PEDOMAN PENERAPAN MANAJEMEN RISIKO BERBASIS GOVERNANCE

2m ago
27 Views
3 Downloads
1.01 MB
80 Pages
Last View : 1d ago
Last Download : 4d ago
Upload by : Julia Hutchens
Share:
Transcription

KONSEPPEDOMANPENERAPAN MANAJEMEN RISIKOBERBASIS GOVERNANCEDITERBITKAN OLEHKOMITE NASIONAL KEBIJAKAN GOVERNANCE20111

DAFTAR ISIBAB IPENDAHULUAN1. Latar Belakang2. Ruang Lingkup, Maksud, dan Tujuan3. Peraturan dan Pedoman Terkaitserta Aspek Penerapan Manajemen Risiko4. Istilah dan Definisi3313BAB IIASPEK STRUKTURAL1. Pengantar2. Prinsip,Kerangka Kerja dan Proses Manajemen Risiko3. Tata Kelola Risiko4. Sumber Daya Penerapan Manajemen Risiko2020213036BAB IIIASPEK OPERASIONAL1. Pengantar2. Manajemen Perubahan3. Panduan Manajemen Risiko4. Implementasi Manajemen Risiko5. Komunikasi dan Konsultasi6. Menentukan Konteks7. Asesmen Risiko8. Perlakuan Risiko9. Monitoring dan Review10. Dokumentasi Manajemen Risiko3838404244454651606266BAB IVASPEK PERAWATAN1. Pengantar2. Risk Governance3. Budaya Risiko4. Pengembangan Manajemen Risiko71717173761516TIM PENYUSUN PEDOMAN79ANGGOTA KNKG802

BAB IPENDAHULUAN1.LATAR BELAKANGManajemen risiko adalah salah satu disiplin yang menjadi popular menjelang akhir abadke dua puluh. Disiplin ini mengajak kita untuk secara logis, konsisten, dan sistematisuntuk melakukan pendekatan terhadap ketidakpastian di masa depan. Dengan demikian,kita dapat lebih berhati-hati dan produktif menghindari hal-hal yang tidak perlu danmencegah hal-hal yang merugikan atau tidak bermanfaat.Kegiatan ini dilakukan tidak hanya berdasarkan keyakinan dan keberuntungan, namunjuga dengan mempelajari kemungkinan terjadinya suatu peristiwa serta bagaimana caramengatasi dampaknya. Hal tersebut juga didukung dengan kemampuan untukmempelajari dan memahami penyebab suatu terjadinya peristiwa (source of risk).Sesuatu hal yang hanya didasarkan atas keberuntungan membuat pelaksanaanmanajemen risiko menjadi tidak efektif, bahkan dapat mengaburkan kebenaran daripenyebab terjadinya suatu peristiwa.Manajemen risiko berkembang seiring dengan perkembangan pembelajaran manusia.Dalam satu abad terakhir ini, terdapat beberapa peristiwa politik, ekonomi, danperkembangan teknologi yang turut membantu perkembangan manajemen risiko, diantaranya penggunaan bom atom dalam Perang Dunia ke-II, perkembangan teknologiotomotif, alat transportasi, peluru kendali, komputer, dll. Selain itu, juga terdapatbeberapa peristiwa lainnya, misalnya kasus bocornya reaktor nuklir di Rusia, bencanaindustri Bhopal di India, tenggelamnya kapal Titanic, pencemaran Teluk Minamata diJepang, tragedi kapal tanker Exxon Valdez, kasus Enron, kasus Nick Leeson dengan BaringBank di Singapura, kasus terorisme yang menghancurkan Twin Tower di New York,hingga krisis finansial yang dialami Indonesia tahun 1997/1998, kasus bank Global, kasusBank Century dan kasus-kasus lainnya. Semua peristiwa tersebut memberikan stimulusterhadap perkembangan manajemen risiko untuk lebih memahami sebab-akibat, berikut3

