Perkembangan industri jasa asuransi dan penjaminan di Indonesia dari tahun ke tahun terus meningkat dan telah memberikan kontribusi yang relatif besar terhadap perekonomian nasional. Jasa penjaminan di Indonesia masih dianggap sebagai industri jasa yang baru berkembang dan sebagai bagian dari jasa asuransi di Indonesia walaupun skim penjaminan kredit telah digunakan sejak tahun 1971. Dari sisi regulasi yang dikeluarkan pemerintah tentang usaha penjaminan saat ini masih ada keterkaitan antara usaha asuransi dan penjaminan walaupun regulasi usaha penjaminan pada tingkat Undang-Undang sedang dalam proses penyusunannya.
Usaha Penjaminan seperti halnya jasa Asuransi dikategorikan sebagai usaha yang berisiko dan produk utamanya adalah menjamin risiko dari kegagalan bayar nasabahnya (Terjamin) yang memanfaatkan jasa perbankan atau proyek dari pihak lain. Risiko usaha penjaminan diperkirakan lebih besar dibandingkan dengan usaha perbankan karena dalam usaha penjaminan melibatkan tiga pihak yaitu Penjamin, Penerima Jaminan dan Terjamin sementara usaha perbankan pada produk utamanya hanya melibatkan dua pihak yaitu kreditur dan debitur.
Lembaga penjaminan di Indonesia maupun di Asia yang menjalankan penjaminan kredit untuk medukung program pemerintah dalam pengembangan UMKM sebagian besar merugi karena berdasarkan data empiris dan secara nature penjaminan kredit UMKM ini memiliki tingkat kegagalan yang relatif tinggi. Disisi lain, lembaga penjaminan yang berbentuk Perseroan Terbatas (PT) di Indonesia dituntut tetap sustain (berkelanjutan) dan memberikan manfaat ekonomi kepada pemerintah dan perekonomian nasional. Strategi Lembaga Penjaminan dalam bentuk PT maupun Perusahaan Umum (Perum) agar tetap sustain adalah melakukan usaha diversifikasi usaha yang berorientasi profit dan mengelola risiko usaha penjaminan agar dapat mereduksi kerugian pada tingkat yang diterima oleh perusahaan.
Konsekuensi usaha penjaminan yang terdiri dari tiga pihak menuntut adanya pengelolaan risiko yang bersumber dari ketiga pihak terkait. Ketiga pihak tersebut memiliki potensi hazard yang dapat mempengaruhi besaran peluang munculnya risiko dan mempengaruhi pencapaian tujuan perusahaan. Pihak Penjamin selaku Lembaga Penjaminan yang memberikan penjaminan memiliki potensi hazard tersendiri yang dapat mempengaruhi pencapaian tujuan penjaminan (premi meningkat dan tingkat klaim rendah) seperti adanya praktek kolusi dan kelalaian dalam proses underwriting dan proses pendukung usaha lainnya. Begitu pula Penerima Jaminan (misal perbankan) dan Terjamin memiliki potensi hazard yang relatif tinggi yang dapat mempengaruhi pencapaian tujuan penjaminan kredit itu sendiri. Belum lagi bila ada potensi hazard dari pihak external yang berasal dari industri penjaminan dan regulator, sudah tentu pengelolan risiko menjadi demikian penting dan tidak dapat diabaikan peranannya.
Potensi hazard yang bersumber dari ketiga pihak yang terlibat dalam usaha penjaminan dapat memperbesar peluang timbulnya risiko di masa depan sehingga akan mempengaruhi kinerja usaha penjaminan. Pengelolaan risiko yang efektif dan efisien serta melibatkan seluruh komponen perusahaan mulai dari BOD, manajemen senior dan seluruh karyawan diperlukan agar kerugian yang timbul dalam usaha penjaminan kredit dapat dikendalikan dan dapat diterima oleh perusahaan.
Dalam industri usaha penjaminan di Indonesia, belum ada perusahaan/lembaga penjaminan yang melakukan pengelolaan risiko korporat yang berkarakteristik usaha penjaminan seperti halnya di perbankan. Walaupun sudah ada perusahaan asuransi di Indonesia yang menjalankan pengelolaan manajemen risiko namun masih menggunakan pendekatan manajemen risiko perbankan. Sungguh aneh jika di perbankan yang risikonya relatif lebih rendah dibandingkan dengan usaha penjaminan sudah memiliki suatu sistem penerapanan manajemen risiko korporat yang berdasarkan pada aturan Basel I dan II serta PBI, sedangkan lembaga penjaminan dalam menjalankan usaha penjaminan yang relatif lebih berisiko belum memiliki sistem penerapan manajemen risiko korporat.
Urgensi penerapan manajemen risiko korporat saat ini sudah merupakan tuntutan perusahaan untuk mengendalikan risiko penjaminan dan memenuhi tuntutan regulator terkait dengan penerapan tata kelola perusahaan yang baik (Good Corporate Governance (GCG)). Pengelolaan manajemen risiko korporat merupakan salah satu pilar penting penerapan GCG yang dapat memberikan peluang besar agar perusahaan dapat didorong untuk memenuhi seluruh aspek ketentuan dan peraturan internal maupun eksternal (comply) dengan memperhatikan risiko yang terindentifikasi dengan baik dari seluruh aspek bisnis dan pendukungnya.
Model penerapan ERM yang akan diuraikan berikut adalah diadopsi dari kasus penerapan ERM PT Asuransi Kredit Indonesia (PT Askrindo) yang menjalankan usaha penjaminan sekaligus usaha asuransi dengan framework COSO (Committe of Sponsoring Organization).
PT Asuransi Kredit Indonesia adalah suatu entitas bisnis di Indonesia yang unik dan mungkin satu-satunya di Indonesia yang dapat mengkolaborasi secara baik antara usaha berorientasi profit dengan berorientasi public service dalam bentuk usaha penjaminan dan asuransi. PT Askrindo dikatakan menjalankan usaha asuransi karena regulasi di Indonesia masih menganggap bahwa surety bond, customs bond, asuransi kredit perdagangan dan penjaminan kredit tergolong dalam usaha asuransi walaupun skim yang digunakan adalah skim penjaminan. Saat ini regulasi penjaminan masih pada tarap peraturan pemerintah atau keputuasan menteri keuangan sedangan regulasi setingkat Undang-Undang sedang dalam proses penyusunan. Disatu sisi PT Askrindo berusaha mendukung program pemerintah mengembangkan UMKM dengan karateristik usaha yang cenderung merugi, namun di sisi lain PT Askrindo dituntut untuk memperoleh profit dengan menjalankan usaha penjaminan dan asuransi dalam bentuk diversifikasi produk yang meliputi produk surety bond, customs bond, asuransi kredit perdagangan (Askredag) dan reasuransi. Demikian kompleks usaha yang dijalankan oleh PT Askrindo dan untuk memenuhi tuntutan regulator yang mewajibakan perusahaan BUMN memiliki unit manajemen risiko, PT Askrindo mulai taun 2010 harus dan sudah mulai menerapkan Enterprise Risk Management (ERM) dengan pendekatan kaidah-kaidah dan prinsip penjaminan dan asuransi.
