Enterprise Risk Management (ERM) adalah metodologi yang melihat manajemen risiko secara strategis dari perspektif keseluruhan perusahaan atau organisasi. Ini adalah strategi top-down yang bertujuan untuk mengidentifikasi, menilai, dan mempersiapkan potensi kerugian, bahaya, bahaya, dan potensi kerugian lainnya yang dapat mengganggu operasi dan tujuan organisasi dan/atau mengakibatkan kerugian.
Memahami Enterprise Risk Management (ERM)
Enterprise Risk Management menggunakan pendekatan holistik dan memerlukan pengambilan keputusan di tingkat manajemen yang mungkin belum tentu masuk akal untuk masing-masing unit atau segmen bisnis. Oleh karena itu, alih-alih setiap unit bisnis bertanggung jawab atas manajemen risikonya sendiri, pengawasan di seluruh perusahaan lebih diutamakan.
Hal ini juga sering kali melibatkan penyediaan rencana tindakan risiko bagi seluruh pemangku kepentingan sebagai bagian dari laporan tahunan. Berbagai industri seperti penerbangan, konstruksi, kesehatan masyarakat, pembangunan internasional, energi, keuangan, dan asuransi semuanya telah beralih untuk memanfaatkan ERM.
Oleh karena itu, ERM dapat bekerja untuk meminimalkan risiko di seluruh perusahaan serta mengidentifikasi peluang unik di seluruh perusahaan. Berkomunikasi dan berkoordinasi antar unit bisnis yang berbeda adalah kunci keberhasilan ERM, karena keputusan risiko yang diambil oleh manajemen puncak mungkin tampak bertentangan dengan penilaian lokal di lapangan. Perusahaan yang menggunakan ERM biasanya memiliki tim Enterprise Risk Management khusus yang mengawasi cara kerja perusahaan.
Meskipun praktik dan standar terbaik ERM masih terus berkembang, praktik dan standar tersebut telah diformalkan melalui COSO, sebuah kelompok industri yang memelihara dan memperbarui panduan tersebut untuk perusahaan dan profesional ERM.
Pendekatan Holistik terhadap Manajemen Risiko
Bisnis modern menghadapi beragam risiko dan potensi bahaya. Di masa lalu, perusahaan secara tradisional menangani eksposur risiko mereka melalui setiap divisi yang mengelola bisnisnya sendiri. Enterprise Risk Management mengharuskan perusahaan untuk mengidentifikasi semua risiko yang mereka hadapi. Hal ini juga membuat manajemen memutuskan risiko mana yang harus dikelola secara aktif. Berbeda dengan risiko yang disembunyikan di seluruh perusahaan, perusahaan melihat gambaran yang lebih besar ketika menggunakan ERM.
ERM memandang setiap unit bisnis sebagai “portofolio” dalam perusahaan dan mencoba memahami bagaimana risiko pada masing-masing unit bisnis berinteraksi dan tumpang tindih. Hal ini juga mampu mengidentifikasi faktor risiko potensial yang tidak terlihat oleh unit mana pun.
Perusahaan telah mengelola risiko selama bertahun-tahun. Manajemen risiko tradisional bergantung pada setiap unit bisnis yang mengevaluasi dan menangani risiko mereka sendiri dan kemudian melaporkannya kembali kepada CEO di kemudian hari. Baru-baru ini, perusahaan mulai menyadari perlunya pendekatan yang lebih holistik.
Chief risk officer (CRO), misalnya, adalah posisi eksekutif perusahaan yang diperlukan dari sudut pandang ERM. CRO bertanggung jawab untuk mengidentifikasi, menganalisis, dan memitigasi risiko internal dan eksternal yang berdampak pada seluruh perusahaan. CRO juga berupaya memastikan bahwa perusahaan mematuhi peraturan pemerintah, seperti Sarbanes-Oxley (SOX), dan meninjau faktor-faktor yang dapat merugikan investasi atau unit bisnis perusahaan. Mandat CRO akan ditentukan bersama dengan manajemen puncak lainnya serta dewan direksi dan pemangku kepentingan lainnya.
Komponen Enterprise Risk Management
Kerangka kerja Enterprise Risk Management COSO mengidentifikasi delapan komponen inti yang menentukan bagaimana perusahaan harus melakukan pendekatan dalam menciptakan praktik ERMnya.
