TUGAS

MANAJEMEN RISIKO

Disusun Oleh:

Nama Suriyanto
NIM 1609035042
Dosen Pengampu Anggraini Profita, S.T., M.T.
Deasy Kartika Rahayu, S.T., M.T.

PROGRAM STUDI TEKNIK INDUSTRI

FAKULTAS TEKNIK
UNIVERSITAS MULAWARMAN
SAMARINDA
2019
Pertanyaan:
1. Perbandingan antara COSO ERM Frame Work dan ISO 31000
2. Implementasi COSO atau ISO di perusahaan beserta kerangkanya

Jawab:
1. COSO ERM sendiri sudah lama dikenal oleh professional di bidang internal audit.
Modul COSO ERM terbaru dikeluarkan pada Juni 2017 dengan Judul COSO
Enterprise Risk Management – Integrating with Strategy and Performance.

Pada modul terbaru ini dijelaskan COSO ERM 2017 memiliki tiga topik besar
diantaranya: pengintegrasian strategi dengan kinerja, pentingnya singkronisasi
strategi dengan kinerja, serta pengukuran perbedaan ERM dengan pengendalian
internal. COSO ERM 2017 memiliki struktur sebagai berikut:

Dari kelima komponen tersebut memiliki prinsip-prinsip diantaranya:

a. Governance & Culture
1) Badan exercisess risiko pengawasan
2) Menetapkan struktur beroperasi
3) Mendefinisikan diinginkan budaya
4) Menunjukkan komitmen terhadap prinsip utama
5) Menarik, berkembang dan mempertahankan mampu individu
b. Strategy & Objective Setting
1) Analisis konteks bisnis
2) Mendefinisikan potensi risiko
3) Mengevaluasi alternatif strategi
4) Merumuskan tujuan bisnis
c. Performance
1) Identifikasi risiko
2) Menilai tingkat keparahan risiko
3) Mengimplementasikan risiko tanggapan
4) Melihat dari perkembangan portofolio
 d. Review & Revision
1) Menilai perubahan subtantial
2) Tinjauan kinerja dan risiko
3) Mencapai perbaikan ERM
e. Information, Communication & Reporting
1) Leverages IT
2) Mengkomunikasikan risiko informasi
3) Pelaporan risiko atas budaya dan kinerja

COSO ERM 2017 memiliki fokus pada beberapa aspek, diantaranya:

a. Integrasi
Integrasi dalam hal ini adalah mengintegrasikan ERM dengan bisnis praktis akan
menjadikan sebuah informasi yang lebih baik untuk meningkatkan kualitas
keputusan dan mengarah pada peningkatan kinerja. COSO ERM 2017
membantu organisasi dalam mengantisipasi risiko sedini mungkin, membuka
peluang adanya pilihan dalam memitigasi risiko, identifikasi risiko serta peluang
baru, meningkatkan rasa kepercayaan atas informasi yang diterima serta kualitas
laporan yang dihasilkan lebih komprehensif.
b. Penekanan pada nilai
Penekanan pada nilai dijabarkan sebagai bagaimana entitas/ perusahaan
menciptakan dan merealisasikan nilai tersebut. Nilai yang dimaksud adalah
menjiwai kerangka kerja seperti: menonjolkan fungsi ERM, memiliki prinsip
diskusi yang luas, memiliki hubungan dengan potensi risiko, fokus pada
kemampuan untuk mengelola tingkat risiko.
c. Strategi
Melakukan eksplorasi pada strategi menggunakan tiga perspektif berbeda yaitu:
Strategi yang memungkinkan dan sesuai bisnis, implikasi dari strategi yang telah
ditentukan dan risiko atas eksekusi strategi.
d. Kinerja
Memiliki fokusan pada bagaimana risiko secara integral berdampak pada kinerja
disebabkan oleh identiffikasi ERM dan penilaian risiko atas kinerja.
Mendiskusikan tingkat toleransi atas pencapaian kinerja.
e. Kesadaran pentingnya sebuah budaya
Mengarah pada peningkatan tingkat perhatian dan kepentingan budaya
menggunakan ERM hingga pada level dimana melakukan eksplor atas
kolaborasi budaya individual dengan entitas.
f. Kualitas keputusan
Mengeksplorasi bagaimana ERM mengatur peringatan risiko untuk
pengambilan keputusan. Memberikan gambaran bagaimana peringatan risiko
memiliki dampak pada kinerja.
g. Membentuk pengendalian internal.

ISO 31000: 2018 merupakan standar internasional untuk manajemen risiko.

