PEDOMAN PENERAPAN MANAJEMEN RISIKO BERBASIS

GOVERNANCE

1. LATAR BELAKANG

Manajemen risiko adalah salah satu disiplin yang menjadi popular menjelang akhir abad
ke dua puluh. Disiplin ini mengajak kita untuk secara logis, konsisten, dan sistematis untuk
melakukan pendekatan terhadap ketidakpastian di masa depan. Dengan demikian, kita dapat
lebih berhati-hati dan produktif menghindari hal-hal yang tidak perlu dan mencegah hal-hal
yang merugikan atau tidak bermanfaat.
Kegiatan ini dilakukan tidak hanya berdasarkan keyakinan dan keberuntungan, namun juga
dengan mempelajari kemungkinan terjadinya suatu peristiwa serta bagaimana cara
mengatasi dampaknya. Hal tersebut juga didukung dengan kemampuan untuk mempelajari
dan memahami penyebab terjadinya suatu peristiwa (source of risk). Sesuatu hal yang hanya
didasarkan atas keberuntungan membuat pelaksanaan manajemen risiko menjadi tidak
efektif, bahkan dapat mengaburkan kebenaran dari penyebab terjadinya suatu peristiwa.
Manajemen risiko berkembang seiring dengan perkembangan pembelajaran manusia.
Dalam satu abad terakhir ini, terdapat beberapa peristiwa politik, ekonomi, dan
perkembangan teknologi yang turut membantu perkembangan manajemen risiko, di
antaranya penggunaan bom atom dalam Perang Dunia ke-II, perkembangan teknologi
otomotif, alat transportasi, peluru kendali, komputer, dan lain-lain. Selain itu, juga terdapat
beberapa peristiwa lainnya, misalnya kasus bocornya reaktor nuklir di Rusia, bencana
industri Bhopal di India, tenggelamnya kapal Titanic, pencemaran Teluk Minamata di
Jepang, tragedi kapal tanker Exxon Valdez, kasus Enron, kasus Nick Leeson dengan Baring
Bank di Singapura, kasus terorisme yang menghancurkan Twin Tower di New York, hingga
krisis finansial yang dialami Indonesia tahun 1997/1998, kasus bank Global, kasus Bank
Century dan kasus-kasus lainnya. Semua peristiwa tersebut memberikan stimulus terhadap
perkembangan manajemen risiko untuk lebih memahami sebab-akibat, berikut prediksi
tentang kemungkinan terjadinya suatu peristiwa yang merupakan bagian tak terpisahkan
dari proses evolusi manajemen risiko.

1
a. Sejarah Singkat Perkembangan Manajemen Risiko

Felix Kloman dalam “Enterprise Risk Management: Today’s Leading Research and
Best Practices for Tomorrow’s Executives” (2010) menuliskan secara ringkas beberapa
tonggak sejarah yang terkait dengan perkembangan manajemen risiko selama 100 tahun
terakhir ini. Adapun uraian kronologis sejarah perkembangan manajemen risiko adalah
sebagai berikut:
1) 1914: di Amerika Serikat perkumpulan dari para credit & lending officers dengan
nama Robert Martin Association terbentuk di Philadelphia, kemudian berganti nama
menjadi Risk Management Association pada tahun 2000, dan pada tahun 2008
anggotanya telah mencapai 3.000 lembaga keuangan dan 35.000 anggota
perorangan;
2) 1928: Kongres Amerika Serikat menerbitkan “Glass-Steagal Act” yang melarang
kepemilikan yang sama atas bank umum, investment bank dan perusahaan asuransi.
Undang-Undang ini dicabut pada tahun 1999, karena dianggap menghambat
perkembangan lembaga keuangan. Namun, beberapa peristiwa bencana di bidang
keuangan setelah tahun 2000 mempertanyakan kembali kebijakan pencabutan
Undang-Undang ini;
3) 1945: Kongres Amerika Serikat menerbitkan “McCarren-Ferguson Act” yang
menyerahkan kewenangan pengaturan industri asuransi kepada negara bagian dan
tidak lagi menjadi kewenangan nasional federal. Hal ini agak menghambat
perkembangan manajemen risiko karena mengurangi kemampuan industri asuransi
dalam menghadapi risiko-risiko dalam perspektif yang lebih luas;
4) 1966: The Insurance Institute of America mengembangkan satu set ujian yang terdiri
dari tiga bagian yang memberikan gelar “Associate in Risk Management”. Ini adalah
sertifikasi pertama yang diberikan dalam disiplin manajemen risiko. Walaupun
isinya masih sangat didominasi oleh konsep perusahaan asuransi, tetapi pengenal
konsep risiko yang lebih luas mulai diperkenalkan, dan ini setiap tahun selalu
dimutakhirkan sesuai dengan tuntutan perubahan;
5) 1975: The American Society of Insurance Management mengubah namanya menjadi
Risk & Insurance Management Society (RIMS) yang pada tahun 2008 jumlah

2
 anggotanya di Amerika Utara telah mencapai 11.000 orang. Di negara lain, RIMS
mempunyai asosiasi dengan The International Federation of Risk and Insurance
Management Association (IFRIMA);
6) 1980: Mulai didirikan Society for Risk Analysis (SRA) di Washington, terutama oleh
mereka yang bergerak dalam kebijakan publik, lingkungan hidup dan para akademisi
terkait. Pada tahun 2008, SRA telah mempunyai anggota sebanyak 2.500 orang dan
mempunyai afiliasi di Eropa dan Jepang. Kelompok ini yang mulai memperkenalkan
manajemen risiko pada produk-produk legislasi;
7) 1986: The Institute for Risk Management didirikan di London, beberapa tahun
kemudian mulai memperkenalkan ujian yang dapat diikuti secara international untuk
mendapatkan sertifikasi sebagai “Fellow of the Institute of Risk Management”, yang
merupakan program pelatihan berkelanjutan terkait dengan manajemen risiko
dalam berbagai macam aspeknya. Pada saat yang bersamaan Kongres Amerika
Serikat juga meloloskan revisi dari “The Risk Retention Act” yang disahkan pada
tahun 1982;
8) 1990: Perserikatan Bangsa-Bangsa (PBB) memulai program The International
Decade for Natural Disaster Recovery (IDNDR), suatu program kajian 10 tahun
untuk mempelajari alam dan dampak bencana alam, khususnya pada negaranegara
yang terbelakang serta membangun suatu upaya mitigasi pada tingkat dunia.
Program ini berakhir pada tahun 1999 dan dilanjutkan dengan nama baru The
International Strategy for Disaster Reduction (ISDR). Hasil dari kajian tersebut
dapat dilihat dalam buku Natural Disaster Management yang diterbitkan oleh PBB;
9) 1992: The Cadbury Committee di Inggris menerbitkan laporan yang menyarankan
agar Dewan Direksi (Governing Boards) bertanggung jawab atas kebijakan
manajemen risiko perusahaan dan memastikan bahwa seluruh anggota perusahaan
memahami semua aspek risiko yang dihadapi perusahaan. Selain itu
merekomendasikan bahwa Dewan Direksi juga bertanggung jawab atas pengawasan
proses pelaksanaan manajemen risiko tersebut. Hempel & Turnbull Committee yang
melanjutkan tugas Cadbury Committee, memperluas dan memperbarui mandat
untuk penerapan manajemen risiko bagi seluruh perusahaan. Kondisi semacam ini
juga diikuti oleh beberapa negara antara lain Kanada, Amerika Serikat, Inggris,

3
 Afrika Selatan, Jerman dan Perancis. Pada tahun yang sama The Bank for
International Settlement (BIS) yang berkedudukan di Swiss, menerbitkan ketentuan
yang disebut sebagai Basel I bagi dunia perbankan international yang terkait dengan
kecukupan modal, ketentuan tentang risiko kredit dan risiko pasar;
10) 1993: Jabatan “Chief Risk Officer (CRO)” pertama kali digunakan oleh James Lam,
dari GE Capital, untuk menggambarkan suatu jabatan yang bertanggung jawab atas
pengelolaan semau aspek risiko perusahaan, termasuk manajemen risiko secara
umum, risiko operasi, risiko usaha, risiko keuangan, dan lain-lain. Saat ini sudah
lebih dari 150 CRO yang bertanggung jawab atas penanganan berbagai macam
risiko yang dihadapi perusahaan;
11) 1995: Suatu kelompok kerja multi disiplin yang dibentuk oleh Standard Australia
dan Standard New Zealand menerbitkan standar manajemen risiko yang pertama di
dunia yaitu AS/NZS 4360:1995 Risk Management Standard (Standar ini kemudian
direvisi setiap 5 tahun, dan telah mengalami revisi pada tahun 1999 dan tahun 2004).
Penerbitan standar ini segera diikuti oleh beberapa negara antara lain Kanada,
Jepang dan Inggris. Sementara itu beberapa pengamat mengatakan bahwa tindakan
ini prematur karena manajemen risiko masih dalam proses evolusi, akan tetapi
mayoritas pengamat menghargai upaya ini karena standar ini merupakan langkah
awal untuk dapat membuat suatu kerangka referensi global atas manajemen risiko,
terlebih aspek multi disiplin dari manajemen risiko memperoleh tempat yang layak;
12) 1996: The Global Association of Risk Professionals (GARP) didirikan di New York
dan London. Pada tahun 2008 jumlah anggotanya sudah mencapai lebih dari 74.000
orang. GARP juga memberikan berbagai macam program sertifikasi untuk
manajemen risiko;
13) 2000: Kekhawatiran atas kemungkinan terjadinya bencana akibat “virus” Y2K tidak
terjadi. Secara umum ini dapat dikatakan karena keberhasilan pengerahan upaya dan
dana yang sangat masif untuk melakukan perbaikan program guna mengatasi
kemungkinan terjadinya bencana tersebut. Kejadian ini sering disebut sebagai salah
satu keberhasilan manajemen risiko dalam mengantisipasi bencana;
14) 2001: The Professional Risk Manager’s International Association (PRMIA)
didirikan di Amerika Serikat dan Inggris. Pada tahun 2008, jumlah keanggotaannya

