunakan untuk mendukung strategi bisnis.Peran ini menjadi penting sebagai perubahan kebutuhan bisnis dan teknologi menciptakan peluang baru untuk keuntungan strategis. Untuk mendukung manajemen risiko perusahaan yang efektif, suatu entitas menangkap dan menggunakan data historis dan saat ini.Data historis memungkinkan entitas untuk melacak kinerja aktual terhadap target, rencana dan harapan. Ini memberikan wawasan mengenai bagaimana entitas dilakukan di bawah kondisi yang berbeda-beda, yang memungkinkan manajemen untuk mengidentifikasi korelasi dan tren dan untuk meramalkan kinerja masa depan. Data historis juga dapat memberikan peringatan dini kejadian potensial yang membutuhkan perhatian manajemen. Data keadaan sekarang atau saat ini memungkinkan suatu entitas untuk menilai risiko yang pada titik tertentu dalam waktu dan tetap dalam toleransi risiko yang ditetapkan. Data negara saat ini memungkinkan manajemen untuk mengambil pandangan real-time dari risiko yang ada melekat dalam proses, fungsi atau unit dan untuk mengidentifikasi variasi dari harapan. Ini memberikan pandangan profil risiko entitas, memungkinkan manajemen untuk mengubah aktivitas yang diperlukan untuk mengkalibrasi ke risk appetite. Informasi merupakan dasar untuk komunikasi, yang harus memenuhi harapan kelompok dan individu, yang memungkinkan mereka untuk secara efektif melaksanakan tanggung jawab mereka.Di antara saluran komunikasi yang paling penting adalah bahwa antara manajemen puncak dan dewan direksi. Manajemen harus menjaga papan up-to-date pada kinerja, perkembangan, resiko danfungsi manajemen risiko perusahaan, dan acara lain yang relevan dan isu-isu. Semakin baik komunikasi, semakin efektif dewan akan dalam menjalankan tanggung jawab pengawasannya, dalam bertindak sebagai papan terdengar pada isu-isu kritis dan dalam memberikan saran, nasihat dan arah. Dengan cara yang sama, dewan harus berkomunikasi dengan manajemen informasi apa yang dibutuhkan dan memberikan umpan balik dan arah. Manajemen menyediakan komunikasi spesifik dan diarahkan menangani harapan perilaku dan tanggung jawab personel.Ini termasuk pernyataan yang jelas tentang entitas perusahaan filosofi manajemen risiko dan pendekatan dan pendelegasian wewenang. Komunikasi tentang proses dan prosedur harus sejalan dengan, dan mendukung, budaya risiko yang diinginkan. Selain itu, komunikasi harus tepat "dibingkai" - penyajian informasi secara signifikan dapat mempengaruhi bagaimana ditafsirkan dan bagaimana resiko atau peluang yang terkait dipandang. Komunikasi harus meningkatkan kesadaran tentang pentingnya dan relevansi enterprise risk management yang efektif, mengkomunikasikan risk appetite entitas dan toleransi risiko, melaksanakan dan mendukung bahasa resiko yang umum, dan menyarankan personil peran dan tanggung jawab mereka dalam mempengaruhi dan mendukung komponen manajemen risiko perusahaan . Saluran komunikasi juga harus memastikan personil dapat mengkomunikasikan informasi berbasis risiko di seluruh unit bisnis, proses atau silo fungsional.Dalam kebanyakan kasus, jalur pelaporan yang normal dalam suatu organisasi adalah saluran komunikasi yang sesuai.Dalam beberapa situasi, bagaimanapun, jalur komunikasi yang terpisah diperlukan untuk melayani sebagai mekanisme gagal-aman dalam kasus saluran normal tidak bekerja. Dalam semua kasus, adalah penting bahwa personel memahami bahwa tidak akan ada pembalasan untuk melaporkan informasi yang
  14. 14. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 14 relevan. Saluran komunikasi eksternal dapat memberikan masukan yang sangat signifikan pada desain atau kualitas produk atau jasa. Manajemen mempertimbangkan bagaimana nya risk appetite dan toleransi resiko sejalan dengan para pelanggan, pemasok dan mitra, memastikan bahwa itu tidak sengaja mengambil terlalu banyak risiko melalui interaksi bisnis. Komunikasi dari pihak eksternal sering memberikan informasi penting pada fungsi manajemen risiko perusahaan. (8) Monitoring Enterprise risk management dipantau - sebuah proses yang menilai baik kehadiran dan fungsi komponen dan kualitas kinerja mereka dari waktu ke waktu. Pemantauan dapat dilakukan dengan dua cara: melalui kegiatan yang sedang berlangsung atau evaluasi terpisah. Pemantauan dan terpisah memastikan bahwa manajemen risiko perusahaan terus diterapkan di semua tingkatan dan di seluruh entitas. Pemantauan dibangun ke normal, aktivitas operasi berulang dari suatu entitas.Pemantauan dilakukan secara real-time, bereaksi secara dinamis terhadap perubahan kondisi dan sudah mendarah daging dalam entitas.Akibatnya, itu lebih efektif daripada evaluasi terpisah. Karena evaluasi terpisah dilakukan setelah fakta, masalah yang sering akan diidentifikasi lebih cepat dengan rutinitas pemantauan. Banyak entitas dengan suara kegiatan pemantauan tetap melakukan evaluasi terpisah dari manajemen risiko perusahaan. Frekuensi evaluasi terpisah adalah masalah pertimbangan manajemen.Dalam membuat keputusan itu, pertimbangan diberikan kepada sifat dan tingkat perubahan, baik dari kejadian internal dan eksternal, dan risiko yang terkait; kompetensi dan pengalaman personil pelaksanaan respon risiko dan pengendalian terkait; dan hasil pemantauan. Biasanya, beberapa kombinasi dari pemantauan dan evaluasi terpisah akan memastikan bahwa manajemen risiko perusahaan mempertahankan efektivitas dari waktu ke waktu. Tingkat dokumentasi manajemen risiko perusahaan entitas bervariasi tergantung ukuran entitas, kompleksitas dan faktor-faktor yang sama. Fakta bahwa unsur-unsur manajemen risiko perusahaan tidak didokumentasikan tidak berarti bahwa mereka tidak efektif atau bahwa mereka tidak dapat dievaluasi.Namun, tingkat yang sesuai dokumentasi biasanya membuat pengawasan yang lebih efektif dan efisien.Dimana manajemen bermaksud untuk membuat pernyataan kepada pihak eksternal mengenai efektivitas manajemen risiko perusahaan, harus mempertimbangkan