Asesmen Manajemen Risiko berbasis ISO 31000:2009

“Take calculated risks. That is quite different from being rash.” 

General George Patton

 

Bahasan saya kali ini, merujuk pada asesmen manajemen risiko berbasis ISO 31000:2009 yang agaknya menjadi trending topic di beberapa perusahaan saat ini dan ISO 31000 dianggap bisa mewakili standar manajemen risiko pada beberapa perusahaan di Indonesia.

Pertama, harus dipahami terlebih dahulu mengenai definisi risiko dan manajemen risiko menurut ISO 31000:2009.

  • Definisi risiko adalah dampak dari ketidakpastian terhadap pencapaian obyektif. Dampak menurut ISO 31000 adalah deviasi dari apa yang diharapkan, bisa bersifat positif dan/atau negatif.
  • Definisi manajemen risiko adalah aktivitas yang terkoordinasi untuk mengarahkan
  • dan mengendalikan sebuah organisasi dalam menangani risiko.

Definisi memberikan kita pemahaman awal bagaimana ISO 31000 memberikan arti mengenai keluasan dan kedalaman sebuah risiko yang menjadi obyek sebuah asesmen.

risk management based on ISO 31000

Kedua, pemahaman mengenai pendekatan yang disajikan dalam ISO 31000 terhadap pengelolaan risiko di dalam sebuah organisasi melalui gambaran relasi antara prinsip, kerangka kerja, dan proses pengelolaan risiko.

Prinsip pengelolaan risiko

ISO 31000:2009 mensyaratkan bahwa penerapan manajemen risiko yang efektif harus patuh pada 11 prinsip.

  1. Pengelolaan risiko menciptakan dan melindungi nilai yang dinyatakan dalam obyektif organisasi
  2. Pengelolaan risiko merupakan bagian yang terintegrasi dengan keseluruhan proses dalam organisasi dan menjadi bagian dari tanggung jawab manajemen
  3. Pengelolaan risiko merupakan bagian dari proses pengambilan keputusan melalui peranannya dalam memberikan opsi kepada pengambil keputusan
  4. Pengelolaan risiko secara eksplisit seharusnya memperhitungkan ketidakpastian dan secara sadar harus berusaha mengurangi ketidakpastian dalam setiap aktivitasnya dalam memastikan pencapaian obyektif organisasi
  5. Pengelolaan risiko seharusnya dibangun melalui pendekatan yang sistematis, terstruktur, dan tepat waktu agar dapat berkontribusi secara efisien dan secara konsisten menghasilkan keluaran yang dapat diperbandingkan dan diandalkan
  6. Pengelolaan risiko membutuhkan ketersediaan informasi yang memadai seperti data historis, pengalaman perusahaan, umpan balik dari pemangku kepentingan, observasi, dan penilaian ahli sehingga para pengambil keputusan dapat meyakini bahwa keputusannya telah memperhitungan semua informasi yang tersedia pada waktu keputusan tersebut dibuat
  7. Pengelolaan risiko membutuhkan kustomisasi sesuai dengan konteks -baik internal maupun eksternal- dan profil risiko inheren organisasi tersebut
  8. Pengelolaan risiko seharusnya memperhitungkan faktor manusia dan budaya yang merupakan bentuk kapabilitas dari suatu organisasi dalam mencapai obyektifnya
  9. Pengelolaan risiko seharusnya transparan dan inklusif melibatkan semua pemangku kepentingan dalam menentukan kriteria risiko
  10. Pengelolaan risiko seharusnya dinamis, berulang, dan respons terhadap perubahan kejadian baik internal maupun eksternal
  11. Pengelolaan risiko seharusnya dapat memfasilitasi pengembangan berkelanjutan dari sebuah organisasi  diukur dari tingkat maturitasnya.

risk management framework based on ISO 31000

Kerangka kerja implementasi pengelolaan risiko

ISO 31000 menyediakan kerangka kerja sebagai pedoman dalam implementasi manajemen risiko yang efektif. Tujuan dari kerangka kerja implementasi pengelolaan risiko antara lain:

