Ebook Manajemen Risiko Pasar Modal Edisi 2 4

Manajemen Risiko Pasar Modal (ISO 31000: 2018) edisi dua
DIA Dr. Embun Prowanta, MM, CSA®, CRP®, CFP®

Hak Cipta ©2019 INpenulis
MEDIA
Diterbitkan oleh : Penerbit IN MEDIA (Anggota IKAPI)

Telp/Faks. : (021) 82425377/(021) 82425377
N MEDIA Website : http//www.penerbitinmedia.co.id
IN MEDIA
E-mail : penerbitinmedia@gmail.com
IN MEDIA
Office : Vila Nusa Indah 3 Blok KD 4 No 1
Bojongkulur-Gunung Putri-Bogor
IN MEDIA
IN MEDIA
Hak cipta dilindungi undang-undang. Dilarang memperbanyak sebagian atau
seluruh isi buku ini dalam bentuk apa pun, baik secara elektronik maupun
mekanik, termasuk memfotokopi, merekam, atau dengan menggunakan sistem
penyimpanan lainnya, tanpa izin tertulis dari Penerbit.
ISBN : 978-602-6469-93-9
1 jil.,17 × 24 cm, 163 hal.
UNDANG-UNDANG NOMOR 19 TAHUN 2002 TENTANG HAK CIPTA

1. Barang siapa dengan sengaja dan tanpa hak mengumumkan atau memperbanyak
suatu ciptaan atau memberi izin untuk itu, dipidana dengan pidana penjara
paling lama 7 (tujuh) tahun dan/atau denda paling banyak Rp 5.000.000.000,00
(lima miliar rupiah).
2. Barang siapa dengan sengaja menyiarkan, memamerkan, mengedarkan, atau
menjual kepada umum suatu ciptaan atau barang hasil pelanggaran Hak Cipta atau
Hak Terkait sebagaimana dimaksud pada ayat (1), dipidana dengan pidana penjara
paling lama 5 (lima) tahun dan/atau denda paling banyak Rp 500.000.000,00
(lima ratus juta rupiah).

Cetakan: Pertama 2019

ii
Bab 1 - Risiko dan Manajemen Resiko v
KATA PENGANTAR
Puji dan syukur kami panjatkan ke hadirat Allah SWT atas limpah rahmat dan
kurnia serta lindungan-Nya sehingga buku Manajemen Risiko Pasar Modal (ISO 31000:
2018) edisi kedua dapat diselesaikan.
Buku Manajemen Risiko Pasar Modal (ISO 31000: 2018) edisi kedua menambahkan
materi manajemen risiko ISO 31000: 2018, proses penilaian risiko dan Risk Based
Internal Audit (RBIA). Penambahan materi tersebut melengkapi buku Manajemen
Risiko Pasar Modal edisi pertama, sehingga diharapkan buku ini dapat berguna dan
menjadi acuan untuk mempelajari dan menerapkan manajemen risiko perusahaan
berbasis ISO 31000: 2018. Penerapan manajemen risiko sudah merupakan kebutuhan
mendasar bagi perusahaan agar tetap terus tumbuh berkembang dalam persaingan yang
ketat dan pada era revolusi industri 4.0 dan society 5.0.
Penerapan manajemen risiko di perusahaan tidak hanya Governance dan Compliance,
tetapi juga lebih menekankan pada Business Performance dan Business Improvement
sehingga membuat nilai tambah (value added) buat perusahaan. Manajemen risiko
membantu proses pengambialan keputusan dan strategi perusahaan untuk bersaing,
disamping itu perusahaan melakukan perencanaan keuangan agar efisien dan efektif
mencapai tujuan perusahaan.
Pengalaman sebagai konsultan di berbagai perusahaan BUMN, swasta serta
pengalaman sebagai akademisi pada beberapa Perguruan Tinggi, sangat membantu
v
vi Manajemen Risiko Pasar Modal (ISO 31000: 2018) edisi dua
dalam menyelesaikan buku Manajemen Risiko Pasar Modal (ISO 31000:2018)

dengan rinci dan mudah untuk memahami konsep dan penerapan manajemen risiko
di perusahaan.
Buku ini dapat digunakan sebagai bahan pengajaran pada tingkat sarjana dan
pascasarjana untuk mata kuliah manajemen risiko dan buku referensi untuk mata
kuliah manajemen dengan konsentrasi manajemen pemasaran, manajemen keuangan,
manajemen sumber daya manusia, manajemen strategik. Buku ini berisi materi-
materi untuk mengikuti ujian sertifikasi Manajemen Risiko Badan Nasional Standar
Profesi (BNSP) yang dilaksanakan oleh Lembaga Sertifikasi Profesi Pasar Modal
(LSPPM), sehingga dengan mempelajari buku ini dapat membantu para profesional
dan mahasiswa untuk mengikuti ujian kompetensi manajemen risiko.
Dengan terbitnya buku ini saya mengucapkan terimakasih dan penghargaan
sebesar-besarnya kepada Haryajid Ramelan, MM, CFP, CSA, CIB, CRP, Ricky Ichsan,
MM, CFA, FRM, CSA, CRP, PFM, Ir. Tedy Fardiansyah, MM, FRM, CRP, CSA dan
Titis Sosro Triraharjo, CRP yang telah banyak memberikan masukan dan membantu
dalam menyelesaikan buku Manajemen Risiko Pasar Modal (ISO 31000: 2018) edisi
dua. Penulis menyadari buku ini masih banyak kekurangan, masukkan yang diberikan
akan lebih menyempurnakan buku ini.
Jakarta, Februari 2019
vi
Bab 1 - Risiko dan Manajemen Resiko vii
Daftar Isi
Daftar Isi
Kata Pengantar ........................................................................................... v
Daftar Isi ........................................................................................... vii
Bab 1 RISIKO DAN MANAJEMEN RISIKO........................................ 1

1.1 Risiko .......................................................................................... 1
1.2 Manajemen Risiko ....................................................................... 5
1.2.1 Prinsip-Prinsip Manajemen Risiko ...................................... 12
1.2.2 Manfaat Manajemen Risiko................................................. 15
1.3. Proses Manajemen Risiko.............................................................. 16
1.4 Manajemen Risiko Tradisional dan Perusahaan ............................ 17
1.5 Budaya Risiko ............................................................................... 20
Bab 2 STANDAR MANAJEMEN RISIKO........................................... 25

2.1 Standar Manajemen Risiko .......................................................... 25
2.2 Australia Standard/New Zealand Standard (AS/NZS 4360:2004)... 27
2.2.1. Komunikasi dan Konsultasi................................................. 29
2.2.2 Menetapkan Konteks........................................................... 29
2.2.3 Identifikasi Risiko................................................................ 31
2.2.4 Analisis Risiko..................................................................... 31
2.2.5 Evaluasi Risiko.................................................................... 34
vii
viii Manajemen Risiko Pasar Modal (ISO 31000: 2018) edisi dua
2.2.6 Perlakuan Risiko.................................................................. 34

2.2.7 Menilai Opsi Perlakuan Risiko.............................................36
2.2.8 Menyiapkan Rencana Perlakuan Risiko................................37
2.3 Committee of Sponsoring Organizations (COSO) : 2004.........................38
2.4 Perbandingan Standar Manajemen Risiko.......................................40
Bab 3 MANAJEMEN RISIKO ISO 31000............................................. 43

3.1 Manajemen Risiko ISO 31000 ......................................................43
3.2 Prinsip-Prinsip Manajemen Risiko ISO 31000: 2009 .......................46
3.3 Kerangka Kerja .............................................................................47
3.3.1 Mandat dan Komitmen........................................................50
3.3.2 Disain Kerangka Kerja Untuk Mengelola Risiko...................50
3.3.3 Penerapan Manajemen Risiko..............................................54
3.3.4 Pemantauan dan Kaji Ulang Kerangka Kerja........................54
3.3.5 Perbaikan Berkelanjutan Kerangka Kerja..............................54
3.4 Proses Manajemen Risiko ISO 31000 ............................................55
3.4.1 Menetapkan Konteks ..........................................................56
3.4.2 Identifikasi risiko.................................................................60
3.4.3 Analisis Risiko ....................................................................60
3.4.4 Evaluasi Risiko ...................................................................62
3.4.5 Perlakuan Risiko .................................................................64
3.4.6 Komunikasi dan Konsultasi.................................................69
3.4.7 Pemantauan & Pengkajian Ulang.........................................70
Bab 4 ISO 31000: 2018..................................................................... 73

4.1 Pendahuluan .................................................................................73
4.2 Prinsip-Prinsip Manajemen Risiko ...............................................75
4.3. Kerangka Kerja ...........................................................................77
4.3.1 Kepemimpinan dan komitmen.............................................78
4.3.2 Integrasi..............................................................................79
4.3.3 Desain.................................................................................80
4.3.4 Implementasi.......................................................................81
4.3.5 Evaluasi..............................................................................82
4.3.6 Perbaikan Berkelanjutan......................................................82
4.4 Proses Manajemen Risiko ............................................................82
4.4.1 Komunikasi dan konsultasi..................................................83
4.4.2 Ruang lingkup, konteks dan kriteria......................................84
4.4.3 Penilaian risiko....................................................................85
4.4.4 Perlakuan berisiko...............................................................87
4.4.5 Pemantauan dan peninjauan ulang.......................................88
4.4.6 Pencatatan dan pelaporan....................................................89
viii
Bab 1 - Risiko dan Manajemen Resiko ix
Bab 5 PENILAIAN RISIKO.............................................................. 91

5.1. Brainstorming ................................................................................92
5.2. Wawancara terstruktur atau semi-terstruktur ..................................93
5.3. Teknik Delphi ...............................................................................93
5.4. Check-List .....................................................................................94
5.5. Matriks Konsekuensi/Probabilitas..................................................94
5.6 Cost-Benefit Analysis (CBA)..............................................................95
5.7. Scenario Analysis .............................................................................95
5.8. Business impact analysis (BIA) ..........................................................97
5.9. Root cause analysis (RCA) ...............................................................97
5.10 Fault Tree Analysis (FTA) ................................................................99
5.11. Event Tree Analysis (ETA) ...........................................................100
5.12. Cause-and-Effect Analysis ...........................................................101
5.13 Decision Tree Analysis ................................................................102
5.14 Bow Tie Analysis ..........................................................................102
5.15. Simulasi Monte Carlo ...................................................................103
5.16 Statistik Bayesian dan Bayes Nets ..................................................104
5.17. Indeks Risiko ...............................................................................105
Bab 6 MANAJEMEN RISIKO PASAR MODAL.................................... 107

6.1. Manajemen Risiko Industri Pasar Modal ......................................107
6.2. Penerapan Manajemen Risiko Pasar Modal....................................110
6.2.1. Regulator.............................................................................110
6.2.2. Self-Regulation Organization (SRO).........................................112
6.2.3. Emiten................................................................................113
6.2.4. Perantara Pedagang ............................................................115
6.3 Kejadian Risiko di Pasar Modal......................................................118
6.4 Risiko Investasi Saham...................................................................120
6.5 Register Risiko ..............................................................................122
6.5.1 Perusahaan Sekuritas...........................................................122
6.5.2 Manajer Investasi.................................................................124
Bab 7 AUDIT INTERNAL BERBASIS RISIKO..................................... 129

7.1 Pendahuluan ................................................................................129
7.2 Tahapan melaksanakan RBIA .......................................................133
ISTILAH DAN DEFINISI MANAJEMEN RISIKO...........................................147

DAFTAR PUSTAKA......................................................................................... 153
ix
Bab 1 - Risiko dan Manajemen Resiko 1
Bab 1
RISIKO DAN MANAJEMEN RISIKO
1.1 Risiko
Risiko adalah dampak dari ketidak pastian untuk mencapai tujuan perusahaan
(ISO 31000). Setiap kegiatan selalu menghadapi dan berhubungan dengan risiko karena
risiko melekat dalam proses bisnis dan merupakan potensi terjadi kerugian. Apabila
kerugian tersebut sering terjadi dan berdampak kerugian finansial yang besar, maka hal
tersebut harus dapat diantisipasi dengan melakukan mitigasi berupa tindakan untuk
meminimalkan risiko. Namun apabila kejadian tidak diduga atau diharapkan terjadinya
sehingga menimbulkan kerugian, maka hal tersebut telah diantisipasi dengan tindakan
lebih lanjut sehingga kerugian yang ditimbulkan dapat diminimalkan.
Setiap proses bisnis perusahaan mengandung risiko sehingga setiap kegiatan
perusahaan selalu terdapat risiko. Risiko dapat berupa ancaman (threat) dapat juga
berupa peluang (opportunity). Risiko berupa ancaman apabila tidak melakukan strategi
risiko dapat merugikan perusahaan sehingga dapat membangkrutkan perusahaan akibat
kejadian risiko (risk event), sehingga perlu melakukan tindakan untuk meminimalkan
kejadian risiko dengan mitigasi sehingga apabila terjadi kejadian risiko sudah ada
contingency plan dan anggaran (biaya) yang sudah dialokasikan jika terjadi kejadian
risiko.
1
mitigasi sehingga apabila terjadi kejadian risiko sudah ada contingency plan dan anggaran
(biaya) yang sudah dialokasikan jika terjadi kejadian risiko.
Tujuan melakukan strategi risiko dengan mitigasi agar tujuan atauModal
target-target perusahaan
2 Manajemen Risiko Pasar (ISO 31000: 2018) edisi dua
yang telah dianggarkan setiap tahun dapat tercapai. Pencapaian target perusahaan akan
Tujuan melakukan strategi risiko dengan mitigasi agar tujuan atau target-target
berhasil apabila bertumpu pada tim manajemen yang solid yang memiliki persepsi yang sama
perusahaan yang telah dianggarkan setiap tahun dapat tercapai. Pencapaian target
untuk perusahaan
mencapai tujuan
akan perusahaan. Risikobertumpu
berhasil apabila menurut pada
ISO 31000: 2009, merupakan
tim manajemen yang soliddampak
yang
ketidakpastian
memilikidalam mencapai
persepsi tujuan
yang sama perusahaan.
untuk mencapai tujuan perusahaan. Risiko menurut ISO
31000: 2009, merupakan dampakGambarketidakpastian
1.1 dalam mencapai tujuan perusahaan.
Pencapaian Tujuan
GambarPerusahaan
1.1
Pencapaian Tujuan Perusahaan
Dokumentasi aktivitas
perusahaan
TIGA HAL
PENTING Tim manajemen solid
DALAM
MENCAPAI
TUJUAN
PERUSAHAAN RKAP jelas dan terukur
Ada tiga hal yang penting agar tujuan perusahaan dapat tercapai:
Pertama, harus memahami bahwa dalam setiap kegiatan/pekerjaan baru dimana
sebagian pekerjaan yang telah dilakukan pada kegiatan sebelumnya sehingga kegiatan
tersebut harus di dokumentasi dengan baik. Dokumentasi yang baik akan mencatat
masalah-masalah atau risiko-risiko yang timbul sehingga mudah diidentifikasikan
pada kegiatan yang telah dilaksanakan agar bisa menjadi road map untuk menghindari
masalah atau kerugian pada kegiatan yang sama.
Kedua, tim manajemen harus solid untuk melakukan pekerjaan dengan baik
dan benar berdasarkan rencana kerja secara menyeluruh dan terintegrasi. Hal ini
termasuk memberikan perhatian khusus pada fungsi atau bagian pekerjaan yang
membutuhkan inovasi dengan maksud untuk memahami tantangan-tantangan didepan
dan siap mengantisipasi beberapa potensi masalah (risiko) yang bisa timbul. Top Level
Management dapat melakukan pemantauan risiko terhadap setiap kegiatan perusahaan
dengan perencaanan yang matang.
Ketiga, tujuan perusahaan di dalam Rencana Kerja Anggaran Perusahaan (RKAP)
harus jelas dan terukur. Artinya tujuan perusahaan harus dengan target yang terukur
dan anggaran yang realistis. Apa saja yang menghambat pencapaian target perusahaan
dapat diidentifikasikan sebagai risiko sehingga dalam menyusun Rencana Kerja
Anggaran Perusahaan menggunakan Risk Based Bugetting. Mitigasi risiko merupakan
program kerja sedangkan biaya untuk mitigasi merupakan anggaran.
Semua menyadari bahwa semua kegiatan proses bisnis perusahaan mengandung

risiko, besar atau kecil risiko tergantung dari proses bisnis perusahaan tersebut sehingga
pemilik risiko dapat menentukan seberapa besar risiko yang terdapat di masing-masing
fungsi didalam perusahaan. Perusahaan harus dapat mengelola risiko yang timbul
dengan mengidentifikasi, menganalisis dan kemudian mengevaluasi apakah risiko
tersebut harus dilakukan dengan penanganan risiko dalam rangka untuk memenuhi
kriteria risiko. Sepanjang proses manajemen risiko, selalu berkomunikasi dan
berkonsultasi dengan pemangku kepentingan (stakeholder) serta melakukan pemantauan
dan pengendalian risiko untuk memastikan bahwa tidak ada perlakuan risiko lebih
lanjut yang diperlukan. Proses ini dilakukan secara sistematis dan logis serta terperinci.
Risiko sebagai suatu probabilitas yang dapat menimbulkan kerugian sehingga risiko
merupakan suatu aktivitas atau proses bisnis yang dapat menimbulkan dampak negatif
terhadap perusahaan. Risiko harus dilihat probabilitas dan dampak dari kejadian
risiko (risk event) tersebut di dalam risk profile perusahaan agar penanganan risiko
dapat dilakukan dengan efektif dan efisien. Secara umum, risiko akan bertambah
apabila kemungkinan atau dampaknya bertambah pula sehingga risiko tersebut menjadi
prioritas untuk dilakukan mitigasi. Menurut Global Association of Risk Professionals
(GARP) risiko adalah situasi dimana hasil negatif dapat terjadi dan besar kecilnya
kemungkinan terjadinya hasil tersebut dapat diperkirakan. Semakin besar risiko yang
dihadapi, maka semakin besar pula modal yang dibutuhkan. Modal dibutuhkan untuk
mengatasi potensi kerugian akibat kejadian risiko sehingga perusahaan (bank) tetap
berjalan walaupun terjadi risk event.
Risiko secara umum terdiri dari dua dampak risiko yaitu dampak risiko positif
dikenal sebagai peluang (opportunity) sementara ancaman (threat) sebagai risiko dengan
efek negatif. Risiko berbeda dengan ketidakpastian dimana ketidakpastian adalah
untuk mengungkapkan risiko semata-mata mewakili efek negatif atau ancaman dan
sedangkan peluang merupakan ketidakpastian yang memiliki efek positif.
Gambar 1.2
Dampak Risiko
DAMPAK
RISIKO
4 Manajemen Risiko Pasar Modal (ISO 31000: 2018) edisi dua
Risiko berbeda dengan ketidak pastian dimana risiko menggunakan data,

informasi dan perhitungan untuk mengambil keputusan, sedangkan ketidakpastian
tidak menggunakan data dan informasi hanya menggunakan kebiasaan yang dilakukan.
Sebagian besar dari pelaku bisnis cenderung berpikir risiko memiliki konsekuensi
negatif. Meskipun risiko adalah peristiwa potensi kerugian yang dapat menyebabkan
ancaman terhadap proyek, risiko juga merupakan potensi peluang yang dapat diperoleh
dari proyek. Risiko dapat diartikan sebagai potensi kerugian yang mungkin terjadi
dalam kegiatan usaha. Risiko terjadi karena adanya ketidakpastian terjadinya peristiwa
yang berpotensi menyebabkan kerugian, peristiwa tersebut bisa terjadi atau tidak dan
apabila terjadi dapat menyebabkan kerugian. Risiko mempunyai dua dimensi, yaitu
ketidakpastian kapan kejadian yang dapat merugikan dan jumlah dampak kerugian
jika risiko tersebut terjadi.
Para investor di pasar modal dalam berinvestasi pada saham akan menghadapi
risiko kerugian. Semakin tinggi imbal hasil yang diharapkan semakin besar risiko
yang siap ditanggung investor atau yang lebih dikenal sebagai high risk and high return.
Markowitz tahun 1952 memperkenalkan konsep risiko secara kuantitatif dengan
mengatakan risiko sebagai ukuran statistika yang disebut variance. Secara khusus
Markowitz mengkuantifikasi risiko sebagai variance return yang diharapkan dari aktiva.
Risiko itu sendiri merupakan kemungkinan perbedaan antara return aktual yang diterima
dengan return harapan. Semakin besar perbedaan yang terjadi diantara return aktual
dengan return harapan berarti semakin besar risiko investasi yang dilakukan.
Risiko merupakan volatilitas atas hasil yang tidak diharapkan, yang dicerminkan
dalam nilai aset, ekuitas atau pendapatan. Sedangkan risiko pasar terjadi karena adanya
perubahan harga di pasar keuangan (financial market). Berdasarkan pengertiannya risiko
pasar atau market risk merupakan risiko timbulnya kerugian karena perubahan nilai
aset yang diperdagangkan. Risiko pasar terjadi karena perubahan tingkat harga pasar
yang akan menyebabkan berkurangnya nilai aset yang dimiliki oleh lembaga keuangan.
Berdasarkan pengertian di atas risiko pasar mengacu kepada hal yang sama, yaitu risiko
atas berkurangnya nilai aset karena turunnya harga saham di pasar, yang menyebabkan
kerugian bagi perusahaan.
Risiko dapat diklasifiasikan dalam beberapa pengertian antara lain;
•• Risiko murni
Risiko murni adalah suatu peristiwa yang terjadi menimbulkan kerugian dan
risiko tersebut dapat dialihkan (transfer the risk). Contoh: kebakaran, huru-hara,
kecelakaan.
•• Risiko spekulatif
Risiko spekulatif adalah suatu peristiwa yang terjadi dapat menimbulkan
kerugian dan risiko tersebut tidak dialihkan ke pihak lain. Artinya risiko
tersebut ditanggung sendiri (retention). Contoh: investasi di saham, pemasaran
produk baru.
• Risiko dasar
Risiko dasar adalah suatu peristiwa dimana disebabkan dan ditimbulkannya
oleh alam dan bersifat catatropic (dalam skala besar) dimana peristiwa-peristiwa
jarang terjadi, apabila terjadi menyebabkan kerugian yang sangat besar. 5
Contoh: gempa bumi, tsunami, angin topan.
Gambar 1.3
Gambar 1.3
Klasifikasi Risiko
Klasifikasi Risiko
Klasifikasi
Risiko Murni Risiko Risiko Spekulatif
Risiko Dasar
1.2 Manajemen Risiko

1.2risiko
Manajemen Manajemen Risiko
sebagai kegiatan terkoordinasi untuk mengarahkan dan mengendalikan
organisasi berkaitan dengan
Manajemen risiko
risiko (ISOkegiatan
sebagai 31000).terkoordinasi
Manajemenuntuk
risiko juga menyediakan
mengarahkan dan
mengendalikan organisasi berkaitan dengan risiko (ISO 31000). Manajemen risiko
perangkat untuk berpikir secara terstruktur tentang masa depan dan berhubungan dengan
juga menyediakan perangkat untuk berpikir secara terstruktur tentang masa depan
ketidakpastian. Manajemen dengan
dan berhubungan risiko merupakan arsitektur
ketidakpastian. (principles,
Manajemen frameworkarsitektur
risiko merupakan & process)
(principles, framework & process) dalam rangka mengelola risiko secara efektif dan
dalam rangka mengelola risiko secara efektif dan efisien. Manajemen risiko yang efektif
efisien. Manajemen risiko yang efektif berdasarkan pada ide-ide dan pemahaman
berdasarkantersebut.
pada Manajemen
ide-ide dan pemahaman
risiko perusahaan tersebut.
berhubungan Manajemen
dengan risikorisiko perusahaan
dan peluang
yang mempengaruhi penciptaan nilai. Penciptaan nilai dengan melihat pengalaman
berhubungan dengan risiko dan peluang yang mempengaruhi penciptaan nilai. Penciptaan
sebelumnya dari proses bisnis yang dilakukan dengan learning by doing, sehingga para
nilai dengan melihat
manajer bisa pengalaman sebelumnya
menghindari kesalahan yang dari
sama,proses bisnis yangkedilakukan
serta berpandangan dengan
depan melalui
learning byperencanaan kegiatan para
doing, sehingga lebih terstruktur
manajer dan bisasistimatis sehingga
menghindari bisa menghilangkan
kesalahan yang sama, atauserta
meminimalkan potensi masalah-masalah yang bisa terjadi di masa depan.
berpandangan Tujuan
ke depan melaluirisiko
manajemen perencanaan
perusahaankegiatan lebih terstruktur
adalah melaksanakan dan sistimatis
fungsi manajemen
risiko
sehingga bisa di perusahaan atau
menghilangkan (entitas) di pasar modal
meminimalkan untukmasalah-masalah
potensi memastikan semuayang risiko yang
bisa terjadi
dihadapi perusahaan dapat dikelola dengan efektif, efisien secara menyeluruh
di masa depan.
(terintegrasi) agar Visi, Misi dan Sasaran Perusahaan dapat tercapai dan sesuai dengan
Tujuan prinsip-prinsip
manajemen risiko perusahaan
Manajemen Risiko adalah melaksanakan
(SKK Manajemen Risikofungsi manajemen
Pasar Modal, 2015).risiko di
Tujuan manajemen risiko bukan untuk menghilangkan risiko tetapi mengelola
perusahaan (entitas) di pasar modal untuk memastikan semua risiko yang dihadapi
risiko agar dampak risiko menjadi minimal. Jika berusaha untuk menghilangkan
perusahaanrisiko
dapatperusahaan
dikelola dengan
sampaiefektif, efisien
nol, berarti secara
berada menyeluruh
dalam (terintegrasi)
proses untuk agar Visi,
membangkrutkan
perusahaan karena tidak berani mengambil keputusan untuk memperoleh keuntungan
Misi dan Sasaran Perusahaan dapat tercapai dan sesuai dengan prinsip-prinsip Manajemen
dan tidak melakukan apa-apa untuk survive.
Risiko (SKK Manajemen Risiko Pasar Modal, 2015).
Tujuan manajemen risiko bukan untuk menghilangkan risiko tetapi mengelola risiko agar
dampak risiko menjadi minimal. Jika berusaha untuk menghilangkan risiko perusahaan
Tujuan dari manajemen risiko antara lain meliputi untuk meningkatkan peluang
untuk mencapai sasaran perusahaan, mendorong terciptanya manajemen bersifat
proaktif, terciptanya kepedulian terhadap kebutuhan untuk melakukan identifikasi
dan mengelola risiko pada keseluruhan perusahaan, melakukan identifikasi terhadap
peluang dan ancaman, meningkatkan kepatuhan terhadap hukum, regulasi dan norma
internasional yang relevan, meningkatkan tata kelola perusahaan, meningkatkan tingkat
keyakinan dan kepercayaan dari seluruh stakeholder suatu perusahaan, membangun
fundamental yang handal dalam pembuatan keputusan dan perencanaan, meningkatkan
kontrol, pengalokasian dan pemanfaatan secara efektif sumber daya perusahaan dalam
mengelola risiko, meningkatkan efektifitas dan efisiensi operasional, meningkatkan
pencegahan kerugian dan manajemen kejadian, meningkatkan pembelajaran dan
ketahanan perusahaan.
Tujuan perusahaan dalam menerapkan manajemen risiko adalah:
•• Untuk memiliki keunggulan daya saing terhadap kompetitor karena telah
melakukan mitigasi terhadap potensi kejadian risiko.
•• Meningkatkan keyakinan manajemen dalam mengelola perusahaan karena
toleransi risiko diselaraskan dengan strategi perusahaan sehingga dapat
memperbaiki risiko dan ukuran kinerja.
•• M eminimalkan volatilitas anggaran sehingga dapat mengoptimalkan
penggunaaan anggaran untuk keuntungan perusahaan.
•• Mengurangi biaya pemindahan risiko. Artinya ada beberapa risiko yang dapat
ditanggung sendiri (retantion) sehingga mengurangi biaya asuransi yang berlebih.
•• Risiko sangat dipertimbangkan dalam proses pembuatan keputusan agar sesuai
dengan sesuai target pencapaian perusahaan.
•• Mengantisipasi terjadinya hal tidak pernah diperhitungkan sehingga apabila
terjadi kejadian risiko, kerugian yang ditanggung perusahaan dapat diprediksi.
•• Menyelaraskan kerugian dari suatu risiko dengan program penanganan risiko
•• Mengintegrasi manajemen risiko perusahaan dengan proses perencanaan
strategis.
Manajemen risiko perusahaan merupakan suatu pendekatan yang menghilangkan
pemisah antara strategi, operasional, keuangan dan risiko keselamatan kerja.
Manajemen risiko perusahaan membantu dalam menghilangkan pemisah risiko sesuai
dengan situasi perusahaan dan program kerja setiap unit dan fungsi. Tujuannya agar
target perusahaan dapat tercapai dan fungsi-fungsi yang ada didalam perusahaan dapat
melakukan sinergi.
Cakupan manajemen risiko adalah pada konteks perusahaan dan penerapan
manajemen risiko ditujukan untuk mendorong dan menjaga aset tangible dan intangible
yang membentuk model bisnis perusahaan. Manajemen risiko perusahaan diterapkan
baik pada seluruh jenjang dan aspek perusahaan serta perumusan strategi perusahaan
agar perusahaan dapat terus berkelanjutan dan bersinambungan (sustainable).
Penciptaan nilai perusahaan akan mempermudah manajemen untuk mengelola

dengan efektif seluruh potensi kejadian di masa depan yang menimbulkan ketidakpastian
dan dapat memberikan respon dengan tepat dan cepat sehingga dapat meminimalkan
potensi terjadinya kerugian dan secara bersamaan mendorong peluang (opportunity)
yang positif.
Manajemen risiko perusahaan merupakan aktivitas atau proses bisnis perusahaan
yang dapat menimbulkan berbagai macam risiko dimana risiko perusahaan sangat
beragam. Beberapa risiko dapat secara serius mempengaruhi kelangsungan hidup
perusahaan sehingga seluruh risiko yang ada harus diidentifikasikan, dianalisa, diukur,
dikelola dan dikendalikan dalam risk register. Kegiatan pengelolaan risiko menjadi
tanggung jawab bersama dan dibuat oleh setiap unit atau fungsi di dalam perusahaan
karena mereka yang paham terhadap proses bisnis dan risiko yang ada. Mengukur
risiko perusahaan sebagai suatu nilai tertentu yang merupakan cerminan dari profil
risiko perusahaan.
Unit atau fungsi di dalam perusahaan sebagai pemilik risiko (risk owner).
Artinya pemilik risiko bertanggung jawab penuh apabila terjadi risiko yang telah
diidentifikasikan. Kegiatan manajemen risiko dikoordinasikan di bawah unit kerja
manajemen risiko dimana tugas unit kerja manajemen risiko melakukan kompelasi
risk register dari masing masing unit atau fungsi dalam perusahaan agar sesuai dengan
tujuan perusahaan. Jadi unit kerja manajemen risiko bukan membuat risk register untuk
setiap unit atau fungsi didalam perusahaan.
Manajemen risiko perusahaan adalah suatu proses, dipengaruhi oleh dewan
direksi, manajemen dan lainnya personil, diterapkan dalam pengaturan strategi dan di
seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang
dapat mempengaruhi perusahaan, dan mengelola risiko berada dalam risiko, untuk
memberikan keyakinan memadai tentang pencapaian tujuan perusahaan (COSO, 2004).
Manajemen risiko merupakan rangkaian aktifitas identifikasi dan pengukuran
risiko yang mempengaruhi nilai perusahaan serta perumusan dan penerapan strategi
perusahaan dalam memaksimalkan nilai perusahaan. Manajemen risiko juga upaya
untuk menentukan metode optimal yang terintegrasi dalam mengelola risiko dengan
menciptakan keseimbangan aspek keuangan dengan aktifitas dan proses bisnis yang
terdapat dalam perusahaan dan merupakan sebuah struktur dan pendekatan ilmu
pengetahuan yang menyelaraskan strategi, proses, manusia, teknologi serta ilmu
pengetahuan untuk mengevaluasi dan mengelola ketidakpastian yang dihadapi
perusahaan dalam rangka menciptakan nilai perusahaan.
Penerapan manajemen risiko ada sejumlah prinsip yang harus dipenuhi untuk
membuat manajemen risiko menjadi efektif dan efisien. Perusahaan mengembangkan,
menerapkan dan terus meningkatkan kerangka kerja (frame work) tujuannya adalah
untuk mengintegrasikan proses mengelola risiko ke dalam fungsi atau unit di dalam
perusahaan perusahaan, strategi dan perencanaan, manajemen, pelaporan proses,
kebijakan, nilai-nilai dan budaya.
Manajemen risiko telah dikembangkan dari waktu ke waktu dan banyak sektor
dalam rangka memenuhi kebutuhan yang beragam sektor industri, sehingga proses
penerapan yang konsisten dalam kerangka kerja yang komprehensif dapat membantu
untuk memastikan risiko yang dikelola secara efektif dan efisien di seluruh proses bisnis
perusahaan. Pendekatan penerapan manajemen risiko memberikan prinsip-prinsip dan
pedoman untuk mengelola segala bentuk risiko secara sistematis, transparan dan dapat
dipercaya dan dalam setiap lingkup dan konteksnya.
Berbagai risiko tersebut apabila tidak diantisipasi dan dikelola dengan baik akan
menimbulkan dampak negatif bagi perusahaan. Untuk meminimalkan kemungkinkan
terjadinya peristiwa yang merugikan dan dampak negatif yang ditimbulkan maka
diperlukan suatu perencanaan dan penerapan manajemen risiko yang efektif dan
efisien.
Manajemen risiko merupakan bagian dari proses bisnis yang penting untuk
perusahaan sehingga manajemen risiko dapat menjadi pertimbangan dalam
pengambilan keputusan strategis. Pendekatan perusahaan dalam penerapan manajemen
risiko memungkinkan perusahaan untuk mempertimbangkan dampak potensi dari
semua jenis risiko pada semua proses, kegiatan, stakeholder, produk dan jasa. Dengan
menerapkan pendekatan yang komprehensif akan menghasilkan manfaat dan daya
saing perusahaan dalam menghadapi persaingan.
Untuk semua jenis dan ukuran perusahaan, ada kebutuhan untuk memahami dan
menegendalikan risiko untuk mencapai tujuan dan mencapai tingkat yang diinginkan
dari perusahaan. Perusahaan perlu memahami keseluruhan tingkat risiko yang melekat
dalam proses dan kegiatan mereka. Hal ini penting bagi perusahaan untuk mengenali
dan memprioritaskan risiko secara signifikan sehingga manajemen dapat fokus pada
prioritas terhadap risiko yang dapat merugikan perusahaan serta melakukan mitigasi
risiko agar risiko tersebut dapat diminimalkan. Output dari manajemen risiko yang
sukses meliputi kepatuhan, jaminan dan pengambilan keputusan sesuai dengan tujuan
perusahaan, dimana output ini akan memberikan manfaat dengan cara perbaikan
dalam efisiensi operasi, efektivitas taktik (proyek perubahan) dan efektivitas strategi
perusahaan.
Manajemen risiko meliputi proses-proses yang berfokus pada pelaksanaan
komunikasi dan konsultasi, membangun konteks, identifikasi risiko, analisis risiko,
evaluasi risiko, perlakuan risiko, memonitor dan kaji ulang pada suatu perusahaan, dan
sebagian besar dari proses tersebut akan terus memperbaharui secara berkesinambungan.
Berdasarkan pemahaman tersebut manajemen risiko perusahaan adalah:
•• Sebuah proses, berkelanjutan dan mengalir melalui suatu perusahaan
•• Dipengaruhi oleh orang-orang di setiap tingkat unit atau fungsi dalam
perusahaan
•• Diterapkan dalam pengaturan strategi perusahaan
•• Diterapkan di seluruh perusahaan, di setiap tingkat dan unit
•• D irancang untuk mengidentifikasi peristiwa potensi yang merugikan

perusahaan, jika kejadian risiko terjadi akan mempengaruhi kinerja perusahaan
•• Mengelola risiko dalam selera risiko (risk appetite). Selera risiko artinya seberapa
besar manajemen perusahaan berani menanggung risiko
•• Mampu memberikan keyakinan yang memadai kepada manajemen dan dewan
direksi untuk mengambil keputusan berdasarkan kajian risiko.
•• Diarahkan untuk pencapaian tujuan perusahaan.
Langkah perusahaan dalam menerapkan manajemen risiko akan;

•• Menselaraskan selera risiko (risk appetite) dan strategi risiko sehingga keputusan
manajemen yang diambil sudah mempertimbangkan seberapa besar risiko yang
berani ditanggung perusahaan.
•• Segera mengambil keputusan untuk tindakan terhadap risiko yang telah di
identifikasikan.
•• Mengurangi kejutan dan kerugian operasional akibat risiko.
•• Mengidentifikasi dan mengelola beberapa dan lintas unit/fungsi terhadap risiko
perusahaan
•• Dapat meningkatkan peluang (opportunity) untuk perusahaan.
•• Dengan mengoptimalkan sumber daya yang terbatas baik tangible dan intangible
termasuk modal perusahaan, sehingga dapat mengoptimalkan pendapatan
perusahaan.
Menerapkan manajemen risiko di perusahaan akan banyak memperoleh manfaat
dan keunggulan dibandingkan dengan perusahaan lain yang tidak menerapkan
manajemen risiko. Penerapan manajemen risiko di perusahaan memberikan banyak
manfaat antara lain meningkatkan rating perusahaan dimata kreditur. Meningkatnya
tata kelola perusahaan dan kepatuhan terhadap regulasi akan meningkatkan
kepercayaan rekanan dalam berbisnis.
Manajemen risiko membantu perusahaan untuk mengidentifikasi dan
memanfaatkan peluang strategis seperti:
•• Business Plan merupakan sasaran utama dan indikator kinerja .
•• Risiko, peluang dan Key Performance Indicator (KPI) memiliki hubungan penting
saling terkait.
•• Manajemen Risiko tidak hanya Governance dan Compliance, tetapi juga lebih
menekankan pada Business Performance dan Business Improvement.
•• Manajemen risiko mengidentifikasikan semua tipe risiko dan menghilangkan
hambatan antar fungsi/unit di dalam perusahaan.
•• Manajemen risiko membutuhkan persepsi dan “bahasa” yang sama dan
membangun kebersamaan.
•• Manajemen risiko membantu proses pembuatan keputusan dan memperbaiki
strategik dan perencanaan keuangan.
Manajemen risiko perusahaan memiliki karakteristik dalam penerapannya.

Karakteristik tersebut adalah:
•• Pelaporan risiko yang terkonsolidasi dengan baik.
•• Pengukuran risiko, evaluasi dan pengelolaan risiko yang berkelanjutan.
•• Secara jelas menentukan pihak yang bertanggung jawab untuk setiap risiko,
menentukan peran dan tanggung jawab secara jelas.
•• Komunikasi dirancang dengan baik.
•• Didorong oleh kebutuhan dari setiap proses bisnis perusahaan.
•• Memiliki orientasi nilai perusahaan.
Pada saat awal menerapkan manajemen risiko di perusahaan akan menghadapi
banyak tantangan dari internal perusahaan. Hal ini didasarkan pada:
•• Keengganan untuk berubah (resistance to change).
•• Hanya berupa persetujuan lisan, tetapi tidak konsisten atau malah melakukan
perlawanan diam-diam.
•• Kebutuhan akan pemimpin untuk perubahan (Change Leaders).
•• Program manajemen perubahan.
•• Struktur organisasi yang kurang mendukung.
•• Komitmen manajemen (political will & management policies).
•• Kejelasan akuntabilitas organisasi.
•• Kejelasan sistem, prosedur, alur pelaporan, pengawasan, ukuran kinerja dan
sanksi terhadap pelanggaran.
Beberapa contoh dari keengganan berubah pola pikir pegawai perusahaan dalam
penerapan manajemen risiko karena:
•• Puluhan tahun saya bekerja di sini tidak pernah mengalami hal yang merugikan
dan aneh.
•• Manajemen risiko hanya menghabiskan anggaran saja.
•• Saya dukung manajemen risiko asal bukan saya yang mengerjakan.
•• Manajemen risiko melulu kapan kerjanya ?
•• Saya sudah terlalu tua dan sibuk untuk belajar manajemen risiko.
•• Apa yang akan terjadi terjadilah. Yang kutahu Tuhan akan menolong umatnya.
Tantangan tidak hanya dari pegawai dari internal perusahaan, tetapi juga dari
kecukupan dukungan sarana dan prasarana, ketersediaan anggaran dan sumber daya
manusia yang memadai. Sumber daya manusia yang dibutuhkan memiliki kompetensi
dalam memahami metodologi dan teknik manajemen risiko. Tantangan lain berupa
kesulitan dalam pemilihan model risiko yang sesuai untuk sektor bisnis yang di
jalankan perusahaan saat ini. Kesulitan dalam melakukan sharing & benchmarking
serta penyusunan Knowledge Management yang memadai. Teknik dan metodologi yang
tersedia masih didominasi oleh yang digunakan pada sektor industri keuangan.
Setiap perusahaan yang menerapkan manajemen risiko perusahaan memiliki unit

kerja manajemen risiko. Fungsi dari unit kerja manajemen risiko di perusahaan adalah:
•• Manajemen risiko dirancang sebagai bagian perusahaan yang berfungsi
mengelola risiko perusahaan.
•• Menjadi fungsi yang independen di dalam perusahaan. 12
•• Membantu perusahaan dalam proses pengambilan keputusan.
•• Bertindak sebagai organisator yang mengorganisir seluruh kegiatan pengelolaan
 Mengupdate senior manajemen terkait kondisi risiko perusahaan.
risiko di perusahaan.
•• Menganalisa, mengukur dan mengawasi risiko terkait kegiatan seluruh unit
kerja perusahaan.
Fungsi utama dari unit kerja manajemen risiko perusahaan adalah mengkoordinasikan
•• Melakukan agregasi risiko.
aktivitas pengelolaan risikosenior
•• Mengupdate dan manajemen
menyusun laporan profil risiko
terkait kondisi risiko. Pemilik risiko (risk owner)
perusahaan.
sebagai penanggung jawab atas
Fungsi utama dariterjadinya risiko
unit kerja dan mengendalikan
manajemen aset dan fasilitas
risiko perusahaan adalah terkait
mengkoordinasikan aktivitas pengelolaan risiko dan menyusun laporan profil risiko.
terjadinya risiko serta memiliki wewenang mengambil keputusan mitigasi terkait sebagai
Pemilik risiko (risk owner) sebagai penanggung jawab atas terjadinya risiko dan
pemilik mengendalikan
risiko. Fungsi dari
aset petugas pelaksana
dan fasilitas terkait risiko officer)
(riskrisiko
terjadinya memilikiwewenang
serta memiliki tanggung jawab
mengambil
melakukan keputusan
identifikasi mitigasiatas
dan asesmen terkait sebagai
risiko pemilik risiko.mitigasi
dan melaksanakan Fungsi dari petugas
risiko.
pelaksana risiko (risk officer) memiliki tanggung jawab melakukan identifikasi dan
asesmen atas risiko dan melaksanakan mitigasi risiko.
Gambar 1.4
Kesalahan Perusahaan Dalam
Gambar 1.4Pengelolaan Risiko
Kesalahan Perusahaan Dalam Pengelolaan Risiko
Terbatasnya
pemahaman
risiko
Mengabaikan
Tidak memantau risiko yang
risiko Kesalahan diketahui dan
Perusahaan terindentifikasi
Dalam
Pengelolaan
Risiko
Kegagalan
komunikasi Adanya risiko
dalam penerapan tersembunyi
manajemen risiko
Ada lima cara perusahaan sehingga salah dalam mengelola risiko:

Ada lima cara perusahaan sehingga salah dalam mengelola risiko:
1. Terbatasnya pemahaman risiko sehingga mengabaikan risiko lain yang harus
diperhitungkan. Mengabaikan risiko lain dapat berdampak besar terhadap kelangsungan
perusahaan seperti risiko reputasi.
2. Mengabaikan risiko yang diketahui dan telah didentifikasi. Mengabaikan risiko yang
1. Terbatasnya pemahaman risiko sehingga mengabaikan risiko lain yang harus

diperhitungkan. Mengabaikan risiko lain dapat berdampak besar terhadap
kelangsungan perusahaan seperti risiko reputasi.
2. Mengabaikan risiko yang diketahui dan telah didentifikasi. Mengabaikan
risiko yang sering dilupakan adalah risiko di luar risiko normal seperti terjadi
bencana alam.
3. Adanya risiko tersembunyi dimana manajemen risiko mungkin gagal karena
orang-orang yang bertanggung jawab (risk owener) untuk risiko tidak mau
melaporkannya sehingga sewaktu terjadi risiko tidak ada mitigasi risiko.
4. Terjadinya gagal komunikasi dalam menerapkan manajemen risiko.
Manajemen risiko harus dikomunikasikan dengan efektif, tepat waktu dan
tanpa bias kepada Dewan Direksi, dimana Dewan Direksi merupakan
penanggungjawab tertinggi membuat keputusan tentang risiko.
5. Tidak Memantau Risiko dimana manajemen risiko merupakan proses dinamis
dan risiko perusahaan yang telah diidentifikasikan membutuhkan pemantauan
berkala dan tindakan, untuk menyakinkan perusahaan hanya mengambil
tindakan yang hanya mau diambil.
1.2.1 Prinsip-Prinsip Manajemen Risiko