untuk mengembangkan dan mempertahankan dokumentasi untuk mendukung pernyataan tersebut. Semua kekurangan manajemen resiko perusahaan yang mempengaruhi kemampuan suatu entitas untuk mengembangkan dan menerapkan strategi dan untuk mencapai tujuan yang telah ditetapkan harus dilaporkan kepada mereka diposisikan untuk mengambil tindakan yang diperlukan. Sifat hal yang perlu dikomunikasikan akan bervariasi tergantung pada otoritas individu untuk menangani situasi yang muncul dan pada kegiatan pengawasan atasan. Istilah "kekurangan" mengacu pada suatu kondisi dalam proses manajemen risiko perusahaan layak perhatian. Kekurangan A, oleh karena itu, mungkin merupakan dirasakan, potensial atau kekurangan yang nyata, atau kesempatan untuk memperkuat proses untuk meningkatkan kemungkinan bahwa tujuan entitas akan tercapai. Informasi yang dihasilkan dalam rangka kegiatan operasi biasanya dilaporkan melalui saluran normal.Saluran komunikasi alternatif juga harus ada untuk melaporkan informasi yang sensitif seperti tindakan ilegal atau tidak benar. Menyediakan membutuhkan informasi tentang kekurangan manajemen risiko perusahaan kepada pihak yang tepat sangat penting. Protokol harus dibentuk untuk mengidentifikasi informasi apa yang dibutuhkan pada tingkat tertentu untuk pengambilan
  15. 15. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 15 keputusan yang efektif. Protokol seperti mencerminkan aturan umum bahwa manajer harus menerima informasi yang mempengaruhi tindakan atau perilaku personil di bawah tanggung jawabnya, serta informasi yang dibutuhkan untuk mencapai tujuan tertentu. Uraian di atas dapat disimpulkan dalam sebuah skema berikut ini: Keterangan:  Empat tujuan kategori - strategis, operasi, pelaporan, dan kepatuhan - yang diwakili oleh kolom vertikal  Kedelapan komponen diwakili oleh baris horizontal  Entitas dan unit yang digambarkan oleh dimensi ketiga dari kubus 2. Menurut AS/NZS ISO 31000/2009 1) Definisi risiko - 'efek ketidakpastian pada tujuan' Definisi risiko telah berubah dari “kemungkinan terjadinya sesuatu yang akan berdampak pada tujuan” menjadi “efek ketidakpastian pada tujuan”. Sementara risk managers akan terus mempertimbangkan kemungkinan risiko yang terjadi, mereka sekarang harus menerapkan pilihan perlakuan risiko untuk memastikan bahwa ketidakpastian agensi mereka dalam memenuhi tujuannya akan dihindari, dikurangi, dihapus atau diubah dan / atau dipertahankan. 2) Sebelas Prinsip Manajemen Risiko (1) Menciptakan dan melindungi nilai Manajemen risiko yang baik berkontribusi terhadap pencapaian tujuan sebuah instansi melalui penelaahan terus menerus proses dan sistem. (2) Menjadi bagian integral dari proses organisasi Manajemen risiko perlu diintegrasikan dengan kerangka kerja tata kelola sebuah instansi dan menjadi bagian dari proses perencanaan, baik di tingkat operasional dan strategis. (3) Menjadi bagian dari pengambilan keputusan Proses manajemen risiko membantu para pengambil keputusan untuk membuat pilihan
  16. 16. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 16 informasi, mengidentifikasi prioritas dan memilih tindakan yang paling tepat. (4) Secara eksplisit memetakan ketidakpastian Dengan mengidentifikasi potensi risiko, organisasi dapat menerapkan kontrol dan perlakuan untuk memaksimalkan peluang keuntungan dan meminimalkan kemungkinan kerugian. (5) Sistematis, terstruktur dan tepat waktu Proses manajemen risiko harus konsisten di seluruh divisi untuk menjamin efisiensi, konsistensi dan keandalan hasil. (6) Berdasarkan informasi terbaik yang tersedia Dalam mengelola risiko secara efektif penting untuk memahami dan mempertimbangkan semua informasi yang tersedia yang relevan dengan kegiatan dan menyadari bahwa mungkin ada keterbatasan pada informasi tersebut. Hal ini penting untuk memahami bagaimana semua informasi ini memberikan input terhadap proses manajemen risiko. (7) Disesuaikan Kerangka kerja manajemen risiko sebuah instansi perlu menyertakan profil risiko, serta mempertimbangkan lingkungan operasi internal dan eksternal. (8) Memperhitungkan faktor manusia dan budaya Manajemen risiko perlu untuk mengakui kontribusi faktor manusia dan budaya terhadap pencapaian tujuan sebuah instansi. (9) Transparan dan inklusif Melibatkan para pemangku kepentingan, baik internal maupun eksternal, mengakui pada seluruh proses manajemen risiko bahwa komunikasi dan konsultasi adalah kunci untuk mengidentifikasi, menganalisis dan memantau risiko. (10)Dinamis, berulang dan responsive terhadap perubahan Proses pengelolaan resiko harus fleksibel. Usaha menantang lingkungan operasi dibutuhkan lembaga dalam mempertimbangkan konteks untuk mengelola risiko serta terus mengidentifikasi risiko baru yang muncul, dan membuat penunjang agar risiko- risiko tersebut tidak lagi ada. (11)Memfasilitasi perbaikan berkesinambungan dari organisasi Instansi dengan budaya manajemen risiko matang adalah mereka yang telah menginvestasikan sumber daya dari waktu ke waktu dan mampu menunjukkan prestasi yang terus-menerus dari tujuan mereka. 3) Proses Manajemen Risiko (1) Komunikasi dan konsultasi Berkomunikasi dan berkonsultasi dengan para pemangku kepentingan internal dan eksternal yang sesuai baik pada setiap tahap dari proses manajemen risiko maupunterhadap proses secara keseluruhan. (2) Menetapkan konteks Menetapkan eksternal, internal dan konteks manajemen risiko di mana seluruh proses akan berlangsung. Kriteria terhadap risiko yang akan dievaluasi dan struktur analisis harus ditetapkan. (3) Mengidentifikasi risiko Mengidentifikasi di mana, kapan, mengapa dan bagaimana sebuah peristiwa bisa mencegah, menurunkan, menunda atau meningkatkan pencapaian tujuan. (4) Analisis risiko Mengidentifikasi dan mengevaluasi kontrol yang ada.Menentukan konsekuensi dan kemungkinan serta timbulnya tingkat risiko.Analisis ini harus mempertimbangkan berbagai konsekuensi potensial dan bagaimana hal ini bisa terjadi.