4
 mencapai sekitar 2.500 anggota penuh (paid members) dan 48.000 anggota afiliasi
(associate members). Pada tahun yang sama juga terjadi tragedi 11 September 2001,
yaitu serangan teroris pada Twin Tower di New York. Selain itu kebangkrutan Enron
karena bad governance juga terjadi pada tahun ini;
15) 2002: Kongres Amerika Serikat meloloskan Sarbanes-Oxley Act (SOA) untuk
merespons kebangkrutan Enron dan skandal di bidang keuangan lainnya. Ketentuan
SOA diberlakukan untuk semua perusahaan publik yang tercatat di bursa efek
Amerika Serikat. Sementara pengamat memandang bahwa ini adalah awal dari
penggabungan unsur kepatuhan dengan manajemen risiko. Ada pula yang
berpendapat bahwa penggabungan ini adalah suatu kemunduran karena memandang
risiko hanya pada sisi negatifnya saja, sedangkan yang lain berpendapat bahwa ini
adalah langkah nyata penerapan manajemen risiko pada tingkat Dewan Direksi;
16) 2004: The Basel Committee on Banking Supervision dari BIS menerbitkan The Basel
II Accord, yang memperluas cakupan pedoman yang telah dikeluarkan sebelumnya
(Basel I) yang meliputi ratio kecukupan modal, risiko kredit, risiko pasar dengan
tambahan risiko operasional perbankan. Beberapa pengamat berkomentar bahwa
penerapan pedoman ini secara global akan mengurangi kebebasan masing-masing
individu lembaga keuangan. Kesepakatan global sejenis Basel II ini diperkirakan
juga menjadi alasan untuk menerbitkan kesepakatan serupa untuk industri non-
finansial;
17) 2005: The International Organization for Standarization (ISO) membentuk
International Working Group (Technical Committee) untuk mempersiapkan suatu
panduan global terkait dengan definisi manajemen risiko, panduan penerapan, dan
praktik-praktik manajemen risiko, dan ditargetkan selesai pada tahun 2009;
18) 2009: ISO menerbitkan ISO 31000:2009 Risk Management – Principles and
Guidelines. Penerbitan standar internasional ini segera diikuti dengan diadopsinya
oleh beberapa negara antara lain Australia, New Zealand, dan Jepang pada tahun
2010. Mereka mengadopsi ISO 31000 ke dalam standar manajemen risiko
negaranya.

5
Felix Kloman tidak memasukkan Committee of Sponsoring Organization of the
Treadway Commission (COSO) Enterprise Risk Management (ERM) – Integrated
Framework (2004) dalam tonggak sejarah perkembangan manajemen risiko tanpa
menjelaskan alasannya. Namun, dari beberapa tulisan pengamat lainnya dapat
disimpulkan bahwa kemungkinan tidak dimasukkannya COSO Enterprise Risk
Management – Integrated Framework, karena beberapa hal sebagai berikut:
1) COSO merupakan suatu unit organisasi privat yang disponsori oleh lima asosiasi
profesi bidang keuangan di Amerika Serikat (American Accounting Association,
American Institute for Certified Public Accountants, Financial Executive
International, Institute of Management Accountants dan Institute of Internal
Auditors). Dengan demikian COSO lebih merupakan “Opinion Leader” dan bukan
suatu asosiasi profesi. Hasil karyanya juga tidak disepakati (endorsed) menjadi
panduan yang mengikat oleh asosiasi yang mensponsorinya. Oleh karena itu istilah
yang digunakan adalah “Framework” dan bukan “Guideline” ataupun
“Standard”.
2) Dalam posisi demikian, walaupun publikasi COSO diakui sebagai “valuable tools
and offers detailed guidance on how company may implement enterprise risk
management" (Beasley & Frigo, 2010), tetapi sifatnya tidaklah berbeda dengan
karya-karya ilmiah lain di bidang manajemen risiko. Selain itu COSO ERM
Framework memberikan peluang untuk diinterpretasikan secara luas dan bebas
sesuai dengan kepentingan pengguna. Hal ini tentu berbeda dengan standar, yang
memuat kriteria dan norma aturan yang pasti dan harus diikuti, walaupun
memberikan kebebasan interpretasi, tetapi tetap dalam koridor yang telah ditetapkan
oleh standar tersebut.
3) Sponsor dari COSO adalah asosiasi organisasi profesi akuntan/auditor/keuangan,
sehingga dapat menimbulkan interpretasi terhadap kemungkinan adanya benturan
kepentingan apakah kerangka kerja yang dipublikasikan ini memang untuk
memenuhi kebutuhan publik atau untuk memenuhi kebutuhan para praktisi dari
asosiasi profesi tersebut. (S.J. Root, 1998).
4) Proses penerbitan pada COSO tidaklah serumit dengan proses penerbitan standar
yang harus melalui beberapa proses dengar pendapat dengan para pihak terkait

6
 (public hearing/roundtable discussion) sebelum akhirnya disahkan menjadi standar
(S.J. Root, 1998).
5) COSO bukan suatu otoritas yang mempunyai kewenangan untuk menetapkan
produknya menjadi suatu standar. Dengan demikian COSO Enterprise Risk
Management Integrated Framework (2004) bukanlah suatu standar untuk
manajemen risiko.

b. Keterkaitan Manajemen Risiko dengan Strategi dan Proses Organisasi

Setiap organisasi mempunyai visi dan misi. Visi adalah sasaran dan kondisi tertentu
yang ingin dicapai oleh organisasi dalam waktu yang ditentukan. Misi merupakan alasan
mengapa organisasi didirikan dan pada misi tersebut dapat diidentifikasi proses utama
organisasi dalam memenuhi kebutuhan pelanggan utamanya. Strategi adalah cara untuk
mencapai visi organisasi yang lebih baik dari pesaing organisasi tersebut.

Proses utama organisasi adalah proses yang menghasilkan apa yang dibutuhkan
pelanggan organisasi tersebut. Dalam organisasi bisnis, proses utama ini disebut dengan
“cash generating process”. Untuk dapat bersaing dalam memenuhi kebutuhan
pelanggan, maka setiap organisasi harus mengupayakan proses utama mereka lebih
efektif dan efisien, serta menghasilkan produk dan jasa yang juga lebih baik dari
pesaing. Disinilah perumusan strategi dalam mencapai visi organisasi berperan.

Dalam perumusan visi dan strategi terdapat konteks eksternal dan internal organisasi,
sedangkan dalam proses utama organisasi hanya terdapat konteks internal organisasi.
Konteks internal adalah lingkungan internal organisasi dimana organisasi tersebut
berusaha untuk mencapai sasarannya. Konteks internal ini terdiri dari kapabilitas,
struktur, proses, budaya, personalia, dan sumber daya organisasi. Konteks internal ini
relatif lebih dapat dikendalikan dibandingkan dengan konteks eksternal yang lebih
banyak dipengaruhi faktor di luar organisasi.

Konteks eksternal organisasi adalah lingkungan eksternal organisasi dimana organisasi

tersebut berupaya untuk mencapai sasaran organisasi, yaitu visinya. Konteks ini
meliputi kondisi makro, antara lain kondisi ekonomi, sosial, politik, budaya, geografis,

7
 dan jenis industri organisasi tersebut. Selain itu, juga terkait dengan para pemangku
kepentingan (stakeholders) dari organisasi tersebut, pelanggan, pemasok, kreditur,
karyawan, regulator, pengamat industri, media massa, dan lain-lain. Dalam konteks
eksternal ini, faktor luar organisasi berperan lebih dominan.
Risiko adalah sesuatu yang dapat mempengaruhi sasaran organisasi. Salah satu atribut
risiko adalah ketidakpastian, baik dari sesuatu yang sudah diketahui maupun dari
sesuatu yang belum diketahui. Dengan demikian strategi yang baik haruslah juga
memperhatikan risiko-risiko yang mungkin terjadi dalam konteks internal maupun
eksternal organisasi, dan melakukan antisipasi perlakuan risiko bila memang risiko
tersebut menjadi kenyataan. Untuk risiko-risiko eksternal perlu diperhatikan harapan
dari tiap pemangku kepentingan yang bila tidak dipenuhi akan menimbulkan konflik
dan mempengaruhi pencapaian sasaran organisasi. Begitu pula risiko yang mungkin
terjadi akibat perubahan situasi politik, ekonomi, sosial atau lainnya. Semua hal tersebut
harus diperhatikan dalam perumusan strategi.
Proses utama organisasi merupakan kunci realisasi strategi dalam mencapai sasaran
perusahaan. Kegagalan proses utama perusahaan dan proses pendukung lainnya akan
mempengaruhi pencapaian sasaran organisasi. Semua kemungkinan yang dapat
mengganggu proses organisasi haruslah diidentifikasi dan diantisipasi pencegahannya.
Teknik yang paling sering digunakan dalam proses identifikasi risiko adalah diagram
tulang ikan (Ishikawa diagram) yang mengidentifikasi penyebab kegagalan dengan
metoda sebab-akibat. Teknik lainnya adalah FailureMode and Effect Analysis, yang
juga mengidentifikasi kegagalan apa saja yang mungkin terjadi pada setiap tahapan
proses, serta mencoba mencari kemungkinan deteksi dini dari penyebab kegagalan
tersebut sebelum terjadi.

c. Mengapa perlu Pedoman Manajemen Risiko berbasis Governance?

Berdasarkan OECD Principles of Corporate Governance (2004), Pedoman Umum GCG

Indonesia - KNKG (2006), Peraturan Menteri Negara BUMN No. PER-01/MBU/2011
tentang Penerapan GCG pada BUMN, serta Peraturan Bank Indonesia No.
8/14/PBI/2006 tentang Pelaksanaan GCG bagi Bank Umum, corporate governance
mengandung pengertian tentang pencapaian keberhasilan usaha dan cara untuk

8
memantau kinerja pencapaian sasaran keberhasilan usaha tersebut. Adapun prinsip dari
corporate governance yang berpengaruh dalam pelaksanaan manajemen risiko adalah
transparansi, akuntabilitas, tanggung jawab (responsibilitas) dan independensi.
Dengan mengacu pada pengertian dan prinsip-prinsip corporate governance di atas
maka jelaslah mengapa manajemen risiko yang berbasis governance menjadi sangat
diperlukan.
Pertama, manajemen risiko adalah bagian yang tidak terpisahkan dari pelaksanaan
corporate governance karena peran manajemen risiko dalam memberikan jaminan yang
wajar atas pencapaian sasaran keberhasilan usaha tidak tergantikan.