Manajemen risiko adalah bagian sentral dari manajemen strategis dari setiap
perusahaan. Ini adalah proses dimana perusahaan menggunakan metodologi untuk
mengatasi risiko yang melekat pada kegiatan usaha perusahaan. Sebuah inisiatif
manajemen risiko yang sukses harus proporsional dengan tingkat risiko dalam
perusahaan, sejalan dengan kegiatan perusahaan lainnya, komprehensif dalam ruang
lingkup, tertanam ke dalam kegiatan rutin dan dinamis dengan menjadi responsif
terhadap perubahan situasi.
Fokus manajemen risiko adalah penilaian risiko secara signifikan dan pelaksanaan
respon risiko yang sesuai. Tujuannya adalah untuk mencapai nilai maksimum dari
semua kegiatan perusahaan. Manajemen risiko meningkatkan pemahaman tentang
potensi upside dan downside dari faktor-faktor yang dapat mempengaruhi perusahaan.
Hal ini meningkatkan probabilitas keberhasilan dan mengurangi baik probabilitas
kegagalan dan tingkat ketidakpastian yang berhubungan dengan pencapaian tujuan
perusahaan.
Manajemen risiko harus menjadi proses yang berkesinambungan yang mendukung
pengembangan dan implementasi strategi dari suatu perusahaan. Manajemen risiko
dapat meminimalkan semua risiko yang terkait dengan semua kegiatan perusahaan.
Semua jenis dan kegiatan usaha, ada potensi kegiatan yang merupakan kesempatan
untuk memperoleh keuntungan (upside), dan begitu juga sebaliknya berupa ancaman
terhadap keberhasilan (downside) atau terjadi peningkatan ketidakpastian dalam
berusaha. Hal ini sering berargumen bahwa untuk risiko kesehatan dan keselamatan
akan menghasilkan dampak negatif saja sehingga manajemen risiko keselamatan (safety)
harus fokus pada pencegahan dan penanggulangan bahaya.
Manajemen risiko harus terintegrasikan ke dalam budaya perusahaan yang
mencakup mandat, kepemimpinan dan komitmen dari Dewan Direksi. Budaya
perusahaan harus menerjemahkan strategi risiko ke dalam tujuan taktis dan operasional,
dan menetapkan tanggung jawab manajemen risiko di perusahaan. Manajemen risiko
harus mendukung akuntabilitas, pengukuran kinerja dan penghargaan untuk karyawan
yang berprestasi, sehingga dapat meningkatkan efisiensi operasional di semua tingkatan
didalam perusahaan. Mencapai budaya risiko yang baik dengan mendirikan sebuah
arsitektur risiko yang tepat, strategi dan protokol dan lebih penting lagi karyawan
memiliki tingkat kesadaran budaya risiko yang tinggi dan persepsi yang sama dalam
mengimplementasikan manajemen risiko untuk mencapai tujuan perusahaan.
Setiap perusahaan dalam menjalankan usahanya akan berhadapan dengan
risiko yang berpotensi menyebabkan kerugian bagi perusahaan, begitu juga dengan
industri perbankan dan pasar modal. Manajemen risiko sangat diperlukan sebagai
suatu pendekatan comprehensive untuk menangani semua kejadian yang menimbulkan
kerugian (Clough and Sears,1994). Dengan adanya manajemen risiko, para pelaku
usaha baik individu maupun perusahaan bisa mencegah atau meminimalisir terjadinya
hal-hal yang tidak diinginkan dimasa datang.
Manajemen risiko digunakan untuk merujuk pada berbagai kegiatan perusahaan
untuk mengelola risiko. Risiko harus diidentifikasi dan dikelola agar dapat melindungi
karyawan, sumber daya, masyarakat dan reputasi. Manajemen risiko merupakan
disiplin berakar kuat dalam manajemen perusahaan, dan khususnya dalam manajemen
bisnis.
Selain itu, Menurut Organisasi Standar Internasional ISO 31000: (2009),
manajemen risiko didefinisikan sebagai kegiatan terkoordinasi untuk mengarahkan dan
mengendalikan perusahaan [atau pengguna lain dari standar] berkaitan dengan risiko.
Manajemen risiko juga menyediakan perangkat untuk berpikir terstruktur tentang masa
depan dan untuk berhubungan dengan ketidakpastian.
Secara umum manajemen risiko adalah proses, mengidentifikasi, mengukur dan
memastikan risiko dan mengembangkan strategi untuk mengelola risiko tersebut.
Dalam hal ini manajemen risiko akan melibatkan proses-proses, metode dan teknik
yang membantu manajer proyek maksimumkan probabilitas dan konsekuensi dari event
positif dan minimasi probabilitas dan konsekuensi event yang berlawanan.
Manajemen risiko memperkenalkan, menggambarkan, dan menganalisis
berbagai aspek manajemen risiko moderen disegala jenis perusahaan baik keuangan
dan perbankan dan maupun perusahaan non keuangan. Manajemen risiko
mengkonsolidasikan seluruh bidang, dari kebijakan untuk metodologi serta data dan
infrastruktur teknologi. Hal ini juga mencakup strategi investasi, lindung nilai, dan
manajemen.
Penerapan manajemen risiko dalam perusahaan, memberikan para pengambil

keputusan alat yang memungkinkan mereka memilih pilihan yang rasional, diambil
atas dasar informasi yang tersedia dan terbatas. Dengan menggunakan perangkat
manajemen risiko memungkinkan pengambilan keputusan untuk membuat pilihan
yang tepat sehingga dapat mencapai tujuan perusahaan.
Selain itu, manajemen risiko merupakan bagian dari manajemen strategi
perusahaan. Hal ini merupakan proses dimana perusahaan mengatasi risiko yang
melekat pada kegiatan mereka dengan tujuan mencapai keuntungan yang berkelanjutan
dalam setiap kegiatan dan seluruh portofolio dari. Fokus manajemen risiko yang
berkaitan dengan identifikasi dan perlakuan risiko dimana tujuannya adalah untuk
menambah nilai tambah disemua kegiatan perusahaan.
Manajemen risiko harus menjadi proses yang berkesinambungan dan berkembang
yang berjalan sepanjang strategi perusahaan dan pelaksanaanya. Dengan menerapkan
manajemen risiko, perusahaan harus mampu mengatasi seluruh risiko sekitar kegiatan
perusahaan dimasa lalu, sekarang, dan masa depan.
Manajemen risiko meliputi pengukuran dan pengendalian risiko serta menggunakan
keduanya untuk memperbaiki tingkat risiko perusahaan dan meningkatkan laba
perusahaan. Manajemen risiko mempunyai empat pengertian (Penza, 2001), sebagai
berikut:
1. Dalam pengertian umum, manajemen risiko berarti proses pengukuran risiko
meliputi pengumpulan data, identifikasi data dan pengelopokkan data sesuai
jenis risiko).
2. Dalam arti yang lebih luas bahwa manajemen risiko adalah risk control dengan
cara memonitor risiko yang mungkin terjadi yang dilakukan oleh bagian
manajemen risiko didalam sebuah perusahaan.
3. Peningkatan risk control termasuk mengawasi pembenahan perilaku unit bisnis
dengan berpedoman pada prinsip-prinsip manajemen risiko yang diterapkan
oleh perusahaan tersebut dan melakukan koreksi pada profil risiko yang tidak
tepat.
4. Manajer bagian manajemen risiko memberikan pedoman untuk pengalokasian
modal untuk menanggulangi risiko yang mungkin terjadi, mengintegrasikan
business performance dan manajemen risiko dengan rencana stategik perusahaan.
Manajemen risiko merupakan serangkaian keputusan bisnis berdasarkan kebijakan
dan strategi bisnis yang sesuai untuk mengoptimalkan risk-adjusted returns on assets. Proses
ini bukan untuk menghindari risiko tetapi untuk mengelola risiko dan meminimalkan
dampaknya. Disamping itu proses manajemen risiko meliputi identifikasi eksposur yang
relevan terhadap risiko, mengevaluasi jumlah kerugian dan jumlah terjadinya risiko,
menentukan tehnik manajemen risiko yang sesuai dan mengimplementasikannya serta
meninjau kembali hasilnya.
Manajemen risiko juga wajib diintegrasikan ke dalam budaya perusahaan dengan

kebijakan yang efektif dan program yang dipimpin oleh manejer senior. Manajemen
risiko juga harus menerjemahkan strategi ke dalam tujuan taktis dan operasional,
menetapkan tanggung jawab seluruh perusahaan dengan masing-masing manajer dan
karyawan yang bertanggung jawab atas pengelolaan risiko sebagai bagian dari pekerjaan
mereka deskripsi.Mendukung akuntabilitas, pengukuran kinerja dan penghargaan,
sehingga mempromosikan efisiensi operasional disemua tingkatan.
1.2.2 Manfaat Manajemen Risiko

Manajemen risiko merupakan kegiatan manajemen yang dilakukan pada
tingkatkan pada tingkat pimpinan pelaksana. Yaitu kegiatan penemuan dan analisis
sistematis atas kerugian yang mungkin dihadapi oleh badan usaha, akibat suatu risiko
serta metode yang paling tepat untuk menangani kerugian tersebut yang dihubungkan
dengan tingkat profitabilitas badan usaha.
Dengan adanya manajemen risiko, perusahaan memiliki alat yang dapat
membantu manajemen untuk secara sistematik mengidentifikasi kejadian-kejadian
apa saja yang dapat menimbulkan risiko terhadap perusahaan, dan mengevaluasi
bagaimana dampak serta kemungkinan dari setiap kejadian tersebut. Sehingga
manajemen mampu mengembangkan langkah-langkah mengurangi risiko, baik
dampak maupun kemungkinan dari setiap kejadian tersebut. Selain itu, perusahaan
juga mampu mengembangkan apa yang sering disebut BCP (Business Continuity Plan)
yaitu suatu pendekatan yang membuat perusahaan selalu siap menghadapi hal terburuk
yang mungkin terjadi dan sudah memiliki langkah-langkah bagaimana mengatasinya
sehingga operasi perusahaan dapat berjalan dengan suatu tingkat operasi tertentu
selama terjadinya suatu kejadian yang tidak diharapkan.
Manfaat yang diperoleh dengan menerapkan manajemen risiko untuk
menghindarkan kemungkinan munculnya hasil-hasil yang mengejutkan (surprise) secara
biaya sehingga merugikan perusahaan. Dalam membuat keputusan dari lebih terbuka
dan transparansi serta sistematis dan tepat waktu. Pelaporan yang lebih efektif dan
terstruktur dalam memenuhi kebutuhan perusahaan dan yang hasil diperoleh lebih
baik serta efisiensi dan efektivitas.
Darmawi (2010) juga menjelaskan tentang suatu manajemen risiko yang diberikan
terhadap perusahaan dapat dibagi dalam lima kategori utama yaitu:
1. Manajemen risiko mungkin dapat mencegah perusahaan dari kegagalan.
2. Manajemen risiko menunjang secara langsung peningkatan laba.
3. Manajemen risiko dapat memberikan laba secara tidak langsung.
4. Adanya ketenangan pikiran bagi manajer yang disebabkan oleh adanya
perlindungan terhadap risiko murni, merupakan harta non material bagi
perusahaan itu.
5. Manajemen risiko melindungi perusahaan dari risiko murni, dan karena

kreditur, pelanggan dan pemasok lebih menyukai perusahaan yang dilindungi
maka secara tidak langsung menolong meningkatkan public image.
1.3. Proses Manajemen Risiko

Penerapan manajemen risiko di perusahaan membutuhkan proses agar penerapan
dapat menjadi efektif dan efisien agar pencapaian tujuan perusahaan dapat tercapai.
Proses tersebut diawali dengan menentukan konteks dan kedua menentukan sasaran
perusahaan. Proses tersebut sebagai konteks sesuai dengan:
•• Visi dan Misi Perusahaan
•• Sasaran/Target Perusahaan
•• Identifikasi Kepentingan Stakeholders
•• Artikulasi Lingkungan Eksternal dan internal
•• Konteks Penerapan Proses Manajemen Risiko
•• Menetapkan Kriteria Risiko
Sedangkan sasaran perusahaan harus sesuai dengan kondisi perusahaan sehingga
pencapaian sasaran perusahaan dapat tercapai dan terukur. Adapun sasaran harus
memenuhi kriteria:
•• Sasaran harus jelas dan spesifik (SMART) untuk dapat dilakukan kajian
risikonya;
•• Apabila sasaran ini mempunyai sasaran di tingkat yanag lebih atas dan tingkat
di bawahnya, perhatikan keselarasan sasaran-sasaran tersebut. Ketidakselarasan
itu sendiri akan menimbulkan riiko;
•• Apabila terdapat beberapa sasaran, perhatikan saling keterkaitannya dan apakah
ini dapat diperlakukan menjadi satu kajian risikonya, sebagai satu kelompok
sasaran.
Sasaran memenuhi SMART yaitu:
Specific Menggunakan istilah tertentu agar jelas daripada menggunakan bahasa
multitafsir dan tidak jelas.
Measurable Mencakup beberapa metode yang obyektif untuk dapat mengukur
pencapaian yang diharapkan.
Achievable Pencapaian tujuan mengandung tantangan namun realistis
Relevant Mengikuti strategi bisnis organisasi
Timely Menentukan jangka waktu
Penerapan manajemen risiko membutuhkan komitmen kuat dari Dewan Direksi

agar penerapan manajemen risiko sesuai dengan best practice manajemen risiko di
industri. Penerapan manajemen risiko harus standar yang berlaku antara lain:
•• P enerapan manajemen risiko adalah keharusan untuk mencapai tujuan

perusahaan
•• Manajemen risiko harus diterapkan secara terintegrasi diseluruh organisasi dan
tidak diterapkan secara terkotak-kotak, sehingga akan menghasilkan efisiensi
dan efektifitas biaya.
•• Manajemen risiko harus diterapkan secara sinergi dengan sistem manajemen
lainnya sebagai sistem peringatan dini (early warning system) terhadap terjadinya
kegagalan pencapaian tujuan organisasi.
•• Risiko merupakan pertimbangan penting pada setiap perencanaan bisnis dan
pada setiap pengambilan keputusan manajemen.
•• Seluruh elemen organisasi harus memiliki kesadaran dan kepedulian terhadap
risiko dalam setiap aktivitas bisnis yang dilaksanakan sesuai wewenang dan
tanggung jawab masing-masing.
•• Seluruh risiko yang mungkin timbul pada pelaksanaan bisnis dalam organisasi
baik pada level korporat maupun level cabang harus diidentifikasi, diukur,
ditangani, dikomunikasikan dan dimonitor secara berkesinambungan.
•• Manajemen harus menyediakan dan mengalokasikan sumber daya yang
cukup untuk mencapai tujuan manajemen risiko, termasuk untuk peningkatan
kompetensi sumber daya manusia dalam bidang manajemen risiko.
1.4 Manajemen Risiko Tradisional dan Perusahaan

Manajemen risiko dari tahun ketahun mengalami perbaikan yang signifikan sesuai
dengan perkembangan industry dan teknologi yang begitu cepat sehingga banyak
menimbulkan risiko baru. Sebagai perbandingan manajemen risiko tradisional dengan
manajemen risiko korporat (ERM) yang komprehensif.
Manajemen Risiko tradisional memiliki karakteristik sebagai berikut:

•• akupan strategi terbatas
C
•• Memiliki fokus atau pandangan yang sempit atau jangka pendek
•• Hanya melihat kejadian risiko yang sebagai ancaman.
•• Bersifat reaktif terhadap kejadian
•• Tidak memiliki pemahaman yang sistematis terhadap keterkaitan dan hubungan
antar berbagai faktor risiko.
•• Tidak terintegrasi dengan unit atau fungsi dalam perusahaan.
Disamping memiliki karakteristik, manajemen risiko tradisional memiliki
kekurangan. Kekurangan tersebut adalah:
•• Mitigasi risiko dan pembiayaan risiko tidak sinergis.
•• Pelaporan risiko yang tidak konsisten.
•• Pengukuran Risiko jarang dilakukan.
•• T erdapat kerancuan perihal pihak yang bertanggung jawab untuk beberapa jenis
risiko serta ketidakjelasan peran dan tanggung jawab.
•• Tidak ada sistem komunikasi yang baik.
•• Didorong oleh kepentingan fungsi atau bagian atau seksi atau departemen.
•• Berorientasi biaya.
Manajemen risiko tradisional berupaya untuk fokus pada risiko yang dapat diukur,
sedangkan risiko yang sulit diukur atau yang membutuhkan keahlian khusus sering
diabaikan misalnya risiko reputasi. Tanggung jawab mengelola risiko mengacu kepada
keberadaan risiko pada organisasi seperti pemindahan risiko dengan asuransi dilakukan
pada fungsi manajemen risiko. Fungsi treasuri menangani risiko tingkat suku bunga,
sedangkan fungsi hukum menangani risiko terkait dengan hukum. Fungsi-fungsi dalam
perusahaan belum terintegrasi dan komprehensif, penangan risiko masih parsial.
Manajemen risiko perusahan suatu pendekatan yang terintegrasi dan menyeluruh
yang memerlukan sistem berpikir dan pemahaman terhadap keterkaitan antar
komponen dalam suatu sistem organisasi perusahaan.
Manajemen risiko perusahaan telah berkembang dengan pesat dan sudah
merupakan kebutuhan dasar untuk perusahaan agar target dan tujuan perusahaan
dapat tercapai. Mengapa manajemen risiko perusahaan perlu diterapkan ?
•• Kebangkrutan Enron tidak akan pernah terjadi apabila ada transparansi dalam
laporan keuangan.
•• Diperlukan transparansi dalam mengelola risiko.
•• Penggunaan modal yang lebih optimal.
•• Perkembangan ERM berkembang sangat cepat.
•• Keunggulan Daya Saing.
Ada perbedaan yang mendasar antara manajemen risiko tradisional dan manajemen
risiko perusahaan. Perbedaan tersebut adalah:
No. Manajemen Risiko Tradisional Manajemen Risiko Perusahaan (ERM)
1 Pemantauan risiko adalah fungsi Pemantauan risiko adalah CEO (dengan
tingkat rendah dari auditor internal pengawasan Dewan)
2 Risiko sebagai faktor negatif yang Risiko sebagai faktor ancaman yang
dikendalikan dikendalikan sebagai suatu peluang
3 Risiko dikelola secara terpisah dalam Risiko dikelola secara terpadu
fungsi/unit dalam perusahaan (enterprise-wide mode)
4 Tanggung jawab atas manajemen Manajemen risiko adalah tanggung
risiko didelegasikan kepada tingkat jawab senior management
yang lebih rendah
5 Pengukuran risiko adalah subyektif Pengukuran risiko secara kuantifikasi
6 Tidak terstruktur dan fungsi-fungsi Manajemen risiko dibangun ke dalam
manajemen risiko yang berbeda semua sistem manajemen perusahaan
Banyak faktor yang menyebabkan perusahaan tidak menerapkan manajemen

risiko. Faktor tersebut adalah:
•• Perusahaan merasa tidak mempunyai risiko yang signifikan.
•• Program terlalu kecil sehingga tidak perlu untuk menerapkan manajemen risiko
•• Mendengar banyaknya potensi risiko di perusahaan sehingga nasabah akan
pergi.
•• Perusahaan akan berurusan dengan masalah yang muncul akibat risiko.
•• Mengidentifikasikan risiko dapat berdampak buruk dengan karir pegawai.
•• Manajemen risiko menciptakan pekerjaaan tambahan buat pegawai sehingga
enggan untuk menerapkannya.
•• Bagaimana mungkin dapat memprediksi apa yang akan terjadi nantinya.
•• Perusahaan merencanakan dan mau akan mengimplementasikan manajemen
risiko diperusahaan. Artinya masih dalam rencana, belum tau kapan
direalisasikan.
Kriteria utama dalam menerapkan risiko perusahaan antara lain:
•• Penerapan manajemen risiko secara komprehensif dan menyeluruh.
•• Semua risiko masuk dalam risk register.
•• Fokus pada risko utama yang memberikan probabilitas dan dampak besar
terhadap perusahaan.
•• Tipe risiko yang terintegrasi dengan fungsi atau unit kerja di perusahaan.
•• Manajemen risiko menjadi pertimbangan dalam pengambilan keputusan.
•• Menyeimbangkan pengelolaan imbal hasil dan risiko.
•• Membuat identifikasi risiko transparan dan tepat di dalam risk register.
•• Dapat meningkatkan nilai perusahaan.
•• Fokus pada pemangku kepentingan (Stakeholders) utama yang dapat
menimbulkan risiko untuk perusahaan.
Penerapan manajemen risiko diharapkan mencapai hasil yang efektif. Namun
tidak sedikit yang kurang berhasil dalam penerapannya. Hal ini disebabkan karena:
•• Terbatasnya pemahaman risiko sehingga mengabaikan risiko lain yang harus
diperhitungkan.
•• Mengabaikan risiko yang diketahui mengabaikan risiko yang diketahui. Salah
satu tipe risiko dapat diketahui bahwa sering dilupakan adalah risiko di luar
risiko normal.
•• Risiko tersembunyi manajemen risiko mungkin gagal karena orang-orang yang
bertanggung jawab untuk risiko tidak mau melaporkannya.
•• Gagalnya komunikasi manajemen risiko harus dikomunikasikan dengan efektif,
tepat waktu dan tanpa bias kepada Dewan Direksi sebagai penanggung jawab
tertinggi membuat keputusan tentang risiko.
•• Tidak memantau risiko manajemen risiko merupakan proses dinamis dan risiko
perusahaan yang telah diidentifikasikan membutuhkan pemantauan berkala
dan tindakan, untuk menyakinkan perusahaan hanya mengambil tindakan

yang hanya mau diambil.
1.5 Budaya Risiko

Budaya risiko adalah istilah yang menggambarkan nilai-nilai, keyakinan,
pengetahuan dan pemahaman tentang risiko secara bersama oleh sekelompok orang
dengan memiliki tujuan yang sama. Hal ini berlaku apakah perusahaan swasta, badan
usaha milik negara (BUMN) atau perusahaan nirlaba.
Budaya risiko merupakan sistem nilai dan perilaku yang ada di seluruh organisasi
dalam bentuk pengambilan keputusan terkait dengan risiko. Artinya budaya risiko
mempengaruhi pengambilan keputusan manajemen dengan mempertimbangkan risiko
yang akan ditanggung dan manfaat yang akan diperoleh. Salah satu unsur budaya risiko
adalah sejauh mana individu memahami bahwa risiko dan kepatuhan terhadap aturan
berlaku untuk semua orang karena terkait dengan tujuan perusahaan agar dapat dicapai.
Budaya risiko suatu perusahaan adalah elemen penting yang dapat memastikan bahwa
doing the right thing lebih baik atas doing whatever it takes. Manajemen yang menempatkan
pentingnya budaya risiko adalah untuk menciptakan dan menerapkan manajemen risiko
dengan benar dan tepat di seluruh perusahaan.
Perilaku etis merupakan komponen utama dari budaya risiko agar penerapannya
menjadi kuat dan efektif. Kode Etik dapat membantu perusahaan secara efektif
berkomunikasi dengan karyawan melalui etika dan kepatuhan. Kode etik harus
ditetapkan berdasarkan nilai-nilai inti organisasi, standar etika dan harapan bagi
karyawannya. Hal ini juga dapat memperkenalkan bagaimana manajemen risiko
harus dimasukkan dalam perilaku dan cara kerja karyawan dalam melaksanakan tugas
rutin kantor setiap harinya. Dengan melakukan komunikasi yang baik juga berarti
melakukan perbaikan secara terus-menerus dan memastikan bagaimana fungsi risiko
dan lini bisnis dapat bekerja sama serta memastikan bahwa informasi risiko dapat secara
konsisten sampai keseluruh lini bisnis perusahaan. Selain itu, dewan direksi harus dapat
menerima tingkat risiko yang berani ditanggung sesuai dengan data risiko perusahaan.
Dewan direksi juga melakukan pengukuran apakah penerapan manajemen risiko saat
ini telah sesuai dengan rencana jangka panjang dan pendek perusahaan. Direksi hanya
dapat memberikan pengawasan risiko jika mereka diberi informasi yang tepat waktu
dan lengkap, dan ketika jalur komunikasi terbuka untuk membahas isu-isu risiko dengan
Chief Risk Officer (CRO) dan eksekutif senior lainnya.
Perusahaan dengan budaya risiko yang kuat memiliki pendekatan yang konsisten
dan berulang ketika membuat keputusan bisnis yang penting, termasuk membahas
tentang risiko dan mengkaji ulang dari skenario risiko yang dapat membantu manajemen
dan mengukur dampak risiko. Diskusi tentang risiko dalam proses pengambilan
keputusan resmi dapat membantu para eksekutif merasa nyaman dengan keputusan
yang telah diambil untuk kepentingan perusahaan lebih besar.
Dalam beberapa hal, menciptakan budaya risiko yang tepat dimulai selama
proses wawancara. Perusahaan yang memiliki proses perekrutan menyeluruh dapat
merasakan apakah calon karyawan akan masuk ke dalam budaya risiko perusahaan
selama tahap wawancara. Hal ini dapat menantang untuk mengubah pola pikir risiko
yang bertentangan, bukan dimulai dengan karyawan yang berbagi nilai-nilai dan etika
yang sama. Memiliki budaya risiko yang kuat berarti bahwa karyawan tahu tentang
bisnis perusahaan, batas-batas di mana mereka dapat mengoperasikan, dan bahwa
mereka dapat mendiskusikan dan memperdebatkan secara terbuka yang risiko harus
diambil untuk mencapai tujuan strategis jangka panjang perusahaan.
Sebuah budaya risiko yang kuat dapat dibangun dari waktu ke waktu, tetapi juga
harus menginspirasi untuk seluruh karyawan. Tindakan manajemen yang konsisten
dan etika berkomunikasi dalam menerapkan manajemen risiko menjadi langkah awal
untuk menanamkan budaya risiko. Dewan direksi dapat membantu menanamkan
budaya tersebut dengan mengajukan masukan yang tepat dan memberikan perspektif
yang baik tentang penerapan manajemen risiko. Setelah direksi telah memulai dengan
yang benar, penerapan budaya risiko diperusahaan akan berjalan dengan baik.
Budaya manajemen risiko merupakan bagian dari proses manajemen risiko yang
meliputi:
1. Organisasi manajemen risiko dan struktur tata kelola.
2. Peran, kemampuan dan akuntabilitas staf manajemen risiko.
3. Komunikasi manajemen risiko dan transparansi.
4. Kebijakan manajemen risiko.
5. Pengaruh manajemen risiko untuk penganggaran dan manajemen kompensasi.
Budaya risiko sudah merupakan bagian dari budaya perusahaan dimana akan
memudahkan dalam menerapkan manajemen risiko di perusahaan secara efisien dan
efektif. Penerapan budaya risiko diperusahaan akan berjalan dengan baik apabila:
•• Konsisten dari pimpinan perusahaan dan manajemen senior terkait dengan
mengambil dan menghindari risiko.
•• Komitmen terhadap prinsip-prinsip etika, tercermin dalam perhatian dengan
profil etika individu dan penerapan etika dengan mempertimbangkan posisi
pemangku kepentingan yang lebih luas dalam pengambilan keputusan
•• Secara umum dapat diterima melalui perusahaan bahwa pentingnya pengelolaan
risiko secara berkelanjutan, termasuk akuntabilitas pemilik risiko.
•• Transparan dan informasi risiko tepat waktu baik keatas maupun kebawah
organisasi, apabila ada kejadian risiko segera dikomunikasikan tanpa merasa
takut disalahkan.
•• M endorong melaporkan kejadian risiko dan aktif mencari solusi setelah belajar
dari kesalahan dan nyaris terjadi risiko yang dapat mempengaruhi kinerja
perusahaan.
•• Tidak ada proses atau kegiatan yang terlalu besar atau terlalu rumit untuk risiko,
sehingga proses bisnis tersebut akan mudah dipahami.
•• Perilaku pengambilan risiko yang sesuai dan tepat akan mendapatkan
penghargaan dan begitu juga sebaliknya jika perilaku yang tidak pantas dan
merugikan perusahaan akan diberikan sanksi.
•• Keterampilan dan pengetahuan manajemen risiko yang memadai mendorong
dan meningkatkan sumber daya manajemen risiko dengan memiliki kualifikasi
profesional yang didukung pelatihan teknis yang profesional.
•• Perspektif keragaman, nilai-nilai dan keyakinan untuk memastikan bahwa
secara konsisten dalam menerapkan budaya risiko.
•• Keselarasan pengelolaan budaya dengan keterlibatan karyawan dan orang
penting untuk memastikan bahwa orang-orang yang mendukung secara sosial
tetapi juga sangat fokus pada tugas dan pekerjaannya.
Budaya dalam suatu organisasi muncul dari perilaku berulang anggotanya. Perilaku
ini dibentuk oleh nilai-nilai yang mendasari, keyakinan dan sikap individu yang sebagian
melekat tetapi juga dipengaruhi oleh budaya yang berlaku dalam organisasi. Budaya
adalah karena itu tunduk pada kondisi yang dapat memperkuat diri baik kalangan
berbudi luhur atau kurang berbudaya. Budaya adalah lebih dari sebuah pernyataan nilai
- berkaitan dengan bagaimana menerjemahkan ke dalam tindakan nyata. Setiap orang
akan memiliki pengalaman langsung dari budaya yang berbeda di tempat yang berbeda
dari pekerjaan, bahkan dalam organisasi tampaknya bekerja dalam kondisi yang sama.
Budaya risiko akan memurnikan konsep budaya perusahaan yang fokus pada
kemampuan kolektif dalam mengelola risiko, tetapi budaya perusahaan yang lebih luas
itu sendiri adalah latar belakang aktif menentukan budaya risiko. Sikap yang dipilih
dan diterima oleh seorang individu atau kelompok terhadap risiko, dipengaruhi oleh
persepsi terhadap risiko. Perilaku risiko merupakan tindakan terkait risiko setelah
mengamati pengaruh eksternal, termasuk pengambilan keputusan berbasis risiko,
proses risiko, komunikasi risiko dan lainnya. Budaya Risiko merupakan nilai-nilai,
keyakinan, pengetahuan dan pemahaman tentang risiko secara bersama-sama oleh
sekelompok orang dengan tujuan yang telah ditetapkan bersama, khususnya pimpinan
dan karyawan dari sebuah organisasi.
Budaya risiko begitu penting karena semua organisasi perlu mengambil risiko
untuk mencapai tujuan organisasi. Budaya risiko yang berlaku dalam suatu organisasi
dapat membuatnya secara signifikan lebih baik atau lebih buruk dalam mengelola risiko
ini. budaya risiko secara signifikan mempengaruhi kemampuan untuk mengambil
keputusan strategis untuk meningkatkan kinerja perusahaan. Organisasi dengan
budaya risiko yang tidak layak secara tidak sengaja akan menemukan diri mereka
memungkinkan kegiatan yang benar-benar bertentangan dengan kebijakan dan prosedur

luar kebijakan perusahaan. Budaya risiko bukan hanya berarti bahwa individu atau tim
tertentu akan melakukan kegiatan ini tetapi bahwa seluruh organisasi.
Budaya risiko yang baik tidak akan menghambat pencapaian tujuan strategis,
taktis dan operasional perusahaan. Budaya risiko yang baik akan meningkatkan kinerja
perusahaan, akan tetapi sebaliknya budaya risiko yang buruk akan menyebabkan
kerugian reputasi yang berdampak terhadap keuangan perusahaan yang serius.
Ketentuan tata kelola perusahaan di seluruh dunia semakin menuntut manajemen
harus memahami dan mengkomunikasikan budaya risiko. Manajemen memiliki
tanggung jawab untuk mengatur, berkomunikasi dan menegakkan budaya risiko yang
konsisten mempengaruhi, mengarahkan dan sejalan dengan strategi dan tujuan bisnis
dan dengan demikian mendukung kerangka manajemen risiko dan proses.
Manajemen perusahaan dalam mensosialisasikan budaya risiko harus
memperhatikan:
•• Apakah budaya risiko saat ini di perusahaan sudah berjalan baik dan bagaimana
meningkatkan manajemen risiko ke dalam budaya perusahaan?
•• Bagaimana merubah budaya tidak perduli dengan risiko menjadi budaya perduli
dengan risiko?
•• Bagaimana budaya risiko perusahaan menjadi kekuatan perusahaan dalam
menghadapi persaingan?
Ada lima langkah dalam menerapkan kerangka kerja budaya risiko di perusahaan:
1. Memberi pemahaman mengenai risiko dan manfaatnya untuk perusahaan.
2. Membentuk etika karyawan terhadap budaya perusahaan.
3. Membentuk lingkungan kerja yang mendukung terbentuknya budaya risiko.
4. Meningkatkan penerapan budaya perusahaan.
5. Membentuk dan menerapkan budaya risiko yang merupakan bagian penting
dari buadaya perusahaan.
Penerapan budaya risiko dalam perusahaan merupakan komitmen bersama antara
manajemen dalam tataran oragnisasi dan karyawan dalam tataran individu dimana
keduanya menuju perubahan perilaku. Kedua seiring berjalan agar budaya risiko
terbentuk di perusahaan merupakan kebersamaan dan memiliki perilaku yang sama
demi kemajuan kinerja perusahaan. Adapun langkah yang dilakukan seperti bagan
dibawah ini.
merupakan kebersamaan dan memiliki perilaku yang sama demi kemajuan
usahaan. Adapun langkah yang dilakukan seperti bagan dibawah ini.
Gambar 1.5
Gambar 1.5
Mengubah Perilaku Untuk Membentuk Budaya Risiko
Mengubah Perilaku Untuk Membentuk Budaya Risiko
Pemilik Risiko
TAHU SADAR MAMPU MAU
Perubahan Budaya
Perusahaan Pola Pikir dan Risiko
Perilaku
MANFAAT PENGHARGAAN
PELATIHAN DAN
SOSIALISASI DAN
BAHAYA SANKSI
Proses membentuk budaya risiko ada beberapa tahapan agar penerapan budaya
mbentuk budaya risiko ada beberapa tahapan agar penerapan budaya risiko di
risiko di perusahaan sesuai dengan harapan.
sesuai dengan Langkah
harapan. perubahan untuk membentuk budaya risiko di perusahaan:
h perubahan untuk1. Melakukan
membentuk evaluasi
budaya budaya
risiko risiko di perusahan saat ini.
di perusahaan:
2. Bagaimana dampak dari perubahan budaya terhadap perusahaan.
ukan evaluasi budaya risiko di perusahan
• Perubahan saatmembutuhkan
budaya ini. usaha yang berkesinambungan untuk
mana dampak dari perubahan budaya terhadap perusahaan.
mengadaptasi kedalam bentuk budaya baru di perusahaan.
• Menganalisis kekuatan dan kelemahan dari perubahan dan bagaimana
perubahan budaya untuk perusahaan kedepannya.
3. Bagaimana meningkatkan budaya risiko di perusahaan
• Mempertimbangkan regulasi dan pengaruh lingkungan.
• Dengan perubahan ini bagaimana kinerja perusahaan kedepannya.
4. Rencanakan dan implementasikan perubahan budaya.
• Apa saja yang dibutuhkan untuk terus tumbuh dan berkelanjutan budaya
risiko baru?.
5. Monitor dan siap untuk melakukan perubahan menjadi lebih baik.
• Apakah pencapaian sudah sesuai dengan harapan perusahaan?.
• Sejauh mana progress dari pencapaian penerapan budaya risiko yang
diharapkan ?.
Bab 2 - Standar dan Manajemen Resiko 25
Bab 2
STANDAR MANAJEMEN RISIKO
2.1 Standar Manajemen Risiko

Perusahaan atau organisasi dari semua jenis industri dan ukuran perusahaan
menghadapi faktor internal dan eksternal yang memiliki pengaruh dalam mencapai
tujuan perusahaan. Apa saja yang menghambat dalam pencapaian target perusahaan
merupakan risiko. Artinya dampak dari ketidakpastian dalam mencapai tujuan
perusahaan merupakan risiko. Semua kegiatan perusahaan memiliki risiko, sehingga
harus mampu mengelola risiko dengan mengidentifikasi, menganalisis dan kemudian
mengevaluasi apakah risiko tersebut perlu dilakukan penanganan risiko dalam rangka
untuk memenuhi kriteria risiko yang telah dibuat. Sepanjang proses risiko perlu
dilakukan komunikasi dan berkonsultasi dengan pemangku kepentingan (stakeholders)
dan memantau dan mengkaji ulang terhadap risiko serta mengendalikan risiko yang
telah dilakukan perlakuan risiko yang bertujuan untuk memastikan bahwa tidak ada
perlakuan resiko lebih lanjut yang diperlukan.
Banyak perusahaan dalam mengelola risiko telah menetapkan standar dengan
sejumlah prinsip yang harus dipenuhi untuk membuat manajemen risiko menjadi
efektif. Standar ini merekomendasikan bahwa perusahaan melakukan pengembangan
dan menerapkan serta terus meningkatkan kerangka kerja (framework) yang bertujuan
adalah untuk mengintegrasikan proses untuk mengelola risiko ke dalam seluruh
perusahaan, strategi dan perencanaan, manajemen, pelaporan proses, kebijakan, nilai-

nilai dan budaya perusahaan. Manajemen risiko dapat diterapkan untuk seluruh
organisasi/perusahaan berbagai industri. Baik perusahaan besar atau kecil, perusahaan
profit oriented atau nirlaba.
Meskipun penerapan manajemen risiko telah berkembang dari waktu ke waktu
dan dalam berbagai sektor, proses penerapan yang konsisten dalam kerangka kerja
yang komprehensif dapat membantu untuk memastikan risiko yang dikelola secara
efektif dan efisien di dalam perusahaan. Diperlukan standar yang dapat memberikan
prinsip-prinsip dan pedoman untuk mengelola segala bentuk risiko secara sistematis,
transparan dan dapat dipercaya dan dalam setiap lingkup dan konteks. Masing-masing
sektor dalam penerapan manajemen risiko memiliki persepsi dan kriteria tersendiri
sehingga bersifat unik walaupun dalam industri sejenis. Membangun konteks sebagai
kegiatan awal pada proses penerapan manajemen risiko dimana dalam menetapkan
konteks akan melihat tujuan organisasi, lingkungan sekitar, kepentingan stakeholderss
dan berbagai macam kriteria risiko sehingga dapat menilai sifat dan kompleksitas risiko
yang akan dihadapi perusahaan.
Tujuan untuk menerapkan standar manajemen risiko antara lain:
•• Meningkatkan peluang mencapai tujuan/target perusahaan.
•• M endorong manajemen bersifat proaktif. Artinya perusahaan sudah
mengantisipasi dan menyiapkan mitigasi bila terjadi risiko.
•• Telah mengidentifikasi dan menangani risiko di perusahaan.
•• Memiliki profil risiko perusahaan.
•• Patuh terhadap hukum dan peraturan yang berlaku dan norma-norma
internasional.
•• Pelaporan wajib dan sukarela menjadi tepat waktu.
•• Meningkatkan tata kelola perusahaan.
•• Meningkatkan kepercayaan pemangku kepentingan.
•• Membangun dasar untuk pengambilan keputusan dan perencanaan.
•• Meningkatkan pengendalian.
•• Efektif dalam mengalokasikan dan menggunakan sumber daya untuk
penanganan risiko.
•• Meningkatkan efektivitas dan efisiensi operasional perusahaan.
•• Meningkatkan Health, Safety and Environmental (HSE) semakin baik.
•• M eningkatkan kemampuan mengelola risiko dan mencegahan dan
meminmalkan kerugian perusahaan.
•• Meningkatkan ketahanan perusahaan dan pembelajaran bagi perusahaan.
Manajemen risiko dan mengelola risiko keduanya digunakan dalam penerapan
manajemen risiko. Secara umum, manajemen risiko mengacu pada arsitektur (prinsip,
kerangka kerja dan proses) dalam mengelola risiko secara efektif. Sedangkan mengelola
risiko mengacu pada menerapkan arsitektur yang risiko tertentu saja.
Penerapan manajemen risiko membutuhkan analisis stakeholders dimana stakeholders

yang mempunyai pengaruh dan berdampak kuat yang dapat menimbulkan risiko buat
perusahaan harus menjadi perhatian utama dari manajemen perusahaan. Dengan
memperhatikan kebutuhan stakeholders dalam penerapan manajemen risiko akan
memudahkan dalam mengindentifikasikan risiko dalam analisis tersebut.
Kebutuhan stakeholders antara lain:
•• Manajemen bertanggung jawab untuk mengembangkan kebijakan manajemen
risiko dalam perusahaan.
•• Manajemen bertanggung jawab untuk memastikan risiko tersebut dikelola
secara efektif dalam perusahaan.
•• Manajemen mengevaluasi efektivitas perusahaan dalam mengelola risiko.
•• Manajemen mengembangkan standar, panduan, prosedur dan kode praktek
yang, secara keseluruhan atau sebagian dalam mengelola risiko.
Standar internasional manajemen risiko memberikan prinsip-prinsip dan pedoman
umum. Standar internasional ini dapat digunakan oleh setiap masyarakat, perusahaan
swasta atau komunitas, asosiasi, kelompok atau perorangan sehingga standar ini
tidak spesifik untuk setiap industri atau sektor. Standar ini dapat diterapkan di
seluruh kehidupan suatu organisasi, dan untuk berbagai kegiatan, termasuk strategi
dan keputusan, operasi, proses, fungsi, proyek, produk, jasa dan aset. Standar ini
dapat diterapkan untuk setiap jenis risiko, apapun sifatnya, apakah memiliki dampak
positif atau negatif. Meskipun standar internasional ini memberikan pedoman
umum, tidak dimaksudkan untuk keseragaman manajemen risiko di perusahaan.
Desain dan implementasi dari rencana manajemen risiko dan kerangka kerja akan
perlu mempertimbangkan berbagai kebutuhan organisasi tertentu, tujuan tertentu,
konteks, struktur, operasi, proses, fungsi, proyek, produk, jasa, atau aset dan praktik
tertentu yang digunakan. Standar internasional ini digunakan untuk menyelaraskan
proses manajemen risiko dalam standar yang ada dan standar masa depan. Standar
internasional ini tidak dimaksudkan untuk tujuan sertifikasi karena manajemen risiko
tidak dapat dipastikan.
2.2 Australia Standard/New Zealand Standard

(AS/NZS 4360:2004)
Standar AS/NZS 4360:2004 (Standards Australia/Standards New Zealand) ini
terdiri dari 2 buku:
•• Pedoman umum: Risk management AS/NZS 4360:2004;
•• Petunjuk teknis: Handbook, Risk Management Guidelines Companion to
AS/NZS 4360:2004.
Ciri khusus dari Standar Australia / New Zealand AS/NZS 4360 : 2004
1. Dokumen standar terdiri dari 2 buku, yaitu: Risk Management AS/NZS 4360:2004
(30 halaman) dan HB 436:2004 Risk Management Guidelines Companion to AS/
NZS 4360:2004 (109 halaman).
2. Standar memuat proses manajemen risiko secara umum yang independen
bagi setiap jenis industri atau sektor ekonomi
3. Dokumen AS/NZS 4360 : 2004 merevisi dokumen standar sebelumnya
yaitu Standar Manajemen Risiko AS/NZS 4360 :1995 dan AS/NZS 4360:
1999.
4. Standar memperhatikan Arah dan Tujuan sebagai bagian dalam Komponen
Penetapan Konteks Manajemen Risiko.
5. Standar menekankan perlunya pendekatan sistematis untuk mengidentifikasi
risiko, apakah risiko tersebut termasuk atau tidak termasuk dalam
pengendalian organisasi. Standar menjelaskan secara rinci proses identifikasi
risiko, informasi yang dibutuhkan, pendekatan untuk mengidentifikasi risiko
dan dokumentasi identifikasi risiko.
6. Standar mendefinisikan risiko sebagai kesempatan sesuatu terjadi yang akan
mempunyai dampak terhadap tujuan.
a. Risiko kadang diartikan dengan suatu peristiwa atau kondisi dan
konsekuensi yang mungkin ada.
b. Risiko diukur dengan suatu kombinasi dari dampak dan probabilitas.
c. Risiko dapat mempunyai dampak positif atau negatif.
7. Komponen menganalisis risiko menjelaskan estimasi konsekuensi dan
kemungkinan risiko dengan mempertimbangkan pengendalian yang ada.
Pendekatan analisis risiko terbagi menjadi kualitatif, semikuantitatif, dan
kuantitatif. Standar menjelaskan adanya definisi risiko residual sebagai Risiko
tersisa setelah pelaksanaan perlakuan risiko. Perlakuan risiko dapat meliputi
menghindari, memodifikasi, berbagi risiko atau menahan risiko.
8. Standar mempertimbangkan komunikasi dan konsultasi pada awal standar.
9. Standar memperhatikan opsi-opsi untuk memperlakukan risiko terpisah
terhadap risiko yang mempunyai hasil positif dengan risiko yang mempunyai
hasil negatif.
10. Perlakuan risiko dapat meliputi menghindari, memodifikasi, berbagi risiko
atau menahan risiko.
11. Standar menjelaskan bagaimana pembentukan manajemen risiko yang efektif
melalui:
a. mengevaluasi praktik yang ada, meyakinkan adanya dukungan
manajemen senior,
b. membentuk wewenang dan tanggung jawab, dan meyakinkan kecukupan
sumber daya.
32
Kerangka kerja Standar AS/NZSkerja

Kerangka 4360:2004
Standar ada beberapa
AS/NZS tahapan.
4360:2004 adaTahapan
beberapasebagai berikut
tahapan. Tahapan
sebagai berikut :
Gambar Gambar
2.1 2.1
Proses Manajemen
Proses Manajemen Risiko Risiko
Menentukan Konteks
Risk Assessment
Komunikasi & Konsultasi
Monitoring & Review

Identifikasi Risiko
Monitoring & Review

Komunikasi & Konsultasi Analisa Risiko
Evaluasi Risiko
Perlakuan Risiko
Sumber : AS/NZS 4360:2004

Sumber : AS/NZS 4360:2004
2.2.1. Komunikasi dan Konsultasi
Komunikasi dan konsultasi merupakan langkah penting pada setiap proses
.2.1. Komunikasi dan Konsultasi
manajemen risiko yang bertujuan menyamakan persepsi agar penerapan manajemen
Komunikasi danrisikokonsultasi merupakan
dapat berjalan langkah
efektif dan penting miscommunication.
menghindarkan pada setiap proses manajemen
Komunikasi sangat
penting dengan stakeholders baik internal maupun eksternal. Rencana
isiko yang bertujuan menyamakan persepsi agar penerapan manajemen risiko dapat berjalan tersebut harus
mengkomunikasikan risiko yang ada dan proses untuk mengelolanya. Komunikasi
fektif dan menghindarkan miscommunication.
dan konsultasi meliputi dialog dua arah Komunikasi sangat
di antara para penting
stakeholders dengan
dengan upaya
takeholders baik internal maupun eksternal. Rencana tersebut harus mengkomunikasikan
yang terfokus pada konsultasi, ketimbang arus komunikasi satu arah dari pengambil
keputusan kepada para stakeholders lainnya.
isiko yang ada dan proses untuk mengelolanya. Komunikasi dan konsultasi meliputi dialog
Komunikasi internal dan eksternal yang efektif sangat penting untuk menerapkan
para stakeholders
ua arah di antaramanajemen risiko dandengan upaya yang
pihak-pihak lain terfokus pada konsultasi,
yang berkepentingan ketimbang
memahami dasar
pengambilan keputusan dan mengapa tindakan-tindakan tertentu diperlukan.
rus komunikasi satu arah dari pengambil keputusan kepada para stakeholders lainnya.
Komunikasi internal dan eksternal yang efektif sangat penting untuk menerapkan
2.2.2 Menetapkan Konteks
manajemen risiko danProses
pihak-pihak lain yang
terjadi dalam berkepentingan
kerangka memahami
kerja konteks stratejik, dasar pengambilan
organisasi dan manajemen
risiko. Tahapan ini perlu dilakukan untuk mendefinisi parameter dasar di mana
eputusan dan mengapa tindakan-tindakan tertentu diperlukan.
risiko harus dikelola, dan untuk menyediakan pedoman bagi keputusan dalam kajian
manajemen risiko yang lebih terinci. Tahapan ini menentukan lingkup bagi keseluruhan
.2.2 Menetapkan Konteks
Proses terjadi dalam kerangka kerja konteks stratejik, organisasi dan manajemen risiko.
Tahapan ini perlu dilakukan untuk mendefinisi parameter dasar di mana risiko harus dikelola,
proses manajemen risiko. Makna konteks di sini berarti segala hal yang berkaitan
dengan upaya manajemen dalam rangka mengelola risiko-risikonya.
Proses penetapan konteks mendefinisi parameter dasar dalam pengelolaan risiko
dengan memberi pemahaman mengenai:
1. Menetapkan Konteks Stratejik,
2. Menetapkan Konteks Organisasi,
3. Menetapkan Konteks Manajemen Risiko,
4. Mengembangkan Kriteria Evaluasi Risiko,
5. Mendefinisi Struktur,
Dalam penetapan konteks yang perlu diuraikan beberapa kegiatan:
Ruang lingkup manajemen risiko dalam organisasi
•• Sasaran dan tujuan program manajemen risiko dalam hubungannya dengan
organisasi.
•• Siapa, Apa, Kapan dan bagaimana sumber daya ditentukan.
•• Menentukan kriteria perlakuan Risiko.
•• Merumuskan tingkat dan dalamnya aktivitas manajemen risiko.
•• Merumuskan proyek atau aktivitas yang risikonya akan diidentifikasi.
•• Merumuskan table kriteria penaksiran risiko.
•• Merumuskan kriteria apakah suatu risiko diterima atau tidak.
Tabel 2.1 Likelihood/Probabilitas/Frekuensi

No Tingkat Probalitas Penjelasan
1 Jarang Mungkin terjadi hanya pada kondisi tidak normal
2 Kemungkinan kecil Mungkin terjadi pada banyak waktu
3 Kemungkinan sedang Dapat terjadi pada beberapa waktu
4 Kemungkinan besar Akan mungkin terjadi pada banyak keadaan
5 Hampir pasti Dapat terjadi pada banyak keadaan
Tabel 2.2 Konsekuensi/Dampak/Severity

No Tingkat dampak Penjelasan
1 Tidak signifikan Tidak ada cedera, kerugian financial tidak berarti
Penanganan pertolongan pertama, kerugian financial
2 Rendah sedang, tingkat politis rendah
Diperlukan penanganan medis, kerugian financial cukup
3 Menengah besar, tingkat politis sedang
Cidera yang meluas, kerugian financial besar, tingkat politis
4 Besar yang besar,
Kematian, kerugian financial sangat besar, kekacauan politis
5 Luar Biasa tingkat tinggi.
2.2.3 Identifikasi Risiko

