RELEASE PADA FEBRUARI 2018

MENGGANTIKAN VERSI
NOVEMBER 2009
RISK MANAGEMENT — GUIDELINES
DEFINISI
• Risk
effect of uncertainty on objectives/Pengaruh dari ketidakpastian pada tujuan baik positif, negativ atau
keduanya yang ddapat menciptakan Risk and Opportunity

• Risk management
kegiatan terkoordinasi untuk mengarahkan dan mengendalikan organisasi terkait dengan risiko

• Risk source
elemen yang sendiri atau dalam kombinasi memiliki potensi untuk menimbulkan risiko

• Event
terjadinya atau perubahan serangkaian keadaan tertentu
DEFINISI
• Consequence
hasil dari suatu peristiwa yang mempengaruhi tujuan

• Likelihood
peluang sesuatu terjadi

• Control
ukuran yang mempertahankan dan / atau memodifikasi risiko
TIGA ELEMEN ISO 31000
• PRINSIP (PRINCIPLE)
• KERANGKA KERJA (FRAMEWORK)
• PROSES (PROCESS)
PERBANDINGAN STANDAR ISO 31000: TAHUN 2009 & 2018
PRINSIP KERJA
Prinsip manajemen risiko adalah dasar praktik
atau filosofi manajemen risiko
KERANGKA KERJA (FRAMEWORK)

Kerangka kerja adalah pengaturan sistem manajemen

risiko secara terstruktur dan sistematis di seluruh organisasi
PROSES (PROCESS)

Proses adalah aktivitas pengelolaan risiko

yang berurutan dan saling terkait
PRINSIP MANAJEMEN RESIKO
Delapan prinsip lain disederhanakan pernyataannya
menjadi:
1. Terintegrasi, 8. Peningkatan sinambung.
2. Terstruktur dan komprehensif,
3. Disesuaikan,
4. Inklusif,
5. Dinamis,
6. Informasi terbaik yang tersedia,
7. Faktor manusia dan budaya, serta
PRINSIP MANAJEMEN RESIKO
1. Terintegrasi
Manajemen risiko adalah bagian integral dari semua kegiatan organisasi.

2. Terstruktur dan komprehensif

Pendekatan yang terstruktur dan komprehensif untuk manajemen risiko berkontribusi untuk konsisten
dan hasil yang sebanding.

3. Disesuaikan
Kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional dengan konteks eksternal dan
internal organisasi terkait dengan tujuannya.
PRINSIP MANAJEMEN RESIKO
4. Inklusif
Keterlibatan pemangku kepentingan yang tepat dan tepat waktu memungkinkan pengetahuan, pandangan,
dan persepsi mereka dipertimbangkan. Ini menghasilkan peningkatan kesadaran dan manajemen risiko
informasi.
5. Dinamis
Risiko dapat muncul, berubah atau menghilang ketika konteks eksternal dan internal organisasi berubah.
Manajemen risiko mengantisipasi, mendeteksi, mengakui dan merespons perubahan dan peristiwa tersebut
secara tepat dan tepat waktu.
PRINSIP MANAJEMEN RESIKO
6. Peningkatan sinambung.
Input untuk manajemen risiko didasarkan pada informasi historis dan saat ini, serta harapan masa depan.
Manajemen risiko secara eksplisit memperhitungkan segala batasan dan ketidakpastian yang terkait
dengan informasi dan harapan tersebut. Informasi harus tepat waktu, jelas, dan tersedia untuk pemangku
kepentingan terkait.
7. Faktor manusia dan budaya
Perilaku dan budaya manusia secara signifikan mempengaruhi semua aspek manajemen risiko di setiap
tingkatan dan tahap.
PRINSIP MANAJEMEN RESIKO