Kedua, pelaksanaan manajemen risiko yang baik memerlukan prinsip-prinsip

governance sebagai berikut:

1) Transparansi: pengelolaan risiko haruslah transparan, karena dampak risiko tidak

hanya pada satu unit atau bagian saja, tetapi juga pada bagian lain. Dengan kata lain
pengelolaan risiko haruslah bersifat inklusif dan transparan artinya melibatkan
semua pihak yang terkait dengan risiko tersebut, baik dalam penanganan sumber
risiko, maupun perlakuan terhadap dampak risiko;
2) Akuntabilitas: harus terdapat akuntabilitas yang jelas dalam penerapan manajemen
risiko dalam organisasi. Untuk seluruh perusahaan, akuntabilitas tertinggi dalam
penerapan manajemen risiko terletak pada Direksi dan akuntabilitas pengawasan
penerapan manajemen risiko terletak pada Dewan Komisaris. Selain itu,
akuntabilitas pengelolaan risiko tersebut juga harus jelas di setiap tingkatannya,
bahkan hingga ke tiap proses bisnis;
3) Responsibilitas: penjabaran akuntabilitas penerapan manajemen risiko memerlukan
uraian tanggung jawab yang lebih jelas dalam pengelolaan risiko pada masing-
masing tingkatan, bahkan hingga ke pengelolaan risiko dalam proses organisasi.
Oleh karena itu setiap pemangku risiko (risk owner) harus dapat memamahi tugas
dan tanggung jawabnya terkait dengan pengelolaan risiko dalam lingkup tugas dan
kewenangannya;
4) Independensi: ini adalah konsekuensi logis dari prinsip akuntabilitas dan
responsibilitas, dimana unit atau individu yang dibebani dengan akuntabilitas dan

9
 responsibilitas untuk mengelola risiko yang masuk dalam lingkup tugas dan
kewenangannya, haruslah diberi kebebasan dalam merumuskan cara menangani
risiko tersebut.
Ketiga, risiko adalah bagian yang tak terpisahkan dari proses organisasi. Oleh karena itu
manajemen risiko tidak dapat dipisahkan dari kegiatan utama ataupun proses lain dalam
organisasi. Manajemen risiko juga menjadi bagian yang tak terpisahkan dari tanggung
jawab manajemen dalam memastikan tercapainya sasaran organisasi. Berdasarkan hal
tersebut, maka manajemen risiko haruslah diintegrasikan sepenuhnya ke dalam
governance organisasi agar dapat memberikan kepastian terhadap pencapaian sasaran
organisasi. Dengan manajemen yang efektif, maka akan lebih memberikan jaminan
terhadap pencapaian sasaran organisasi.

2. Ruang Lingkup, Maksud dan Tujuan

a. Ruang lingkup

Pedoman ini akan menguraikan aspek-aspek dan elemen-elemen yang diperlukan untuk
membangun dan menerapkan manajemen risiko pada suatu organisasi. Aspek dan
elemen yang diuraikan pada dasarnya bersifat generik dan dapat digunakan baik pada
organisasi nirlaba, organisasi publik ataupun perusahaan yang berorientasi laba. Selain
itu, pedoman ini juga dapat digunakan pada proyek, proses organisasi atau keperluan
khusus lainnya yang disesuaikan menurut tujuan spesifiknya.
Penerapan manajemen risiko tidak dapat dipisahkan dengan governance dari suatu
organisasi, dan governance suatu organisasi tidak terlepas dari peraturan
perundangundangan yang berlaku. Untuk organisasi publik, nirlaba baik yang termasuk
di dalamnya yayasan, organisasi kemasyarakatan, dan lain-lain, peraturan
perundangundangan yang berlaku berbeda untuk masing-masing organisasi tersebut.
Oleh karena itu demi kemudahan penulisan, pedoman ini akan menggunakan latar
belakang Undang-Undang No. 40 tahun 2007 tentang Perseroan Terbatas. Alasannya
sederhana, karena Perseroan Terbatas merupakan peraturan perundangan yang menjadi
dasar organisasi yang bergerak dalam bidang perekonomian dan paling banyak
melibatkan kegiatan ekonomi masyarakat.

10
 Dengan demikian bagi pengguna yang bukan bergerak dalam organisasi Perseroan
Terbatas, haruslah menginterpretasikan ulang posisi-posisi Direksi dan Dewan
Komisaris dengan posisi yang mempunyai tugas dan kewenangan serupa dalam
organisasinya.

b. Maksud dan Tujuan

Penerapan manajemen risiko yang baik antara lain dapat:

1) Mengurangi kejutan yang kurang menyenangkan. Hal ini dapat diperoleh karena
melalui penerapan manajemen risiko yang baik semua hal yang berakibat pada
pencapaian sasaran perusahaan telah diidentifikasikan sebelumnya berikut langkah
perlakuan terhadap hal tersebut telah diantisipasi. Hal ini berlaku untuk peristiwa yang
berdampak positif maupun negatif bagi perusahaan atau organisasi;
2) Meningkatkan hubungan dengan para pemangku kepentingan. Hal ini diperoleh
karena dalam menerapkan manajemen risiko wajib untuk menemukenali para
pemangku kepentingan dan harapannya. Melalui komunikasi timbal balik yang cukup
intens maka dapat digalang kesamaan persepsi dan kepentingan bersama, dengan
demikian dapat diperoleh hubungan yang lebih baik;
3) Meningkatkan reputasi perusahaan. Dengan adanya komunikasi yang baik dengan
para pemangku kepentingan, mereka dapat mengetahui bahwa perusahaan mampu
untuk menangani risiko-risiko yang dihadapi dengan baik. Akibatnya kepercayaan
pelanggan, pemasok, kreditor, komunitas bisnis serta masyarakat juga meningkat;
4) Meningkatkan efektifitas dan efisiensi manajemen. Semua risiko yang dapat
menghambat proses organisasi telah diidentifikasikan dengan baik. Kemudian
gangguan kelancaran proses organisasi tersebut juga telah diantisipasi sebelumnya.
Karenanya, bila gangguan tersebut memang terjadi, maka organisasi telah siap untuk
menangani dengan baik;
5) Lebih memberikan jaminan yang wajar atas pencapaian sasaran perusahaan karena
terselenggaranya manajemen yang lebih efektif dan efisien, hubungan dengan

11
 pemangku kepentingan yang semakin membaik, kemampuan menangani risiko
perusahaan yang juga meningkat, termasuk risiko kepatuhan dan hukum.

Berdasarkan hal-hal di atas, pedoman ini dapat dikatakan sebagai panduan bagi pimpinan
perusahaan untuk membangun dan menerapkan manajemen risiko sesuai dengan peraturan yang
berlaku. Dengan mempertimbangkan karakteristik perusahaan yang berbeda antara satu dengan
lainnya, maka pimpinan perusahaan harus dapat menyesuaikan pedoman ini dengan kebutuhan
perusahaannya masing-masing.
Secara garis besar, tujuan dari penyusunan pedoman ini adalah sebagai berikut:

1) Sebagai panduan untuk mengembangkan, membangun dan menerapkan

manajemen risiko yang baik;
2) Sebagai sarana untuk melakukan peninjauan ulang terhadap proses penerapan
manajemen risiko yang telah dilakukan sebelumnya;
3) Sebagai sarana untuk memastikan kejelasan governance structure manajemen
risiko dan juga sebaliknya bahwa manajemen risiko sudah terintegrasi sepenuhnya
dengan governance perusahaan.

3. Peraturan dan Pedoman Terkait serta Aspek Penerapan Manajemen Risiko

a. Peraturan dan Pedoman Terkait

Peraturan perundang-undangan yang terkait dengan penerapan manajemen risiko antara

lain:
1) Undang-Undang No.40 tahun 2007 tentang Perseroan Terbatas;
2) Undang-Undang No. 8 tahun 1995 tentang Pasar Modal;
3) Peraturan Pemerintah No. 60 tahun 2008 tentang Pengendaliann Intern
Pemerintah;
4) Undang-Undang No.19 tahun 2003 tentang Badan Usaha Milik Negara;
5) Peraturan Bank Indonesia No. 11/25/PBI/2009 tentang Penerapan Manajemen
Risiko bagi Bank Umum; dan

12
 6) Peraturan Menteri Negara BUMN Nomor PER-01/MBU/2011 tentang Penerapan
Tata Kelola Perusahaan Yang Baik (Good Corporate Governance) pada Badan Usaha
Milik Negara.

b. Aspek Penerapan Manajemen Risiko

Proses penerapan manajemen risiko yang disarankan dalam pedoman ini terdiri dari tiga
aspek yaitu:
1) Aspek structural, yaitu aspek yang memastikan arah penerapan, struktur
organisasi penerapan dan akuntabilitas pelaksanaan manajemen risiko dalam
organisasi, penyediaan sumber daya, dan sebagainya.
2) Aspek operasional, yaitu aspek yang menunjukkan tahapan proses
implementasi yang sistematis dan terarah, mulai dari pernyataan komitmen Direksi
dan Dewan Komisaris, penyusunan Pedoman Manajemen Risiko Perusahaan,
briefing untuk Komisaris dan Direktur, pelatihan para pemangku risiko, hingga
penerapannya.
3) Aspek Perawatan, yaitu aspek yang memastikan adanya upaya menjaga
efektifitas penerapan dan perbaikan yang berkesinambungan melalui, monitoring
dan review serta audit manajemen risiko.

