BAB II LANDASAN TEORI 2.1. Enterprise Risk Management (ERM) Pada bulan September 2004, Committee of Sponsoring Organizations’ (COSO’s) mempublikasikan proses Enterprise Risk Management (ERM) yang merupakan pembaharuan dari COSO Framework yang telah berusia 25 tahun. COSO mendifinisikan ERM sebagai berikut: :”Enterprsie risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives” 1
Dari definisi ini tercakup hal-hal penting mengenai ERM yaitu: 1. ERM adalah proses yang berjalan terus menerus dan mengalir melalui seluruh sendi usaha dan organisasi; 2. ERM dipengaruhi oleh keterlibatan karyawan diseluruh tingkat organisasi; 3. Diaplikasikan dalam penentuan strategi usaha dan organisasi; 4. Dirancang untuk mengenali peluang kejadian yang jika terjadi akan mempengaruhi jalannya usaha dan organisasi; 5. Mampu memberikan kepastian yang dapat dipahami oleh pimpinan organisasi.
ERM menyajikan empat kategori tujuan yaitu: 1. Strategi (strategic) – ERM dilakukan untuk mencapai tujuan usaha dan organisasi serta senantiasa selaras dengan apa yang telah direncanakan; 2. Operasional (operations) – ERM dilaksanakan untuk memastikan pemanfaatan sumberdaya dilakukan dengan efektif dan efisien;
1
Tarantino, Anthony, 2006, Manager’s Guide to Compliance – Best Practices and Case Studies, John Wiley @ Sons, Inc, New Jersey. 6
7 3. Pelaporan (reporting) – ERM menuntut dan mendorong pelaporan informasi yang transparan; 4. Kepatuhan (compliance) – ERM membantu pelaksanaan kegiatan usaha yang beretika serta sesuai dengan peraturan dan hukum yang berlaku.
Tujuan ini disajikan dalam empat kolom vertikal didukung oleh delapan komponen pada baris horizontal dan dipadankan dengan entitas organisai sebagai dimensi ketiga dengan tujuan untuk memberikan keleluasaan dalam menganalisis ERM dari berbagai sudut pandang organisasi, baik pada tingkat perusahaan, cabang hingga unit kerja. ERM ini tidak mengubah apa yang telah ada pada kerangka kerja COSO I sebelumnya namun melengkapinya dengan kerangka kerja yang lebih strategik dan komprehensif (gambar 2.1)
Gambar 2.1. Model ERM COSO
Model ini menampilkan kubus 3 dimensi untuk menunjukkan bahwa manajemen risiko bukan merupakan proses serial namun merupakan proses yang multidirectional dan iteratif dimana satu komponen mempengaruhi komponen yang
8 lainnya. ERM COSO menjelaskan bahwa manajemen risiko perusahaan memungkinkan pimpinan perusahaan untuk menangani ketidakpastian, risiko terkait dan peluang yang meningkatkan kapasitas untuk membangun nilai tambah. Nilai tambah ini akan semakin besar ketika pimpinan perusahaan menetapkan strategi dan tujuan untuk mencapai keseimbangan yang optimal antara pertumbuhan usaha dengan risiko yang ada. Dibandingkan dengan pendahulunya, ERM COSO menambahkan konsep baru yaitu event management. Konsep ini dianggap sebagai perubahan penting terhadap COSO I yang sangat baik untuk diterapkan pada proses atau kegiatan berulang (repetitive). Namun justru risiko timbul jika terjadi hal diluar dari proses atau kegiatan berulang tadi. Kejadian khusus atau special event ini dapat memberikan dampak negatif, positif atau keduanya. Kejadian dengan dampak negatif menimbulkan kerugian (risiko) yang dapat