INTRODUCTION
Guarantee Business as well as the Insurance services are categorized as risky business because its main product is to ensure the risk of failure to pay its customers (Guaranteed) which utilize banking services or projects from other parties. Business risk guarantee is estimated larger than the banking business because of the effort involves three parties namely the guarantee of the Guarantors, Accepting Warranty and Guaranteed while the banking business at its main products involve only two parties ie. creditors and debtors.
Assurance agencies in Indonesia and in Asia that run credit guarantee programs for supporting government in UMKM ( SME’s ) development based on experience and empirical data mostly losers. On the other hand, the guarantee institution shaped Limited Liability Company (PT) in Indonesia is required remains sustainable and provide economic benefits to the government and the national economy. Strategies of Insurance/Guarantee Company in the form of PT and the Public Corporation (Perum) to remain sustainable is to conduct commercial profit-oriented business diversification and manage risk of underwriting business in order to reduce losses at the level received by the company.
Consequences underwriting business consisting of three parties demanding risk management sourced from third parties. Third party possesses the potential hazard that could affect the magnitude of risks and opportunities emerging impact the Company. Insurance Agency as Guarantor party who provides a guarantee has its own potential hazard that could impact the insurance (premium increases and lower claims rate) such as the existence of collusion, corruption and negligence in the process of underwriting and other business support processes. Similarly Recipients Assurance (eg banking) and Guaranteed to have a relatively high potential hazard that could impact the credit guarantee itself. Not to mention if there is a potential hazard from external parties arising from the guarantee industry and regulators, is certainly the risk management become so important and can not be ignored role.
Potential hazard came from the third parties involved in businesses underwriting can improve your chances of future occurrence risk thus affects the performance guarantee of business. Effective risk management and efficient and involves all components of the company ranging from BOD, senior management and all employees necessary to enable the business losses incurred in credit guarantee can be controlled and can be accepted by the company.
Urgency to the implementation of corporate risk management is now a requirement of companies for underwriting and risk control to meet regulatory demands related to the implementation of good corporate governance (Good Corporate Governance (GCG)).
Corporate risk management is one important pillar of GCG implementation that can provide great opportunities that the company is driven to fulfill all aspects of the rules and regulations internal and external (complies) with due regard to the risks identified with the good of all aspects of the business and its supporters.
ERM model will be described below is adopted from the case of ERM Indonesian Credit Insurance Company (PT Askrindo) which carries on business guarantee insurance business as well as COSO framework (Committee of Sponsoring Organization).
PT Askrindo is a business entity in Indonesia which is unique and probably the only one in Indonesia can be a good collaboration between business-oriented profit-oriented to public service in the form of underwriting and insurance/guarantee businesses. PT Askrindo is said to run the insurance/guarantee business because of regulations in Indonesia is still considered that the Surety Bond, customs bonds, trade credit insurance and credit guarantee insurance business, although classified in the scheme used is the guarantee scheme. Currently the guarantee is still at the level of regulation of government regulation or decision of finance ministers pledge Whereas regulatory level Law is in the process of preparation. On one side of the PT Askrindo trying to support government programs to develop SMEs with credit guarantee products with characteristics that tend to lose business, but on the other side of PT Askrindo required to obtain and remain sustainable profit runs businesses in the form of underwriting and insurance products that includes product diversification Surety Bond, customs bonds, trade credit insurance (Askredag) and reinsurance. So complex that the business is run by PT Askrindo and to meet the demands of the regulator, which requires the state-run companies have a risk management unit, PT Askrindo beginning in 2010 must be and have started implementing Enterprise Risk Management (ERM is) with the approach of the rules and principles and insurance underwriting. Development process and the search for appropriate forms of ERM with the corporate goal is still ongoing.
FRAMEWORK ERM
Enterprise Risk Management (ERM) is a process involving the company, including BOD, management and all employees of the Company in identifying events or potential events that create an impact (losses), comprehensively manage the quantity / size that can be accepted by the company, and to ensure attainment of corporate objectives. In various economic enterprises in the world known various ERM framework in accordance with the viewpoint of risk management and social culture of a nation. ERM framework model that is used by many industries today is BS, British Standarts - IRGC (BS6079-3) (2000), International Risk Governance Council (IRGC) in 2004, COSO (Committee of Sponsoring Organizations), AS / NZ, Australia & New Zealand Standard (AS / NZS) 4360, ISO (International Organization Standarts) 31 000 (2009). Differences in the ERM framework can be seen in the table below.
Table 1. Framework (Framework) Risk Management
In the framework of the five models above, there are basic similarities of the implementation of the ERM process includes risk identification, risk measurement, risk mapping and risk mitigation. Basic risk management process will be actualized and implied by the company in accordance with the goals, company size and regulation set by the government.
CHOICE OF BASIC ERM FRAMEWORK.
Various ERM framework used by companies in different economic sectors has its own characteristics and is built on the basis Management and social point of view of local culture. Election ERM framework consistent with best practice where the company conducts business activities can be based on the following considerations:
1. The purpose and mission
2. Organizational needs and characteristics of existing business
3. Demands and regulatory requirements & regulations
4. Company size (size of company), including the resources available in the implementation of ERM
ERM IMPLEMENTATION OF SUCCESFULL ACHIEVEMENTS KEY.
The successful implementation of ERM is dependent on the human resources involved in the activities of the ERM (effective by people). Sophistication of systems and mechanisms for the implementation of ERM will not guarantee that the objectives would be achieved if not supported by the quality and integrity of corporate human resources. The main key to success in the implementation of ERM is dependent on the quality and integrity of human resources. The successful implementation of ERM in general will be determined by several important factors, namely:
1. There are a commitment from the Board of Directors (BOD), the Board of Commisioner (BOC) and senior management. BOD commitment is the dominant factor determining the successful implementation of ERM for the ERM can not be applied if the BOD is not fully supported.
2. existence of policies, systems and process controls that are supported by the culture of risk (risk culture) (regardless of risk) is strong.
3. The existence of clarity in determining the risk appetite and risk tolerance in accordance with the company's ability (clear limits on delegated authority).
4. Communication and continuous learning.
5. The integration between the ERM into the strategic planning, business processes, assessing the work / performance and competence (rewards associated with the risk based system performance).
6. The existence of a permanent organization of risk management
7. The existence of a clear accountability and responsibility (including clear ownership of risk)
The Integrity and quality of human resources will determine the successful implementation of ERM so we need education and training that can increase Intelegencia Quotient (IQ), Emotional Quotient (EQ) and Spiritual Quotient (SQ) via the character of religious training and motivation of the work ethic and loyalty of employees to the company. Similar training should be conducted regularly and periodically so that HR always given awareness of the integrity and capacity contribution of HR in achieving corporate goals.
ERM IMPLEMENTATION ELEMENT
In the construction of the ERM, there are 3 (three) elements that must be built and prepared for the implementation of ERM can be run effectively as in the picture below, namely:
1. Framework (Risk Governance)
Elements of development frameworks that must be drawn between other include the Directors commitment, cultural awareness of the risks and implementation risks, determining risk appetite and risk tolerance, structure and functions of the organization and policy. Elements of this framework is the basic element to determine the success of the implementation of ERM that it all depends on the quality and integrity of human resources.
2. Infrastructures
ERM Implementation requires infrastructure in facilitating the implementation of ERM in the company. Infrastructure required to implement ERM is the methodology, information systems technology primarily used for data processing risk, Procedures (SOPs guide the implementation of ERM and ERM) and information systems that can provide a continuous ERM reporting to management.
3. Process
ERM is a process that is done continuously, integrated and involve all staff in managing the risks that may increase the odds of achieving goals. The principal risk management process carried out within the ERM is the process of identifying, measuring, mapping and risk mitigation. Other risk management processes that are not less important is the process of monitoring, communication, reporting and risk management controls. To implement the risk management process is crucial in a system and a relatively adequate resources both in technology or manual.
At this time, PT Askrindo already have elements of ERM implementations are relatively complete and start implementing ERM involves risk taking units with the help of risk management information system based on Web.
ERM IMPLEMENTATION IN GUARANTEE BUSINESS.
ERM PT Askrindo can be considered as models in an effort to guarantee the implementation of ERM. PT Askrindo since mid-2010 already has elements of ERM is a relatively complete implementation and management including the BOD has given a commitment for the implementation of ERM in the company and continue to develop the concept of ERM implemntasi appropriate for the company. In addition, PT Askrindo also has a Contact Person or Risk Risk Champion in all work units both at central and branch offices to support the implementation of the ERM with the assistance of risk management information system based on Web.
The concept of risk management is applied in PT Askrindo is insightful and principled on integrated enterprise risk management. Risk management is an integrated corporate risk management process that starts from the process of identifying, measuring, mapping, mitigation and monitoring and evaluation involving company management in the process of determining the strategy in all work units in an integrated manner. The concept of risk management designed to identify events (events) that has a negative for the company and manage risk in order to always be within the limit of tolerance of risk management.
For company, the above objectives, the management of building and integrating risk management into corporate values and business processes to adhere to basic principles:
a. Alignment between management strategy and risk tolerance will always take into account and consider the company's risk tolerance in determining a variety of alternative business strategies, business goals, and develop risk management mechanisms.
b. Continuously improve the quality awareness of a risk and create a culture of risk.
c. Reduce to lowest possible level of the surprises and losses that could affect the company's operational decisions.
d. Consistently identify and manage multiple risks and risks among units. Companies will face a lot of different forms of risk, which directly or indirectly affect the various activities of work units in conducting operations. Therefore, companies applying risk management to be able to facilitate the determination of an effective response on the effects of interrelated and determination of the integrated responses of multiple risks.
e. Capturing the opportunity to learn a variety of potential risks, management will be in a position to proactively identify and easy to catch any possible risk in the company.
f. Improving the quality and effectiveness of the use of company resources with the availability of diverse information complete and accurate risk management will help to effectively measure the possible risks associated with the company's business.
EARLY STAGE RISK MANAGEMENT APPLICATION
In the early development of ERM systems and mechanisms in the PT Askrindo, performed three stages of ERM implementation phase, as follows:
Third phase of these activities can be described in more detail in the steps following the implementation of ERM as follows:
1) Identify all the risks associated
2) Designing risk criteria and sub criteria of risk
3) Designing a system of risk management controls and establish the Risk Owner
4) Undertake an assessment of residual risks with the Risk Owner
5) Prepare detailed activity is a significant risk for reduced
6) To report significant risks to the management and mitigation suggestions
7) Allocate resources to mitigate significant risks
8) Monitor the mitigation process and the development of significant risk mitigation.
9) Evaluate the risk management and analysis of risk mitigation activities
10) Develop risk management in the deal work (Key Performance Indicator (KPI))
If depicted in chart form, the steps ERM Implementation at PT Askrindo can be illustrated as follows:
Figure 2 ERM Implementation Steps
After preparing the implementation of ERM as above elements then the next step in managing the risks continuously in accordance with the framework set by the ERM-based computerized system.
ERM IMPLEMENTATION BASED BUSINESS GUARANTEE
ERM-based PT Askrindo can be said of the guarantee because there are some characteristics of the guarantee in the process of risk management among others:
1. In the process of determining the risk appetite and risk tolerance, the foundation that can be used is Risk Based Capital (RBC), gearing ratio, or the minimum solvency margin (less). The amount of claims that can be received by the company can be used as a basis to decide Risk Appetite and Risk Tolerance. Risk Appetite is the basis for determining adjusted to the capacity of firms in the maximum risk will occur and the ability to handle risk management and regulatory requirements and applicable regulations. PT Askrindo in determining the risk appetite to use the gearing ratio indicators in addition to considering the risk appetite of the Board Of Directors (BOD).
2. In the process of identifying and measuring risk, the risk-assessment is in comes from the underwriting business conducted by the entire work unit operations or production, so would have recorded the risks associated with the risk classification of business processes in the underwriting business. The result of this risk assessment would provide a signal that risk mitigation efforts are also based on underwriting and policy provisions and regulations that govern.
RISK MANAGEMENT COMPONENTS
Risk management conducted by PT Askrindo with COSO Framework has eight components that are interrelated. These parts are constructed of corporate governance that integrates with management processes.
Eight components of the COSO framework as in the picture below is integrated with strategy, operations, reporting systems, and compliance and the presence of various units involved in the process of corporate risk management at the head office or branch office. Election COSO framework by PT Askrindo the basis, among others, that the framework can accommodate the implementation of ERM to the branch office / SERVICES OFFICE. In developing and implementing ERM PT Askrindo conduct risk management processes such as the COSO framework as follows:
Figure 3 ERM Framework components COSO
i. Internal Environment
Internal environment that is conducive, supportive, and positively affect the company's working culture directly in view, and mitigate the risks, including risk management philosophy, risk tolerance, the values of integrity and ethics and environment.
ii. Targeting (target)
Setting objectives and targets, should be done by first considering the potential risks that negatively affect efforts to achieve goals / targets. Management will always set a business target in the corridors of corporate risk tolerance.
iii. Risk Identification
Management will identify the risks of internal and external that may affect the achievement of business objectives. Management always tries to position itself at a level that can easily distinguish between the risks and opportunities. Any chance of a successful arrest will be incorporated into the process of goal setting Company.
iv. Risk assessment
These risks are analyzed and considered the probability of occurrence (likelihood) and the potential impact of the loss (impact) as a reference to manage them. Risk is measured based approach inherent risk and residual risk.
v. Follow-up Risk
Management will set a follow-up and effective response to a risk. Spectral response of avoiding, accepting, reducing, or transferring risk. Response options will be influenced by a desire for tolerance and risk management and corporate.
vi. Control and Supervision of risk
A number of policies and guidelines established, defined and implemented to create a system of effective monitoring and control to facilitate risk management choose the response that effectively and efficiently.
vii. Reporting systems and risk management software
Various relevant information identified, captured, and communicated in the form of an informative, well structured and timely manner so that each organization can be responsible for carrying out their respective responsibilities in achieving corporate goals. This reporting system will be supported by computer-based information system using Web facilities. Management has a high priority to develop and have activities that are integrated, effective and connected online to all work units at headquarters and branch offices.
viii. Monitoring
Monitoring is important so that effectiveness can be known modifications and repairs needed on integrated enterprise risk management system. Monitoring is carried out through ongoing management activities, special evaluations, or both.
RISK IDENTIFICATION PROCESS
Identification of activities could be done with the approach through the list of past loss events that influence the future (loss event), the internal analysis, indicators of certain conditions, and the company's business process flow analysis. Risk Owner / Risk Contact Person who has been appointed from all risk taking units can be delivered / proposed a categorization of risk and incidence of new risks that have not been informed by the corporation to the Risk Management unit. In general the risk identification process in PT Askrindo described as follows:
Figure 4. Risk Identification Process
At the risk identification, PT Askrindo especially risk management unit conducted interviews with risk taking units with the help of the risk owner / risk contact person at the head office and branch office / SERVICES OFFICE. The results of this risk identification and inventory will be inputted in the system of risk management information.
Risk Classification
Classification of risk into risk management objectives in the implementation of the ERM can vary depending on the result of inherent risk assessment in the company. Classification of risk into risk management objectives in the ERM implementation PT Askrindo has its own characteristics, which in accordance with the results of risk assessment and product characteristics. Based on the risk assessment conducted by risk management unit of PT Askrindo, generally found the risks from the business process, business support activity and the external environment consists of:
a. Financial Risk
Namely fluctuations in the target company's financial or monetary measures since turmoil various macro variables may include policy changes, fluctuations in cash flow, market risk, product risk. Based on risk assessment, financial risk Askrindo which includes:
1. Risk Policy
2. Fluctuations Risk Cash Flow
3. Risk Reporting
4. Taxation Risk
5. Marketing Risks
6. Risk Product.
b. Operational Risk.
Is the potential deviation from expected results due to a system malfunction, human resources, technology or other factors. Operational risks can be caused by several factors such as: human resources (HR), the achievement of performance and regulatory compliance procedures and policies in the industry guarantee / insurance. Based on risk assessment, operational risks Askrindo include:
1. Human Resources (HR)
2. Achieving Performance
3. Compliance with Regulations and Procedures
4. Policies in the Industrial Risk Guarantee / Insurance.
c. Strategic Risk
Is a risk that can affect the exposure of corporate and strategic exposure as a result of strategic decisions that do not conform with changes in the external environment and internal operations. Strategic risk may be caused by investment companies, changes teknologi and information, decreasing the company's reputation, and not the company realize its strategic goal. Based on risk assessment, strategic risks PT Askrindo include:
1. Investment company
2. Changes in technology and information,
3. Decline in corporate reputation, and
4. Failure to achieve corporate strategic goals.
d. External Risk
Is the potential deviation results on corporate exposure and the potential strategic impact on the business closure due to state / external pressure. Which includes external risks PT Askrindo is the law and government policy changes.
RISK MEASUREMENT PROCEDURES.
In the process of risk measurement, the ERM-based implementation of the guarantee business will be obviously based on indicators that have relevance to the business of underwriting. Here's risk measurement process the guarantee business approach:
a. Measuring Risk Probability.
To measure the probability of risk can be used various statistical methods which are as follows:
(1) Risk Probability Poisson Method
(2) Binomial Approach
(3) Approximation Method
Used if not available past data that can be used to explore the possibilities of something happening of an accident. This method requires 3 (three) estimated the possibility (probability) of a risk to others and are formulated with a weighted average approach.
The third assessment of the results incorporated into the formula below to get the value of the probability of an event risk:
Probability = O+4M+P
6
Where,
O = Optimistic values, the highest value obtained.
M = The value of moderate or middle value.
P = Pessimistic value or lowest value.
(4) Comparative Method
Used if not available past data and other data that can be used to explore the possibilities of something happening of an accident. This method requires a comparison possibility (probability) of a risk that has ever happened in other places and similar and equal to the probability of risks facing companies today.
(5) Frequency Indication Method Approach.
To facilitate the filling of data / information on the probability of risk at the beginning of the process of risk identification activities can use the frequency approach. Following probability table using the frequency approach:
Table 2, requency indication
FREQUENCY INDICATION..
b. Impact Risk.