FUNGSI DAN MANFAAT ERM
Penerapan ERM di perusahaan penjaminan memiliki fungsi dan manfaat sebagai berikut:
1. Peningkatan efektifitas organisasi
Adanya koordinasi yang lebih baik antara beberapa fungsi pengelolaan risiko serta meningkatkan ruang lingkup pengelolaan risiko (meningkatkan efisiensi proses pengelolaan risiko secara terintegrasi yaitu mencakup semua bisnis dan organisasi serta mencakup semua jenis risiko yang dihadapi). Pengelolaan risiko secara terintegrasi ini akan memperbesar peluang pencapaian tujuan perusahaan yang pada akhirnya akan meningkatkan value perusahaan.
2. Meningkatkan ketahanan Organisasi
Penerapan ERM akan memberikan perusahaan suatu langkah antisipasi/mitigasi risiko dalam menghadapi berbagai risiko yang akan dihadapi perusahaan (corporate risk) sehingga memberikan early warning system yang efektif dalam menghadapi keadaan yang tersulit bagi perusahaan.
3. Mendukung dan meningkatkan kualitas penerapan tata kelola perusahaan yang baik (Good Corporate Governance (GCG)). ERM adalah salah satu pilar penting dalam mendukung terciptanya GCG.
4. Adanya sinergi antara strategi perusahaan dan tingkat risiko yang diterima (Risk Appetite) untuk mencapai tujuan (improved outcomes).
5. Mendorong manajemen yang proaktif dan bukan reaktif.
6. Meningkatkan keselamatan dan pencegahan insiden
7. meningkatkan kepercayaan para pemangku kepentingan
Gambar 1. Hubungan ERM dengan GCG
FRAMEWORK ERM
Enterprise Risk Management (ERM) merupakan suatu proses yang melibatkan perusahaan, termasuk BOD, manajemen, dan seluruh karyawan Perusahaan dalam mengidentifikasi suatu kejadian atau potensi kejadian yang menimbulkan suatu dampak (kerugian) , mengelolanya secara komprehensif dalam besaran / ukuran yang dapat diterima oleh perusahaan, serta untuk memastikan pencapaian tujuan perusahaan. Di berbagai usaha ekonomi di dunia dikenal berbagai macam kerangka kerja penerapan ERM yang sesuai dengan sudut pandang pengelolaan risiko dan sosial budaya suatu bangsa. Model kerangka kerja ERM yang digunakan oleh berbagai industri sampai saat ini adalah BS, British Standarts – IRGC (BS6079-3) (2000), International Risk Governance Council (IRGC) 2004, COSO (Committee of Sponsoring Organizations), AS/NZ, Australia & New Zealand Standart (AS/NZS) 4360, ISO (International Standarts Organization) 31000 (2009). Perbedaan kerangka kerja ERM dapat dilihat pada tabel di bawah ini.
|
BS6079-3
|
IRGC
2004
|
COSO (2004)
|
AS/NZS 4360
|
ISO 31000(2009)
|
|
1. Context
|
1. Pre-assessment
|
1. Environment
|
1. Context
|
1. Mandate/commitment
|
|
2. Identification
|
2. Appraisal
|
2. Objectives
|
2. Identification
|
2. Context
|
|
3. Analysis
|
3. Tolerability
and acceptability judgement
|
3. Identification
|
3. Analysis
|
3. Identification
|
|
4. Evaluation
|
4. Risk Management
|
4.
Assesment
|
4. Evaluation
|
4. Analysis
|
|
5. Treatment
|
5. Communicate
|
5. Response
|
5. Treatment
|
5. Evaluation
|
|
6. Communicate
|
|
6. Control
|
6. Communicate/consult
|
6. Treatment
|
|
7. Review/upadte
|
|
7. Communicate
|
7. Monitor/review
|
7. Communicate
|
|
|
|
8. Monitoring
|
|
8. Consult
|
|
|
|
|
|
9. Monitor/review
|
Komponen ERM Framework COSO
Pada kerangka kerja dari lima model diatas, ada persamaan pokok dari penerapan proses ERM yaitu meliputi kegiatan identifikasi risiko, pengukuran risiko, pemetaan risiko dan mitigasi risiko. Proses manajemen risiko yang pokok tersebut akan diaktualisasikan dan diimplikasikan oleh perusahaan sesuai dengan tujuan, ukuran perusahaan dan regulasi yang ditetapkan oleh pemerintah.
DASAR PEMILIHAN FRAMEWORK ERM
Berbagai macam framework ERM yang digunakan oleh perusahaan di berbagai sektor ekonomi memiliki karakteristik tersendiri dan dibangun atas dasar sudut pandang manajement dan sosial budaya setempat. Pemilihan framework ERM yang sesuai dengan best practise dimana perusahaan melakukan aktivitas usaha dapat didasarkan pada pertimbangan sebagai berikut:
1. Tujuan dan misi perusahaan
2. Kebutuhan organisasi dan karakteristik bisnis yang dijalankan
3. Tuntutan dan kebutuhan regulasi & ketentuan yang berlaku
4. Ukuran perusahaan (size of company) termasuk di dalamnya sumber daya yang tersedia dalam penerapan ERM
KUNCI KEBERHASILAN PENERAPAN ERM
Keberhasilan penerapan ERM sangat tergantung pada sumber daya manusia yang terlibat di dalam kegiatan ERM (effective by people). Kecanggihan sistem dan mekanisme penerapan ERM tidak akan menjamin bahwa tujuan perusahaan akan tercapai apabila tidak didukung oleh kualitas dan integritas sumber daya manusia perusahaan. Kunci utama keberhasilan dalam penerapan ERM adalah tergantung pada kualitas dan integritas sumber daya manusia. Keberhasilan penerapan ERM pada umumnya akan ditentukan oleh beberapa faktor penting yaitu:
1. Adanya komitmen dari Board of Director (BOD), Board of Commisioner (BOC) dan senior manajemen. Komitmen BOD merupakan faktor yang dominan untuk menentukan keberhasilan penerapan ERM karena ERM tidak akan dapat diterapkan jika BOD tidak mendukung sepenuhnya.
2. adanya kebijakan, sistem dan proses kontrol yang ditunjang dengan budaya risiko (risk culture) (perduli terhadap risiko) yang kuat.
3. Adanya kejelasan dalam penentuan risk appetite & risk tolerance sesuai dengan kemampuan perusahaan (clear limits on delegated authority)
4. Adanya komunikasi dan pembelajaran yang terus menerus
5. Adanya integrasi antara ERM ke dalam strategic planning, proses bisnis, penilaian karya/kinerja dan kompetensi (rewards system dikaitkan dengan risk based performance).
