Enterprise Risk Management (ERM) adalah komponen yang menjadi
dasar dan pengaturan organisasi untuk merancang, melaksanakan, memantau,
mengkaji, dan terus meningkatkan manajemen risiko di seluruh organisasi.
Enterprise Risk Management memiliki beberapa kerangka konseptual yang
dikemukakan oleh COSO (Sirait & Susanty, 2015) yang telah dikembangkan
menjadi leader sejak tahun 2004 hingga saat ini. Enterprise Risk Management
versi COSO terdiridari delapan macam komponen yang saling terkait.
Kedelapan komponen ini diturunkan dari bagaimana manajemen
menjalankan perusahaan dan diintergrasikan dengan proses manajemen.
Kedelapan komponen ini diperlukan untuk mencapai tujuan-tujuan
perusahaan, baik tujuan strategis, operasional, pelaporan keuangan, maupun
kepetuhan terhadap ketentuan perundang-undangan komponen-komponen
tersebut adalah (Moeller, 2009):
- Lingkungan Internal (Internal Environment), sangat menentukan warna
dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap
risiko dari setiap orang dalam organisasi tersebut. Lingkungan internal ini
termasuk filosofi manajemen risiko dan risk appetite, nilai-nilai etika dan
integritas, dan lingkungan di mana kesemuanya tersebut berjalan. - Penentuan Tujuan (Objektive setting), manajemen risiko menetapkan
objective (tujuan-tujuan) dari organisasi agar dapat mengidentifikasi,
mengakses, dan mengelola risiko. Objective dapat diklasifikasikan
menjadi strategic objective dan activity objective. Strategic objective di
perusahaan berhubungan dengan pencapaian dan peningkatan kinerja
instansi dalam jangka menengah dan panjang, dan merupakan penerapan
dari visi dan misi instansi tersebut. - Identifikasi Kejadian (Event Identification), dimana komponen ini
mengidentifikasi kejadian-kejadian potensial baik yang terjadi di
lingkungan internalmaupun eksternal organisasi yang mempengaruhi
strategi atau pencapaian tujuan dari organisasi. - Penilaian Risiko (Risk Assesment), dimana komponen ini menilai sejauh
mana dampak dari kejadian dapat mengganggu pencapaian dari tujuan.
Risiko dianalisis dengan memperhitungkan (likelihood) dan dampaknya
(impact), sebagai dasar bagi penentuan bagaimana seharusnya risiko
tersebut dikelola. Tabel 2.2 merupakan tabel parameter penilaian
perhitungan occurance atau kemungkinan terjadinya suatu risiko yang
digolongkan menjadi lima bagian yakni kejadian yang sangat jarang,
jarang, moderat, sering dan sangat sering terjadi. Sedangkan tabel 2.3
perhitungan saverity juga dibagi menjadi lima golongan yakni dampak
yang sangat kecil, kecil, sedang, besar, dan sangat besar seperti yang
dapat dilihat dari tabel .Setelah dilakukan pengukuran occurance dan
tingkat keparahan dari setiap risiko,maka langkah selanjutnya adalah
penilaian risiko. Menurut Nomaria dan Aries (2015) Nilai risiko
merupakan perkalian dari probabiitas (occurance) dan dampak (severity).
Setelah dilakukan penilaian risiko, selanjutnya memasukkan setiap risiko
dalam matriks risiko untuk mengetahui level tiap risiko yang selanjutnya
dapat diprioritaskan untuk dikendalikan. - Respon Risiko (Risk Response) sebuah organisasi harus dapat
menentukan sikap atas hasil penilaian risiko. Manajemen memilih
respons,menghindar (avoiding), menerima risiko yang berdampak kecil
dan jarang terjadi (accepting), mengurangi (reducting), atau mengalihkan
atau menanggung bersama risiko atau sebagian dari risiko ke pihak lain
(sharing risk) dan mengembangkan satu set kegiatan agar risiko tersebut
sesuai dengan toleransi (risk tolerance). Jenis respon risiko juga dapat
dilakukan berdasarkan hasil risk scoring dengan batasan dapat dilihat
pada tabel. Penilaian 1 hingga 3 risiko dapat diterima dengan
pengendalian yang cukup, skor 4 hingga 6 risiko perlu dipantau dengan
pengendalian yang cukup, skor 6 hingga 9 risiko perlu dilakukan
pengendalian yang cukup dari manajemen, skor 10 hingga 14 risiko dapat
diterima hanya dapat diterima dengan pengendalian yang sangat baik
(excelent), dan skor 15 hingga 25 risiko tidak dapat diterima dan
sebaiknya dihindari. Selain itu, respon risiko juga dapat dilihat menurut
levelnya yakni extreme, hight, moderate, low dan very low. Untuk level
extreme sebaiknya risiko dihindari, level hight sebaiknya risiko
dikendalikan dengan cara share risiko kepada pihak lain, level moderate
sebaiknya risiko dikendalikan dengan cara direduksi dan ditransfer
dengan pihak lain dan untuk level low dan very low risiko dapat diterima
dengan pemantauan rutin. Penjelasan respon dapat dilihat pada tabel 2.5. - Kegiatan Pengendalian( Control Activities)
Kebijakan dan prosedur ditetapkan dan di implementasikan untuk
membantu memastikan respon risiko berjalan dengan efektif. - Informasi dan komunikasi( information and Communication)
Informasi yang relevan diidentifikasi, ditangkap dan
dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap
orang menjalankan tanggungjawabnya. Arah komunikasi dapat bersifat
internal maupun eksternal. Alat komunikasi diantaranya berupa manual,
memo, bulletin, dan pesan-pesan melalui media elektronik. - Pengawasan (Monitoring)
Keseluruhan proses Enterprise Risk Management di monitoring
dan di modifikasi dilakukan apabila perlu. Pada proses monitoring perlu
dicermati adanya kendala seperti reporting deficiencies, yaitu pelaporan
yang tidak lengkap atau bahkan berlebihan. Kendala ini timbul dari
berbagai faktor seperti sumber informasi, materi pelaporan, pihak yang
disampaikan laporan, dan arahan bagi pelaporan
Tidak ada komentar:
Posting Komentar