4. Istilah dan Definisi

Istilah dan definisi manajemen risiko yang digunakan dalam Pedoman ini mengacu pada
ISO GUIDE 73:2009 Risk management – Vocabulary. Hal ini dimaksudkan untuk
menghindari kerancuan dari berbagai macam istilah dan definisi yang digunakan dalam
berbagai macam standar.
Berikut beberapa istilah dan definisi manajemen risiko yang diadopsi, yakni:

a. Risiko adalah dampak ketidakpastian pada sasaran. (ISO GUIDE 73:2009 definisi
1.1);
b. Manajemen risiko adalah upaya organisasi yang terkoordinasi untuk mengarahkan
dan mengendalikan risiko (ISO GUIDE 73:2009 definisi 2.1);

13
c. Kerangka kerja manajemen risiko adalah sekumpulan perangkat organisasi yang
menyediakan landasan bagi perencanaan, penerapan, monitor dan review serta
perbaikan sinambung manajemen risiko bagi seluruh organisasi (ISO GUIDE 73:2009
definisi 2.1.1);
d. Kebijakan manajemen risiko adalah pernyataan Direksi dan Dewan Komisaris
terkait dengan arah dan tujuan penerapan manajemen risiko (ISO GUIDE 73:2009
definisi 2.1.2);
e. Rencana manajemen risiko adalah pola atau skema dalam kerangka manajemen
risiko yang menunjukkan pendekatan yang akan diterapkan dalam mengelola risiko
antara lain, pendekatan yang digunakan, komponen-komponen manajemen termasuk
teknik manajemen risiko yang digunakan, sumber daya yang akan dipakai dalam
mengelola risiko (ISO GUIDE 73:2009 definisi 2.1.3);
f. Pemangku Risiko (risk owner) adalah orang atau suatu entitas yang mempunyai
akuntabilitas dan kewenangan untuk mengelola suatu risiko (ISO GUIDE 73:2009
definisi 3.5.1.5);
g. Proses manajemen risiko adalah penerapan secara sistematik kebijakan manajemen,
prosedur dan praktik manajemen dalam pelaksanaan tugas untuk melakukan komunikasi
dan konsultasi; menetapkan konteks; melakukan identifikasi; menganalisa;
mengevaluasi; memperlakukan, memantau dan mengkaji risiko (ISO GUIDE 73:2009
definisi 3.1.);
h. Menetapkan konteks: adalah proses untuk menentukan batasan dan parameter
eksternal dan internal yang harus dipertimbangkan dalam mengelola risiko dan
menentukan lingkup serta kriteria risiko dalam kebijakan manajemen risiko (ISO
GUIDE 73:2009 definisi 2.4);
i. Komunikasi dan konsultasi adalah proses yang berulang dan berkelanjutan antara
organisasi dan para pemangku kepentingannya (stakeholders) dalam saling
memberikan, berbagi informasi serta melakukan dialog terkait dengan pengelolaan
risiko (ISO GUIDE 73:2009 definisi 3.2.1);
j. Pemangku kepentingan adalah setiap orang atau organisasi yang dapat
mempengaruhi atau dipengaruhi, atau menganggap dirinya dapat dipengaruhi oleh suatu
keputusan atau kegiatan (ISO GUIDE 73:2009 definisi 3.2.1.1);

14
k. Asesmen risiko adalah keseluruhan proses yang meliputi identifikasi risiko, analisa
risiko dan evaluasi risiko (ISO GUIDE 73:2009 definisi 3.4.1);
l. Sumber risiko adalah segala sesuatu yang baik sendiri ataupun bersama-sama
mempunyai potensi yang melekat (intrinsic) untuk menimbulkan terjadinya risiko (ISO
GUIDE 73:2009 definisi 3.5.1.2);
m. Peristiwa (event) adalah suatu kejadian atau perubahan yang terjadi pada suatu
kondisi atau lingkungan tertentu (ISO GUIDE 73:2009 definisi 3.5.1.3);
n. Dampak (consequence) adalah akibat dari suatu peristiwa yang mempengaruhi
sasaran (ISO GUIDE 73:2009 definisi 3.6.1.3);
o. Kemungkinan (likelihood) adalah kesempatan/kemungkinan sesuatu terjadi. (ISO
GUIDE 73:2009 definisi 3.6.1.1);
p. Profil risiko: adalah gambaran atau uraian dari suatu kelompok risiko. (ISO GUIDE
73:2009 definisi 3.8.2.5);
q. Kriteria risiko adalah kerangka acuan untuk mengukur besaran risiko yang akan
dievaluasi (ISO GUIDE 73:2009 definisi 3.3.1.3);
r. Perlakuan risiko adalah proses untuk merubah risiko. (ISO GUIDE 73:2009 definisi
2.1);
s. Pengendalian adalah upaya-upaya untuk merubah risiko (ISO GUIDE 73:2009
definisi 3.8.1.1);
t. Risiko tersisa adalah risiko yang masih tersisa setelah dilakukan perlakuan risiko
(ISO GUIDE 73:2009 definisi 3.8.1.6);
u. Pemantauan (monitoring) adalah suatu proses yang dilakukan secara terus menerus
untuk memeriksa, mengawasi, melakukan pengamatan secara kritis untuk dapat
mengidentifikasi terjadinya perubahan dari tingkat kinerja atau sasaran yang ingin
dicapai dari pelaksanaan pengelolaan risiko (ISO GUIDE 73:2009 definisi 3.8.2.1);
v. Pengkajian (review) adalah suatu kegiatan yang dilakukan untuk menentukan suatu
kesesuaian, kecukupan, dan efektifitas suatu obyek, proses atau cara yang digunakan
dalam mencapai sasaran.
w. Selera risiko (risk appetite) adalah jumlah dan jenis risiko yang siap ditangani atau
diterima oleh organisasi. (ISO GUIDE 73:2009 definisi 3.7.1.2);

15
 x. Toleransi risiko (risk tolerance) adalah kesiapan organisasi atau pemangku
kepentingan (3.2.1.1) untuk menanggung risiko (1.1) setelah perlakuan risiko (3.8.1)
dalam upaya mencapai sasaran. (ISO GUIDE 73:2009 definisi 3.7.1.3);
y. Struktur tata kelola risiko (Risk governance structure) adalah struktur organisasi
dalam pengelolaan manajemen risiko perusahaan.
z. Risk Champion adalah karyawan pada masing-masing bagian yang ditunjuk
menjadi fasilitator dalam penerapan manajemen risiko pada bagian tersebut.

5. Prinsip, Kerangka Kerja dan Proses Manajemen Risiko

Pada awal penerapan manajemen risiko, fokus lebih tertuju hanya pada bagaimana menangani
risiko tersebut dan secara parsial, bukan bagaimana menangani berbagai macam risiko yang
mungkin dihadapi oleh organisasi. Merubah cara penanganan risiko yang semula secara parsial
(silo) menjadi terintegrasi seluruh organisasi, memerlukan suatu pendekatan yang berbeda.
Perlu dibangun suatu pemahaman yang sama tentang prinsipprinsip penanganan risiko, suatu
landasan kerangka kerja yang akan menjadi dasar bagi penanganan setiap risiko, urutan proses
penanganan risiko, pemahaman tentang teknik dan metoda penanganan risiko dan proses
pelaporan serta monitoring dan review untuk seluruh proses penanganan risiko dalam suatu
organisasi. Penerapan manajemen risiko untuk seluruh organisasi ini sering disebut sebagai
ERM (Enterprise Risk Management).
a. Prinsip-Prinsip Manajemen Risiko
Merujuk pada standar manajemen risiko terbaru yaitu ISO 31000:2009 – Risk Management
– Principles and Guidelines, manajemen risiko suatu organisasi hanya dapat efektif bila
mampu menganut dan menerapkan prinsip-prinsip sebagai berikut:
1) Manajemen risiko melindungi dan menciptakan nilai tambah

Manajemen risiko memberikan kontribusi melalui peningkatan kemungkinan

pencapaian sasaran perusahaan secara nyata. Selain itu, juga memberikan perbaikan
dalam aspek keselamatan, kesehatan kerja, kepatuhan terhadap peraturan perundang-
undangan, perlindungan lingkungan hidup, persepsi publik, kualitas produk, reputasi,
corporate governance, efisiensi operasi, dan lain-lain.

16
2) Manajemen risiko adalah bagian terpadu dari proses organisasi

Manajemen risiko merupakan bagian dari tanggung jawab manajemen dan merupakan
bagian tak terpisahkan dari proses organisasi, proyek, dan manajemen perubahan.
Manajemen risiko bukanlah suatu aktivitas yang berdiri sendiri dan terpisah dari
kegiatan serta proses organisasi dalam mencapai sasaran.
3) Manajemen risiko adalah bagian dari proses pengambilan keputusan

Manajemen risiko membantu para pengambil keputusan untuk mengambil keputusan

atas dasar pilihan-pilihan yang tersedia dengan informasi yang selengkap mungkin.
Manajemen risiko dapat membantu menentukan prioritas tindakan dan membedakan
berbagai alternatif tindakan. Manajemen risiko dapat membantu menunjukkan semua
risiko yang ada, mana risiko yang dapat diterima dan mana risiko yang memerlukan
perlakuan lebih lanjut. Manajemen risiko juga memantau apakah perlakuan risiko yang
telah diambil memadai dan cukup efektif atau tidak. Informasi ini merupakan bagian
dari proses pengambilan keputusan.
4) Manajemen risiko secara khusus menangani aspek ketidakpastian

Manajemen risiko secara khusus menangani aspek ketidakpastian dalam proses

pengambilan keputusan. Ia memperkirakan bagaimana sifat ketidakpastian dan
bagaimanakah hal tersebut harus ditangani.
5) Manajemen risiko bersifat sistematik, terstruktur, dan tepat waktu

Sifat sistematik, terstruktur, dan tepat waktu yang digunakan dalam pendekatan
manajemen risiko inilah yang memberikan kontribusi terhadap efisiensi dan konsistensi
manajemen risiko. Dengan demikian, hasilnya dapat dibandingkan dan memberikan
hasil serta perbaikan.
6) Manajemen risiko berdasarkan pada informasi terbaik yang tersedia

Masukan dan informasi yang digunakan dalam proses manajemen risiko didasarkan
pada sumber informasi yang tersedia, seperti pengalaman, observasi, perkiraan,
penilaian ahli, dan data lain yang tersedia. Akan tetapi, tetap harus disadari bahwa
semua informasi ini mempunyai keterbatasan yang harus dipertimbangkan dalam

17
 proses pengambilan keputusan, baik dalam membuat model risiko maupun perbedaan
pendapat yang mungkin terjadi di antara para ahli.
7) Manajemen risiko adalah khas untuk penggunanya (tailored)

Manajemen risiko harus diselaraskan dengan konteks internal dan eksternal organisasi,
serta sasaran organisasi dan profil risiko yang dihadapi organisasi tersebut. Termasuk
dalam pengertian ini adalah disesuaikan dengan kebutuhan dari para pemangku risiko
dalam organisasi tersebut.
8) Manajemen risiko mempertimbangkan faktor manusia dan budaya

Penerapan manajemen risiko haruslah menemukenali kapabilitas organisasi, persepsi

dan tujuan masing-masing individu di dalam serta di luar organisasi, khususnya yang
menunjang atau menghambat pencapaian sasaran organisasi.
9) Manajemen risiko harus transparan dan inklusif

Untuk memastikan bahwa manajemen risiko tetap relevan dan terkini, para pemangku
kepentingan dan pengambil keputusan di setiap tingkatan organisasi harus dilibatkan
secara efektif. Keterlibatan ini juga harus memungkinkan para pemangku kepentingan
terwakili dengan baik dan mendapatkan kesempatan untuk menyampaikan pendapat
serta kepentingannya, terutama dalam merumuskan kriteria risiko.
10) Manajemen risiko bersifat dinamis, berulang, dan tanggap terhadap perubahan
Ketika terjadi peristiwa baru, baik di dalam maupun di luar organisasi, konteks
manajemen risiko dan pemahaman yang ada juga mengalami perubahan. Dalam situasi
semacam inilah tahapan monitoring dan review berperan memberikan kontribusi.
Risiko baru pun muncul, ada yang berubah, ada juga yang menghilang. Oleh karena itu,
menjadi tugas manajemen untuk memastikan bahwa manajemen risiko senantiasa
memperhatikan, merasakan, dan tanggap terhadap perubahan.

