Enterprise risk management atau ERM adalah metodologi manajemen risiko, yang mengambil pendekatan dari atas ke bawah terhadap proses manajemen risiko, dan mempertimbangkan tujuan bisnis dan tujuan strategis organisasi dan manajemen senior.
ERM mengintegrasikan strategi manajemen risiko tradisional, praktik-praktik terbaik pengendalian internal, dan aktivitas-aktivitas risiko yang terpisah-pisah, sehingga memberikan pandangan yang lebih mendalam kepada para pemangku kepentingan mengenai profil risiko perusahaan.
Praktik manajemen risiko memiliki sejarah yang panjang, dengan asal-usul sejak tahun 1920-an. Seiring berjalannya waktu, dan sekitar pergantian abad, praktik-praktik risiko menjadi pusat perhatian seiring dengan meningkatnya fokus pada pengendalian internal dan berkembangnya kerangka kerja manajemen risiko atau risk management framework(RMF).
Seiring dengan berkembangnya disiplin manajemen risiko, organisasi dan praktisi menyadari bahwa pendekatan manajemen risiko sebelumnya – yang sering kali mengandalkan unit bisnis untuk mengelola risiko dan rencana mitigasi mereka sendiri – memungkinkan risiko melewati celah di antara silo-silo.
Kebutuhan akan pendekatan manajemen risiko yang terpusat dan menyeluruh untuk manajemen risiko secara bertahap menjadi jelas. Maka, lahirlah metodologi enterprise risk management (ERM), yang mewakili perkembangan dalam cara para pemangku kepentingan, manajemen senior, dan bahkan pemerintah berpikir tentang risiko organisasi.
Perkembangan lain dari manajemen risiko termasuk manajemen risiko operasional (ORM), manajemen risiko TI (ITRM), manajemen risiko proyek (PRM), dan manajemen risiko rantai pasokan (SCRM), yang semuanya dapat dikonsolidasikan ke dalam program enterprise risk management.
Dengan membangun program ERM yang kuat, organisasi dapat lebih memahami selera risiko mereka dan meningkatkan kemampuan pengambilan keputusan, memprioritaskan inisiatif dan rencana mitigasi yang mendukung tujuan perusahaan.
Selain itu, banyak persyaratan peraturan dan bahkan organisasi lain mengamanatkan beberapa jenis penilaian risiko atau proses manajemen risiko yang dimasukkan ke dalam program ERM.
Proses ERM mendorong komunikasi yang efektif dan berbagi pengetahuan tentang potensi risiko, memfasilitasi pelaporan yang lebih baik dan tepat waktu – dan idealnya respons risiko yang lebih efisien dan efektif.
Baca terus untuk mengetahui hal-hal penting dalam enterprise risk management, dan bagaimana menerapkan proses ERM di organisasi Anda.
Komponen dalam Enterprise Risk Management
Bergantung pada kerangka kerja ERM yang dipilih organisasi Anda, mungkin terdapat jumlah atau kategorisasi komponen yang berbeda – namun terdapat tema-tema yang sama di antara berbagai kerangka kerja.
Pada artikel ini, kami telah mengidentifikasi lima komponen utama ERM, yang secara longgar didasarkan pada COSO (Committee of Sponsoring Organizations of the Treadway Commission) Enterprise Risk Management – Integrated Framework (ERM-IF).
Kerangka kerja lain memiliki komponen yang berbeda-beda, meskipun mengikuti tema yang sama.
Lima komponen enterprise risk management adalah:
- Budaya, Tata Kelola, dan Nilai Perusahaan
- Perencanaan Strategis, Tujuan, dan Penetapan Sasaran
- Siklus Manajemen Risiko (COSO menyebutnya “Kinerja”)
- Pemantauan dan Peningkatan Berkelanjutan (COSO menyebutnya “Peninjauan dan Revisi”)
- Transparansi, Komunikasi, dan Pelaporan
1. Budaya, tata kelola, dan nilai perusahaan
Budaya perusahaan, struktur tata kelola, dan nilai-nilai organisasi memainkan peran utama dalam membangun dan mempertahankan program enterprise risk management yang sukses.