  17. 17. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 17 (5) Evaluasi risiko membandingkan perkiraan tingkat risiko terhadap kriteria yang telah ditetapkan dan mempertimbangkan keseimbangan antara manfaat potensial dan kerugian yang ditimbulkan.Hal ini memungkinkan keputusandibuatsesuai denganpeningkatan dan jenisperlakuan yang dibutuhkanserta adanya prioritas. (6) Perlakukan risiko Mengembangkan dan menerapkan strategi biaya efektif tertentu danaction plan untuk meningkatkan potensi manfaat dan mengurangi biaya potensial. (7) Monitoring dan review Hal ini diperlukan untuk memantau efektivitas semua langkah yangproses manajemen risiko serta penting untuk perbaikan berkesinambungan.Risiko dan efektivitas perlakuan terhadap risiko perludimonitor untuk memastikan perubahan terhadap keadaan tidak mengubah prioritas. 4) Lima Atribut untuk meningkatkan manajemen risiko (1) Sebuah instansi harus sepenuhnya menerima akuntabilitas atas risiko mereka dan mengembangkan kontrol yang komprehensif dan strategi pencegahan. (2) Peningkatan penekanan pada perbaikan terus-menerus di bidang manajemen risiko. Instansi harus menetapkan tujuan kinerja, langkah-langkah, dan kemudian meninjau dan memodifikasi proses yang diperlukan. Sebuah instansi juga harus meninjau dan memodifikasi sistem, sumber daya dan kemampuan/keterampilan untuk memastikan perbaikan terus-menerus. (3) Mengidentifikasi Individu dengan akuntabilitas dalam bidang manajemen risiko.Orang- orang ini harus tepat terampil, memiliki sumber daya yang memadai untuk memeriksa dan memperbaiki kontrol, memonitor risiko, dan kemampuan untuk berkomunikasi secara efektif dengan semua pemangku kepentingan. (4) Pengambilan keputusan dalam instansi, apa pun tingkat kepentingan dan signifikansi, harus mencakup pertimbangan risiko dan penerapan proses manajemen risiko yang sesuai. (5) Pelaporan teratur kepada semua stakeholder tentang kinerja manajemen risiko instansi harus disertakan dalam proses tata kelola instansi. Pelaporan ini akan berkelanjutan dan sangat terpantau. 5) Mengembangkan Kerangka Enterprise-wide Risk Management Standar ini menguraikan pendekatan untuk mengembangkan kerangka kerja yang akan membantu instansi untuk mengintegrasikan manajemen risiko ke dalam sistem manajemen risiko perusahaan mereka secara menyeluruh. Instansi didorong untuk mempertimbangkan hubungan antara dasar-dasar kerangka kerja manajemen risiko dan tujuan organisasi. Kerangka kerja manajemen risiko sebuah instansi perlu menyertakan tujuan kebijakan dan komitmen dalam manajemen risiko di samping tanggung jawab legislatifnya. Kerangka manajemen risiko harus tertanam dalam kebijakan strategis dan operasional secara keseluruhan instansi dan praktek, serta mempertimbangkan hubungan internal dan eksternal, akuntabilitas, sumber daya, proses dan kegiatan. 6) Tujuan Manajemen Risiko (1) Tujuan strategis Menjelaskan mengenai visi untuk pengelolaan risiko dan apa hasil yang menyeluruh akan tercapai, biasanya digunakan untuk jangka panjang. Eksekutif senior dalam suatu instansi bertanggung jawab untuk menyediakan arah strategis.
  18. 18. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 18 (2) Tujuan operasional Rencana strategis yang dikembangkan pada tingkat ini menguraikan apa yang masing- masing unit bisnis harus lakukan untuk mencapai hasil mereka. Pada umumnya diperankan manajer menengah dari sebuah instansi yang bertanggung jawab untuk menyelaraskan tujuan strategis dengan operasi lembaga dalam mencapai hasil. (3) Tujuan lini divisi Rencana ini dijabarkan secara rinci mengenai bagaimana proses atau kegiatan akan dilaksanakan dan diselesaikan serta bersifat jangka pendek. Manajer lini bertanggung jawab untuk mengembangkan rencana strategis yang lebih spesifik untuk mencapai hasil. 7) ISO 31000:2009 ISO 31000:2009 Lahir dari adanya upaya untuk mendorong pengembangan standar internasional manajemen risiko yang kemudian akan diadopsi. Pada tahun 2005 International Standard Organization (ISO) membentuk kelompok kerja untuk mengembangkan standar manajemen risiko internasional pertama dengan menggunakan AS / NZS 4360:2004 sebagai draft pertama. Proses pengembangan standar menyertakan konsultasi publik yang luas di Australia dan Selandia Baru dan menghasilkan publikasi ISO 31000:2009. Variasi utama AS / NZS 4360:2004, yang dituangkan dalam Pendahuluan, adalah sebagai berikut: (1) Risiko sekarang didefinisikan dalam hal pengaruh ketidakpastian pada tujuan. (2) Prinsip bahwa organisasi harus mengikuti untuk mencapai pengelolaan risiko yang efektif kini telah dibuat eksplisit. (3) Ada penekanan jauh lebih besar dan bimbingan tentang bagaimana manajemen risiko harus dilaksanakan dan diintegrasikan ke dalam organisasi melalui penciptaan dan perbaikan terus-menerus dari kerangka. (4) Lampiran informatif menguraikan atribut dari manajemen risiko ditingkatkan dan mengakui bahwa sementara semua organisasi mengelola risiko dalam beberapa cara dan sampai batas tertentu ini mungkin tidak selalu optimal. Proses ini dijelaskan untuk mengelola risiko adalah identik dengan yang di AS / NZS 4360:2004. Organisasi menghadapi berbagai faktor internal dan eksternal dan memberikan pengaruh yang tidakpasti apakah, kapan dan sejauh mana mereka akan mencapai atau melebihi tujuan mereka.Efek ketidakpastian ini terhadap tujuan organisasi adalah "risiko". Semua kegiatan dari suatu organisasi melibatkan risiko. Organisasi mengelola risiko dengan mengantisipasi, memahami dan memutuskan apakah akan memodifikasinya. Selama proses ini mereka berkomunikasi dan berkonsultasi dengan para pemangku kepentingan dan memantau dan meninjau risiko serta mengontrol memodifikasi risiko. Standar ini menjelaskan proses yang sistematis dan logis secara rinci. Semua organisasi mengelola risiko dengan derajat tertentu, pernyataan ini menetapkan sejumlah prinsip yang harus dipenuhi sebelum manajemen risiko akan berjalan efektif. Standar ini merekomendasikan bahwa organisasi harus memiliki kerangka kerja yang mengintegrasikan proses untuk mengelola risiko dalam keseluruhan tata kelola, strategi organisasi dan perencanaan, manajemen, proses pelaporan, kebijakan, nilai-nilai dan budaya. Manajemen risiko dapat diterapkan di seluruh organisasi, untuk berbagai bidang dan tingkatan, serta fungsi-fungsi tertentu, proyek dan kegiatan.