18
 11) Manajemen risiko harus memfasilitasi terjadinya perbaikan dan peningkatan organisasi
secara berlanjut
Manajemen organisasi harus senantiasa mengembangkan dan menerapkan perbaikan
strategi manajemen risiko serta meningkatkan kematangan dan kecanggihan
pelaksanaan manajemen risiko, sejalan dengan aspek lain dari organisasi.

6. Proses Manajemen Risiko

Proses manajemen risiko adalah penerapan secara sistematik kebijakan manajemen,

prosedur dan praktik manajemen dalam pelaksanaan tugas untuk melakukan komunikasi
dan konsultasi, menetapkan konteks, dan asesmen risiko. Proses manajemen risiko meliputi
identifikasi, analisa, dan evaluasi risiko, kemudian perlakuan risiko, dan diakhiri dengan
pemantauan dan pengkajian risiko. Proses manajemen risiko secara singkat merupakan
penerapan kerangka kerja manajemen risiko pada tiap-tiap jenis risiko yang secara spesifik
mempunyai karakter yang berbeda-beda sesuai dengan konteksnya. Ini sesuai dengan
prinsip ke tujuh manajemen risiko yang menyatakan bahwa manajemen risiko adalah khas
bagi penggunanya (tailored). Walaupun penerapan proses manajemen risiko khas untuk
masing-masing risiko, tetapi secara metodologis, penerapannya sesuai dengan sistem yang
digambarkan pada gambar 2 di bawah ini.

Gambar 2: Proses Manajemen Risiko

(Sumber: AS/NZS 4360:2004 Risk Management)

19
 Sebagaimana ditegaskan di atas, proses manajemen risiko ini adalah khas dan unik untuk
tiap proses bisnis, bagian dan bahkan untuk tiap risiko. Hal ini disebabkan karena tidak ada
proses, bagian atau risiko yang seratus persen identik. Masing-masing mempunyai hal yang
spesifik, walaupun terdapat beberapa kesamaan.

a. Tata Kelola Risiko

Tata kelola risiko meliputi unsur-unsur kebijakan manajemen risiko, akuntabilitas

pelaksanaan, perencanaan manajemen risiko terpadu, penyediaan sumber daya yang memadai,
dan mekanisme komunikasi serta pelaporan pelaksanaan manajemen risiko, baik internal
maupun eksternal. Satu hal lagi yang biasanya penting dalam tata kelola manajemen risiko
adalah “kesamaan bahasa”, yaitu penggunaan istilah-istilah dalam penerapan manajemen
risiko. Hal ini diatasi dengan menggunakan istilah dan definisi yang ditentukan dalam ISO
Guide 173:2009 – Risk Management Vocabulary.

1. Kebijakan Manajemen Risiko

Kebijakan manajemen risiko merupakan pernyataan komitmen secara tertulis oleh Direksi
dan Dewan Komisaris untuk menerapkan manajemen risiko dalam organisasi. Hal penting
terkait Kebijakan ini dinyatakan secara singkat dan jelas yang meliputi antara lain:
1) Alasan mengapa harus menerapkan manajemen risiko;

2) Penjelasan keterkaitan antara pencapaian sasaran organisasi dan kebijakan

manajemen risiko;
3) Kejelasan akuntabilitas pelaksanaan manajemen risiko, termasuk infrastruktur
pelaksanaannya;
4) Penyediaan sumber daya untuk menerapkan manajemen risiko;

5) Penentuan standar atau metode manajemen risiko yang akan digunakan;

6) Komitmen untuk melakukan review dan verifikasi secara berkala terhadap efektivitas
penerapan manajemen risiko.

20
 Penetapan komitmen manajemen ini harus diikuti dengan langkah-langkah nyata untuk
lebih mempertegas bahwa komitmen tersebut tidak hanya di atas kertas. Secara
keseluruhan, langkah nyata tersebut adalah penyusunan tata kelola manajemen risiko yang
akan mengawali proses penerapan manajemen risiko ke seluruh organisasi.

2. Akuntabilitas Penerapan Manajemen Risiko

Akuntabilitas tertinggi untuk penerapan manajemen risiko pada dasarnya berada pada
Direksi, secara lebih khusus pada Direktur Utama atau anggota Direksi lainnya yang
ditunjuk, dengan ketentuan jangan sampai menimbulkan benturan kepentingan dalam
pengambilan keputusan. Secara umum, hal penting yang perlu diperhatikan antara lain:
1) Penunjukan Champion yang bertanggung jawab untuk mendorong pelaksanaan
penerapan manajemen risiko secara meluas ke seluruh organisasi (enterprise wide
risk management). Champion ini dapat berupa penunjukan fungsi Manajemen Risiko
tersendiri dan para individu pada setiap divisi dengan penugasan khusus untuk
menjadi fasilitator penerapan manajemen risiko pada divisinya;
2) Penetapan secara jelas bahwa akuntabilitas pengelolaan risiko tetap berada pada para
pemangku risiko (risk owner) dan bukan ke para Champion. Untuk itu setiap kepala
divisi merupakan pemangku risiko pada divisi tersebut dan menjadi Penanggung
Jawab dalam melakukan pengelolaan risiko pada divisinya. Demikian secara
berjenjang hingga sampai pada penanggungjawab proses. Tugas para Champion lebih
sebagai fasilitator untuk penerapan manajemen risiko;
3) Penyusunan infrastruktur organisasi sebagai unit untuk mendorong penerapan
manajemen risiko ke seluruh organisasi, termasuk di dalamnya akuntabilitas
penerapan tersebut pada setiap tingkatan dalam organisasi;
4) Penyusunan mekanisme organisasi untuk penerapan manajemen risiko, termasuk
penyusunan manual penerapan manajemen risiko, mekanisme pelaporan pelaksanaan
manajemen risiko, pengukuran efektivitas penerapan manajemen risiko, atau
pengukuran kinerja manajemen risiko.
5) Proses untuk menimbulkan budaya sadar risiko ke seluruh organisasi.

21
3. Infrastruktur Manajemen Risiko

Tidak terdapat model atau panduan baku dalam penyusunan infrastruktur organisasi dalam
pengelolaan manajemen risiko. Hal yang terpenting adalah kejelasan dari akuntabilitas dan
tanggung jawab untuk mendorong pelaksanaan manajemen risiko ini bertumpu pada suatu
fungsi yang ditunjuk secara tegas dan jelas. Setiap organisasi harus menyusun infrastruktur
organisasi manajemen risiko sesuai dengan kebutuhan dan jenis-jenis risiko yang dihadapi.
Dalam gambar 3 ditampilkan suatu model yang merupakan contoh dan bukan
merupakan model baku. Contoh ini lebih tepat untuk organisasi yang cukup besar,
sedangkan untuk organisasi yang berskala kecil dan menengah, harus menyesuaikan
dengan kemampuan organisasinya.

Gambar 3: Infrastruktur Manajemen Risiko

Komite Pemantau Risiko adalah organ Dewan Komisaris yang membantu melakukan
pengawasan dan pemantauan pelaksanaan penerapan manajemen risiko pada perusahaan.
Komite Risiko adalah Komite yang dipimpin oleh Direktur Utama atau Direktur yang

22
 ditunjuk untuk itu, dan berfungsi untuk menetapkan kebijakan, strategi penerapan
manajemen risiko untuk seluruh perusahaan. Selain itu Komite ini mempunyai anggota
dari masing-masing Direktorat, untuk melakukan pemantauan dari pelaksanaan penerapan
manajemen risiko dan mengambil keputusan terhadap usulan perlakuan risiko yang
berdampak bagi seluruh perusahaan. Semua pengesahan manual, prosedur dan tata laksana
penerapan manajemen risiko dilaksanakan melalui Komite
Risiko ini.

Fungsi Manajemen Risiko adalah unit yang menjadi Champion dalam penerapan
manajemen risiko perusahaan dan menyusun segala manual dan prosedur serta tata laksana
dan pelaporan penerapan manajemen risiko perusahaan. Unit ini juga melakukan
komunikasi berkala dan pelaporan penerapan manajemen risiko perusahaan. Unit ini juga
menyelenggarakan pelatihan bagi para champion yang berada pada tiap divisi atau
departemen dalam perusahaan.

4. Tata Laksana, Komunikasi dan Pelaporan

Proses manajemen risiko melibatkan banyak pihak dalam organisasi, terlebih lagi pada
awal penerapannya. Oleh karena itu, perlu kejelasan akuntabilitas untuk memastikan
bahwa semua proses dapat berjalan dengan baik. Salah satu metode yang sering
digunakan untuk melakukan hal tersebut adalah RACI Matrix. RACI adalah singkatan dari
Responsible, Accountable, Consulted, dan Informed.
Secara sederhana, RACI Matrix akan menjelaskan atau menentukan dalam setiap kegiatan:
1) “R” siapa yang responsible, artinya siapa yang mengerjakan kegiatan tersebut;

2) “A” siapa yang accountable, artinya siapa yang berhak membuat keputusan akhir
“ya” atau “tidak” atas kegiatan tersebut, serta menjawab pertanyaan-pertanyaan
pihak lain;
3) “C” siapa yang harus consulted, artinya harus diajak konsultasi atau dilibatkan
sebelum atau saat kegiatan tersebut dilaksanakan atau dilanjutkan; serta
4) “I” siapa yang harus informed, artinya siapa yang harus diberi informasi mengenai
apa yang sedang terjadi atau sedang dilakukan tanpa harus menghentikan kegiatan
tersebut.

23
 Direksi dan Dewan Komisaris harus memastikan bahwa pada setiap tahapan proses
manajemen risiko terdapat kejelasan akuntabilitas dan tanggung jawab pelaksanaannya.

b. Implementasi Manajemen Risiko

Implementasi manajemen risiko perusahaan pada dasarnya adalah implementasi Kerangka

Kerja Manajemen Risiko dan implementasi Proses Manajemen Risiko. Dalam hal tersebut
yang perlu diingat adalah Kerangka Kerja manajemen risiko perusahaan hanya satu dan
berlaku untuk seluruh perusahaan. Sedangkan proses manajemen risiko, walaupun metoda
dan sistematika dasarnya serupa tetapi konteks dan isinya, terutama alat dan metodanya dapat
berbeda-beda untuk tiap risiko yang akan ditangani. Sesuai dengan uraian di atas, maka pada
bagian ini hanya akan dibahas implementasi proses manajemen risiko saja.