Lingkungan internal yang ditentukan oleh kebijakan, prosedur, kode etik, norma tim, dan norma operasional mempengaruhi bagaimana karyawan dan unit bisnis memandang risiko, dan seberapa besar keterlibatan mereka dalam strategi risiko secara keseluruhan.
Sebuah organisasi dengan budaya dan nilai yang sadar risiko akan lebih mudah menerapkan dan menjalankan proses ERM.
Komponen ERM ini juga berkaitan dengan tone-at-the-top organisasi, struktur operasi secara keseluruhan, dan retensi.
Seperti yang kita ketahui, sikap, nilai, dan tindakan dari kepemimpinan dan manajemen senior perusahaan memiliki efek riak ke seluruh organisasi, dan kepemimpinan yang tidak etis bahkan dapat menyebabkan risiko yang akan terjadi.
Struktur operasi yang tidak didefinisikan atau dibangun dengan baik membawa potensi risiko yang berkaitan dengan pemenuhan harapan pelanggan dan menjaga kualitas produk.
Terlepas dari tekanan dan politik yang terkait dengan manajemen senior, budaya perusahaan, dan tata kelola, para profesional risiko dan tim tidak dapat menutup mata terhadap lingkungan internal organisasi mereka, dan harus terus mengidentifikasi dan mendokumentasikan eksposur risiko yang mungkin terjadi dalam praktik-praktik manajemen.
Menunjuk atau mempekerjakan Chief Risk Officer (CRO) untuk mengawasi proses manajemen risiko bisnis, berkomunikasi dengan pimpinan, dan bertanggung jawab atas program ini merupakan langkah yang baik untuk memperkuat ERM.
Baca juga: Memahami Pentingnya Batch Number dalam Manajemen Produk
2. Perencanaan strategis, tujuan, dan penetapan sasaran
Perencanaan strategis, tujuan, dan penetapan tujuan adalah komponen lain dari enterprise risk management.
Karena prinsip-prinsip dasar ERM menggunakan pendekatan top-down, langkah penting dalam proses ini adalah berkolaborasi dengan para pemangku kepentingan, manajemen senior, dan bahkan Direksi untuk menentukan tujuan, sasaran, dan strategi perusahaan untuk mencapai tujuan tersebut.
Setelah semua ini ditetapkan, proses identifikasi, penilaian, tanggapan, pelaporan, dan pemantauan risiko dapat dimulai.
Sebagai bagian dari tahap ini, manajemen senior harus menentukan nilai dan ambang batas risiko mereka, menarik garis di sekitar risiko yang akan mereka terima, versus risiko yang tidak boleh diterima.
Jika memungkinkan, risiko-risiko utama yang memiliki dampak material atau signifikan terhadap bisnis juga harus diidentifikasi dan didiskusikan.
Ini adalah saat yang tepat untuk memutuskan apakah perusahaan akan menggunakan kerangka kerja enterprise risk management yang sudah ada, atau kerangka kerja yang dibuat khusus, dan untuk bertukar pikiran tentang metrik dan key risk indicator (KRI) yang dapat digunakan organisasi untuk mengukur kinerja manajemen risikonya.
Baca juga: Equity Crowdfunding: Cara Kerja, Kelebihan, dan Kekurangannya
3. Siklus manajemen risiko
Setelah manajemen senior menetapkan tujuan dan sasaran organisasi, serta menentukan selera risiko mereka, siklus identifikasi risiko, penilaian risiko, mitigasi risiko, dan respons dapat dimulai.
Pada titik ini, jika Anda belum melakukannya, sebaiknya Anda mulai memperbarui daftar risiko atau pustaka risiko Anda saat Anda melanjutkan langkah-langkah analisis risiko.
Identifikasi Risiko
Identifikasi risiko harus menjadi proses yang berkelanjutan dan berkesinambungan, dengan daftar risiko organisasi yang diperbarui dengan setiap risiko yang baru diidentifikasi.
Pada langkah ini, perusahaan memeriksa lingkungan internal, proses bisnis, dan kebijakannya untuk menentukan potensi risiko dan mengembangkan pernyataan risiko untuk masing-masing risiko.