prediksi tentang kemungkinan terjadinya suatu peristiwa yang merupakan bagian takterpisahkan dari proses evolusi manajemen risiko.a. Sejarah Singkat Perkembangan Manajemen RisikoFelix Kloman dalam “Enterprise Risk Management: Today’s Leading Research andBest Practices for Tomorrow’s Executives” (2010) menuliskan secara ringkasbeberapa tonggak sejarah yang terkait dengan perkembangan manajemen risikoselama 100 tahun terakhir ini. Adapun uraian kronologis sejarah perkembanganmanajemen risiko adalah sebagai berikut:1) 1914 : di Amerika Serikat perkumpulan dari para credit & lending officers dengannama Robert Martin Association terbentuk di Philadelphia, kemudian bergantinama menjadi Risk Management Association pada tahun 2000, dan pada tahun2008 anggotanya telah mencapai 3.000 lembaga keuangan dan 35.000 anggotaperorangan;2) 1928: Kongres Amerika Serikat menerbitkan Glass-Steagal Act yang melarangkepemilikan yang sama atas bank umum, investment bank dan perusahaanasuransi. Undang-Undang ini dicabut pada tahun 1999, karena dianggapmenghambat perkembangan lembaga keuangan. Namun, beberapa peristiwabencana di bidang keuangan setelah tahun 2000 mempertanyakan kembalikebijakan pencabutan Undang-Undang ini;3) 1945: Kongres Amerika Serikat menerbitkan McCarren-Ferguson Act yangmenyerahkan kewenangan pengaturan industri asuransi kepada negara bagiandan tidak lagi menjadi kewenangan nasional federal. Hal ini agak menghambatperkembangan manajemen risiko karena mengurangi kemampuan industriasuransi dalam menghadapi risiko-risiko dalam perspektif yang lebih luas.;4) 1966: The Insurance Institute of America mengembangkan satu set ujian yangterdiri dari tiga bagian yang memberikan gelar “Associate in Risk Management”.Ini adalah sertifikasi pertama yang diberikan dalam disiplin manajemen risiko.Walaupun isinya masih sangat didominasi oleh konsep perusahaan asuransi,4

tetapi pengenal konsep risiko yang lebih luas mulai diperkenalkan, dan ini setiaptahun selalu dimutakhirkan sesuai dengan tuntutan perubahan.;5) 1975: The American Society of Insurance Management mengubah namanyamenjadi Risk & Insurance Management Society (RIMS) yang pada tahun 2008jumlah anggotanya di Amerika Utara telah mencapai 11.000 orang. Di negara lain,RIMS mempunyai asosiasi dengan The International Federation of Risk andInsurance Management Association (IFRIMA).;6) 1980: mulai didirikan Society for Risk Analysis (SRA) di Washington, terutamaoleh mereka yang bergerak dalam kebijakan publik, lingkungan hidup dan paraakademisi terkait. Pada tahun 2008, SRA telah mempunyai anggota sebanyak2.500 orang dan mempunyai afiliasi di Eropa dan Jepang. Kelompok ini yang mulaimemperkenalkan manajemen risiko pada produk-produk legislasi.;7) 1986: The Institute for Risk Management didirikan di London, beberapa tahunkemudian mulai memperkenalkan ujian yang dapat diikuti secara internationaluntuk mendapatkan sertifikasi sebagai “Fellow of the Institute of RiskManagement”, yang merupakan program pelatihan berkelanjutan terkait denganmanajemen risiko dalam berbagai macam aspeknya. Pada saat yang bersamaanKongres Amerika Serikat juga meloloskan revisi dari The Risk Retention Act yangdisahkan pada tahun 1982.;8) 1990: Perserikatan Bangsa-Bangsa (PBB) memulai program the InternationalDecade for Natural Disaster Recovery (IDNDR), suatu program kajian 10 tahununtuk mempelajari alam dan dampak bencana alam, khususnya pada negaranegara yang terbelakang serta membangun suatu upaya mitigasi pada tingkatdunia. Program ini berakhir pada tahun 1999 dan dilanjutkan dengan nama baruthe International Strategy for Disaster Reduction (ISDR). Hasil dari kajian tersebutdapat dilihat dalam buku Natural Disaster Management yang diterbitkan olehPBB.;9) 1992: The Cadbury Committee di Inggris menerbitkan laporan yang menyarankanagar Dewan Direksi (Governing Boards) bertanggung jawab atas kebijakan5

