Sebagai badan bentukan pemerintah yang bertujuan untuk mendorong penerapan tata

kelola perusahaan (GCG) dalam sektor korporasi dan publik di Indonesia, Komite Nasional
Kebijakan Governance (KNKG) berkepentingan terhadap penerapan manajemen risiko di
Indonesia. Hal ini tecermin dalam Pedoman Umum Good Corporate Governance
Indonesia yang diterbitkan KNKG pada tahun 2006 yang memuat beberapa landasan tentang
manajemen risiko yang terkait dengan GCG. Pada tanggal 21 Juni 2011, KNKG
mengembangkan pedoman manajemen risiko mereka dengan menerbitkan Draft Pedoman
Manajemen Risiko Berbasis Governance.
Pada

draft ini yang dimaksud risiko adalah dampak ketidakpastian pada sasaran.

Sedangkan anajemen risiko adalah upaya organisasi yang terkoordinasi untuk mengarahkan
dan mengendalikan risiko. Pedoman ini banyak mengacu kepada ISO 31000 dan memuat tiga
aspek, yaitu:
1. Aspek struktural: yaitu aspek yang memastikan arah penerapan, struktur organisasi
penerapan dan akuntabilitas pelaksanaan manajemen risiko dalam organisasi,
penyediaan sumber daya, dan sebagainya.
2. Aspek operasional adalah aspek yang menunjukkan tahapan proses implementasi
yang sistematis dan terarah, mulai dari pernyataan komitmen Direksi dan Dewan
Komisaris, penyusunan Pedoman Manajemen Risiko Perusahaan, briefing untuk
Komisaris dan Direktur, pelatihan para pemangku risiko, hingga penerapannya.
3. Aspek perawatan: adalah aspek yang memastikan adanya upaya menjaga efektifitas
penerapan dan perbaikan yang berkesinambungan melalui, monitoring dan review
serta audit manajemen risiko.

1.

Aspek Struktural
Dalam aspek ini akan diatur bagaimana tata kelola risiko (risk governance) termasuk di

dalamnya kejelasan akuntabilitas para pemangku risiko (risk owner). Juga akan dibahas
pedoman penerapan manajemen risiko yang berupa prinsip-prinsip yang harus diacu untuk
memastikan dan sekaligus memfasilitasi terjadinya budaya sadar risiko, sehingga
meningkatkan daya tahan dan keliatan (resilience) organisasi dalam menghadapi tantangan
perubahan yang mengandung risiko.

1.1 Prinsip Manajemen Risiko

Pada awal penerapan manajemen risiko, fokus lebih tertuju hanya pada bagaimana
menangani risiko tersebut dan secara parsial, bukan bagaimana menangani berbagai macam

risiko yang mungkin dihadapi oleh organisasi. Merubah cara penanganan risiko yang semula
secara parsial (silo) menjadi terintegrasi seluruh organisasi, yang sering disebut sebagai ERM
(Enterprise Risk Management). Merujuk pada standar manajemen risiko terbaru yaitu ISO
31000:2009 Risk Management Principles and guidelines, manajemen risiko suatu
organisasi hanya dapat efektif bila mampu menganut dan menerapkan prinsip-prinsip sebagai
berikut:
a. Manajemen risiko melindungi dan menciptakan nilai tambah.
b. Manajemen risiko adalah bagian terpadu dari proses organisasi.
c. Manajemen risiko adalah bagian dari proses pengambilan keputusan.
d. Manajemen risiko secara khusus menangani aspek ketidakpastian.
e. Manajemen risiko bersifat sistematik, terstruktur, dan tepat waktu.
f. Manajemen risiko berdasarkan pada informasi terbaik yang tersedia.
g. Manajemen risiko adalah khas untuk penggunanya (tailored).
h. Manajemen risiko mempertimbangkan faktor manusia dan budaya.
i. Manajemen risiko harus transparan dan inklusif.
j. Manajemen risiko bersifat dinamis, berulang, dan tanggap terhadap perubahan.
k. Manajemen risiko harus memfasilitasi terjadinya perbaikan dan peningkatan
organisasi secara berlanjut.