Dalam beberapa hal dapat juga dilakukan suatu survey mengenai tingkat kematangan kondisi
manajemen risiko saat ini (existing risk management implementation) guna mengetahui
kesenjangan yang ada sehingga rencana penerapan manajemen risiko menjadi lebih terarah.
Apabila tingkat kematangan pengelolaan manajemen risiko sudah cukup tinggi, maka dapat
langsung dilakukan perencanaan pelaksanaan proses manajemen risiko. Akan tetapi sangat
disarankan untuk melakukan survey tingkat kematangan penerapan manajemen risiko (risk
maturity survey) terlebih dahulu sebelum melakukan penerapannya.

Tahapan-tahapan proses manajemen risiko tersebut di atas akan diuraikan secara lebih luas
pada bagian-bagian berikut di bawah ini.

1. Komunikasi dan Konsultasi

Pada dasarnya proses yang dilakukan sama dengan yang dilakukan pada kerangka kerja
manajemen risiko, tetapi karena konteks yang ditangani berbeda, maka proses ini harus
dilakukan secara lebih fokus. Komunikasi dan konsultasi dengan pemangku kepentingan
internal maupun eksternal harus dilaksanakan sesering mungkin sesuai dengan kebutuhan dan
pada setiap tahapan proses manajemen risiko. Oleh karena itu, sejak awal harus disusun suatu
rencana komunikasi dan konsultasi dengan para pemangku kepentingan. Rencana ini harus

24
merujuk pada risiko yang mungkin terjadi, dampak, dan apa yang perlu dilakukan untuk
mengatasinya, serta hal-hal lain yang terkait. Komunikasi dan konsultasi yang efektif, baik
internal maupun eksternal, harus menghasilkan kejelasan bagi pihak-pihak yang bertanggung
jawab untuk menerapkan proses manajemen risiko dan para pemangku kepentingan terkait.
Mereka harus memahami dengan baik kriteria pengambilan keputusan serta mengapa suatu
tindakan perlu diambil.
Pendekatan konsultasi secara kelompok sangat disarankan untuk menghasilkan hal-hal berikut
antara lain (tetapi tidak terbatas):
1) Penentuan konteks yang benar;
2) Memastikan bahwa kepentingan para pemangku kepentingan telah dimengerti dan
dipertimbangkan dengan baik;
3) Memperoleh manfaat dari berbagai keahlian yang ada untuk menganalisis risiko
(multidisiplin);

4) Memastikan bahwa semua risiko telah diidentifikasi dengan baik;

5) Memastikan bahwa berbagai pandangan telah dipertimbangkan dalam melakukan evaluasi
risiko;
6) Meningkatkan proses manajemen perubahan ketika pelaksanaan proses manajemen

risiko;

7) Memperoleh persetujuan dan dukungan untuk tindakan perlakuan risiko;

8) Mengembangkan rencana komunikasi dan konsultasi internal maupun eksternal.

Pengenalan siapa saja pemangku kepentingan risiko yang terkait, baik internal maupun
eksternal harus dilakukan dengan baik. Hal ini penting karena akan menentukan strategi
komunikasi dan konsultasi yang akan dilaksanakan. Teknik “Stakeholders Analysis”, akan
sangat membantu dalam melaksanakan proses ini.
Komunikasi dan konsultasi dengan para pemangku kepentingan sangat penting karena mereka
memberikan pertimbangan dan penilaian terhadap risiko yang didasarkan atas persepsi
mereka terhadap risiko tersebut. Persepsi terhadap risiko ini sangat berbeda bagi masing-
masing pemangku kepentingan, baik dari segi nilai, konsep, kebutuhan, maupun kepentingan

25
 mereka. Apabila pandangan mereka mempunyai pengaruh yang menentukan dalam
pengambilan keputusan maka menjadi sangat penting untuk dapat mengidentifikasi persepsi
mereka. Hal tersebut perlu dicatat dan dijadikan bahan pertimbangan dalam proses
pengambilan keputusan.
Rencana komunikasi dan konsultasi hendaknya:

1) Merupakan forum untuk bertukar informasi di antara para pemangku kepentingan;

2) Tempat untuk menyampaikan pesan secara jujur, akurat, mudah dimengerti, dan
didasarkan pada fakta yang ada;
3) Bermanfaat dan besar kontribusinya harus dapat dinilai.

2. Menentukan Konteks

Menentukan konteks berarti manajemen organisasi menentukan batasan atau parameter

internal dan eksternal yang akan dijadikan pertimbangan dalam pengelolaan risiko,
menentukan lingkup kerja, dan kriteria risiko untuk proses-proses selanjutnya. Konteks yang
ditetapkan harus meliputi semua parameter internal dan eksternal yang relevan dan penting
bagi organisasi. Dalam penetapan konteks akan banyak ditemui kesamaan parameter dengan
proses sebelumnya, yaitu ketika merencanakan kerangka kerja manajemen risiko. Akan tetapi,
dalam proses manajemen risiko, parameter ini akan ditelaah jauh lebih rinci, khususnya yang
terkait dengan lingkup suatu proses manajemen risiko tertentu. Dalam proses ini akan
ditetapkan :
a. Konteks Eksternal

Konteks eksternal adalah lingkungan eksternal di mana organisasi tersebut

mengupayakan pencapaian sasaran yang ditetapkannya. Memahami konteks eksternal
penting untuk memastikan siapa saja pemangku kepentingan eksternal; apa saja
kepentingan dan sasarannya sehingga dapat dipertimbangkan dalam menentukan kriteria
risiko. Proses penentuan kriteria risiko ini dilakukan dengan mempertimbangkan konteks
organisasi secara luas, tetapi dengan memperhatikan ketentuan hukum dan peraturan
perundangan secara lebih rinci, persepsi para pemangku kepentingan, dan aspek lain yang
spesifik dari risiko tertentu pada proses manajemen risiko.

26
 Konteks eksternal dapat meliputi antara lain (tetapi tidak terbatas):

1) Lingkungan politik, sosial, ekonomi, budaya, keuangan, hukum, teknologi, dan

keadaan alam, baik nasional, regional maupun international yang berpengaruh
terhadap pencapaian sasaran organisasi;
2) Faktor-faktor pendorong dan kecenderungan yang mempunyai dampak terhadap
pencapaian sasaran organisasi;
3) Persepsi dan nilai-nilai para pemangku kepentingan eksternal.

b. Konteks Internal

Konteks internal adalah lingkungan internal di mana organisasi tersebut mengupayakan

pencapaian sasaran yang ditetapkannya. Proses manajemen risiko harus diselaraskan
dengan budaya, proses, dan struktur organisasi. Konteks internal adalah segala sesuatu di
dalam organisasi yang dapat memengaruhi cara organisasi dalam mengelola risiko. Hal
ini harus ditetapkan karena:
1) Proses manajemen risiko dilaksanakan dalam konteks pencapaian sasaran organisasi;
2) Sasaran dan kriteria dalam suatu proses atau proyek harus dipertimbangkan dengan
memperhatikan sasaran organisasi secara keseluruhan;
3) Salah satu risiko terbesar adalah kegagalan organisasi dalam mencapai sasaran
strategis, sasaran proyek, dan/atau sasaran bisnis. Risiko kegagalan ini
mempengaruhi kemampuan organisasi dalam memenuhi kewajibannya dan dapat
berakibat pada kredibilitas, kepercayaan, serta nilai organisasi.

Penting untuk memahami konteks internal ini dalam pengertian misalnya sebagai berikut:
1) Kapabilitas organisasi dalam pengertian sumber daya dan sumber pengetahuan yang
dimiliki (misalnya modal, waktu, orang, sistem, proses, dan teknologi);
2) Sistem informasi, alur komunikasi, dan proses pengambilan keputusan, baik yang
formal maupun informal;
3) Para pemangku kepentingan internal;

4) Kebijakan, sasaran, dan strategi untuk mencapainya;

27
 5) Persepsi, nilai-nilai dan budaya organisasi;

6) Standar dan model acuan yang diadopsi organisasi; serta 7) Struktur (governance,
peran dan akuntabilitas).

c. Konteks Proses Manajemen Risiko

Konteks proses manajemen risiko adalah konteks di mana proses manajemen risiko
diterapkan. Hal ini meliputi sasaran organisasi, strategi, lingkup, parameter kegiatan
organisasi, atau bagian lain di mana manajemen risiko diterapkan. Penerapan manajemen
risiko dilaksanakan dengan mempertimbangkan biaya dan manfaat dalam
pelaksanaannya. Sumber daya, tanggung jawab, akuntabilitas, kewenangan, dan
pencatatan/dokumentasi proses yang diperlukan, harus ditentukan dengan baik.
Konteks proses manajemen risiko akan berubah sesuai dengan kebutuhan organisasi.

Hal ini dapat meliputi antara lain (tetapi tidak terbatas):

1) Penetapan tanggung jawab untuk proses manajemen risiko;

2) Penetapan lingkup kegiatan manajemen risiko, baik dari luas maupun kedalaman,
termasuk bila ada hal-hal khusus yang harus diperhatikan atau tidak dicakup;
3) Penentuan tujuan, sasaran, lokasi, maupun tempat dari kegiatan, proses, fungsi,
proyek, produk jasa dan harta yang terkena kegiatan manajemen risiko;
4) Penentuan hubungan dari proyek atau kegiatan khusus organisasi dengan proyek dan
kegiatan lain organisasi;
5) Penentuan metode untuk melakukan asesmen risiko;

6) Penentuan kriteria penilaian kinerja manajemen risiko;

7) Melakukan identifikasi dan spesifikasi keputusan-keputusan yang harus diambil;

8) Melakukan identifikasi, lingkup, ataupun kerangka kajian studi yang diperlukan,

termasuk luas dan sasaran serta sumber daya yang diperlukan untuk melakukan
kajian tersebut.

