erm coso, iso dan pmbok
DESCRIPTION
Perbedaan ERM COSO , ISO dan PMBOK dalam manajemen resiko TITRANSCRIPT
-
Risk Management Framework ISO 31000 , ERM COSO , dan PMBOK
AYU SM | 5212100039 DIAN IS | 5212100044 MRTI KELAS A
-
Soal
1. What are activities in each process of risk management according to ISO 31000? List
all of them! (Clear definition & concept)
2. What are activities in each process of risk management according to ERM COSO? List
all of them! (Clear definition & concept)
3. What are activities in each process of risk management according to PMBOK? List all
of them! (Clear definition & concept)
4. Find out the differences & similarities among the three framework!
Pembahasan
1. ISO 31000
Gambar 1Risk Management of ISO 31000; Source http://www.praxiom.com/iso-31000-sum.htm
Proses yang dilakukan dalam manajemen resiko sesuai dengan standard ISO 31000 adalah
sebagai berikut:
1. Mendirikan manajemen resiko yang unik sesuai dengan konteks perusahaan.
2. Setelah konteks Internal dan eksternal dipahami dengan baik kemudian dapat
dilakukan penilaian resiko
3. Identifikasi resiko organisasi sesuai dengan pehaman konteks sebelumnya
-
4. Analisis resiko organisasi apa saja yang masuk akal terjadi
5. Evaluasi resiko yang telah anda analisis sebelumnya.
6. Selama langkah 1 sampai 5 dilakukan atau yang biasa disebut risk assesment
dilakukan, maka lakukan komunikasi dan konsultasi secara berkala dengan
stakeholder.
7. Formulasikan dan implementasikan rencana penanganan yang telah dibuat.
8. Lakukan monitoring dan reviem pada manajemen resiko yang telah anda lakukan.
2. ERM COSO
Gambar 2 Risk Management of COSO ; Source http://www.slideshare.net/rezayudhalaksana/manajemen-risiko-cosoerm-asnzs
Komponen Enterprise risk management teridiri dari delapan komponen yang saling terkait.
Ini berasal dari cara manajemen menjalankan bisnis dan terintegrasi dengan proses
manajemen sebagai berikut:
1. Internal Environment
Lingkungan internal entitas adalah dasar untuk semua komponen lain dari manajemen
resiko perusahaan, menyediakan disiplin dan struktur. Lingkungan internal
mempengaruhi bagaimana strategi dan tujuan dutetapkan, kegiatan usaha yang
terstruktur dan resiko diidentifikasi, dinilai dan ditindak lanjuti. Ini mempengaruhi
desain dan fungsi kegiatan pengendalian, sistem informasi dan komunikasi dan
pemantauan.
-
2. Objective setting
Dalam konteks misi atau visi yang ditetapkan manajemen mentapkan tujuan strategis,
memilih srategis dan menetapkan tujuan yang terkait, mengalir melalui perusahaan
dan selaras dengan strategi. Tujuan harua ada sebelum menajemen dapat
mengidentifikasi peristiwa yang berpotensi mempengaruhi prestasi mereka. Tujuan
entitas dapat dilihat dari konteks 4 katagori yaitu:
Strategis yang berkaitan dengan tujuan tingkat tinggi, sejalan dengan dan
mendukung misi entitas / visi.
Operasi berkaitan dengan efktivitas dan afisiensi operasi entitas, termasuk
kinerja dan profitabilitas gol. Mereka bervariasi berdasarkan pilihan
manajemen tentang struktur dan kinerja.
Pelaporan berkaitan dengan efektivitas pelaporan entitas. Mereka termasuk
pelaporan internal dan ekternal dan mungkin melibtakan informasi keuangan
atau non-keuangan.
Kepatuhan berkaitan dengan kepatuhan entitas dengan undang-undang dan
peraturan yang berlaku.