1.2 Kerangka Kerja Manajemen Risiko

Skema pada gambar 1 di atas memperjelas gambaran umum mengenai kerangka kerja
manajemen risiko sebagai induk dari proses manajemen risiko yang lebih bersifat teknis.

Kerangka kerja ini tidak dimaksudkan untuk menggambarkan sebuah sistem manajemen
baru, tetapi lebih ditujukan untuk membantu organisasi dalam mengintegrasikan manajemen
risiko ke dalam sistem manajemen organisasi keseluruhan, khususnya melalui siklus
manajemen sederhana PDCA (Plan-Do-Check-Action). Selain itu, skema di atas
menunjukkan gambaran mengenai bagaimana seharusnya tata kelola risiko (risk governance)
harus dilaksanakan, dimana dalam tata kelola risiko ini, sebagaimana diutarakan dalam
Bagian I, terdiri dari aspek struktural, aspek operasional dan aspek perawatan.

1.3 Mandat dan Komitmen

Dari uraian di atas jelas bahwa Direksi dan Dewan Komisaris wajib memastikan bahwa
maksud, tujuan dan kepentingan Perseroan harus diupayakan untuk tercapai dan tidak
terganggu oleh peristiwa apapun. Pernyataan ini sebetulnya tidak lain dan tidak bukan adalah
penerapan manajemen risiko pada perseroan (lihat definisi risiko dan manajemen risiko).
Dengan demikian terkait dengan penerapan manajemen risiko maka Direksi adalah
penanggungjawab utama penerapan manajemen risiko pada Perseroan, sedangkan Dewan
Komisaris adalah Pengawas Tertinggi dalam pelaksanaan pengawasan (monitoring dan
review) pelaksanaan penerapan manajemen risiko pada Perseroan.

1.4 Proses Manajemen Risiko

Proses manajemen risiko adalah penerapan secara sistematik kebijakan manajemen,
prosedur dan praktik manajemen dalam pelaksanaan tugas untuk melakukan komunikasi dan
konsultasi; menetapkan konteks; melakukan asesmen risiko yang meliputi identifikasi;
analisa dan evaluasi risiko; kemudian perlakuan risiko, dan diakhiri dengan pemantauan dan
pengkajian risiko. Proses manajemen risiko secara singkat adalah penerapan kerangka kerja
manajemen risiko pada tiap-tiap jenis risiko yang secara spesifik mempunyai karakter yang
berbeda-beda sesuai dengan konteksnya

1.5 Tata Kelola Risiko

Tata kelola risiko ini meliputi unsur-unsur kebijakan manajemen risiko, akuntabilitas
pelaksanaan, perencanaan manajemen risiko terpadu, penyediaan sumber daya yang
memadai, dan mekanisme komunikasi serta pelaporan pelaksanaan manajemen risiko, baik
internal maupun eksternal. Satu hal lagi yang biasanya penting dalam tata kelola manajemen
risiko adalah kesamaan bahasa, yaitu penggunaan istilah-istilah dalam penerapan

manajemen risiko. Hal ini diatasi dengan menggunakan istilah dan definisi yang ditentukan
dalam ISO Guide 173:2009 Risk Management Vocabulary.

1.6 Kebijakan Manajemen Risiko

Kebijakan manajemen risiko merupakan pernyataan komitmen secara tertulis oleh Direksi
dan Dewan Komisaris untuk menerapkan manajemen risiko pada organisasi. Dalam
pernyataan ini dikemukakan secara singkat alasan dan tujuan penerapan manajemen risiko.
Hal penting yang perlu disampaikan dalam pernyataan kebijakan manajemen ini adalah (1)
alasan mengapa harus menerapkan manajemen risiko, (2) penjelasan keterkaitan antara
pencapaian sasaran organisasai dan kebijakan manajemen risiko, (3) kejelasan akuntabilitas
pelaksanaan manajemen risiko, termasuk infrastruktur pelaksanaannya, (4) penyediaan
sumber daya untuk menerapkan manajemen risiko, (5) penentuan standar atau metode
manajemen risiko yang akan digunakan, dan (6) komitmen untuk melakukan review dan
verifikasi secara berkala terhadap efektivitas penerapan manajemen risiko.

