MANAJEMEN RESIKO

Definisi Risiko menurut AS/NZS 4360:2004 : “the chance of something happening that will have an impact on objectives”

Definisi Risiko menurut Enterprise Risk Management - COSO : “Events with a negative impact represent risks, which can prevent value creation or erode existing value”

Definisi Manajemen Risiko menurut AS/NZS 4360: 2004 : The culture, processes, structures that are directed towards realizing potential opportunities while managing adverse effectsBerikut ketujuh strategi berikut pertimbangannya, yaitu:

Definisi Manajemen Risiko menurut Enterprise Risk Management – COSO: A process , effected by an entity’s board of directors, management and other personnel, applied in strategy-setting and across enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives (COSO)

Tujuan

Kerangka manajemen risiko yang dibangun dalam suatu organisasi dimaksudkan untuk mencapai tujuan yang dibagi dalam 4 kategori, yaitu:

•           Strategic; goal tingkat tinggi yang diarahkan untuk mendukung misi yang dimiliki organisasi.

•           Operations; pemanfaatan yang efektif dan efisien dari sumber-sumber yang tersedia.

•           Reporting; dapat diandalkan atau dipercayanya laporan baik internal maupun eksternal.

•           Compliance; ketaatan terhadap berbagai undang-undang dan peraturan yang berlaku.

Komponen manajemen risiko terdiri dari 8 komponen yang saling berhubungan. Komponen ini diambil dari cara bagaimana manajemen melaksanakan organisasinya dan diintegrasikan dengan proses manajemen. Kedelapan komponen manajemen risiko ini adalah:

-           Internal environment

-           Objective setting

-           Event identfication

-           Risk assessment

-           Risk response

-           Control activities

-           Information and communication

-           Monitoring

Internal Environment

•           Filosofi manajemen risiko; seperangkat keyakinan dan perilaku yang dirasakan bersama, yang mencirikan bagaimana organisasi ini mempertimbangkan risiko dalam segala aspek di organisasi

•           Risk appetite; risiko dalam wawasan dan tingkatan yang luas di mana organisasi masih dapat menerimanya

•           Direksi dan komisaris; struktur, pengalaman, independensi, dan peran pengawasan yang dimainkan oleh dewan

•           Integritas dan nilai-nilai etika; terutama standar perilaku dan gaya kepemimpinan serta berbagai tindakan yang secara etika diterima dan berlaku di organisasi

•           Komitmen terhadap kompetensi; pengetahuan dan keahlian yang dibutuhkan untuk melaksanakan tugas-tugas yang dibebankan

•           Struktur organisasi; suatu kerangka untuk merencanakan, melaksanakan, mengendalikan, dan memantau berbagai aktivitas

•           Pembebanan wewenang dan tanggung jawab; tingkatan di mana setiap individu dan tim diberikan wewenang dan didorong untuk menggunakan insiatif untuk mengarahkan berbagai isu dan memecahkan masalah-masalah, sebatas apa yang menjadi tanggung jawabnya

•           Standar atau kriteria sumber daya manusia; praktik-praktik berkenaan dengan rekrutmen, orientasi, pelatihan, evaluasi, konseling, promosi, kompensasi, dan tindakan –tindakan perbaikan yang diambil

Objective Setting

•           Tujuan ditetapkan di tingkat strategi dan menjadi dasar untuk menentukan tujuan operasi, pelaporan, dan kepatuhan. Setiap organisasi menghadapi berbagai macam risiko baik yang berasal dari sumber internal maupun eksternal.

•           Penetapan tujuan merupakan prasyarat untuk efektifnya proses identifikasi kejadian, penilaian risiko, dan respon terhadap risiko.

•           Tujuan menjadi acuan untuk menentukan risk appetite organisasi yaitu sebagai batas toleransi risiko bagi organisasi yang dapat diterima. Sedangkan, risk tolerance adalah tingkat ukuran yang dapat diterima berkaitan dengan pencapaian tujuan organisasi.

Event Identification

•           Manajemen mengidentifikasi kejadian yang berpotensi terjadi, dan jika memang terjadi akan mempengaruhi entitas dan menentukan apakah kejadian-kejadian tersebut merupakan peluang atau ancaman yang mempengaruhi pencapaian tujuan.