mengurangi atau menghambat peningkatan nilai tambah. Kejadian dengan dampak positif sebaliknya, dapat menutupi dampak negatif atau menyajikan peluang baru. Peluang itu sendiri merupakan kemungkinan yang diharapkan akan terjadi dan secara positif mempengaruhi pencapaian tujuan organisasi serta mendukung peningkatan nilai tambah. Pimpinan mengembalikan kembali peluang tersebut kepada jalur strategi yang telah direncanakan, kemudian merumuskan rencana untuk merealisasikannya. Selain empat kategori tujuan tersebut, ERM juga dibangun di atas delapan komponen yang saling terkait dan merepresentasikan pendekatan pengelolaan organisasi dan proses. Komponen-komponen tersebut adalah: 1. Lingkungan internal. Hal ini berkaitan erat dengan budaya organisasi, khususnya budaya pengambilan keputusan para pemimpinnya, sifat alamiah industri bersangkutan, budaya kerja, filosofi manajemen risiko, integritas, nilainilai etika usaha dan lingkungan dimana organisasi tersebut beroperasi; 2. Penentuan tujuan. Mengenali dan menentukan prioritas tujuan adalah langkah esensi yang harus diselesaikan sebelum merambah kepada identifikasi risiko dan kejadian-kejadian yang dapat mempengaruhi tujuan usaha dan organisasi; 3. Mengenali kejadian. Kejadian internal atau eksternal seperti dijelaskan sebelumnya mempengaruhi kinerja usaha dan oganisasi. Untuk itu kejadian
9 tersebut haruslah dapat dikenali sedini mungkin agar dapat dibedakan kejadian mana yang menimbulkan risiko dan mana yang membuka peluang baru. Kedua jenis kejadian ini haruslah dikembalikan kepada strategi perusahaan agar dapat bereaksi dengan tepat; 4. Risk Assessment. Risiko yang ada hendaknya dianalisis mengingat kemungkinan terjadi dan dampaknya sebagai landasan untuk menentukan bagaimana risiko tersebut harus dikelola. Jenis risiko yang dikelola adalah inherent dan residual. Manajemen risiko inherent atau biasa disebut gross atau absolute risk memperhatikan konsekuensi dan kemungkinan terjadinya risiko sebelum dilakuan tindakan pengendalian atau pencegahan. Manajemen risiko residual yang juga disebut net atau controlled risk memperhatikan konsekuensi dan kemungkinan terjadinya risiko setelah dilakuan tindakan pengendalian atau pencegahan; 5. Reaksi terhadap risiko. Pimpinan memilih dan menetapkan cara bereaksi terhadap risiko (menghindari, menerima, mengurangi atau membagi risiko) dengan membangun rangkaian tindakan untuk menyelaraskan risiko dengan tingkat toleransi organisasi terhadap risiko. Bagian penting dari penentuan reaksi terhadap risiko ini adalah mengevaluasi biaya dan manfaat dari berbagai pilihan cara penanganan; 6. Pengendalian. Kebijakan dan prosedur harus dibuat dan diterapkan untuk membantu pemastian reaksi terhadap risiko dilaksanakan dengan efektif dan tidak menimbulkan risiko baru; 7. Informasi dan komunikasi. Informasi yang berkesuaian harus diketahui, dikumpulkan dan dikomunikasikan dalam bentuk dan kurun waktu tertentu agar dapat dipahami oleh semua pihak yang terkait dengan kegiatan manajemen risiko; 8. Pemantauan. Seluruh kegiatan manajemen risiko dipantau dan disesuaikan sesuai kebutuhan. Pemantauan dicapai melalui serangkaian proses rutin atau evaluasi terpisah seperti audit.