Pernyataan risiko harus didokumentasikan dalam daftar risiko perusahaan, dan ditulis dengan suatu kondisi, kemudian konsekuensinya jika kondisi tersebut terjadi.
Selama identifikasi risiko, perusahaan harus waspada terhadap semua jenis risiko, termasuk risiko digital, yang sering kali diabaikan atau tidak diperhitungkan secara keseluruhan oleh banyak organisasi.
Penilaian risiko
Setelah identifikasi, risiko perlu dinilai, baik dari segi kategori maupun skor risiko secara keseluruhan. Kadang-kadang disebut sebagai analisis risiko, langkah ini menghasilkan kategorisasi dan prioritas risiko yang teridentifikasi.
Baca juga: Gross Merchandise Value (GMV): Pengertian, Rumus, dan Contoh Penghitungannya
Risk scoring (kemungkinan dan dampak)
Metode yang paling sederhana dan diterima secara umum untuk menilai risiko adalah dengan menetapkan skor kemungkinan atau probabilitas dan skor dampak atau tingkat keparahan terhadap risiko, dan kemudian mengalikannya untuk mendapatkan “skor risiko” kumulatif.
Sebagian besar perusahaan menggunakan matriks penilaian risiko 3×3 atau 5×5, dengan matriks yang memiliki kemungkinan dan dampak terendah, dan angka yang lebih tinggi menunjukkan kemungkinan dan dampak yang lebih besar.
- Kemungkinan dapat ditentukan dengan menilai seberapa besar kemungkinan suatu risiko akan terjadi atau terwujud. Semakin besar kemungkinan suatu peristiwa terjadi, semakin tinggi skor kemungkinannya.
- Dampak dapat diketahui dengan menganalisis seberapa parah dampak yang akan ditimbulkan terhadap perusahaan jika risiko tersebut terealisasi. Semakin parah dampaknya terhadap organisasi, semakin tinggi pula skor dampaknya.
Dengan memberikan skor risiko kuantitatif dan memberi kode warna yang sesuai pada risiko, tim dapat lebih memprioritaskan risiko mana yang perlu ditangani terlebih dahulu, dan dapat menghasilkan rencana aksi dan strategi mitigasi yang tepat.
Jenis kategori risiko
Ada berbagai jenis kategori risiko, termasuk: risiko strategis, keuangan, operasional, kepatuhan, keamanan, reputasi, dan eksternal, dan masih banyak lagi.
- Risiko Strategis: Risiko strategis melibatkan strategi dan tujuan bisnis perusahaan. Risiko di bidang ini dapat terjadi ketika bisnis tidak mengikuti rencana strategis, gagal menentukan strategi perusahaan, dan/atau menyiapkan rencana yang tidak memadai. Dampak dari risiko strategis yang terjadi dapat terjadi di seluruh organisasi, mulai dari manajemen senior hingga proses bisnis granular.
- Risiko Keuangan: Jenis risiko ini melibatkan perencanaan keuangan, pengelolaan utang, dan perubahan pasar, serta faktor-faktor lain yang dapat memengaruhi keuangan organisasi. Ada subtipe risiko keuangan, seperti risiko mata uang, gagal bayar, dan likuiditas. Risiko-risiko ini sering kali merupakan risiko signifikan yang mendapat perhatian besar dari para pemimpin, dan dapat berdampak mendasar pada keputusan bisnis. Sebagai solusi meminimalisisr risiko keuangan, Anda bisa mencoba menggunakan software akuntansi online Kledo secara gratis melalui tautan pada gambar di bawah ini:
Baca juga: Analisis Risiko: Pengertian, Fungsi, Metode, dan Prosesnya
- Risiko Operasional: Risiko operasional berdampak pada fungsi bisnis sehari-hari, dan terjadi ketika proses bisnis, pengendalian, atau sistem gagal. Risiko dalam kategori ini dapat memengaruhi kemampuan organisasi untuk mengirimkan produk dan layanannya tepat waktu. Kegagalan menyelesaikan tugas internal dan administratif juga dapat berdampak buruk pada perusahaan. Contoh risiko operasional dapat mencakup, namun tidak terbatas pada, krisis global, kegagalan sistem TI, bencana alam, dan kesalahan karyawan.
