Asesmen Manajemen Risiko berbasis COSO ERM

Pada pembahasan asesmen manajemen risiko kali ini, saya akan menggunakan COSO ERM sebagai basis. Mari kita pahami terlebih dahulu rujukan asesmen kita kali ini.

  • Teminologi
  • Pendekatan
  • Metodologi Asesmen Praktik Pengelolaan Risiko

_

Terminologi

COSO ERM Integrated Framework 2004 merupakan perluasan dari konsep pengendalian internal yang lebih menekankan pada manajemen risiko korporat (ERM) namun tidak menggantikan kerangka kerja pengendalian internal yang telah ada sebelumnya. COSO ERM Integrated Framework 2004 disusun untuk menjawab tantangan utama bagi manajemen yaitu menentukan besaran risiko yang siap dihadapi perusahaan untuk menciptakan suatu nilai tambah.

Manajemen risiko korporat (ERM) menurut COSO ERM adalah

  • sebuah proses yang dipengaruhi oleh Dewan Direktur  dan Dewan Komisaris, Manajemen dan seluruh Personel dalam korporat untuk memberikan jaminan yang wajar terhadap pencapaian tujuan korporat
  • diaplikasikan selaras dengan strategi yang telah ditetapkan pada seluruh bagian di dalam korporat,
  • dirancang untuk mengidentifikasi kejadian yang berpotensi mempengaruhi tujuan korporat
  • dikelola dalam batasan/selera risiko yang ditetapkan

_

Pendekatan

COSO ERM Integrated Framework 2004 terdiri dari 8 komponen yang saling berkaitan dan terintegrasi serta berfungsi sebagai kriteria untuk menentukan apakah manajemen risiko korporat telah berjalan efektif.

 

Pendekatan Asesmen berbasis COSO ERM

_

Metodologi Asesmen Praktik Pengelolaan Risiko

Dalam melakukan asesmen atas praktik pengelolaan risiko korporat berdasarkan COSO ERM Integrated Framewok, berikut ini adalah checklist yang dapat dipergunakan sebagai basis penilaian.

Checklist Asesmen berbasis COSO ERM

DC|2012


Referensi:

COSO ERM Integrated Framework: 200

Asesmen Manajemen Risiko berbasis ISO 31000:2009

“Take calculated risks. That is quite different from being rash.” 

General George Patton

 

Bahasan saya kali ini, merujuk pada asesmen manajemen risiko berbasis ISO 31000:2009 yang agaknya menjadi trending topic di beberapa perusahaan saat ini dan ISO 31000 dianggap bisa mewakili standar manajemen risiko pada beberapa perusahaan di Indonesia.

Pertama, harus dipahami terlebih dahulu mengenai definisi risiko dan manajemen risiko menurut ISO 31000:2009.

  • Definisi risiko adalah dampak dari ketidakpastian terhadap pencapaian obyektif. Dampak menurut ISO 31000 adalah deviasi dari apa yang diharapkan, bisa bersifat positif dan/atau negatif.
  • Definisi manajemen risiko adalah aktivitas yang terkoordinasi untuk mengarahkan
  • dan mengendalikan sebuah organisasi dalam menangani risiko.

Definisi memberikan kita pemahaman awal bagaimana ISO 31000 memberikan arti mengenai keluasan dan kedalaman sebuah risiko yang menjadi obyek sebuah asesmen.

risk management based on ISO 31000

Kedua, pemahaman mengenai pendekatan yang disajikan dalam ISO 31000 terhadap pengelolaan risiko di dalam sebuah organisasi melalui gambaran relasi antara prinsip, kerangka kerja, dan proses pengelolaan risiko.

Prinsip pengelolaan risiko

ISO 31000:2009 mensyaratkan bahwa penerapan manajemen risiko yang efektif harus patuh pada 11 prinsip.