10 Secara ringkas, ruang lingkup ERM COSO ini meliputi: 1. Penyelarasan risk appetite dengan strategi organisasi. Pimpinan perusahaan meperhatikan risk appetite dalam mengevaluasi pilihan-pilihan keputusan strategis, menetapkan tujuan terkait dan mengembangkan mekanisme untuk mengelola risiko tersebut; 2. Meningkatkan kemampuan menanggapi risiko. Manajemen risiko memberikan kemampuan yang sangat rinci untuk mengidentifikasi dan memilih alternatif cara untuk menanggapi risiko, seperti menghindari , mengurangi , membagi dan menerima risiko; 3. Mengurangi kerugian operasional. Entitas usaha memperoleh kemampuan yang lebih baik untuk mengenali potensi kejadian tak terduga dan mempersiapkan tindakan yang diperlukan untuk mengurangi biaya atau kerugian yang mungkin timbul; 4. Mengenali dan mengelola risiko ganda dan risiko antar entitas usaha. Setiap perusahaan menghadapi banyak sekali risiko yang mempengaruhi bagian organisasi yang berbeda. Manajemen risiko yang baik memfasilitasi kemampuan menangani risiko dengan dampak yang saling terkait dan penanganan terpadu untuk beragam jenis risiko; 5. Menangkap peluang. Dengan memerhatikan seluruh potensi risiko, pimpinan diposisikan untuk mengenali dan secara proaktif merealisasikan peluang tersebut; 6. Mendorong penyertaan modal. Dengan mendapatkan informasi risiko yang akurat dan memadai memungkinkan pimpinan untuk secara efektif meng-assess kebutuhan modal dan peningkatan modal jika diperlukan secara tepat.
2.2. US SOX Section 404: Internal Controls Tidak ada bagian dari Sarbanes-Oxley Act 2002 yang sangat menjadi perhatian dan kontroversi kecuali bagian 404 yang mengharuskan penyusunan dan pemeliharaan proses pengendalian internal yang berfungsi baik. Selama lebih dari 10 tahun Security Exchange Commission (SEC) Amerika Serikat telah mengharuskan proses pengendalian internal dilaksanakan termasuk didalamnya
11 kebijakan, prosedur, pelatihan dan proses lainnya diluar pengendalian keuangan. Perusahaan di Amerika Serikat diwajibkan untuk mendokumentasikan dan menguji tingkat kecukupan proses pengendalian internal. Dalam merancang ketentuan ini SEC mengadopsi kerangka kerja COSO (ERM) yang telah diakui sebagai acuan industri di Amerika Serikat bahkan dunia. Mengacu pada kerangka kerja COSO pengendalian internal adalah proses yang dipengaruhi oleh upaya pimpinan dan seluruh karyawan yang dirancang untuk memberikan kepastian yang terukur berkaitan dengan pencapaian: 1. Kegiatan operasional yang efektif dan efisien; 2. Akurasi pelaporan keuangan; 3. Kepatuhan terhadap hukum dan peraturan yang berlaku
Beberapa contoh pelanggaran pengendalian internal menjadi sorotan Section 404 ini antara lain: 1. Sistem keuangan dan perencanaan yang berbeda. Banyak perusahaan yang menggunakan sistem keuangan dan perencanaan yang berbeda untuk melakukan kegiatan usahanya. Misalnya menerapkan sistem Enterprise Resource Planning (ERP) yang tidak terintegrasi dengan Customer Relationship Management (CRM), logistik dan keuangan. Walaupun tujuan awal penggunaan sistem ini amatlah baik namun pada akhirnya banyak masalah integrasi informasi dan pengendalian informasi yang timbul, misalnya harus melakukan data entry ulang untuk menggabungkan berbagai informasi dari berbagai sistem. Tentu saja proses data entry ini sangat rentan terhadap kesalahan dan sulit untuk dipastikan akurasinya. 2. Rekonisiliasi akun perusahaan tidak dilakukan secara berkala. Transaksi bulan berjalan antar unit kerja biasanya tercatat sebagai neraca yang memerlukan rekonisiliasi setiap bulan untuk memastikan keseimbangan antara penerimaan dengan pengeluaran/kewajiban. Setiap perusahaan seharusnya menerapkan kebijakan yang ketat untuk memastikan rekonsiliasi ini dilaksanakan secara berkala untuk menghindari kesalahan pelaporan posisi keuangan.