1.7 Akuntabilitas Penerapan Manajemen Risiko

Akuntabilitas tertinggi untuk penerapan manajemen risiko pada dasarnya berada pada
Direksi, secara lebih khusus pada Direktur Utama atau anggota Direksi lainnya yang
ditunjuk. Secara umum, hal penting yang perlu diperhatikan antara lain (1) penunjukan
Champion yang bertanggung jawab untuk mendorong pelaksanaan penerapan manajemen
risiko secara meluas ke seluruh organisasi (enterprise wide risk management), (2) penetapan
secara jelas bahwa akuntabilitas pengelolaan risiko tetap berada pada para pemangku risiko
(risk owner) dan bukan ke para Champion., (3) penyusunan infrastruktur organisasi sebagai
unit untuk mendorong penerapan manajemen risiko ke seluruh organisasi, (4) penyusunan
mekanisme organisasi untuk penerapan manajemen risiko, dan (5) proses untuk menimbulkan
budaya sadar risiko ke seluruh organisasi.

1.8 Infra Struktur Manajemen Risiko

Tidak terdapat model atau panduan baku dalam penyusunan infrastruktur organisasi
dalam pengelolaan manajemen risiko. Hal yang terpenting adalah kejelasan dari akuntabilitas
dan tanggung jawab untuk mendorong pelaksanaan manajemen risiko ini bertumpu pada
suatu fungsi yang ditunjuk secara tegas dan jelas. Setiap organisasi harus menyusun
infrastruktur organisasi manajemen risiko sesuai dengan kebutuhannya dan jenis-jenis risiko

yang dihadapinya. Berikut contoh untuk organisasi yang cukup besar; untuk organisasi
dengan skala kecil dan menengah, harus menyesuaikan dengan kemampuan organisasinya.

1.9 Tata Laksana, Komunikasi dan Pelaporan

Proses manajemen risiko melibatkan banyak pihak dalam organisasi, terlebih lagi pada
awal penerapannya. Oleh karena itu, perlu kejelasan akuntabilitas untuk memastikan bahwa
semua proses dapat berjalan dengan baik. Salah satu metode yang sering digunakan untuk
melakukan hal tersebut adalah RACI Matrix. RACI adalah singkatan dari Responsible,
Accountable, Consulted, dan Informed. Secara sederhana, RACI Matrix akan menjelaskan
atau menentukan dalam setiap kegiatan:
R siapa yang responsible, artinya siapa yang mengerjakan kegiatan tersebut;
A siapa yang accountable, artinya siapa yang berhak membuat keputusan akhir
ya atau tidak atas kegiatan tersebut, serta menjawab pertanyaan-pertanyaan pihak
lain;
C siapa yang harus consulted, artinya harus diajak konsultasi atau dilibatkan
sebelum atau saat kegiatan tersebut dilaksanakan atau dilanjutkan; serta
I siapa yang harus informed, artinya siapa yang harus diberi informasi mengenai
apa yang sedang terjadi atau sedang dilakukan tanpa harus menghentikan kegiatan
tersebut.