8. Perbaikan terus menerus

Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman.
KERANGKA MANAJEMEN RESIKO
Yaitu:
1. Integrasi
2. Perancangan
3. Implementasi,
4. Evaluasi, dan
5. Perbaikan.
KEPEMIMPINAN DAN KOMITMEN
Manajemen puncak dan badan pengawas, jika ada, harus memastikan bahwa manajemen risiko terintegrasi
ke dalam semua kegiatan organisasi dan harus menunjukkan kepemimpinan dan komitmen dengan:
• Menyesuaikan dan mengimplementasikan semua komponen kerangka kerja;
• Mengeluarkan pernyataan atau kebijakan yang menetapkan pendekatan, rencana, atau tindakan tindakan
manajemen risiko;
• Memastikan bahwa sumber daya yang diperlukan dialokasikan untuk mengelola risiko;
• Menugaskan otoritas, tanggung jawab dan akuntabilitas pada tingkat yang sesuai dalam organisasi.
KEPEMIMPINAN DAN KOMITMEN
Manajemen puncak bertanggung jawab untuk mengelola risiko sementara badan pengawas bertanggung
jawab untuk mengawasi manajemen risiko. Badan pengawas sering diharapkan atau diminta untuk:
- memastikan bahwa risiko dipertimbangkan secara memadai ketika menetapkan tujuan organisasi;
- Memahami risiko yang dihadapi organisasi dalam mengejar tujuannya;
- memastikan bahwa sistem untuk mengelola risiko tersebut diterapkan dan beroperasi secara efektif;
- memastikan bahwa risiko tersebut sesuai dalam konteks tujuan organisasi;
- memastikan bahwa informasi tentang risiko tersebut dan manajemennya dikomunikasikan dengan benar.
1. INTEGRASI
Mengintegrasikan manajemen risiko bergantung pada pemahaman tentang struktur dan konteks
organisasi.
Struktur berbeda tergantung pada tujuan, sasaran, dan kompleksitas organisasi. Risiko dikelola di setiap
bagian dari struktur organisasi. Setiap orang dalam organisasi memiliki tanggung jawab untuk
mengelola risiko.
Tata kelola memandu jalannya organisasi, hubungan eksternal dan internal, dan aturan, proses dan
praktik yang diperlukan untuk mencapai tujuannya. Struktur manajemen menerjemahkan tata kelola
arahan ke dalam strategi dan tujuan terkait yang diperlukan untuk mencapai tingkat kinerja
keberlanjutan yang diinginkan dan kelangsungan jangka panjang. Menentukan akuntabilitas manajemen
risiko dan peran pengawasan dalam organisasi adalah bagian integral dari tata kelola organisasi.
1. INTEGRASI
Mengintegrasikan manajemen risiko ke dalam organisasi adalah proses yang dinamis dan berulang, dan

harus disesuaikan dengan kebutuhan dan budaya organisasi. Manajemen risiko harus menjadi bagian dari,

dan tidak terpisah dari, tujuan organisasi, tata kelola, kepemimpinan dan komitmen, strategi, tujuan, dan

operasi.
2. PERANCANGAN
• Memahami organisasi dan konteksnya

• Memahami organisasi dan konteksnya

• Menugaskan peran organisasi, otoritas, tanggung jawab, dan akuntabilitas

• Mengalokasikan sumber daya

• Membangun komunikasi dan konsultasi

3. IMPLEMENTASI
Organisasi harus menerapkan kerangka kerja manajemen risiko dengan:
• mengembangkan rencana yang sesuai termasuk waktu dan sumber daya;
• mengidentifikasi di mana, kapan dan bagaimana berbagai jenis keputusan dibuat di seluruh
organisasi, dan oleh siapa;
• memodifikasi proses pengambilan keputusan yang berlaku jika perlu;
• memastikan bahwa pengaturan organisasi untuk mengelola risiko dipahami dengan jelas dan
berlatih.
3. IMPLEMENTASI
Keberhasilan implementasi kerangka kerja membutuhkan keterlibatan dan kesadaran para
pemangku kepentingan.
Ini memungkinkan organisasi untuk secara eksplisit mengatasi ketidakpastian dalam pengambilan
keputusan, sambil memastikan bahwa setiap ketidakpastian baru atau selanjutnya dapat
diperhitungkan pada saat timbul.
Dirancang dan diimplementasikan dengan benar, kerangka kerja manajemen risiko akan memastikan
risiko tersebut proses manajemen adalah bagian dari semua kegiatan di seluruh organisasi,
termasuk pengambilan keputusan,
dan bahwa perubahan dalam konteks eksternal dan internal akan ditangkap secara memadai.
4. EVALUASI
Untuk mengevaluasi efektivitas kerangka kerja manajemen risiko, organisasi harus:
- secara berkala mengukur kinerja kerangka kerja manajemen risiko terhadap tujuannya, implementasi
rencana, indikator dan perilaku yang diharapkan;

- menentukan apakah tetap cocok untuk mendukung pencapaian tujuan organisasi.