12 3. Lemahnya pengendalian informasi dan fisik aset. Perusahaan membelanjakan modal untuk memperoleh aset sebagai alat produksi yang mungkin saja tidak dikelola dengan baik. Dalam melaksanakan kegiatan usaha tidak sedikit terjadi pergerakan aset baik secara fisik, status dan nilai nya terkait dengan penyusutan dan sebagainya. Pengendalian yang lemah dapat mengakibatkan kesalahan laporan inventori, baik itu kelebihan maupun kekurangan. 4. Lemahnya pengendalian Purchase Order atau Customer Order. Kelemahan pengendalian kedua hal ini dapat mengakibatkan akumulasi kebutuhan cash yang seolah-olah menggelembung yang mengganggu upaya perencanaan cash flow. 5. Lemahnya pengendalian informasi pelanggan dan pemasok. Hal ini merupakan kelemahan yang paling sering ditemui pada banyak organisasi, misalnya saja tidak ada standar terhadap pencatatan nama perusahan, contact person, alamat dan sebagainya. Akibat informasi yang tidak akurat dapat terjadi laporan berulang untuk beberapa pelanggan atau pemasok yang sebetulnya merupakan satu entitas. 6. Lemahnya pengendalian informasi barang / parts. Maraknya merger dan akuisisi serta konsolidasi dan penggunaan fasilitas bersama (misalnya melalui outsourcing atau co-sourcing) dapat mengakibatkan satu jenis barang / parts tercatat beberapa kali dengan kode berbeda. Perbedaan kode ini dengan mudah menyebabkan gangguan pada pengelolaan inventori. Misalnya saja barang XYZ001 sama dengan ABC001 (barang sama kode berbeda). Ketika bill of material suatu produk mensyaratkan safety stock XYZ001 pada tingkat tertentu maka inventori harus memastikan barang tersebut tersedia, walaupun sebenarnya tidak diperlukan pembelian baru karena barang ABC001 masih tersedia. 7. Inventory Write-Off. Kelemahan forecast dan kelemahan pengelolaan product life-cycle sering mengakibatkan kelebihan inventori yang menyebabkan harus dilakukan penghapusan. Penghapusan inventori dalam jumlah besar akibat, misalnya, melebihi usia simpan dan sebagainya menimbulkan kerugian finansial yang tidak sedikit dan langsung mengganggu irama kegiatan produksi.
13 8. Tidak memahami hubungan antara demand dan supply. Banyak perusahaan yang ternyata tidak memiliki proses dan sistem untuk memberikan informasi hubungan demand dan supply, kalaupun ada masih banyak perusahaan yang belum mampu mengendalikan kondisi khusus seperti kondisi over demand atau over supply. Ketidakmampuan ini mengakibatkan dampak yang tidak sedikit terhadap kondisi keuangan misalnya harus melakukan pembelian bahan baku pada saat yang tidak tepat dengan harga tinggi. Selain itu, perusahaan juga dapat mengalami kerugian akibat kesalahan bernegosiasi untuk kontrak pembelian jangka panjang dengan para pemasoknya. 9. Tidak melaksanakan pemisahan tugas dan kewenangan (Segregation of Duties). Pemisahan tugas dan kewenangan sering diabaikan dengan alasan kekurangan sumberdaya manusia. Banyak perusahaan yang menganggap hal ini menjadi beban dengan harus menambah banyak karyawan untuk memastikan pemisahan tugas dan kewenangan. Contoh pelanggaran segregation of duties misalnya hak untuk membuat Purchase Order dan melakukan pembayaran dilakukan oleh orang yang sama.
SEC tidak mengizinkan perusahaan untuk mengakui proses pengendalian internal yang baik sampai seluruh bukti-bukti pendukungnya dikemukakan dengan terbuka disertai dengan rencana perbaikan yang terdokumentasi dan dilaksanakan. Untuk lebih memastikan kepatuhan perusahaan, SEC mensyaratkan pimpinan tertinggi perusahaan Chief Executive Officer (CEO) dan Chief Financial Officer (CFO) bertanggungjawab secara pribadi dan atas nama hukum untuk memastikan kualitas dan efektifitas pengendalian internal perusahaan mereka.