1.10Sumber Daya Penerapan Manajemen Risiko

Penyediaaan sumber daya yang memadai adalah indikator lain dari komitmen Direksi
dalam menerapkan manajemen risiko dalam organisasi yang dipimpinnya. Tanpa adanya

sumber daya yang memadai, hal ini serupa dengan penolakan diam-diam terhadap
penerapan manajemen risiko. Manajemen organisasi harus mengalokasikan sumber daya
yang memadai untuk pelaksanaan manajemen risiko antara lain terhadap hal-hal berikut: (1)
personalia dengan pengalaman, ketrampilan, dan kemampuan yang memadai serta jumlah
yang sesuai dengan kebutuhan, (2)s umber dana dan sumber daya yang diperlukan untuk
setiap tahapan penerapan manajemen risiko, (3) proses dan prosedur yang terdokumentasi
dengan baik dan sistem dokumentasinya, termasuk perangkat penunjangnya, dan (4) sistem
informasi dan manajemen pengetahuan (knowledge management system).

2.

Aspek Operasional
Aspek struktural adalah landasan untuk penerapan manajemen risiko di seluruh

organisasi, sedangkan aspek operasional merupakan aspek operasionalisasi bagi manajemen

risiko di seluruh organisasi tetapi juga spesifik bagi masing-masing bagian atau bahkan bagi
masing-masing pemilik risiko. Aspek operasional yang menjadi bagian dari proses penerapan
manajemen risiko adalah penyusunan manual manajemen risiko, metodologi penanganan
manajemen risiko atau lebih dikenal dengan proses manajemen risiko dan penanganan
manajemen perubahan. Proses manajemen perubahan ini meliputi peluncuran, sosialisasi dan
pelatihan hingga penerapan manajemen risiko dan akhirnya tumbuh budaya sadar risiko.

2.1 Manajemen Perubahan

Setiap introduksi program baru dalam organisasi, terdapat beberapa tahapan transisi,
sebelum program tersebut dapat berfungsi secara efektif. Tahap pertama adalah penolakan;
dalam tahap ini semua orang mempertanyakan kegunaannya, karena sudah merasa nyaman
dengan kondisi yang ada. Tahap kedua adalah perlawanan; dalam tahap ini mereka mulai
melihat manfaatnya tetapi masih ragu dan enggan untuk melaksanakannya. Sebaiknya orang
lain dulu dan jangan saya. Tahap ketiga adalah tahap eksplorasi; dimana orang sudah melihat
dengan jelas manfaat dan kegunaannya dan mulai timbul keinginan untuk memahami dan
melakukan eksplorasi lebih jauh. Tahap terakhir adalah komitmen untuk melakukan
perubahan tersebut; pada tahap ini proses perubahan akan berlangsung dengan baik.

2.2 Panduan Manajemen Risiko

Buku Panduan Manajemen Risiko, atau Manual Manajemen Risiko merupakan alat
utama dalam operasionalisasi manajemen risiko ke seluruh organisasi. Melalui buku Panduan
ini istilah dan definisi diseragamkan, sehingga tidak terdapat multi interpretasi. Melalui

Panduan ini tahapan penerapan manajemen risiko dan proses manajemen risiko dilaksanakan
sesuai dengan standar yang telah dipilih dan ditentukan oleh Direksi. Melalui Panduan ini
cara menangani risiko ditentukan, dan juga pelaporan hasil perlakuan risiko dilaksanakan.
Melalui Panduan ini kriteria-kriteria risiko ditetapkan sehingga terdapat kesamaan persepsi
tentang besaran risiko. Dapat disimpulkan bahwa Panduan atau Manual Manajemen Risiko
merupakan batu pondasi dalam penerapan manajemen risiko. Secara umum, struktur Panduan
Manajemen Risiko terdiri dari beberapa bagian sebagai berikut: Bab I Pendahuluan, Bab II
Prinsip-Prinsip Manajemen Risiko, Bab III Kerangka Kerja Manajemen Risiko, Bab IV
Proses Manajemen Risiko, Bab V Konteks Manajemen Risiko Perusahaan, dan Bab VI
Implementasi Manajemen Risiko Perusahaan.