manajemen risiko perusahaan dan memastikan bahwa seluruh anggotaperusahaan memahami semua aspek risiko yang dihadapi perusahaan. Selain itumerekomendasikan bahwa Dewan Direksi juga bertanggung jawab ataspengawasan proses pelaksanaan manajemen risiko tersebut. Hempel & TurnbullCommittee yang melanjutkan tugas Cadbury Committee, memperluas danmemperbarui mandate untuk penerapan manajemen risiko bagi seluruhperusahaan. Kondisi semacam ini juga diikuti oleh beberapa negara antara lainKanada, Amerika Serikat, Inggris, Afrika Selatan, Jerman dan Perancis. Pada tahunyang sama the Bank for International Settlement (BIS) yang berkedudukan diSwiss, menerbitkan ketentuan yang disebut sebagai Basel I bagi dunia perbankaninternational yang terkait dengan kecukupan modal, ketentuan tentang risikokredit dan risiko pasar.;10) 1993: Jabatan “Chief Risk Officer (CRO)” pertama kali digunakan oleh James Lam,dari GE Capital, untuk menggambarkan suatu jabatan yang bertanggung jawabatas pengelolaan semau aspek risiko perusahaan, termasuk manajemen risikosecara umum, risiko operasi, risiko usaha, risiko keuangan, dll. Saat ini sudah lebihdari 150 CRO yang bertanggung jawab atas penanganan berbagai macam risikoyang dihadapi perusahaan.;11) 1995: Suatu kelompok kerja multi disiplin yang dibentuk oleh Standard Australiadan Standard New Zealand menerbitkan standar manajemen risiko yang pertamadi dunia yaitu AS/NZS 4360:1995 Risk Management Standard (Standar inikemudian direvisi setiap 5 tahun, dan telah mengalami revisi pada tahun 1999dan tahun 2004). Penerbitan standar ini segera diikuti oleh beberapa negaraantara lain Canada, Jepang dan Inggris. Sementara itu beberapa pengamatmengatakan bahwa tindakan ini premature karena manajemen risiko masihdalam proses evolusi, akan tetapi mayoritas pengamat menghargai upaya inikarena standar ini merupakan langkah awal untuk dapat membuat suatukerangka referensi global atas manajemen risiko, terlebih aspek multi disiplin darimanajemen risiko memperoleh tempat yang layak.;6

12) 1996: The Global Association of Risk Professionals (GARP) didirikan di New Yorkdan London. Pada tahun 2008 jumlah anggotanya sudah mencapai lebih dari74.000 orang. GARP juga memberikan berbagai macam program sertifikasi untukmanajemen risiko.;13) 2000: kekhawatiran atas kemungkinan terjadinya bencana akibat “virus” Y2Ktidak terjadi. Secara umum ini dapat dikatakan karena keberhasilan pengerahanupaya dan dana yang sangat masif untuk melakukan perbaikan program gunamengatasi kemungkinan terjadinya bencana tersebut. Kejadian ini sering disebutsebagai salah satu keberhasilan manajemen risiko dalam mengantisipasibencana.;14) 2001: The Professional Risk Manager’s International Association (PRMIA) didirikandi Amerika Serikat dan Inggris. Pada tahun 2008, jumlah keanggotaannyamencapai sekitar 2.500 anggota penuh (paid members) dan 48.000 anggotaafiliasi (associate members). Pada tahun yang sama juga terjadi tragei 11September 2001, yaitu serangan teroris pada Tein Tower di New York. Selain itukebangkrutan Enron karena bad governance juga terjadi pada tahun ini.15) 2002: Kongres Amerika Serikat meloloskan Sarbanes-Oxley Act (SOA) untukmerespons kebangkrutan Enron dan skandal di bidang keuangan lainnya.Ketentuan SOA diberlakukan untuk semua perusahaan publik yang tercatat dibursa efek Amerika Serikat. Sementara pengamat memandang bahwa ini adalahawal dari penggabungan unsur kepatuhan dengan manajemen risiko. Ada pulayang berpendapat bahwa penggabungan ini adalah suatu kemunduran karenamemandang risiko hanya pada sisi negatifnya saja, sedangkan yang lainberpendapat bahwa ini adalah langkah nyata penerapan manajemen risiko padatingkat Dewan Direksi.;16) 2004: The Basel Committee on Banking Supervision dari BIS menerbitkan theBasel II Accord, yang memperluas cakupan pedoman yang telah dikeluarkansebelumnya (Basel I) yang meliputi ratio kecukupan modal, risiko kredit, risikopasar dengan tambahan risiko operasional perbankan. Beberapa pengamat7