  1. Pengelolaan risiko menciptakan dan melindungi nilai yang dinyatakan dalam obyektif organisasi
  2. Pengelolaan risiko merupakan bagian yang terintegrasi dengan keseluruhan proses dalam organisasi dan menjadi bagian dari tanggung jawab manajemen
  3. Pengelolaan risiko merupakan bagian dari proses pengambilan keputusan melalui peranannya dalam memberikan opsi kepada pengambil keputusan
  4. Pengelolaan risiko secara eksplisit seharusnya memperhitungkan ketidakpastian dan secara sadar harus berusaha mengurangi ketidakpastian dalam setiap aktivitasnya dalam memastikan pencapaian obyektif organisasi
  5. Pengelolaan risiko seharusnya dibangun melalui pendekatan yang sistematis, terstruktur, dan tepat waktu agar dapat berkontribusi secara efisien dan secara konsisten menghasilkan keluaran yang dapat diperbandingkan dan diandalkan
  6. Pengelolaan risiko membutuhkan ketersediaan informasi yang memadai seperti data historis, pengalaman perusahaan, umpan balik dari pemangku kepentingan, observasi, dan penilaian ahli sehingga para pengambil keputusan dapat meyakini bahwa keputusannya telah memperhitungan semua informasi yang tersedia pada waktu keputusan tersebut dibuat
  7. Pengelolaan risiko membutuhkan kustomisasi sesuai dengan konteks -baik internal maupun eksternal- dan profil risiko inheren organisasi tersebut
  8. Pengelolaan risiko seharusnya memperhitungkan faktor manusia dan budaya yang merupakan bentuk kapabilitas dari suatu organisasi dalam mencapai obyektifnya
  9. Pengelolaan risiko seharusnya transparan dan inklusif melibatkan semua pemangku kepentingan dalam menentukan kriteria risiko
  10. Pengelolaan risiko seharusnya dinamis, berulang, dan respons terhadap perubahan kejadian baik internal maupun eksternal
  11. Pengelolaan risiko seharusnya dapat memfasilitasi pengembangan berkelanjutan dari sebuah organisasi  diukur dari tingkat maturitasnya.

risk management framework based on ISO 31000

Kerangka kerja implementasi pengelolaan risiko

ISO 31000 menyediakan kerangka kerja sebagai pedoman dalam implementasi manajemen risiko yang efektif. Tujuan dari kerangka kerja implementasi pengelolaan risiko antara lain:

    • Pemastian bahwa informasi mengenai pengelolaan risiko yang dihasilkan dari proses pengelolaan risiko telah cukup dilaporkan dan digunakan sebagai dasar dalam pengambilan keputusan
    • Pemenuhan akuntabilitas pada setiap tingkatan organisasi yang relevan

risk management process based on ISO 31000

 Proses pengelolaan risiko

Proses pengelolaan risiko menurut ISO 31000 seharusnya merupakan bagian yang terintegrasi, melekat dalam budaya dan praktik manajemen, dan terkustomisasi menurut proses bisnis organisasi. Menurut ISO 31000, asesmen risiko merupakan bagian yang paling penting dan fundamental dalam proses pengelolaan risiko. Oleh karena itu, organisasi perlu melakukan asesmen risiko yang benar agar memperoleh laporan profil risiko yang tepat sehingga organisasi dapat secara cermat mengelola risikonya.

Setelah kita membedah ISO 31000, pertanyaan berikutnya adalah bagaimana metodologi asesmen manajemen risiko berbasis ISO 31000:2009. Sebagai seorang asesor independen atas sistem manajemen korporat, jawaban sederhana yang bisa saya bagi adalah asesor akan melakukan penilaian terhadap kerangka kerja implementasi pengelolaan risiko seperti yang telah dibedah di atas dengan unsur-unsur penilaian antara lain tanggung jawab, akuntabilitas, strategi, dan praktik manajemen risiko. Sistem manajemen risiko yang baik seharusnya dapat memberikan keyakinan bahwa dengan penerapan manajemen risiko, organisasi dapat mengurangi ketidakpastian yang membayangi dalam setiap pengambilan keputusan namun tetap dapat berinovasi sesuai dengan kapabilitas yang dimiliki.