Lingkungan Internal
Lingkungan internal perusahaan adalah suasana dan budaya perusahaan di dalam perusahaan yang ditetapkan oleh para karyawannya. Hal ini mengutamakan selera risiko perusahaan dan filosofi manajemen mengenai risiko yang timbul. Lingkungan internal dapat ditentukan oleh manajemen tingkat atas atau dewan direksi dan dikomunikasikan ke seluruh organisasi, meskipun hal ini sering kali tercermin melalui tindakan seluruh karyawan.
Pengaturan Tujuan
Dalam menentukan tujuannya, suatu perusahaan harus menetapkan tujuan yang mendukung misi dan tujuan perusahaan. Tujuan-tujuan ini kemudian harus diselaraskan dengan selera risiko perusahaan. Misalnya, sebuah perusahaan ambisius yang telah menetapkan rencana strategis jangka panjang harus menyadari bahwa mungkin ada risiko internal atau risiko eksternal yang terkait dengan tujuan mulia tersebut. Sebagai tanggapannya, perusahaan dapat menyelaraskan langkah-langkah yang akan diambil dengan apa yang ingin dicapai, seperti mempekerjakan staf pengatur tambahan untuk bidang ekspansi yang saat ini belum mereka ketahui.
Identifikasi Peristiwa
Peristiwa positif mungkin mempunyai dampak besar bagi perusahaan. Di sisi lain, peristiwa negatif dapat berdampak buruk pada kemampuan perusahaan untuk terus beroperasi. Panduan ERM merekomendasikan agar perusahaan mengidentifikasi area penting dalam bisnis dan kejadian terkait yang mungkin menimbulkan dampak buruk. Peristiwa berisiko tinggi ini dapat menimbulkan risiko terhadap operasional (yaitu bencana alam yang memaksa kantor tutup sementara) atau risiko strategis (yaitu peraturan pemerintah yang melarang lini produk utama perusahaan).
Tugas beresiko
Selain menyadari apa yang mungkin terjadi, kerangka ERM merinci langkah penilaian risiko dengan memahami kemungkinan dan dampak finansial dari risiko. Hal ini tidak hanya mencakup risiko langsung (yaitu bencana alam yang mengakibatkan kantor tidak dapat digunakan) namun juga risiko sisa (yaitu karyawan mungkin merasa tidak aman untuk kembali ke kantor). Meskipun sulit, kerangka ERM mendorong perusahaan untuk mempertimbangkan pengukuran risiko dengan menilai persentase perubahan yang terjadi serta dampak terhadap dolar.
Respon Resiko
Perusahaan dapat merespons risiko dengan empat cara berikut:
- Perusahaan dapat menghindari risiko. Hal ini mengakibatkan perusahaan meninggalkan aktivitas yang menimbulkan risiko karena perusahaan lebih memilih melupakan manfaat dari aktivitas tersebut daripada menanggung risiko. Contoh penghindaran risiko adalah perusahaan menutup lini produk dan menghentikan penjualan barang tertentu.
- Perusahaan dapat mengurangi risiko. Hal ini mengakibatkan perusahaan tetap terlibat dalam aktivitas tersebut namun berupaya meminimalkan kemungkinan atau besarnya risiko. Contoh pengurangan risiko adalah perusahaan menjaga lini produk tetap terbuka tetapi berinvestasi lebih banyak dalam pengendalian kualitas atau pendidikan konsumen tentang cara menggunakan produk tersebut.
- Perusahaan dapat berbagi risiko. Hal ini mengakibatkan perusahaan bergerak maju sebagaimana adanya dengan profil risiko aktivitas saat ini. Namun, perusahaan memanfaatkan pihak ketiga yang independen untuk berbagi potensi kerugian dengan imbalan sejumlah biaya. Contoh pembagian risiko adalah pembelian polis asuransi.
- Perusahaan dapat menerima risiko. Hal ini menyebabkan perusahaan menganalisis hasil potensial dan menentukan apakah praktik mitigasi layak dilakukan secara finansial. Contoh penerimaan risiko adalah perusahaan tetap membuka lini produknya tanpa melakukan perubahan pada operasi dan pembagian risiko.