berkomentar bahwa penerapan pedoman ini secara global akan mengurangikebebasan masing-masing individu lembaga keuangan. Kesepakatan globalsejenis Basel II ini diperkirakan juga menjadi alasan untuk menerbitkankesepakatan serupa untuk industri non-finansial.17) 2005: The International Organization for Standarization (ISO) membentukInternational Working Group (Technical Committee) untuk mempersiapkan suatupanduan global terkait dengan definisi manajemen risiko, panduan penerapan,dan praktik-praktik manajemen risiko, dan ditargetkan selesai pada tahun 2009.;18) 2009: ISO menerbitkan ISO 31000:2009 Risk Management – Principles andGuidelines. Penerbitan standar internasional ini segera diikuti dengan diadopsinyaoleh beberapa negara antara lain Australia, New Zealand, dan Jepang pada tahun2010. Mereka mengadopsi ISO 31000 ke dalam standar manajemen risikonegaranya.Felix Kloman tidak memasukkan Committee of Sponsoring Organization oftheTreadway Commission (COSO) Enterprise Risk Management (ERM) – IntegratedFramework (2004) dalam tonggak sejarah perkembangan manajemen risiko tanpamenjelaskan alasannya. Namun, dari beberapa tulisan pengamat lainnya dapatdisimpulkan bahwa kemungkinan tidak dimasukkannya COSO Enterprise RiskManagement – Integrated Framework, karena beberapa hal sebagai berikut:1) COSO merupakan suatu unit organisasi privat yang disponsori oleh lima asosiasiprofesi bidang keuangan di Amerika Serikat (American Accounting Association,American Institute fo Certified Public Accountants, Financial ExecutiveInternational, Institute of Management Accountants dan Institute of InternalAuditors). Dengan demikian COSO lebih merupakan “Opinion Leader” dan bukansuatu asosiasi profesi. Hasil karyanya juga tidak disepakati (endorsed) menjadipanduan yang mengikat oleh asosiasi yang mensponsorinya. Oleh karena ituistilah yang digunakan adalah “Framework” dan bukan “Guideline” ataupun“Standard”.;8