6. Adanya organisasi manajemen risiko yang permanen
7. Adanya akuntabilitas dan responsibilitas yang jelas (including clear ownership of risk)
Integritas dan kualitas SDM sangat menentukan keberhasilan penerapan ERM sehingga perlu dilakukan pendidikan dan pelatihan yang dapat meningkat Intelegencia Quotient (IQ), Emotional Quotient (EQ) dan Spritual Quotient (SQ) melalui pelatihan yang bersifat agamis dan motivasi etos kerja dan loyalitas karyawan terhadap perusahaan. Pelatihan sejenis tersebut harus dilakukan secara rutin dan periodik agar SDM selalu diberikan awareness atas andil integritas dan kapasitas SDM dalam mencapai tujuan perusahaan.
ELEMEN IMPLEMENTASI ERM
Dalam pembangunan ERM, ada 3 (tiga) elemen yang harus dibangun dan dipersiapkan agar penerapan ERM dapat berjalan secara efektif seperti pada gambar di bawah ini yaitu:
1. Framework (Risk Governance)
Pembangunan elemen framework yang harus harus dipersiapkan antara lian meliputi komitmen Direksi, budaya risiko dan kesadaran penerapan risiko, penetapan risk appetite dan risk tolerance, struktur dan fungsi organisasi dan kebijakan. Elemen framework ini merupakan elemen dasar yang menjadi penentu keberhasilan penerapan ERM yang semuanya tergantung pada kualitas dan integritas sumber daya manusia.
2. Infrastruktur
Implementasi ERM memerlukan sarana dan prasarana dalam memfasilitasi penerapan ERM di perusahaan. Infrastruktur yang diperlukan untuk menerapkan ERM adalah metodologi penerapan ERM, Teknologi terutama sistem informasi yang digunakan untuk mengolah data risiko, Prosedur ( SOP penerapan ERM dan Pedoman ERM) dan Sistem informasi yang dapat memberikan pelaporan ERM secara kontinue kepada manajemen.
Gambar 2. 3 Elemen Implementasi ERM
3. Proses
Penerapan ERM adalah suatu proses yang dilakukan secara terus menerus, terintegrasi dan melibatkan seluruh karyawan dalam mengelola risiko sehingga dapat memperbesar peluang pencapaian tujuan. Proses manajemen risiko yang pokok dilakukan dalam ERM adalah proses identifikasi, pengukuran, pemetaaan dan mitigasi risiko. Proses manajemen risiko lain yang tak kalah pentingnya adalah proses monitoring, komunikasi, pelaporan dan pengendalian manajemen risiko. Untuk melaksanakan proses manajemen risiko tersebut diperlukan suatu sistem dan sumber daya yang relatif cukup baik yang bersifat teknologi maupun manual.
ROAD MAP ERM
Rencana jangka panjang penerapan ERM harus ditetapkan oleh perusahaan agar perusahaan dapat memperoleh arah, strategi yang jelas dan target yang akan dicapai perusahaan pada periode tertentu. Rencana penerapan ERM dapat dijabarkan tiga tahunan atau lima tahunan dalam bentuk Road Map sesuai dengan kapasitas perusahaan dan perkiraan perubahan lingkungan. Kualitas perumusan rencana jangka panjang ERM menentukan perjalanan keberhasilan penerapan ERM perusahaan sehingga dalam perumusannya harus dipertimbangkan secara cermat dan matang berbagai aspek yang berkaitan dengan kapasitas perusahaan dan perubahan lingkungan internal dan eksternal selama periode Road Map. Tujuan akhir penerapan ERM pada rencana jangka panjang pertama dapat berupa penerapan ERM menjadi budaya risiko perusahaan dalam proses bisnis dan pendukungnya yang dapat meningkatkan value perusahaan.
PENERAPAN ERM DALAM USAHA PENJAMINAN
PT Askrindo sejak pertengahan tahun 2010 telah memiliki elemen implementasi ERM yang relatif lengkap dan jajaran manajemen termasuk BOD telah memberikan komitmen atas penerapan ERM di perusahaan. Disamping itu, PT Askrindo juga telah memiliki Risk Contact Person atau Risk Champion di seluruh unit kerja baik di kantor Pusat maupun Kantor Cabang untuk mendukung implementasi ERM dengan bantuan sistem informasi manajemen risiko berbasis Web.
Penerapan ERM di PT Askrindo yang bergerak pada usaha penjaminan merupakan perusahaan pioner yang menerapkan ERM dalam usaha penjaminan di Indonesia dan dapat dikatakan baru satu-satunya ERM berkarakteristik usaha penjaminan di Indonesia.
Konsep manajemen risiko yang diterapkan adalah berwawasan dan berprinsip pada manajemen risiko korporat terintegrasi. Manajemen risiko korporat terintegrasi adalah suatu proses pengelolaan risiko yang dimulai dari proses identifikasi, pengukuran, pemetaan, mitigasi dan evaluasi serta monitoring yang melibatkan manajemen perusahaan dalam proses penentuan strategi di seluruh unit kerja secara terintegrasi. Konsep manajemen risiko dirancang untuk mengidentifikasikan peristiwa-peristiwa (events) yang berpengaruh negatif bagi perusahaan dan mengelola risiko agar selalu berada di dalam batas toleransi manajemen risiko.
Dengan demikian manajemen selalu memiliki keyakinan yang memadai bahwa sasaran perusahaan akan dapat dicapai tanpa halangan dan ancaman yang signifikan.
Manajemen perusahaan akan meningkatkan seoptimal mungkin nilai perusahaan melalui:
• Penetapan strategi dan sasaran-sasaran yang menghasilkan keseimbangan optimal antara target pertumbuhan, keuntungan dan risiko-risiko inherennya.
• Pemanfaatan seluruh sumber daya yang tersedia secara efisien dan efektif untuk mencapai sasaran-sasaran perusahaan.
Untuk mencapai tujuan perusahaana di atas, manajemen membangun dan mengintegrasikan manajemen risiko ke dalam tata nilai dan proses bisnis dengan berpedoman kepada prinsip-prinsip dasar:
a. Penyelarasan antara toleransi risiko dengan strategi manajemen akan selalu memperhitungkan dan mempertimbangkan toleransi risiko perusahaan di dalam menetapkan berbagai alternatif strategi bisnis, target bisnis, dan pengembangan mekanisme pengelolaan risiko.
b. Secara berkelanjutan meningkatkan kualitas kesadaran atas suatu risiko dan menciptakan budaya risiko.
c. Mereduksi ke tingkat serendah mungkin kejutan-kejutan dan kerugian-kerugian yang bisa mempengaruhi keputusan operasional perusahaan.
d. Secara konsisten mengidentifikasi dan mengelola multi risiko serta risiko-risiko antar unit kerja. Perusahaan akan menghadapi berbagai bentuk risiko yang banyak, yang secara langsung maupun tidak langsung mempengaruhi berbagai kegiatan unit kerja dalam melakukan kegiatan operasional. Oleh karena itu, perusahaan mengaplikasikan manajemen risiko agar mampu memfasilitasi penentuan respon yang efektif atas dampak-dampak yang saling berkaitan dan penetapan respon-respon yang terintegrasi atas multi risiko.
e. Menangkap peluang dengan mengetahui berbagai risiko yang potensial, manajemen akan berada dalam posisi mudah mengidentifikasikan dan secara proaktif menangkap kemungkinan terjadinya risiko di perusahaan.
f. Meningkatkan kualitas dan efektifitas pemanfaatan sumber daya perusahaan dengan tersedianya beragam informasi risiko yang lengkap dan akurat akan membantu manajemen secara efektif mengukur kemungkinan risiko yang terkait dengan bisnis perusahaan.