Langkah mengidentifikasi risiko-risiko sangat kritikal, karena risiko yang potensial
jika tidak teridentifikasi pada tahapan ini tidak akan dianalisis lebih lanjut. Identifikasi
komprehensif dengan menggunakan proses sistematis yang terstruktur baik, harus
mencakup semua risiko, baik risiko yang berada dalam kendali organisasi maupun
risiko yang di luar kendali organisasi.
Tahap identifikasi risko bertujuan untuk menghasilkan informasi-informasi
mengenai sumber risiko, bahaya (hazard), faktor risiko, bencana/musibah (perils), dan
eksposur terhadap kerugian. Penggalian informasi yang dilakukan akan menghasilkan
suatu daftar komprehensif mengenai peristiwa yang dapat mempengaruhi setiap bisnis
proses perusahaan. Setelah mengidentifikasi daftar peristiwa, selanjutnya perlu untuk
mempertimbangkan sebab-sebab dan skenario yang mungkin. Ada banyak cara suatu
peristiwa dapat terjadi. Yang penting adalah tidak ada sebab signifikan yang terlewatkan.
Identifikasi risiko dapat dilakukan melalui:
• Pengalaman dan catatan catatan;
• Brainstorming;
• Analisis system;
• Laporan-laporan;
• Audit dan rekomendasi yang lain;
• Apa yang dapat terjadi – daftar peristiwa yang mungkin terjadi;
• Bagaimana dan mengapa peristiwa dapat terjadi–daftar kemungkinan sebab-
sebab dan skenario.
2.2.4 Analisis Risiko

Tujuan suatu analisis adalah untuk memisahkan risiko kecil yang dapat diterima
dari risiko-risiko besar, dan menyediakan data untuk membantu dalam mengevaluasi
dan perlakuan risiko. Analisis risiko mencakup pertimbangan mengenai sumber risiko,
dampak dan probalitas. Faktor-faktor yang mempengaruhi dampak, dan Probalitas
dapat diidentifikasi. Risiko dianalisis dengan mengkombinasi estimasi terhadap dampak
dan Probalitas di dalam konteks tindakan pengendalian yang ada.
Suatu analisis pendahuluan dilaksanakan sehingga risiko-risiko yang sama atau
risiko-risiko berdampak rendah dapat dikecualikan dari kajian mendalam. Risiko-risiko
yang dikecualikan, jika mungkin, harus didaftar untuk memperlihatkan kelengkapan
analisis risiko.
Menentukan Pengendalian yang Ada
Menentukan pengendalian yang ada meliputi aktivitas-aktivitas identifikasi
pengelolaan, sistem teknik, dan prosedur yang ada untuk mengendalikan risiko dan
penaksiran kekuatan dan kelemahannya. Perangkat yang digunakan dalam menentukan
ada tidaknya pengendalian dengan melakukan reviu internal control layak digunakan,
di samping pendekatan seperti inspeksi dan teknik control self-assessment (CSA).
Dampak dan Probalitas

Besaran dampak suatu peristiwa, jika harus terjadi, dan Probalitas peristiwa
beserta dampak terkait, ditaksir di dalam konteks pengendalian yang ada. Dampak dan
Probalitas dikombinasikan untuk menghasilkan level risiko. Dampak dan Probalitas
dapat ditentukan dengan menggunakan analisis statistik dan kalkulasi. Sebagai
alternatif, jika tidak tersedia catatan masa lalu, estimasi subyektif dapat dilakukan
untuk mencerminkan tingkat keyakinan dari individu atau kelompok, bahwa peristiwa
atau outcome tertentu akan terjadi.Untuk menghindari bias subyektif, sumber informasi
yang tersedia dan teknik-teknik terbaik harus digunakan ketika menganalisis dampak
dan Probalitas.
Sumber-sumber informasi dapat diketahui dari:
• Catatan masa lalu;
• Pengalaman yang relevan;
• Praktek dan pengalaman industri;
• Literatur umum yang relevan;
• Uji pemasaran dan riset pasar;
• Eksperimen dan prototype;
• Model ekonomi, rekayasa atau model lainnya;
• Pertimbangan spesialis dan pakar.
Jenis-jenis Analisis
Analisis risiko dapat berupa analisis kualitatif, semi kuantitatif, kuantitatif atau
kombinasi di antaranya, tergantung pada informasi risiko dan data yang tersedia.
Tingkat kerumitan dan biaya dari analisis-analisis tersebut dalam urutan menaik,
adalah kualitatif, semi-kuantitatif, dan kuantitatif. Praktiknya, analisis kualitatif sering
digunakan pertama kali untuk mendapatkan indikasi umum mengenai level risiko.
Selanjutnya mungkin perlu dilakukan analisis kuantitatif yang lebih spesifik. Detailnya,
jenis-jenis analisis tersebut adalah sebagai berikut:
a. Analisis Kualitatif
Analisis kualitatif menggunakan istilah atau skala deskriptif untuk menggambarkan
besaran dampak yang potensial dan Probalitas bahwa dampak akan terjadi. Skala
tersebut dapat diadaptasikan atau disesuaikan dengan keadaan, dan uraian yang
berbeda dapat digunakan untuk risiko yang berbeda.
Analisis kualitatif digunakan:
• Sebagai suatu aktivitas penyaringan awal untuk mengidentifikasi risiko-risiko
yang memerlukan analisis yang lebih rinci;
• Ketika level risiko tidak memungkinkan dilakukannya analisis yang lebih
penuh karena faktor waktu dan sumberdaya; atau
• Ketika data numerik tidak memadai bagi suatu analisis kuantitatif.
b. Analisis Semi-kuantitatif
Dalam analisis semi kuantitatif, skala kualitatif seperti diuraikan di atas diberi
nilai tertentu. Angka yang dialokasikan kepada masing-masing uraian tidak
harus mengandung hubungan yang akurat dengan besaran yang sebenarnya dari
dampak dan Probalitas. Angka-angka dapat dikombinasikan dengan salah satu
dari sekian formula yang disajikan oleh sistem yang digunakan untuk keperluan
prioritisasi, dicocokkan dengan sistem yang dipilih untuk menunjuk angka-angka
dan mengkombinasikannya. Tujuannya untuk memperoleh prioritisasi yang lebih
detail dari pada yang biasanya diperoleh dalam analisis kualitatif, tidak untuk
memberikan nilai realistis suatu risiko seperti dihasilkan dalam analisis kuantitatif.
Analisis semi kuantitatif harus digunakan secara cermat, karena angka-angka yang
dipilih dapat merefleksikan hubungan yang tidak wajar, yang dapat menghasilkan
outcome yang tidak konsisten. Analisis semi kuantitatif mungkin tidak mampu
membedakan secara layak risiko-risiko, terutama yang memiliki dampak atau
Probalitas yang ekstrim. Terkadang layak untuk mempertimbangkan bahwa
Probalitas terdiri dari dua elemen, biasanya merujuk kepada Probalitas sebagai
frekuensi eksposure dan probabilitas. Frekuensi eksposure adalah luasnya area di
mana sumber risiko terdapat, sementara probabilitas berarti kesempatan bahwa
jika terdapat sumber risiko, dampak akan mengikuti. Perhatian harus dipusatkan
ketika terjadi situasi di mana hubungan antara kedua elemen tidak sepenuhnya
independen, misalnya terdapat hubungan yang kuat antara frekuensi eksposure
dengan probabilitas. Pendekatan ini dapat diaplikasikan dalam analisis semi
kuantitatif dan kuantitatif.
c. Analisis Kuantitatif
Analisis kuantitatif menggunakan nilai angka (dari pada menggunakan skala
deskriptif seperti digunakan dalam analisis kualitatif dan semi kuantitatif) baik
untuk dampak maupun untuk Probalitas, dengan menggunakan data dari berbagai
sumber (lihat butir dampak dan Probalitas). Kualitas analisis tergantung pada
akurasi dan kelengkapan nilai numerik yang digunakan.
Dampak dapat diestimasi dengan pembuatan model outcome dari suatu atau
beberapa peristiwa, atau dengan ekstrapolasi hasil kajian eksperimen atau data
masa lalu. Dampak dapat dinyatakan dalam satuan moneter (mata uang), kriteria
teknik (satuan pengukuran) atau manusia (kematian/cedera) atau kriteria lainnya.
Dalam beberapa kasus, diperlukan lebih dari satu nilai numerik untuk menentukan
dampak pada waktu, tempat, kelompok atau situasi yang berbeda.
Probabilitas biasanya dinyatakan sebagai frekuensi atau kombinasi antara
eksposure dan probabilitas. Cara menyatakan Probabilitas dan dampak serta cara
mengkombinasikan keduanya untuk menyajikan suatu level risiko, akan berbeda
sesuai jenis risiko dan konteks di mana level risiko tersebut digunakan. Apabila
beberapa estimasi yang dibuat dalam analisis kuantitatif tidak tepat, maka analisis
sensitivitas harus dilakukan untuk menguji pengaruh perubahan dalam asumsi dan
data.
2.2.5 Evaluasi Risiko

Evaluasi risiko merupakan pembandingan antara level risiko yang ditemukan selama
proses analisis dengan kriteria risiko yang ditetapkan sebelumnya. Di dalam evaluasi
risiko, level risiko, dan kriteria risiko harus diperbandingkan dengan menggunakan
basis yang sama. Evaluasi kualitatif mencakup pembandingan level risiko kualitatif
terhadap kriteria kuantitatif, dan evaluasi kuantitatif mencakup pembandingan level
risiko numerik terhadap kriteia yang dapat dinyatakan dalam angka tertentu, seperti
kematian, frekuensi atau nilai uang.
Hasil dari evaluasi risiko adalah daftar prioritas risiko (risk register) untuk tindakan
lebih lanjut. Keputusan harus memperhatikan luasnya konteks risiko dan mencakup
pertimbangan toleransi risiko yang ditanggung oleh pihak-pihak selain organisasi yang
mendapatkan manfaat dari padanya.
Jika hasilnya risiko-risiko masuk dalam kategori rendah atau risiko yang dapat
diterima, maka risiko-risiko tersebut diterima dengan sedikit perlakuan lanjutan. Risiko-
risiko yang rendah atau dapat diterima harus dipantau dan ditelaah secara periodik
untuk menjamin bahwa risiko-risiko tersebut tetap dapat diterima. Jika risiko-risiko
tidak masuk dalam kategori rendah atau risiko yang dapat diterima, risiko-risiko
tersebut harus diperlakukan dengan menggunakan satu opsi atau lebih dalam perlakuan
risiko. Perlakuan risiko meliputi pengidentifikasian opsi untuk memperlakukan risiko,
menaksir opsi tersebut, menyiapkan rencana perlakuan risiko, dan mengimplementasi
rencana dimaksud. Opsi-opsi perlakuan risiko tersebut tidak bersifat mutually-exclusive
(satu risiko satu opsi) atau satu opsi cocok untuk semua kondisi risiko.
2.2.6 Perlakuan Risiko

Pilihan-pilihan dalam melakukan penanganan risiko meliputi:
a. Menghindari risiko
Menghindari risiko dapat dilakukan dengan memutuskan untuk tidak
melanjutkan aktivitas yang akan mendatangkan risiko. Penghindaran
risiko dapat terpikir secara tidak wajar karena sifat keengganan risiko, yang
merupakan kecenderungan banyak orang (seringkali dipengaruhi oleh sistem
internal organisasi). Menghindari risiko dapat meningkatkan signifikansi
risiko lainnya.
Keengganan berisiko dapat mengakibatkan:
• Keputusan untuk menghindari atau mengabaikan risiko diambil tanpa
memperhatikan informasi yang tersedia dan biaya yang dikeluarkan untuk
memperlakukan risiko tersebut;
• Kegagalan untuk memperlakukan risiko;

• Meninggalkan pilihan kritikal dan/atau keputusan yang tergantung pada
pihak lain;
• Penangguhan keputusan yang tidak dapat dihindari oleh organisasi; dan
• Pemilihan opsi karena opsi tersebut menggambarkan risiko secara
potensial rendah, tanpa memperhatikan manfaatnya.
b. Mengurangi Probalitas
Opsi mengurangi Probalitas dapat dilakukan dengan:
• Audit dan program peningkatan ketaatan.
• Persyaratan kontrak yang komprehensif.
• Penelaahan formal terhadap persyaratan, spesifikasi, rancangan, rekayasa
dan operasi.
• Inspeksi dan pengendalian proses.
• Manajemen investasi dan portofolio.
• Manajemen proyek.
• Perawatan yang bersifat preventif.
• Jaminan kualitas, manajemen dan standar.
• Penelitian dan pengembangan, pengembangan teknologi.
• Pelatihan terstruktur dan program-program lainnya.
• Supervisi.
• Pengujian.
• Penyelarasan organisasi dan Pengendalian secara teknik.
c. Mengurangi dampak
Opsi mengurangi dampak dapat dilakukan dengan:
• Perencanaan kontinjensi.
• Penyelarasan kontrak.
• Persyaratan kontrak yang komprehensif.
• Bentuk rancangan (design features);
• Rencana pemulihan akibat bencana;
• Rintangan rekayasa dan struktural (engineering and structural barriers);
• Perencanaan pengendalian kecurangan;
• Meminimalkan eksposure terhadap sumber risiko;
• Perencanaan portofolio;
• Kebijakan dan pengendalian penentuan harga;
• Pemisahan atau relokasi suatu aktivitas atau sumberdaya;
• Hubungan masyarakat; dan
Pengurangan dampak dan probalitas mempertimbangkan pengendalian risiko.

Pengendalian risiko mencakup penentuan manfaat akan adanya pengendalian
yang baru dalam kaitannya dengan efektivitas pengendalian yang ada.
Pengendalian dapat meliputi efektivitas kebijakan, prosedur atau perubahan-
perubahan fisik.
d. Memindahkan risiko
Perlakuan ini melibatkan pihak lain untuk menanggung atau membagi
beberapa bagian risiko. Mekanismenya meliputi penggunaan kontrak,
penutupan asuransi dan struktur organisasi seperti kemitraan dan usaha
patungan. Memindahkan risiko kepada pihak lain, atau memindahkan
risiko fisik ke tempat lain, akan mengurangi risiko bagi organisasi asal, tetapi
mungkin tidak menurunkan keseluruhan level risiko bagi masyarakat.
Ketika risiko dipindahkan seluruhnya atau sebagian, organisasi yang
memindahkan risiko mendapatkan risiko baru, jika organisasi tersebut tidak
mengelola risiko secara efektif.
e. Menahan risiko
Setelah risiko dikurangi atau dipindahkan, mungkin masih terdapat risiko
residual yang tertahan. Rencana harus disusun untuk mengelola dampak dari
risiko semacam ini jika terjadi, termasuk pengidentifikasian cara membiayai
risiko. Risiko dapat juga tertahan karena kelalaian, misalnya terjadi kegagalan
dalam mengidentifikasi dan/atau memindahkan secara layak atau perlakuan
risiko lainnya.
2.2.7 Menilai Opsi Perlakuan Risiko

Opsi harus dinilai berdasarkan luasnya pengurangan risiko, dan besarnya manfaat
tambahan atau peluang-peluang yang tercipta, dengan mengembangkan kriteria evaluasi
risiko. Sejumlah opsi dapat dipertimbangkan dan diaplikasi baik secara individual
atau dalam kombinasi. Pemilihan opsi yang paling layak meliputi keseimbangan biaya
implementasi masing-masing opsi dengan manfaat yang diperoleh darinya. Secara
umum, dalam menentukan biaya perlakuan risiko perlu mempertimbangkan manfaat
yang diperoleh. Jika risiko dapat dikurangi secara signifikan dengan pengeluaran (biaya)
yang relatif kecil, maka opsi semacam itu harus diimplementasi. Opsi lanjutan untuk
penyempurnaan mungkin tidak ekonomis dan memerlukan pengujian pertimbangan
apakah opsi tersebut dapat dibenarkan. Keputusan harus memperhatikan perlunya
pertimbangan yang hati-hati terhadap risiko yang jarang terjadi tetapi berdampak besar,
yang mungkin memerlukan tindakan pengurangan risiko yang tidak dapat dibenarkan
berdasarkan landasan ekonomi yang ketat.
Secara umum, dampak merugikan suatu risiko harus dibuat serendah mungkin
dan dapat dipraktekkan secara memadai, tanpa memperhatikan kriteria absolut. Jika
level risiko tinggi, tetapi peluang-peluang yang dapat dipertimbangkan dapat diperoleh
dengan mengambil risiko, seperti penggunaan teknologi baru, penerimaan terhadap
risiko tersebut harus didasarkan pada suatu penaksiran terhadap biaya perlakuan risiko,
dan biaya untuk mengoreksi dampak potensial dibandingkan peluang yang dihasilkan
dengan mengambil risiko.
Dalam banyak kasus, kecil kemungkinan satu opsi perlakuan risiko akan menjadi
solusi lengkap bagi masalah tertentu. Sering organisasi memperoleh manfaat substansial
dengan mengkombinasikan beberapa opsi, misalnya mengurangi Probalitas risiko,
mengurangi dampaknya, dan memindahkan atau menahan risiko residual. Contohnya
adalah penggunaan kontrak yang efektif dan pembiayaan risiko yang didukung dengan
program pengurangan risiko.
Jika biaya kumulatif pengimplementasian seluruh perlakuan risiko melebihi
anggaran yang tersedia, rencana harus secara jelas mengidentifikasi urutan prioritas
perlakuan masing-masing risiko residual yang harus diimplementasikan. Pengurutan
prioritas dapat ditentukan menggunakan beberapa teknik, termasuk rangking risiko
dan analisis biaya-manfaat. Perlakuan risiko yang tidak dapat diimplementasikan
dalam batas anggaran yang tersedia harus menunggu sampai tersedianya sumberdaya
keuangan lebih lanjut, atau jika karena alasan beberapa atau keseluruhan perlakuan
yang tersisa dirasa penting, suatu alasan harus dibuat untuk mengamankan pembiayaan
tambahan.
Opsi perlakuan risiko harus mempertimbangkan bagaimana risiko dirasakan
oleh pihak-pihak yang terpengaruh, dan cara yang paling layak dilakukan adalah
berkomunikasi dengan pihak-pihak tersebut.
2.2.8 Menyiapkan Rencana Perlakuan Risiko

Rencana yang dibuat harus mencakup dokumentasi tentang bagaimana opsi
yang terpilih akan diimplementasi. Rencana perlakuan harus meliputi identifikasi
penanggungjawab, jadwal, outcome yang diharapkan dari perlakuan, anggaran, ukuran
kinerja, dan proses penelaahan yang harus dijalankan. Rencana juga harus mencakup
suatu mekanisme untuk menaksir implementasi perlakuan terhadap kriteria kinerja,
pihak yang bertanggungjawab dan tujuan-tujuan lain, dan untuk memantau tahap-tahap
pengimplementasian yang kritikal.
Idealnya, dalam pengimplementasian rencana perlakuan, penanggung jawab
terhadap perlakuan harus dipikul oleh pihak yang paling dapat mengendalikan risiko.
Penanggung jawab harus disepakati di antara para-pihak pada kesempatan pertama.
Keberhasilan pengimplementasian rencana perlakuan risiko memerlukan suatu sistem
manajemen yang efektif yang merinci metode-metode yang dipilih, menentukan
penanggung jawab dan penanggung gugat terhadap tindakan, dan memantau sesuai
kriteria yang ada. Jika masih terdapat risiko residual, suatu keputusan harus diambil
untuk menentukan apakah akan menahan risiko tersebut, atau mengulangi proses
perlakuan.
Memantau
Sangat penting untuk memantau risiko, efektivitas rencana perlakuan risiko, strategi
dan sistem manajemen yang disusun untuk mengendalikan pengimplementasian.
Risiko dan efektivitas tindakan pengendalian perlu dipantau untuk meyakinkan
bahwa perubahan kondisi tidak mengubah prioritas risiko, karena sedikit sekali risiko
yang bersifat statis. Pemantauan terus-menerus sangat penting untuk meyakinkan
bahwa rencana manajemen tetap relevan. Faktor-faktor yang dapat mempengaruhi
Probalitas dan dampak suatu outcome mungkin berubah, sama seperti faktor-faktor
yang mempengaruhi kesesuaian dan biaya berbagai opsi perlakuan. Oleh karena itu
perlu secara reguler dilakukan pengulangan siklus manajemen risiko. Penelaahan
merupakan bagian integral rencana perlakuan manajemen risiko.
2.3 Committee of Sponsoring Organizations

(COSO) : 2004
Menerapan manajemen risiko perusahaan, standar yang umum dan sering
digunakan adalah COSO, ANZ dan ISO 31000. COSO merupakan suatu inisiatif
dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk
mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan
membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun
suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat
digunakan perusahaan untuk menilai sistem pengendalian mereka. Terkait dengan
manajemen risiko COSO mengeluarkan report Enterprise Risk Management – Integrated
Framework tahun 2004 sebagai pengembangan COSO framework. Ada 8 komponen
dalam Enterprise Risk Management, yaitu:
• Internal Environment
• Objective Setting
• Event Identification
• Risk Assessment
• Risk Response
• Control Activities
• Information and Communication
• Monitoring
Tujuan perusahaan dapat dilihat dikonteks empat kategori yaitu:
• Strategis
• Operasi
• Pelaporan
• Kepatuhan
Dan juga dengan mempertimbangkan kegiatan semua tingkatan di dalam
organisasi :
• Enterprise-level
• Divisi
• Subsidiary
• Unit Bisnis
Gambar 2.2
COSO

Ciri khusus dari Standar COSO : 2004
1. Dokumen standar terdiri dari 2 buku, yaitu: Executive Summary Framework
(125 halaman) dan Application Techniques (105 halaman).
2. Standar memuat proses manajemen risiko dengan penekanan lebih pada risiko
bisnis, penciptaan nilai dan pengendalian internal
3. Dokumen COSO Enterprise Risk Management – Integrated Framework (September
2004) memperluas tetapi tidak menggantikan dokumen COSO Internal Control
– Integrated Framework (tahun 1992).
4. COSO memperhatikan Tujuan sebagai salah satu Komponen Manajemen Risiko,
yaitu Komponen Penentuan Tujuan. Tujuan terbagi menjadi 4 (empat) jenis, yaitu
stratejik, operasional, pelaporan dan kepatuhan
5. COSO mengacu pada peristiwa (internal atau eksternal) yang mempengaruhi
pelaksanaan strategi. COSO menjelaskan secara rinci teknik identifikasi peristiwa.
6. COSO mendefinisikan risiko sebagai kemungkinan suatu peristiwa akan terjadi dan
berdampak buruk terhadap pencapaian tujuan. COSO memisahkan pengertian
risiko dengan peluang yang didefinisikan sebagai kemungkinan suatu peristiwa
akan terjadi dan mempengaruhi secara positif pencapaian tujuan.
7. Komponen penaksiran risiko menjelaskan risiko inheren dan risiko residual. COSO
mendefinisikan risiko inheren sebagai risiko suatu entitas tanpa adanya setiap
tindakan manajemen yang harus diambil untuk mengubah kemungkinan
atau dampak risiko. Sedangkan definisi risiko residual adalah risiko tersisa setelah
manajemen mengambil tindakan untuk mengubah kemungkinan atau dampak
risiko.
8. Respon risiko meliputi menghindari risiko, mengurangi risiko, berbagi risiko dan
menerima risiko.
9. COSO mempertimbangkan informasi dan komunikasi setelah respon risiko dan
aktivitas pengendalian.
10. COSO memperhatikan opsi-opsi perlakuan dalam 4 (empat) kategori, yaitu
menghindari, mengurangi, berbagi, dan menerima risiko.
11. COSO menjelaskan peran dan tanggung jawab Dewan Direksi, Manajemen,
Risk Officer, Eksekutif Keuangan, Internal Auditor, dan pihak-pihak eksternal.
12. COSO menjelaskan adanya keterbatasan manajemen risiko perusahaan. COSO
menjelaskan bahwa bagaimanapun baiknya sistem manajemen risiko, manajemen
risiko hanya dapat memberikan keyakinan yang memadai atas pencapaian tujuan
dengan adanya keterbatasan berupa; proses manajemen, kekeliruan/kesalahan
manusia, kesengajaan mengelak dari pengendalian risiko, dan keterbatasan biaya
merespon risiko.
2.4 Perbandingan Standar Manajemen Risiko

Standar Australia / New Zealand AS/NZS 4360:2004 dan COSO Enterprise
Risk Management merupakan standar yang mengatur pendekatan yang sistematis
untuk mengelola risiko untuk mencapai tujuan bagi suatu organisasi. Standar AS/
NZS 4360:2004 berlaku untuk semua jenis organisasi sedangkan COSO Enterprise
Risk Management menekankan pada organisasi bisnis. Persamaan dan perbedaan
yang terdapat antara kedua standar tersebut memiliki pengaruh berbeda pada saat
penerapan manajemen risiko di suatu organisasi.
Perusahaan yang telah menerapkan standar manajemen risiko AS/NZS
4360:2004, memiliki kemiripan antara proses manajemen risiko yang diperkenalkan
ISO 31000:2009 di atas dengan proses manajemen risiko menurut AS/NZS 4360:2004.
Memang demikian karena ISO mengadopsi proses manajemen risiko AS/NZS
4360:2004 untuk mendukung kerangka kerja yang dikembangkannya. ISO 31000
merupakan suatu standar penerapan manajemen risiko yang komprehensif diterbitkan
oleh International Organization for Standardization (ISO) pada tahun 2009. ISO 31000
; 2009, merupakan standar yang mengadopsi juga dan meng update dari standar
manajemen risiko sebelumnya yaitu standar manajemen risiko COSO:2004.
ISO 31000 merupakan standar ini ditujukan untuk dapat diterapkan dan
disesuaikan untuk semua jenis perusahaan dengan memberikan pedoman yang berlaku
generik terhadap semua operasi perusahaan berbagai industri yang terkait dengan
penerapan manajemen risiko. Sifatnya generik untuk implementasi manajemen risiko
di semua bidang seperti industry kesehatan, petrokimia, jalan tol, Teknologi Informasi
dan industri lainnya.
Perusahaan yang menerapkan manajemen risiko berbasis ISO 31000:2009 perlu
memperhatikan tiga aspek penting yang perlu diperhatikan. Pertama, penerapan
manajemen risiko harus disertai komitmen yang tinggi dari Dewan Direksi perusahaan
dan Komisaris. Kedua, manajemen risiko harus diintegrasikan ke dalam seluruh
proses bisnis dan menjadi bagian yang tidak terpisahkan dari tanggung jawab risk
owner dan manajemen risiko harus merupakan bagian dari proses pengambilan
keputusan manajemen. Ketiga, perencanaan manajemen risiko harus dimonitoring
dan dikendalikan agar penerapan manajemen risiko dapat berjalan secara efektif.
Penerapan manajemen risiko harus dikaitkan dengan Key Performance Indicator (KPI)
pemilik risiko (risk owner)
Standar internasional manajemen risiko ISO 31000 sepenuhnya sesuai dengan
COSO:2004 dan AS/NZS 4360:2004, hal ini dapat dilihat pada gambar 3.3
Gambar 2.3
Persamanaan ISO 31000 dengan COSO
Beberapa keunggulan ISO 31000 dibandingkan dengan COSO adalah:

• ISO 31000 sepenuhnya sesuai dengan COSO ERM .

• ISO 31000 lebih praktis
• Mudah untuk diaplikasikan (kurang dari 30 halaman)
• Dapat diaplikasikan untuk perusahaan dari semua industri baik perusahaan
besar maupun perusahaan kecil
• Lebih jelas dan konkrit penulisan dan definisinya.
• Sebagai referensi untuk standar manajemen risiko
• Tidak perlu merancang ulang sistem manajemen yang telah ada
• Dapat diterapkan semua level dalam perusahaan untuk setiap jenis risiko,
baik berdampak positif dan negative.
• Terbuka untuk perbaikan standar manajemen risiko yang akan datang
Dengan berbagai keunggulan ISO 31000 dengan standar manajemen risiko
sebelumnya, sehingga banyak perusahaan menerapkan manajemen risiko. Hal ini
didasarkan ISO 31000 tidak dilihat sebagai semata-mata positif atau negatif saja tetapi
juga dapat keduanya. Manajemen risiko menciptakan dan melindungi nilai dan harus
menjadi bagian dari semua proses bisnis organisasi/perusahaan sehingga risiko dapat
diidentifikasikan. Menggunakan informasi terbaik yang tersedia dan fleksibel. Data
tersedia dioptimalkan agar penerapan manajemen risiko di perusahaan dapat berjalan
dengan optimal dan efektif.
Menurut ISO 31000 Risiko adalah efek ketidakpastian pada tujuan, dan efek adalah
penyimpangan positif atau negatif dari apa yang diharapkan (positif atau negatif). Jadi,
risiko adalah kemungkinan bahwa akan ada deviasi positif atau negatif dari tujuan
yang Anda harapkan untuk mencapai. Sedangkan manajemen risiko adalah aktifitas
yang terkoordinasi untuk mengarahkan dan mengendalikan sebuah organisasi dalam
menangani risiko.
Bab 3 - Manajemen Resiko ISO 31000 43
Bab 3
MANAJEMEN RISIKO ISO 31000
3.1 Manajemen Risiko ISO 31000

Keberhasilan penerapan manajemen risiko akan tergantung pada efektivitas
kerangka kerja manajemen memberikan dasar-dasar dan pengaturan seluruh
perusahaan dalam semua tingkatan. Kerangka kerja membantu dalam mengelola
risiko secara efektif melalui penerapan proses manajemen risiko di berbagai tingkat
dan dalam konteks perusahaan. Kerangka kerja tersebut memastikan bahwa informasi
tentang risiko yang berasal dari proses manajemen risiko secara memadai dilaporkan
dan digunakan sebagai dasar pengambilan keputusan dan akuntabilitas di semua
tingkat perusahaan yang relevan. Kerangka ini tidak dimaksudkan untuk meresepkan
sistem manajemen, melainkan untuk membantu perusahaan untuk mengintegrasikan
manajemen risiko ke dalam sistem manajemen secara keseluruhan.
Perusahaan harus menyesuaikan komponen dari kerangka kerja sesuai dengan
kebutuhan yang spesifik. Praktek manajemen perusahaan dan proses bisnis perusahaan
termasuk komponen manajemen risiko atau jika perusahaan telah menerapkan proses
manajemen risiko formal untuk jenis risiko tertentu, maka ini harus dikaji dan ditelaah
menggunakan standar internasional.
Manajemen risiko berdasarkan ISO 31000:2009 merupakan standar internasional

mempunyai prinsip-prinsip, kerangka kerja dan proses untuk mengelola risiko. Standar
ini dapat digunakan oleh setiap perusahaan (perusahaan besar atau kecil, bermacam
aktifitas atau sektor). Penerapan manajemen risiko ISO 31000 dapat membantu
perusahaan untuk pencapaian tujuan perusahaan dengan mengidentifikasikan peluang-
peluang dan ancaman-ancaman serta secara efektif mengalokasikan dan menggunakan
sumber daya tersedia untuk meminimalkan risiko dengan perlakuan risiko.
ISO 31000 tidak mengeluarkan sertifikat manajemen risiko karena risiko tidak
dapat dipastikan, tetapi ISO 31000 bisa digunakan untuk program audit/penilaian
manajemen risiko serta untuk mendapatkan sertifikasi keahlian manajemen risiko untuk
47
individu yang mengelola risiko di perusahaan. Perusahaan yang menerapkan standar ini
dapat membandingkan praktek manajemen risikonya dengan perusahaan lain sebagai
Definisi risiko
benchmarking. dan manajemen
Perusahaan yangrisiko menurut ISO
menerapkan 31000:2009.
standar ini dapat terbantu mewujudkan
 Risikoyang
manajemen efektif dampak
adalah dan bertata-kelola lebih baik (Good
dari ketidakpastian Corporate
terhadap Governance).
pencapaian tujuan
Definisi risikoDampak
perusahaan. dan manajemen risiko
menurut ISO menurut
31000 adalahISO 31000:2009.
deviasi dari apa yang diharapkan,
• Risiko adalah dampak dari ketidakpastian terhadap pencapaian tujuan
sehingga bisa bersifat positif dan/atau negatif.
perusahaan. Dampak menurut ISO 31000 adalah deviasi dari apa yang
 Manajemen risiko adalah aktivitas-aktivitas yang terkoordinasi untuk mengarahkan
diharapkan, sehingga bisa bersifat positif dan/atau negatif.
• danManajemen
mengendalikan sebuahadalah
risiko perusahaan/perusahaan yang yang
aktivitas-aktivitas berkaitan dengan risiko.
terkoordinasi untuk
Manajemen risiko di dalam
mengarahkan suatu perusahaansebuah
dan mengendalikan digambarkan sebagai suatu skema yang
perusahaan/perusahaan yang
berkaitan dengan risiko.
saling menyatu antara prinsip-prinsip, kerangka kerja, dan proses-proses manajemen risiko.
Manajemen risiko di dalam suatu perusahaan digambarkan sebagai suatu
skema yang saling menyatu antara prinsip-prinsip,
Gambar 3.1 kerangka kerja, dan proses-proses
manajemen risiko. Prinsip, Kerangka Kerja dan Proses Manajemen Risiko
Gambar 3.1 Prinsip, Kerangka Kerja dan Proses Manajemen Risiko
Hubungan antara prinsip, kerangka kerja, dan proses manajemen risiko

Sumber :: ISO
Sumber ISO31000:2009
31000:2009: Risk management
: Risk – Principles
management and Guidelines
– Principles and Guidelines
Penerapan manajemen risiko akan mampu memberikan manfaat bagi perusahaan. Manfaat
yang diperoleh adalah :
 Meningkatkan pencapaian tujuan/target perusahaan;
 Mendorong manajemen bersifat lebih proaktif;
Penerapan manajemen risiko akan mampu memberikan manfaat bagi perusahaan.

Manfaat yang diperoleh adalah :
• Meningkatkan pencapaian tujuan/target perusahaan;
• Mendorong manajemen bersifat lebih proaktif;
• Dapat mengidentifikasi dan menangani risiko di seluruh unit atau fungsi di
perusahaan;
• Telah mengidentifikasi peluang dan ancaman dalam analisis risiko;
• Patuh terhadap peraturan dan hukum serta sesuai norma-norma internasional;
• Pelaporan keuangan yang sesuai dengan standar berlaku dan tepat waktu;
• Meningkatkan penerapan good corporate governance (GCG);
• meningkatkan kepercayaan dan keyakinan pemangku kepentingan;
• Sebagai perangkat pengambilan keputusan dan perencanaan;
• meningkatkan kontrol;
• Efektif dan efisien dalam mengelola sumber daya perusahaan;
• Meningkatkan pencegahan kerugian dan manajemen kecelakaan;
• Meningkatkan kinerja perusahaan.
Penerapan manajemen risiko akan memberikan kebutuhan kepada pemangku
kepentingan (stakeholder). Kebutuhan tersebut adalah :
• Pihak yang bertanggung jawab dalam mengembangkan kebijakan manajemen
risiko dalam perusahaan;
• Pihak yang bertanggung jawab untuk menjamin risiko yang efektif dikelola dalam
perusahaan secara keseluruhan atau dalam proyek, wilayah tertentu atau kegiatan;
• Pihak yang membutuhkan untuk mengevaluasi efektivitas perusahaan dalam
mengelola risiko;
• Membuat standar, panduan, prosedur dan kode praktek bahwa, dalam keseluruhan
maupun sebagian, ditetapkan bagaimana risiko harus dikelola dalam konteks
spesifik dari dokumen-dokumen ini.
3.2 Prinsip-Prinsip Manajemen Risiko ISO 31000: 2009

Supaya penerapan manajemen risiko dapat efektif dan efisien, maka perusahaan
di semua tingkatan harus memenuhi prinsip-prinsip manajemen risiko, yaitu :
1. Manajemen risiko melindungi dan menciptakan nilai tambah untuk perusahaan
Manajemen risiko memberikan peluang meningkatnya pencapaian sasaran
perusahaan dan perbaikan dalam aspek kepatuhan terhadap peraturan, persepsi
publik, kualitas produk, reputasi, corporate governance, efisiensi dan efektifitas
operasional dan lain-lain.
2. Manajemen risiko adalah bagian terintegrasi dari proses bisnis perusahaan
Manajemen risiko merupakan bagian dari tanggungjawab manajemen dan

merupakan bagian tak terpisahkan dari proses bisnis perusahaan, proyek, dan
manajemen perubahan dalam mencapai sasaran.
3. Manajemen Risiko adalah bagian dari proses pengambilan keputusan.
Manajemen risiko membantu manajemen untuk mengambil keputusan berdasarkan
informasi yang memadai dengan mempertimbangkan bahwa suatu risiko dapat
diterima atau penanganan risiko telah dilakukan secara efektif.
4. Manajemen Risiko secara eksplisit menangani ketidakpastian.
Manajemen risiko menanganin aspek ketidakpastian untuk kedepannya melalui
proses pengambilan keputusan dan cara untuk menanganinya.
5. Manajemen risiko diterapkan secara sistematik, terstruktur, dan tepat waktu.
Pendekatan yang sistematik, terstruktur, dan tepat waktu dalam manajemen risiko
meberikan kontribusi terhadap efisiensi, konsistensi, dapat dibandingkan dan
menberikan hasil serta perbaikan.
6. Manajemen Risiko diterapkan berdasarkan informasi terbaik yang tersedia
Informasi terbaik yang tersedia, seperti pengalaman, observasi, perkiraan,
pertimbangan pakar, dan data lain yang tersedia menjadi data masukan yang
digunakan dalam proses manajemen risiko.
7. Manajemen Risiko diterapkan sesuai dengan karakteristik dan budaya
Perusahaan (tailored).
Manajemen Risiko harus diselaraskan dengan konteks internal dan eksternal
Perusahaan, sasaran perusahaan, risiko yang dihadapi, serta sesuai dengan
karakteristik para risk owner dalam Perusahaan.
8. Manajemen risiko mempertimbangkan faktor manusia dan budaya.
Penerapan manajemen risiko memperhitungkan kemampuan sumber daya manusia
dan budaya perusahaan agar sasaran atau target perusahaan dapat dicapai.
9. Manajemen Risiko diterapkan transparan dan inklusif
Untuk memastikan bahwa Manajemen Risiko tetap relevan, Para pemangku
kepentingan baik internal maupun eksternal serta pengambil keputusan di setiap
tingkatan jabatan perusahaan harus dilibatkan secara efektif. Komunikasi dan
konsultasi adalah kunci untuk mengidentifikasi, menganalisa dan memantau risiko
10. Manajemen risiko bersifat dinamis, berulang, dan tanggap terhadap perubahan.
Proses pengelolaan risiko harus fleksibel. Tugas Manajemen adalah untuk
memastikan bahwa Manajemen risiko senantiasa memperhatikan,dan selalu
tanggap terhadap perubahan.
11. Manajemen risiko memfasilitasi terjadinya perbaikan dan perkembangan
perusahaan secara berlanjutan.
47
Manajemen Perusahaan harus senantiasa mengembangkan dan memperbaiki

3.3 Kerangka Kerja
kematangan manajemen risiko mereka bersama aspek-aspek lain dalam perusahaan
Kerangka manajemen risiko
dan kualitas merupakan
pelaksanaan pengembangan
manajemen risiko. dari prinsip-prinsip manajemen
risiko yang memberikan dasar dan pengelolaan perusahaan yang mencakup seluruh aktivitas
3.3 tingkatan
usaha pada semua Kerangka Kerja Kerangka kerja ini membantu dalam manajemen
perusahaan.
risiko secara efektif dengan manajemen
Kerangka menerapkanrisiko
proses manajemen
merupakan risiko pada dari
pengembangan berbagai tingkatan
prinsip-prinsip
perusahaan danmanajemen risiko spesifik
dalam konteks yang memberikan
perusahaan.dasar dan pengelolaan
Kerangka kerja ini perusahaan yang
merupakan suatu
mencakup seluruh aktivitas usaha pada semua tingkatan perusahaan. Kerangka kerja
sistem Manajemen dengan struktur
ini membantu sistem yang
dalam manajemen membentuk
risiko Plan, menerapkan
siklusdengan
secara efektif Do, Check, proses
Action
manajemen
(PDCA), sehingga risiko pada
memudahkan berbagai
integrasi tingkatan
sistem perusahaan
manajemen risikodan dalam
pada konteks
sistem spesifik
manajemen
perusahaan. Kerangka kerja ini merupakan suatu sistem Manajemen dengan struktur
perusahaan yang telahyang
sistem ada.membentuk siklus Plan, Do, Check, Action (PDCA), sehingga memudahkan
 Mandatintegrasi sistem manajemen risiko pada sistem manajemen perusahaan yang telah ada.
dan komitmen.
• Mandat dan komitmen.
 Rancangan • PolaRancangan
kerja untuk mengelola
Pola risiko.
kerja untuk mengelola risiko.
 • Penerapan
Penerapan manajemen manajemen risiko.
risiko.
• Pemantauan dan review terhadap kerangka kerja.
 review terhadap
Pemantauan• danPerbaikan kerangkakerangka kerja.
kerja berkelanjutan.
 Perbaikan kerangka kerja berkelanjutan.
Gambar 3.2
Gambar
Kerangka kerja Manajemen Risiko3.2
ISO 31000:2009
Kerangka kerja Manajemen Risiko ISO 31000:2009
Sumber: ISO 31000

Sumber: ISO 31000
Kerangka Kerja Manajemen Risiko ISO 31000:2009 menggunakan PDCA atau Plan Do
Check Action, untuk perbaikan berkelanjutan (continual improvement) sebagai basis kerangka
Kerangka Kerja Manajemen Risiko ISO 31000:2009 menggunakan PDCA atau

Plan Do Check Action, untuk perbaikan berkelanjutan (continual improvement) sebagai
basis kerangka kerja dan proses manajemen risiko.
Plan mendefinisikan dan analisis suatu masalah serta mengidentifikasi akar
masalahnya mengkomunikasikan dan melatih.
• Rencana komunikasi dan pelaporan.
• Strategi pelatihan.
• Jaringan manajemen risiko.
Do adalah melaksanakan solusi, membuat rencana kerja secara terinci dan
menarapkannya secara sistematis. Termasuk masuk dalam Do dalam mengelola dan
mengalokasikan antara lain :
• Komite manajemen risiko komisaris/dewan pengawas.
• Komite manajemen risiko eksekutif /Direksi.
• Manajer manajemen risiko.
• Risk Management Champions.
• Risiko, pengendaliannya, ownernya.
• Penyedia asuransi/penjaminannya.
Check memeriksa hasil kerja dibandingkan dengan rencananya dan mengidentifikasi
penyimpangannya serta masalah-masalahnya.
Masuk dalam check untuk mengukur dan mengkaji ini antara lain :
• Mengendalikan asuransi/penjaminannya.
• Kemajuan rencana manajemen risiko.
• Pelaporan tata kelola.
• Benchmarking /study banding.
• Kriteria unjuk kerja.
Act menstandarisasi solusi dengan mengkaji ulang dan mendefinisikan masalah-
masalah yang akan datang. Termasuk dalam Act ini komitmen dan mandat dari atasan
kepada bawahannya, mulai dari pemegang saham, Komisaris, Direksi, sampai dengan
karyawan level terendah dalam masalah manajemen risiko antara lain :
• Pernyataan kebijakan manajemen risiko.
• Rencana manajemen risiko.
• Rencana Asuransi.
• Standar-standar manajemen risiko.
• Prosedur dan petunjuk-petunjuk kerja.
52
Gambar 3.3
Bab 3 - Manajemen Resiko ISO 31000
Sistem Manajemen 49
Gambar 3.3 Sistem Manajemen
PLAN
ACT DO
CHEK
Keberhasilan manajemen risiko sangat bergantung pada efektivitas kerangka

Keberhasilan manajemen risiko sangat bergantung pada efektivitas kerangka manajemen
manajemen dalam menyediakan dasar dan pengaturan yang akan diterapkan di seluruh
dalam menyediakan dasar dan
tingkatan perusahaan. pengaturan
Kerangka kerja iniyang akan dalam
membantu diterapkan di risiko
mengelola seluruh tingkatan
secara
efektif melalui penerapan prosedur manajemen risiko di berbagai tingkatan dan konteks
perusahaan. Kerangka kerja ini membantu dalam mengelola risiko secara efektif melalui
tertentu dalam perusahaan. Kerangka kerja ini menjamin bahwa informasi tentang
penerapan prosedur
risiko manajemen
yang berasal risiko prosedur
dari berbagai di berbagai
yang tingkatan
dilaporkan dan konteks tertentu
dan digunakan sebagai dalam
dasarKerangka
perusahaan. untuk pengambilan keputusan dan
kerja ini menjamin tanggung
bahwa jawabtentang
informasi di semua tingkat
risiko yangkorporat
berasal dari
yang relevan.
berbagai prosedur
Kerangkayang dilaporkan
kerja ini dan digunakan
tidak dimaksudkan sebagaipada
untuk dipaksakan dasar untuk
sistem pengambilan
manajemen,
keputusan danlebih
tetapi tanggung
untukjawab
membantudi semua tingkatuntuk
perusahaan korporat yang relevan.manajemen risiko
mengintegrasikan
ke dalam sistem manajemen secara keseluruhan. Oleh karena itu, perusahaan harus
Kerangka kerja ini tidak dimaksudkan untuk dipaksakan pada sistem manajemen, tetapi
mampu beradaptasi pada setiap komponen dari kerangka kerja untuk kebutuhan
lebih untuk membantu
spesifik perusahaan.perusahaan untuk mengintegrasikan manajemen risiko ke dalam
sistem manajemen secara keseluruhan. Oleh karena itu, perusahaan harus mampu beradaptasi
3.3.1 Mandat dan Komitmen
pada setiap komponen dari kerangka kerja untuk kebutuhan spesifik perusahaan.
Kerangka kerja manajemen risiko ISO 31000: 2009 Risk Management – Principles
and Guidelines dimulai dengan pemberian mandat dan komitmen. Pemberian mandat
dan komitmen merupakan hal yang sangat penting karena menentukan akuntabilitas,
3.3.1 Mandat dan Komitmen
kewenangan, dan kapabilitas dari pelaku manajemen risiko.
KerangkaHal-hal
kerja manajemen
penting yangrisiko
harus ISO 31000:
dilakukan 2009
pada Risk Management
pemberian mandat dan –komitmen
Principles and
adalah:
Guidelines dimulai dengan pemberian mandat dan komitmen. Pemberian mandat dan
• Membuat dan menyetujui kebijakan manajemen risiko.
komitmen merupakan
• Menyesuaikan halindikator
yang kinerja
sangatmanajemen
penting risiko
karena menentukan
dengan akuntabilitas,
indikator kinerja
perusahaan.
kewenangan, dan kapabilitas dari pelaku manajemen risiko.
• Menyesuaikan kultur perusahaan dengan nilai-nilai manajemen risiko.
Hal-hal penting yang harus
• Menyesuaikan dilakukan
sasaran pada pemberian
manajemen mandat
risiko dengan sasarandan komitmen
strategis adalah:
perusahaan.
• Membuat dan menyetujui kebijakan manajemen risiko.
• Menyesuaikan indikator kinerja manajemen risiko dengan indikator kinerja
perusahaan.
• Menyesuaikan kultur perusahaan dengan nilai-nilai manajemen risiko.
• Memberikan kejelasan peran dan tanggung jawab.