 5. IMPROVEMENT/PERBAIKAN
5.1 Beradaptasi
Organisasi harus terus memantau dan mengadaptasi kerangka kerja manajemen risiko untuk mengatasi
perubahan eksternal dan internal. Dengan demikian, organisasi dapat meningkatkan nilainya.

5.2 Terus membaik

Organisasi harus terus meningkatkan kesesuaian, kecukupan, dan efektivitas kerangka kerja manajemen risiko
dan cara proses manajemen risiko terintegrasi. Ketika celah yang relevan atau peluang peningkatan diidentifikasi,
organisasi harus mengembangkan rencana dan tugas dan menugaskan mereka yang bertanggung jawab
untuk implementasi. Setelah diimplementasikan, ini perbaikan harus berkontribusi pada peningkatan
manajemen risiko.
PROSES MANAJEMEN RESIKO
Proses manajemen risiko relatif tidak berubah. Proses “penetapan konteks” diubah namanya menjadi
“lingkup, konteks, dan kriteria”. Proses “pencatatan dan pelaporan” dicantumkan secara eksplisit di
dalam diagram setelah sebelumnya hanya ada pada bagian teks pada versi 2009

Proses manajemen risiko harus menjadi bagian integral dari manajemen dan pengambilan keputusan
dan diintegrasikan ke dalam struktur, operasi dan proses organisasi. Itu bisa diterapkan di tingkat
strategis, operasional, program atau proyek.
COMMUNICATION AND CONSULTATION
Komunikasi berupaya untuk meningkatkan kesadaran dan pemahaman tentang risiko, sedangkan
konsultasi melibatkan memperoleh umpan balik dan informasi untuk mendukung pengambilan keputusan.
Komunikasi dan konsultasi bertujuan untuk:
• Menyatukan bidang keahlian yang berbeda untuk setiap langkah proses manajemen risiko;
• memastikan bahwa pandangan yang berbeda dipertimbangkan secara tepat ketika mendefinisikan
kriteria risiko dan kapan mengevaluasi risiko;
• memberikan informasi yang memadai untuk memfasilitasi pengawasan risiko dan pengambilan
keputusan;
• membangun rasa inklusif dan kepemilikan di antara mereka yang terkena dampak risiko..
LINGKUP, KONTEKS DAN KRITERIA
Organisasi harus mendefinisikan ruang lingkup kegiatan manajemen risikonya.
Karena proses manajemen risiko dapat diterapkan pada tingkat yang berbeda (mis strategis, operasional,
program, proyek, atau kegiatan lainnya), penting untuk memperjelas ruang lingkup yang dipertimbangkan,
tujuan yang relevan untuk dipertimbangkan dan keselarasannya dengan tujuan organisasi .

Saat merencanakan pendekatan, pertimbangan meliputi:

- tujuan dan keputusan yang perlu dibuat;
- hasil yang diharapkan dari langkah-langkah yang akan diambil dalam proses;
- waktu, lokasi, inklusi dan pengecualian khusus;
- alat dan teknik penilaian risiko yang tepat;
- sumber daya yang dibutuhkan, tanggung jawab dan catatan untuk disimpan;
- hubungan dengan proyek lain, proses dan kegiatan.
EXTERNAL AND INTERNAL CONTEXT
Konteks eksternal dan internal adalah lingkungan di mana organisasi berusaha untuk mendefinisikan
dan mencapai tujuannya. Konteks proses manajemen risiko harus ditetapkan dari pemahaman
lingkungan eksternal dan internal di mana organisasi beroperasi dan harus mencerminkan lingkungan
spesifik dari kegiatan yang akan diterapkan proses manajemen risiko.
Memahami konteks itu penting karena:
- manajemen risiko terjadi dalam konteks tujuan dan kegiatan organisasi;
- faktor organisasi dapat menjadi sumber risiko;
- tujuan dan ruang lingkup proses manajemen risiko dapat saling terkait dengan tujuan
organisasi secara keseluruhan.
MENENTUKAN KRITERIA RISIKO
Untuk menetapkan kriteria risiko, berikut ini harus dipertimbangkan:
- sifat dan jenis ketidakpastian yang dapat mempengaruhi hasil dan tujuan (baik berwujud maupun
tidak berwujud);
- bagaimana konsekuensi (baik positif maupun negatif) dan kemungkinan akan ditentukan dan diukur;
- faktor-faktor terkait waktu;
- konsistensi dalam penggunaan pengukuran;
- bagaimana tingkat risiko ditentukan;
- Bagaimana kombinasi dan urutan berbagai risiko akan diperhitungkan;
- kapasitas organisasi.
RISK ASSESSMENT
Penilaian risiko adalah keseluruhan proses identifikasi risiko, analisis risiko, dan evaluasi risiko.
Penilaian risiko harus dilakukan