    • Pemastian bahwa informasi mengenai pengelolaan risiko yang dihasilkan dari proses pengelolaan risiko telah cukup dilaporkan dan digunakan sebagai dasar dalam pengambilan keputusan
    • Pemenuhan akuntabilitas pada setiap tingkatan organisasi yang relevan

risk management process based on ISO 31000

 Proses pengelolaan risiko

Proses pengelolaan risiko menurut ISO 31000 seharusnya merupakan bagian yang terintegrasi, melekat dalam budaya dan praktik manajemen, dan terkustomisasi menurut proses bisnis organisasi. Menurut ISO 31000, asesmen risiko merupakan bagian yang paling penting dan fundamental dalam proses pengelolaan risiko. Oleh karena itu, organisasi perlu melakukan asesmen risiko yang benar agar memperoleh laporan profil risiko yang tepat sehingga organisasi dapat secara cermat mengelola risikonya.

Setelah kita membedah ISO 31000, pertanyaan berikutnya adalah bagaimana metodologi asesmen manajemen risiko berbasis ISO 31000:2009. Sebagai seorang asesor independen atas sistem manajemen korporat, jawaban sederhana yang bisa saya bagi adalah asesor akan melakukan penilaian terhadap kerangka kerja implementasi pengelolaan risiko seperti yang telah dibedah di atas dengan unsur-unsur penilaian antara lain tanggung jawab, akuntabilitas, strategi, dan praktik manajemen risiko. Sistem manajemen risiko yang baik seharusnya dapat memberikan keyakinan bahwa dengan penerapan manajemen risiko, organisasi dapat mengurangi ketidakpastian yang membayangi dalam setiap pengambilan keputusan namun tetap dapat berinovasi sesuai dengan kapabilitas yang dimiliki.

DC|2012


Referensi:

  • ISO Guide 73:2009
  • ISO 31000:2009

 

Kelatahan dalam Penerapan Manajemen Risiko berdasarkan Standar Internasional

“Kelatahan dalam Penerapan Manajemen Risiko berdasarkan Standar Internasional”

RIsk Management Standard

 

Di Indonesia dikenal 2 standar atau kerangka kerja manajemen risiko internasional  yaitu:

- COSO ERM:2004

COSO pertama kali diratifikasi pada tahun 2004 dan baru pada Desember tahun 2012 COSO bermaksud meluncurkan revisi COSO Internal Control.

- ISO 31000:2009

Sejak pertama kali diratifikasi, ISO 31000 amat sangat digemari perusahaan di Indonesia karena dianggap lebih mudah untuk diaplikasikan di Indonesia, namun tantangan baru terasa pada saat diimplementasikan. Pada tahun Maret 2012, ISO 31004, pedoman untuk melakukan implementasi ISO 31000 mulai didiskusikan dengan harapan dapat diselesaikan pada tahun 2015.

Masing-masing standar tersebut mempromosikan manfaat yang sangat besar bilamana perusahaan menerapkan manajemen risiko sesuai dengan kerangka kerja yang telah dibuat. Ilustrasi berikut ini adalah komparasi manfaat dari kedua standar tersebut.

ISO 31000:2009

Risk Management

Principles and Guidelines

COSO ERM:2004

Integrated Framework

1. Increase the likelihood of achieving objectives; 1. Aligning risk appetite and strategy
2. Encourage proactive management; 2. Enhancing risk response decisions
3. Be aware of the need to identify and treat risks throughout the organization; 3. Reducing operational surprises and losses
4. Improve the identification of opportunities and threats; 4. Identifying and managing multiple and cross-enterprise risks
5. Comply with relevant legal and regulatory requirements and international norms; 5. Seizing opportunities
6. Improve the mandatory and voluntary reporting; 6. Improving deployment of capital
7. Improve governance;
8. Improve stakeholder confidence and trust;
9. Establish a reliable basis for decision making and planning;
10. Improve controls;
11. Effectively allocate and use resources for risk treatment;
12. Improve operational effectiveness and efficiency;
13. Enhance health and safety performance, as well as environmental protection;
14. Improve loss and incident management;
15. Minimize losses;
16. Improve organizational learning;
17. Improve organizational resilience.