Impact of risk is a consideration of the quantitative assessment of the extent of loss (severity) that would be suffered by the company for an event risk.
Criteria risk impact is the total loss suffered in the aggregate or total of each risk event (loss of opportunities / or opportunity loss) of a category of risk the same.
The Magnitude of Risk Tolerance can be calculated on basis of :
• Scale of capital (risk-based capital)
• Scale business turnover (gearing ratio)
• Scale the minimum solvency margin requirements (less)
• Scale revenues (underwriting premiums)
• Scale operating costs (underwriting)
In determining risk appetite and risk tolerance in PT Askrindo, There are two ways to do that are:
1. Perception Board Of Directors of the company's risk. Based on interviews with the BOD results obtained a description and an indication that can be used as the basis for the preparation of risk appetite.
2. Of several indicators used in connection with the underwriting business, PT Askrindo has determined that the gearing ratio as an indicator approach to measuring the impact of risk. Method of calculating the impact of risk based on the gearing ratio is as:
Net equity based on financial statements (balance sheet) in 2009 was Rp. 1.011 trillion.
Outstanding value of the guarantee is USD. 12.426 trillion.
The gearing ratio of 10 times it was set with the assumption that the level of congestion or non-performance of credit guarantee (NPG) by 10% thus guaranteeing capacity to clean its own capital owned by PT Askrindo of Rp. 1.011 trillion is USD. 10.11 trillion.
In the year 2009 the value of collateral amounted to USD. 12.426 trillion, or have reached the gearing ratio = (IDR 12.426 trillion / USD. 1.011 trillion) = 12.29 times.
Values that do not guarantee in-bacServices Office with its own capital reserves or net is
= IDR. 12,29 trillion – IDR. 10,11 trillion
= IDR. 2,19 trillion
So that is not at risk with a bacServices Office with the assumption NPG 10% of the value of the guarantee amount to IDR. 2.19 trillion is IDR. 219 billion
or rounded IDR. 220 billion.
In 2009, underwriting income is IDR. 190 billion and underwriting expenses are IDR. 67 billion, resulting in net income was IDR 124 billion.
Risk level that will serve as the basis for calculating the impact of risk-based companies are gearing ratio
= Risk Level IDR. 220 billion – Net income IDR. 124 billion
= IDR. 96 billion
or rounded up to IDR. 100 billion. Interpretation of the IDR. 100 billion is that the company expected to experience critical or catastrophic situation if you have a loss of IDR. 100 billion.
Risk worth IDR. 100 billion is the maximum risk or a corporate catastrophic. Risk can be a risk of breakdown in risk-taking unit-level branches or units supporting management or performance based on the perception of premium revenue realization / STM unit at a certain period.
Based on the risk assessment conducted by risk management unit, the size of the impact of financial risk Askrindo at the corporate level there are five criteria by using the interval of the risk impact is as follows:
Measuring the impact of corporate financial risk-breakdown can be a financial risk at the branch level and Services Office based on perception management or performance of premium revenue realization / STM. Measuring the impact of financial risk Askrindo at Branch level and services office (in millions of rupiah) and the supporting units (supporting units) are as follows: adjust.
Impact of risk can also be stated in a matter of financial or non financial range.
The impact of financial risk, meaning that the impact of a risk can be measured in units of a particular currency, for example rupiah or dollars.
Furthermore, impact of financial risk can be separated into two, namely a direct financial impact and indirect financial impact.
Direct financial impact, is the size of a risk impact when viewed from the perspective of those risks actually occur, the impact would cause direct losses for companies of all USD / $. The count is measured in terms of direct costs incurred by the company.
Indirect financial impact, is a measure of the impact of risk if viewed from the perspective of those risks actually occurs, its impact will cause indirect losses for the company of so many USD / $ because there are activities that are missing / can not be done or the lost time / opportunity. The count is measured from the company's costs associated with the event such risks.
Besides measuring the impact of financial risk, PT Askrindo also measure the impact of non-financial risks in accordance with established risk classification of risk assessment results. Impact of non-financial risks, which means that the impact of these risks can not be measured in financial terms, for example: the impact on Strategy, Operations, Policy and Marketing and External.
The following are examples ofthe impact of non financial risk in PT Askrindo based on management perception of risk taking units involved and the opinion of experts in the field.
1. Risk Impact Investment Placement
Level Explanation Aspect
5 Very high /Catastrophic To an error in the placement of investment company that does not complies with rules / regulations, causing loss and can not be pulled placements principal investment company with a value ≥ IDR. 100 billion
4 High To an error in the placement of investment companies that do not comply to the rules / regulations, causing loss and can not be withdrawn principal investment placement firm with a value ≥ Idr. 80 billion and ≤ Idr. 100 billion.
3 Medium To an error in the placement of investment company that does not complies with rules / regulations, causing loss and can not be pulled placements principal investment company with a value ≥ Idr. 50 billion and ≤ Idr.80 billion
2 Low To an error in the placement of investment companies that do not comply to the rules / regulations causing kerugiandan placement can not be withdrawn principal investment company with a value ≥ Idr.. 5 billion and ≤ Idr 20 billion
1 Very Low To an error in the placement of investment companies that do not comply to the rules / regulations, causing loss and can not be withdrawn principal investment placement firm with a value with a value ≤ Idr.5 billion
2. Impact of Information and Technology Risk
Level Keterangan Aspek
5 Very High The existence of a significant disruption to the network / software / hardware is causing the affected company lawsuits because the service is closed (can not be served by ≥ 3 days).
4 High The presence of significant disruption to the network / software / hardware is causing the company incur a fine / penalty as the system can not run normally (can not be served two days but ≤ ≥ 3 days).
3 Medium The existence of a significant disruption to the network / software / hardware that causes the company to recover costs (can not be served ≥ a day but ≤ 2 days).
2 Low The existence of disruption to the network / software / hardware that caused the company lost some customers because not served (can not be served by ≥ 4 hours but ≤ 24 hours).
1 Very Low The existence of disruption to the network / software / hardware that caused the company to the customer service disrupted for several hours (≤ 4 hours).
3. Impact of Corporate Reputation Risk
Level Keterangan Aspek
5 Very High The existence of negative news in several print and electronic media about the news organization of underwriting and KUR, which causes the entire Customers do not want to use the services of the company.
4 High The existence of negative news in several print and electronic media about the news organization of underwriting and KUR, which causes most of the customers do not want to use a service company.
3 Medium The existence of negative news in several print and electronic media about the news organization of underwriting and KUR, causing a small portion Customers do not want to use the services of the company.
2 Low The existence of negative news in several print and electronic media concerning the implementation of the guarantee and KUR news cause the company to get a warning from a small portion Customer.
1 Very Low The existence of negative news in print and electronic media about the news organization of underwriting and KUR. Where the news has received confirmation from the company.
RISK TOLERANCE PROCEDURE
After setting the risk appetite as the beginning of measurement of risk, the risk must be evaluated and adjusted to the actual development of the risk perception of the management of risk tolerance that must be faced by the company. Risk tolerance which is inputted to have the procedure for determining tolerance (limit) the risk that can be described as follows:
Figure 5. Risk tolerance Determination Procedure
Factors that can be considered in determining the magnitude of risk tolerance are:
(1) Adequacy of the Reserve Fund Risk.
Magnitude of tolerance allocation is calculated based on the amount of reserves to cover the risk of loss if the worst scenario happens. One consideration that can be used is a risk reserve fund budget for the company based on the average ratio of the Minimum Solvency Margin (less/BTSM) or Risk-Based Capital in accordance with laws and regulations that apply.
The better the methodology and measurement system used, the better the resulting risk measurement, particularly in describing the real situation. Thus the allocation of reserves to be more proportionate to risk, not an excess or shortage.
(2) Business Performance .
Magnitude of tolerance can also be calculated based on the level of a certain percentage of one component in the company's financial statements. Example applications of this approach is by established risk tolerance percentage of the premium / Guarantee Fee (IJP) produced in accordance with laws and regulations that apply.
(3) Quality of Internal Control .
Internal Audit Unit in collaboration with other business units should ensure that the Risk Owner really know, understand and comply with the risk tolerance limits set by the BOD. Therefore, the Risk Management Unit are always developing information and reporting system whereby each holder of risk (Risk Owner) can easily measure their own risks that exist in their units respectively compared with the risk tolerance limits have been specified. In the event of violation of the limits of risk tolerance, it is necessary to consider the increase in the risk tolerance limits or risk reserve company. In the system the company had applied intrenal control system, so all the data / information on business processes related to risk management is already well managed.
(4) Ability to resolve problems of internal systems and business transactions .
The better ability to resolve any internal system problems and risks that occur, the lower the risk reserve funds allocated and lighter burden of the company. Conversely, the internal systems that are not effective in solving the problem then there are risks inherent in business processes that will lead to greater risk tolerance and the increasingly burdensome corporate risk reserve fund.
(5) Speed of companies responding to the threat of external .
Management companies need to create effective information systems and quickly so that they can anticipate with external changes that threaten the company. The faster the risk awarness built, the sooner the company carries out calculations to changes in existing risks and to know the adequacy and strength of a reserve fund. So that management can quickly anticipate all the surprises that happen, even when necessary to provide support in the form of a new risk reserve fund.
CONTROL AND SUPERVISION OF RISK.
Controlling risk is shared among units with the Risk Management Unit to ensure that the current risk management process in accordance with the goals and company needs. Risk control process carried out by considering several important aspects, such as:
a. A true risk data input, which is equiped with an accuracy of records and supporting data for every risk event.
b. Selection accuracy of risk measurement methods:
1. Probability of risk: in accordance with the approach used (Poisson, binomial approximation and comparison).
2. Impact of risk: the accuracy of calculations based on the financial impact or non-financial approach
c. Speed to take the decision to be approved (approval) for some risk event.
d. The accuracy of selecting risk mitigation and its application to reduce the level of probability and risk impact until it becomes an inherent risk.
Early stages of risk oversight is done by involving the Risk Owner of each work unit both operational and non operational (supporting unit). After the Risk Owner to fill an risk event, it must be approved (approve) by their respective superiors. The purpose of this activity is to ensure the truth of the data and information on risks and mitigation measures are appropriate to deal with risk events.
Risk Management Unit conducts a review of data accuracy and precision of the measurement method selection and relationship with other risk events.
RISK REPORTING
Risk reporting is done in various ways to facilitate the work of all units involved in the implementation of ERM. There are 3 (three) main types of risk management reports that will be applied at PT Askrindo namely:
1) The Report made any time through the corporate risk management information system integrated with the approach of information technology (software risk management), which have been proposed together.
2) Monthly report, presented by the Risk Management Unit in the form of risk register, suggestions, mitigation, risk transfer and risk mapping of the entire risk events.
3) Quarterly Report / quarter, which was presented by the Risk Management Unit. Form of risk register, risk mapping and risk mitigation and analysis of inherent risk.
MITIGATION OF RISK (RISK RESPONSE)
In general, PT Askrindo implement risk mitigation of the four types of risk management, adjusted for risk classification and into the impact of risk as follows:
a. Avoid risk, which means not implement or continue activities that pose a risk.
b. Share the Risk, ie a move to reduce the possibility of risk or Risk Impact. Activities that can be done among others through insurance, outsourcing, subcontracting, hedging transactions.
c. Reducing risk is to do actions / activities to reduce the potential risk if there is in terms of probability and / impact risk.
d. Accept the risk, ie. do not do anything to avoid it, share or reduce such risks.
Figure 6. Probability and Impact of Risk
RISK MONITORING.
The process of risk monitoring is done through various stages of activity, as illustrated in the chart of internal and external review process below. The risk monitoring process carried out by PT Askrindo through several stages, namely:
a. Determination of risk management strategies, in every step of the strategy chosen by the company must contain a risk. Therefore, each selection and development of alternative assessment strategies is needed concerning the risk to the company's decision.
b. Tolerance of risk, risk in the process of making manual so needed some form of restrictions on risk assessment, causes, effects and impact of risk. Risk tolerance should be considered every 2 (two) years or if there is an urgent situation that needs improvement.
c. . Strategy execution, is the first security measures undertaken by companies in response to input of each selection and development of alternative strategies.
Figure 7. Internal dan External Review Process
d. Operational execution, the execution of every step taken by the company's strategy required the input of operational security measures of any risks that might occured. Added information about the risks undertaken by the Risk Owner, which would then be reviewed by each work unit and guided by the Risk Management Unit. Operational safety measures this can be a reduction, decrease or avoidance of a risk or mitigation measures are called ordinary.
e. Control Systems, through an assessment of business performance can describe the achievement of the Company as well as costs in any operational activities. In practice each of these activities should already incorporate elements of provision against every possible risk. However, if is still happening is also a risk event, then the next control step is seeking mitigation measures. This control system is a continuous process and consistently implemented so as to achieve an inherent risk.
f. Risk preferences, a step the final part of the implementation of risk management activities. From some parts of the activities and steps that have been described above, then the risks will arise preferences prevailing in the corporate environment. Risk preference is of course from time to time will change and development, to be able to mediate between the needs of internal and external changes and the willingness of corporate existence in the present and future.
RISK MANAGEMENT INFORMATION SYSTEM
The data processing risks and the risk of making periodic reports to the BOD requires computer-based information systems. In the development of risk management information system in the form of Web-based application program made some initial steps namely;
The first step is to learn about the company wishes the purpose built software. In this step is to include any data that can be processed, how the process of data input, anyone who should be involved in the process of data input.
The second step is to create a basic framework of the program. Activities undertaken is to build the basic foundation (foundation) course, which consists of dimensional measurement and data grouping. Then create a program to process the data buffer, which consists of data types, data formats, the system of approval and the type of report. Thus, the roof of the building design courses in the form of output, such as risk management reporting system. If this process is described, it can be illustrated as shown below.
Figure 8 The Design of Risk Management Application Software
The third step is to test and socialization programs. Step test done to reduce the possibility of errors and lack of precision of risk management programs. Socialization program is done so that every Champion Risk / Risk Contact Person understand how the procedure opens the program, input the data / information risk events, attach the data / information necessary, process of risk events to be consolidated and use the program for purposes of evaluation / monitoring.
Risk management software purpose of making among others:
a. Accelerate the process of inputting and recording data / information. Manajemen Risk identification. In order for Champion Risk / Risk Contact Person faster in the risk of entering the data, then the required uniformity aids, and manual systems of information technology tools such as software.
b. Facilitate the measurement of probability and risk impact.
To uniform as well as providing tools to facilitate the work Risk Champion / Risk Contact Person and persons responsible Unit, then needed the same tools in the process of measuring the probability and risk impact.
c. Accelerating the cartography of risks, and make risk register.
The process of recording risk events that starts from the risk of data input, set the probability of risk to calculate the impact of risk, has been done through software. Therefore the risk of a data base that has been in the input will be mapped, and also in the record into a list of risks is called risk register.
d. Facilitate the process of recording risk mitigation through the risk register.
Risk register is a record of all information containing data / information about risk events complete with risk mitigation measures that will and already do, including the end result.
e. Integrating corporate risk.
That is an effort to manage all the risks that exist in the event organization, communicating in information technology to every working unit, thus achieving an integrated system of corporate control.
RISK MANAGEMENT ORGANIZATION
One of key to get a success in implementation of ERM is that there are organizations that manage risk management in an integrated risk management, involving the entire company from the BOD and all employees. Organization of risk management units are usually on par with best practice division, but if the size is very large and complex, enterprise risk management unit can be set at Directorate level.
Risk management unit of the Division level to be more effective and independent should be directly under the Main Director.
This is necessary so the risk management unit is positioned to avoid intervention from other Directors and can easily coordinate with cross-directorate. ERM organization can be determined by looking at the prevailing corporate culture.
ERM within the organization, there is an important organ of the organization that is known as Risk Owner Contact Person or Risk Owner. Understanding risk is all the vice owner of the work units that have been designated in all work units directly involved with the risks and act as a risk owner who is (as a real risk the Owner) of any transactions or activities that are done. Risk Owner act independently of the Risk Management Unit.
RISK MANAGEMENT ORGANIZATION STRUCTURE
ERM units harmony with other work units is indispensable and became one of the success key of implementation of ERM. It is necessary to establish in formal and informal relationships between business units and risk management unit. PT Askrindo has built an organizational structure chart of risk management related to other work units that describe the relationship between the Strategic Policy, Guidelines, Operational Procedures and Risk Management Information System Architecture as shown below.
Figure 9. Relationship Between Strategic Policy, guidelines, Operational Procedures and Risk Management Information System Architecture
By Mulyono
Rabu, Juni 30, 2010
Jumat, Juni 18, 2010
PENERAPAN ENTERPRISE RISK MANAGEMENT DALAM USAHA PENJAMINAN
PENDAHULUAN
Perkembangan industri jasa asuransi dan penjaminan di Indonesia dari tahun ke tahun terus meningkat dan telah memberikan kontribusi yang relatif besar terhadap perekonomian nasional. Jasa penjaminan di Indonesia masih dianggap sebagai industri jasa yang baru berkembang dan sebagai bagian dari jasa asuransi di Indonesia walaupun skim penjaminan kredit telah digunakan sejak tahun 1971. Dari sisi regulasi yang dikeluarkan pemerintah tentang usaha penjaminan saat ini masih ada keterkaitan antara usaha asuransi dan penjaminan walaupun regulasi usaha penjaminan pada tingkat Undang-Undang sedang dalam proses penyusunannya.
Usaha Penjaminan seperti halnya jasa Asuransi dikategorikan sebagai usaha yang berisiko dan produk utamanya adalah menjamin risiko dari kegagalan bayar nasabahnya (Terjamin) yang memanfaatkan jasa perbankan atau proyek dari pihak lain. Risiko usaha penjaminan diperkirakan lebih besar dibandingkan dengan usaha perbankan karena dalam usaha penjaminan melibatkan tiga pihak yaitu Penjamin, Penerima Jaminan dan Terjamin sementara usaha perbankan pada produk utamanya hanya melibatkan dua pihak yaitu kreditur dan debitur.