•           Kejadian-kejadian yang berdampak negatif merupakan risiko yang mungkin dapat menghambat organisasi mencapai tujuannya.

•           Sementara, kejadian-kejadian yang memberikan dampak positif merupakan peluang yang harus segera direspon organisasi untuk memperlancar pencapaian tujuan. Dalam mengidenti-fikasi kejadian, berbagai faktor baik internal maupun eksternal harus dipertimbangkan.

Risk Assessment

•           Penilaian risiko (risk assessment) memungkinkan suatu entitas mempertimbangkan luasnya kejadian-kejadian potensial memiliki pengaruh untuk suatu pencapaian tujuan.

•           Manajemen menilai kejadian dari 2 (dua) perspektif, yaitu: kemungkinan terjadi (likelihood) dan dampak (impact). Umumnya, penilaian risiko menggunakan metode kuantitaf atau kualitatif, atau kombinasi di antara keduanya.

•           Dampak dari kejadian potensial harus diuji, baik secara tersendiri atau kategori, lintas entitas. Risiko dinilai baik dari hal yang melekat (inherent) dan sisanya (residual ).

•           Inherent risk adalah risiko yang melekat di organisasi sebelum upaya tindakan untuk mengubah kemungkinan dan dampak risiko.

•           Residual risk adalah risiko yang tetap ada setelah manajemen merespon risiko, misal dengan mengurangi atau memindahkan risiko.

•           Penilaian risiko pertama harus dilakukan terhadap inherent risk. Setelah respon terhadap risiko dikembangkan, manajemen kemudian mempertimbangkan residual risk (relatif pada risk appetite organisasi).

 Risk Response

•           Setelah risiko dinilai, majajemen menentukan bagaimana risiko tersebut direspon.

•           . Metode yang dipakai dalam menangani risiko (Flanagan & Norman, 1993):

1. ·   Diterima (Risk Retaining). Strategi ini dilakukan apabila risiko diketahui dimana biaya penanganan lebih besar dari pada risiko itu sendiri dan perusahaan dianggap mampu untuk menangani. Penanganan dengan allowance (kebijakan perusahaan / cabang / divisi / proyek) dengan risk contigency yang layak.
2. ·        Dihindari (Risk Avoidance). Pada strategi ini risiko diketahui dimana impact sangat besar dan luas dan sulit atau tidak dapat dikendalikan.
3. ·       Dibagi (Risk Sharing). Strategi ini dilakukan apabila biaya penanganan risiko dan dampak risiko hampir sama besarnya. Pembagian risiko yang mendistribusikan risiko yang ada ke pihak yang dianggap lebih mampu akan membuat biaya penanganan risiko akan lebih kecil sehingga lebih layak untuk diterima.
4. ·   Dikurangi (Risk Reducing). Strategi ini dilakukan apabila risiko diketahui dimana biaya penanganan risiko masih lebih rendah dari risiko itu sendiri. Tindakan mitigasi lebih diarahkan untuk mengurangi dampak risiko. Caranya dengan pendekatan alternatif seperti mengusulkan perubahan lingkup pekerjaan, perubahan metode, mutu, atau schedulenya. Pada strategi ini, diyakini perusahaan mampu mengendalikan dengan suatu perencanaan yang matang.
5. ·       Diabaikan (Risk Ignoring). Tindakan strategi ini apabila risiko diketahui dimana dampak dan frekuensi risiko kecil atau sangat kecil dimana organisasi dan prosedur yang ada diyakini akan dapat mengeliminir risiko ini.
6. ·      Dipindahkan (Risk Transfer). Strategi ini apabila perusahaan dianggap akan sangat kesulitan dalam mengantisipasi risiko yang mungkin terjadi baik dampak maupun kemungkinannya. Strategi ini dilakukan dengan cara kontraktual pada klausa kontraknya dan jaminan atau bank garansi serta dengan asuransi.
7. ·         Kombinasi. Strategi ini adalah tindakan yang merupakan gabungan dari dua atau lebih strategi yang terdapat pada item no 1-6. Strategi ini baik dilakukan apabila langkah penanganan tidak membuat kompleksitas proyek berlebihan.

Control Activities

•           Kegiatan pengendalian merupakan kebijakan dan prosedur yang dapat membantu memastikan bahwa respon terhadap risiko yang dilakukan manajemen dilaksanakan.

