Ada banyak jenis risiko, seperti risiko operasional, risiko keuangan, atau risiko strategis; serta yang lainnya termasuk risiko reputasi, peraturan, atau keamanan siber.
Definisi ERM
Enterprise risk management (ERM) adalah proses mengidentifikasi dan menangani secara metodis peristiwa potensial yang mewakili risiko untuk pencapaian tujuan strategis, atau peluang untuk mendapatkan keunggulan kompetitif.
Enterprise risk adalah elemen penting dari manajemen strategis organisasi mana pun dan harus tertanam dalam aktivitas bisnis yang sedang berlangsung. Dua kerangka kerja yang direferensikan secara luas termasuk Committee of Sponsoring Organizations of the Treadway Commission COSO ‘ERM – Integrated Framework’; dan panduan yang dikembangkan oleh Airmic dan Institut Manajemen Risiko IRM – ‘Pendekatan terstruktur untuk ERM dan persyaratan ISO 31000’.
Elemen dasar ERM adalah penilaian risiko signifikan dan penerapan respons risiko yang sesuai. Respons risiko meliputi: penerimaan atau toleransi risiko; penghindaran atau penghentian risiko; pengalihan atau pembagian risiko melalui asuransi, usaha patungan atau pengaturan lainnya; dan pengurangan atau mitigasi risiko melalui prosedur pengendalian internal atau kegiatan pencegahan risiko lainnya.
Konsep ERM penting lainnya termasuk filosofi risiko atau strategi risiko, budaya risiko, dan selera risiko. Ini adalah ekspresi dari sikap terhadap risiko dalam organisasi, dan jumlah risiko yang bersedia diambil oleh organisasi. Ini adalah elemen penting dari tanggung jawab tata kelola.
Tanggung jawab manajemen mencakup arsitektur atau infrastruktur risiko, dokumentasi prosedur atau protokol manajemen risiko, pelatihan, pemantauan dan pelaporan risiko dan aktivitas manajemen risiko.
ERM mengambil pendekatan holistik dan menyerukan pengambilan keputusan tingkat manajemen yang mungkin belum tentu masuk akal untuk unit bisnis atau segmen individu. Jadi, alih-alih setiap unit bisnis bertanggung jawab atas manajemen risikonya sendiri, pengawasan di seluruh perusahaan lebih diutamakan.
Misalnya, jika seorang manajer risiko di bank investasi memperhatikan bahwa dua meja perdagangan yang diposisikan di area perusahaan yang berbeda memiliki eksposur yang sama terhadap risiko yang sama, mereka mungkin memaksa yang kurang penting dari keduanya untuk menghilangkan posisi yang sama. Keputusan ini dibuat dengan mempertimbangkan seluruh perusahaan (bukan dengan meja perdagangan tertentu).
Mengapa ERM Penting?
Program ERM dapat membantu meningkatkan kesadaran akan risiko bisnis di seluruh organisasi, menanamkan kepercayaan pada tujuan strategis, meningkatkan kepatuhan terhadap peraturan dan mandat kepatuhan internal, serta meningkatkan efisiensi operasional melalui aplikasi proses dan kontrol yang lebih konsisten.
Perusahaan dapat memperoleh manfaat dengan mengubah budaya perusahaan mereka dari fokus memenuhi kewajiban kepatuhan TI menjadi menargetkan pengurangan risiko secara keseluruhan, yang sangat bergantung pada visibilitas ke dalam keamanan organisasi secara keseluruhan.
Organisasi yang membangun program ERM strategis harus memiliki beberapa praktik yang sudah mapan, seperti berikut ini:
model tata kelola yang mencakup manajemen senior dan elemen organisasi seperti keamanan, penilaian dan manajemen risiko , kepatuhan, operasi TI, hukum, dan area pemangku kepentingan bisnis penting lainnya;
strategi yang menggabungkan kebijakan dan standar internal untuk semua masalah keamanan dan risiko serta area fokus operasional seperti konfigurasi sistem; dan
prosedur yang mencakup manajemen ancaman dan kerentanan risiko internal dan eksternal untuk memantau musuh dan faktor paparan risiko yang berpotensi mempengaruhi risiko terhadap perusahaan dan asetnya.
ERM adalah pekerjaan berkelanjutan yang perlu tumbuh dan berkembang, jadi bersedialah untuk secara teratur meninjau kembali, merevisi, dan memperbarui semua elemen program .