2.3 Implementasi Manajemen Risiko

Implementasi manajemen risiko perusahaan pada dasarnya adalah implementasi Kerangka
Kerja Manajemen Risiko dan implementasi Proses Manajemen Risiko. Yang perlu diingat
adalah Kerangka Kerja manajemen risiko perusahaan hanya satu dan berlaku untuk seluruh
perusahaan. Sedangkan proses manajemen risiko, walaupun metoda dan sistematika dasarnya
serupa tetapi konteks dan isinya, terutama alat dan metodanya dapat berbeda-beda untuk tiap
risiko yang akan ditangani. Tahapan-tahapan proses manajemen risiko tersebut di atas akan
diuraikan secara lebih luas pada bagian-bagian berikut di bawah ini.

2.4 Komunikasi dan Konsultasi

Pada dasarnya proses yang dilakukan sama dengan yang dilakukan pada kerangka kerja
manajemen risiko, tetapi karena konteks yang ditangani berbeda, maka proses ini harus
dilakukan secara lebih fokus. Komunikasi dan konsultasi dengan pemangku kepentingan
internal maupun eksternal harus dilaksanakan se-ekstensif mungkin sesuai dengan kebutuhan
dan pada setiap tahapan proses manajemen risiko. Oleh karena itu, sejak awal harus disusun
suatu rencana komunikasi dan konsultasi dengan para pemangku kepentingan. Rencana ini
harus merujuk pada risiko yang mungkin terjadi, dampaknya, dan apa yang perlu dilakukan
untuk mengatasinya, serta hal-hal lain yang terkait.

2.5 Menentukan Konteks

Menentukan konteks berarti manajemen organisasi menentukan batasan atau parameter
internal dan eksternal yang akan dijadikan pertimbangan dalam pengelolaan risiko,
menentukan lingkup kerja, dan kriteria risiko untuk proses-proses selanjutnya. Konteks yang

ditetapkan haruslah meliputi semua parameter internal dan eksternal yang relevan dan
penting bagi organisasi. Dalam proses ini akan ditetapkan: (1) konteks eksternal, (2) konteks
internal, (3) Konteks manajemen risiko, dan (4) kriteria risiko

2.6 Assesmen Risiko

Proses asesmen risiko merupakan proses untuk mengidentifikasi risiko-risiko apa saja
yang mungkin terjadi, kemudian masing-masing risiko akan diberi atribut sesuai dengan
analisis yang dilakukan terhadap setiap risiko itu dengan menggunakan criteria kriteria risiko
yang ditentukan pada tahap sebelumnya. Setelah setiap risiko telah mendapatkan atributnya,
maka akan dilakukan evaluasi untuk menentukan peringkat risiko, sehingga dapat ditentukan
tingkat prioritas risiko yang akan memerlukan perlakuan risiko ditahap berikutnya. Dengan
demikian maka dalam tahap ini akan dilakukan pembahasan mengenai: (1) identifikasi risiko,
(2) analisis risiko, dan (3) evaluasi risiko.

2.7 Perlakuan Risiko

Hasil dari evaluasi risiko adalah suatu daftar yang berisi peringkat risiko yang
memerlukan perlakuan lebih lanjut. Manajemen organisasi harus melakukan kajian dan
menentukan jenis serta bentuk perlakuan risiko yang diperlukan. Perlakuan risiko ini tidak
harus bersifat khusus untuk satu situasi tertentu, juga tidak harus berlaku umum. Ini berarti,
setiap risiko memerlukan bentuk perlakuan yang khas untuk tiap risiko itu sendiri. Secara
umum, perlakuan terhadap suatu risiko dapat berupa salah satu dari empat perlakuan sebagai
berikut:
Menghindari risiko (risk avoidance), berarti tidak melaksanakan atau meneruskan
kegiatan yang menimbulkan risiko tersebut.

Berbagi risiko (risk sharing/transfer), yaitu suatu tindakan untuk mengurangi

kemungkinan timbulnya risiko atau dampak risiko.