Lembaga penjaminan di Indonesia maupun di Asia yang menjalankan penjaminan kredit untuk medukung program pemerintah dalam pengembangan UMKM sebagian besar merugi karena berdasarkan data empiris dan secara nature penjaminan kredit UMKM ini memiliki tingkat kegagalan yang relatif tinggi. Disisi lain, lembaga penjaminan yang berbentuk Perseroan Terbatas (PT) di Indonesia dituntut tetap sustain (berkelanjutan) dan memberikan manfaat ekonomi kepada pemerintah dan perekonomian nasional. Strategi Lembaga Penjaminan dalam bentuk PT maupun Perusahaan Umum (Perum) agar tetap sustain adalah melakukan usaha diversifikasi usaha yang berorientasi profit dan mengelola risiko usaha penjaminan agar dapat mereduksi kerugian pada tingkat yang diterima oleh perusahaan.
Konsekuensi usaha penjaminan yang terdiri dari tiga pihak menuntut adanya pengelolaan risiko yang bersumber dari ketiga pihak terkait. Ketiga pihak tersebut memiliki potensi hazard yang dapat mempengaruhi besaran peluang munculnya risiko dan mempengaruhi pencapaian tujuan perusahaan. Pihak Penjamin selaku Lembaga Penjaminan yang memberikan penjaminan memiliki potensi hazard tersendiri yang dapat mempengaruhi pencapaian tujuan penjaminan (premi meningkat dan tingkat klaim rendah) seperti adanya praktek kolusi dan kelalaian dalam proses underwriting dan proses pendukung usaha lainnya. Begitu pula Penerima Jaminan (misal perbankan) dan Terjamin memiliki potensi hazard yang relatif tinggi yang dapat mempengaruhi pencapaian tujuan penjaminan kredit itu sendiri. Belum lagi bila ada potensi hazard dari pihak external yang berasal dari industri penjaminan dan regulator, sudah tentu pengelolan risiko menjadi demikian penting dan tidak dapat diabaikan peranannya.
Potensi hazard yang bersumber dari ketiga pihak yang terlibat dalam usaha penjaminan dapat memperbesar peluang timbulnya risiko di masa depan sehingga akan mempengaruhi kinerja usaha penjaminan. Pengelolaan risiko yang efektif dan efisien serta melibatkan seluruh komponen perusahaan mulai dari BOD, manajemen senior dan seluruh karyawan diperlukan agar kerugian yang timbul dalam usaha penjaminan kredit dapat dikendalikan dan dapat diterima oleh perusahaan.
Dalam industri usaha penjaminan di Indonesia, belum ada perusahaan/lembaga penjaminan yang melakukan pengelolaan risiko korporat yang berkarakteristik usaha penjaminan seperti halnya di perbankan. Walaupun sudah ada perusahaan asuransi di Indonesia yang menjalankan pengelolaan manajemen risiko namun masih menggunakan pendekatan manajemen risiko perbankan. Sungguh aneh jika di perbankan yang risikonya relatif lebih rendah dibandingkan dengan usaha penjaminan sudah memiliki suatu sistem penerapanan manajemen risiko korporat yang berdasarkan pada aturan Basel I dan II serta PBI, sedangkan lembaga penjaminan dalam menjalankan usaha penjaminan yang relatif lebih berisiko belum memiliki sistem penerapan manajemen risiko korporat.
Urgensi penerapan manajemen risiko korporat saat ini sudah merupakan tuntutan perusahaan untuk mengendalikan risiko penjaminan dan memenuhi tuntutan regulator terkait dengan penerapan tata kelola perusahaan yang baik (Good Corporate Governance (GCG)). Pengelolaan manajemen risiko korporat merupakan salah satu pilar penting penerapan GCG yang dapat memberikan peluang besar agar perusahaan dapat didorong untuk memenuhi seluruh aspek ketentuan dan peraturan internal maupun eksternal (comply) dengan memperhatikan risiko yang terindentifikasi dengan baik dari seluruh aspek bisnis dan pendukungnya.
Model penerapan ERM yang akan diuraikan berikut adalah diadopsi dari kasus penerapan ERM PT Asuransi Kredit Indonesia (PT Askrindo) yang menjalankan usaha penjaminan sekaligus usaha asuransi dengan framework COSO (Committe of Sponsoring Organization).
PT Asuransi Kredit Indonesia adalah suatu entitas bisnis di Indonesia yang unik dan mungkin satu-satunya di Indonesia yang dapat mengkolaborasi secara baik antara usaha berorientasi profit dengan berorientasi public service dalam bentuk usaha penjaminan dan asuransi. PT Askrindo dikatakan menjalankan usaha asuransi karena regulasi di Indonesia masih menganggap bahwa surety bond, customs bond, asuransi kredit perdagangan dan penjaminan kredit tergolong dalam usaha asuransi walaupun skim yang digunakan adalah skim penjaminan. Saat ini regulasi penjaminan masih pada tarap peraturan pemerintah atau keputuasan menteri keuangan sedangan regulasi setingkat Undang-Undang sedang dalam proses penyusunan. Disatu sisi PT Askrindo berusaha mendukung program pemerintah mengembangkan UMKM dengan karateristik usaha yang cenderung merugi, namun di sisi lain PT Askrindo dituntut untuk memperoleh profit dengan menjalankan usaha penjaminan dan asuransi dalam bentuk diversifikasi produk yang meliputi produk surety bond, customs bond, asuransi kredit perdagangan (Askredag) dan reasuransi. Demikian kompleks usaha yang dijalankan oleh PT Askrindo dan untuk memenuhi tuntutan regulator yang mewajibakan perusahaan BUMN memiliki unit manajemen risiko, PT Askrindo mulai taun 2010 harus dan sudah mulai menerapkan Enterprise Risk Management (ERM) dengan pendekatan kaidah-kaidah dan prinsip penjaminan dan asuransi.
FUNGSI DAN MANFAAT ERM
Penerapan ERM di perusahaan penjaminan memiliki fungsi dan manfaat sebagai berikut:
1. Peningkatan efektifitas organisasi
Adanya koordinasi yang lebih baik antara beberapa fungsi pengelolaan risiko serta meningkatkan ruang lingkup pengelolaan risiko (meningkatkan efisiensi proses pengelolaan risiko secara terintegrasi yaitu mencakup semua bisnis dan organisasi serta mencakup semua jenis risiko yang dihadapi). Pengelolaan risiko secara terintegrasi ini akan memperbesar peluang pencapaian tujuan perusahaan yang pada akhirnya akan meningkatkan value perusahaan.
2. Meningkatkan ketahanan Organisasi
Penerapan ERM akan memberikan perusahaan suatu langkah antisipasi/mitigasi risiko dalam menghadapi berbagai risiko yang akan dihadapi perusahaan (corporate risk) sehingga memberikan early warning system yang efektif dalam menghadapi keadaan yang tersulit bagi perusahaan.
3. Mendukung dan meningkatkan kualitas penerapan tata kelola perusahaan yang baik (Good Corporate Governance (GCG)). ERM adalah salah satu pilar penting dalam mendukung terciptanya GCG.
4. Adanya sinergi antara strategi perusahaan dan tingkat risiko yang diterima (Risk Appetite) untuk mencapai tujuan (improved outcomes).
5. Mendorong manajemen yang proaktif dan bukan reaktif.
6. Meningkatkan keselamatan dan pencegahan insiden
7. meningkatkan kepercayaan para pemangku kepentingan
Gambar 1. Hubungan ERM dengan GCG
FRAMEWORK ERM
Enterprise Risk Management (ERM) merupakan suatu proses yang melibatkan perusahaan, termasuk BOD, manajemen, dan seluruh karyawan Perusahaan dalam mengidentifikasi suatu kejadian atau potensi kejadian yang menimbulkan suatu dampak (kerugian) , mengelolanya secara komprehensif dalam besaran / ukuran yang dapat diterima oleh perusahaan, serta untuk memastikan pencapaian tujuan perusahaan. Di berbagai usaha ekonomi di dunia dikenal berbagai macam kerangka kerja penerapan ERM yang sesuai dengan sudut pandang pengelolaan risiko dan sosial budaya suatu bangsa. Model kerangka kerja ERM yang digunakan oleh berbagai industri sampai saat ini adalah BS, British Standarts – IRGC (BS6079-3) (2000), International Risk Governance Council (IRGC) 2004, COSO (Committee of Sponsoring Organizations), AS/NZ, Australia & New Zealand Standart (AS/NZS) 4360, ISO (International Standarts Organization) 31000 (2009). Perbedaan kerangka kerja ERM dapat dilihat pada tabel di bawah ini.
Pada kerangka kerja dari lima model diatas, ada persamaan pokok dari penerapan proses ERM yaitu meliputi kegiatan identifikasi risiko, pengukuran risiko, pemetaan risiko dan mitigasi risiko. Proses manajemen risiko yang pokok tersebut akan diaktualisasikan dan diimplikasikan oleh perusahaan sesuai dengan tujuan, ukuran perusahaan dan regulasi yang ditetapkan oleh pemerintah.
DASAR PEMILIHAN FRAMEWORK ERM
Berbagai macam framework ERM yang digunakan oleh perusahaan di berbagai sektor ekonomi memiliki karakteristik tersendiri dan dibangun atas dasar sudut pandang manajement dan sosial budaya setempat. Pemilihan framework ERM yang sesuai dengan best practise dimana perusahaan melakukan aktivitas usaha dapat didasarkan pada pertimbangan sebagai berikut:
1. Tujuan dan misi perusahaan
2. Kebutuhan organisasi dan karakteristik bisnis yang dijalankan
3. Tuntutan dan kebutuhan regulasi & ketentuan yang berlaku
4. Ukuran perusahaan (size of company) termasuk di dalamnya sumber daya yang tersedia dalam penerapan ERM
KUNCI KEBERHASILAN PENERAPAN ERM
Keberhasilan penerapan ERM sangat tergantung pada sumber daya manusia yang terlibat di dalam kegiatan ERM (effective by people). Kecanggihan sistem dan mekanisme penerapan ERM tidak akan menjamin bahwa tujuan perusahaan akan tercapai apabila tidak didukung oleh kualitas dan integritas sumber daya manusia perusahaan. Kunci utama keberhasilan dalam penerapan ERM adalah tergantung pada kualitas dan integritas sumber daya manusia. Keberhasilan penerapan ERM pada umumnya akan ditentukan oleh beberapa faktor penting yaitu:
1. Adanya komitmen dari Board of Director (BOD), Board of Commisioner (BOC) dan senior manajemen. Komitmen BOD merupakan faktor yang dominan untuk menentukan keberhasilan penerapan ERM karena ERM tidak akan dapat diterapkan jika BOD tidak mendukung sepenuhnya.
2. adanya kebijakan, sistem dan proses kontrol yang ditunjang dengan budaya risiko (risk culture) (perduli terhadap risiko) yang kuat.
3. Adanya kejelasan dalam penentuan risk appetite & risk tolerance sesuai dengan kemampuan perusahaan (clear limits on delegated authority)
4. Adanya komunikasi dan pembelajaran yang terus menerus
5. Adanya integrasi antara ERM ke dalam strategic planning, proses bisnis, penilaian karya/kinerja dan kompetensi (rewards system dikaitkan dengan risk based performance).
6. Adanya organisasi manajemen risiko yang permanen
7. Adanya akuntabilitas dan responsibilitas yang jelas (including clear ownership of risk)
Integritas dan kualitas SDM sangat menentukan keberhasilan penerapan ERM sehingga perlu dilakukan pendidikan dan pelatihan yang dapat meningkat Intelegencia Quotient (IQ), Emotional Quotient (EQ) dan Spritual Quotient (SQ) melalui pelatihan yang bersifat agamis dan motivasi etos kerja dan loyalitas karyawan terhadap perusahaan. Pelatihan sejenis tersebut harus dilakukan secara rutin dan periodik agar SDM selalu diberikan awareness atas andil integritas dan kapasitas SDM dalam mencapai tujuan perusahaan.
ELEMEN IMPLEMENTASI ERM
Dalam pembangunan ERM, ada 3 (tiga) elemen yang harus dibangun dan dipersiapkan agar penerapan ERM dapat berjalan secara efektif seperti pada gambar di bawah ini yaitu:
1. Framework (Risk Governance)
Pembangunan elemen framework yang harus harus dipersiapkan antara lian meliputi komitmen Direksi, budaya risiko dan kesadaran penerapan risiko, penetapan risk appetite dan risk tolerance, struktur dan fungsi organisasi dan kebijakan. Elemen framework ini merupakan elemen dasar yang menjadi penentu keberhasilan penerapan ERM yang semuanya tergantung pada kualitas dan integritas sumber daya manusia.
2. Infrastruktur
Implementasi ERM memerlukan sarana dan prasarana dalam memfasilitasi penerapan ERM di perusahaan. Infrastruktur yang diperlukan untuk menerapkan ERM adalah metodologi penerapan ERM, Teknologi terutama sistem informasi yang digunakan untuk mengolah data risiko, Prosedur ( SOP penerapan ERM dan Pedoman ERM) dan Sistem informasi yang dapat memberikan pelaporan ERM secara kontinue kepada manajemen.
Gambar 2. 3 Elemen Implementasi ERM
3. Proses
Penerapan ERM adalah suatu proses yang dilakukan secara terus menerus, terintegrasi dan melibatkan seluruh karyawan dalam mengelola risiko sehingga dapat memperbesar peluang pencapaian tujuan. Proses manajemen risiko yang pokok dilakukan dalam ERM adalah proses identifikasi, pengukuran, pemetaaan dan mitigasi risiko. Proses manajemen risiko lain yang tak kalah pentingnya adalah proses monitoring, komunikasi, pelaporan dan pengendalian manajemen risiko. Untuk melaksanakan proses manajemen risiko tersebut diperlukan suatu sistem dan sumber daya yang relatif cukup baik yang bersifat teknologi maupun manual.
ROAD MAP ERM
Rencana jangka panjang penerapan ERM harus ditetapkan oleh perusahaan agar perusahaan dapat memperoleh arah, strategi yang jelas dan target yang akan dicapai perusahaan pada periode tertentu. Rencana penerapan ERM dapat dijabarkan tiga tahunan atau lima tahunan dalam bentuk Road Map sesuai dengan kapasitas perusahaan dan perkiraan perubahan lingkungan. Kualitas perumusan rencana jangka panjang ERM menentukan perjalanan keberhasilan penerapan ERM perusahaan sehingga dalam perumusannya harus dipertimbangkan secara cermat dan matang berbagai aspek yang berkaitan dengan kapasitas perusahaan dan perubahan lingkungan internal dan eksternal selama periode Road Map. Tujuan akhir penerapan ERM pada rencana jangka panjang pertama dapat berupa penerapan ERM menjadi budaya risiko perusahaan dalam proses bisnis dan pendukungnya yang dapat meningkatkan value perusahaan.
PENERAPAN ERM DALAM USAHA PENJAMINAN
PT Askrindo sejak pertengahan tahun 2010 telah memiliki elemen implementasi ERM yang relatif lengkap dan jajaran manajemen termasuk BOD telah memberikan komitmen atas penerapan ERM di perusahaan. Disamping itu, PT Askrindo juga telah memiliki Risk Contact Person atau Risk Champion di seluruh unit kerja baik di kantor Pusat maupun Kantor Cabang untuk mendukung implementasi ERM dengan bantuan sistem informasi manajemen risiko berbasis Web.
Penerapan ERM di PT Askrindo yang bergerak pada usaha penjaminan merupakan perusahaan pioner yang menerapkan ERM dalam usaha penjaminan di Indonesia dan dapat dikatakan baru satu-satunya ERM berkarakteristik usaha penjaminan di Indonesia.
Konsep manajemen risiko yang diterapkan adalah berwawasan dan berprinsip pada manajemen risiko korporat terintegrasi. Manajemen risiko korporat terintegrasi adalah suatu proses pengelolaan risiko yang dimulai dari proses identifikasi, pengukuran, pemetaan, mitigasi dan evaluasi serta monitoring yang melibatkan manajemen perusahaan dalam proses penentuan strategi di seluruh unit kerja secara terintegrasi. Konsep manajemen risiko dirancang untuk mengidentifikasikan peristiwa-peristiwa (events) yang berpengaruh negatif bagi perusahaan dan mengelola risiko agar selalu berada di dalam batas toleransi manajemen risiko.
Dengan demikian manajemen selalu memiliki keyakinan yang memadai bahwa sasaran perusahaan akan dapat dicapai tanpa halangan dan ancaman yang signifikan.
Manajemen perusahaan akan meningkatkan seoptimal mungkin nilai perusahaan melalui:
• Penetapan strategi dan sasaran-sasaran yang menghasilkan keseimbangan optimal antara target pertumbuhan, keuntungan dan risiko-risiko inherennya.
• Pemanfaatan seluruh sumber daya yang tersedia secara efisien dan efektif untuk mencapai sasaran-sasaran perusahaan.
Untuk mencapai tujuan perusahaana di atas, manajemen membangun dan mengintegrasikan manajemen risiko ke dalam tata nilai dan proses bisnis dengan berpedoman kepada prinsip-prinsip dasar:
a. Penyelarasan antara toleransi risiko dengan strategi manajemen akan selalu memperhitungkan dan mempertimbangkan toleransi risiko perusahaan di dalam menetapkan berbagai alternatif strategi bisnis, target bisnis, dan pengembangan mekanisme pengelolaan risiko.
b. Secara berkelanjutan meningkatkan kualitas kesadaran atas suatu risiko dan menciptakan budaya risiko.
c. Mereduksi ke tingkat serendah mungkin kejutan-kejutan dan kerugian-kerugian yang bisa mempengaruhi keputusan operasional perusahaan.
d. Secara konsisten mengidentifikasi dan mengelola multi risiko serta risiko-risiko antar unit kerja. Perusahaan akan menghadapi berbagai bentuk risiko yang banyak, yang secara langsung maupun tidak langsung mempengaruhi berbagai kegiatan unit kerja dalam melakukan kegiatan operasional. Oleh karena itu, perusahaan mengaplikasikan manajemen risiko agar mampu memfasilitasi penentuan respon yang efektif atas dampak-dampak yang saling berkaitan dan penetapan respon-respon yang terintegrasi atas multi risiko.
e. Menangkap peluang dengan mengetahui berbagai risiko yang potensial, manajemen akan berada dalam posisi mudah mengidentifikasikan dan secara proaktif menangkap kemungkinan terjadinya risiko di perusahaan.
f. Meningkatkan kualitas dan efektifitas pemanfaatan sumber daya perusahaan dengan tersedianya beragam informasi risiko yang lengkap dan akurat akan membantu manajemen secara efektif mengukur kemungkinan risiko yang terkait dengan bisnis perusahaan.