Hadirnya ISO 31000:2018 ini untuk menggantikan edisi pertamanya yaitu ISO
31000:2009 beserta tekniknya. Pembaruan terjadi pada beberapa hal diantaranya:
a. Review pada prinsip manajemen risiko dengan kriteria mencapai kesuksesan.
b. Memberikan gambaran atas kepemimpinan dari manajemen tingkat atas dan
pengintegrasian manajemen risiko dimulai dengan governance dari entitas.
c. Penekanan atas manajemen risiko termasuk pada new experiences, pengetahuan
dan analisis atas pengendalian dari semua bisnis proses.

ISO 31000:2018 dapat digunakan untuk seluruh jenis entitas/ organisasi dengan
semua jenis risiko yang dihadapi. ISO 31000:2018 dibangun dari kepedulian
stakeholders terhadap pengelolaan risiko dan tidak hanya pada penilai risiko yang
professional. ISO 31000:2018 membantu perusahaan dalam mengelola efektifitas
strategi manajemen risiko untuk mengidentifikasi dan memitigasi risiko. ISO
31000:2018 memiliki tujuan untuk melibatkan budaya individu dan entitas agar
aware terhadap pentingnya memantau risiko.

Kesimpulan:
Antara ISO 31000:2018 Risk Management dan COSO ERM 2017 memiliki
persamaan yakni mengedepankan pentingnya pengelolaan manajemen risiko dengan
penekanan pada integrasi, budaya, pengembangan, nilai dan proses pengendalian
internal. Namun masing-masing terdapat fokusan yakni:
 COSO ERM 2017 memiliki fokusan pada:
a. Integrasi antara strategi dengan kinerja.
b. Menciptakan, melestarikan dan merealisasikan nilai.
c. Menunjukkan tingkat pengambilan keputusan yang lebih bagus.
d. Dapat diaplikasikan untuk berbagai industri dan organisasi dengan berbagai
ukuran dan jenisnya.

ISO 31000:2018 memiliki fokusan pada:

a. Proses manajemen risiko.
b. Pengakuan pentingnya core value sebagai bagian dalam bisnis.

2. Implementasi ISO 31000:2009 di CV. Karya Jaya

a. Manajemen Risiko Berbasis ISO 31000
Dengan menggunakan ISO 31000 sebagai standar manajemen risiko maka
standar ini tidak menafikan standar-standar manajemen risiko yang dibuat untuk
keperluan yang spesifik dan khusus. Proses manajemen risiko meliputi lima
kegiatan, yaitu komunikasi dan konsultasi, menentukan konteks, asesmen risiko;
perlakuan risiko; serta monitoring dan review. Kegiatan asesmen risiko sendiri
terdiri dari tiga kegiatan, yaitu identifikasi risiko; analisis risiko; dan evaluasi
risiko. Untuk memperjelas proses manajemen risiko dapat dilihat pada Gambar
1.

Gambar 1 Proses Mengelola Resiko

b. Menetapkan Konteks
Tahapan awal dalam manajemen risiko adalah menentukan konteks. Tujuan dari
ditetapkannya konteks berarti manajemen organisasi menentukan batasan atau
parameter internal dan eksternal yang akan dijadikan pertimbangan dalam
pengelolaan risiko, menentukan lingkup kerja, dan kriteria risiko untuk proses-
proses selanjutnya. Dalam menetapkan konteks diperlukan informasi yang
didapat dari pengamatan ataupun dengan bantuan document review yang akan
digunakan dalam proses brainstorming. Tahapan ini terdiri dari penetapan
konteks eksternal, penetapan konteks internal, dan penetapanan konteks
manajemen risiko, penetapan kriteria risiko, dan penetapan selera risiko.

Terdapat 3 jenis kriteria risiko yang harus didapatkan yaitu, kriteria dampak,
kriteria cara mengukur risiko, dan krtieria tingkatan risiko. Kriteria ini harus
konsisten dengan kebijakan manajemen risiko. Penetapan kriteria ini harus
ditentukan dari awal dengan penuh pertimbangan. Kriteria yang telah ditetapkan
bersama dengan tim manajemen risiko yakni:
1) Kriteria dampak risiko yang dapat dinilai dari dampak finansial berupa
biaya kerugian dan dampak waktu berupa keterlambatan pengiriman.
2) Kriteria cara mengukur kemungkinan risiko yang dapat dinilai berdasarkan
jumlah produk cacat per total produksi dan frekuensi kejadian per tahun.
3) Kriteria tingkatan risiko yang terdiri dari tiga tingkat yaitu risiko rendah,
risiko menengah, dan risiko tinggi. Risiko yang mendapat penanganan yakni
risiko dengan selera risiko menengah dan tinggi. Risiko dengan dampak
sangat besar tidak dapat diterima dan harus mendapat penanganan.
Peringkat risiko ditentukan berdasarkan dari risk level.