  19. 19. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 19 Meskipun praktek manajemen risiko telah dikembangkan dari waktu ke waktu dan dalam berbagai sektor untuk memenuhi kebutuhan yang beragam, penerapan proses yang konsisten dalam kerangka kerja yang komprehensif membantu memastikan risiko yang dikelola secara efektif, efisien dan koheren di seluruh organisasi. Pendekatan generik yang diuraikan dalam Standar ini memberikan prinsip-prinsip dan pedoman untuk mengelola segala bentuk risiko secara sistematis, transparan dan kredibel dan dalam setiap lingkup dan konteks. Ketika diterapkan dan ditindaklanjuti sesuai dengan standar ini, manajemen risiko memungkinkan semua organisasi untuk, misalnya : (1) meningkatkan kemungkinan mencapai tujuan; (2) mendorong manajemen proaktif; (3) menyadari kebutuhan untuk mengidentifikasi dan mengobati resiko di seluruh organisasi; (4) meningkatkan identifikasi peluang dan ancaman; (5) mencapai praktek manajemen risiko kompatibel antara organisasi dan negara; (6) mematuhi persyaratan hukum dan peraturan yang relevan dan norma-norma internasional; (7) meningkatkan pelaporan keuangan; (8) meningkatkan tata kelola; (9) meningkatkan kepercayaan pemangku kepentingan dan kepercayaan; (10)membangun dasar yang dapat diandalkan untuk pengambilan keputusan dan perencanaan; (11)meningkatkan kontrol; (12)secara efektif mengalokasikan dan menggunakan sumber daya untuk perbaikan risiko; (13)meningkatkan efektivitas dan efisiensi operasional; (14)meningkatkan kinerja kesehatan dan keselamatan serta perlindungan lingkungan; (15)meningkatkan pencegahan kerugian dan manajemen insiden; (16)meminimalkan kerugian; (17)meningkatkan pembelajaran organisasi; dan (18)meningkatkan ketahanan organisasi. Standar ini dimaksudkan untuk memenuhi kebutuhan berbagai pemangku kepentingan antara lain: (1) orang yang bertanggung jawab untuk mencapai tujuan dan karena itu memastikan risiko yang efektif dikelola dalam organisasi secara keseluruhan atau dalam wilayah, proyek atau kegiatan tertentu; (2) mereka yang bertanggung jawab untuk mengembangkan kebijakan manajemen risiko dalam organisasi mereka; (3) orang-orang yang membutuhkan untuk mengevaluasi efektivitas organisasi dalam mengelola risiko; dan (4) pengembang standar, panduan, prosedur, dan kode praktek yang secara keseluruhan atau sebagian ditetapkan tentang bagaimana risiko harus dikelola dalam konteks khusus dokumen-dokumen ini. Organisasi dengan proses manajemen risiko yang ada, dapat menggunakan Standar ini untuk meninjau secara kritis, menyelaraskan dan meningkatkan praktik yang ada. Mereka yang menggunakan kerangka kerja manajemen risiko telah didasarkan pada AS / NZS 4360:2004 akan mendapatkan keuntungan dari konsep tambahan dan praktek dalam standar ini. Dalam Standar ini, istilah "Risk Management" dan "managing risk" keduanya digunakan. Secara umum, "Risk Management " mengacu pada arsitektur (prinsip, kerangka kerja dan
  20. 20. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 20 proses) untuk mengelola risiko secara efektif, dan "managing risk" mengacu pada penerapan arsitektur untuk risiko tertentu.
  21. 21. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 21 8) Hubungan antara prinsip-prinsip untuk mengelola risiko, kerangka di mana itu terjadi dan proses manajemen risiko yang dijelaskan dalam standar ini.
  22. 22. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 22 3. Menurut BASEL 1) Basel I Basel I adalah merupakan standar internasional bagi negara sebagai dasar untuk mengatur jumlah pendanaan atau minimal modal pada perbankan agar dapat menghadapi resiko keuangan dan operasional yang mungkin akan timbul. Basel I dibuat oleh Basel Committee on Banking Supervison (BCBS) yang digunakan untuk menghindari terjadinya masalah yang dihadapi komite saat terjadi likuidasi Bank Herstatt di Frankrut pada tahun 1974.Likuidasi tersebut bermasalah karena adanya transaksi yang tertinggal di New York pada saat bank tersebut dilikuidasi.Hal itu terjadi karena adanya perbedaan zona waktu sehingga pada saat bank itu dilikuidasi terdapat transaksi yang belum diselesaikan. Akibat dari kejadian pada Bank Hestatt pada tahun 1974, negara-negara yang tergabung dalam Group of Ten (G-10) mendirikan Basel Committe on Banking Supervison (BCBS) yang bertujuan untuk menyusun dan menetapkan berbagai aturan bagi industri perbankan termasuk kegiatan supervisi atas operasional perbankan dengan standar internasional. Komite Basel pada pengawasan perbankan, di bawah naungan Bank of International Settlement (BIS) yang terletak di Basel, Swiss. Pada Juli 1988 Basel Committee mengeluarkan laporan berjudul International Convergence of Capital Measurement and Capital Standards (Accord 88 / Basel I) yang memuat beberapa rekomendasi a.l.: (1) Perlunya lembaga perbankan (khususnya internationally active banks) memiliki modal minimum 8% untuk minimized insolvency dan memperkecil perbedaan kompetitif sehingga tercipta level of playing field. (2) Perhitungan permodalan menggunakan konsep “forward looking” yaitu menggunakan credit risk dalam portfolio perbankan yang berpotensi merugikan bank Selanjutnya Basel I menetapkan persentase modal yang harus dimiliki perbankan terhadap total asset tertimbang menurut risiko (risk-weighted assets), yaitu 8%.Perhitungan dilakukan dengan mengelompokkan aset bank ke dalam beberapa kategori risiko dan memberi bobot untuk setiap kategori menurut jenis debitur. a) 0-10% : untuk pemerintah, bank sentral, dan negara-negara OECD b) 20% : untuk bank-bank c) 50% : untuk kredit rumah (housing loan) d) 100% : untuk pinjaman perusahaan (corporate loan)
  23. 23. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 23 Tabel Risk-Weighted Assets Menurut Basel I BobotRisiko Jenis Tagihan 0% - Kas - Tagihan kepada pemerintah dan Bank Sentral - Tagihan lainnya kepada pemerintah negara-negara OECD - Tagihan dengan agunan surat berharga yang diterbitkan atau dijamin oleh pemerintah negara-negara OECD 0,10%, 20% atau 50% (national discretion) - Tagihan kepada domestic public sector entities, diluar pemerintah pusat, - Pinjaman yang dijamin lembaga-lembaga tersebut 50% - Tagihan kepada atau yang dijamin oleh multilateral development banks - Tagihan keopada bank-bank di negara-negara OECD - Tagihan kepada atau yang dijamin oleh non domestic OECDpublic sector entities, di luar pemerintah pusat. - Uang tunai yang masih dalam proses penagihan - Pinjaman yang dijamin sepenuhnya oleh mortgage on residential property yang akan digunakan atau disewakan oleh debitur. 100% - Tagihan kepada sektor swasta - Tagihan kepada bank-bank di luar negara-negara OECD > 1tahun - Tagihan kepada Pemerintah pusat negara-negara non OECD - Tagihan kepada perusahaan komersial yang dimiliki masyarakat umum - Tanah, bangunan dan peralatan serta aktiva tetap lainnya - Real estate dan investasi lainnya (termasuk non consolidated investment participation pada perusahaan lain). - Instrumen permodalan yang diterbitkan oleh bank lain (kecuali dikeluarkan dari modal) - Aktiva lainnya. Ternyata dalam penerapan Basel I menuai banyak kritikan karena memiliki beberapa kelemahan yaitu : (1) Kategori dalam pembobotan risiko sangat luas, sehingga tidak mencerminkan tingkatan risiko kredit yang sebenarnya. (2) Mengabaikan implikasi diversifikasi portfolio (3) Menciptakan pengaturan yang menempatkan bank pada posisi yang kurang menguntungkan dibanding pesaing non bank (4) Belum mencakup perkembangan risiko keuangan dalam pasar modal Pada tahun 1996 Basel I disempurnakan dengan Market Risk Amendments untuk menyesuaikan pengaturan capital requirements dengan memasukkan unsur market risk yang terkait dengan equity, debt, interest rate dan commodity risk.