DC|2012


Referensi:

  • ISO Guide 73:2009
  • ISO 31000:2009

 

Kelatahan dalam Penerapan Manajemen Risiko berdasarkan Standar Internasional

“Kelatahan dalam Penerapan Manajemen Risiko berdasarkan Standar Internasional”

RIsk Management Standard

 

Di Indonesia dikenal 2 standar atau kerangka kerja manajemen risiko internasional  yaitu:

- COSO ERM:2004

COSO pertama kali diratifikasi pada tahun 2004 dan baru pada Desember tahun 2012 COSO bermaksud meluncurkan revisi COSO Internal Control.

- ISO 31000:2009

Sejak pertama kali diratifikasi, ISO 31000 amat sangat digemari perusahaan di Indonesia karena dianggap lebih mudah untuk diaplikasikan di Indonesia, namun tantangan baru terasa pada saat diimplementasikan. Pada tahun Maret 2012, ISO 31004, pedoman untuk melakukan implementasi ISO 31000 mulai didiskusikan dengan harapan dapat diselesaikan pada tahun 2015.

Masing-masing standar tersebut mempromosikan manfaat yang sangat besar bilamana perusahaan menerapkan manajemen risiko sesuai dengan kerangka kerja yang telah dibuat. Ilustrasi berikut ini adalah komparasi manfaat dari kedua standar tersebut.

ISO 31000:2009

Risk Management

Principles and Guidelines

COSO ERM:2004

Integrated Framework

1. Increase the likelihood of achieving objectives; 1. Aligning risk appetite and strategy
2. Encourage proactive management; 2. Enhancing risk response decisions
3. Be aware of the need to identify and treat risks throughout the organization; 3. Reducing operational surprises and losses
4. Improve the identification of opportunities and threats; 4. Identifying and managing multiple and cross-enterprise risks
5. Comply with relevant legal and regulatory requirements and international norms; 5. Seizing opportunities
6. Improve the mandatory and voluntary reporting; 6. Improving deployment of capital
7. Improve governance;
8. Improve stakeholder confidence and trust;
9. Establish a reliable basis for decision making and planning;
10. Improve controls;
11. Effectively allocate and use resources for risk treatment;
12. Improve operational effectiveness and efficiency;
13. Enhance health and safety performance, as well as environmental protection;
14. Improve loss and incident management;
15. Minimize losses;
16. Improve organizational learning;
17. Improve organizational resilience.

 

Namun mengapa masih banyak Direksi di Indonesia yang terindikasi enggan untuk mendukung penerapan manajemen risiko secara efektif?

Ternyata kelatahan perusahaan dalam menerapkan standar manajemen risiko yang sama menjadi salah satu penyebabnya. Implementasi standar manajemen risiko tidak semuanya memberikan keluaran seperti apa yang tertulis pada standar tersebut.  Selain itu, kebanyakan Direksi dan Manajemen Senior belum mau menggunakan metodologi dan alat asesmen risiko secara formal pada sasaran bisnis yang sangat kritikal seperti untuk kajian investasi yang cukup besar karena Direksi dan Manajemen Senior belum melihat nilai tambah yang dihasilkan dari kajian risiko/ bahkan ada anggapan kajian risiko akan menghalangi proses pengambilan keputusan strategis.

Salah satu alasan yang terindikasi adalah bahwa konsentrasi keluaran praktik manajemen risiko masih menekankan pada register/peta risiko, padahal register/peta risiko tersebut belum tentu akurat mencerminkan eksposur risiko dan bagaimana respons yang tepat untuk mengelola risiko tersebut.