Selera risiko pada CV Karya Jaya terbagi dalam tiga kategori risiko yakni
rendah, menengah, dan tinggi. Pengkategorian risiko ini berdasarkan dari
dampak dan kemungkinan terjadinya suatu risiko. Risiko rendah memiliki
tingkat toleransi yang tinggi, risiko menengah memiliki tingkat toleransi yang
sedang, dan risiko tinggi memiliki tingkat toleransi yang rendah. Hasil penetapan
 selera risiko bersama dengan tim manajemen risiko dapat dilihat pada Gambar
2.

Gambar 2 Selera Risiko

c. Identifikasi Risiko
Bagian ini akan mengidentifikasi risiko, tahapan ini berisikan sumber risiko, risk
event, dampak dari risiko tersebut, dan risk owner dari risiko tersebut. Input dari
proses identifikasi risiko berupa hasil stakeholder analysis dan work analysis
dari proses penetapan konteks untuk membantu dalam menentukan risk event
dan risk owner. Proses identifikasi risiko ini dilakukan dengan melakukan
brainstorming bersama dengan kepala departemen dan pemiliki perusahaan.

Pada risk register I terdapat dua risk owner yakni Kepala Produksi dan Pemilik
Perusahaan. Risiko yang berasal dari Kepala Produksi merupakan risiko yang
merupakan tanggung jawab dari Kepala Produksi atau berasal dari bagian
produksi, baik hal itu disebabkan maupun mempengaruhi bagian produksi.
Risiko yang menjadi milik Pemilik Perusahaan merupakan risiko yang ada di
pabrik dan berada diluar tanggung jawab kepala produksi. RKP berarti risiko
kepala produksi sedangkan RPP adalah risiko pemilik perusahaan. Secara
keseluruhan terdapat tiga puluh empat risiko yang teridentifikasi yang terdiri dari
dua puluh tiga risiko milik kepala produksi dan sebelas risiko milik pemilik
perusahaan. Pembuatan risk register I ini berdasarkan hasil proses brainstorming
dan semi-structured interview. Berikut contoh hasil identifikasi risiko yakni risk
register I dapat dilihat pada Gambar 3.
 Gambar 3 Risk Register I

d. Analisis Risiko
Tahapan analisis risiko akan memahami risiko lebih dalam. Input dari bagian
analisis risiko ini adalah risk register I yang berisikan risk event, risk owner,
sumber risiko, dan dampak risiko. Outputnya sendiri akan digunakan dalam
tahapan evaluasi risiko, output yang akan diperoleh pada tahapan analisis risiko
sendiri berisikan kemungkinan dari risk event, dampak dari risk event, risk level
dan pemicu risiko. Tujuan dari tahapan ini adalah melakukan analisis dampak
dan kemungkinan semua risiko yang dapat menghambat tercapainya sasaran.
Dalam menentukan kemungkinan dilakukan berdasarkan data hasil pengamatan
dan history kejadian dan subjective. Dampak sendiri ditentukan berdasarkan
selera risiko dari perusahaan, artinya seberapa besar dampak yang dapat ditolerir
oleh perusahaan, dampak ini sendiri berbentuk kerugian secara finansial dan
kerugian waktu. Penetapan besarnya dampak sendiri berdasarkan perhitungan
perusahaan akan kerugian yang akan dialami apabila hal tersebut terjadi. Hasil
penetapan kemungkinan dan dampak dapat dilihat pada Gambar 4. dan Gambar
5.

Gambar 4 Kriteria Penilaian Kemungkinan Risiko

Gambar 5 Kriteria Penilaian Dampak Risiko

Berdasarkan tabel kriteria risiko dibuat consequences & probability matrix
berdasarkan risk level yang didapat dari hasil perkalian kemungkinan dan
dampak. Nilai dampak berada pada sebelah kiri tabel dan nilai kemungkinan
berada pada bagian bawah tabel. Consequences & probability matrix dapat
dilihat pada Gambar 6.

Gambar 6 Consequences & Probability Matrix

Pada risk register II terdapat pemicu risiko yang didapat dari root cause analysis
serta risk level yang didapat dari consequence & probability matrix. Setiap risiko
memiliki kemungkinan dan dampak risiko yang berbeda. Menggunakan
kemungkinan dan dampak ini dapat dicari risk level yang merupakan hasil
perkalian dari kemungkinan dan dampak risiko. Berikut risk register II dapat
dilihat pada Gambar 7.
 Gambar 7 Risk Register II

e. Evaluasi Risiko
Tahapan evaluasi risiko bertujuan dalam membantu pengambilan keputusan.
Input yang digunakan pada tahapan ini berupa hasil dari analisis risiko matriks
dari proses consequence & probability matrix. Output yang akan didapat pada
tahapan ini berupa prioritas perlakuan risiko, sekaligus menyaring risiko-risiko
tertentu untuk tidak ditindaklanjuti atau diperlakukan khusus.