28
 Faktor-faktor di atas dapat membantu mengetahui apakah pendekatan proses manajemen
risiko yang digunakan sesuai dengan kebutuhan organisasi dan dampaknya terhadap
risiko-risiko yang dapat mempengaruhi pencapaian sasaran organisasi.

d. Mengembangkan Kriteria Risiko

Organisasi harus menyusun kriteria risiko yang akan digunakan untuk mengevaluasi
tingkat bahaya suatu risiko. Kriteria ini dapat merupakan cerminan nilai-nilai organisasi,
sasaran organisasi, dan dampak terhadap sumber daya yang dimiliki organisasi. Beberapa
kriteria lain yang memungkinkan untuk ditambahkan dapat berasal dari aspek hukum dan
peraturan perundangan serta peraturan lain yang terkait dengan kegiatan perusahaan,
misalnya standar industri terkait. Kriteria ini harus konsisten dengan kebijakan
manajemen risiko yang telah ditetapkan perusahaan. Kriteria risiko harus disusun pada
awal penerapan proses manajemen risiko dan harus ditinjau ulang secara berkala.

Beberapa faktor yang perlu diperhatikan pada saat menyusun kriteria risiko antara lain:
1) Jenis dan sifat dari dampak yang mungkin terjadi serta bagaimana mengukurnya;

2) Bagaimana menetapkan kemungkinan terjadinya;

3) Kerangka waktu pengukuran kemungkinan dan dampak;

4) Bagaimana menentukan peringkat risiko;

5) Pada peringkat manakah risiko dapat diterima atau dapat ditolerir;

6) Pada peringkat manakah risiko memerlukan perlakuan;

7) Apakah kombinasi dari berbagai macam risiko perlu mendapatkan pertimbangan

khusus.

Penyusunan kriteria ini terutama diperlukan pada tahap berikutnya, yaitu asesmen risiko.
Kriteria yang perlu dipertimbangkan antara lain:

29
1) Kriteria dampak (consequences), yaitu dampak apa saja yang perlu dijadikan kriteria
untuk penilaian akibat timbulnya risiko, misalnya dampak finansial, dampak terhadap
kesehatan dan nyawa, dampak hukum, dan lain-lain.;
2) Bagaimana cara mengukur kemungkinan terjadinya risiko (likelihood)? Apakah
dengan menggunakan statistik (probabilitas), frekuensi kejadian per satuan waktu
(hari, minggu, bulan, tahun), atau dengan expert judgement?
3) Bagaimana cara menyusun kriteria tingkatan risiko (risk level)? Pada peringkat risiko
yang bagaimanakah sebuah risiko memerlukan perlakuan lebih lanjut dan pada
peringkat mana dapat kita terima begitu saja? Hal ini diperlukan untuk menyusun
prioritas perlakuan risiko.
4) Bagaimana cara untuk menentukan selera risiko yang dapat ditanggung oleh
organisasi dalam mencapai sasaran organisasi dan secara berjenjang diturunkan
menjadi toleransi risiko untuk setiap kegiatan utama organisasi ataupun pada unitunit
dalam organisasi tersebut.

Setiap organisasi adalah unik, mempunyai karakter, sifat, sasaran bisnis, dan stakeholders
yang tidak sama. Oleh karena itu, setiap organisasi harus menyusun sendiri kriteria risiko
yang paling sesuai dengan dirinya. Selain itu, organisasi juga harus menyusun kriteria
keberhasilan penerapan proses manajemen risiko untuk memahami keberhasilan
penerapannya.
Pada tahap ini, proses penyusunan kriteria risiko cukup dengan indikasi macam-macam
kriteria yang akan digunakan. Pembahasan kriteria risiko yang lebih komprehensif dan
ukuran-ukurannya akan dilakukan pada tahap analisis dan evaluasi risiko.
Khusus untuk kriteria dampak risiko, perlu diperhatikan korelasi kriteria dampak risiko
tersebut dengan kriteria sasaran. Ini diperlukan agar terjadi “kesamaan bahasa” dalam
menyatakan dampak risiko terhadap sasaran yang telah ditetapkan. Sebagai contoh, dalam
proyek manajemen kriteria umum, keberhasilan proyek dinyatakan dalam biaya, mutu,
dan waktu. Penerapan proses manajemen risiko pada proyek juga harus menggunakan
kriteria dampak terhadap biaya, mutu, dan waktu.
Dalam kaitan dengan kriteria risiko ini juga perlu dipahami apa yang disebut sebagai
toleransi risiko dan selera risiko. Toleransi risiko menunjuk besarnya penyimpangan

30
 dari sasaran yang masih dapat diterima untuk satu jenis kegiatan (ingat risiko adalah
dampak ketidakpastian pada sasaran). Dalam pengertian ini maka akan terdapat banyak
toleransi risiko sesuai dengan jumlah kegiatan yang dilakukan oleh perusahaan atau suatu
organisasi. Contoh ada perusahaan dengan zero tolerance untuk kecelakaan dengan
korban jiwa. Dengan demikian toleransi biaya untuk sarana keselamatan jiwa
(Keselamatan dan kesehatan kerja) menjadi tinggi.

Tinggi

Di luar
Selera Risiko

Di dalam
Selera Risiko

Rendah

Rendah Tinggi
KEMUNGKINAN

Gambar 6: Peta Selera Risiko

Sedangkan selera risiko didefinisikan sebagai jumlah dan jenis risiko yang siap ditangani
atau diterima oleh organisasi. “Jumlah risiko” sering kali dinyatakan dengan nilai uang,
baik untuk risiko yang terukur (tangible) maupun yang tidak terukur (intangible).
Sedangkan jenis-jenis risiko harus dinyatakan secara eksplisit, risiko mana yang tidak
dapat diterima dan harus dihindari berapapun biayanya. Untuk contoh di atas adalah
toleransi risiko nol untuk kecelakaan yang dapat membawa korban jiwa.

7. Asesmen Risiko

Proses asesmen risiko merupakan proses untuk mengidentifikasi risiko-risiko apa saja yang
mungkin terjadi, kemudian masing-masing risiko tersebut akan diberi atribut sesuai dengan

31
analisis yang dilakukan terhadap setiap risiko itu dengan menggunakan kriteria risiko yang
ditentukan pada tahap sebelumnya. Setelah risiko-risiko tersebut telah mendapatkan
atributnya, maka akan dilakukan evaluasi untuk menentukan peringkat risiko, sehingga dapat
ditentukan tingkat prioritas risiko yang akan memerlukan perlakuan risiko ditahap berikutnya.
Dengan demikian maka dalam tahap ini akan dilakukan pembahasan mengenai
Identifikasi risiko, Analisis risiko, dan Evaluasi risiko.
a. Identifikasi Risiko

Tahapan ini bertujuan untuk mengidentifikasi risiko yang harus dikelola perusahaan
melalui proses yang sistematis dan terstruktur. Proses ini sangat penting karena risiko
yang tidak teridentifikasi pada proses ini tidak akan ditangani pada proses-proses
selanjutnya. Proses ini juga harus mengupayakan untuk mengidentifikasikan risikorisiko,
baik dalam kendali maupun di luar kendali organisasi perusahaan (eksternal).
Proses tersebut dimulai dengan mengidentifikasikan secara komprehensif, ekstensif, dan
intensif mengenai risiko apa saja yang dapat terjadi, di mana, dan situasi apa risiko dapat
terjadi. Setelah diperoleh daftar risiko yang dapat terjadi, maka mulai dianalisis mengapa
hal tersebut dapat terjadi dan bagaimana terjadinya. Penting untuk diperhatikan bahwa
risiko yang tidak teridentifikasi pada tahap ini tidak akan masuk dalam perhatian
penanganan proses selanjutnya.
Sasaran identifikasi risiko adalah mengembangkan daftar sumber risiko dan kejadian yang
komprehensif serta memiliki dampak terhadap pencapaian sasaran dan target (atau
elemen kunci) yang teridentifikasi. Dokumen utama yang dihasilkan dalam proses ini
adalah daftar risiko (risk register).
Risiko dalam manajemen risiko bukan sekadar suatu kejadian, peristiwa, atau kondisi
yang dapat berkembang/terjadi, namun mencakup pula berbagai informasi yang terkait
dengan kejadian, peristiwa, atau kondisi tersebut. Oleh karena itu dalam proses
identifikasi risiko, informasi yang dikumpulkan antara lain mencakup:
1) Sumber risiko: stakeholders, benda, atau kondisi lingkungan yang dapat memicu
timbulnya risiko.
2) Kejadian: peristiwa yang dapat terjadi dan berdampak terhadap pencapaian sasaran
dan target.
3) Konsekuensi: dampak terhadap aset organisasi atau stakeholders.
32
4) Pemicu (apa dan mengapa): faktor-faktor yang menjadi pemicu timbulnya suatu
peristiwa berisiko. Ini terkait dengan kemungkinan terjadinya risiko.
5) Pengendalian: langkah-langkah antisipasi dan pencegahan awal yang dapat
dilaksanakan.
6) Perkiraan kapan risiko terjadi dan di mana risiko itu dapat terjadi.

Elemen-elemen kunci di atas dapat bertambah atau berkurang, tergantung kebutuhan pada
saat menetapkan konteks manajemen risiko.

Untuk mengembangkan daftar risiko yang komprehensif, digunakan suatu proses

sistematis dan terstruktur yang sudah dilakukan sejak penentuan konteks manajemen
risiko. Proses identifikasi risiko yang efektif dapat ditunjukkan bila menggunakan
tahapan yang terstruktur pada proses, proyek, dan kegiatan sesuai dengan kriteria yang
telah digunakan ketika menetapkan konteks manajemen risiko. Hal ini untuk memastikan
bahwa proses identifikasi risiko telah berlangsung komprehensif dan tidak ada proses atau
isu penting yang terlewatkan.
Ada banyak teknik untuk melakukan proses identifikasi risiko, namun secara umum
teknik tersebut dapat dikategorikan sebagai berikut:
1) Berdasarkan teknik Brainstorming antara lain, adalah Brainstorming, Delphi Method,
RCSA (Risk Control Self-Assessment), dan lain-lain.;
2) Berdasarkan persepsi para pihak terkait, misalnya antara lain Document Review,

Stakeholders Analysis, Expert Judgement, dan lain-lain.;

3) Berdasarkan proses bisnis, misalnya FMEA (Failure Mode & Effect Anlysis);

4) Berdasarkan struktur organisasi atau struktur pekerjaan (workbreakdown structure),

misalnya RBS (Risk Breakdown Structure).

Dalam praktiknya proses indentifikasi risiko dapat saja dilakukan dengan kombinasi dari
berbagai macam teknik di atas untuk memastikan bahwa semua risiko telah dapat
diidentifikasi. Hasil akhir dari proses identifikasi risiko adalah pembuatan daftar risiko.