2) Dalam posisi demikian, walaupun publikasi COSO diakui sebagai “valuable toolsand offers detailed guidance on how company may implement enterprise riskmanagement"(Beasley & Frigo, 2010), tetapi sifatnya tidaklah berbeda dengankarya-karya ilmiah lain di bidang manajemen risiko. Selain itu COSO ERMFramework memberikan peluang untuk diinterpretasikan secara luas dan bebassesuai dengan kepentingan pengguna. Hal ini tentu berbeda dengan standar, yangmemuat kriteria dan norma aturan yang pasti dan harus diikuti, walaupunmemberikan kebebasan interpretasi, tetapi tetap dalam koridor yang telahditetapkan oleh standar tersebut.3) Sponsor dari COSO adalah asosiasi organisasi profesi akuntan/auditor/keuangan,sehingga dapat menimbulkan interpretasi terhadap kemungkinan adanyabenturan kepentingan apakah kerangka kerja yang dipublikasikan ini memanguntuk memenuhi kebutuhan publik atau untuk memenuhi kebutuhan parapraktisi dari asosiasi profesi tersebut? (S.J. Root, 1998).4) Proses penerbitan pada COSO tidaklah serumit dengan proses penerbitan standaryang harus melalui beberapa proses dengar pendapat dengan para pihak terkait(public hearing/roundtable discussion) sebelum akhirnya disahkan menjadistandar (S.J. Root, 1998).5) COSO bukan suatu otoritas yang mempunyai kewenangan untuk menetapkanproduknya menjadi suatu standar. Dengan demikian COSO Enterprise RiskManagement Integrated Framework (2004) bukanlah suatu standar untukmanajemen risiko.b. Keterkaitan Manajemen Risiko dengan Strategi dan Proses OrganisasiSetiap organisasi mempunyai visi dan misi. Visi adalah sasaran dan kondisi tertentuyang ingin dicapai oleh organisasi dalam waktu yang ditentukan. Misi merupakanalasan mengapa organisasi didirikan dan pada misi tersebut dapat diidentifikasiproses utama organisasi dalam memenuhi kebutuhan pelanggan utamanya. Strategi9

adalah cara untuk mencapai visi organisasi yang lebih baik dari pesaing-pesaingorganisasi tersebut.Proses utama organisasi adalah proses yang menghasilkan apa yang dibutuhkanpelanggan organisasi tersebut. Dalam organisasi bisnis, proses utama ini disebutdengan “cash generating process”. Untuk dapat bersaing dalam memenuhikebutuhan pelanggan, maka setiap organisasi harus mengupayakan proses utamamereka lebih efektif dan efisien, serta menghasilkan produk dan jasa yang juga lebihbaik dari pesaing-pesaingnya. Disinilah perumusan strategi dalam mencapai visiorganisasi berperan.Dalam perumusan visi dan strategi terdapat konteks eksternal dan internalorganisasi, sedangkan dalam proses utama organisasi hanya terdapat konteksinternal organisasi. Konteks internal adalah lingkungan internal organisasi dimanaorganisasi tersebut berusaha untuk mencapai sasarannya. Konteks internal ini terdiridari kapabilitas, struktur, proses, budaya, personalia, dan sumber daya organisasi.Konteks internal ini relatif lebih dapat dikendalikan dibandingkan dengan kontekseksternal yang lebih banyak dipengaruhi faktor di luar organisasi.Konteks eksternal organisasi adalah lingkungan eksternal organisasi dimanaorganisasi tersebut berupaya untuk mencapai sasaran organisasi, yaitu visinya.Konteks ini meliputi kondisi makro, antara lain kondisi ekonomi, sosial, politik,budaya, geografis, dan jenis industri organisasi tersebut. Selain itu, juga terkaitdengan para pemangku kepentingan (stakeholders) dari organisasi tersebut,pelanggan, pemasok, kreditur, karyawan, regulator, pengamat industri, media massa,dll. Dalam konteks eksternal ini faktor luar organisasi lebih dominan.Risiko adalah sesuatu yang dapat mempengaruhi sasaran organisasi. Salah satuatribut risiko adalah ketidakpastian, baik dari sesuatu yang sudah diketahui maupundari sesuatu yang belum diketahui. Dengan demikian strategi yang baik haruslah jugamemperhatikan risiko-risiko yang mungkin terjadi dalam konteks internal maupuneksternal organisasi, dan melakukan antisipasi perlakukan risiko bila memang risikotersebut menjadi kenyataan. Untuk risiko-risiko eksternal perlu diperhatikan harapan10