Kegiatan Pengendalian
Aktivitas pengendalian adalah tindakan yang diambil oleh perusahaan untuk membuat kebijakan dan prosedur untuk memastikan manajemen menjalankan operasi sambil memitigasi risiko. Aktivitas pengendalian, sering disebut sebagai pengendalian internal, dibagi menjadi dua jenis proses yang berbeda:
- Kegiatan pengendalian preventif dilakukan untuk menghentikan terjadinya suatu kegiatan. Pengendalian ini bertujuan untuk memitigasi risiko dengan melarang terjadinya peristiwa tertentu. Contoh pengendalian preventif adalah keypad atau kunci fisik yang mencegah seluruh karyawan memasuki area sensitif.
- Aktivitas pengendalian detektif dilakukan untuk mengenali kapan tindakan berisiko telah terjadi. Meskipun peristiwa tersebut diperbolehkan terjadi (atau tidak seharusnya terjadi namun tetap terjadi), pengendalian detektif dapat mengingatkan manajemen untuk memastikan adanya langkah tindak lanjut yang tepat. Contoh kendali detektif adalah alarm ruangan atau l
Informasi dan Komunikasi
Sistem informasi harus mampu menangkap data yang berguna bagi manajemen untuk lebih memahami profil risiko perusahaan dan pengelolaan risiko. Hal ini berarti tidak memberikan pengecualian bagi departemen yang kinerjanya lebih baik dari departemen lainnya; seluruh aspek perusahaan harus terus dipantau. Selain itu, sebagian dari data ini harus dianalisis dan dikomunikasikan kepada karyawan jika relevan dengan mitigasi risiko. Dengan berkomunikasi dengan karyawan, kemungkinan besar akan ada penerimaan yang lebih besar terhadap proses dan perlindungan atas aset perusahaan.
Pemantauan
Perusahaan dapat meminta bantuan komite internal atau auditor eksternal untuk meninjau kebijakan dan praktiknya. Hal ini dapat mencakup peninjauan kembali apa yang sebenarnya dilakukan dibandingkan dengan apa yang disarankan oleh dokumen kebijakan. Hal ini juga dapat mencakup perolehan umpan balik, analisis data perusahaan, dan informasi kepada manajemen mengenai risiko yang tidak terlindungi. Dalam lingkungan yang terus berubah, perusahaan juga harus siap menilai lingkungan ERM mereka dan melakukan pivot sesuai kebutuhan.
Bagaimana Menerapkan Praktik Enterprise Risk Management
Praktik ERM akan bervariasi berdasarkan ukuran perusahaan, preferensi risiko, dan tujuan bisnis. Di bawah ini adalah praktik terbaik yang dapat digunakan sebagian besar perusahaan untuk menerapkan strategi ERM.
- Definisikan filosofi risiko. Sebelum menerapkan praktik apa pun, perusahaan harus mengidentifikasi bagaimana perasaannya terhadap risiko dan apa strateginya dalam menghadapi risiko. Hal ini harus melibatkan diskusi strategis antara manajemen dan analisis profil risiko perusahaan secara keseluruhan.
- Buat rencana aksi. Dengan filosofi risiko perusahaan, sekarang saatnya membuat rencana tindakan. Hal ini menjelaskan langkah-langkah yang harus diambil perusahaan untuk melindungi asetnya dan rencana untuk melindungi masa depan organisasi setelah penilaian risiko dilakukan.
- Jadilah kreatif. Ketika mempertimbangkan risiko, ERM memerlukan pemikiran luas tentang masalah yang mungkin dihadapi perusahaan. Meskipun tidak masuk akal, perusahaan sebaiknya memikirkan sebanyak mungkin tantangan yang mungkin dihadapinya dan bagaimana perusahaan akan merespons (atau memutuskan untuk tidak merespons) jika peristiwa tersebut terjadi.
- Komunikasikan prioritas. Suatu perusahaan dapat menentukan beberapa risiko yang sangat penting yang sangat penting untuk dimitigasi demi kelangsungan perusahaan. Prioritas-prioritas ini harus dikomunikasikan dan dipahami secara luas sebagai risiko yang tidak boleh ditanggung dalam keadaan apa pun. Alternatifnya, perusahaan mungkin ingin mengkomunikasikan rencana jika peristiwa itu terjadi.