TAHAPAN AWAL PENERAPAN MANAJEMEN RISIKO
Pada awal pembangunan sistem dan mekanisme ERM, tahapan penerapan ERM dilakukan 3 tahapan kegiatan seperti berikut:
Gambar 3. Tahapan Awal Penerapan Manajemen Risiko
Ketiga tahap kegiatan tersebut dapat dijabarkan lebih rinci dalam langkah-langkah penerapan ERM sebagai berikut berikut:
1) Mengidentifikasi semua risiko yang terkait
2) Merancang kriteria risiko dan sub kriteria risiko
3) Merancang sistem kontrol manajemen risiko dan membentuk Risk Owner
4) Melakukan asesmen terhadap risiko residual bersama Risk Owner
5) Menyusun detail kegiatan risiko yang signifikan untuk dikurangi
6) Melaporkan risiko signifikan kepada manajemen beserta saran mitigasinya
7) Mengalokasikan sumber daya untuk melakukan mitigasi risiko yang signifikan
8) Memantau proses mitigasi dan perkembangan mitigasi risiko signifikan.
9) Mengevaluasi pengelolaan risiko dan analisa hasil kegiatan mitigasi risiko
10) Menyusun pengelolaan risiko dalam kesepakatan karya (Key Performance Indicator (KPI))
Jika digambarkan dalam bentuk bagan, maka langkah-langkah Penerapan tersebut dapat diilustrasikan sebagai berikut:
Gambar 4. Langkah-Langkah Penerapan ERM
Setelah mempersiapkan elemen implementasi ERM seperti diatas maka langkah selajutnya melakukan pengelolaan risiko secara terus menerus sesuai dengan kerangka kerja ERM yang telah ditetapkan dengan berbasis sistem komputerisasi.
PENERAPAN ERM BERBASIS USAHA PENJAMINAN
Penerapan ERM berbasis usaha penjaminan pada dasarnya dapat dibedakan dengan berbasis perbankan dengan melihat beberapa faktor dalam proses manajemen risiko yaitu:
1. Pada proses penentuan risk appetite dan risk tolerance, dasar yang dapat digunakan adalah Risk Based Capital (RBC) atau Gearing ratio. Besaran nilai klaim yang dapat diterima oleh perusahaan juga dapat dijadikan dasar penetapan Risk Appetite dan Risk Tolerance. Dasar penentuan Risk Appetite ini disesuaikan dengan kapasitas perusahaan dalam menanggung risiko maksimal yang akan terjadi dan kemampuan manajemen dalam menangani risiko tersebut serta tuntutan regulasi dan ketentuan yang berlaku. Pada perusahaan asuransi juga diarahkan pada penggunan RBC sebagai dasar peneratap risk appetite, namun di Indonesia penerapan ERM pada perusahaan asuransi masih berbasis pada perbankan.
2. Pada proses identifikasi dan pengukuran risiko, seluruh risiko yang di-assesment berasal dari usaha penjaminan yang dilakukan oleh seluruh unit kerja operasional/produksi sehingga akan terekam risiko yang memiliki klasifikasi risiko yang terkait dengan proses bisnis dalam menjalankan usaha penjaminan. Hasil risk assesment ini akan memberikan suatu signal mitigasi risiko yang juga berbasis pada kebijakan usaha penjaminan dan ketentuan & regulasi yang mengaturnya.
Gambar 5. Ruang lingkup dan Cakupan ERM
KOMPONEN MANAJEMEN RISIKO
Manajemen risiko yang diterapkan oleh manajemen dengan framework COSO memiliki delapan komponen yang saling terkait. Komponen-komponen ini dibangun dari tata kelola perusahaan yang diintegrasikan dengan proses manajemen.
Delapan komponen pada framework COSO seperti pada gambar di bawah ini diintegrasikan dengan strategi, operasi, sistem pelaporan, dan kepatuhan serta keberadaan berbagai unit kerja yang terlibat dalam proses manajemen risiko korporat baik di kantor pusat maupun dikantor cabang.
Gambar 6. Komponen ERM Framework COSO
i. Lingkungan Internal
Lingkungan internal yang kondusif, suportif, dan positif akan mempengaruhi secara langsung budaya kerja perusahaan dalam melihat dan memitigasi suatu risiko, termasuk di dalamnya filosofi manajemen risiko, toleransi risiko, nilai-nilai integritas dan etika serta lingkungan kerja.
ii. Penetapan Sasaran (target)
Penetapan sasaran dan target bisnis harus dilakukan dengan terlebih dahulu memperhatikan risiko-risiko potensial yang mempengaruhi secara negatif upaya-upaya pencapaian sasaran/target. Manajemen akan selalu menetapkan target bisnis dalam koridor toleransi risiko perusahaan.
iii. Identifikasi Risiko
Manajemen akan mengidentifikasikan risiko-risiko internal dan eksternal yang dapat mempengaruhi usaha pencapaian sasaran. Manajemen selalu berupaya memposisikan diri pada suatu level sehingga dengan mudah dapat membedakan antara risiko dan peluang. Setiap peluang yang berhasil ditangkap akan dimasukan ke dalam proses penetapan sasaran Perusahaan.
iv. Penilaian risiko
Risiko-risiko dianalisis dan dipertimbangkan probabilitas terjadinya (likelihood) dan potensi dampak kerugiannya (impact) sebagai acuan mengelolanya. Risiko diukur berdasarkan pendekatan risiko inheren dan risiko residual.
Risiko inheren adalah risiko yang melekat pada setiap keputusan sebelum dilakukan perlakuan risiko.
Risiko residual adalah risiko yang masih ada setelah dilaksanakan perlakuan risiko.
v. Tindak Lanjut Risiko
Manajemen akan menetapkan tindak lanjut dan respon yang efektif terhadap suatu risiko. Spektrum respon menghindari, menerima, mereduksi, atau mentransfer risiko. Pilihan respon akan dipengaruhi oleh toleransi dan hasrat risiko manajemen dan perusahaan.
vi. Pengendalian dan Pengawasan risiko
Sejumlah kebijakan dan pedoman dibuat, ditetapkan dan diterapkan untuk menciptakan suatu sistem pengendalian dan pengawasan yang efektif sehingga memudahkan manajemen memilih respon risiko yang efektif dan efisien.
vii. Sistem pelaporan dan software manajemen risiko
Berbagai informasi yang relevan diidentifikasikan, ditangkap, dan dikomunikasikan dalam bentuk yang informatif, terstruktur dengan baik dan tepat waktu agar setiap penanggung jawab organisasi dapat melaksanakan tanggung jawabnya masing-masing di dalam mencapai sasaran perusahaan. Sistem pelaporan ini akan didukung dengan sistem informasi berbasis komputer dengan menggunakan fasilitas Web. Manajemen memiliki prioritas yang tinggi untuk mengembangkan dan memiliki kegiatan yang terintegrasi, efektif dan terhubung secara online ke seluruh unit kerja di kantor pusat dan kantor cabang.
viii. Pemantauan
Pemantauan adalah efektivitas yang penting sehingga dapat diketahui modifikasi dan perbaikan yang diperlukan pada sistem manajemen risiko korporat terintegrasi. Pemantauan dilaksanakan melalui aktivitas manajemen yang berkelanjutan, evaluasi khusus, atau keduanya.