- Risiko Kualitas: Risiko kualitas mempengaruhi produk atau layanan yang dikonsumsi pelanggan. Segala risiko terhadap kualitas produk atau layanan, atau terhadap kontrol dan proses yang memastikan kualitas memenuhi ambang batas yang dapat diterima akan termasuk dalam kelompok ini. Ketika risiko kualitas disadari, hal tersebut dapat mempengaruhi kepuasan dan kepercayaan pelanggan.
- Risiko Kepatuhan: Risiko kepatuhan adalah risiko yang terkait dengan kewajiban hukum, peraturan, dan kontrak. Risiko kepatuhan terjadi ketika pengendalian kepatuhan gagal beroperasi secara efektif, tidak menangani risiko secara keseluruhan, dan/atau jika organisasi tidak berhasil memenuhi kewajibannya. Dampak dari kategori risiko ini biasanya berupa denda, pemutusan kontrak, dan/atau ketidakmampuan memperoleh sertifikasi atau pengesahan.
- Risiko Keamanan: Risiko keamanan dan keamanan siber berkaitan dengan postur keamanan organisasi, baik secara fisik maupun virtual. Ancaman dunia maya terus berkembang dalam kompleksitas, dan pelaku kejahatan menargetkan perusahaan untuk mengambil data, meminta uang tebusan, dan mengeksploitasi kerentanan. Kategori risiko ini berkembang pesat dan menjadi prioritas utama tim risiko. Kerugian akibat pelanggaran keamanan siber meningkat setiap tahunnya, dan peningkatan kejahatan siber tidak menunjukkan tanda-tanda akan berhenti.
- Risiko Reputasi: Risiko ini dapat berdampak pada posisi organisasi di mata klien, mitra, investor, karyawan, badan pengatur, pelanggan, dan masyarakat. Risiko reputasi sering kali muncul ketika perusahaan mengambil keputusan yang menunjukkan kurangnya kompetensi atau kesadaran terhadap isu-isu sosial dan lingkungan.
- Risiko Eksternal: Risiko eksternal, tidak seperti kategori risiko yang disebutkan di atas, tidak berasal dari kemampuan atau ketidakmampuan organisasi untuk menyelesaikan suatu fungsi, menetapkan pengendalian, atau memitigasi risiko. Risiko-risiko ini tidak dapat dikendalikan dan dapat mencakup peristiwa-peristiwa seperti bencana alam, perselisihan geopolitik, perubahan iklim, dan pergolakan sosial. Meskipun perusahaan mungkin tidak dapat mencegah kejadian ini, mereka dapat membuat rencana darurat untuk membatasi kerusakan tambahan.
Baca juga: Penilaian Risiko: Matrik, Contoh, dan Tahapannya dalam Bisnis
Respon risiko
Setelah risiko dinilai dan dikategorikan, dan hasilnya dicatat dalam daftar risiko, praktisi risiko, pemangku kepentingan bisnis, dan manajemen dapat mulai menentukan strategi enterprise risk management dan rencana respons risiko mereka.
Setiap risiko yang teridentifikasi dan dinilai kini harus “diperlakukan” sesuai dengan selera dan ambang batas risiko bisnis. Perlakuan risiko mempunyai empat bentuk umum:
- Mitigasi Risiko: Perusahaan mengatasi risiko dengan pengendalian dan proses untuk membatasi kemungkinan dan/atau dampaknya.
- Penghindaran Risiko: Perusahaan menghindari risiko, biasanya dengan tidak melanjutkan peluang atau keputusan tersebut.
- Pengalihan Risiko: Perusahaan memindahkan risiko ke penyedia pihak ketiga atau asuransi.
- Penerimaan Risiko: Perusahaan memilih untuk menerima risiko. Pilihan ini hanya boleh digunakan jika semua kemungkinan penanganan risiko lainnya telah habis, atau jika dampak risiko dapat diabaikan.
Dari metode pengobatan yang dipilih, tim kemudian dapat menyusun rencana tindakan untuk menyesuaikan setiap risiko.