TAHAPAN AWAL PENERAPAN MANAJEMEN RISIKO
Pada awal pembangunan sistem dan mekanisme ERM, tahapan penerapan ERM dilakukan 3 tahapan kegiatan seperti berikut:
Gambar 3. Tahapan Awal Penerapan Manajemen Risiko
Ketiga tahap kegiatan tersebut dapat dijabarkan lebih rinci dalam langkah-langkah penerapan ERM sebagai berikut berikut:
1) Mengidentifikasi semua risiko yang terkait
2) Merancang kriteria risiko dan sub kriteria risiko
3) Merancang sistem kontrol manajemen risiko dan membentuk Risk Owner
4) Melakukan asesmen terhadap risiko residual bersama Risk Owner
5) Menyusun detail kegiatan risiko yang signifikan untuk dikurangi
6) Melaporkan risiko signifikan kepada manajemen beserta saran mitigasinya
7) Mengalokasikan sumber daya untuk melakukan mitigasi risiko yang signifikan
8) Memantau proses mitigasi dan perkembangan mitigasi risiko signifikan.
9) Mengevaluasi pengelolaan risiko dan analisa hasil kegiatan mitigasi risiko
10) Menyusun pengelolaan risiko dalam kesepakatan karya (Key Performance Indicator (KPI))
Jika digambarkan dalam bentuk bagan, maka langkah-langkah Penerapan tersebut dapat diilustrasikan sebagai berikut:
Gambar 4. Langkah-Langkah Penerapan ERM
Setelah mempersiapkan elemen implementasi ERM seperti diatas maka langkah selajutnya melakukan pengelolaan risiko secara terus menerus sesuai dengan kerangka kerja ERM yang telah ditetapkan dengan berbasis sistem komputerisasi.
PENERAPAN ERM BERBASIS USAHA PENJAMINAN
Penerapan ERM berbasis usaha penjaminan pada dasarnya dapat dibedakan dengan berbasis perbankan dengan melihat beberapa faktor dalam proses manajemen risiko yaitu:
1. Pada proses penentuan risk appetite dan risk tolerance, dasar yang dapat digunakan adalah Risk Based Capital (RBC) atau Gearing ratio. Besaran nilai klaim yang dapat diterima oleh perusahaan juga dapat dijadikan dasar penetapan Risk Appetite dan Risk Tolerance. Dasar penentuan Risk Appetite ini disesuaikan dengan kapasitas perusahaan dalam menanggung risiko maksimal yang akan terjadi dan kemampuan manajemen dalam menangani risiko tersebut serta tuntutan regulasi dan ketentuan yang berlaku. Pada perusahaan asuransi juga diarahkan pada penggunan RBC sebagai dasar peneratap risk appetite, namun di Indonesia penerapan ERM pada perusahaan asuransi masih berbasis pada perbankan.
2. Pada proses identifikasi dan pengukuran risiko, seluruh risiko yang di-assesment berasal dari usaha penjaminan yang dilakukan oleh seluruh unit kerja operasional/produksi sehingga akan terekam risiko yang memiliki klasifikasi risiko yang terkait dengan proses bisnis dalam menjalankan usaha penjaminan. Hasil risk assesment ini akan memberikan suatu signal mitigasi risiko yang juga berbasis pada kebijakan usaha penjaminan dan ketentuan & regulasi yang mengaturnya.
Gambar 5. Ruang lingkup dan Cakupan ERM
KOMPONEN MANAJEMEN RISIKO
Manajemen risiko yang diterapkan oleh manajemen dengan framework COSO memiliki delapan komponen yang saling terkait. Komponen-komponen ini dibangun dari tata kelola perusahaan yang diintegrasikan dengan proses manajemen.
Delapan komponen pada framework COSO seperti pada gambar di bawah ini diintegrasikan dengan strategi, operasi, sistem pelaporan, dan kepatuhan serta keberadaan berbagai unit kerja yang terlibat dalam proses manajemen risiko korporat baik di kantor pusat maupun dikantor cabang.
Gambar 6. Komponen ERM Framework COSO
i. Lingkungan Internal
Lingkungan internal yang kondusif, suportif, dan positif akan mempengaruhi secara langsung budaya kerja perusahaan dalam melihat dan memitigasi suatu risiko, termasuk di dalamnya filosofi manajemen risiko, toleransi risiko, nilai-nilai integritas dan etika serta lingkungan kerja.
ii. Penetapan Sasaran (target)
Penetapan sasaran dan target bisnis harus dilakukan dengan terlebih dahulu memperhatikan risiko-risiko potensial yang mempengaruhi secara negatif upaya-upaya pencapaian sasaran/target. Manajemen akan selalu menetapkan target bisnis dalam koridor toleransi risiko perusahaan.
iii. Identifikasi Risiko
Manajemen akan mengidentifikasikan risiko-risiko internal dan eksternal yang dapat mempengaruhi usaha pencapaian sasaran. Manajemen selalu berupaya memposisikan diri pada suatu level sehingga dengan mudah dapat membedakan antara risiko dan peluang. Setiap peluang yang berhasil ditangkap akan dimasukan ke dalam proses penetapan sasaran Perusahaan.
iv. Penilaian risiko
Risiko-risiko dianalisis dan dipertimbangkan probabilitas terjadinya (likelihood) dan potensi dampak kerugiannya (impact) sebagai acuan mengelolanya. Risiko diukur berdasarkan pendekatan risiko inheren dan risiko residual.
Risiko inheren adalah risiko yang melekat pada setiap keputusan sebelum dilakukan perlakuan risiko.
Risiko residual adalah risiko yang masih ada setelah dilaksanakan perlakuan risiko.
v. Tindak Lanjut Risiko
Manajemen akan menetapkan tindak lanjut dan respon yang efektif terhadap suatu risiko. Spektrum respon menghindari, menerima, mereduksi, atau mentransfer risiko. Pilihan respon akan dipengaruhi oleh toleransi dan hasrat risiko manajemen dan perusahaan.
vi. Pengendalian dan Pengawasan risiko
Sejumlah kebijakan dan pedoman dibuat, ditetapkan dan diterapkan untuk menciptakan suatu sistem pengendalian dan pengawasan yang efektif sehingga memudahkan manajemen memilih respon risiko yang efektif dan efisien.
vii. Sistem pelaporan dan software manajemen risiko
Berbagai informasi yang relevan diidentifikasikan, ditangkap, dan dikomunikasikan dalam bentuk yang informatif, terstruktur dengan baik dan tepat waktu agar setiap penanggung jawab organisasi dapat melaksanakan tanggung jawabnya masing-masing di dalam mencapai sasaran perusahaan. Sistem pelaporan ini akan didukung dengan sistem informasi berbasis komputer dengan menggunakan fasilitas Web. Manajemen memiliki prioritas yang tinggi untuk mengembangkan dan memiliki kegiatan yang terintegrasi, efektif dan terhubung secara online ke seluruh unit kerja di kantor pusat dan kantor cabang.
viii. Pemantauan
Pemantauan adalah efektivitas yang penting sehingga dapat diketahui modifikasi dan perbaikan yang diperlukan pada sistem manajemen risiko korporat terintegrasi. Pemantauan dilaksanakan melalui aktivitas manajemen yang berkelanjutan, evaluasi khusus, atau keduanya.
PROSES IDENTIFIKASI RISIKO
Identifikasi aktivitas dapat dilakukan dengan pendekatan melalui daftar peristiwa kerugian masa lalu yang berpengaruh terhadap masa depan (loss event), analisis internal, indikator keadaan tertentu, dan analisis alur proses bisnis perusahaan. Risk Owner/Risk Contact Person dapat menyampaikan/ mengusulkan kejadian risiko dan kategorisasi risiko baru yang belum terinformasi secara korporasi kepada unit Manajemen Risiko. Secara umum proses pengidentifikasian risiko digambarkan sebagai berikut:
Gambar 7. Proses Identifikasi Risiko
Tindak lanjut kegiatan
Masukan dari Divisi, Cabang dan KUP
KLASIFIKASI RISIKO
Klasifikasi risiko yang menjadi sasaran pengelolaan risiko dalam penerapan ERM dapat bervariasi tergantung pada hasil risk assesment yang inherent dalam perusahaan. Secara umum dan teoritis seperti pada gambar di bawah ini, risiko diklasifikasikan menjadi dua kelompok besar yaitu risiko finansial dan risiko non finansial.
Gambar 8. Klasifikasi Risiko Secara Umum
Klasifikasi risiko yang menjadi sasaran pengelolaan risiko dalam penerarapan ERM PT Askrindo memiliki karakteristik tersendiri karena sesuai dengan hasil risk assesment dan karakteristik produk. Berdasarkan risk assesment yang dilakukan oleh unit manajemen risiko PT Askrindo, secara umum ditemukan risiko yang berasal dari proses bisnis, aktivitas pendukung usaha dan lingkungan eksternal terdiri dari:
a. Risiko Keuangan
Yaitu fluktuasi target keuangan atau ukuran moneter perusahaan karena gejolak berbagai variabel makro. Risiko keuangan dapat berupa perubahan kebijakan, fluktuasi arus kas, risiko pasar, risiko produk.
b. Risiko Operasional
Adalah potensi penyimpangan dari hasil yang diharapkan karena tidak berfungsinya suatu sistem, SDM, teknologi, atau faktor lain. Risiko operasional bisa disebabkan oleh beberapa faktor seperti: manusia (SDM), pencapaian kinerja, kepatuhan pada regulasi dan prosedur serta kebijakan dalam industri penjaminan/asuransi.
c. Risiko Strategis
Adalah risiko yang dapat mempengaruhi eksposur korporat dan eksposur strategis sebagai akibat keputusan strategis yang tidak sesuai dengan perubahan lingkungan eksternal dan internal usaha. Risiko strategis bisa disebabkan oleh investasi perusahaan, perubahan teknoligi dan informasi, turunnya reputasi perusahaan, dan tidak tercapainya sasaran strategis perusahaan.
d. Risiko Eksternal
Adalah potensi penyimpangan hasil pada eksposur korporat dan strategis yang berdampak pada potensi penutupan usaha akibat keadaan/tekanan eksternal. Yang termasuk risiko eksternal antara lain: hukum dan perubahan kebijakan Pemerintah.
PROSEDUR PENGUKURAN RISIKO
Dalam proses pengukuran risiko, penerapoan ERM berbasis usaha penjaminan akan terlihat jelas berdasarkan indikator yang memiliki relevansi dengan usaha penjaminan. Berikut proses pengukuran risiko dengan pendekatan usaha penjaminan:
a. Ukuran Probabilitas Risiko
Probabilitas adalah suatu penilaian kuantitatif terhadap kemungkinan peluang terjadinya suatu peristiwa risiko. Dengan menggunakan analisa statistik metoda poisson, dapat diperoleh tingkat probabilitas sebagai berikut:
(1) Probabilitas Risiko Metode Poisson
Distribusi Poisson berhubungan dengan distribusi dari kejadian-kejadian dalam suatu waktu tertentu. Syarat dari metode Poisson antara lain:
• Ada data historis tentan peristiwa yang terjadi di suatu lokasi
• Data dalam bentuk diskrit
• Ada data periode waktu ke depan yang ditetapkan Jam/hari/minggu/bulan/tahun)
Formula Distribusi Poisson adalah sebagai berikut:
Dimana,
P (x) = kemungkinan terjadinya peristiwa x
μ = rata-rata kejadian dalam periode tertentu
е = 2,718
x! = faktorial dari x
(2) Distribusi Binomial
Adalah banyaknya sukses x dalam n usaha suatu percobaan binomial disebut suatu perubahan acak binomial. Distribusi peluang perubahan acak binomial x disebut distribusi Binomial dan dinyatakan dengan b (x;n,p).
Syarat distribusi binomial yaitu:
• Ada data historis tentan peristiwa yang terjadi di suatu lokasi
• Data dalam bentuk diskrit
• Ada data historis probabilitas berhasil dan gagal
Distribusi binomial dihitung dengan menggunakan formula:
Dimana:
x = Jumlah kejadian
n = banyaknya sampel data
N = banyaknya populasi data
p = peluang sukses dalam suatu usaha
1-p = peluang terjadinya suatu kegagalan dalam suatu usaha
(3) Metode Aproksimasi
Digunakan apabila tidak tersedia data masa lalu yang dapat digunakan untuk mengetahui kemungkinan terjadinya sesuatu kejadian. Metode ini memerlukan 3 (tiga) perkiraan kemungkinan (probabilitas) dari suatu risiko kepada orang lain dan diformulasikan dengan pendekatan rata-rata tertimbang.
Adapun ketiga nilai kemungkinan tersebut diperoleh dari:
• Atasan, supervisor atau manajer yang mengerti tentang peristiwa risiko yang diangkat.
• Karyawan di unit lain yang terkait dengan peristiwa risiko tersebut.
• Karyawan yang terkait langsung dengan peristiwa risiko tersebut, misal karyawan yang menggunakan peralatan yang rusak.
Hasil penilaian ketiga orang dimasukkan ke dalam formula di bawah ini untuk mendapatkan nilai probabilitas suatu peristiwa risiko:
Dimana,
O = Nilai optimis, nilai tertinggi yang diperoleh.
M = Nilai moderat atau nilai tengah.
P = Nilai pesimis atau nilai terendah.
(4) Metode Pembanding
Digunakan apabila tidak tersedia data masa lalu dan data lainnya yang dapat digunakan untuk mengetahui kemungkinan terjadinya sesuatu kejadian. Metode ini memerlukan pembanding kemungkinan (probabilitas) dari suatu risiko yang pernah terjadi di tempat lain dan yang sejenis serta setara dengan probabilitas risiko yang tengah dihadapi perusahaan saat ini.
(5) Metoda Pendekatan Indikasi Frekuensi
Untuk memudahkan pengisian data/informasi probabilitas risiko pada awal kegiatan proses identifikasi risiko dapat menggunakan pendekatan frekuensi. Berikut tabel probabilitas dengan menggunakan pendekatan frekuensi:
b. Dampak Risiko
Dampak risiko adalah suatu pertimbangan penilaian kuantitatif terhadap besarnya kerugian (severity) yang akan diderita perusahaan atas suatu peristiwa risiko.
Kriteria dampak risiko adalah total kerugian yang diderita secara agregat atau total masing-masing peristiwa risiko (hilangya peluang/opportunity loss) dari suatu kategori risiko yang sama.
Besarnya toleransi risiko dapat dihitung atas dasar:
• Skala kapital (risk based capital)
• Skala perputaran usaha (gearing ratio)
• Skala kebutuhan solvabilitas minimum (BTSM)
• Skala pendapatan (premi penjaminan)
• Skala biaya operasional (underwriting)
Dimana masing-masing pendekatan ini merupakan pilihan, akan tetapi skalanya tetap dibuat konsisten antara 1 sampai dengan 5
Dampak risiko juga dapat dinyatakan dalam hitungan rentang keuangan atau non keuangan.
Dampak risiko keuangan, artinya dampak suatu risiko dapat diukur dalam satuan mata uang tertentu, misalnya rupiah atau dollar.
Dampak risiko non keuangan, artinya dampak risiko tersebut tidak dapat diukur dari sisi keuangan saja, misalnya: dampak terhadap Strategi, Operasional, Kebijakan dan Pemasaran serta Eksternal.
Selanjutnya dampak risiko keuangan dapat dipilah menjadi dua, yaitu dampak keuangan langsung dan dampak keuangan tidak langsung.
Dampak keuangan langsung, adalah ukuran suatu dampak risiko dilihat dari sudut pandang jika risiko tersebut benar-benar terjadi maka dampaknya akan menyebabkan kerugian langsung bagi perusahaan sebesar sekian Rp/$. Hitungannya diukur dari sisi biaya langsung yang harus dikeluarkan oleh perusahaan.
Dampak keuangan tidak langsung, adalah ukuran suatu dampak risiko dilihat dari sudut pandang jika risiko tersebut benar-benar terjadi maka dampaknya akan menyebabkan kerugian tidak langsung bagi perusahaan sebesar sekian Rp/$ karena ada kegiatan yang hilang/tidak bisa dilaksanakan atau hilangnya waktu/kesempatan. Hitungannya diukur dari sisi biaya yang harus dikeluarkan perusahaan terkait dengan peristiwa risiko tersebut.
PROSEDUR TOLERANSI RISIKO
Prosedur penetapan toleransi (batasan) risiko dapat digambarkan sebagai berikut:
Gambar 9. Prosedur Penetapan Tolerasi Risiko
Faktor yang menjadi pertimbangan dalam menetapkan besaran toleransi risiko
(1) Kecukupan Dana Cadangan Risiko
Besaran toleransi dihitung berdasarkan besaran alokasi cadangan untuk menanggung kerugian apabila skenario terburuk risiko terjadi. Salah satu pertimbangan yang dapat digunakan adalah menganggarkan dana cadangan risiko perusahaan berdasarkan rata-rata rasio Batas Tingkat Solvabilitas Minimum (BTSM) atau Risk Based Capital sesuai ketentuan dan regulasi yang berlaku.
Semakin baik metodologi dan sistem pengukuran yang dipergunakan, maka semakin baik pula pengukuran risiko yang dihasilkannya khususnya dalam menggambarkan situasi sesungguhnya. Dengan demikian alokasi cadangan untuk menanggung risiko akan lebih proporsional, tidak berlebih atau kekurangan.