PROSES IDENTIFIKASI RISIKO
Identifikasi aktivitas dapat dilakukan dengan pendekatan melalui daftar peristiwa kerugian masa lalu yang berpengaruh terhadap masa depan (loss event), analisis internal, indikator keadaan tertentu, dan analisis alur proses bisnis perusahaan. Risk Owner/Risk Contact Person dapat menyampaikan/ mengusulkan kejadian risiko dan kategorisasi risiko baru yang belum terinformasi secara korporasi kepada unit Manajemen Risiko. Secara umum proses pengidentifikasian risiko digambarkan sebagai berikut:
Gambar 7. Proses Identifikasi Risiko
Tindak lanjut kegiatan
Masukan dari Divisi, Cabang dan KUP
KLASIFIKASI RISIKO
Klasifikasi risiko yang menjadi sasaran pengelolaan risiko dalam penerapan ERM dapat bervariasi tergantung pada hasil risk assesment yang inherent dalam perusahaan. Secara umum dan teoritis seperti pada gambar di bawah ini, risiko diklasifikasikan menjadi dua kelompok besar yaitu risiko finansial dan risiko non finansial.
Gambar 8. Klasifikasi Risiko Secara Umum
Klasifikasi risiko yang menjadi sasaran pengelolaan risiko dalam penerarapan ERM PT Askrindo memiliki karakteristik tersendiri karena sesuai dengan hasil risk assesment dan karakteristik produk. Berdasarkan risk assesment yang dilakukan oleh unit manajemen risiko PT Askrindo, secara umum ditemukan risiko yang berasal dari proses bisnis, aktivitas pendukung usaha dan lingkungan eksternal terdiri dari:
a. Risiko Keuangan
Yaitu fluktuasi target keuangan atau ukuran moneter perusahaan karena gejolak berbagai variabel makro. Risiko keuangan dapat berupa perubahan kebijakan, fluktuasi arus kas, risiko pasar, risiko produk.
b. Risiko Operasional
Adalah potensi penyimpangan dari hasil yang diharapkan karena tidak berfungsinya suatu sistem, SDM, teknologi, atau faktor lain. Risiko operasional bisa disebabkan oleh beberapa faktor seperti: manusia (SDM), pencapaian kinerja, kepatuhan pada regulasi dan prosedur serta kebijakan dalam industri penjaminan/asuransi.
c. Risiko Strategis
Adalah risiko yang dapat mempengaruhi eksposur korporat dan eksposur strategis sebagai akibat keputusan strategis yang tidak sesuai dengan perubahan lingkungan eksternal dan internal usaha. Risiko strategis bisa disebabkan oleh investasi perusahaan, perubahan teknoligi dan informasi, turunnya reputasi perusahaan, dan tidak tercapainya sasaran strategis perusahaan.
d. Risiko Eksternal
Adalah potensi penyimpangan hasil pada eksposur korporat dan strategis yang berdampak pada potensi penutupan usaha akibat keadaan/tekanan eksternal. Yang termasuk risiko eksternal antara lain: hukum dan perubahan kebijakan Pemerintah.
PROSEDUR PENGUKURAN RISIKO
Dalam proses pengukuran risiko, penerapoan ERM berbasis usaha penjaminan akan terlihat jelas berdasarkan indikator yang memiliki relevansi dengan usaha penjaminan. Berikut proses pengukuran risiko dengan pendekatan usaha penjaminan:
a. Ukuran Probabilitas Risiko
Probabilitas adalah suatu penilaian kuantitatif terhadap kemungkinan peluang terjadinya suatu peristiwa risiko. Dengan menggunakan analisa statistik metoda poisson, dapat diperoleh tingkat probabilitas sebagai berikut:
(1) Probabilitas Risiko Metode Poisson
Distribusi Poisson berhubungan dengan distribusi dari kejadian-kejadian dalam suatu waktu tertentu. Syarat dari metode Poisson antara lain:
• Ada data historis tentan peristiwa yang terjadi di suatu lokasi
• Data dalam bentuk diskrit
• Ada data periode waktu ke depan yang ditetapkan Jam/hari/minggu/bulan/tahun)
Formula Distribusi Poisson adalah sebagai berikut:
Dimana,
P (x) = kemungkinan terjadinya peristiwa x
μ = rata-rata kejadian dalam periode tertentu
е = 2,718
x! = faktorial dari x
(2) Distribusi Binomial
Adalah banyaknya sukses x dalam n usaha suatu percobaan binomial disebut suatu perubahan acak binomial. Distribusi peluang perubahan acak binomial x disebut distribusi Binomial dan dinyatakan dengan b (x;n,p).
Syarat distribusi binomial yaitu:
• Ada data historis tentan peristiwa yang terjadi di suatu lokasi
• Data dalam bentuk diskrit
• Ada data historis probabilitas berhasil dan gagal
Distribusi binomial dihitung dengan menggunakan formula:
Dimana:
x = Jumlah kejadian
n = banyaknya sampel data
N = banyaknya populasi data
p = peluang sukses dalam suatu usaha
1-p = peluang terjadinya suatu kegagalan dalam suatu usaha
(3) Metode Aproksimasi
Digunakan apabila tidak tersedia data masa lalu yang dapat digunakan untuk mengetahui kemungkinan terjadinya sesuatu kejadian. Metode ini memerlukan 3 (tiga) perkiraan kemungkinan (probabilitas) dari suatu risiko kepada orang lain dan diformulasikan dengan pendekatan rata-rata tertimbang.
Adapun ketiga nilai kemungkinan tersebut diperoleh dari:
• Atasan, supervisor atau manajer yang mengerti tentang peristiwa risiko yang diangkat.
• Karyawan di unit lain yang terkait dengan peristiwa risiko tersebut.
• Karyawan yang terkait langsung dengan peristiwa risiko tersebut, misal karyawan yang menggunakan peralatan yang rusak.
Hasil penilaian ketiga orang dimasukkan ke dalam formula di bawah ini untuk mendapatkan nilai probabilitas suatu peristiwa risiko:
|
Probabilitas
|
=
|
O + 4 M + P
|
|
6
|
O = Nilai optimis, nilai tertinggi yang diperoleh.
M = Nilai moderat atau nilai tengah.
P = Nilai pesimis atau nilai terendah.
(4) Metode Pembanding
Digunakan apabila tidak tersedia data masa lalu dan data lainnya yang dapat digunakan untuk mengetahui kemungkinan terjadinya sesuatu kejadian. Metode ini memerlukan pembanding kemungkinan (probabilitas) dari suatu risiko yang pernah terjadi di tempat lain dan yang sejenis serta setara dengan probabilitas risiko yang tengah dihadapi perusahaan saat ini.
