Risk Management Framework ISO 31000, ERM COSO, dan PMBOK AYU SM 5212100039 DIAN IS 5212100044 MRTI KELAS A
Soal 1. What are activities in each process of risk management according to ISO 31000? List all of them! (Clear definition & concept) 2. What are activities in each process of risk management according to ERM COSO? List all of them! (Clear definition & concept) 3. What are activities in each process of risk management according to PMBOK? List all of them! (Clear definition & concept) 4. Find out the differences & similarities among the three framework! Pembahasan 1. ISO 31000 Gambar 1Risk Management of ISO 31000; Source http://www.praxiom.com/iso-31000-sum.htm Proses yang dilakukan dalam manajemen resiko sesuai dengan standard ISO 31000 adalah sebagai berikut: 1. Mendirikan manajemen resiko yang unik sesuai dengan konteks perusahaan. 2. Setelah konteks Internal dan eksternal dipahami dengan baik kemudian dapat dilakukan penilaian resiko 3. Identifikasi resiko organisasi sesuai dengan pehaman konteks sebelumnya
4. Analisis resiko organisasi apa saja yang masuk akal terjadi 5. Evaluasi resiko yang telah anda analisis sebelumnya. 6. Selama langkah 1 sampai 5 dilakukan atau yang biasa disebut risk assesment dilakukan, maka lakukan komunikasi dan konsultasi secara berkala dengan stakeholder. 7. Formulasikan dan implementasikan rencana penanganan yang telah dibuat. 8. Lakukan monitoring dan reviem pada manajemen resiko yang telah anda lakukan. 2. ERM COSO Gambar 2 Risk Management of COSO ; Source http://www.slideshare.net/rezayudhalaksana/manajemen-risiko-cosoermasnzs Komponen Enterprise risk management teridiri dari delapan komponen yang saling terkait. Ini berasal dari cara manajemen menjalankan bisnis dan terintegrasi dengan proses manajemen sebagai berikut: 1. Internal Environment Lingkungan internal entitas adalah dasar untuk semua komponen lain dari manajemen resiko perusahaan, menyediakan disiplin dan struktur. Lingkungan internal mempengaruhi bagaimana strategi dan tujuan dutetapkan, kegiatan usaha yang terstruktur dan resiko diidentifikasi, dinilai dan ditindak lanjuti. Ini mempengaruhi desain dan fungsi kegiatan pengendalian, sistem informasi dan komunikasi dan pemantauan.
2. Objective setting Dalam konteks misi atau visi yang ditetapkan manajemen mentapkan tujuan strategis, memilih srategis dan menetapkan tujuan yang terkait, mengalir melalui perusahaan dan selaras dengan strategi. Tujuan harua ada sebelum menajemen dapat mengidentifikasi peristiwa yang berpotensi mempengaruhi prestasi mereka. Tujuan entitas dapat dilihat dari konteks 4 katagori yaitu: Strategis yang berkaitan dengan tujuan tingkat tinggi, sejalan dengan dan mendukung misi entitas / visi. Operasi berkaitan dengan efktivitas dan afisiensi operasi entitas, termasuk kinerja dan profitabilitas gol. Mereka bervariasi berdasarkan pilihan manajemen tentang struktur dan kinerja. Pelaporan berkaitan dengan efektivitas pelaporan entitas. Mereka termasuk pelaporan internal dan ekternal dan mungkin melibtakan informasi keuangan atau non-keuangan. Kepatuhan berkaitan dengan kepatuhan entitas dengan undang-undang dan peraturan yang berlaku. 3. Event Identification Kegiatan identifikasi manajemen mengakui bahwa ketidakpastian ada bahwa ia tidak dapat mengetahui secara pasti apakah dan kapan suatu peristiwa akan terjadi, atau hasilnya harus itu terjadi. Sebagai bagian dari identifikasi kejadian manajemen mempertimbangkan faktor-faktor eksternal dan internal yang mempengaruhi terjadinya peristiwa. 4. Risk assesment Penilaian resiko memungkinkan sutau entitas untuk memepertimbangkan bagaimana peristowa potensial dapat mempengaruhi pencapaian tujuan. Menajamen menilai peristiwa dari dua perspektif yaitu kemungkinan dan dampak. 5. Risk response Manajemen mengidentifikasi pilihan respon resiko dan mempertimbangkan efeknya pada acara kemungkinan dan dampak, dalam kaitannya dengan toleransi risiko dan biaya dibandingkan dengan manfaat, dan desian dan menerapkan pilihan jawaban. 6. Control activities Aktivitas pengendalian adalah kebijakan dan prosedur yang memebantu memastikan tanggapan resiko dijalankan dengan benar. Aktivitas pengendalian terjadi diseluruh organisasi, disemua tingkat dan di semua fungsi. 7. Information and communication
Informasi terkait harus diidentifikasim ditangkap dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan personil untuk melaksanakan tanggung jawab mereka. Komunikasi yang efektif juga terjadi dalam arti luas, mengalir kebawah menemukan dan up entitas. 8. Monitoring Enterprise risk management dipantau sebuah proses yang menilai baik kehadiran dan fungsi komponen dan kualitas kinerja mereka dari waktu ke waktu. Pemantauan dapat dilakukan dengan 2 cara: melalui kegiatan yang sedang berlangsung atau evaluasi terpisah. Pemantauan dan terpisah memastikan bahwa manajemen resiko perusahaan terus diterapkan disemua tingkatan diseluruh entitas.