• Menyesuaikan kerangka kerja manajemen risiko dengan kebutuhan perusahaan.
Untuk memastikan manajemen risiko berjalan dengan efektifitas dibutuhkan
komitmen yang kuat dan berkelanjutan dari manajemen perusahaan.
Manajemen harus:
• Menetapkan dan mendukung kebijakan manajemen risiko;
• Menentukan indikator kinerja manajemen risiko yang sejalan dengan indikator
kinerja Perusahaan;
• Menyelaraskan tujuan manajemen risiko dengan strategi dan tujuan
Perusahaan;
• Memastikan kepatuhan (compliance) terhadap hukum dan regulasi;
• Memastikan bahwa sumber daya yang diperlukan telah dialokasikan untuk
manajemen risiko;
• Mengkomunikasikan manfaat manajemen risiko kepada seluruh pemangku
kepentingan;
3.3.2 Disain Kerangka Kerja Untuk Mengelola Risiko

Perencanaan kerangka kerja manajemen risiko mencakup pemahaman mengenai
perusahaan dan konteksnya, menetapkan kebijakan manajemen risiko, menetapkan
akuntabilitas manajemen risiko, mengintegrasikan manajemen risiko ke dalam proses
bisnis perusahaan, alokasi sumber daya manajemen risiko, dan menetapkan mekanisme
komunikasi internal dan eksternal. Setelah melakukan perencanaan kerangka kerja,
maka dilakukan penerapan proses manajemen risiko.
Dalam penerapan manajemen risiko, perlu dilakukan monitoring dan review
terhadap kerangka kerja manajemen risiko. Setelah itu, kerangka kerja manajemen
risiko perlu diperbaiki secara berkelanjutan untuk memfasilitasi perubahan yang terjadi
pada konteks internal dan eksternal perusahaan. Proses-proses tersebut kemudian
berulang kembali untuk memastikan adanya kerangka kerja manajemen risiko
yang mengalami perbaikan berkesinambungan dan dapat menghasilkan penerapan
manajemen risiko yang andal. ISO 31000 menyediakan kerangka kerja sebagai pedoman
dalam implementasi manajemen risiko yang efektif.
Tujuan dari kerangka kerja implementasi pengelolaan risiko antara lain:
• Pemastian bahwa informasi mengenai pengelolaan risiko yang dihasilkan dari
proses pengelolaan risiko telah cukup dilaporkan dan digunakan sebagai dasar
dalam pengambilan keputusan
• Pemenuhan akuntabilitas pada setiap tingkatan perusahaan yang relevan
Elemen Kerangka Kerja Untuk Mengelola Risiko

• Pemahaman mengenai Perusahaan dan Konteks di dalamnya
• Penyusunan dan menetapkan kebijakan Manajemen Risiko
• Akuntabilitas
• Integrasi dalam proses perusahaan.
• Sumber daya
• Menyediakan mekanisme komunikasi dan pelaporan internal.
• Menyediakan mekanisme komunikasi dan pelaporan eksternal
Memahami Perusahaan dan Konteksnya

Sebelum memulai disain dan implementasi kerangka kerja untuk mengelola risiko,
penting untuk mengevaluasi dan memahami kedua konteks eksternal dan internal
perusahaan, karena ini dapat secara signifikan mempengaruhi disain dari kerangka
kerja yang ada.
Mengevaluasi konteks eksternal perusahaan, namun tidak terbatas pada:
a. sosial dan budaya hukum, peraturan, keuangan, teknologi, lingkungan
ekonomi.
b. kompetitif, baik internasional, nasional, regional atau lokal.
c. pendorong utama dan kecenderungan yang berdampak terhadap tujuan
perusahaan.
d. hubungan dengan, dan persepsi dan nilai-nilai, pemangku kepentingan
eksternal.
e. Mengevaluasi konteks internal perusahaan dapat meliputi, tetapi tidak terbatas
pada:
• pemerintahan, struktur perusahaan, peran dan akuntabilitas.
• kebijakan, sasaran, dan strategi yang berada di tempat untuk mencapainya.
• kemampuan, dipahami dalam hal sumber daya dan pengetahuan
(misalnya modal, waktu, orang, prosedur, sistem dan teknologi).
• sistem informasi, arus informasi dan prosedur pengambilan keputusan
(baik formal dan informal).
• hubungan dengan, dan persepsi dan nilai-nilai, pemangku kepentingan
internal dan budaya perusahaan.
• standar, pedoman dan model yang diadopsi oleh perusahaan.
• format dan skala hubungan kerjasama.
Menyusun dan Menetapkan Kebijakan Manajemen Risiko

Kebijakan manajemen risiko harus dengan jelas menyatakan tujuan perusahaan,
dan komitmen untuk, manajemen risiko dan terdiri atas:
• alasan perusahaan untuk mengelola risiko.
• hubungan antara tujuan kebijakan dan perusahaan dengan kebijakan
manajemen risiko.
• akuntabilitas dan tanggung jawab untuk mengelola risiko.
• cara penanganan konflik kepentingan.
• komitmen dalam memanfaatkan sumber daya yang dibutuhkan secara

akuntabel dan bertanggung jawab dalam mengelola risiko.
• cara pengukuran dan pelaporan kinerja manajemen risiko.
• komitmen untuk meninjau dan memperbaiki kebijakan manajemen risiko dan
kerangka kerja secara berkala, sebagai bentuk respon terhadap suatu peristiwa
atau perubahan keadaan.
• Kebijakan manajemen risiko harus dikomunikasikan dengan tepat.
Akuntabilitas
Perusahaan harus memastikan bahwa ada akuntabilitas, kewenangan dan
kompetensi yang sesuai untuk mengelola risiko, termasuk menerapkan dan memelihara
prosedur manajemen risiko dan memastikan ketercukupan, efektivitas dan efisiensi dari
setiap prosedur pengendalian. Hal ini dapat ditunjang dengan hal-hal sebagai berikut:
• mengidentifikasi pemilik risiko yang memiliki akuntabilitas dan otoritas untuk
mengelola risiko;
• mengidentifikasi siapa yang bertanggung jawab untuk pelaksanaan,
pengembangan dan pemeliharaan kerangka kerja dalam mengelola risiko;
• mengidentifikasi tanggung jawab lain setiap personil pada semua tingkatan
dalam perusahaan dalam prosedur manajemen risiko;
• menetapkan pengukuran kinerja dan pelaporan eksternal dan atau internal
dan prosedur eskalasi, dan
• memastikan pengakuan setiap tingkatan yang tepat.
Integrasi Dalam Prosedur Perusahaan

Manajemen risiko harus diterapkan dalam semua kegiatan perusahaan melalui
sebuah prosedur dengan cara yang relevan, efektif dan efisien. Prosedur manajemen
risiko harus menjadi bagian dari, dan tidak terpisah dari, prosedur perusahaan.
Secara khusus, manajemen risiko harus diterapkan ke dalam perencanaan kebijakan
pengembangan, bisnis, strategis dan pengkajian ulang, melalui perubahan prosedur
manajemen. Harus ada perencanaan manajemen risiko dalam perusahaan untuk
memastikan bahwa kebijakan manajemen risiko dilaksanakan, dan manajemen risiko
diterapkan dalam semua kegiatan dan prosedur organisas. Rencana pengelolaan risiko
dapat diintegrasikan ke dalam rencana lain perusahaan, seperti rencana strategis.
Sumber Daya
Perusahaan harus mengalokasikan sumber daya yang tepat dalam manajemen
risiko. Hal-hal yang harus dipertimbangkan sebagai berikut:
• personil, keterampilan, pengalaman dan kompetensi;
• sumber daya yang dibutuhkan untuk setiap langkah dari prosedur manajemen
risiko;
• prosedur perusahaan, metode dan instrumen yang akan digunakan dalam

mengelola risiko;
• dokumentasi prosedur dan prosedur;
• sistem manajemen informasi dan pengetahuan, dan
• program pelatihan.
Membangun Komunikasi Internal dan Mekanisme Pelaporan

Perusahaan harus membangun komunikasi internal dan mekanisme pelaporan
dalam rangka mendukung dan mendorong akuntabilitas dan kepemilikan risiko.
Mekanisme ini harus memastikan bahwa:
• komponen kunci dari kerangka kerja manajemen risiko, dan modifikasi
selanjutnya, dikomunikasikan dengan tepat;
• ketersediaan pelaporan internal yang memadai dalam kerangka, efektivitas
dan memiliki hasil;
• ketersediaan informasi yang relevan berasal dari penerapan manajemen risiko
pada tingkat dan waktu yang tepat, dan
• adanya prosedur konsultasi dengan pemangku kepentingan internal.
Mekanisme ini harus mencakup prosedur dalam mengkonsolidasikan informasi
risiko yang sesuai dari berbagai sumber, dengan tetap mempertimbangkan dampaknya.
Membangun Komunikasi Eksternal dan Mekanisme Pelaporan

Perusahaan harus mengembangkan dan menerapkan rencana untuk bagaimana
akan melakukan komunikasi dengan pemangku kepentingan eksternal. Hal ini harus
melibatkan:
• melibatkan para pemangku kepentingan eksternal yang sesuai dan memastikan
pertukaran informasi yang efektif;
• pelaporan eksternal untuk mematuhi persyaratan hukum, peraturan, dan
kebutuhan tata kelola;
• memberikan umpan balik dan pelaporan melalui komunikasi dan konsultasi;
• menggunakan komunikasi dalam membangun kepercayaan dalam perusahaan,
dan
• berkomunikasi dengan pemangku kepentingan apabila terjadi krisis atau
kontingensi.
Mekanisme ini harus mencakup prosedur dalam mengkonsolidasikan informasi
risiko yang sesuai dari berbagai sumber, dengan tetap mempertimbangkan
dampaknya
3.3.3 Penerapan Manajemen Risiko

Dalam menerapkan dan mengelola risiko, perusahaan harus:
• menentukan waktu dan strategi yang tepat untuk menerapkan kerangka kerja.
• menerapkan kebijakan dan prosedur manajemen risiko dalam prosedur

perusahaan.
• mematuhi persyaratan hukum dan peraturan.
• memastikan bahwa pengambilan keputusan, termasuk pengembangan dan
pengaturan tujuan, sejalan dengan hasil dari prosedur manajemen risiko.
• menyimpan informasi dan sesi pelatihan.
• berkomunikasi dan berkonsultasi dengan para pemangku kepentingan untuk
memastikan bahwa kerangka manajemen risiko tetap sesuai.
Menerapkan manajemen risiko harus memastikan bahwa prosedur manajemen
risiko telah melalui rencana manajemen risiko di semua tingkat yang relevan dan fungsi
perusahaan sebagai bagian dari kegiatan dan prosedur.
3.3.4 Pemantauan dan Kaji Ulang Kerangka Kerja

Untuk memastikan bahwa manajemen risiko yang efektif dan terus mendukung
kinerja perusahaan, maka perusahaan harus:
• mengukur indikator kinerja manajemen risiko dan secara periodik ditinjau
ulang untuk sisempurnakan.
• secara berkala, mengukur kemajuan terhadap, dan penyimpangan dari,
rencana manajemen risiko.
• secara berkala, melakukan pengkajian ulang terhadap kerangka kerja,
kebijakan dan rencana manajemen risiko masih tepat, mengingat konteks
perusahaan eksternal dan internal.
• laporan tentang risiko, kemajuan dengan rencana manajemen risiko dan
seberapa baik kebijakan manajemen risiko sedang dilaksanakan.
• mengkaji ulang efektivitas kerangka manajemen risiko.
3.3.5 Perbaikan Berkelanjutan Kerangka Kerja

Berdasarkan hasil pemantauan dan kaji ulang, keputusan harus dibuat tentang
bagaimana kerangka kerja manajemen risiko, kebijakan dan rencana dapat ditingkatkan.
Keputusan ini harus mengarah pada perbaikan manajemen risiko perusahaan dan
budaya manajemen risiko.
3.4 Proses Manajemen Risiko ISO 31000

Proses penerapan manajemen risiko menurut ISO 31000 merupakan bagian yang
terintegrasi dalam proses bisnis perusahaan dan melekat dalam budaya perusahaan
serta bagian dalam proses pengambilan keputusan. Proses manajemen risiko harus
merupakan
• bagian integral dari manajemen.
• diterapkan dalam aktivitas dan budaya organisasi
• disesuaikan dengan prosedur bisnis organisasi. 59
Penilaian risiko merupakan bagian yang paling penting dan mendasar dalam proses
manajemenpengelolaan risiko sehingga
risiko yang perusahaan
baik dapat perlu melakukan
memberikan keyakinan penilaian
bahwarisiko yang benar
dengan penerapan
agar memperoleh profil risiko perusahaan yang sesuai dan tepat agar perusahaan dapat
manajemen risiko,
secara perusahaan
efisien dan efektifdapat
dalammencapai
mengelola tujuannya
risikonya. dengan efisien dan efektif dengan
meminimalkan ketidakpastian
Metodologi penilaiandalam setiaprisiko
manajemen pengambilan
berbasis ISO keputusan namun
31000 dengan tetap dapat
melakukan
penilaian terhadap kerangka kerja penerapan pengelolaan risiko dengan unsur-unsur
berinovasipenilaian
sesuai antara
dengan kapabilitas yang dimiliki. Proses manajemen risiko ada lima
lain tanggung jawab, akuntabilitas, strategi, dan penerapan manajemen
kegiatan risiko.
antaraSistem
lain; komunikasi dan konsultasi;
manajemen risiko yang baik dapatmembangun
memberikan konteks; penilaian
keyakinan bahwarisiko;
dengan penerapan manajemen risiko, perusahaan dapat mencapai tujuannya dengan
penanganan resiko; dan pemantauan dan kaji ulang.
efisien dan efektif dengan meminimalkan ketidakpastian dalam setiap pengambilan
keputusan namun tetap dapat berinovasi sesuai dengan kapabilitas yang dimiliki.
Proses manajemen risiko ada lima kegiatan antara lain; komunikasi dan konsultasi;
Gambar 3.4
membangun konteks; penilaian risiko; penanganan resiko; dan pemantauan dan kaji
Proses Manajemen Risiko ISO 31000
ulang.
Gambar 3.4 Proses Manajemen Risiko ISO 31000
Sumber: ISO 31000
Sumber: ISO 31000


Dalam proses manajemen risiko langkah awal yang sangat penting adalah
menetapkan konteks dimana meliputi penetapan tujuan, strategi, ruang lingkup dan
parameter-parameter lain yang berhubungan dengan proses pengelolaan risiko suatu
perusahaan. Penetapan konteks ini menunjukkan hubungan antara masalah atau hal
yang akan dikelola risikonya dengan lingkungan eksternal & internal perusahaan,
proses manajemen risiko dan ukuran atau kriteria risiko yang dijadikan standar. Dalam
penetapan konteks ini ditetapkan pula sumber daya, struktur perusahaan dimana
terdapat tanggung jawab dan wewenang yang diperlukan dalam pengeloaan risiko.
Dalam dokumen rencana manajemen risiko (Risk Management Plan), penetapan konteks
ini dapat dijadikan bab Latar Belakang Masalah, bab struktur perusahaan pengeloaan
risiko dan bab Kriteria Risiko.
Menetapkan Konteks Eksternal

Konteks eksternal adalah lingkungan eksternal dimana perusahaan berupaya untuk
mencapai tujuannya. Pemahaman konteks eksternal sangat penting untuk memastikan
tujuan dan kebutuhan para pemangku kepentingan eksternal yang dipertimbangkan saat
mengembangkan kriteria risiko. Hal ini didasarkan pada konteks lingkup organisasi,
tapi dengan persyaratan hukum dan peraturan yang spesifik yang rinci, persepsi
pemangku kepentingan dan aspek lain dari risiko spesifik dengan ruang lingkup
prosedur manajemen risiko.
Konteks eksternal dapat meliputi, tetapi tidak terbatas pada:
• hukum sosial dan budaya, politik, regulasi, keuangan, teknologi, lingkungan
ekonomi, alam dan kompetitif, baik internasional, nasional, regional atau
lokal;
• pendorong utama dan kecenderungan yang berdampak terhadap tujuan
organisasi; dan
• hubungan dengan, persepsi dan nilai-nilai pemangku kepentingan eksternal.
Menetapkan Konteks Internal

Konteks internal adalah lingkungan internal di mana organisasi berusaha untuk
mencapai tujuannya. Prosedur manajemen risiko harus selaras dengan budaya
organisasi, prosedur, struktur dan strategi. Konteks internal merupakan segala sesuatu
dalam organisasi yang dapat mempengaruhi cara organisasi akan mengelola risiko. Hal
tersebut perlu ditetapkan karena:
a. manajemen risiko terjadi dalam konteks tujuan organisasi;
b. tujuan dan kriteria dari suatu proyek tertentu, prosedur atau kegiatan harus
dipertimbangkan dalam tujuan organisasi denga jelas secara keseluruhan; dan
c. beberapa organisasi gagal untuk mengenali peluang untuk mencapai tujuan
strategis, proyek atau bisnis, dan hal ini mempengaruhi kredibilitas komitmen,
organisasi, kepercayaan dan nilai. Secara berkelanjutan
Hal ini diperlukan untuk memahami konteks internal. Hal ini dapat mencakup,
namun tidak terbatas pada:
• tata kelola, struktur organisasi, peran dan akuntabilitas.
• kebijakan, sasaran, dan strategi yang sesuai untuk mencapainya.
• kemampuan dan pemahaman tentang sumber daya dan pengetahuan (misalnya
modal, waktu, orang, prosedur, sistem dan teknologi).
• hubungan, persepsi dan nilai-nilai pemangku kepentingan internal dan budaya
organisasi.
• sistem informasi, arus informasi dan prosedur pengambilan keputusan (baik
formal dan informal).
• standar, pedoman dan model yang diterapkan oleh organisasi.
• format dan skala hubungan kerjasama.
Menetapkan Konteks Prosedur Manajemen Risiko

Tujuan, strategi, ruang lingkup dan parameter dari kegiatan perusahaan, atau
bagian-bagian dari perusahaan dimana prosedur manajemen risiko yang diterapkan,
harus ditetapkan. Pengelolaan risiko harus dilakukan dengan penuh pertimbangan
kebutuhan dalam mendayagunakan sumber daya yang digunakan dalam melaksanakan
manajemen risiko. Sumber daya yang diperlukan, tanggung jawab dan wewenang, dan
catatan untuk disimpan juga harus ditetapkan.
Konteks dari prosedur manajemen risiko akan bervariasi sesuai dengan kebutuhan
perusahaan. Hal ini dapat melibatkan, namun tidak terbatas pada:
• mendefinisikan tujuan dan sasaran dari kegiatan manajemen risiko.
• mendefinisikan tanggung jawab dan prosedur manajemen risiko.
• menetapkan ruang lingkup, serta kedalaman dan keluasan kegiatan manajemen
risiko yang akan dilakukan, termasuk inklusi khusus dan pengecualian.
• mendefinisikan aktivitas, prosedur, fungsi, proyek, produk, jasa atau aset,
waktu dan lokasi.
• mendefinisikan hubungan antara prosedur, proyek atau kegiatan tertentu dan
proyek lainnya, prosedur atau kegiatan perusahaan.
• mendefinisikan metodologi penilaian risiko tersebut.
• mendefinisikan kinerja dan efektivitas cara yang digunakan dalam
mengevaluasi pengelolaan risiko.
• mengidentifikasi dan menentukan keputusan yang harus dibuat.
• mengidentifikasi, pelingkupan atau kerangka pembelajaranm yang diperlukan,
berkenaan dengan tujuan dan sumber daya yang diperlukan untuk studi
tersebut.
Perhatian terhadap faktor relevan dan lainnya harus mampu memastikan bahwa
pendekatan manajemen risiko yang diterapkani sesuai dengan keadaan perusahaan
dan risiko yang mempengaruhi pencapaian tujuannya.
Mendefinisikan Kriteria Risiko

Perusahaan harus menetapkan kriteria yang akan digunakan untuk mengevaluasi
signifikansi risiko. Kriteria harus dapat mencerminkan nilai-nilai perusahaan,
tujuan dan sumber daya. Beberapa kriteria yang dapat dikenakan oleh, atau berasal
dari, persyaratan hukum, peraturan dan persyaratan lainnya yang diterapkan oleh
perusahaan. Kriteria risiko harus konsisten dengan kebijakan manajemen risiko
perusahaan, yang didefinisikan pada awal setiap prosedur manajemen risiko dan akan
terus ditinjau.
Ketika mendefinisikan kriteria risiko, faktor yang harus dipertimbangkan mencakup
sebagai berikut:
• sifat dan jenis sebab dan akibat yang dapat terjadi dan bagaimana akan diukur;
• bagaimana kemungkinan akan didefinisikan;
• jangka waktu dari kemungkinan dan/atau konsekuensi;
• bagaimana tingkat risiko ditentukan;
• pandangan dari pemangku kepentingan;
• tingkatan atau bobot risiko yang dapat diterima atau ditoleransi, dan
• apakah kombinasi dari beberapa risiko harus diperhitungkan, apabila
demikian, bagaimana dan kombinasi apa yang harus dipertimbangkan.
Tabel 1. Probabilitas/Frekuensi
Level Probabilitas Keterangan
1 Jarang Hanya terjadi dalam keadaan luar biasa, kurang dari 10
% kemungkinan terjadi
2 Kemungkinan kecil Bisa terjadi pada suatu waktu, 10%-30% kemungkinan
terjadi
3 Kemungkinan sedang Mungkin terjadi pada suatu waktu, 30% - 60%
kemungkinan terjadi
4 Kemungkinan besar Mungkin akan terjadi dalam banyak situasi, 60% - 85%
kemungkinan terjadi
5 Hampir pasti Dapat dipastikan terjadi dalam banyak situasi, lebih dari
85% kemungkinan terjadi
Tabel 2. Dampak/Konsekuensi
Level Kerugian Dampak Kepercayaan Lingkungan Tujuan

Keuangan Personal pada Publik dan Perusahaan
Klien Reputasi (Organisasi)
1 = Tidak < 5% Net Kecelakaan kecil. Dampak Rendah Dampaknya
Signifikan Income Pertolongan internal saja dampaknya rendah
pertama pada area
(P3K), bersifat minimal
administrasi dan tidak
signifikan
2 = Minor 5% - 10% Kejadian yang Berita lokal. Dampak Penundaan
dari Net membutuhkan Publik lokal kecil pada berpengaruh
Income perawatan medis. lingkungan sedikit
Kurang dari 3 biologi atau
hari. Tekanan fisik
emosional
3= 10% - 30% Masuk rumah Kerugian Moderat. Penundaan
Moderat dari Net sakit dan lebih terbatas pada Dampak berpengaruh
Income 3 hari absen. reputasi. Jangka moderat
Cedera semi Pers Lokal / Pendek
permanen. Regional. tetapi tidak
Trauma berdampak
emosional fungsi
ekosistem
4= 30% - 80% Kematian.Cacat Kehilangan Dampak Penundaan
Signifikan dari Net permanen kredibilitas lingkungan berpengaruh
Income dan jangka signifikan.
kepercayaan menengah Kinerja
organisasi. dibawah
Pers Target.
Nasional.
Penyelidikan
eksternal
independen
5= Lebih 80% Beberapa Penyelidikan Sangat serius Target tidak
Katastropik dari Net Kematian. penuh terhadap tercapai.
Income Beberapa Cacat publik. kerusakan Kinerja
permanen Masyarakat fungsi rendah
luas ekosistem dibawah
terget.
3.4.2 Identifikasi risiko

Identifikasi risiko yaitu kegiatan melakukan identifikasi risiko-risiko yang dapat
muncul atau terjadi di masa yang akan datang atau melakukan identifikasi apa saja
kejadian yang menghambat pencapaian target perusahaan. Identifikasi ini termasuk
pengidentifikasian proses, kegiatan dan aktifitas yang berpotensi merugikan perusahaan.
Perusahaan harus mengidentifikasi sumber risiko, area dampak, peristiwa (termasuk
perubahan keadaan) dan penyebabnya dan konsekuensi potensi risiko.
Tujuan dari langkah ini adalah untuk menghasilkan daftar lengkap risiko
berdasarkan peristiwa yang mungkin mendukung, meningkatkan, mencegah,
menurunkan, mempercepat atau menunda pencapaian tujuan. Hal tersebut merupakan
hal penting untuk mengidentifikasi risiko yang terkait dengan tidak mengejar
kesempatan. Identifikasi komprehensif merupakan hal yang penting karena risiko
yang tidak diidentifikasi pada tahap ini tidak akan disertakan dalam analisis lebih lanjut.
Identifikasi risiko harus mencakup sumber daya yang berada di bawah kendali
perusahaan, meskipun sumber risiko atau penyebab mungkin tidak jelas. Identifikasi
risiko harus mencakup pemeriksaan aspek dari konsekuensi tertentu, termasuk dampak
yang ada dan dampak kumulatif. Hal ini juga harus mempertimbangkan berbagai
konsekuensi bahkan jika sumber risiko atau penyebab mungkin tidak jelas. Selanjutnya,
mengidentifikasi apa yang mungkin terjadi, perlu untuk mempertimbangkan
kemungkinan penyebab dan skenario yang menunjukkan konsekuensi yang dapat
terjadi. Semua penyebab signifikan dan konsekuensi harus dipertimbangkan.
Perusahaan harus menerapkan instrumen dan teknik identifikasi risiko yang sesuai
dengan tujuan dan kemampuan, dan untuk risiko yang dihadapi. Informasi yang
relevan dan mutakhir merupakan hal penting dalam mengidentifikasi risiko. Ini harus
mencakup informasi latar belakang yang tepat. Personil dengan pengetahuan yang
sesuai harus dilibatkan dalam mengidentifikasi risiko.
3.4.3 Analisis Risiko

Analisis risiko yaitu proses menentukan berapa besar dampak (impact atau
consequences) dan probabilitas (frequency atau likelihood) risiko-risiko yang akan terjadi,
serta menghitung berapa besar level risikonya dengan mengalikan antara besar dampak
dan besar kemungkinan (Risk = Consequences x Likelihood). Analisis risiko melibatkan
mengembangkan pemahaman risiko dan memberikan masukan untuk evaluasi risiko
dan keputusan apakah risiko perlu ditangani, dan pada strategi risiko dan metode
penanganan yang paling tepat. Analisis risiko juga dapat memberikan masukan dalam
membuat keputusan dan pilihan yang melibatkan berbagai jenis dan tingkat risiko.
Analisis risiko melibatkan pertimbangan penyebab dan sumber risiko, konsekuensi
positif dan negatif serta kemungkinan bahwa konsekuensi dapat terjadi. Faktor-
faktor yang mempengaruhi konsekuensi dan kemungkinan harus diidentifikasi. Risiko
dianalisis dengan menentukan konsekuensi dan kemungkinan potensi dan atribut
lain dari risiko. Suatu peristiwa bisa menimbulkan konsekuensi ganda dan dapat
mempengaruhi berbagai tujuan. Pengendalian yang ada, efektivitas dan efisiensi juga
harus diperhitungkan.
Cara menyajikan konsekuensi dan kemungkinan dan cara menggabungkan untuk
menentukan tingkat risiko harus mencerminkan jenis risiko, informasi yang tersedia,
tujuan dan hasil penilaian risiko untuk digunakan. Hal ini harus konsisten dengan
kriteria risiko. Hal ini juga penting untuk mempertimbangkan saling ketergantungan
risiko yang berbeda dan sumber yang ada.
Kepercayaan dalam penentuan tingkat risiko dan kepekaan terhadap prasyarat
dan asumsi harus dipertimbangkan dalam analisis, dan dikomunikasikan secara efektif
kepada para pembuat keputusan dan, pemangku kepentingan lainnya jika diperlukan.
Faktor-faktor seperti perbedaan pendapat para ahli, ketidakpastian, ketersediaan,
kualitas, kuantitas dan informasi relevansi berkelanjutan, atau keterbatasan pada
pemodelan harus dinyatakan dan dapat ditelaah.
Analisis risiko dapat dilakukan dengan berbagai tingkat secara rinci, tergantung
pada risiko, tujuan analisis, dan informasi, data dan sumber daya yang tersedia.
Analisis dapat bersifat kualitatif, semi kuantitatif atau kuantitatif, atau kombinasi
dari, tergantung pada keadaan.
Konsekuensi dan kemungkinan potensi risiko dapat ditentukan dengan
memodelkan hasil dari suatu peristiwa atau serangkaian peristiwa, atau dengan
ekstrapolasi dari studi eksperimental atau dari data yang tersedia. Konsekuensi dapat
dinyatakan dalam dampak berwujud dan tidak berwujud. Dalam beberapa kasus, lebih
dari satu nilai numerik atau deskripsi yang diperlukan untuk menentukan konsekuensi
dan kemungkinan potensi risiko untuk waktu, tempat, kelompok atau situasi yang
berbeda.
Analisis risiko mempunyai dua ukuran yaitu probabilitas atau frekuensi dan dampak
atau konsekuensi dalam matrik risiko, umumnya matrik risiko 5 x 5. Probabilitas risiko
adalah seberapa sering kejadian ini terjadi dalam sebulan atau setahun tergantung
kriteria risiko yang dibuat perusahaan . Dampak risiko adalah seberapa besar dampak
dari kejadian risiko dalam rupiah (kuantitatif) dan dinyatakan dalam kualitatif (berat).
Dampak keuangan merupakan dampak yang dapat memberikan kerugian keuangan
yang dapat diukur potensi kerugiannya, sedangkan dampak non-keuangan seperti risiko
reputasi dapat memberikan dampak negatif terhadap perusahaan mempunyai implikasi
kerugian keuangan perusahaan walaupun agak sulit mengukurnya.
Ada beberapa dampak kualitatif akibat kejadian risiko seperti dampak kepatuhan/
hukum, dampak reputasi, dampak politik, dampak sosial.
Tabel 2.
Kriteria Risiko – Dampak Reputasi
NILAI URAIAN NILAI KETERANGAN
1 Sangat Ringan Tidak ada dampak eksternal
2 Ringan Belum ada liputan media massa & media sosial
3 Sedang Cakupan terbatas media lokal dan industri. Keluhan dari
klien
4 Berat Liputan media nasional dan media sosial, meningkatnya
keluhan dari beberapa klien, teguran dan penyelidikan
informal regulator
5 Sangat Berat Liputan media nasional dan internasioanl. Menjadi trending
topik media sosial, beberapa klien utama menghentikan
kerjasama, penyelidikan oleh regulator
Dalam melakukan analisa risiko, beberapa data berasal dari beberapa sumber
antara lain data historis yang dimiliki, data hasil melakukan survei dan mendapatkan
data dari sumber dipercaya seperti Badan Pusat Statistik (BPS), Bank Indonesia (BI),
Otorisasi Jasa Keuangan (OJK), Bloomberg dan lainnya. Data historis digunakan
untuk mengukur risiko sedangkan untuk mendapatkan data yang sulit terukur dengan
melakukan survey.
Data yang diperoleh harus dilakukan validasi agar data yang digunakan dapat
dipertanggungjawabkan. Langkah yang dilakukan dalam memvalidasi data sebagai
berikut :
• Data yang digunakan harus relevan terhadap risiko yang akan dibahas.
• Data harus berasal dari sumber yang dapat diverifikasi dan divalidasi.
• Data harus lengkap dalam periode tertentu (data tersedia selama 3 tahun)
• Data historis dapat diperoleh lagi untuk penilaian kembali masa depan
3.4.4 Evaluasi Risiko

Evaluasi risiko adalah proses membandingkan risiko-risiko yang sudah dihitung
diatas dengan Kriteria Risiko yang sudah distandarkan (menempatkan posisi risiko-
risiko pada gambar kriteria risiko) dalam skoring, apakah risiko-risiko itu acceptable/
dapat diterima, menjadi issue/diwaspadai, atau unacceptable/tidak diterima, serta
memprioritaskan mitigasi atau penangannya.
Hasil skoring menunjukkan probabilitas dan dampak dalam skala 1-5. Probabilitas
dan dampak dari yang sangat ringan samapai dengan sangat berat dalam skala 1-5
dimana skoring tersebut ditempatkan dalam matriks risiko. Matriks risiko merupakan
alat untuk memberikan peringkat dan menampilkan risiko-risiko dengan menunjukkan
dampak dan kemungkinan, dengan skoring peringkata dapat dilakukan strategi
perlakuan risiko.
Lihat gambar di bawah ini, risiko 5 terletak di daerah warna merah Unacceptable
Risk dan.
Gambar 3.5 Matriks Risiko
5 5 10 15 20 25
4 4 8 12 16 20
PROBABILITAS
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5
1 2 3 4 5
DAMPAK
Unacceptable (merah): Dibutuhkan tindakan sesegera mungkin untuk mengelola risiko
dan menjadi prioritas untuk dilakukan perlakuan atau mitigasi risiko.
Issue (orange): Tindakan diperlukan untuk mengelola risiko.
Supplementary Issue (Hijau muda): Tindakan dianjurkan jika biaya efektif.
Acceptable (hijau tua) : Tidak ada tindakan yang dibutuhkan.
Matriks risiko merupakan perangkat dari proses evaluasi risiko dimana proses
membandingkan hasil analisis risiko dengan kriteria risiko untuk menentukan apakah
risiko besarnya dapat diterima atau ditoleransi. Evaluasi Risiko membantu dalam
pengambilan keputusan mengenai perlakuan risiko. Dasarnya pengambilan risiko
adalah As Low As Reasonably Practicable (ALARP). Keputusan perlakuan risiko akan
tergantung pada profile risiko setelah analisis risiko. Apabila profile risikonya berada di :
• Merah, maka perlakuan risiko harus segera dilakukan walaupun biaya mahal
karena menyangkut keberlangsungan perusahaan.
• Orange, maka perlakuan risiko perlu dilakukan agar risiko tersebut menjadi
minimal.
• Hijau muda, maka perlakuan risiko didasarkan pada cost benefit analysis.
Kadang kadang tidak perlu dilaksanakan perlakuan risiko.
• Hijau tua, maka risiko dianggap kecil dan perlakuan risiko tidak diperlukan.
Perlu diwaspadai jika menemukan risiko pada zone hijau, apakah risiko
tersebut benar-benar kecil ataukah risk owner tidak paham atau kurang teliti dalam
mengidentifikasikan risiko. Begitu juga sebaliknya jika risiko risiko di zone merah,
apakah risiko tersebut benar gawat sehingga membutuhkan perlakuan dan perhatian
khusus dari manajemen perusahaan ?.
Langkah memilih kriteria risiko untuk setiap risiko sebagai berikut :
• Setiap risiko akan diukur dengan menggunakan standar yang dibuat untuk
tiap risiko dengan kriteria risiko secara umum, sesuai peraturan dan spesifik.
• Skoring atas dampak dan probalitas harus berdasarkan pada kriteria risiko
yang telah ditetapkan.
• Hasil skoring yang merupakan perkalian dari dampak dan probalitas kejadian
menjadi profile risiko perusahaan sehingga risiko dapat terukur. Zone merah
dalam profil risiko akan berdampak serius terhadap keuangan perusahaan
apabila terjadi risiko. Disamping itu ada dampak kualitatif risiko seperti risiko
ketidakpatuhan terhadap peraturan dan risiko reputasi juga akan berdampak
serius terhadap keuangan perusahaan.
Manfaat menggunakan Matriks Risiko adalah :

• Memberikan secara menyeluruh mengenai pemetaan menyeluruh semua risiko
di fungsi atau unit dalam perusahaan.
• Menunjukkan probabilitas dan dampak dari sebuah risiko dibandingkan
dengan risiko-risiko lainnya.
• Memberikan gambaran mengenai risiko mana saja yang menjadi prioritas
untuk perlakuan risiko.
• Menjadi landasan untuk menentukan perlakuan risiko yang tepat.
3.4.5 Perlakuan Risiko

Perlakuan risiko adalah proses untuk memodifikasi risiko sehingga risiko tersebut
dapat dihilangkan, dikurangi atau mempunyai efek yang paling kecil dampaknya
terhadap perusahaan. Tujuan utama perlakuan risiko adalah menurunkan tingkat
kegawatan, baik dari segi dampak maupun probalitas ke arah yang dapat ditoleransi.
Proses ini bertujuan untuk menemukan rencana perlakuan risiko yang paling tepat
dalam mengelola risiko yang ada dengan pengalokasian biaya dan sumber daya yang
paling efisien serta efektif. Perlakuan risiko juga merupakan proses mitigasi risiko
(menurunkan risiko) dengan melakukan rencana tindakan berdasarkan akar penyebab
sehingga potensi kejadian dan dampaknya dapat diminimalkan. Mitigasi risiko-risiko
harus direncanakan sebaik-baiknya dan dipertimbangkan semua alternatif solusinya
sebelum dilaksanakan mitigasinya, agar mendapatkan hasil yang diharapkan ecara
efektif dan efisien. Beberapa alternatif bisa dipertimbangkan untuk digunakan, seperti :
• membagi risiko.
• mengurangi probalitas dan/atau mengurangi dampak.

• menghindari risiko atau membatalkan aktifitas yg berisiko tinggi.
• menerima risiko.
Perlakuan risiko ini tindakan untuk meminimalkan risiko. Risiko yang melekat
setiap proses bisnis (inherent risk) dengan dilaksakan perlakuan risiko, kejadian risiko
dapat turun menjadi risiko sisa (residual risk). Dalam melakukan pelakuan risiko ada
beberapa tahap yang dilakukan :
• Risk Register yang telah diprioritaskan
• Menentukan kegawatan sebuah risiko
• Melakukan Root Cause Analysis atas risiko diprioritaskan
• Tentukan perlakuan atau tidak perlu perlakuan risiko
• Pemilihan jenis perlakuan untuk tiap risiko
• Menyusun rencana perlakuan risiko
• Melakukan Cost Benefit Analysis
• Memilih opsi rencana perlakuan
• Implementasi, Progress Monitor
Tidak semua risiko harus mendapatkan perlakukan. Ada risiko-risiko yang

diputuskan untuk tidak perlu diperlakukan karena beberapa alasan:
• Mempunyai kegawatan yang rendah atau sedang (tidak berada di zone merah)
• Sumber daya yang ada diprioritaskan untuk mentreat risiko lain yang berada
di wilayah merah
• Mencegah kegiatan yang tidak fokus.
• Risiko belum terlalu dipahami dan perlakuan yang tepat belum diketahui
• Kemungkinan terjadinya sangat kecil
• Risiko yang tidak perlakukan harus dicatat dan dijelaskan mengapa tidak
perlu diperlakukan.
• Di masa depan risiko ini mungkin harus diperlakukan hingga secara berkala
risiko ini akan ditinjau ulang.
Menentukan perlakuan risiko ada beberapa pertimbangan biaya dan sumber daya
tersedia diperusahaan. Ada beberapa jenis perlakuan risiko
1. Menghindari Risiko
• Dilakukan dengan tidak melakukan aktivitas yang dapat menimbulkan risiko
tersebut
• Risiko jauh melebihi manfaat dari aktivitas, atau risiko sulit diukur
• Perusahaan mempunyai opsi untuk menghindar
• Menghindar dari risiko seringkali menghilangkan kesempatan
2. Berbagi risiko
• Memecah proses menjadi tahapan yang ditangani oleh institusi lain dan masing-
masing bertanggung jawab atas tahapan kerjanya
• Melakukan joint financing, joint venture

• Harus dianalisa untuk menentukan apakah risiko dapat dibagi.
3. Transfer risiko
• Membeli asuransi, reasuransi, melakukan hedging
• Memastikan apakah risiko telah benar-benar ditransfer (tanpa recourse)
• Mentransfer risiko menimbulkan risiko baru bahwa pihak yang menerima transfer
(transferee) tidak melaksanakan kewajiban sesuai kesepakatan
4. Mengurangi atau Memitigasi Risiko
• Mengurangi kemungkinan terjadinya risiko melalui pembuatan prosedur dan
pengawasan internal, pelatihan, sosialisasi internal.
• Mengurangi dampak atas terjadinya risiko melalui contingency plan, penyediaan
cadangan dana, Meningkatkan public relation.
5. Menerima risiko
• Risiko tidak dapat dihindari atau dikurangi karena sudah merupakan bagian
integral dari lingkup kerja perusahaan
• Sudah diamanatkan oleh undang-undang
Ada beberapa langkah untuk melakukan strategi perlakuan risiko dengan

pertimbangan sebagai berikut.
• Dapatkah risiko dihindari?
• Dapatkah risiko ditransfer atau dibagi ?
• Dapatkah risiko dimitigasi?
• Risiko harus diterima sebagaimana adanya
1. Pilihan menghindari risiko :

• Hanya dapat dilakukan bila risiko tersebut belum terjadi atau timbul dari suatu
operasi tertentu yang dapat dihindari oleh perusahaan
• Bila risiko tersebut sudah lama ada, umumnya tidak dapat dihindari karena
sudah merupakan bagian dari bisnis
• Perlu dianalisa berapa manfaat yang hilang dengan menghindari risiko tersebut
• Menghindari satu risiko dapat mendatangkan risiko lain, no action is an
action.
2. Pilihan memindahkan risiko (Risk Transfer) :
• Jenis risiko yang ditransfer/dishare: misalnya risiko kebakaran dapat ditransfer
dengan mudah, tapi risiko fraud sangat sulit
• Tergantung dari perjanjian: kekurang hati-hatian dalam menyusun perjanjian
dapat mengakibatkan suatu risiko tidak tertransfer sesuai rencana
• Segala jenis risiko saat ditransfer akan berubah menjadi risiko counterparty
• Biaya menjadi pertimbangan dimana besaran biaya tergantung dari besarnya

risiko yang ditransfer/share dan berapa besar kemungkinan risiko tersebut
terjadi.
3. Pilihan mitigasi risiko :
• Adalah opsi yang paling banyak digunakan untuk mengelola beragam jenis
risiko
• Opsi ini perlu diperhitungkan dengan matang cost benefit serta kebutuhan
sumber daya dan waktunya
• Biaya dan upaya harus dibandingkan dengan hasil yang berbentuk besaran
penurunan tingkat kegawatan risiko.
• Risiko harus diprioritaskan terutama yang berada di zona merah. Seringkali
keterbatasan sumber daya serta anggaran memungkinkan pengelolaan atas
beberapa risiko tertentu saja
4. Pilihan menerima risiko
• Risiko yang tidak dapat di mitigasi sama sekali karena memang sudah
merupakan bagian bisnis dari perusahaan
• Upaya untuk memitigasi akan sangat mahal atau sukar dilaksanakan
• Opsi diterima hanya dapat diambil bila benar-benar risiko ini dipikirkan untuk
diperlakukan dengan berbagai cara namun tidak memungkinkan
• Harus ada alasan kuat sebelum memutuskan sebuah risiko harus diterima
• Risiko ini seringkali signifikan namun tidak bisa diperlakukan untuk
meminimalkan risiko
• Menerima berbeda dengan tidak melakukan perlakuan risiko. Tidak melakukan
perlakuan risiko bisa berarti belum diprioritaskan untuk diperlakukan atau
tidak signifikan. Menerima dapat berarti risiko signifikan namun tidak dapat
perlakuan sama sekali dengan biaya dan sumberdaya yang wajar.
5. Bagaimana Memilih Jenis Perlakuan Risiko yang Tepat ?
• Perlakuan Risiko harus disesuaikan dengan kondisi divisi/perusahaan
• Perlakuan Risiko hanya disusun setelah akar penyebabnya dari risiko diketahui
• Semua opsi-opsi perlakuan risiko yang ada perlu dieksplorasi dan ditingkatkan
• Pertimbangan biaya, waktu dan alokasi sumber daya merupakan faktor penting
• Pilihan yang diambil merupakan pilihan yang paling efektif dalam mengelola
risiko dengan keterbatasan dana dan sumber daya yang ada serta
Faktor-faktor yang Perlu Diperhatikan dalam Menyusun Perencanaan Perlakuan

Risiko
• Aspek Hukum dan compliance: apakah treatment plan sesuai koridor hukum
yang ada dan tidak bertentangan dengan corporate governance yang telah
ditetapkan?
• Social responsibility: melakukan treatment atas suatu risiko seringkali

meningkatkan risiko yang harus ditanggung oleh publik. Perlu dilakukan
social benefit analysis dan perlu rencana sosialisasi bila membawa dampak
bagi publik.
• Anggaran: ketersediaan anggaran perlu diperhitungkan karena beberapa opsi
treatment plan akan menelan biaya cukup besar
• Stakeholder view: apakah pandangan stakeholder (BI, DPR, Kemenkeu,
kepolisian dsb) atas treatment plan yang akan dilakukan?
Beberapa Metode perlakuan risiko yang Umum dilakukan antara lain :

Asuransi a. Premi yang dibayar adalah biaya pasti untuk memperoleh
manfaat yang tidak pasti.
b. Mempunyai keterbatasan dalam risiko yang di cover
c. Premi seringkali lebih mahal dibandingkan dengan manfaat
yang diperoleh
d. Banyak risiko bisnis yang tidak dapat diasuransikan
Hedging a. Umumnya untuk melindungi dari beberapa jenis risiko pasar,
risiko suku bunga dan risiko mata uang.
b. Hedging tidak dapat mengeliminir seluruh risiko
c. Biaya berbentuk premi yang dibayarkan ke Hedge Fund.
Pembelian Sistem a. Sistem yang akan dibeli dikaji lebih dalam apakah sesuai dengan
kebutuhan perusahaan untuk mengeliminir risiko tertentu.
b. Perlu dipelajari bentuk pembelian dan kerjasamanya software
sehingga meminimalkan risiko meningkatnya biaya karena
adanya perubahan.
c. Harus disesuaikan dengan konteks perusahaan/organisasi dan
lingkungan bisnis.
Pengembangan a Relatif mudah dan murah dengan hasil yang lebih beragam
Kompetensi Kompetensi
b Mutasi karyawan, merekrut pegawai baru, ada pegawai yang
keluar sehingga membutuhkan pelatihan kembali untuk
meningkatkan kompetensi pegawai
Kombinasi dan Multi Risk

• Satu risiko dapat memiliki beberapa perlakuan yang berbeda. Misalnya mengurangi
fraud internal dapat dilakukan dengan memperkuat pengawasan serta menyusun
SOP atas semua kegiatan
• Satu perlakuan dapat digunakan untuk perlakuan atas beberapa risiko sekaligus.
Misalnya, pelatihan dapat ditujukan untuk meningkatkan pemahaman atas hal-hal
yang menjadi pemicu terjadinya beberapa risiko.
3.4.6 Komunikasi dan Konsultasi

Prosedur yang dilakukan secara terus-menerus dan berulang-ulang oleh perusahaan
dalam menyediakan, membagi atau memperoleh informasi dan melakukan dialog
dengan para pemangku kepentingan dan pihak terkait berkaitan dengan pengelolaan
risiko.
• Komunikasi dan informasi dapat berhubungan dengan keberadaan, sifat,
bentuk, kemungkinan, tingkat keparahan, evaluasi, penerimaan, penanganan
atau aspek lain dari manajemen risiko.
• Konsultasi merupakan prosedur komunikasi informasi dua arah antara
perusahaan dan para pemangku kepentingan atau pihak terkait sebelum
melakukan pengambilan keputusan atau menentukan arah pada penanganan
masalah tertentu. Jadi, konsultasi adalah:
• Prosedur yang memiliki dampak terhadap pengambilan keputusan melalui
pengaruh daripada kekuasaan; dan masukan untuk pengambilan keputusan,
bukan pengambilan keputusan bersama.
Komunikasi dan konsultasi dengan pemangku kepentingan eksternal dan internal
harus dilakukan di semua tahapan dari prosedur manajemen risiko. Rencana untuk
komunikasi dan konsultasi harus dikembangkan pada tahap awal. Hal inii akan
mampu mengatasi masalah yang berhubungan dengan risiko itu sendiri, penyebabnya,
konsekuensinya (jika diketahui), dan tindakan yang harus diambil untuk menanganinya.
Komunikasi dan konsultasi eksternal dan internal yang efektif harus dilakukan
untuk memastikan bahwa mereka bertanggung jawab untuk melaksanakan prosedur
manajemen risiko dan pemangku kepentingan memahami dasar keputusan dibuat, dan
alasan mengapa tindakan tertentu yang diperlukan.
Pendekatan tim konsultatif dapat:
• membantu menetapkan konteks dengan tepat.
• memastikan bahwa kepentingan pemangku kepentingan dipahami dan
dipertimbangkan.
• membantu memastikan bahwa risiko diidentifikasi secara memadai.
• membawa berbagai bidang keahlian bersama untuk menganalisis risiko.
• memastikan bahwa pandangan yang berbeda secara tepat dipertimbangkan
ketika menentukan kriteria risiko dan dalam mengevaluasi risiko.
• persetujuan dan dukungan yang efektif dalam rencana penanganan.
• meningkatkan manajemen perubahan yang tepat selama prosedur manajemen
risiko.
• mengembangkan komunikasi eksternal dan internal yang sesuai dan rencana

konsultasi.
Komunikasi dan konsultasi dengan pemangku kepentingan merupakan penting
karena mereka membuat penilaian mengenai risiko berdasarkan persepsi mereka
terhadap risiko. Persepsi dapat bervariasi karena perbedaan dalam nilai-nilai, kebutuhan,
asumsi, konsep dan keprihatinan para pemangku kepentingan. Seperti pandangan
mereka dapat memiliki dampak yang signifikan terhadap keputusan yang dibuat,
persepsi pemangku kepentingan harus diidentifikasi, dicatat, dan diperhitungkan dalam
prosedur pengambilan keputusan. Komunikasi dan konsultasi harus memfasilitasi jujur,
pertukaran relevan, akurat dan mudah dipahami informasi, dengan mempertimbangkan
aspek integritas rahasia dan pribadi.
3.4.7 Pemantauan & Pengkajian Ulang.