- Tetapkan tanggung jawab. Ketika rencana tindakan telah dirancang, karyawan tertentu harus diidentifikasi untuk melaksanakan bagian tertentu dari rencana tersebut. Hal ini mungkin termasuk mendelegasikan tugas ke posisi tertentu jika karyawan meninggalkan perusahaan. Hal ini tidak hanya memungkinkan semua item tindakan untuk dikerjakan tetapi juga akan membuat anggota bertanggung jawab atas area risiko mereka.
- Pertahankan fleksibilitas. Seiring berkembangnya perusahaan dan risiko, perusahaan harus merancang praktik ERM agar dapat beradaptasi. Risiko yang dihadapi suatu perusahaan pada suatu hari mungkin berbeda pada hari berikutnya; perusahaan harus mampu menjalankan rencananya saat ini sambil tetap membuat rencana untuk risiko baru di masa depan.
- Manfaatkan teknologi. Platform digital ERM dapat menampung, merangkum, dan melacak banyak risiko suatu perusahaan. Teknologi juga dapat digunakan untuk menerapkan pengendalian internal atau mengumpulkan data tentang bagaimana kinerja dilacak ke praktik ERM.
- Terus pantau. Setelah praktik ERM diterapkan, perusahaan harus memastikan praktik tersebut dipatuhi. Hal ini berarti melacak kemajuan menuju tujuan, memastikan risiko tertentu dimitigasi, dan karyawan melakukan tugas sesuai harapan.
- Gunakan metrik. Sebagai bagian dari pemantauan praktik ERM, perusahaan harus mengembangkan serangkaian metrik untuk mengukur apakah perusahaan tersebut memenuhi target. Sering disebut sebagai sasaran SMART, metrik ini menjaga akuntabilitas perusahaan dalam mencapai tujuannya atau tidak.
Keuntungan dan Kerugian Enterprise Risk Management
Keuntungan ERM
ERM menetapkan harapan seluruh organisasi seputar budaya perusahaan. Hal ini mencakup komunikasi yang lebih terbuka mengenai risiko yang dihadapi perusahaan dan cara memitigasinya. Hal ini mengurangi risiko yang tidak terduga dan memberikan arahan yang lebih terarah tentang cara merespons kejadian tertentu. Selain itu, hal ini dapat menghasilkan kepuasan karyawan yang lebih besar karena mengetahui ada rencana untuk melindungi sumber daya perusahaan serta layanan pelanggan yang lebih baik karena mengetahui cara merespons pelanggan jika risiko tertentu benar-benar terjadi.
Praktik ERM sering kali disintesiskan oleh laporan risiko standar yang disampaikan kepada manajemen tingkat atas. Laporan ini secara ringkas merangkum risiko yang dihadapi perusahaan, tindakan yang diambil, dan informasi yang diperlukan untuk pengambilan keputusan. Akibatnya, suatu perusahaan bisa lebih efisien dalam hal waktunya, terutama mengingat apa yang diserahkan kepada manajemen tingkat atas
ERM juga mungkin mempunyai dampak positif bagi seluruh perusahaan terhadap kecerdikan bisnis. ERM dapat menghilangkan proses yang berlebihan, memastikan penggunaan staf yang efisien, mengurangi pencurian, atau meningkatkan profitabilitas dengan lebih memahami pasar apa yang akan dimasuki.
Kekurangan ERM
Ketika sebuah perusahaan membangun praktik ERMnya, kemungkinan besar perusahaan tersebut akan mempertimbangkan risiko-risiko yang sudah dikenal yang pernah dihadapinya di masa lalu. Oleh karena itu, ERM terbatas dalam mengidentifikasi risiko di masa depan yang tidak disadari oleh organisasi yang mungkin mempunyai dampak yang lebih merugikan. Dengan cara ini, beberapa orang mungkin menganggap ERM sebagai hal yang reaktif karena perusahaan hanya dapat memperkirakan risiko berdasarkan pengalaman mereka sebelumnya.