 

Namun mengapa masih banyak Direksi di Indonesia yang terindikasi enggan untuk mendukung penerapan manajemen risiko secara efektif?

Ternyata kelatahan perusahaan dalam menerapkan standar manajemen risiko yang sama menjadi salah satu penyebabnya. Implementasi standar manajemen risiko tidak semuanya memberikan keluaran seperti apa yang tertulis pada standar tersebut.  Selain itu, kebanyakan Direksi dan Manajemen Senior belum mau menggunakan metodologi dan alat asesmen risiko secara formal pada sasaran bisnis yang sangat kritikal seperti untuk kajian investasi yang cukup besar karena Direksi dan Manajemen Senior belum melihat nilai tambah yang dihasilkan dari kajian risiko/ bahkan ada anggapan kajian risiko akan menghalangi proses pengambilan keputusan strategis.

Salah satu alasan yang terindikasi adalah bahwa konsentrasi keluaran praktik manajemen risiko masih menekankan pada register/peta risiko, padahal register/peta risiko tersebut belum tentu akurat mencerminkan eksposur risiko dan bagaimana respons yang tepat untuk mengelola risiko tersebut.

Rekomendasi agar kelatahan penerapan manajemen risiko bisa berubah menjadi sesuatu yang memberikan nilai tambah adalah melakukan evaluasi pada saat hendak menerapkan standar manajemen risiko baik ISO 31000 maupun COSO ERM Framework untuk memastikan bahwa para pemilik risiko paham pentingnya memiliki sasaran bisnis yang terpetakan dengan jelas ketika akan melakukan asesmen risiko sehingga keluaran manajemen risiko bisa mengurangi ketidakpastian dalam pencapaian strategi perusahaan.

Referensi:

  • ISO 31000, Risk Management Principles and Guidelines, 1st ed., 2009
  • ISO 31004 Preparatory Stage http://iso.org
  • ERM-Integrated Framework Executive Summary, Sept 2004, COSO

Penyusunan RKAP Berbasis Risiko bagi BUMN

Berbagi praktik bedah RKAP BUMN dari pandangan pribadi sebagai pemerhati BUMN Indonesia berdasarkan beberapa pertanyaan dasar dari rekan-rekan BUMN.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

Setiap BUMN wajib menyusun RKAP sesuai dengan ketentuan dari Kementerian Keuangan dan Kementerian BUMN, yaitu:

  1. Keputusan Menteri Keuangan Nomor 196/KMK.016/1998 Tentang RKAP BUMN. Setiap BUMN wajib menyusun RKAP dan RKAPUKK yang mana permohonan persetujuan atas RKAP dan RKAPUKK untuk PERSERO disampaikan oleh Direksi kepada RUPS selambat-lambatnya dalam waktu 60 hari sebelum memasuki tahun anggaran Perusahaan, sedangkan untuk PERUM disampaikan oleh Direksi kepada Menteri Keuangan melalui Menteri Teknis yang bersangkutan selambat-lambatnya dalam waktu 60 hari sebelum memasuki tahun anggaran Perusahaan
  2. Keputusan Menteri BUMN Nomor KEP-101/MBU/2002 Tentang Penyusunan RKAP BUMN. Dalam menyusun Rencana Kerja harus secara tegas dipisahkan antara Rencana Kerja untuk melaksanakan Penugasan Pemerintah dengan Rencana Kerja untuk pencapaian misi perusahaan. Anggaran Perusahaan merupakan penjabaran program kegiatan usaha dalam satuan uang berdasarkan penerimaan/pengeluaran secara tunai dari program kegiatan untuk melaksanakan penugasan pemerintah/pemegang saham dan kegiatan komersil.

—————————————————————————————————————

RKAP berbasis risiko adalah RKAP yang menyajikan kajian pengelolaan risiko atas setiap sasaran strategis perusahaan.

—————————————————————————————————————

Mengapa BUMN harus menyusun RKAP berbasis risiko?