Pemantauan & Pengkajian Ulang dilaksanakan terhadap seluruh proses manajemen
risiko termasuk konteksnya (lingkungan, proses, perusahaan, strategi, stakeholder
dsb.). Catatan-catatan hasil Pemantauan & Pengkajian Ulang disimpan sebagai bukti
dan laporan bahwa aktifitas itu telah dilaksanakan dan sebagai masukan bagi Risk
Management Framework yang telah disiapkan sebelumnya.
Pemantauan dan pengkajian ulang harus menjadi bagian yang direncanakan dari
prosedur manajemen risiko dan mencakup pemeriksaan atau pengawasan. Hal ini dapat
dilaksanakan secara periodik atau ad hoc. Tanggung jawab pemantauan dan pengkajian
ulang harus ditetapkan secara jelas. Pemantauan perusahaan dan prosedur pengkajian
ulang harus mencakup semua aspek dari prosedur dan tujuan manajemen risiko:
• memastikan bahwa pemantauan yang efektif dan efisien baik dalam disain dan
operasi.
• memperoleh informasi lebih lanjut untuk meningkatkan penilaian risiko.
• menganalisis dan belajar dari peristiwa (termasuk nyaris), perubahan, tren,
keberhasilan dan kegagalan.
• mendeteksi perubahan dalam konteks eksternal dan internal, termasuk
perubahan kriteria risiko dan risiko itu sendiri yang memerlukan revisi
penanganan risiko dan prioritas.
• mengidentifikasi risiko yang muncul.
Kemajuan pelaksanaan rencana penanganan risiko yang menyediakan ukuran
kinerja. Hasil dapat dimasukkan ke dalam pengukuran kinerja perusahaan secara
keseluruhan manajemen, dan kegiatan pelaporan eksternal dan internal. Hasil
pemantauan dan pengkajian ulang harus dicatat dan dilaporkan secara eksternal
dan internal, dan juga harus digunakan sebagai masukan bagi penelaahan terhadap
kerangka kerja manajemen risiko.
Dokumantasi Prosedur Manajemen Risiko

Kegiatan manajemen risiko harus mudah dipantau. Dalam prosedur manajemen
risiko, dokumentasi merupakan dasar untuk perbaikan metode dan alat serta
prosedur secara keseluruhan. Keputusan tentang pembuatan dokumentasi harus
mempertimbangkan:
• kebutuhan perusahaan untuk terus belajar.
• manfaat menggunakan kembali informasi untuk tujuan manajemen.
• biaya dan usaha yang terlibat dalam menciptakan dan memelihara
dokumentasi.
• hukum, peraturan dan operasional kebutuhan dokumentasi.
• metode akses, kemudahan pembaharuan dan media penyimpanan.
• periode retensi dan sensitivitas informasi.
Bab 4 - ISO 31000 : 2018 73
Bab 4
ISO 31000: 2018
4.1 Pendahuluan
Penerapan manajemen risiko berguna untuk mengelola risiko sehingga dapat
melindungi dan meningkatkan nilai perusahaan sejalan dengan meningkatkan
kinerja dan mencapai tujuan perusahaan. Pengaruh faktor eksternal dan internal
terhadap perusahaan membuatnya ketidakpastian dalam mencapai tujuan perusahaan.
Mengelola risiko bersifat berulang dan membantu perusahaan mencapai tujuan dengan
menetapkan strategi yang tepat dan membuat keputusan berdasarkan manajemen
risiko. Mengelola risiko merupakan
bagian dari tata kelola dan kepemimpinan
termasuk interaksi dengan para pemangku
kepentingan.
Krisis keuangan global pada
tahun 1998 dan 2008 membuat banyak
perusahaan mulai menerapkan manajemen
risiko. Semakin disadari bahwa penerapan
manajemen risiko yang eksplisit dan
terstruktur membawa manfaat untuk keberlangsungan bisnis perusahaan . Dengan

mengambil pendekatan proaktif terhadap risiko dan pengelolaan manajemen risiko
yang efektif, perusahaan akan mampu mencapai peningkatan empat bidang berikut:
• Strategi, risiko yang terkait dengan berbagai opsi strategis untuk pertumbuhan
perusahaan sepenuhnya telah dianalisis, sehingga keputusan strategis yang
ingin dicapai menjadi lebih baik.
• Taktik, pertimbangan akan diberikan pada pemilihan taktik yang tepat dan
risiko yang dihadapi perusahaan. Banyak alternatif taktik yang tersedia
sehingga perusahaan akan mampu menghadapi persaingan yang semakin
ketat.
• Operasi, peristiwa negatif berupa risiko yang dapat menyebabkan
terganggunya proses bisnis perusahaan telah di identifikasi dan tindakan
yang diambil untuk mengurangi kemungkinan kejadian ini, meminimalkan
kerugian terkait dengan biaya.
• Kepatuhan, semakin akan meningkat karena risiko yang terkait dengan
dengan regulasi, kewajiban hukum dan pelanggan akan dihindarkan.
Perusahaan dapat mengantisipasi dan menempatkan posisi dimana kejadian tak
terduga menyebabkan kerugian finansial, gangguan terhadap operasi perusahaan,
risiko reputasi dan hilangnya pangsa pasar dapat dimitigasi sehingga kejadian
tersebut dapat diminimalkan kerugiannya. Pemangku kepentingan sekarang berharap
bahwa perusahaan mempertimbangkan sepenuhnya risiko yang dapat menyebabkan
ketidakpatuhan terhadap kewajiban hukum, gangguan dan ketidakefisienan dalam
operasi perusahaan, keterlambatan penyelesaian proyek atau kegagalan untuk
menggunakan strategi bersaing yang tepat.
Ada peningkatan tingkat risiko dan jumlah risiko baru yang dihadapi oleh
perusahaan akibat kondis bisnis yang berubah cepat karena revolusi industri 4.0
sehingga pola konsumsi dan pemasaran berubah secara drastis.
Perubahan persaingan di pasar dapat menjadi lebih berisiko sehingga menimbulkan
risiko baru atau meningkat risiko yang telah ada. Risiko tersebut dapat berupa :
• Volatisitas kondisi pasar dunia dan globalisasi pelanggan, pemasok, dan
produk.
• Meningkatnya persaingan di pasar dan harapan pelanggan yang lebih besar.
• Inovasi produk dan perubahan teknologi produk dengan cepat.
• Ancaman terhadap ekonomi nasional, proteksi dan perang dagang.
• Potensi untuk kejahatan terorganisasi internasional dan peningkatan risiko
politik.
• Kejadian cuaca ekstrem akibat pemanasan global berakibat kehancuran.
Penerapan manajemen risiko ISO 31000: 2018 memiliki prinsip, kerangka kerja,
dan proses yang merupakan dasar dalam mengelola risiko agar efisien dan efektif serta
konsisten. Risiko berbasis anggaran merupakan hasil bentuk penerapan manajemen
Bab 4 - ISO 31000 : 2018 75
risiko, sehingga rencana atau target perusahaan dapat terarah dan terukur dengan jelas
siapa yang bertanggung jawab Gambar 4.1dikaitkan dengan kinerja pemilik risiko
terhadap risiko
Prinsip,
(risk owener). Kerangka Kerja, Proses ISO 31000;2018
Gambar 4.1 Prinsip, Kerangka Kerja, Proses ISO 31000;2018 79
Gambar 4.1
Prinsip, Kerangka Kerja, Proses ISO 31000;2018
Prinsip
Prinsip
Kerangka Kerja Proses
4.2 Prinsip-Prinsip
4.2 Prinsip-Prinsip Manajemen
Manajemen Risiko Risiko
ISO 31000 ISO
menyatakan bahwa tujuan
31000 menyatakan penerapan
bahwa manajemen
tujuan penerapan risiko adalah
manajemen risiko untuk
adalahpenciptaan
untuk
Kerangka nilai
Kerja Proses
penciptaan dan perlindungan nilai perusahaan. Prinsip-prinsip yang ditetapkan dalam
dan perlindungan perusahaan. Prinsip-prinsip yang ditetapkan dalam ISO 31000
memberikan panduan tentang karakteristik manajemen risiko yang efektif dan efisien serta
mengkomunikasikan nilai dan menjelaskan maksud serta tujuan perusahaan.
nsip-Prinsip Manajemen Risiko
ISO 31000 memberikan panduan tentang karakteristik manajemen risiko yang efektif
dan efisien serta mengkomunikasikan nilai dan menjelaskan maksud serta tujuan
perusahaan.
Ada total delapan prinsip yang disajikan dalam standar ISO 31000: 2018. Delapan
prinsip tersebut adalah dijelaskan di bawah ini:
1. Kerangka dan proses harus disesuaikan dan proporsional.
2. Keterlibatan pemangku kepentingan yang tepat dan tepat waktu diperlukan.
3. Diperlukan pendekatan terstruktur dan komprehensif.
4. Manajemen risiko merupakan bagian integral dari semua kegiatan organisasi.
5. Manajemen risiko mengantisipasi, mendeteksi dan menanggapi perubahan.
6. Manajemen risiko secara eksplisit mempertimbangkan segala keterbatasan
informasi yang tersedia.
7. Faktor manusia dan budaya mempengaruhi semua aspek manajemen risiko.
8. Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman.
Lima prinsip pertama memberikan panduan tentang bagaimana penerapan
manajemen risiko berkaitan dengan desain dan perencanaan inisiatif manajemen risiko
dan prinsip-prinsip ini sering dirangkum sebagai proporsional, selaras, komprehensif
dan dinamis.
Prinsip enam, tujuh dan delapan terkait dengan operasi inisiatif manajemen risiko.
Artinya hal ini menegaskan bahwa informasi terbaik yang tersedia harus digunakan
dan faktor manusia dan budaya harus dipertimbangkan dalam menerapkan manajemen
risiko serta implimentasi manajemen risiko harus memastikan adanya perbaikan
berkelanjutan.
Gambar 4.2 Prinsip-Prinsip ISO 31000: 2018
Bab 4 - ISO 31000 : 2018 77
Prinsip – prinsip manajemen risiko ISO 31000; 2018 sebagai berikut.

a. Terintegrasi
Manajemen risiko merupa bagian integral dari semua proses bisnis perusahaan
sehingga menjadi kesatuan yang utuh.
b. Terstruktur dan komprehensif
Pendekatan yang terstruktur dan komprehensif terhadap manajemen risiko
memberikan berkontribusi terhadap hasil yang konsisten dan sebanding.
c. Disesuaikan (customized)
Kerangka kerja dan proses manajemen risiko disesuaikan dan proporsional
dengan konteks eksternal dan internal organisasi terkait dengan tujuan
d. Inklusif
Keterlibatan pemangku kepentingan yang memberikan pandangan dan
pengetahuan serta persepsi. Menjadikan sebagai bahan pertimbangan dan
masukan. Kondisi ini menghasilkan peningkatankesadaran dalam menerapkan
dan mengelola risiko.
e. Dinamis
Risiko bersifat dinamis sehingga risiko dapat muncul, berubah, atau retired
ketika konteks eksternal dan internal organisasi berubah. Manajemen risiko
mengantisipasi, mendeteksi, dan menanggapi perubahan tersebut dengan cara
yang efektif dan tepat waktu.
f. Informasi terbaik tersedia
Manajemen risiko didasarkan pada informasi dan data historis dan terkini serta
harapan masa depan. Manajemen risiko secara eksplisit mempertimbangkan
segala keterbatasan dan ketidakpastian terkait dengan informasi dan data.
Informasi yang tersedia harus tepat waktu, jelas dan relevana bagi para
pemangku kepentingan.
g. Faktor manusia dan budaya
Perilaku dan budaya manusia secara signifikan mempengaruhi semua
aspek dalam manajemen risiko di setiap tingkat dan tahap. Artinya dalam
menerapkan manajemen risiko di perusahaan, faktor manusia dan budaya
menjadi perhatian dan pertimbangan yang penting.
h. Perbaikan berkelanjutan
Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman
karena risiko bersifat dinamis. Manajemen risiko tidak hanya memperbaiki
proses bisnis, tetapi juga meningkatkan kinerja perusahaan.
4.3. Kerangka Kerja

Tujuan kerangka kerja manajemen risiko adalah untuk membantu organisasi
dalam mengintegrasikan manajemen risiko ke dalam aktivitas perusahaan. Efektivitas
implementasi manajemen risiko di perusahaan akan tergantung pada terintegrasinya

ke dalam tata kelola organisasi, termasuk dalam pengambilan keputusan sehingga
membutuhkan dukungan dari para pemangku kepentingan, terutama manajemen
puncak.
Pengembangan kerangka kerja mencakup mengintegrasikan, merancang,
menerapkan, mengevaluasi dan meningkatkan manajemen risiko di seluruh
perusahaan. Gambar 4.3 mengilustrasikan komponen kerangka kerja. Perusahaan
harus mengevaluasi praktik dan proses manajemen risiko yang ada, mengevaluasi
setiap kesenjangan dan mengatasi kesenjangan dalam kerangka tersebut. Komponen-
komponen kerangka kerja dan cara mereka bekerja bersama harus disesuaikan dengan
kebutuhan perusahaan.
Gambar 4.3. Kerangka Kerja Manajemen Risiko
4.3.1 Kepemimpinan dan komitmen

Manajemen puncak dan badan pengawasan harus memastikan bahwa manajemen
risiko terintegrasi dalam semua proses bisnis perusahaan dan harus memiliki
kepemimpinan dan komitmen dengan:
• menyesuaikan dan mengimplementasikan semua komponen kerangka kerja;
mengeluarkan pernyataan atau kebijakan yang menetapkan pendekatan
manajemen risiko, rencana atau tindakan.
• memastikan bahwa sumber daya yang diperlukan dialokasikan untuk
mengelola risiko.
Bab 4 - ISO 31000 : 2018 79
• menugaskan otoritas, tanggung jawab dan akuntabilitas pada tingkat yang

sesuai dalam perusahaan.
Memiliki kepemimpinan dan komitmen memudahkan perusahaan untuk:

• menyelaraskan manajemen risiko dengan tujuan, strategi dan budayanya.
• mengenali dan mengatasi semua kewajiban, serta komitmen sukarela.
• menetapkan jumlah dan jenis risiko yang mungkin atau tidak mungkin diambil
untuk memandu pengembangan kriteria risiko, memastikan bahwa mereka
dikomunikasikan kepada organisasi dan pemangku kepentingannya.
• mengkomunikasikan nilai manajemen risiko kepada organisasi dan pemangku
kepentingannya.
• mempromosikan pemantauan risiko secara sistematis.
• memastikan bahwa kerangka manajemen risiko tetap sesuai dengan konteks
organisasi.
Manajemen puncak bertanggung jawab untuk mengelola risiko sementara badan

pengawasan bertanggung jawab untuk mengawasi manajemen risiko. Fungsi dari
badan pengawas sering diharapkan atau diminta untuk :
• memastikan bahwa risiko dipertimbangkan secara memadai saat menetapkan
tujuan organisasi.
• memahami risiko yang dihadapi organisasi dalam mencapai tujuannya.
• memastikan bahwa sistem untuk mengelola risiko tersebut diimplementasikan
dan beroperasi secara efektif.
• memastikan bahwa risiko tersebut sesuai dalam konteks tujuan organisasi.
• memastikan bahwa informasi tentang risiko dan pengelolaannya
dikomunikasikan dengan benar.
4.3.2 Integrasi
Mengintegrasikan manajemen risiko bergantung pada pemahaman struktur dan
konteks perusahaan. Struktur organisasi perusahaan berbeda tergantung pada tujuan,
dan kompleksitas perusahaan. Risiko dikelola di setiap bagian dalam struktur organisasi
perusahaan dan setiap orang memiliki tanggung jawab untuk mengelola risiko.
Tata kelola memandu jalannya perusahaan, hubungan eksternal dan internal
serta aturan, proses, dan praktik yang diperlukan untuk mencapai tujuan perusahaan.
Struktur manajemen menerjemahkan arah tata kelola ke dalam strategi dan tujuan
terkait yang diperlukan untuk mencapai tingkat kinerja berkelanjutan yang diinginkan
dan kelangsungan hidup jangka panjang perusahaan. Menentukan akuntabilitas
manajemen risiko dan peran pengawasan dalam suatu organisasi merupakan bagian
integral dari tata kelola organisasi.
Mengintegrasikan manajemen risiko ke dalam organisasi adalah proses yang
dinamis dan berulang, dan harus disesuaikan dengan kebutuhan dan budaya
perusahaan. Manajemen risiko harus menjadi bagian dari, dan tidak terpisah dari
tujuan perusahaan, pemerintahan, kepemimpinan dan komitmen, strategi, tujuan dan
operasi.
4.3.3 Desain
Ketika merancang kerangka kerja untuk mengelola risiko, perusahaan harus
memeriksa dan memahami konteks eksternal dan internal. Memeriksa konteks eksternal
perusahaan termasuk, tetapi tidak terbatas pada:
• faktor sosial, budaya, politik, hukum, peraturan, keuangan, teknologi, ekonomi
dan lingkungan, baik internasional, nasional, regional atau lokal.
• Pendorong utama dan tren yang mempengaruhi tujuan organisasi.
• hubungan, persepsi, nilai, kebutuhan, harapan pemangku kepentingan
eksternal.
• hubungan dan komitmen kontraktual.
• kompleksitas jaringan dan ketergantungan.
Memeriksa konteks internal perusahaan dapat mencakup:

• visi, misi, dan nilai-nilai.
• pemerintahan, struktur organisasi, peran dan akuntabilitas.
• strategi, tujuan, dan kebijakan dan budaya perusahaan.
• standar, pedoman, dan model yang diadopsi oleh perusahaan.
• kemampuan, sumber daya dan pengetahuan (modal, waktu, orang, kekayaan
intelektual, proses, sistem, dan teknologi)
• data, sistem informasi dan arus informasi.
• hubungan dengan pemangku kepentingan internal, dengan mempertimbangkan
persepsi dan nilai-nilai.
• interdependensi dan interkoneksi.
Dewan direksi dan komisaris perusahaan harus menunjukkan dan berkomitmen

terhadap penerapan manajemen risiko melalui kebijakan, pernyataan atau bentuk
lain yang secara jelas menyampaikan tujuan dan komitmen perusahaan terhadap
manajemen risiko.
Komitmen harus mencakup :
• tujuan perusahaan untuk mengelola risiko sesuai dengan tujuan dan kebijakan
perusahaan.
• memperkuat kebutuhan untuk mengintegrasikan manajemen risiko ke dalam
budaya perusahaan secara menyeluruh dan terintegrasi.
• mengintegrasikan manajemen risiko ke dalam kegiatan bisnis inti dan
pengambilan keputusan.
• otoritas, tanggung jawab dan akuntabilitas
• membuat sumber daya yang diperlukan tersedia.
Bab 4 - ISO 31000 : 2018 81
• pengukuran dan pelaporan dalam indikator kinerja perusahaan.

• Kaji ulang dan perbaikan.
Komitmen manajemen risiko harus dikomunikasikan dan disampaikan kepada

para pemangku kepentingan sehingga penerapan manajemen risiko menjadi efektif.
Dewan direksi dan komisaris perusahaan harus memastikan bahwa otoritas, tanggung
jawab dan akuntabilitas untuk peran yang relevan sehubungan dengan implementasi
manajemen risiko untuk menugaskan dan mengkomunikasikan di semua tingkat
organisasi dalam perusahaan. Disampaikan bahwa manajemen risiko adalah tanggung
jawab utama yang memiliki akuntabilitas dan otoritas dan tanggung jawab untuk
mengelola risiko adalah pemilik risiko.
Dewan direksi dan komisaris perusahaan harus memastikan alokasi sumber daya
yang tepat untuk penerapan manajemen risiko yang dapat mencakup pada orang,
keterampilan, pengalaman, dan kompetensi. Alokasi sumber daya meliputi :
• proses, metode, dan perangkat perusahaan yang akan digunakan untuk
mengelola risiko.
• proses dan prosedur yang terdokumentasi.
• sistem informasi dan manajemen pengetahuan.
• Pengembangan profesional dan kebutuhan pelatihan.
Perusahaan harus juga mempertimbangkan kemampuan dan kendala sumber daya

yang ada, sehingga perlu melakukan komunikasi dan konsultasi untuk mengoptimalkan
keterbatasan sumber daya agar dapat mendukung kerangka kerja dan memfasilitasi
penerapan manajemen risiko yang efektif. Komunikasi melibatkan peserta untuk
berbagi informasi sehingga peserta dapat memberikan umpan balik untuk memperbaiki
implementasi manajemen risiko agar efektif..
Metode komunikasi dan konsultasi dan konten harus mencerminkan harapan para
pemangku kepentingan. Komunikasi dan konsultasi harus tepat waktu dan memastikan
bahwa informasi yang relevan dikumpulkan, disintesiskan dan diberikan ke unit kerja
atau fungsi di perusahaan. Diharapkan dengan melakukan komunikasi dan konsultasi
akan diperoleh umpan balik dan masukan yang konstruktif sehingga segera dapat
dilakukan perbaikan.
4.3.4 Implementasi
Perusahaan harus menerapkan kerangka kerja manajemen risiko dengan:
• mengembangkan rencana yang sesuai termasuk waktu dan sumber daya.
• mengidentifikasi di mana, kapan dan bagaimana berbagai jenis keputusan
dibuat di seluruh unit kerja perusahaan, dan oleh siapa.
• memodifikasi proses pengambilan keputusan yang berlaku bila perlu.
• memastikan bahwa pengaturan perusahaan untuk mengelola risiko dipahami
dan dipraktikkan dengan jelas dan tepat.
Keberhasilan implementasi kerangka kerja membutuhkan keterlibatan dan

kesadaran para pemangku kepentingan. Hal ini memungkinkan perusahaan untuk
secara eksplisit mengatasi ketidakpastian dalam pengambilan keputusan dan juga
memastikan bahwa ketidakpastian selanjutnya dapat diperhitungkan.
Dirancang dengan benar dan diimplementasikan, kerangka manajemen risiko
akan memastikan bahwa proses manajemen risiko adalah bagian dari semua kegiatan
di seluruh perusahaan, termasuk pengambilan keputusan, dan bahwa perubahan dalam
konteks eksternal dan internal akan cukup ditangkap.
4.3.5 Evaluasi
Untuk mengevaluasi efektivitas kerangka manajemen risiko, perusahaan harus
secara berkala mengukur kinerja kerangka kerja manajemen risiko terhadap tujuannya,
rencana implementasi, indikator dan perilaku yang diharapkan. Menentukan juga
apakah tetap cocok untuk mendukung pencapaian tujuan perusahaan.
4.3.6 Perbaikan Berkelanjutan

Perusahaan harus terus memantau dan menyesuaikan kerangka kerja manajemen
risiko untuk mengatasi perubahan eksternal dan internal. Dengan demikian Perusahaan
terus dapat meningkatkan nilainya. Perusahaan harus terus meningkatkan kesesuaian,
kecukupan dan efektivitas kerangka manajemen risiko dengan proses manajemen
risiko yang terintegrasi.
Peluang peningkatan yang relevan diidentifikasi sehingga perusahaan
mengembangkan rencana dan menugaskannya kepada yang bertanggung jawab untuk
implementasi. Peningkatan ini harus berkontribusi pada peningkatan perbaikan dalam
menerapkan manajemen risiko.
4.4 Proses Manajemen Risiko

Proses manajemen risiko menerapkan kebijakan, pedoman, prosedur dan praktik
yang sistematis untuk kegiatan berkomunikasi dan konsultasi, menetapkan konteks
dan menilai, memperlakukan, memantau, meninjau, merekam, dan melaporkan risiko
Bab 4 - ISO 31000 : 2018 83
Gambar 4.4 Proses Manajemen Risiko
Proses manajemen risiko harus menjadi bagian integral dari manajemen dan
pengambilan keputusan dan diintegrasikan ke dalam struktur organisasi, operasi dan
bisnis proses perusahaan. Ini dapat diterapkan pada tingkat strategis, operasional,
program atau proyek. Ada banyak penerapan proses manajemen risiko dalam suatu
perusahaan, yang disesuaikan untuk mencapai tujuan dan sesuai dengan konteks
eksternal dan internal di manaditerapkan.
Sifat dinamis dan variabel dari perilaku dan budaya manusia harus dipertimbangkan
dalam proses manajemen risiko. Meskipun proses manajemen risiko sering disajikan
secara berurutan, dalam praktiknya kadang-kadang tidak berurutan.
4.4.1 Komunikasi dan konsultasi

Tujuan komunikasi dan konsultasi adalah untuk membantu para pemangku
kepentingan yang relevan dalam memahami risiko, dasar pengambilan keputusan
dan alasan mengapa tindakan tertentu diperlukan. Komunikasi berusaha untuk
meningkatkan kesadaran dan pemahaman tentang risiko, sedangkan konsultasi
melibatkan memperoleh umpan balik dan informasi untuk mendukung pengambilan
keputusan. Koordinasi yang erat antara keduanya harus memfasilitasi pertukaran
informasi yang faktual, tepat waktu, relevan, akurat dan dapat dimengerti, dengan
mempertimbangkan kerahasiaan dan integritas informasi serta hak privasi individu.
Komunikasi dan konsultasi dengan pemangku kepentingan eksternal dan internal

yang tepat harus dilakukan di dalam dan di sepanjang semua langkah dari proses
manajemen risiko. Komunikasi dan konsultasi bertujuan untuk:
• membawa bidang keahlian yang berbeda bersama untuk setiap langkah dari
proses manajemen risiko.
• memastikan bahwa pandangan yang berbeda dipertimbangkan secara tepat
ketika mendefinisikan kriteria risiko dan ketika mengevaluasi risiko.
• memberikan informasi yang cukup untuk memfasilitasi pengawasan risiko
dan pengambilan keputusan.
• membangun rasa inklusivitas dan kepemilikan di antara mereka yang terkena
risiko.
4.4.2 Ruang lingkup, konteks dan kriteria

Tujuan dari penetapan ruang lingkup, konteks dan kriteria adalah untuk
menyesuaikan proses manajemen risiko, memungkinkan penilaian risiko yang efektif
dan perlakuan risiko yang sesuai. Ruang lingkup, konteks, dan kriteria melibatkan
mendefinisikan ruang lingkup proses, dan memahami konteks eksternal dan internal.
Perusahaan harus menentukan ruang lingkup kegiatan manajemen risiko karena
proses manajemen risiko dapat diterapkan pada tingkat yang berbeda misalnya
strategis, operasional, program, proyek. Menjelaskan tentang ruang lingkup perlu
dipertimbangkan tujuan yang relevan dan keselarasannya dengan tujuan perusahaan.
Merencanakan pendekatan dengan mempertimbangkan antara lain:
• tujuan dan keputusan yang perlu dibuat.
• hasil yang diharapkan dari langkah-langkah yang harus diambil dalam proses.
• waktu, lokasi, inklusi dan pengecualian spesifik.
• alat dan teknik penilaian risiko yang tepat.
• sumber daya yang dibutuhkan, tanggung jawab dan catatan yang harus
disimpan.
• hubungan dengan proyek, proses dan kegiatan lain.
Konteks eksternal dan internal

Konteks eksternal dan internal adalah lingkungan di mana organisasi berusaha
mendefinisikan dan mencapai tujuannya. Konteks proses manajemen risiko harus
ditetapkan dari pemahaman lingkungan eksternal dan internal di mana perusahaan
beroperasi dan harus mencerminkan lingkungan spesifik dari kegiatan di mana proses
manajemen risiko akan diterapkan. Memahami konteks itu penting karena:
• manajemen risiko terjadi dalam konteks tujuan dan kegiatan perusahaan.
• faktor perusahaan dapat menjadi sumber risiko.
• tujuan dan ruang lingkup proses manajemen risiko dapat terkait dengan tujuan
perusahaan secara keseluruhan.
Bab 4 - ISO 31000 : 2018 85
Mendefinisikan kriteria risiko

Perusahaan harus menentukan kriteria untuk mengevaluasi signifikansi risiko dan
untuk mendukung proses pengambilan keputusan. Kriteria risiko harus selaras dengan
kerangka manajemen risiko dan disesuaikan dengan tujuan dan ruang lingkup spesifik
dari kegiatan yang sedang dipertimbangkan. Kriteria risiko harus mencerminkan nilai,
tujuan, dan sumber daya perusahaan dan konsisten dengan kebijakan dan pernyataan
tentang manajemen risiko.
Kriteria harus didefinisikan dengan mempertimbangkan kewajiban perusahaan
dan pandangan para pemangku kepentingan. Kriteria risiko harus ditetapkan pada
awal proses penilaian risiko, bersifat dinamis dan terus ditinjau dan diubah apabila
diperlukan. Perihal harus dipertimbangkan untuk menetapkan kriteria risiko :
• sifat dan jenis ketidakpastian yang dapat mempengaruhi hasil dan tujuan (baik
nyata maupun tidak nyata).
• bagaimana konsekuensi (baik positif maupun negatif) dan kemungkinan akan
ditentukan dan diukur.
• faktor-faktor yang berhubungan dengan waktu.
• konsistensi dalam penggunaan pengukuran.
• bagaimana tingkat risiko ditentukan.
• bagaimana kombinasi dan urutan berbagai risiko akan diperhitungkan.
• kapasitas organisasi.
4.4.3 Penilaian risiko

Penilaian risiko adalah keseluruhan proses identifikasi risiko, analisis risiko dan
evaluasi risiko. Penilaian risiko harus dilakukan secara sistematis, secara terstruktur
dan kolaboratif dengan memanfaatkan pengetahuan dan pandangan para pemangku
kepentingan. Harus menggunakan informasi terbaik yang tersedia, dilengkapi dengan
penyelidikan lebih lanjut jika diperlukan.
Identifikasi risiko
Tujuan dari identifikasi risiko adalah untuk menemukan, mengenali dan
menjelaskan risiko yang menghambat perusahaan mencapai tujuannya. Informasi
yang relevan, tepat, dan terbaru penting dalam mengidentifikasi risiko. Perusahaan
dapat menggunakan berbagai teknik untuk mengidentifikasi kejadian risiko yang dapat
menghambat pencapaian tujuan. Faktor-faktor berikut yang harus dipertimbangkan
dalam melakukan identifikasi risiko :
• sumber-sumber risiko yang nyata dan tidak berwujud.
• Penyebab dan kejadian.
• Ancaman dan peluang.
• kerentanan dan kemampuan.
• perubahan dalam konteks eksternal dan internal.
• indikator risiko yang muncul.

• nilai aset dan sumber daya.
• konsekuensi dan dampaknya pada tujuan.
• keterbatasan pengetahuan dan keandalan informasi.
• faktor-faktor yang berhubungan dengan waktu.
• bias, asumsi dan keyakinan dari mereka yang terlibat.
Analisis risiko
Tujuan dari analisis risiko adalah untuk memahami sifat risiko dan karakteristiknya
serta tingkat risikonya. Analisis risiko mempertimbangan sumber risiko, konsekuensi,
kemungkinan, peristiwa, skenario, kontrol dan keefektifannya. Suatu peristiwa dapat
memiliki banyak penyebab dan konsekuensi sehingga mempengaruhi tujuan.
Analisis risiko dapat dilakukan dengan berbagai tingkat dengan detail dan
kompleksitas, tergantung pada tujuan analisis, ketersediaan dan keandalan informasi,
dan sumber daya yang tersedia. Teknik analisis dapat kualitatif, kuantitatif atau
kombinasi dari ini, tergantung pada keadaan dan penggunaan yang dimaksudkan.
Analisis risiko harus mempertimbangkan faktor-faktor seperti:
• kemungkinan kejadian dan konsekuensi.
• sifat dan besarnya konsekuensi.
• kompleksitas dan konektivitas.
• faktor dan volatilitas terkait waktu.
• Efektivitas pengendalian yang ada.
• Tingkat sensitivitas dan kepercayaan diri.
Analisis risiko dapat dipengaruhi oleh perbedaan pendapat, bias, persepsi risiko
dan penilaian. Pengaruh tambahan adalah kualitas informasi yang digunakan seperti
asumsi dan pengecualian yang dibuat serta batasan teknik dan bagaimana teknik
tersebut dijalankan. Pengaruh-pengaruh ini harus dipertimbangkan, didokumentasikan
dan dikomunikasikan kepada pengambil keputusan.
Peristiwa yang sangat tidak pasti bisa sulit dihitung. Ini bisa menjadi masalah ketika
menganalisis peristiwa dengan konsekuensi yang berat. Analisis risiko memberikan
masukan untuk evaluasi risiko, keputusan apakah risiko perlu diperlakukan dan
bagaimana serta strategi dan metode perlakuan risiko yang paling tepat. Hasilnya
memberikan pemahaman untuk mengambil keputusan dan opsi melibatkan berbagai
jenis dan tingkat risiko.
Evaluasi risiko
Tujuan evaluasi risiko adalah untuk mendukung keputusan yang telah diambil
setelah dilakukan analisis risiko. Evaluasi risiko membandingkan hasil analisis risiko
dengan kriteria risiko yang ditetapkan untuk menentukan di mana tindakan tambahan
diperlukan. Evaluasi risiko dapat menyebabkan keputusan untuk:
Bab 4 - ISO 31000 : 2018 87
• tidak melakukan apa-apa.

• pertimbangkan opsi perlakuan risiko.
• Lakukan analisis lebih lanjut untuk lebih memahami risiko.
• memelihara kontrol yang ada.
• Mempertimbangkan kembali tujuan.
Keputusan harus mempertimbangkan konteks yang lebih luas dan konsekuensi
aktual dan yang dirasakan untuk pemangku kepentingan eksternal dan internal. Hasil
evaluasi risiko harus dicatat, dikomunikasikan dan kemudian divalidasi pada tingkat
yang sesuai dari organisasi.
4.4.4 Perlakuan berisiko

Tujuan dari perlakuan risiko adalah untuk memilih dan menerapkan opsi-opsi
untuk mengatasi risiko. Perlakuan risiko merupakan proses berulang sehingga harus:
• merumuskan dan memilih opsi perlakuan risiko.
• perencanaan dan pelaksanaan perlakuan risiko.
• menilai efektivitas perlakuan.
• memutuskan apakah risiko yang tersisa dapat diterima.
• jika tidak dapat diterima, mengambil perlakuan lebih lanjut.
Memilih opsi perlakuan risiko

Memilih opsi perlakuan risiko yang paling sesuai mencakup keseimbangan potensi
manfaat yang diperoleh dibandingkan dengan biaya dalam pencapaian tujuan. Pilihan
penanganan risiko tidak selalu saling eksklusif. Pilihan untuk perlakuan risiko mungkin
melibatkan satu atau lebih hal berikut:
• menghindari risiko dengan memutuskan untuk tidak memulai atau
melanjutkan aktivitas yang menimbulkan risiko.
• mengambil atau meningkatkan risiko untuk mengejar peluang.
• menghilangkan sumber risiko.
• mengubah kemungkinan.
• mengubah konsekuensinya.
• berbagi risiko misalnya membeli asuransi.
• Mempertahankan risiko dengan keputusan berdasarkan informasi.
Perlakuan risiko tidak hanya pertimbangan ekonomi semata, tetapi juga
mempertimbangkan semua kewajiban perusahaan dan pandangan dan pendapat
pemangku kepentingan. Pemilihan opsi perlakuan risiko harus dilakukan sesuai dengan
tujuan perusahaan, kriteria risiko, dan sumber daya yang tersedia. Ketika memilih opsi
perlakuan risiko, perusahaan harus mempertimbangkan nilai, persepsi dan potensi
keterlibatan pemangku kepentingan dan cara yang paling tepat untuk berkomunikasi
dan berkonsultasi. Meskipun sama efektifnya, beberapa perlakuan risiko dapat lebih
diterima oleh pemangku kepentingan daripada yang lain.
Perlakuan risiko dilaksanakan dengan hati-hati mungkin tidak menghasilkan

hasil yang diharapkan dan dapat menghasilkan konsekuensi yang tidak diinginkan.
Pemantauan dan peninjauan perlu menjadi bagian integral dari penerapan perlakuan
risiko untuk memberi jaminan bahwa berbagai bentuk perlakuan menjadi dan tetap efektif.
Perlakuan risiko juga dapat menemukan risiko baru yang perlu dikelola. Jika
pilihan perlakuan tidak cukup dapat melakukan modifikasi risiko dimana risiko harus
dicatat dan disimpan. Pengambil keputusan dan pemangku kepentingan lainnya harus
menyadari sifat dan tingkat risiko yang tersisa setelah perlakuan risiko. Risiko yang
tersisa harus didokumentasikan dan menjadi sasaran pemantauan, peninjauan dan bila
perlu dilakukan perlakuan lebih lanjut.
Menyiapkan dan menerapkan rencana perlakuan risiko

Tujuan rencana perlakuan risiko adalah untuk menentukan bagaimana pilihan
perlakuan yang dipilih akan dilaksanakan, sehingga pengaturannya dapat dipahami
sehingga rencana perlakuan risiko dapat dipantau. Rencana perlakuan risiko harus
secara jelas mengidentifikasi urutan di mana perlakuan risiko harus dilaksanakan.
Rencana perlakuan risiko harus diintegrasikan ke dalam rencana manajemen dan
proses organisasi, dengan berkonsultasi dengan pemangku kepentingan yang tepat.
Informasi yang disediakan dalam rencana perlakuan risiko harus mencakup:
• Alasan pemilihan pilihan perlakuan risiko, termasuk manfaat yang diharapkan
untuk diperoleh.
• Bertanggung jawab untuk menyetujui dan mengimplementasikan rencana
tersebut dan tindakan yang diusulkan.
• sumber daya yang dibutuhkan, termasuk kontinjensi.
• ukuran kinerja dan kendalanya.
• pelaporan dan pemantauan yang dibutuhkan.
• ketika tindakan diharapkan dilakukan dan diselesaikan.
4.4.5 Pemantauan dan peninjauan ulang

Tujuan pemantauan dan peninjauan ulang adalah untuk memastikan dan
meningkatkan kualitas dan efektivitas desain, implementasi, dan hasil proses.
Pemantauan berkelanjutan dan tinjauan berkala atas proses manajemen risiko dan
hasilnya harus menjadi bagian yang direncanakan dari proses manajemen risiko dengan
tanggung jawab yang telah ditetapkan dengan jelas.
Pemantauan dan peninjauan ulang harus dilakukan di semua tahapan proses
mencakup perencanaan, pengumpulan dan analisis informasi, pencatatan hasil dan
pemberian umpan balik. Hasil pemantauan dan peninjauan harus dimasukkan di
seluruh aktivitas manajemen, pengukuran, dan pelaporan kinerja perusahaan.
Bab 4 - ISO 31000 : 2018 89
4.4.6 Pencatatan dan pelaporan

Proses manajemen risiko dan hasilnya harus didokumentasikan dan dilaporkan
melalui mekanisme yang tepat. Pencatatan dan pelaporan bertujuan untuk:
• mengkomunikasikan kegiatan manajemen risiko dan hasil di seluruh
organisasi.
• memberikan informasi untuk pengambilan keputusan.
• meningkatkan kegiatan manajemen risiko.
• membantu interaksi dengan para pemangku kepentingan, termasuk yang
memiliki tanggung jawab dan akuntabilitas untuk kegiatan manajemen risiko.
Keputusan mengenai penciptaan, retensi dan penanganan informasi yang
terdokumentasi harus mempertimbangkanpenggunaannya, sensitivitas informasi dan
konteks eksternal dan internal. Pelaporan merupakan bagian integral dari tata kelola
organisasi dan harus meningkatkan kualitas dialog dengan para pemangku kepentingan
dan mendukung manajemen puncak dan badan pengawasan dalam memenuhi tanggung
jawab mereka. Faktor-faktor yang perlu dipertimbangkan untuk pelaporan termasuk :
• pemangku kepentingan yang berbeda dan kebutuhan dan persyaratan informasi
khusus mereka.
• biaya, frekuensi dan ketepatan waktu pelaporan.
• metode pelaporan.
• relevansi informasi dengan tujuan perusahaan dan pengambilan keputusan.
Bab 5 - Penilaian Resiko 91
Bab 5
PENILAIAN RISIKO
Teknik Penilaian Risiko

Teknik penilaian risiko adalah teknik yang digunakan dalam proses keseluruhan
identifikasi risiko, analisis risiko, dan evaluasi risiko. Teknik penilaian risiko merupakan
suatu penjabaran dari metode analisis risiko dan menjadi sebuah alat yang berfungsi
untuk memberikan pemahaman tentang risiko, penyebab, konsekuensi, dan probabilitas.
ISO 31010 terdapat 31 teknik untuk penilai tingkat risiko atau disebut dengan
teknik penilaian risiko (risk assessment technique), namun tidak semua teknik penilaian
risiko dapat digunakan untuk perusahaan dan harus disesuaikan dengan kebutuhan
dalam penerapan manajemen risiko perusahaan.
ISO 31010 menjelaskan proses penilaian risiko dibagi menjadi tiga tahap, yaitu
identifikasi risiko, analisis risiko dan evaluasi risiko. Identifikasi risiko merupakan
tahapan untuk mengidentifikasi kejadian yang dapat menimbulkan kerugian perusahaan
sehingga tidak tercapainya dari tujuan perusahaan. Artinya kejadian apa saja yang
menghambat tujuan perusahaan merupakan risiko yang harus diidentifikasi. Analisis
risiko merupakan probabilitas suatu kejadian dikalian dengan dampak sehingga dapat
menentukan posisi risiko inharen pada matrik. Tahapan evaluasi risiko mengembangkan
prioritas risiko berdasarkan tingkat kegawatan risiko dalam matrik sehingga perlu
dilakukan strategi risiko untuk menurunkan tingkat risiko sesuai dengan selera risiko
(risk apetite).
Terdapat tiga jenis risiko yang digunakan dalam analisis risiko, yaitu kualitatif, semi
- kuantitatif dan kuantitatif, selanjutnya dilakukan evaluasi risiko untuk memutuskan
konsekuensi risiko dan memberikan dasar untuk melakukan mitigasi terhadap risiko.
Melakukan penilaian risiko seperti brainstorming, metodologi Delphi dan metode
penilaian lainnya dapat juga digunakan untuk proses identifikasi risiko.
5.1. Brainstorming
Brainstorming mendorong peserta diskusi secara bebas dan mengalir dalam
kelompok orang-orang yang memiliki pengetahuan untuk mampu mengidentifikasi
risiko. Istilah brainstorming sering digunakan sebagai istilah diskusi kelompok. Namun,
dalam metode ini melibatkan teknik tertentu untuk mencoba memastikan bahwa daya
pikir atau imajinasi seseorang dipicu oleh pemikiran dan pernyataan dari orang lain
dalam kelompok.
Brainstorming sebagai sebuah teknik untuk mendorong pemikiran imajinatif
pada setiap tahap proses manajemen risiko dan setiap tahap siklus hidup dari sebuah
sistem. Teknik ini dapat digunakan untuk diskusi di mana masalah diidentifikasi untuk
diperiksa lebih rinci untuk masalah tertentu.
Brainstorming menekankan pada pemikiran dan imajinasi peserta diskusi sehingga
sangat berguna ketika melakukan identifikasi risiko di mana tidak ada data dan informasi
yang diperoleh. Kelebihan brainstorming antara lain adalah mendorong pemikiran dan
imajinasi membantu mengidentifikasi risiko baru dan bagaimana solusinya. Kelebihan
metode brainstorming adalah relatif cepat dan mudah untuk dilakukan, sedangkan
keterbatasan dari brainstorming karena peserta mungkin tidak memiliki keterampilan
dan pengetahuan yang sama untuk menjadi kontributor pemikiran dan imajinatif yang
efektif dalam diskusi kelompok. Relatif tidak terstruktur dan sulit untuk menunjukkan
bahwa proses tersebut telah komprehensif. Dinamika kelompok sering kurang efektif
di mana beberapa orang dengan ide-ide yang bagus tetap tenang dan diam, sementara
yang lain mendominasi diskusi dengan ide-ide yang kurang bagus dan tidak menarik.
Proses brainstorming yang meliputi:
• Tujuan dari sesi disampaikan dan peraturan proses brainstorming dijelaskan.
• Suatu kumpulan ide adalah untuk mengumpulkan ide-ide beragam yang
mungkin membatu analisis lebih lanjut.
• Tidak ada diskusi apakah ada hal yang harus atau tidak, masuk dalam daftar
identifikasi risiko. Membuat rambu-rambu tertentu dalam diskusi, cenderung
menghambat pemikiran mengalir bebas dan cemerlang.
• Semua masukan diterima dan tidak ada yang mengkritik sehingga kelompok
bergerak dengan cepat untuk memungkinkan ide-ide untuk memicu berpikir
secara lebih luas.
5.2. Wawancara terstruktur atau semi-terstruktur

Dalam sebuah wawancara terstruktur, individu yang diwawancarai dan dimintai
pendapat melalui serangkaian pertanyaan yang disiapkan dari lembar pertanyaan ke
narasumber untuk memperoleh situasi dan kondisi dari perspektif nara sumber yang
berbeda dalam melakukan identifikasi risiko.
Wawancara semi-terstruktur hampir memiliki kemiripan, namun memungkinkan
lebih banyak kebebasan untuk melakukan percakapan untuk mengeksplorasi isu-
isu yang timbul. Wawancara terstruktur dan semi-terstruktur berguna pada saat
mengidentifikasi risiko atau untuk menilai efektivitas pengendalian yang ada sebagai
bagian dari analisis risiko. Hal ini dapat diterapkan pada setiap tahap proyek atau proses
dan merupakan sarana untuk memberikan masukan ide atau pemikiran pemangku
kepentingan untuk penilaian risiko.
Kelebihan wawancara terstruktur adalah sebagai berikut:
• Wawancara terstruktur memberikan waktu bagi sebagian orang untuk
mempertimbangkan pemikiran tentang masalah yang dihadapi.
• Komunikasi secara langsung memungkinkan mendalami pertimbangan isu
yang menjadi risiko wawancara terstruktur memungkinkan keterlibatan
sejumlah besar pemangku kepentingan.
Keterbatasan dari teknik ini adalah membutuhkan waktu untuk fasilitator dalam
mendapatkan beberapa pendapat dan informasi. Terdapat pendapat subjektif sehingga
menjadi bias informasi yang diterima.
5.3. Teknik Delphi

Teknik Delphi adalah prosedur untuk memperoleh konsensus opini dari sekelompok
ahli. Sebagai awal dirumuskan adalah bahwa ahli mengungkapkan pendapat mereka
secara individu dan anonim serta memiliki akses ke pandangan ahli lainnya sebagai
proses identifikasi risiko. Teknik Delphi dapat diterapkan pada setiap tahap proses
manajemen risiko atau pada fase dari siklus dari sistem, di mana adanya konsensus
sehingga pandangan para ahli sangatlah dibutuhkan.
Kelebihan dari teknik ini antara lain adalah sebagai pandangan anonim, opini
yang tidak populer lebih cenderung diungkapkan sehingga semua pendapat memiliki
bobot yang sama untuk menghindari masalah dominasi kepribadian. Keterbatasan
teknik ini memakan waktu serta peserta harus mampu mengekspresikan diri dengan
jelas secara tertulis.
5.4. Check-List
Check-list adalah daftar kontrol dari risiko yang telah dikembangkan yang secara
umum bersumber dari pengalaman, baik sebagai akibat dari penilaian risiko sebelumnya
atau sebagai akibat dari kegagalan masa lalu. Sebuah chek-list dapat digunakan untuk
mengidentifikasi risiko dan bahaya atau untuk menilai efektivitas pengendalian. Hal
ini dapat digunakan pada setiap tahap siklus hidup produk, proses atau sistem.
Chek-list dapat digunakan sebagai bagian dari teknik penilaian risiko lain tetapi
akan menjadi sangat berguna ketika diterapkan untuk memeriksa bahwa semuanya
telah tercakup setelah teknik yang lebih imajinatif mengidentifikasi masalah baru yang
telah diterapkan.
Kelebihan dari check-list meliputi:
• check-list dirancang dengan baik dapat digunakan oleh non ahli.
• check-list menggabungkan secara luas keahlian menjadi mudah untuk
menggunakan sistem.
• check-list dapat membantu memastikan masalah umum tidak dilupakan.
Keterbatasan yang terdapat pada teknik check-list meliputi:
• check-list cenderung menghambat imajinasi dalam identifikasi risiko.
• checklist mengatasi situasi dengan penyelesaian known-known’s, bukan known-
unknown’s atau unknown-unknowns
• check-list mendorong perilaku tipe 'centang kotak';
• check-list cenderung hanya berdasarkan pengamatan, sehingga kehilangan
masalah yang tidak mudah dilihat.
5.5. Matriks Konsekuensi/Probabilitas