  24. 24. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 24 2) Basel II Basel II sendiri merupakan penyempurnaan dari Basel I,pada Basel II memberikan kerangka perhitungan modal yang bersifat lebih sensitif terhadap resiko serta memberikan resiko terhadap peningkatan kualitas penerapan manajemen resiko di bank. Basel II bertujuan : (1)meningkatkan keamanan dan kesehatan sistem keuangan, minimal pada tingkat permodalan yang berlaku saat ini; (2)meningkatkan kesetaraan dalam persaingan (level playing field); (3)menciptakan pendekatan yang lebih menyeluruh dalam mengantisipasi risiko; (4)memberikan beberapa alternatif pendekatan dalam menghitung kecukupan modal Framework Basel II disusun berdasarkan forward-looking approach yang memungkinkan untuk dilakukan penyempurnaan dan penyesuaian dari waktu ke waktu.Hal ini untuk memastikan bahwa framework Basel II dapat mengikuti perubahan yang terjadi di pasar maupun perkembangan-perkembangan dalam manajemen risiko. Basel II menghitung kebutuhan modal yang sesuai dengan profil risiko bank, sertamemberikan insentif bagi peningkatan kualitas dalam praktek manajemen risiko di perbankan. Berikut ini penjelasan terkait 3 pilar BASEL II: (1) Pilar I Pada pilar pertama ini berkaitan dengan pemeliharaan persyaratan modal (regulatory capital) yang diperhitungkan untuk tiga komponen utama risiko yang dihadapi bank : i. Risiko kredit (credit risk) Risiko kredit yaitu memberikan klasifikasi penetapan bobot resiko didasarkan pada rating yang diberikan oleh rating agency yang telah memenuhi kualifikasi tertentu.
  25. 25. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 25 ii. Risiko pasar (market risk) Risiko pasar yaitu risiko kehilangan yang terjadi karena kondisi pasar seperti risiko perubahan harga pasar, risiko perubahan harga suku bunga, risiko perubahan nilai tukar, risiko memegang posisi dalam komoditi, dll. iii. Risiko operasional (operational risk) Risiko operasional yang diartikan sebagai risiko yang dihasilkan dari kesalahan proses bisnis dalam perusahaan, manusia, dan kejadian-kejadian luar, termasuk risiko hukum. Pengecualian dari risiko ini adalah strategi dan risiko reputasi. Dengan menggunakan berbagai alternatif pendekatan (approaches) dalam mengukurrisiko kredit (credit risk), risiko pasar (market risk) dan risiko operasional (operational risk),maka hasilnya adalah perhitungan modal bank yang lebih sensitif terhadap risiko (risksensitive capital allocation). (2) Pilar II Pada pilar kedua ini menangani tanggapan pengawasan terhadap pilar pertama yang memberikan perkakas lanjut bagi pengawas. Pilar ini juga memberikan suatu kerangka kerja untuk menangani semua risiko lain yang mungkin dihadapi bank, seperti risiko sistemik, risiko pensiun, risiko konsentrasi, risiko strategik, risiko reputasi, risiko likuiditas, serta risiko hukum, yang digabungkan menjadi risiko residu. Dalam menilai kelayakan modal bank, maka selain alokasi modal berdasarkan Pilar 1 harus turut pula dihitung alokasi modal untuk antisipasi kerugian karena risiko-risiko lain seperti risiko likuiditas (liquidity risk), risiko strategik (strategic risk), risiko suku bunga dibanking book (interest rate risk in the banking book) dan risiko-risiko lainnya. Pendekatan ini dirangkum dalam Pillar 2 – Supervisory Review Process dan disebut sebagai Individual Capital Adequacy Assessment Process (ICAAP) yang akan menjadi tantangan bagi bank dan pengawas. Diperlukan peningkatan kompetensi dan kapasitas pengawas yang didukung oleh perangkat ketentuan pengawasan sehingga pada waktunya dapat melakukan penilaian secara efektif atas risiko lain selain di Pilar 1 bahkan dapat meminta kesediaan bank untuk menambah modal apabila perhitungan modal bank tersebut dipandang belum memadai. (3) Pilar III Pada pilar terakhir ini, memperbesar pengungkapan yang harus dilakukan bank.Ini dirancang untuk memberikan gambaran yang lebih baik bagi pasar mengenai posisi risiko menyeluruh bank dan untuk memberikan kesempatan bagi pihak terkait dari bank untuk memberikan harga dan menangani risiko tersebut dengan sepantasnya. Selanjutnya, peran aktif masyarakat dalam mengawasi bank dipandang menentukan juga sehingga dari awal masyarakat diharapkan mampu pula menilai risiko yang dihadapi serta mengetahui tingkat kecukupan modal yang dimiliki oleh bank seperti terangkum dalam Pillar 3 - Market Discipline. Sinergi penerapan dari ketiga Pilar yang terdapat dalam Basel II di atas tidak dapat dipisahkan dalam mencapai industri perbankan dan sistem keuangan yang sehat dan stabil.
