1.Very Low: Kurang dari 5% kemungkinan terjadinya peristiwa risiko dalam 1 tahun
2.Low: 5-20% kemungkinan terjadinya peristiwa risiko dalam 1 tahun
3.Medium: 20-50% kemungkinan terjadinya peristiwa risiko dalam 1 tahun
4.High: 50-95% kemungkinan terjadinya peristiwa risiko dalam 1 tahun
5.Very High: Lebih dari 95% kemungkinan terjadinya peristiwa risiko dalam 1 tahun
Figure23.4 Example of Severity Ratings
Risk Severity Rating:
1. VeryLow: Dampak immaterial pada reputasi perusahaan dan/atau pendapatan tahunan, atau pada kemampuannya untuk mencapai tujuan bisnis
2. Low: Dampak rendah pada reputasi perusahaan dan/atau pendapatan tahunan, atau pada kemampuannya untuk mencapai tujuan bisnis
3. Medium: Dampak sedang pada reputasi perusahaan dan/atau pendapatan tahunan, atau pada kemampuannya untuk mencapai tujuan bisnis
4. High: Dampak signifikan terhadap reputasi perusahaan dan/atau pendapatan tahunan, atau pada kemampuannya untuk mencapai tujuan bisnis
5. Very High: Dampak yang sangat signifikan terhadap reputasi perusahaan dan/atau pendapatan tahunan, atau pada kemampuannya untuk mencapai tujuan bisnis
1.Highly effective – Eksposur risiko berada dalam tingkat toleransi yang ditetapkan; kontrol diuji dan berfungsi secara efektif; keterkaitan antara risiko dan pengembalian ditetapkan secara eksplisit (berbasis kinerja); metrik komprehensif dan pelaporan dasbor tersedia
2.Effective – Eksposur risiko berada dalam tingkat toleransi yang ditetapkan; kontrol diuji dan berfungsi secara efektif; keterkaitan antara risiko dan pengembalian secara implisit ditetapkan (berbasis penilaian); beberapa metrik dan pelaporan dasbor tersedia tetapi rencana pengembangan telah ditetapkan
3.Moderatelyeffective – Eksposur risiko umumnya dalam tingkat toleransi yang ditetapkan dengan beberapa pengecualian; kontrol berfungsi pada tingkat yang dapat diterima tetapi tidak sepenuhnya diuji; beberapa metrik dan pelaporan dasbor di tempat
4.Needsimprovement – Beberapa atau pengecualian material untuk tingkat toleransi yang ditetapkan; kontrol ditetapkan tetapi tidak sepenuhnya diuji; metrik minimum atau pelaporan dasbor di tempat
5.Needssignificant improvement – Pengecualian signifikan terhadap tingkat toleransi yang ditetapkan (atau tingkat toleransi tidak ditetapkan); kontrol tidak ada atau tidak berfungsi secara efektif; pelaporan metrik atau dasbor minimum atau tidak sama sekali
Persyaratan Peraturan dan Kebijakan
Dalam mengejar tujuan bisnis, bisnis harus mematuhi peraturan dan kebijakan perusahaan. Faktanya, kepatuhan terhadap peraturan dan kebijakan perusahaan adalah salah satu tujuan utama ERM. Dalam penilaian risiko, akan berguna untuk meringkas persyaratan dan pedoman peraturan, serta kebijakan perusahaan dan tingkat toleransi risiko terkait.
Wawancara dan Lokakarya Penilaian Risiko
Seperti yang telah dibahas sebelumnya, akan bermanfaat untuk melakukan wawancara menggunakan pertanyaan terbuka saat bekerja dengan eksekutif senior dalam penilaian risiko. Selain mengidentifikasi risiko utama yang terkait dengan tujuan perusahaan (yaitu, penilaian risiko top-down), wawancara ini dapat mengumpulkan pengetahuan kelembagaan penting tentang strategi dan budaya bisnis, pelajaran dari peristiwa risiko sebelumnya, dan jenis indikator kinerja utama (KPI) dan indikator risiko utama (KRI) yang menurut eksekutif senior paling berguna. Untuk tim unit bisnis, mungkin lebih tepat untuk menyelenggarakan lokakarya untuk mengembangkan penilaian risiko dari bawah ke atas. Selama wawancara dan lokakarya, peserta mengidentifikasi risiko atau peristiwa risiko, dan menilai probabilitas, tingkat keparahan, dan efektivitas pengendalian. Mereka juga dapat memutuskan perlakuan risiko (misalnya, menghindari, mengurangi, mentransfer, atau menerima). Contoh peringkat pada probabilitas, tingkat keparahan, dan kontrol telah diberikan sebelumnya.