(2) Kinerja Usaha
Besaran toleransi juga dapat dihitung berdasarkan tingkat prosentase tertentu dari salah satu komponen pada laporan keuangan perusahaan. Contoh aplikasi pendekatan ini adalah dengan ditetapkannya persentase toleransi risiko dari premi/Imbal Jasa Penjaminan (IJP) yang dihasilkan sesuai ketentuan dan regulasi yang berlaku.
(3) Kualitas Pengawasan Internal
Satuan Pengawasan Internal bekerjasama dengan unit kerja lainnya harus memastikan Risk Owner benar-benar mengetahui, memahami, dan mematuhi batasan toleransi risiko yang telah ditetapkan oleh BOD. Oleh karena itu Unit Manajemen Risiko selalu mengembangkan sistem informasi dan pelaporan dimana setiap pemilik risiko (Risk Owner) dapat dengan mudah mengukur sendiri risiko yang ada di unitnya masing-masing dibandingkan dengan batas toleransi risiko yang telah ditetapkan. Apabila terjadi pelanggaran terhadap batas toleransi risiko, maka perlu dipertimbangkan kenaikan batasan toleransi risiko atau cadangan risiko perusahaan. Secara sistem perusahaan sudah menerapkan sistem pengendalian intrenal, sehingga semua data/informasi mengenai proses bisnis yang terkait dengan manajemen risiko sebenarnya sudah dikelola dengan baik.
(4) Kemampuan sistem internal menyelesaikan permasalahan dan transaksi bisnis
Semakin baik kemampuan sistem internal menyelesaikan setiap permasalahan dan risiko yang terjadi, maka semakin rendah dana cadangan risiko yang dialokasikan dan semakin ringan beban perusahaan. Sebaliknya, sistem internal yang tidak efektif dalam menyelesaikan permasalahan maka risiko-risiko inherent ada pada proses bisnis yang akan mengakibatkan toleransi risiko semakin besar dan semakin membebani dana cadangan risiko perusahaan.
(5) Kecepatan perusahaan merespon adanya ancaman dari eksternal
Manajemen perusahaan perlu menciptakan sistem informasi yang efektif dan cepat sehingga dapat mengantisipasi dengan perubahan eksternal yang mengancam perusahaan. Semakin cepat risk awarness dibangun, semakin cepat pula perusahaan melakukan perhitungan terhadap perubahan risiko yang ada dan mampu mengetahui kecukupan dan kekuatan dana cadangan. Sehingga manajemen dapat dengan cepat mengantisipasi segala kejutan-kejutan yang terjadi, bahkan bila diperlukan akan memberikan dukungan dalam bentuk dana cadangan risiko baru.
SEBAB, AKIBAT DAN DAMPAK RISIKO NON KEUANGAN
a. Sebab Risiko
Sebab risiko adalah faktor yang menimbulkan terjadinya suatu peristiwa risiko, biasanya dapat dicari dengan menggunakan pendekatan 6 M
• Man (manusia)
• Machine (mesin)
• Method (metoda kerja)
• Money (uang)
• Material (sumber daya perusahan lain yang mendukung pekerjaan)
• Market (pasar)
• Eksternal
Sebab risiko sebenarnya secara logika dapat dicari dengan menggunakan metoda diagram tulang ikan (fish bone method)
b. Akibat Risiko
Adalah dampak yang disebabkan oleh terjadinya suatu peristiwa risiko, misalnya akibat ketidakpatuhan manusia terhadap ketentuan yang berlaku maka akibat risikonya adalah terjadinya penyimpangan kerja yang bisa berkahir pada suatu dampak terhadap regulasi/hukum yang berlaku.
c. Dampak Risiko Non Keuangan
Adalah akibat dari suatu peristiwa risiko yang menyebabkan terjadinya penyimpangan atau gagalnya suatu proses kerja sehingga tidak tercapainya tujuan perusahaan. Dampak risiko non keuangan seringkali susah untuk diterjemahkan secara kuantitatif, namun untuk memudahkannya dampak risiko non keuangan dibagi sebagai berikut:
• Strategik
o Penempatan Investasi
o Hasil Pengembangan Investasi
o Informasi dan Teknologi
o Reputasi
o Pencapaian Sasaran Strategi Perusahaan
• Operasional
o Kehilangan Tenaga Ahli
o Motivasi Karyawan
o Pencapaian Kinerja (RKAP)
o Kepatuhan terhadap Regulasi Umum
o Kepatuhan terhadap Regulasi Khusus
o Penyampaian Laporan STOA
• Kebijakan dan Pemasaran
o Kebijakan Internal
o Kebijakan Limit Penutupan
o Pengembangan Produk dan Wilayah Baru
o Pengembangan Produk Yang Merugikan
• Eksternal
o Hukum dan Finansial
o Hukum non Finansial
o Perubahan Kebijakan Pemerintah
PENGENDALIAN DAN PENGAWASAN RISIKO
Pengendalian risiko dilakukan bersama-sama antar unit kerja dengan Unit Manajemen Risiko. Proses pengendalian risiko dilakukan dengan memperhatikan beberapa aspek penting, seperti:
a. Kebenaran Input data risiko, yang dilengkapi dengan akurasi catatan dan data pendukung setiap peristiwa risiko.
b. Akurasi pemilihan metoda pengukuran risiko
i. Probabilitas risiko: sesuai dengan pendekatan yang digunakan (poisson, binomial, aproksimasi dan pembanding).
ii. Dampak risiko: sesuai ketepatan perhitungan dampak keuangan atau pendekatan non keuangan
c. Kecepatan mengambil keputusan untuk menyetujui (approve) suatu peristiwa risiko.
d. Ketepatan memilih mitigasi risiko untuk mengurangi tingkat probabilitas dan dampak risiko sampai menjadi risiko yang inherent.
Pengawasan risiko tahap awal dilakukan dengan melibatkan Risk Owner dari setiap unit kerja baik operasional maupun non operasional. Setelah Risk Owner mengisi suatu peristiwa risiko, maka harus disetujui (approve) oleh para atasannya masing-masing. Tujuan dari kegiatan ini adalah untuk memastikan kebenaran data dan informasi risiko dan langkah-langkah mitigasi yang tepat untuk mengatasi peristiwa risiko tersebut.
Unit Manajemen Risiko melakukan kaji ulang terhadap keakurasian data dan ketepatan pemilihan metoda pengukuran serta keterkaitan dengan peristiwa risiko lainnya.
PELAPORAN RISIKO
Pelaporan risiko dilakukan dengan berbagai cara untuk memudahkan semua unit kerja yang terkait dalam penerapan ERMi. Ada 4 (empat) jenis laporan manajemen risiko antara lain:
1) Laporan setiap waktu, melalui sistem informasi manajemen risiko korporat terintegrasi dengan pendekatan teknologi informasi (software manajemen risiko), yang sudah dicanangkan bersama.
2) Laporan bulanan, yang disajikan oleh Unit Manajemen Risiko berupa risk register , saran mitigasi, peta risiko dan mutasi risiko dari seluruh peristiwa risiko.
3) Laporan triwulanan/kuartal, yang disajikan oleh Unit Manajemen Risiko. Berupa risk register, peta risiko dan mitigasi risiko serta analisa risiko inherent.
MITIGASI RISIKO (RISK RESPONSE)
Secara umum, perlakuan terhadap suatu risiko dapat berupa salah satu dari 4 jenis pengelolaan risiko berikut:
a. Menghindari risiko, yang berarti tidak melaksanakan atau meneruskan kegiatan yang menimbulkan risiko
b. Berbagi risiko, yaitu suatu tindakan untuk mengurangi kemungkinan timbulnya risiko atau dampak risiko. Kegiatan yang dapat dilakukanantara lain melalui: asuransi, outsourcing, subcontracting, lindung nilai transaksi.
c. Pengurangan risiko, yaitu melakukan tindakan/kegiatan untuk mengurangi kemungkinan timbulnya risiko bila terjadi dalam bentuk probabilitas dan/ dampak risiko.
d. Menerima risiko, yaitu tidak melakukan apapun untuk menghindar, berbagi atau mengurangi risiko tersebut.
Gambar 10. Probabilitas Dan Dampak Risiko
PEMANTAUAN RISIKO
Proses pemantauan risiko dilakukan melalui berbagai tahap kegiatan, seperti tergambar dalam bagan proses review internal dan eksternal dibawah ini. Adapun proses pemantauan risiko dilakukan melalui tahap:
a. Penetapan strategi manajemen risiko, dalam setiap langkah strategi yang dipilih oleh perusahaan tentu mengandung suatu risiko. Oleh sebab itu setiap pemilihan dan pengembangan alternatif strategi diperlukan kajian yang menyangkut risiko terhadap keputusan perusahaan.
b. Toleransi risiko, didalam proses pembuatan manual risiko maka diperlukan suatu kajian berupa batasan tentang risiko, sebab, akibat dan dampak risiko. Toleransi risiko perlu dipertimbangkan setiap 2 (dua) tahun sekali atau jika ada keadaan yang mendesak sehingga memerlukan perbaikan.
c. Eksekusi strategi, merupakan langkah pengamanan pertama yang dilakukan oleh perusahaan dalam menanggapi masukan terhadap setiap pemilihan dan pengembangan alternatif strategi.
Gambar 11. Proses Review Internal dan Eksternal
d. Eksekusi operasional, dalam pelaksanaan setiap langkah strategi yang dilakukan oleh perusahaan diperlukan input mengenai langkah-langkah pengamanan operasional dari setiap risiko yang mungkin terjadi. Input informasi mengenai risiko tersebut dilakukan oleh Risk Owner, yang selanjutnya akan dikaji oleh masing-masing unit kerja dan dipandu oleh Unit Manajemen Risiko. Langkah pengamanan operasional ini dapat berupa pengurangan, penurunan atau penghindaran terhadap suatu risiko atau biasa dinamakan tindakan mitigasi.
e. Sistem Pengendalian, melalui suatu penilaian kinerja (business performance) Perusahaan dapat mengetahui besaran pencapaian maupun biaya yang harus dikeluarkan di dalam setiap kegiatan operasional. Dalam prakteknya setiap kegiatan tersebut seharusnya sudah memasukan unsur pencadangan terhadap setiap risiko yang mungkin terjadi. Namun demikian apabila masih terjadi juga suatu peristiwa risiko, maka langkah pengendalian selanjutnya adalah mengupayakan tindakan mitigasi. Sistem pengendalian ini merupakan suatu proses yang berkesinambungan dan dilakukan secara konsisten sehingga mencapai suatu risiko yang inherent.
f. Preferensi Risiko, merupakan langkah bagian akhir dari pelaksanaan kegiatan manajemen risiko. Dari beberapa bagian kegiatan dan langkah-langkah yang telah dijelaskan diatas, maka akan timbul preferensi risiko yang berlaku di lingkungan perusahaan. Preferensi risiko ini tentunya dari waktu ke waktu akan terus mengalami perubahan dan pengembangan, agar mampu menjembatani antara kebutuhan internal dan perubahan serta kemauan eksternal terhadap keberadaan perusahaan pada saat ini dan masa mendatang.
SISTEM INFORMASI MANAJEMEN RISIKO
Pengolahan data risiko dan pembuatan laporan risiko secara periodik kepada BOD memerlukan sistem informasi berbasis komputer. Dalam pembangunan sistem informasi manajemen risiko dalam bentuk program aplikasi berbasis Web dilakukan beberapa langkah awal yaitu;
Langkah pertama yang dilakukan adalah mempelajari keinginan perusahaan tentang tujuan dibuatnya software tersebut. Didalam langkah ini termasuk diantaranya adalah apa saja data yang bisa diolah, bagaimana proses penginputan data, siapa saja yang sebaiknya dilibatkan dalam proses penginputan data.
Langkah kedua, membuat kerangka dasar program. Kegiatan yang dilakukan adalah membangun sendi dasar (pondasi) program,yang terdiri dari dimensi pengukuran dan pengelompokkan data. Kemudian membuat penyangga program untuk memproses data, yang terdiri dari: jenis data, format data, sistem approval dan jenis laporan. Berikutnya adalah membangun atap dari rancang bangun program dalam bentuk output, berupa sistem pelaporan manajemen risiko. Jika proses ini digambarkan maka dapat diilustrasikan seperti pada gambar di bawah ini.
Gambar 12. Rancang bangun software manajemen Risiko
Langkah ketiga, adalah melakukan uji coba dan sosialisasi program. Langkah uji coba dilakukan untuk mengurangi berbagai kemungkinan kesalahan dan kekurang-tepatan program manajemen risiko. Sosialisasi program dilakukan agar setiap Risk Champion/Risk Contact Person memahami bagaimana prosedur membuka program, menginput data/informasi peristiwa risiko, melampirkan data/informasi yang diperlukan, mengolah peristiwa risiko hingga menjadi laporan dan memanfaatkan program untuk keperluan evaluasi/monitoring.
Tujuan pembuatan software manajemen risiko antara lain:
a. Mempercepat proses penginputan dan perekaman data/informasi identifikasi Manajeme Risiko. Agar Risk Champion/Risk Contact Person lebih cepat dalam memasukkan data risiko, maka diperlukan keseragaman alat bantu berupa sistem manual dan sarana teknologi informasi dalam bentuk software.
b. Memudahkan pengukuran probabilitas dan dampak risiko
Untuk menyeragamkan sekaligus menyediakan alat bantu guna memudahkan pekerjaan Risk Champion/Risk Contact Person dan para penanggungjawab Unit Kerja, maka diperlukan alat yang sama dalam proses mengukur probabilitas dan dampak risiko.
c. Mempercepat penggambaran peta risiko,dan membuat risk register
Proses pencatatan peristiwa risiko yang dimulai dari input data risiko, menetapkan probabilitas risiko sampai menghitung dampak risiko, telah dilakukan melalui software. Oleh karena itu data base risiko yang sudah di input akan dipetakan, dan juga di catat kedalam suatu daftar risiko yang disebut sebagai risk register.
d. Memudahkan proses pencatatan mitigasi risiko melalui risk register.
Risk register merupakan catatan semua informasi yang berisi data/informasi tentang peristiwa risiko lengkap dengan langkah-langkah mitigasi risiko yang akan dan sudah dilakukan, termasuk hasil akhirnya.
e. Mengintegrasikan risiko secara korporat.
Yaitu upaya mengelola semua peristiwa risiko yang ada dalam organisasi, mengkomunikasinya dalam sarana teknologi informasi kepada setiap Unit Kerja, sehingga tercapainya sistem pengendalian korporat yang terintegrasi.
ORGANISASI MANAJEMEN RISIKO
Salah satu kunci keberhasilan penerapan ERM adalah ada organisasi manajemen risiko yang memanage pengelolaan risiko secara terintegrasi yang melibatkan seluruh komponen perusahaan mulai dari BOD dan seluruh karyawan. Organisasi unit manajemen risiko secara best practice biasanya setingkat dengan divisi, namun apabila ukuran perusahaan sangat besar dan kompleks maka unit manajemen risiko dapat setingkat Direktorat.
Unit manajemen risiko setingkat Divisi agar lebih efektif dan independen selayaknya berada langsung di bawah Direktur Utama. Hal ini perlu unit manajemen risiko diposisikan demikian untuk menghindari intervensi dari direktur lainnya dan bisa melakukan koordinasi dengan mudah secara lintas direktorat.
Peranan dan tanggung jawab organisasi ERM secara umum dapat dilihat pada bagan di bawah ini.
Gambar 13. Peranan dan Tanggung Jawab Organisasi ERM
Dalam organisasi ERM, ada organ organisasi yang penting yaitu dkenal sebagai Risk Contact Person atau Risk Owner atau Risk Champion. Pengertian Risk Owner adalah seluruh wakil dari unit kerja yang telah ditunjuk yang ada di seluruh unit kerja yang terlibat secara langsung dengan risiko dan bertindak sebagai pemilik risiko yang sesungguhnya (real Risk Owner) dari setiap transaksi ataupun kegiatan yang dilakukannya. Risk Owner bertindak independen terhadap Unit Manajemen Risiko.
STRUKTUR ORGANISASI MANAJEMEN RISIKO
Bagan berikut menggambarkan hubungan antara Kebijakan Strategis, Pedoman, Prosedur Operasi dan Arsitektur Sistem Informasi Manajemen Risiko
Gambar 14. Hubungan Antara Kebijakan Strategis, pedoman, Prosedur Operasi dan Arsitektur Sistem Informasi Manajemen Risiko
Perkembangan industri jasa asuransi dan penjaminan di Indonesia dari tahun ke tahun terus meningkat dan telah memberikan kontribusi yang relatif besar terhadap perekonomian nasional. Jasa penjaminan di Indonesia masih dianggap sebagai industri jasa yang baru berkembang dan sebagai bagian dari jasa asuransi di Indonesia walaupun skim penjaminan kredit telah digunakan sejak tahun 1971. Dari sisi regulasi yang dikeluarkan pemerintah tentang usaha penjaminan saat ini masih ada keterkaitan antara usaha asuransi dan penjaminan walaupun regulasi usaha penjaminan pada tingkat Undang-Undang sedang dalam proses penyusunannya.
Usaha Penjaminan seperti halnya jasa Asuransi dikategorikan sebagai usaha yang berisiko dan produk utamanya adalah menjamin risiko dari kegagalan bayar nasabahnya (Terjamin) yang memanfaatkan jasa perbankan atau proyek dari pihak lain. Risiko usaha penjaminan diperkirakan lebih besar dibandingkan dengan usaha perbankan karena dalam usaha penjaminan melibatkan tiga pihak yaitu Penjamin, Penerima Jaminan dan Terjamin sementara usaha perbankan pada produk utamanya hanya melibatkan dua pihak yaitu kreditur dan debitur.