3. Event Identification
Kegiatan identifikasi manajemen mengakui bahwa ketidakpastian ada bahwa ia tidak
dapat mengetahui secara pasti apakah dan kapan suatu peristiwa akan terjadi, atau
hasilnya harus itu terjadi. Sebagai bagian dari identifikasi kejadian manajemen
mempertimbangkan faktor-faktor eksternal dan internal yang mempengaruhi
terjadinya peristiwa.
4. Risk assesment
Penilaian resiko memungkinkan sutau entitas untuk memepertimbangkan bagaimana
peristowa potensial dapat mempengaruhi pencapaian tujuan. Menajamen menilai
peristiwa dari dua perspektif yaitu kemungkinan dan dampak.
5. Risk response
Manajemen mengidentifikasi pilihan respon resiko dan mempertimbangkan efeknya
pada acara kemungkinan dan dampak, dalam kaitannya dengan toleransi risiko dan
biaya dibandingkan dengan manfaat, dan desian dan menerapkan pilihan jawaban.
6. Control activities
Aktivitas pengendalian adalah kebijakan dan prosedur yang memebantu memastikan
tanggapan resiko dijalankan dengan benar. Aktivitas pengendalian terjadi diseluruh
organisasi, disemua tingkat dan di semua fungsi.
7. Information and communication
-
Informasi terkait harus diidentifikasim ditangkap dan dikomunikasikan dalam bentuk
dan waktu yang memungkinkan personil untuk melaksanakan tanggung jawab
mereka. Komunikasi yang efektif juga terjadi dalam arti luas, mengalir kebawah
menemukan dan up entitas.
8. Monitoring
Enterprise risk management dipantau sebuah proses yang menilai baik kehadiran
dan fungsi komponen dan kualitas kinerja mereka dari waktu ke waktu. Pemantauan
dapat dilakukan dengan 2 cara: melalui kegiatan yang sedang berlangsung atau
evaluasi terpisah. Pemantauan dan terpisah memastikan bahwa manajemen resiko
perusahaan terus diterapkan disemua tingkatan diseluruh entitas.
-
3. PMBOK
Gambar 3 Project Risk management Overview PMBOK; Source http://imgarcade.com/1/risk-management-process-pmbok/
Terdapat enam proses risk management dalam framework PMBOK ini, yaitu:
1. Plan Risk Management
Menentukan siapa saja yang terlibat , time yang akan digunakan dalam
penanganan risk, cost yang dibutuhkan dan sebagainya . Dari hal tersebut makan
akan didapatkan dokumen berupa risk management plan.
2. Identify Risk
Mulai mengidentifikasi resiko - resiko yang mungkin terjadi berkaitan dengan
project yang sedang dikerjakan. Dari proses ini dihasilkan dokumen berupa risk
register.
3. Perform Qualitative Risk Analysis
-
Membuat prioritisasi resiko. Pengelompokkan pada masing masing resiko. Dalam
PMBOK hanya terdapat tiga jenis prioritas resiko, yakni: High , Moderate dan Low
Risk Level.
4. Perform Quantitative Risk Analysis
Penggunaan metode metode kuantitafi untuk dapat mengukur risk yang mungkin
terjadi dalam project. Dapat menggunakan metode Monte-Carlo Analysis,
Expected Monetary Values, dan lain-lain.
5. Plan Risk Response
Merupakan strategi yang digunakan untuk dapat menangani risk yang mungkin
terjadi. Di dalam PMBOK terdapat empat terminologi dalam penanganan risk
yaitu:
Avoid resiko yang ditolak (terminate)
Transfer menransfer resiko ke pihak lain
Mitigate melakukan tindakan mitigasi ketika resiko terjadi
Accept menerima resiko (take)
6. Monitor & Control Risk
Melakukan audit terhadap risk yang telah terjadi.