Perkembangan ini timbul sehubungan dengan adanya pembaharuan hukum di bidang perseroan terbatas dan badan usaha milik negara, serta memperhatikan perkembangan dunia usaha yang semakin dinamis dan kompetitif, maka untuk lebih meningkatkan penerapan tata kelola perusahaan yang baik (Good Corporate Governance), KBUMN melakukan penyesuaian terhadap Keputusan Menteri BUMN Nomor Kep-117/M-MBU/2002 tanggal 31 Juli 2002 menjadi Peraturan Menteri Negara BUMN Nomor Per-01/MBU/2011 tanggal 01 Agustus 2011. Dalam Permen tersebut dinyatakan bahwa dalam rangka penerapan GCG, Direksi, dalam setiap pengambilan keputusan/tindakan harus mempertimbangkan risiko usaha.dan wajib membangun serta melaksanakan program manajemen risiko korporasi secara terpadu yang merupakan bagian dari pelaksanaan program GCG. Salah satu keluaran dari Permen tersebut adalah RKAP berbasis risiko

Bagaimana RKAP berbasis risiko disusun?

Menurut Kepmen 101/2002, RKAP perusahaan BUMN saya ilustrasikan dalam bagan berikut ini.

RKAP Kepmen 101_2002

RKAP berbasis risiko dibuat atas setiap sasaran usaha dalam bagian rencana kerja perusahaan, seperti yang saya ilustrasikan berikut ini.

RKAP berbasis risiko Kepmen 101_2002

Untuk setiap sasaran strategis perusahaan, perlu dilakukan kajian risiko yang meliputi minimum:

  1. Identifikasi risiko merujuk pada setiap sasaran yang ditetapkan
  2. Pengukuran eksposur risiko berdasarkan pada paramater risiko yang telah ditetapkan
  3. Rencana tindak lanjut/mitigasi risiko yang teridentifikasi dengan memperhitungan kapabilitas sumber daya perusahaan
Biasanya perusahaan melakukan konsinyeering pada saat akan melakukan penyusunan RKAP berbasis risiko agar tercipta konsistensi atas metodologi manajemen risiko yang dipergunakan dan memudahkan para pihak yang terlibat dalam memberikan makna serta pemahaman persepsi secara korporat/terintegrasi bukan silo.

DC|2012

 

.

Pengelolaan Risiko: 3 Kategori Risiko (1)

Smart companies match their approach to the nature of the threats they face by Robert S. Kaplan and Anette Mikes.

Diadopsi dari Harvard Business Review, June 2012

Kaplan dan Mikes, membagi risiko dan pengelolaan risiko menjadi 3 kategori berdasarkan perilaku organisasi dalam melakukan identifikasi dan mengelola risiko, yaitu:

  1. Risiko internal
  2. Risiko strategis
  3. Risiko eksternal

Risiko internal merupakan risiko yang dari dalam internal organisasi dan tidak mempunyai nilai tambah pada pencapaian tujuan organisasi. Risiko ini dapat dikelola melalui penegakan aturan, nilai, dan standar kepatuhan. Sedangkan risiko strategis dan eksternal merupakan risiko yang mempunyai dampak pada pencapaian tujuan organisasi sehingga pengelolaan atas kedua risiko ini memerlukan proses yang lebih spesifik dan mendorong manajemen di organisasi untuk lebih terbuka berdiskusi dalam mengelola risiko dengan tetap memerhatikan segi biaya-manfaat pada saat akan menurunkan tingkat kemungkinan atau memitigasi dampak risikonya.

Bagaimana model pengendalian/kontrol, peranan fungsi manajemen risiko, dan hubungan keterkaitan fungsi manajemen risiko dengan unit bisnis lain bagi setiap kategori akan dibahas pada penulisan berikutnya.
DC

How do you define risk in simple word?

Life without risk is like life without love.. 

Sometimes it makes us happy but at the same time it could make your life miserable.

Lalu mengapa orang harus peduli dengan risiko?

Hmm.. Risiko membuat hidup kita mempunyai makna berwarna-warni. Bila kita mengelola risiko dengan baik, maka kemenangan menjadi milik kita. Namun sayangnya, kita hidup di dunia yang penuh ketidakpastian. Dalam ketidakpastian itu, penerapan manajemen risiko menjadi sesuatu yang bisa membantu pada setiap keputusan yang kita ambil yaitu dalam penyediaan informasi pendukung yang memadai dan penyediaan indikator yang cukup akurat agar kita bisa bersiap dalam setiap kemungkinan baik yang terburuk maupun yang terbaik.