  26. 26. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 26 3) Basel III Basel III adalah regulasi standar kecukupan modal perbankan dan risiko likuiditas pasaryang disepakati oleh anggota Basel Committeee of Banking Supervision (BCBS) pada 2010 – 2011. Basel III rencananya akan diperkenalkan dari tahun 2013 – 2015, namun diubah dari 1 April 2013 dan diperpanjang pelaksanaannya sampai dengan 31 Maret 2018. Tidak seperti Basel I dan Basel II yang terutama terkait dengan tingkat yang diperlukan cadangan kerugian bank yang harus dipegang oleh bank-bank untuk berbagai kelas pinjaman dan investasi dan aset yang mereka miliki lainnya, Basel III terutama terkait dengan risiko bagi bank berjalan dengan mengharuskan tingkat yang berbeda cadangan untuk berbagai bentuk deposito bank dan pinjaman lainnya. Secara keseluruhan Basel III ini tidak menggantikan Basel II namun berjalan berdampingan dengan Basel II. 4. Menurut Peraturan Bank Indonesia (PBI) Peraturan Bank Indonesia Nomor : 5/8/PBI/2013 tentang Penerapan Manajemen Risiko Bagi Bank Umum mendefinisikan resiko sebagai potensi terjadinya suatu peristiwa (events) yang dapat menimbulkan kerugian Bank. Sedangkan Manajemen Resiko didefinisikan sebagai serangkaian prosedur dan metodologi yang digunakan untuk mengidentifikasi, mengukur, memantau, dan mengendalikan risiko yang timbul dari kegiatan usaha Bank. Di dalam peraturan tersebut juga diklasifikasikan beberapa resiko yaitu : 1) Resiko Kredit Risiko kredit diartikan sebagai Risiko yang timbul sebagai akibat kegagalan counterparty memenuhi kewajibannya (PBI) atau Risiko kerugian yang berhubungan dengan kemungkinan bahwa suatu Counterparty akan gagal untuk memenuhi kewajiban-kewajibannya ketika jatuh tempo (Basel II). 2) Resiko Pasar Risiko yang muncul yang disebabkan oleh adanya pergerakan variabel pasar (adverse movement) dari portofolio yang dimiliki oleh Bank, yang dapat merugikan bank.Variabel pasar dalam hal ini adalah suku bunga dan nilai tukar serta termasuk perubahan harga option. Risiko pasar antara lain terdapat pada aktivitas fungsional Bank seperti kegiatan tresuri dan investasi dalam bentuk surat berharga dan pasar uang maupun penyertaan pada lembaga keuangan lainnya, penyediaan dana, dan kegiatan pendanaan dan penerbitan surat utang, serta kegiatan pembiayaan perdagangan. 3) Resiko Likuiditas Risiko yang antara lain disebabkan karena bank tidak mampu memenuhi kewajiban yang telah jatuh waktu. Risiko likuiditas dikategorikan menjadi: (1) Risiko Likuiditas Pasar, yaitu risiko yang timbul karena Bank tidak mampu melakukan Offsetting posisi tertentu dengan harga pasar karena kondisi likuiditas pasar yang tidak memadai atau gangguan pasar (market disruption) (2) Risiko likuiditas pendanaan, yaitu risiko yang timbul karena bank tidak mampu
  27. 27. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 27 mencairkan asetnya atau memperoleh pendanaan dari sumber dana lain. 4) Resiko Operasional Risiko yang antara lain disebabkan oleh adanya ketidakcukupan dan atau tidak berfungsinya proses internal, kesalahan manusia, kegagalan sistem, atau adanya problem eksternal yang mempengaruhi operasional Bank. Risiko operasional melekat pada setiap aktivitas fungsional Bank, seperti kegiatan perkreditan, treasury dan investasi, operasional dan jasa, pembiayaan perdagangan, pendanaan dan instrumen utang, teknologi sistem informasi dan sistem informasi manajemen dan pengelolaan sumber daya manusia. 5) Resiko Hukum Risiko yang disebabkan oleh adanya kelemahan aspek yuridis. Kelemahan aspek yuridis antara lain disebabkan oleh adanya tuntutan hukum, ketiadaan peraturan perundang-undangan yang mendukung atau kelemahan perikatan seperti tidak dipenuhinya syarat sahnya kontrak dan pengikatan agunan yang tidak sempurna. 6) Resiko Reputasi Risiko yang antara lain disebabkan oleh adanya publikasi negatif yang terkait dengan kegiatan usaha bank atau persepsi negatif terhadap bank. 7) Resiko Strategik Risiko yang antara lain disebabkan adanya penetapan dan pelaksanaan strategi bank yang tidak tepat, pengambilan keputusan bisnis yang tidak tepat atau kurang responsifnya bank terhadap perubahan eksternal. 8) Resiko Kepatuhan Risiko yang disebabkan Bank tidak mematuhi atau tidak melaksanakan peraturan perundang-undangan dan ketentuan lain yang berlaku. Didalam prakteknya risiko kepatuhan melekat pada risiko bank yang terkait dengan peraturan perundang- undangan seperti risiko kredit terkait dengan ketentuan KPMM, KAP, PPAP, BMPK.Risiko Pasar terkait dengan Posisi Devisa Neto (PDN), risiko strategik terkait dengan ketentuan rencana kerja dan anggaran tahunan (RKAT) Bank dan risiko lainnya yang terkai dengan ketentuan tertentu. 5. Menurut Peraturan Perundang-undangan 1) Peraturan Menteri Keuangan Nomor 191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Departemen Keuangan menjelaskan tentang risiko dan manajemen risiko sebagai berikut: (1) Risiko adalah segala sesuatu yang berdampak negatif terhadap pencapaian tujuan yang diukur berdasarkan kemungkinan dan dampaknya. (2) Sedangkan Manajemen Risiko adalah pendekatan sistematis untuk menentukan tindakan terbaik dalam kondisi ketidakpastian. 2) Sedangkan Peraturan Menteri Keuangan Nomor 142/PMK.10/2009 tentang Manajemen Risiko Lembaga Pembiayaan Ekspor Indonesia menerangkan bahwa: (1) Risiko adalah potensi terjadinya suatu peristiwa yang dapat menimbulkan kerugian; dan (2) Manajemen Risiko adalah serangkaian prosedur dan metodologi yang digunakan untuk mengidentifikasi, mengukur, memantau, dan mengendalikan Risiko yang