Mitigasi (mitigation), yaitu melakukan perlakuan risiko untuk mengurangi

kemungkinan timbulnya risiko, atau mengurangi dampak risiko bila terjadi, atau
mengurangi keduanya, yaitu kemungkinan dan dampak.
Menerima risiko (risk acceptance), yaitu tidak melakukan perlakuan apapun terhadap
risiko tersebut.

2.8 Monitoring dan Review

Monitoring dan review harus menjadi bagian yang sudah direncanakan dalam proses
manajemen risiko. Petugas yang bertanggung jawab untuk melaksanakan proses monitoring
dan review harus ditentukan secara tegas. Proses monitoring dan review harus mencakup
semua aspek dari proses manajemen risiko dengan tujuan agar:

Terdapat proses pembelajaran dan analisis dari setiap peristiwa, perubahan, dan
kecenderungan (trends) yang terjadi;

Terdeteksi perubahan dalam lingkup internal maupun eksternal, termasuk perubahan

risiko itu sendiri yang memerlukan perubahan atau revisi perlakuan risiko, atau
bahkan perubahan prioritas risiko;

Memastikan bahwa pengendalian risiko dan perlakuan risiko masih tetap efektif, baik
secara desain maupun pelaksanaannya;

Mengidentifikasikan terjadinya risiko-risiko yang baru.

2.9 Dokumentasi Manajemen Risiko

Dokumentasi suatu proses manajemen secara umum mempunyai tiga macam fungsi, yaitu:
Rekaman proses pelaksanaan kegiatan yang sekaligus menjadi sumber informasi atas
proses yang terjadi dan dapat menjadi dasar pengambilan keputusan untuk masalah
yang sama di masa depan;
Menjadi bukti hukum atas apa yang telah diputuskan dan dilaksanakan, khususnya
bila terjadi sengketa hukum;
Sarana untuk preservasi pengetahuan sebagai bagian dari proses pengembangan
knowledge management dalam suatu organisasi.
Sesuai dengan fungsi di atas maka dokumentasi proses manajemen risiko harus disusun
sedemikian rupa sehingga akses informasi mudah dilaksanakan, dokumen yang memerlukan
keabsahan hukum harus dipastikan persyaratannya terpenuhi dengan baik, misalnya risalah
rapat ditandatangani secara lengkap, keputusan pelaksanaan jelas akuntabilitasnya, uraian
metode pelaksanaan suatu keputusan haruslah jelas tahapannya, dll. Tidak terdapat suatu
pengaturan formal atas dokumentasi ini.

3.

Aspek Perawatan
Pada pelaksanaan aspek perawatan dalam penerapan manajemen risiko perusahaan

terdapat unsur-unsur yang mempengaruhinya. Unsur pertama adalah unsur Risk Governance
dimana dipastikan kejelasan akuntabilitas dalam melakukan monitoring dan review serta

macam dan jenis pelaksanaan monitoring dan review itu sendiri. Unsur kedua adalah
penyebaran penerapan manajemen risiko keseluruh jajaran perusahaan dan menjadikannya
bagian yang tidak terpisahkan dari proses organisasi, sehingga timbul menjadi suatu budaya
sadar risiko. Unsur ke tiga adalah pengembangan pemahaman dan teknologi terkait dengan
penerapan manajemen risiko perusahaan.