Rekomendasi agar kelatahan penerapan manajemen risiko bisa berubah menjadi sesuatu yang memberikan nilai tambah adalah melakukan evaluasi pada saat hendak menerapkan standar manajemen risiko baik ISO 31000 maupun COSO ERM Framework untuk memastikan bahwa para pemilik risiko paham pentingnya memiliki sasaran bisnis yang terpetakan dengan jelas ketika akan melakukan asesmen risiko sehingga keluaran manajemen risiko bisa mengurangi ketidakpastian dalam pencapaian strategi perusahaan.

Referensi:

  • ISO 31000, Risk Management Principles and Guidelines, 1st ed., 2009
  • ISO 31004 Preparatory Stage http://iso.org
  • ERM-Integrated Framework Executive Summary, Sept 2004, COSO

Penyusunan RKAP Berbasis Risiko bagi BUMN

Berbagi praktik bedah RKAP BUMN dari pandangan pribadi sebagai pemerhati BUMN Indonesia berdasarkan beberapa pertanyaan dasar dari rekan-rekan BUMN.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

Setiap BUMN wajib menyusun RKAP sesuai dengan ketentuan dari Kementerian Keuangan dan Kementerian BUMN, yaitu:

  1. Keputusan Menteri Keuangan Nomor 196/KMK.016/1998 Tentang RKAP BUMN. Setiap BUMN wajib menyusun RKAP dan RKAPUKK yang mana permohonan persetujuan atas RKAP dan RKAPUKK untuk PERSERO disampaikan oleh Direksi kepada RUPS selambat-lambatnya dalam waktu 60 hari sebelum memasuki tahun anggaran Perusahaan, sedangkan untuk PERUM disampaikan oleh Direksi kepada Menteri Keuangan melalui Menteri Teknis yang bersangkutan selambat-lambatnya dalam waktu 60 hari sebelum memasuki tahun anggaran Perusahaan
  2. Keputusan Menteri BUMN Nomor KEP-101/MBU/2002 Tentang Penyusunan RKAP BUMN. Dalam menyusun Rencana Kerja harus secara tegas dipisahkan antara Rencana Kerja untuk melaksanakan Penugasan Pemerintah dengan Rencana Kerja untuk pencapaian misi perusahaan. Anggaran Perusahaan merupakan penjabaran program kegiatan usaha dalam satuan uang berdasarkan penerimaan/pengeluaran secara tunai dari program kegiatan untuk melaksanakan penugasan pemerintah/pemegang saham dan kegiatan komersil.

—————————————————————————————————————

RKAP berbasis risiko adalah RKAP yang menyajikan kajian pengelolaan risiko atas setiap sasaran strategis perusahaan.

—————————————————————————————————————

Mengapa BUMN harus menyusun RKAP berbasis risiko?

Perkembangan ini timbul sehubungan dengan adanya pembaharuan hukum di bidang perseroan terbatas dan badan usaha milik negara, serta memperhatikan perkembangan dunia usaha yang semakin dinamis dan kompetitif, maka untuk lebih meningkatkan penerapan tata kelola perusahaan yang baik (Good Corporate Governance), KBUMN melakukan penyesuaian terhadap Keputusan Menteri BUMN Nomor Kep-117/M-MBU/2002 tanggal 31 Juli 2002 menjadi Peraturan Menteri Negara BUMN Nomor Per-01/MBU/2011 tanggal 01 Agustus 2011. Dalam Permen tersebut dinyatakan bahwa dalam rangka penerapan GCG, Direksi, dalam setiap pengambilan keputusan/tindakan harus mempertimbangkan risiko usaha.dan wajib membangun serta melaksanakan program manajemen risiko korporasi secara terpadu yang merupakan bagian dari pelaksanaan program GCG. Salah satu keluaran dari Permen tersebut adalah RKAP berbasis risiko

Bagaimana RKAP berbasis risiko disusun?

Menurut Kepmen 101/2002, RKAP perusahaan BUMN saya ilustrasikan dalam bagan berikut ini.

RKAP Kepmen 101_2002

RKAP berbasis risiko dibuat atas setiap sasaran usaha dalam bagian rencana kerja perusahaan, seperti yang saya ilustrasikan berikut ini.