(5) Metoda Pendekatan Indikasi Frekuensi
Untuk memudahkan pengisian data/informasi probabilitas risiko pada awal kegiatan proses identifikasi risiko dapat menggunakan pendekatan frekuensi. Berikut tabel probabilitas dengan menggunakan pendekatan frekuensi:
|
INDIKASI FREKUENSI
|
|
|
KRITERIA
|
KETERANGAN
|
|
5
|
Hampir pasti terjadi setiap waktu
|
|
Hampir
Pasti
|
|
|
4
|
Menurut pengalaman kejadian ini muncul
beberapa kali
|
|
Mungkin
Sekali
|
|
|
3
|
Menurut pengalaman baru terjadi satu kali
|
|
Mungkin
|
|
|
2
|
Pernah mendengar ada kejadian semacam itu
|
|
Kecil
Kemungkinan
|
|
|
1
|
Belum pernah mendengar kejadian ini
|
|
Sangat
Jarang
|
|
b. Dampak Risiko
Dampak risiko adalah suatu pertimbangan penilaian kuantitatif terhadap besarnya kerugian (severity) yang akan diderita perusahaan atas suatu peristiwa risiko.
Kriteria dampak risiko adalah total kerugian yang diderita secara agregat atau total masing-masing peristiwa risiko (hilangya peluang/opportunity loss) dari suatu kategori risiko yang sama.
Besarnya toleransi risiko dapat dihitung atas dasar:
• Skala kapital (risk based capital)
• Skala perputaran usaha (gearing ratio)
• Skala kebutuhan solvabilitas minimum (BTSM)
• Skala pendapatan (premi penjaminan)
• Skala biaya operasional (underwriting)
Dimana masing-masing pendekatan ini merupakan pilihan, akan tetapi skalanya tetap dibuat konsisten antara 1 sampai dengan 5
Dampak risiko juga dapat dinyatakan dalam hitungan rentang keuangan atau non keuangan.
Dampak risiko keuangan, artinya dampak suatu risiko dapat diukur dalam satuan mata uang tertentu, misalnya rupiah atau dollar.
Dampak risiko non keuangan, artinya dampak risiko tersebut tidak dapat diukur dari sisi keuangan saja, misalnya: dampak terhadap Strategi, Operasional, Kebijakan dan Pemasaran serta Eksternal.
Selanjutnya dampak risiko keuangan dapat dipilah menjadi dua, yaitu dampak keuangan langsung dan dampak keuangan tidak langsung.
Dampak keuangan langsung, adalah ukuran suatu dampak risiko dilihat dari sudut pandang jika risiko tersebut benar-benar terjadi maka dampaknya akan menyebabkan kerugian langsung bagi perusahaan sebesar sekian Rp/$. Hitungannya diukur dari sisi biaya langsung yang harus dikeluarkan oleh perusahaan.
Dampak keuangan tidak langsung, adalah ukuran suatu dampak risiko dilihat dari sudut pandang jika risiko tersebut benar-benar terjadi maka dampaknya akan menyebabkan kerugian tidak langsung bagi perusahaan sebesar sekian Rp/$ karena ada kegiatan yang hilang/tidak bisa dilaksanakan atau hilangnya waktu/kesempatan. Hitungannya diukur dari sisi biaya yang harus dikeluarkan perusahaan terkait dengan peristiwa risiko tersebut.
PROSEDUR TOLERANSI RISIKO
Prosedur penetapan toleransi (batasan) risiko dapat digambarkan sebagai berikut:
Gambar 9. Prosedur Penetapan Tolerasi Risiko
Faktor yang menjadi pertimbangan dalam menetapkan besaran toleransi risiko
(1) Kecukupan Dana Cadangan Risiko
Besaran toleransi dihitung berdasarkan besaran alokasi cadangan untuk menanggung kerugian apabila skenario terburuk risiko terjadi. Salah satu pertimbangan yang dapat digunakan adalah menganggarkan dana cadangan risiko perusahaan berdasarkan rata-rata rasio Batas Tingkat Solvabilitas Minimum (BTSM) atau Risk Based Capital sesuai ketentuan dan regulasi yang berlaku.
Semakin baik metodologi dan sistem pengukuran yang dipergunakan, maka semakin baik pula pengukuran risiko yang dihasilkannya khususnya dalam menggambarkan situasi sesungguhnya. Dengan demikian alokasi cadangan untuk menanggung risiko akan lebih proporsional, tidak berlebih atau kekurangan.
(2) Kinerja Usaha
Besaran toleransi juga dapat dihitung berdasarkan tingkat prosentase tertentu dari salah satu komponen pada laporan keuangan perusahaan. Contoh aplikasi pendekatan ini adalah dengan ditetapkannya persentase toleransi risiko dari premi/Imbal Jasa Penjaminan (IJP) yang dihasilkan sesuai ketentuan dan regulasi yang berlaku.
(3) Kualitas Pengawasan Internal
Satuan Pengawasan Internal bekerjasama dengan unit kerja lainnya harus memastikan Risk Owner benar-benar mengetahui, memahami, dan mematuhi batasan toleransi risiko yang telah ditetapkan oleh BOD. Oleh karena itu Unit Manajemen Risiko selalu mengembangkan sistem informasi dan pelaporan dimana setiap pemilik risiko (Risk Owner) dapat dengan mudah mengukur sendiri risiko yang ada di unitnya masing-masing dibandingkan dengan batas toleransi risiko yang telah ditetapkan. Apabila terjadi pelanggaran terhadap batas toleransi risiko, maka perlu dipertimbangkan kenaikan batasan toleransi risiko atau cadangan risiko perusahaan. Secara sistem perusahaan sudah menerapkan sistem pengendalian intrenal, sehingga semua data/informasi mengenai proses bisnis yang terkait dengan manajemen risiko sebenarnya sudah dikelola dengan baik.
(4) Kemampuan sistem internal menyelesaikan permasalahan dan transaksi bisnis
Semakin baik kemampuan sistem internal menyelesaikan setiap permasalahan dan risiko yang terjadi, maka semakin rendah dana cadangan risiko yang dialokasikan dan semakin ringan beban perusahaan. Sebaliknya, sistem internal yang tidak efektif dalam menyelesaikan permasalahan maka risiko-risiko inherent ada pada proses bisnis yang akan mengakibatkan toleransi risiko semakin besar dan semakin membebani dana cadangan risiko perusahaan.
(5) Kecepatan perusahaan merespon adanya ancaman dari eksternal
Manajemen perusahaan perlu menciptakan sistem informasi yang efektif dan cepat sehingga dapat mengantisipasi dengan perubahan eksternal yang mengancam perusahaan. Semakin cepat risk awarness dibangun, semakin cepat pula perusahaan melakukan perhitungan terhadap perubahan risiko yang ada dan mampu mengetahui kecukupan dan kekuatan dana cadangan. Sehingga manajemen dapat dengan cepat mengantisipasi segala kejutan-kejutan yang terjadi, bahkan bila diperlukan akan memberikan dukungan dalam bentuk dana cadangan risiko baru.
