Risk Management Framework ISO 31000 , ERM COSO , dan PMBOK
AYU SM | 5212100039
DIAN IS | 5212100044
MRTI KELAS A
Soal 1. What are activities in each process of risk management according to ISO 31000? List all of them! (Clear definition & concept) 2. What are activities in each process of risk management according to ERM COSO? List all of them! (Clear definition & concept) 3. What are activities in each process of risk management according to PMBOK? List all of them! (Clear definition & concept) 4. Find out the differences & similarities among the three framework!
Pembahasan 1. ISO 31000
Gambar 1Risk Management of ISO 31000; Source http://www.praxiom.com/iso-31000-sum.htm
Proses yang dilakukan dalam manajemen resiko sesuai dengan standard ISO 31000 adalah sebagai berikut: 1. Mendirikan manajemen resiko yang unik sesuai dengan konteks perusahaan. 2. Setelah konteks Internal dan eksternal dipahami dengan baik kemudian dapat dilakukan penilaian resiko 3. Identifikasi resiko organisasi sesuai dengan pehaman konteks sebelumnya
4. Analisis resiko organisasi apa saja yang masuk akal terjadi 5. Evaluasi resiko yang telah anda analisis sebelumnya. 6. Selama langkah 1 sampai 5 dilakukan atau yang biasa disebut risk assesment dilakukan, maka lakukan komunikasi dan konsultasi secara berkala dengan stakeholder. 7. Formulasikan dan implementasikan rencana penanganan yang telah dibuat. 8. Lakukan monitoring dan reviem pada manajemen resiko yang telah anda lakukan. 2. ERM COSO
Gambar 2 Risk Management of COSO ; Source http://www.slideshare.net/rezayudhalaksana/manajemen-risiko-cosoermasnzs
Komponen Enterprise risk management teridiri dari delapan komponen yang saling terkait. Ini berasal dari cara manajemen menjalankan bisnis dan terintegrasi dengan proses manajemen sebagai berikut: 1. Internal Environment Lingkungan internal entitas adalah dasar untuk semua komponen lain dari manajemen resiko perusahaan, menyediakan disiplin dan struktur. Lingkungan internal mempengaruhi bagaimana strategi dan tujuan dutetapkan, kegiatan usaha yang terstruktur dan resiko diidentifikasi, dinilai dan ditindak lanjuti. Ini mempengaruhi desain dan fungsi kegiatan pengendalian, sistem informasi dan komunikasi dan pemantauan.
2. Objective setting Dalam konteks misi atau visi yang ditetapkan manajemen mentapkan tujuan strategis, memilih srategis dan menetapkan tujuan yang terkait, mengalir melalui perusahaan dan selaras dengan strategi. Tujuan harua ada sebelum menajemen dapat mengidentifikasi peristiwa yang berpotensi mempengaruhi prestasi mereka. Tujuan entitas dapat dilihat dari konteks 4 katagori yaitu:
Strategis – yang berkaitan dengan tujuan tingkat tinggi, sejalan dengan dan mendukung misi entitas / visi. Operasi – berkaitan dengan efktivitas dan afisiensi operasi entitas, termasuk kinerja dan profitabilitas gol. Mereka bervariasi berdasarkan pilihan manajemen tentang struktur dan kinerja. Pelaporan – berkaitan dengan efektivitas pelaporan entitas. Mereka termasuk pelaporan internal dan ekternal dan mungkin melibtakan informasi keuangan atau non-keuangan. Kepatuhan – berkaitan dengan kepatuhan entitas dengan undang-undang dan peraturan yang berlaku. 3. Event Identification Kegiatan identifikasi manajemen mengakui bahwa ketidakpastian ada – bahwa ia tidak dapat mengetahui secara pasti apakah dan kapan suatu peristiwa akan terjadi, atau hasilnya harus itu terjadi. Sebagai bagian dari identifikasi kejadian manajemen mempertimbangkan faktor-faktor eksternal dan internal yang mempengaruhi terjadinya peristiwa. 4. Risk assesment Penilaian resiko memungkinkan sutau entitas untuk memepertimbangkan bagaimana peristowa potensial dapat mempengaruhi pencapaian tujuan. Menajamen menilai peristiwa dari dua perspektif yaitu kemungkinan dan dampak. 5. Risk response Manajemen mengidentifikasi pilihan respon resiko dan mempertimbangkan efeknya pada acara kemungkinan dan dampak, dalam kaitannya dengan toleransi risiko dan biaya dibandingkan dengan manfaat, dan desian dan menerapkan pilihan jawaban. 6. Control activities Aktivitas pengendalian adalah kebijakan dan prosedur yang memebantu memastikan tanggapan resiko dijalankan dengan benar. Aktivitas pengendalian terjadi diseluruh organisasi, disemua tingkat dan di semua fungsi. 7. Information and communication
Informasi terkait harus diidentifikasim ditangkap dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan personil untuk melaksanakan tanggung jawab mereka. Komunikasi yang efektif juga terjadi dalam arti luas, mengalir kebawah menemukan dan up entitas. 8. Monitoring Enterprise risk management dipantau – sebuah proses yang menilai baik kehadiran dan fungsi komponen dan kualitas kinerja mereka dari waktu ke waktu. Pemantauan dapat dilakukan dengan 2 cara: melalui kegiatan yang sedang berlangsung atau evaluasi terpisah. Pemantauan dan terpisah memastikan bahwa manajemen resiko perusahaan terus diterapkan disemua tingkatan diseluruh entitas.