Matriks konsekuensi/probabilitas adalah cara menggabungkan penilaian kualitatif
atau semi-kuantitatif untuk konsekuensi dan probabilitas dalam menghasilkan tingkat
risiko atau risk rating. Sebuah matriks konsekuensi/probabilitas digunakan untuk
menentukan peringkat risiko. Hal ini biasanya digunakan sebagai perangkat untuk
seleksi ketika banyak risiko telah diidentifikasi. Untuk menentukan risiko yang perlu
analisis yang lebih rinci, seperti risiko yang perlu dirujuk ke tingkat yang lebih tinggi
(upscale) dari pemilik risiko (risk owener).
Matriks konsekuensi/probabilitas juga dapat digunakan untuk membantu
melakukan komunikasi melalui pemahaman umum untuk tingkat risiko kualitatif
agar sesuai dengan risk appetite (selera risiko) perusahaan. Kelebihan yang dimiliki oleh
teknik analisis matriks konsekuensi/probabilitas adalah relatif mudah digunakan dan

memberikan peringkat risiko cepat ke tingkat signifikansi yang berbeda. Keterbatasan
matriks harus sesuai dengan keadaan sebenarnya sehingga agak sulit untuk memiliki
sistem umum untuk diterapkan di berbagai situasi yang relevan dengan perusahaan.
Disamping itu penggunaan matriks sangat subjektif dan cenderung terjadi variasi
yang signifikan antara penilai dan risiko tidak dapat digabungkan serta sulit untuk
membandingkan tingkat risiko untuk berbagai kategori konsekuensi.
5.6 Cost-Benefit Analysis (CBA)

Analisis biaya/manfaat dapat digunakan untuk evaluasi risiko di mana keseluruhan
biaya yang diharapkan dibandingkan dengan total manfaat yang diharapkan untuk
memilih yang terbaik atau pilihan yang paling menguntungkan. Teknik ini merupakan
bagian implisit dari banyak sistem evaluasi risiko. Analisis ini dapat dilakukan secara
kualitatif atau kuantitatif atau melibatkan kombinasi dari unsur-unsur kuantitatif dan
kualitatif.
Analisis biaya/manfaat kuantitatif mengumpulkan semua biaya dan semua
manfaat bagi seluruh pemangku kepentingan yang termasuk dalam ruang lingkup dan
menyesuaikan untuk periode waktu yang berbeda di mana biaya dan manfaat diperoleh.
Net present value (NPV) yang dihasilkan menjadi masukan ke dalam keputusan tentang
risiko.
Analisis biaya / manfaat dapat digunakan untuk memutuskan antara pilihan yang
melibatkan risiko. Sebagai contoh sebagai masukan ke dalam keputusan tentang apakah
risiko harus ditangani, untuk membedakan antara dan memutuskan bentuk terbaik
dalam melakukan perlakuan risiko.
Kelebihan analisis biaya manfaat antara lain adalah memungkinkan biaya
dan manfaat yang akan memberikan transparansi pengambilan keputusan dan
membutuhkan informasi rinci yang dikumpulkan pada semua aspek yang mungkin
dari keputusan tersebut. Keterbatasan dari analisis biaya/manfaat bersifat kuantitatif
sehingga dapat menghasilkan angka secara dramatis berbeda, tergantung pada metode
yang digunakan untuk menetapkan nilai ekonomi manfaat non-ekonomi. Ada kesulitan
untuk menentukan tingkat diskonto yang berlaku untuk biaya dan manfaat masa depan,
keuntungan berkaitan dengan kepentingan publik.
5.7. Scenario Analysis

Scenario analysis adalah nama yang diberikan untuk pengembangan model deskriptif
tentang bagaimana masa depan mungkin berubah. Hal ini dapat digunakan untuk
mengidentifikasi risiko dengan mempertimbangkan kemungkinan perkembangan masa
depan dan implikasinya. Pengaturan skenario yang memberikan suatu gambaran 'kasus
terbaik', 'kasus terburuk' dan 'kasus diharapkan' dapat digunakan untuk menganalisis
potensi konsekuensi dan probabilitas untuk masing-masing skenario sebagai bentuk
analisis sensitivitas ketika menganalisis risiko. Kekuatan analisis skenario diilustrasikan
dengan mempertimbangkan pergeseran besar seperti revolusi industri 4.0 berdampak
terhadap teknologi, preferensi konsumen, sikap sosial, dan banyak lainnya.
Analisis skenario tidak dapat memprediksi probabilitas perubahan tersebut tetapi
dapat mempertimbangkan konsekuensi dan bantuan perusahaan untuk mengembangkan
kekuatan dan ketahanan yang diperlukan untuk beradaptasi dengan perubahan
mendatang. Analisis skenario dapat digunakan untuk membantu dalam membuat
keputusan kebijakan dan perencanaan strategi masa depan serta mempertimbangkan
kegiatan yang ada. Hal ini dapat berperan dalam tiga komponen penilaian risiko. Untuk
identifikasi dan analisis, pengaturan skenario yang mencerminkan kasus terbaik, kasus
terburuk dan kasus diharapkan yang dapat digunakan untuk mengidentifikasi apa yang
mungkin terjadi dalam keadaan tertentu dan menganalisis potensi konsekuensi dan
probabilitas untuk setiap skenario.
Analisis skenario dapat digunakan untuk mengantisipasi bagaimana ancaman dan
peluang dapat dikembangkan dengan baik dan digunakan untuk semua jenis risiko pada
jangka pendek dan jangka panjang. Dengan data yang baik, kemungkinan skenario
dapat diekstrapolasi dari periode waktu saat masa sekarang. Untuk jangka waktu yang
lebih lama atau dengan data yang lemah, analisis skenario menjadi lebih imajinatif dan
dapat disebut sebagai analisis berjangka.
Kelebihan yang dimiliki analisis skenario adalah memperhitungkan berbagai
kemungkinan masa depan yang mungkin lebih baik untuk pendekatan tradisional yang
mengandalkan perkiraan tinggi-sedang-rendah yang diasumsikan melalui penggunaan
data historis, bahwa peristiwa masa depan mungkin akan terus mengikuti tren masa
lalu. Hal ini penting untuk situasi di mana ada sedikit pengetahuan saat ini yang
menjadi dasar prediksi atau di mana risiko sedang dipertimbangkan dalam waktu
jangka panjang.
Kelemahan analisis skenario terdapat ketidakpastian yang tinggi pada beberapa
skenario yang mungkin tidak realistis. Kesulitan utama dalam menggunakan analisis
skenario terkait dengan ketersediaan data, dan kemampuan para analis dan pengambil
keputusan untuk dapat mengembangkan skenario realistis yang disetujui untuk
menyelidiki hasil yang mungkin muncul. Kelemahan menggunakan analisis skenario
sebagai alat pengambilan keputusan adalah bahwa skenario yang digunakan mungkin
tidak memiliki landasan yang memadai, data bersifat spekulatif dan bahwa hasil realistis
dapat diragukan.
5.8. Business impact analysis (BIA)

Analisis dampak bisnis menganalisis bagaimana risiko utama dapat mempengaruhi
operasi perusahaan dan perlu mengkuantifikasi kemampuan perusahaan untuk
mengelolanya. Secara khusus, analisis dampak bisnis memberikan pemahaman
proses bisnis, fungsi dan sumber daya yang saling ketergantungan satu sama lain
dalam perusahaan. Bagaimana peristiwaatau kejadian risiko akan mengganggu
dan mempengaruhi kapasitas dan kemampuan perusahaan untuk mencapai tujuan
perusahaan. Kapasitas dan kemampuan yang dibutuhkan untuk mengelola dampak
dari gangguan dan memulihkan kembali operasi perusahaan.
Analisis dampak bisnis digunakan untuk menentukan kekritisan dan pemulihan
jangka waktu dari proses dan sumber daya terkait (SDM, peralatan, teknologi informasi)
untuk memastikan tercapainya tujuan perusahaan. Selain itu, analisis dampak bisnis
membantu dalam menentukan saling ketergantungan dan hubungan antara proses,
pihak internal dan eksternal dan setiap hubungan rantai pasokan.
Kelebihan dari teknik analisis dampak bisnis meliputi :
• pemahaman tentang proses penting yang menyediakan organisasi dengan
kemampuan untuk terus mencapai tujuannya masing-masing
• pemahaman tentang sumber daya yang diperlukan
• kesempatan untuk mendefinisikan kembali proses operasional suatu organisasi
untuk membantu dalam ketahanan organisasi.
Keterbatasan dari teknik analisis dampak bisnis meliputi:
• kurangnya pengetahuan oleh peserta yang terlibat dalam menyelesaikan
kuesioner, wawancara atau workshop
• dinamika kelompok dapat mempengaruhi analisis lengkap dari proses kritis
• sederhana atau terlalu optimis dalam harapan persyaratan pemulihan
• kesulitan mendapatkan tingkat yang memadai pemahaman operasi dan
kegiatan organisasi.
5.9. Root cause analysis (RCA)

Analisis akar penyebab fokus pada kerugian aset karena berbagai jenis kegagalan
berkaitan dengan kerugian keuangan atau ekonomi, karena seringkali terdapat faktor
penyebab yang berasal dari faktor eksternal seperti bencana banjir dan longsor.
Teknik ini mencoba untuk mengidentifikasi akar masalah atau asal penyebab
bukan hanya terkait dengan gejala risiko. Teknik ini merupakan tindakan korektif yang
tidak selalu sepenuhnya efektif sehingga perlu dilakukan perbaikan terus-menerus dan
berkesinambungan.
Analisis akar penyebab paling sering diterapkan pada evaluasi kerugian besar,
tetapi juga dapat digunakan untuk menganalisis kerugian secara lebih global untuk
menentukan di mana perbaikan dapat dilakukan. Analisis akar penyebab dapat
diterapkan dalam berbagai konteks dengan bidang yang lebih luas antara lain :
• Untuk investigasi kecelakaan dan kesehatan dan keselamatan kerja.
• Analisis kegagalan digunakan dalam sistem teknologi yang berhubungan
dengan keandalan dan pemeliharaan.
• Bidang pengendalian kualitas untuk industri manufaktur dan proses bisnis.
Kelebihan dari teknik analisis akar penyebab meliputi:
• Melibatkan ahli yang bekerja dalam lingkungan tim.
• Melakukan analisis terstruktur dan mempertimbangkan semua kemungkinan
hipotesis
• Menghasilkan rekomendasi akhir.
Keterbatasan analisis akar penyebab antara lain:
• Kemungkinan ketidak tersediaan ahli yang diperlukan.
• Bukti penting dapat terhapus
• Tim mungkin tidak memilliki cukup waktu karena kurangnya sumber
daya untuk mengevaluasi situasi sehingga kurang memadai untuk
mengimplementasikan rekomendasi.
5 Why adalah salah satu model yang sederhana namun berguna dalam
mengidentifikasikan risiko dalam Root Cause Analysis (RCA) :
1. Mulai dengan penjelasan mengenai risiko teridentifikasi serta akibatnya.
2. Tentukan kondisi, faktor, penyebab apa yang dapat menimbulkan atau
berkontribusi terhadap timbulnya risiko tersebut. Ini adalah faktor utama
(didapat dari Why pertama)
3. Tentukan kondisi, faktor, penyebab apa yang dapat menimbulkan atau
berkontribusi terhadap timbulnya risiko tersebut. Ini adalah faktor sekunder.
(didapat dari Why kedua dst)
4. Teruskan hingga 5 tahap investigasi, bisa kurang atau lebih dengan menanyakan
Why terus menerus.
5. Berhenti bila jawaban Why sudah pada topik akhir.
Keberadaan lebih dari satu root cause menyebabkan analisa dengan menggunakan
5 Why’s harus diperluas sehingga keseluruhan rangkaian penyebab harus dieksplorasi
satu per satu. Metode multiple root cause disebut Why Tree.
5.10 Fault Tree Analysis (FTA)

Fault Tree Analysis (FTA) atau Analisis Pohon Kesalahan adalah teknik untuk
mengidentifikasi dan menganalisis faktor-faktor yang berkontribusi pada kejadian
tertentu yang tidak diinginkan. Faktor penyebab diidentifikasi dilakukan secara logis
dan mewakili dalam diagram pohon yang menggambarkan faktor-faktor penyebab dan
hubungan logis dengan kejadian.
Faktor-faktor yang diidentifikasi dalam pohon-pohon bisa menggambarkan
peristiwa yang berkaitan dengan kegagalan perangkat kerja, kesalahan manusia atau
peristiwa terkait lainnya yang mengarah pada kejadian yang tidak diinginkan.
Sebuah pohon kesalahan dapat digunakan secara kualitatif untuk mengidentifikasi
penyebab potensial dan secara kuantitatif untuk menghitung probabilitas kejadian.
Teknik ini dapat digunakan pada tahap desain sistem untuk mengidentifikasi potensi
penyebab kegagalan dan karenanya dapat dijadikan pertimbangan untuk memilih
antara beberapa pilihan yang berbeda.
Teknik Fault Tree Analysis (FTA) dapat digunakan pada tahap operasi untuk
mengidentifikasi bagaimana kegagalan dapat terjadi. Sebuah pohon kesalahan juga
dapat digunakan untuk menganalisis kegagalan yang telah terjadi dan menampilkan
diagram bagaimana peristiwa yang berbeda datang bersama-sama untuk menyebabkan
kegagalan.
Kelebihan dari FTA antara lain adalah :
• Memberi pendekatan disiplin yang sangat sistematis, tetapi pada saat yang
sama cukup fleksibel untuk memungkinkan analisis dari berbagai faktor,
termasuk interaksi manusia dan fenomena fisik.
• Menerapkan pendekatan "top-down", yang memfokuskan perhatian pada efek-
efek kegagalan yang secara langsung berhubungan dengan kejadian risiko.
• Berguna untuk menganalisis sistem dengan banyak tatap muka dan interaksi.
• Representasi bergambar mengarah mudahnya pemahaman tentang
perilaku sistem dan faktor yang termasuk pengolahan pohon kesalahan
memerlukan sistem komputer. Analisis Logika pohon kesalahan berguna
dalam mengidentifikasi jalur kegagalan sederhana dalam sistem yang sangat
kompleks .
Keterbatasan teknik ini meliputi :
• Ketidakpastian dalam probabilitas dari kejadian risiko. Hal ini dapat
mengakibatkan tingginya tingkat ketidakpastian di mana probabilitas
kegagalan kejadian tidak diketahui secara akurat.
• Dalam beberapa situasi, peristiwa kausal tidak terikat bersama-sama dan bisa
sulit untuk memastikan.
• Merupakan model statis dimana memiliki saling ketergantungan dan hanya
bisa berhubungan dengan kondisi biner (gagal / tidak gagal) saja. Sementara
mode kesalahan manusia dapat dimasukkan dalam pohon kesalahan kualitatif,

tingkat kegagalan umum atau kualitas yang sering menjadi ciri kesalahan
manusia tidak dapat dengan mudah dimasukkan.
• tidak menimbukan efek domino dari kejadian risiko.
5.11. Event Tree Analysis (ETA)

Event Tree Analysis (ETA) atau Analisis Pohon Kejadian (APK) adalah teknik
grafis untuk mewakili urutan saling eksklusif peristiwa menyusul kejadian awal sesuai
dengan fungsi/tidak berfungsi dari berbagai sistem yang dirancang untuk mengurangi
konsekuensinya. Hal ini dapat diterapkan baik secara kualitatif maupun kuantitatif.
Dengan menjabarkan kondisi-kondis serta potensi terjadinya perubahan tergambar
seperti pohon, analisis pohon kejadian mampu mewakili peristiwa yang memberatkan
atau meringankan dalam menanggapi kejadian awal dan juga dapat memperhitungkan
tambahan sistem, fungsi atau hambatan.
Analisis pohon kejadian dapat digunakan untuk pemodelan, menghitung dan
membuat peringkat risiko dari skenario kecelakaan yang berbeda mengikuti kejadian
awal dan dapat digunakan pada setiap tahap dalam siklus hidup suatu produk atau
proses. Teknik ini dapat digunakan secara kualitatif untuk membantu potensi skenario
brainstorming dan urutan peristiwa menyusul kejadian awal dan bagaimana hasil
dipengaruhi oleh berbagai hambatan atau kontrol dimaksudkan untuk mengurangi
hal yang tidak diinginkan.
Analisis kuantitatif dalam teknik ini cocok untuk mempertimbangkan penerimaan
kontrol. Hal ini paling sering digunakan untuk model kegagalan di mana ada
beberapa perlindungan dan dapat digunakan untuk memodelkan kejadian awal yang
mungkin membawa kerugian atau keuntungan. Namun, situasi di mana jalur untuk
mengoptimalkan keuntungan yang dicari lebih sering dimodelkan menggunakan pohon
keputusan.
Kelebihan dari analisis pohon kejadian antara lain :
• Menampilkan skenario potensial menyusul kejadian awal, yang dianalisis
dan memiliki pengaruh keberhasilan atau kegagalan dari proses perlindungan
sistem atau fungsi yang dijelaskan dengan diagram yang jelas.
• Menyumbang solusi positif dalam masalah waktu, serta mengurangi
ketergantungan dan efek domino yang rumit dalam model pohon kesalahan.
• Secara grafis teknik ini mewakili urutan peristiwa yang tidak mungkin untuk
diwakili ketika menggunakan pohon kesalahan.
Keterbatasan analisis pohon kejadian meliputi:
• Sebagai bagian dari penilaian yang komprehensif, semua potensi kejadian awal
perlu diidentifikasi namun selalu ada potensi hilangnya beberapa kejadian
awal yang penting
• Hanya keberhasilan dan kegagalan tercantum dari sistem yang ditangani, dan
sulit untuk menggabungkan keberhasilan tertunda atau pemulihan kejadian.
5.12. Cause-and-Effect Analysis

Cause-and-effect analysis atau Analisis Penyebab-dan-Akibat adalah metode
terstruktur untuk mengidentifikasi kemungkinan penyebab dari suatu peristiwa. Analisis
ini mengatur faktor-faktor yang memberikan kategori besar sehingga semua hipotesis
dapat dipertimbangkan. Analisis ini tidak dapat menunjukkan penyebab sebenarnya,
karena analisis ini hanya dapat ditentukan oleh bukti nyata dan pengujian empiris
hipotesis. Informasi ini disusun baik dalam analisis Fishbone (Ishikawa) atau diagram
pohon.
Analisis penyebab-dan-akibat memberikan tampilan bergambar terstruktur
dari daftar penyebab akibat. Efeknya bisa positif (tujuan) atau negatif (masalah)
tergantung pada konteks. Analisis penyebab-dan-akibat digunakan untuk mengaktifkan
pertimbangan semua skenario yang mungkin dan penyebab yang dihasilkan oleh tim ahli
dan memungkinkan konsensus yang akan didirikan untuk penyebab paling mungkin,
selanjutnya dapat diuji secara empiris atau dengan evaluasi data yang tersedia. Analisis
ini adalah hal yang paling berharga di awal analisis untuk memperluas pemikiran
tentang kemungkinan penyebab dan kemudian untuk membangun potensi hipotesis
yang dapat dianggap lebih formal.
Kelebihan dari analisis penyebab-dan-akibat ini meliputi :
• Keterlibatan para ahli yang bekerja dalam lingkungan tim
• Analisis terstruktur, mempertimbangkan semua kemungkinan hipotesis dan
grafis yang mudah dibaca ilustrasi hasil.
• Dapat digunakan untuk mengidentifikasi faktor penyebab serta akibat yang
tidak diinginkan.
• Mengambil fokus positif pada masalah sehingga dapat mendorong kepemilikan
dan partisipasi yang lebih besar.
Keterbatasan dari analisis penyebab-dan-akibat meliputi:
• Tim mungkin tidak memiliki keahlian yang diperlukan.
• Bukan merupakan proses yang lengkap dan perlu menjadi bagian dari analisis
akar penyebab untuk menghasilkan rekomendasi.
• Pemisahan faktor penyebab dalam kategori pada awal analisis sehingga
interaksi antara kategori tidak dapat dianggap memadai, misalnya di mana
kegagalan peralatan disebabkan oleh kesalahan manusia atau disebabkan oleh
desain yang buruk.
5.13 Decision Tree Analysis

Sebuah analisis pohon keputusan merupakan alternatif keputusan dengan
mempertimbangkan hasil yang tidak pasti. Teknik ini memiliki kemiripan dengan pohon
peristiwa dalam hal itu dimulai dari kejadian awal atau keputusan awal dengan model jalur
yang berbeda dengan keputusan yang berbeda. Analisis pohon keputusan digunakan dalam
mengelola risiko proyek untuk membantu memilih tindakan yang terbaik di mana ada
ketidakpastian. Tampilan grafis juga dapat membantu mengkomunikasikan alasan untuk
mengambil keputusan.
Kelebihan dari analisis ini antara lain memberikan representasi grafis yang jelas
tentang rincian masalah dan keputusan serta memungkinkan perhitungan dari jalur terbaik.
Keterbatasan dalam analisis ini meliputi keputusan terlalu kompleks. Ada kecenderungan
untuk menyederhanakan situasi sehingga dapat diwakili sebagai diagram pohon.
5.14 Bow Tie Analysis

Analisis dasi kupu-kupu (Bow Tie Analysis) adalah metode diagram sederhana yang
menggambarkan dan menganalisis jalur risiko dari dampak. Hal ini dapat dianggap
sebagai kombinasi dari pemikiran dari pohon kesalahan dalam menganalisa penyebab
dari suatu peristiwa (diwakili oleh simpul dasi kupu-kupu) dan pohon kejadian dalam
menganalisis konsekuensinya. Namun fokus dari dasi kupu-kupu adalah pada hambatan
antara penyebab dan risiko serta antara risiko dan dampak.
Diagram dasi kupu-kupu dapat dibangun mulai dari fault tree analysis dan event
tree analysis, tetapi lebih sering diambil langsung dari sesi brainstorming. Analisis dasi
kupu-kupu digunakan untuk menampilkan risiko menunjukkan berbagai kemungkinan
penyebab dan dampak. Hal ini digunakan ketika situasi tidak menjamin kompleksitas
analisis pohon kesalahan Analisis Bow tie atau dasi kupu-kupu sering lebih mudah
dipahami karenanya dapat menjadi alat komunikasi yang berguna di mana analisis
dicapai dengan menggunakan teknik yang lebih kompleks.
Kelebihan dari analisis dasi kupu-kupu antara lain :

• Analisis memiliki bentuk sederhana untuk dipahami dan memberikan
representasi bergambar yang jelas dari masalah.
• Analisi ini juga memfokuskan perhatian pada kontrol yang seharusnya berada
di tempat untuk pencegahan, mitigasi dan efektivitas.
• Dapat digunakan untuk konsekuensi yang diinginkan.
• Tidak membutuhkan keahlian tingkat tinggi untuk digunakan.
Keterbatasan analisis ini meliputi :

• Tidak dapat menggambarkan di mana beberapa penyebab terjadi secara
bersamaan.
• Lebih menyederhanakan situasi yang kompleks, terutama di mana melakukan

kuantifikasi.
5.15. Simulasi Monte Carlo

Terdapat banyak sistem yang terlalu kompleks untuk efek ketidakpastian untuk
dimodelkan menggunakan teknik analisis, tetapi model tersebut dapat dievaluasi dengan
mempertimbangkan input sebagai variabel acak dan menjalankan sejumlah perhitungan
N (disebut simulasi) dengan sampling masukan dalam rangka untuk mendapatkan hasil
N yang mungkin dari hasil yang diinginkan.
Metode simulasi Monte Carlo dapat mengatasi situasi yang kompleks yang akan
sangat sulit untuk dipahami dan dipecahkan dengan metode analisis. Sistem dapat
dikembangkan dengan menggunakan spreadsheet dan alat konvensional lainnya, tetapi
alat yang lebih canggih yang tersedia untuk membantu dengan persyaratan yang lebih
kompleks dan relatif murah.
Simulasi Monte Carlo menyediakan sarana mengevaluasi dampak dari
ketidakpastian pada sistem dalam berbagai macam situasi. Hal ini biasanya digunakan
untuk mengevaluasi berbagai hasil yang mungkin dan frekuensi relatif dari nilai-
nilai di kisaran untuk ukuran kuantitatif dari sistem seperti biaya, durasi, throughput,
permintaan dan langkah-langkah serupa.
Simulasi Monte Carlo juga dapat digunakan untuk dua tujuan yang berbeda yaitu
sebagai perhitungan ketidakpastian pada model analisis konvensional dan sebagai
perhitungan probabilistik ketika teknik analisis tidak bekerja.
Kelebihan dari analisis Monte Carlo meliputi berikut ini:
• Metode analisis Monte Carlo mengakomodasi distribusi di variabel masukan,
termasuk distribusi empiris yang berasal dari pengamatan sistem terkait.
• Model relatif sederhana untuk dikembangkan dan dapat diperpanjang sesuai
dengan kebutuhan.
• Segala pengaruh atau hubungan yang timbul dapat diwakili, termasuk efek
halus seperti dependensi kondisional.
• Analisis sensitivitas dapat diterapkan untuk mengidentifikasi pengaruh yang
kuat dan lemah.
• Model dapat dengan mudah dipahami sebagai hubungan transparan antara
input dan output.
• Model perilaku yang tersedia yang terbukti sangat efisien untuk tujuan simulasi
Monte Carlo.
• Memberikan ukuran keakuratan hasilnya.
• Software sudah tersedia dan relatif murah.

Keterbatasan simulasi Monte Carlo adalah sebagai berikut:

• Akurasi solusi tergantung pada jumlah simulasi yang dapat dilakukan
• Bergantung pada kemampuan untuk mewakili ketidakpastian parameter
dengan distribusi.
• Model besar dan kompleks dapat menantang untuk modeller dan membuat
sulit bagi para pemangku kepentingan untuk terlibat dengan prosesnya.
5.16 Statistik Bayesian dan Bayes Nets

Statistik Bayesian bahwa setiap informasi yang sudah diketahui (Prior) dapat
dikombinasikan dengan pengukuran berikutnya (posterior) untuk membentuk
probabilitas secara keseluruhan. Ekspresi umum Bayes Teorema dapat dinyatakan
sebagai:
P (A | B) = {P (A) P (B | A)} / Σ P (B | Ei) P (Ei)
Dimana probabilitas X dilambangkan dengan P (X); probabilitas X pada kondisi

yang Y telah terjadi dilambangkan dengan P (X | Y); dan Ei adalah kejadian.Dalam
bentuk yang paling sederhana ini untuk mengurangi P (A | B) = {P (A) P (B | A)} / P
(B), statistik Bayesian berbeda dari statistik klasik yang tidak berasumsi bahwa semua
parameter distribusi tetap, tetapi parameter variabel acak.
Pendekatan Bayesian didasarkan pada interpretasi subjektif dari probabilitas, itu
memberikan dasar untuk berpikir keputusan dan pengembangan jaring bayes (bayes
nets). Jaring Bayes menggunakan model grafis untuk mewakili satu set variabel dan
hubungan probabilistik mereka. Jaringan ini terdiri dari node yang mewakili variabel
acak dan anak panah yang menghubungkan parent node untuk child node, (di mana
parent node adalah variabel yang secara langsung mempengaruhi variabel yang lain.
Jaring bayes telah digunakan pada berbagai topik: diagnosis medis, pemodelan
gambar, genetika, pengenalan suara, ekonomi, eksplorasi ruang angkasa dan di
mesin pencari web yang kuat digunakan saat ini. Jaring bayes dapat digunakan untuk
mempelajari hubungan kausal untuk memberikan pemahaman tentang domain masalah
dan memprediksi dampak.
Kelebihan dari metode ini adalah semua yang diperlukan merupakan sebuah
pengetahuan berdasarkan tingkat kepentingan, laporan inferensial mudah dimengerti,
menyediakan mekanisme untuk menggunakan keyakinan subjektif dalam masalah.
Keterbatasan metode diantaranya adalah metode ini mendefinisikan semua interaksi
di jaring Bayes untuk sistem bermasalah yang kompleks, pendekatan Bayesian
membutuhkan pengetahuan dari banyak probabilitas kondisional yang umumnya
disediakan oleh penilaian ahli.
5.17. Indeks Risiko

Indeks risiko adalah ukuran semi kuantitatif risiko yang merupakan estimasi yang
diturunkan menggunakan pendekatan skoring menggunakan skala ordinal. Indeks
risiko dapat digunakan untuk menilai serangkaian risiko menggunakan kriteria yang
sama sehingga dapat dibandingkan. Skor diterapkan untuk setiap komponen risiko
dimana pada dasarnya menggunakan pendekatan kualitatif untuk peringkat dan
membandingkan risiko.
Indeks risiko dapat digunakan untuk mengklasifikasi risiko yang berbeda terkait
dengan kegiatan jika sistem dipahami dengan baik. Mengintegrasi berbagai faktor
yang berdampak pada tingkat risiko ke dalam skor numerik tunggal. Tingkat risiko
indeks digunakan untuk berbagai jenis risiko biasanya sebagai perangkat untuk
mengklasifikasikan risiko sesuai dengan tingkat risiko. Ini dapat digunakan untuk
menentukan risiko yang perlu pendalaman dan penilaian kuantitatif.
Kelebihan dari metode ini adalah indeks risiko dapat menjadi alat yang baik untuk
peringkat risiko yang berbeda, selain itu metode ini memungkinkan beberapa faktor
yang mempengaruhi tingkat risiko yang akan dimasukkan ke nilai numerik tunggal
untuk tingkat risiko. Sedangkan keterbatasan dari indeks risiko antara lain adalah
jika proses dan outputnya tidak divalidasi, sehingga hasilnya mungkin menjadi tidak
berarti. Fakta bahwa output adalah nilai numerik untuk risiko dapat disalahartikan dan
disalahgunakan, misalnya dalam analisis biaya / manfaat.
Bab 6 - Manajemen Resiko Pasar Modal 107
Bab 6
MANAJEMEN RISIKO PASAR MODAL
6.1. Manajemen Risiko Industri Pasar Modal

Penerapan manajemen risiko yang efektif dan dapat mengelola risiko pada
perusahaan sekuritas, manajer investasi, emiten, Self- Regulation Organization (SRO)
dan Bursa Efek akan membantu tidak hanya stabilitas pasar modal tetapi juga stabilitas
pada sistem keuangan Indonesia. Manajemen risiko pasar modal memiliki empat fungsi
penting:
1. Untuk melindungi perusahaan-perusahan yang terdaftar di Bursa Efek
Indonesia terhadap risiko pasar, risiko kredit, risiko likuiditas, risiko
operasional, dan risiko hukum.
2. Untuk melindungi industri pasar modal Indonesia dan ekonomi nasional dari
risiko sistemik.
3. Untuk melindungi nasabah perusahaan dari kerugian besar seperti gagal bayar
perusahaan, penyalahgunaan, penipuan, fraud dan lainnya.
4. Untuk melindungi perusahaan penunjang dan perusahaan terkait dengan pasar
modal terhadap risiko.
Penerapan manajemen risiko yang efektif dan efisien membantu Self-Regulation

Organization (SRO) dan perusahaan sekuritas serta perusahaan terkait dengan
pasar modal Indonesia untuk menjaga stabilitas industri yang pada gilirannya akan
meningkatkan kepercayaan dalam investasi di pasar modal Indonesia. Pasar modal dapat
memiliki keuntungan ekonomi dan komersial dalam menerapkan manajemen risiko
dengan memperkuat sistem pengendalian internal perusahaan. Tanpa pengendalian
internal yang kuat untuk memonitor dan mengendalikan dalam penerapan manajemen
risiko, perusahaan akan rentan terhadap berbagai macam risiko.
Manfaat dalam menerapkan manajemen risiko yang efektif adalah untuk
melindungi investor terhadap kerugian serius akibat tidak menerapkan pengelolaan
risiko dengan benar sesuai dengan best practice. Ada beberapa risiko yang dihadapi
Gambar 6.1
dalam industri pasar modal diantaranya adalah:
Risiko Pasar Modal
Gambar 6.1 Risiko Pasar Modal
Risiko
Pasar
Risiko Risiko
Sistemik Kredit
Risiko
Pasar
Modal
Risiko Risiko
Operasional Likuiditas
a. Risiko Pasar:
Risiko pasar yang melekat pada setiap investasi di pasar modal yang merupakan
risiko yang ditanggung investor, dimana investasi dapat mengalami kerugian
a. Risiko Pasar:
bagi investor maupun perusahaan sekuritas yang diperkirakan akibat dari
fluktuasi harga pasar. Risiko pasar akibat harga atau tarif jasa berubah akibat
Risiko pasar yang
pengaruh melekat
ekonomi pada setiap
yang mengalami resesi.investasi di termasuk
Risiko tersebut pasar modal
dampak yang merupa
dari perubahan harga saham dan tingkat suku bunga, nilai tukar mata uang,
risiko yang ditanggung investor, dimana investasi dapat mengalami keru
dan harga komoditas. risiko pasar juga dapat mencakup risiko yang terkait
bagi investor maupun perusahaan sekuritas yang diperkirakan akibat
dengan biaya sekuritas pinjaman, risiko dividen, dan risiko terkait dengan
kondisi pasar modal.
fluktuasi harga pasar. Risiko pasar akibat harga atau tarif jasa berubah ak
pengaruh ekonomi yang mengalami resesi. Risiko tersebut termasuk dampak
perubahan harga saham dan tingkat suku bunga, nilai tukar mata uang, dan h
b. Risiko Kredit
Risiko kredit adalah kerugian akibat salah satu pihak dalam kontrak tidak
dapat memenuhi kewajibannya atau gagal bayar. Perusahaan sekuritas
dihadapkan dengan risiko kredit setiap kali mereka masuk ke dalam perjanjian
pinjaman, kontrak Over The Counter (OTC), atau perpanjangan kredit. Risiko
kredit dapat diminimalkan dengan implementasi manajemen risiko, dimana
kontrol dan prosedur yang dibutuhkan terhadap nasabah agar nasabah
memberikan jaminan yang memadai, melakukan pembayaran margin, dan
memiliki ketentuan kontrak untuk netting.
c. Risiko Likuiditas
Risiko likuiditas adalah risiko tidak dapat secara cepat menjual aset atau
surat berharga sesuai dengan harga yang diharapkan atau harga yang wajar
sehingga mengalami kerugian. Risiko likuiditas termasuk tidak dapat menjual
aset secara cepat dengan harga yang wajar.
d. Risiko Operasional
Risiko operasional adalah risiko dimana terdapat kegiatan operasional
perusahaan yang tidak benar dari perdagangan dan business proces serta sistem
manajemen yang mengakibatkan kerugian keuangan. Risiko operasional
mencakup risiko kerugian akibat lemahnya kontrol dalam perusahaan,
perdagangan tidak sah, penipuan dalam perdagangan atau dalam fungsi
back office termasuk buku dan catatan yang tidak memadai serta kurangnya
mengendalian internal dan kurangnya personil yang berpengalaman serta
lemah sistem informasi sehingga mudah diakses.
e. Risiko Sistemik
Risiko sistemik adalah terdapat gangguan dalam sistem penyelesaian yang
bisa menyebabkan terjadinya efek domino di seluruh pasar keuangan sehingga
membangkrutkan satu demi satu lembaga keuangan atau terjadi krisis
kepercayaan di kalangan investor sehingga menciptakan kondisi panic selling
di pasar keuangan. Risiko sistimatik dapat juga disebabkan kondisi ekonomi
makro mangalami krisis ekonomi. Risiko sistemik mencakup risiko bahwa
kegagalan dalam satu perusahaan atau satu industri di pasar keuangan akan
memicu kegagalan dalam pasar keuangan secara keseluruhan.
Beberapa kegiatan keuangan dan surat berharga terkonsentrasi di sejumlah
lembaga keuangan yang digunakan untuk melakukan spekulasi sehingga
menciptakan potensi efek domino dari risiko sistemik jika lembaga keuangan
utama bangkrut. Risiko ini lebih diperburuk oleh interkoneksi dari kewajiban
di antara lembaga-lembaga yang sama dan dengan pasar uang.
Risiko merupakan besarnya penyimpangan antara tingkat pengembalian yang
diharapkan (expected return) dengan tingkat pengembalian yang dicapai secara nyata
(actual return). Semakin besar penyimpangannya berarti semakin besar tingkat
risikonya akibat dari volatilitas dari harga aset investasi. Semakin besar imbal hasil
yang diharapkan investor semakin besar risiko yang harus diterima (high risk, high
return). Risiko dapat pula dinyatakan seberapa jauh terjadi penyimpangan dari
hasil yang diharapkan. Umumnya alat statistik yang digunakan untuk mengukur
risiko adalah varians atau standar deviasi.
Ada tiga tipe investor dalam melakukan investasi di pasar modal, yaitu:
1. Risk seeker dimana investor yang suka terhadap risiko dimana imbal hasil
yang diharapkan (expected return) tinggi sesuai dengan risiko yang akan
ditanggung. Biasanya tipe investor jenis ini bersikap agresif dan spekulatif
dalam mengambil keputusan investasi.
2. Risk neutrality dimana investor ini netral terhadap risiko, artinya imbal hasil
investasi yang diharapkan tidak terlalu tinggi ekuivalen dengan tingkat
risiko yang diterima. Biasanya tipe investor jenis ini bersikap moderat dalam
mengambil keputusan investasi dan banyak investasi di pendapatan tetap.
3. Risk averter dimana investor yang tidak berani menerima risiko sehingga imbal
hasil yang diharapkan juga rendah. Biasanya investor jenis ini cenderung
investasi di pasar uang seperti deposito.
6.2. Penerapan Manajemen Risiko Pasar Modal

Tujuan dari implementasi manajemen risiko adalah untuk memaksimalkan dan
mengamankan aset serta modal akibat kerugian investasi dengan meminimalkan
eksposur yang memiliki potensi risiko yang dapat secara mendadak merugikan sumber
daya perusahaan. Komponen utama dari manajemen risiko dan sistem pengendalian
yang efektif akan bervariasi berdasarkan ukuran dan kompleksitas operasional bisnis
perusahaan.
Manajemen risiko secara umum dapat mencakup manajemen dan pengendalian
strategi yang komprehensif terhadap risiko. Mencakup kebijakan dan prosedur untuk
mencapai strategi, pengukuran risiko, serta kepatuhan (compliance), pemantauan dan
pelaporan. Untuk menerapkan manajemen risiko diperlukan panduan yang mencakup
seluruh elemen-elemen investasi dalam menjalankan peran masing-masing sebagai
institusi sehingga menciptakan keselarasan dan efektifitas dalam pasar modal.
Menerapkan manajemen risiko pada perusahaan akan mempunyai nilai tambah (value
added) karena perusahaan sudah memiliki mitigasi terhadap risiko.
6.2.1. Regulator
Kegiatan regulator dalam menjalankan wewenang dan fungsinya dalam mengatur
menerapkan manajemen risiko memiliki beberapa prinsip yang harus dipenuhi agar
tidak menimbulkan kejadian risiko (risk event) dalam proses bisnis. Prinsip yang harus
dipenuhi antara lain :
a. Tanggung Jawab yang Jelas

Kapasitas regulator dalam membuat regulasi dan peraturan yang bertanggung
jawab, konsisten, adil dan efektif untuk membantu mengembangkan pasar modal
dengan menggunakan payung hukum. Diperlukan juga perlindungan hukum untuk
pegawai regulator dalam melaksanakan fungsi pengawasan dan pengaturan agar
tidak dikriminalisasi. Regulasi yang dibuat untuk memastikan bahwa proses bisnis
berjalan dengan transparan, efektif, efisien dengan pembagian tanggung jawab yang
jelas untuk menghindari kesenjangan dan ketidakadilan.
b. Independen dan Akuntabilitas
Regulator dalam melaksanakan tugasnya harus independen dari campur tangan
politik dalam melaksanakan fungsinya serta akuntabilitas dalam menggunakan
wewenang dan sumber daya. Pemberian izin harus jelas dan proses transparan
serta tetap menjaga integritas.
c. Payung Hukum dan Sumber Daya.
Regulator harus memiliki kekuatan payung hukum, sumber daya yang kompeten
dan memiliki kapasitas untuk melakukan fungsi dan melaksanakan kewenangannya.
Kewenangan dari perizinan, pengawasan, pemeriksaan, penyidikan dan penegakan
hukum. Regulator harus memastikan bahwa pegawainya menerima pelatihan yang
berkelanjutan untuk mengantisipasi perubahan teknologi yang semakin cepat
dan mempertahankan pegawai berpengalaman yang memiliki keterampilan yang
berharga agar tidak pindah ke sektor swasta.
d. Proses Pengaturan Jelas dan Konsisten
Dalam melaksanakan fungsinya, regulator melaksanakan dan menerapkan secara
konsisten dan mudah dipahami serta transparan kepada publik serta adil dan
merata. Dalam merumuskan kebijakan, regulator harus memiliki proses konsultasi
dengan stakeholder, komunitas pasar modal termasuk mereka yang mungkin
terkena dampak kebijakan tersebut. Proses tersebut harus terbuka mengungkapkan
kebijakan dalam operasional dengan dengan memperhatikan kesesuaian biaya
dengan peraturan yang dikeluarkan. Regulator memiliki kewenangan untuk
menerbitkan laporan hasil investigasi untuk publikasi. Publikasi dari laporan
harus konsisten dengan memperhatikan hak-hak individu atas pemeriksaan yang
adil dan perlindungan data pribadi. Regulator juga harus berperan aktif dalam
pendidikan investor dan stakeholder di pasar modal.
e. Memantau Kinerja Pegawai
Guna mengurangi kejadian kegagalan dalam risiko operasional yang disebabkan
oleh Sumber Daya Manusia, pegawai dari regulator harus memperhatikan standar
profesional dan memiliki kompetensi serta memberikan panduan yang jelas
tentang:
• menghindari konflik kepentingan.
• menggunakan informasi yang diperoleh selama melaksanakan kekuasaan dan

pelaksanaan tugas secara baik dan benar.
• ketaatan terhadap kerahasiaan dan perlindungan data pribadi.
• taat prosedur dan Compliance.
6.2.2. Self-Regulation Organization (SRO)

Self-Regulation Organization (SRO) melengkapi regulator dalam mencapai tujuan
dari regulasi pasar modal. SRO dapat merespon lebih cepat dan fleksibel terhadap
perubahan kondisi pasar. SRO harus melakukan tanggung jawab peraturan yang mereka
memiliki secara insentif untuk dijalankan secara efisien. Tindakan SRO akan sering
dibatasi oleh kontrak dan aturan yang berlaku.
Dalam kaitannya dengan penerapan manajemen risiko, SRO diharapkan untuk
mematuhi prinsip-prinsip sebagaimana yang telah dirumuskan oleh rugulator dalam
mendefinisikan peran dan menjamin SRO dalam aktivitas yang berkaitan dengan risiko
yang diantaranya akan dijelaskan dalam penjelasan dibawah ini.
a. Otorisasi dan Pengawasan
Regulator bekerjasama dengan SRO untuk memenuhi standar sebelum mengizinkan
perusahaan untuk menjalankan kewenangannya. Pengawasan dari SRO terhadap
perusahaan harus berkelanjutan untuk kepentingan umum dan konsisten dari
undang-undang dan peraturan yang berlaku. Regulator harus pula memantau
SRO untuk mengatasi potensi terjadinya timbul konflik kepentingan. Regulator
harus memastikan bahwa tidak ada konflik kepentingan muncul karena akses SRO
untuk informasi berharga tentang pelaku pasar. Risiko konflik kepentingan yang
timbul mungkin terjadi ketika SRO bertanggung jawab baik untuk pengawasan
anggotanya dan regulasi sektor pasar.
Self-Regulation Organization (SRO) yang kuat diperlukan untuk meminimalkan
terjadinya risiko, sehingga SRO harus :
• memiliki kapasitas untuk melaksanakan tujuan yang mengatur dengan
peraturan dan aturan SRO serta menegakkan kepatuhan oleh anggota dan
orang yang terkait dengan peraturan dan aturan;
• memperlakukan semua anggota SRO secara adil dan konsisten;
• mengembangkan aturan yang dirancang untuk menetapkan standar perilaku
bagi para anggotanya.
• menyerahkan kepada regulator aturan untuk diperiksa dan/atau persetujuan
sebagai regulator dianggap tepat, dan memastikan bahwa aturan SRO yang
konsisten dengan arahan kebijakan publik yang ditetapkan oleh regulator;
• bekerja sama dengan regulator dan SRO lainnya untuk menyelidiki dan
menegakkan hukum dan peraturan yang berlaku;
• menegakkan aturan sendiri dan menjatuhkan sanksi untuk anggota yang
melanggar.
• menjamin representasi yang adil dari anggota dalam pemilihan direksi dan
administrasi urusan.
• menghindari aturan yang dapat menciptakan situasi yang tidak kompetitif; dan
menghindari menggunakan peran pengawasan untuk memungkinkan peserta
pasar tidak adil untuk mendapatkan keuntungan di pasar.
Regulator harus mempertahankan kewenangan untuk menyelidiki hal-hal yang
mempengaruhi investor atau pasar dimana kekuatan dan wewenang dari SRO
tidak memadai untuk menyelidiki atau menangani kesalahan tertentu atau di mana
terjadi konflik kepentingan, regulator harus mengambil alih tanggung jawab untuk
penyelidikan dari SRO.
6.2.3. Emiten
a. Manajemen Risiko Emiten
Tujuan menerapkan manajemen risiko untuk emiten adalah emiten harus dapat
memastikan perlindungan investor dan pasar secara wajar, teratur dan efisien.
Selain itu mengungkapkan risiko (risk disclosure) dan juga informasi penting lainnya
harus dipublikasikan secara transparan kepada investor sebagai bentuk pengelolaan
risiko yang baik dalam perusahaan emiten. Dalam konteks pengungkapan risiko
(Risk Disclosure) terdapat bagian yang paling penting diantaranya adalah:
• Profle dan bisnis perusahaan;
• tugas dan tanggung jawab direksi dan pejabat;
• regulasi terkait tawaran untuk pengambilalihan dan transaksi lain yang
dimaksudkan untuk mempengaruhi perubahan kendali;
• hukum yang mengatur penerbitan surat berharga dan hukum kepailitan
• keterbukaan informasi kepada pemegang saham dan pengungkapan
kepemilikan saham
b. Pengungkapan Informasi Secara Tepat Waktu
Investor harus mendapatkan informasi yang diperlukan untuk membuat keputusan
investasi informasi secara terus-menerus. Prinsip pengungkapan penuh, tepat waktu
dan akurat dari bahan informasi terkini dan dapat diandalkan untuk keputusan
investasi secara langsung Hal ini berhubungan dengan tujuan perlindungan investor
dan pasar yang adil, efisien dan transparan
c. Informasi Mengenai Pengendalian Usaha
Untuk menjaga perlakuan yang adil dan merata dari pemegang saham, regulasi
harus memerlukan pengungkapan kepemilikan manajemen surat berharga dan
orang-orang yang memegang kepemilikan menguntungkan substansial dalam
sebuah perusahaan. Informasi yang diperlukan untuk keputusan investasi yang
diinformasikan dalam pasar sekunder. Tingkat di mana pengungkapan diperlukan
bervariasi dari yurisdiksi ke yurisdiksi lain, tetapi pada umumnya ditetapkan
pada tingkat di bawah yang akan ditandai sebagai saham mayoritas. Persyaratan
pengungkapan yang lebih ketat mungkin cocok untuk institusi yang menerapkan
pengendalian internal dengan baik. Sifat dari pengungkapan yang diperlukan juga
bervariasi tetapi pengungkapan publik penuh umumnya dianggap terbaik untuk
memenuhi kebijakan yang mendasari rasional pengungkapan dimana perubahan
kendali dari perusahaan telah terjadi. Peraturan harus memperhatikan kebutuhan
informasi dari para pemegang saham perusahaan. Informasi yang diperlukan untuk
memungkinkan pengambilan keputusan akan berbeda dengan sifat transaksi tetapi
tujuan umum tetap berlaku untuk penawaran tunai, menawarkan dengan cara
lembut dan pertukaran, kombinasi bisnis dan privatisasi.
d. Standar Akuntansi dan Audit
Standar akutansi dan audit untuk emiten sangat penting bagi investor untuk
meminimalkan risiko pada saat investasi efek. Komparatif dan keandalan informasi
keuangan emiten menjadi penting untuk pengambilan keputusan investasi dalam
upaya meminimalkan risiko..
Tujuan laporan keuangan untuk tujuan umum adalah memberikan informasi
tentang posisi keuangan, hasil usaha, arus kas dan perubahan ekuitas kepemilikan
suatu perusahaan yang berguna untuk berbagai pengguna untuk tujuan pengambilan
keputusan. Laporan harus secara komprehensif, konsistensi, relevansi, keandalan
dan dapat dibandingkan. Laporan keuangan juga harus menunjukkan hasil
kepengurusan manajemen atau pertanggungjawaban manajemen atas sumber
daya yang dipercayakan kepadanya. akuntansi berkualitas tinggi dan audit standar
menyediakan kerangka kerja untuk kewajiban pengungkapan lainnya.
Standar akuntansi dan audit sebagai pengaman diperlukan dari keandalan
informasi keuangan memberikan informasi yang akurat dan relevan terhadap
kinerja keuangan.
Peraturan harus memastikan ketepatan waktu dan relevansi informasi yang
diberikan kepada investor dan calon investor. Sebuah mekanisme yang tepat
untuk pengaturan standar kualitas dan untuk memastikan bahwa di mana terdapat
ketidakpastian, sehingga dibutuhkan standar yang dapat menjadi subjek interpretasi
dan tepat waktu yang diterapkan secara konsisten. Diperlukan sebuah verifikasi
independen dari laporan keuangan dan sesuai dengan prinsip akuntansi melalui
audit eksternal profesional. Setiap Audit dilakukan sesuai dengan standar yang
ditetapkan dengan baik dan diterima secara internasional. Menggunakan standar
internasional untuk memfasilitasi peningkatan modal sebagai penyediaan informasi
internasional sebanding dalam peningkatan modal agar lebih efisien. Diperlukan
juga sebuah mekanisme untuk menegakkan kepatuhan terhadap standar akuntansi
dan auditing.
6.2.4. Perantara Pedagang