dari tiap pemangku kepentingan yang bila tidak dipenuhi akan menimbulkan konflikdan mempengaruhi pencapaian sasaran organisasi. Begitu pula risiko yang mungkinterjadi akibat perubahan situasi politik, ekonomi, sosial atau lainnya. Semua haltersebut harus diperhatikan dalam perumusan strategi.Proses utama organisasi merupakan kunci realisasi strategi dalam mencapai sasaranperusahaan. Kegagalan proses utama perusahaan dan proses pendukung lainnyaakan mempengaruhi pencapaian sasaran organisasi. Semua kemungkinan yang asidandiantisipasipencegahannya. Teknik yang paling sering digunakan dalam proses identifikasi risikoadalah diagram tulang ikan (Ishikawa diagram) yang mengidentifikasi penyebabkegagalan dengan metoda sebab-akibat. Teknik lainnya adalah FailureMode andEffect Analysis, yang juga mengidentifikasi kegagalan apa saja yang mungkin terjadipada setiap tahapan proses, serta mencoba mencari kemungkinan deteksi dini daripenyebab kegagalan tersebut sebelum terjadi.c. Mengapa perlu Pedoman Manajemen Risiko berbasis Governance?Berdasarkan Surat Keputusan Menteri BUMN (2002), OECD (2004), serta PedomanUmum GCG yang dikeluarkan oleh KNKG (2006), corporate governance mengandungpengertian tentang pencapaian keberhasilan usaha dan cara untuk memantau kinerjapencapaian sasaran keberhasilan usaha tersebut. Adapun prinsip dari corporategovernance yang berpengaruh dalam pelaksanaan manajemen risiko adalahtransparansi, akuntabilitas, tanggung jawab (responsibilitas) dan independensi.Dengan mengacu pada pengertian dan prinsip-prinsip corporate governance di atasmaka jelaslah mengapa manajemen risiko yang berbasis governance menjadi sangatdiperlukan.Pertama, manajemen risiko adalah bagian yang tidak terpisahkan dari pelaksanaancorporate governance karena peran manajemen risiko dalam memberikan jaminanyang wajar atas pencapaian sasaran keberhasilan usaha tidak tergantikan.11

Kedua, pelaksanaan manajemen risiko yang baik memerlukan prinsip-prinsipgovernance sebagai berikut:1) Transparansi: pengelolaan risiko haruslah transparan, karena dampak risiko tidakhanya pada satu unit atau bagian saja, tetapi juga pada bagian lain. Dengan katalain pengelolaan risiko haruslah bersifat inklusif dan transparan artinyamelibatkan semua pihak yang terkait dengan risiko tersebut, baik dalampenanganan sumber risiko, maupun perlakuan terhadap dampak risiko;2) Akuntabilitas:harus terdapat akuntabilitas yang jelas dalam penerapanmanajemen risiko dalam organisasi. Untuk seluruh perusahaan, akuntabilitastertinggi dalam penerapan manajemen risiko terletak pada Direksi danakuntabilitas pengawasan penerapan manajemen risiko terletak pada DewanKomisaris. Selain itu, akuntabilitas pengelolaan risiko tersebut juga harus jelas disetiap tingkatannya, bahkan hingga ke tiap proses bisnis;3) najemenrisikomemerlukan uraian tanggung jawab yang lebih jelas dalam pengelolaan risikopada masing-masing tingkatan, bahkan hingga ke pengelolaan risiko dalamproses organisasi. Oleh karena itu setiap pemangku risiko (risk owner) harusdapat memamahi tugas dan tanggung jawabnya terkait dengan pengelolaan risikodalam lingkup tugas dan kewenangannya;4) Independensi: ini adalah konsekuensi logis dari prinsip akuntabilitas danresponsibilitas, dimana unit atau individu yang dibebani dengan aku

Tata Kelola Risiko 30 4. Sumber Daya Penerapan Manajemen Risiko 36 BAB III ASPEK OPERASIONAL 38 1. Pengantar 38 2. Manajemen Perubahan 40 3. Panduan Manajemen Risiko 42 4. Implementasi Manajemen Risiko 44 5. Komunikasi dan Konsultasi 45 6. Menentukan Konteks 46 7. Asesmen Risiko 51 8. Perlakuan Risiko 60 9. Monitoring dan Review 62 10.