3. PMBOK
Gambar 3 Project Risk management Overview PMBOK; Source http://imgarcade.com/1/risk-management-process-pmbok/
Terdapat enam proses risk management dalam framework PMBOK ini, yaitu: 1. Plan Risk Management Menentukan siapa saja yang terlibat , time yang akan digunakan dalam penanganan risk, cost yang dibutuhkan dan sebagainya . Dari hal tersebut makan akan didapatkan dokumen berupa risk management plan. 2. Identify Risk Mulai mengidentifikasi resiko - resiko yang mungkin terjadi berkaitan dengan project yang sedang dikerjakan. Dari proses ini dihasilkan dokumen berupa risk register. 3. Perform Qualitative Risk Analysis
Membuat prioritisasi resiko. Pengelompokkan pada masing masing resiko. Dalam PMBOK hanya terdapat tiga jenis prioritas resiko, yakni: High , Moderate dan Low Risk Level. 4. Perform Quantitative Risk Analysis Penggunaan metode metode kuantitafi untuk dapat mengukur risk yang mungkin terjadi dalam project. Dapat menggunakan metode Monte-Carlo Analysis, Expected Monetary Values, dan lain-lain. 5. Plan Risk Response Merupakan strategi yang digunakan untuk dapat menangani risk yang mungkin terjadi. Di dalam PMBOK terdapat empat terminologi dalam penanganan risk yaitu:
Avoid – resiko yang ditolak (terminate)
Transfer – menransfer resiko ke pihak lain
Mitigate – melakukan tindakan mitigasi ketika resiko terjadi
Accept – menerima resiko (take)
6. Monitor & Control Risk Melakukan audit terhadap risk yang telah terjadi.
4. Table of differences & similarities
Tabel perbandingan persamaan dan perbedaan untuk ketiga framework di atas: Tabel 1 Perbedaan
Indikator
ISO 31000
Risk
1. Establish
management
process
ERM COSO
PMBOK
the 1. Internal
1. Plan
context 2. Risk Assessment 3. Risk Identification
Environment
Evaluation
Management
2. Objective Setting 2. Identify Risk 3. Event identification
4. Risk Analysis 4. Risk assessment 5. Risk
Risk
5. Risk response 6. Control activities
3. Perform Qualitative Risk 4. Perform Quantitative Risk
6. Risk treatment
7. Information and 5. Plan communication 8. Monitoring
Risk
Response 6. Monitor
&
Control Risk Author
Written by hundreds Written
by Written by PMI.
of experts in multiple consultants sectors
from
accounting
and
(industry, health & internal safety,
quality audit firms.
management, accounting, internal audit, etc.) Industry
Diaplikasikan
pada Diaplikasikan untuk Diaplikasikan
Applicability
semua industry yang industry
yang pengerjaan project
menitikberatkan ada mentikberatkan Enterprise
TI
dalam
sebuah
Risk pada bidang finance organisasi
/
Management
perusahaan
Definisi Manajemen "Aktivitas-aktivitas Resiko
terkoordinasi dilakukan rangka dan sebuah
pada
“Proses
yang “Manajemen resiko
yang dipengaruhi
oleh dilakukan
dengan
dalam Board of Directors, cara mengelola manajemen,
dan memaksimalkan
mengontrol personil lain dalam benefit dari setiap organisasi entitas,
resiko positif yang
terkait dengan risiko diaplikasikan yang dihadapinya."
pada terjadi
pembentukan
dan
meminimalisir
strategi dan pada impact dari resiko seluruh
bagian negative yang terjadi
perusahaan, dirancang
dalam project” untuk
mengidentifikasi kejadian
potensial
yang
dapat
mempengaruhi entitas,
dan
mengelola
risiko
selaras dengan risk appetite
entitas,
untuk menyediakan jaminan yang wajar terhadap pencapaian sasaran dari entitas.”
Tabel 2 Persamaan
Indikator Sama
ISO 31000 –
memiliki
sama 4strategi
mitigasi yang dalam teknisnya hanya
sama berbeda
ERM COSO
PMBOK
Hindari
Hindari (avoid)
(terminate)
Kurangi (reduce)
Kurangi
Kurangi (treat)
Berbagi dengan
(mitigate)
Berbagi
dengan
pihak
nama.
ketiga
(transfer)
ketiga
pihak
Hindari (avoid)
Berbagi dengan
(share)
pihak
Terima (accept)
(transfer)
Terima (take)
ketiga
Terima (accept)
Sama
sama Memiliki tahapan ini Memiliki proses ini Memiliki proses ini
memiliki
tahap pada : Risk Analysis
prioritisasi hanya
pada :
resiko,
pada
:
perform
qualitative risk
berbeda
terminology (nama / istilah) Sama
–
sama Terdapat
tindakan Tindakan
memiliki
tahapan mitigasi
risk
tindakan
mitigasi proses
:
yang hanya berbeda treatment
pada dalam
mitigasi Mitigasi framework framework
dalam ini
risk ini terdapat dalam terdapat pada Plan Risk Response
nama pada masing-
proses
masing framework
Response
Risk
References Bonk, S. (2013). PMI PMBOK Risk Methodology. VA Forum for Excellence. CRMS. (2014, April 11). Perbandingan COSO ERM-Integrated Framework dengan ISO31000: 2009 Risk Management – Principles and Guidelines. Retrieved from CRMS Indonesia: http://www.crmsindonesia.org/node/701 Dali, A. (2013). ISO 31000 standard vs. COSO ERM. Soepono, D. (2012, Juli 27). Strategi mitigasi risiko (1). Retrieved from apb: http://www.apbgroup.com/strategi-mitigasi-risiko-1/