Perantara pedagang pada umumnya berhubungan dalam mendistribusikan surat
berharga (efek) dan memberikan informasi yang relevan dengan perdagangan efek.
Peraturan untuk berbagai jenis perantara harus membahas kriteria pendapatan, modal,
persyaratan kehati-hatian, pengawasan berkelanjutan dan disiplin, serta konsekuensi
dari default dan kegagalan keuangan. Pengawasan perantara pedagang harus terutama
diarahkan ke bagian di mana modal, uang klien mereka dan kepercayaan publik
mungkin menjadi hal yang paling diletakkan berdekatan dengan risiko.
Risiko dari perantara pedagang adalah :
• ketidakmampuan perusahaan yang dapat menyebabkan kegagalan eksekusi karena
kegagalan penyelesaian.
• pelanggaran kewajiban dapat menyebabkan penyalahgunaan dana klien atau
manipulasi dan penyimpangan perdagangan lainnya, atau penipuan pada bagian
dari perantara atau karyawannya;
• kebangkrutan perantara dapat mengakibatkan hilangnya uang nasabah, surat
berharga atau peluang perdagangan, dan dapat mengurangi kepercayaan di pasar
di mana perantara berpartisipasi.
a. Perizinan dan Pengawasan
Perizinan dan pengawasan perantara pedagang harus menetapkan standar
minimum untuk pelaku pasar dan memberikan konsistensi pengelolaan untuk
semua perantara. Hal ini juga harus mengurangi risiko kepada investor dari
kerugian yang disebabkan oleh perilaku lalai atau ilegal atau modal yang tidak
memadai. Proses perizinan harus memerlukan penilaian yang komprehensif dari
pemohon dan semua orang yang berada dalam posisi untuk mengontrol atau
material mempengaruhi pemohon. Otoritas perizinan harus memiliki kekuatan
untuk menolak aplikasi yang tidak memenuhi standar yang ditetapkan. Otoritas
perizinan juga harus memiliki kekuatan untuk menarik atau menangguhkan
lisensi atau jika sanksi lisensi setiap kali kriteria entri tidak terpenuhi. Perubahan
kontrol atau pengaruh bahan harus diketahui oleh pejabat yang berwenang untuk
memastikan bahwa penilaian pada perantara tetap berlaku.
Regulator harus tegas untuk menarik lisensi atau otorisasi dimana hasil pengawasan
kepada perantara pedagang gagal untuk memenuhi persyaratan sesuai peraturan.
Hal ini memastikan bahwa perantara pedagang memiliki kepentingan atas
keberlangsungan perusahaan. Persyaratan kecukupan modal harus menjadi
kewajiban dan menjadi subjek pelaporan berkala kepada regulator atau SRO.
Posisi keuangan perantara harus diaudit secara teratur oleh auditor independen.
Regulator harus memastikan bahwa masyarakat memiliki akses ke informasi yang
relevan mengenai lisensi perantara pedagang, seperti kategori lisensi yang dimiliki,
ruang lingkup kegiatan yang sah, identitas manajemen senior dan mereka yang
berwenang untuk bertindak atas nama perantara.
b. Kecukupan Modal
Perantara pedagang harus dapat memastikan bahwa perusahaan dapat
mempertahankan sumber daya keuangan yang memadai untuk memenuhi
komitmen bisnis dan melakukan mitigasi risiko bisnis. Kecukupan modal harus
mamapu mengatasi risiko yang dihadapi oleh perusahaan yang dinilai dengan
mengacu pada sifat dan jumlah usaha yang dilakukan oleh perusahaan.
c. Pelaksanaan Aturan Bisnis dan Persyaratan kehati-hatian
Perantara pedagang harus melakukan sendiri cara melindungi kepentingan klien
mereka dan membantu untuk menjaga integritas pasar. Pengelolaan perantara
pedagang harus memikul tanggung jawab untuk menjamin pemeliharaan standar
yang sesuai perilaku dan kepatuhan terhadap prosedur yang tepat oleh seluruh
perusahaan. Termasuk mengelola risiko yang terkait dengan bisnis perantara
pedagang. Peraturan tidak bisa diharapkan untuk menghilangkan risiko dari pasar,
tetapi harus memastikan bahwa ada yang mengelola risiko tersebut dan melakukan
evaluasi secara berkala proses manajemen risiko dalam perusahaan.
Pihak ketiga seperti auditor eksternal dapat digunakan untuk membantu dalam
proses ini seperti pelanggaran operasional yang dapat terjadi meskipun keberadaan
prosedur internal yang dirancang untuk mencegah kesalahan atau kelalaian.
Regulator mengawasi kepatuhan terhadap prosedur-prosedur internal perantara
pedagang dalam proses bisnis yang merupakan tanggung jawab manajemen senior
dari perantara. Manajemen senior harus memastikan bahwa mampu melaksanakan
tanggung jawab itu. Manajemen senior harus sendiri memahami sifat bisnis
perusahaan, prosedur pengendalian internal dan kebijakan pada asumsi risiko.
Manajemen senior harus jelas memahami sejauh mana wewenang dan tanggung
jawab sendiri. Manajemen senior harus memiliki akses ke semua informasi
yang relevan tentang bisnis secara tepat waktu dan memiliki semua saran yang
diperlukan tersedia untuk mereka pada bisnis itu dan tanggung jawab mereka
sendiri. Informasi yang juga harus tersedia oleh regulator atas permintaan.
Struktur organisasi yang sesuai dengan perusahaan akan bervariasi sesuai
dengan ukuran perusahaan, sifat bisnis dan risiko perusahaan. Perantara pedagang
harus memenuhi dan mematuhi ketentuan sebagai berikut.
• Integritas - Perantara pedagang harus memperhatikan standar integritas yang
tinggi dan adil dan harus bertindak dengan hati-hati dan ketekunan dalam
kepentingan terbaik dari pelanggan dan menjaga integritas.
• Persyaratan Kontrak - Sebuah kontrak tertulis diperlukan Perantara pedagang
dengan pelanggan. Perantara pedagang memenuhi tanggung jawabnya kepada
pelanggan.
• Informasi Tentang Pelanggan - Perantara pedagang harus mencari informasi
tentang kondisi pelanggan dan tujuan investasi yang relevan dengan layanan
yang akan diberikan. Kebijakan dan prosedur harus ditetapkan yang
memastikan integritas, keamanan, ketersediaan, keandalan dan ketelitian dari

semua informasi, termasuk dokumentasi dan data disimpan secara elektronik,
yang relevan dengan operasi bisnis perusahaan. Dimana kegiatan perantara
memperpanjang pemberian saran, nasihat diberikan kepada pelanggan untuk
pemahaman yang tepat tentang kebutuhan dan keadaan dari pelanggan.
Perantara pedagang harus mengetahui klien Anda (to know your customer)
• Informasi untuk Pelanggan - Perantara pedagang harus membuat
pengungkapan yang memadai kepada pelanggan, dengan cara dipahami dan
tepat waktu, informasi yang diperlukan untuk membuat keputusan investasi
yang seimbang dan informasi. Menjamin keterbukaan dalam bentuk tertentu
di mana produk membawa risiko yang mungkin tidak jelas bagi investor
biasa sehingga pegawai dapat memberikan nasihat investasi memahami
karakteristik produk yang mereka sarankan.
• Aset Pelanggan - Perantara pedagang memiliki kendali dan tanggung jawab
untuk aset milik pelanggan yang diperlukan untuk dijaga, hal itu harus
mengatur perlindungan yang tepat bagi pelanggan (misalnya, pemisahan dan
identifikasi aset tersebut) sesuai dengan tanggung jawab yang telah diterima.
Langkah-langkah ini dimaksudkan untuk: memberikan perlindungan dari
penyalahgunaan kepercayaan dan mencegah penggunaan dana klien untuk
perdagangan atau pembiayaan kegiatan perantara pedagang.
• Perilaku Pasar - Perantara pedagang harus memperhatikan standar perilaku
pasar, dan juga harus mematuhi hukum yang relevan, kode atau standar
yang berlaku untuk perusahaan. Kepatuhan Perantara pedagang dengan
semua persyaratan hukum dan peraturan yang berlaku serta kebijakan internal
perusahaan sendiri dan prosedur harus dipantau oleh fungsi kepatuhan yang
melapor langsung kepada manajemen senior dalam struktur yang membuatnya
independen dari divisi operasional.
• Kontrol Operasional - kebijakan yang efektif dan prosedur operasional dan
kontrol dalam kaitannya dengan operasi bisnis perusahaan harus ditetapkan.
• Konflik Kepentingan - Perantara pedagang harus mencoba untuk menghindari
konflik kepentingan yang timbul tetapi, di mana potensi konflik muncul,
harus memastikan perlakuan yang adil dari semua pelanggan dengan prinsip
keterbukaan, aturan internal kerahasiaan atau mundur untuk menghindari dari
konflik kepentingan. Perantara pedagang harus menempatkan kepentingan
pelanggan di atas kepentingannya.
d. Gagal Bayar
Gagal bayar perantara pedagang mungkin memiliki konsekuensi sistemik. Gagal
bayar tidak bisa ditebak sehingga rencana harus fleksibel dimana regulator harus
berusaha untuk meminimalkan kerusakan dan kerugian investor yang disebabkan
oleh kegagalan bayar perantara pedagang.
e. Pengawasan Perantara Pedagang

Manajemen risiko harus memastikan bahwa ada pengawasan yang berkelanjutan
yang tepat sehubungan dengan kegiatan pemasaran yang dilakukan oleh perantara
pedagang. Pengawasan yang dilakukan :
• Melakukan Inspeksi - Memeriksa buku, catatan, dan operasi bisnis dari
perantara pedagang harus tersedia untuk regulator untuk memastikan
kepatuhan dengan semua persyaratan yang relevan dan tanpa adanya dugaan
pelanggaran etik serta memiliki catatan dan dokumen yang komprehensif.
• Melakukan Investigasi dan Penegakan Peraturan - berbagai investigasi dan
penegakan peraturan dicatat dalam dokumen kasus yang dicurigai atau
pelanggaran.
• Disiplin dan Pencabutan Izin - Harus ada proses yang adil dan cepat mengarah
ke kedisiplinan dan jika perlu dilakukan suspensi atau pencabutan izin. Disiplin
dan pencabutan izin dilakukan oleh SRO dengan pengawasan peraturan.
• Keluhan - Harus ada mekanisme yang efisien dan efektif untuk penyelesaian
pengaduan investor.
6.3 Kejadian Risiko di Pasar Modal

Perusahaan efek adalah perusahaan yang dapat melakukan kegiatan sebagai
perantara pedagang efek, penjamin emisi efek, atau manajer investasi. Perusahaan efek
harus dapat mempertahankan kepercayaan masyarakat sebagai lembaga keuangan
yang penting dalam menjalankan perekonomian di sektor keuangan. Otorisasi Jasa
Keuangan (OJK) telah menetapkan berbagai ketentuan operasional perusahaan efek.
Perusahaan efek dituntut untuk dapat mengelola risiko-risiko yang muncul dalam
menjalankan usahanya. Sebagai perusahaan efek di pasar modal banyak menghadapi
risiko-risiko yang dapat membangkrutkan perusahaan karena salah dalam pengelolaan
risiko dan salah dalam mengambilan keputusan investasi karena ingin memperoleh
keuntungan tinggi yang pada akhirnya bonus-bonus yang diharapkan oleh para
eksekutif perusahaan.
Lehman Brothers sebagai Lembaga keuangan Amerika Serikat bangkrut akibat
krisis ekonomi yang disebabkan subprime mortgage tahun 2008. Lehman Brothers tahun
2002 mencatatkan penjualan sebesar US$ 6,155 juta dengan laba bersih US$ 975 juta.
Lehman Brothers telah menerapkan dan memiliki kebijakan manajemen risiko dengan
memberdayakan Komite Pasar Modal dalam pengambilan keputusan. Komite ini
beranggotakan CEO dan para anggota eksekutif lainnya, pemimpin divisi risiko global,
serta divisi ekonomi dan strategi. Selain itu, institusi ini didukung oleh divisi risiko
kredit, risiko pasar, dan pengukuran risiko untuk memastikan kerangka manajemen
risiko diterapkan di seluruh kantor Lehman.
Pada laporan tahunan 2008, Lehman Brother telah memiliki budaya manajemen
risiko di setiap level di dalam perusahaan dan memiliki konsep Value at Risk (VAR)
berdasarkan data perubahan harian. Namun konsep Value at Risk (VAR) tidak secara
penuh dapat menilai risiko aktual sehingga perlu perangkat penilaian risiko lainnya.
September 2008 Lehman Brothers melaporkan kerugian sebesar hampir US$ 4 miliar.
Bagaimana manajemen risiko Lehman brother tidak mampu menjaga kelangsungan
hidup perusahaan dan bagaimana mungkin risiko yang membangkrutkan perusahaan
akibat krisis global bisa luput dari kajian risiko ?
Banyak risiko yang dihadapi Lehman Brothers berinvestasi pada aset subprime
mortgage. Risiko strategik karena beranggapan agunan properti dapat dianggap
instrumen investasi yang likuid dan memiliki risiko kecil karena harga properti selalu
naik setiap tahun. Risiko operasional berupa risiko cashflow juga dihadapi perusahaan
karena tingkat kolektibilitas sudah rendah karena meningkatnya suku bunga dan resesi
ekonomi berdampak daya beli beli masyarakat menurun sehingga terjadi kredit macet
dan non performing loan (NPL) meningkat.
Risiko akibat eksternal kurang di perhatikan oleh Lehman Brothers, padahal risiko
akibat faktor eksternal (risiko sistimatik) harus menjadi prioritas utama perusahaan
karena sudah masuk risiko ekstrem dimana peluang dan dampak sangat besar untuk
Lehman Brothers.
Kasus perusahaan efek di pasar modal Indonesia terjadi pada Sarijaya Sekuritas.
Perusahaan efek ini telah menggelapkan dana sebesar Rp 245 miliar dari 8700 rekening
nasabahnya. Kasus tersebut bermula dari presiden komisaris dan pemilik tunggal
PT Sarijaya Permana Sekuritas yang secara ilegal menggunakan dana nasabahnya
sebesar Rp 245 miliar yang dimiliki 8.700 nasabah untuk membeli saham dan memberi
pinjaman dana melalui 17 account baru dan fiktif. Dana nasabah yang seharusnya
dibelikan saham justru digunakan oleh pemilik Sarijaya untuk melakukan transaksi
pribadinya termasuk meminjamkan dananya dengan jaminan saham (repo). Akibatnya,
sewaktu pasar saham terpuruk, peminjam dana menunggak dan pemilik Sarijaya
mengalami kerugian besar karena nilai saham yang dijamin merosot tajam.
Terbongkarnya kasus ini karena ada regulator (Bapepam-LK) meminta seluruh
perusahaan sekuritas untuk melengkapi data modal kerja bersih disesuaikan (MKBD)
pada akhir 2008. Bappepam-LK yang menemukan keganjilan pada MKBD Sarijaya
dan segera melakukan audit atas laporan Keuangan PT Sarijaya Permana Sekuritas.
Hasilnya terdapat selisih dana nasabah sebesar Rp 245 miliar antara laporan keuangan
Sarijaya dengan data pada Kustodian Sentral Efek Indonesia (KSEI).
Risiko utama yang dihadapi PT Sarijaya Permana Sekuritas merupakan risiko
operasional karena membiarkan komisaris untuk ikut campur dalam pengelolaan
perusahaan dengan melakukan transaksi ilegal sehingga investor dirugikan karena
dana investor digunakan tanpa izin. Ini dapat terjadi karena dana investor tercampur
dengan dana perusahaan dan di akui oleh perusahaan sekuritas sebagai modal mereka.
Kasus emiten pasar modal Indonesia dimana dana pensiun Pertamina terkait
dengan pembelian saham PT Sugih Energy Tbk (SUGI). Mantan Presiden Direktur
Dana Pensiun Pertamina periode 2013-2015 diduga telah melakukan investasi dengan
pembelian saham PT Sugih Energy Tbk sejumlah 2 miliar saham tanpa melakukan
kajian dan tidak mengikuti prosedur transaksi pembelian dan penjualan saham di dana
pensiun Pertamina. Pembelian ini menggunakan broker dengan menyerahkan saham
dengan sistem manual dan terjadi kesalahan input data sehingga transaksi tersebut
tidak dapat diinput dan tidak bisa diproses oleh Bank CIMB Niaga Custody. Akibatnya,
terjadi kegagalan penyerahan saham kepada broker. Atas kegagalan penyerahan saham
tersebut, broker mengenakan denda kepada Dana Pensiun Pertamina hampir sebesar
Rp 12 miliar. Berdasarkan laporan pemeriksaan BPK, terjadi kerugian keuangan
negara mencapai Rp 599 miliar. Kejadian ini merupakan risiko operasional dimana
investasi dana pensiun harus memiliki kebijakan investasi yang hati-hati dan Standard
Operating Procedure (SOP) agar dana milik pensiun tidak hilang dan memberikan imbal
hasil yang bagus.
6.4 Risiko Investasi Saham

Terminologi manajemen risiko pasar modal adalah proses mengidentifikasi dan
menilai risiko dan kemudian mengembangkan strategi untuk mengelola portofolio dan
meminimalkan risiko dan memaksimalkan tingkat imbal hasil.
Melakukan investasi di pasar modal terdapat sejumlah risiko, sehingga seorang
investor harus siap untuk menanggung risiko. Risiko tersebut harus di kompensasikan
dalam bentuk premi risiko. Risiko investasi saham di pasar modal merupakan risiko
yang melekat (inherent risk) saat melakukan investasi karena tanpa risiko tidak akan ada
imbal hasil yang diharapkan. Sebagai investor pasar modal yang sukses harus melakukan
perhitungan risiko (risk calculate) dengan cara menggunakan strategi manajemen risiko
untuk meminimalkan risiko dan memaksimalkan keuntungan.
Ada beberapa strategi yang dapat digunakan untuk mengurangi risiko di pasar
modal. Strateginya adalah sebagai berikut:
• Ikuti tren pasar, ini adalah salah satu metode yang terbukti untuk meminimalkan
risiko di pasar modal. Ada kelemahan dari tren pasar antara lain sulit menemukan
tren pasar sesuai dengan prediksi investor karena tren pasar berubah sangat cepat.
Tren pasar dapat berlangsung sehari, sebulan atau setahun, umumnya tren pasar
jangka pendek beroperasi dalam tren jangka panjang.
• Diversifikasi Portofolio, strategi manajemen risiko yang bermanfaat di pasar
modal adalah dengan melakukan diversifikasi risiko dalam portofolio.
Melakukan diversifikasi portofolio investasi ke beberapa perusahaan, sektor
industri dan kelas aset. Ada kemungkinan sektor industri tertentu nilai pasar
menurun, namun sektor industri lainnya meningkat. Contoh diversifikasi

portofolio dalam melakukan investasi di pasar modal adalah reksadana saham.
• Stop kerugian, stop kerugian (loss) adalah perangkat untuk meminimalkan
kerugian kehilangan uang jika harga pasar saham turun sangat dalam. Dalam
strategi ini, investor memiliki opsi untuk keluar jika suatu saham jatuh di
bawah batas tertentu. Disiplin diri adalah pilihan lain yang digunakan oleh
beberapa investor untuk menjual ketika saham jatuh di bawah level tertentu
atau ketika ada penurunan tajam.
Ada beberapa saran dalam melakukan investasi saham di pasar modal dalam
upaya untuk meminimalkan risiko. Saran tersebut sebagai berikut:
• Alokasi aset sesuai dengan investment objective and constraint.
• Melakukan diversifikasi dalam asset class seperti maksimum 10 % untuk setiap
saham.
• Koleksi saham blue chip (di sarankan kapitalisasi besar dan likuid), jangan
membeli saham small cap atau tidak likuid.
• Underweight untuk saham-saham yang Price Earning Ratio (PER) tinggi atau
transaksi hariannya tipis.
• Disiplin dalam melakukan cut loss saham apabila kondisi makro ekonomi tidak
kondusif. Pasar modal Indonesia sangat sensitif terhadap fluktuasi kurs dollar
dan gross domestic bruto (GDB) tapi tidak sensitif terhadap kenaikan suku bunga
dan inflasi.
• Realisasikan keuntungan saham sebagian atau seluruhnya jika telah sesuai
dengan harapan dan target imbal hasil.
• Jangan investasi pada produk derivatif, waran, margin, short sale, bursa luar
negri, reserve repo saham-saham spekulatif dan tawaran-tawaran investasi yang
too good to be true.
• Melakukan investasi saham jangan ikut-ikutan beli saham yang banyak dibeli
investor tanpa menganalisis faktor fundamentalnya, jangan pula takut-takut
dengan sering melakukan cut loss. Jangan tamak saat memperoleh imbal
hasil yang tinggi sehingga berkeinginan investasi pada saham-saham yang
spekulasi agar mendapatkan imbal hasil yang lebih tinggi, umumnya hasilnya
sebaliknya, keuntungan yang diperoleh hilang dan modal investasi tergerus.
• Disiplin dalam melakukan rebalancing portofolio.
6.5 Register Risiko

6.5.1 Perusahaan Sekuritas
KEJADIAN AKAR INDIKATOR PERLAKUAN PEMILIK
RISIKO PENYEBAB RISIKO RISIKO RISIKO
Tidak ada data • Karyawan lalai • Terganggunya • Memberikan • Bagian IT
keuangan nasabah tidak mengambil trading pelatihan kepada
pada Sistem Back data keuangan • Transaksi karyawan
Office nasabah dari sistem nasabah sering • Melakukan evaluasi
Perbankan masuk remote karyawan
• Sistem komputer approval • Membuat
belum terintegrasi • Keluhan sistem komputer
dari Nasabah terintegrasi
agar dapat
diberikan limit
trading
Mengundurkan • Gaji belum sesuai • Karyawan • Membuat sistem • Bagian SDM
diri karyawan dengan kompetensi kunci sering gaji sesuai dengan
posisi kunci • Suasana kantor tidak datang telat Key Performance
kondusif • Pekerjaan Indicator (KPI).
• Tidak adanya reward tidak selesai • Membuat suasana
dan punishment tepat waktu kantor nyaman
• Kurang dapat dengan team work.
bekerjasama • Membuat reward
dalam tim dan punishment
berdasarkan KPI
Risiko Broker AKAR INDIKATOR PERLAKUAN PEMILIK

KEJADIAN PENYEBAB RISIKO RISIKO RISIKO
RISIKO
Menurunnya Fee • Ketatnya persaingan • Turunya nilai • Meningkatkan • Direktur
transaksi. pelayanan dan transaksi pelayanan dan Utama
fasilitas nasabah. fasilitas dengan
• Fee transaksi yang • Turunnya online trading.
semakin kompetitif. keuntungan • Melakukan efisiensi
• Perubahan fraksi perusahaan transaksi
harga saham • Meningkatkan
transaksi internal
dan eksternal
Salah input order • Kesalahan order dari • Nasabah tidak • Membuat rekaman • Bagian
nasabah nasabah, mengakui order Broker
• Kesalahan input salah order • Penggunaan sistem
order karena • Nasabah ALERT pada
kerusakan sistem/ tidak mau sistem
perangkat menanggung
nilai kerugian
akibat
penyelesaian
transaksi
Gangguan • Perubahan dan • Sering terjadi • Mendokumentasi • Bagian IT

terhadap sistem IT Penambahan error perubahan dan
fitur yang tidak • Komplain Penambahan fitur
didokumentasikan dari user dan dan dilakukan
dan dilakukan diuji nasabah diuji coba secara
coba dengan teliti berkesinambungan.
• Prosedur IT • Memonitor
Governance yg tidak implementasi IT
dilaksanakan secara Governance secara
konsisten konsisten
Equity Sales AKAR INDIKATOR PERLAKUAN PEMILIK

RISIKO
Data based • Data base nasabah • Komplain dari • Membuat data base • Bagian
nasabah tidak tidak terpusat dan sales terkait nasabah terpusat Equity Sales
diperbaharui. terintegrasi data base dan terintegrasi.
• Tidak ada karyawan nasabah. • Memberi tanggung
yang khusus • Momen jawab administrasi
mengadministrasi penting update data base
dan bertanggung nasabah kaeyawan.
jawab terhadap data terlewati
base nasabah seperti hari
ulang tahun
nasabah
Miscommunication • Lemahnya • Mismatch • Cek semua order • Bagian
antara sales dan kemampuan dan komunikasi transaksi harian, Perdangangan
nasabah pengalaman sales dan laporan baik yang telah
• Pengetahuan produk perdagangan. maupun belum
lemah transaksi.
• Sales kit sedikit dan • Melakukan
kurang menarik rekonsiliasi harian
Tuntutan hukum • Bagian legal tidak • Mendapatkan • Melakukan • Bagian Legal

dari nasabah melakukan review teguran dari review berkala
atas kesesuaian otoritas atau terkait kesesuaian
perjanjian dengan auditor. dokumen
aturan yg telah • Ada komplain perjanjian dengan
dibuat sebelumnya. dari nasabah peraturan yang
• Kerugian nasabah berlaku.
akibat tidak • Meningkatkan
melaksanakan SOP pengawasan
secara baik dan pelaksanaan SOP
benar
6.5.2 Manajer Investasi

Kesalahan • Kesalahan • Nilai Aktiva • Rekonsiliasi • Bagian
perhitungan Nilai transaksi yang tidak Bersih (NAB) harian Penyelesaian
Aktiva Bersih dikonfirmasikan dari overvalue. perhitungan MI Transaksi
(NAB) Bank Kustodi (BK) vs BK Efek
ke Manajer Investasi • NAB undervalue
(MI). • Keluhan dari • Membuat sistem
• BK salah mencatat Nasabah informasi yang
transaksi jual beli terintegrasi
efek, salah mengutip Penyelesaian
harga penutupan, Transaksi Efek
salah mencatat (Settlement),
subscription / Perdagangan
redemption, salah (Dealing) dan
mencatat kas /
bagian keuangan
utang /piutang/
biaya akrual
Kesalahan • Salah perhitungan • Keluhan dari • Membuat • Akuntansi

pembebanan biaya dan Pembebanan Nasabah sistem informasi dan Keungan
subscribe/redeem/ yang tidak sesuai pengelolaan
• Terdapat selisih
dengan kontrak
switching dalam pencatatan reksa dana yang
dapat melakukan
perhitungan
secara otomatis.
Kesalahan • Salah perhitungan • NAB tidak akurat • Rekonsiliasi • Akuntansi
pembebanan pembebanan tidak harian dan
biaya oleh Bank sesuai dengan perhitungan MI Keuangan
Kustodian kontrak vs BK
Compliance AKAR INDIKATOR PERLAKUAN PEMILIK

RISIKO
Persyaratan • Defisit operasional • Mendapatkan • Melakukan • Direktur

modal MI tidak perusahaan surat teguran dari efisiensi dan Utama
terpenuhi. • Pemegang saham Regulator efektifitas
tidak menambah • Hilangnya operasional
modal kepercayaan perusahaan
nasabah • Pemegang
saham
menambah
modal
• Mencari investor
strategis
MI tidak komplai • Kurang paham • Mendapatkan •Meningkatkan • Bagian

dengan peraturan dan lemahnya surat teguran dari kompetensi Kepatuhan
dan perundang- kompetensi bagian Regulator dengan
undangan komplai. melakukan
• Masukan
• Tidak update pelatihan dan
perbaikan dari
peraturan-peraturan sertifikasi
terbaru. internal audit
berkala
• Tidak ada yang terhadap
khusus menangani pegawai bagian
komplai sehingga
komplai
dapat mengupdate
peraturan terbaru. • Melakukan
update terhadap
peraturan dan
perundang-
undangan
terbaru secara
regular
• Menempatkan
dan menunjuk
orang yang
bertanggung
jawab terhadap
komplai
Portofolio • Manajer investasi • Komplain • Membuat sistem • Bagian

investasi tidak melakukan salah dan tuntutan pengawasan Investasi
sesuai dengan melakukan investasi hukum dari dan Kepatuhan
kebijakan investasi • Tidak ada yang nasabah merasa terhadap
dan prospektus mengawasi dan dirugikan. portofolio
tanggung jawab investasi.
terhadap portofolio • Tidak sesuai
investasi dengan target • Membentuk
yang ingin tim terhadap
dicapai portofolio
investasi
Operasional AKAR INDIKATOR PERLAKUAN PEMILIK

KEJADIAN RISIKO RISIKO RISIKO
PENYEBAB
RISIKO
Instruksi • Lupa dan lalai • Komplain dari • Menempatkan • Bagian
pembelian/ • Formulir terselip nasabah. pegawai yang Pemasaran
pengalihan/ • Administrasi kompeten.
penjualan kembali operasional tidak • Formulir
dari nasabah tidak sesuai instruksi di
dijalankan. tempat benar
dan ada
pengawas
Salah melakukan • Tidak melaksanakan • Mismatch laporan • Cek semua order • Bagian
transaksi transaksi perdagangan. transaksi harian, Perdangangan
Perdagangan perdaganagn dengan baik yang done
(dealing) benar maupun tidak.
• Tidak melakukan
• Melakukan
rekonsiliasi transaksi
rekonsiliasi
harian
Tidak lengkap • Sistim administrasi • Tidak dapat • Membuat • Bagian

dokumentasi tidak rapih menunjuk-kan filing dokumen Akuntansi
laporan keuangan • Terlalu banyak dokumen kepada dengan benar, dan
dan pengelolaan dan menumpuk pemeriksa dari efektif dan Keuangan
reksa dana dokumen2 yang otoritas atau efisien
kurang penting. auditor. • E-filling
• Inefisiensi waktu dokumen dan
kerja jika ada paperless
pemeriksaan
dari otoritas atau
auditor
MI melakukan • Kesalahan • Overdraft dari • Membuat sistem • Akuntansi

pembelian Perdagangan bank karena perdagangan dan
efek melebihi (dealing) tidak ada kas link dengan Keuangan
ketersediaan kas • Kesalahan data yang untuk membayar bagian keuangan
yang ada. diterima nasabah • Membuat sistem
• Terganggu informasi data
likuiditas
perusahaan
6.5.3 Emiten
Tuntutan hukum • Klausul Kontrak • Keluhan resmi • Meninjau dan • Bagian Legal
dari Kontraktor & tidak jelas dan klien memperbarui
Klien multitafsir • Persepsi yang prosedur &
• Tidak dapat berbeda pada template kontrak
memenuhi kontrak klausul kontrak sesuai kebutuhan
ke pihak eksternal bisnis
• Memperbaharui
kontrak yang
memiliki opsi
perusahaan dapat
membatalkan hak
dan kewajiban
dalam kontrak
Denda atau sanksi • Sistem peraturan • peraturan • Secara proaktif • Baagian Legal
dari regulator hukum perusahaan pemerintah men cari
belum sepenuhnya pusat dan daerah peraturan baru
sesuai dengan tumpang tindih yang relevan
peraturan. • pekerjaan dengan operasi
• Izin yang terganggu karena perusahaan
kadaluarsa dan telat perizinan belum • Mengoptimalkan
diperpanjang diperpanjang sistem pengingat
• Izin yang perpanjangan
dibutuhkan tidak izin
bisa diperoleh • Mengurus
perijinan yang
dibutuhkan
secepatnya
Terlambat • Tidak lengkap • Komplain dari • Sosialisasi • Bagian
pembayaran ke dengan dokumen vendor kelengkapan Keuangan
vendor pendukung Faktur • Terganggunya dokumen ke
• Kurangnya suppy barang vendor
komunikasi dan dari vendor • Membuat sitem
koordinasi antara terintegrasi
pusat dan cabang kesemua unit
• Lemahnya sistem bisnis termasuk
pembayaran dari pusat ke
keuangan cabang
KEJADIAN AKAR PENYEBAB INDIKATOR PERLAKUAN PEMILIK

RISIKO RISIKO RISIKO RISIKO
Kebakaran di • Korsleting listrik • Listrik sering • Mengganti semua • Bagian
ruang pusat data • Tidak berfungsinya anjlok kabel sesuai Umum
pendingin ruangan dengan standar
SNI
• Mengganti
pendingin
ruangan dengan
standar SNI
Proses pengadaan • Permintaan • Komplain dari • Lebih proaktif

tidak sesuai mendesak yang user dan supplier untuk • Bagian
dengan skejul. tidak direncanakan • Tertundanya berkoordinasi dan Pengadaan
• Barang penting proyek berkomunikasi
tidak bisa didapat • Lamanya proses dengan user.
dengan mudah persetujuan • Memprioritaskan
• Proses persetujuan pengadaan barang
membutuhkan penting.
waktu lama • Mempermudah
• Tidak Tersedia proses pengadaan
Service Level • Menyediakan
Agreement (SLA) Service Level
• Spesifikasi barang Agreement (SLA)
yang tidak jelas dari • Membuat katalok
pengguna barng secara
detail dan lengkap
Kinerja kontraktor • Kontraktor • Kontraktor • Lakukan proses • Bagian
rendah mengalami meminta uang tender & evaluasi Pengadaan
kesulitan keuangan muka yang tepat untuk
• Kontraktor tidak • Kontraktor mendapaakan
dapat sepenuhnya gagal melakukan kontraktor bagus
memahami syarat sebagian • User harus
dan ketentuan kewajibannya mengelola dan
kontrak • Kemajuan memantau kinerja
• Kontraktor kurang pekerjaan kontraktor selama
mampu dan kontraktor masa kontrak
suka menunda lambat • Membuat daftar
pekerjaannya s hitam kontraktor.
Harga saham • Kondisi ekonomi • Turunnya harga • Efektifitas • President
perusahaan turun makro tidak mineral dan efisiensi Direktur
kondusif • Kecelakaan kerja operasional
• Terhentinya yang berulang perusahaan.
operasi perusahaan • Isu negatif • Mengaktifkan
• Penurunan terhadap kembali operasi
Aktivitas dan harga perusahaan perusahaan.
pertambangan • Efektifitas
• Kecelakaan kerja dan efisiensi
dalam operasi operasional
perusahaan • Penerapan HSE
secara ketat
Bab 7 - Audit Internal Berbasis Risiko 129
Bab 7
AUDIT INTERNAL BERBASIS RISIKO
7.1 Pendahuluan
Risk Based Internal audit (RBIA) atau Audit Internal Berbasis Risiko adalah sebuah
metodologi yang menghubungkan audit internal kepada kerangka kerja manajemen
risiko di dalam sebuah perusahaan secara menyeluruh dan komprehensif. Menerapkan
RBIA memungkinkan audit internal untuk memberikan masukan kepada dewan direksi
bahwa apakah proses penerapan manajemen risiko telah berjalan secara efektif.
Setiap perusahaan memiliki karakteristik tersendiri dan memiliki perbedaan satu
sama lainya dalam proses menerapkan manajemen risiko. Perbedaan juga dalam
struktur organisasi dan budaya perusahaan serta dalam menentukan kriteria dan
kategori yang digunakan. Auditor internal harus mampu menyesuaikan dengan
pemikiran dan masukan perubahan struktur organisasi perusahaan dan proses bisnis
perusahaan dalam rangka untuk melaksanakan audit internal berbasis risiko.
Audit internal berbasis risiko bertujuan untuk memperkuat tanggung jawab dewan
direksi dalam mengelola risiko pada setiap tahapannya dan menentukan kinerja fungsi/
unit dalam melaksanakan penerapan manajemen risiko. Mengukur kinerja fungsi/unit
dalam menerapkan manajemen risiko dengan Key Performance Indicator (KPI).
Pola audit yang didasarkan atas pendekatan risiko (risk based audit approach) yang
dilakukan oleh auditor internal lebih memfokuskan terhadap masalah parameter
penilaian risiko (risk assessment) yang diformulasikan pada risk based audit plan.
Berdasarkan penilaian risiko tersebut dapat diperoleh matriks risiko, sehingga dapat
membantu dan memudahkan internal auditor untuk menyusun matriks audit risk.
Manfaat yang akan diperoleh internal auditor apabila menggunakan risk based audit
approach, antara lain internal auditor akan lebih efisien dan efektif dalam melakukan
audit dalam menilai kinerja fungsi/unit perusahaan sehingga dapat meningkatkan dan
memperbaiki kinerja perusahaan secara keseluruhan dan komprehensif.
Tujuan audit internal adalah memberikan pendapat yang independen dan obyektif
untuk manajemen perusahaan, mengenai risiko yang dikelola ke tingkat yang dapat
diterima atas tujuan yang dimiliki dan ingin dicapai oleh setiap manajemen dalam
sebuah perusahaan. Manajemen dihadapkan oleh berbagai macam risiko dalam
pencapaian tujuan, sehingga pengawasan internal sangatlah dibutuhkan untuk
mengelola risiko-risiko yang timbul atas tujuan tersebut.
Audit internal berbasis risiko untuk mengatasi kesenjangan yang signifikan
antara pedoman dan praktik audit internal. Metodologi audit internal berbasis risiko
menghubungkan audit internal dengan keseluruhan kerangka kerja manajemen risiko
organisasi, sehingga memungkinkan audit internal untuk memberikan keyakinan
kepada dewan direksi bahwa proses manajemen risiko mengelola risiko secara efektif
dan sesuai dengan selera risiko (risk apetite).
Audit internal berbasis risiko pada dasarnya memiliki langkah-langkah yang
meliputi penilaian risiko, rencana audit berbasis risiko, melakukan perikatan audit,
mengkomunikasikan hasil perikatan dan melakukan tindak lanjut audit. Audit internal
berbasis risiko memiliki potensi untuk membuat fungsi audit internal lebih fokus, efektif
dan efisien dalam operasi dan penggunaan sumber dayanya, sehingga menciptakan nilai
bagi organisasi. Penilaian risiko, manajemen risiko, rencana audit berbasis risiko, audit
tindak lanjut, standar audit internal, dan kapasitas audit internal berdampak langsung
pada penguatan kontrol internal, kerangka kerja manajemen risiko yang efektif, dan
tata kelola perusahaan yang baik dan meningkatkan kinerja keuangan.
Risiko merupakan suatu keadaan yang dapat menghambat proses pencapaian
tujuan perusahaan. Disamping itu risiko dapat menimbulkan dampak signifikan
terhadap kelangsungan hidup perusahaan sehingga diperlukan perencanaan audit,
dimana di dalam proses audit secara garis besar akan melakukan;
a. Identifikasi tujuan.
b. Bekerjasama dengan setiap fungsi/unit bisnis untuk mengidentifikasi risiko-
risiko yang menghambat proses bisnis perusahaan.
c. Melakukan pengawasan untuk melakukan mitigasi risiko
d. Melakukan pelaporan jika ada risiko tidak signifikan sehingga hanya perlu
dilakukan pengawasan dan pemantauan saja.
e. Menjamin bahwa risiko telah diantisipasi dengan mitigasi dengan tepat

sehingga risiko tersebut dapat diterima pada tingkatan tertentu (risk apetite).
Dahulu peran dan fungsi audit internal mencari kesalahan atau penyimpangan
dari fungsi/unit dalam perusahan, sehingga situasi ini membuat pemeriksa (auditor)
dan pihak yang diperiksa (auditee) berada pada posisi yang saling berhadapan untuk
saling mempertahankan argumentasi masing-masing. Akibatnya peran dan tugas audit
internal kurang disukai kehadirannya oleh fungsi/unit dalam perusahaan.
Saat ini peran audit internal telah beralih dari pemeriksa menjadi sebagai
konsultan internal yang memberi masukan untuk mencegah terjadinya kejadian risiko
dan melakukan perbaikan kinerja atas sistem yang telah ada. Artinya internal audit
memberikan masukan kepada fungsi/unit dalam perusahaan melakukan perbaikan
proses bisnis agar tidak timbul risiko yang dapat merugikan perusahaan.
Peran audit internal sebagai problem solver mengharuskan untuk selalu meningkatkan
pengetahuan dan ketrampilan tidak hanya terkait profesi auditor maupun aspek bisnis
(business object) tetapi juga meningkatkan kompetensi manajemen risiko, sehingga
diharapkan audit internal dapat membantu manajemen dalam mencarikan solusi dari
suatu masalah.
Kemampuan untuk memberikan konsultasi dan merekomendasikan mengatasi
suatu masalah bagi auditor internal dapat diperoleh melalui pengalaman bertahun-
tahun dengan melakukan audit berbagai fungsi/bagian di perusahaan dan pendidikan
audit yang berkelanjutan. Konsultasi internal saat ini merupakan aktivitas yang sangat
dibutuhkan oleh manajemen puncak yang perlu dilakukan oleh auditor internal. Selain
sebagai konsultan, auditor internal harus mampu berperan sebagai katalisator yaitu
memberikan masukan kepada manajemen melalui saran-saran yang bersifat konstruktif
dan dapat diimplementasikan bagi perkembangan dan kemajuan perusahaan.
Auditor internal tidak ikut dalam kegiatan operasional perusahaan, namun turut
serta bertanggungjawab dalam meningkatkan kinerja perusahaan melalui rekomendasi
yang disampaikan kepada manajemen operasional.
Ruang lingkup kegiatan audit semakin luas, pada saat ini tidak hanya audit
keuangan (financial audit) dan audit ketaatan (compliance audit), tetapi juga semua aspek
yang berpengaruh terhadap kinerja perusahaan dan pengendalian manajemen serta
memperhatikan aspek risiko bisnis dan risiko manajemen. Orientasi audit saat kini
menuju ke arah audit yang berdasarkan atas risiko (risk based auditing), situasi saat ini
akan terus berlanjut seiring dengan kebutuhan perusahaan yang semakin kompleks
dalam menghadapi persaingan.
Manfaat yang diperoleh dengan menerapkan audit internal berbasis risiko sebagai
berikut:
• Manajemen telah melakukan identifikasi, menilai dan melakukan perlakuan
risiko di atas dan di bawah risk apetite (selera risiko).
• Mengelola risiko lebih efektif namun tidak berlebihan dalam mengelola risiko
yang tidak berada dalam risk appetite.
• Apabila risiko residual tidak sesuai dengan risk appetite, segera dilakukan
perlakuan (treatment) untuk memperbaiki agar sesuai dengan risk appetite.
• Efektivitas tanggapan dan penyelesaian tindakan risiko yang disarankan
internal audit untuk memastikan fungsi atau unit dalam perusahaan terus
beroperasi secara efektif.
• Memastikan tanggapan dan tindakan terhadap risiko-risiko yang disarankan
oleh audit internal telah dilaporkan secara baik dan benar.
Audit internal perlu dilakukan untuk memberikan kepastian dan jaminan terhadap
klasifikasi risiko, proses manajemen risiko, pengelolaan risiko-risiko termasuk efektivitas
pemantauan dan pengendalian serta pelaporan risiko dengan akurat dan efektif.
Tujuan audit internal untuk memastikan pengendalian internal proses bisnis
perusahaan berjalan dengan tepat, sehingga kegiatan audit internal secara independen
melaporkan bahwa pengendalian internal beroperasi dengan benar.
Selama ini audit internal memiliki kesan hanya berkaitan dengan pengendalian
keuangan, sehingga tidak sedikit manajer perusahaan sering menganggap pengendalian
merupakan tanggung jawab akuntan dan auditor. Manajer dapat mengamati dan
melihat bagaimana risiko dapat secara langsung mempengaruhi kinerja para manajer
dan merupakan tanggung jawab manajer (risk owener) untuk mengelolanya.
Audit internal dapat diartikan memberikan pendapat yang independen dan obyektif
kepada manajemen perusahaan apakah risiko dikelola ke tingkat yang dapat diterima
sesuai risk apetite. Audit internal harus :
• Independen: fungsi/unit yang melaksanakan kegiatan audit internal harus
berada di luar hierarki manajemen normal, idealnya bertanggung jawab
kepada dewan eksekutif dengan garis pelaporan yang langsung kepada ketua
komite audit.
• Objektif: obyektifitas adalah keadaan pikiran atau pendapat yang tidak
tergantung pada pimpinan anda. Pendapat harus didasarkan pada fakta nyata
yang dapat diverifikasi dan tanpa bias.
• Opini: Tujuan dari audit internal adalah tentang memberi tahu kepada
manajemen dan para pemangku kepentingan, apakah risiko telah dikelola
dengan efektif dan baik. Pendapat audit internal bisa baik atau buruk tentang
pengelolaan risiko di perusahaan.
• Organisasi: Sekelompok orang dengan aset pendukung memiliki tanggung
jawab kepada pemangku kepentingan. Misalnya, pihak eksternal, seperti
pemegang saham atau pemerintah. Organisasi seperti itu biasanya harus
menyiapkan laporan keuangan dan profile risiko, dan perangkat pendukung
lainnya untuk pemangku kepentingan.
• Manajemen: Kelompok orang yang bertanggung jawab atas peran dan

pelaksanaan operasi perusahaan yang efektif dan tepat. Manajemen
bertanggung jawab untuk memastikan pengelolaan risiko dengan efektif dan
benar.
• Dikelola: Risiko dikelola dengan menggunakan proses perlakuan risiko yang
telah dilakukan strategi seperti transfer dan mitigasi risiko.
• Dapat diterima: Ini berarti bahwa proses perlakuan dalam mengelola risiko
ke tingkat yang dianggap wajar oleh manajemen yang dikenal sebagai selera
risiko (risk apetite) perusahaan. Auditor internal harus memahami risk apetite
(selera risiko) sehingga dapat mengukur signifikansi risiko tersebut.
Manajemen harus dapat meyakinkan dewan direksi bahwa manajemen telah
mengelola risiko dan selera risiko (risk apetite). Dewan direksi yang menetapkan risk
appetite dan audit internal harus menerima penetapan tersebut, meskipun risk apetite
kadang dianggap terlalu tinggi atau rendah. Dewan direksi memiliki tanggung jawab
kepada para pemangku kepentingan dengan mematuhi Undang-Undang dan regulasi
yang mengharuskan untuk mempertahankan sistem pengendalian internal yang tepat.
7.2 Tahapan melaksanakan RBIA
TAHAP 1: MENILAI KEMATANGAN RISIKO (RISK MATURITY) PERUSAHAAN

Menilai kematangan risiko (risk maturity) perusahan untuk memperoleh gambaran
menyeluruh sejauh mana direksi dan manajemen dalam menentukan, menilai,
mengelola dan memantau risiko-risiko yang ada di perusahan. Hal ini memberikan
indikasi terhadap keandalan register risiko untuk tujuan perencanaan audit. Ada tiga
tujuan untuk tahap ini, diantaranya:
a. Menilai kematangan risiko perusahaan.
b. Membuat laporan kepada manajemen dan komite audit mengenai penilaian
kematangan risiko perusahaan.
c. Menyetujui terhadap strategi pelaksanaan audit.
Proses yang dilakukan untuk mencapai tujuan menilai tingkat kematangan risiko
dengan cara :
A. Diskusikan pemahaman risk maturity dengan direksi dan manajer senior.