Lembaga penjaminan di Indonesia maupun di Asia yang menjalankan penjaminan kredit untuk medukung program pemerintah dalam pengembangan UMKM sebagian besar merugi karena berdasarkan data empiris dan secara nature penjaminan kredit UMKM ini memiliki tingkat kegagalan yang relatif tinggi. Disisi lain, lembaga penjaminan yang berbentuk Perseroan Terbatas (PT) di Indonesia dituntut tetap sustain (berkelanjutan) dan memberikan manfaat ekonomi kepada pemerintah dan perekonomian nasional. Strategi Lembaga Penjaminan dalam bentuk PT maupun Perusahaan Umum (Perum) agar tetap sustain adalah melakukan usaha diversifikasi usaha yang berorientasi profit dan mengelola risiko usaha penjaminan agar dapat mereduksi kerugian pada tingkat yang diterima oleh perusahaan.
Konsekuensi usaha penjaminan yang terdiri dari tiga pihak menuntut adanya pengelolaan risiko yang bersumber dari ketiga pihak terkait. Ketiga pihak tersebut memiliki potensi hazard yang dapat mempengaruhi besaran peluang munculnya risiko dan mempengaruhi pencapaian tujuan perusahaan. Pihak Penjamin selaku Lembaga Penjaminan yang memberikan penjaminan memiliki potensi hazard tersendiri yang dapat mempengaruhi pencapaian tujuan penjaminan (premi meningkat dan tingkat klaim rendah) seperti adanya praktek kolusi dan kelalaian dalam proses underwriting dan proses pendukung usaha lainnya. Begitu pula Penerima Jaminan (misal perbankan) dan Terjamin memiliki potensi hazard yang relatif tinggi yang dapat mempengaruhi pencapaian tujuan penjaminan kredit itu sendiri. Belum lagi bila ada potensi hazard dari pihak external yang berasal dari industri penjaminan dan regulator, sudah tentu pengelolan risiko menjadi demikian penting dan tidak dapat diabaikan peranannya.
Potensi hazard yang bersumber dari ketiga pihak yang terlibat dalam usaha penjaminan dapat memperbesar peluang timbulnya risiko di masa depan sehingga akan mempengaruhi kinerja usaha penjaminan. Pengelolaan risiko yang efektif dan efisien serta melibatkan seluruh komponen perusahaan mulai dari BOD, manajemen senior dan seluruh karyawan diperlukan agar kerugian yang timbul dalam usaha penjaminan kredit dapat dikendalikan dan dapat diterima oleh perusahaan.
Dalam industri usaha penjaminan di Indonesia, belum ada perusahaan/lembaga penjaminan yang melakukan pengelolaan risiko korporat yang berkarakteristik usaha penjaminan seperti halnya di perbankan. Walaupun sudah ada perusahaan asuransi di Indonesia yang menjalankan pengelolaan manajemen risiko namun masih menggunakan pendekatan manajemen risiko perbankan. Sungguh aneh jika di perbankan yang risikonya relatif lebih rendah dibandingkan dengan usaha penjaminan sudah memiliki suatu sistem penerapanan manajemen risiko korporat yang berdasarkan pada aturan Basel I dan II serta PBI, sedangkan lembaga penjaminan dalam menjalankan usaha penjaminan yang relatif lebih berisiko belum memiliki sistem penerapan manajemen risiko korporat.
Urgensi penerapan manajemen risiko korporat saat ini sudah merupakan tuntutan perusahaan untuk mengendalikan risiko penjaminan dan memenuhi tuntutan regulator terkait dengan penerapan tata kelola perusahaan yang baik (Good Corporate Governance (GCG)). Pengelolaan manajemen risiko korporat merupakan salah satu pilar penting penerapan GCG yang dapat memberikan peluang besar agar perusahaan dapat didorong untuk memenuhi seluruh aspek ketentuan dan peraturan internal maupun eksternal (comply) dengan memperhatikan risiko yang terindentifikasi dengan baik dari seluruh aspek bisnis dan pendukungnya.
Model penerapan ERM yang akan diuraikan berikut adalah diadopsi dari kasus penerapan ERM PT Asuransi Kredit Indonesia (PT Askrindo) yang menjalankan usaha penjaminan sekaligus usaha asuransi dengan framework COSO (Committe of Sponsoring Organization).
PT Asuransi Kredit Indonesia adalah suatu entitas bisnis di Indonesia yang unik dan mungkin satu-satunya di Indonesia yang dapat mengkolaborasi secara baik antara usaha berorientasi profit dengan berorientasi public service dalam bentuk usaha penjaminan dan asuransi. PT Askrindo dikatakan menjalankan usaha asuransi karena regulasi di Indonesia masih menganggap bahwa surety bond, customs bond, asuransi kredit perdagangan dan penjaminan kredit tergolong dalam usaha asuransi walaupun skim yang digunakan adalah skim penjaminan. Saat ini regulasi penjaminan masih pada tarap peraturan pemerintah atau keputuasan menteri keuangan sedangan regulasi setingkat Undang-Undang sedang dalam proses penyusunan. Disatu sisi PT Askrindo berusaha mendukung program pemerintah mengembangkan UMKM dengan karateristik usaha yang cenderung merugi, namun di sisi lain PT Askrindo dituntut untuk memperoleh profit dengan menjalankan usaha penjaminan dan asuransi dalam bentuk diversifikasi produk yang meliputi produk surety bond, customs bond, asuransi kredit perdagangan (Askredag) dan reasuransi. Demikian kompleks usaha yang dijalankan oleh PT Askrindo dan untuk memenuhi tuntutan regulator yang mewajibakan perusahaan BUMN memiliki unit manajemen risiko, PT Askrindo mulai taun 2010 harus dan sudah mulai menerapkan Enterprise Risk Management (ERM) dengan pendekatan kaidah-kaidah dan prinsip penjaminan dan asuransi.
FUNGSI DAN MANFAAT ERM
Penerapan ERM di perusahaan penjaminan memiliki fungsi dan manfaat sebagai berikut:
1. Peningkatan efektifitas organisasi
Adanya koordinasi yang lebih baik antara beberapa fungsi pengelolaan risiko serta meningkatkan ruang lingkup pengelolaan risiko (meningkatkan efisiensi proses pengelolaan risiko secara terintegrasi yaitu mencakup semua bisnis dan organisasi serta mencakup semua jenis risiko yang dihadapi). Pengelolaan risiko secara terintegrasi ini akan memperbesar peluang pencapaian tujuan perusahaan yang pada akhirnya akan meningkatkan value perusahaan.
2. Meningkatkan ketahanan Organisasi
Penerapan ERM akan memberikan perusahaan suatu langkah antisipasi/mitigasi risiko dalam menghadapi berbagai risiko yang akan dihadapi perusahaan (corporate risk) sehingga memberikan early warning system yang efektif dalam menghadapi keadaan yang tersulit bagi perusahaan.
3. Mendukung dan meningkatkan kualitas penerapan tata kelola perusahaan yang baik (Good Corporate Governance (GCG)). ERM adalah salah satu pilar penting dalam mendukung terciptanya GCG.
4. Adanya sinergi antara strategi perusahaan dan tingkat risiko yang diterima (Risk Appetite) untuk mencapai tujuan (improved outcomes).
5. Mendorong manajemen yang proaktif dan bukan reaktif.
6. Meningkatkan keselamatan dan pencegahan insiden
7. meningkatkan kepercayaan para pemangku kepentingan
Gambar 1. Hubungan ERM dengan GCG
FRAMEWORK ERM
Enterprise Risk Management (ERM) merupakan suatu proses yang melibatkan perusahaan, termasuk BOD, manajemen, dan seluruh karyawan Perusahaan dalam mengidentifikasi suatu kejadian atau potensi kejadian yang menimbulkan suatu dampak (kerugian) , mengelolanya secara komprehensif dalam besaran / ukuran yang dapat diterima oleh perusahaan, serta untuk memastikan pencapaian tujuan perusahaan. Di berbagai usaha ekonomi di dunia dikenal berbagai macam kerangka kerja penerapan ERM yang sesuai dengan sudut pandang pengelolaan risiko dan sosial budaya suatu bangsa. Model kerangka kerja ERM yang digunakan oleh berbagai industri sampai saat ini adalah BS, British Standarts – IRGC (BS6079-3) (2000), International Risk Governance Council (IRGC) 2004, COSO (Committee of Sponsoring Organizations), AS/NZ, Australia & New Zealand Standart (AS/NZS) 4360, ISO (International Standarts Organization) 31000 (2009). Perbedaan kerangka kerja ERM dapat dilihat pada tabel di bawah ini.
|
BS6079-3
|
IRGC
2004
|
COSO (2004)
|
AS/NZS 4360
|
ISO 31000(2009)
|
|
1. Context
|
1. Pre-assessment
|
1. Environment
|
1. Context
|
1. Mandate/commitment
|
|
2. Identification
|
2. Appraisal
|
2. Objectives
|
2. Identification
|
2. Context
|
|
3. Analysis
|
3. Tolerability
and acceptability judgement
|
3. Identification
|
3. Analysis
|
3. Identification
|
|
4. Evaluation
|
4. Risk Management
|
4.
Assesment
|
4. Evaluation
|
4. Analysis
|
|
5. Treatment
|
5. Communicate
|
5. Response
|
5. Treatment
|
5. Evaluation
|
|
6. Communicate
|
|
6. Control
|
6. Communicate/consult
|
6. Treatment
|
|
7. Review/upadte
|
|
7. Communicate
|
7. Monitor/review
|
7. Communicate
|
|
|
|
8. Monitoring
|
|
8. Consult
|
|
|
|
|
|
9. Monitor/review
|
Komponen ERM Framework COSO
Pada kerangka kerja dari lima model diatas, ada persamaan pokok dari penerapan proses ERM yaitu meliputi kegiatan identifikasi risiko, pengukuran risiko, pemetaan risiko dan mitigasi risiko. Proses manajemen risiko yang pokok tersebut akan diaktualisasikan dan diimplikasikan oleh perusahaan sesuai dengan tujuan, ukuran perusahaan dan regulasi yang ditetapkan oleh pemerintah.
DASAR PEMILIHAN FRAMEWORK ERM
Berbagai macam framework ERM yang digunakan oleh perusahaan di berbagai sektor ekonomi memiliki karakteristik tersendiri dan dibangun atas dasar sudut pandang manajement dan sosial budaya setempat. Pemilihan framework ERM yang sesuai dengan best practise dimana perusahaan melakukan aktivitas usaha dapat didasarkan pada pertimbangan sebagai berikut:
1. Tujuan dan misi perusahaan
2. Kebutuhan organisasi dan karakteristik bisnis yang dijalankan
3. Tuntutan dan kebutuhan regulasi & ketentuan yang berlaku
4. Ukuran perusahaan (size of company) termasuk di dalamnya sumber daya yang tersedia dalam penerapan ERM
KUNCI KEBERHASILAN PENERAPAN ERM
Keberhasilan penerapan ERM sangat tergantung pada sumber daya manusia yang terlibat di dalam kegiatan ERM (effective by people). Kecanggihan sistem dan mekanisme penerapan ERM tidak akan menjamin bahwa tujuan perusahaan akan tercapai apabila tidak didukung oleh kualitas dan integritas sumber daya manusia perusahaan. Kunci utama keberhasilan dalam penerapan ERM adalah tergantung pada kualitas dan integritas sumber daya manusia. Keberhasilan penerapan ERM pada umumnya akan ditentukan oleh beberapa faktor penting yaitu:
1. Adanya komitmen dari Board of Director (BOD), Board of Commisioner (BOC) dan senior manajemen. Komitmen BOD merupakan faktor yang dominan untuk menentukan keberhasilan penerapan ERM karena ERM tidak akan dapat diterapkan jika BOD tidak mendukung sepenuhnya.
2. adanya kebijakan, sistem dan proses kontrol yang ditunjang dengan budaya risiko (risk culture) (perduli terhadap risiko) yang kuat.
3. Adanya kejelasan dalam penentuan risk appetite & risk tolerance sesuai dengan kemampuan perusahaan (clear limits on delegated authority)
4. Adanya komunikasi dan pembelajaran yang terus menerus
5. Adanya integrasi antara ERM ke dalam strategic planning, proses bisnis, penilaian karya/kinerja dan kompetensi (rewards system dikaitkan dengan risk based performance).
6. Adanya organisasi manajemen risiko yang permanen
7. Adanya akuntabilitas dan responsibilitas yang jelas (including clear ownership of risk)
Integritas dan kualitas SDM sangat menentukan keberhasilan penerapan ERM sehingga perlu dilakukan pendidikan dan pelatihan yang dapat meningkat Intelegencia Quotient (IQ), Emotional Quotient (EQ) dan Spritual Quotient (SQ) melalui pelatihan yang bersifat agamis dan motivasi etos kerja dan loyalitas karyawan terhadap perusahaan. Pelatihan sejenis tersebut harus dilakukan secara rutin dan periodik agar SDM selalu diberikan awareness atas andil integritas dan kapasitas SDM dalam mencapai tujuan perusahaan.
ELEMEN IMPLEMENTASI ERM
Dalam pembangunan ERM, ada 3 (tiga) elemen yang harus dibangun dan dipersiapkan agar penerapan ERM dapat berjalan secara efektif seperti pada gambar di bawah ini yaitu:
1. Framework (Risk Governance)
Pembangunan elemen framework yang harus harus dipersiapkan antara lian meliputi komitmen Direksi, budaya risiko dan kesadaran penerapan risiko, penetapan risk appetite dan risk tolerance, struktur dan fungsi organisasi dan kebijakan. Elemen framework ini merupakan elemen dasar yang menjadi penentu keberhasilan penerapan ERM yang semuanya tergantung pada kualitas dan integritas sumber daya manusia.
2. Infrastruktur
Implementasi ERM memerlukan sarana dan prasarana dalam memfasilitasi penerapan ERM di perusahaan. Infrastruktur yang diperlukan untuk menerapkan ERM adalah metodologi penerapan ERM, Teknologi terutama sistem informasi yang digunakan untuk mengolah data risiko, Prosedur ( SOP penerapan ERM dan Pedoman ERM) dan Sistem informasi yang dapat memberikan pelaporan ERM secara kontinue kepada manajemen.
Gambar 2. 3 Elemen Implementasi ERM
3. Proses
Penerapan ERM adalah suatu proses yang dilakukan secara terus menerus, terintegrasi dan melibatkan seluruh karyawan dalam mengelola risiko sehingga dapat memperbesar peluang pencapaian tujuan. Proses manajemen risiko yang pokok dilakukan dalam ERM adalah proses identifikasi, pengukuran, pemetaaan dan mitigasi risiko. Proses manajemen risiko lain yang tak kalah pentingnya adalah proses monitoring, komunikasi, pelaporan dan pengendalian manajemen risiko. Untuk melaksanakan proses manajemen risiko tersebut diperlukan suatu sistem dan sumber daya yang relatif cukup baik yang bersifat teknologi maupun manual.
ROAD MAP ERM
Rencana jangka panjang penerapan ERM harus ditetapkan oleh perusahaan agar perusahaan dapat memperoleh arah, strategi yang jelas dan target yang akan dicapai perusahaan pada periode tertentu. Rencana penerapan ERM dapat dijabarkan tiga tahunan atau lima tahunan dalam bentuk Road Map sesuai dengan kapasitas perusahaan dan perkiraan perubahan lingkungan. Kualitas perumusan rencana jangka panjang ERM menentukan perjalanan keberhasilan penerapan ERM perusahaan sehingga dalam perumusannya harus dipertimbangkan secara cermat dan matang berbagai aspek yang berkaitan dengan kapasitas perusahaan dan perubahan lingkungan internal dan eksternal selama periode Road Map. Tujuan akhir penerapan ERM pada rencana jangka panjang pertama dapat berupa penerapan ERM menjadi budaya risiko perusahaan dalam proses bisnis dan pendukungnya yang dapat meningkatkan value perusahaan.
PENERAPAN ERM DALAM USAHA PENJAMINAN
PT Askrindo sejak pertengahan tahun 2010 telah memiliki elemen implementasi ERM yang relatif lengkap dan jajaran manajemen termasuk BOD telah memberikan komitmen atas penerapan ERM di perusahaan. Disamping itu, PT Askrindo juga telah memiliki Risk Contact Person atau Risk Champion di seluruh unit kerja baik di kantor Pusat maupun Kantor Cabang untuk mendukung implementasi ERM dengan bantuan sistem informasi manajemen risiko berbasis Web.
Penerapan ERM di PT Askrindo yang bergerak pada usaha penjaminan merupakan perusahaan pioner yang menerapkan ERM dalam usaha penjaminan di Indonesia dan dapat dikatakan baru satu-satunya ERM berkarakteristik usaha penjaminan di Indonesia.
Konsep manajemen risiko yang diterapkan adalah berwawasan dan berprinsip pada manajemen risiko korporat terintegrasi. Manajemen risiko korporat terintegrasi adalah suatu proses pengelolaan risiko yang dimulai dari proses identifikasi, pengukuran, pemetaan, mitigasi dan evaluasi serta monitoring yang melibatkan manajemen perusahaan dalam proses penentuan strategi di seluruh unit kerja secara terintegrasi. Konsep manajemen risiko dirancang untuk mengidentifikasikan peristiwa-peristiwa (events) yang berpengaruh negatif bagi perusahaan dan mengelola risiko agar selalu berada di dalam batas toleransi manajemen risiko.
Dengan demikian manajemen selalu memiliki keyakinan yang memadai bahwa sasaran perusahaan akan dapat dicapai tanpa halangan dan ancaman yang signifikan.
Manajemen perusahaan akan meningkatkan seoptimal mungkin nilai perusahaan melalui:
• Penetapan strategi dan sasaran-sasaran yang menghasilkan keseimbangan optimal antara target pertumbuhan, keuntungan dan risiko-risiko inherennya.
• Pemanfaatan seluruh sumber daya yang tersedia secara efisien dan efektif untuk mencapai sasaran-sasaran perusahaan.