Walaupun hidup ini penuh dengan ketidakpastian tetapi kita tidak harus selalu menjadi penjudi untuk keberhasilan yang hendak dicapai. DC | 2012

Hubungan Keterkaitan antara ERM (Enterprise Risk Management), BSC (Balance Scorecard), dan KPI (Key Performance Indicator)

Penerapan ERM harus dimulai dengan pemahaman hubungan keterkaitan antara risiko dengan tujuan yang hendak dicapai. Penyusunan tujuan organisasi bisa menggunakan berbagai pendekatan dan salah satu pendekatan yang paling banyak digunakan di Indonesia adalah pendekatan kartu skor berimbang (Balance Scorecard-BSC). ERM berkontribusi terhadap setiap target yang ditetapkan berdasarkan 4 perspektif BSC (pelanggan, proses internal, inovasi dan pembelajaran, serta keuangan) yang dituangkan lebih lanjut dalam bentuk KPI.

  • Proses identifikasi dan analisis risiko dilakukan terhadap setiap KPI berdasarkan 4 perspektif BSC.
  • Efektivitas rencana mitigasi digunakan manajemen untuk memantau tercapainya KPI.

dc|2011

Indikator Risiko Kunci (KRI) vs Indikator Kinerja Kunci (KPI)

KRI memberikan nlai estimasi mengenai tingkat keterpaparan risiko dan berfungsi sebagai sinyal peringatan dini bagi setiap kemungkinan perubahan yang terjadi dalam profil risiko yang dapat mempengaruhi pencapaian KPI perusahaan.
 
Hubungan Keterkaitan KPI dengan KRI

Prepare a Simple and Communicative Risk Profile (Part2)

“ the secret lies in keeping risk profile simple and easy to communicate

 

This second part will describe how to prepare a risk profile based on The Top 10 Risk Profile. In the preparation, consolidation, and documentation the top 10 risk profile there are 8 steps need to be taken in sequential order illustrated below.

the approach in preparing top 10 risk profile

PREPARATION PHASE

It’s critical to develop a plan of action before getting on the actual interviews in terms of duration, resource requirement, and detail level of information want to be achieved. Several questions could be taken as references as follows:

  • How often should a Top 10 Risk Profile be prepared?
  • Who should be interviewed?
  • How should interviews be scheduled?
  • What to consider when interviewing the CEO?
  • What background information needs to be gathered?

In preparing the interview tools, there’re several things needs to be considered:

  • Obtaining identified clearly articulated documented corporate business objectives
  • Having an environmental scan by compiling papers, report, or articles depicting events that have happened and could impact the organization or its stakeholders
  • Providing a prior list of past and potential risks for interviewees.

risk profile interview sheet

CONSOLIDATION PHASE

Once all the interviews have been completed it is time to summarize the findings and become a summary of the key facts and description, thus providing the basis for compiling or updating the risk profile. When summarizing for each major risk, we need to prepare individual sheets with 2 columns: 1) risk sources and cause for any increase in identified risk; 2} mitigation efforts and cause for any decreases in risks.

In the process, interviewees sometimes give new ratings and/or trends for a risk and the ERM group should explore and validate all findings from the interviews and other evidence before make a decision whether the overall ratings or trends should indeed be changed.

DOCUMENTATION PHASE

Subsequent phase after the result summarized, the risk manager is challenged on how to  create a communicative document and any related presentations. Some helpful principles are given as follows:

  • Keep it simple, written in plain language, combine descriptions, and easy to understand chart
  • The draft consist of 3 key fundamental elements: 1) basic information such as the process followed, the number of interviews completed, the time frame for the assessment (e.g., three years forward), and the risks that have been removed from or added to the profile since the previous one; 2) top risks matrix show the current ratings, trends, and previous rating for comparison, references the risk descriptions on subsequent pages; 3) half-page narrative for each 10 risks describes the sources of the risk, the business objectives impacted, and the mitigations in place or planned.