RKAP berbasis risiko Kepmen 101_2002

Untuk setiap sasaran strategis perusahaan, perlu dilakukan kajian risiko yang meliputi minimum:

  1. Identifikasi risiko merujuk pada setiap sasaran yang ditetapkan
  2. Pengukuran eksposur risiko berdasarkan pada paramater risiko yang telah ditetapkan
  3. Rencana tindak lanjut/mitigasi risiko yang teridentifikasi dengan memperhitungan kapabilitas sumber daya perusahaan
Biasanya perusahaan melakukan konsinyeering pada saat akan melakukan penyusunan RKAP berbasis risiko agar tercipta konsistensi atas metodologi manajemen risiko yang dipergunakan dan memudahkan para pihak yang terlibat dalam memberikan makna serta pemahaman persepsi secara korporat/terintegrasi bukan silo.

DC|2012

 

.

Pengelolaan Risiko: 3 Kategori Risiko (1)

Smart companies match their approach to the nature of the threats they face by Robert S. Kaplan and Anette Mikes.

Diadopsi dari Harvard Business Review, June 2012

Kaplan dan Mikes, membagi risiko dan pengelolaan risiko menjadi 3 kategori berdasarkan perilaku organisasi dalam melakukan identifikasi dan mengelola risiko, yaitu:

  1. Risiko internal
  2. Risiko strategis
  3. Risiko eksternal

Risiko internal merupakan risiko yang dari dalam internal organisasi dan tidak mempunyai nilai tambah pada pencapaian tujuan organisasi. Risiko ini dapat dikelola melalui penegakan aturan, nilai, dan standar kepatuhan. Sedangkan risiko strategis dan eksternal merupakan risiko yang mempunyai dampak pada pencapaian tujuan organisasi sehingga pengelolaan atas kedua risiko ini memerlukan proses yang lebih spesifik dan mendorong manajemen di organisasi untuk lebih terbuka berdiskusi dalam mengelola risiko dengan tetap memerhatikan segi biaya-manfaat pada saat akan menurunkan tingkat kemungkinan atau memitigasi dampak risikonya.

Bagaimana model pengendalian/kontrol, peranan fungsi manajemen risiko, dan hubungan keterkaitan fungsi manajemen risiko dengan unit bisnis lain bagi setiap kategori akan dibahas pada penulisan berikutnya.
DC

How do you define risk in simple word?

Life without risk is like life without love.. 

Sometimes it makes us happy but at the same time it could make your life miserable.

Lalu mengapa orang harus peduli dengan risiko?

Hmm.. Risiko membuat hidup kita mempunyai makna berwarna-warni. Bila kita mengelola risiko dengan baik, maka kemenangan menjadi milik kita. Namun sayangnya, kita hidup di dunia yang penuh ketidakpastian. Dalam ketidakpastian itu, penerapan manajemen risiko menjadi sesuatu yang bisa membantu pada setiap keputusan yang kita ambil yaitu dalam penyediaan informasi pendukung yang memadai dan penyediaan indikator yang cukup akurat agar kita bisa bersiap dalam setiap kemungkinan baik yang terburuk maupun yang terbaik.

Walaupun hidup ini penuh dengan ketidakpastian tetapi kita tidak harus selalu menjadi penjudi untuk keberhasilan yang hendak dicapai. DC | 2012

Ketulusan Hati dan Daya Mistis Desa Ngadirojo, Wonogiri

Pada hari Sabtu pagi, saya terbangun dan dikejutkan oleh sebuah SMS berita duka dari salah satu staf yang paling lama di kantor. Ayahnya meninggal dunia… Hmmm, saya percaya beliau sudah diberikan kebahagian sejati. Semoga keluarga yang ditinggalkan diberikan ketabahan dalam menerima kepergian beliau.