•           Berapa contoh kegiatan pengendalian, yaitu:

-           Review oleh pimpinan (misal: review terhadap budget, monitoring tindakan komptetior)

-           Fungsi atau aktivitas langsung manajemen (misal: rekonsiliasi)

-           Pemrosesan informasi (misal: pengendalian operasi sistem, pengendalian atas sistem implementasi, pembuatan disaster recovery plan)

-           Pengendalian fisik (misal: penghitungan fisik kas, pengamanan langsung)

-           Penggunaan indikator kinerja (misal: analisis dan tindak lanjut penyimpangan dari target atau kinerja yang direncanakan)

-           Pemisahan tugas (misal: pemisahan wewenang dan tanggung jawab antara petugas yang mengotorisasi rekanan, membayarkan, dan mencatat transaksi yang berkaitan).

Information and Communication

•           Informasi harus cukup dalam konsistensinya dengan kebutuhan entitas untuk mengidentifikasi, menilai, dan merespon risiko, dengan tetap dalam risk tolerance-nya.

•           Sistem informasi yang digunakan secara internal, berasal dari dari data dan informasi yang berasal dari sumber eksternal, menyajikan informasi untuk mengelola risiko dan membuat keputusan yang informatif berkaitan dengan pencapaian tujuan.

•           Pada akhirnya, informasi harus cukup berkualitas untuk pengambilan keputusan. Kualitas informasi berhubungan dengan:

•           Informasi harus sesuai dengan tingkat kerinciannya benar dan akurat.

•           Informasi tepat waktu dan tersedia setiap saat jika dibutuhkan.

•           Informasi selalu baru, mencerminkan informasi keuangan dan operasional yang paling terkini.

•           Informasi harus akurat dan dapat diandalkan (dipercaya)

•           Informasi mudah untuk diakses oleh siapa pun yang memiliki otorisasi untuk mengakses dan membutuhkan informasi tersebut

Monitoring

•           Proses manajemen risiko harus dimonitor, yaitu dinilai keberadaan dan berfungsi efektifnya untuk setiap komponen yang ada di dalamnya secara terus menerus.

•           Model yang digunakan untuk melakukan monitoring adalah melalui monitoring kegiatan secara terus menerus, penilaian terpisah, atau kombinasi di antara keduanya.

•           Monitoring secara terus menerus dilakukan dan melekat dalam aktivitas rutin manajemen.

•           Ruang lingkup dan frekuensi penilaian terpisah tergantung terutama pada hasil penilaian risiko dan efektifitas prosedur monitoring yang terus menerus.

•           Kelemahan atau kekurangan program manajemen risiko dilaporkan ke atas dan untuk permasalahan yang sangat serius harus dilaporkan kepada direksi dan komisaris

.

Penilaian Kematangan MR

•           Memperoleh gambaran sejauh mana organisasi (auditi) menentukan, menilai, mengelola, dan memantau risiko

•           Guna menentukan keandalan daftar dan profil risiko auditi untuk perencanaan ABR

Digambarkan dalam 5 tingkat kematangan MR

1.                  tahap krusial dalam menentukan apakah RBIA siap diterapkan dalam audit atas organisasi yaitu mengukur risk maturity :

2.                  bertemu dengan para manajer senior dan kepala unit kerja, untuk mengetahui proses-proses apa saja yang telah dilakukan dalam rangka meningkatkan membangun manajemen risiko organisasi selama ini.

3.                  evaluasi pemahaman organisasi mengenai risiko dan cara mengelolanya.

4.                  kumpulkan berbagai informasi yang terkait dengan risiko, seperti tujuan organisasi, proses dalam mengukur risiko, risk appetite yang dianut perusahaan, bagaimana manajemen mempertimbangkan risiko, dan lainnya.

5.                  buat penilaian terhadap keseluruhan proses dengan menggunakan model ceklist

Referensi

Flanagan,  R  &  Norman,  G.1993,  Risk Management         and Construction.       Blackwell Science, London.

http://share.its.ac.id/pluginfile.php/42724/mod_resource/content/1/M.%20Resiko%201.pdf

itjen.ristekdikti.go.id/wp-content/uploads/2016/.../Manajemen-Risiko_Ristekdikti.pdf