SEBAB, AKIBAT DAN DAMPAK RISIKO NON KEUANGAN
a. Sebab Risiko
Sebab risiko adalah faktor yang menimbulkan terjadinya suatu peristiwa risiko, biasanya dapat dicari dengan menggunakan pendekatan 6 M
• Man (manusia)
• Machine (mesin)
• Method (metoda kerja)
• Money (uang)
• Material (sumber daya perusahan lain yang mendukung pekerjaan)
• Market (pasar)
• Eksternal
Sebab risiko sebenarnya secara logika dapat dicari dengan menggunakan metoda diagram tulang ikan (fish bone method)
b. Akibat Risiko
Adalah dampak yang disebabkan oleh terjadinya suatu peristiwa risiko, misalnya akibat ketidakpatuhan manusia terhadap ketentuan yang berlaku maka akibat risikonya adalah terjadinya penyimpangan kerja yang bisa berkahir pada suatu dampak terhadap regulasi/hukum yang berlaku.
c. Dampak Risiko Non Keuangan
Adalah akibat dari suatu peristiwa risiko yang menyebabkan terjadinya penyimpangan atau gagalnya suatu proses kerja sehingga tidak tercapainya tujuan perusahaan. Dampak risiko non keuangan seringkali susah untuk diterjemahkan secara kuantitatif, namun untuk memudahkannya dampak risiko non keuangan dibagi sebagai berikut:
• Strategik
o Penempatan Investasi
o Hasil Pengembangan Investasi
o Informasi dan Teknologi
o Reputasi
o Pencapaian Sasaran Strategi Perusahaan
• Operasional
o Kehilangan Tenaga Ahli
o Motivasi Karyawan
o Pencapaian Kinerja (RKAP)
o Kepatuhan terhadap Regulasi Umum
o Kepatuhan terhadap Regulasi Khusus
o Penyampaian Laporan STOA
• Kebijakan dan Pemasaran
o Kebijakan Internal
o Kebijakan Limit Penutupan
o Pengembangan Produk dan Wilayah Baru
o Pengembangan Produk Yang Merugikan
• Eksternal
o Hukum dan Finansial
o Hukum non Finansial
o Perubahan Kebijakan Pemerintah
PENGENDALIAN DAN PENGAWASAN RISIKO
Pengendalian risiko dilakukan bersama-sama antar unit kerja dengan Unit Manajemen Risiko. Proses pengendalian risiko dilakukan dengan memperhatikan beberapa aspek penting, seperti:
a. Kebenaran Input data risiko, yang dilengkapi dengan akurasi catatan dan data pendukung setiap peristiwa risiko.
b. Akurasi pemilihan metoda pengukuran risiko
i. Probabilitas risiko: sesuai dengan pendekatan yang digunakan (poisson, binomial, aproksimasi dan pembanding).
ii. Dampak risiko: sesuai ketepatan perhitungan dampak keuangan atau pendekatan non keuangan
c. Kecepatan mengambil keputusan untuk menyetujui (approve) suatu peristiwa risiko.
d. Ketepatan memilih mitigasi risiko untuk mengurangi tingkat probabilitas dan dampak risiko sampai menjadi risiko yang inherent.
Pengawasan risiko tahap awal dilakukan dengan melibatkan Risk Owner dari setiap unit kerja baik operasional maupun non operasional. Setelah Risk Owner mengisi suatu peristiwa risiko, maka harus disetujui (approve) oleh para atasannya masing-masing. Tujuan dari kegiatan ini adalah untuk memastikan kebenaran data dan informasi risiko dan langkah-langkah mitigasi yang tepat untuk mengatasi peristiwa risiko tersebut.
Unit Manajemen Risiko melakukan kaji ulang terhadap keakurasian data dan ketepatan pemilihan metoda pengukuran serta keterkaitan dengan peristiwa risiko lainnya.
PELAPORAN RISIKO
Pelaporan risiko dilakukan dengan berbagai cara untuk memudahkan semua unit kerja yang terkait dalam penerapan ERMi. Ada 4 (empat) jenis laporan manajemen risiko antara lain:
1) Laporan setiap waktu, melalui sistem informasi manajemen risiko korporat terintegrasi dengan pendekatan teknologi informasi (software manajemen risiko), yang sudah dicanangkan bersama.
2) Laporan bulanan, yang disajikan oleh Unit Manajemen Risiko berupa risk register , saran mitigasi, peta risiko dan mutasi risiko dari seluruh peristiwa risiko.
3) Laporan triwulanan/kuartal, yang disajikan oleh Unit Manajemen Risiko. Berupa risk register, peta risiko dan mitigasi risiko serta analisa risiko inherent.
MITIGASI RISIKO (RISK RESPONSE)
Secara umum, perlakuan terhadap suatu risiko dapat berupa salah satu dari 4 jenis pengelolaan risiko berikut:
a. Menghindari risiko, yang berarti tidak melaksanakan atau meneruskan kegiatan yang menimbulkan risiko
b. Berbagi risiko, yaitu suatu tindakan untuk mengurangi kemungkinan timbulnya risiko atau dampak risiko. Kegiatan yang dapat dilakukanantara lain melalui: asuransi, outsourcing, subcontracting, lindung nilai transaksi.
c. Pengurangan risiko, yaitu melakukan tindakan/kegiatan untuk mengurangi kemungkinan timbulnya risiko bila terjadi dalam bentuk probabilitas dan/ dampak risiko.
d. Menerima risiko, yaitu tidak melakukan apapun untuk menghindar, berbagi atau mengurangi risiko tersebut.
Gambar 10. Probabilitas Dan Dampak Risiko
PEMANTAUAN RISIKO
Proses pemantauan risiko dilakukan melalui berbagai tahap kegiatan, seperti tergambar dalam bagan proses review internal dan eksternal dibawah ini. Adapun proses pemantauan risiko dilakukan melalui tahap:
a. Penetapan strategi manajemen risiko, dalam setiap langkah strategi yang dipilih oleh perusahaan tentu mengandung suatu risiko. Oleh sebab itu setiap pemilihan dan pengembangan alternatif strategi diperlukan kajian yang menyangkut risiko terhadap keputusan perusahaan.
b. Toleransi risiko, didalam proses pembuatan manual risiko maka diperlukan suatu kajian berupa batasan tentang risiko, sebab, akibat dan dampak risiko. Toleransi risiko perlu dipertimbangkan setiap 2 (dua) tahun sekali atau jika ada keadaan yang mendesak sehingga memerlukan perbaikan.
c. Eksekusi strategi, merupakan langkah pengamanan pertama yang dilakukan oleh perusahaan dalam menanggapi masukan terhadap setiap pemilihan dan pengembangan alternatif strategi.
