Asesmen Manajemen Risiko berbasis COSO ERM

Pada pembahasan asesmen manajemen risiko kali ini, saya akan menggunakan COSO ERM sebagai basis. Mari kita pahami terlebih dahulu rujukan asesmen kita kali ini.

  • Teminologi
  • Pendekatan
  • Metodologi Asesmen Praktik Pengelolaan Risiko

_

Terminologi

COSO ERM Integrated Framework 2004 merupakan perluasan dari konsep pengendalian internal yang lebih menekankan pada manajemen risiko korporat (ERM) namun tidak menggantikan kerangka kerja pengendalian internal yang telah ada sebelumnya. COSO ERM Integrated Framework 2004 disusun untuk menjawab tantangan utama bagi manajemen yaitu menentukan besaran risiko yang siap dihadapi perusahaan untuk menciptakan suatu nilai tambah.

Manajemen risiko korporat (ERM) menurut COSO ERM adalah

  • sebuah proses yang dipengaruhi oleh Dewan Direktur  dan Dewan Komisaris, Manajemen dan seluruh Personel dalam korporat untuk memberikan jaminan yang wajar terhadap pencapaian tujuan korporat
  • diaplikasikan selaras dengan strategi yang telah ditetapkan pada seluruh bagian di dalam korporat,
  • dirancang untuk mengidentifikasi kejadian yang berpotensi mempengaruhi tujuan korporat
  • dikelola dalam batasan/selera risiko yang ditetapkan

_

Pendekatan

COSO ERM Integrated Framework 2004 terdiri dari 8 komponen yang saling berkaitan dan terintegrasi serta berfungsi sebagai kriteria untuk menentukan apakah manajemen risiko korporat telah berjalan efektif.

 

Pendekatan Asesmen berbasis COSO ERM

_

Metodologi Asesmen Praktik Pengelolaan Risiko

Dalam melakukan asesmen atas praktik pengelolaan risiko korporat berdasarkan COSO ERM Integrated Framewok, berikut ini adalah checklist yang dapat dipergunakan sebagai basis penilaian.

Checklist Asesmen berbasis COSO ERM

DC|2012


Referensi:

COSO ERM Integrated Framework: 200

Asesmen Manajemen Risiko berbasis ISO 31000:2009

“Take calculated risks. That is quite different from being rash.” 

General George Patton

 

Bahasan saya kali ini, merujuk pada asesmen manajemen risiko berbasis ISO 31000:2009 yang agaknya menjadi trending topic di beberapa perusahaan saat ini dan ISO 31000 dianggap bisa mewakili standar manajemen risiko pada beberapa perusahaan di Indonesia.

Pertama, harus dipahami terlebih dahulu mengenai definisi risiko dan manajemen risiko menurut ISO 31000:2009.

  • Definisi risiko adalah dampak dari ketidakpastian terhadap pencapaian obyektif. Dampak menurut ISO 31000 adalah deviasi dari apa yang diharapkan, bisa bersifat positif dan/atau negatif.
  • Definisi manajemen risiko adalah aktivitas yang terkoordinasi untuk mengarahkan
  • dan mengendalikan sebuah organisasi dalam menangani risiko.

Definisi memberikan kita pemahaman awal bagaimana ISO 31000 memberikan arti mengenai keluasan dan kedalaman sebuah risiko yang menjadi obyek sebuah asesmen.

risk management based on ISO 31000

Kedua, pemahaman mengenai pendekatan yang disajikan dalam ISO 31000 terhadap pengelolaan risiko di dalam sebuah organisasi melalui gambaran relasi antara prinsip, kerangka kerja, dan proses pengelolaan risiko.

Prinsip pengelolaan risiko

ISO 31000:2009 mensyaratkan bahwa penerapan manajemen risiko yang efektif harus patuh pada 11 prinsip.