  28. 28. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 28 timbul dari kegiatan usaha. 3) Peraturan Menteri Kelautan dan Perikanan Nomor PER.21/MEN/2011 tentang Penerapan Manajemen Risiko di Kementrian Kelautan mendefinisikan Risiko adalah kemungkinan kejadian yang mengancam pencapaian tujuan dan sasaran instansi pemerintah 4) Manajemen risiko adalah proses yang proaktif dan kontinyu meliputi identifikasi, analisis, pengendalian, pemantauan, dan pelaporan risiko, termasuk berbagai strategi yang dijalankan untuk mengelola risiko dan potensinya. Perbedaan Tujuan Manajemen Risiko (1) PMK 191/2008: untuk menentukan tindakan terbaik dalam kondisi ketidakpastian. (2) PMK 142/2009: untuk mengidentifikasi, mengukur, memantau, dan mengendalikan Risiko yang timbul dari kegiatan usaha (3) Peraturan Menteri Kelautan dan Perikanan No. PER.21/MEN/2011: untuk mengelola risiko dan potensinya. 5) Persamaan definisi Manajemen Risiko: merupakan suatu proses/pendekatan sistimatis untuk meminimalisir peristiwa yang berdampak negatif terhadap pencapaian tujuan. 6. Manajemen Risiko Dalam Perspektif BPKP BPKP tidak mempunyai peraturan khusus terkait dengan manajemen risiko.Namun terdapat beberapa pedoman terkait manajemen risiko sebelum terbitnya SPIP. 1) Pengertian manajemen risiko menurut Laporan Pemetaan Manajemen Risiko di Perwakilan BPKP Manajemen risiko merupakan rangkaian proses sistematis, menyeluruh, dan terintegrasi pada proses manajemen. Hal ini menjadikan manajemen risiko seharusnya merupakan bagian dari pemikiran, perilaku, dan sebagai proses terus- menerus sejalan dengan kegiatan organisasi dari hari ke hari dalam mencapai tujuannya, karena governance yang efektif membutuhkan manajemen risiko sebagai bagian integral dalam kebijakan, perencanaan, dan operasional manajemen yang seharusnya melekat ke dalam kultur organisasi. 2) Pengertian Sistem Pengendalian Intern Pemerintah (SPIP) Sedangkan Sistem Pengendalian Intern Pemerintah (SPIP) adalah proses yang integral pada tindakan dan kegiatan yang dilakukan secara terus menerus oleh pimpinan dan seluruh pegawai untuk memberikan keyakinan memadai atas tercapainya tujuan organisasi melalui kegiatan yang efektif dan efisien, keandalan pelaporan keuangan, pengamanan aset negara, dan ketaatan terhadap peraturan perundang-undangan, yang diselenggarakan secara menyeluruh di lingkungan pemerintah pusat dan pemerintah daerah. 3) Prinsip-Prinsip Manajemen Risiko Pengembangan manajemen risiko di BPKP dimulai sejak tahun 2002.Pengembangan dilakukan oleh Puslitbangwas untuk manajemen risiko sektor publik dan oleh Deputi Akuntan Negara untuk manajemen risiko sektor korporat. Prinsip – prinsip manajemen risiko yang dikembangkan oleh Puslitbangwas:
  29. 29. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 29 (1) Penetapan tujuan instansi Menetapkan tujuan instansi secara keseluruhan maupun pada tingkat kegiatan. (2) Penilaian risiko Dalam penilaian risiko, kriteria risiko menjadi hal yang substansial.Kriteria risiko terdiri atas kriteria probabilitas, kriteria dampak/konsekuensi, tingkat pengendalian yang sudah ada, dan kriteria akseptabilitas risiko. (3) Penetapan respon terhadap risiko Respon risiko membantu memfokuskan perhatian organisasi pada kegiatan pengendalian yang diperlukan untuk memastikan bahwa respon risiko tersebut dilakukan dengan tepat dan terjadwal. (4) Penanganan atau pengendalian terhadap risiko Kegiatan pengendalian adalah kebijakan dan prosedur yang dapat membantu memastikan bahwa respon risiko telah dilaksanakan.Kegiatan pengendalian ada di seluruh instansi pada semua tingkatan dan fungsi, yang mencakup kegiatan- kegiatan yaitu persetujuan, otorisasi, verifikasi, rekonsiliasi, reviu kinerja, pengamanan aset, dan pemisahan tugas. (5) Pemantauan dan reviu risiko dan penanganannya Proses melihat kembali dan menilai apakah risiko telah dapat dikendalikan oleh organisasi. Namun sampai saat ini BPKP tidak mempunyai peraturan khusus terkait dengan manajemen risiko.Hal ini dikarenakan sejak 2008 BPKP lebih berfokus pada pengembangan SPIP. Unsur-unsur Sistem Pengendalian Intern Pemerintah adalah sebagai berikut: (1) Lingkungan Pengendalian Kondisi dalam Instansi Pemerintah yang mempengaruhi efektivitas pengendalian intern. (2) Penilaian Risiko Kegiatan penilaian atas kemungkinan kejadian yang mengancam pencapaian tujuan dan sasaran Instansi Pemerintah. (3) Aktivitas Pengendalian Tindakan yang diperlukan untuk mengatasi risiko serta penetapan dan pelaksanaan kebijakan dan prosedur untuk memastikan bahwa tindakan mengatasi risiko telah dilaksanakan secara efektif. (4) Informasi dan Komunikasi Informasi adalah data yang telah diolah yang dapat digunakan untuk pengambilan keputusan dalam rangka penyelenggaraan tugas dan fungsi Instansi Pemerintah. Komunikasi adalah adalah proses penyampaian pesan atau informasi dengan menggunakan simbol atau lambang tertentu baik secara langsung maupun tidak langsung untuk mendapatkan umpan balik. (5) Pemantauan Proses penilaian atas mutu kinerja Sistem Pengendalian Intern dan proses yang memberikan keyakinan bahwa temuan audit dan evaluasi lainnya segera ditindaklanjuti.