2.3. Pengendalian Internal industri Keuangan Pada tahun 2004, para gubernur bank sentral dan pimpinan organisasi pengawas perbankan dari 10 negara (G10 Countries) mempublikasikan kerangka kerja kecukupan modal yang disebut “The International Convergence of Capital Measurement and Capital Standard: A Revised Framework” – dikenal dengan
14 nama Basel II, sesuai dengan nama tempat pertemuan di kota Basel, Swiss. Basel II merupakan perbaikan dari versi sebelumnya yang dipublikasikan pada tahun 1988. Basel II mengatur secara rinci penguasaan modal minimum bank, termasuk didalamnya: 1. Kerangka kerja untuk bank dalam mengevaluasi kecukupan modal dan kecukupan dukungan terhadap potensi risiko yang akan timbul; 2. Kerangka kerja untuk bank dalam memperkuat pemahaman pasar dengan meningkatkan transparansi laporan keuangan.
Komite penyusun Basel II menghendaki kerangka kerja baru ini diterapkan pada lingkup wilayah hukum anggotanya mulai akhir tahun 2006. Tidak berbeda dengan SOX Section 404, Basel II juga dilandasi oleh COSO (ERM) dan dirancang untuk mencegah kegagalan pengendalian internal yang kritikal termasuk didalamnya identifikasi dan mitigasi risiko. Bagian 744 dan 745 Basel II mencakup proses evaluasi pengendalian internal. Bagian 744 mengatakan struktur pengendalian internal bank sangat penting dan mewarnai proses assessment modal. Pengendalian internal yang efektif termasuk dilakukannya review independen dan jika dimungkinkan adanya keterlibatan pihak audit internal atau eksternal. Pimpinan bank memiliki tanggungjawab untuk memastikan adanya sistem untuk mengevaluasi berbagai risiko, membangun sistem untuk menghubungkan risiko dengan tingkat modal bank dan mempersiapkan metode pemantauan kepatuhan dengan kebijakan internal. Pimpinan perusahaan secara berkala harus memeriksa ulang apakah sistem pengendalian internal telah memadai untuk memastikan pelaksanaan kegiatan usaha yang bertanggungjawab. Bagian 745 Basel II mengatakan bahwa bank harus melakukan evaluasi berkala terhadap proses manajemen risiko untuk memastikan integritas, akurasi dan kewajaran. Adapun area yang harus dievaluasi termasuk: 1. Kepantasan proses assessment modal bank disesuaikan dengan kondisi pasar, ruang lingkup dan kompleksitas kegiatan usaha; 2. Identifikasi exposure yang besar dan adanya pengendapan atau konsentrasi risiko pada proses atau bagian tertentu di perusahaan;
15 3. Akurasi dan kelengkapan input terhadap proses assessment; 4. Kewajaran dan keabsahan scenario yang digunakan untuk melakukan assessment; 5. Pengujian input dan analisis yang terus menerus
Pada bagian lain, yaitu 751 dan 752 mencakup assessment terhadap lingkungan pengendalian. Dijelaskan bahwa para Manager dan Supervisor harus memperhatikan kualitas sistem informasi dan laporan yang melibatkan kegiatan usaha dan risikonya serta informasi yang berkaitan dengan perubahan profil risiko. Tingkat modal harus ditentukan sesuai dengan profil risio dan kecukupan proses manajemen risiko dan pengendalian internal. Ditambah dengan faktor eksternal seperti ekonomi makro, politik dan sebagainya.