  1. Pengelolaan risiko menciptakan dan melindungi nilai yang dinyatakan dalam obyektif organisasi
  2. Pengelolaan risiko merupakan bagian yang terintegrasi dengan keseluruhan proses dalam organisasi dan menjadi bagian dari tanggung jawab manajemen
  3. Pengelolaan risiko merupakan bagian dari proses pengambilan keputusan melalui peranannya dalam memberikan opsi kepada pengambil keputusan
  4. Pengelolaan risiko secara eksplisit seharusnya memperhitungkan ketidakpastian dan secara sadar harus berusaha mengurangi ketidakpastian dalam setiap aktivitasnya dalam memastikan pencapaian obyektif organisasi
  5. Pengelolaan risiko seharusnya dibangun melalui pendekatan yang sistematis, terstruktur, dan tepat waktu agar dapat berkontribusi secara efisien dan secara konsisten menghasilkan keluaran yang dapat diperbandingkan dan diandalkan
  6. Pengelolaan risiko membutuhkan ketersediaan informasi yang memadai seperti data historis, pengalaman perusahaan, umpan balik dari pemangku kepentingan, observasi, dan penilaian ahli sehingga para pengambil keputusan dapat meyakini bahwa keputusannya telah memperhitungan semua informasi yang tersedia pada waktu keputusan tersebut dibuat
  7. Pengelolaan risiko membutuhkan kustomisasi sesuai dengan konteks -baik internal maupun eksternal- dan profil risiko inheren organisasi tersebut
  8. Pengelolaan risiko seharusnya memperhitungkan faktor manusia dan budaya yang merupakan bentuk kapabilitas dari suatu organisasi dalam mencapai obyektifnya
  9. Pengelolaan risiko seharusnya transparan dan inklusif melibatkan semua pemangku kepentingan dalam menentukan kriteria risiko
  10. Pengelolaan risiko seharusnya dinamis, berulang, dan respons terhadap perubahan kejadian baik internal maupun eksternal
  11. Pengelolaan risiko seharusnya dapat memfasilitasi pengembangan berkelanjutan dari sebuah organisasi  diukur dari tingkat maturitasnya.

risk management framework based on ISO 31000

Kerangka kerja implementasi pengelolaan risiko

ISO 31000 menyediakan kerangka kerja sebagai pedoman dalam implementasi manajemen risiko yang efektif. Tujuan dari kerangka kerja implementasi pengelolaan risiko antara lain:

    • Pemastian bahwa informasi mengenai pengelolaan risiko yang dihasilkan dari proses pengelolaan risiko telah cukup dilaporkan dan digunakan sebagai dasar dalam pengambilan keputusan
    • Pemenuhan akuntabilitas pada setiap tingkatan organisasi yang relevan

risk management process based on ISO 31000

 Proses pengelolaan risiko

Proses pengelolaan risiko menurut ISO 31000 seharusnya merupakan bagian yang terintegrasi, melekat dalam budaya dan praktik manajemen, dan terkustomisasi menurut proses bisnis organisasi. Menurut ISO 31000, asesmen risiko merupakan bagian yang paling penting dan fundamental dalam proses pengelolaan risiko. Oleh karena itu, organisasi perlu melakukan asesmen risiko yang benar agar memperoleh laporan profil risiko yang tepat sehingga organisasi dapat secara cermat mengelola risikonya.

Setelah kita membedah ISO 31000, pertanyaan berikutnya adalah bagaimana metodologi asesmen manajemen risiko berbasis ISO 31000:2009. Sebagai seorang asesor independen atas sistem manajemen korporat, jawaban sederhana yang bisa saya bagi adalah asesor akan melakukan penilaian terhadap kerangka kerja implementasi pengelolaan risiko seperti yang telah dibedah di atas dengan unsur-unsur penilaian antara lain tanggung jawab, akuntabilitas, strategi, dan praktik manajemen risiko. Sistem manajemen risiko yang baik seharusnya dapat memberikan keyakinan bahwa dengan penerapan manajemen risiko, organisasi dapat mengurangi ketidakpastian yang membayangi dalam setiap pengambilan keputusan namun tetap dapat berinovasi sesuai dengan kapabilitas yang dimiliki.