  30. 30. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 30 Dalam menerapkan SPIP tidak terlepas dari penerapan manajemen risiko.Hal ini karena manajemen risiko mampu melengkapi kekurangan SPIP tidak menyebutkan mengenai respon risiko secara jelas.Sehingga manajemen risiko dapat membantu mengelola risiko yang telah ditetapkan untuk kemudian mengelolanya dalam aktivitas pengendalian.Selain itu satgas SPIP juga mempunyai tugas membangun strategi manajemen risiko di BPKP. 4) Kerangka Konseptual Berdasarkan uraian kajian literatur dan penelitian terdahulu yang relevan, dikembangkanlah kerangka berpikir pemetaan manajemen risiko di Perwakilan BPKP, yaitu bagaimana Perwakilan BPKP mengartikan dan memahami risiko dan penilaian risiko, serta mengimplementasikan manajemen risiko.Kerangka konsep manajemen risiko yang digunakan adalah kerangka manajemen risiko sektor publik yang telah dikembangkan oleh Puslitbangwas BPKP dengan mengacu kepada AS/NZS 4360:2004. Alur pikir pelaksanaan pemetaan terlihat pada gambar di bawah ini: PEMAHAMAN IMPLEMENTASI MR 5) Era SPIP ReformasiBirokrasi dan Good Corporate Governance adalah salah satu program prioritas pemerintah. Reformasi birokrasi dilaksanakan dengan tujuan untuk menciptakan birokrasi pemerintah yang profesional dengan karakteristik adaptif, berintegritas, berkinerja tinggi, bersih dan bebas korupsi, kolusi, dan nepotisme, mampu melayani publik, netral, sejahtera, berdedikasi, serta memegang teguh nilai- nilai dasar dan kode etik aparatur negara Pelaksanaan program reformasi birokrasi dan upaya pencapaian tata kelola Pengumpulan data MR dan tools yang digunakan Pemahaman dan praktik MR di Perwakilan BPKP Pemahaman risiko: - Komitmen manajemen puncak - Kebijakan dan strategi Proses penilaian risiko: - Identifikasi risiko - Analisis risiko - Evaluasi risiko Penanganan risiko: - Avoid - Reduce likelihood - Reduce impact - Share/transfer - Retain Pemantauan dan reviu: - Laporan pemantauan dan reviu
  31. 31. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 31 pemerintahan yang baik tidak bisa dipisahkan dari penerapan sistem pengendalian intern yang handal (strong internal control) dan merupakan fondasi yang harus dibangun oleh para Menteri/Pimpinan Lembaga dan juga Kepala Daerah. Peran sebagai pembina penyelenggaraan SPIP merupakan tugas besar BPKP, karena lingkup pembinaannya mencakup seluruh instansi pemerintah, baik di pusat maupun daerah.Tugas pembinaan yang harus dilakukan meliputi penyusunan pedoman teknis, sosialisasi, diklat, bimbingan dan konsultasi, serta peningkatan kompetensi APIP. Kesemuanya itu membutuhkan dukungan dan kerja sama seluruh instansi pemerintah. Kepala BPKP menerbitkan Peraturan Kepala BPKP Nomor – 1390/K/SU/2011 tentang Desain Penyelenggaraan SPIP BPKP. Perka tersebut mengatur tentang arah kebijakan penyelenggaraan SPIP, peran, dan tanggung jawab Satgas Penyelenggaraan SPIP, roadmap Penyelenggaraan SPIP serta action plan penyelenggaraan SPIP di lingkungan BPKP. 6) Kebijakan terkait pengelolaan risiko di BPKP Di dalam Perka tersebut juga dibahas mengenai kebijakan pengelolaan risiko.Agar risiko-risiko yang mungkin terjadi dapat dikendalikan, maka perlu dibuat kebijakan pengelolaan risiko guna mendukung pencapaian tugas dan fungsi BPKP secara efektif dan efisien.Pengelolaan risiko terdiri atas pengelolaan risiko tingkat kebijakan, dan pengelolaan risiko tingkat operasional.Pengelolaan tingkat kebijakan pada level BPKP dilakukan oleh Kepala BPKP dibantu Satgas Penyelenggaraan SPIP
  32. 32. 20 Mei 2014 [SEMINAR MANAJEMEN RISIKO] 32 BPKP.Pengelolaan tingkat kebijakan pada level Kedeputian dan Sekretariat Utama dilakukan oleh Deputi dan Sekretaris Utama, dibantu oleh Satgas Penyelenggaran SPIP Kedeputian/Sekretariat Utama. Pengelolaan risiko pada level operasional/kegiatan dilakukan oleh pimpinan unit kerja masing-masing, yang bertanggung jawab atas kegiatan tertentu dibantu oleh Satgas Penyelenggaraan SPIP unit kerja tersebut. Kebijakan terkait pengelolaan risiko di BPKP, meliputi: (1) Penetapan kriteria penilaian risiko Kriteria penilaian risiko tingkat entitas BPKP ditetapkan oleh Kepala BPKP berdasarkan usulan dari Satuan Tugas Penyelenggaraan SPIP, setelah dikonsultasikan kepada Sekretariat Utama.Penetapan kriteria penilaian risiko pada unit-unit kerja dilakukan oleh pimpinan unit kerja masing-masing berdasarkan usulan dari Satgas Penyelengaraan SPIP masing-masing. (2) Tata kelola pengendalian risiko Tata kelola pengendalian risiko di BPKP mencakup seluruh jajaran organisasi baik unit-unit di Kantor Pusat maupun seluruh Perwakilan yang dikoordinasikan oleh Satgas Penyelenggaraan SPIP BPKP. (3) Pemilik risiko (risk owner) Pemilik risiko adalah seluruh pejabat struktural sesuai dengan tingkatan organisasinya dan seluruh pegawai sesuai dengan tugas dan fungsi masing- masing. DAFTAR PUSTAKA [1] COSO. 2004. Enterprise Risk Management – Integrated Framework. Jersey City: AICPA. [2] AS/NZS.2004. AS/NZS 4360:2004 – Australian/ New Zealand Standard – Risk Management. Sidney: Standard Australia International Ltd. [3] Direktorat Penelitian dan Pengaturan Perbankan.2006. Implementasi Basel II di Indonesia. Jakarta: Bank Indonesia. [4] Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah. [5] Peraturan Bank Indonesia Nomor 5/8/PBI/2003 jo. PBI Nomor 11/25/PBI/2009 tentang Manajemen Risiko di Bank Umum. [6] Peraturan Bank Indonesia Nomor 7/25/PBI/2005 jo. PBI Nomor 11/19/PBI/2009 tentang Sertifikasi Manajemen Risiko Pengurus dan Pejabat Bank Umum. [7] Peraturan Bank Indonesia Nomor 13/23/PBI/2011 tentang Manajemen Risiko di Bank Syariah. [8] Peraturan Menteri Negara BUMN Nomor Per-01/MBU/2011 tentang Penerapan Tata Kelola Perusahaan Yang Baik (Good Corporate Governance) Pada Badan Usaha Milik Negara. [9] Peraturan Menteri Keuangan Nomor 191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Departemen Keuangan. [10] Peraturan Kepala BPKP Nomor PER-1390/K/SU/2011 tentang Desain Penyelenggaraan Sistem Pengendalian Intern Pemerintah BPKP.

×