Peristiwa selama beberapa tahun terakhir telah menunjukkan lima realitas yang dihadapi setiap CEO dan dewan:
- Waktunya mungkin akan tiba – lebih cepat dari yang kita duga – ketika dasar-dasar bisnis akan segera berubah. Manajemen risiko adalah tentang mengamankan posisi “penggerak awal” di pasar. Manajemen ketidakpastian strategis memerlukan pemahaman tentang asumsi utama yang mendasari strategi dan pemantauan perubahan dalam lingkungan bisnis untuk memastikan bahwa asumsi ini tetap berlaku dari waktu ke waktu.
- Bukan apa yang kita ketahui yang penting; itu adalah apa yang kita tidak tahu yang membuat perbedaan. Pertanyaannya seharusnya: Apakah pendekatan kita untuk menilai risiko mengidentifikasi risiko yang muncul dan memberi tahu kita sesuatu yang tidak kita ketahui?
- Sebagian besar bisnis tanpa batas. Perspektif strategis yang diterapkan pada risiko operasional menunjukkan perlunya pandangan perusahaan yang diperluas dari ujung ke ujung tentang rantai nilai, yang memerlukan pertimbangan hubungan hulu dan hilir. Apa yang terjadi jika ada komponen penting dari rantai ini yang hilang untuk jangka waktu yang tidak ditentukan?
- Cepat atau lambat, akan ada krisis yang akan menguji perusahaan Anda. Bahkan manajemen risiko yang paling efektif pun tidak dapat mencegah paparan ini. Namun perusahaan menghabiskan banyak waktu untuk menebak probabilitas dan mengabaikan kecepatan dampak, kegigihan dampak dari waktu ke waktu, dan kesiapan respons organisasi.
- Manajemen dan direktur berjuang dengan menggambarkan antara manajemen risiko dan pengawasan risiko. Buku pedoman pengawasan risiko terus berkembang. CEO takut aktivitas overlay dan non-nilai tambah yang tidak sinkron dengan ritme bisnis. Masuk akal untuk memulai manajemen risiko dan pengawasan risiko di tempat yang sama – dengan perumusan strategi, termasuk pemahaman tentang asumsi utama yang mendasari strategi.
Lima realitas ini memaksa manajemen dan dewan mereka untuk melihat kembali manajemen risiko dan krisis. Proses ERM yang berfungsi secara efektif penting karena dapat membantu mereka mengatasi kenyataan baru ini.
Komponen-Komponen ERM
1. Pengaturan Tujuan
Sebelum menentukan apakah suatu risiko harus diterima atau ditolak, Anda perlu menilai tujuan bisnis Anda. Manajemen, bersama dengan dewan direksi, pertama-tama harus menetapkan misi dan metrik keberhasilan perusahaan untuk memastikan bahwa tujuan tersebut selaras dengan selera risiko yang telah ditentukan.
2. Tugas beresiko
Sebuah penilaian resiko adalah dasar dari proses ERM Anda. Proses sistematis, selangkah demi selangkah ini melibatkan identifikasi resiko , evaluasi, dan penentuan prioritas. Ini juga termasuk menentukan kemungkinan dan dampak dari setiap risiko dan menganalisis kontrol keamanan Anda saat ini.
3. Respon Risiko
Setelah Anda menetapkan risiko yang berpotensi memengaruhi organisasi Anda, Anda perlu menyelaraskan respons dengan tujuan Anda. Anda dapat memilih strategi untuk menghindari, menerima, mengurangi, atau berbagi untuk setiap risiko yang signifikan. Penting juga untuk mendokumentasikan langkah-langkah mitigasi resiko (tindakan yang akan diambil untuk mengelola setiap risiko).
4. Lingkungan Bisnis Internal
Budaya dan kode etik perusahaan Anda akan memengaruhi cara karyawan Anda menghadapi risiko. Keterampilan manajerial para pemimpin Anda akan mendorong budaya sadar risiko yang sehat dan memastikan bahwa risiko kritis tidak pernah diabaikan.
5. Identifikasi Acara
Setelah menentukan toleransi risiko dan selera risiko Anda, Anda harus meninjau setiap peristiwa potensial yang dapat mencegah perusahaan Anda mencapai tujuan dan sasaran bisnisnya. Baik internal maupun eksternal, semua peristiwa harus diklasifikasikan sebagai peluang atau risiko dan kemudian diselaraskan dengan strategi bisnis yang menyeluruh.