DC|2012


Referensi:

  • ISO Guide 73:2009
  • ISO 31000:2009

 

Kelatahan dalam Penerapan Manajemen Risiko berdasarkan Standar Internasional

“Kelatahan dalam Penerapan Manajemen Risiko berdasarkan Standar Internasional”

RIsk Management Standard

 

Di Indonesia dikenal 2 standar atau kerangka kerja manajemen risiko internasional  yaitu:

- COSO ERM:2004

COSO pertama kali diratifikasi pada tahun 2004 dan baru pada Desember tahun 2012 COSO bermaksud meluncurkan revisi COSO Internal Control.

- ISO 31000:2009

Sejak pertama kali diratifikasi, ISO 31000 amat sangat digemari perusahaan di Indonesia karena dianggap lebih mudah untuk diaplikasikan di Indonesia, namun tantangan baru terasa pada saat diimplementasikan. Pada tahun Maret 2012, ISO 31004, pedoman untuk melakukan implementasi ISO 31000 mulai didiskusikan dengan harapan dapat diselesaikan pada tahun 2015.

Masing-masing standar tersebut mempromosikan manfaat yang sangat besar bilamana perusahaan menerapkan manajemen risiko sesuai dengan kerangka kerja yang telah dibuat. Ilustrasi berikut ini adalah komparasi manfaat dari kedua standar tersebut.

ISO 31000:2009

Risk Management

Principles and Guidelines

COSO ERM:2004

Integrated Framework

1. Increase the likelihood of achieving objectives; 1. Aligning risk appetite and strategy
2. Encourage proactive management; 2. Enhancing risk response decisions
3. Be aware of the need to identify and treat risks throughout the organization; 3. Reducing operational surprises and losses
4. Improve the identification of opportunities and threats; 4. Identifying and managing multiple and cross-enterprise risks
5. Comply with relevant legal and regulatory requirements and international norms; 5. Seizing opportunities
6. Improve the mandatory and voluntary reporting; 6. Improving deployment of capital
7. Improve governance;
8. Improve stakeholder confidence and trust;
9. Establish a reliable basis for decision making and planning;
10. Improve controls;
11. Effectively allocate and use resources for risk treatment;
12. Improve operational effectiveness and efficiency;
13. Enhance health and safety performance, as well as environmental protection;
14. Improve loss and incident management;
15. Minimize losses;
16. Improve organizational learning;
17. Improve organizational resilience.

 

Namun mengapa masih banyak Direksi di Indonesia yang terindikasi enggan untuk mendukung penerapan manajemen risiko secara efektif?

Ternyata kelatahan perusahaan dalam menerapkan standar manajemen risiko yang sama menjadi salah satu penyebabnya. Implementasi standar manajemen risiko tidak semuanya memberikan keluaran seperti apa yang tertulis pada standar tersebut.  Selain itu, kebanyakan Direksi dan Manajemen Senior belum mau menggunakan metodologi dan alat asesmen risiko secara formal pada sasaran bisnis yang sangat kritikal seperti untuk kajian investasi yang cukup besar karena Direksi dan Manajemen Senior belum melihat nilai tambah yang dihasilkan dari kajian risiko/ bahkan ada anggapan kajian risiko akan menghalangi proses pengambilan keputusan strategis.

Salah satu alasan yang terindikasi adalah bahwa konsentrasi keluaran praktik manajemen risiko masih menekankan pada register/peta risiko, padahal register/peta risiko tersebut belum tentu akurat mencerminkan eksposur risiko dan bagaimana respons yang tepat untuk mengelola risiko tersebut.

Rekomendasi agar kelatahan penerapan manajemen risiko bisa berubah menjadi sesuatu yang memberikan nilai tambah adalah melakukan evaluasi pada saat hendak menerapkan standar manajemen risiko baik ISO 31000 maupun COSO ERM Framework untuk memastikan bahwa para pemilik risiko paham pentingnya memiliki sasaran bisnis yang terpetakan dengan jelas ketika akan melakukan asesmen risiko sehingga keluaran manajemen risiko bisa mengurangi ketidakpastian dalam pencapaian strategi perusahaan.

Referensi:

  • ISO 31000, Risk Management Principles and Guidelines, 1st ed., 2009
  • ISO 31004 Preparatory Stage http://iso.org
  • ERM-Integrated Framework Executive Summary, Sept 2004, COSO