Untuk mencapai tujuan perusahaana di atas, manajemen membangun dan mengintegrasikan manajemen risiko ke dalam tata nilai dan proses bisnis dengan berpedoman kepada prinsip-prinsip dasar:
a. Penyelarasan antara toleransi risiko dengan strategi manajemen akan selalu memperhitungkan dan mempertimbangkan toleransi risiko perusahaan di dalam menetapkan berbagai alternatif strategi bisnis, target bisnis, dan pengembangan mekanisme pengelolaan risiko.
b. Secara berkelanjutan meningkatkan kualitas kesadaran atas suatu risiko dan menciptakan budaya risiko.
c. Mereduksi ke tingkat serendah mungkin kejutan-kejutan dan kerugian-kerugian yang bisa mempengaruhi keputusan operasional perusahaan.
d. Secara konsisten mengidentifikasi dan mengelola multi risiko serta risiko-risiko antar unit kerja. Perusahaan akan menghadapi berbagai bentuk risiko yang banyak, yang secara langsung maupun tidak langsung mempengaruhi berbagai kegiatan unit kerja dalam melakukan kegiatan operasional. Oleh karena itu, perusahaan mengaplikasikan manajemen risiko agar mampu memfasilitasi penentuan respon yang efektif atas dampak-dampak yang saling berkaitan dan penetapan respon-respon yang terintegrasi atas multi risiko.
e. Menangkap peluang dengan mengetahui berbagai risiko yang potensial, manajemen akan berada dalam posisi mudah mengidentifikasikan dan secara proaktif menangkap kemungkinan terjadinya risiko di perusahaan.
f. Meningkatkan kualitas dan efektifitas pemanfaatan sumber daya perusahaan dengan tersedianya beragam informasi risiko yang lengkap dan akurat akan membantu manajemen secara efektif mengukur kemungkinan risiko yang terkait dengan bisnis perusahaan.
TAHAPAN AWAL PENERAPAN MANAJEMEN RISIKO
Pada awal pembangunan sistem dan mekanisme ERM, tahapan penerapan ERM dilakukan 3 tahapan kegiatan seperti berikut:
Gambar 3. Tahapan Awal Penerapan Manajemen Risiko
Ketiga tahap kegiatan tersebut dapat dijabarkan lebih rinci dalam langkah-langkah penerapan ERM sebagai berikut berikut:
1) Mengidentifikasi semua risiko yang terkait
2) Merancang kriteria risiko dan sub kriteria risiko
3) Merancang sistem kontrol manajemen risiko dan membentuk Risk Owner
4) Melakukan asesmen terhadap risiko residual bersama Risk Owner
5) Menyusun detail kegiatan risiko yang signifikan untuk dikurangi
6) Melaporkan risiko signifikan kepada manajemen beserta saran mitigasinya
7) Mengalokasikan sumber daya untuk melakukan mitigasi risiko yang signifikan
8) Memantau proses mitigasi dan perkembangan mitigasi risiko signifikan.
9) Mengevaluasi pengelolaan risiko dan analisa hasil kegiatan mitigasi risiko
10) Menyusun pengelolaan risiko dalam kesepakatan karya (Key Performance Indicator (KPI))
Jika digambarkan dalam bentuk bagan, maka langkah-langkah Penerapan tersebut dapat diilustrasikan sebagai berikut:
Gambar 4. Langkah-Langkah Penerapan ERM
Setelah mempersiapkan elemen implementasi ERM seperti diatas maka langkah selajutnya melakukan pengelolaan risiko secara terus menerus sesuai dengan kerangka kerja ERM yang telah ditetapkan dengan berbasis sistem komputerisasi.
PENERAPAN ERM BERBASIS USAHA PENJAMINAN
Penerapan ERM berbasis usaha penjaminan pada dasarnya dapat dibedakan dengan berbasis perbankan dengan melihat beberapa faktor dalam proses manajemen risiko yaitu:
1. Pada proses penentuan risk appetite dan risk tolerance, dasar yang dapat digunakan adalah Risk Based Capital (RBC) atau Gearing ratio. Besaran nilai klaim yang dapat diterima oleh perusahaan juga dapat dijadikan dasar penetapan Risk Appetite dan Risk Tolerance. Dasar penentuan Risk Appetite ini disesuaikan dengan kapasitas perusahaan dalam menanggung risiko maksimal yang akan terjadi dan kemampuan manajemen dalam menangani risiko tersebut serta tuntutan regulasi dan ketentuan yang berlaku. Pada perusahaan asuransi juga diarahkan pada penggunan RBC sebagai dasar peneratap risk appetite, namun di Indonesia penerapan ERM pada perusahaan asuransi masih berbasis pada perbankan.
2. Pada proses identifikasi dan pengukuran risiko, seluruh risiko yang di-assesment berasal dari usaha penjaminan yang dilakukan oleh seluruh unit kerja operasional/produksi sehingga akan terekam risiko yang memiliki klasifikasi risiko yang terkait dengan proses bisnis dalam menjalankan usaha penjaminan. Hasil risk assesment ini akan memberikan suatu signal mitigasi risiko yang juga berbasis pada kebijakan usaha penjaminan dan ketentuan & regulasi yang mengaturnya.
Gambar 5. Ruang lingkup dan Cakupan ERM
KOMPONEN MANAJEMEN RISIKO
Manajemen risiko yang diterapkan oleh manajemen dengan framework COSO memiliki delapan komponen yang saling terkait. Komponen-komponen ini dibangun dari tata kelola perusahaan yang diintegrasikan dengan proses manajemen.
Delapan komponen pada framework COSO seperti pada gambar di bawah ini diintegrasikan dengan strategi, operasi, sistem pelaporan, dan kepatuhan serta keberadaan berbagai unit kerja yang terlibat dalam proses manajemen risiko korporat baik di kantor pusat maupun dikantor cabang.
Gambar 6. Komponen ERM Framework COSO
i. Lingkungan Internal
Lingkungan internal yang kondusif, suportif, dan positif akan mempengaruhi secara langsung budaya kerja perusahaan dalam melihat dan memitigasi suatu risiko, termasuk di dalamnya filosofi manajemen risiko, toleransi risiko, nilai-nilai integritas dan etika serta lingkungan kerja.
ii. Penetapan Sasaran (target)
Penetapan sasaran dan target bisnis harus dilakukan dengan terlebih dahulu memperhatikan risiko-risiko potensial yang mempengaruhi secara negatif upaya-upaya pencapaian sasaran/target. Manajemen akan selalu menetapkan target bisnis dalam koridor toleransi risiko perusahaan.
iii. Identifikasi Risiko
Manajemen akan mengidentifikasikan risiko-risiko internal dan eksternal yang dapat mempengaruhi usaha pencapaian sasaran. Manajemen selalu berupaya memposisikan diri pada suatu level sehingga dengan mudah dapat membedakan antara risiko dan peluang. Setiap peluang yang berhasil ditangkap akan dimasukan ke dalam proses penetapan sasaran Perusahaan.
iv. Penilaian risiko
Risiko-risiko dianalisis dan dipertimbangkan probabilitas terjadinya (likelihood) dan potensi dampak kerugiannya (impact) sebagai acuan mengelolanya. Risiko diukur berdasarkan pendekatan risiko inheren dan risiko residual.
Risiko inheren adalah risiko yang melekat pada setiap keputusan sebelum dilakukan perlakuan risiko.
Risiko residual adalah risiko yang masih ada setelah dilaksanakan perlakuan risiko.
v. Tindak Lanjut Risiko
Manajemen akan menetapkan tindak lanjut dan respon yang efektif terhadap suatu risiko. Spektrum respon menghindari, menerima, mereduksi, atau mentransfer risiko. Pilihan respon akan dipengaruhi oleh toleransi dan hasrat risiko manajemen dan perusahaan.
vi. Pengendalian dan Pengawasan risiko
Sejumlah kebijakan dan pedoman dibuat, ditetapkan dan diterapkan untuk menciptakan suatu sistem pengendalian dan pengawasan yang efektif sehingga memudahkan manajemen memilih respon risiko yang efektif dan efisien.
vii. Sistem pelaporan dan software manajemen risiko
Berbagai informasi yang relevan diidentifikasikan, ditangkap, dan dikomunikasikan dalam bentuk yang informatif, terstruktur dengan baik dan tepat waktu agar setiap penanggung jawab organisasi dapat melaksanakan tanggung jawabnya masing-masing di dalam mencapai sasaran perusahaan. Sistem pelaporan ini akan didukung dengan sistem informasi berbasis komputer dengan menggunakan fasilitas Web. Manajemen memiliki prioritas yang tinggi untuk mengembangkan dan memiliki kegiatan yang terintegrasi, efektif dan terhubung secara online ke seluruh unit kerja di kantor pusat dan kantor cabang.
viii. Pemantauan
Pemantauan adalah efektivitas yang penting sehingga dapat diketahui modifikasi dan perbaikan yang diperlukan pada sistem manajemen risiko korporat terintegrasi. Pemantauan dilaksanakan melalui aktivitas manajemen yang berkelanjutan, evaluasi khusus, atau keduanya.
PROSES IDENTIFIKASI RISIKO
Identifikasi aktivitas dapat dilakukan dengan pendekatan melalui daftar peristiwa kerugian masa lalu yang berpengaruh terhadap masa depan (loss event), analisis internal, indikator keadaan tertentu, dan analisis alur proses bisnis perusahaan. Risk Owner/Risk Contact Person dapat menyampaikan/ mengusulkan kejadian risiko dan kategorisasi risiko baru yang belum terinformasi secara korporasi kepada unit Manajemen Risiko. Secara umum proses pengidentifikasian risiko digambarkan sebagai berikut:
Gambar 7. Proses Identifikasi Risiko
Tindak lanjut kegiatan
Masukan dari Divisi, Cabang dan KUP
KLASIFIKASI RISIKO
Klasifikasi risiko yang menjadi sasaran pengelolaan risiko dalam penerapan ERM dapat bervariasi tergantung pada hasil risk assesment yang inherent dalam perusahaan. Secara umum dan teoritis seperti pada gambar di bawah ini, risiko diklasifikasikan menjadi dua kelompok besar yaitu risiko finansial dan risiko non finansial.
Gambar 8. Klasifikasi Risiko Secara Umum
Klasifikasi risiko yang menjadi sasaran pengelolaan risiko dalam penerarapan ERM PT Askrindo memiliki karakteristik tersendiri karena sesuai dengan hasil risk assesment dan karakteristik produk. Berdasarkan risk assesment yang dilakukan oleh unit manajemen risiko PT Askrindo, secara umum ditemukan risiko yang berasal dari proses bisnis, aktivitas pendukung usaha dan lingkungan eksternal terdiri dari:
a. Risiko Keuangan
Yaitu fluktuasi target keuangan atau ukuran moneter perusahaan karena gejolak berbagai variabel makro. Risiko keuangan dapat berupa perubahan kebijakan, fluktuasi arus kas, risiko pasar, risiko produk.
b. Risiko Operasional
Adalah potensi penyimpangan dari hasil yang diharapkan karena tidak berfungsinya suatu sistem, SDM, teknologi, atau faktor lain. Risiko operasional bisa disebabkan oleh beberapa faktor seperti: manusia (SDM), pencapaian kinerja, kepatuhan pada regulasi dan prosedur serta kebijakan dalam industri penjaminan/asuransi.
c. Risiko Strategis
Adalah risiko yang dapat mempengaruhi eksposur korporat dan eksposur strategis sebagai akibat keputusan strategis yang tidak sesuai dengan perubahan lingkungan eksternal dan internal usaha. Risiko strategis bisa disebabkan oleh investasi perusahaan, perubahan teknoligi dan informasi, turunnya reputasi perusahaan, dan tidak tercapainya sasaran strategis perusahaan.
d. Risiko Eksternal
Adalah potensi penyimpangan hasil pada eksposur korporat dan strategis yang berdampak pada potensi penutupan usaha akibat keadaan/tekanan eksternal. Yang termasuk risiko eksternal antara lain: hukum dan perubahan kebijakan Pemerintah.
PROSEDUR PENGUKURAN RISIKO
Dalam proses pengukuran risiko, penerapoan ERM berbasis usaha penjaminan akan terlihat jelas berdasarkan indikator yang memiliki relevansi dengan usaha penjaminan. Berikut proses pengukuran risiko dengan pendekatan usaha penjaminan:
a. Ukuran Probabilitas Risiko
Probabilitas adalah suatu penilaian kuantitatif terhadap kemungkinan peluang terjadinya suatu peristiwa risiko. Dengan menggunakan analisa statistik metoda poisson, dapat diperoleh tingkat probabilitas sebagai berikut:
(1) Probabilitas Risiko Metode Poisson
Distribusi Poisson berhubungan dengan distribusi dari kejadian-kejadian dalam suatu waktu tertentu. Syarat dari metode Poisson antara lain:
• Ada data historis tentan peristiwa yang terjadi di suatu lokasi
• Data dalam bentuk diskrit
• Ada data periode waktu ke depan yang ditetapkan Jam/hari/minggu/bulan/tahun)
Formula Distribusi Poisson adalah sebagai berikut:
Dimana,
P (x) = kemungkinan terjadinya peristiwa x
μ = rata-rata kejadian dalam periode tertentu
е = 2,718
x! = faktorial dari x
(2) Distribusi Binomial
Adalah banyaknya sukses x dalam n usaha suatu percobaan binomial disebut suatu perubahan acak binomial. Distribusi peluang perubahan acak binomial x disebut distribusi Binomial dan dinyatakan dengan b (x;n,p).
Syarat distribusi binomial yaitu:
• Ada data historis tentan peristiwa yang terjadi di suatu lokasi
• Data dalam bentuk diskrit
• Ada data historis probabilitas berhasil dan gagal
Distribusi binomial dihitung dengan menggunakan formula:
Dimana:
x = Jumlah kejadian
n = banyaknya sampel data
N = banyaknya populasi data
p = peluang sukses dalam suatu usaha
1-p = peluang terjadinya suatu kegagalan dalam suatu usaha
(3) Metode Aproksimasi
Digunakan apabila tidak tersedia data masa lalu yang dapat digunakan untuk mengetahui kemungkinan terjadinya sesuatu kejadian. Metode ini memerlukan 3 (tiga) perkiraan kemungkinan (probabilitas) dari suatu risiko kepada orang lain dan diformulasikan dengan pendekatan rata-rata tertimbang.
Adapun ketiga nilai kemungkinan tersebut diperoleh dari:
• Atasan, supervisor atau manajer yang mengerti tentang peristiwa risiko yang diangkat.
• Karyawan di unit lain yang terkait dengan peristiwa risiko tersebut.
• Karyawan yang terkait langsung dengan peristiwa risiko tersebut, misal karyawan yang menggunakan peralatan yang rusak.
Hasil penilaian ketiga orang dimasukkan ke dalam formula di bawah ini untuk mendapatkan nilai probabilitas suatu peristiwa risiko:
|
Probabilitas
|
=
|
O + 4 M + P
|
|
6
|
O = Nilai optimis, nilai tertinggi yang diperoleh.
M = Nilai moderat atau nilai tengah.
P = Nilai pesimis atau nilai terendah.
(4) Metode Pembanding
Digunakan apabila tidak tersedia data masa lalu dan data lainnya yang dapat digunakan untuk mengetahui kemungkinan terjadinya sesuatu kejadian. Metode ini memerlukan pembanding kemungkinan (probabilitas) dari suatu risiko yang pernah terjadi di tempat lain dan yang sejenis serta setara dengan probabilitas risiko yang tengah dihadapi perusahaan saat ini.
(5) Metoda Pendekatan Indikasi Frekuensi
Untuk memudahkan pengisian data/informasi probabilitas risiko pada awal kegiatan proses identifikasi risiko dapat menggunakan pendekatan frekuensi. Berikut tabel probabilitas dengan menggunakan pendekatan frekuensi:
|
INDIKASI FREKUENSI
|
|
|
KRITERIA
|
KETERANGAN
|
|
5
|
Hampir pasti terjadi setiap waktu
|
|
Hampir
Pasti
|
|
|
4
|
Menurut pengalaman kejadian ini muncul
beberapa kali
|
|
Mungkin
Sekali
|
|
|
3
|
Menurut pengalaman baru terjadi satu kali
|
|
Mungkin
|
|
|
2
|
Pernah mendengar ada kejadian semacam itu
|
|
Kecil
Kemungkinan
|
|
|
1
|
Belum pernah mendengar kejadian ini
|
|
Sangat
Jarang
|
|
b. Dampak Risiko
Dampak risiko adalah suatu pertimbangan penilaian kuantitatif terhadap besarnya kerugian (severity) yang akan diderita perusahaan atas suatu peristiwa risiko.
Kriteria dampak risiko adalah total kerugian yang diderita secara agregat atau total masing-masing peristiwa risiko (hilangya peluang/opportunity loss) dari suatu kategori risiko yang sama.
Besarnya toleransi risiko dapat dihitung atas dasar:
• Skala kapital (risk based capital)
• Skala perputaran usaha (gearing ratio)
• Skala kebutuhan solvabilitas minimum (BTSM)
• Skala pendapatan (premi penjaminan)
• Skala biaya operasional (underwriting)
Dimana masing-masing pendekatan ini merupakan pilihan, akan tetapi skalanya tetap dibuat konsisten antara 1 sampai dengan 5
Dampak risiko juga dapat dinyatakan dalam hitungan rentang keuangan atau non keuangan.
Dampak risiko keuangan, artinya dampak suatu risiko dapat diukur dalam satuan mata uang tertentu, misalnya rupiah atau dollar.
Dampak risiko non keuangan, artinya dampak risiko tersebut tidak dapat diukur dari sisi keuangan saja, misalnya: dampak terhadap Strategi, Operasional, Kebijakan dan Pemasaran serta Eksternal.
Selanjutnya dampak risiko keuangan dapat dipilah menjadi dua, yaitu dampak keuangan langsung dan dampak keuangan tidak langsung.
Dampak keuangan langsung, adalah ukuran suatu dampak risiko dilihat dari sudut pandang jika risiko tersebut benar-benar terjadi maka dampaknya akan menyebabkan kerugian langsung bagi perusahaan sebesar sekian Rp/$. Hitungannya diukur dari sisi biaya langsung yang harus dikeluarkan oleh perusahaan.