4. Table of differences & similarities
Tabel perbandingan persamaan dan perbedaan untuk ketiga framework di atas:
Tabel 1 Perbedaan
Indikator ISO 31000 ERM COSO PMBOK
Risk management
process
1. Establish the
context
2. Risk Assessment
3. Risk
Identification
4. Risk Analysis
5. Risk
Evaluation
1. Internal
Environment
2. Objective Setting
3. Event
identification
4. Risk assessment
5. Risk response
6. Control activities
1. Plan Risk
Management
2. Identify Risk
3. Perform
Qualitative Risk
4. Perform
Quantitative Risk
-
6. Risk treatment 7. Information and
communication
8. Monitoring
5. Plan Risk
Response
6. Monitor &
Control Risk
Author Written by hundreds
of experts in multiple
sectors
(industry, health &
safety, quality
management,
accounting, internal
audit, etc.)
Written by
consultants from
accounting and
internal
audit firms.
Written by PMI.
Industry
Applicability
Diaplikasikan pada
semua industry yang
menitikberatkan ada
Enterprise Risk
Management
Diaplikasikan untuk
industry yang
mentikberatkan
pada bidang finance
Diaplikasikan pada
pengerjaan project
TI dalam sebuah
organisasi /
perusahaan
Definisi Manajemen
Resiko
"Aktivitas-aktivitas
terkoordinasi yang
dilakukan dalam
rangka mengelola
dan mengontrol
sebuah organisasi
terkait dengan risiko
yang dihadapinya."
Proses yang
dipengaruhi oleh
Board of Directors,
manajemen, dan
personil lain dalam
entitas,
diaplikasikan pada
pembentukan
strategi dan pada
seluruh bagian
perusahaan,
dirancang untuk
mengidentifikasi
kejadian potensial
Manajemen resiko
dilakukan dengan
cara
memaksimalkan
benefit dari setiap
resiko positif yang
terjadi dan
meminimalisir
impact dari resiko
negative yang terjadi
dalam project
-
yang dapat
mempengaruhi
entitas, dan
mengelola risiko
selaras dengan risk
appetite entitas,
untuk menyediakan
jaminan yang wajar
terhadap
pencapaian sasaran
dari entitas.
Tabel 2 Persamaan
Indikator ISO 31000 ERM COSO PMBOK
Sama sama
memiliki 4strategi
mitigasi yang dalam
teknisnya sama
hanya berbeda
nama.
Hindari
(terminate)
Kurangi (treat)
Berbagi dengan
pihak ketiga
(transfer)
Terima (take)
Hindari (avoid)
Kurangi (reduce)
Berbagi dengan
pihak ketiga
(share)
Terima (accept)
Hindari (avoid)
Kurangi
(mitigate)
Berbagi dengan
pihak ketiga
(transfer)
Terima (accept)
Sama sama
memiliki tahap
prioritisasi resiko,
hanya berbeda
terminology (nama
/ istilah)
Memiliki tahapan ini
pada : Risk Analysis
Memiliki proses ini
pada :
Memiliki proses ini
pada : perform
qualitative risk
Sama sama
memiliki tahapan
tindakan mitigasi
yang hanya berbeda
Terdapat tindakan
mitigasi risk pada
proses : risk
treatment
Tindakan mitigasi
dalam framework
ini terdapat dalam
Mitigasi dalam
framework ini
terdapat pada Plan
Risk Response
-
nama pada masing-
masing framework
proses Risk
Response
References
Bonk, S. (2013). PMI PMBOK Risk Methodology. VA Forum for Excellence.
CRMS. (2014, April 11). Perbandingan COSO ERM-Integrated Framework dengan ISO31000:
2009 Risk Management Principles and Guidelines. Retrieved from CRMS Indonesia:
http://www.crmsindonesia.org/node/701
Dali, A. (2013). ISO 31000 standard vs. COSO ERM.
Soepono, D. (2012, Juli 27). Strategi mitigasi risiko (1). Retrieved from apb: http://www.apb-
group.com/strategi-mitigasi-risiko-1/