Keputusan-keputusan ini harus didokumentasikan (dalam daftar risiko) terlepas dari metode penanganan yang digunakan, beserta justifikasi jika organisasi memilih untuk menerima, mengalihkan, atau menghindari suatu risiko.
Ketika memilih untuk memitigasi risiko, bisnis mungkin harus menetapkan aktivitas atau proses pengendalian baru untuk mencapai hasil yang diinginkan.
Aktivitas Pengendalian
Fase terakhir dalam siklus enterprise risk management melibatkan pendefinisian, penerapan, dan pelaksanaan aktivitas pengendalian yang memitigasi risiko yang teridentifikasi.
Pengendalian baru mungkin harus diterapkan untuk mengatasi kesenjangan, dan proses baru mungkin perlu dituangkan dalam dokumentasi untuk menguraikan langkah-langkah yang harus diikuti oleh karyawan.
Aktivitas pengendalian adalah aktivitas yang ditentukan oleh kebijakan dan prosedur yang menangani risiko dan mendukung tujuan manajemen. Hal ini terjadi di setiap tingkat perusahaan, mulai dari proses bisnis, pengendalian teknologi, hingga perencanaan strategis.
Baca juga: Mengetahui 4 Jenis Risiko Keuangan dalam Bisnis dan Cara Mitigasinya
4. Pemantauan dan perbaikan berkelanjutan
Memantau dan terus meningkatkan program Anda merupakan komponen kunci lain dari fungsi enterprise risk management yang efektif.
Organisasi harus memantau kinerja program manajemen risiko mereka secara berkala, menetapkan tolok ukur untuk menilai hasilnya dari tahun ke tahun.
Melalui pemantauan aktivitas ERM, perusahaan dapat mengantisipasi perubahan skala besar di organisasi yang dapat mempengaruhi strategi risiko secara keseluruhan. Setiap perubahan substansial pada proses ERM harus tercermin dalam dokumentasi, seperti kebijakan dan prosedur.
Perbaikan berkelanjutan merupakan langkah alami dalam pemantauan. Profil risiko organisasi, strategi enterprise risk management, dan pemangku kepentingan akan berubah seiring waktu, sehingga program ERM perlu diperbarui secara berkala.
Dengan menangkap observasi dan kesenjangan melalui proses pemantauan, tim risiko dapat mengulangi dan meningkatkan enterprise risk management.
Baca juga: Pengertian Manajemen Risiko Keungan dan Strategi Implementasinya
5. Transparansi, komunikasi, dan pelaporan
Komponen terakhir yang kami identifikasi sebagai bagian dari enterprise risk management adalah transparansi, komunikasi, dan pelaporan. Untuk menciptakan feedback yang berharga, hasil dan status inisiatif ERM harus dikomunikasikan kepada pemangku kepentingan terkait dan dilaporkan kembali kepada pimpinan.
Feedback mereka harus diminta dan dipertimbangkan untuk mengoptimalkan program ERM.
Laporan enterprise risk management mencakup informasi tentang program, laporan formal mengenai risiko, mitigasi, budaya, dan kinerja program.
Tetap memperhatikan audiens dan menyesuaikan laporan untuk memenuhi kebutuhan manajemen senior dapat sangat membantu dalam mengkomunikasikan pesan Anda dan mendapatkan dukungan dari eksekutif.
Baca juga: Mengenal Berbagai Jenis Risiko Bisnis dan Solusi Menimalisirnya
Apa Manfaat Enterprise Risk Management dalam Bisnis?
Enterprise risk management mengambil pandangan holistik mengenai postur risiko, tujuan, dan lingkungan internal suatu organisasi, yang menyatukan aktivitas manajemen risiko yang dulunya terisolasi.
Selain memberikan pandangan yang lebih komprehensif mengenai risiko dan rencana tindakan perusahaan, proses ERM mendorong kolaborasi antar unit bisnis yang berbeda untuk tujuan memitigasi dan mengelola risiko dengan lebih baik.
Praktik ERM menawarkan manfaat lain dalam bentuk pelaporan risiko yang terstandarisasi, peningkatan fokus pada risiko, efisiensi yang lebih besar dalam alokasi sumber daya, koordinasi kepatuhan yang efektif, dan peningkatan kepercayaan diri.