33
 a. Daftar Risiko
Daftar risiko adalah suatu rekaman data mengenai riwayat risiko dan perkembangan
perlakuannya. Dengan demikian, daftar risiko merupakan data dasar dalam proses
manajemen risiko yang harus selalu dimutakhirkan sesuai dengan perkembangan dan
dinamika proses, serta konteks organisasi. Namun tidak terdapat suatu format baku
dalam penyusunan daftar risiko. Secara umum, struktur isi dari daftar risiko meliputi
tiga hal; yaitu bagian pertama untuk pengendalian dokumen; bagian kedua untuk
identitas risiko; dan bagian ketiga adalah riwayat risiko.

1) Bagian pertama yang merupakan pengendalian dokumen berisikan hal-hal sebagai

berikut:
a) Judul dokumen;

b) Nomor dokumen;

c) Nomor pemutakhiran /revisi;

d) Nama risiko;

e) Lokasi proses / bagian tempat risiko;

f) Tanggal pembuatan;

g) Lembar pengesahan, yang memuat:

 Pihak yang membuat /pemangku risiko;

 Pihak yang memeriksa/ atasan pemangku risiko;

 Pihak yang menyetujui;

2) Bagian kedua yang merupakan identitas risiko berisikan hal-hal sebagai berikut:
a) Uraian rinci mengenai risiko;

b) Perkiraan sumber risiko dan pemicu terjadinya risiko;

c) Pemangku kepentingan yang terkait dengan risiko tersebut (partisipan terhadap

risiko tersebut);

34
 d) Uraian dampak risiko dan peringkat nilai dampak tersebut;
e) Uraian kemungkinan terjadinya risiko tersebut dan peringkat nilai
kemungkinannya;
f) Tingkat kegawatan risiko, yaitu nilai dampak dikalikan dengan nilai
kemungkinan;

g) Status risiko dan informasi perkembangannya, apakah risiko tersebut masih aktif
atau sudah tidak aktif, atau bahkan berkembang menjadi lebih besar; 8) Catatan
hasil monitoring dan review.

3) Bagian ketiga dari daftar risiko merupakan riwayat dari perlakuan yang sudah
dilakukan terhadap risiko tersebut. Bagian ini berisikan hal-hal sebagai berikut:
a) Nomor perlakuan risiko;

b) Penanggung jawab perlakuan risiko;

c) Jenis dan uraian perlakuan risiko secara umum;

d) Jadwal perlakuan risiko yang direncanakan;

e) Target perlakuan risiko yang dapat meliputi penurunan dampak risiko dan/atau
kemungkinan timbulnya risiko;
f) Pemeriksaan hasil perlakuan risiko sesuai dengan target perlakuan risiko, yaitu
nilai dampak dan nilai kemungkinan;
g) Keputusan terhadap hasil perlakuan risiko, apakah diterima ataukah memerlukan
perlakuan risiko lebih lanjut.

Tabel risiko merupakan tabel yang berisikan kumpulan risiko-risiko yang sudah dibuatkan
daftar risikonya. Keduanya merupakan hasil keluaran proses identifikasi risiko.

b. Analisis Risiko

Analisis risiko adalah upaya untuk memahami risiko lebih dalam. Hasil analisis risiko ini
akan menjadi masukan dalam proses evaluasi risiko dan yang nantinya digunakan untuk
proses pengambilan keputusan mengenai perlakuan terhadap risiko tersebut. Selain itu

35
analisis risiko dapat diartikan juga sebagai cara dan strategi yang tepat dalam
memperlakukan risiko tersebut.
Proses analisis seringkali dimulai dengan pendekatan kualitatif sederhana guna
memberikan pemahaman umum. Ketika pemahaman lebih rinci dibutuhkan maka
diperlukan investigasi yang lebih terarah dan handal. Namun, kurang tepat jika berasumsi
bahwa analisis kuantitatif lebih superior daripada analisis kualitatif. Karena yang penting
adalah kesesuaian penggunaan pendekatan analisis dengan kebutuhan berdasarkan situasi
yang berkembang saat itu.
Analisis risiko dapat dilaksanakan dengan tingkat kerincian yang bervariasi, tergantung
dari jenis risiko, sasaran analisis risiko, informasi, data, dan sumber daya yang tersedia.
Analisis dapat dilakukan secara kuantitatif, semi kuantitatif, kualitatif, atau kombinasi
dari cara-cara ini, tergantung dari kondisi yang ada. Dalam praktik biasanya dilakukan
analisis kualitatif terlebih dahulu untuk mendapatkan indikasi umum tingkat risiko dan
mengetahui peta risiko serta risiko-risiko yang patut mendapat perhatian. Setelah itu,
sesuai dengan keperluan, harus dilaksanakan langkah berikutnya dengan melakukan
analisis yang lebih spesifik dan secara kuantitatif.
Tujuan dari analisis risiko adalah melakukan analisis dampak dan kemungkinan semua
risiko yang dapat menghambat tercapainya sasaran organisasi, juga semua peluang yang
mungkin dihadapi organisasi. Kondisi ini dicapai antara lain bila beberapa hal berikut
dapat dipenuhi:
1) Proses analisis risiko dilaksanakan secara komprehensif dan mencakup semua risiko
serta peluang yang ditemui dalam proses identifikasi risiko sebelumnya dan telah
masuk ke dalam daftar risiko;
2) Semua yang terkait dengan risiko tersebut (para pemangku risiko) telah terlibat dalam
proses analisis dan melakukan analisis berdasarkan informasi, data, serta
pengetahuan yang mereka miliki dengan baik;
3) Proses analisis ini didampingi atau ditunjang dengan pengetahuan mengenai
manajemen risiko yang memadai;
4) Waktu yang dialokasikan untuk proses ini cukup memadai;
5) Ukuran kemungkinan dan dampak yang digunakan harus konsisten dan sesuai dengan
organisasi tersebut. Apabila digunakan tabel kemungkinan dan dampak, besaran dan

36
 pengelompokan nilai yang digunakan hendaknya tidak terlalu lebar dan juga tidak
terlalu sempit, tetapi sesuai dengan organisasi tersebut.

Pilihan metode analisis ditentukan oleh konteks, sasaran, dan sumber daya yang tersedia.
Sebagai contoh, pada tingkat strategis, kategori risiko yang lebih luas dapat diidentifikasi
dan dianalisis untuk memeroleh profil risiko organisasi. Profil ini akan menunjukkan isu-
isu penting mengenai sistem manajemen dan perlakuan risiko yang perlu dibangun. Pada
tingkat unit bisnis atau proyek, para Manajer perlu mengidentifikasi dan memprioritaskan
risiko-risiko spesifik yang mengancam pencapaian sasaran/target yang ditetapkan.
Beberapa risiko perlu diuji lebih rinci lagi. Berikut ini adalah alasan-alasan diperlukannya
analisis risiko secara kuantitatif, yaitu:
1) Untuk memperoleh lebih banyak informasi tentang konsekuensi atau kemungkinan
sehingga keputusan mengenai prioritas risiko dapat berbasis data dan informasi
daripada menduga-duga;
2) Untuk lebih memahami risiko dan penyebabnya sehingga rencana penanganan dapat
diarahkan pada akar penyebab sebenarnya daripada gejala dari suatu permasalahan;
3) Di mana kriteria keputusan memerlukan analisis yang lebih mendalam, karena
kriteria tersebut dinyatakan secara kualitatif;
4) Membantu setiap orang memilih opsi-opsi yang memiliki perbedaan dalam hal biaya
dan manfaat serta potensi peluang dan ancaman;
5) Menyediakan pemahaman yang lebih baik tentang risiko kepada individu yang harus
bekerja dengan menghadapi risiko;
6) Menyediakan pemahaman mengenai risiko tersisa setelah strategi penanganan risiko
diterapkan.

c. Evaluasi risiko

Tujuan dari evaluasi risiko adalah membantu proses pengambilan keputusan berdasarkan
hasil analisis risiko. Proses evaluasi risiko akan menentukan risiko-risiko mana yang
memerlukan perlakuan dan bagaimana prioritas perlakuan atas risiko-risiko tersebut.
Dengan kata lain hasil dari evaluasi risiko menunjukkan peringkat risiko yang

37
memerlukan penanganan lebih lanjut atas dasar risiko yang tersisa dan efektifitas
pengendalian risiko yang ada. Kemudian hasil evaluasi risiko tersebut akan menjadi
masukan bagi proses perlakuan risiko.
Hasil analisis risiko menjadi masukan untuk dievaluasi lebih lanjut menjadi urutan
prioritas perlakuan risiko, sekaligus menyaring risiko-risiko tertentu untuk tidak
ditindaklanjuti atau diperlakukan khusus. Keputusan tindak lanjut tersebut mencakup:
1) Apakah suatu risiko butuh penanganan?

2) Apakah suatu tindakan penanganan perlu dilakukan?

3) Bagaimanakah prioritas perlakuan risiko disusun?

Sifat dari keputusan yang perlu diambil dan kriteria yang akan digunakan dalam
pengambilan keputusan telah ditetapkan pada tahap penyusunan konteks, tetapi perlu
ditinjau kembali secara lebih rinci pada tahap ini. Hal ini diperlukan karena telah
diperoleh informasi lebih banyak mengenai risiko-risiko tersebut dari tahap analisis
risiko.
Kriteria risiko yang paling sederhana hanya memisahkan antara risiko yang perlu
ditangani dengan yang tidak perlu ditangani. Kesederhanaan ini menarik, tapi tidak
menggambarkan unsur ketidakpastian dalam memperkirakan risiko dan menetapkan
batasan yang jelas antara risiko yang butuh penanganan dengan yang tidak.
Saat ini, kebanyakan pihak membagi risiko ke dalam tiga kelompok:

1) Kelompok Atas (High Risks): adalah kelompok di mana terdapat risiko-risiko yang
berbahaya dan tidak bisa ditolerir, apapun manfaat yang dikandung dalam kegiatan
tersebut. Oleh karena itu, langkah-langkah mitigasi risiko (risk reduction) harus
diambil, berapapun biayanya.
2) Kelompok Tengah (Medium Risks): adalah kelompok risiko di mana perlu ada
analisis manfaat-biaya guna mengukur perbandingan antara peluang serta dampak
buruknya.
3) Kelompok Bawah (Low Risk): adalah kelompok risiko di mana aspek positif atau
negatif risiko tersebut sangat sepele atau terlalu kecil sehingga tidak butuh
penanganan risiko secara khusus.

38