2.4. IT Risk Management (NIST 800-30) National Institute of Standards and Techology (NIST) adalah badan yang bertanggungjawab untuk menyusun panduan (guidelines) bidang Teknologi Informasi bagi pemerintah federal di Amerika Serikat. NIST mempublikasikan NIST’s Special Publication 800-30 yang berjudul ”Risk Management Guide for Information Technology Systems” pada bulan Juli 2002. Panduan ini memberikan rekomendasi cara manajemen risiko berkaitan dengan Teknologi Informasi (TI). Lebih jauh lagi, panduan NIST ini juga diakui sebagai best practice untuk meningkatkan pengendalian internal bagi usaha dan organisasi TI. Berbeda dengan ERM COSO yang menggunakan pendekatan tiga dimensi, panduan NIST 800-30 ini lebih sederhana dengan tiga proses utama yaitu: 1. Risk assessment, yang meliputi identifikasi dan evaluasi risiko dan dampak risiko dan rekomendasi tindakan pengurangan risiko; 2. Risk mitigation, proses yang mengacu pada penentuan prioritas, implementasi dan pemeliharaan tindakan pengurangan risiko sesuai dengan yang disarankan oleh proses risk assessment; 3. Evaluasi dan assessment, adalah proses yang meliputi evaluasi terus menerus terhadap keberhasilan penerapan tindakan pengurangan risiko.
16 Manajemen risiko adalah rangkaian proses yang memungkinkan pimpinan organisasi untuk memperoleh keseimbangan antara biaya operasional dan biaya ekonomi yang dikeluarkan untuk mengurangi risiko dan memperoleh manfaat dengan melindungi sistem TI pendukung, data dan informasi yang digunakan organisasi untuk mencapai tujuannya. Proses ini bukan merupakan proses unik yang terpisah dari kegiatan TI pada umumnya, proses tersebut haruslah menjadi bagian dari kegiatan pengelolaan TI keseluruhan.
Pihak-pihak yang terlibat pada proses manajemen risiko menurut panduan ini adalah sebagai berikut: 1. Pimpinan perusahaan. Sudah selayaknya pimpinan perusahaan memegang tanggungjawab tertinggi untuk memastikan pencapaian misi perusahaan. Mereka juga harus memastikan ketersediaan sumberdaya yang diperlukan agar secara efektif dapat melaksanakan rencana kerja perusahaan. Terkait dengan hal ini maka pimpinan perusahaan juga harus memahami dan mengikutsertakan hasil risk assessment kedalam proses pengambilan keputusan. Program manajemen risiko yang secara terus menerus meng-assess dan mengurangi risiko TI memerlukan dukungan dan keterlibatan pimpinan perusahaan; 2. Chief Information Officer (CIO). CIO yang pada umumnya memimpin unit kerja
TI
bertanggungjawab
terhadap
perencanaan,
penganggaran,
pengembangan dan pemeliharaan TI diperusahaan. Keputusan terkait dengan hal tersebut haruslah didasari oleh program manajemen risiko yang baik; 3. Pemilik sistem dan informasi. Pemilik sistem dan informasi bertanggungjawab untuk memastikan penerapan pengendalian yang memadai untuk menjaga keterpaduan, kerahasiaan dan ketersediaan sistem dan informasi yang mereka perlukan. Peran penting yang dilakukan untuk memastikan hal ini adalah menyetujui dan mengawasi setiap perubahan penting yang terjadi pada sistem dan informasi tersebut. Pemilik sistem dan informasi ini harus berperan aktif dalam proses manajemen risiko; 4. Pemilik proses. Para pemilik proses adalah pelaksana kegiatan usaha baik dengan maupun tanpa dukungan TI. Tindakan yang mereka lakukan atau