Dampak keuangan tidak langsung, adalah ukuran suatu dampak risiko dilihat dari sudut pandang jika risiko tersebut benar-benar terjadi maka dampaknya akan menyebabkan kerugian tidak langsung bagi perusahaan sebesar sekian Rp/$ karena ada kegiatan yang hilang/tidak bisa dilaksanakan atau hilangnya waktu/kesempatan. Hitungannya diukur dari sisi biaya yang harus dikeluarkan perusahaan terkait dengan peristiwa risiko tersebut.
PROSEDUR TOLERANSI RISIKO
Prosedur penetapan toleransi (batasan) risiko dapat digambarkan sebagai berikut:
Gambar 9. Prosedur Penetapan Tolerasi Risiko
Faktor yang menjadi pertimbangan dalam menetapkan besaran toleransi risiko
(1) Kecukupan Dana Cadangan Risiko
Besaran toleransi dihitung berdasarkan besaran alokasi cadangan untuk menanggung kerugian apabila skenario terburuk risiko terjadi. Salah satu pertimbangan yang dapat digunakan adalah menganggarkan dana cadangan risiko perusahaan berdasarkan rata-rata rasio Batas Tingkat Solvabilitas Minimum (BTSM) atau Risk Based Capital sesuai ketentuan dan regulasi yang berlaku.
Semakin baik metodologi dan sistem pengukuran yang dipergunakan, maka semakin baik pula pengukuran risiko yang dihasilkannya khususnya dalam menggambarkan situasi sesungguhnya. Dengan demikian alokasi cadangan untuk menanggung risiko akan lebih proporsional, tidak berlebih atau kekurangan.
(2) Kinerja Usaha
Besaran toleransi juga dapat dihitung berdasarkan tingkat prosentase tertentu dari salah satu komponen pada laporan keuangan perusahaan. Contoh aplikasi pendekatan ini adalah dengan ditetapkannya persentase toleransi risiko dari premi/Imbal Jasa Penjaminan (IJP) yang dihasilkan sesuai ketentuan dan regulasi yang berlaku.
(3) Kualitas Pengawasan Internal
Satuan Pengawasan Internal bekerjasama dengan unit kerja lainnya harus memastikan Risk Owner benar-benar mengetahui, memahami, dan mematuhi batasan toleransi risiko yang telah ditetapkan oleh BOD. Oleh karena itu Unit Manajemen Risiko selalu mengembangkan sistem informasi dan pelaporan dimana setiap pemilik risiko (Risk Owner) dapat dengan mudah mengukur sendiri risiko yang ada di unitnya masing-masing dibandingkan dengan batas toleransi risiko yang telah ditetapkan. Apabila terjadi pelanggaran terhadap batas toleransi risiko, maka perlu dipertimbangkan kenaikan batasan toleransi risiko atau cadangan risiko perusahaan. Secara sistem perusahaan sudah menerapkan sistem pengendalian intrenal, sehingga semua data/informasi mengenai proses bisnis yang terkait dengan manajemen risiko sebenarnya sudah dikelola dengan baik.
(4) Kemampuan sistem internal menyelesaikan permasalahan dan transaksi bisnis
Semakin baik kemampuan sistem internal menyelesaikan setiap permasalahan dan risiko yang terjadi, maka semakin rendah dana cadangan risiko yang dialokasikan dan semakin ringan beban perusahaan. Sebaliknya, sistem internal yang tidak efektif dalam menyelesaikan permasalahan maka risiko-risiko inherent ada pada proses bisnis yang akan mengakibatkan toleransi risiko semakin besar dan semakin membebani dana cadangan risiko perusahaan.
(5) Kecepatan perusahaan merespon adanya ancaman dari eksternal
Manajemen perusahaan perlu menciptakan sistem informasi yang efektif dan cepat sehingga dapat mengantisipasi dengan perubahan eksternal yang mengancam perusahaan. Semakin cepat risk awarness dibangun, semakin cepat pula perusahaan melakukan perhitungan terhadap perubahan risiko yang ada dan mampu mengetahui kecukupan dan kekuatan dana cadangan. Sehingga manajemen dapat dengan cepat mengantisipasi segala kejutan-kejutan yang terjadi, bahkan bila diperlukan akan memberikan dukungan dalam bentuk dana cadangan risiko baru.
SEBAB, AKIBAT DAN DAMPAK RISIKO NON KEUANGAN
a. Sebab Risiko
Sebab risiko adalah faktor yang menimbulkan terjadinya suatu peristiwa risiko, biasanya dapat dicari dengan menggunakan pendekatan 6 M
• Man (manusia)
• Machine (mesin)
• Method (metoda kerja)
• Money (uang)
• Material (sumber daya perusahan lain yang mendukung pekerjaan)
• Market (pasar)
• Eksternal
Sebab risiko sebenarnya secara logika dapat dicari dengan menggunakan metoda diagram tulang ikan (fish bone method)
b. Akibat Risiko
Adalah dampak yang disebabkan oleh terjadinya suatu peristiwa risiko, misalnya akibat ketidakpatuhan manusia terhadap ketentuan yang berlaku maka akibat risikonya adalah terjadinya penyimpangan kerja yang bisa berkahir pada suatu dampak terhadap regulasi/hukum yang berlaku.
c. Dampak Risiko Non Keuangan
Adalah akibat dari suatu peristiwa risiko yang menyebabkan terjadinya penyimpangan atau gagalnya suatu proses kerja sehingga tidak tercapainya tujuan perusahaan. Dampak risiko non keuangan seringkali susah untuk diterjemahkan secara kuantitatif, namun untuk memudahkannya dampak risiko non keuangan dibagi sebagai berikut:
• Strategik
o Penempatan Investasi
o Hasil Pengembangan Investasi
o Informasi dan Teknologi
o Reputasi
o Pencapaian Sasaran Strategi Perusahaan
• Operasional
o Kehilangan Tenaga Ahli
o Motivasi Karyawan
o Pencapaian Kinerja (RKAP)
o Kepatuhan terhadap Regulasi Umum
o Kepatuhan terhadap Regulasi Khusus
o Penyampaian Laporan STOA
• Kebijakan dan Pemasaran
o Kebijakan Internal
o Kebijakan Limit Penutupan
o Pengembangan Produk dan Wilayah Baru
o Pengembangan Produk Yang Merugikan
• Eksternal
o Hukum dan Finansial
o Hukum non Finansial
o Perubahan Kebijakan Pemerintah
PENGENDALIAN DAN PENGAWASAN RISIKO
Pengendalian risiko dilakukan bersama-sama antar unit kerja dengan Unit Manajemen Risiko. Proses pengendalian risiko dilakukan dengan memperhatikan beberapa aspek penting, seperti:
a. Kebenaran Input data risiko, yang dilengkapi dengan akurasi catatan dan data pendukung setiap peristiwa risiko.
b. Akurasi pemilihan metoda pengukuran risiko
i. Probabilitas risiko: sesuai dengan pendekatan yang digunakan (poisson, binomial, aproksimasi dan pembanding).
ii. Dampak risiko: sesuai ketepatan perhitungan dampak keuangan atau pendekatan non keuangan
c. Kecepatan mengambil keputusan untuk menyetujui (approve) suatu peristiwa risiko.
d. Ketepatan memilih mitigasi risiko untuk mengurangi tingkat probabilitas dan dampak risiko sampai menjadi risiko yang inherent.
Pengawasan risiko tahap awal dilakukan dengan melibatkan Risk Owner dari setiap unit kerja baik operasional maupun non operasional. Setelah Risk Owner mengisi suatu peristiwa risiko, maka harus disetujui (approve) oleh para atasannya masing-masing. Tujuan dari kegiatan ini adalah untuk memastikan kebenaran data dan informasi risiko dan langkah-langkah mitigasi yang tepat untuk mengatasi peristiwa risiko tersebut.
Unit Manajemen Risiko melakukan kaji ulang terhadap keakurasian data dan ketepatan pemilihan metoda pengukuran serta keterkaitan dengan peristiwa risiko lainnya.
PELAPORAN RISIKO
Pelaporan risiko dilakukan dengan berbagai cara untuk memudahkan semua unit kerja yang terkait dalam penerapan ERMi. Ada 4 (empat) jenis laporan manajemen risiko antara lain:
1) Laporan setiap waktu, melalui sistem informasi manajemen risiko korporat terintegrasi dengan pendekatan teknologi informasi (software manajemen risiko), yang sudah dicanangkan bersama.
2) Laporan bulanan, yang disajikan oleh Unit Manajemen Risiko berupa risk register , saran mitigasi, peta risiko dan mutasi risiko dari seluruh peristiwa risiko.
3) Laporan triwulanan/kuartal, yang disajikan oleh Unit Manajemen Risiko. Berupa risk register, peta risiko dan mitigasi risiko serta analisa risiko inherent.
MITIGASI RISIKO (RISK RESPONSE)
Secara umum, perlakuan terhadap suatu risiko dapat berupa salah satu dari 4 jenis pengelolaan risiko berikut:
a. Menghindari risiko, yang berarti tidak melaksanakan atau meneruskan kegiatan yang menimbulkan risiko
b. Berbagi risiko, yaitu suatu tindakan untuk mengurangi kemungkinan timbulnya risiko atau dampak risiko. Kegiatan yang dapat dilakukanantara lain melalui: asuransi, outsourcing, subcontracting, lindung nilai transaksi.
c. Pengurangan risiko, yaitu melakukan tindakan/kegiatan untuk mengurangi kemungkinan timbulnya risiko bila terjadi dalam bentuk probabilitas dan/ dampak risiko.
d. Menerima risiko, yaitu tidak melakukan apapun untuk menghindar, berbagi atau mengurangi risiko tersebut.
Gambar 10. Probabilitas Dan Dampak Risiko
PEMANTAUAN RISIKO
Proses pemantauan risiko dilakukan melalui berbagai tahap kegiatan, seperti tergambar dalam bagan proses review internal dan eksternal dibawah ini. Adapun proses pemantauan risiko dilakukan melalui tahap:
a. Penetapan strategi manajemen risiko, dalam setiap langkah strategi yang dipilih oleh perusahaan tentu mengandung suatu risiko. Oleh sebab itu setiap pemilihan dan pengembangan alternatif strategi diperlukan kajian yang menyangkut risiko terhadap keputusan perusahaan.
b. Toleransi risiko, didalam proses pembuatan manual risiko maka diperlukan suatu kajian berupa batasan tentang risiko, sebab, akibat dan dampak risiko. Toleransi risiko perlu dipertimbangkan setiap 2 (dua) tahun sekali atau jika ada keadaan yang mendesak sehingga memerlukan perbaikan.
c. Eksekusi strategi, merupakan langkah pengamanan pertama yang dilakukan oleh perusahaan dalam menanggapi masukan terhadap setiap pemilihan dan pengembangan alternatif strategi.
Gambar 11. Proses Review Internal dan Eksternal
d. Eksekusi operasional, dalam pelaksanaan setiap langkah strategi yang dilakukan oleh perusahaan diperlukan input mengenai langkah-langkah pengamanan operasional dari setiap risiko yang mungkin terjadi. Input informasi mengenai risiko tersebut dilakukan oleh Risk Owner, yang selanjutnya akan dikaji oleh masing-masing unit kerja dan dipandu oleh Unit Manajemen Risiko. Langkah pengamanan operasional ini dapat berupa pengurangan, penurunan atau penghindaran terhadap suatu risiko atau biasa dinamakan tindakan mitigasi.
e. Sistem Pengendalian, melalui suatu penilaian kinerja (business performance) Perusahaan dapat mengetahui besaran pencapaian maupun biaya yang harus dikeluarkan di dalam setiap kegiatan operasional. Dalam prakteknya setiap kegiatan tersebut seharusnya sudah memasukan unsur pencadangan terhadap setiap risiko yang mungkin terjadi. Namun demikian apabila masih terjadi juga suatu peristiwa risiko, maka langkah pengendalian selanjutnya adalah mengupayakan tindakan mitigasi. Sistem pengendalian ini merupakan suatu proses yang berkesinambungan dan dilakukan secara konsisten sehingga mencapai suatu risiko yang inherent.
f. Preferensi Risiko, merupakan langkah bagian akhir dari pelaksanaan kegiatan manajemen risiko. Dari beberapa bagian kegiatan dan langkah-langkah yang telah dijelaskan diatas, maka akan timbul preferensi risiko yang berlaku di lingkungan perusahaan. Preferensi risiko ini tentunya dari waktu ke waktu akan terus mengalami perubahan dan pengembangan, agar mampu menjembatani antara kebutuhan internal dan perubahan serta kemauan eksternal terhadap keberadaan perusahaan pada saat ini dan masa mendatang.
SISTEM INFORMASI MANAJEMEN RISIKO
Pengolahan data risiko dan pembuatan laporan risiko secara periodik kepada BOD memerlukan sistem informasi berbasis komputer. Dalam pembangunan sistem informasi manajemen risiko dalam bentuk program aplikasi berbasis Web dilakukan beberapa langkah awal yaitu;
Langkah pertama yang dilakukan adalah mempelajari keinginan perusahaan tentang tujuan dibuatnya software tersebut. Didalam langkah ini termasuk diantaranya adalah apa saja data yang bisa diolah, bagaimana proses penginputan data, siapa saja yang sebaiknya dilibatkan dalam proses penginputan data.
Langkah kedua, membuat kerangka dasar program. Kegiatan yang dilakukan adalah membangun sendi dasar (pondasi) program,yang terdiri dari dimensi pengukuran dan pengelompokkan data. Kemudian membuat penyangga program untuk memproses data, yang terdiri dari: jenis data, format data, sistem approval dan jenis laporan. Berikutnya adalah membangun atap dari rancang bangun program dalam bentuk output, berupa sistem pelaporan manajemen risiko. Jika proses ini digambarkan maka dapat diilustrasikan seperti pada gambar di bawah ini.
Gambar 12. Rancang bangun software manajemen Risiko
Langkah ketiga, adalah melakukan uji coba dan sosialisasi program. Langkah uji coba dilakukan untuk mengurangi berbagai kemungkinan kesalahan dan kekurang-tepatan program manajemen risiko. Sosialisasi program dilakukan agar setiap Risk Champion/Risk Contact Person memahami bagaimana prosedur membuka program, menginput data/informasi peristiwa risiko, melampirkan data/informasi yang diperlukan, mengolah peristiwa risiko hingga menjadi laporan dan memanfaatkan program untuk keperluan evaluasi/monitoring.
Tujuan pembuatan software manajemen risiko antara lain:
a. Mempercepat proses penginputan dan perekaman data/informasi identifikasi Manajeme Risiko. Agar Risk Champion/Risk Contact Person lebih cepat dalam memasukkan data risiko, maka diperlukan keseragaman alat bantu berupa sistem manual dan sarana teknologi informasi dalam bentuk software.
b. Memudahkan pengukuran probabilitas dan dampak risiko
Untuk menyeragamkan sekaligus menyediakan alat bantu guna memudahkan pekerjaan Risk Champion/Risk Contact Person dan para penanggungjawab Unit Kerja, maka diperlukan alat yang sama dalam proses mengukur probabilitas dan dampak risiko.
c. Mempercepat penggambaran peta risiko,dan membuat risk register
Proses pencatatan peristiwa risiko yang dimulai dari input data risiko, menetapkan probabilitas risiko sampai menghitung dampak risiko, telah dilakukan melalui software. Oleh karena itu data base risiko yang sudah di input akan dipetakan, dan juga di catat kedalam suatu daftar risiko yang disebut sebagai risk register.
d. Memudahkan proses pencatatan mitigasi risiko melalui risk register.
Risk register merupakan catatan semua informasi yang berisi data/informasi tentang peristiwa risiko lengkap dengan langkah-langkah mitigasi risiko yang akan dan sudah dilakukan, termasuk hasil akhirnya.
e. Mengintegrasikan risiko secara korporat.
Yaitu upaya mengelola semua peristiwa risiko yang ada dalam organisasi, mengkomunikasinya dalam sarana teknologi informasi kepada setiap Unit Kerja, sehingga tercapainya sistem pengendalian korporat yang terintegrasi.
ORGANISASI MANAJEMEN RISIKO
Salah satu kunci keberhasilan penerapan ERM adalah ada organisasi manajemen risiko yang memanage pengelolaan risiko secara terintegrasi yang melibatkan seluruh komponen perusahaan mulai dari BOD dan seluruh karyawan. Organisasi unit manajemen risiko secara best practice biasanya setingkat dengan divisi, namun apabila ukuran perusahaan sangat besar dan kompleks maka unit manajemen risiko dapat setingkat Direktorat.
Unit manajemen risiko setingkat Divisi agar lebih efektif dan independen selayaknya berada langsung di bawah Direktur Utama. Hal ini perlu unit manajemen risiko diposisikan demikian untuk menghindari intervensi dari direktur lainnya dan bisa melakukan koordinasi dengan mudah secara lintas direktorat.
Peranan dan tanggung jawab organisasi ERM secara umum dapat dilihat pada bagan di bawah ini.
Gambar 13. Peranan dan Tanggung Jawab Organisasi ERM
Dalam organisasi ERM, ada organ organisasi yang penting yaitu dkenal sebagai Risk Contact Person atau Risk Owner atau Risk Champion. Pengertian Risk Owner adalah seluruh wakil dari unit kerja yang telah ditunjuk yang ada di seluruh unit kerja yang terlibat secara langsung dengan risiko dan bertindak sebagai pemilik risiko yang sesungguhnya (real Risk Owner) dari setiap transaksi ataupun kegiatan yang dilakukannya. Risk Owner bertindak independen terhadap Unit Manajemen Risiko.
STRUKTUR ORGANISASI MANAJEMEN RISIKO
Bagan berikut menggambarkan hubungan antara Kebijakan Strategis, Pedoman, Prosedur Operasi dan Arsitektur Sistem Informasi Manajemen Risiko
Gambar 14. Hubungan Antara Kebijakan Strategis, pedoman, Prosedur Operasi dan Arsitektur Sistem Informasi Manajemen Risiko
Langganan:
Postingan (Atom)