6. Aktivitas Kontrol
Respons risiko dan proses identifikasi peristiwa Anda memerlukan pembuatan kontrol yang kuat: kebijakan, prosedur, peran, tanggung jawab, dan “pemeriksaan dan keseimbangan” lainnya untuk menerapkan respons yang cepat dan efektif.
7. Informasi dan Komunikasi
Pelatihan dan pendidikan karyawan tentang risiko akan meningkatkan kesadaran di luar kepemimpinan dan tim kepatuhan Anda. Melibatkan karyawan Anda dalam proses ini akan membantu mereka membuat keputusan yang akan mengurangi eksposur risiko organisasi.
8. Pemantauan
ERM harus terus dipantau untuk tetap berada di puncak lanskap risiko yang berkembang melalui audit internal, audit eksternal, dan sebagai bagian dari aktivitas manajemen yang berkelanjutan.
Manfaat Dari Enterprise risk management
- Dengan menciptakan budaya yang lebih berfokus pada risiko, mengintegrasikan evaluasi risiko ke dalam praktik bisnis dan TI adalah cara yang baik untuk meningkatkan manajemen risiko secara menyeluruh.
- Perusahaan dapat menerapkan pelaporan risiko yang lebih terstandarisasi yang membantu metrik dan pengukuran jangka panjang.
- Organisasi dapat meningkatkan fokus dan meningkatkan perspektif mereka tentang risiko dalam berbagai kategori.
- Fokus yang lebih besar pada risiko yang terkait dengan tujuan bisnis dapat mengarah pada penggunaan sumber daya yang lebih efisien — misalnya, penerapan lisensi keamanan titik akhir terbatas pada sistem yang paling terbuka dan kritis.
- Organisasi yang sangat teregulasi dapat meningkatkan koordinasi masalah regulasi dan kepatuhan di seluruh rangkaian tujuan bisnis yang beragam.
Baca Juga: Penggunaan ERP Software untuk Kebutuhan Perusahaan IT
Tantangan yang Ada Dalam ERM
- Pengeluaran modal dan operasional seringkali meningkat pada awalnya karena program ERM dapat memerlukan perangkat lunak dan layanan khusus dan mahal.
- Inisiatif ERM meningkatkan penekanan pada tata kelola, yang membutuhkan unit bisnis untuk menginvestasikan banyak waktu dan biaya.
- Kesepakatan konsensus tentang tingkat keparahan dan metrik risiko di semua unit perusahaan bisa jadi sulit dan kontroversial.
Bentuk Implementasi Program ERM
- Tentukan ruang lingkup program. Mengidentifikasi dan memprioritaskan proses bisnis penting dan risiko terkait.
- Mengembangkan cetak biru. Gunakan risk map untuk menentukan ancaman mana yang dapat membahayakan tujuan bisnis dan strategi penting, bagikan informasi itu, dan atur kontrol untuk mengimbangi risiko ini.
- Merancang rencana aksi. Buat rencana penanganan risiko untuk menunjukkan resiko yang tidak dapat diterima dan mengatasi kesenjangan resiko
- Transformasi secara digital. Gunakan AI dan teknologi canggih lainnya untuk mengotomatiskan proses manual yang tidak efisien dan tidak efektif.
- Memantau dan mengukur. Menetapkan profil resiko danindikator resiko utama untuk mengidentifikasi kekurangan pengendalian dan mengevaluasi kemajuan program ERM, penyimpangan dari kebijakan perusahaan, dan jumlah insiden risik
Kesimpulan
Enterprise risk management (ERM) adalah proses bisnis berkelanjutan yang menilai, mengidentifikasi, dan merencanakan risiko terhadap kesehatan keuangan dan operasional organisasi sambil juga menargetkan peluang pasar. Sering kali menjadi bagian dari strategi Tata Kelola, Resiko, dan Kepatuhan (GRC) organisasi , risiko secara luas dapat mencakup masalah internal seperti budaya perusahaan serta faktor eksternal, seperti peraturan privasi data seperti GDPR dan CCPA, bencana, pandemi, atau serangan keamanan siber .
Sebuah strategi bisnis proaktif yang digunakan di sebagian besar sektor bisnis, ERM mengambil pendekatan holistik untuk mengevaluasi dan mengelola risiko di seluruh organisasi dan menyediakan proses terstruktur untuk manajemen risiko tersebut. Selain menangkal potensi ancaman, ERM juga dapat memberikan keunggulan kompetitif.
Sekawan Media merupakan software house Malang yang bergerak di bidang jasa pembuatan aplikasi mulai dari skala kecil hingga skala enterprise. Cek segera portofolio yang telah kami kerjakan.