Lalu, mulailah saya hunting tiket ke Solo dan akhirnya saya berhasil mendapatkan tiket Garuda keberangkatan pk 1 siang, tetapi apa daya sepertinya kebiasaan terlambat memang sulit sekali dihilangkan. Pesawat saya terlambat terbang, sehingga saya baru tiba pukul 4 sore dari seharusnya tiba pukul 2 siang di Solo. Namun, saya masih bersyukur karena pesawat sebelumnya terlambat sampai hampir 5 jam… Fiuh…  Walaupun sudah dibantu staf saya yang lain, tetapi urusan hotel menjadi isu tersendiri karena hampir semua hotel penuh oleh kongres PSSI. Untunglah saya mempunyai teman yang cukup baik mengenal Solo sehingga bisa membantu saya memperoleh hotel yang cukup aman untuk saya beristirahat.

Kepergian saya kali ini sebagai single traveller menjadi perjalanan yang menarik untuk merasakan ketulusan hati dari keluarga staf saya dan penduduk desa Ngadirojo, sekaligus merasakan aura mistis hutan Wonogiri.

Pada saat pesawat mendarat, jemputan saya terlambat karena kemacetan yang terjadi hari itu. Setelah jemputan tiba, perut saya meronta berharap segera diisi makan. Sayang, baik saya maupun supir yang menjemput saya tidak mengenal Solo dengan baik sehingga kami makan seadanya di tempat makan yang kami lewati.

Menu makan sore saya adalah Nasi Bumbung, mirip dengan nasi timbel, hanya nasinya dibungkus bambu lalu diberi ikan. Setelah makan, saya bergegas untuk berangkat menuju Wonogiri untuk melayat. Perjalanan dimulai melewati Kota Solo, yang saat itu macet, lalu menuju Wonogiri, dan terakhir melewati hutan Desa Ngadirojo, arah Pacitan. Akhirnya sampai juga saya di tempat pada pukul 7 malam. Saya diterima dengan hangat oleh keluarga besar staf saya beserta semua tetangganya selama kurang lebih 2 jam. Keramahtamahan penduduk desa membuat saya berpikir, apakah kita yang tinggal di kota besar, saking sibuknya, kadang-kadang tidak menyadari bahwa perhatian lebih penting daripada sekadar menyumbang uang di saat teman, kerabat, atau rekan kerja kita sedang dalam kedukaan? Kemacetan dan kesibukan seringkali menjadi alasan… Hmmm…

Pada saat berpamitan, salah satu kerabat staf saya memberitahukan sesuatu hal yang sangat serius kepada supir bahwa setiap kali kita akan melewati jembatan, supir tersebut harus membunyikan klakson sebagai tanda mohon izin melewati daerah tersebut. Saya jadi sedikit terdiam dan berpikir apa kemungkinan yang akan terjadi pada kami berdua bilamana supirnya lupa? Ternyata banyak sekali kejadian misterius yang dapat terjadi bilamana kita lupa meminta izin untuk melewati jembatan tersebut. Salah satunya adalah “jalan maya”, yaitu jalan yang sebenarnya tidak ada secara fisik, tetapi ada di dalam bayangan mata kita saja. Memang benar kata pepatah, “Di mana bumi dipijak, di sana langit dijunjung”.

Hubungan Keterkaitan antara ERM (Enterprise Risk Management), BSC (Balance Scorecard), dan KPI (Key Performance Indicator)

Penerapan ERM harus dimulai dengan pemahaman hubungan keterkaitan antara risiko dengan tujuan yang hendak dicapai. Penyusunan tujuan organisasi bisa menggunakan berbagai pendekatan dan salah satu pendekatan yang paling banyak digunakan di Indonesia adalah pendekatan kartu skor berimbang (Balance Scorecard-BSC). ERM berkontribusi terhadap setiap target yang ditetapkan berdasarkan 4 perspektif BSC (pelanggan, proses internal, inovasi dan pembelajaran, serta keuangan) yang dituangkan lebih lanjut dalam bentuk KPI.