Penilaian risiko harus dilakukan secara sistematis, iteratif, dan kolaboratif, dengan memanfaatkan
pengetahuan dan pandangan para pemangku kepentingan. Ini harus menggunakan informasi
terbaik yang tersedia, ditambah dengan penyelidikan lebih lanjut sebagaimana diperlukan.
Identifikasi risiko Tujuan dari identifikasi risiko adalah untuk menemukan, mengenali dan
menggambarkan risiko yang dapat membantu atau mencegah suatu organisasi mencapai
tujuannya. Informasi yang relevan, tepat, dan terkini penting dalam
RISK IDENTIFICATION
Identifikasi risiko Tujuan dari identifikasi risiko adalah untuk menemukan, mengenali dan
menggambarkan risiko yang dapat membantu atau mencegah suatu organisasi mencapai
tujuannya. Informasi yang relevan, tepat, dan terkini penting dalam mengidentifikasi risiko

Organisasi dapat menggunakan berbagai teknik untuk mengidentifikasi ketidakpastian yang

dapat memengaruhi satu atau lebih tujuan. Faktor-faktor berikut, dan hubungan antara
faktor-faktor ini, harus dipertimbangkan:
• sumber risiko berwujud dan tidak berwujud
• penyebab dan peristiwa
• ancaman dan peluang
• kerentanan dan kemampuan
RISK IDENTIFICATION
• perubahan dalam konteks eksternal dan internal
• indikator risiko yang muncul
• sifat dan nilai aset dan sumber daya
• konsekuensi dan dampaknya terhadap tujuan
• Keterbatasan pengetahuan dan keandalan informasi
• faktor-faktor terkait waktu
• time-related factors
• bias, asumsi dan kepercayaan mereka yang terlibat

Organisasi harus mengidentifikasi risiko, terlepas dari apakah sumbernya terkendali atau
tidak. Pertimbangan harus diberikan bahwa mungkin ada lebih dari satu jenis hasil, yang
dapat menghasilkan berbagai konsekuensi nyata atau tidak berwujud.
RISK ANALYSIS
Tujuan analisis risiko adalah untuk memahami sifat risiko dan karakteristiknya termasuk, jika sesuai,
tingkat risiko. Analisis risiko melibatkan pertimbangan rinci tentang ketidakpastian, sumber risiko,
konsekuensi, kemungkinan, peristiwa, skenario, kontrol, dan efektivitasnya

Analisis risiko harus mempertimbangkan faktor-faktor seperti:

• kemungkinan kejadian dan konsekuensi
• sifat dan besarnya konsekuensi
• kompleksitas dan konektivitas
• faktor dan volatilitas terkait waktu
• efektivitas kontrol yang ada
• tingkat sensitivitas dan kepercayaan diri
RISK EVALUATION
Tujuan evaluasi risiko adalah untuk mendukung keputusan

Evaluasi risiko melibatkan membandingkan hasil analisis risiko dengan kriteria risiko
yang ditetapkan untuk menentukan di mana tindakan tambahan diperlukan. Ini dapat
mengarah pada keputusan untuk:

• tidak melakukan apa-apa lagi

• pertimbangkan opsi perawatan risiko
• melakukan analisis lebih lanjut untuk lebih memahami risiko;
• memelihara kontrol yang ada
• Mempertimbangkan kembali tujuan