17 keputusan yang dibuat dapat berpengaruh secara langsung kepada gerak langkah perusahaan. Untuk itu keterlibatan para pemilik proses dalam manajemen risiko ini menjadi sangat penting yang memungkinan pengembangan sistem TI dilakukan dengan menerapkan proses dan teknik kendali risiko yang memadai dengan tetap memperhatikan unsur biaya yang dikeluarkan; 5. ISSO (Information System Security Officers). Bertangungjawab terhadap program keamanan informasi perusahaan termasuk didalamnya manajemen risiko. Oleh sebab itu ISSO memegang peranan penting dalam penyelenggaraan proses manajemen risiko yang baik termasuk didalamnya menentukan metodologi untuk mengenali, mengevaluasi dan mengurangi risiko terhadap sistem TI perusahaan. ISSO juga berperan sebagai nara sumber bagi pimpinan perusahaan untuk memastikan proses manajemen risiko berjalan sebagaimana mestinya; 6. IT Security Practitioners. Para spesialis TI bertanggungjawab untuk menerapkan cara pengendalian risiko dengan baik pada sistem TI yang mereka kelola. Mereka juga bertanggungjawab untuk mengenali dan mengevaluasi risiko ketika akan terjadi perubahan besar pada lingkungan dan sistem TI perusahaan seperti penambahan kapasitas, perubahan sistem inti, penerapan teknologi baru, serta menerapkan teknik pengendalian risiko yang sesuai; 7. Security Awareness Trainers. Untuk memastikan seluruh karyawan memahami proses manajemen risiko maka diperlukan program peningkatan kepedulian dan keahlian penanganan risiko secara terus menerus. Security Awareness Trainers harus memahami proses manajemen risiko itu sendiri dengan baik sehingga dapat merancang program pelatihan dan peningkatan kepedulian yang tepat.
2.5. Analisa Manajemen risiko oleh banyak pimpinan perusahaan sudah dianggap sangat penting namun tidak sedikit juga yang menganggap manajemen risiko adalah kegiatan yang tidak bernilai tambah. Berikut adalah beberapa pendapat mengenai faktor pendorong dan penghambat manajemen risiko perusahaan.
18 Faktor-faktor pendorong manajemen risiko, antara lain: 1. Kerangka kerja manajemen risiko sudah sangat beragam dan dirancang untuk memenuhi kebutuhan industri tertentu; 2. Tenaga ahli yang menguasai proses pengendalian risiko sudah semakin banyak dengan kualitas yang baik; 3. Kompensasi tenaga ahli manajemen risiko semakin dihargai; 4. Alat bantu atau tool proses pengendalian risiko sudah terotomasi dengan dukungan TI dan biaya yang relatif terjangkau perusahaan pada umumnya; 5. Munculnya banyak organisasi atau asosiasi yang memperhatikan proses manajemen risiko baik dari segi regulasi hingga implementasi praktis; 6. Banyaknya inovasi teknik manajemen risiko yang lebih sesuai dengan tututan bisnis saat ini; 7. Terjadi
penggabungan
teknik
manajemen
risiko
antar
industri
yang
memperkaya proses manajemen risiko itu sendiri; 8. Penghargaan terhadap pejabat pengelola risiko semakin tinggi bahkan banyak perusahaan global yang memiliki Chief Risk Officer sebagai anggota Board of Director.
Faktor-faktor penghambat manajemen risiko, antara lain: 1. Pengelola risiko menghadapai tantangan untuk menyeimbangkan tugas pemenuhan kepatuhan dengan pergerakan usaha yang sangat dinamis dan agresif; 2. Manajemen risiko tidak mendatangkan pendapatan bagi perusahaan. Hal ini menyebabkan pengendalian risiko tidak mendapat perhatian yang cukup bahkan dari pimpinan perusahaan; 3. Tingginya tingkat kesulitan untuk menentukan cara pengukuran terhadap kerugian atau pembobotan risiko; 4. Kuantifikasi exposure risiko pada skala perusahaan sangatlah sulit dilakukan mengingat begitu banyak faktor yang terlibat; 5. Semakin luasnya tugas dan kewenangan mengakibatkan beban manajemen risiko sepenuhnya diserahkan kepada manajer risiko. Para manajer cenderung
19 mentransfer kewajiban manajemen risiko ini kepada manajer atau bagian yang ditugasi melakukan manajemen risiko.