Pelaporan risiko terstandarisasi
Program enterprise risk management berupaya menyatukan fungsi-fungsi risiko yang terpisah dan mengkonsolidasikannya untuk memberikan gambaran menyeluruh tentang organisasi.
Sebagai bagian dari konsolidasi ini, fungsi enterprise risk management cenderung menetapkan standar pelaporan risiko yang mempengaruhi seluruh atau sebagian besar aktivitas manajemen risiko.
Dengan menstandardisasi format, konten, dan struktur pelaporan risiko, perusahaan tidak lagi membandingkan apel dengan jeruk, melainkan memiliki serangkaian parameter yang konsisten untuk dibandingkan di seluruh organisasi dan mengukur kinerja enterprise risk management.
Meningkatkan fokus dan perspektif terhadap risiko
Metodologi ERM dimulai dari puncak organisasi, dengan manajemen senior menetapkan tujuan dan mengambil risiko dari tujuan strategis tersebut.
Karena kepemimpinan terlibat dalam proses ERM sejak awal, mendorong fokus pada risiko, hal tersebut mengalir ke manajemen, tim mereka, dan karyawan yang membentuk mereka.
Dengan pesan dan inisiatif kuat yang berpusat pada risiko yang datang dari atas, seluruh organisasi didorong untuk berpartisipasi dalam enterprise risk management dan memelihara budaya kesadaran risiko.
Praktik enterprise risk management mengambil pandangan risiko yang luas, memperluas perspektif pemangku kepentingan, memperdalam wawasan mereka, dan berkontribusi terhadap keputusan mereka.
Pengambilan keputusan mengintegrasikan pertimbangan dan informasi risiko sekaligus membandingkannya dengan selera dan ambang batas risiko organisasi.
Baca juga: Manajemen Risiko: Pengertian, Prinsip, Tahapan, dan Fungsinya
Koordinasi regulasi yang efektif
Seperti yang telah kami sebutkan sebelumnya, salah satu tujuan enterprise risk management sebagai suatu disiplin ilmu adalah untuk meningkatkan koordinasi dan kolaborasi antar unit bisnis yang berbeda saat mereka mengelola risiko.
Fungsi ERM diposisikan sebagai pusat strategi manajemen risiko organisasi, dan berupaya mengembangkan pemahaman menyeluruh tentang profil risiko perusahaan secara keseluruhan.
Melalui komunikasi dan kerja tim dengan unit-unit bisnis, pendekatan ERM membangun hubungan kepercayaan dan transparansi yang mendorong koordinasi yang lebih baik antara fungsi-fungsi manajemen risiko yang berbeda.
Efisiensi yang lebih besar dalam alokasi sumber daya
Dengan komunikasi, kolaborasi, dan koordinasi yang lebih baik, program ERM mendorong efisiensi dalam alokasi sumber daya untuk aktivitas berisiko.
Fungsi ERM memiliki pandangan komprehensif mengenai profil risiko perusahaan, termasuk tujuan dan prioritas makro. Oleh karena itu, tim ERM diperlengkapi dengan baik untuk mengalokasikan sumber daya jika dibutuhkan, dan berdasarkan pengambilan keputusan yang sadar risiko.
Baca juga: Pengertian Risiko Usaha dan Cara Mengatasinya yang Wajib Diketahui
Kesimpulan
Metodologi enterprise risk management memberikan organisasi pandangan holistik mengenai postur risiko mereka. Perusahaan menjadi lebih percaya diri karena mengetahui bahwa praktik ERM dirancang untuk menangkap risiko yang lolos dari celah unit bisnis yang terisolasi, dan memfasilitasi kolaborasi dan komunikasi yang lebih baik dengan seluruh tingkatan organisasi.
Manajemen senior lebih yakin bahwa mereka membuat keputusan yang sadar risiko untuk mengejar peluang yang bermanfaat dan melindungi perusahaan.
Regulator dan auditor dapat yakin bahwa perusahaan dengan program enterprise risk management yang efektif melakukan penilaian risiko secara berkala dan berupaya meningkatkan upaya manajemen risikonya.