Keputusan harus mempertimbangkan konteks yang lebih luas dan konsekuensi aktual dan
yang dirasakan oleh pemangku kepentingan eksternal dan internal.
RISK TREATMENT
Tujuan dari perlakuan risiko adalah untuk memilih dan menerapkan opsi untuk mengatasi risiko
Perawatan risiko melibatkan proses berulang:
• merumuskan dan memilih opsi-opsi perawatan risiko
• merencanakan dan menerapkan perawatan risiko
• menilai efektivitas perawatan itu
• memutuskan apakah risiko yang tersisa dapat diterima
• jika tidak dapat diterima, mengambil perawatan lebih lanjut
RISK TREATMENT
Opsi-opsi perawatan risiko tidak harus saling eksklusif atau sesuai dalam semua keadaan.
Pilihan untuk mengobati risiko dapat melibatkan satu atau lebih hal berikut:
• menghindari risiko dengan memutuskan untuk tidak memulai atau melanjutkan kegiatan
yang menimbulkan risiko;
• mengambil atau meningkatkan risiko untuk mengejar peluang;
• menghapus sumber risiko
• mengubah kemungkinan;
• mengubah konsekuensinya;
• berbagi risiko (mis. Melalui kontrak, membeli asuransi)
• mempertahankan risiko dengan keputusan berdasarkan informasi
RISK TREATMENT
Mempersiapkan dan mengimplementasikan rencana perawatan risiko Tujuan dari rencana
perawatan risiko adalah untuk menentukan bagaimana opsi perawatan yang dipilih akan
dilaksanakan, sehingga pengaturan dipahami oleh mereka yang terlibat, dan kemajuan
terhadap rencana dapat dipantau
Rencana perawatan harus diintegrasikan ke dalam rencana manajemen dan proses
organisasi, dengan berkonsultasi dengan pemangku kepentingan yang tepat. Informasi yang
disediakan dalam rencana perawatan harus mencakup:
• alasan pemilihan opsi perawatan, termasuk manfaat yang diharapkan yang akan diperoleh
• mereka yang bertanggung jawab dan bertanggung jawab untuk menyetujui dan
mengimplementasikan rencana
• tindakan yang diusulkan
• sumber daya yang dibutuhkan, termasuk kemungkinan
• ukuran kinerja
• Kendala
• pelaporan dan pemantauan yang diperlukan
• ketika tindakan diharapkan akan dilakukan dan diselesaikan
RISK TREATMENT
Pemantauan dan peninjauan Tujuan pemantauan dan peninjauan adalah untuk memastikan
dan meningkatkan kualitas dan efektivitas desain, implementasi, dan hasil proses.
Pemantauan yang sedang berlangsung dan tinjauan berkala atas proses manajemen risiko
dan hasilnya harus menjadi bagian yang direncanakan dari proses manajemen risiko, dengan
tanggung jawab yang jelas. Pemantauan dan peninjauan harus dilakukan di semua tahap
proses. Pemantauan dan peninjauan meliputi perencanaan, pengumpulan dan analisis
informasi, pencatatan hasil dan pemberian umpan balik. Hasil pemantauan dan tinjauan
harus dimasukkan ke seluruh kegiatan manajemen kinerja, pengukuran dan pelaporan
organisasi
RISK TREATMENT
Pencatatan dan pelaporan Proses manajemen risiko dan hasilnya harus didokumentasikan
dan dilaporkan melalui mekanisme yang tepat. Pencatatan dan pelaporan bertujuan untuk:
• mengkomunikasikan kegiatan dan hasil manajemen risiko di seluruh organisasi
• memberikan informasi untuk pengambilan keputusan
• meningkatkan kegiatan manajemen risiko
• membantu interaksi dengan pemangku kepentingan, termasuk mereka yang memiliki
tanggung jawab dan akuntabilitas untuk kegiatan manajemen risiko.
RISK TREATMENT
Keputusan mengenai pembuatan, penyimpanan dan penanganan informasi yang
terdokumentasi harus mempertimbangkan, tetapi tidak terbatas pada: penggunaannya,
sensitivitas informasi dan konteks eksternal dan internal. Pelaporan adalah bagian integral
dari tata kelola organisasi dan harus meningkatkan kualitas dialog dengan pemangku
kepentingan dan mendukung manajemen puncak dan badan pengawas dalam memenuhi
tanggung jawab mereka. Faktor-faktor yang perlu dipertimbangkan untuk pelaporan
meliputi, tetapi tidak terbatas pada:
• pemangku kepentingan yang berbeda dan kebutuhan dan persyaratan informasi spesifik
mereka
• biaya, frekuensi dan ketepatan waktu pelaporan
• metode pelaporan
• relevansi informasi dengan tujuan organisasi dan pengambilan keputusan.