ERM juga sangat bergantung pada estimasi dan masukan manajemen. Hal ini mungkin hampir mustahil untuk diprediksi secara akurat. Misalnya, jika suatu perusahaan mempunyai peluang yang sangat kecil untuk meramalkan terjadinya pandemi COVID-19, akankah perusahaan dapat menghitung secara akurat dampak fiskal dari penutupan bisnis atau perubahan belanja konsumen? Biaya mitigasi ERM mungkin juga sulit untuk diperkirakan.
Praktik ERM memakan banyak waktu dan oleh karena itu memerlukan sumber daya perusahaan agar berhasil. Meskipun perusahaan akan mendapatkan keuntungan dari perlindungan asetnya, perusahaan harus mengurangi waktu stafnya dan mungkin melakukan investasi modal untuk menerapkan strategi ERM. Selain itu, perusahaan mungkin kesulitan mengukur keberhasilan ERM karena risiko keuangan yang tidak terjadi harus diproyeksikan begitu saja.
Praktek ERM
Kelebihan
- Dapat membuat perusahaan lebih siap menghadapi risiko dan ketidakpastian
- Dapat membuat karyawan lebih puas dengan keadaan perusahaan di masa depan
- Dapat menghasilkan layanan pelanggan yang lebih baik karena perusahaan siap menghadapi situasi tertentu
- Dapat menghasilkan pelaporan yang efisien kepada manajemen tingkat atas yang meningkatkan pengambilan keputusan
- Dapat menghasilkan operasi perusahaan yang lebih efisien
Kontra
- Mungkin tidak secara akurat mengidentifikasi risiko yang mungkin dialami perusahaan
- Mungkin tidak secara akurat menilai dampak finansial atau kemungkinan suatu hasil
- Seringkali membutuhkan investasi waktu dari sebuah perusahaan agar bisa sukses
- Seringkali membutuhkan investasi modal dari suatu perusahaan agar bisa sukses
Jenis Risiko yang Ditangani oleh Enterprise Risk Management
ERM dapat membantu menyusun rencana untuk hampir semua jenis risiko bisnis. Risiko bisnis mengancam kemampuan perusahaan untuk bertahan hidup, dan risiko-risiko ini dapat diklasifikasikan lebih lanjut ke dalam berbagai risiko yang dibahas di bawah ini. Secara umum, ERM paling sering mengatasi jenis risiko berikut:
- Risiko kepatuhan mengancam perusahaan karena pelanggaran hukum atau persyaratan eksternal. Contoh risiko kepatuhan adalah ketidakmampuan perusahaan menghasilkan laporan keuangan tepat waktu sesuai dengan aturan akuntansi yang berlaku seperti GAAP.
- Risiko hukum mengancam perusahaan jika perusahaan tersebut menghadapi tuntutan hukum atau penalti karena masalah kontrak, perselisihan, atau peraturan. Contoh risiko hukum adalah sengketa penagihan dengan pelanggan besar.
- Risiko strategis mengancam rencana jangka panjang perusahaan. Misalnya, pelaku pasar baru di masa depan mungkin akan menggantikan perusahaan tersebut sebagai penyedia barang dengan biaya terendah.
- Risiko operasional mengancam aktivitas sehari-hari yang diperlukan perusahaan untuk beroperasi. Contoh risiko operasional adalah bencana alam yang merusak gudang perusahaan tempat penyimpanan persediaan.
- Risiko keamanan mengancam aset perusahaan jika aset fisik atau digital disalahgunakan. Contoh risiko keamanan adalah kurangnya kontrol yang mengawasi informasi sensitif klien yang disimpan di server jaringan.
- Risiko keuangan mengancam utang atau kedudukan keuangan suatu perusahaan. Contoh risiko keuangan adalah kerugian translasi karena memegang mata uang asing.
Kesimpulan
Ketika sebuah perusahaan membuat, menjual, dan mengirimkan barang ke pelanggan, perusahaan menghadapi risiko yang tak terhitung jumlahnya dari berbagai sumber. Untuk merencanakan risiko-risiko ini dengan lebih baik, perusahaan beralih ke Enterprise Risk Management, sebuah pendekatan top-down di seluruh perusahaan dalam menilai risiko dan menyusun rencana. Tujuan utama ERM adalah untuk melindungi aset dan operasi perusahaan sekaligus menyiapkan strategi jika terjadi peristiwa buruk tertentu.