3.1 Risk Governance

Akuntabilitas
Dewan Komisaris merupakan penanggung jawab tertinggi dalam pelaksanaan
pengawasan kegiatan strategis dan operasional perusahaan, dengan demikian mereka juga
menjadi penanggung jawab tertinggi dalam memastikan bahwa manajemen risiko perusahaan
memang dilaksanakan dengan baik dan efektif serta efisien. Untuk itu Dewan Komisaris
harus membentuk Komite Pemantau Risiko untuk memastikan bahwa pelaksanaan
manajemen risiko berjalan dengan baik. Apabila pembentukan Komite Pemantau Risiko
dirasakan terlalu berlebihan, maka tugas pengawasan ini dapat diserahkan kepada Komite
Audit, akan tetapi harus dipastikan bahwa tugas pengawasan ini memang tercantum dalam
Piagam Komite Audit.
Direksi adalah penanggung jawab pengurusan perusahaan dan pencapaian sasaran
perusahaan sebagaimana ditetapkan oleh pemegang saham dalan Rapat Umum Pemegang
Saham. Oleh karena itu semua ancaman yang mengganggu pencapaian sasaran perusahaan
haruslah diatasi, dan sebaliknya, semua peluang yang mendukung pencapaian sasaran
perusahaan haruslah diekploitasi seoptimal mungkin. Ini adalah penerapan manajemen risiko
perusahaan. Untuk memastikan ini semua maka ia harus mendapatkan gambaran yang tepat
dari status dan posisi pelaksanaan manajemen risiko perusahaan. Konsekwensi logis dari hal
ini adalah Direksi haruslah melakukan pemantauan secara berkala terhadap kinerja
manajemen risiko. Selain itu ia juga harus menciptakan tone at the Top (perilaku
keteladanan) sehingga seluruh jajaran perusahaan yakin bahwa penerapan manajemen risiko
memang menciptakan nilai tambah dan berguna dalam memberikan jaminan yang wajar atas
pencapaian sasaran perusahaan. Akuntabilitas Direksi dalam pelaksanaan dan perawatan
penerapan manajemen risiko perusahaan dilakukan dalam dua hal yaitu: (1) pembentukan
Fungsi Manajemen Risiko yang mandiri, dan (2) menghadiri dan melakukan review atas
kinerja penerapan manajemen risiko perusahaan secara berkala, minimal setiap tiga bulan
sekali.

Jenis Monitoring dan Review

Pada monitoring dan review, hal-hal yang perlu disampainkan atas pelaksanaannya yaitu:
Evaluasi penerapan manajemen risiko harus dilaksanakan minimal satu kali dalam
satu tahun. Evaluasi ini untuk memeriksa efektifitas, tingkat kematangan penerapan
manajemen

risiko,

dan

kinerja

manajemen

risiko

sesuai

dengan

tujuan

pembentukannya;
Laporan fungsi manajemen risiko setiap triwulan terhadap Direksi dengan tembusan
ke Dewan Komisaris atas: (1) status profil risiko perusahaan terkini dan
kecenderungannya (trend), (2) efektifitas pengendalian risiko-risiko besar dan risikorisiko kritis, (3) hasil mitigasi-mitigasi risiko yang dilakukan dalam periode laporan
tersebut, (4) Perubahan lingkungan eksternal dan internal yang mempunyai potensi
risiko bagi perusahaan, dan (5) observasi kemampuan para Risk Owners dalam
perusahaan dalam menangani risiko-risiko yang menjadi tanggung jawabnya.

3.2 Budaya Risiko

Sasaran dari pengembangan budaya risiko secara sederhana dapat dikatakan bahwa
dalam setiap pengambilan keputusan, baik keputusan strategis hingga keputusan yang
sederhana dalam operasi sehari-hari, para pengambil keputusan selalu sadar akan potensi
risiko yang ada saat ini maupun potensi risiko dalam masa yang lebih panjang. Dengan
demikian setiap keputusan akan diambil dengan hati-hati dan penuh pertimbangan (informed
decfision making). Perilaku hati-hati dan tidak ceroboh serta penuh pertimbangan atas
informasi yang ada inilah yang menjadi tujuan terciptanya budaya (sadar) risiko.

Tone from the Top

Budaya adalah perilaku. Oleh karena itu bila budaya risiko dianggap penting bagi
perusahaan maka perilaku ini juga harus nampak pada Pimpinan Puncak perusahaan. Perilaku
ini juga harus nampak dari dukungan Pimpinan dalam menyediakan sumber daya untuk
penerapan manajemen risiko perusahaan. Dalam manajemen perubahan, peran Pimpinan
Puncak dalam memimpin perubahan sangat vital. Tergantung pada Pimpinan Puncak, jenis
kepemimpinan apa yang akan dilakukan dan perilaku bagaimana yang akan ditunjukkan
dalam mendorong dan mendukung perilaku budaya risiko yang diinginkan dan mencegah
serta mempersulit perilaku budaya risiko yang tidak diinginkan.