  • Proses identifikasi dan analisis risiko dilakukan terhadap setiap KPI berdasarkan 4 perspektif BSC.
  • Efektivitas rencana mitigasi digunakan manajemen untuk memantau tercapainya KPI.

dc|2011

Indikator Risiko Kunci (KRI) vs Indikator Kinerja Kunci (KPI)

KRI memberikan nlai estimasi mengenai tingkat keterpaparan risiko dan berfungsi sebagai sinyal peringatan dini bagi setiap kemungkinan perubahan yang terjadi dalam profil risiko yang dapat mempengaruhi pencapaian KPI perusahaan.
 
Hubungan Keterkaitan KPI dengan KRI

Prepare a Simple and Communicative Risk Profile (Part2)

“ the secret lies in keeping risk profile simple and easy to communicate

 

This second part will describe how to prepare a risk profile based on The Top 10 Risk Profile. In the preparation, consolidation, and documentation the top 10 risk profile there are 8 steps need to be taken in sequential order illustrated below.

the approach in preparing top 10 risk profile

PREPARATION PHASE

It’s critical to develop a plan of action before getting on the actual interviews in terms of duration, resource requirement, and detail level of information want to be achieved. Several questions could be taken as references as follows:

  • How often should a Top 10 Risk Profile be prepared?
  • Who should be interviewed?
  • How should interviews be scheduled?
  • What to consider when interviewing the CEO?
  • What background information needs to be gathered?

In preparing the interview tools, there’re several things needs to be considered:

  • Obtaining identified clearly articulated documented corporate business objectives
  • Having an environmental scan by compiling papers, report, or articles depicting events that have happened and could impact the organization or its stakeholders
  • Providing a prior list of past and potential risks for interviewees.

risk profile interview sheet

CONSOLIDATION PHASE

Once all the interviews have been completed it is time to summarize the findings and become a summary of the key facts and description, thus providing the basis for compiling or updating the risk profile. When summarizing for each major risk, we need to prepare individual sheets with 2 columns: 1) risk sources and cause for any increase in identified risk; 2} mitigation efforts and cause for any decreases in risks.

In the process, interviewees sometimes give new ratings and/or trends for a risk and the ERM group should explore and validate all findings from the interviews and other evidence before make a decision whether the overall ratings or trends should indeed be changed.

DOCUMENTATION PHASE

Subsequent phase after the result summarized, the risk manager is challenged on how to  create a communicative document and any related presentations. Some helpful principles are given as follows:

  • Keep it simple, written in plain language, combine descriptions, and easy to understand chart
  • The draft consist of 3 key fundamental elements: 1) basic information such as the process followed, the number of interviews completed, the time frame for the assessment (e.g., three years forward), and the risks that have been removed from or added to the profile since the previous one; 2) top risks matrix show the current ratings, trends, and previous rating for comparison, references the risk descriptions on subsequent pages; 3) half-page narrative for each 10 risks describes the sources of the risk, the business objectives impacted, and the mitigations in place or planned.

Once the draft risk profile has been updated by the ERM group, then it is presented to a management committee lead by the CEO, takes as the ownership of risk profile by accepting or approving it.

COMMUNICATION PHASE

The primary purpose of the corporate risk profile is to share the risks facing the organization with the board and provide an important base for strategic planning “how the existing risks might then be affected by new strategic directions”.

As part of good corporate governance, the board should insist on viewing updated profiles on a periodic basis or requesting interim updates during a crisis.

In assuring the accuracy and usefulness of the corporate risk profile, the board also need to  monitor how money and resources are allocate relative to the top 10 risk identified.


CONCLUSION

The corporate risk profile plays a vital role in overall ERM process. Having a simple and communicative risk profile is essential for ERM as a practical management and governance tool that :

  • Helps to align the understanding of business objectives and related risks between the board, senior management, and line management
  • Helps to ensure significant risks are understood in a structured and consistent framework
  • Plays an integral part in strategic planning and resource allocation
  • Assists in marketing the value of ERM by demonstrating how the process works and how it adds value.

DC/2011