Gambar 11. Proses Review Internal dan Eksternal
d. Eksekusi operasional, dalam pelaksanaan setiap langkah strategi yang dilakukan oleh perusahaan diperlukan input mengenai langkah-langkah pengamanan operasional dari setiap risiko yang mungkin terjadi. Input informasi mengenai risiko tersebut dilakukan oleh Risk Owner, yang selanjutnya akan dikaji oleh masing-masing unit kerja dan dipandu oleh Unit Manajemen Risiko. Langkah pengamanan operasional ini dapat berupa pengurangan, penurunan atau penghindaran terhadap suatu risiko atau biasa dinamakan tindakan mitigasi.
e. Sistem Pengendalian, melalui suatu penilaian kinerja (business performance) Perusahaan dapat mengetahui besaran pencapaian maupun biaya yang harus dikeluarkan di dalam setiap kegiatan operasional. Dalam prakteknya setiap kegiatan tersebut seharusnya sudah memasukan unsur pencadangan terhadap setiap risiko yang mungkin terjadi. Namun demikian apabila masih terjadi juga suatu peristiwa risiko, maka langkah pengendalian selanjutnya adalah mengupayakan tindakan mitigasi. Sistem pengendalian ini merupakan suatu proses yang berkesinambungan dan dilakukan secara konsisten sehingga mencapai suatu risiko yang inherent.
f. Preferensi Risiko, merupakan langkah bagian akhir dari pelaksanaan kegiatan manajemen risiko. Dari beberapa bagian kegiatan dan langkah-langkah yang telah dijelaskan diatas, maka akan timbul preferensi risiko yang berlaku di lingkungan perusahaan. Preferensi risiko ini tentunya dari waktu ke waktu akan terus mengalami perubahan dan pengembangan, agar mampu menjembatani antara kebutuhan internal dan perubahan serta kemauan eksternal terhadap keberadaan perusahaan pada saat ini dan masa mendatang.
SISTEM INFORMASI MANAJEMEN RISIKO
Pengolahan data risiko dan pembuatan laporan risiko secara periodik kepada BOD memerlukan sistem informasi berbasis komputer. Dalam pembangunan sistem informasi manajemen risiko dalam bentuk program aplikasi berbasis Web dilakukan beberapa langkah awal yaitu;
Langkah pertama yang dilakukan adalah mempelajari keinginan perusahaan tentang tujuan dibuatnya software tersebut. Didalam langkah ini termasuk diantaranya adalah apa saja data yang bisa diolah, bagaimana proses penginputan data, siapa saja yang sebaiknya dilibatkan dalam proses penginputan data.
Langkah kedua, membuat kerangka dasar program. Kegiatan yang dilakukan adalah membangun sendi dasar (pondasi) program,yang terdiri dari dimensi pengukuran dan pengelompokkan data. Kemudian membuat penyangga program untuk memproses data, yang terdiri dari: jenis data, format data, sistem approval dan jenis laporan. Berikutnya adalah membangun atap dari rancang bangun program dalam bentuk output, berupa sistem pelaporan manajemen risiko. Jika proses ini digambarkan maka dapat diilustrasikan seperti pada gambar di bawah ini.
Gambar 12. Rancang bangun software manajemen Risiko
Langkah ketiga, adalah melakukan uji coba dan sosialisasi program. Langkah uji coba dilakukan untuk mengurangi berbagai kemungkinan kesalahan dan kekurang-tepatan program manajemen risiko. Sosialisasi program dilakukan agar setiap Risk Champion/Risk Contact Person memahami bagaimana prosedur membuka program, menginput data/informasi peristiwa risiko, melampirkan data/informasi yang diperlukan, mengolah peristiwa risiko hingga menjadi laporan dan memanfaatkan program untuk keperluan evaluasi/monitoring.
Tujuan pembuatan software manajemen risiko antara lain:
a. Mempercepat proses penginputan dan perekaman data/informasi identifikasi Manajeme Risiko. Agar Risk Champion/Risk Contact Person lebih cepat dalam memasukkan data risiko, maka diperlukan keseragaman alat bantu berupa sistem manual dan sarana teknologi informasi dalam bentuk software.
b. Memudahkan pengukuran probabilitas dan dampak risiko
Untuk menyeragamkan sekaligus menyediakan alat bantu guna memudahkan pekerjaan Risk Champion/Risk Contact Person dan para penanggungjawab Unit Kerja, maka diperlukan alat yang sama dalam proses mengukur probabilitas dan dampak risiko.
c. Mempercepat penggambaran peta risiko,dan membuat risk register
Proses pencatatan peristiwa risiko yang dimulai dari input data risiko, menetapkan probabilitas risiko sampai menghitung dampak risiko, telah dilakukan melalui software. Oleh karena itu data base risiko yang sudah di input akan dipetakan, dan juga di catat kedalam suatu daftar risiko yang disebut sebagai risk register.
d. Memudahkan proses pencatatan mitigasi risiko melalui risk register.
Risk register merupakan catatan semua informasi yang berisi data/informasi tentang peristiwa risiko lengkap dengan langkah-langkah mitigasi risiko yang akan dan sudah dilakukan, termasuk hasil akhirnya.
e. Mengintegrasikan risiko secara korporat.
Yaitu upaya mengelola semua peristiwa risiko yang ada dalam organisasi, mengkomunikasinya dalam sarana teknologi informasi kepada setiap Unit Kerja, sehingga tercapainya sistem pengendalian korporat yang terintegrasi.
ORGANISASI MANAJEMEN RISIKO
Salah satu kunci keberhasilan penerapan ERM adalah ada organisasi manajemen risiko yang memanage pengelolaan risiko secara terintegrasi yang melibatkan seluruh komponen perusahaan mulai dari BOD dan seluruh karyawan. Organisasi unit manajemen risiko secara best practice biasanya setingkat dengan divisi, namun apabila ukuran perusahaan sangat besar dan kompleks maka unit manajemen risiko dapat setingkat Direktorat.
Unit manajemen risiko setingkat Divisi agar lebih efektif dan independen selayaknya berada langsung di bawah Direktur Utama. Hal ini perlu unit manajemen risiko diposisikan demikian untuk menghindari intervensi dari direktur lainnya dan bisa melakukan koordinasi dengan mudah secara lintas direktorat.
Peranan dan tanggung jawab organisasi ERM secara umum dapat dilihat pada bagan di bawah ini.
Gambar 13. Peranan dan Tanggung Jawab Organisasi ERM
Dalam organisasi ERM, ada organ organisasi yang penting yaitu dkenal sebagai Risk Contact Person atau Risk Owner atau Risk Champion. Pengertian Risk Owner adalah seluruh wakil dari unit kerja yang telah ditunjuk yang ada di seluruh unit kerja yang terlibat secara langsung dengan risiko dan bertindak sebagai pemilik risiko yang sesungguhnya (real Risk Owner) dari setiap transaksi ataupun kegiatan yang dilakukannya. Risk Owner bertindak independen terhadap Unit Manajemen Risiko.
STRUKTUR ORGANISASI MANAJEMEN RISIKO
Bagan berikut menggambarkan hubungan antara Kebijakan Strategis, Pedoman, Prosedur Operasi dan Arsitektur Sistem Informasi Manajemen Risiko
Gambar 14. Hubungan Antara Kebijakan Strategis, pedoman, Prosedur Operasi dan Arsitektur Sistem Informasi Manajemen Risiko