Strategi Pengembangan Budaya Risiko

Kesadaran akan pentingnya manajemen risiko harus tersebar luas ke seluruh karyawan
dan tidak terbatas pada tingkatan manajemen saja. Kesadaran ini harus dikembangkan hingga
menjadi budaya risiko yang intinya adalah perilaku sadar risiko dalam kegiatan operasional
perusahaan. Oleh karena itu perlu sosialisasi dan pelatihan yang ekstensif ke seluruh jajaran
perusahaan sehingga seluruh karyawan menjadi tahu apa itu risiko dan sadar apa artinya
manajemen risiko dalam kegiatan operasional sehari-hari dalam perusahaan dan akhirnya
melalui pelatihan yang tepat mereka menjadi mampu dalam menerapkan manajemen risiko
tersebut.
Unsur penting lain dalam mendukung terciptanya budaya risiko adalah insentif dan
sanksi. Ini adalah upaya untuk merangsang, mendorong dan mendukung perilaku budaya
risiko yang diinginkan dan mencegah serta mempersulit perilaku budaya risiko yang tidak
diinginkan. Untuk ini perlu penyelarasan antara pencapaian sasaran perusahaan dengan
perilaku yang diinginkan, karena perilaku inilah yang layak untuk mendapatkan insentif.
Selain itu perlu menentukan dan mencantumkan Key Performance Indicator (KPI) terkait
manajemen risiko pada setiap fungsi perusahaan. Hal yang perlu diperhatikan bahwa insentif
tidak hanya semata-mata diberikan karena hasil mitigasi risiko saja tetapi harus lebih pada
penerapan proses manajemen risiko yang baik dan benar, serta sesuai dengan prinsip-prinsip
manajemen risiko yang telah dicanangkan. Insentif terhadap kompensasi karyawan
merupakan salah satu saran yang efektif dalam merubah perilaku, tetapi pemberian
penghargaan lainnya juga perlu diperhatikan dalam mendorong perubahan menuju budaya
risiko yang diinginkan. Untuk proses penerapan insentif dan sanksi, haruslah dilaksanakan
dengan prinsip keterbukaan (prinsip ke 9) untuk lebih mendorong terciptanya budaya risiko
yang diinginkan.

3.3 Pengembangan Manajemen Risiko

Dinamika perkembangan bisnis dan perubahan situasi eksternal sangatlah penuh
ketidakpastian, sehingga diperlukan secara terus menerus untuk mengembangkan teknologi,
metoda dan alat yang mampu untuk mengikuti perkembangan tersebut guna meningkatkan
daya tahan dan keliatan (resilience) perusahaan. Setiap perusahaan haruslah mengkaji dan
mencari teknik yang paling cocok untuk meningkatkan penerapan manajemen risiko
perusahaannya sendiri. Ini dilakukan dengan mengacu pada proses bisnis utamanya dan
bagaimana caranya meningkatkan kemungkinan pencapaian sasaran perusahaan.

Benchmarking adalah salah satu upaya untuk membandingkan kapabilitas dan efektifitas
penerapan manajemen risiko perusahaan yang sudah dilaksanakan dengan kapabilitas dan
efektifitas perusahaan lain. Dengan melakukan benchmarking kita dapat saling belajar dan
bertukar pengalaman dengan perusahaan lainnya, baik dalam industri sejenis maupun dari
sektor industri lainnya. Melalui benchmarking, kita dapat memperbaiki dan bahkan mungkin
menemukan suatu teknik yang lebih cocok dengan kondisi kita atau memodifikasi suatu
teknik yang unggul untuk disesuaikan dengan kondisi perusahaan.