Teknik yang akan digunakan pada tahapan ini masih berupa consequences &
probability matrix untuk mendapatkan prioritas perlakuan risiko dan menyaring
risiko-risiko. Selain itu dilakukan juga analisis secara kualitatif dalam penetapan
prioritas untuk menentukan risiko yang memiliki peringkat sama tetapi dampak
berbeda. Hasil consequences & probability matrix dapat dilihat pada Gambar 8
 Gambar 8 Hasil Penyaringan Risiko

Risk register III dapat dilihat pada Gambar 9.

Gambar 9 Risk Register III

f. Perlakuan Risiko
Hasil evaluasi risiko memerlukan perlakuan yang lebih lanjut. Dalam
menentukan perlakuan risiko apa yang akan diambil, tim manajemen risiko
harus melakukan kajian dan menentukan jenis serta bentuk perlakuan yang akan
dilakukan. Input yang diperlukan dalam menentukan jenis perlakuan ini
berdasarkan risk register yang telah dibuat seperti memahami sumber, pemicu,
dampak, dan kemungkinan. Berdasarkan hasil risk register III terdapat sepuluh
buah risiko yang memerlukan perlakuan risiko. Tetapi tidak semua risiko akan
memberikan dampak positif ketika diberi penanganan. Bisa saja biaya
penanganan akan lebih mahal daripada keuntungan yang didapat dari
penanganan tersebut, karena itu diperlukan perhitungan dengan menggunakan
cost-benefit analysis.

Dalam menentukan perlakuan risiko, perlu dipertimbangkan biaya yang

dikeluarkan serta manfaat yang akan didapat nantinya. Costbenefit analysis
sebenarnya tidak hanya mempertimbangkan manfaat dan biaya dari segi
finansialnya ada juga yang tidak dapat terukur secara langsung. Risiko pada
kelompok atas harus langsung mendapat perlakuan, berbeda dengan kelompok
menengah yang harus dipertimbangkan dahulu manfaat dan biayanya. Proses
perencanaan perlakuan risiko ini dilakukan bersama-sama dengan tim
manajemen risiko. Hasil perencanaan perlakuan risiko dapat dilihat pada
Gambar 10.

Gambar 10 Perencanaan Perlakuan Risiko

Setelah melakukan perencanaan untuk perlakuan risiko, dilakukan analisis
perhitungan manfaat dan biaya. Perhitungan dilakukan dengan menggunakan
baseline cost, residual cost, dan implementation cost. Hasil akhir yang akan
didapat berupa benefit dan cost-benefit ratio. Hasil akhir ini berupa perhitungan
secara finansial, walaupun sebenarnya ada manfaat lain yang akan didapat secara
tidak langsung. Hasil akhir ini yang akan menjadi pertimbangan dalam
melakukan perlakuan risiko. Berikut hasil perhitungan cost-benefit analysis
dapat dilihat pada Gambar 11.

Gambar 11 Perhitungan Cost-Benefit Analysis

Berdasarkan hasil cost-benefit analysis dan diskusi bersama tim manajemen

risiko maka didapat perlakuan risiko. Misalnya pada risiko kebakaran yang
memerlukan perlakuan risiko, setelah diketahui pemicu risiko dari proses root
cause analysis maka dibuat control bersama dengan tim manajemen risiko.
Diketahui pemicu risiko dari kebakaran adalah busa yang tidak langsung
dipotong setelah produksi. Oleh karena itu dibuat kebijakan untuk selalu
melakukan pemotongan busa hasil produksi dengan tidak membiarkannya
dengan tujuan agar panas dalam busa bisa keluar karena itulah yang
menyebabkan kebakaran. Setelah itu dilakukan perhitungan cost benefit untuk
mengetahui apakah perlakuan ini perlu dilakukan atau tidak dilihat dari sisi
finansialnya. Hasil dari perlakuan risiko secara keseluruhan dapat dilihat pada
Gambar 12.
 Gambar 12 Perlakuan Risiko

g. Simpulan
Setelah menerapkan manajemen risiko berbasis ISO 31000, didapatkan risk
register I, risk register II, risk register III yang akan berguna dalam menentukan
risiko yang memerlukan penanganan dan pemberian kontrol yang tepat untuk
setiap risikonya dengan mempertimbangkan biaya yang dikeluarkan dan
manfaat yang akan didapat.