• Tentukan apa yang telah dilakukan untuk meningkatkan risk maturity
perusahaan dengan pelatihan, lokakarya risiko, kuesioner tentang risiko dan
wawancara dengan para manajer sebagai pemilik risiko.
• Menentukan apakah para manajer telah mengisi register risiko sudah benar
dan komprehensif.
•
Mendiskusikan pemahaman tentang manajemen risiko telah menjadi budaya
perusahaan sehingga para manajer merasa bertanggung jawab tidak hanya
untuk mengidentifikasi, menilai dan melakukan perlakuan risiko, tetapi juga
melakukan memantau kerangka kerja manajemen risiko.
Perusahaan harus tunduk dan patuh terhadap kebijakan perusahaan terkait
dengan penerapan manajemen risiko dan mengukur tingkat kematangan risiko di
perusahaan. Apabila tingkat kematangan risiko pada perusahaan masih rendah,
artinya para pegawai memiliki pemahaman sadar risiko juga rendah sehingga tidak
perduli terhadap risiko perusahaan.
Salah satu indikasi rendahnya tingkat kematangan risiko perusahaan, perusahaan
memiliki daftar risiko dan profile risiko yang kurang baik dan tidak benar. Kondisi
ini akan menyulitkan dalam mengimplementasikan audit internal berbasis risiko.
Sebelum melakukan audit berbasis risiko, auditor harus memastikan bahwa profile
risiko sudah baik dan benar.
Dalam melakukan aktivitasnya, audit internal tidak boleh menentukan kejadian
risiko (risk event) tanpa melibatan pemilik risiko atau merubah daftar risiko yang
telah ada. Tujuannya agar supaya persepsi bahwa audit internal bertanggung jawab
atas pembuatan daftar risiko dan profile risiko dapat dihindarkan dan juga untuk
mencegah konflik kepentingan (conflic of interest).
B. Mendapatkan Dokumen-Dokumen Terkait Dengan:

• Tujuan dari perusahaan.
• Proses mengidentifikasi risiko yang menghambat tujuan perusahaan
• Bagaimana menganalis risiko terhadap dampak dan probalitas.
• Risk appetite yang telah disetujui direksi dalam penilaian yang menggunakan
risiko yang melekat (inherent risk) dan risiko residual (residual risk).
• Bagaimana proses pengambilan keputusan manajemen (direksi) dengan
mempertimbangkan risiko.
• Proses pelaporan risiko-risiko pada berbagai tingkat kegawatan risiko di
fungsi/unit dalam perusahaan pada risk register.
• Sumber-sumber informasi yang digunakan oleh manajemen dan dewan untuk
memantau kerangka kerja (framework) secara efektif untuk mengelola risiko
dalam risk appetite.
• Setiap penilaian kematangan risiko perusahaan dan dokumen lainnya yang
menunjukkan komitmen direksi untuk penerapan manajemen risiko.
C. Menilai dan Melaporkan Kematangan Risiko (risk maturity)

Dokumen dan informasi yang telah dikumpulkan untuk menilai kematangan risiko
perusahaan dengan melihat dan menilai risiko-risiko yang ada pada fungsi/unit.
Melaporkan risk maturity perusahaan akan memberikan penilaian bahwa proses
manajemen risiko telah dilaksanakan dengan efektif sesuai dengan pencatatan
dan pelaporan risiko, serta melaporkan apabila sistem pengendalian internal

perusahaan dan pengawasan dewan belum berjalan dengan efektif. Hasil laporan
tersebut, manajemen dapat menyarankan dan memerintahkan audit internal untuk
melakukan perbaikan dan meningkatkan proses manajemen risiko.
D. Strategi Audit Risiko

Strategi audit dipilih tergantung pada risk maturiy perusahaan. Perusahaan
akan mendapatkan keuntungan dari beberapa aspek dari strategi audit. Audit
internal dapat membantu meningkatkan manajemen risiko dan proses tata kelola
perusahaan dengan melaporkan penilaian terhadap risk maturiy perusahaan kepada
manajemen.
Strategi audit untuk risiko yang dikelola perusahaan dapat memberikan kepastian
terhadap proses manajemen risiko yang dinilai audit internal telah berjalan dengan
efektif. Audit internal harus merencanakan untuk memberikan kepastian bahwa
proses pengendalian telah bekerja sesuai dengan tujuan atau standar yang telah
ditetapkan.
Strategi audit juga memberikan konsultasi kepada pemilik risiko dimana audit
internal menyisihkan waktu untuk meningkatkan pengenalan proses manajemen
risiko di perusahaan sehingga tujuan untuk memastikan risk maturity perusahaan
telah meningkat dan berjalan dengan efektif. Audit internal juga harus melakukan
pendekatan kepada karyawan perusahaan agar mereka ada rasa memiliki dan
merupakan bagian dari proses penerapan manajemen risiko untuk kepentingan
bersama agar terus dipertahankan serta ditingkatkan.
Kegiatan konsultasi sebagai layanan konsultasi yang memiliki sifat dan ruang
lingkup yang telah disepakati dengan manajemen dimana penerapan manajemen
risiko tetap merupakan tanggung jawab manajemen.
TAHAP 2: PERENCANAAN PEMERIKSAAN PERIODIK

Tujuan perencanaan pemeriksaan periodik adalah untuk memastikan semua proses
manajemen risiko yang telah dilakukan sesuai dengan masukan dari audit internal,
telah berjalan objektif. Perencanaan pemeriksaan periodik merupakan kegiatan rutin
dilakukan, dimana rencana audit yang berisi semua audit yang akan dilakukan selama
jangka waktu tertentu.
Audit internal berbasis risiko bukan tentang mengaudit risiko saja, tetapi tentang
mengaudit manajemen risiko, sehingga fokus pada proses yang diterapkan oleh tim
manajemen terhadap masing-masing risiko dan proses yang digunakan untuk menilai
risiko serta memantau apakah rencana manajemen risiko terkait dengan perlakuan
risiko telah dilaksanakan sesuai dengan rencana, selanjutnya hasil audit dilaporkan
kepada dewan direksi.Perencanaan pemeriksaan periodik membutuhkan informasi,
sehingga dilakukan beberapa langkah agar dapat dilaksanakan dengan baik dan benar.
Langkah pertama dengan memberikan latar belakang yang diperlukan untuk

memahami bagaimana manajemen mengidentifikasi, mengevaluasi risiko dan
bagaimana informasi yang dibutuhkan dicatat di risk register, dokumen yang dilampirkan,
acara tanggapan, pemantauan dan pengendalian. Dokumen yang diperlukan seperti;
• Tanggapan dari manajemen terhadap pengelolaan risiko terutama risko yang
memiliki tingkat kegawatan yang tinggi.
• Tindakan yang diambil untuk menambah, menghapus atau mengubah
tanggapan yang ada di mana pemilik risiko tidak memitigasi risiko sesuai
dengan risk appetite.
• Pengendalian dan pemantauan yang digunakan oleh manajemen untuk
memastikan bahwa semua elemen dari kerangka kerja manajemen risiko
telah berjalan sesuai dengan ketentuan yang berlaku.
Audit internal juga harus memperoleh pengarahan dari komite audit dan tim
manajemen terkait dengan aktivitas audit internal agar proses audit sesuai sasaran yang.
Peran audit internal bukan untuk mengidentifikasikan risiko dan mengisi risk register,
tetapi untuk dapat menafsirkannya dan menilai apakah perencanaan perlakuan risiko
telah dilaksanakan dengan baik dan benar sehingga proses penerapan manajemen
dapat berjalan efektif.
Agar proses penerapan manajemen dapat berjalan efektif perlu dilakukan
perencanaan auidit. Langkah yang dilakukan untuk mencapai tujuan perencanaan
audit;
A. Identifikasi
Identifikasi tanggapan dan proses manajemen risiko dengan obyektif dan melihat
daftar semua tanggapan secara obyektif dan informasi tentang risiko yang
terkait. Audit internal harus memastikan pada bagian proses dari kerangka kerja
manajemen risiko.
Proses yang digunakan untuk mengidentifikasi dan menilai risiko dan untuk
memutuskan tanggapan yang sesuai. Proses pelaporan risiko di seluruh proses
bisnis perusahaan serta memantau dan mengontrol proses-proses tersebut.
Komite audit memastikan bersifat objektif dari hasil audit internal pada semua
proses manajemen risiko serta memastikan kuantitas, keterampilan dan kompetensi
audit internal memiliki spesialis khususnya pengetahuan manajemen risiko.
B. Kategori dan Prioritas Risiko.

Risiko harus dilakukan kategori dengan membuat pengelompokan risiko menjadi
urutan logis sehingga banyak membantu dalam menyusun rencana audit. Kategori
unit bisnis berguna untuk proses penerapan manajemen risiko, dimana perusahaan
memiliki sejumlah unit usaha mandiri secara fisik, prosedur dan sistem. Kategori
fungsi atau sistem seperti penjualan, pembelian, atau kontrol persediaan. Hal ini
berguna dalam perusahaan yang besar dengan sistem terpadu.
Audit internal harus memprioritaskan tanggapan yang harus diaudit. Karakteristik
penting dari RBIA adalah bahwa selalu prioritas dengan mengacu pada ukuran
risiko dan kontribusi respon membuat untuk mengelola risiko.
Daftar prioritis berguna termasuk:
• Ukuran risiko yang melekat (inherent risk): semakin besar risiko, semakin tinggi
prioritas.
• Kontribusi dan upaya perlakuan risiko yang maksimal untuk mengurangi
risiko, semakin tinggi prioritas.
• Kategori risiko di mana merupakan masukan komite audit.
C. Menghubungkan Risiko Penugasan Audit.

Dua metode dapat digunakan untuk menghubungkan risiko penugasan audit:
a. Kelompok risiko, misalnya dengan unit bisnis, tujuan, fungsi atau sistem dan
memutuskan audit yang akan memberikan tanggapan. Metode ini memiliki
keuntungan bahwa pengelolaan semua risiko akan dibahas, tapi mungkin sulit
untuk menentukan unit pemeriksaan yang memuaskan preferensi perusahaan
untuk ukuran audit seperti jumlah staf audit.
b. Audit universal mengalokasikan setiap audit untuk risiko unit bisnis. Metode
ini memiliki keuntungan yang mencakup satu lokasi fisik dalam satu kunjungan
dan memungkinkan unit audit yang sesuai dengan ukurannya. Dapat
dimungkinkan membutuhkan pemeriksaan tambahan untuk memastikan
bahwa pengelolaan semua risiko telah diaudit. Langkah ini akan menghasilkan
daftar penugasan audit. Prioritas setiap audit berasal dari ukuran proses
manajemen risiko yang menyediakan informasi ini harus terhubung ke daftar
kategori risiko dan register risiko perusahaan. Perusahaan juga perlu untuk
mengumpulkan dan merekam informasi yang menghubungkan risiko dengan
tanggapan hasil audit dan penugasan audit.
D. Menyusun Rencana Audit Periodik.

Memperkirakan jumlah hari yang dibutuhkan untuk setiap melakukan audit dan
mengidentifikasi proses audit dapat diselesaikan dengan sumber daya yang tersedia,
serta memberikan waktu dan ruang lingkup untuk melakukan konsultasi.
Audit internal berbasis risiko memperhitungkan sumber daya yang tersedia
untuk menyelesaikan pekerjaan audit yang direncanakan. Audit internal dapat
mengusulkan penambahan tenaga auditor atau pengurangan jumlah auditor.
Semua rencana audit harus telah ditentukan jadwalnya, namun banyak perusahaan
menambahkan audit berdasarkan kriteria selain risiko sehingga menambah
audit wajib atau audit yang diminta oleh manajemen. Akibatnya rencana audit
membutuhkan waktu lebih lama dari jadwal yang telah direncanakan.
E. Pelaporan Kepada Manajemen dan Komite Audit.

Rencana audit periodik harus didiskusikan dengan manajemen dan disampaikan
kepada komite audit untuk mendapatkan persetujuan.
Rancana audit periodik menyiapkan :
• Rincian risiko diberikan dalam melaksanakan audit dari proses manajemen
risiko dan rencana tanggapan.
• Rincian risiko di mana disediakan tapi berdasarkan pekerjaan audit dari tahun-
tahun sebelumnya.
• Rincian risiko di mana pekerjaan konsultasi dilakukan untuk membantu
manajemen dalam mengurangi risiko agar sesuai dengan risk appetite.
• Mengkonfirmasi bahwa rencana audit telah sesuai SOP.
TAHAP 3: PENUGASAN AUDIT

Audit internal berbasis risiko dalam perencanaan audit berdasarkan register risiko
perusahaan. Metodologi yang digunakan untuk melakukan audit internal berbasis risiko
agar supaya auditor internal dapat memfasilitasi perbaikan kerangka kerja manajemen
risiko dalam perencanaan kerangka audit serta melakukan konsultasi untuk perbaikan
dan peningkatan efektifitas penerapan manajemen risiko.
Salah satu tujuan kegiatan konsultasi adalah untuk meningkatkan kematangan
risiko (maturity risk) perusahaan dimana kegiatan konsultasi mempunyai sifat dan
ruang lingkup yang telah disepakati dengan manajemen. Pengelolaan risiko perusahaan
merupakan kebutuhan untuk meningkatkan proses manajemen risiko yang menjadi
bagian dari kerangka kerja manajemen risiko. Untuk meningkatkan proses manajemen
risiko secara efektif perlu melakukan konsultasi.
Melakukan Audit
Audit internal berbasis risiko bukan hanya audit risiko saja tetapi juga audit
manajemen risiko secara menyeluruh dan komprehensif dimana fokus pada
tindakan dan langkah-langkah yang diambil oleh tim manajemen untuk mengelola
risiko di perusahaan. Auditor internal harus banyak menyediakan waktu
dengan parapemilik risiko (risk owener) untuk membahas dan mengamati dan
mengendalikan proses penerapkan manajemen risiko.
Auditor internal harus berperilaku dengan cara yang memperkuat prinsip dasar
bahwa manajemen bertanggung jawab untuk mengelola risiko di perusahaan.
Prosedur harus sudah ada untuk memungkinkan auditor internal untuk melaporkan
permasalahan yang ditemukan kepada manajemen dan membutuhkan pertujuan

dari manajemen untuk memperbarui daftar risiko.
Tujuan dari tahapan melakukan audit adalah untuk memastikan hubungannya
dengan bisnis, kegiatan, atau sistem proses diidentifikasi dalam rencana audit:
• manajemen telah mengidentifikasi, menilai dan melakukan perlakuan risiko
di atas dan di bawah risk apetite.
• perlakuan risiko aktif sesuai dengan strategi risiko, sehingga tidak berlebihan
dalam mengelola risiko agar sesuai dengan risk appetite.
• ketika risiko residual tidak sesuai dengan risk appetite, perlu dilakukan tindakan
untuk memperbaikinya agar sesuai dengan risk appetite.
• efektivitas tanggapan dan penyelesaian perlakuan risiko dalam proses
manajemen risiko, selalu dipantau oleh manajemen untuk memastikan
berjalan secara efektif.
• tanggapan dan perlakuan dari proses manajemen risiko dilaporkan secara
benar dan rutinkepada manajemen.
Tindakan untuk mencapai tujuan penugasan audit memiliki langkah-langkah

sebagai berikut :
a. Menetapkan ruang lingkup penugasan yang direncanakan.
Ini melibatkan auditor internal guna memahami hasil tahapan dan menyusun
draft lingkup penugasan. Memperoleh informasi yang relevan termasuk
kesimpulan pada tingkat kematangan risiko dan strategi audit yang dihasilkan,
judul tugas, dan informasi yang menghubungkan audit terhadap tanggapan
terhadap pengelolaan risiko.
b. Menilai kematangan risiko unit yang diaudit.
Audit internal menggunakan kriteria untuk menilai kematangan risiko
perusahaan harus konsisten dengan yang digunakan dalam tahap sebelumnya
dan tugas-tugas lainnya. Tugas tersebut termasuk pengawasan risiko yang
teridentifikasi oleh manajemen, yang mungkin membutuhkan sumber daya
tambahan atau ahli.
c. Kesimpulan tugas
Kesimpulan dari audit individu harus mengkonfirmasikan atau meragukan
penilaian tingkat kematangan risiko (maturity risk). Penilaian awal tingkat
kematangan risiko ini mungkin perlu diubah.
Jika tingkat kematangan risiko yang sebenarnya lebih baik atau sama dengan
tingkat kematangan risiko yang diharapkan, penugasan audit yang dilakukan
telah sesuai dengan yang direncanakan. Apabila kondisi sebaliknya, audit
internal harus melaporkan hal ini kepada manajemen dengan kesimpulan
bahwa tanggapan termasuk dalam ruang lingkup audit tidak bekerja secara
efektif.
d. Meringkas kesimpulan audit untuk Komite Audit.

Ringkasan kesimpulan audit ini harus:
• Mendukung kebijakan manajemen risiko yang berlaku untuk perusahaan.
• Memenuhi persyaratan piagam audit (Audit Charter).
• Jika bukan bagian dari piagam, memberikan opini tentang apakah risiko telah
dikelola dengan baik, tujuan untuk memastikan tujuan perusahaan tercapai
dan dalam batas yang wajar serta akan dapat dicapai di masa depan.

Manfaat dan Kelemahan
Audit internal berbasis risiko terkait erat dengan kerangka kerja manajemen
risiko. Selama tingkat kematangan risiko perusahaan masih rendah, audit internal
harus memberikan laporan kondisi tersebut kepada manajemen dan komite audit
sehingga segera mengambil tindakan dan kebijakan.
Banyak penyebab perusahaan mempunyai tingkat kematangan risiko rendah, salah
satunya karena manajer dan direksi belum sepenuhnya memahami dan mendalami
kerangka kerja manajemen risiko dengan baik yang merupakan elemen penting
dari sistem pengendalian internal. Audit internal perlu melakukan program jangka
panjang dari kegiatan manajemen risiko agar tingkat kematangan risiko meningkat.
Kerangka kerja manajemen risiko yang efektif akan meningkatkan tata kelola
perusahaan dan peluang yang mencapai tujuan jangka panjang. Metodologi audit
internal berbasis risiko membuat kontribusi yang jelas dan berharga untuk kerangka
kerja manajemen risiko. Memberikan jaminan obyektif dengan memfasilitasi upaya
manajemen untuk meningkatkan kerangka kerja dan memastikan bahwa sumber
daya internal audit diarahkan menilai pengelolaan risiko yang signifikan.
Hubungan Dengan Manajemen

Audit internal berbasis risiko membutuhkan keterlibatan manajemen karena proses
yang akan dibahas dalam audit di seluruh bagian perusahaan, audit mungkin
melibatkan manajer (risk owener) pada unit/fungsi yang belum pernah dikunjungi
audit internal.
Dalam rangka untuk membahas tanggapan diserahkan untuk mengelola risiko,
auditor internal mungkin perlu melibatkan lebih banyak manajer yang lebih senior
daripada yang terlibat dalam audit tradisional. Audit internal berbasis risiko
menekankan tanggung jawab manajemen untuk mengelola risiko.
Pertemuan dengan manajemen untuk menerima rekomendasi audit internal dan
persetujuan manajemen untuk menentukan tindakan atas masukan dari audit
internal. Tanggung jawab manajemen untuk audit internal berbasis risiko dapat
diimplementasikan secara penuh pada perusahaan yang mengelola risiko aktif.
Salah satu ciri dari tingkat kematangan risiko adalah manajer sebagai pemilik risiko
(risk owener) harus mengambil tanggung jawab untuk mengelola risiko. Dalam
mengambil tanggung jawab untuk mengelola risiko, manajer memahami bahwa
pengendalian risiko bukan tanggung jawab audit internal, tetapi menjadi tanggung
jawab penuh pemilik risiko. Aktivitas audit internal memperkuat tanggung jawab
manajemen dengan memberikan kontribusi dengan meningkatkan budaya
manajemen risiko yang kuat di perusahaan.
Audit internal berbasis risiko adalah cara yang efektif untuk mencapai target
yang ditetapkan untuk aktivitas audit internal, seperti:
• Penyusunan rencana audit yang menjamin aktivitas audit internal memenuhi
piagam audit (Audit Charter).
• Mendapatkan masukan dari manajemen bahwa dibutuhkan tindakan yang
tepat untuk mengelola risiko dalam risk appetite.
• Menjamin penilaian yang obyektif dalam penerapan manajemen risiko.
• Menjaga anggaran yang telah ditetapkan untuk kegiatan pencapaian tujuan
perusahaan.
Auditor internal membutuhkan lebih banyak orang memiliki kompetensi
dan keterampilan bisnis, seperti wawancara, mempengaruhi, memfasilitasi dan
memecahkan masalah. Audit universal untuk mencakup semua risiko yang
menghambat tujuan perusahaan, sehingga auditor internal dapat memahami
dan menyimpulkan risiko pada proses bisnis perusahaan dan tanggap terhadap
timbulnya risiko baru.
Membutuhkan pengetahuan khusus yang dapat diperoleh sebagai berikut:
• Keterampilan menggunakan spesialis sudah tersedia dalam aktivitas audit
internal, misalnya auditor komputer.
• Memberikan pelatihan khusus untuk auditor dengan keahlian umum, misalnya
memberikan pelatihan tentang peraturan dan praktek yang berkaitan dengan
manajemen stres untuk auditor yang sudah senior.
• Merekrut spesialis sementara atau permanen dari dalam perusahaan, misalnya
seorang manajer gudang dari satu anak perusahaan di luar negeri bisa
mengaudit proses gudang di dalam negeri.
• Menggunakan spesialis dari luar perusahaan, misalnya spesialis treasury.
Gambar 7.1
Alur Audit
Sumber : Chartered Institute of Internal Auditors

Praktik Audit Berbasis Risiko dan Kinerja Keuangan

(Studi Kasus Ethiopian Airlines)
Tujuan dari studi ini adalah untuk menentukan praktik audit berbasis risiko
dan memeriksa apakah praktik audit berbasis risiko memengaruhi kinerja keuangan
dalam kasus perusahaan Ethiopian Airlines (EAL). Perusahaan Ethiopian Airlines telah
mengadopsi praktik audit berbasis risiko seperti penilaian risiko, manajemen risiko,
rencana audit berbasis risiko, audit tindak lanjut, kapasitas audit internal, dan standar
audit internal.
Studi menjelaskan bahwa audit berbasis risiko telah secara signifikan dan positif
mempengaruhi kenaikan laba sebesar 65,4%. Selain itu, indikator kinerja keuangan
seperti laba, kilometer kursi yang tersedia, dan pendapatan menunjukkan peningkatan
dramatis setelah penerapan audit berbasis risiko.
Ini menunjukkan bahwa praktik audit berbasis risiko mempengaruhi kinerja
keuangan EAL. Namun, studi menunjukkan bahwa belum semua registrasi risiko
ada di fungsi/unit perusahaan, penilaian risiko tidak dilakukan di semua unit kerja
perusahaan, tidak ada departemen manajemen risiko yang terpisah dan independen,
belum menentukan tingkat selera risiko (risk apetite), kurangnya tenaga kerja yang
diperlukan dalam audit internal departemen, pelatihan yang tidak memadai dan
program pengembangan untuk auditor internal, dan garis pelaporan eksekutif internal
memerlukan perhatian manajemen.
Studi ini merekomendasikan manajemen puncak untuk bertanggungjawab untuk
meningkatkan praktik audit berbasis risiko dengan mengembangkan buku registrasi
risiko di seluruh perusahaan, melakukan penilaian risiko yang memadai, membentuk
departemen manajemen risiko, menetapkan selera risiko dan menekankan pada
kapasitas departemen audit internal dan jalur pelaporan sehingga untuk meningkatkan
hasil audit berbasis risiko.
Hasil studi menunjukkan laba perusahaan meningkat 65,40 persen karena praktik
audit internal berbasis risiko seperti penilaian risiko, manajemen risiko, rencana audit
berbasis risiko, audit tindak lanjut, standar audit internal, dan kapasitas audit internal
serta berkontribusi pada peningkatan indikator kinerja keuangan.
Studi dilakukan tidak hanya praktik audit internal berbasis risiko yang telah
memengaruhi kinerja keuangan, tetapi juga meningkatkan pencapaian tujuan
perusahaan EAL. Dengan kata lain mendukung teori kontingensi, bahwa hasil yang
diperoleh dari variabel pelengkap lainnya digabungkan sebagai keselarasan dengan
budaya perusahaan dan strategi jangka panjang perusahaan
Ada beberapa temuan yang terjadi di Ethiopian Airlines (EAL) setelah dilakukan
audit internal berbasis risiko.
• Risk apetite perusahaan EAL belum menentukan tingkat di mana perusahaan
dapat menerima risiko.
• Bagian manajemen risiko di EAL belum independen dalam memberikan
laporan guna meningkatkan budaya dan penerapan manajemen risiko di unit
kerja.
• Audit internal tidak dilibatkan dalam persiapan rencana audit berbasis risiko,
sehingga manajemen tidak memberikan laporan penilaian risiko dan dokumen
yang diperlukan seperti manual prosedural kebijakan sebagai input dalam
persiapan rencana audit berbasis risiko.
• Beberapa permasalahan hasil temuan audit berbasis risiko sebagai berikut :
a. Kurang komitmen dari fungsi/unit kerja di EAL untuk memberikan
informasi yang nyata dan benar sehubungan dengan proses pelaksanaan
temuan audit. Akibatnya, perbedaan pendapat terjadi antara auditor
internal dengan para manajer sebagai pemilik risiko.
b. Departemen audit internal tidak memiliki staf yang memadai
dibandingkan dengan beban kerja di kantor pusat dan cabang di mana
tempat tiket penerbangan dijual. Disamping itu, kurangnya pelatihan
yang memadai dan pengembangan profesional untuk auditor internal.
c. meskipun laporan audit dikomunikasikan dalam kerangka kerja, namun
ringkasan temuan audit dan risiko yang signifikan tidak dikomunikasikan
secara berkala ke manajemen puncak.
d. Pimpinan audit internal melaporkan kepada CFO dan dewan komite
audit. Ini menyiratkan bahwa departemen audit internal merusak
independensinya. menyatakan bahwa, pimpinan audit internal harus
secara administratif melapor kepada CEO dan secara fungsional ke
dewan komite audit.
Rekomendasi Temuan Audit

• Manajemen EAL harus menekankan pada peningkatan penerapan penilaian
risiko di semua unit kerja perusahaan. Saat ini menunjukkan bahwa risiko dan
pengendalian yang diharapkan, tidak diidentifikasi dan didokumentasikan
dengan baik di semua unit kerja EAL.
• Manajemen EAL harus mendefinisikan dan menetapkan risk appetite
perusahaan sesuai dengan tingkat risiko. Risk apetite membantu para manajer
untuk mengelola risiko dalam profil risiko perusahaan.
• Manajemen EAL harus membentuk struktur departemen manajemen risiko
yang terpisah dan independen yang melakukan pekerjaan fasilitasi manajemen
risiko secara terpusat untuk meningkatkan budaya manajemen risiko di EAL

dan memperkuat penerapan manajemen risiko.
• Manajemen EAL harus terlibat dalam proses penyusunan rencana audit
berbasis risiko dengan menyediakan bahan-bahan yang diperlukan seperti
prosedur kebijakan masing-masing unit kerja dan laporan penilaian risiko. Ini
akan membantu auditor internal untuk menyiapkan rencana audit berbasis
risiko komprehensif untuk memfasilitasi efektivitas departemen audit internal.
• Manajemen EAL harus menindaklanjuti hasil proses audit dengan memberikan
informasi yang relevan tentang temuan audit untuk dilaksanakan. Hal ini
membantu auditor untuk mengevaluasi program audit dan tindak lanjut
berupa rencana aksi tentang temuan audit.
• Manajemen EAL harus mengoptimalkan kapasitas dan sumber daya
departemen audit internal dengan mempekerjakan tenaga kerja yang
diperlukan dan memiliki kompetensi untuk memperkuat departemen terkait
dengan beban kerja di kantor pusat dan cabang di mana tiket penerbangan
dijual.
• Manajemen EAL harus menciptakan kondisi di mana auditor internal
memberikan layanan konsultan yang independen dan obyektif sesuai dengan
standar audit internal. Saat ini, departemen audit internal tidak independen
terkait dengan jalur pelaporan kepada CFO. Pimpinan audit internal harus
secara administratif melapor kepada CEO dan secara fungsional ke dewan
komisaris.
• Departemen Audit Internal EAL harus merangkum temuan audit yang
signifikan terhadap risiko dan melaporkan ke manajemen puncak secara
berkala.
• Manajemen EAL harus meningkatkan penerapan audit berbasis risiko untuk
meningkatkan kinerja keuangan perusahaan. Penerapan audit berbasis risiko
terjadi peningkatan laba pada tingkat 65,4%. Selain itu, dari hasil statistik, laba,
nada kilometer yang tersedia, kilometer kursi yang tersedia, dan pendapatan
perusahaan menunjukkan peningkatan yang kuat setelah adopsi audit berbasis
risiko.
• Manajemen EAL harus melakukan analisis penawaran dan permintaan
sehubungan dengan tingkat kilometer kursi yang tersedia karena kelebihan
kapasitas mengakibatkan kerugian karena biaya tetap yang lebih tinggi.
Kondisi tersebut telah memengaruhi laba secara negatif pada tingkat 3,4%.
• Manajemen harus mengawasi efisiensi biaya operasi karena hal itu berdampak
negatif pada laba pada tingkat 3,26%.
Istilah dan Definisi Manajemen Risiko 147
ISTILAH DAN DEFINISI MANAJEMEN RISIKO
1.
Risiko adalah pengaruh ketidakpastian pada tujuan
•• Tujuan dapat memiliki aspek yang berbeda seperti keuangan, kesehatan dan
keselamatan, dan tujuan lingkungan dan dapat diterapkan pada tingkat yang
berbeda seperti strategi, perusahaan, proyek, produk dan proses.
•• Risiko sering ditandai dengan mengacu pada potensi peristiwa dan konsekuensi
atau kombinasi dari keduanya.
•• Ketidakpastian adalah kondisi, bahkan parsial, kekurangan informasi yang
berkaitan dengan, pemahaman atau pengetahuan tentang suatu peristiwa,
konsekuensinya, atau kemungkinan.
2.
Manajemen risiko adalah kegiatan terkoordinasi untuk mengarahkan dan
mengendalikan perusahaan berkaitan dengan risiko.
3.
Kerangka manajemen risiko adalah seperangkat komponen yang memberikan
dasar dan pengaturan perusahaan untuk merancang, melaksanakan, memantau,
meninjau dan terus meningkatkan manajemen risiko di seluruh perusahaan
•• Dasar-dasarnya termasuk kebijakan, tujuan, mandat dan komitmen untuk
mengelola risiko.
•• Pengaturan perusahaan termasuk rencana, hubungan, akuntabilitas, sumber
daya, proses dan kegiatan.
•• Kerangka manajemen risiko merupakan bagian melekat dari strategi perusahaan
dan kebijakan operasional dan implimentasi.
4. Kebijakan manajemen risiko adalah pernyataan tertulis tentang keinginan arah

perusahaan yang terkait dengan penerapan manajemen risiko.
5. Sikap risiko (risk attitude) adalah bagaimana risiko dinilai dan ditangani. Sikap
perusahaan terhadap pengaruh risiko apakah risiko tersebut diambil, ditoleransi,
ditahan, dikurangi, atau dihindari, dan apakah perlakuan risiko dilaksanakan atau
ditunda.
6. Rencana manajemen risiko merupakan skema dalam kerangka manajemen risiko
untuk menetapkan pendekatan, komponen manajemen dan sumber daya untuk
diterapkan pada manajemen risiko.
•• Komponen manajemen biasanya meliputi prosedur, praktek, tugas tanggung
jawab, urutan dan waktu kegiatan.
•• Rencana manajemen risiko dapat diterapkan untuk produk, proses tertentu dan
proyek, dan sebagian atau seluruh perusahaan.
7. Pemilik Risiko adalah orang atau fungsi dalam perusahaan yang diberikan
kewenangan untuk mengelola risiko tertentu dan bertanggung jawab untuk
melakukannya.
8. Proses manajemen risiko adalah cara sistematis dalam menerapkan kebijakan
manajemen, prosedur, dan pelaksanaan untuk serangkaian kegiatan yang
dimaksudkan untuk menetapkan konteks, berkomunikasi dan berkonsultasi dengan
para pemangku kepentingan, dan mengidentifikasi, menganalisis, mengevaluasi,
memperlakukan, memantau, dan kaji ulang risiko.
9. Menetapkan konteks adalah untuk menentukan parameter eksternal dan internal
perusahaan harus dipertimbangkan pada saat mengelola risiko. Konteks eksternal
perusahaan termasuk stakeholder, kepentingan lokal, nasional, dan internasional,
serta faktor-faktor eksternal yang mempengaruhi tujuannya. Konteks internal
perusahaan termasuk stakeholder internal, pendekatan ke pemerintahan, hubungan
kontraktual, dan kemampuan, budaya, dan standar.
10. Konteks eksternal adalah lingkungan eksternal di mana perusahaan berusaha
untuk mencapai tujuannya konteks eksternal dapat mencakup:
•• Lingkungan budaya, sosial, politik, hukum, peraturan, keuangan, teknologi,
ekonomi, alam dan lingkungan kompetitif, baik internasional, nasional,
regional atau lokal;
•• Kunci pengendali dan tren memiliki dampak pada tujuan perusahaan; dan -
hubungan dengan, dan persepsi dan nilai-nilai dari pemangku kepentingan
eksternal.
11. Konteks internal adalah lingkungan internal di mana perusahaan berusaha untuk
mencapai tujuannya. Konteks internal dapat mencakup :
•• tata kelola, struktur perusahaan, peran dan akuntabilitas;
•• kebijakan, tujuan, dan strategi yang berada di tempat untuk mencapainya;
•• K emampuan, memahami dalam hal sumber daya dan pengetahuan (contoh

modal, waktu, orang, proses, sistem dan teknologi);
•• Sistem informasi, arus informasi dan proses pengambilan keputusan (baik
formal maupun informal);
•• Hubungan dengan, dan persepsi dan nilai-nilai, pemangku kepentingan internal;
•• Budaya perusahaan;
•• Standar, pedoman dan model diterapkan oleh perusahaan; dan
•• Bentuk dan tingkat hubungan kontrak.
12. Komunikasi dan konsultasi merupakan proses yang terus menerus dan berulang
perusahaan lakukan untuk menyediakan, membagi atau memperoleh informasi
serta terlibat dalam dialog dengan para pemangku kepentingan mengenai
manajemen risiko.
•• Informasi yang dapat berhubungan dengan keberadaan, sifat, bentuk,
kemungkinan, signifikansi, evaluasi, penerimaan dan perlakuan terhadap
manajemen risiko.
•• Konsultasi adalah proses dua arah komunikasi antara perusahaan dan
pemangku kepentingan pada pokok permasalahan untuk membuat keputusan
atau menentukan arah pada pokok permasalahan itu.
13. Pemangku kepentingan (stakeholder) adalah individu atau perusahaan yang dapat
mempengaruhi, dipengaruhi, atau menganggap diri dipengaruhi oleh keputusan
atau kegiatan. Seorang pembuat keputusan dapat menjadi pemangku kepentingan.
14. Penilaian risiko adalah proses keseluruhan identifikasi risiko, analisis risiko dan
evaluasi risiko.
15. Identifikasi risiko adalah proses menemukan, mengenali dan menjelaskan risiko.
•• identifikasi risiko melibatkan identifikasi sumber risiko, peristiwa, penyebab
dan potensi dampak.
•• identifikasi risiko dapat melibatkan data historis, analisis teoritis, informasi dan
pendapat ahli, dan kebutuhan pemangku kepentingan.
16. Sumber risiko adalah satu sumber atau kombinasi sumber yang memiliki potensi
intrinsik menimbulkan risiko. Sebuah sumber risiko dapat berwujud atau tidak
berwujud.
17. Peristiwa adalah perubahan dari situasi yang khusus. Sebuah peristiwa dapat
menjadi salah satu atau lebih kejadian, dan dapat memiliki beberapa penyebab.
Sebuah kejadian tanpa dampak dapat disebut sebagai neas misses, incident, near hit
atau close call.
18. Konsekuensi merupakan hasil dari peristiwa yang mempengaruhi tujuan. Sebuah
peristiwa dapat menyebabkan berbagai konsekuensi. Konsekuensi bisa pasti atau
tidak pasti dan dapat memiliki efek positif atau negatif pada tujuan. Konsekuensi
dapat dinyatakan secara kualitatif maupun kuantitatif.
19. Probabilitas adalah kemungkinan terjadinya sesuatu. Probabilitas digunakan

untuk merujuk pada kemungkinan terjadinya sesuatu. Diukur atau ditentukan
secara obyektif atau subyektif, kualitatif maupun kuantitatif, dan dijelaskan
menggunakan istilah umum atau matematis seperti probabilitas atau frekuensi
selama periode waktu tertentu.
20. Profil risiko adalah deskripsi dari seperangkat risiko. Seperangkat risiko dapat
berisi orang-orang yang berhubungan dengan seluruh perusahaan atau bagian
perusahaan.
21. Analisis risiko adalah proses untuk memahami sifat risiko dan untuk menentukan
tingkat risiko. Analisis risiko memberikan dasar untuk evaluasi risiko dan keputusan
tentang penanganan risiko. Analisis risiko mencakup estimasi risiko.
22. Kriteria risiko adalah ukuran standar seberapa besar dampak atau konsekuensi
yang mungkin akan terjadi dan seberapa besar probabilitas akan terjadi risiko.
Kriteria Risiko didasarkan pada tujuan perusahaan, dan konteks eksternal dan
internal. Kriteria Risiko dapat diturunkan dari standar, hukum, kebijakan dan
persyaratan lainnya.
23. Tingkat risiko besarnya risiko atau kombinasi risiko, dinyatakan dalam kombinasi
dampak dan probabilitas.
24. Evaluasi risiko adalah proses membandingkan hasil analisis risiko dengan kriteria
risiko untuk menentukan apakah besarnya risiko dapat diterima dan ditoleransi.
Evaluasi risiko membantu dalam keputusan untuk penanganan risiko.
25. Penanganan risiko adalah proses untuk memodifikasi risiko.
Penanganan risiko dapat dengan :
•• menghindari risiko dengan tidak melakukan kegiatan yang menimbulkan risiko;
•• mengambil atau meningkatkan risiko untuk mengejar kesempatan;
•• menghilangkan sumber risiko
•• menurunkan risiko dengan mengubah probabilitas dan dampak menjadi lebih
rendah
•• berbagi risiko dengan pihak lain
•• mempertahankan risiko.
26. Kontrol adalah mengukur terhadap memodifikasi risiko dimana kontrol mencakup
proses kebijakan, perangkat, praktek, atau tindakan lain yang memodifikasi risiko.
27. Pemantauan adalah proses pemantauan terus menerus untuk mengawasi, kritis
mengobservasi atau menentukan status untuk mengidentifikasi perubahan dari
tingkat kinerja yang diperlukan atau diharapkan. Pemantauan dapat diterapkan
untuk kerangka kerja manajemen risiko, proses manajemen risiko, risiko atau
kontrol
28. Kaji Ulang adalah kegiatan yang dilakukan untuk menentukan kesesuaian,
kecukupan dan efektivitas untuk mencapai tujuan. Kaji ulang dapat diterapkan
untuk kerangka kerja manajemen risiko, proses manajemen risiko, risiko atau
kontrol.
29. Pelaporan risiko adalah bentuk komunikasi untuk menginformasikan kepada para
pemangku kepentingan internal atau eksternal dengan memberikan informasi
mengenai keadaan saat ini risiko dan manajemen
30. Register risiko adalah catatan informasi tentang risiko yang telah di identifikasi
31. Retensi risiko adalah risiko yang ditanggung sendiri untuk menerima manfaat
potensi keuntungan atau beban kerugian dari risiko tertentu
32. Risiko residual adalah risiko yang tersisa setelah perlakuan risiko.
33. Ketahanan (resilience) adalah kemampuan kapasitas adaptasi dari sebuah
perusahaan di lingkungan kompleks dan berubah.
34. Selera risiko (risk appetite) adalah perusahaan bersedia menanggung sejumlah
risiko.
35. Toleransi risiko adalah kesiapan perusahaan untuk menanggung batas risiko
setelah dilakukan perlakuan risiko. Toleransi Risiko dapat dipengaruhi oleh
peraturan.
36. Penghindaran risiko adalah sikap untuk menghindar dari risiko
37. Penerimaan risiko adalah keputusan untuk mengambil risiko tertentu. Penerimaan
risiko dapat terjadi tanpa perlakuan resiko atau selama proses perlakuan resiko.
38. Audit manajemen risiko adalah proses dokumentasi dan independen serta
sistematis untuk memperoleh bukti dan mengevaluasinya secara objektif untuk
menentukan sejauh mana kerangka kerja manajemen risiko yang memadai dan
efektif.
39. Rencana audit adalah daftar audit yang akan dilakukan dalam jangka waktu
tertentu.
40. Audit internal adalah auditor memberikan pendapat yang independen dan obyektif
kepada manajemen perusahaan, apakah risiko dikelola ke tingkat yang dapat
diterima sesuai dengan selera risiko (risk apetite).
Daftar Pustaka 153
DAFTAR PUSTAKA
AS/NZS 4360., 2004, Risk Management, Sydney, NSW.

AIRMIC, ALARM, IRM, A. 2002, Risk Management Standard
Chartered Institute of Internal Auditors, 2014, Risk Based Internal Auditing.
Clough, R.H. and Sears, G.A., 1994, Construction Contracting. (6th edition) John Wiley
and Sons Inc., New York.
COSO. 2004, Enterprise risk management – integrated framework. Executive Summary,
Committee of Sponsoring Organizations of Treadway Commission
Darmawi, Herman, 2012. Manajemen Risiko. Jakarta: Bumi Aksara
Global Association of Risk Professionals., 2008. Financial Risk Manager Practice
Examination. New Zeland.
International Organization of Securities Commissions - IOSCO.,2008. Methodology
for Assessing implementation of the IOSCO objectives and principles of securities
regulation.
ISO 31000. 2009. Risk management - Principles and guidelines.
ISO/IEC 31010:2009, Risk management - Risk assessment techniques
ISO 31000:2018, Risk management - Guidelines
King, Jack L. 2001, Operational Risk : Measurement and Modelling, John Wiley & Sons,
England
Knight, Kevin W., 2009. ISO 31000:2009; ISO/IEC 31010 & ISO Guide 73:2009.
International Standards for the Management of Risk. Australia-New Zeland.
Penza, Pietro, and Vipul K. Bansal., 2001. Measuring Market Risk with Value At Risk.
John Wiley & Sons, Inc.
Standar Kompetensi khusus., 2015. Manajemen Risiko Pasar Modal.
Trieschmann, Gustavson, Hoyt., 2001. Risk Management and Insurance. 8th Edition.
South-Western Collage Publishing.
United Nations Economic Commision., 2012. Risk Management in Regulatory Framework
: Toward a Better Management of Risk. United Nation.
https://news.detik.com/berita/3735144/kasus-dana-pensiun-pertamina-edward-
soeryadjaya-ditahan-kejagung.
https://www.scribd.com/doc/226076630/Analisa-Kasus-Reksa-Dana-Pt-Sarijaya-
Permana-Sekuritas.
http://www.academia.edu/33362678/Risk_Based_Audit_Practices_and_Financial_
Performance_A_Case_Study_of_Ethiopian_Airlines.

Ebook Manajemen Risiko Pasar Modal Edisi 2 4

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Ebook Manajemen Risiko Pasar Modal Edisi 2 4

Diunggah oleh

Hak Cipta:

Format Tersedia

Manajemen Risiko Pasar Modal (ISO 31000: 2018) edisi dua

DIA Dr. Embun Prowanta, MM, CSA®, CRP®, CFP®

Diterbitkan oleh : Penerbit IN MEDIA (Anggota IKAPI)

UNDANG-UNDANG NOMOR 19 TAHUN 2002 TENTANG HAK CIPTA

dalam menyelesaikan buku Manajemen Risiko Pasar Modal (ISO 31000:2018)

Jakarta, Februari 2019

Bab 1 RISIKO DAN MANAJEMEN RISIKO........................................ 1

Bab 2 STANDAR MANAJEMEN RISIKO........................................... 25

2.2.6 Perlakuan Risiko.................................................................. 34

Bab 3 MANAJEMEN RISIKO ISO 31000............................................. 43

Bab 4 ISO 31000: 2018..................................................................... 73

Bab 5 PENILAIAN RISIKO.............................................................. 91

Bab 6 MANAJEMEN RISIKO PASAR MODAL.................................... 107

Bab 7 AUDIT INTERNAL BERBASIS RISIKO..................................... 129

ISTILAH DAN DEFINISI MANAJEMEN RISIKO...........................................147

Semua menyadari bahwa semua kegiatan proses bisnis perusahaan mengandung

Risiko berbeda dengan ketidak pastian dimana risiko menggunakan data,

1.2 Manajemen Risiko

Penciptaan nilai perusahaan akan mempermudah manajemen untuk mengelola

•• D irancang untuk mengidentifikasi peristiwa potensi yang merugikan

Langkah perusahaan dalam menerapkan manajemen risiko akan;

Manajemen risiko perusahaan memiliki karakteristik dalam penerapannya.

Setiap perusahaan yang menerapkan manajemen risiko perusahaan memiliki unit

Ada lima cara perusahaan sehingga salah dalam mengelola risiko:

1. Terbatasnya pemahaman risiko sehingga mengabaikan risiko lain yang harus

1.2.1 Prinsip-Prinsip Manajemen Risiko

Penerapan manajemen risiko dalam perusahaan, memberikan para pengambil

Manajemen risiko juga wajib diintegrasikan ke dalam budaya perusahaan dengan

1.2.2 Manfaat Manajemen Risiko

5. Manajemen risiko melindungi perusahaan dari risiko murni, dan karena

1.3. Proses Manajemen Risiko

Penerapan manajemen risiko membutuhkan komitmen kuat dari Dewan Direksi

•• P enerapan manajemen risiko adalah keharusan untuk mencapai tujuan

1.4 Manajemen Risiko Tradisional dan Perusahaan

Manajemen Risiko tradisional memiliki karakteristik sebagai berikut:

Banyak faktor yang menyebabkan perusahaan tidak menerapkan manajemen

dan tindakan, untuk menyakinkan perusahaan hanya mengambil tindakan

1.5 Budaya Risiko

memungkinkan kegiatan yang benar-benar bertentangan dengan kebijakan dan prosedur

TAHU SADAR MAMPU MAU

2.1 Standar Manajemen Risiko

perusahaan, strategi dan perencanaan, manajemen, pelaporan proses, kebijakan, nilai-

Penerapan manajemen risiko membutuhkan analisis stakeholders dimana stakeholders

2.2 Australia Standard/New Zealand Standard

Kerangka kerja Standar AS/NZSkerja

Monitoring & Review

Monitoring & Review

Sumber : AS/NZS 4360:2004

Tabel 2.1 Likelihood/Probabilitas/Frekuensi

Tabel 2.2 Konsekuensi/Dampak/Severity

2.2.3 Identifikasi Risiko

2.2.4 Analisis Risiko

Dampak dan Probalitas

2.2.5 Evaluasi Risiko

2.2.6 Perlakuan Risiko

• Kegagalan untuk memperlakukan risiko;

Pengurangan dampak dan probalitas mempertimbangkan pengendalian risiko.

2.2.7 Menilai Opsi Perlakuan Risiko

2.2.8 Menyiapkan Rencana Perlakuan Risiko

2.3 Committee of Sponsoring Organizations

2.4 Perbandingan Standar Manajemen Risiko

Beberapa keunggulan ISO 31000 dibandingkan dengan COSO adalah:

• ISO 31000 sepenuhnya sesuai dengan COSO ERM .