Terlepas dari pro dan kontra mengenai cara dan pengorganisasian proses manajemen risiko, banyak kasus yang menarik untuk dikaji berkaitan dengan kegagalan perusahaan pengelola risiko usahanya dengan baik, antara lain yang dialami oleh Nokia dan Palm seperti dijelaskan berikut ini. Nokia tahun 1999; Pada tahun ini Nokia meluncurkan program besar-besaran untuk mengembangkan pasar telepon genggam yang memberikan fasilitas akses Internet kepada pemakainya, termasuk didalamnya fitur untuk menonton film dan bermain video games interaktif. Nokia mengeluarkan ratusan juta dolar untuk meluncurkan suatu konsep smart phone, dimana 80% dari keseluruhan biaya riset tersebut dialokasikan untuk membuat software yang memiliki kemampuan menyerupai software PC. Hal ini tidak mengherankan karena pada saat yang bersamaan Microsoft juga tengah mempersiapkan piranti sejenis. Dengan latarbelakang penguasaan industri software yang baik, Microsoft tidak mengalami kesulitan berarti untuk membawa kemampuan PC ke dunia mobile. Dengan memperhatikan Microsoft sebagai pesaing utama pada segmen pasar ini Nokia melupakan segmen pasar lainnya yang justru merupakan lapisan terkuat Nokia saat itu, yaitu pasar menengah yang mengutamakan fitur dasar dengan tambahan fitur kamera. Smart phone produksi Nokia ukurannya dianggap terlalu besar dan tidak responsive. Pada saat lengah itulah Samsung dan Motorola berkesempatan mencuri pangsa pasar menengah. Akibatnya penguasaan pasar Nokia turun dari 35% menjadi 29% pada tahun 2003. Nokia hanya mampu menjual 5.5 juta smart phone dari target 10 juta unit. Pada semester pertama tahun 2004 angka penjualan Nokia turun 2% pada kondisi pasar yang tumbuh 40% dari tahun sebelumnya. Palm adalah pionir hand-held computer diawal 90an. Pada bulan Desember 2000, Palm berhasil membukukan angka pertumbuhan penjualan yang fantastis yaitu 165% lebih tinggi dari tahun sebelumnya. Namun hal ini tidak berlangsung lama karena pada bulan Maret 2001 tanda-tanda penurunan penjualan sudah mulai terlihat dengan jelas. Pimpinan Palm saat ini memutuskan cara perbaikan kinerja
20 penjualan dengan secepatnya meluncurkan produk model terbaru. CEO Palm, Carl Yankowski mendapatkan informasi yang meyakinkan dari jajaran manajemen bahwa model baru ini – yang dikenal dengan seri m500 – dapat diluncurkan dalam waktu 2 minggu. Dengan informasi ini Palm mulai menginformasikan kepada publik akan adanya produk seri baru yang akan diluncurkan. Hal ini kembali menekan penjualan Palm karena pelanggan cenderung tidak melakukan pembelian sampai model baru resmi diluncurkan. Permasalah timbul karena ternyata Palm tidak mampu meluncurkan seri m500 dalam waktu dua minggu seperti yang diperkirakan. Palm tidak memperhitungkan waktu uji coba yang lebih lama dari perkiraan. Palm baru berhasil meluncurkan m500 dipasaran pada bulan Mei – enam minggu setelah rencana peluncuran di bulan Maret. Akibat penundaan ini, jumlah produk lama yang tidak terjual semakin besar hingga penghapusan inventori (inventory write off) mencapai angka 300 juta dolar yang membukukan kerugian 392 juta dolar pada akhir bulan Juni. Angka ini amatlah mencolok dibandingkan dengan keuntungan sebesar 12.4 juta dolar pada tahun sebelumnya. Pesaing Palm seperti RIM (BlackBerry) dan Microsoft meraup keuntungan dari kesalahan yang dibuat Palm.