Once the draft risk profile has been updated by the ERM group, then it is presented to a management committee lead by the CEO, takes as the ownership of risk profile by accepting or approving it.

COMMUNICATION PHASE

The primary purpose of the corporate risk profile is to share the risks facing the organization with the board and provide an important base for strategic planning “how the existing risks might then be affected by new strategic directions”.

As part of good corporate governance, the board should insist on viewing updated profiles on a periodic basis or requesting interim updates during a crisis.

In assuring the accuracy and usefulness of the corporate risk profile, the board also need to  monitor how money and resources are allocate relative to the top 10 risk identified.


CONCLUSION

The corporate risk profile plays a vital role in overall ERM process. Having a simple and communicative risk profile is essential for ERM as a practical management and governance tool that :

  • Helps to align the understanding of business objectives and related risks between the board, senior management, and line management
  • Helps to ensure significant risks are understood in a structured and consistent framework
  • Plays an integral part in strategic planning and resource allocation
  • Assists in marketing the value of ERM by demonstrating how the process works and how it adds value.

DC/2011

Prepare a Simple and Communicative Risk Profile (Part1)

“A right ERM risk profile should be holistic and reflect all risks to the organization’s business objectives

 

Preparing and sharing corporate risk profile as one of the key building block of ERM process should be regarded as a helping tool in communicating with the board. How a profile is prepared, how frequently it is prepared, and with whom it is shared are all subject to different treatments in each organization. A corporate risk profile should be prepared for use by the management of an organization as part of the ERM process.

There are 3 different types of commonly used corporate risk profile: the top 10 list, the risk map, and the heat map.

  • The “Top 10” List. This type is the simplest method of identifying, ranking, and sharing top risks in organization due to its simplicity, familiarity, easily understood, and denotes a short yet important list of risks.
  • The Risk Map. This type is one of the most widely described ways to present the largest risks facing an organization. It consists of two axis: the vertical axis showing the potential impact of the risk and the horizontal axis showing the estimated likelihood of the risk occurring. Risk map are ideally best prepared during risk workshop using voting technology.
  • The Heat Map. This type can list the organizational entities such as departments, locations, or product lines in the first column while, next to each entities are color-coded squares identifying the level of each risk. A heat map is usually color-coded to show the levels and risks and mitigations in a matrix format. dc | 2011

GETTING OUR RISK MANAGEMENT RIGHT ON TRACK

One of the biggest mistakes of failure in implementing risk management is taking the risk management framework as it is without considering the organization culture

Risk Management is implemented to pursue opportunities and effectively exploit the limited internal capability instead only managing the adverse affects due to uncertainties. It is important to identify up-front the organization expectation when implementing risk management such as improved decision making process in setting corporate strategy, reduced risk exposure in key areas, improve compliance, enhance efficiency on operations and profitability, etc. Organization that is struggling to effectively implement risk management or have not implemented a formal, proactive, structured risk management framework could use ISO 31000 as a useful guidance. ISO 31000 acknowledge the importance of continually enhance the risk management framework using 5 attributes as follows:

  • Continual Improvement
  • Full Accountability for Risks
  • Application of Risk Management in all Decision Making Processes
  • Continual Communications
  • Full Integration in the Organization’s Governance Structure

 

One of the biggest mistakes of failure in implementing risk management is taking the risk management framework as it is without considering the organization culture. In order to enhance or get the risk management right on track using ISO 31000, here is the suggested “to do list” for smooth transition.

the example of transition process on ISO31000

  • Refine the Benefits/Impact of implementing ERM throughout the organization lead by the Boards and ERM Unit/Project Team and create a measurement process to determine to what extent these objectives will be achieved
  • Review and Update the existing risk management framework and amend the documentation to align with prerequisite elements in ISO 31000. Keep a record of enhancement as evidence of continual improvement.
  • Communicate the key changes to all organization personnel and notify them that the organization now follows an international risk management standard
  • Appoint the key risk owner for risk management ‘refresher’ training in order to encourage the risk owners to undertake a review of their risks and update their risk register

 

[slideshare id=6936987&doc=gettingourriskmanagementrightontrack2011dc-110215130318-phpapp01]