3. PMBOK Gambar 3 Project Risk management Overview PMBOK; Source http://imgarcade.com/1/risk-management-process-pmbok/ Terdapat enam proses risk management dalam framework PMBOK ini, yaitu: 1. Plan Risk Management Menentukan siapa saja yang terlibat, time yang akan digunakan dalam penanganan risk, cost yang dibutuhkan dan sebagainya. Dari hal tersebut makan akan didapatkan dokumen berupa risk management plan. 2. Identify Risk Mulai mengidentifikasi resiko - resiko yang mungkin terjadi berkaitan dengan project yang sedang dikerjakan. Dari proses ini dihasilkan dokumen berupa risk register. 3. Perform Qualitative Risk Analysis
Membuat prioritisasi resiko. Pengelompokkan pada masing masing resiko. Dalam PMBOK hanya terdapat tiga jenis prioritas resiko, yakni: High, Moderate dan Low Risk Level. 4. Perform Quantitative Risk Analysis Penggunaan metode metode kuantitafi untuk dapat mengukur risk yang mungkin terjadi dalam project. Dapat menggunakan metode Monte-Carlo Analysis, Expected Monetary Values, dan lain-lain. 5. Plan Risk Response Merupakan strategi yang digunakan untuk dapat menangani risk yang mungkin terjadi. Di dalam PMBOK terdapat empat terminologi dalam penanganan risk yaitu: Avoid resiko yang ditolak (terminate) Transfer menransfer resiko ke pihak lain Mitigate melakukan tindakan mitigasi ketika resiko terjadi Accept menerima resiko (take) 6. Monitor & Control Risk Melakukan audit terhadap risk yang telah terjadi. 4. Table of differences & similarities Tabel perbandingan persamaan dan perbedaan untuk ketiga framework di atas: Tabel 1 Perbedaan Indikator ISO 31000 ERM COSO PMBOK Risk management 1. Establish the 1. Internal 1. Plan Risk process context Environment Management 2. Risk Assessment 2. Objective Setting 2. Identify Risk 3. Risk 3. Event 3. Perform Identification identification Qualitative Risk 4. Risk Analysis 4. Risk assessment 4. Perform 5. Risk 5. Risk response Quantitative Risk Evaluation 6. Control activities
Author Industry Applicability Definisi Manajemen Resiko 6. Risk treatment 7. Information and communication 8. Monitoring Written by hundreds of experts in multiple sectors (industry, health & safety, quality management, accounting, internal audit, etc.) Diaplikasikan pada semua industry yang menitikberatkan ada Enterprise Risk Management "Aktivitas-aktivitas terkoordinasi yang Written by consultants from accounting and internal audit firms. Diaplikasikan untuk industry yang mentikberatkan pada bidang finance Proses yang dipengaruhi oleh dilakukan dalam Board of Directors, rangka mengelola manajemen, dan dan mengontrol personil lain dalam sebuah organisasi entitas, terkait dengan risiko yang dihadapinya." diaplikasikan pembentukan pada strategi dan pada seluruh bagian perusahaan, dirancang untuk mengidentifikasi kejadian potensial 5. Plan Risk Response 6. Monitor & Control Risk Written by PMI. Diaplikasikan pada pengerjaan project TI dalam sebuah organisasi / perusahaan Manajemen resiko dilakukan dengan cara memaksimalkan benefit dari setiap resiko positif yang terjadi meminimalisir dan impact dari resiko negative yang terjadi dalam project
yang dapat mempengaruhi entitas, dan mengelola risiko selaras dengan risk appetite entitas, untuk menyediakan jaminan yang wajar terhadap pencapaian sasaran dari entitas. Tabel 2 Persamaan Indikator ISO 31000 ERM COSO PMBOK Sama sama Hindari Hindari (avoid) Hindari (avoid) memiliki 4strategi (terminate) Kurangi (reduce) Kurangi mitigasi yang dalam Kurangi (treat) Berbagi dengan (mitigate) teknisnya sama Berbagi dengan pihak ketiga Berbagi dengan hanya berbeda pihak ketiga (share) pihak ketiga nama. (transfer) Terima (accept) (transfer) Terima (take) Terima (accept) Sama sama Memiliki tahapan ini Memiliki proses ini Memiliki proses ini memiliki tahap pada : Risk Analysis pada : pada : perform prioritisasi resiko, qualitative risk hanya berbeda terminology (nama / istilah) Sama sama Terdapat tindakan Tindakan mitigasi Mitigasi dalam memiliki tahapan mitigasi risk pada dalam framework framework ini tindakan mitigasi proses : risk ini terdapat dalam terdapat pada Plan yang hanya berbeda treatment Risk Response
nama pada masingmasing framework proses Response Risk References Bonk, S. (2013). PMI PMBOK Risk Methodology. VA Forum for Excellence. CRMS. (2014, April 11). Perbandingan COSO ERM-Integrated Framework dengan ISO31000: 2009 Risk Management Principles and Guidelines. Retrieved from CRMS Indonesia: http://www.crmsindonesia.org/node/701 Dali, A. (2013). ISO 31000 standard vs. COSO ERM. Soepono, D. (2012, Juli 27). Strategi mitigasi risiko (1). Retrieved from apb: http://www.apbgroup.com/strategi-mitigasi-risiko-1/